Der US-Datenschutz ist seit jeher von einem ständigen Wandel geprägt. Da es kein umfassendes Bundesgesetz gibt, arbeiten die Gesetzgeber der Bundesstaaten weltweit an der Verabschiedung von Datenschutzgesetzen, um die Datenschutzrechte amerikanischer Verbraucher besser zu schützen und ihnen mehr Kontrolle darüber zu geben, wie Unternehmen ihre personenbezogenen Daten erheben und verwenden.
Neun Bundesstaaten haben bereits umfassende Datenschutzgesetze verabschiedet. Allein im Jahr 2023 führten acht weitere Bundesstaaten Datenschutzgesetze ein, die verschiedene Aspekte abdecken, beispielsweise den Schutz biometrischer Identifikatoren und Gesundheitsdaten. Informieren Sie sich in diesem Leitfaden über die neuesten Datenschutzgesetze der Bundesstaaten.
Derzeit erlassene Landesgesetze
Kalifornien
Kalifornien übernahm die Führung, indem es als erster Staat umfassende Datenschutzgesetze durch die Kalifornisches Verbraucherschutzgesetz (CCPA) und die Kalifornisches Datenschutzgesetz (CPRA). Der CCPA Das Gesetz wurde am 8. Juni 2018 unterzeichnet und trat am 1. Januar 2020 in Kraft. Es verankert Datenschutzrechte für Kalifornier und legt Anforderungen an Unternehmen hinsichtlich der Erhebung und des Verkaufs ihrer personenbezogenen Daten fest. Am 3. November 2020 verabschiedeten die kalifornischen Wähler die CPRA, die den CCPA änderte und erweiterte. Während die CPRA am 16. Dezember 2020 in Kraft trat, traten die meisten Änderungen am CCPA erst am 1. Januar 2023 in Kraft.
Virginia
Am 21. März 2021 verabschiedete Virginia als zweiter Bundesstaat umfassende Datenschutzgesetze. Virginia Consumer Data Protection Act (VCDPA)Das Gesetz trat am 1. Januar 2023 in Kraft und gibt den Bürgern Virginias das Recht, auf ihre Daten zuzugreifen und die Löschung ihrer personenbezogenen Daten durch Unternehmen zu verlangen. Es verpflichtet Unternehmen außerdem, Datenschutzprüfungen durchzuführen, bevor sie personenbezogene Daten für gezielte Werbe- und Verkaufszwecke verarbeiten.
Colorado
Colorado trat als dritter Staat an und passierte Colorado Datenschutzgesetz (CPA) Das Gesetz trat am 8. Juni 2021 in Kraft und tritt am 1. Juli 2023 in Kraft. Das CPA legt fünf Grundrechte für Verbraucher in Colorado fest: das Recht auf Auskunft, das Recht auf Berichtigung, das Recht auf Löschung, das Recht auf Datenübertragbarkeit und das Recht auf Widerspruch. Dieses Gesetz schützt personenbezogene Daten, die einer bestimmten Person zugeordnet werden können, unter Ausschluss anonymisierter Daten und öffentlich zugänglicher Informationen.
Utah
Am 24. März unterzeichnete Gouverneur Spencer Cox aus Utah die Utah Consumer Privacy Act (UCPA) Utah ist damit der vierte Staat, der umfassende Gesetze zum Schutz der Privatsphäre der Verbraucher einführt. UCPA wird am 31. Dezember 2023 wirksam.
Der UCPA orientiert sich zwar an seinen Vorgängergesetzen, verfolgt aber einen wirtschaftsfreundlicheren Ansatz zum Schutz der Privatsphäre von Verbrauchern. Er gilt für Verantwortliche und Auftragsverarbeiter, die in Utah geschäftlich tätig sind oder sich an Einwohner Utahs richten. Dabei müssen bestimmte Schwellenwerte für Umsatz und Verbraucherdaten eingehalten werden.
Connecticut
Connecticut schloss sich am 10. Mai 2022 den Reihen an und war damit der fünfte Staat, der eine umfassendes Datenschutzrecht. Die Connecticut Act zum Schutz personenbezogener Daten und zur Online-ÜberwachungDas Gesetz, das am 1. Juli 2023 in Kraft treten soll, gibt Verbrauchern in Connecticut Wahlmöglichkeiten hinsichtlich der Erhebung personenbezogener Daten durch im Bundesstaat tätige Unternehmen. Darüber hinaus legt das Gesetz zusätzliche Pflichten für Unternehmen fest, die mit Daten von Verbrauchern in Connecticut umgehen.
