Indiana Verbraucherdatenschutzgesetz: Erster Blick & Zusammenfassung

Abgedeckt durch Termly

von: Stefani Schmidt, M.S., CIPM, CIPP-US Stefani Schmidt, M.S., CIPM, CIPP-US | Aktualisiert am: Februar 10, 2025

Kostenlose Datenschutzerklärung erstellen
Indiana-Verbraucherdatenschutzgesetz-First-Look-&-Summary-01

Das Verbraucherdatenschutzgesetz von Indiana, Indiana CDPA, wurde am 1. Mai 2023 unterzeichnet und tritt 2026 in Kraft.

Es ähnelt den meisten anderen staatlichen Gesetzen, enthält jedoch einige wichtige Anforderungen, die Unternehmer beachten sollten.

Nachfolgend finden Sie einen Überblick über alles, was Unternehmen über das CDPA von Indiana wissen müssen, einschließlich der darin festgelegten Anforderungen, der Strafen für Verstöße gegen das Gesetz und vieles mehr.

Inhaltsübersicht
  1. Was ist das Indiana Consumer Data Protection Act (Indiana CDPA)?
  2. Wichtige Begriffe und Definitionen des Indiana CDPA
  3. Was deckt das Verbraucherdatenschutzgesetz von Indiana ab?
  4. Anforderungen des Indiana Consumer Data Protection Act
  5. Das Gesetz von Indiana im Vergleich zu den Datenschutzgesetzen anderer Bundesstaaten: Gemeinsamkeiten und Unterschiede
  6. Welche Auswirkungen hat das CDPA von Indiana auf die Verbraucher?
  7. Wie wirkt sich das CDPA von Indiana auf Unternehmen aus?
  8. Wer muss sich an das neue Datenschutzgesetz von Indiana halten?
  9. Wie können sich Unternehmen auf das CDPA von Indiana vorbereiten?
  10. Wie wird das CDPA von Indiana durchgesetzt?
  11. Geldbußen und Strafen nach dem Verbraucherdatenschutzgesetz von Indiana
  12. Wie kann Termly bei der Einhaltung des CDPA in Indiana helfen?
  13. Gibt es noch andere Datenschutzgesetze in Indiana?
  14. Zusammenfassung

Was ist das Indiana Consumer Data Protection Act (Indiana CDPA)?

Das Verbraucherdatenschutzgesetz von Indiana ( Indiana CDPA) ist ein Datenschutzgesetz, das die persönlichen Daten von Verbrauchern oder Einwohnern von Indiana schützt.

Sie beschreibt die Datenschutzrechte, die diese Personen in Bezug auf die Art und Weise haben, wie verschiedene Stellen ihre Daten erfassen, verarbeiten und nutzen.

Außerdem werden die rechtlichen Verpflichtungen und Anforderungen beschrieben, die Einrichtungen bei der Verarbeitung der Daten von Einwohnern des Bundesstaates Indiana einhalten müssen, und es werden die Strafen für Verstöße gegen Teile des Gesetzes dargelegt.

Wann tritt das CDPA von Indiana in Kraft?

Das Verbraucherdatenschutzgesetz von Indiana tritt am 1. Januar 2026 in Kraft, so dass die Unternehmen mehr als zwei Jahre Zeit haben, es zu erfüllen.

Damit wird ein neuer Artikel in das Gesetzbuch von Indiana aufgenommen, der die Kodifizierung aller derzeit im Bundesstaat geltenden Gesetze enthält.

Wichtige Begriffe und Definitionen des Indiana CDPA

Im Folgenden werden einige wichtige Begriffe aus Kapitel 2 des CDPA von Indiana erläutert, die Sie verstehen müssen, um dieses neue Gesetz zu befolgen.

  • Biometrische Daten: Daten, die durch automatische Messungen der biologischen Merkmale einer Person erzeugt werden, z. B. Fingerabdruck, Stimmabdruck, Bilder der Netzhaut oder der Iris oder andere einzigartige biologische Muster oder Merkmale.

