Was ist der Utah Consumer Privacy Act (UCPA)?
Der Utah Consumer Privacy Act (UCPA) ist ein Datenschutzgesetz, das am 24. März 2022 von der gesetzgebenden Körperschaft des Staates Utah verabschiedet wurde. Es ist auch als Utahs Datenschutzgesetz bekannt und zielt darauf ab, die Datenschutzrechte der Verbraucher in Utah zu schützen.
Das Gesetz, das am 5. Mai 2022 in Kraft trat, gilt für Unternehmen, die personenbezogene Daten von Einwohnern Utahs erfassen und verarbeiten, und räumt Verbrauchern bestimmte Rechte in Bezug auf ihre personenbezogenen Daten ein.
Verbraucherrechte nach dem Datenschutzgesetz von Utah
Unter dem UCPA, Verbraucher haben das Recht zu erfahren, welche persönlichen Daten Unternehmen über sie sammeln, das Recht, die Löschung ihrer personenbezogenen Daten zu verlangen, und das Recht, dem Verkauf ihrer personenbezogenen Daten zu widersprechen. Unternehmen müssen Verbraucher außerdem klar und deutlich über ihre Praktiken bei der Datenerhebung und -verarbeitung informieren.
Das UCPA verpflichtet Unternehmen außerdem dazu, angemessene Sicherheitsmaßnahmen zum Schutz der Verbraucherdaten zu ergreifen und vor der Erfassung sensibler Informationen wie Finanzdaten oder Sozialversicherungsnummern die Zustimmung der Verbraucher einzuholen.
Wenn ein Unternehmen den UCPA nicht einhält, drohen ihm möglicherweise Zwangsmaßnahmen seitens der Generalstaatsanwaltschaft von Utah, darunter Geldstrafen von bis zu $2.500 pro Verstoß.
Insgesamt ähnelt der Utah Consumer Privacy Act in vielerlei Hinsicht anderen Datenschutzgesetzen, wie zum Beispiel dem Kalifornisches Verbraucherschutzgesetz (CCPA) und der Europäischen Union Allgemeine Datenschutzverordnung (GDPR). Es enthält jedoch einige besondere Bestimmungen und Anforderungen, die in Utah tätige Unternehmen kennen müssen.
Ausnahmen gemäß UCPA
Der Utah Consumer Privacy Act (UCPA) ist ein staatliches Datenschutzgesetz, das den Umgang und den Schutz personenbezogener Daten von Verbrauchern durch Unternehmen regelt. Allerdings unterliegen nicht alle Unternehmen dem UCPA, da das Gesetz bestimmte Ausnahmen vorsieht.
Im Folgenden sind einige Beispiele für Unternehmen aufgeführt, die vom UCPA ausgenommen sind:
- Kleine Unternehmen: Unternehmen, deren jährlicher Bruttoumsatz weniger als $25 Millionen beträgt, die nicht die persönlichen Daten von 50.000 oder mehr Verbrauchern verarbeiten und die nicht 50% oder mehr ihres Jahresumsatzes aus dem Verkauf persönlicher Daten erzielen, sind von den meisten Anforderungen des UCPA ausgenommen.
- Finanzinstitute: Unternehmen, die bestimmten Bundesgesetzen unterliegen, wie zum Beispiel der Gramm-Leach-Bliley-Gesetz (GLBA) oder die Gesetz über die Übertragbarkeit und Rechenschaftspflicht von Krankenversicherungen (HIPAA), die für Finanzinstitute bzw. Gesundheitsdienstleister gelten, sind von den Anforderungen des UCPA ausgenommen, sofern sie diesen Bundesgesetzen entsprechen.
- Regierungsbehörden: Regierungsbehörden und öffentliche Einrichtungen sind grundsätzlich von den Anforderungen des UCPA ausgenommen, mit Ausnahme der Anforderungen im Zusammenhang mit der Meldung von Datenschutzverletzungen.
- Gemeinnützige Organisationen: Gemeinnützige Organisationen, die personenbezogene Daten für wohltätige oder religiöse Zwecke verarbeiten, sind von den Anforderungen des UCPA ausgenommen.
Es ist wichtig zu beachten, dass diese Ausnahmen bestimmten Bedingungen und Einschränkungen unterliegen und dass Unternehmen, die für eine Ausnahme in Frage kommen, dennoch anderen bundesstaatlichen oder staatlichen Datenschutzgesetzen unterliegen können.

UCPA-Anforderungen für Controller und Prozessoren
Gemäß dem Consumer Privacy Act (UCPA) des Staates Utah sind sowohl Verantwortliche als auch Auftragsverarbeiter verpflichtet, die Datenschutzrechte der Verbraucher zu schützen.
