Colorado Datenschutzgesetz (CPA)

Abgedeckt durch Termly

von: Masha Komnenic CIPP/E, CIPM, CIPT, FIP Masha Komnenic CIPP/E, CIPM, CIPT, FIP | Aktualisiert am: 2. Dezember 2021

Colorado-Gesetz zum Schutz der Privatsphäre-CPA-01

Nach Kalifornien und Virginia ist Colorado nun der dritte US-Bundesstaat, der ein umfassendes Datenschutzgesetz verabschiedet hat. Der Colorado-Datenschutzgesetz (CPA) wurde am 7. Juli 2021 vom Gouverneur von Colorado, Jared Polis, unterzeichnet - sein Inkrafttreten ist der 1. Juli 2023.

Diese Ergänzung des Gesetzes von Colorado zielt darauf ab, die Privatsphäre der Einwohner von Colorado zu schützen. Sobald das neue Datenschutzgesetz von Colorado in Kraft getreten ist, müssen bestimmte Unternehmen, die Geschäfte machen oder Produkte herstellen, die sich an Einwohner von Colorado richten, verschiedene Rechte zum Schutz personenbezogener Daten einräumen.

Dazu gehören das Recht, den Verkauf und die Verwendung personenbezogener Daten zu verweigern, sowie das Recht auf Zugang, Berichtigung und Löschung personenbezogener Daten.

Die CPA wird Unternehmen auch dazu verpflichten, ihre Datenschutzpolitik offenzulegen und Datenschutzbewertungen für bestimmte Verarbeitungstätigkeiten zu erstellen. Dies ist ein wichtiger Schritt, um die Unternehmen zu kontrollieren und den Einzelnen zu schützen.

Im Folgenden erfahren Sie, was Sie über das neue Datenschutzgesetz von Colorado wissen müssen.

Inhaltsübersicht
  1. Was ist das Colorado Privacy Act (CPA)?
  2. Wer muss sich an das neue Datenschutzgesetz von Colorado halten?
  3. Welche Rechte gewährt das Datenschutzgesetz von Colorado den Verbrauchern?
  4. Ist jemand vom Colorado Privacy Act ausgenommen?
  5. Durchsetzung des Colorado Privacy Act
  6. Colorado Privacy Act Strafen und Geldbußen
  7. Wie Sie die Anforderungen des Colorado Privacy Act erfüllen
  8. Einhaltung des Datenschutzgesetzes von Colorado

Was ist das Colorado Privacy Act (CPA)?

Das Datenschutzgesetz von Colorado ist nach dem Vorbild des Verbraucherdatenschutzgesetzes von Virginia (CDPA), des kalifornischen Verbraucherdatenschutzgesetzes (CCPA) und des kalifornischen Datenschutzgesetzes (CPRA) entstanden. Es wurde auch von der Allgemeinen Datenschutzverordnung der EU (DSGVO) inspiriert, die Anforderungen an Datenverarbeiter enthält, wie etwa "obligatorische Datenschutzbewertungen".

Die CPA weist jedoch einige entscheidende Unterschiede auf.

In Virginia und Kalifornien sind gemeinnützige Organisationen von den Datenschutzgesetzen ausgenommen, in Colorado hingegen nicht. Im Allgemeinen gilt das CPA für alle Einrichtungen (gewinnorientiert und nicht gewinnorientiert), die bestimmte Schwellenwerte hinsichtlich der Menge der von ihnen verarbeiteten oder kontrollierten Verbraucherdaten erreichen. Anders als das Datenschutzgesetz von Virginia verlangt das Gesetz von Colorado jedoch keine Umsatzschwelle.

Das Gesetz von Colorado gilt auch nicht für Mitarbeiter- oder Business-to-Business-Daten (B2B).

Nach dem Gesetz von Colorado sind der Generalstaatsanwalt oder die Bezirksstaatsanwälte des Bundesstaates befugt, wesentliche Lücken im Gesetz zu schließen. Darüber hinaus können sie Regeln aufstellen, um die Einhaltung der Vorschriften zu gewährleisten, und sind auch für die Durchsetzung des Gesetzes zuständig.

Wer muss sich an das neue Datenschutzgesetz von Colorado halten?

Das Datenschutzgesetz von Colorado lehnt sich in seiner Terminologie teilweise an das EU-Gesetz DSGVO an - das weltweit strengste Datenschutzgesetz. Werfen wir einen Blick darauf, wie das CPA bestimmte Begriffe definiert, die wir aus bestehenden Datenschutzgesetzen kennen.

