Datenschutz in den US-Bundesstaaten

Ein einheitliches Bundesdatenschutzgesetz existiert in den USA nach wie vor nicht. Allerdings hat eine Vielzahl von Bundesstaaten in den letzten Jahren über umfassende Datenschutzgesetze diskutiert und diese in einigen Fällen sogar erlassen.

Am bekanntesten ist der bereits am 1. Januar 2020 in Kraft getretene California Consumer Privacy Act (CCPA), dessen endgültige Regelungen im August 2020 vom California Office of Administrative Law genehmigt worden sind. Ferner haben die kalifornischen Wähler am 3. November 2020 der Verabschiedung des California Privacy Rights Act (CPRA) zugestimmt. Der CPRA ist am 1. Januar 2023 in Kraft getreten und ergänzt die Regelungen des CCPA.

Zudem haben im Jahr 2022 die vier Bundesstaaten Virginia, Colorado, Utah und Connecticut umfassende Datenschutzgesetze erlassen, die alle im Verlauf des Jahres 2023 in Kraft treten.

Anfang des Jahres 2023 haben darüber hinaus die Bundesstaaten Iowa, Indiana und Tennessee umfassende Datenschutzgesetze erlassen. Die Datenschutzgesetze von Iowa und Tennessee werden im Jahr 2025 in Kraft treten. Das Datenschutzgesetz von Indiana tritt im Jahr 2026 in Kraft.

Mittlerweile sind auf Ebene der US-Bundesstaaten sieben weitere Datenschutzgesetze hinzugekommen:

• der Montana Consumer Data Privacy Act (MCDPA),

• die Florida Digital Bill of Rights (FDBR),

• der Texas Data Privacy and Security Act (TDPSA),

• der Oregon Consumer Privacy Act (OPCA), 

• der Delaware Personal Data Privacy Act (DPDPA),

• der New Jersey Data Protection Act (NJDPA) und

• der New Hampshire Privacy Act (NHPA).

Informationen in Bezug auf den Datenverkehr zwischen der EU und den USA finden Sie in der GTAI-Rechtsmeldung Angemessenes Datenschutzniveau in den USA.

Von Jan Sebisch | Bonn

Der Colorado Privacy Act (CPA) ist am 8. Juni 2021 verabschiedet worden und am 1. Juli 2023 in Kraft getreten. Der CPA ist das dritte umfassende Datenschutzgesetz, nach dem California Consumer Privacy Act (CCPA) und dem Virginia Consumer Data Protection Act (VCDPA), das in den Vereinigten Staaten eine gesetzliche Normierung erfahren hat.

Von dem Anwendungsbereich des CPA sind grundsätzlich Unternehmen beziehungsweise sogenannte „controller“ (Verarbeiter) erfasst, die in Colorado geschäftlich tätig sind (controllers that conduct business in Colorado) oder kommerzielle Produkte herstellen oder Dienstleistungen anbieten, die sich an die Einwohner von Colorado richten (intentionally target commercial products or services to Colorado residents), und die pro Kalenderjahr:

• personenbezogene Daten von mindestens 100.000 Verbrauchern kontrollieren oder verarbeiten; oder 

• Einnahmen oder Rabatte aus dem Verkauf von personenbezogenen Daten erzielen und dabei personenbezogene Daten von mindestens 25.000 Verbrauchern kontrollieren oder verarbeiten.

Der CPA sieht keine Umsatzschwellen vor, die ein controller erfüllen muss, um in den Anwendungsbereich des Gesetzes zu fallen.

Als Verbraucher (consumer) im Sinne des Gesetzes gelten natürliche Personen mit Wohnsitz in Colorado, die als Einzelperson oder in Bezug auf die Haushaltsführung handeln (acting only in an individual or houshold context). 

Personenbezogene Daten (personal data) definiert das Gesetz als Informationen, die mit einer identifizierten oder identifizierbaren natürlichen Person verknüpft sind oder vernünftigerweise verknüpft werden können.

Der CPA räumt den Verbrauchern unter anderem ein Recht auf Zugriff, Berichtigung und Löschung ihrer personenbezogenen Daten ein. Unternehmen (beziehungsweise controller) haben in der Regel 45 Tage Zeit, um auf etwaige Verbraucheranfragen zu reagieren.

Durchgesetzt werden die Regelungen des CPA vom Generalstaatanwalt des Bundestaates (Colorado Attorney General) und den Bezirksstaatsanwälten (local district attorneys). Der CPA sieht vor, dass der Generalstaatsanwalt oder die Bezirksstaatsanwälte ein betroffenes Unternehmen zunächst über einen etwaigen Verstoß informieren und dem Unternehmen eine Frist von 60 Tagen einräumen, um den Verstoß zu beheben. Bei Verstößen gegen den CPA können Strafen von bis zu 20.000 US-Dollar fällig werden. Ein privates Klagerecht existiert nicht.

Von Jan Sebisch | Bonn

Der Connecticut Data Privacy Act (CTDPA) ist am 28. April 2022 von den Connecticut General Assembly verabschiedet worden und am 1. Juli 2023 in Kraft getreten. 

Der Anwendungsbereich des Gesetzes erstreckt sich grundsätzlich auf Unternehmen beziehungsweise sogenannte „controller“ (Verarbeiter), die in Connecticut geschäftlich tätig sind (controller that conduct business in Connecticut) oder Produkte für die Einwohner von Connecticut herstellen oder ihnen Dienstleistungen anbieten (produce products or services targeted to Connecticut residents) und im vorangegangenen Kalenderjahr entweder:

• die personenbezogenen Daten von 100.000 Verbrauchern kontrolliert oder verarbeitet haben; oder

• die personenbezogenen Daten von 25.000 Verbrauchern kontrolliert oder verarbeitet haben und mehr als 25 Prozent ihres Bruttoumsatzes aus dem Verkauf personenbezogener Daten erzielt haben.

