Connecticuts neues Gesetz zum Schutz der Verbraucherdaten ist das jüngste staatliche Gesetz zur Regelung des Online-Datenschutzes der Verbraucher. Wie die Gesetze in vier anderen Bundesstaaten - Kalifornien, Colorado, Virginia und seit kurzem auch Utah - soll der Connecticut Personal Data Privacy and Online Monitoring Act(CTDPA) die Privatsphäre der Verbraucher schützen und ihnen einen besseren Zugang zu ihren Online-Daten ermöglichen.
Obwohl es am 10. Mai 2022 in Kraft getreten ist, wird das neue Datenschutzgesetz von Connecticut erst am 1. Juli 2023 in Kraft treten. Diese Verzögerung gibt den Unternehmen Zeit, Prozesse und Verfahren zu entwickeln, die mit dem neuen Gesetz übereinstimmen.
Was sollte Ihr Unternehmen in der Zwischenzeit tun? Wie können Sie feststellen, ob das CTDPA auf Ihr Unternehmen anwendbar ist? Und wenn ja, was sollten Sie tun?
Lesen Sie weiter, um mehr über das Datenschutzgesetz von Connecticut zu erfahren, wie es sich von ähnlichen US-Datenschutzgesetzen unterscheidet und wie es sich auf Ihr Unternehmen auswirken kann.
- Was ist der Connecticut Personal Data Privacy and Online Monitoring Act?
- Was deckt das CTDPA ab?
- Was schreibt das CTDPA vor?
- Vergleich mit anderen staatlichen Gesetzen
- Welche Auswirkungen hat das CTDPA auf die Verbraucher?
- Welche Auswirkungen hat das CTDPA auf Unternehmen?
- Wer muss sich an das CTDPA halten?
- Wie können Unternehmen das CTDPA einhalten?
- Wie wird das CTDPA durchgesetzt?
- Geldbußen und Sanktionen nach dem CTDPA
- Zusammenfassung
Was ist der Connecticut Personal Data Privacy and Online Monitoring Act?
In Ermangelung einer Bundesgesetzgebung hat der Gesetzgeber das Datenschutzgesetz von Connecticut entwickelt, um die Privatsphäre der Verbraucher in Connecticut in Bezug auf ihre Online-Daten zu schützen und ihnen mehr Kontrolle über die Verwendung ihrer Daten zu geben.
Nach dem CTDPA haben die Verbraucher in Connecticut nun das Recht auf:
- Auskunft darüber verlangen, ob ihre Daten verarbeitet werden
- der Verarbeitung ihrer Daten für bestimmte Zwecke, wie z. B. gezielte Werbung, zu widersprechen
- tragbare Kopien ihrer Daten zu erhalten
- Korrekturen ihrer Daten beantragen
Obwohl das Verbraucherdatenschutzgesetz von Connecticut nicht ganz so unternehmensfreundlich ist wie das von Utah, gilt es nicht für alle Arten von Einrichtungen und Daten, wodurch verhindert wird, dass das CTDPA zu hohe Anforderungen an Unternehmen stellt.
Was deckt das CTDPA ab?
Das CTDPA gilt für personenbezogene Daten von Verbrauchern und regelt Einrichtungen, die für die Verarbeitung personenbezogener Daten verantwortlich sind oder diese verarbeiten.
Nach dem Verbraucherdatenschutzgesetz von Connecticut a:
- Der Auftragsverarbeiter ist "eine natürliche oder juristische Person, die personenbezogene Daten im Auftrag eines für die Verarbeitung Verantwortlichen verarbeitet".
- Der für die Verarbeitung Verantwortliche ist "eine natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet".
Wie definiert das CTDPA den Verbraucher?
Das neue Verbraucherschutzgesetz von Connecticut schränkt ein, wer als Verbraucher gilt. Es definiert einen Verbraucher im weitesten Sinne als einen in Connecticut ansässigen Menschen, schließt aber Personen aus, die in bestimmten Zusammenhängen handeln, z. B. in einem Beschäftigungs- oder Geschäftskontext.
Wie definiert das CTDPA die personenbezogenen Daten?
