Wenn die meisten Amerikaner an New Jersey denken, scheint ihnen „Jersey Shore“ immer als erstes in den Sinn zu kommen. Bis jetzt: New Jersey ist der dreizehnte Bundesstaat, der ein Gesetz zum Schutz der Verbraucherdaten verabschiedet hat.
Der Gesetzgeber von New Jersey verabschiedete den Senatsentwurf 332 am 8. Januar 2024 und unterzeichnete ihn am 16. Januar 2024 vom Gouverneur von New Jersey, Phil Murphy. Das Gesetz tritt ein Jahr nach seiner Verabschiedung in Kraft. 16. Januar 2025.
Was ist das NJ-Datenschutzgesetz SB 332?
New Jersey SB 332 ist ein umfassendes Datenschutzgesetz des Bundesstaates New Jersey. Es soll die persönlichen Daten der Einwohner von New Jersey schützen und Unternehmen dazu verpflichten, strenge Datenschutzmaßnahmen zum Schutz sensibler Daten zu ergreifen. Durch die Festlegung klarer Richtlinien und Anforderungen soll NJ S332 Transparenz, Rechenschaftspflicht und Verbraucherrechte stärken.
Was Unternehmen wissen müssen
NJ SB 332 legt großen Wert auf den Schutz der Privatsphäre der Einwohner von New Jersey. Das Gesetz stärkt Einzelpersonen, indem es ihnen Rechte an ihren persönlichen Daten einräumt und Unternehmen zur Transparenz bei der Datenerhebung, -verarbeitung und -nutzung verpflichtet. Dank verbesserter Datenschutzmaßnahmen haben Verbraucher mehr Kontrolle über ihre persönlichen Daten.
Das NJ SB 332 führt mehrere wichtige Bestimmungen ein, die den Datenschutz und die Datensicherheit in New Jersey stärken. Hier sind einige wichtige Aspekte des Gesetzes:

Wer muss sich daran halten?
NJ SB332 gilt für Unternehmen, die personenbezogene Daten von Einwohnern New Jerseys erheben, verwenden oder weitergeben. Insbesondere unterliegt ein Unternehmen NJ SB332, wenn es:
Betreibt Geschäfte in New Jersey oder produziert Produkte oder Dienstleistungen für Einwohner von New Jersey und während eines Kalenderjahres entweder:
- Kontrolliert oder verarbeitet die persönlichen Daten von mindestens 100.000 Verbrauchern in New Jersey, ausgenommen personenbezogene Daten, die zum Zwecke der Abwicklung einer Transaktion verarbeitet werden; oder
- Kontrolliert oder verarbeitet die personenbezogenen Daten von mindestens 25.000 Verbrauchern in New Jerseyund der Verantwortliche erzielt Einnahmen aus dem Verkauf personenbezogener Daten oder erhält einen Rabatt auf den Preis von Waren oder Dienstleistungen aus dem Verkauf personenbezogener Daten.
Ausgenommen vom Gesetz sind die Daten von gemeinnützigen Organisationen, staatlichen Stellen und bestimmten regulierten Einrichtungen.
Für Unternehmen ist es von entscheidender Bedeutung, zu verstehen, ob sie dem NJ SB332 unterliegen, und die notwendigen Maßnahmen zu ergreifen, um die neue Gesetzgebung einzuhalten.
Vorbereitung auf die Einhaltung von NJ SB 332
Die Einhaltung des NJ SB332 ist für Unternehmen in New Jersey von entscheidender Bedeutung. Das Gesetz kann zu erheblichen Strafen und Reputationsschäden führen, wenn Unternehmen die Vorschriften nicht einhalten. Hier sind einige wichtige Punkte zur Einhaltung der Vorschriften:
Hinweis zum Datenschutz
Organisationen sind verpflichtet, einen Datenschutzhinweis bereitzustellen, der Folgendes beschreibt:
- die Kategorien personenbezogener Daten, die verarbeitet werden
- die Verarbeitungszwecke
- die Kategorien von Dritten, denen personenbezogene Daten offengelegt werden
- die Kategorien personenbezogener Daten, die an Dritte weitergegeben werden
- wie Verbraucher ihre Rechte ausüben und gegen eine Entscheidung über die Auskunftserteilung über ihre Daten Einspruch einlegen können
- wie die Organisation Verbraucher über wesentliche Änderungen der Datenschutzerklärung informiert
- Organisationen müssen eine E-Mail-Adresse oder ein anderes Online-System (Webformular oder Portal) bereitstellen, über das der Verbraucher das Unternehmen kontaktieren kann

Datenschutzbewertungen
Unternehmen müssen regelmäßig Datenschutzprüfungen (DPA) durchführen, um Schwachstellen frühzeitig zu identifizieren und zu beheben. Das Gesetz schreibt ausdrücklich eine DPA vor, wenn Daten verarbeitet werden, die ein erhöhtes Risiko für Verbraucher darstellen. Die Prüfungen müssen dem Generalstaatsanwalt von New Jersey auf Anfrage vorgelegt werden.
Universelle Opt-Out-Mechanismen (UOOM)
Universelle Opt-Out-Mechanismen Es gab eine anhaltende Debatte zwischen den Parlamenten verschiedener Bundesstaaten, die zu mehreren Streitigkeiten führte. New Jersey unterstützt UOOMs nicht nur für gezielte Werbung und den Verkauf personenbezogener Daten – der Anwendungsbereich wird erweitert und umfasst nun auch Opt-outs für die Profilerstellung, was das erste staatliche Gesetz darstellt. Das Gesetz ermächtigt die Abteilung für Verbraucherangelegenheiten des Generalstaatsanwalts von New Jersey Regeln und Vorschriften bezüglich der technischen UOOM-Spezifikationen anzuwenden.
