Rechtsbericht | USA | Datenschutzrecht
Datenschutzgesetz in Rhode Island
Der Rhode Island Data Transparency and Privacy Protection Act wird am 1. Januar 2026 in Kraft treten.
10.09.2024
Von Jan Sebisch | Bonn
Am 28. Juni 2024 hat der US-Bundesstaat Rhode Island den Rhode Island Data Transparency and Privacy Protection Act (RI-DTPPA) verabschiedet. Der RI-DTPPA tritt am 1. Januar 2026 in Kraft.
In den Anwendungsbereich des RI-DTPPA fallen Unternehmen beziehungsweise sogenannte controller (Verarbeiter), die in Rhode Island geschäftlich tätig sind (conduct business in Rhode Island) oder Produkte für die Einwohner von Rhode Island herstellen oder ihnen Dienstleistungen anbieten (produce products or services targeted to residents of Rhode Island) und dabei innerhalb eines Kalenderjahres:
- die personenbezogenen Daten von 35.000 Verbrauchern kontrolliert oder verarbeitet haben, mit Ausnahme personenbezogener Daten, die ausschließlich zum Zwecke der Abwicklung von finanziellen Transaktionen kontrolliert oder verarbeitet worden sind; oder
- die personenbezogenen Daten von 10.000 Verbrauchern kontrolliert oder verarbeitet haben und mehr als 20 Prozent ihres Bruttoumsatzes aus dem Verkauf personenbezogener Daten erzielt haben.
Als Verbraucher (consumer/customer) im Sinne des Gesetzes gelten natürliche Personen mit Wohnsitz in Rhode Island, die im eigenen Namen handeln und nicht in einem kommerziellen oder beruflichen Kontext.
Personenbezogene Daten (personal data) im Sinne des RI-DTPPA sind alle Informationen, die einer identifizierbaren Person zugeordnet werden können.
Der RI-DTPPA räumt den Verbrauchern unter anderem ein Recht auf Löschung und Korrektur ihrer personenbezogenen Daten ein. Ein Unternehmen hat innerhalb von 45 Tagen auf eine etwaige Anfrage eines Verbrauchers zu reagieren. Diese Frist kann um weitere 45 Tage verlängert werden, wenn dies angesichts der Komplexität und Anzahl der Verbraucheranfragen erforderlich ist.
Wie die meisten Datenschutzgesetze der US-Bundesstaaten sieht auch der RI-DTPPA kein privates Klagerecht vor. Die Befugnis zur Durchsetzung der Vorschriften des RI-DTPPA obliegt dem Generalstaatsanwalt von Rhode Island (Rhode Island Attorney General). Verstöße gegen den RI-DTPPA stellen einen Verstoß gegen Titel 6 des Handelsgesetzes von Rhode Island (Rhode Island's Commercial Law) dar und können mit zivilrechtlichen Strafen von bis zu 10.000 US-Dollar (US$) geahndet werden. Ferner sieht der RI-DTPPA vor, dass jede natürliche oder juristische Person, die absichtlich personenbezogene Daten offenlegt, mit einer Geldstrafe von bis zu 500 US$, mindestens jedoch 100 US$, belegt werden kann.