Verstehen der Maryland Online Data Privacy Act (MODPA): Warum es wichtig ist

Die Maryland Online Data Privacy Act (MODPA) ist voraussichtlich am 1. Oktober 2025und stellt einen wichtigen Schritt zur Verbesserung des Datenschutzes für die Einwohner von Maryland dar. Diese umfassende Regelung zielt darauf ab, den Verbrauchern mehr Kontrolle über ihre personenbezogene Daten Gleichzeitig werden strenge Anforderungen an Unternehmen gestellt, die diese Informationen verarbeiten. Hier finden Sie einen detaillierten Überblick über die Modpa-Bestimmungen und ihre Bedeutung für Verbraucher und Unternehmen.

Warum ist MODPA wichtig?

MODPA stellt einen bedeutenden Fortschritt in der Datenschutzregulierung dar und gleicht Maryland mit anderen Rechtsräumen ab, die dem Verbraucherdatenschutz Priorität einräumen. Unternehmen, die in Maryland tätig sind, müssen sich auf die Einhaltung dieser neuen Standards vorbereiten und sicherstellen, dass sie diese respektieren und Schutz der personenbezogenen Daten ihrer Verbraucher. Die Einführung von MODPA ist aus mehreren Gründen entscheidend:

1. Verbesserter Verbraucherschutz: Es bietet den Einwohnern von Maryland robuste Rechte auf Zugriff, Kontrolle und Schutz ihrer personenbezogenen Daten, wodurch das Vertrauen in digitale Transaktionen gestärkt wird.
2. Transparenz und Rechenschaftspflicht: Unternehmen werden für ihre Datenpraktiken zur Verantwortung gezogen, was für mehr Transparenz sorgt und die Wahrscheinlichkeit eines Datenmissbrauchs verringert.
3. Datensicherheit: Die Verordnung unterstreicht die Bedeutung der Datensicherheit und verpflichtet Unternehmen, geeignete Maßnahmen zum Schutz der Verbraucherdaten vor Verstößen zu ergreifen.
4. Anpassung an moderne Herausforderungen: Durch die Behandlung von Themen wie automatisierter Entscheidungsfindung und gezielter Werbung ist MODPA auf die Komplexität der modernen Datenverarbeitung zugeschnitten.

Umfang und Anwendung

MODPA gilt für Unternehmen, die in Maryland tätig sind oder ihre Produkte und Dienstleistungen auf Einwohner Marylands ausrichten. Insbesondere gilt es für Unternehmen, die:

• Im vorangegangenen Kalenderjahr die personenbezogenen Daten von mindestens 35.000 Verbrauchern kontrolliert oder verarbeitet (ausgenommen Daten, die ausschließlich für Zahlungstransaktionen verwendet werden).
• Kontrollierte oder verarbeitete die personenbezogenen Daten von mindestens 10.000 Verbrauchern und erzielte mehr als 201.000.000 Tonnen seines Bruttoumsatzes durch den Verkauf personenbezogener Daten.

Insbesondere gilt das Gesetz nicht für Mitarbeiter oder Business-to-Business-Unternehmen (B2B), sondern konzentriert sich stattdessen auf die Interaktion mit Verbrauchern.

Verbraucherrechte in Maryland

MODPA entspricht den Datenschutzgesetzen der meisten anderen Bundesstaaten und definiert einen Verbraucher als eine in Maryland ansässige Person, die ausschließlich im privaten Bereich handelt, ausgenommen Personen, die im beruflichen oder gewerblichen Kontext handeln. Unter MODPA erhalten Verbraucher verschiedene Rechte, um Transparenz und Kontrolle über ihre personenbezogenen Daten zu gewährleisten. Dazu gehören:

1. Zugriff und Bestätigung: Verbraucher können bestätigen, ob ihre Daten verarbeitet werden, und auf die von den Verantwortlichen gespeicherten personenbezogenen Daten zugreifen.
2. Korrektur: Verbraucher können Ungenauigkeiten in ihren personenbezogenen Daten korrigieren.
3. Streichung: Verbraucher können die Löschung ihrer Daten verlangen, es sei denn, die Aufbewahrung ist gesetzlich vorgeschrieben.
4. Datenportabilität: Wenn Daten automatisch verarbeitet werden, können Verbraucher eine Kopie ihrer Daten in einem portablen Format erhalten, um sie an einen anderen Verantwortlichen zu übertragen.
5. Offenlegung gegenüber Dritten: Verbraucher können eine Liste der Drittparteien erhalten, an die ihre Daten weitergegeben wurden.
6. Opt-Out-Rechte: Verbraucher können der Datenverarbeitung für gezielte Werbung, dem Verkauf personenbezogener Daten oder der Profilerstellung, die sie rechtlich oder erheblich beeinträchtigt, widersprechen.

