Ein gebräuchlicher Spitzname für New Hampshire ist die Schweiz Amerikas. New Hampshire ist jedoch alles andere als neutral in Bezug auf den Datenschutz, da es der 14. Staat war, der Datenschutzgesetze mit dem New Hampshire Datenschutzgesetz (NHPA) SB 255Die neue Gesetzgebung ist eng an Virginia, Connecticutund die kürzlich verabschiedete New Jersey SB 332 Datenschutzrecht.
Der Gesetzgeber von New Hampshire verabschiedete am 18. Januar 2024 den Senatsentwurf 255. Dieser wird vom Gouverneur von New Hampshire, Chris Sununu, unterzeichnet. Nach der Unterzeichnung tritt der Entwurf am 1. Januar 2025.
Was ist das NH-Datenschutzgesetz SB 255?
NH SB 255 ist ein umfassendes Datenschutzgesetz des Staates New Hampshire. Es zielt darauf ab, die persönlichen Daten der Einwohner von New Hampshire zu schützen und sicherzustellen, dass Unternehmen Datenschutzmaßnahmen zum Schutz sensibler Daten ergreifen. Das NHPA zielt darauf ab, Transparenz erhöhen, Rechenschaftspflicht und Verbraucherrechte in ganz New Hampshire durch die Festlegung klarer Richtlinien und Anforderungen.
Was Unternehmen wissen müssen
Das NHPA legt großen Wert auf den Schutz der Privatsphäre und der Datenschutzrechte der Einwohner von New Hampshire. Die Gesetzgebung gewährt Einzelpersonen Rechte an personenbezogenen Daten und verlangt von Unternehmen Transparenz bei der Erfassung, Verarbeitung und Verwaltung von Daten.
Das NHPA stärkt den Datenschutz und die Datensicherheit in New Hampshire. Hier sind einige wichtige Aspekte des NHPA:
Wer muss sich daran halten?
Das NHPA gilt für Unternehmen, die personenbezogene Daten von Einwohnern New Hampshires erheben, verwenden oder weitergeben. Insbesondere unterliegt ein Unternehmen dem NHPA, wenn es:
Betreibt Geschäfte in New Hampshire oder produziert Produkte oder Dienstleistungen für Einwohner von New Hampshire und während eines Kalenderjahres entweder:
- Kontrolliert oder verarbeitet die personenbezogenen Daten von mindestens 35.000 einzelnen Verbrauchern, ausgenommen personenbezogene Daten, die zur Durchführung einer Finanztransaktion kontrolliert oder verarbeitet werden
- Kontrolliert oder verarbeitet die personenbezogenen Daten von mindestens 10.000 einzelnen Verbrauchern und erzielt mehr als 25% ihres Umsatzes durch den Verkauf personenbezogener Daten
NHPA-Ausnahmen für datenspezifische Einheiten
- Regierung
- Gemeinnützige Organisationen
- Hochschulen
- Organisationen unter der Gesetz über die Übertragbarkeit und Rechenschaftspflicht von Krankenversicherungen (HIPAA)
- Finanzinstitute vorbehaltlich der Gramm-Leach-Bliley-Gesetz
Für Unternehmen ist es von entscheidender Bedeutung, zu verstehen, ob sie dem NHPA unterliegen, und die notwendigen Maßnahmen zu ergreifen, um die neue Gesetzgebung einzuhalten.
Vorbereitung auf die NHPA-Konformität
Die Einhaltung des NHPA ist für Unternehmen in New Hampshire unerlässlich. Hier sind einige wesentliche Voraussetzungen für die Einhaltung:
Definition sensibler personenbezogener Daten
Das NHPA enthält eine Definition sensibler Daten, die den bestehenden Gesetzen ähnelt. Dabei handelt es sich um Informationen, die möglicherweise Folgendes offenlegen könnten:
- Rasse oder ethnische Zugehörigkeit, religiöse Überzeugungen, geistiger oder körperlicher Gesundheitszustand oder Diagnose, Sexualleben, sexuelle Orientierung, Staatsbürgerschaft oder Einwanderungsstatus
- Die Verarbeitung genetischer oder biometrischer Daten zur eindeutigen Identifizierung einer Person
- Personenbezogene Daten, die von einem bekannten Kind (unter 13 Jahren) erhoben wurden
- Präzise Geolokalisierungsdaten (innerhalb eines Radius von 530 Metern)
Unternehmen müssen vor der Verarbeitung sensibler Daten zunächst die Zustimmung des Verbrauchers (oder der Eltern im Namen eines Kindes) einholen.