Iowa
Am 29. März 2023 verabschiedete Iowa als sechster Bundesstaat ein umfassendes Datenschutzgesetz. Iowa-Verbraucherdatenschutzgesetz Das Datenschutzgesetz von Iowa tritt am 1. Januar 2025 in Kraft. Es gilt für Unternehmen, die personenbezogene Daten von mindestens 100.000 Verbrauchern in Iowa verwalten oder verarbeiten oder einen Bruttoumsatz von über 501.000 Milliarden US-Dollar aus dem Verkauf personenbezogener Daten erzielen und personenbezogene Daten von mindestens 25.000 Verbrauchern in Iowa verwalten oder verarbeiten. Das Gesetz legt einen Schwellenwert fest, der auf der Anzahl der Verbraucher und dem durch den Verkauf personenbezogener Daten erzielten Umsatz basiert.
Indiana
Indiana war der siebte Bundesstaat, der ein umfassendes Datenschutzgesetz verabschiedete, dicht gefolgt von Iowa am 1. Mai dieses Jahres. Die Indiana Verbraucherdatenschutzgesetz, weist hinsichtlich der Rechte und Anforderungen Ähnlichkeiten mit den Datenschutzgesetzen in Colorado, Connecticut und Virginia auf. Indiana hebt sich jedoch dadurch ab, dass es Unternehmen mehr als zweieinhalb Jahre Zeit gibt, die Konformität zu erreichen, da das Gesetz am 1. Januar 2026 in Kraft tritt. Der Geltungsbereich des Gesetzes gilt für Unternehmen, die in Indiana tätig sind oder Einwohner von Indiana bedienen, wobei bestimmte Schwellenwerte für die Kontrolle oder Verarbeitung personenbezogener Daten gelten. Das Gesetz umfasst personenbezogene Daten, die mit einer identifizierbaren Person verknüpft sind, mit Ausnahme anonymisierter, aggregierter oder öffentlich verfügbarer Daten.
Tennessee
Gouverneur Bill Lee unterzeichnete die Tennessee Information Protection Act (TIPA) am 11. Mai in Kraft getreten und Tennessee Tennessee ist der achte Bundesstaat, der ein umfassendes Datenschutzgesetz eingeführt hat. Das TIPA tritt am 1. Juli 2024 in Kraft, also früher als Indiana und Iowa. Es gilt für Personen, die in Tennessee geschäftlich tätig sind oder sich an Einwohner des Bundesstaates richten, mit ähnlichen Schwellenwerten wie die Datenschutzgesetze in Virginia, Iowa und Indiana. Das TIPA sieht Ausnahmen für staatliche Stellen, Finanzinstitute nach dem Gramm-Leach-Bliley Act, HIPAA-konforme Unternehmen, gemeinnützige Organisationen und Hochschulen vor. Außerdem sind bestimmte Datentypen, darunter geschützte Gesundheitsinformationen und arbeitsbezogene Daten, von der TIPA ausgenommen.
Montana
Montana ist vor kurzem der neunte Staat geworden, der ein umfassendes Verbraucherdatenschutzgesetz verabschiedet hat, mit der Unterzeichnung des Montana-Gesetz zum Datenschutz für Verbraucher am 19. Mai 2023 mit Wirkung zum 1. Oktober 2024. Es gilt für Einzelpersonen und Unternehmen, die in Montana geschäftlich tätig sind, und verpflichtet Verbraucher zwischen 13 und 16 Jahren, dem Verkauf personenbezogener Daten und gezielter Werbung zuzustimmen. Der „Verkauf“ personenbezogener Daten ist definiert als der Austausch personenbezogener Informationen gegen Geld oder andere wertvolle Gegenleistungen des Unternehmens an Dritte. Verbraucher in Montana haben das Recht, bestimmte Verarbeitungsaktivitäten zu bestätigen, abzurufen, zu löschen, eine Kopie zu erhalten und abzulehnen.
Texas am Horizont
Der Senat von Texas hat HB 4, auch bekannt als Texas Datenschutz- und SicherheitsgesetzTexas dürfte damit der zehnte Bundesstaat sein, der umfassende Datenschutzgesetze erlässt. Der Gesetzentwurf orientiert sich am Virginia Consumer Data Protection Act, enthält aber auch Elemente aus den Gesetzen von Colorado und Connecticut. Das Gesetz wird demnächst dem texanischen Gouverneur Abbott vorgelegt und tritt – sofern unterzeichnet – am 1. März 2024 in Kraft.