Etwaige Umsatzschwellen, um in den Anwendungsbereich des Gesetzes zu fallen, sieht der CTDPA nicht vor. 

Als Verbraucher (consumer) im Sinne des Gesetzes gelten natürliche Personen mit Wohnsitz in Connecticut, die im eigenen Namen handeln und nicht in einem kommerziellen oder beruflichen Kontext. 

Personenbezogene Daten (personal data) im Sinne des CTDPA sind alle Informationen, die einer identifizierbaren Person zugeordnet werden können, ausgenommen sind zum Beispiel öffentlich zugängliche Informationen.

Der CTDPA räumt den Verbrauchern unter anderem ein Recht auf Zugriff, Korrektur und Löschung ihrer personenbezogenen Daten ein. Ein Unternehmen (beziehungsweise ein controller) hat auf eine etwaige Anfrage eines Verbrauchers grundsätzlich innerhalb von 45 Tagen zu reagieren. 

Ein privates Klagerecht sieht der CTDPA nicht vor. Die Befugnis zur Durchsetzung des CTDPA obliegt dem Generalstaatsanwalt von Connecticut (Connecticut Attorney General). Bis zum 31. Dezember 2024 ist der Generalstaatsanwalt verpflichtet, Unternehmen über einen etwaigen Verstoß zu informieren und ihnen 60 Tage Zeit zu geben, den Verstoß zu beheben. Ab 1. Januar 2025 obliegt es dem Ermessen des Generalstaatsanwaltes, ob er dem Unternehmen die Möglichkeit zur Behebung etwaiger Verstöße gewährt. Bei einem Verstoß gegen den CTDPA kann ein Gericht eine zivilrechtliche Strafe von bis zu 5.000 US-Dollar verhängen.

Von Jan Sebisch | Bonn

Am 11. September 2023 hat der Gouverneur von Delaware (John Carney) den Delaware Personal Data Privacy Act  (DPDPA) unterzeichnet. Das Gesetz wird am 1. Januar 2025 in Kraft treten.

Der Anwendungsbereich des DPDPA erstreckt sich grundsätzlich auf Unternehmen beziehungsweise sogenannte „controller“ (Verarbeiter), die in Delaware geschäftlich tätig sind (conduct business in Delaware) oder Produkte für die Einwohner von Delaware herstellen oder ihnen Dienstleistungen anbieten (produce products or services targeted to Delaware residents) und im vorangegangenen Kalenderjahr entweder:

• die personenbezogenen Daten von 35.000 Verbrauchern kontrolliert oder verarbeitet haben; oder

• die personenbezogenen Daten von 10.000 Verbrauchern kontrolliert oder verarbeitet haben und mehr als 20 Prozent ihres Bruttoumsatzes aus dem Verkauf personenbezogener Daten erzielt haben.

Etwaige Umsatzschwellen, um in den Anwendungsbereich des Gesetzes zu fallen, sieht der DPDPA nicht vor. 

Als Verbraucher (consumer) im Sinne des Gesetzes gelten natürliche Personen mit Wohnsitz in Delaware, die im eigenen Namen handeln und nicht in einem kommerziellen oder beruflichen Kontext. 

Personenbezogene Daten (personal data) im Sinne des DPDPA sind alle Informationen, die einer identifizierbaren Person zugeordnet werden können, ausgenommen sind öffentlich zugängliche Informationen.

Der DPDPA räumt den Verbrauchern unter anderem ein Recht auf Auskunft, Korrektur und Löschung ihrer personenbezogenen Daten ein. Ein Unternehmen (beziehungsweise ein controller) muss innerhalb von 45 Tagen auf eine etwaige Anfrage eines Verbrauchers reagieren. Diese Frist kann angesichts der Komplexität der Anfrage und Anzahl der Verbraucheranfragen unter Umständen um weitere 45 Tage verlängert werden.

Ein privates Klagerecht sieht der DPDPA nicht vor. Die Befugnis zur Durchsetzung des DPDPA obliegt dem Generalstaatsanwalt von Delaware (Delaware Attorney General). Bis zum 31. Dezember 2025 ist der Generalstaatsanwalt verpflichtet, Unternehmen über einen etwaigen Verstoß zu informieren und ihnen 60 Tage Zeit zu geben, den Verstoß zu beheben. Ab 1. Januar 2026 obliegt es dem Ermessen des Generalstaatsanwaltes, ob er dem Unternehmen die Möglichkeit zur Behebung etwaiger Verstöße gewährt. Im Rahmen des DPDPA kann ein Gericht bei vorsätzlichen Verstößen gegen den DPDPA eine zivilrechtliche Strafe von bis zu 10.000 US-Dollar verhängen.

Von Jan Sebisch | Bonn

Am 7. Juni 2023 hat der Gouverneur von Florida (Ron DeSantis) die Senate Bill 262 unterzeichnet, deren Bestandteil die Bestimmungen der Florida Digital Bill of Rights (FDBR) sind. Die Senate Bill 262 wird am 1. Juli 2024 in Kraft treten. 

Um in den Anwendungsbereich der FDBR zu fallen beziehungsweise um als Datenverantwortlicher (controller) im Sinne der FDBR zu gelten ist es erforderlich, dass ein Unternehmen einen weltweiten Bruttoumsatz von einer Milliarde US-Dollar erzielt und eine der folgenden Voraussetzungen erfüllt:

• 50 Prozent oder mehr seines weltweiten Bruttojahresumsatzes aus dem Verkauf von Online-Werbung erwirtschaftet;

• betreibt einen intelligenten Lautsprecher- und Sprachbefehlskomponentendienst für Verbraucher mit integrierter virtueller Unterstützung, der mit einem Cloud-Computing-Dienst verbunden ist, der die Freisprech-Sprachaktivierung nutzt; oder

• einen App Store oder eine digitale Vertriebsplattform betreibt, der beziehungsweise die Verbrauchern mindestens 250.000 Softwareanwendungen zum Herunterladen und Installieren anbietet.

