Sie sind ein ausländisches Unternehmen, das in Deutschland investieren möchte?

Zu Invest

Rechtsbericht | USA | Datenschutzrecht

Datenschutzgesetz in Delaware

Der Delaware Personal Data Privacy Act wird am 1. Januar 2025 in Kraft treten. 

25.10.2023

Von Jan Sebisch | Bonn

Dieser Inhalt gehört zu

Am 11. September 2023 hat der Gouverneur von Delaware (John Carney) den Delaware Personal Data Privacy Act  (DPDPA) unterzeichnet. Das Gesetz wird am 1. Januar 2025 in Kraft treten.

Der Anwendungsbereich des DPDPA erstreckt sich grundsätzlich auf Unternehmen beziehungsweise sogenannte „controller“ (Verarbeiter), die in Delaware geschäftlich tätig sind (conduct business in Delaware) oder Produkte für die Einwohner von Delaware herstellen oder ihnen Dienstleistungen anbieten (produce products or services targeted to Delaware residents) und im vorangegangenen Kalenderjahr entweder:

  • die personenbezogenen Daten von 35.000 Verbrauchern kontrolliert oder verarbeitet haben; oder

  • die personenbezogenen Daten von 10.000 Verbrauchern kontrolliert oder verarbeitet haben und mehr als 20 Prozent ihres Bruttoumsatzes aus dem Verkauf personenbezogener Daten erzielt haben.

Etwaige Umsatzschwellen, um in den Anwendungsbereich des Gesetzes zu fallen, sieht der DPDPA nicht vor. 

Als Verbraucher (consumer) im Sinne des Gesetzes gelten natürliche Personen mit Wohnsitz in Delaware, die im eigenen Namen handeln und nicht in einem kommerziellen oder beruflichen Kontext. 

Personenbezogene Daten (personal data) im Sinne des DPDPA sind alle Informationen, die einer identifizierbaren Person zugeordnet werden können, ausgenommen sind öffentlich zugängliche Informationen.

Der DPDPA räumt den Verbrauchern unter anderem ein Recht auf Auskunft, Korrektur und Löschung ihrer personenbezogenen Daten ein. Ein Unternehmen (beziehungsweise ein controller) muss innerhalb von 45 Tagen auf eine etwaige Anfrage eines Verbrauchers reagieren. Diese Frist kann angesichts der Komplexität der Anfrage und Anzahl der Verbraucheranfragen unter Umständen um weitere 45 Tage verlängert werden.

Ein privates Klagerecht sieht der DPDPA nicht vor. Die Befugnis zur Durchsetzung des DPDPA obliegt dem Generalstaatsanwalt von Delaware (Delaware Attorney General). Bis zum 31. Dezember 2025 ist der Generalstaatsanwalt verpflichtet, Unternehmen über einen etwaigen Verstoß zu informieren und ihnen 60 Tage Zeit zu geben, den Verstoß zu beheben. Ab 1. Januar 2026 obliegt es dem Ermessen des Generalstaatsanwaltes, ob er dem Unternehmen die Möglichkeit zur Behebung etwaiger Verstöße gewährt. Im Rahmen des DPDPA kann ein Gericht bei vorsätzlichen Verstößen gegen den DPDPA eine zivilrechtliche Strafe von bis zu 10.000 US-Dollar verhängen.

Dieser Inhalt gehört zu

Ausländisches Wirtschaftsrecht | USA | Datenschutzrecht
nach oben

Alle Rechte vorbehalten. Nachdruck – auch teilweise – nur mit vorheriger ausdrücklicher Genehmigung. Trotz größtmöglicher Sorgfalt keine Haftung für den Inhalt.

© 2024 Germany Trade & Invest

Gefördert vom Bundesministerium für Wirtschaft und Klimaschutz aufgrund eines Beschlusses des Deutschen Bundestages.

Feedback

Anmeldung

Bitte melden Sie sich auf dieser Seite mit Ihren Zugangsdaten an. Sollten Sie noch kein Benutzerkonto haben, so gelangen Sie über den Button "Neuen Account erstellen" zur kostenlosen Registrierung.

Passwort vergessen?