Nach dem CTDPA sind personenbezogene Daten definiert als "alle Informationen, die mit einer bestimmten oder bestimmbaren Person verknüpft sind oder vernünftigerweise verknüpft werden können". Das Gesetz gilt jedoch nicht für de-identifizierte Daten und öffentlich zugängliche Informationen, die es sehr weit definiert.
Nach dem CTDPA sind "öffentlich zugängliche Informationen" nicht auf Informationen beschränkt, die von staatlichen Stellen zur Verfügung gestellt werden; sie umfassen auch Informationen, die von Einzelpersonen über weit verbreitete Medien wie soziale Medien veröffentlicht werden.
Die für die Datenverarbeitung Verantwortlichen sollten nach wie vor eine vernünftige Grundlage für die Annahme haben, dass Personen ihre Informationen veröffentlicht haben.
Für welche Prozessoren und Steuergeräte gilt das CTDPA?
Das Datenschutzgesetz von Connecticut gilt möglicherweise auch dann nicht, wenn Ihr Unternehmen personenbezogene Daten verarbeitet oder kontrolliert.
Um unter das CTDPA zu fallen, müssen Sie beide der folgenden Bedingungen erfüllen:
- Sie sind in Connecticut geschäftlich tätig, oder Ihr Unternehmen richtet sich mit seinen Dienstleistungen oder Produkten an Einwohner von Connecticut.
- Im vorangegangenen Kalenderjahr hat Ihr Unternehmen entweder:
- die personenbezogenen Daten von 100.000 oder mehr Verbrauchern verarbeitet oder kontrolliert hat
- Verarbeitung oder Kontrolle der personenbezogenen Daten von 25.000 oder mehr Verbrauchern, wenn Ihr Unternehmen mehr als 25 % der Gesamteinnahmen durch den Verkauf personenbezogener Daten erzielt.
- Diese Anforderung gilt nicht für "personenbezogene Daten, die ausschließlich zum Zweck der Abwicklung eines Zahlungsvorgangs kontrolliert oder verarbeitet werden").
Einige Einrichtungen, die beide Bedingungen erfüllen, sind jedoch nach wie vor vom Datenschutzgesetz des Bundesstaates Connecticut ausgenommen, z. B:
- Einrichtungen der Hochschulbildung
- Gemeinnützige Organisationen
- Auftragnehmer der Regierung, die Daten für die Regierung verarbeiten
- Einrichtungen, die dem Gramm-Leach-Bliley Act von 1999 ("GLBA") oder dem Health Insurance Portability and Accountability Act von 1996 ("HIPAA") unterliegen
Was schreibt das CTDPA vor?
Das CTDPA verfolgt zwei Hauptziele: den Schutz der Privatsphäre der Verbraucherdaten und die Möglichkeit für die Verbraucher, die Verwendung ihrer Daten einzuschränken.
Sie erreicht diese Ziele mit drei Hauptteilen:
- Verlangt von den für die Verarbeitung Verantwortlichen, Sicherheitsmaßnahmen für Verbraucherdaten zu ergreifen.
- Sie gibt den Verbrauchern das Recht, von den für die Verarbeitung Verantwortlichen und den Auftragsverarbeitern Auskunft darüber zu verlangen, wer über ihre Daten verfügt, und Kopien dieser Daten zu erhalten.
- Sie hindert die für die Verarbeitung Verantwortlichen daran, sensible Daten wie Daten über die Rasse und die ethnische Herkunft zu erheben und zu verwenden, es sei denn, die Betroffenen geben ihre Zustimmung.
- Sie gibt den Verbrauchern das Recht, die Verarbeitung ihrer personenbezogenen Daten unter bestimmten Umständen zu unterbinden.
Sicherheitsmaßnahmen
Nach dem Verbraucherschutzgesetz von Connecticut müssen die für die Verarbeitung Verantwortlichen Sicherheitsmaßnahmen einführen und aufrechterhalten, um den Schutz der persönlichen Daten der Verbraucher zu gewährleisten.
Das CTDPA verlangt nur, dass Ihre Sicherheitsmaßnahmen angemessen sind.
Allerdings können unter verschiedenen Umständen unterschiedliche Sicherheitsmaßnahmen "angemessen" sein, je nachdem, ob es sich um ein kleines oder großes Unternehmen handelt, um die Art der personenbezogenen Daten und um den Umfang der personenbezogenen Daten.
