Colorado Datenschutzgesetz (CPA)

Abgedeckt durch Termly

von: Masha Komnenic CIPP/E, CIPM, CIPT, FIP Masha Komnenic CIPP/E, CIPM, CIPT, FIP | Aktualisiert am: 27. Mai 2025

Testen Sie Termly kostenlos!
Colorado-Gesetz zum Schutz der Privatsphäre-CPA-01

Colorado war der dritte US-Bundesstaat, der ein umfassendes Datenschutzgesetz verabschiedete, als das Colorado-Datenschutzgesetz (CPA) am 7. Juli 2021 von Gouverneur Jared Polis unterzeichnet wurde.

Dieses Gesetz aus Colorado, das seit 2023 in Kraft ist, soll die Privatsphäre der Einwohner des Bundesstaates schützen, indem es ihnen das Recht einräumt, den Verkauf und die Verwendung personenbezogener Daten zu verweigern, sowie das Recht auf Zugang, Berichtigung und Löschung ihrer Daten.

Sie enthält verschiedene Anforderungen, die die betroffenen Unternehmen erfüllen müssen, wie z. B. die Erstellung einer Datenschutzpolitik und die Verwendung von Datenschutzbewertungen für bestimmte Verarbeitungstätigkeiten.

Im Folgenden fasse ich das CPA für Sie zusammen und erkläre, wie es sich auf Unternehmen und Ihre Kunden auswirkt und welche Schritte Sie unternehmen können, um die Anforderungen dieses US-amerikanischen Datenschutzgesetzes zu erfüllen.

Inhaltsübersicht
  1. Was ist das Colorado Privacy Act (CPA)?
  2. Colorado Datenschutzgesetz Wichtige Begriffe und Definitionen
  3. Wer muss sich an das Colorado-Datenschutzgesetz halten?
  4. Verbraucherrechte nach dem Datenschutzgesetz von Colorado
  5. Wie wird das Datenschutzgesetz von Colorado durchgesetzt?
  6. Colorado Privacy Act Strafen und Geldbußen
  7. Anforderungen des Colorado Privacy Act
  8. Wie Sie das Colorado-Datenschutzgesetz einhalten

Was ist das Colorado Privacy Act (CPA)?

Das Colorado Privacy Act ist ein Gesetz zum Schutz der Privatsphäre von Verbrauchern, das sich an Gesetzen wie dem Colorado Privacy Act orientiert:

Die CPA weist jedoch einige entscheidende Unterschiede auf.

Im Allgemeinen gilt das CPA für alle (gewinnorientierten und nicht gewinnorientierten) Unternehmen, die bestimmte Schwellenwerte hinsichtlich der Menge der von ihnen verarbeiteten oder kontrollierten Verbraucherdaten erreichen. Anders als das Datenschutzgesetz von Virginia verlangt das Gesetz von Colorado jedoch keine Umsatzschwelle.

In Virginia und Kalifornien sind gemeinnützige Organisationen von den Datenschutzgesetzen ausgenommen, in Colorado jedoch nicht.

Ein Verstoß gegen das CPA gilt nach dem Verbraucherschutzgesetz von Colorado als betrügerische Handelspraxis.

Colorado Datenschutzgesetz Wichtige Begriffe und Definitionen

Werfen wir einen Blick darauf, wie die CPA bestimmte Begriffe definiert, die wir aus den bestehenden Datenschutzgesetzen kennen.

Steuerungen

Die meisten neuen Anforderungen gelten für die "für die Verarbeitung Verantwortlichen " - eine Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.

Das CPA gilt nur für für die Verarbeitung Verantwortliche, die in Colorado geschäftlich tätig sind oder sich mit ihren Waren- oder Dienstleistungsangeboten an Einwohner von Colorado wenden. Diese Unternehmen müssen außerdem bestimmte Schwellenwerte erreichen, um das CPA einhalten zu müssen.