Im Vergleich zu anderen einzelstaatlichen Datenschutzgesetzen in den USA hat die FDBR eine relative hohe Anwendungsschwelle. Das Gesetz zielt primär auf sogenannte „Big Tech“-Unternehmen ab.

Als Verbraucher (consumer) im Sinne des Gesetzes gelten natürliche Personen mit Wohnsitz in Florida, die nur als Einzelperson oder in Bezug auf die Haushaltsführung handeln (acting only in an individual or houshold context). Nicht umfasst ist ein etwaiges Handeln in einem kommerziellen oder beruflichen Kontext.

Personenbezogene Daten (personal data) im Sinne der FDBR sind alle Informationen, die einer identifizierbaren Person zugeordnet werden können, ausgenommen sind öffentlich zugängliche Informationen.

Verbrauchern räumt die FDBR unter anderem ein Zugriffsrecht sowie das Recht auf Löschung, Berichtigung und Übertragbarkeit der personenbezogenen Daten ein. Ein Unternehmen (beziehungsweise ein controller) hat auf etwaige Verbraucheranfragen innerhalb von 45 Tagen zu reagieren. Diese Frist kann aufgrund der Komplexität der Anfrage sowie der Anzahl der Verbraucheranfragen um weitere 15 Tage verlängert werden.  

Die FDBR sieht kein privates Klagerecht für Verbraucher vor. Die Durchsetzung der FDBR obliegt ausschließlich dem Rechtsministerium des Bundesstaates (Department of Legal Affairs) beziehungsweise dem Generalstaatsanwalt (Attorney General). Die FDBR sieht eine 45-tätige Heilungsfrist für Datenschutzverstöße vor, die das Rechtsministerium vor der Einleitung von Durchsetzungsmaßnahmen einem controller gewähren kann. Ausgeschlossen ist die Heilungsfrist allerdings bei Verstößen die Kinder betreffen. Bei Verstößen gegen den FDBR kann durch ein Gericht eine zivilrechtliche Strafe von bis zu 50.000 US-Dollar pro Verstoß verhängt werden.

Von Jan Sebisch | Bonn

Am 1. Mai 2023 hat der Gouverneur von Indiana (Eric Holcomb) den Indiana Digital Personal Data Protection Act (IDPDPA) unterzeichnet. Das Gesetz wird am 1. Januar 2026 in Kraft treten. Indiana ist nach Kalifornien, Utah, Colorado, Connecticut, Virginia und Iowa der siebte US-Bundesstaat, der ein umfassendes Datenschutzgesetz erlassen hat.

Vom Anwendungsbereich des IDPDPA sind grundsätzlich Unternehmen beziehungsweise sogenannte „controller“ (Verarbeiter) erfasst, die in Indiana geschäftlich tätig sind (conduct business in Indiana) oder Produkte für die Einwohner von Indiana herstellen oder ihnen Dienstleistungen anbieten (produce products or services targeted to Indiana residents) und im Kalenderjahr entweder: 

• die personenbezogenen Daten von 100.000 Verbrauchern kontrolliert oder verarbeitet haben; oder

• die personenbezogenen Daten von 25.000 Verbrauchern kontrolliert oder verarbeitet haben und mehr als 50 Prozent ihres Bruttoumsatzes aus dem Verkauf personenbezogener Daten erzielt haben.

Etwaige Umsatzschwellen, um in den Anwendungsbereich des Gesetzes zu fallen, sieht der IDPDPA nicht vor. 

Als Verbraucher (consumer) im Sinne des Gesetzes gelten natürliche Personen mit Wohnsitz in Indiana, die im eigenen Namen handeln und nicht in einem kommerziellen oder beruflichen Kontext. 

Personenbezogene Daten (personal data) im Sinne des IDPDPA sind alle Informationen, die einer identifizierbaren Person zugeordnet werden können, ausgenommen sind öffentlich zugängliche Informationen.

Der IDPDPA räumt den Verbrauchern unter anderem ein Recht auf Löschung und Korrektur ihrer personenbezogenen Daten ein. Ein Unternehmen (beziehungsweise ein controller) muss innerhalb von 45 Tage auf eine entsprechende Verbraucheranfrage reagieren. Diese Frist kann jedoch je nach Komplexität und Anzahl der Verbraucheranfragen um weitere 45 Tage verlängert werden, wenn dies erforderlich ist.

Wie die meisten Datenschutzgesetze der US-Bundestaaten sieht der IDPDPA ein privates Klagerecht nicht vor. Die Befugnis zur Durchsetzung der Vorschriften des IDPDPA obliegt dem Generalstaatsanwalt von Indiana (Indiana Attorney General). Der Generalstaatsanwalt ist verpflichtet, Unternehmen über einen etwaigen Verstoß zu informieren und ihnen 30 Tage Zeit zu geben, den Verstoß zu beheben. Der Generalstaatsanwalt kann nach Ablauf der Heilungsfrist Klage bei Gericht einreichen. Ein Gericht kann für jeden Verstoß gegen den IDPDPA eine zivilrechtliche Strafe von bis zu 7.500 US-Dollar verhängen.

Von Jan Sebisch | Bonn

Am 23. März 2023 hat die Gouverneurin des Bundestaates Iowa (Kim Reynolds) den Iowa Consumer Data Protection Act (ICDPA) unterzeichnet. Das Gesetz wird am 1. Januar 2025 in Kraft treten.