Verträge
Das CTDPA schreibt vor, dass ein schriftlicher Vertrag zwischen einem für die Verarbeitung Verantwortlichen und einem Auftragsverarbeiter bestehen muss, der unter anderem folgende Bestimmungen enthält:
- Anweisungen für die Datenverarbeitung
- Die Art der zu verarbeitenden Daten
- Spezifische Informationen über die Art und den Zweck der Verarbeitung
- Die Dauer der Bearbeitung
Rechte beantragen
Das Datenschutzgesetz von Connecticut verpflichtet die für die Verarbeitung Verantwortlichen und die Auftragsverarbeiter nicht nur zum Schutz der Privatsphäre der Verbraucher, sondern gibt den Verbrauchern auch mehrere Möglichkeiten, mit einem für die Verarbeitung Verantwortlichen oder einem Auftragsverarbeiter in Kontakt zu treten, um ihre Daten zu kontrollieren und auf sie zuzugreifen, einschließlich des Rechts, bestimmte Anfragen an einen für die Verarbeitung Verantwortlichen oder einen Auftragsverarbeiter zu stellen.
Der Controller bestimmt, wie ein Verbraucher eine Anfrage stellen kann, und die Anfragen können Folgendes betreffen:
- Die Verbraucher können herausfinden, ob ihre Daten verarbeitet werden.
- Die Verbraucher können Zugang zu ihren Daten und nach Möglichkeit eine tragbare Kopie erhalten.
- Die Verbraucher haben das Recht, die Berichtigung von Ungenauigkeiten in Bezug auf ihre Daten zu verlangen.
- Die Verbraucher können die Löschung ihrer Daten beantragen.
- Die Verbraucher haben ein Opt-out-Recht, um unter bestimmten Umständen gezielte Werbung oder den Verkauf oder die Verarbeitung ihrer Daten zu verhindern.
Authentifizierungsanfragen
Nach Erhalt der Anfrage sollte der für die Verarbeitung Verantwortliche versuchen, die Anfrage mit angemessenem Aufwand zu authentifizieren. Kann der für die Verarbeitung Verantwortliche die Anfrage nicht authentifizieren, so muss er ihr nicht stattgeben.
Das Gesetz sieht jedoch eine Ausnahme vor: Die für die Verarbeitung Verantwortlichen müssen Opt-out-Anträge nicht authentifizieren.
Bei dem Versuch, eine Anfrage zu authentifizieren, muss der für die Verarbeitung Verantwortliche ohne "unangemessene Verzögerung" und spätestens 45 Tage nach der Anfrage eine der folgenden Maßnahmen ergreifen:
- Handeln Sie: Sie können dem Antrag stattgeben oder ihn ablehnen und müssen den Verbraucher zusammen mit einer Erklärung über Ihr Vorgehen informieren. Wenn Sie den Antrag ablehnen, müssen Sie den Verbraucher über seine Widerspruchsrechte informieren. Wenn Sie einen Antrag, bei dem es sich nicht um einen Opt-out-Antrag handelt, ablehnen, weil Sie ihn nicht authentifizieren können, müssen Sie dem Verbraucher mitteilen, dass Sie den Antrag nicht authentifizieren konnten. Außerdem müssen Sie ihn darüber informieren, dass Sie seinem Antrag erst dann stattgeben, wenn Sie zusätzliche Informationen erhalten haben, die zur Überprüfung der Echtheit des Antrags erforderlich sind.
- Nehmen Sie eine Fristverlängerung in Anspruch: Sie können eine 45-tägige Fristverlängerung für die Beantwortung von Anfragen in Anspruch nehmen, wenn eine solche Verlängerung angemessen ist. Ob eine Verlängerung "vernünftigerweise notwendig" ist, hängt davon ab, wie viele Anfragen der Verbraucher gestellt hat und wie komplex diese sind. Sie müssen den Verbraucher innerhalb dieser 45-Tage-Frist benachrichtigen, wenn Sie eine Fristverlängerung in Anspruch nehmen, und erklären, warum Sie die Verlängerung benötigen.
Gebühren
Das CTDPA verlangt, dass Sie Verbraucheranfragen kostenlos beantworten.
