Checkliste zur CDPA-Konformität – Schutz der Verbraucherdaten

Virginia mag zwar der zehnte Staat in den USA gewesen sein, aber nach Kalifornien ist es der zweite Staat, der Datenschutzgesetze in Gesetz.

Klicken Sie hier, um die Checkliste herunterzuladen – oder lesen Sie weiter, um mehr darüber zu erfahren, wie sich Unternehmen auf die Virginia Consumer Data Privacy Act (CDPA).

CDPA Übersicht

Die Virginia Verbraucherdatenschutzgesetz (CDPA) wurde am 1. Januar 2023 erlassen. Die neue Gesetzgebung gibt den Verbrauchern in Virginia Datenrechte und erlegt den Datenverantwortlichen und -verarbeitern neue Pflichten auf. Dies gilt für jeden, der im Commonwealth of Virginia geschäftlich tätig ist – oder Produkte oder Dienstleistungen für Einwohner von Virginia herstellt.

Wen schützt das Verbraucherdatenschutzgesetz?

Das Gesetz schützt jede Person, die in Virginia wohnt oder in einem Haushalt lebt und die vernünftigerweise identifiziert werden kann.

Ziel der Gesetzgebung ist es, die Verbraucher in Virginia zu schützen und alle Organisationen, die Informationen über Einwohner Virginias verarbeiten, dazu zu motivieren (und zu verpflichten), für den Datenschutz und die angemessene Sicherung der Verbraucherdaten verantwortlich zu sein.

Räumlicher Geltungsbereich des CDPA

Jedes Unternehmen, das personenbezogene Daten erhebt und im Bundesstaat Virginia geschäftlich tätig ist oder Produkte oder Dienstleistungen für Einwohner Virginias anbietet, muss den CDPA einhalten. Der CDPA setzt Grenzen für die Menge der erhobenen, verarbeiteten und monetarisierten Daten und definiert diese Bedingungen:

• Jedes Unternehmen, das innerhalb eines Jahres die personenbezogenen Daten von 100.000 oder mehr Verbrauchern in Virginia kontrolliert oder verarbeitet
• Jedes Unternehmen, das die personenbezogenen Daten von mindestens 25.000 Verbrauchern kontrolliert oder verarbeitet und einen Bruttoumsatz von über 501 TP3 Billionen aus dem Verkauf personenbezogener Daten erzielt.

CDPA-Strafen und -Durchsetzung

• Das Virginia CDPA gewährt kein privates Klagerecht, d. h., die Bürger Virginias können bei Verstößen gegen das CDPA keine rechtlichen Schritte einleiten.
• Für die Durchsetzung des CDPA ist ausschließlich der Generalstaatsanwalt von Virginia zuständig.
• Kommt ein Verantwortlicher den Vorschriften nicht nach, kann dies zu einer Geldstrafe von bis zu $7.500 pro Verstoß führen. Der Verantwortliche muss die Situation beheben und eine schriftliche Mitteilung über den Verstoß und die Lösung vorlegen.

CDPA-Datenrechte von Verbrauchern

• Auskunftsrecht: Verbraucher können eine Antrag auf Auskunft über personenbezogene Daten (DSAR) Zugriff auf ihre persönlichen Daten zu erhalten, was auch das Recht beinhaltet, zu bestätigen, ob eine Organisation personenbezogene Daten des Verbrauchers verarbeitet
• Recht auf Berichtigung: Unternehmen müssen Verbrauchern die Möglichkeit bieten, ungenaue Informationen, die ein Unternehmen möglicherweise über sie hat, zu aktualisieren und zu korrigieren.
• Recht auf Löschung: Verbraucher haben das Recht, die Löschung (oder eine angemessene Quarantäne) ihrer Daten zu verlangen.
• Recht auf Datenübertragbarkeit: Die Daten der Verbraucher müssen sicher und geschützt zwischen Systemen übertragen werden.
• Widerspruchsrecht: Verbraucher können der Datenverarbeitung für gezielte Werbung, dem Verkauf personenbezogener Daten oder der Profilerstellung zur Förderung von Entscheidungen, die rechtliche oder ähnlich bedeutende Auswirkungen für den Verbraucher haben, widersprechen.

Organisationen müssen innerhalb von 45 Tagen nach Erhalt auf Verbraucheranfragen reagieren und ein Beschwerdeverfahren einrichten, wenn eine Verbraucheranfrage ist nicht abgeschlossen.

