Iowa Verbraucherdatenschutzgesetz: Erster Blick & Zusammenfassung

Abgedeckt durch Termly

von: Stefani Schmidt, M.S., CIPM, CIPP-US Stefani Schmidt, M.S., CIPM, CIPP-US | Aktualisiert am: Januar 8, 2025

Kostenlose Datenschutzerklärung erstellen
Iowa-Consumer-Data-Protection-Act-First-Look-&-Summary-01

Mit der Unterzeichnung des Iowa Consumer Data Protection Act (Iowa CDPA) durch den Gouverneur im März 2023 reiht sich Iowa in die immer länger werdende Liste der US-Bundesstaaten ein, die über ein Datenschutzgesetz verfügen.

Das CDPA von Iowa weist zwar viele Ähnlichkeiten mit den Datenschutzgesetzen anderer US-Bundesstaaten auf, enthält aber auch einige wichtige Unterschiede.

In diesem Leitfaden erfahren Sie alles, was Sie über das Iowa CDPA wissen müssen, wen es schützt, für wen es gilt und welche Schritte Ihr Unternehmen unternehmen muss, um sich auf die Einhaltung der Vorschriften vorzubereiten.

Inhaltsübersicht
  1. Was ist das Iowa Consumer Data Protection Act (Iowa CDPA)?
  2. Iowa CDPA Schlüsselbegriffe und Definitionen
  3. Was deckt das Iowa Consumer Data Protection Act ab?
  4. Anforderungen des Iowa Consumer Data Protection Act
  5. Das Datenschutzgesetz von Iowa im Vergleich zu den Gesetzen anderer Bundesstaaten: Gemeinsamkeiten und Unterschiede
  6. Welche Auswirkungen hat das CDPA von Iowa auf die Verbraucher?
  7. Wie wirkt sich das CDPA von Iowa auf Unternehmen aus?
  8. Wer muss sich an das neue Datenschutzgesetz von Iowa halten?
  9. Wie können sich Unternehmen auf das Iowa CDPA vorbereiten?
  10. Wie wird das Iowa CDPA durchgesetzt?
  11. Geldbußen und Strafen gemäß dem Iowa Consumer Data Protection Act
  12. Wie kann Termly bei der Einhaltung des CDPA in Iowa helfen?
  13. Gibt es noch andere Datenschutzgesetze in Iowa?
  14. Zusammenfassung

Was ist das Iowa Consumer Data Protection Act (Iowa CDPA)?

Das Iowa CDPA ist ein Datenschutzgesetz zum Schutz der persönlichen Daten von Verbrauchern in Iowa und sieht zivilrechtliche Strafen für Unternehmen vor, die gegen die neuen Anforderungen und Verbraucherrechte verstoßen.

Iowa CDPA Datum des Inkrafttretens

Das Iowa Consumer Data Protection Act trat am 1. Januar 2025 in Kraft.

Iowa CDPA Schlüsselbegriffe und Definitionen

Das neue Datenschutzgesetz von Iowa beschreibt in Abschnitt 1, 715D.1 "Definitionen" mehrere Schlüsselbegriffe .

Das Verständnis dieser Definitionen ist für die Einhaltung der Anforderungen dieses neuen Gesetzes von entscheidender Bedeutung, daher habe ich im Folgenden die wichtigsten Begriffe genau so aufgeführt, wie sie im Gesetzestext erscheinen:

Was deckt das Iowa Consumer Data Protection Act ab?

Das CDPA des Bundesstaates Iowa gilt für Einwohner des Bundesstaates Iowa, die in einem nichtkommerziellen und nichtberuflichen Kontext handeln.

Dieser Anwendungsbereich wird in Abschnitt 1 im Rahmen der Definition des Begriffs " Verbraucher" erläutert.

Anforderungen des Iowa Consumer Data Protection Act

Der folgende Abschnitt behandelt kurz die wichtigsten Anforderungen, die der CDPA von Iowa an Unternehmen stellt, um das Gesetz einzuhalten.

