Zum Inhalt springen
Alle Beiträge anzeigen

Colorado Datenschutzgesetz: Eine Verschiebung hin zum Datenschutz

Unter Heather Federman

5 Minute gelesen

Am letzten Tag seiner Legislaturperiode 2021 hat die „Melonenhauptstadt der Welt, auch bekannt als der Staat Colorado, erhielt die Genehmigung zur Umsetzung des dritten umfassenden Verbraucherdatenschutzgesetzes in den Vereinigten Staaten.

Das am 7. Juli von Gouverneur Jared Polis unterzeichnete Gesetz Colorado Datenschutzgesetz (CPA) Dies ist insbesondere angesichts der jüngsten Misserfolge ähnlicher Gesetzesvorschläge in Washington, Florida und New York von Bedeutung – und auch angesichts der Tatsache, dass die Zeit für ähnliche Bemühungen in den Parlamenten anderer Bundesstaaten weiterläuft.

Was ist der Colorado Privacy Act (CPA)

Das CPA ist nach dem Vorbild der gescheiterten Washingtoner Datenschutzgesetz und Virginia Consumer Data Protection Act (CDPA), mit einigen wesentlichen Unterschieden.

Das Gesetz gilt für „Datenverantwortliche“, die in Colorado geschäftlich tätig sind oder Produkte oder Dienstleistungen anbieten, die sich gezielt an Einwohner Colorados richten – und entweder:

  1. die personenbezogenen Daten von 100.000 oder mehr Einwohnern Colorados jährlich kontrollieren oder verarbeiten; oder
  2. Einnahmen erzielen oder einen Rabatt auf den Preis von Waren oder Dienstleistungen erhalten aus dem „Verkauf“ von personenbezogene Datenund verarbeiten oder kontrollieren die personenbezogenen Daten von 25.000 oder mehr Einwohnern Colorados.

CPA-Umfang und Ausnahmen

Das CPA definiert „Verbraucher“ als eine in Colorado ansässige Person, die in einem privaten oder häuslichen Kontext handelt. Da es keine Personen umfasst, die in einem kommerziellen oder beruflichen Kontext handeln, sieht das Gesetz eine eingebaute Ausnahme für den beruflichen und Business-to-Business-Kontext vor.

Im Gegensatz zum begrenzten Ausschluss des kalifornischen Modells gemäß Kalifornisches Verbraucherschutzgesetz (CCPA), Colorados CPA enthält mehrere wesentliche Ausnahmen, darunter eine vollständige Ausnahme für Finanzinstitute, die dem Bundesgesetz unterliegen Gramm-Leach-Bliley-Gesetz (GLBA)Wenn es um Gesundheitsdaten geht, die unter die Gesetz zur Portabilität und Rechenschaftspflicht von Krankenversicherungen (HIPAA)), jedoch sieht das CPA keinen vollständigen Ausschluss vor für Gesundheitswesen Organisationen – nur bestimmte Arten von Gesundheits- und Patienteninformation.

Datendefinitionen unter CPA

personenbezogene Daten – Unter dem CPA sind personenbezogene Daten zu verstehen: „Informationen, die mit einer identifizierten oder identifizierbaren Person verknüpft sind oder vernünftigerweise verknüpft werden können.“

Sensible Daten — CPA definiert sensible Daten als:

  1. personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, religiöse Überzeugungen, psychische oder physische Gesundheitsdiagnosen, das Sexualleben oder die sexuelle Orientierung oder der Staatsbürgerschaftsstatus hervorgehen
  2. genetische oder biometrische Daten, die zum Zweck der eindeutigen Identifizierung einer Person verarbeitet werden können
  3. personenbezogene Daten eines bekannten Kindes

Im Gegensatz zum CDPA von Virginia und dem bevorstehenden California Privacy Rights Act (CPRA) in Kalifornien beinhaltet diese Definition sensibler Daten keine genaue Geolokalisierung. Dies stellt einen wesentlichen Unterschied für Verantwortliche in der Art und Weise dar, wie sie ihre Daten basierend auf dem Wohnsitzstaat kennzeichnen und kennzeichnen. Beachten Sie, dass Verantwortliche sensible Daten nur mit Zustimmung des Verbrauchers oder der Eltern oder Erziehungsberechtigten eines Kindes verarbeiten dürfen.

Anforderungen des Colorado Privacy Act

Datenrechte

Verbraucher in Colorado können ihre Datenrechte durch Einreichen formeller Anfragen, und die Verantwortlichen müssen innerhalb von 45 Tagen auf eine Anfrage reagieren. Verbraucherrechte in Bezug auf personenbezogene Daten umfassen das Recht auf:

  1. der Verarbeitung bestimmter personenbezogener Daten widersprechen
  2. Zugriff auf personenbezogene Daten
  3. Berichtigung unrichtiger personenbezogener Daten
  4. Löschung personenbezogener Daten; und
  5. Datenportabilität

Für die Verantwortlichen gelten zusätzliche Transparenzanforderungen, in deren Rahmen sie bestimmte Arten von Praktiken sowie die Art und Weise, wie Verbraucher ihre Rechte ausüben können, klar und aussagekräftig offenlegen müssen.

Das CPA verlangt im Gegensatz zum kalifornischen Gesetz nicht ausdrücklich eine Seite mit der Aufschrift „Verkaufen Sie meine Informationen nicht“, aber der Generalstaatsanwalt von Colorado wird voraussichtlich Regeln bekannt geben, in denen die technischen Spezifikationen für einen oder mehrere „universelle Opt-out-Mechanismen“ aufgeführt sind.

