Das DPDPA von Delaware: Die Privatsphäre der Bewohner steht an erster Stelle

Seit der Einführung bahnbrechender Gesetze wie dem Allgemeine Datenschutzverordnung (GDPR) im Jahr 2016 und Kalifornisches Verbraucherschutzgesetz (CCPA) im Jahr 2018-mehrere US-Bundesstaaten haben ihre eigenen Versionen verabschiedet, in der Hoffnung, den Datenschutz der Bürger ihres jeweiligen Staates besser zu schützen. Einer der jüngsten Bundesstaaten ist Delaware mit der Verabschiedung des Delaware Personal Data Privacy Act (DPDPA) am 11. September 2023.

In diesem umfassenden Leitfaden befassen wir uns mit den Feinheiten der DPDPA und vergleichen sie mit ihren Gegenstücken, den GDPR und die CCPA. Wir werden untersuchen, für wen die DPDPA gilt, welche Ausnahmen und Schwellenwerte sie vorsieht, welche Rechte der Einzelne hat und vieles mehr.

Was ist der Delaware Personal Data Privacy Act?

Mit dem DPDPA ist Delaware der 13. Bundesstaat, der ein umfassendes Gesetz zum Schutz der Verbraucherdaten erlässt - nach Kalifornien, Virginia, Colorado, Connecticut, Utah, Iowa, Indiana, Tennessee, Montana, Florida, Texasund Oregon. Der Delaware Personal Data Privacy Act (DPDPA) ist im Kern ein wegweisendes Gesetz, das den Schutz personenbezogener Daten und der Persönlichkeitsrechte von Personen im Bundesstaat Delaware verbessern soll.

Nach dem Vorbild der Datenschutzgrundverordnung (GDPR) und des Datenschutzgesetzes (CCPA) stellt das DPDPA strenge Anforderungen an Organisationen, die mit personenbezogenen Daten umgehen, und schreibt Transparenz, Rechenschaftspflicht und proaktive Maßnahmen zum Schutz sensibler Daten vor. Das DPDPA wird am 1. Januar 2025 in Kraft treten.

Wie steht DPDPA im Vergleich zu GDPR und CCPA?

Wie die große Mehrheit der DatenschutzgesetzeDas Datenschutzgesetz des US-Bundesstaates Delaware folgt der EU-Datenschutzgrundverordnung (GDPR), wenn es um die Definition einer gültigen Einwilligung geht: "eine eindeutige bestätigende Handlung, die die frei gegebene, spezifische, informierte und unmissverständliche Zustimmung eines Verbrauchers zur Verarbeitung personenbezogener Daten über den Verbraucher bedeutet".

Im Gegensatz zum CCPA (Kalifornien) gibt es im DPDPA keinen gesonderten Schwellenwert, der allein aufgrund des Jahresumsatzes ausgelöst werden könnte. Ebenfalls im Gegensatz zum CCPA schließt das Gesetz von Delaware Personen, die in einem kommerziellen oder arbeitsrechtlichen Kontext handeln, von der Definition des "Verbrauchers" aus, so dass Kalifornien der einzige Staat ist, dessen allgemeines Datenschutzgesetz personenbezogene Daten im Kontext von Personalwesen, Beschäftigung und B2B abdeckt.

Für wen gilt das Delaware Privacy Act?

Das DPDPA gilt für Unternehmen, die im Bundesstaat Delaware tätig sind und die personenbezogenen Daten von mindestens 35.000 Verbrauchern kontrollieren oder verarbeiten oder die personenbezogenen Daten von mindestens 10.000 Verbrauchern kontrollieren oder verarbeiten und mehr als 20 Prozent ihrer Bruttoeinnahmen aus dem Verkauf personenbezogener Daten erzielen.

Das Datenschutzgesetz von Delaware sieht vor, dass das Justizministerium von Delaware mindestens sechs Monate vor Inkrafttreten des DPPA die Öffentlichkeit über das Gesetz informieren muss, um Verbraucher und Unternehmen aufzuklären.

