Rechtsbericht | USA | Datenschutzrecht
Datenschutzgesetz in Indiana
Der US-Bundesstaat Indiana hat als siebter US-Bundesstaat ein umfassendes Datenschutzgesetz erlassen.
25.10.2023
Von Jan Sebisch | Bonn
Am 1. Mai 2023 hat der Gouverneur von Indiana (Eric Holcomb) den Indiana Digital Personal Data Protection Act (IDPDPA) unterzeichnet. Das Gesetz wird am 1. Januar 2026 in Kraft treten. Indiana ist nach Kalifornien, Utah, Colorado, Connecticut, Virginia und Iowa der siebte US-Bundesstaat, der ein umfassendes Datenschutzgesetz erlassen hat.
Vom Anwendungsbereich des IDPDPA sind grundsätzlich Unternehmen beziehungsweise sogenannte „controller“ (Verarbeiter) erfasst, die in Indiana geschäftlich tätig sind (conduct business in Indiana) oder Produkte für die Einwohner von Indiana herstellen oder ihnen Dienstleistungen anbieten (produce products or services targeted to Indiana residents) und im Kalenderjahr entweder:
die personenbezogenen Daten von 100.000 Verbrauchern kontrolliert oder verarbeitet haben; oder
die personenbezogenen Daten von 25.000 Verbrauchern kontrolliert oder verarbeitet haben und mehr als 50 Prozent ihres Bruttoumsatzes aus dem Verkauf personenbezogener Daten erzielt haben.
Etwaige Umsatzschwellen, um in den Anwendungsbereich des Gesetzes zu fallen, sieht der IDPDPA nicht vor.
Als Verbraucher (consumer) im Sinne des Gesetzes gelten natürliche Personen mit Wohnsitz in Indiana, die im eigenen Namen handeln und nicht in einem kommerziellen oder beruflichen Kontext.
Personenbezogene Daten (personal data) im Sinne des IDPDPA sind alle Informationen, die einer identifizierbaren Person zugeordnet werden können, ausgenommen sind öffentlich zugängliche Informationen.
Der IDPDPA räumt den Verbrauchern unter anderem ein Recht auf Löschung und Korrektur ihrer personenbezogenen Daten ein. Ein Unternehmen (beziehungsweise ein controller) muss innerhalb von 45 Tage auf eine entsprechende Verbraucheranfrage reagieren. Diese Frist kann jedoch je nach Komplexität und Anzahl der Verbraucheranfragen um weitere 45 Tage verlängert werden, wenn dies erforderlich ist.
Wie die meisten Datenschutzgesetze der US-Bundestaaten sieht der IDPDPA ein privates Klagerecht nicht vor. Die Befugnis zur Durchsetzung der Vorschriften des IDPDPA obliegt dem Generalstaatsanwalt von Indiana (Indiana Attorney General). Der Generalstaatsanwalt ist verpflichtet, Unternehmen über einen etwaigen Verstoß zu informieren und ihnen 30 Tage Zeit zu geben, den Verstoß zu beheben. Der Generalstaatsanwalt kann nach Ablauf der Heilungsfrist Klage bei Gericht einreichen. Ein Gericht kann für jeden Verstoß gegen den IDPDPA eine zivilrechtliche Strafe von bis zu 7.500 US-Dollar verhängen.
