Rechtsbericht | USA | Datenschutzrecht
Aktuelle Entwicklungen im US-Datenschutzrecht
Datenschutzrechtliche Regelungen ändern sich in den USA ständig. Für Unternehmen kann es eine komplizierte Aufgabe sein, mit den Gesetzen von 50 US-Bundesstaaten Schritt zu halten.
15.04.2021
Von Jan Sebisch | Bonn
Kein einheitliches Bundesdatenschutzgesetz
Ein einheitliches Bundesdatenschutzgesetz existiert in den USA nach wie vor nicht. Allerdings hat eine Vielzahl von Bundesstaaten in den letzten zwei Jahren über umfassende Datenschutzgesetze diskutiert und diese in einigen Fällen sogar erlassen.
California Consumer Privacy Act
Am bekanntesten ist der am 1. Januar 2020 in Kraft getretene California Consumer Privacy Act (CCPA), dessen endgültige Regelungen im August 2020 vom California Office of Administrative Law genehmigt worden sind. Ferner haben die kalifornischen Wähler am 3. November 2020 der Verabschiedung des California Privacy Rights Act (CPRA) zugestimmt. Der CPRA wird voraussichtlich 2023 in Kraft treten und die Regelungen des CCPA ergänzen. Der CCPA enthält eine weitreichende Definition des Begriffs „personenbezogene Daten“ und räumt den Verbrauchern in Bezug auf ihre Daten mit EU-Niveau vergleichbare Betroffenenrechte ein (zum Beispiel das Recht auf Löschung) und in bestimmten Konstellationen ein privates Klagerecht. Der CPRA erweitert den Schutz personenbezogener Daten und verpflichtet unter anderem die Unternehmen dazu, zusätzliche Mechanismen für den Zugriff, die Korrektur oder das Löschen von personenbezogenen Daten bereitzustellen. Der Anwendungsbereich des CCPA erstreckt sich auf Unternehmen, die in Kalifornien geschäftlich tätig sind, personenbezogene Daten von Verbraucher sammeln oder von einem Dritten sammeln lassen und einen der folgenden drei Schwellenwerte überschreiten:
- das Unternehmen hat einen jährlichen Bruttoumsatz von mehr als 25 Millionen US-Dollar (US$);
- das Unternehmen kauft jährlich, erhält, verkauft oder übermittelt sogenannte personenbezogene Informationen von mehr als 50.000 Verbrauchern, Geräten oder Haushalten für kommerzielle Zwecke;
- das Unternehmen erzielt mindestens 50 Prozent der jährlichen Einnahmen aus dem Verkauf von personenbezogenen Informationen.
Auf den Sitz des Unternehmens kommt es nicht an. Neben amerikanischen können auch europäische Unternehmen in den Anwendungsbereich des CCPA fallen. Bei vorsätzlichen Verletzungen der Datenschutzpflichten können Unternehmen eine Strafe von bis zu 7.500 US$ zahlen.
Virginia Consumer Data Protection Act
Am 2. März 2021 hat Virginia mit dem Erlass des Virginia Consumer Data Protection Act (CDPA) als zweiter Bundesstaat ein umfassendes Datenschutzgesetz verabschiedet, das am 1. Januar 2023 in Kraft treten wird.
In Anlehnung an den CPRA sieht der CDPA eine Reihe von Datenschutzverpflichtungen für Unternehmen vor und räumt den Verbrauchern in Virginia mehr Kontrolle über ihre personenbezogenen Daten ein. Der CDPA wird vom Attorney General von Virginia durchgesetzt und sieht für datenschutzrechtliche Verstöße Geldstrafen in Höhe von bis zu 7.500 US$ vor. Verbrauchern wird unter anderem ein Recht auf Berichtigung und Löschung ihrer personenbezogenen Daten eingeräumt. Auf diesbezüglich eingehende Verbraucheranfragen haben Unternehmen 45 Tage lang Zeit zu reagieren. Diese Frist kann gegebenenfalls um weitere 45 Tage verlängert werden.
Um in den Anwendungsbereich des CDPA zu fallen, muss ein Unternehmen in Virginia geschäftlich tätig sein oder Produkte oder Dienstleistungen für die Verbraucher in Virginia herstellen beziehungsweise bereitstellen und entweder während eines Kalenderjahres personenbezogene Daten von mindestens 100.000 Verbrauchern verarbeiten oder personenbezogene Daten von mindestens 25.000 Verbrauchern verarbeiten und dabei über 50 Prozent des Bruttoumsatzes mit dem Verkauf personenbezogener Daten erzielen.
Oklahoma Privacy Act
Am 4. März 2021 hat das Oklahoma House of Representatives den Oklahoma Computer Data Privacy Act verabschiedet. Die Gesetzesvorlage ist nunmehr beim Oklahoma State Senate anhängig. Dieser hat die weiteren Beratungen zunächst auf den 28. Mai 2021 vertagt. Sofern der Gesetzesentwurf erlassen wird, wird er am 1. Januar 2023 in Kraft treten.
Der Gesetzentwurf ähnelt in vielerlei Hinsicht dem CCPA. Er erlegt Unternehmen, die bestimmte Schwellenwerte erreichen, Verpflichtungen auf und gilt für Daten von Verbrauchern, die als Einwohner des Staates Oklahoma gelten. Die Umsatzschwelle, die den Anwendungsbereich des Gesetzes eröffnet, ist jedoch geringer als beim CCPA. Ausreichend ist ein jährlicher Bruttoumsatz von mehr als 10 Millionen US$. Wie der CCPA sieht auch der Gesetzentwurf in Oklahoma bestimmte Betroffenenrechte (zum Beispiel das Recht auf Löschung) für Verbraucher vor.
Im Rahmen des vorliegenden Gesetzesentwurfs würde die administrative Durchsetzungsbefugnis beim Oklahoma Attorney General liegen. Vorsätzliche Datenschutzverstöße könnten mit Geldstrafe von bis zu 7.500 US$ geahndet werden.
Washington Privacy Act
Im Bundesstaat Washington versucht der Gesetzgeber bereits seit zwei Jahren ein Datenschutzgesetz zu erlassen. Diesbezüglich hat nunmehr der Washington State Senate am 3. März 2021 den Washington Privacy Act verabschiedet. Aktuell befindet sich die Gesetzesvorlage im Washington State House of Representatives. Dieses hat die weiteren Beratungen zunächst auf den 28. April 2021 vertagt.
Der Gesetzesentwurf räumt den Verbrauchern bei Datenschutzverstößen unter anderem ein privates Klagerecht ein. Allerdings können Verbraucher im Rahmen einer Klage nur Unterlassungsansprüche und die im Zusammenhang mit einer Klage entstandenen Anwaltsgebühren und –kosten geltend machen.
Weitere Datenschutzgesetze
Weiterhin erwägen insbesondere die Staaten Florida, Connecticut, New Jersey und New York ihre eigenen Datenschutzgesetze zu erlassen. Im Bundestaat New York gilt bereits seit 2019 der sogenannte Shield Act. Der Shield Act verpflichtet Unternehmen in New York, jede Sicherheitsverletzung gegenüber den Einwohnern New Yorks, deren Daten kompromittiert wurden, offenzulegen.
Zum Thema: