Zum Inhalt springen
Alle Beiträge anzeigen

Checkliste zur CDPA-Konformität – Schutz der Verbraucherdaten

Virginia mag zwar der zehnte Staat in den USA gewesen sein, aber nach Kalifornien ist es der zweite Staat, der Datenschutzgesetze in Gesetz.

Klicken Sie hier, um die Checkliste herunterzuladen – oder lesen Sie weiter, um mehr darüber zu erfahren, wie sich Unternehmen auf die Virginia Consumer Data Privacy Act (CDPA).

CDPA Übersicht

Die Virginia Verbraucherdatenschutzgesetz (CDPA) wurde am 1. Januar 2023 erlassen. Die neue Gesetzgebung gibt den Verbrauchern in Virginia Datenrechte und erlegt den Datenverantwortlichen und -verarbeitern neue Pflichten auf. Dies gilt für jeden, der im Commonwealth of Virginia geschäftlich tätig ist – oder Produkte oder Dienstleistungen für Einwohner von Virginia herstellt.

Wen schützt das Verbraucherdatenschutzgesetz?

Das Gesetz schützt jede Person, die in Virginia wohnt oder in einem Haushalt lebt und die vernünftigerweise identifiziert werden kann.

Ziel der Gesetzgebung ist es, die Verbraucher in Virginia zu schützen und alle Organisationen, die Informationen über Einwohner Virginias verarbeiten, dazu zu motivieren (und zu verpflichten), für den Datenschutz und die angemessene Sicherung der Verbraucherdaten verantwortlich zu sein.

Räumlicher Geltungsbereich des CDPA

Jedes Unternehmen, das personenbezogene Daten erhebt und im Bundesstaat Virginia geschäftlich tätig ist oder Produkte oder Dienstleistungen für Einwohner Virginias anbietet, muss den CDPA einhalten. Der CDPA setzt Grenzen für die Menge der erhobenen, verarbeiteten und monetarisierten Daten und definiert diese Bedingungen:

  • Jedes Unternehmen, das innerhalb eines Jahres die personenbezogenen Daten von 100.000 oder mehr Verbrauchern in Virginia kontrolliert oder verarbeitet
  • Jedes Unternehmen, das die personenbezogenen Daten von mindestens 25.000 Verbrauchern kontrolliert oder verarbeitet und einen Bruttoumsatz von über 501 TP3 Billionen aus dem Verkauf personenbezogener Daten erzielt.

CDPA-Strafen und -Durchsetzung

  • Das Virginia CDPA gewährt kein privates Klagerecht, d. h., die Bürger Virginias können bei Verstößen gegen das CDPA keine rechtlichen Schritte einleiten.
  • Für die Durchsetzung des CDPA ist ausschließlich der Generalstaatsanwalt von Virginia zuständig.
  • Kommt ein Verantwortlicher den Vorschriften nicht nach, kann dies zu einer Geldstrafe von bis zu $7.500 pro Verstoß führen. Der Verantwortliche muss die Situation beheben und eine schriftliche Mitteilung über den Verstoß und die Lösung vorlegen.

CDPA-Datenrechte von Verbrauchern

  • Auskunftsrecht: Verbraucher können eine Antrag auf Auskunft über personenbezogene Daten (DSAR) Zugriff auf ihre persönlichen Daten zu erhalten, was auch das Recht beinhaltet, zu bestätigen, ob eine Organisation personenbezogene Daten des Verbrauchers verarbeitet
  • Recht auf Berichtigung: Unternehmen müssen Verbrauchern die Möglichkeit bieten, ungenaue Informationen, die ein Unternehmen möglicherweise über sie hat, zu aktualisieren und zu korrigieren.
  • Recht auf Löschung: Verbraucher haben das Recht, die Löschung (oder eine angemessene Quarantäne) ihrer Daten zu verlangen.
  • Recht auf Datenübertragbarkeit: Die Daten der Verbraucher müssen sicher und geschützt zwischen Systemen übertragen werden.
  • Widerspruchsrecht: Verbraucher können der Datenverarbeitung für gezielte Werbung, dem Verkauf personenbezogener Daten oder der Profilerstellung zur Förderung von Entscheidungen, die rechtliche oder ähnlich bedeutende Auswirkungen für den Verbraucher haben, widersprechen.