Das vorgeschlagene Gesetz gilt für Unternehmen, die in Texas tätig sind oder Produkte/Dienstleistungen für Einwohner Texas anbieten, ohne dass Mindestumsatz oder Datenverarbeitungsanforderungen bestehen. Der Gesetzentwurf gewährt Verbrauchern verschiedene Rechte, darunter das Recht auf Bestätigung der Datenverarbeitung, die Berichtigung von Ungenauigkeiten, die Löschung personenbezogener Daten, den Erhalt einer Kopie ihrer Daten und das Widerspruchsrecht gegen bestimmte Verarbeitungsaktivitäten. Verantwortliche müssen innerhalb von 45 Tagen auf Verbraucheranfragen reagieren und Datenschutzprüfungen für bestimmte Arten von Verarbeitungsaktivitäten durchführen, die Risiken für Verbraucher bergen.
Zu den weiteren wichtigen Bestimmungen gehören Datenminimierung, Einwilligung zur Verarbeitung sensibler Daten, Nichtdiskriminierung, Anforderungen an Datenschutzhinweise, gezielte Werbung, Grundsätze des eingebauten Datenschutzes und Datenschutzbewertungen – wobei Verstöße mit einer Geldstrafe von bis zu $7.500 geahndet werden können.
Im Vergleich zu den unternehmensfreundlicheren Datenschutzgesetzen anderer Bundesstaaten wie Utah und Iowa setzt es einen stärkeren Ton.
Staaten mit aktiven Gesetzesentwürfen im Streit
Die regulatorische Landschaft ist in ständigem Wandel. Einige wenige Bundesstaaten haben Gesetzesentwürfe eingebracht, darunter:
Delaware
Am 12. Mai 2023 führte Delaware die Delaware Personal Data Privacy Act (HB154) Die Verbraucherrechte in Bezug auf personenbezogene Daten werden festgelegt. Einwohner von Delaware haben das Recht, auf ihre bei Unternehmen im Bundesstaat gespeicherten personenbezogenen Daten zuzugreifen, diese zu korrigieren und deren Löschung zu verlangen. Das Justizministerium von Delaware wird Verbraucher und Unternehmen mindestens sechs Monate vor Inkrafttreten des Gesetzes über das Gesetz informieren.
Louisiana
Eingeführt am 4. April 2023, die Gesetz zum Schutz der Privatsphäre von Verbrauchern in Louisiana Gilt für Unternehmen im Bundesstaat oder deren Zielgruppe mit einem Jahresumsatz von 1TP4B25 Millionen oder mehr. Die Einhaltung der Vorschriften ist für Unternehmen erforderlich, die personenbezogene Daten von mindestens 100.000 Einwohnern Louisianas verwalten oder verarbeiten oder einen Umsatz von über 501TP3B aus dem Verkauf personenbezogener Daten erzielen und Daten von mindestens 25.000 Einwohnern verarbeiten. Verbraucher haben Anspruch auf Zugriff, Korrektur und Löschung ihrer personenbezogenen Daten sowie auf Widerspruch gegen gezielte Werbung und Datenverkäufe.
Maine
Die Maine Consumer Privacy Act (LD 1973) Das Gesetz gilt für Unternehmen in Maine oder deren Zielgruppe Einwohner des Bundesstaates Maine und legt spezifische Schwellenwerte für die Datenverarbeitung und den Umsatz aus dem Verkauf personenbezogener Daten fest. Es enthält Ausnahmen für bestimmte Unternehmen und Datentypen, die durch andere Datenschutzgesetze geregelt sind. Das Gesetz gewährt Verbrauchern das Recht auf Zugriff, Korrektur, Löschung und Übermittlung personenbezogener Daten. Es verbietet bestimmte Verarbeitungsvorgänge ohne Einwilligung des Verbrauchers und betont die Grundsätze des Datenschutzes durch Design, wie z. B. Zweckbindung und Datensicherheitspraktiken.
Massachusetts
Massachusetts erwägt ein umfassendes Datenschutzgesetz namens Massachusetts Information Privacy and Security Act (MIPSA), ein Gesetzentwurf, der im Februar 2022 eingebracht wurde. Nach Inkrafttreten würde MIPSA für Unternehmen gelten, die einen Jahresumsatz von 1425 Milliarden US-Dollar oder mehr erzielen oder die personenbezogenen Daten von mindestens 100.000 Personen verarbeiten. Es erweitert die Rechte der Bürger und führt Regelungen zu biometrischen und sensiblen Daten ein.