    • Dazu gehören keine physischen oder digitalen Fotos oder Daten, die aus einem physischen oder digitalen Foto generiert wurden, keine Video- oder Audioaufnahmen oder Daten, die aus einer Video- oder Audioaufnahme generiert wurden, und keine Informationen, die im Rahmen des HIPAA für die Behandlung, Bezahlung oder den Betrieb des Gesundheitswesens gesammelt, verwendet oder gespeichert wurden.
  • Verbraucher: Eine Person, die ihren Wohnsitz in Indiana hat und nur für persönliche, familiäre oder Haushaltszwecke handelt.

    • Ausgenommen sind Personen, die in einem kommerziellen oder arbeitsrechtlichen Kontext handeln.
  • Einverständnis: Eine eindeutige bestätigende Handlung, die die frei gegebene, spezifische, informierte und unzweideutige Zustimmung eines Verbrauchers zur Verarbeitung personenbezogener Daten des Verbrauchers bedeutet.
  • Für die Datenverarbeitung Verantwortlicher: Eine Person, die allein oder gemeinsam mit anderen über den Zweck und die Mittel der Verarbeitung personenbezogener Daten entscheidet.
  • Datenverarbeiter: Eine Person, die personenbezogene Daten im Auftrag eines für die Verarbeitung Verantwortlichen verarbeitet.
  • Persönliche Daten: Informationen, die mit einer identifizierten oder identifizierbaren Person verknüpft oder vernünftigerweise verknüpfbar sind.

    • Nicht dazu gehören de-identifizierte Daten, aggregierte Daten oder öffentlich zugängliche Informationen.
  • Pseudonymisierte Daten: Personenbezogene Daten, die nicht einer bestimmten Person zugeordnet werden können, weil zusätzliche Informationen, die eine Zuordnung der Daten zu einer bestimmten Person ermöglichen würden, gesondert aufbewahrt werden und geeigneten technischen und organisatorischen Maßnahmen unterliegen, um sicherzustellen, dass die personenbezogenen Daten nicht einer bestimmten oder bestimmbaren Person zugeordnet werden können.
  • Verarbeitung: In Bezug auf personenbezogene Daten bedeutet dies jeden Vorgang oder jede Reihe von Vorgängen, die mit personenbezogenen Daten oder einer Reihe von personenbezogenen Daten manuell oder automatisiert durchgeführt werden, wie z. B. das Erheben, die Verwendung, die Speicherung, die Weitergabe, die Analyse, die Löschung oder die Veränderung von personenbezogenen Daten.
  • Sensible Daten: Eine Kategorie personenbezogener Daten, die Folgendes umfasst: personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, religiöse Überzeugungen, eine von einem Gesundheitsdienstleister gestellte psychische oder physische Gesundheitsdiagnose, die sexuelle Ausrichtung oder die Staatsangehörigkeit oder der Einwanderungsstatus hervorgehen. Genetische oder biometrische Daten, personenbezogene Daten, die von einem bekannten Kind erhoben wurden, und genaue Geolokalisierungsdaten.

Was deckt das Verbraucherdatenschutzgesetz von Indiana ab?

Das CDPA von Indiana gilt nur für Einwohner des Bundesstaates Indiana, die für persönliche, familiäre oder Haushaltszwecke handeln, wie in Abschnitt 8 (a) von Kapitel 2 des Gesetzes beschrieben.

Sie gilt nicht für Personen in Indiana, die in einem kommerziellen oder arbeitsrechtlichen Kontext handeln.

Anforderungen des Indiana Consumer Data Protection Act

Das CDPA von Indiana enthält eine Reihe von Anforderungen, die Unternehmen erfüllen müssen und die im nächsten Abschnitt ausführlich behandelt werden.

Denken Sie daran, dass das Gesetz sowohl für die für die Datenverarbeitung Verantwortlichen als auch für die Datenverarbeiter Verpflichtungen vorsieht, so dass wir auf ihre Verpflichtungen getrennt eingehen werden.