Gebühren für die Beantwortung von Verbraucheranfragen sind jedoch in bestimmten Fällen zulässig, aber auch dann darf der Preis nur die angemessenen Verwaltungskosten für die Beantwortung der Anfrage decken.
Um eine Gebühr zu erheben, müssen Sie Folgendes nachweisen können:
- Der Verbraucher hat in den vorangegangenen 12 Monaten bereits mindestens einen anderen Antrag gestellt.
- Die Anträge des Verbrauchers sind "offensichtlich unbegründet, übertrieben oder wiederholend".
Schließlich hat der Verbraucher das Recht, gegen die Ablehnung seines Antrags Widerspruch einzulegen, und der für die Verarbeitung Verantwortliche muss innerhalb von 60 Tagen schriftlich auf den Widerspruch reagieren. Lehnt der für die Verarbeitung Verantwortliche die Beschwerde ab, muss er dem Verbraucher einen Online-Mechanismus oder andere Mittel zur Verfügung stellen, um den Generalstaatsanwalt zu kontaktieren.
Hinweis für Verbraucher und Recht auf Abmeldung
Das CTDPA verpflichtet die betroffenen Unternehmen, den Verbrauchern das Recht einzuräumen, der Verarbeitung ihrer Daten für bestimmte Zwecke zu widersprechen. Außerdem müssen die Unternehmen einen Hinweis mit Informationen über die Datenverarbeitung bereitstellen.
Das CTDPA verpflichtet die betroffenen Unternehmen, den Verbrauchern das Recht einzuräumen, der Verarbeitung ihrer personenbezogenen Daten zu widersprechen:
- Gezielte Werbung
- Verkauf der persönlichen Daten des Verbrauchers
- Profiling unter bestimmten Umständen
Sobald das Gesetz in Kraft tritt, muss das Recht auf Abmeldung über einen "klaren und auffälligen" Link auf der Website des Unternehmens angezeigt werden.
Am 1. Januar 2025 werden die Opt-out-Rechte sogar noch weiter gefasst.
Ein für die Verarbeitung Verantwortlicher muss das universelle "Opt-out-Präferenzsignal" eines Verbrauchers erkennen. Das CTDPA schreibt vor, dass eine betroffene Einrichtung dem Verbraucher die Möglichkeit geben muss, seine Einwilligung zu widerrufen, auch nachdem er sie erteilt hat. Sobald ein Verbraucher seine Einwilligung widerruft, muss das Unternehmen die Verarbeitung der Daten innerhalb von 15 Tagen nach Erhalt des Widerrufs einstellen.
Datenschutzhinweis für Verbraucher
Darüber hinaus muss eine Einrichtung, die dem Datenschutzgesetz von Connecticut unterliegt, eine Mitteilung mit Informationen über Folgendes bereitstellen:
- Die Kategorien der verarbeiteten personenbezogenen Daten
- Der Zweck der Verarbeitung personenbezogener Daten
- Wie die Verbraucher ihre Rechte wahrnehmen können, einschließlich ihres Rechts auf Widerspruch
- die Art der personenbezogenen Daten, die an Dritte weitergegeben werden, sowie Informationen über diese Dritten
- Eine Möglichkeit für den Verbraucher, den für die Verarbeitung Verantwortlichen online zu kontaktieren
Daten für Kinder
Das CTDPA umfasst den Children's Online Privacy Protection Act (COPPA). Wenn ein Verbraucher als Kind im Sinne des COPPA - unter 13 Jahren - bekannt ist, müssen seine Eltern oder Erziehungsberechtigten nachweislich zustimmen, bevor ein Unternehmen die Daten des Kindes verarbeiten darf.
Das Datenschutzgesetz von Connecticut dehnt diese Verpflichtung auch auf Kinder unter 16 Jahren aus.
Vergleich mit anderen staatlichen Gesetzen
Connecticut ist der fünfte Staat, der ein Gesetz zum Schutz der Verbraucherdaten erlässt. Verschiedene andere US-Bundesstaaten - Kalifornien, Colorado, Utahund Virginia - haben jeweils leicht abweichende Gesetze zum Schutz der Verbraucherdaten.