DPDPA Ausnahmeregelungen und Schwellenwerte

Während das DPPA den für die Datenverarbeitung Verantwortlichen und den Auftragsverarbeitern strenge Verpflichtungen auferlegt, können unter bestimmten Umständen bestimmte Ausnahmen und Schwellenwerte gelten. Zu den ausgenommenen Stellen und ihren Diensten gehören:

• Regierungsbehörden, einschließlich Regulierungs-, Verwaltungs-, Gesetzgebungs- oder Justizbehörden
• Organisationen des öffentlichen Gesundheitswesens Finanzinstitute (auch Einrichtungen und verbundene Unternehmen, die der GLBA)
• Presse-, Draht- oder sonstige Informationsdienste (sowie nichtkommerzielle Tätigkeiten von Medienunternehmen)
• Opfer oder Zeugen von Straftaten

Zu den ausgenommenen Verordnungen (und den zugehörigen verarbeiteten Daten) gehören:

• Gesetz über die Übertragbarkeit und Rechenschaftspflicht von Krankenversicherungen (HIPAA)
• Gramm-Leach-Bliley-Gesetz (GLBA)
• Gesetz über faire Kreditauskunft (FCRA)
• Gesetz zum Schutz der Privatsphäre des Fahrers
• Gesetz über Bildungsrechte und Datenschutz (FERPA)
• Farm Credit Act
• Gesetz zur Deregulierung des Luftverkehrs

Individuelle Rechte nach dem Datenschutzgesetz von Delaware

Der Delaware Personal Data Privacy Act räumt den Einwohnern von Delaware - den so genannten "Verbrauchern" - spezifische Rechte auf Zugang und Kontrolle ihrer personenbezogenen Daten ein. Die Verbraucher haben das Recht, authentifizierte Anfragen an einen für die Verarbeitung Verantwortlichen zu stellen, darunter:

• Überprüfen, ob der für die Verarbeitung Verantwortliche ihre Daten verarbeitet und auf ihre Daten zugreift
• Berichtigung unzutreffender personenbezogener Daten
• Löschung personenbezogener Daten
• eine Kopie ihrer persönlichen Daten zu erhalten (Datenübertragbarkeit)
• eine Liste der Kategorien von Dritten zu erhalten, denen der für die Verarbeitung Verantwortliche ihre personenbezogenen Daten mitgeteilt hat
• Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten für gezielte Werbung, Verkauf oder Profiling für ausschließlich automatisierte Entscheidungen mit erheblichen Rechtswirkungen

Die für die Verarbeitung Verantwortlichen sind verpflichtet, Anfragen von Verbrauchern zur Ausübung dieser Rechte innerhalb von 45 Tagen zu beantworten, wobei die Möglichkeit besteht, diese Frist um weitere 45 Tage zu verlängern, wenn dies aufgrund der Komplexität oder des Umfangs der Anfragen erforderlich ist.

Anforderungen an Datenverarbeitung und Zustimmung gemäß DPDPA

Ähnlich wie mehrere andere Datenschutzgesetze in den USA schreibt der Delaware Personal Data Privacy Act den für die Verarbeitung Verantwortlichen vor, Verträge mit den Auftragsverarbeitern abzuschließen, um die Verarbeitung von Daten zu regeln. In diesen Verträgen nach dem Delaware Personal Data Privacy Act müssen die Anweisungen für die Verarbeitung personenbezogener Daten, der Zweck und die Art der Verarbeitung, die Kategorien der zu verarbeitenden Daten, die Dauer der Verarbeitung und die jeweiligen Rechte und Pflichten der beteiligten Parteien ausdrücklich festgelegt werden.

Darüber hinaus müssen diese Verträge Bestimmungen zur Vertraulichkeit enthalten und vorsehen, dass der Auftragsverarbeiter Unterauftragnehmer nur nach Genehmigung durch den für die Verarbeitung Verantwortlichen und nach Abschluss einer schriftlichen Vereinbarung, die sicherstellt, dass der Unterauftragnehmer die Verpflichtungen des Auftragsverarbeiters in Bezug auf personenbezogene Daten einhält, beauftragen darf.