Verpflichtungen der für die Verarbeitung Verantwortlichen, die Daten verarbeiten

Nach dem CDPA von Indiana haben die für die Datenverarbeitung Verantwortlichen folgende Pflichten, die in Kapitel 4 des Gesetzes dargelegt sind:

  • Als für die Verarbeitung Verantwortlicher müssen Sie die Erhebung personenbezogener Daten auf das beschränken, was "angemessen, relevant und vernünftigerweise notwendig" ist für die Zwecke, für die Sie die Daten verarbeiten, wie sie dem Verbraucher mitgeteilt wurden.
  • Sie dürfen personenbezogene Daten nicht für Zwecke verarbeiten, die weder vernünftigerweise notwendig noch mit den offengelegten Zwecken vereinbar sind, es sei denn, Sie erhalten die Zustimmung der Verbraucher.
  • Sie müssen angemessene technische, administrative und physische Datensicherheitspraktiken einführen, umsetzen und aufrechterhalten, um die Integrität und Vertraulichkeit der Daten in Anbetracht des Umfangs und der Art der erfassten Daten angemessen zu schützen.
  • Sie dürfen keine personenbezogenen Daten verarbeiten, die gegen Landes- oder Bundesgesetze verstoßen, die eine unrechtmäßige Diskriminierung von Verbrauchern verbieten.
  • Sie dürfen keine sensiblen personenbezogenen Daten verarbeiten, ohne die Zustimmung der Betroffenen einzuholen.
  • Alle Verträge oder Bestimmungen, die die Rechte der Verbraucher in irgendeiner Weise gemäß dem Indiana CDPA aufheben oder einschränken, sind nichtig und nicht einklagbar.

Zustimmungsverpflichtungen

Wie bereits erwähnt, können die für die Verarbeitung Verantwortlichen Informationen für Zwecke verarbeiten, die nicht "vernünftigerweise erforderlich" oder "mit den offengelegten Zwecken vereinbar" sind, wenn sie die Zustimmung der Verbraucher einholen.

Damit eine Einwilligung nach dem ICDPA als rechtmäßig gilt, muss der Nutzer eine eindeutige und bestätigende Handlung vornehmen. Sie könnten ihn zum Beispiel auffordern, ein nicht markiertes Kästchen anzuklicken oder eine deutlich beschriftete Schaltfläche "Zustimmen" zu wählen.

Die Zustimmung nach diesem Gesetz muss außerdem freiwillig, ausdrücklich, in Kenntnis der Sachlage und unmissverständlich erteilt werden.

Mit anderen Worten: Der Nutzer muss genau wissen, womit er einverstanden ist, und darf nicht gezwungen oder genötigt werden, seine Zustimmung zu erteilen.

Vertragliche Verpflichtungen zwischen für die Verarbeitung Verantwortlichen und Auftragsverarbeitern

Nach dem CDPA von Indiana müssen die für die Datenverarbeitung Verantwortlichen und die Auftragsverarbeiter Verträge mit spezifischen Klauseln verwenden, die manchmal als Datenverarbeitungsverträge(Data Processing Agreements, DPA) bezeichnet werden, wie in Kapitel 5, Abschnitt 2 des Gesetzes beschrieben.

Zu diesen Bestimmungen gehört, dass der Auftragsverarbeiter alle folgenden Anforderungen erfüllen muss:

  • Gewährleistung, dass jede Person, die an der Verarbeitung personenbezogener Daten beteiligt ist, zur Vertraulichkeit der Daten verpflichtet ist.
  • die personenbezogenen Daten zu löschen oder sie auf Anweisung des für die Verarbeitung Verantwortlichen vollständig zurückzugeben, es sei denn, er ist gesetzlich verpflichtet, die personenbezogenen Daten aufzubewahren.
  • dem für die Verarbeitung Verantwortlichen alle im Besitz des Auftragsverarbeiters befindlichen Informationen zur Verfügung zu stellen, um die Einhaltung des CDPA von Indiana nachzuweisen, wenn der für die Verarbeitung Verantwortliche dies angemessen verlangt.
  • mit dem von dem für die Verarbeitung Verantwortlichen bestimmten Prüfer zusammenzuarbeiten und angemessene Bewertungen zuzulassen oder einem unabhängigen Prüfer die Durchführung des Bewertungsverfahrens zu ermöglichen.
  • Verlangt von den Unterauftragnehmern des Verarbeiters die Unterzeichnung eines schriftlichen Vertrags, der die gleichen Verpflichtungen enthält, wie sie im CDPA von Indiana festgelegt sind.