Die Verantwortlichen müssen auf Verbraucheranfragen innerhalb von 45 Tagen antworten. Diese Frist kann bei Bedarf um weitere 45 Tage verlängert werden. Wird ein Antrag abgelehnt, muss der Verantwortliche den Verbraucher über die Gründe informieren und ihm eine Einspruchsbelehrung erteilen.

Verantwortlichkeiten des Verantwortlichen und des Auftragsverarbeiters

MODPA legt strenge Richtlinien für den Umgang von Verantwortlichen (Einheiten, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmen) und Auftragsverarbeitern (Einheiten, die Daten im Auftrag von Verantwortlichen verarbeiten) mit Verbraucherdaten fest:

• Verbotene Aktionen: Verantwortliche dürfen sensible Daten nur dann erheben, verarbeiten oder weitergeben, wenn dies zur Erbringung einer angeforderten Dienstleistung erforderlich ist. Es ist ihnen außerdem untersagt, sensible Daten zu verkaufen, Daten diskriminierend zu verarbeiten oder Werbung ohne deren Zustimmung gezielt an Minderjährige unter 18 Jahren zu richten.
• Nichtdiskriminierung: Die Verantwortlichen dürfen Verbraucher nicht diskriminieren, wenn sie ihre Rechte gemäß MODPA ausüben.
• Einwilligung des Verbrauchers: Für Datenverarbeitungen, die über das für die genannten Zwecke erforderliche Maß hinausgehen, müssen Verantwortliche die Einwilligung des Verbrauchers einholen. Verbraucher können die Einwilligung widerrufen, und Verantwortliche müssen die Datenverarbeitung innerhalb von 30 Tagen nach dem Widerruf einstellen.
• Einspruchsverfahren: Die Verantwortlichen müssen für Verbraucher, deren Anträge abgelehnt werden, ein Beschwerdeverfahren einrichten, das innerhalb von 60 Tagen eine Antwort erfordert.

Datenschutz und Sicherheit

Auftragsverarbeiter sind verpflichtet, den Anweisungen des Verantwortlichen Folge zu leisten und bei der Erfüllung der Verpflichtungen in Bezug auf Verbraucherrechte, Datensicherheit und die Meldung von Datenschutzverletzungen zu helfen. Sie müssen den Verantwortlichen außerdem die notwendigen Informationen zur Verfügung stellen, damit diese Datenschutzbewertungen (DPAs) für Aktivitäten durchführen und dokumentieren können, die ein erhöhtes Risiko für Verbraucher bergen.

Gemäß MODPA sind Verantwortliche verpflichtet, für alle Verarbeitungstätigkeiten, die ein erhöhtes Schadensrisiko bergen, Datenschutzbewertungen durchzuführen. Dazu gehört auch eine Bewertung jedes verwendeten Algorithmus. Zu diesen Aktivitäten gehören:

• Verarbeitung personenbezogener Daten für gezielte Werbung
• Verkauf personenbezogener Daten
• Verarbeitung sensibler Daten
• Profilierung personenbezogener Daten, wenn dadurch ein vorhersehbares Risiko einer unfairen, missbräuchlichen oder irreführenden Behandlung von Verbrauchern entsteht oder erhebliche Schäden für den Verbraucher entstehen

Diese Bewertungen müssen den Nutzen der Verarbeitungstätigkeiten für alle Beteiligten mit den potenziellen Risiken für die Verbraucherrechte vergleichen. MODPA erlaubt die Verwendung von Folgenabschätzungen für andere staatliche Datenschutzgesetze durchgeführt, um die Bewertungsanforderungen zu erfüllen. Diese Anforderungen an die Datenschutzbewertung gelten für Verarbeitungsaktivitäten, die am oder nach dem 1. Oktober 2025 beginnen.

