Rechtsbericht | USA | Datenschutzrecht
US-Bundesstaat Nebraska erlässt Datenschutzgesetz
Wie die meisten Datenschutzgesetze der US-Bundesstaaten sieht auch der Nebraska Data Privacy Act kein privates Klagerecht vor.
25.04.2024
Von Jan Sebisch | Bonn
Am 17. April 2024 hat der Gouverneur von Nebraska (Jim Pillen) den Nebraska Data Privacy Act (NDPA) unterzeichnet. Das Gesetz tritt am 1. Januar 2025 in Kraft.
Der Anwendungsbereich des Nebraska Data Privacy Act (NDPA) erstreckt sich auf Unternehmen beziehungsweise sogenannte controller, die:
- in Nebraska geschäftlich tätig sind oder Produkte herstellen, Dienstleistungen anbieten, die von den Einwohnern von Nebraska in Anspruch genommen werden (conducts business in Nebraska or produces a product or service consumed by residents of Nebraska);
- personenbezogene Daten verarbeiten oder verkaufen und
- keine Kleinunternehmer (small businesses) im Sinne des Small Business Act sind.
Mithin enthält der NDPA im Gegensatz zu anderen Datenschutzgesetzen der US-Bundesstaaten weder eine Umsatzschwelle noch eine Mindestzahl von Verbrauchern, deren personenbezogene Daten verarbeitet oder verkauft werden, damit ein Unternehmen in den Anwendungsbereich des Gesetzes fällt.
Als Verbraucher (consumer) im Sinne des Gesetzes gelten natürliche Personen mit Wohnsitz in Nebraska, die im eigenen Namen handeln und nicht in einem kommerziellen oder beruflichen Kontext.
Personenbezogene Daten (personal data) im Sinne des NDPA sind alle Informationen, die einer identifizierbaren Person zugeordnet werden können.
Der NDPA räumt den Verbrauchern unter anderem ein Recht auf Löschung ihrer personenbezogenen Daten ein. Ein Unternehmen (beziehungsweise ein controller) hat innerhalb von 45 Tagen auf eine etwaige Anfrage eines Verbrauchers zu reagieren. Diese Frist kann um weitere 45 Tage verlängert werden, wenn dies angesichts der Komplexität und Anzahl der Verbraucheranfragen erforderlich ist.
Wie die meisten Datenschutzgesetze der US-Bundesstaaten sieht auch der NDPA kein privates Klagerecht vor. Die Befugnis zur Durchsetzung der Vorschriften des NDPA obliegt dem Generalstaatsanwalt von Nebraska (Nebraska Attorney General). Der Generalstaatsanwalt ist verpflichtet, Unternehmen über einen etwaigen Verstoß zu informieren und ihnen 30 Tage Zeit zu geben, den Verstoß zu beheben. Bei jedem Verstoß gegen den NDPA kann eine zivilrechtliche Strafe von bis zu 7.500 US-Dollar anfallen.
Zum Thema:
- GTAI-Textsammlung Datenschutz in den US-Bundesstaaten