Der Bundesstaat Cornhusker hat seine Datenschutzgesetze offiziell unterzeichnet. Der Nebraska Data Privacy Act (NDPA) wurde kürzlich verabschiedet und schließt sich damit einer wachsenden Zahl von Landesdatenschutzgesetze während die USA auf ein Bundesgesetz warten.
Nebraska hat bestanden Gesetzesentwurf 1074 am 17. April 2024, das von Jim Pillen unterzeichnet wurde. Das NDPA tritt am 1. Januar 2025.
Warum ist das NDPA wichtig?
Das NDPA stellt einen bedeutenden Fortschritt im Datenschutz dar und schließt Nebraska an andere Bundesstaaten an, die dem Schutz von Verbraucherdaten höchste Priorität einräumen. Unternehmen in Nebraska müssen sich auf diese neuen Anforderungen vorbereiten und sicherstellen, dass sie die personenbezogenen Daten ihrer Verbraucher respektieren und schützen. Die Einführung des NDPA ist aus vielen Gründen wichtig:
- Verstärkter Verbraucherschutz: Es bietet den Einwohnern Nebraskas robuste Rechte zur Kontrolle, zum Zugriff und zum Schutz ihrer personenbezogenen Daten.
- Rechenschaftspflicht und Transparenz: Unternehmen sind für ihren Umgang mit Daten verantwortlich, was Transparenz gewährleistet und Datenmissbrauch reduziert.
- Datensicherheit: Die Verordnung priorisiert die Datensicherheit und verlangt von Unternehmen, proaktive und reaktive Maßnahmen zum Schutz der Verbraucherdaten zu ergreifen. Verstöße.
- Anpassung an moderne Herausforderungen: Das NDPA passt sich den Komplexitäten der modernen Datenverarbeitung an, indem es Themen wie gezielte Werbung und automatisierte Entscheidungsfindung behandelt.
Umfang und Anwendung
NDPA gilt für Unternehmen, die:
- Führen Sie in Nebraska Geschäfte oder stellen Sie ein Produkt oder eine Dienstleistung her, die von Einwohnern Nebraskas konsumiert wird
- Verarbeitet oder verkauft personenbezogene Daten
- Ist kein Kleinunternehmen im Sinne des Bundesgesetzes Gesetz über kleine Unternehmen
Insbesondere gilt das Gesetz nicht für Mitarbeiter oder Business-to-Business-Unternehmen (B2B), sondern konzentriert sich stattdessen auf die Interaktion mit Verbrauchern.

Verbraucherrechte in Nebraska
Das NDPA ähnelt stark den Datenschutzgesetzen anderer Bundesstaaten. Verbraucher sind Personen mit Wohnsitz in Nebraska, die ausschließlich privat handeln, ausgenommen Personen im beruflichen oder gewerblichen Kontext. Im Rahmen des NDPA erhalten Verbraucher verschiedene Rechte zur Gewährleistung der Kontrolle und Transparenz ihrer personenbezogenen Daten. Dazu gehören:
- Bestätigen und zugreifen: Verbraucher können bestätigen, ob eine Organisation ihre Daten verarbeitet, und haben außerdem einfachen Zugriff auf ihre personenbezogenen Daten.
- Korrektur: Verbraucher können unrichtige Angaben in ihren personenbezogenen Daten korrigieren.
- Streichung: Verbraucher können die Löschung ihrer Daten verlangen, sofern diese nicht aus rechtlichen Gründen weiter gespeichert werden.
- Datenportabilität: Bei einer automatischen Datenverarbeitung können Verbraucher eine Kopie ihrer Daten in einem technisch machbaren, leicht nutzbaren und portablen Format erhalten.
- Offenlegung gegenüber Dritten: Verbraucher können eine Liste der Drittparteien erhalten, an die ihre Daten weitergegeben wurden.
- Opt-Out-Rechte: Verbraucher können der Datenverarbeitung für gezielte Werbung, dem Verkauf personenbezogener Daten oder der Profilerstellung widersprechen.
Die Verantwortlichen müssen auf Verbraucheranfragen innerhalb von 45 Tagen antworten. Diese Frist kann bei Bedarf um weitere 45 Tage verlängert werden. Wird ein Antrag abgelehnt, muss der Verantwortliche den Verbraucher über die Gründe informieren und ihm eine Einspruchsbelehrung erteilen.
Autorisierte Vertreter
Genehmigung: Der Verbraucher kann eine andere Person als seinen Vertreter benennen. Bevollmächtigter und im Namen des Verbrauchers handeln, um der Verarbeitung seiner personenbezogenen Daten zu widersprechen.
Eltern und Erziehungsberechtigte: A Eltern oder Erziehungsberechtigte können Verbraucherrechte ausüben im Namen eines bekannten Kindes bezüglich der Verarbeitung personenbezogener Daten dieses Kindes.
Verantwortlichkeiten des Verantwortlichen und des Auftragsverarbeiters
Das NDPA legt strenge Richtlinien fest, wie Verantwortliche (Einheiten, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmen) und Auftragsverarbeiter (Einheiten, die Daten im Auftrag von Verantwortlichen verarbeiten) mit Verbraucherdaten umgehen müssen:
- Verbotene Aktionen: Verantwortliche dürfen personenbezogene und sensible Daten nur dann erheben, verarbeiten oder weitergeben, wenn dies unbedingt erforderlich ist. Ihnen ist es außerdem untersagt, sensible Daten zu verkaufen, Daten diskriminierend zu verarbeiten oder Werbung ohne Einwilligung an Kinder unter 18 Jahren zu richten. Sie müssen diese Daten über die Bundesbehörden verarbeiten. COPPA.
