Die Landschaft der US-Datenschutzgesetze
Während Datenschutz Obwohl die EU ein Katalysator für Veränderungen ist, gibt es in den USA schon seit langem einen Flickenteppich aus Vorschriften, die sich von Staat zu Staat ständig weiterentwickeln.
Nachfolgend finden Sie einen Überblick über die aktuellen und zukünftigen Datenschutzbestimmungen in den USA. Wir haben mehrere Bundesstaaten verglichen, die Datenschutzgesetze zum Schutz der Verbraucherdaten vorgeschlagen, eingeführt, verabschiedet oder unterzeichnet haben. Vergleichstabelle zum Datenschutz nach Bundesstaaten.
US-Datenschutzgeschichte
Datenschutzgesetz (1974)
Der Privacy Act von 1974 war eines der ersten Datenschutzgesetze in den Vereinigten Staaten. Es befasst sich damit, wie „persönlich identifizierbare Daten“ gesammelt, verwendet und verteilt werden. Diese neue Richtlinie bezog sich nur auf die Bundesbehörden, was bedeutet, dass Unternehmen diese Vorschriften nicht befolgen müssen.
FTC – Federal Trades Commission
Die Federal Trades Commission (FTC) ist eine unabhängige Strafverfolgungsbehörde zum Schutz der Verbraucher. Abschnitt 5 des FTC Act verbietet Unternehmen Aktivitäten, die als „irreführend“ oder „unlauter“ gelten. Damit die FTC Maßnahmen ergreifen kann, muss ein klarer Verstoß gegen die Geschäftspolitik oder eine hohe Wahrscheinlichkeit einer erheblichen Schädigung des Verbrauchers vorliegen.
Sektorbasierte Datenschutzgesetze
Sektorbezogene Datenschutzgesetze sind detaillierte Regelungen, die sich hauptsächlich auf Informationen über eine Gruppe oder Einzelpersonen innerhalb eines Sektors konzentrieren. Zum Beispiel: das Children’s Online Protection of Privacy Act (COPPA) schränkt die Erhebung von Daten von Kindern unter 13 Jahren ein. Im Vergleich dazu Gesetz über die Übertragbarkeit und Rechenschaftspflicht von Krankenversicherungen (HIPAA) schützt die Gesundheits- und medizinischen Daten der Patienten, was spezifische Offenlegungen und eine informierte Zustimmung zur Weitergabe der Informationen erfordert.
Gramm-Leach-Bliley Act (GLBA) (1999)
Der Gramm-Leach-Bliley Act ist ein US-Bundesgesetz, das den Umgang von Finanzinstituten mit privaten Daten regelt. Dieses Gesetz umfasst drei Bereiche: Die Financial Privacy Rule regelt, wie persönliche Finanzdaten werden offengelegt und gesammelt; die Safeguards Rule verpflichtet Finanzinstitute dazu, Daten durch die Implementierung eines Sicherheitsprogramms zu schützen; die Pretexting-Bestimmungen verbieten den Zugriff auf private Daten unter Vorspiegelung falscher Tatsachen. Finanzinstitute Im Rahmen dieses Gesetzes sind die Unternehmen außerdem dafür verantwortlich, ihren Kunden schriftliche Mitteilungen mit Erläuterungen zu ihrem Prozess und ihrer Praxis bei der Datenfreigabe zukommen zu lassen.
Gesetz über faire Kreditauskunft (FCRA)
Der Fair Credit Reporting Act schützt die von Verbraucherauskunfteien (medizinischen Informationsunternehmen, Mieter-Screening-Diensten und Kreditauskunfteien) gespeicherten Daten. Er erlaubt auch nicht die Weitergabe von Informationen aus Verbraucherauskünften ohne einen bestimmten Zweck. Darüber hinaus müssen Verbraucher benachrichtigt werden, wenn aufgrund der Berichte nachteilige Maßnahmen ergriffen wurden, sofern die Informationen für Versicherungs-, Kredit- oder Beschäftigungszwecke bestimmt sind.