Glücklicherweise hat das Verbraucherschutzgesetz von Connecticut viele Gemeinsamkeiten mit den Gesetzen anderer Bundesstaaten. Wenn also das Verbraucherschutzgesetz eines anderen Bundesstaates bereits auf Ihr Unternehmen Anwendung findet, sind Sie möglicherweise bereits weitgehend mit dem Gesetz von Connecticut konform.
Die Gesetze der einzelnen Bundesstaaten unterscheiden sich jedoch geringfügig, so dass die Unternehmen mit einem wachsenden Geflecht unterschiedlicher staatlicher Vorschriften konfrontiert sind - ein Problem, das Wirtschaftsvertreter vor der Legislative in Connecticut angesprochen haben.
In der nachstehenden Vergleichstabelle können Sie sehen, wie sich diese Gesetze voneinander unterscheiden:
Gesetz zum Schutz persönlicher Daten und zur Online-Überwachung in Connecticut | Kalifornisches Verbraucherschutzgesetz | Colorado-Datenschutzgesetz | Utah Verbraucherschutzgesetz | Virginia Verbraucherdatenschutzgesetz | |
Umsatzschwellen für Unternehmen | Kein spezifischer Einnahmen-Dollar-Betrag | Sie können ein erfasstes Unternehmen sein, wenn sie einen Mindestumsatz von 25 Millionen Dollar haben, ohne weitere Kriterien erfüllen zu müssen. | Kein spezifischer Einnahmen-Dollar-Betrag | Die Unternehmen müssen einen Umsatz von mindestens 25 Millionen US-Dollar erzielen und weitere Kriterien erfüllen | Kein spezifischer Einnahmen-Dollar-Betrag |
Ausschlüsse für aggregierte und de-identifizierte Daten | Nur de-identifizierte Daten | Beide | Nur de-identifizierte Daten | Beide | Nur de-identifizierte Daten |
Was ist der "Verkauf" von Daten? | Der Austausch von etwas Wertvollem, wobei es sich nicht um Geld handeln muss. | Der Austausch von etwas Wertvollem, wobei es sich nicht um Geld handeln muss. | Der Austausch von etwas Wertvollem, wobei es sich nicht um Geld handeln muss. | Ein monetärer Austausch wie die Zahlung von Geld oder die Ausstellung eines Schecks ist ein "Muss". Andere Gegenleistungen gelten nicht als Verkauf. | Ein monetärer Austausch wie die Zahlung von Geld oder die Ausstellung eines Schecks ist ein "Muss". Andere Überlegungen gelten nicht als Verkauf |
Opt-in vs. Opt-out-Rechte für sensible Daten | Die für die Verarbeitung Verantwortlichen müssen die Zustimmung einholen, bevor sie sensible Daten wie Daten über die rassische oder ethnische Herkunft oder Daten über den Einwanderungsstatus verarbeiten | Enthält keine unterschiedlichen Regeln für sensible Informationen | Die für die Verarbeitung Verantwortlichen müssen die Zustimmung einholen, bevor sie sensible Daten verarbeiten | Die Verbraucher können sich gegen die Verarbeitung ihrer sensiblen Daten entscheiden, aber die für die Verarbeitung Verantwortlichen müssen nicht ihre Zustimmung einholen, bevor sie Daten verarbeiten. | Die für die Verarbeitung Verantwortlichen müssen die Zustimmung der Verbraucher einholen, bevor sie sensible Daten verarbeiten. |
Zugang der Verbraucher zu Geschäftsgeheimnissen bei Anfragen | Verbraucher haben keinen Zugang zu Geschäftsgeheimnissen | Verbraucher haben keinen Zugang zu Geschäftsgeheimnissen | Verbraucher haben keinen Zugang zu Geschäftsgeheimnissen | Verbraucher haben keinen Zugang zu Geschäftsgeheimnissen | Verbraucher können Zugang zu Geschäftsgeheimnissen erhalten |
Beschwerderechte der Verbraucher | Verbraucher können gegen die Ablehnung eines Verbraucherantrags durch einen Auftragsverarbeiter Widerspruch einlegen. | Verbraucher können gegen die Ablehnung eines Verbraucherantrags durch einen Auftragsverarbeiter Widerspruch einlegen. | Verbraucher können gegen die Ablehnung eines Verbraucherantrags durch einen Auftragsverarbeiter Widerspruch einlegen. | Kein Recht auf Berufung | Verbraucher können gegen die Ablehnung eines Verbraucherantrags durch einen Auftragsverarbeiter Widerspruch einlegen. |
Recht auf Widerspruch gegen das Profiling | Etwas Profilierung | Ja | Etwas Profilierung | Nein | Ja |
Verbraucher können Berichtigungen ihrer Daten beantragen | Ja | Ja | Ja | Nein | Ja |
Privates Klagerecht | Nein, nur der Generalstaatsanwalt kann eine Klage einreichen, um das Gesetz durchzusetzen. | Ja, die Verbraucher können ihre eigenen Klagen vor Gericht einreichen, um das Gesetz durchzusetzen. | Nein, nur der Generalstaatsanwalt kann eine Klage einreichen, um das Gesetz durchzusetzen. | Nein, nur der Generalstaatsanwalt kann eine Klage einreichen, um das Gesetz durchzusetzen. | Nein, nur der Generalstaatsanwalt kann eine Klage einreichen, um das Gesetz durchzusetzen. |
Verbraucher können die Löschung ihrer personenbezogenen Daten beantragen | Ja | Ja | Ja | Ja | Nein |
Welche Auswirkungen hat das CTDPA auf die Verbraucher?