Darüber hinaus unter NJ SB332, darf eine UOOM „keine Standardeinstellung verwenden, die einem Verbraucher die Verarbeitung [für Zwecke gezielter Werbung] oder den Verkauf personenbezogener Daten ermöglicht, es sei denn, der Verantwortliche hat festgestellt, dass der Verbraucher eine solche Standardeinstellung ausgewählt hat und diese Auswahl eindeutig die bejahende, freiwillig gegebene und eindeutige Entscheidung des Verbrauchers darstellt, sich für die Verarbeitung seiner personenbezogenen Daten zu entscheiden.“
Bußgelder und Durchsetzung
Es gibt eine Schonfrist für die ersten 18 Monate nach dem Inkrafttreten des Gesetzes, also ein Jahr nach Inkrafttreten des Gesetzes. Der Generalstaatsanwalt von New Jersey wird Regeln und Vorschriften erlassen und zusätzliche Leitlinien bereitstellen für Datenrechteanfragen, Anforderungsüberprüfung, Datenverarbeitungsbewertungen und Opt-out-Mechanismen.
Ein Verstoß gegen NJ SB332 gilt als Verstoß gegen die unlauteren, irreführenden Handlungen und Praktiken des Staates New Jersey (UDAP), und der Generalstaatsanwalt kann beim ersten Verstoß Strafen von bis zu 141.000 TP1 und beim zweiten und allen weiteren Verstößen von bis zu 142.000 TP1 verhängen.
Verbraucherrechte in New Jersey
Der S332-Gesetzentwurf von New Jersey würde den Verbrauchern viele der gleichen Rechte gewähren, die bereits in den geltenden bundesstaatlichen Regelungen verankert sind, wie etwa in Kalifornien, Colorado, Connecticut, Utah und Virginia sowie in mehreren anderen Bundesstaaten, deren Datenschutzgesetze 2024 und 2025 in Kraft treten.
NJ SB332 gewährt den Einwohnern von New Jersey bestimmte Rechte in Bezug auf ihre personenbezogenen Daten, darunter:
- Das Recht zu erfahren, welche personenbezogenen Daten erhoben und verarbeitet werden
- Das Recht auf Zugriff und Erhalt einer Kopie ihrer persönlichen Daten
- Das Recht, die Löschung personenbezogener Daten zu verlangen
- Das Recht, dem Verkauf ihrer persönlichen Daten, gezielter Werbung und Profilerstellung zu widersprechen
- Das Recht auf Korrektur, Änderung oder Aktualisierung ihrer personenbezogenen Daten
- Opt-in vs. Opt-out ist für Kinder ab 13 Jahren und unter 17 Jahren erforderlich
- NJ S322 steht im Einklang mit den bundesstaatlichen Gesetz zum Schutz der Online-Privatsphäre von Kindern, die sich auf die personenbezogenen Daten eines bekannten Kindes unter 13 Jahren bezieht
Unternehmen sind verpflichtet, auf Anfragen von Verbrauchern zu Daten innerhalb von 45 Tagen zu antworten. Bei Bedarf ist eine Verlängerung um weitere 45 Tage möglich.
Wie BigID Unternehmen bei der Einhaltung der SB332-Vorschriften von New Jersey unterstützt
Organisationen, die einen proaktiven Ansatz verfolgen, CCPA und andere staatliche Datenschutzgesetze sind besser aufgestellt, um die Einhaltung zu gewährleisten – müssen aber dennoch die notwendigen Maßnahmen ergreifen, um die besonderen Aspekte des Verbraucherdatenschutzgesetzes von New Jersey zu erfüllen. BigID ermöglicht Unternehmen, sich proaktiv auf NJ SB332 vorzubereiten, um die Einhaltung mithilfe seiner patentierten identitätsbasierten Datenschutz-Automatisierungsplattform zu erreichen. Mit BigID können Unternehmen:
- Daten entdecken: BigID bietet Tiefgehende Datenermittlung und -klassifizierung um Datenflüsse abzubilden und vollständige Transparenz über alle persönlichen und sensiblen Informationen zu erhalten, die den NJ SB332-Vorschriften unterliegen.
- Richtlinien anwenden: Reduzieren Sie richtlinienbasierte Risiken durch Kontrollen und Datenbereinigungs-Workflows um Maßnahmen gemäß den Anforderungen von NJ SB332 zu ergreifen.
- Automatisieren Sie die Verwaltung von Datenrechten: BigID ermöglicht es Unternehmen, proaktiv und Datenschutzanfragen automatisch verwalten, Präferenzen und Zustimmung, einschließlich UOOM für Verbraucher, um dem Datenverkauf, gezielter Werbung und Benutzerprofilierung zu widersprechen.
- Daten minimieren: Anwenden Grundsätze der Datenminimierung durch Identifizierung und Kategorisierung unnötiger oder übermäßiger personenbezogener Daten, um den Datenlebenszyklus von der Aufbewahrung bis zur Löschung zu verwalten.
- Implementieren Sie Datenschutzkontrollen: BigID bietet automatisierte Datenschutzkontrollen für Durchsetzung von Datenzugriffskontrollen und andere Sicherheitsmaßnahmen, die zum Schutz der Daten und zur Einhaltung von NJ SB332 von entscheidender Bedeutung sind.
- Risiko einschätzen: BigID bietet automatisierte Datenschutz-Folgenabschätzungen, Datenbestandsberichte und Sanierungsworkflows um Risiken zu identifizieren, dem Generalstaatsanwalt von New Jersey Bericht zu erstatten und die Einhaltung von NJ SB332 sicherzustellen.
Vereinbaren Sie eine 1:1-Demo um zu sehen, wie BigID Ihre Einhaltung von NJ SB332 beschleunigen kann.