Hinweis zum Datenschutz
Organisationen sind verpflichtet, Verbrauchern einen Datenschutzhinweis bereitzustellen, der Folgendes enthält:
- die Kategorien personenbezogener Daten, die verarbeitet werden
- Zweck der Verarbeitung personenbezogener Daten
- Die Kategorien von Dritten, denen personenbezogene Daten offengelegt werden
- Die Kategorien personenbezogener Daten, die an Dritte weitergegeben werden
- Eine Beschreibung, wie Verbraucher ihre Datenschutzrechte ausüben und gegen eine Entscheidung über eine Datenrechtsanfrage Einspruch einlegen können
- E-Mail-Adresse oder anderes Online-System (Webformular oder Portal), über das Verbraucher das Unternehmen kontaktieren können
Verbraucherrechte
Das NHPA gewährt Verbrauchern viele der gleichen Rechte wie die bestehenden staatlichen Vorschriften und orientiert sich dabei ausdrücklich an den Datenschutzgesetzen von Virginia und New Jersey.
Das NHPA gewährt den Einwohnern von New Hampshire bestimmte Datenrechte, darunter:
- Das Recht auf Bestätigung, welche personenbezogenen Daten erhoben und verarbeitet werden
- Das Recht auf Zugriff und Erhalt einer Kopie ihrer personenbezogenen Daten in einem portablen und leicht nutzbaren/übertragbaren Format
- Das Recht auf Löschung der über den Verbraucher bereitgestellten oder erhaltenen personenbezogenen Daten
- Das Recht, dem Verkauf personenbezogener Daten, gezielter Werbung und Profilerstellung zu widersprechen
- Das Recht auf Berichtigung unrichtiger personenbezogener Daten
- Verbraucher haben auch die Recht, nicht diskriminiert zu werden zur Ausübung ihrer Rechte
- Die Zustimmung des Verbrauchers ist für Kinder im Alter von mindestens dreizehn Jahren, aber unter sechzehn Jahren erforderlich, wenn Daten für gezielte Werbung oder den Verkauf personenbezogener Daten verarbeitet werden.
- Das NHPA verlangt die Einhaltung der Gesetz zum Schutz der Online-Privatsphäre von Kindern (COPPA), die sich auf die personenbezogenen Daten eines bekannten Kindes unter 13 Jahren bezieht
Fristen für Anfragen, Einsprüche und autorisierte Vertreter
Zeitplan für die Anforderung von Datenrechten
Damit der Verbraucher seine Rechte unverzüglich ausüben kann, muss eine Organisation einer Datenanfrage nachkommen:
- Ein Unternehmen muss schnell auf die Wünsche der Verbraucher reagieren, aber spätestens 45 Tage nach Empfang der Anfrage.
- Das Unternehmen kann die Antwortfrist verlängern, indem 45 zusätzliche Tage wenn dies vernünftigerweise erforderlich ist. Dennoch muss der Verbraucher innerhalb der ersten 45-tägigen Antwortfrist über jede Verlängerung und den Grund dafür informiert werden.
- Angenommen, ein Unternehmen lehnt es ab, die Anfrage eines Verbrauchers zu erfüllen. In diesem Fall muss das Unternehmen den Verbraucher informieren spätestens 45 Tage nach Erhalt der Anfrage mit der Begründung der Ablehnung und Anweisungen zum Einspruch gegen die Entscheidung.
Einspruchsverfahren
- Eine Organisation muss ein Verfahren einrichten, mit dem Verbraucher innerhalb einer angemessenen Frist nach Erhalt der Entscheidung Einspruch gegen die Ablehnung einer Bearbeitung eines Antrags einlegen können. Laut Gesetz muss das Einspruchsverfahren leicht zugänglich sein und dem Verfahren zur Einreichung von Anträgen auf Einleitung eines Verfahrens ähneln.
- Innerhalb von 60 Tagen nach Eingang eines Einspruchsmuss ein Unternehmen den Verbraucher schriftlich über alle als Reaktion auf den Einspruch ergriffenen oder nicht ergriffenen Maßnahmen informieren und dabei auch die Gründe für die Entscheidung schriftlich darlegen.
- Wird der Einspruch abgelehnt, muss eine Organisation dem Verbraucher außerdem einen Online-Mechanismus (sofern verfügbar) oder eine andere Methode zur Verfügung stellen, über die der Verbraucher den Generalstaatsanwalt kontaktieren und eine Beschwerde einreichen kann.
Bevollmächtigter
- Ein Verbraucher kann einen autorisierten Vertreter benennen, der sein Widerspruchsrecht in Bezug auf die Verarbeitung seiner Daten in seinem Namen ausübt.
- Bei der Verarbeitung der personenbezogenen Daten eines Kindes können die Eltern oder Erziehungsberechtigten diese Verbraucherrechte im Namen des Kindes ausüben.
- Ein Verbraucher kann auch eine andere Person als seinen bevollmächtigten Vertreter benennen und in seinem Namen handeln, um der Verarbeitung personenbezogener Daten zu widersprechen.
- Ein für die Verarbeitung Verantwortlicher muss einer Opt-out-Anfrage eines bevollmächtigten Vertreters nachkommen, wenn er mit wirtschaftlich vertretbarem Aufwand die Identität des Verbrauchers und die Befugnis des bevollmächtigten Vertreters, im Namen des Verbrauchers zu handeln, überprüfen kann.