Verbraucher

Nach dem CPA sind "Verbraucher" definiert als in Colorado ansässige Personen, die als Einzelpersonen oder Haushalte handeln.

Nach dem CPA gelten jedoch Personen, die in einem Geschäfts- oder Arbeitskontext tätig sind, Stellenbewerber und Begünstigte von Personen, die in einem Geschäfts- oder Arbeitskontext handeln, nicht als "Verbraucher".

Persönliche Daten

Die CPA definiert "personenbezogene Daten" als alle Informationen, die mit einer unterscheidbaren Person in Verbindung gebracht werden können, und umfasst keine de-identifizierten Daten (Daten, bei denen persönliche Identifizierungsinformationen entfernt wurden) oder öffentlich zugängliche Informationen.

Wer muss sich an das Colorado-Datenschutzgesetz halten?

Die CPA-Anforderungen gelten für Controller, die in Colorado geschäftlich tätig sind oder Produkte/Dienstleistungen an Einwohner des Staates verkaufen und eine oder mehrere der folgenden Bedingungen erfüllen:

  • Jährlich die persönlichen Daten von mehr als 100.000 Verbrauchern verarbeitet oder kontrolliert
  • Einnahmen oder Rabatte aus dem Verkauf personenbezogener Daten erzielt und Daten von mindestens 25.000 Verbrauchern kontrolliert oder verarbeitet

Da die CPA den "Verkauf" als den Austausch personenbezogener Daten durch einen für die Verarbeitung Verantwortlichen gegen Geld oder eine "andere wertvolle Gegenleistung" an einen Dritten definiert, gilt sie für viele Unternehmen.

Die Formulierung "andere wertvolle Gegenleistung" ist zweideutig und auslegungsbedürftig.

Sie legt nahe, dass ein Preisnachlass für Produkte oder Dienstleistungen als wertvolle Gegenleistung angesehen werden kann, wodurch die Weitergabe personenbezogener Daten möglicherweise als Verkauf gewertet wird.

So könnte beispielsweise die Bereitstellung Ihrer personenbezogenen Daten an ein Unternehmen, das eine kostenlose Cloud-basierte Software verwendet, als Rabatt eingestuft werden. Sofern der Datenaustausch nicht unter eine der Ausnahmen der gesetzlichen Definition von "Verkauf" fällt, könnte dies als Verkauf personenbezogener Daten betrachtet werden.

Wer ist vom Colorado Privacy Act ausgenommen?

Gemeinnützige Organisationen sind zwar nicht von der CPA befreit, aber das Gesetz von Colorado sieht weitere Ausnahmen vor.

So gilt die CPA beispielsweise nicht für personenbezogene Daten, die von einem Unternehmen zu kommerziellen Zwecken (B2B) oder zu Beschäftigungszwecken aufbewahrt werden, oder für Bewerberdaten und Daten über einen Begünstigten einer Person, die im Rahmen eines Beschäftigungsverhältnisses handelt.

Wie der CCPA gilt auch das CPA nicht für geschützte Gesundheits- und Gesundheitsdaten.

Darüber hinaus ist die Einhaltung des Gesetzes von Colorado nicht für alle Unternehmen oder Firmen obligatorisch. So sind beispielsweise Unternehmen, die die oben genannten Schwellenwerte nicht erreichen - im Wesentlichen diejenigen, die nicht jährlich die Daten von genügend Einwohnern Colorados verarbeiten -, von der Verpflichtung ausgenommen.

Die folgenden Organisationen sind ebenfalls vom Colorado Privacy Act ausgenommen:

Verbraucherrechte nach dem Datenschutzgesetz von Colorado

Die im Gesetz von Colorado vorgesehenen Rechte sind im Wesentlichen identisch mit denen des VCDPA oder des CCPA und umfassen Folgendes.