Datenschutz-Folgenabschätzungen

Das ICDPA verpflichtet Einrichtungen zur Durchführung von Datenschutz-Folgenabschätzungen (Data Protection Impact Assessments, DPIAs) für bestimmte Datenverarbeitungsaktivitäten, wie in Kapitel 6 des Gesetzes beschrieben.

Die für die Datenverarbeitung Verantwortlichen müssen für jede der folgenden Verarbeitungstätigkeiten DPIAs durchführen und dokumentieren:

  • Verarbeitung personenbezogener Daten für gezielte Werbung
  • Verkauf von personenbezogenen Daten
  • die Verarbeitung personenbezogener Daten zum Zwecke der Profilerstellung, wenn sie ein vernünftigerweise vorhersehbares Risiko für die betroffene Person darstellt
  • Verarbeitung sensibler personenbezogener Daten
  • Alle Verarbeitungstätigkeiten, die ein erhöhtes Risiko für die Verbraucher darstellen

Die Datenschutzfolgenabschätzung muss die Risiken und Vorteile abwägen, die sich direkt oder indirekt aus der Datenverarbeitung ergeben können, sowie die Auswirkungen auf den für die Verarbeitung Verantwortlichen, die Verbraucher, andere Interessengruppen und die Öffentlichkeit und alle vorhandenen Schutzmaßnahmen berücksichtigen.

Einrichtungen können eine einzige Datenschutzfolgenabschätzung für mehrere Datenverarbeitungsaktivitäten verwenden, um diesen Teil des Gesetzes zu erfüllen.

Die DPIA-Richtlinien gelten für alle Verarbeitungsaktivitäten nach dem 31. Dezember 2025 und nicht rückwirkend für Daten, die vor dem 1. Januar 2026 erzeugt wurden.

Daten über bekannte Kinder

Wenn Ihr Unternehmen personenbezogene Daten von bekannten Kindern sammelt und unter das CDPA des Bundesstaates Indiana fällt, dürfen Sie dies nur tun, wenn Sie auch das Bundesgesetz zum Schutz der Privatsphäre von Kindern im Internet(COPPA) einhalten.

Nach dem CDPA des Bundesstaates Indiana gilt als Kind" jeder, der jünger als 13 Jahre ist.

Nach dem Datenschutzgesetz von Indiana fallen alle Informationen über bekannte Kinder in die Kategorie der sensiblen personenbezogenen Daten.

Sie müssen den Erziehungsberechtigten die Möglichkeit geben, im Namen ihrer Kinder zu handeln und ihre durch dieses Gesetz gewährten Datenschutzrechte wahrzunehmen.

Verpflichtungen, die der Datenverarbeiter einhalten muss

Das Verbraucherdatenschutzgesetz von Indiana verlangt von den Datenverarbeitern ausdrücklich, dass sie die für die Datenverarbeitung Verantwortlichen bei der Erfüllung ihrer Pflichten unterstützen, um:

  • den für die Verarbeitung Verantwortlichen in die Lage versetzen, seiner Verpflichtung zur Beantwortung von Anfragen der betroffenen Personen nachzukommen.
  • den für die Datenverarbeitung Verantwortlichen in die Lage versetzen, seine Verpflichtungen in Bezug auf die Gewährleistung der Sicherheit personenbezogener Daten, die Durchführung von Datenschutzfolgenabschätzungen und die Benachrichtigung von Parteien über Datenschutzverletzungen zu erfüllen.

Das Gesetz von Indiana im Vergleich zu den Datenschutzgesetzen anderer Bundesstaaten: Gemeinsamkeiten und Unterschiede

Das Datenschutzgesetz von Indiana ist eines von mehreren US-Bundesstaaten, die kürzlich Gesetze zum Schutz der Verbraucherrechte verabschiedet haben. Dazu gehören die:

Die Gesetze weisen zwar einige Gemeinsamkeiten auf, aber auch viele bedeutende Unterschiede, die die Unternehmen erkennen und verstehen müssen, insbesondere wenn es um die Einhaltung von Rechtsvorschriften geht.

Um es Ihnen leichter zu machen, finden Sie nachstehend eine Tabelle, in der die aktuellen Gesetze der US-Bundesstaaten verglichen werden, die in Kraft sind oder in den nächsten Jahren in Kraft treten sollen.