Eine von KPMG im Jahr 2021 durchgeführte Umfrage ergab, dass 86 % der Amerikaner den Datenschutz als ein wachsendes Problem betrachten. Auch eine Pew-Umfrage zu diesem Thema ergab, dass sich mehr als 80 % der Amerikaner unwohl fühlen, weil sie keine Kontrolle über ihre Daten haben.
Das CTDPA trägt diesen Bedenken auf verschiedene Weise Rechnung:
- Die betroffenen Unternehmen müssen größere Sicherheitsmaßnahmen zum Schutz der Verbraucherdaten ergreifen.
- Die Verbraucher in Connecticut werden auf Anfrage mehr darüber erfahren können, wie Unternehmen ihre persönlichen Daten verwenden
- Die Verbraucher in Connecticut können in einigen Fällen die Löschung ihrer Daten verlangen
- Die Verbraucher in Connecticut haben das Recht, die Verarbeitung ihrer Daten für bestimmte Zwecke zu untersagen.
Welche Auswirkungen hat das CTDPA auf Unternehmen?
Das CTDPA kann den betroffenen Unternehmen erhebliche finanzielle Aufwendungen abverlangen. Bevor das kalifornische Gesetz zum Schutz der Verbraucherdaten verabschiedet wurde, schätzte ein Wirtschaftsbericht, dass die von dem Gesetz betroffenen Unternehmen anfangs 55 Milliarden Dollar für die Einhaltung des Gesetzes ausgeben würden.
Viele Unternehmen dürften jedoch bereits weitgehend konform sein, je nachdem, ob sie in einem der anderen vier Staaten mit ähnlichen Gesetzen zum Schutz der Verbraucherdaten tätig sind.
Beachten Sie, dass diese Gesetze leicht variieren. Wenn Ihr Unternehmen also bereits Änderungen vorgenommen hat, um den Gesetzen eines dieser Staaten zu entsprechen, müssen Sie nach zusätzlichen Anforderungen im Rahmen des CTDPA suchen.
Da das Gesetz erst im Juli 2023 in Kraft tritt und erst 2025 umgesetzt wird, haben Sie Zeit, sich auf die erheblichen Auswirkungen dieses Gesetzes vorzubereiten.
Andererseits können die unter das CTDPA fallenden Unternehmen einen gewissen Nutzen aus dem Gesetz ziehen. Da zum Beispiel immer mehr Geschäftsmodelle die Erhebung von Verbraucherdaten beinhalten, kann das Vertrauen der Verbraucher durch die Einhaltung der Datenschutzgesetze gestärkt werden.
Wer muss sich an das CTDPA halten?
Einrichtungen, die als für die Verarbeitung Verantwortliche oder Auftragsverarbeiter gelten, müssen das CTDPA einhalten. Sie müssen das CTDPA einhalten, wenn Sie diese beiden Bedingungen erfüllen:
- Sie führen Geschäfte in Connecticut oder richten sich mit Ihren Dienstleistungen oder Produkten an Einwohner von Connecticut.