Steuerungen

Die meisten neuen Anforderungen gelten für die "für die Verarbeitung Verantwortlichen " - eine Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.

Das CPA gilt nur für für die Verarbeitung Verantwortliche, die in Colorado geschäftlich tätig sind oder sich mit ihren Waren- oder Dienstleistungsangeboten an Einwohner von Colorado wenden. Diese Unternehmen müssen außerdem bestimmte Schwellenwerte erreichen, um das CPA einhalten zu müssen.

Verbraucher

Nach dem CPA sind "Verbraucher" definiert als in Colorado ansässige Personen, die in ihrer Eigenschaft als Einzelpersonen oder Haushalte handeln. Nach dem CPA gelten jedoch Personen, die in einem geschäftlichen oder beruflichen Kontext tätig sind, Stellenbewerber und Begünstigte von Personen, die in einem geschäftlichen oder beruflichen Kontext handeln, nicht als "Verbraucher".

Persönliche Daten

Die CPA definiert "personenbezogene Daten" als alle Informationen, die mit einer unterscheidbaren Person in Verbindung gebracht werden können, und umfasst keine de-identifizierten Daten (Daten, bei denen persönliche Identifizierungsinformationen entfernt wurden) oder öffentlich zugängliche Informationen.

Wer muss also das Datenschutzgesetz von Colorado einhalten?

Die CPA-Anforderungen gelten nur für Controller, die ihre Geschäftstätigkeit in Colorado ausüben oder Produkte - oder Dienstleistungen - an Einwohner von Colorado verkaufen und einen oder mehrere der folgenden Schwellenwerte erfüllen:

  • Jährlich die persönlichen Daten von mehr als 100.000 Verbrauchern verarbeitet oder kontrolliert
  • Einnahmen oder Rabatte aus dem Verkauf personenbezogener Daten erzielt und Daten von mindestens 25.000 Verbrauchern kontrolliert oder verarbeitet

Der zweite Schwellenwert ist im Gesetz von Colorado deutlich ausge prägt und wird im Vergleich zu den Gesetzen in Virginia und Kalifornien potenziell für mehr Unternehmen gelten.

Der Grund dafür ist, dass die CPA "Verkauf" als den Austausch personenbezogener Daten durch einen für die Verarbeitung Verantwortlichen gegen Geld oder eine "andere wertvolle Gegenleistung" an einen Dritten definiert.

Die Formulierung "andere entgeltliche Gegenleistung" ist mehrdeutig und auslegungsbedürftig. Er lässt vermuten, dass eine Ermäßigung des Preises von Produkten oder Dienstleistungen als wertvolle Gegenleistung angesehen werden kann, wodurch die Weitergabe personenbezogener Daten möglicherweise als Verkauf gewertet wird.

So könnte beispielsweise die Bereitstellung Ihrer personenbezogenen Daten an ein Unternehmen, das eine kostenlose Cloud-basierte Software verwendet, als Rabatt eingestuft werden. Sofern der Datenaustausch nicht unter eine der Ausnahmen der gesetzlichen Definition von "Verkauf" fällt, könnte dies als Verkauf personenbezogener Daten betrachtet werden.

Welche Rechte gewährt das Datenschutzgesetz von Colorado den Verbrauchern?

Die Rechte , die das Gesetz von Colorado vorsieht, sind identisch mit denen des CDPA oder des CCPA und umfassen Folgendes:

Abmeldung von der Datenverarbeitung

Ein Verbraucher hat das Recht, die Verarbeitung der ihn betreffenden personenbezogenen Daten für folgende Zwecke abzulehnen:

  • Gezielte Werbung
  • Verkauf von personenbezogenen Daten
  • Profiling zur Förderung von Entscheidungen, die rechtliche oder ähnlich erhebliche Auswirkungen auf einen Verbraucher haben

Eine Entscheidung, die eine rechtliche oder ähnlich bedeutende Auswirkung hat, kann sich auf den Rechtsstatus oder die Rechte einer Person auswirken oder hat eine entsprechende Auswirkung auf die Umstände, das Verhalten oder die Entscheidungen einer Person. In extremen Fällen kann sie die betroffene Person ausschließen oder diskriminieren.

Beispiele für ein solches Profiling sind die Analyse personenbezogener Daten zur Vorhersage des Verhaltens von Personen in Bezug auf ihren finanziellen Status, ihre Gesundheit, ihre persönlichen Vorlieben, ihre Ausbildung, ihren Arbeitsplatz, ihre Wohnung, ihre Versicherung oder ihren Zugang zu grundlegenden Dingen des täglichen Bedarfs.