Staatliches Recht Opt-in-Einwilligung für bestimmte Arten der Datenverarbeitung Opt-out-Zustimmung für bestimmte Arten der Datenverarbeitung Muss den Nutzern eine Datenschutzrichtlinie (oder einen Hinweis) zur Verfügung stellen Erfordert Datenschutzbeurteilungen Umreißt vertragliche Verpflichtung mit Drittverarbeitern Ermöglicht zivilrechtliche Klagen oder das Recht auf Privatklage Muss die globalen Datenschutzkontrollen/Browser-Datenschutzeinstellungen beachten
Indiana CDPA
CCPA/CPRA
CPA
CTDPA
FDBR
Iowa CDPA
KCDPA
MN CDPA
MT CDPA
MODPA
NHDPL
NJDPA
OCPA
TIPA
TDPSA
UCPA
VCDPA

Welche Auswirkungen hat das CDPA von Indiana auf die Verbraucher?

Das CDPA von Indiana hat Auswirkungen auf die Verbraucher in Indiana, indem es ihnen neue Rechte in Bezug auf die Art und Weise einräumt, wie Unternehmen ihre persönlichen Daten erfassen, verarbeiten und nutzen.

Im Einzelnen wird in Kapitel 3 des Gesetzes erklärt, dass sie das Recht haben,:

  • Bestätigen, ob ein für die Verarbeitung Verantwortlicher ihre personenbezogenen Daten verarbeitet
  • Ungenauigkeiten in ihren persönlichen Daten zu korrigieren
  • Antrag auf Löschung ihrer personenbezogenen Daten
  • eine Kopie oder eine repräsentative Zusammenfassung ihrer personenbezogenen Daten zu erhalten
  • der Verarbeitung ihrer Daten für gezielte Werbung, dem Verkauf ihrer Daten oder der Profilerstellung zu widersprechen

Die Verbraucher haben auch das Recht, gegen die Entscheidung eines für die Verarbeitung Verantwortlichen auf der Grundlage ihrer ursprünglichen Anträge Widerspruch einzulegen.

Wen schützt das CDPA von Indiana?

Das CDPA von Indiana gilt für personenbezogene Daten aller Einwohner von Indiana, die in einem persönlichen oder häuslichen Kontext handeln.

Das CDPA von Indiana schließt jedoch bestimmte Kategorien personenbezogener Daten von seinem Anwendungsbereich aus.

Dazu gehören unter anderem:

  • Geschützte Gesundheitsinformationen, die in den Anwendungsbereich des HIPAA fallen
  • Personenbezogene Daten, die in Übereinstimmung mit dem COPPA verarbeitet werden

Wie wirkt sich das CDPA von Indiana auf Unternehmen aus?

Das CDPA von Indiana wirkt sich in mehrfacher Hinsicht auf Unternehmen aus. Zusätzlich zu den erforderlichen Datenschutzerklärungen, Verträgen mit Drittverarbeitern und den zuvor behandelten Verpflichtungen zur Einwilligung betrifft es auch Datenschutz- und Cookie-Richtlinien.

In den folgenden Abschnitten wird genau beschrieben, wie sich das neue Gesetz auf diese Politiken auswirkt.

Wie wirkt sich das CDPA von Indiana auf meine Datenschutzrichtlinie aus?

Gemäß Abschnitt 3 des Indiana CDPA müssen Unternehmen den Verbrauchern einen "angemessen zugänglichen, klaren und aussagekräftigen Datenschutzhinweis" vorlegen.

Sie muss alle folgenden Angaben enthalten:

  • Die Kategorien der von Ihnen erfassten personenbezogenen Daten
  • Ihr Zweck der Verarbeitung personenbezogener Daten
  • Wie die Verbraucher ihre Rechte wahrnehmen können und wie sie gegen die Entscheidung des für die Verarbeitung Verantwortlichen über ihren Antrag Widerspruch einlegen können
  • Gegebenenfalls die Kategorien von Daten, die Sie an Dritte weitergeben
  • Die Kategorien von Dritten, mit denen Sie Daten austauschen, falls vorhanden

Darüber hinaus wirken sich die Abschnitte 4 und 5 des Gesetzes auch darauf aus, was Unternehmen in ihre Datenschutzpolitik aufnehmen müssen.