- Im vorangegangenen Kalenderjahr hat Ihr Unternehmen 100.000 oder mehr personenbezogene Daten von Verbrauchern verarbeitet oder kontrolliert - oder 25.000 oder mehr, wenn Ihr Unternehmen mehr als 25 % der Gesamteinnahmen durch den Verkauf von personenbezogenen Daten erzielt hat. Dazu gehören jedoch nicht "personenbezogene Daten, die ausschließlich zum Zweck der Abwicklung eines Zahlungsvorgangs kontrolliert oder verarbeitet werden".
Gibt es Ausnahmen?
Ja, es gibt Ausnahmen im Datenschutzgesetz von Connecticut. Die folgenden Einrichtungen gelten nicht als für die Verarbeitung Verantwortliche oder Auftragsverarbeiter:
- Stellen, die als staatliche Auftragnehmer Daten verarbeiten
- Gemeinnützige Organisationen
- Höhere Bildungseinrichtungen
Wie können Unternehmen das CTDPA einhalten?
Hier sind einige wichtige Dinge, die Sie tun sollten, um sich auf das CTDPA vorzubereiten:
- Einführung von Sicherheitsmaßnahmen zum Schutz der Privatsphäre der Verbraucher oder Überprüfung bestehender Maßnahmen, um sicherzustellen, dass sie den Anforderungen des CTDPA entsprechen.
- Schließen Sie mit Ihrem Auftragsverarbeiter oder dem für die Verarbeitung Verantwortlichen Verträge ab, die dem CTDPA entsprechen, oder ändern Sie bestehende Verträge.
- Entwerfen Sie Datenschutzhinweise und entwickeln Sie Opt-out-Mechanismen.
- Erstellung von Richtlinien und Verfahren für die Beantwortung von Verbraucheranfragen.
Wie wird das CTDPA durchgesetzt?
Nur der Generalstaatsanwalt von Connecticut kann bei Verstößen gegen das CTDPA eine Durchsetzungsklage einreichen. Das Gesetz sieht kein privates Klagerecht vor, so dass Verbraucher keine eigenen Klagen einreichen können.
Das CTDPA sieht vor, dass der Generalstaatsanwalt den Unternehmen vor dem 1. Januar 2025 eine 60-tägige Frist zur Behebung von Verstößen einräumen muss, bevor er eine Durchsetzungsklage erhebt. Ab dem 1. Januar 2025 hat der Generalstaatsanwalt jedoch die Möglichkeit, einem Unternehmen eine 60-tägige Frist zur Behebung von Verstößen einzuräumen, aber das Gesetz schreibt dies nicht mehr vor.
Bei der Entscheidung, ob einem Unternehmen eine Nachfrist gewährt wird, muss der Generalstaatsanwalt laut CTDPA mehrere Faktoren berücksichtigen, darunter die Anzahl der Verstöße, die Größe und Komplexität des Unternehmens und die Ursache des Verstoßes.
Geldbußen und Sanktionen nach dem CTDPA
Ein Verstoß gegen das Datenschutzgesetz von Connecticut ist eine unlautere Handelspraxis gemäß dem Connecticut Unfair Trade Practices Act.
Zu den möglichen Strafen, die der Generalstaatsanwalt erheben könnte, gehören:
- Bis zu $5.000 pro vorsätzlichem Verstoß
- Billige Rechtsmittel, einschließlich Rückerstattung, Herausgabe und Unterlassungsanspruch
Damit ein Unternehmen nach dem CTDPA bestraft werden kann, muss der Generalstaatsanwalt vor Gericht eine Durchsetzungsklage gewinnen.
Zusammenfassung
Das Datenschutzgesetz von Connecticut ist die jüngste Ergänzung der in den USA erlassenen Verbraucherschutzgesetze. Da immer mehr Bundesstaaten Gesetze zum Schutz der Verbraucher erlassen, müssen Unternehmen, die Verbraucherdaten kontrollieren oder verarbeiten, ihre Datenschutzpraktiken überprüfen.
Obwohl die Gesetze der einzelnen Bundesstaaten ähnlich sind, sind sie nicht identisch. Ohne eine umfassende Bundesgesetzgebung werden viele Unternehmen eine wachsende Zahl unterschiedlicher einzelstaatlicher Datenschutzgesetze einhalten müssen.