Was das CDPA für Organisationen bedeutet

Die CDPA, ähnlich wie CPRA, hat spezifische Anforderungen für Datensparsamkeit, Aufbewahrungsrichtlinienund Datenschutz-Folgenabschätzungen (DSFA) um das Datenschutzrisiko zu mindern:

• Datenminimierung: CDPA verlangt von Organisationen, Grundsätze der Datenminimierung umzusetzen, um die Datenverarbeitung über den notwendigen Zweck hinaus zu beschränken.
• Richtlinien zur Datenaufbewahrung: Unternehmen müssen Aufbewahrungsrichtlinien anwenden, um sicherzustellen, dass nur die Daten aufbewahrt werden, die im angemessenen Umfang benötigt werden.
• Datenschutz-Risikobewertungen: Damit Unternehmen Risiken richtig einschätzen können, verlangt CDPA von ihnen, in folgenden Fällen Datenschutz-Folgenabschätzungen (DPIA) durchzuführen:
  • Verarbeitung von Daten für gezieltes Marketing
  • Verkauf personenbezogener Daten
  • Verarbeitung von Daten zur Profilerstellung
  • Verarbeitung sensibler Daten
  • Jede Verarbeitungstätigkeit, die ein Risiko für die Verbraucher darstellt

Verantwortlichkeiten von Organisationen im Hinblick auf personenbezogene Daten gemäß CDPA

Personenbezogene Daten im Sinne des CDPA beziehen sich auf Informationen, die mit der Identifizierung einer natürlichen Person in Virginia verknüpft sind oder begründet werden können. Dies schließt jedoch öffentlich zugängliche und anonymisierte Daten aus – und das Gesetz legt spezifische Standards für den Umgang mit anonymisierten Daten fest.
Organisationen dürfen sensible Daten nur mit Zustimmung der Verbraucher oder mit der „elterlichen Zustimmung“ verarbeiten, wenn es sich um Daten von Kindern handelt. Gesetz zum Schutz der Online-Privatsphäre von Kindern (COPPA).

CDPA definiert sensible Daten wie:

• Rasse oder ethnische Zugehörigkeit, religiöse Überzeugungen, Staatsbürgerschaft oder Einwanderungsstatus
• Biometrische oder genetische Daten
• Daten von Kindern
• Geolokalisierungsdaten

CDPA-Checkliste

Laden Sie die CDPA-Konformitätscheckliste herunter die richtigen Maßnahmen zur CDPA-Konformität zu priorisieren, darunter:

• Automatische Kartierung und Inventarisierung der Einwohnerdaten von Virginia
• Erfüllen Sie Verbraucheranfragen zu Datenschutzrechten
• Aktualisierung der Offenlegungsbenachrichtigungen und der Datenschutzrichtlinie
• Definieren Sie den Ansatz und die Workflows für die Reaktion auf Verstöße

Wie BigID beim CDPA hilft

BigID unterstützt Unternehmen bei der Einhaltung von Datenschutzbestimmungen wie dem CDPA. Nutzen Sie BigID zur Einhaltung des CDPA mit Datenschutz-Folgenabschätzungen, einem Self-Service-Portal, automatisierter DSAR-Erfüllung und regulatorischer Berichterstattung, um die Datenschutz-Compliance zu vereinfachen. Mit BigID können Unternehmen:

• Entdecken und klassifizieren Sie alle CDPA
• CDPA-Daten kartieren und inventarisieren
• Optimieren Sie die Datenflusszuordnung, um Datenschutzrisiken zu überwachen
• Automatisieren Sie die umfassende Erfüllung von Datenrechten
• Setzen Sie Datenaufbewahrungsrichtlinien im großen Maßstab um
• Führen Sie Datenschutzrisikobewertungen durch, um Daten zu schützen
• Verwalten und Überwachen der Datenfreigabe durch Dritte

Erfahren Sie mehr BigID unterstützt Unternehmen bei der Erfüllung ihrer Compliance-Erwartungen für CDPA – von Erfüllung der DSARs Zu Datenschutzrisikobewertungen - Demo anfordern

Autor

Verrion Wright

Strategie und Entwicklung von Inhalten

Verrion Wright ist ein sehr erfahrener und ehrgeiziger Vermarkter mit mehr als 20 Jahren Erfahrung in den Bereichen Produktmarketing, Inhaltsentwicklung und digitale Strategie. Mit dem Schwerpunkt auf datengesteuerten Erkenntnissen und integriertem Marketing hatte er leitende Positionen in verschiedenen Branchen inne, darunter IT-Dienstleistungen, Datenschutz, Marketing und Werbung (Medienplanung). Bei BigID ist Verrion Director of Content Strategy and Development und trägt dazu bei, Inhalte über alle Säulen, Regionen und Käufer hinweg zu verbessern, indem er durchgängig überzeugende Inhalte über verschiedene Medien erstellt - darunter Videos, Artikel, Checklisten, Whitepaper und Leitfäden.