New Hampshire
Eingeführt am 19. Januar 2023— Gesetzentwurf SB 255 aus New Hampshire, soll die Datenschutz- und Cybersicherheitsgesetze des Staates an die anderer Staaten und Länder angleichen. Einwohner von New Hampshire erhalten Rechte wie etwa das Recht, über den Umgang mit ihren persönlichen Daten informiert zu werden, auf ihre Daten zuzugreifen und sie zu korrigieren, der Datenerfassung und -nutzung zu widersprechen, die Löschung von Daten zu verlangen und vor Diskriminierung aufgrund der Ausübung von Datenschutzrechten geschützt zu sein.
New Jersey
Gesetzesentwurf A505 der Versammlung, bekannt als New Jersey Offenlegungs- und RechenschaftstransparenzgesetzDer Gesetzentwurf wurde in der Generalversammlung des Staates New Jersey eingebracht. Ziel des Gesetzes ist es, Anforderungen für die Verarbeitung und Offenlegung personenbezogener Daten festzulegen und das Amt für Datenschutz und verantwortungsvolle Nutzung zu schaffen. Er enthält Bestimmungen zur Einholung von Einwilligungen, zur Gewährleistung von Transparenz, zur Gewährung von Betroffenenrechten, zur Regulierung automatisierter Entscheidungsfindung, zum Schutz personenbezogener Daten von Verbrauchern und zu Geldstrafen von bis zu 142.000 US-Dollar.
New York
Der Senatsgesetzentwurf SB 365, bekannt als New Yorker DatenschutzgesetzDer Gesetzentwurf wurde am 6. Januar 2022 erneut im Senat des Staates New York eingebracht. Er gewährt Verbrauchern neue Rechte, darunter Auskunfts-, Berichtigungs- und Anfechtungsrechte bei automatisierten Entscheidungen. Unternehmen werden außerdem verpflichtet, deutliche Hinweise zu geben, die Datensicherheit zu gewährleisten, Einwilligungen einzuholen, regelmäßige Bewertungen durchzuführen und Verbraucher über vorhersehbare Schäden zu informieren.
North Carolina
Die vorgeschlagene Verbraucherdatenschutzgesetz von North Carolina (CPA) Das CPA wurde 2021 eingeführt. Nach Inkrafttreten würde es für Unternehmen gelten, die in North Carolina tätig sind oder dort tätig sind und personenbezogene Daten einer bestimmten Anzahl von Verbrauchern verarbeiten. Ausnahmen gelten für bestimmte Unternehmen und Datentypen, die primär durch Bundesgesetze wie HIPAA geschützt sind.
Oregon
Anfang Januar 2023 führte Oregon SB 619 Das Gesetz gilt, sofern es in Kraft tritt, für Einwohner Oregons, die nichtkommerziellen Tätigkeiten nachgehen, sowie für Unternehmen, die in Oregon tätig sind oder Dienstleistungen für Einwohner Oregons erbringen, die personenbezogene Daten von Verbrauchern verarbeiten. Zu den wichtigsten Bestimmungen gehören das Recht, von den Verantwortlichen Auskünfte zu verlangen, Ungenauigkeiten zu korrigieren, Daten zu löschen und die erforderliche Einwilligung für sensible personenbezogene Daten einzuholen.
Pennsylvania
Der Pennsylvania Consumer Data Protection Act, eingeführt als HB 708 am 20. Januar 2022, soll Verbrauchern Rechte wie Zugriff, Löschung, Berichtigung, Widerspruch und Datenübertragbarkeit ihrer personenbezogenen Daten gewähren. Er legt außerdem Grundsätze für die Datenverarbeitung fest, schreibt Sicherheitspraktiken vor, setzt Verträge zwischen Verantwortlichen und Auftragsverarbeitern durch, verlangt Datenschutzbewertungen und benennt den Generalstaatsanwalt von Pennsylvania für die Durchsetzung.
Rhode Island
Am 23. März 2023 wurde SB754 als Rhode Island Data Transparency and Privacy Protection Act. Der Gesetzentwurf würde den Verbrauchern in Rhode Island wichtige neue Schutzmechanismen verleihen, darunter das Recht, zu erfahren, welche Informationen Unternehmen über sie gesammelt haben, das Recht, auf diese Informationen zuzugreifen, sie zu korrigieren und zu löschen, sowie die Möglichkeit, von Unternehmen zu verlangen, den Opt-out-Anfragen autorisierter Vertreter nachzukommen.
Um zu sehen, wie BigID Ihnen dabei helfen kann, der sich entwickelnden Datenschutzgesetzgebung immer einen Schritt voraus zu sein – vereinbaren Sie noch heute eine 1:1-Demo.
Autor