Anforderungen zur Datenminimierung

MODPA schreibt vor, dass die Erhebung personenbezogener Daten auf das zur Bereitstellung oder Aufrechterhaltung des gewünschten Produkts oder der gewünschten Dienstleistung erforderliche Maß beschränkt sein muss. Für sensible Daten gilt diese Anforderung noch strenger. Das Gesetz schreibt außerdem vor, dass Verantwortliche vor der Verarbeitung personenbezogener Daten für Zwecke, die über die ursprünglich offengelegten und als notwendig oder vereinbar erachteten hinausgehen, die Einwilligung einholen müssen.

Allerdings gestattet MODPA den Verantwortlichen und Auftragsverarbeitern, bestimmte Verarbeitungstätigkeiten durchzuführen, beispielsweise zur Betrugsprävention und für interne Vorgänge, solange diese Tätigkeiten im Hinblick auf die beabsichtigten Zwecke angemessen und notwendig sind.

Besondere Bestimmungen

MODPA enthält spezifische Bestimmungen wie:

• Gesundheitsdaten: Für die Verarbeitung von Gesundheitsdaten von Verbrauchern gelten besondere Anforderungen.
• Hinweis Dritter: Dritte müssen Verbraucher benachrichtigen, bevor sie ihre Informationen auf eine Weise verwenden oder weitergeben, die von den ursprünglichen Erfassungsbedingungen abweicht.
• Algorithmus-Bewertungen: DPAs sind für alle algorithmischen Aktivitäten erforderlich, die ein erhöhtes Risiko für die Verbraucher darstellen.

BigIDs Ansatz für MODPA

BigID ist die branchenführende Plattform für Datenschutz, Sicherheit, Compliance und AI-Datenmanagement Dadurch können sich Unternehmen proaktiv auf MODPA vorbereiten und die Einhaltung der Vorschriften mit der patentierten identitätsbewussten Datenschutzautomatisierung erreichen.

Mit BigID können Unternehmen:

• Alle Daten identifizieren: Entdecken und klassifizieren Sie Daten um ein Inventar zu erstellen, Datenflüsse abzubilden und Einblick in alle persönlichen und sensiblen Informationen zu erhalten, die den MODPA-Anforderungen unterliegen.
• Automatisieren Sie die Verwaltung von Datenrechten: Verwalten Sie Datenschutzanfragen, Einstellungen und Einwilligungen automatisch, einschließlich der Deaktivierung von Datenverkauf, gezielter Werbung und Benutzerprofilierung.
• Richtlinien anwenden: Beheben Sie richtlinienbasierte Risiken mit Kontrollen und Workflows, um Maßnahmen gemäß den MODPA-Anforderungen zu ergreifen.
• Daten minimieren: Wenden Sie Verfahren zur Datenminimierung an, indem Sie unnötige oder übermäßige personenbezogene Daten identifizieren, kategorisieren und löschen, um den Datenlebenszyklus effizient zu verwalten.
• Implementieren Sie Datenschutzkontrollen: Automatisieren Sie Datenschutzkontrollen, um den Datenzugriff und andere Sicherheitsmaßnahmen durchzusetzen, die für den Schutz der Daten und die Einhaltung des MODPA von entscheidender Bedeutung sind.
• Risiko einschätzen: Automatisieren Sie Datenschutz-Folgenabschätzungen, Datenbestandsberichte und Korrektur-Workflows zum Identifizieren und Beheben von Risiken, um die Compliance aufrechtzuerhalten.

Vereinbaren Sie eine 1:1-Demo um zu sehen, wie BigID Ihre MODPA-Konformität beschleunigen kann.

Autor

Alexis Porter

Leiterin für Content Marketing

Alexis arbeitet als Content Marketing Manager für den branchenführenden DSPM-Anbieter BigID. Sie hat sich darauf spezialisiert, Tech-Start-ups dabei zu helfen, ihre Stimme zu schärfen, um überzeugende Geschichten zu erzählen, die bei unterschiedlichen Zielgruppen Anklang finden. Sie hat einen Bachelor-Abschluss in professionellem Schreiben und einen Master-Abschluss in Marketingkommunikation von der University of Denver. Alexis arbeitet von Orlando, FL aus.