Nach dem Gesetz von Colorado sind die für die Verarbeitung Verantwortlichen verpflichtet, ein einfaches Verfahren einzurichten, mit dem die Verbraucher ihre Rechte geltend machen können. Sie muss im Datenschutzhinweis des Unternehmens und an einer leicht zugänglichen Stelle außerhalb dieses Hinweises enthalten sein.

Es wird erwartet, dass der Generalstaatsanwalt von Colorado bis zum 1. Juli 2024 die technischen Anforderungen für einen universellen Opt-out-Mechanismus vorlegt. Das universelle Opt-out wird es den Verbrauchern ermöglichen, mit einem einzigen Mausklick alle Opt-out-Rechte auszuüben. Dieses globale Opt-out sollte sowohl für den Verkauf von Daten als auch für gezielte Werbung gelten.

Zugang zu persönlichen Daten

Die Verbraucher haben ein Recht darauf zu erfahren, ob ein Unternehmen ihre Daten kontrolliert und verarbeitet. Wenn ein bestimmtes Unternehmen personenbezogene Daten verarbeitet, hat der Verbraucher ein Recht auf Zugang zu diesen Daten.

Korrigieren Sie falsche Daten

Die Verbraucher in Colorado haben das Recht, etwaige Ungenauigkeiten in den über sie erhobenen Daten zu korrigieren.

Persönliche Daten löschen

Die Verbraucher in Colorado haben das Recht, personenbezogene Daten über sie zu löschen.

Empfang personenbezogener Daten durch tragbare Geräte

Die Verbraucher haben das Recht, ihre Daten in einem tragbaren und einfach zu verwendenden Format zu erhalten, das es ihnen ermöglicht, diese Daten bei Bedarf an Dritte weiterzugeben.

Der Generalstaatsanwalt von Colorado wird diese Vorschriften bis zum 1. Juli 2023 erlassen. Ab diesem Zeitpunkt müssen die für die Verarbeitung Verantwortlichen den Verbrauchern die Möglichkeit geben, einen "benutzerdefinierten universellen Opt-out-Mechanismus" zu nutzen. Ähnlich wie die kalifornischen Vorschriften erkennt die CPA Global Privacy Controls als gültiges Mittel an, um Unternehmen, die private Daten von Verbrauchern im Internet sammeln, den Verkauf personenbezogener Daten zu untersagen.

Berücksichtigung der Anträge der betroffenen Personen

Sie müssen es Ihren Kunden leicht machen, mit Ihnen in Kontakt zu treten, und auf Kundenanfragen umgehend reagieren.

Dies kann für kleinere Unternehmen eine zeitraubende Aufgabe sein, insbesondere wenn diese Verfahren nicht automatisiert sind und die Geschäftsdaten an verschiedenen Orten gespeichert werden. Nach dem Gesetz von Colorado müssen Sie jedoch Mechanismen entwickeln, um Anfragen von Verbrauchern anzunehmen, zu verfolgen, zu überprüfen und zu erfüllen, damit diese ihre Rechte auf Auskunft, Berichtigung und Löschung wahrnehmen können.

Ist jemand vom Colorado Privacy Act ausgenommen?

Gemeinnützige Organisationen sind zwar nicht von der CPA befreit, aber das Gesetz von Colorado sieht weitere Ausnahmen vor.

So gilt die CPA beispielsweise nicht für personenbezogene Daten, die von einem Unternehmen zu kommerziellen Zwecken (B2B) oder zu Beschäftigungszwecken aufbewahrt werden, oder für Bewerberdaten und Daten über einen Begünstigten einer Person, die im Rahmen eines Beschäftigungsverhältnisses handelt.

Wie der CCPA gilt auch das CPA nicht für geschützte Gesundheits- und Gesundheitsdaten.

Darüber hinaus ist die Einhaltung des Gesetzes von Colorado nicht für alle Unternehmen oder Firmen obligatorisch. So sind beispielsweise Unternehmen, die die oben genannten Schwellenwerte nicht erreichen - im Wesentlichen diejenigen, die nicht jährlich die Daten von genügend Einwohnern Colorados verarbeiten -, von der Verpflichtung ausgenommen.

Die folgenden Organisationen sind ebenfalls vom Colorado Privacy Act ausgenommen:

Durchsetzung des Colorado Privacy Act

Das neue Datenschutzgesetz von Colorado unterscheidet sich von den Gesetzen der anderen Bundesstaaten auch dadurch, dass es vom Generalstaatsanwalt von Colorado und von den Bezirksstaatsanwälten durchgesetzt werden kann .

