Zum Inhalt springen
Alle Beiträge anzeigen

Kentucky Consumer Data Privacy Act (KY CDPA): Was Sie wissen müssen

Unter Verrion Wright , Content-Strategie und -Entwicklung

5 Minute gelesen

Kentucky ist für sein Derby bekannt, doch die Datenschutzlandschaft in den USA gleicht einem Pferderennen zwischen den Bundesstaaten. Kentucky hat den Kentucky Consumer Data Privacy Act (KY CDPA) verabschiedet und ist damit der vierzehnte Bundesstaat, der Datenschutzgesetze verabschiedet hat.

Der Gesetzgeber von Kentucky verabschiedete Gesetzentwurf 15 des Repräsentantenhauses am 4. April 2024, das Gouverneur Andy Beshar unterzeichnet hat. Das KCDPA tritt am 1. Januar 2026.

Was ist der KY HB 15 Consumer Data Privacy Act (KCDPA)?

Das KY HB 15 ist nicht nur ein weiteres Datenschutzgesetz, sondern ein umfassendes und wirksames Gesetz des Staates Kentucky. Das KCDPA soll die persönlichen Daten der Einwohner Kentuckys schützen und Unternehmen strenge Datenschutzmaßnahmen einführen. Es ist ein Paradebeispiel für Transparenz, Verantwortlichkeit und Verbraucherrechte und setzt klare Richtlinien und Anforderungen im gesamten Bundesstaat.

Was Unternehmen über das KCDPA wissen müssen

Das KCDPA ist von großer Bedeutung für den Schutz der Privatsphäre der Einwohner von Kentucky. Das Gesetz gewährt Einzelpersonen Rechte über ihre persönliche Daten und verlangt von Unternehmen Transparenz bei der Nutzung, Erhebung und Verarbeitung von Daten. Diese neuen, verbesserten Datenschutzmaßnahmen geben Verbrauchern mehr Kontrolle über ihre Daten.

Das KCDPA führt mehrere wichtige Bestimmungen ein, die den Datenschutz und die Datensicherheit in Kentucky stärken. Hier sind einige wichtige Aspekte des Gesetzes:

Wer muss sich daran halten?

Das KY CDPA gilt für Unternehmen, die personenbezogene Daten von Einwohnern Kentuckys erheben, verwenden oder weitergeben. Unternehmen unterliegen dem KY HB 15, wenn sie:

Betreibt Geschäfte in Kentucky oder produziert Produkte oder Dienstleistungen für Einwohner von Kentucky, entweder:

  • Kontrolliert oder verarbeitet die persönlichen Daten von mindestens 100.000.000 Verbrauchern, ausgenommen personenbezogene Daten, die zur Abwicklung einer Transaktion verarbeitet werden.
  • Kontrolliert oder verarbeitet die personenbezogenen Daten von mindestens 25.000 KY-Verbrauchern, und der Verantwortliche erzielt durch den Verkauf personenbezogener Daten einen Bruttoumsatz von 50%.
Entdecken Sie unsere Datenschutz-Suite

Vorbereitung auf die KCDPA-Konformität

Die Einhaltung des KCDPA ist für Unternehmen in Kentucky von entscheidender Bedeutung. Das Gesetz kann zu erheblichen Bußgeldern, Strafen und Reputationsschäden führen, wenn Unternehmen die Vorschriften nicht einhalten. Hier sind einige wichtige Punkte zur Einhaltung der Vorschriften:

Hinweis zum Datenschutz

Das Gesetz von Kentucky verpflichtet Organisationen dazu, den Verbrauchern eine „zugängliche, klare und aussagekräftige“ Datenschutzhinweis, das Folgendes umfasst:

  • die Kategorien personenbezogener Daten, die verarbeitet werden
  • Zweck der Datenverarbeitung
  • Die Kategorien von Drittparteien, denen die personenbezogenen Daten offengelegt werden können
  • Die Kategorien von Daten, die es offenlegen kann
  • Die Informationen darüber, wie Verbraucher ihre Rechte ausüben und gegen Entscheidungen Einspruch einlegen können.

Minimierung von Daten

Die Gesetzgebung verpflichtet Unternehmen dazu, die Erhebung personenbezogener Daten auf das zu beschränken, was als „angemessen, relevant und vernünftigerweise notwendig“ erachtet wird, es sei denn, die Unternehmen haben die Zustimmung des Verbrauchers eingeholt.

Datensicherheit und -schutz

Organisationen müssen Datensicherheitspraktiken einführen und aufrechterhalten, um personenbezogene Daten zu schützen und unbefugten Zugriff verhindern.

Datenschutz und Risikobewertungen

Die KCDPA bezeichnet ihre Datenschutzbewertungen (DPAs) derzeit als Datenschutz-Folgenabschätzungen (DSFA), ähnlich der DSGVO. Unternehmen müssen eine Datenverarbeitungsvereinbarung für personenbezogene Daten abschließen, die am oder nach dem 1. Juni 2026 verarbeitet, erstellt oder generiert werden und die Verbrauchern potenziell schaden und ein erhöhtes Risiko bergen könnten, darunter die Verarbeitung sensibler Daten, Profilerstellung, Datenverkauf und gezielte Werbung.

KCDPA-Durchsetzung und Bußgelder

Der Generalstaatsanwalt („AG“) ist ausschließlich für die Durchsetzung des Gesetzes zuständig. Er kann Klage einreichen und Schadensersatz in Höhe von bis zu $7.500 pro fortgesetztem Verstoß fordern. Die Organisation muss über mögliche Verstöße schriftlich informiert werden und erhält eine 30-tägige Abhilfefrist.

Laden Sie den Forrester Wave-Bericht herunter.