Ähnlich wie bei den Anforderungen an Datenschutzrichtlinien nach dem kalifornischen Verbraucherschutzgesetz (CCPA) müssen Sie den Verbrauchern klar und deutlich mitteilen, wenn Sie personenbezogene Daten an Dritte verkaufen oder ihre Daten für gezielte Werbung verwenden.

Sie müssen auch erklären, wie ein Verbraucher beide Arten der Datenverarbeitung ablehnen kann.

Sie müssen auch einen oder mehrere sichere und zuverlässige Wege beschreiben, auf denen die Verbraucher ihre Datenschutzrechte geltend machen können.

Das Gesetz besagt, dass Sie alle folgenden Punkte berücksichtigen müssen:

  • Die Art und Weise, wie Ihre Kunden normalerweise mit Ihrem Unternehmen interagieren
  • Der Bedarf an sicherer und zuverlässiger Kommunikation
  • die Möglichkeit für den für die Verarbeitung Verantwortlichen, die Identität des Verbrauchers, der die Anfrage stellt, zu authentifizieren

Wie wirkt sich das CDPA von Indiana auf meine Cookie-Richtlinie aus?

Das Verbraucherdatenschutzgesetz des US-Bundesstaates Indiana kann sich auf Ihre Cookie-Richtlinie und Ihre Verwendung von Internet-Cookies im Allgemeinen auswirken, wenn Sie personenbezogene Daten sammeln und verarbeiten, die als Informationen definiert sind, die mit einer identifizierten oder identifizierbaren Person verknüpft sind oder vernünftigerweise verknüpft werden können.

Nach diesem Gesetz haben die Verbraucher das Recht, der Verwendung ihrer personenbezogenen Daten für gezielte Werbung oder den Verkauf von personenbezogenen Daten zu widersprechen. Sie haben auch das Recht, der Verarbeitung ihrer sensiblen personenbezogenen Daten zu widersprechen.

Außerdem müssen Sie in Ihrer Cookie-Richtlinie eindeutig erklären, ob Sie Cookies für einen dieser Zwecke verwenden, welche Cookies Sie einsetzen, was sie bewirken und wie die Verbraucher ihr Recht auf Ablehnung wahrnehmen können.

Wer muss sich an das neue Datenschutzgesetz von Indiana halten?

Ihr Unternehmen muss das Datenschutzgesetz von Indiana einhalten, wenn Sie in Indiana geschäftlich tätig sind oder Produkte oder Dienstleistungen herstellen, die sich an Einwohner von Indiana richten, und während eines Kalenderjahres eine der folgenden Bedingungen erfüllen:

  • die persönlichen Daten von mindestens 100.000 Einwohnern von Indiana kontrolliert oder verarbeitet
  • die personenbezogenen Daten von mindestens 25.000 Einwohnern von Indiana kontrolliert oder verarbeitet und mehr als 50 % ihrer jährlichen Bruttoeinnahmen aus dem Verkauf von personenbezogenen Daten erzielt.

Der rechtliche Geltungsbereich des Verbraucherdatenschutzgesetzes von Indiana wird in Abschnitt 1 des Gesetzes erläutert.

Wer ist von der Indiana Cdpa befreit?

Die folgenden Einrichtungen sind von der CDPA des Bundesstaates Indiana ausgenommen:

  • Die Regierung des Bundesstaates Indiana oder vertraglich gebundene Dritte, die im Namen der Regierung des Bundesstaates handeln.
  • Finanzinstitute und verbundene Unternehmen, die dem bundesstaatlichen Gramm Leach Bliley Act (GBLA) unterliegen.
  • Versicherte Einrichtungen oder Unternehmen, die dem United States Department of Health and Human Services und dem Health Insurance Portability and Accountability Act (HIPAA) unterliegen.
  • Gemeinnützige Organisationen.
  • Einrichtungen der Hochschulbildung.
  • Öffentliche Versorgungs- oder Dienstleistungsunternehmen.

Wie können sich Unternehmen auf das CDPA von Indiana vorbereiten?

Datenschutzbestimmungen

Um sich auf das Verbraucherdatenschutzgesetz von Indiana vorzubereiten, sollten Unternehmen ihre Datenschutzrichtlinien erstellen - oder aktualisieren -, damit sie alle Anforderungen des neuen Gesetzes erfüllen.