Wie das Datenschutzgesetz von Virginia sieht auch das CPA kein eigenes Klagerecht für die Verbraucher vor. Vor jeder Durchsetzungsmaßnahme muss der Generalstaatsanwalt oder der Bezirksstaatsanwalt den für die Verarbeitung Verantwortlichen über den Verstoß in Kenntnis setzen, wenn eine Heilung für möglich gehalten wird.

Bevor die Durchsetzung eingeleitet wird, hat der für die Verarbeitung Verantwortliche 60 Tage Zeit, um einen mutmaßlichen Verstoß zu überprüfen und zu beheben. Diese Frist wird als "Heilungsfrist" bezeichnet.

Diese 60-tägige Frist - das Doppelte der im CCPA und CDPA vorgesehenen Frist - gilt jedoch nur für die ersten 18 Monate. Nach dem 18. Januar 2025 wird sie nicht mehr gelten.

Colorado Privacy Act Strafen und Geldbußen

Zum jetzigen Zeitpunkt wird ein Verstoß gegen die CPA als betrügerische Handelspraktik betrachtet, aber es wurden noch keine konkreten Geldbußen festgelegt.

Derzeit fallen die Strafen in den Geltungsbereich des Colorado Consumer Protection Act und liegen zwischen 2.000 und 20.000 Dollar pro Verstoß.

Wie Sie die Anforderungen des Colorado Privacy Act erfüllen

Um die CPA-Vorschriften einzuhalten, sollten Sie diese wichtigen Schritte befolgen:

1. Bestimmen Sie, ob Ihr Unternehmen unter einen der beiden Schwellenwerte der CPA fällt

Verarbeitet oder kontrolliert Ihr Unternehmen jährlich Daten von mehr als 100.000 Verbrauchern oder erzielt es Einnahmen aus dem Verkauf personenbezogener Daten von mindestens 25.000 Verbrauchern? Wenn dies der Fall ist und es nicht unter eine Ausnahmeregelung fällt, müssen Sie die CPA-Vorschriften befolgen.

Es ist auch notwendig, Ihre Weitergabe von personenbezogenen Daten zu analysieren, um festzustellen, ob sie nach dem Gesetz von Colorado als "Verkauf" betrachtet werden kann und wenn ja, in welchem Umfang.

Da sich die Gesetze ähneln, müssen Unternehmen, die bereits das CCPA, CDPA und DSGVO einhalten, nicht viele zusätzliche Schritte unternehmen, um sicherzustellen, dass sie mit dem neuen Datengesetz von Colorado übereinstimmen.

2. Kartieren Sie Ihre Daten

Wenn Sie festgestellt haben, dass Ihr Unternehmen nicht unter das Colorado Privacy Act fällt, ist der nächste Schritt Kartierung Ihrer Daten.

Die Datenzuordnung stellt sicher, dass die für die Verarbeitung Verantwortlichen verstehen, wie Daten durch ihre Organisation fließen. Sie müssen verstehen, welche Daten Sie verarbeiten und zu welchem Zweck, um die Anfragen der Betroffenen zu erfüllen und zu bestimmen, wie lange Sie diese Daten in Ihren Systemen aufbewahren sollten.

Die Datenzuordnung ist ein fortlaufender Prozess, daher sollten Sie die von Ihnen verarbeiteten personenbezogenen Daten regelmäßig überprüfen und die Dokumentation entsprechend aktualisieren. Es wird dringend empfohlen, Ihre Verarbeitungstätigkeiten stets schriftlich und detailliert zu dokumentieren und die verschiedenen Informationen miteinander zu verknüpfen.

Um die Vorschriften einzuhalten, müssen Sie wissen, woher Ihre Daten stammen und wie sie verwendet werden.

3. Überarbeiten Sie Ihre Datenschutzrichtlinien.

Um die CPA zu erfüllen, sollten Sie Ihre Datenschutzrichtlinien überarbeiten und aktualisieren, um die Verarbeitung personenbezogener Daten und die neuen Rechte, die den Verbrauchern zur Verfügung stehen, einzubeziehen und die Mechanismen festzulegen, mit denen die Verbraucher diese Rechte ausüben können.