Anforderungen an die Datensicherheit

Gemäß Abschnitt 4, 715D.4 des Iowa CDPA müssen die für die Verarbeitung Verantwortlichen angemessene Sicherheitsmaßnahmen ergreifen, um die Vertraulichkeit der erhobenen personenbezogenen Daten zu schützen.

Die von Ihnen eingesetzten Datensicherheitsverfahren müssen sowohl den Umfang als auch die Art der erfassten Daten berücksichtigen.

Rechtsgrundlage für die Verarbeitung von Daten

Die für die Verarbeitung Verantwortlichen können personenbezogene Daten rechtmäßig verarbeiten, wenn sie bestimmten Richtlinien entsprechen , die im Datenschutzgesetz von Iowa festgelegt sind.

Zu diesen Leitlinien gehört die Erhebung von Daten, die:

  • ist vernünftigerweise notwendig und steht in einem angemessenen Verhältnis zu den Zwecken, die den Verbrauchern präsentiert werden
  • angemessen und relevant ist und sich auf das beschränkt, was für die genannten Zwecke erforderlich ist
  • berücksichtigt die Art und den Zweck einer solchen Erhebung, Verwendung oder Speicherung
  • unterliegt angemessenen administrativen, technischen und physischen Maßnahmen zum Schutz der Vertraulichkeit, Integrität und Zugänglichkeit der personenbezogenen Daten

Vertragliche Verpflichtungen mit Drittverarbeitern

Die für die Verarbeitung Verantwortlichen und die Auftragsverarbeiter, die im Rahmen des neuen Datenschutzgesetzes von Iowa zusammenarbeiten, müssen beide Verträge unterzeichnen, die bestimmte vom Gesetz vorgeschriebene Bestimmungen enthalten.

Gemäß Abschnitt 5, Teil 715D.5, muss der Vertrag die Verarbeiter dazu verpflichten:

  • Sicherstellen, dass die Verarbeiter zur Vertraulichkeit der Daten verpflichtet sind.
  • auf Anweisung des für die Verarbeitung Verantwortlichen alle personenbezogenen Daten zu löschen oder an den für die Verarbeitung Verantwortlichen zurückzugeben, es sei denn, die Aufbewahrung ist gesetzlich vorgeschrieben.
  • dem für die Verarbeitung Verantwortlichen alle Informationen zur Verfügung zu stellen, die zur Erfüllung der im Iowa CDPA festgelegten Verpflichtungen erforderlich sind, wenn der für die Verarbeitung Verantwortliche dies angemessen verlangt.
  • Vergewissern Sie sich, dass alle Unterauftragnehmer oder Beauftragten einen schriftlichen Vertrag haben, der alle vom Iowa CDPA festgelegten Standards erfüllt.

Interessant an diesem Gesetz ist, dass der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter nicht zur Rechenschaft gezogen wird, wenn er einen Vertrag mit einem Dritten abschließt, der gegen Teile des Gesetzes verstößt, vorausgesetzt, er wusste bei der Weitergabe der Daten nicht, dass der Empfänger einen Verstoß beabsichtigt.

In anderen US-Bundesstaaten werden in einer solchen Situation beide Parteien zur Rechenschaft gezogen, was diesen Aspekt des CDPA von Iowa besonders einzigartig macht.

Anforderungen bezüglich der Daten von Kindern

Wie andere bundesstaatliche Datenschutzgesetze verlangt auch das CDPA von Iowa, dass Unternehmen bei der Erhebung und Verarbeitung von Daten bekannter Kinder das Bundesgesetz zum Schutz der Privatsphäre von Kindern im Internet(COPPA) befolgen.

Die Einrichtungen müssen es auch den Erziehungsberechtigten ermöglichen, nachprüfbare Verbraucheranfragen im Namen bekannter Kinder einzureichen und so die in diesem Gesetz festgelegten Verbraucherrechte zu erfüllen.