Anforderungen an Datenverantwortliche

Datenschutzbewertungen — Das vorgeschlagene CPA verpflichtet die Verantwortlichen, bei jeder der folgenden Verarbeitungstätigkeiten eine Datenschutzbewertung personenbezogener Daten durchzuführen:

  1. die Verarbeitung personenbezogener Daten zu Zwecken gezielter Werbung
  2. der Verkauf personenbezogener Daten
  3. die Verarbeitung personenbezogener Daten zum Zwecke der Profilerstellung, wenn diese Profilerstellung ein vernünftigerweise vorhersehbares Risiko einer erheblichen Schädigung der Verbraucher birgt
  4. die Verarbeitung sensibler Daten
  5. alle Verarbeitungstätigkeiten mit personenbezogenen Daten, die ein erhöhtes Risiko für den Verbraucher darstellen

Zweckspezifikation — Ein für die Verarbeitung Verantwortlicher muss den ausdrücklichen Zweck angeben, für den personenbezogene Daten erhoben und verarbeitet werden. Dies ist eine Anforderung, die mit den EU- Allgemeine Datenschutzverordnung (GDPR) und die Grundsätze der fairen Informationspraxis.

Minimierung von Daten — Die Erhebung personenbezogener Daten durch einen Verantwortlichen muss angemessen und relevant sein und sich auf das im Hinblick auf den festgelegten und ausdrücklichen Zweck, zu dem diese Daten verarbeitet werden, erforderliche Maß beschränken.

Pflicht zur Vermeidung von Sekundärnutzung — Ein Verantwortlicher darf personenbezogene Daten nicht für Zwecke verarbeiten, die nicht vernünftigerweise notwendig oder mit den angegebenen Zwecken, für die die personenbezogenen Daten verarbeitet werden, vereinbar sind, ohne zuvor die Einwilligung einzuholen.

Sorgfaltspflicht — Die Sorgfaltspflicht geht in Sicherheitsanforderungen über. Sowohl Verantwortliche als auch Auftragsverarbeiter müssen geeignete technische und organisatorische Maßnahmen ergreifen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten. Für viele Unternehmen besteht diese Art von Datensicherheitsanforderung bereits für Persönlich identifizierbare Informationen (PII) gemäß dem Datenschutzgesetz von Colorado. Die Definition „personenbezogener Daten“ im CPA ist jedoch wesentlich weiter gefasst als die Definition von PII gemäß dem Datenschutzgesetz von Colorado.

Zusätzliche Anforderungen für Datenverarbeiter

Wie beim CDPA des Bundesstaates Virginia und der DSGVO der EU müssen Auftragsverarbeiter die Verpflichtungen des CPA einhalten und die Verantwortlichen bei der Erfüllung dieser Verpflichtungen unterstützen. Dies erfordert außerdem einen schriftlichen Vertrag, der Folgendes regelt:

  • welche personenbezogenen Daten verarbeitet werden
  • wie die Daten verarbeitet und gespeichert werden
  • Audit-/Compliance-Rechte

Durchsetzung und Inkrafttreten des CPA

Wie Virginias CDPA ist auch Colorados CPA durch Zivilklagen des Generalstaatsanwalts durchsetzbar. Obwohl Verbraucher kein privates Klagerecht haben, verfügen der Generalstaatsanwalt und die Bezirksstaatsanwälte über die ausschließliche Durchsetzungsbefugnis, die pro Verstoß zu einer Geldstrafe von bis zu 1420.000 TP200.000 führen kann, wobei jeder betroffene Verbraucher einen separaten Verstoß darstellt. Die Höchststrafe beträgt 1450.000 TP200.000 für eine zusammenhängende Reihe von Verstößen.

Ähnlich wie im kalifornischen Recht ist der Generalstaatsanwalt von Colorado befugt, Vorschriften zur Umsetzung des CPA zu erlassen. Darüber hinaus ist der Generalstaatsanwalt ausdrücklich verpflichtet, bis spätestens 1. Juli 2023 Vorschriften zu den technischen Spezifikationen für universelle Opt-out-Mechanismen zu erlassen. Auf Wunsch kann das Büro des Generalstaatsanwalts auch eigene Vorschriften und Leitlinien erstellen, um Unternehmen bei der Einhaltung des CPA zu unterstützen. Diese Vorschriften müssen bis Januar 2025 veröffentlicht werden.

Für Unternehmen, die erstmals eine staatliche Datenschutzverordnung einhalten müssen, erfordert das CPA erhebliche Änderungen. Die Vorschriften des Generalstaatsanwalts von Colorado bieten zwar mehr Orientierung, Unternehmen sollten jedoch bereits jetzt sicherstellen, dass sie ihre Richtlinien zur Datenerfassung, -nutzung und -dokumentation vollständig verstehen, um sich auf zukünftige Compliance-Verpflichtungen vorzubereiten.

Während Unternehmen bereits CPRA, CDPAund GDPR wird bei der Vorbereitung auf das neue Gesetz einen Vorsprung haben. Entscheidend wird die Entwicklung einer proaktiven Strategie zur Einhaltung der einzigartigen Bestimmungen des CPA – und seiner Integration in die Matrix der bestehenden Datenschutzbestimmungen – sein.

Holen Sie sich ein 1:1-Demo um zu sehen, wie BigID Unternehmen dabei hilft, die kommenden Anforderungen zur CPA-Compliance zu erfüllen und ein proaktives Datenschutzprogramm für aktuelle und zukünftige Anforderungen zu entwickeln. Vorschriften.

Autor

Heather Federman

Inhalt