Abmeldung von der Datenverarbeitung

Ein Verbraucher hat das Recht, die Verarbeitung der ihn betreffenden personenbezogenen Daten für folgende Zwecke abzulehnen:

  • Gezielte Werbung
  • Verkauf von personenbezogenen Daten
  • Profiling zur Förderung von Entscheidungen, die rechtliche oder ähnlich erhebliche Auswirkungen auf einen Verbraucher haben

Eine Entscheidung, die eine rechtliche oder ähnlich bedeutende Auswirkung hat, kann sich auf den Rechtsstatus oder die Rechte einer Person auswirken oder hat eine entsprechende Auswirkung auf die Umstände, das Verhalten oder die Entscheidungen einer Person. In extremen Fällen kann sie die betroffene Person ausschließen oder diskriminieren.

Beispiele für ein solches Profiling können sein:

  • Die Analyse personenbezogener Daten zur Vorhersage des Verhaltens von Personen in Bezug auf ihren finanziellen Status, ihre Gesundheit, ihre persönlichen Vorlieben, ihre Ausbildung, ihren Arbeitsplatz, ihre Wohnung, ihre Versicherung oder ihren Zugang zu grundlegenden Dingen des täglichen Bedarfs.

Nach dem Gesetz von Colorado sind die für die Verarbeitung Verantwortlichen verpflichtet, ein einfaches Verfahren einzurichten, mit dem die Verbraucher ihre Rechte geltend machen können. Sie muss im Datenschutzhinweis des Unternehmens und an einer leicht zugänglichen Stelle außerhalb dieses Hinweises enthalten sein.

Der Generalstaatsanwalt von Colorado stellte auch technische Anforderungen für einen universellen Opt-out-Mechanismus auf, die sowohl für den Verkauf von Daten als auch für gezielte Werbung gelten.

Zugang zu persönlichen Daten

Die Verbraucher haben ein Recht darauf zu erfahren, ob ein Unternehmen ihre Daten kontrolliert und verarbeitet. Wenn ein bestimmtes Unternehmen personenbezogene Daten verarbeitet, hat der Verbraucher ein Recht auf Zugang zu diesen Daten.

Korrigieren Sie falsche Daten

Die Verbraucher in Colorado haben das Recht, Ungenauigkeiten in den über sie erhobenen Daten zu korrigieren.

Persönliche Daten löschen

Die Verbraucher in Colorado haben das Recht, personenbezogene Daten über sie zu löschen.

Empfang personenbezogener Daten durch tragbare Geräte

Die Verbraucher haben das Recht, ihre Daten in einem tragbaren und einfach zu verwendenden Format zu erhalten, das es ihnen ermöglicht, diese Daten bei Bedarf an Dritte weiterzugeben.

Die für die Verarbeitung Verantwortlichen sind außerdem verpflichtet, den Verbrauchern die Möglichkeit zu geben, einen universellen Opt-out-Mechanismus nach Wahl des Nutzers zu verwenden. Die CPA erkennt Global Privacy Controls als eine gültige Möglichkeit an, den Verkauf personenbezogener Daten für Unternehmen, die private Daten von Verbrauchern im Internet sammeln, abzulehnen.

Berücksichtigung der Anträge der betroffenen Personen

Sie müssen es den Kunden leicht machen, mit Ihnen in Kontakt zu treten, und ihre Anfragen umgehend beantworten.

Dies kann für kleinere Unternehmen eine zeitraubende Aufgabe sein, insbesondere wenn diese Verfahren nicht automatisiert sind und die Geschäftsdaten an verschiedenen Orten gespeichert werden.

Nach dem Gesetz von Colorado müssen Sie jedoch Mechanismen entwickeln, um Anfragen von Verbrauchern anzunehmen, zu verfolgen, zu überprüfen und zu erfüllen, damit diese ihre Rechte auf Zugang, Korrektur und Löschung wahrnehmen können.

Wie wird das Datenschutzgesetz von Colorado durchgesetzt?

Das Datenschutzgesetz von Colorado wird vom Generalstaatsanwalt von Colorado und den Bezirksstaatsanwälten durchgesetzt.