- Nichtdiskriminierung: Verantwortliche dürfen Verbraucher nicht diskriminieren, wenn sie ihre Datenschutzrechte gemäß NDPA ausüben.
- Einwilligung des Verbrauchers: Für Datenverarbeitungen, die über das für die genannten Zwecke erforderliche Maß hinausgehen, müssen Verantwortliche die Einwilligung des Verbrauchers einholen. Verbraucher können die Einwilligung widerrufen, und Verantwortliche müssen die Datenverarbeitung innerhalb von 30 Tagen einstellen.
- Einspruchsverfahren: Die Verantwortlichen müssen für den Fall der Ablehnung einer bestimmten Anfrage ein Beschwerdeverfahren für Verbraucher einrichten und innerhalb von 60 Tagen schriftlich auf etwaige Maßnahmen oder Unterlassungen reagieren.
Datenschutz und Sicherheit
Auftragsverarbeiter müssen den Anweisungen des Verantwortlichen Folge leisten und ihren Verpflichtungen in Bezug auf Datensicherheit, Verbraucherrechte und Maßnahmen bei Datenschutzverletzungen nachkommen.
Gemäß dem NDPA sind Verantwortliche verpflichtet, für alle Verarbeitungstätigkeiten, die ein erhöhtes Risiko bergen, Datenschutzbewertungen (DPAs) durchzuführen. Auftragsverarbeiter müssen den Verantwortlichen außerdem die notwendigen Informationen zur Verfügung stellen, damit sie DPAs für Situationen durchführen und dokumentieren können, die ein erhöhtes Risiko für Verbraucher bergen. Zu diesen Aktivitäten gehören:
- Verarbeitung personenbezogener Daten für gezielte Werbung
- Verkauf personenbezogener Daten
- Verarbeitung sensibler Daten
- Profilierung personenbezogener Daten, wenn dadurch ein vorhersehbares Risiko einer unfairen, missbräuchlichen oder irreführenden Behandlung von Verbrauchern entsteht oder erhebliche Schäden für den Verbraucher entstehen
Bei diesen Bewertungen muss der Nutzen der Verarbeitungstätigkeiten für alle Beteiligten den potenziellen Risiken für die Verbraucherrechte gegenübergestellt werden.
Anforderungen zur Datenminimierung
Das NDPA schreibt vor, dass personenbezogene Daten nur in angemessenem und notwendigem Umfang für ein bestimmtes angefordertes Produkt oder eine bestimmte angeforderte Dienstleistung erhoben werden dürfen. Die Gesetzgebung verlangt außerdem, dass Verantwortliche vor der Verarbeitung personenbezogener Daten für Zwecke, die über die ursprünglich offengelegten und als notwendig oder vereinbar erachteten hinausgehen, die Einwilligung einholen.
NDPA-Durchsetzung und Bußgelder
Der Generalstaatsanwalt („AG“) ist allein befugt, die neue Datenschutzgesetzgebung durchzusetzen. Er kann Klage einreichen und Schadensersatz in Höhe von bis zu $7.500 pro fortgesetztem Verstoß fordern. Die Organisation muss über mögliche Verstöße schriftlich informiert werden und erhält eine 30-tägige Abhilfefrist. Darüber hinaus besteht kein privates Klagerecht.
BigIDs Ansatz zur NDPA-Konformität
BigID nutzt sein patentiertes Identitätsbewusste Datenschutzautomatisierung, die branchenführende Plattform für Datenschutz, Sicherheit, Compliance und KI-Datenmanagement, um sich proaktiv auf NDPA vorzubereiten und die Compliance zu erreichen.
Mit BigID können Unternehmen:
- Alle Daten identifizieren: Entdecken und klassifizieren Sie Daten um ein Inventar zu erstellen, Datenflüsse abzubilden und Einblick in alle persönlichen und sensiblen Informationen zu erhalten, die den NDPA-Anforderungen unterliegen.
- Richtlinien anwenden: Beheben Sie richtlinienbasierte Risiken mit Kontrollen und Workflows, um Maßnahmen gemäß den NDPA-Anforderungen zu ergreifen.
- Risiko einschätzen: Automatisieren Sie Datenschutz-Folgenabschätzungen, Datenbestandsberichte und Abhilfe-Workflows, um Risiken zu identifizieren und zu beheben und so die Compliance aufrechtzuerhalten.
- Daten minimieren: Wenden Sie Verfahren zur Datenminimierung an, indem Sie unnötige oder übermäßige personenbezogene Daten identifizieren, kategorisieren und löschen, um den Datenlebenszyklus effizient zu verwalten.
- Automatisieren Sie die Verwaltung von Datenrechten: Verwalten Sie Datenschutzanfragen, Einstellungen und Einwilligungen automatisch, einschließlich der Deaktivierung von Datenverkauf, gezielter Werbung und Benutzerprofilierung.
- Implementieren Sie Datenschutzkontrollen: Automatisieren Sie Datenschutzkontrollen, um den Datenzugriff und andere Sicherheitsmaßnahmen durchzusetzen, die für den Schutz der Daten und die Einhaltung des NDPA von entscheidender Bedeutung sind.
Vereinbaren Sie eine 1:1-Demo um zu sehen, wie BigID die NDPA-Konformität beschleunigen kann.