Das lange Warten, ob nach Kalifornien ein weiterer Staat ein umfassendes Datenschutzgesetz verabschiedet, hat endlich ein Ende: Am 3. Februar hat der Senat von Virginia den Virginia Consumer Data Protection Act (CDPA) verabschiedet. Eine identische Version des Gesetzes hatte bereits am 29. Januar das Abgeordnetenhaus von Virginia passiert, was bedeutet, dass die Abstimmung der beiden Versionen des Gesetzes vor der Frist am 11. Februar wahrscheinlich eine reine Formalität sein wird. Der Gesetzentwurf wird dann dem Gouverneur von Virginia zur Unterschrift vorgelegt. Sollte er unterzeichnet werden, wird der Virginia CDPA am 1. Januar 2023 in Kraft treten, am selben Tag wie der California Privacy Rights Act (CPRA).
Der CDPA lehnt sich an die Prinzipien des CPRA, des California Consumer Privacy Act (CCPA) und der General Data Protection Regulation (GDPR) an, unterscheidet sich aber auch in wichtigen Punkten von allen drei. Im Folgenden haben wir die wichtigsten Bestimmungen des CDPA zusammengefasst. Wir werden Sie weiterhin auf dem Laufenden halten, wenn der Gesetzesentwurf die Legislative von Virginia durchläuft.
1. Anwendbarkeit. Das CDPA lehnt sich an das CCPA an, indem es Schwellenwerte zur Bestimmung der Anwendbarkeit verwendet. Das Gesetz gilt für “Personen, die in [Virginia] geschäftlich tätig sind oder die Produkte oder Dienstleistungen herstellen, die sich an Einwohner von [Virginia] richten und die: 1) während eines Kalenderjahres personenbezogene Daten von mindestens 100.000 Einwohnern von Virginia kontrollieren oder verarbeiten oder 2) personenbezogene Daten von mindestens 25.000 Einwohnern von Virginia kontrollieren oder verarbeiten und mehr als 50 Prozent der Bruttoeinnahmen aus dem Verkauf von personenbezogenen Daten erzielen.”
2. Ausnahmen. Obwohl das CDPA als “umfassendes” Datenschutzgesetz bezeichnet wird, hat es eine Reihe von Ausnahmen (ähnlich wie das CCPA und CPRA). Einige dieser Ausnahmen ähneln denen des CCPA und CPRA, aber in einigen Fällen sind sie weiter gefasst als die der anderen beiden Gesetze. Anstatt zum Beispiel nur Informationen auszunehmen, die dem Gramm-Leach-Bliley Act (GLBA) oder geschützten Gesundheitsdaten nach dem Health Information Portability and Accountability Act (HIPAA) unterliegen, gilt der CDPA nicht für “Finanzinstitute . . . die [dem GLBA] unterliegen” oder für “betroffene Unternehmen oder Geschäftspartner, die unter [HIPAA] fallen”. Das Gesetz nimmt auch Informationen aus, die den meisten anderen Bundesgesetzen unterliegen, wie z. B. Informationen, die durch den Family Education and Privacy Act, den Fair Credit Reporting Act, den Farm Credit Act, den Children’s Online Privacy Protection Act (COPPA) und den Driver’s Privacy Protection Act geregelt werden.
Cookie Consent Manager | 2-wöchige kostenlose Testversion
Starten Sie eine 2-wöchige kostenlose Testversion für unsere kostenpflichtigen Pläne oder erstellen Sie ein Kostenloses Konto. …
3. Unterscheidung zwischen Controller/Verarbeiter. Wie die GDPR (und anders als die CCPA, die zwischen “Unternehmen” und “Dienstleistern” unterscheidet), verwendet die CDPA eine Dichotomie von “Controller” und “Prozessor”, um zwischen Unternehmen, die für die Bestimmung der Zwecke und Mittel der Verarbeitung personenbezogener Daten verantwortlich sind, und den Unternehmen, die personenbezogene Daten in ihrem Namen verarbeiten, zu unterscheiden. Wie die Datenschutz-Grundverordnung (DSGVO) schafft das CDPA spezifische Verpflichtungen sowohl für die für die Verarbeitung Verantwortlichen als auch für die Auftragsverarbeiter (und beide können nach dem Gesetz haftbar gemacht werden).
