Rechtsbericht | USA | Datenschutzrecht
Datenschutzgesetz in Minnesota
Der Minnesota Consumer Data Privacy Act wird am 31. Juli 2025 in Kraft treten.
10.09.2024
Von Jan Sebisch | Bonn
Am 24. Mai 2024 hat der Gouverneur von Minnesota (Tim Walz) den Minnesota Consumer Data Privacy Act (MCDPA) unterzeichnet. Das Gesetz ähnelt den Datenschutzgesetzen der US-Bundesstaaten New Hampshire und Maryland. Der MCDPA wird am 31. Juli 2025 in Kraft treten.
Vom Anwendungsbereich des MCDPA sind grundsätzlich Unternehmen beziehungsweise sogenannte controller (Verarbeiter) erfasst, die im Bundesstaat Minnesota geschäftlich tätig sind (conduct business in the state of Minnesota) oder Produkte für die Einwohner von Minnesota herstellen oder ihnen Dienstleistungen anbieten (produce products or services targeted to Minnesota residents) und im Kalenderjahr entweder:
- die personenbezogenen Daten von 100.000 Verbrauchern kontrolliert oder verarbeitet haben; oder
- die personenbezogenen Daten von 25.000 Verbrauchern kontrolliert oder verarbeitet haben und mehr als 25 Prozent ihres Bruttoumsatzes aus dem Verkauf personenbezogener Daten erzielt haben;
- keine Kleinunternehmer (small businesses) im Sinne der Vorschriften der U.S. Small Business Administration sind.
Etwaige Umsatzschwellen, um in den Anwendungsbereich des Gesetzes zu fallen, sieht der MCDPA nicht vor.
Als Verbraucher (consumer) im Sinne des Gesetzes gelten natürliche Personen mit Wohnsitz in Minnesota, die im eigenen Namen handeln und nicht in einem kommerziellen oder beruflichen Kontext.
Personenbezogene Daten (personal data) im Sinne des MCDPA sind alle Informationen, die einer identifizierbaren Person zugeordnet werden können.
Der MCDPA räumt den Verbrauchern unter anderem ein Recht auf Löschung und Korrektur ihrer personenbezogenen Daten ein. Ein Unternehmen (beziehungsweise ein controller) hat innerhalb von 45 Tagen auf eine etwaige Anfrage eines Verbrauchers zu reagieren. Diese Frist kann um weitere 45 Tage verlängert werden, wenn dies angesichts der Komplexität und Anzahl der Verbraucheranfragen erforderlich ist.
Wie die meisten Datenschutzgesetze der US-Bundesstaaten sieht auch der MCDPA kein privates Klagerecht vor. Die Befugnis zur Durchsetzung der Vorschriften des MCDPA obliegt dem Generalstaatsanwalt von Minnesota (Minnesota Attorney General). Bis zum 31. Januar 2026 ist der Generalstaatsanwalt verpflichtet, Unternehmen über einen etwaigen Verstoß zu informieren und ihnen 30 Tage Zeit zu geben, den Verstoß zu beheben. Der Generalstaatsanwalt kann vor Gericht Klage einreichen und verschiedene Formen der Entschädigung beantragen. Ein Gericht kann für jeden Verstoß gegen den MCDPA eine zivilrechtliche Strafe von bis zu 7.500 US-Dollar verhängen.