Geschäftsverpflichtungen
Das NHPA legt Geschäftspflichten fest, die denen anderer Bundesstaaten sehr ähnlich sind. Zu den Pflichten gehören:
- Beschränken Sie die Erfassung personenbezogener Daten auf das, was angemessen, relevant und vernünftigerweise notwendig ist.
- Etablieren, implementieren und pflegen Sie Datensicherheitspraktiken.
- Sorgen Sie für eine wirksame Universeller Opt-Out-Mechanismus (UOOM) für Verbraucher, ihre Zustimmung zu verweigern.
- Verbieten Sie die Verarbeitung personenbezogener Daten unter Verletzung der Gesetze, die eine unrechtmäßige Diskriminierung von Verbrauchern verbieten, und unterlassen Sie die Diskriminierung von Verbrauchern, die ihre Rechte ausüben.
- Verbot der Verarbeitung personenbezogener Daten von Verbrauchern für gezielte Werbung oder den Verkauf ohne deren Einwilligung, insbesondere wenn der Verbraucher mindestens 13 Jahre alt, aber jünger als 16 Jahre ist.
Anforderung von Datenschutzbewertungen
Das NHPA verlangt die Dokumentation einer Datenschutzbewertung, um potenzielle Risiken für Verbraucher zu identifizieren, wenn die Datenverarbeitung ein erhöhtes Schadensrisiko birgt. „Erhöhtes Risiko“ umfasst:
- Gezielte Werbung
- Profilerstellung
- Verkauf personenbezogener Daten
- Verarbeitung sensibler Daten
Die Einschätzungen müssen dem Generalstaatsanwalt von New Hampshire auf Anfrage vorgelegt werden.
NHPA-Durchsetzung
Der Generalstaatsanwalt von New Hampshire hat die alleinige Durchsetzungsbefugnis. Bis Ende 2025 muss der Generalstaatsanwalt Organisationen eine 60-tägige Frist zur Benachrichtigung und Abhilfe einräumen, bevor sie Maßnahmen als Reaktion auf einen Verstoß ergreifen, sofern eine Abhilfe möglich ist. Ab dem 1. Januar 2026 kann der Generalstaatsanwalt eine Benachrichtigung mit der Möglichkeit zur Abhilfe erteilen. Gemäß Abschnitt 358-A:4 darf die Nichteinhaltung des NHPA $10.000 pro Verstoß nicht überschreiten.
Wie BigID Unternehmen bei der Einhaltung der SB255-Vorschriften von New Hampshire unterstützt
Obwohl das NHPA mehreren anderen staatlichen Datenschutzgesetzen ähnelt, müssen Unternehmen dennoch die notwendigen Maßnahmen ergreifen, um die Besonderheiten des Verbraucherdatenschutzgesetzes von New Hampshire einzuhalten. BigID ermöglicht Unternehmen, sich proaktiv auf das NHPA vorzubereiten und die Einhaltung der Vorschriften mithilfe seiner patentierten identitätsbasierten Datenschutz-Automatisierungsplattform zu erreichen. Mit BigID können Unternehmen:
- Entdecken Sie NH-Daten: Datenerkennung und -klassifizierung von BigID bietet vollständige Transparenz über alle persönlichen und sensiblen Informationen, die dem NHPA unterliegen.
- NHPA-Richtlinien anwenden: Reduzieren Sie richtlinienbasierte Risiken mit Kontrollen und Datenbereinigungs-Workflows, um die Einhaltung der NHPA-Anforderungen sicherzustellen.
- Automatisieren Sie die Verwaltung von Datenrechten: BigID ermöglicht Unternehmen, Datenschutzanfragen, Präferenzen und Einwilligungen automatisch verwalteneinschließlich UOOM, damit die Verbraucher dem Datenverkauf, der gezielten Werbung und der Profilerstellung widersprechen können.
- Daten minimieren: Führen Sie eine Datenminimierung durch, indem Sie unnötige oder übermäßige personenbezogene Daten identifizieren und kategorisieren, um den Datenlebenszyklus von der Aufbewahrung bis zur Löschung zu verwalten.
- Implementieren Sie Datenschutzkontrollen: BigID bietet automatisierte Datenschutzkontrollen für Durchsetzung von Datenzugriffskontrollen und andere Sicherheitsmaßnahmen, die für den Schutz der Daten und die Einhaltung des NHPA von entscheidender Bedeutung sind.
- Risiko einschätzen: BigID bietet automatisierte Datenschutz-Folgenabschätzungen, Datenbestandsberichte und Sanierungs-Workflows zur Identifizierung von Risiken und zur Meldung an den Generalstaatsanwalt von New Hampshire.
Vereinbaren Sie eine 1:1-Demo um zu sehen, wie BigID Ihnen helfen kann, die NHPA-Konformität zu erreichen.
Autor