Verbraucherrechte in Kentucky

Das KCDPA gewährt den Einwohnern von Kentucky bestimmte Rechte in Bezug auf ihre personenbezogenen Daten, darunter:

  • Das Recht auf bestätigen ob ein Unternehmen personenbezogene Daten von Verbrauchern verarbeitet oder nicht
  • Das Recht auf Zugang personenbezogene Daten, es sei denn, die Bestätigung und der Zugriff offenbaren ein Geschäftsgeheimnis
  • Das Recht auf richtig Ungenauigkeiten in den personenbezogenen Daten des Verbrauchers
  • Das Recht auf löschen personenbezogene Daten über den Verbraucher
  • Das Recht auf Datenportabilität in dem der Verbraucher die Möglichkeit haben muss, eine Kopie seiner personenbezogenen Daten zu erhalten
  • Das Recht auf sich abmelden der Verarbeitung personenbezogener Daten zum Zwecke gezielter Werbung, des Verkaufs personenbezogener Daten oder der Profilerstellung zur Förderung von Entscheidungen, die rechtliche oder ähnlich erhebliche Auswirkungen auf den Verbraucher haben
  • Das Recht, nicht diskriminiert zu werden zur Ausübung etwaiger Verbraucherrechte.
  • Darüber hinaus dürfen Unternehmen keine sensiblen Daten über einen Verbraucher verarbeiten, ohne dessen Zustimmung einzuholen, oder sensible Daten verarbeiten, die von einem Kind erhoben wurden. Kinderdaten müssen in Übereinstimmung mit dem Bundesgesetz verarbeitet werden. Gesetz zum Schutz der Online-Privatsphäre von Kindern (COPPA)

Unternehmen müssen dem Verbraucher unverzüglich antworten, aber in jedem Fall innerhalb von fünfundvierzig (45) Tagen nach Erhalt der Anfrage. Informationen, die auf Anfrage eines Verbrauchers bereitgestellt werden, müssen kostenlos bereitgestellt werden, und zwar bis zu zweimal jährlich pro Verbraucher.

Einspruchsverfahren

Unternehmen müssen ein Verfahren entwickeln, mit dem Verbraucher innerhalb einer angemessenen Frist nach Erhalt der Entscheidung Einspruch gegen die Ablehnung einer Anfrage einlegen können. Das Einspruchsverfahren sollte in einem ähnlichen Verfahren und Format wie das Einreichen von Datenrechtsanfragen zur Einleitung von Maßnahmen verfügbar sein. Innerhalb von sechzig (60) Tagen nach Eingang eines Einspruchsmuss ein Unternehmen den Verbraucher schriftlich über alle als Reaktion auf den Einspruch ergriffenen Maßnahmen informieren und dabei auch die Gründe für die Entscheidungen schriftlich darlegen.

Sehen Sie BigID in Aktion

Wie BigID Unternehmen bei der Einhaltung des Consumer Data Privacy Act von Kentucky unterstützt

BigID ermöglicht es Organisationen, sich proaktiv auf KCDPA vorzubereiten und die Einhaltung einer patentierte identitätsbewusste Datenschutz-AutomatisierungsplattformMit BigID können Unternehmen:

  • Alle Daten identifizieren: Entdecken und klassifizieren Daten, um ein Inventar zu erstellen, Datenflüsse abzubilden und Einblick in alle persönlichen und sensiblen Informationen zu erhalten, die den KCDPA-Anforderungen unterliegen.
  • Richtlinien anwenden: Beheben Sie richtlinienbasierte Risiken mit Kontrollen und Workflows, um Maßnahmen gemäß den KCDPA-Anforderungen zu ergreifen.
  • Automatisieren Sie die Verwaltung von Datenrechten: Verwalten Sie Datenschutzanfragen, Einstellungen und Einwilligungen automatisch, einschließlich der Deaktivierung von Datenverkauf, gezielter Werbung und Benutzerprofilierung.
  • Daten minimieren: Wenden Sie Datenminimierungspraktiken an, indem Sie identifizieren, kategorisieren und Löschung unnötiger oder überzähliger personenbezogener Daten um den Datenlebenszyklus effizient zu verwalten.
  • Implementieren Sie Datenschutzkontrollen: Automatisieren Sie Datenschutzkontrollen, um den Datenzugriff und andere Sicherheitsmaßnahmen durchzusetzen, die für den Schutz der Daten und die Einhaltung des KCDPA von entscheidender Bedeutung sind.
  • Risiko einschätzen: Automatisieren Sie Datenschutz-Folgenabschätzungen, Datenbestandsberichte und Sanierungsworkflows um Risiken zu identifizieren und zu beheben und so die Compliance aufrechtzuerhalten.

Vereinbaren Sie eine 1:1-Demo um zu sehen, wie BigID Ihre Einhaltung des KCDPA beschleunigen kann.

Autor

Verrion Wright

Strategie und Entwicklung von Inhalten

Verrion Wright ist ein sehr erfahrener und ehrgeiziger Vermarkter mit mehr als 20 Jahren Erfahrung in den Bereichen Produktmarketing, Inhaltsentwicklung und digitale Strategie. Mit dem Schwerpunkt auf datengesteuerten Erkenntnissen und integriertem Marketing hatte er leitende Positionen in verschiedenen Branchen inne, darunter IT-Dienstleistungen, Datenschutz, Marketing und Werbung (Medienplanung). Bei BigID ist Verrion Director of Content Strategy and Development und trägt dazu bei, Inhalte über alle Säulen, Regionen und Käufer hinweg zu verbessern, indem er durchgängig überzeugende Inhalte über verschiedene Medien erstellt - darunter Videos, Artikel, Checklisten, Whitepaper und Leitfäden.

Inhalt

Datenschutz-Reise: Der richtige Weg zur Compliance

Whitepaper herunterladen