4. Bewerten Sie Ihren Datenschutz.

Es wird auch empfohlen, dass Unternehmen regelmäßig Datenschutzbewertungen durchführen. Bei diesen Bewertungen sollte beurteilt werden, wie Ihr Unternehmen private Informationen nutzt und verarbeitet, und vor allem, welche Risiken mit der Verarbeitung dieser Daten verbunden sind.

5. Einführung eines universellen Opt-out-Mechanismus.

Die Nutzer müssen die Möglichkeit haben, sich gegen den Verkauf ihrer persönlichen Daten zu entscheiden.

Ab dem 1. Juli 2024, wenn das CPA in Kraft tritt, müssen Unternehmen einen universellen Opt-out-Mechanismus implementieren, der vom Nutzer ausgewählt wird und die technischen Anforderungen des Datenschutzgesetzes von Colorado erfüllt.

Die Einführung eines Zustimmungsmechanismus für die Erhebung sensibler Daten von Verbrauchern wird ebenfalls von entscheidender Bedeutung sein. Für die Verarbeitung Verantwortliche, die sensible Daten von Nutzern sammeln, müssen eine zertifizierte und ausdrückliche Zustimmung einholen.

Darüber hinaus besagen die Datenschutzgesetze von Colorado, dass die Zustimmung nicht die Billigung der allgemeinen Nutzungsbedingungen, die Verwendung von unklaren Mustern oder Overlays, das Schweigen, die Abschaltung oder die Deaktivierung von Inhalten beinhaltet. Daher müssen Sie möglicherweise auch ausdrückliche, bestätigende Maßnahmen entwickeln, mit denen der Verbraucher sein Einverständnis mit der Verarbeitung personenbezogener Daten signalisiert.

Die Webseite, die Anwendung oder andere Mittel, mit denen ein für die Verarbeitung Verantwortlicher die Zustimmung eines Verbrauchers zur Verarbeitung personenbezogener Daten für Zwecke der gezielten Werbung oder des Verkaufs personenbezogener Daten einholt, müssen es dem Verbraucher auch ermöglichen, die Zustimmung so einfach zu widerrufen, wie sie ausdrücklich erteilt wurde.

6. Ernennung eines Datenschutzbeauftragten.

Ernennen Sie einen Datenschutzbeauftragten, der regelmäßige Schulungsprogramme durchführt, um sicherzustellen, dass die Mitarbeiter Verbraucheranfragen zeitnah und einheitlich bearbeiten können, so dass die Anforderungen der CPA erfüllt werden.

Der Datenschutzbeauftragte sorgt auch dafür, dass die Datenschutzpolitik Ihres Unternehmens vollständig mit dem Gesetz übereinstimmt.

Einhaltung des Datenschutzgesetzes von Colorado

Das neue Datenschutzgesetz von Colorado kann tiefgreifende Auswirkungen auf Unternehmen haben, und der Versuch, sich in diesem komplexen Netz von Vorschriften zurechtzufinden, wird noch komplizierter werden.

Auf Termly konzentrieren wir uns auf Datenschutzbestimmungen und bewährte Geschäftspraktiken für den modernen digitalen Profi und machen die Einhaltung dieser Bestimmungen einfacher und wirtschaftlicher. Wir bieten unseren Nutzern eine Auswahl an Generatoren für Rechtsrichtlinien - darunter Datenschutzrichtlinien, Geschäftsbedingungen, Haftungsausschlüsse, Cookie-Richtlinien, Rückgaberichtlinien und Versandrichtlinien - und einen cookie consent Manager.

Wenden Sie sich noch heute an unser Team, um Ihr Unternehmen auf den richtigen Weg zu bringen.

Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Mehr über die Autorin

Geschrieben von Masha Komnenic CIPP/E, CIPM, CIPT, FIP

Masha ist Spezialistin für Informationssicherheit und Datenschutz und zertifizierte Datenschutzbeauftragte. In den letzten sechs Jahren war sie als Datenschutzbeauftragte tätig und half kleinen und mittleren Unternehmen bei der Einhaltung von Rechtsvorschriften. Außerdem war sie Mentorin für die Einhaltung von Datenschutzbestimmungen bei vielen internationalen Business Accelerators. Sie ist spezialisiert auf die Umsetzung, Überwachung und Prüfung der Einhaltung von Datenschutzvorschriften (HIPAA, PIPEDA, ePrivacy-Richtlinie, DSGVO, CCPA, POPIA, LGPD). Masha hat an der Universität Belgrad Jura studiert und 2016 die Anwaltsprüfung abgelegt. Mehr über die Autorin

Verwandte Artikel

Weitere Artikel ansehen