Delaware Online Privacy and Protection Act

Am 1. Januar 2016 trat der Delaware Online Privacy and Protection Act ("DOPPA") in Kraft, ein Gesetz, das den Einwohnern des Bundesstaates einen starken Online-Datenschutz bietet. Das neue Gesetz zielt auf drei Bereiche ab, in denen die Vorschriften eingehalten werden müssen: (1) Werbung für Kinder; (2) auffällige Veröffentlichung einer konformen Datenschutzerklärung; und (3) Verbesserung des Datenschutzes für Nutzer digitaler Bücher ("E-Books"). Das Gesetz ermächtigte die staatliche Verbraucherschutzabteilung des Justizministeriums, Verstöße gegen das Gesetz zu untersuchen und zu verfolgen.

Nach dem DOPPA mussten Website- und App-Betreiber, die ihre Dienste an Kinder richteten, sicherstellen, dass sie nicht für bestimmte aufgezählte Inhalte werben oder diese vermarkten, die das Gesetz als ungeeignet für Kinder ansieht, wie z. B. Alkohol, Tabak, Schusswaffen, Pornografie und eine Reihe anderer Kategorien, die im Gesetz aufgeführt sind.

Wie werden personenbezogene Daten im Rahmen der Gesetzgebung definiert?

Personenbezogene Daten - wie im DPDPA definiert - beziehen sich auf "alle Informationen, die mit einer identifizierten oder identifizierbaren Person verknüpft sind oder vernünftigerweise verknüpft werden können, und umfassen keine de-identifizierten Daten oder öffentlich zugänglichen Informationen".

Folgen der Nichteinhaltung der DPDPA

Ähnlich wie viele andere Datenschutzgesetze der US-Bundesstaaten enthält der Delaware Personal Data Privacy Act keine Bestimmungen für ein privates Klagerecht. Stattdessen liegt die Durchsetzungsbefugnis ausschließlich beim Delaware Department of Justice. Bis zum 31. Dezember 2025 ist das Justizministerium verpflichtet, eine Mitteilung über einen Verstoß auszustellen und den für die Verarbeitung Verantwortlichen eine Frist von 60 Tagen einzuräumen, um den Verstoß zu beheben, wenn es eine solche Abhilfe für durchführbar hält. Ab dem 1. Januar 2026 kann das Justizministerium nach eigenem Ermessen eine Möglichkeit zur Behebung eines mutmaßlichen Verstoßes anbieten.

Gemäß dem Delaware Personal Data Privacy Act ist das Justizministerium von Delaware befugt, Verstöße gegen das Verbraucherschutzgesetz von Delaware zu untersuchen und zu verfolgen. Diese Befugnis ermöglicht den Erlass von Unterlassungsanordnungen, die Verfolgung von verwaltungsrechtlichen Rechtsbehelfen, die Einleitung von Gerichtsverfahren und die Festlegung der erforderlichen Regeln und Vorschriften. Im Falle eines Gerichtsverfahrens kann ein Gericht zivilrechtliche Strafen von bis zu US$10.000 für jeden vorsätzlich begangenen Verstoß verhängen.

Bewährte Praktiken zur Risikominderung

Die Umsetzung proaktiver Maßnahmen zur Minderung der Risiken im Rahmen des Delaware Personal Data Privacy Act (DPDPA) ist für die Einhaltung der Vorschriften und den Schutz sensibler Daten unerlässlich. Hier sind einige bewährte Verfahren, die Sie berücksichtigen sollten:

• Führen Sie ein umfassendes Dateninventar durch: Beginnen Sie mit einer gründlichen Bestandsaufnahme aller personenbezogenen Daten, die Ihr Unternehmen sammelt, verarbeitet und speichert. Machen Sie sich klar, wo diese Daten gespeichert sind, wie sie verwendet werden und wer Zugriff darauf hat.
• Aktualisierung von Datenschutzrichtlinien und -hinweisen: Stellen Sie sicher, dass die Datenschutzrichtlinien und -hinweise Ihrer Organisation aktualisiert werden, um den Anforderungen des DPDPA zu entsprechen. Informieren Sie Einzelpersonen klar und deutlich darüber, wie ihre personenbezogenen Daten erfasst, verarbeitet und geschützt werden.
• Einholung einer gültigen Zustimmung: Einführung von Verfahren zur Einholung einer gültigen Zustimmung von Einzelpersonen vor der Verarbeitung ihrer personenbezogenen Daten. Die Zustimmung sollte spezifisch, in Kenntnis der Sachlage und frei erteilt werden, in Übereinstimmung mit den Anforderungen des DPDPA.
• Festlegung von Richtlinien für die Datenaufbewahrung: Entwickeln Sie klare Richtlinien zur Datenaufbewahrung, in denen festgelegt ist, wie lange personenbezogene Daten aufbewahrt werden und welche Kriterien für ihre Löschung gelten. Stellen Sie sicher, dass Daten nicht länger aufbewahrt werden, als es für die Erfüllung des vorgesehenen Zwecks erforderlich ist.

BigIDs Ansatz zur Erreichung von Compliance

Das DPDPA ähnelt zwar einigen anderen staatlichen Datenschutzgesetzen, dennoch müssen Unternehmen die notwendigen Maßnahmen ergreifen, um die spezifischen Aspekte des Datenschutzgesetzes von Delaware zu erfüllen. BigID ermöglicht es Unternehmen, sich proaktiv auf die DPDPA vorzubereiten, um die Konformität mit ihrer branchenführenden Plattform für Datenschutz, Sicherheitund Steuerung. Mit BigID können Sie:

• Entdecken Sie Ihre Daten: BigID's Entdeckung und Klassifizierung von Daten bietet vollständige Transparenz über alle persönlichen und sensiblen Daten, die dem DPDPA unterliegen.
• Daten minimieren: Umsetzung der Datenminimierung durch Identifizierung und Kategorisierung unnötiger personenbezogener ROT-Daten, um den Lebenszyklus der Daten von der Speicherung bis zur Löschung zu verwalten.
• Automatisieren Sie die Verwaltung von Datenrechten: BigID ermöglicht es Unternehmen, automatisch Verwaltung von Datenschutzanfragen, Präferenzen und Einwilligungeneinschließlich UOOM, damit die Verbraucher dem Datenverkauf, der gezielten Werbung und der Profilerstellung widersprechen können.
• DSPM umsetzen: BigID bietet Datensicherheitsmanagement der nächsten Generationt zum Schutz all Ihrer sensiblen Daten in Ihrer gesamten Unternehmenslandschaft, egal ob in der Cloud oder auf -prem damit Sie Ihre Daten besser schützen und die DPDPA-Vorschriften einhalten können.
• Risiko einschätzen: BigID bietet automatisierte Datenschutzfolgenabschätzungen, Datenbestandsberichte und Sanierungsworkflows um Risiken zu ermitteln und dem Justizministerium von Delaware Bericht zu erstatten.

Um zu sehen, wie BigID Ihnen helfen kann, die DPDPA- Vereinbaren Sie noch heute einen 1:1-Termin mit unseren Datenschutzexperten.

Autor

Alexis Porter

Leiterin für Content Marketing

Alexis arbeitet als Content Marketing Manager für den branchenführenden DSPM-Anbieter BigID. Sie hat sich darauf spezialisiert, Tech-Start-ups dabei zu helfen, ihre Stimme zu schärfen, um überzeugende Geschichten zu erzählen, die bei unterschiedlichen Zielgruppen Anklang finden. Sie hat einen Bachelor-Abschluss in professionellem Schreiben und einen Master-Abschluss in Marketingkommunikation von der University of Denver. Alexis arbeitet von Orlando, FL aus.