Organisationen müssen innerhalb von 45 Tagen nach Erhalt auf Verbraucheranfragen reagieren und ein Beschwerdeverfahren einrichten, wenn eine Verbraucheranfrage ist nicht abgeschlossen.

Was das CDPA für Organisationen bedeutet

Die CDPA, ähnlich wie CPRA, hat spezifische Anforderungen für Datensparsamkeit, Aufbewahrungsrichtlinienund Datenschutz-Folgenabschätzungen (DSFA) um das Datenschutzrisiko zu mindern:

  • Datenminimierung: CDPA verlangt von Organisationen, Grundsätze der Datenminimierung umzusetzen, um die Datenverarbeitung über den notwendigen Zweck hinaus zu beschränken.
  • Richtlinien zur Datenaufbewahrung: Unternehmen müssen Aufbewahrungsrichtlinien anwenden, um sicherzustellen, dass nur die Daten aufbewahrt werden, die im angemessenen Umfang benötigt werden.
  • Datenschutz-Risikobewertungen: Damit Unternehmen Risiken richtig einschätzen können, verlangt CDPA von ihnen, in folgenden Fällen Datenschutz-Folgenabschätzungen (DPIA) durchzuführen:
    • Verarbeitung von Daten für gezieltes Marketing
    • Verkauf personenbezogener Daten
    • Verarbeitung von Daten zur Profilerstellung
    • Verarbeitung sensibler Daten
    • Jede Verarbeitungstätigkeit, die ein Risiko für die Verbraucher darstellt

Verantwortlichkeiten von Organisationen im Hinblick auf personenbezogene Daten gemäß CDPA

Personenbezogene Daten im Sinne des CDPA beziehen sich auf Informationen, die mit der Identifizierung einer natürlichen Person in Virginia verknüpft sind oder begründet werden können. Dies schließt jedoch öffentlich zugängliche und anonymisierte Daten aus – und das Gesetz legt spezifische Standards für den Umgang mit anonymisierten Daten fest.
Organisationen dürfen sensible Daten nur mit Zustimmung der Verbraucher oder mit der „elterlichen Zustimmung“ verarbeiten, wenn es sich um Daten von Kindern handelt. Gesetz zum Schutz der Online-Privatsphäre von Kindern (COPPA).

CDPA definiert sensible Daten wie:

  • Rasse oder ethnische Zugehörigkeit, religiöse Überzeugungen, Staatsbürgerschaft oder Einwanderungsstatus
  • Biometrische oder genetische Daten
  • Daten von Kindern
  • Geolokalisierungsdaten

CDPA-Checkliste

Laden Sie die CDPA-Konformitätscheckliste herunter die richtigen Maßnahmen zur CDPA-Konformität zu priorisieren, darunter:

Wie BigID beim CDPA hilft

BigID unterstützt Unternehmen bei der Einhaltung von Datenschutzbestimmungen wie dem CDPA. Nutzen Sie BigID zur Einhaltung des CDPA mit Datenschutz-Folgenabschätzungen, einem Self-Service-Portal, automatisierter DSAR-Erfüllung und regulatorischer Berichterstattung, um die Datenschutz-Compliance zu vereinfachen. Mit BigID können Unternehmen:

Erfahren Sie mehr BigID unterstützt Unternehmen bei der Erfüllung ihrer Compliance-Erwartungen für CDPA – von Erfüllung der DSARs Zu Datenschutzrisikobewertungen - Demo anfordern

Inhalt