Was ist TIPA? Tennessees Informationsschutzgesetz

Was ist der Tennessee Information Protection Act?

Der Tennessee Information Protection Act, allgemein bekannt als TIPA, ist ein staatliches Gesetz, das Schutz der persönlichen Daten der BewohnerEs legt Regeln für Unternehmen fest, die mit derartigen Daten umgehen, darunter Sicherheitsmaßnahmen, Meldung von Verstößen, ordnungsgemäße Entsorgung und Strafen bei Nichteinhaltung. Das TIPA tritt am 1. Juli 2025 in Kraft.

Wie werden PII durch die Verordnung definiert?

Der Tennessee Information Protection Act definiert personenbezogene Daten als alle Daten, die mit einer identifizierten natürlichen Person verknüpft sind oder in begründeten Fällen verknüpft werden können. Die Definition schließt öffentlich zugängliche, anonymisierte oder aggregierte Verbraucherinformationen aus.

Das TIPA enthält außerdem eine Definition für „sensible Daten“, wozu unter anderem personenbezogene Daten gehören, die Aufschluss über die rassische oder ethnische Herkunft, religiöse Überzeugungen, psychische oder physische Gesundheitsdiagnosen, sexuelle Orientierung oder Staatsbürgerschaft oder Einwanderungsstatus geben, genaue Geolokalisierungsdaten, personenbezogene Daten, die von einem bekannten Kind erhoben wurden, sowie die Verarbeitung genetischer oder biometrischer Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person.

Verbraucherrechte in Tennessee

Der Tennessee Information Protection Act (TIPA) verleiht Einzelpersonen bestimmte Rechte in Bezug auf ihre personenbezogenen Daten. Zu diesen Rechten gehören das Recht, die Berichtigung unrichtiger Daten, die Löschung und den Zugriff auf ihre personenbezogenen Daten zu verlangen. Einzelpersonen können außerdem dem Verkauf ihrer personenbezogenen Daten, gezielter Werbung oder der Profilerstellung zur Unterstützung von Entscheidungen mit rechtlichen oder ähnlich schwerwiegenden Auswirkungen auf den Verbraucher widersprechen. Darüber hinaus verlangt der TIPA die Einwilligung zur Verarbeitung sensibler Daten.

Nach Erhalt einer Verbraucheranfrage müssen die Verantwortlichen innerhalb von 45 Tagen antworten, wobei bei komplexen oder zahlreichen Anfragen eine Verlängerung um 45 Tage möglich ist. Ähnlich wie bei den Datenschutzgesetzen in Colorado, Connecticut, Virginia, Iowaund IndianaDas TIPA verpflichtet die Verantwortlichen, ein Beschwerdeverfahren für abgelehnte Anfragen mit einer 60-tägigen Antwortfrist anzubieten. Wird der Einspruch abgelehnt, muss der Verantwortliche dem Verbraucher außerdem, sofern verfügbar, einen Online-Mechanismus oder eine andere Möglichkeit zur Verfügung stellen, über die er den Generalstaatsanwalt und den Reporter kontaktieren und eine Beschwerde einreichen kann.

Das TIPA gewährt kein privates Klagerecht. Die Durchsetzungsbefugnis liegt ausschließlich beim Generalstaatsanwalt von Tennessee, der für jeden Verstoß zivilrechtliche Strafen von bis zu 14 Billionen US-Dollar pro Jahr verhängen kann – ein höherer Betrag als in den meisten anderen Datenschutzgesetzen anderer Bundesstaaten.

TIPA betrachtet jede verletzte Bestimmung und jeden betroffenen Verbraucher als separaten Verstoß, was zu einer schnellen Anhäufung von Strafen führen kann. Bei vorsätzlichen oder wissentlichen Verstößen können Gerichte den dreifachen Schadenersatz zusprechen. Den Verletzern wird jedoch nach einer Benachrichtigung durch den Generalstaatsanwalt eine 60-tägige Gelegenheit zur Behebung der Verstöße eingeräumt, bevor Strafen verhängt werden.

TIPA-Verstöße

Der Tennessee Information Protection Act (TIPA) weist die Generalstaatsanwalt von Tennessee (AG) als alleinige Autorität zur Durchsetzung seiner Bestimmungen unter Ausschluss privater Klagerechte. Im Falle eines mutmaßlichen Verstoßes haben Verantwortliche und Auftragsverarbeiter eine 60-tägige Frist zur Behebung des Verstoßes. Diese Frist unterscheidet sich von anderen staatlichen Datenschutzgesetzen dadurch, dass sie unbefristet ist. Wird der Verstoß nicht innerhalb dieser Frist behoben, kann der Generalstaatsanwalt zivilrechtliche Strafen von bis zu $7.500 pro Verstoß verhängen.

DSGVO vs. TIPA: Wie schneiden sie im Vergleich ab?

