Rechtsbericht | USA | Datenschutzrecht
Datenschutzgesetz in Delaware
Der Delaware Personal Data Privacy Act wird am 1. Januar 2025 in Kraft treten.
10.09.2024
Von Jan Sebisch | Bonn
Am 11. September 2023 hat der Gouverneur von Delaware (John Carney) den Delaware Personal Data Privacy Act (DPDPA) unterzeichnet. Das Gesetz wird am 1. Januar 2025 in Kraft treten.
Der Anwendungsbereich des DPDPA erstreckt sich grundsätzlich auf Unternehmen beziehungsweise sogenannte „controller“ (Verarbeiter), die in Delaware geschäftlich tätig sind (conduct business in Delaware) oder Produkte für die Einwohner von Delaware herstellen oder ihnen Dienstleistungen anbieten (produce products or services targeted to Delaware residents) und im vorangegangenen Kalenderjahr entweder:
die personenbezogenen Daten von 35.000 Verbrauchern kontrolliert oder verarbeitet haben; oder
die personenbezogenen Daten von 10.000 Verbrauchern kontrolliert oder verarbeitet haben und mehr als 20 Prozent ihres Bruttoumsatzes aus dem Verkauf personenbezogener Daten erzielt haben.
Etwaige Umsatzschwellen, um in den Anwendungsbereich des Gesetzes zu fallen, sieht der DPDPA nicht vor.
Als Verbraucher (consumer) im Sinne des Gesetzes gelten natürliche Personen mit Wohnsitz in Delaware, die im eigenen Namen handeln und nicht in einem kommerziellen oder beruflichen Kontext.
Personenbezogene Daten (personal data) im Sinne des DPDPA sind alle Informationen, die einer identifizierbaren Person zugeordnet werden können, ausgenommen sind öffentlich zugängliche Informationen.
Der DPDPA räumt den Verbrauchern unter anderem ein Recht auf Auskunft, Korrektur und Löschung ihrer personenbezogenen Daten ein. Ein Unternehmen (beziehungsweise ein controller) muss innerhalb von 45 Tagen auf eine etwaige Anfrage eines Verbrauchers reagieren. Diese Frist kann angesichts der Komplexität der Anfrage und Anzahl der Verbraucheranfragen unter Umständen um weitere 45 Tage verlängert werden.
Ein privates Klagerecht sieht der DPDPA nicht vor. Die Befugnis zur Durchsetzung des DPDPA obliegt dem Generalstaatsanwalt von Delaware (Delaware Attorney General). Bis zum 31. Dezember 2025 ist der Generalstaatsanwalt verpflichtet, Unternehmen über einen etwaigen Verstoß zu informieren und ihnen 60 Tage Zeit zu geben, den Verstoß zu beheben. Ab 1. Januar 2026 obliegt es dem Ermessen des Generalstaatsanwaltes, ob er dem Unternehmen die Möglichkeit zur Behebung etwaiger Verstöße gewährt. Im Rahmen des DPDPA kann ein Gericht bei vorsätzlichen Verstößen gegen den DPDPA eine zivilrechtliche Strafe von bis zu 10.000 US-Dollar verhängen.