Vom Anwendungsbereich des ICDPA sind grundsätzlich Unternehmen beziehungsweise sogenannte „controller“ (Verarbeiter) erfasst, die in Iowa geschäftlich tätig sind (conduct business in Iowa) oder Produkte für die Einwohner von Iowa herstellen oder ihnen Dienstleistungen anbieten (produce products or services targeted to Iowa residents) und im Kalenderjahr entweder:

• die personenbezogenen Daten von 100.000 Verbrauchern kontrolliert oder verarbeitet haben; oder

• die personenbezogenen Daten von 25.000 Verbrauchern kontrolliert oder verarbeitet haben und mehr als 50 Prozent ihres Bruttoumsatzes aus dem Verkauf personenbezogener Daten erzielt haben.

Etwaige Umsatzschwellen, um in den Anwendungsbereich des Gesetzes zu fallen, sieht der ICDPA nicht vor. 

Als Verbraucher (consumer) im Sinne des Gesetzes gelten natürliche Personen mit Wohnsitz in Iowa, die im eigenen Namen handeln und nicht in einem kommerziellen oder beruflichen Kontext. 

Personenbezogene Daten (personal data) im Sinne des ICDPA sind alle Informationen, die einer identifizierbaren Person zugeordnet werden können, ausgenommen sind öffentlich zugängliche Informationen.

Der ICDPA räumt den Verbrauchern unter anderem ein Recht auf Zugriff und Löschung ihrer personenbezogenen Daten ein. Ein Unternehmen (beziehungsweise ein controller) hat 90 Tage Zeit, um auf eine etwaige Verbraucheranfrage zu reagieren. Diese Frist kann jedoch je nach Komplexität und Anzahl der Verbraucheranfragen um 45 Tage verlängert werden.

Ein privates Klagerecht sieht der ICDPA nicht vor. Die Befugnis zur Durchsetzung der Vorschriften des ICDPA obliegt dem Generalstaatsanwalt von Iowa (Iowa Attorney General). Der Generalstaatsanwalt ist verpflichtet, Unternehmen über einen etwaigen Verstoß zu informieren und ihnen 90 Tage Zeit zu geben, den Verstoß zu beheben. Für jeden Verstoß gegen den ICDPA kann ein Gericht eine zivilrechtliche Strafe in Höhe von 7.500 US-Dollar verhängen.

Von Jan Sebisch | Bonn

Der California Consumer Privacy Act (CCPA) ist am am 1. Januar 2020 in Kraft getreten. Die endgültigen Regelungen sind im August 2020 vom California Office of Administrative Law genehmigt worden. Ferner haben die kalifornischen Wähler am 3. November 2020 der Verabschiedung des California Privacy Rights Act (CPRA) zugestimmt. Der CPRA ergänzt die Regelungen des CCPA und ist (vollständig) am 1. Januar 2023 in Kraft getreten. Mit dem vollständigen Inkrafttreten des CPRA unterliegen betroffene Unternehmen nunmehr den gleichen strengen Anforderungen für die Erfassung, Aufbewahrung und Nutzung von Daten ihrer Angestellten, die der CCPA für Verbraucher vorschreibt.

Der Anwendungsbereich des CCPA erstreckt sich grundsätzlich auf Unternehmen (profit businesses), die in Kalifornien geschäftlich tätig sind (are doing business in California), personenbezogene Daten von Verbraucher sammeln (collect or use personal information about natural persons who reside in California) und einen der folgenden drei Schwellenwerte überschreiten: 

• das Unternehmen hat einen jährlichen Bruttoumsatz von mehr als 25 Millionen US-Dollar;

• das Unternehmen kauft jährlich, erhält, verkauft oder übermittelt sogenannte personenbezogene Informationen von mehr als 50.000 Verbrauchern, Geräten oder Haushalten für kommerzielle Zwecke;

• das Unternehmen erzielt mindestens 50 Prozent der jährlichen Einnahmen aus dem Verkauf von personenbezogenen Informationen.

Als Verbraucher (consumer) im Sinne des CCPA gelten natürliche Personen mit Wohnsitz in Kalifornien.

Der CCPA definiert personenbezogene Daten als Informationen, die einen bestimmten Verbraucher identifizieren, sich auf ihn beziehen, ihn beschreiben, mit ihm in Verbindung gebracht werden können oder vernünftigerweise direkt oder indirekt mit ihm in Verbindung gebracht werden könnten. 

Der CCPA räumt Verbrauchern unter anderem ein Recht auf Auskunft, Löschung und Berichtigung ihrer personenbezogenen Daten ein. 

Der CCPA wird vom kalifornischen Generalstaatsanwalt (California Attorney General) durchgesetzt. Der Generalstaatsanwalt ist verpflichtet, Unternehmen über einen etwaigen Verstoß zu informieren und ihnen 30 Tage Zeit zu geben, den Verstoß zu beheben. Verstöße gegen den CCPA können mit zivilrechtlichen Strafen von bis zu 7.500 US-Dollar pro Verstoß sanktioniert werden. In bestimmten Konstellationen sieht der CCPA - im Unterschied zu den meisten anderen bundesstaatlichen Datenschutzgesetzen - ein privates Klagerecht vor.

Von Jan Sebisch | Bonn

Am 19. März 2023 hat der Gouvernor von Montana (Greg Gianforte) den Montana Consumer Data Privacy Act  (MCDPA) unterzeichnet. Das Gesetz wird am 1. Oktober 2024 in Kraft treten.