Wie das Datenschutzgesetz von Virginia sieht auch das CPA kein eigenes Klagerecht für die Verbraucher vor. Vor jeder Durchsetzungsmaßnahme muss der Generalstaatsanwalt oder der Bezirksstaatsanwalt den für die Verarbeitung Verantwortlichen über den Verstoß in Kenntnis setzen, wenn eine Heilung für möglich gehalten wird.

Der für die Verarbeitung Verantwortliche hat 60 Tage Zeit, um einen mutmaßlichen Verstoß zu überprüfen und zu beheben. Diese Frist wird als "Heilungsfrist" bezeichnet.

Diese 60-tägige Frist wird jedoch nach dem 18. Januar 2025 nicht mehr gelten.

Colorado Privacy Act Strafen und Geldbußen

Ein Verstoß gegen die CPA gilt als betrügerische Geschäftspraxis.

Die Strafen fallen in den Geltungsbereich des Colorado Consumer Protection Act und liegen zwischen 2.000 und 20.000 US-Dollar pro Verstoß.

Verstöße gegen das Verbraucherschutzgesetz von Colorado können auch strafrechtliche Folgen haben.

Anforderungen des Colorado Privacy Act

Um die CPA-Vorschriften einzuhalten, sollten Sie diese wichtigen Schritte befolgen:

Abbildung Ihrer Daten

Wenn Sie festgestellt haben, dass Ihr Unternehmen nicht vom Colorado Privacy Act ausgenommen ist, kartieren Sie Ihre Daten um sicherzustellen, dass Sie verstehen, wie Daten durch Ihr Unternehmen fließen.

Sie müssen sich darüber im Klaren sein, welche Daten Sie zu welchem Zweck verarbeiten, um die Anfragen der Betroffenen zu erfüllen und zu bestimmen, wie lange Sie diese Daten in Ihren Systemen aufbewahren sollten.

Die Zuordnung von Daten ist ein fortlaufender Prozess, daher sollten Sie die von Ihnen verarbeiteten personenbezogenen Daten regelmäßig überprüfen und die Dokumentation entsprechend aktualisieren.

Es wird dringend empfohlen, Ihre Verarbeitungstätigkeiten stets schriftlich und detailliert zu dokumentieren und die verschiedenen Informationen miteinander zu verknüpfen. Um die Vorschriften einzuhalten, müssen Sie wissen, woher Ihre Daten stammen und wie sie verwendet werden.

Aktualisieren Sie Ihre Datenschutzrichtlinie

Um die CPA zu erfüllen, sollten Sie Ihre Datenschutzrichtlinien überarbeiten und aktualisieren, um die Verarbeitung personenbezogener Daten und die den Verbrauchern zur Verfügung stehenden Rechte einzubeziehen und die Mechanismen zu bestimmen, mit denen die Verbraucher diese Rechte ausüben können.

Verwenden Sie Termly's Datenschutzerklärung Generator wenn Sie Hilfe bei der Erstellung einer Richtlinie benötigen, die mit den CPA-Meldepflichten übereinstimmt.

Durchführung von Datenschutzbeurteilungen

Es wird empfohlen, dass Unternehmen regelmäßig eine Datenschutzbewertung durchführen.

Bei diesen Bewertungen sollte untersucht werden, wie Ihr Unternehmen private Informationen nutzt und verarbeitet, und, was noch wichtiger ist, welche Risiken mit der Verarbeitung dieser Daten verbunden sind.

Einige Unternehmen sind im Rahmen der CPA verpflichtet, diese Bewertungen vorzunehmen, insbesondere wenn Sie viele Daten oder sensible persönliche Informationen verarbeiten.

Einführung eines universellen Opt-Out-Mechanismus.

Die Nutzer müssen die Möglichkeit haben, sich gegen den Verkauf ihrer persönlichen Daten zu entscheiden, indem sie einen universellen Opt-out-Mechanismus wie Global Privacy Controls verwenden.

