Compliance mit bundesstaatlichen Datenschutzgesetzen

Einzelne US-Bundesstaaten verfügen über eigene Datenschutzgesetze, um den spezifischen Anforderungen und Bedenken ihrer Einwohner in Bezug auf Datenschutz und Datensicherheit gerecht zu werden. Da es kein umfassendes bundesweites Datenschutzgesetz gibt, übernehmen die Bundesstaaten selbst die Verantwortung, die Datenschutzrechte ihrer Bürger zu schützen, den Umgang mit Daten zu regulieren und Standards für Unternehmen innerhalb ihrer Zuständigkeit festzulegen. Diese Gesetze sorgen dafür, dass Unternehmen transparent mit ihren Datenpraktiken umgehen und Verbrauchern Kontrolle darüber geben, wie ihre personenbezogenen Daten verwendet werden.

Die Vereinigten Staaten verfügen derzeit nicht über ein umfassendes nationales Datenschutzgesetz, das mit der Datenschutzgrundverordnung (DSGVO) der EU vergleichbar ist. Stattdessen verfolgt die USA einen sektoralen Ansatz, bei dem unterschiedliche Regeln für bestimmte Branchen oder Datentypen gelten, wie etwa den Health Insurance Portability and Accountability Act (HIPAA) für Gesundheitsdaten und den Gramm-Leach-Bliley Act (GLBA) für Finanzdaten. Da ein nationales Datenschutzgesetz fehlt, erlassen einzelne Bundesstaaten wie Kalifornien, Texas, Colorado, Florida und weitere eigene Datenschutzgesetze zum Schutz der Privatsphäre ihrer Bürger.

Die Anforderungen an die Compliance unterscheiden sich je nach Bundesstaat und Gesetz. Grundsätzlich muss jedes Unternehmen, das personenbezogene Daten von Bürgern sammelt, speichert, verarbeitet oder weitergibt, die jeweiligen Datenschutzgesetze des Bundesstaates einhalten – auch wenn das Unternehmen in einem anderen Staat ansässig ist. In manchen Bundesstaaten gelten bestimmte Regelungen nur für größere Unternehmen oder für solche, die eine bestimmte Datenmenge oder Anzahl von Verbrauchern betreffen.

Die gewährten Rechte können je nach Bundesstaat und Gesetz stark variieren. Zu den häufigsten Rechten zählen das Recht zu erfahren, welche personenbezogenen Daten ein Unternehmen über sie sammelt, das Recht auf Löschung dieser Daten, das Recht, dem Verkauf ihrer personenbezogenen Daten zu widersprechen, sowie das Recht auf Gleichbehandlung bei der Ausübung ihrer Datenschutzrechte. Die genauen Rechte hängen vom jeweiligen Bundesstaat ab.

Der California Consumer Privacy Act (CCPA) und die Datenschutzgrundverordnung (DSGVO) verfolgen beide das Ziel, personenbezogene Daten zu schützen, unterscheiden sich jedoch in mehreren Punkten:

• Geltungsbereich: Der CCPA gilt für Unternehmen, die in Kalifornien tätig sind und personenbezogene Daten von Einwohnern Kaliforniens erfassen, während die DSGVO für alle Organisationen innerhalb der EU oder für solche gilt, die Daten von EU-Bürgern verarbeiten – unabhängig vom Standort des Unternehmens.
• Rechte: Beide Regelwerke gewähren Einzelpersonen das Recht auf Zugang und Löschung ihrer Daten. Die DSGVO beinhaltet darüber hinaus Rechte wie Berichtigung (Korrektur unrichtiger Daten) und Widerspruch (gegen die Verarbeitung personenbezogener Daten), die der CCPA nicht ausdrücklich vorsieht.
• Durchsetzung: Die DSGVO sieht strengere Durchsetzung und höhere Bußgelder vor – bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Die Strafen beim CCPA können bis zu 7.500 US-Dollar pro vorsätzlichem Verstoß betragen.
• Einwilligung: Die DSGVO verlangt eine ausdrückliche und informierte Einwilligung der Betroffenen, bevor personenbezogene Daten erhoben werden. Der CCPA fordert keine vorherige Zustimmung, gibt den Bürgern jedoch das Recht, dem Verkauf ihrer Daten zu widersprechen und so den Verkauf ihrer personenbezogenen Daten durch Unternehmen zu verhindern.