Vom Anwendungsbereich des MCDPA sind grundsätzlich Unternehmen beziehungsweise sogenannte „controller“ (Verarbeiter) erfasst, die in Montana geschäftlich tätig sind (conduct business in Montana) oder Produkte für die Einwohner von Montana herstellen oder ihnen Dienstleistungen anbieten (produce products or services targeted to Montana residents) und im Kalenderjahr entweder:

• die personenbezogenen Daten von 50.000 Verbrauchern kontrolliert oder verarbeitet haben, mit Ausnahme personenbezogener Daten, die ausschließlich zum Zwecke der Abwicklung einer Zahlungstransaktion kontrolliert oder verarbeitet worden sind; oder

• die personenbezogenen Daten von 25.000 Verbrauchern kontrolliert oder verarbeitet und mehr als 25 Prozent ihres Bruttoumsatzes aus dem Verkauf personenbezogener Daten erzielt haben.

Etwaige Umsatzschwellen, um in den Anwendungsbereich des Gesetzes zu fallen, sieht der MCDPA nicht vor. 

Als Verbraucher (consumer) im Sinne des Gesetzes gelten natürliche Personen mit Wohnsitz in Montana, die im eigenen Namen handeln und nicht in einem kommerziellen oder beruflichen Kontext. 

Personenbezogene Daten (personal data) im Sinne des MCDPA sind alle Informationen, die einer identifizierbaren Person zugeordnet werden können, ausgenommen sind öffentlich zugängliche Informationen.

Der MCDPA räumt den Verbrauchern unter anderem ein Recht auf Löschung und Korrektur ihrer personenbezogenen Daten ein. Ein Unternehmen (beziehungsweise ein controller) hat innerhalb von 45 Tagen auf eine etwaige Anfrage eines Verbrauchers zu reagieren. Diese Frist kann um weitere 45 Tage verlängert werden, wenn dies angesichts der Komplexität und Anzahl der Verbraucheranfragen erforderlich ist.

Wie die meisten Datenschutzgesetze der US-Bundesstaaten sieht auch der MCDPA kein privates Klagerecht vor. Die Befugnis zur Durchsetzung der Vorschriften des MCDPA obliegt dem Generalstaatsanwalt von Montana (Montana Attorney General). Der Generalstaatsanwalt ist verpflichtet, Unternehmen über einen etwaigen Verstoß zu informieren und ihnen 60 Tage Zeit zu geben, den Verstoß zu beheben. Diese Heilungsbestimmung endet allerdings am 1. April 2026 beziehungsweise achtzehn Monate nach Inkrafttreten des Gesetzes. 

Von Jan Sebisch | Bonn

Am 6. März 2024 hat der Gouverneur von New Hampshire (Christopher T. Sununu) die Senat Bill 255 beziehungsweise den New Hampshire Privacy Act (NHPA) unterzeichnet. New Hampshire ist damit nach New Jersey der zweite US-Bundesstaat, der im Jahr 2024 ein umfassendes Datenschutzgesetz verabschiedet hat. Der NHPA wird am 1. Januar 2025 in Kraft treten.

Der Anwendungsbereich des NHPA erstreckt sich auf alle Personen, die in New Hampshire geschäftlich tätig sind (conduct business in New Hampshire) oder Produkte für die Einwohner von New Hampshire herstellen oder ihnen Dienstleistungen anbieten (produce products or services targeted to New Hampshire residents) und dabei innerhalb eines Jahres:

• die personenbezogenen Daten von 35.000 Verbrauchern kontrolliert oder verarbeitet haben, mit Ausnahme personenbezogener Daten, die ausschließlich zum Zwecke der Abwicklung einer Zahlungstransaktion kontrolliert oder verarbeitet worden sind; oder

• die personenbezogenen Daten von 10.000 Verbrauchern kontrolliert oder verarbeitet und mehr als 25 Prozent ihres Bruttoumsatzes aus dem Verkauf personenbezogener Daten erzielt haben.

Etwaige Umsatzschwellen, um in den Anwendungsbereich des Gesetzes zu fallen, sieht der NHPA nicht vor.

Als Verbraucher (consumer) im Sinne des Gesetzes gelten natürliche Personen mit Wohnsitz in New Hampshire, die im eigenen Namen handeln und nicht in einem kommerziellen oder beruflichen Kontext. 

Personenbezogene Daten (personal data) im Sinne des NHPA sind alle Informationen, die einer identifizierbaren Person zugeordnet werden können.

Der NHPA räumt den Verbrauchern unter anderem ein Recht auf Löschung und Korrektur ihrer personenbezogenen Daten ein. Ein Unternehmen hat innerhalb von 45 Tagen auf eine etwaige Anfrage eines Verbrauchers zu reagieren. Diese Frist kann um weitere 45 Tage verlängert werden, wenn dies angesichts der Komplexität und Anzahl der Verbraucheranfragen erforderlich ist.

Wie die meisten Datenschutzgesetze der US-Bundesstaaten sieht auch der NHPA kein privates Klagerecht vor. Die Befugnis zur Durchsetzung der Vorschriften des NHPA obliegt dem Generalstaatsanwalt von New Hampshire (New Hampshire Attorney General). Der Generalstaatsanwalt ist zwischen dem 1. Januar 2025 und dem 31. Dezember 2025 verpflichtet, Unternehmen über einen etwaigen Verstoß zu informieren und ihnen 60 Tage Zeit zu geben, den Verstoß zu beheben. Diese Heilungsbestimmung endet allerdings am 1. Januar 2026 und es obliegt dann dem Ermessen des Generalstaatsanwalts einem Unternehmen eine Heilungsfrist einzuräumen.

Von Jan Sebisch | Bonn

Am 16. Januar 2023 hat der Gouverneur von New Jersey (Phil Murphy) die Senate Bill 332 beziehungsweise den New Jersey Data Protection Act (NJDPA) unterzeichnet. Das Gesetz wird am 15. Januar 2025 in Kraft treten.