4. Breite Definition von personenbezogenen Daten. Ähnlich wie die anderen drei besprochenen Datenschutzgesetze hat das CDPA eine breite Definition von “personenbezogenen Daten”. Es definiert den Begriff als “jede Information, die mit einer identifizierten oder identifizierbaren natürlichen Person verknüpft ist oder vernünftigerweise verknüpft werden kann”. Die Definition von personenbezogenen Daten schließt öffentlich zugängliche Informationen und de-identifizierte Daten ausdrücklich aus (und das Gesetz hat spezifische Standards dafür, wie Unternehmen de-identifizierte Daten behandeln müssen).
5. Aufnahme der Kategorie “sensible Daten”. Das CDPA hat eine separate Kategorie mit der Bezeichnung “sensible Daten”, die definiert ist als 1) personenbezogene Daten, die Aufschluss über die rassische oder ethnische Herkunft, religiöse Überzeugungen, geistige oder körperliche Gesundheitsdiagnosen, die sexuelle Orientierung oder die Staatsangehörigkeit oder den Einwanderungsstatus geben; 2) genetische oder biometrische Daten (die zum Zweck der Identifizierung einer natürlichen Person verwendet werden); 3) personenbezogene Daten, die von einem Kind erhoben wurden; oder 4) präzise Geolokalisierungsdaten. Controller dürfen sensible Daten nur mit der Zustimmung des Verbrauchers (oder mit der Zustimmung der Eltern gemäß COPPA, im Falle von Kinderdaten) verarbeiten.
Sind Sie eine Agentur, ein Webdesigner oder ein anderer potentieller Reseller?
Verdienen Sie 30% Provision, werfen Sie einen Blick auf unser Reseller-Modell oder kontaktieren Sie uns für Kundenzahlen über 500
6. Individuelle Rechte. Wie alle drei zuvor besprochenen Gesetze schafft auch das CDPA individuelle Rechte für Einwohner von Virginia, die durch das Gesetz geschützt sind. Dazu gehören 1) das Recht auf Zugang, 2) das Recht auf Änderung, 3) das Recht auf Löschung, 4) das Recht auf Datenübertragbarkeit und 5) das Recht auf Widerspruch gegen die Verarbeitung personenbezogener Daten für Zwecke der gezielten Werbung, des Verkaufs und der Profilerstellung zur Förderung von Entscheidungen, die rechtliche oder ähnlich bedeutende Auswirkungen auf den Verbraucher haben.
7. Datenschutz-Bewertungen. Wie die GDPR und das CPRA verlangt auch das CDPA von Unternehmen, dass sie bei der Verarbeitung von Daten in bestimmten Kontexten eine Datenschutzprüfung durchführen. Insbesondere verlangt der CDPA eine Datenschutzprüfung, wenn ein für die Verarbeitung Verantwortlicher 1) personenbezogene Daten für die Zwecke gezielter Werbung verarbeitet; 2) personenbezogene Daten verkauft; 3) personenbezogene Daten für die Zwecke der Profilerstellung (in bestimmten Zusammenhängen) verarbeitet; 4) sensible Daten verarbeitet; und 5) eine Verarbeitungstätigkeit durchführt, die ein erhöhtes Risiko von Schäden für Verbraucher darstellt.
8. Durchsetzung. Wie der CCPA kann auch der CDPA durch zivilrechtliche Klagen des Generalstaatsanwalts durchgesetzt werden und enthält ebenfalls eine 30-tägige Heilungsfrist. Die Strafen unter dem CDPA können sowohl für Controller als auch für Prozessoren bis zu $7.500 pro Verstoß betragen. Im Gegensatz zum CCPA gibt es im CDPA kein privates Klagerecht, auch nicht bei Sicherheitsvorfällen.