Ab dem 1. Juli 2024 müssen Unternehmen einen universellen Opt-out-Mechanismus einführen, der vom Nutzer ausgewählt wird und die technischen Anforderungen des Gesetzes von Colorado erfüllt.

Die Einführung eines Zustimmungsmechanismus für die Erhebung sensibler Daten von Verbrauchern ist ebenfalls von entscheidender Bedeutung.

Kontrolleure, die sensible Daten von Nutzern sammeln, müssen eine zertifizierte und ausdrückliche Genehmigung einholen.

Darüber hinaus besagen die Datenschutzgesetze von Colorado, dass die Zustimmung keine Billigung der allgemeinen Nutzungsbedingungen, der Verwendung von unklaren Mustern oder Overlays, des Schweigens, der Abschaltung oder der Deaktivierung von Inhalten bedeutet.

Daher müssen Sie möglicherweise auch ausdrückliche, bestätigende Maßnahmen entwickeln, mit denen der Verbraucher sein Einverständnis mit der Verarbeitung personenbezogener Daten gibt.

Die Webseite, die Anwendung oder andere Mittel, mit denen ein für die Verarbeitung Verantwortlicher die Zustimmung eines Verbrauchers zur Verarbeitung personenbezogener Daten für Zwecke der gezielten Werbung oder des Verkaufs personenbezogener Daten einholt, müssen es dem Verbraucher auch ermöglichen, die Zustimmung so einfach zu widerrufen, wie sie ausdrücklich erteilt wurde.

Ernennung eines Datenschutzbeauftragten

Ernennen Sie einen Datenschutzbeauftragten, der regelmäßige Schulungen durchführt, um sicherzustellen, dass die Mitarbeiter Verbraucheranfragen zeitnah und einheitlich bearbeiten können, so dass die Anforderungen der CPA erfüllt werden.

Der Datenschutzbeauftragte sorgt auch dafür, dass die Datenschutzpolitik Ihres Unternehmens vollständig mit dem Gesetz übereinstimmt.

Wie Sie das Colorado-Datenschutzgesetz einhalten

Das Datenschutzgesetz von Colorado hat weitreichende Auswirkungen auf Unternehmen, und der Versuch, sich in diesem komplexen Netz von Vorschriften zurechtzufinden, kann sich als kompliziert erweisen.

Bei Termly konzentrieren wir uns auf Datenschutzbestimmungen und bewährte Geschäftspraktiken für den modernen digitalen Profi und machen die Einhaltung dieser Bestimmungen einfacher und wirtschaftlicher.

Wir bieten unseren Nutzern eine Auswahl an Generatoren für rechtliche Richtlinien - darunter Datenschutzrichtlinien, Geschäftsbedingungen, Haftungsausschlüsse, Cookie-Richtlinien, Rückgaberichtlinien und Versandrichtlinien - sowie einen cookie consent , der Unternehmen bei der Einhaltung der CPA und anderer Vorschriften unterstützt.

Wenden Sie sich noch heute an unser Team, um Ihr Unternehmen auf den richtigen Weg zu bringen.

Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Mehr über die Autorin

Geschrieben von Masha Komnenic CIPP/E, CIPM, CIPT, FIP

Masha ist Spezialistin für Informationssicherheit und Datenschutz und zertifizierte Datenschutzbeauftragte. In den letzten sechs Jahren war sie als Datenschutzbeauftragte tätig und half kleinen und mittleren Unternehmen bei der Einhaltung von Rechtsvorschriften. Außerdem war sie Mentorin für die Einhaltung von Datenschutzbestimmungen bei vielen internationalen Business Accelerators. Sie ist spezialisiert auf die Umsetzung, Überwachung und Prüfung der Einhaltung von Datenschutzvorschriften (HIPAA, PIPEDA, ePrivacy-Richtlinie, DSGVO, CCPA, POPIA, LGPD). Masha hat an der Universität Belgrad Jura studiert und 2016 die Anwaltsprüfung abgelegt. Mehr über die Autorin

Verwandte Artikel

Weitere Artikel ansehen