Rechtsbericht | USA | Datenschutzrecht
Datenschutzgesetz in Colorado
Der Bundesstaat Colorado hat als dritter US-Bundesstaat ein umfassendes Datenschutzgesetz (Colorado Privacy Act) verabschiedet.
25.10.2023
Von Jan Sebisch | Bonn
Der Colorado Privacy Act (CPA) ist am 8. Juni 2021 verabschiedet worden und am 1. Juli 2023 in Kraft getreten. Der CPA ist das dritte umfassende Datenschutzgesetz, nach dem California Consumer Privacy Act (CCPA) und dem Virginia Consumer Data Protection Act (VCDPA), das in den Vereinigten Staaten eine gesetzliche Normierung erfahren hat.
Von dem Anwendungsbereich des CPA sind grundsätzlich Unternehmen beziehungsweise sogenannte „controller“ (Verarbeiter) erfasst, die in Colorado geschäftlich tätig sind (controllers that conduct business in Colorado) oder kommerzielle Produkte herstellen oder Dienstleistungen anbieten, die sich an die Einwohner von Colorado richten (intentionally target commercial products or services to Colorado residents), und die pro Kalenderjahr:
personenbezogene Daten von mindestens 100.000 Verbrauchern kontrollieren oder verarbeiten; oder
Einnahmen oder Rabatte aus dem Verkauf von personenbezogenen Daten erzielen und dabei personenbezogene Daten von mindestens 25.000 Verbrauchern kontrollieren oder verarbeiten.
Der CPA sieht keine Umsatzschwellen vor, die ein controller erfüllen muss, um in den Anwendungsbereich des Gesetzes zu fallen.
Als Verbraucher (consumer) im Sinne des Gesetzes gelten natürliche Personen mit Wohnsitz in Colorado, die als Einzelperson oder in Bezug auf die Haushaltsführung handeln (acting only in an individual or houshold context).
Personenbezogene Daten (personal data) definiert das Gesetz als Informationen, die mit einer identifizierten oder identifizierbaren natürlichen Person verknüpft sind oder vernünftigerweise verknüpft werden können.
Der CPA räumt den Verbrauchern unter anderem ein Recht auf Zugriff, Berichtigung und Löschung ihrer personenbezogenen Daten ein. Unternehmen (beziehungsweise controller) haben in der Regel 45 Tage Zeit, um auf etwaige Verbraucheranfragen zu reagieren.
Durchgesetzt werden die Regelungen des CPA vom Generalstaatanwalt des Bundestaates (Colorado Attorney General) und den Bezirksstaatsanwälten (local district attorneys). Der CPA sieht vor, dass der Generalstaatsanwalt oder die Bezirksstaatsanwälte ein betroffenes Unternehmen zunächst über einen etwaigen Verstoß informieren und dem Unternehmen eine Frist von 60 Tagen einräumen, um den Verstoß zu beheben. Bei Verstößen gegen den CPA können Strafen von bis zu 20.000 US-Dollar fällig werden. Ein privates Klagerecht existiert nicht.