Der Anwendungsbereich des NJDPA erstreckt sich auf Unternehmen beziehungsweise sogenannte controller (Verarbeiter), die in New Jersey geschäftlich tätig sind (conduct business in New Jersey) oder Produkte für die Einwohner von New Jersey herstellen oder ihnen Dienstleistungen anbieten (produce products or services targeted to New Jersey residents) und dabei innerhalb eines Kalenderjahres:

• die personenbezogenen Daten von mindestens 100.000 Verbrauchern kontrollieren oder verarbeiten; oder
• die personenbezogenen Daten von 25.000 Verbrauchern kontrollieren, verarbeiten und Einnahmen aus dem Verkauf personenbezogener Daten erzielen.

Als Verbraucher (consumer) im Sinne des Gesetzes gelten natürliche Personen mit Wohnsitz in New Jersey, die im eigenen Namen handeln und nicht in einem kommerziellen oder beruflichen Kontext. Personenbezogene Daten (personal data) im Sinne des NJDPA sind alle Informationen, die einer identifizierbaren Person zugeordnet werden können.

Der NJDPA räumt den Verbrauchern unter anderem ein Recht auf Löschung und Korrektur ihrer personenbezogenen Daten ein. Ein Unternehmen (beziehungsweise ein controller) hat innerhalb von 45 Tagen auf eine etwaige Anfrage eines Verbrauchers zu reagieren. Diese Frist kann verlängert werden, wenn dies angesichts der Komplexität und Anzahl der Verbraucheranfragen erforderlich ist.

Wie die meisten Datenschutzgesetze der übrigen US-Bundesstaaten sieht auch das Datenschutzgesetz von New Jersey kein privates Klagerecht vor. Dem Generalstaatsanwalt von New Jersey (New Jersey Attorney General) obliegt es, entsprechende Durchsetzungsmaßnahmen nach dem Consumer Fraud Act des Staates durchzuführen. Die Abteilung für Verbraucherangelegenheiten des Ministeriums für Recht und öffentliche Sicherheit (the Division of Consumer Affairs in the Department of Law and Public Safety) ist verpflichtet, Unternehmen über einen etwaigen Verstoß zu informieren und ihnen 30 Tage Zeit zu geben, den Verstoß zu beheben. Diese Heilungsbestimmung endet allerdings 18 Monate nach Inkrafttreten des Gesetzes. 

Von Jan Sebisch | Bonn

Am 18. Juli 2023 hat die Gouverneurin von Oregon (Tina Kotek) den Oregon Consumer Privacy Act (OCPA) unterzeichnet. Das Gesetz wird am 1. Juli 2024 in Kraft treten. 

Vom Anwendungsbereich des OCPA sind grundsätzlich Unternehmen beziehungsweise sogenannte „controller“ (Verarbeiter) erfasst, die in Oregon geschäftlich tätig sind (conduct business in Oregon) oder Produkte für die Einwohner von Oregon herstellen oder ihnen Dienstleistungen anbieten (produce products or services targeted to Oregon residents) und im Kalenderjahr entweder:

•  die personenbezogenen Daten von 100.000 Verbrauchern kontrolliert oder verarbeitet haben, mit Ausnahme personenbezogener Daten, die ausschließlich zum Zwecke der Abwicklung einer Zahlungstransaktion kontrolliert oder verarbeitet worden sind; oder

• die personenbezogenen Daten von 25.000 Verbrauchern kontrolliert oder verarbeitet haben und mehr als 25 Prozent ihres Bruttoumsatzes aus dem Verkauf personenbezogener Daten erzielt haben.

Etwaige Umsatzschwellen, um in den Anwendungsbereich des Gesetzes zu fallen, sieht der OCPA nicht vor. 

Als Verbraucher (consumer) im Sinne des Gesetzes gelten natürliche Personen mit Wohnsitz in Oregon, die im eigenen Namen handeln und nicht in einem kommerziellen oder beruflichen Kontext. 

Personenbezogene Daten (personal data) im Sinne des OCPA sind alle Informationen, die einer identifizierbaren Person zugeordnet werden können, ausgenommen sind öffentlich zugängliche Informationen.

Der OCPA räumt den Verbrauchern unter anderem ein Recht auf Löschung und Korrektur ihrer personenbezogenen Daten ein. Ein Unternehmen (beziehungsweise ein controller) hat innerhalb von 45 Tagen auf eine etwaige Anfrage eines Verbrauchers zu reagieren. Diese Frist kann um weitere 45 Tage verlängert werden, wenn dies angesichts der Komplexität und Anzahl der Verbraucheranfragen erforderlich ist.

Wie die meisten Datenschutzgesetze der US-Bundesstaaten sieht auch der OCPA kein privates Klagerecht vor. Die Befugnis zur Durchsetzung der Vorschriften des OCPA obliegt dem Generalstaatsanwalt von Oregon (Oregon Attorney General). Der Generalstaatsanwalt ist verpflichtet, Unternehmen über einen etwaigen Verstoß zu informieren und ihnen 30 Tage Zeit zu geben, den Verstoß zu beheben. Diese Heilungsbestimmung endet allerdings am 1. Januar 2026. Der Generalstaatsanwalt kann vor Gericht Klage einreichen und verschiedene Formen der Entschädigung beantragen. Ein Gericht kann für jeden Verstoß gegen den OCPA eine zivilrechtliche Strafe von bis zu 7.500 US-Dollar verhängen.

Von Jan Sebisch | Bonn

Am 11. Mai 2023 hat der Gouverneur von Tennessee (Bill Lee) den Tennessee Information Protection Act (TIPA) unterzeichnet. Das Gesetz wird am 1. Juli 2025 in Kraft treten. 