Verwaltung von Einwilligungen

Sie sollten auch eine Consent Management Platform verwenden, die den Verbrauchern ein Zustimmungsbanner zur Verfügung stellt, damit sie von ihrem Recht Gebrauch machen können, gezielte Werbung und den Verkauf ihrer personenbezogenen Daten abzulehnen.

DPIA/DPA

Je nachdem, welche Art von Daten Sie verarbeiten und wie Sie sie nutzen, müssen Sie möglicherweise auch eine Datenschutz-Folgenabschätzung (DPIA) durchführen.

Wenn Sie mit Drittverarbeitern zusammenarbeiten, müssen Sie beide angemessene Verträge oder Datenverarbeitungsverträge(Data Processing Agreements, DPA) unterzeichnen, die alle Anforderungen des Indiana CDPA erfüllen.

DSAR

Als weitere Möglichkeit für Nutzer, ihre Verbraucherrechte wahrzunehmen, sollten Sie den Nutzern auf Ihrer Website oder in Ihrer mobilen App ein Formular für die Beantragung des Zugangs zu den Daten (Data Subject Access Request, DSAR ) zur Verfügung stellen.

Wie wird das CDPA von Indiana durchgesetzt?

Der Generalstaatsanwalt von Indiana hat das ausschließliche Recht, das CDPA von Indiana durchzusetzen, wie in Kapitel 10 des Gesetzes erläutert.

Der Generalstaatsanwalt teilt den für die Verarbeitung Verantwortlichen oder den Auftragsverarbeitern innerhalb von 30 Tagen schriftlich mit, gegen welche Teile des CDPA von Indiana die Einrichtung verstoßen hat. Sie haben dann 30 Tage Zeit, den Verstoß zu beheben und dem Generalstaatsanwalt eine schriftliche Mitteilung zukommen zu lassen, in der dies bestätigt wird:

  • Das Vergehen wurde geheilt
  • Es wurden Maßnahmen ergriffen, um zukünftige Verstöße zu verhindern.

Wenn der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter den mutmaßlichen Verstoß jedoch nach Ablauf der Frist fortsetzt oder es versäumt, dem Generalstaatsanwalt eine ausdrückliche schriftliche Erklärung vorzulegen, drohen ihm Geldstrafen.

Geldbußen und Strafen nach dem Verbraucherdatenschutzgesetz von Indiana

Kontrolleure oder Verarbeiter, die den mutmaßlichen Verstoß nicht innerhalb der 30-tägigen Frist abstellen, müssen mit Geldstrafen von bis zu 7.500 US-Dollar pro Verstoß rechnen.

Darüber hinaus können sie auch eine einstweilige Verfügung beantragen, um Verstöße gegen das Gesetz zu unterbinden.

Der Generalstaatsanwalt kann auch die angemessenen Kosten für die Untersuchung und Vorbereitung des Falles, einschließlich der Anwaltskosten, zurückfordern.

Wie kann Termly bei der Einhaltung des CDPA in Indiana helfen?

Während sich Ihr Unternehmen auf das Indiana CDPA vorbereitet, können Sie sich auf die Ressourcen von Termlyverlassen, um den Prozess der Einhaltung der Vorschriften leichter zu gestalten.

Unser gesetzlich verankertes Datenschutzerklärung Generator enthält bereits die notwendigen Klauseln, die durch dieses und andere Gesetze vorgeschrieben sind, einschließlich der Allgemeinen Datenschutzverordnung (DSGVO), des CCPA, des VCDPA und mehr.

Es ist unglaublich benutzerfreundlich und stellt einfache Fragen zu Ihrem Unternehmen und seinen Datenerfassungspraktiken.

Anschließend wird auf der Grundlage Ihrer Antworten eine individuelle, angepasste Datenschutzrichtlinie erstellt, die Sie direkt auf Ihrer Website oder in Ihrer App einbetten können.

Unten sehen Sie einen Screenshot, der zeigt, wie es aussieht:

Termly-Datenschutz-Generator

Außerdem verfügen wir über eine Consent Management Platform (CMP), die Ihnen ein konfigurierbares Einwilligungsbanner zur Verfügung stellt.