TIPA (Tennessee Information Protection Act) und DSGVO (Datenschutz-Grundverordnung) Es gibt zwei unterschiedliche Datenschutzgesetze mit einigen bemerkenswerten Unterschieden:

• Zuständigkeit: TIPA ist ein Gesetz des Bundesstaates Tennessee, USA, während GDPR ist eine umfassende Regelung, die für alle EU-Mitgliedsstaaten gilt.
• Umfang: TIPA konzentriert sich in erster Linie auf den Schutz personenbezogener Daten von Einwohnern des Staates Tennessee, während die DSGVO für die personenbezogenen Daten von Personen innerhalb der EU gilt, unabhängig von ihrem Wohnsitz.
• Vollstreckung: Gemäß TIPA liegt die Durchsetzungsbefugnis ausschließlich beim Generalstaatsanwalt und Reporter des Staates Tennessee, während die DSGVO sowohl Aufsichtsbehörden als auch Einzelpersonen die Möglichkeit bietet, ihre Bestimmungen auf dem Rechtsweg durchzusetzen.
• Privates Klagerecht: TIPA gewährt kein privates Klagerecht, d. h. Einzelpersonen können bei Verstößen nicht direkt klagen, während die DSGVO Einzelpersonen das Recht einräumt, Rechtsmittel einzulegen und Schadensersatz für durch die Nichteinhaltung entstandene Schäden zu fordern.
• Heilungszeitraum: TIPA sieht eine 60-tägige Frist zur Abhilfe vor, innerhalb derer Verantwortliche und Auftragsverarbeiter die Nichteinhaltung beheben können, während die DSGVO keine feste Abhilfefrist für Verstöße vorsieht.
• Sanktionen: Laut TIPA kann der Generalstaatsanwalt des Staates Tennessee zivilrechtliche Strafen von bis zu 1.400.000 TP7.500 pro Verstoß verhängen, während die DSGVO Geldbußen von bis zu 20 Millionen Euro oder 41.300.000 TP3B des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres vorsieht, je nachdem, welcher Betrag höher ist.
• Territoriale Reichweite: TIPA gilt in erster Linie für Datenverantwortliche und -verarbeiter, die im Bundesstaat Tennessee tätig sind, während die DSGVO eine extraterritoriale Reichweite hat und sich auf Organisationen außerhalb der EU auswirkt, wenn diese personenbezogene Daten von EU-Bürgern verarbeiten.

Was können Organisationen tun, um sich vorzubereiten?

Zur Vorbereitung auf die TIPA-Konformität können Organisationen die folgenden Schritte befolgen:

1. Machen Sie sich vertraut mit: Machen Sie sich mit den Anforderungen und Bestimmungen des Tennessee Information Protection Act (TIPA) gründlich vertraut, um festzustellen, wie dieser auf Ihr Unternehmen zutrifft.
2. Führen Sie ein Datenaudit durch: Bewerten Sie die persönlichen Informationen, die Sie erfassen, speichern und verarbeiten, um festzustellen, welche Daten in den Zuständigkeitsbereich von TIPA fallen, und stellen Sie deren Schutz sicher.
3. Implementieren Sie Sicherheitsmaßnahmen: Treffen Sie angemessene Sicherheitsmaßnahmen zum Schutz personenbezogener Daten, darunter Verschlüsselung, Zugriffskontrollen, Firewalls und regelmäßige Sicherheitsüberprüfungen.
4. Richtlinien und Verfahren entwickeln: Erstellen Sie umfassende Datenschutzrichtlinien und -verfahren, die den TIPA-Anforderungen entsprechen. Dazu gehören Richtlinien für die Meldung von Datenschutzverletzungen, die ordnungsgemäße Datenentsorgung und Verbraucherrechte.
5. Mitarbeiter schulen und Einhaltung überwachen: Informieren Sie Ihre Mitarbeiter über die Bestimmungen des TIPA und ihre Verantwortlichkeiten im Hinblick auf den Datenschutz und überwachen Sie die Einhaltung regelmäßig, um sicherzustellen, dass die gesetzlichen Anforderungen eingehalten werden.

BigIDs Ansatz zur TIPA-Compliance

Die Einhaltung der TIPA-Vorschriften ist ein fortlaufender Prozess, der flexible und skalierbare Lösungen erfordert, die den Anforderungen Ihres Unternehmens entsprechen. BigID ist eine Data-Intelligence-Plattform der nächsten Generation für Datenschutz, Sicherheit, und Steuerung das maschinelles Lernen und fortschrittliche KI für automatisierte Tiefgehende Datenermittlung und -klassifizierung. Bewerten Sie Ihr Datenschutzrisiko und ergreifen Sie proaktiv Maßnahmen, um alle Ihre vertraulichsten Unternehmensdaten zu schützen.

BigIDs Datenschutz-Suite bietet eine Vielzahl leistungsstarker Tools zur Verwaltung und Verfolgung DSAR-Anfragen, überwachen Sie die Zustimmungsverwaltung, führen Sie gezielte Datenschutz-Folgenabschätzungen durch und vieles mehr.

Für eine optimierte Einhaltung der TIPA-Vorschriften, Vereinbaren Sie noch heute eine kostenlose 1:1-Demo mit unseren Datenschutzexperten.

Autor

Alexis Porter

Leiterin für Content Marketing

Alexis arbeitet als Content Marketing Manager für den branchenführenden DSPM-Anbieter BigID. Sie hat sich darauf spezialisiert, Tech-Start-ups dabei zu helfen, ihre Stimme zu schärfen, um überzeugende Geschichten zu erzählen, die bei unterschiedlichen Zielgruppen Anklang finden. Sie hat einen Bachelor-Abschluss in professionellem Schreiben und einen Master-Abschluss in Marketingkommunikation von der University of Denver. Alexis arbeitet von Orlando, FL aus.