Der Anwendungsbereich des TIPA erstreckt sich auf Unternehmen beziehungsweise sogenannte „controller“ (Verarbeiter), die in Tennessee geschäftlich tätig sind (conduct business in Tennessee) oder Produkte für die Einwohner von Tennessee herstellen oder ihnen Dienstleistungen anbieten (produce products or services targeted to Tenessee residents) und:  

• deren Jahresumsatz 25 Millionen US-Dollar übersteigt; und die

• entweder (1) die personenbezogenen Daten von 175.000 Verbrauchern kontrollieren oder verarbeiten oder (2) personenbezogene Daten von mindestens 25.000 Verbrauchern kontrollieren oder verarbeiten und mehr als 50 Prozent des Bruttoumsatzes aus dem Verkauf personenbezogener Daten erzielen.

Als Verbraucher (consumer) im Sinne des Gesetzes gelten natürliche Personen mit Wohnsitz in Tennessee, die im eigenen Namen handeln und nicht in einem kommerziellen oder beruflichen Kontext. 

Personenbezogene Daten (personal data) im Sinne des TIPA sind alle Informationen, die einer identifizierbaren Person zugeordnet werden können.

Der TIPA räumt den Verbrauchern unter anderem ein Recht auf Löschung und Korrektur ihrer personenbezogenen Daten ein. Ein Unternehmen (beziehungsweise ein controller) hat innerhalb von 45 Tagen auf eine etwaige Anfrage eines Verbrauchers zu reagieren. Diese Frist kann um weitere 45 Tage verlängert werden, wenn dies angesichts der Komplexität und Anzahl der Verbraucheranfragen erforderlich ist.

Wie die meisten Datenschutzgesetze der US-Bundesstaaten sieht auch der TIPA kein privates Klagerecht vor. Die Befugnis zur Durchsetzung der Vorschriften des TIPA obliegt dem Generalstaatsanwalt von Tennessee (Tennessee Attorney General). Der Generalstaatsanwalt ist verpflichtet, Unternehmen über einen etwaigen Verstoß zu informieren und ihnen 60 Tage Zeit zu geben, den Verstoß zu beheben. Der Generalstaatsanwalt kann vor Gericht Klage einreichen und verschiedene Formen der Entschädigung beantragen. Ein Gericht kann für jeden Verstoß gegen den TIPA eine zivilrechtliche Strafe von bis zu 7.500 US-Dollar verhängen.

Von Jan Sebisch | Bonn

Am 18. Juni hat der Gouverneur von Texas (Greg Abbott) den Texas Data Privacy and Security Act (TDPSA) unterzeichnet. Das Gesetz tritt am 1. Juli 2024 in Kraft.

Der Anwendungsbereich des TDPSA erstreckt sich auf Unternehmen beziehungsweise sogenannte „controller“, die:

• in Texas geschäftlich tätig sind oder Produkte herstellen, Dienstleistungen anbieten, die von den Einwohnern von Texas in Anspruch genommen werden (controller who conducts buisness in Texas by producing products or services consumed by residents of the state);
• personenbezogene Daten verarbeiten oder verkaufen und
• keine Kleinunternehmer (small businesses) im Sinne der US Small Business Administration (SBA) sind.

Mithin enthält der TDPSA im Gegensatz zu anderen Datenschutzgesetzen der US-Bundesstaaten weder ein Umsatzschwelle noch eine Mindestzahl von Verbrauchern, deren personenbezogene Daten verarbeitet oder verkauft werden, damit ein Unternehmen in den Anwendungsbereich des Gesetzes fällt.

Die SBA führt eine Tabelle mit Standards für Kleinunternehmen, die den Codes des nordamerikanischen Industrieklassifizierungssystems entsprechen. Die SBA-Größenstandards werden zumeist entweder in Umsatzbeträgen oder in der Anzahl der Mitarbeitenden ausgedrückt und können je nach Unternehmen und Branche stark variieren. Das Office of Advocacy der SBA definiert im Rahmen seiner FAQ’s im März 2023 ein Kleinunternehmen als ein unabhängiges Unternehmen mit weniger als 500 Mitarbeitenden.

Als Verbraucher (consumer) im Sinne des Gesetzes gelten natürliche Personen mit Wohnsitz in Texas, die im eigenen Namen handeln und nicht in einem kommerziellen oder beruflichen Kontext. 

Personenbezogene Daten (personal data) im Sinne des TDPSA sind alle Informationen, die einer identifizierbaren Person zugeordnet werden können.

Der TDPSA räumt den Verbrauchern unter anderem ein Recht auf Löschung und Korrektur ihrer personenbezogenen Daten ein. Ein Unternehmen (beziehungsweise ein controller) hat innerhalb von 45 Tagen auf eine etwaige Anfrage eines Verbrauchers zu reagieren. Diese Frist kann um weitere 45 Tage verlängert werden, wenn dies angesichts der Komplexität und Anzahl der Verbraucheranfragen erforderlich ist.

Wie die meisten Datenschutzgesetze der US-Bundestaaten sieht auch der TDPSA kein privates Klagerecht vor. Die Befugnis zur Durchsetzung der Vorschriften des TDPSA obliegt dem Generalstaatsanwalt von Texas (Texas Attorney General). Der Generalstaatsanwalt ist verpflichtet, Unternehmen über einen etwaigen Verstoß zu informieren und ihnen 30 Tage Zeit zu geben, den Verstoß zu beheben. Der Generalstaatsanwalt kann vor Gericht Klage einreichen und verschiedene Formen der Entschädigung beantragen. Ein Gericht kann für jeden Verstoß gegen den TDPAS eine zivilrechtliche Strafe von bis zu 7.500 US-Dollar verhängen.