Status staatlicher Datenschutzgesetze
Kalifornien (CCPA)
Im Jahr 2018 Kalifornisches Verbraucherschutzgesetz Der CCPA („CCPA“) wurde am 1. Juli 2020 in Kraft gesetzt. Er gilt als die umfassendste Datenschutzverordnung in den USA. Der CCPA sieht neue Strafen und Haftungen für die Erhebung, den Verkauf und die Weitergabe personenbezogener Daten vor. Darüber hinaus haben Verbraucher das Recht auf Auskunft und Löschung ihrer Daten durch eine entsprechende Anfrage.
Kalifornien (CPRA)
Die CPRA, eine Änderung des California Consumer Privacy Act von 2018 (CCPA), tritt im Januar 2023 in Kraft und ermöglicht eine rückwirkende Kontrolle der Datenpraktiken eines Unternehmens bis Januar 2020. CPRA ändert die CCPA Die Einführung zusätzlicher Datenschutzrechte für Verbraucher, wie etwa das Recht auf Berichtigung und das Recht auf Einschränkung der Nutzung und Offenlegung sensibler personenbezogener Daten, ist vorgesehen. Außerdem wird die California Privacy Protection Agency (CPPA) gegründet, wodurch die Gesetzgebungs- und Durchsetzungsbefugnis vom Generalstaatsanwalt auf die neue staatliche Regulierungsbehörde übertragen wird.
Virginia (CDPA)
Der Virginia Consumer Data Privacy Act (CDPA) Das Gesetz wurde am 2. März 2021 unterzeichnet und tritt am 1. Januar 2023 in Kraft. Es erfordert die Einwilligung zur Verarbeitung sensibler Daten und der Nutzung durch Dritte, Datenschutzprüfungen und die Einhaltung der Verbraucherrechte (Zugriff, Korrektur, Portabilität, Widerspruch gegen Verkauf und Löschung). Die Nichteinhaltung des VA-Datenschutzgesetzes kann für Unternehmen zudem hohe Geldstrafen nach sich ziehen.
Kurzinformationen zu den US-Datenschutzbestimmungen
- Derzeit sind Kalifornien und Virginia die einzigen beiden Staaten, die ihre Datenschutzgesetze verabschiedet haben.
- Kalifornien ist der einzige Bundesstaat, in dem es eine Regulierungsbehörde gibt, die sich AUSSCHLIESSLICH dem Datenschutz widmet.
- CCPA sieht erhebliche Strafen für Nichteinhaltung und Verletzung der Privatsphäre der Verbraucher vor
- Die Gesetze zur Benachrichtigung bei Datenschutzverletzungen sind in allen 50 Bundesstaaten gleich. Kommt es zu einer Verletzung sensibler Informationen, sind Unternehmen verpflichtet, dies den betroffenen Verbrauchern und den Aufsichtsbehörden in den betroffenen Bundesstaaten zu melden. Beachten Sie jedoch, dass sensible Daten in den einzelnen Bundesstaaten unterschiedlich definiert sind, es aber einige Gemeinsamkeiten gibt. Beispielsweise ist in einigen Bundesstaaten der Mädchenname Ihrer Mutter abgedeckt, während er in anderen nicht als sensibel gilt.
- CPRA und die NY Shield Act Fordern Sie von Hochrisiko-Datenverarbeitern, Risikobewertungen und Cybersicherheitsprüfungen durchzuführen.
- In Kalifornien und Virginia müssen Unternehmen über einen Datenbestand verfügen und Geschäftsabläufe abbilden, um auf alle Datenrechteanfragen.
- Washington, Maryland, New York, Hawaii, Massachusetts, Florida, Colorado, Texas und eine wachsende Zahl von Bundesstaaten verabschieden derzeit eigene Gesetze zum Schutz von Verbraucherdaten. Die meisten von ihnen orientieren sich bei der Ausgestaltung ihrer neuen Datenschutzgesetze stark an der DSGVO und dem CCPA.
Sehen Sie sich einen umfassenden Vergleich der US-Datenschutzbestimmungen an hier - Und Holen Sie sich eine 1:1-Demo um zu erfahren, wie Sie ein zukunftssicheres Datenschutzprogramm erstellen, das sich an aktuelle und neue Datenschutzbestimmungen anpasst.