Sie können es so einrichten, dass es die Anforderungen für die Ablehnung von gezielter Werbung erfüllt, wie sie in Gesetzen wie dem Indiana CDPA beschrieben sind.

Unten sehen Sie eine Vorschau, wie sie aussieht:

Termly-Consent-Management-Plattform

Unser Rechtsteam und unsere Datenschutzexperten überprüfen unsere Richtliniengeneratoren und Tools. Außerdem aktualisieren wir unsere Angebote, um mit neuen, sich ändernden und aktuellen Datenschutzgesetzen Schritt zu halten.

Wenn wir sagen, dass wir Ihnen die Einhaltung von Rechtsvorschriften abnehmen, dann ist das nicht nur ein Marketing-Trick - wir meinen es wirklich so!

Das Verbraucherdatenschutzgesetz von Indiana, das zunächst als Senate Bill 5 verabschiedet wurde, ist das erste Datenschutzgesetz in diesem Bundesstaat.

Das Gesetzbuch von Indiana und die Verfassung des Bundesstaates enthalten jedoch Bestimmungen über Datenschutzverletzungen und andere Rechte im Zusammenhang mit der Privatsphäre.

So enthält die Verfassung des Bundesstaates Indiana eine Bestimmung, die den Menschen das Recht garantiert, "in ihren Personen, Häusern, Papieren und Sachen sicherzu sein, vor unangemessener Durchsuchung und Beschlagnahme".

Der Kodex von Indiana beschreibt in Artikel 4.9 die rechtlichen Anforderungen bei Datenschutzverletzungen.

Es verpflichtet jede Person oder Einrichtung, die über einen computergestützten Datensatz verfügt, der personenbezogene Daten enthält, die betroffenen Einwohner von Indiana über eine Datenschutzverletzung oder eine andere unbefugte Aneignung zu informieren.

Zusammenfassung

Das neue Datenschutzgesetz des US-Bundesstaates Indiana weist viele Ähnlichkeiten mit anderen Datenschutzgesetzen in den USA auf. Die Einhaltung des Gesetzes könnte relativ problemlos sein, insbesondere wenn Sie bereits die Standards erfüllen, die von Gesetzen wie dem VCDPA, dem CCPA und anderen gefordert werden.

So oder so sollten Unternehmen, die vom Indiana CDPA betroffen sind, Folgendes planen: Sie sollten ihre Datenschutzrichtlinien aktualisieren, um alle Anforderungen des Gesetzes zu erfüllen, und Opt-Out-Optionen zu Zustimmungsbannern bezüglich des Verkaufs persönlicher Daten, gezielter Werbung und/oder der Sammlung sensibler Daten hinzufügen.

Führen Sie Datenschutzfolgenabschätzungen für bestimmte Datenverarbeitungstätigkeiten durch und verwenden Sie konforme Verträge mit allen dritten Datenverarbeitern. Schließlich sollten Sie den Verbrauchern klare Mechanismen für die Einreichung von Anträgen zur Durchsetzung ihrer neuen Datenschutzrechte zur Verfügung stellen.

Glücklicherweise müssen Sie diese Datenschutzgesetze nicht allein angehen. Mit Termly in Ihrem Werkzeugkasten können wir Ihnen helfen, die Einhaltung von Vorschriften wie dem kommenden Indiana CDPA zu einem Kinderspiel zu machen.

Stefani Schmidt, M.S., CIPM, CIPP-US
Mehr über die Autorin

Geschrieben von Stefani Schmidt, M.S., CIPM, CIPP-US

Stefani ist eine Expertin für Datenschutz, Risiko, Compliance und Programmmanagement mit Erfahrung in der Kommunikations-, Finanz- und Werbebranche. Zu Stefanis früheren Erfahrungen gehört die enge Zusammenarbeit mit Interessenvertretern aus verschiedenen Abteilungen, um Datenschutzinitiativen in Unternehmen voranzutreiben, einschließlich der Arbeit an Datenschutz- und Sicherheitsprüfungen für neue Geschäftsinitiativen und Anbieter. Stefani hat einen M.S. in Sicherheitstechnologien von der University of Minnesota - Twin Cities und einen B.A. in Journalismus und Politikwissenschaften. Mehr über die Autorin

Verwandte Artikel

Weitere Artikel ansehen