Von Jan Sebisch | Bonn

Utah ist nach Colorado, Kalifornien und Virginia der vierte US-Bundestaat gewesen, der ein umfassendes Datenschutzgesetz verabschiedet hat, nachdem Gouverneur Spencer Cox am 24. März 2022 den Utah Consumer Privacy Act(UCPA) unterzeichnet hat. Das Gesetz wird am 31. Dezember 2023 in Kraft treten.

Der Anwendungsbereich des UCPA erstreckt sich auf Unternehmen beziehungsweise sogenannte „controller“ (Verarbeiter), die in Utah geschäftlich tätig sind (conduct business in Utah) oder Produkte für die Einwohner von Utah herstellen oder ihnen Dienstleistungen anbieten (produce products or services targeted to Utah residents) und: 

• deren Jahresumsatz 25 Millionen US-Dollar übersteigt; und die

• entweder (1) die personenbezogenen Daten von 100.000 Verbrauchern kontrollieren oder verarbeiten oder (2) personenbezogene Daten von mindestens 25.000 Verbrauchern kontrollieren oder verarbeiten und mehr als 50 Prozent des Bruttoumsatzes aus dem Verkauf personenbezogener Daten erzielen.

Als Verbraucher (consumer) im Sinne des Gesetzes gelten natürliche Personen mit Wohnsitz in Utah, die im eigenen Namen handeln und nicht in einem kommerziellen oder beruflichen Kontext. 

Personenbezogene Daten (personal data) im Sinne des UCPA sind alle Informationen, die einer identifizierbaren Person zugeordnet werden können.

Der UCPA räumt den Verbrauchern unter anderem ein Recht auf Löschung ihrer personenbezogenen Daten und Widerspruch ein. Ein Unternehmen (beziehungsweise ein controller) hat innerhalb von 45 Tagen auf eine etwaige Anfrage eines Verbrauchers zu reagieren. Diese Frist kann um weitere 45 Tage verlängert werden, wenn dies angesichts der Komplexität und Anzahl der Verbraucheranfragen erforderlich ist.

Wie die meisten Datenschutzgesetze der US-Bundesstaaten sieht auch der UCPA kein privates Klagerecht vor. Die Befugnis zur Durchsetzung der Vorschriften des UCPA obliegt dem Generalstaatsanwalt von Utah (Utah Attorney General). Der Generalstaatsanwalt ist verpflichtet, Unternehmen über einen etwaigen Verstoß zu informieren und ihnen 30 Tage Zeit zu geben, den Verstoß zu beheben. Der Generalstaatsanwalt kann vor Gericht Klage einreichen und verschiedene Formen der Entschädigung beantragen. Ein Gericht kann für jeden Verstoß gegen den UCPA eine zivilrechtliche Strafe von bis zu 7.500 US-Dollar verhängen.

Von Jan Sebisch | Bonn

Am 2. März 2021 hat der Gouverneur von Virginia (Ralph Northam) den Virginia Consumer Data Protection Act   (VCDPA) unterzeichnet. Das Gesetz ist am 1. Januar 2023 in Kraft getreten.

Vom Anwendungsbereich des VCDPA sind grundsätzlich Unternehmen beziehungsweise sogenannte „controller“ (Verarbeiter) erfasst, die in Virginia geschäftlich tätig sind (conduct business in Virginia) oder Produkte für die Einwohner von Virginia herstellen oder ihnen Dienstleistungen anbieten (produce products or services targeted to Virginia residents) und im Kalenderjahr entweder:

• die personenbezogenen Daten von 100.000 Verbrauchern kontrolliert oder verarbeitet haben; oder

• die personenbezogenen Daten von 25.000 Verbrauchern kontrolliert oder verarbeitet haben und mehr als 50 Prozent ihres Bruttoumsatzes aus dem Verkauf personenbezogener Daten erzielt haben.

Etwaige Umsatzschwellen, um in den Anwendungsbereich des Gesetzes zu fallen, sieht der VCDPA nicht vor. 

Als Verbraucher (consumer) im Sinne des Gesetzes gelten natürliche Personen mit Wohnsitz in Virginia, die im eigenen Namen handeln und nicht in einem kommerziellen oder beruflichen Kontext. 

Personenbezogene Daten (personal data) im Sinne des VCDPA sind alle Informationen, die einer identifizierbaren Person zugeordnet werden können, ausgenommen sind öffentlich zugängliche Informationen.

Der VCDPA räumt den Verbrauchern unter anderem ein Recht auf Löschung ihrer personenbezogenen Daten und Widerspruch ein. Ein Unternehmen (beziehungsweise ein controller) hat innerhalb von 45 Tagen auf eine etwaige Anfrage eines Verbrauchers zu reagieren. Diese Frist kann um weitere 45 Tage verlängert werden, wenn dies angesichts der Komplexität und Anzahl der Verbraucheranfragen erforderlich ist.

Wie die meisten Datenschutzgesetze der US-Bundesstaaten sieht auch der VCDPA kein privates Klagerecht vor. Die Befugnis zur Durchsetzung der Vorschriften des VCDPA obliegt dem Generalstaatsanwalt von Virginia (Virginia Attorney General). Der Generalstaatsanwalt ist verpflichtet, Unternehmen über einen etwaigen Verstoß zu informieren und ihnen 30 Tage Zeit zu geben, den Verstoß zu beheben. Der Generalstaatsanwalt kann vor Gericht Klage einreichen und verschiedene Formen der Entschädigung beantragen. Ein Gericht kann für jeden Verstoß gegen den VCDPA eine zivilrechtliche Strafe von bis zu 7.500 US-Dollar verhängen.

Von Jan Sebisch | Bonn