Compliance mit Datenschutzgesetzen der US-Bundesstaaten

Einzelne US-Bundesstaaten verfügen über eigene Datenschutzgesetze, um auf die spezifischen Anforderungen und Bedenken ihrer Einwohner in Bezug auf Datenschutz und Schutz personenbezogener Daten einzugehen. Da ein umfassendes bundesweites Datenschutzgesetz fehlt, haben die Bundesstaaten selbst Maßnahmen ergriffen, um die Datenschutzrechte ihrer Bürger zu schützen, den Umgang mit Daten zu regulieren und Standards für Unternehmen innerhalb ihres Zuständigkeitsbereichs festzulegen. Diese Gesetze sorgen dafür, dass Unternehmen transparent mit ihren Datenpraktiken umgehen und Verbrauchern Kontrolle über die Nutzung ihrer personenbezogenen Daten geben.

Die Vereinigten Staaten verfügen derzeit nicht über ein umfassendes nationales Datenschutzgesetz, das mit der Datenschutzgrundverordnung (DSGVO) der EU vergleichbar ist. Stattdessen verfolgt die USA einen sektoralen Ansatz, bei dem unterschiedliche Regeln für bestimmte Branchen oder Datentypen gelten, wie etwa den Health Insurance Portability and Accountability Act (HIPAA) für Gesundheitsdaten oder den Gramm-Leach-Bliley Act (GLBA) für Finanzdaten. Da es kein nationales Datenschutzgesetz gibt, verabschieden einzelne Bundesstaaten wie Kalifornien, Texas, Colorado, Florida und weitere eigene Datenschutzgesetze zum Schutz der Privatsphäre ihrer Bürger.

Die Anforderungen an die Compliance unterscheiden sich je nach Bundesstaat und Gesetz. Grundsätzlich müssen jedoch alle Unternehmen, die personenbezogene Daten von Bürgern erfassen, speichern, verarbeiten oder weitergeben, die jeweiligen Datenschutzgesetze des Bundesstaates einhalten – auch wenn das Unternehmen in einem anderen Bundesstaat registriert ist. In manchen Bundesstaaten gelten bestimmte Vorschriften nur für größere Unternehmen oder solche, die ein bestimmtes Datenvolumen oder eine bestimmte Anzahl an Verbrauchern betreffen.

Die den Bürgern gewährten Rechte variieren je nach Bundesstaat und Gesetz. Zu den häufigsten Rechten zählen das Recht zu erfahren, welche personenbezogenen Daten ein Unternehmen über sie sammelt, das Recht auf Löschung ihrer Daten, das Recht, dem Verkauf ihrer personenbezogenen Daten zu widersprechen, sowie das Recht auf Nichtdiskriminierung bei der Ausübung ihrer Datenschutzrechte. Die genauen Regelungen hängen vom jeweiligen Bundesstaat ab.

Der California Consumer Privacy Act (CCPA) und die Datenschutzgrundverordnung (DSGVO) verfolgen beide das Ziel, personenbezogene Daten zu schützen, unterscheiden sich jedoch in mehreren Punkten:

• Geltungsbereich: Der CCPA gilt für Unternehmen, die in Kalifornien tätig sind und personenbezogene Daten von Einwohnern Kaliforniens erfassen, während die DSGVO für alle Organisationen innerhalb der EU oder für Unternehmen gilt, die Daten von EU-Bürgern verarbeiten – unabhängig vom Standort des Unternehmens.
• Rechte: Beide Gesetze gewähren Einzelpersonen das Recht auf Auskunft und Löschung ihrer Daten. Die DSGVO umfasst darüber hinaus Rechte wie Berichtigung (Korrektur unrichtiger Daten) und Widerspruch (gegen die Verarbeitung personenbezogener Daten), die der CCPA nicht ausdrücklich vorsieht.
• Durchsetzung: Die DSGVO sieht strengere Durchsetzung und höhere Bußgelder vor – bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Beim CCPA können die Strafen bis zu 7.500 US-Dollar pro vorsätzlichem Verstoß betragen.
• Einwilligung: Die DSGVO verlangt eine ausdrückliche und informierte Einwilligung der Bürger vor der Erhebung personenbezogener Daten. Der CCPA verlangt keine vorherige Zustimmung, gibt den Bürgern jedoch das Recht, dem Verkauf ihrer Daten zu widersprechen und so den Verkauf ihrer personenbezogenen Daten durch Unternehmen zu verhindern.