Rechtsbericht | USA | Datenschutzrecht
Datenschutzgesetz in Connecticut
Der Connecticut Data Privacy Act ist am 1. Juli 2023 in Kraft getreten.
10.09.2024
Von Jan Sebisch | Bonn
Der Connecticut Data Privacy Act (CTDPA) ist am 28. April 2022 von den Connecticut General Assembly verabschiedet worden und am 1. Juli 2023 in Kraft getreten.
Der Anwendungsbereich des Gesetzes erstreckt sich grundsätzlich auf Unternehmen beziehungsweise sogenannte „controller“ (Verarbeiter), die in Connecticut geschäftlich tätig sind (controller that conduct business in Connecticut) oder Produkte für die Einwohner von Connecticut herstellen oder ihnen Dienstleistungen anbieten (produce products or services targeted to Connecticut residents) und im vorangegangenen Kalenderjahr entweder:
die personenbezogenen Daten von 100.000 Verbrauchern kontrolliert oder verarbeitet haben; oder
die personenbezogenen Daten von 25.000 Verbrauchern kontrolliert oder verarbeitet haben und mehr als 25 Prozent ihres Bruttoumsatzes aus dem Verkauf personenbezogener Daten erzielt haben.
Etwaige Umsatzschwellen, um in den Anwendungsbereich des Gesetzes zu fallen, sieht der CTDPA nicht vor.
Als Verbraucher (consumer) im Sinne des Gesetzes gelten natürliche Personen mit Wohnsitz in Connecticut, die im eigenen Namen handeln und nicht in einem kommerziellen oder beruflichen Kontext.
Personenbezogene Daten (personal data) im Sinne des CTDPA sind alle Informationen, die einer identifizierbaren Person zugeordnet werden können, ausgenommen sind zum Beispiel öffentlich zugängliche Informationen.
Der CTDPA räumt den Verbrauchern unter anderem ein Recht auf Zugriff, Korrektur und Löschung ihrer personenbezogenen Daten ein. Ein Unternehmen (beziehungsweise ein controller) hat auf eine etwaige Anfrage eines Verbrauchers grundsätzlich innerhalb von 45 Tagen zu reagieren.
Ein privates Klagerecht sieht der CTDPA nicht vor. Die Befugnis zur Durchsetzung des CTDPA obliegt dem Generalstaatsanwalt von Connecticut (Connecticut Attorney General). Bis zum 31. Dezember 2024 ist der Generalstaatsanwalt verpflichtet, Unternehmen über einen etwaigen Verstoß zu informieren und ihnen 60 Tage Zeit zu geben, den Verstoß zu beheben. Ab 1. Januar 2025 obliegt es dem Ermessen des Generalstaatsanwaltes, ob er dem Unternehmen die Möglichkeit zur Behebung etwaiger Verstöße gewährt. Bei einem Verstoß gegen den CTDPA kann ein Gericht eine zivilrechtliche Strafe von bis zu 5.000 US-Dollar verhängen.