1. Controller: Ein Verantwortlicher ist ein Unternehmen, das die Zwecke und Mittel der Verarbeitung personenbezogener Daten von Verbrauchern bestimmt. Gemäß dem UCPA müssen Verantwortliche:
- Stellen Sie den Verbrauchern einen Datenschutzhinweis zur Verfügung, in dem die Kategorien der erfassten personenbezogenen Daten, die Zwecke ihrer Verwendung und die Kategorien von Drittparteien, mit denen sie geteilt werden, offengelegt werden.
- Ermöglichen Sie Verbrauchern die Ausübung ihrer Rechte auf Zugriff, Löschung und Widerspruch gegen den Verkauf ihrer personenbezogenen Daten.
Holen Sie vor der Verarbeitung sensibler personenbezogener Daten wie Sozialversicherungsnummern, Führerscheinnummern und Bankkontonummern eine Einwilligung ein. - Implementieren Sie angemessene Sicherheitsmaßnahmen, um die persönlichen Daten der Verbraucher vor unbefugtem Zugriff oder Offenlegung zu schützen.
Schließen Sie Verträge mit Auftragsverarbeitern ab, die diese zur Einhaltung der UCPA-Anforderungen verpflichten.
2. Prozessoren: Ein Auftragsverarbeiter ist ein Unternehmen, das personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet. Gemäß dem UCPA müssen Auftragsverarbeiter:
- Verarbeiten Sie personenbezogene Daten nur nach Weisung des Verantwortlichen und nur zu den im Vertrag festgelegten Zwecken.
- Implementieren Sie angemessene Sicherheitsmaßnahmen, um die personenbezogenen Daten vor unbefugtem Zugriff oder Offenlegung zu schützen.
- Benachrichtigen Sie den Verantwortlichen umgehend, wenn es zu einer Datenpanne kommt.
- Löschen oder Zurückgeben der personenbezogenen Daten an den Verantwortlichen bei Vertragsbeendigung.
Es ist wichtig zu beachten, dass der UCPA Verbrauchern das Recht einräumt, bei bestimmten Gesetzesverstößen privat Klage gegen Verantwortliche und Auftragsverarbeiter zu erheben. Daher ist es für Unternehmen von entscheidender Bedeutung, die Verpflichtungen des UCPA einzuhalten, um mögliche rechtliche und finanzielle Konsequenzen zu vermeiden.
Erreichen Sie UCPA-Konformität mit BigID
BigID ist eine Datenschutzplattform das Unternehmen Tools und Lösungen zur Verfügung stellt, um die Einhaltung verschiedener Datenschutzbestimmungen zu erreichen, einschließlich des Utah Consumer Privacy Act (UCPA).
Um die UCPA-Konformität zu erreichen mit BigIDkönnen Unternehmen die folgenden Schritte befolgen:
- Entdeckung: Das automatisierte Datenermittlungstool von BigID scannt die Unternehmensdaten einer Organisation in Multi-Cloud- und lokalen Datenspeichern, um personenbezogene Daten von Einwohnern Utahs zu identifizieren und zu lokalisieren. Mithilfe fortschrittlicher KI und maschinellem Lernen identifiziert die BigID-Plattform sensible Daten wie Sozialversicherungsnummern, Führerscheinnummern und Bankkontonummern.
- Einstufung: BigIDs Datenklassifizierungstool Kategorisiert die personenbezogenen Daten anhand der Sensibilität und des potenziellen Risikos für die Datenschutzrechte der Verbraucher. Das Tool nutzt erweiterte Datenanalysen, um Datenmuster, Beziehungen und Kontext zu identifizieren und so eine genaue Datenklassifizierung zu ermöglichen.
- Abbildung: Das Datenmapping-Tool von BigID erstellt eine visuelle Karte der sensiblen personenbezogenen Daten, die in einer Organisation gespeichert sind. So können Sie leichter erkennen, wo personenbezogene Daten erfasst, verarbeitet, gespeichert und weitergegeben werden, und Ihre UCPA-Compliance-Verpflichtungen beurteilen.
- Rechteverwaltung: BigIDs Datenschutzportal-App ermöglicht es Unternehmen, Anfragen von Verbrauchern zum Datenschutz verwalten wie Zugriff, Löschung und Widerspruch gegen den Verkauf personenbezogener Daten. Das Tool automatisiert den Workflow zur Bearbeitung von Verbraucheranfragen und bietet einen Prüfpfad zum Nachweis der UCPA-Konformität.
- Risikobewertung: BigIDs Risikobewertungstool bietet Unternehmen einen Risiko-Score für die Verarbeitung personenbezogener Daten, basierend auf Faktoren wie Datensensibilität, Datenvolumen und Datennutzung. Dies hilft Unternehmen, ihre Bemühungen zur Einhaltung des Datenschutzes zu priorisieren und Ressourcen entsprechend zuzuweisen.
Um zu sehen, wie BigID Ihrem Unternehmen helfen kann, die Einhaltung der UCPA und anderer Datenschutzbestimmungen— Holen Sie sich noch heute eine kostenlose 1:1-Demo.