Sie sind ein ausländisches Unternehmen, das in Deutschland investieren möchte?

Rechtsbericht | USA | Datenschutzrecht

Entwicklungen im US-Datenschutzrecht im Jahr 2021

Datenschutzrechtliche Regelungen ändern sich in den USA ständig. Für Unternehmen kann es eine komplizierte Aufgabe sein, mit den Gesetzen von 50 US-Bundesstaaten Schritt zu halten.

Von Jan Sebisch | Bonn

Kein einheitliches Bundesdatenschutzgesetz

Ein einheitliches Bundesdatenschutzgesetz existiert in den USA nach wie vor nicht. Allerdings hat eine Vielzahl von Bundesstaaten in den letzten Jahren über umfassende Datenschutzgesetze diskutiert und diese in einigen Fällen sogar erlassen. 

Am bekanntesten ist der bereits am 1. Januar 2020 in Kraft getretene California Consumer Privacy Act (CCPA), dessen endgültige Regelungen im August 2020 vom California Office of Administrative Law genehmigt worden sind. Ferner haben die kalifornischen Wähler am 3. November 2020 der Verabschiedung des California Privacy Rights Act (CPRA) zugestimmt. Der CPRA wird voraussichtlich 2023 in Kraft treten und die Regelungen des CCPA ergänzen.

Der CCPA enthält eine weitreichende Definition des Begriffs "personenbezogene Daten" und räumt den Verbrauchern in Bezug auf ihre Daten mit EU-Niveau vergleichbare Betroffenenrechte ein (zum Beispiel das Recht auf Löschung) und in bestimmten Konstellationen ein privates Klagerecht. Der CPRA erweitert den Schutz personenbezogener Daten und verpflichtet unter anderem die Unternehmen dazu, zusätzliche Mechanismen für den Zugriff, die Korrektur oder das Löschen von personenbezogenen Daten bereitzustellen.

Weitere Informationen zum Anwendungsbereich des CCPA finden Sie in den GTAI-Rechtsberichten: Aktuelle Entwicklungen im US-Datenschutzrecht und Entwicklungen im Datenschutzrecht in den USA im Jahr 2020.

Im Jahr 2021 haben nunmehr auch die US-Bundesstaaten Virginia und Colorado Datenschutzgesetze erlassen. Mithin existieren aktuell nur in drei Bundestaaten umfassende Datenschutzgesetze.

Virginia Consumer Data Protection Act

Am 2. März 2021 hat Virginia mit dem Erlass des Virginia Consumer Data Protection Act (VCDPA) als zweiter Bundesstaat ein umfassendes Datenschutzgesetz verabschiedet, das am 1. Januar 2023 in Kraft treten wird.

In Anlehnung an den CPRA sieht der VCDPA eine Reihe von Datenschutzverpflichtungen für Unternehmen vor und räumt den Verbrauchern in Virginia mehr Kontrolle über ihre personenbezogenen Daten ein. Der VCDPA wird vom Attorney General von Virginia durchgesetzt und sieht für datenschutzrechtliche Verstöße Geldstrafen in Höhe von bis zu 7.500 US$ vor. Verbrauchern wird unter anderem ein Recht auf Berichtigung und Löschung ihrer personenbezogenen Daten eingeräumt. Auf diesbezüglich eingehende Verbraucheranfragen haben Unternehmen 45 Tage lang Zeit zu reagieren. Diese Frist kann gegebenenfalls um weitere 45 Tage verlängert werden.

Um in den Anwendungsbereich des VCDPA zu fallen, muss ein Unternehmen in Virginia geschäftlich tätig sein oder Produkte oder Dienstleistungen für die Verbraucher in Virginia herstellen beziehungsweise bereitstellen und entweder während eines Kalenderjahres personenbezogene Daten von mindestens 100.000 Verbrauchern verarbeiten oder personenbezogene Daten von mindestens 25.000 Verbrauchern verarbeiten und dabei über 50 Prozent des Bruttoumsatzes mit dem Verkauf personenbezogener Daten erzielen.  

Colorado Privacy Act

Der Colorado Privacy Act- CPA ist am 8. Juni 2021 verabschiedet worden und am 8. Juli 2021 vom Gouverneur des Bundesstaates Colorado (Jared Polis) unterzeichnet worden. Er wird am 1. Juli 2023 in Kraft treten und ist das dritte umfassende Datenschutzgesetz in den Vereinigten Staaten nach dem California Consumer Privacy Act (CCPA) und dem Virginia Consumer Data Protection Act (VCDPA). In Anknüpfung an den CCPA und den VCDPA räumt der CPA Verbrauchern mehr Rechte in Bezug auf ihre personenbezogenen Daten ein (z.B. das Recht auf Löschung).

Von dem Anwendungsbereich des CPA sind Unternehmen erfasst, die in Colorado geschäftlich tätig sind oder kommerzielle Produkte oder Dienstleistungen herstellen, die sich an die Einwohner von Colorado richten, und die entweder (1) personenbezogene Daten von mindestens 100.000 Verbrauchern pro Kalenderjahr kontrollieren oder verarbeiten oder (2) Einnahmen aus dem Verkauf von personenbezogenen Daten erzielen und dabei personenbezogene Daten von mindestens 25.000 Verbrauchern kontrollieren oder verarbeiten.

Ein Verbraucher ist eine natürliche Person mit Wohnsitz in Colorado, die nur als Einzelperson oder in Bezug auf die Haushaltsführung handelt (acting only in an individual or household context). Nicht erfasst sind Personen, die im Rahmen einer gewerblichen oder beruflichen Funktion tätig werden.

Jahresausblick 2022

Weiterhin erwägen insbesondere die Bundesstaaten Washington, Ohio, New Jersey und New York ihre eigenen umfassenden Datenschutzgesetze zu erlassen. Im Bundestaat New York gilt bereits seit 2019 der sogenannte Shield Act. Der Shield Act verpflichtet Unternehmen in New York, jede Sicherheitsverletzung gegenüber den Einwohnern New Yorks, deren Daten kompromittiert wurden, offenzulegen.

Zum Thema:


nach oben
Feedback
Anmeldung

Bitte melden Sie sich auf dieser Seite mit Ihren Zugangsdaten an. Sollten Sie noch kein Benutzerkonto haben, so gelangen Sie über den Button "Neuen Account erstellen" zur kostenlosen Registrierung.