Das Datenschutzgesetz von Iowa im Vergleich zu den Gesetzen anderer Bundesstaaten: Gemeinsamkeiten und Unterschiede

Iowa ist einer von mehreren US-Bundesstaaten, die kürzlich Datenschutzgesetze verabschiedet haben, darunter auch Iowa:

Diese Gesetze weisen zwar einige Gemeinsamkeiten auf, aber auch wesentliche Unterschiede, wie die nachstehende Tabelle zeigt, in der das CDPA von Iowa mit allen anderen oben aufgeführten US-Datenschutzgesetzen verglichen wird.

Staatliches Recht Opt-in-Einwilligung für bestimmte Arten der Datenverarbeitung Opt-out-Zustimmung für bestimmte Arten der Datenverarbeitung Muss den Nutzern eine Datenschutzrichtlinie (oder einen Hinweis) zur Verfügung stellen Erfordert Datenschutzbeurteilungen Umreißt vertragliche Verpflichtung mit Drittverarbeitern Ermöglicht zivilrechtliche Klagen oder das Recht auf Privatklage Muss die globalen Datenschutzkontrollen/Browser-Datenschutzeinstellungen beachten
Iowa CDPA
CCPA/CPRA
CPA
CTDPA
DPDPA
FDBR
Indiana CDPA
KCDPA
MN CDPA
MT CDPA
MODPA
NHDPL
NJDPA
OCPA
TIPA
TDPSA
UCPA
VCDPA

Welche Auswirkungen hat das CDPA von Iowa auf die Verbraucher?

Das CDPA von Iowa hat Auswirkungen auf die Verbraucher in Iowa, denn es räumt ihnen neue Rechte in Bezug auf die Art und Weise ein, wie Unternehmen und andere Einrichtungen ihre persönlichen Daten erfassen, verarbeiten und nutzen.

Gemäß Abschnitt 3, 715D.3 "Verbraucherdatenrechte" haben Personen, die durch dieses Gesetz geschützt sind, das Recht auf:

  • sich zu vergewissern, ob ein für die Verarbeitung Verantwortlicher ihre personenbezogenen Daten verarbeitet, und Zugang zu diesen Daten zu erhalten.
  • Sie können die Daten, die sie einem für die Verarbeitung Verantwortlichen zur Verfügung gestellt haben, löschen lassen.
  • eine tragbare Kopie der personenbezogenen Daten zu erhalten, die sie einem für die Verarbeitung Verantwortlichen zur Verfügung gestellt haben, es sei denn, sie unterliegen dem Schutz vor Sicherheitsverletzungen.
  • dem Verkauf ihrer persönlichen Daten widersprechen.
  • Abmeldung von gezielter Werbung.
  • der Erfassung und Verarbeitung ihrer sensiblen persönlichen Daten widersprechen.

Die für die Datenverarbeitung Verantwortlichen müssen allen oben genannten Anfragen von Verbrauchern nachkommen und unverzüglich, spätestens jedoch innerhalb von 90 Tagen nach Erhalt der Anfrage, antworten.

Lehnt eine Einrichtung einen Antrag eines Verbrauchers ab, so muss sie dies begründen und dem Betroffenen die Möglichkeit geben, kostenlos Widerspruch einzulegen, und zwar auf eine auffällige Weise, die der ursprünglichen Methode zur Einreichung von Anträgen entspricht.

Wen schützt das Iowa CDPA?

Wie bereits erwähnt, gilt das CDPA von Iowa nur für personenbezogene Daten von Einwohnern von Iowa.

Sie müssen insbesondere in einem persönlichen oder häuslichen Umfeld handeln .

Der Anwendungsbereich des Iowa Consumer Data Protection Act wird in Abschnitt 2. erklärt . 2, Teil 715D.2 "Anwendungsbereich und Ausnahmen".

Wie wirkt sich das CDPA von Iowa auf Unternehmen aus?

Das CDPA von Iowa wirkt sich auf verschiedene Weise auf Unternehmen aus.

Neben den vertraglichen Verpflichtungen, den Sicherheitsanforderungen und der Rechtsgrundlage für die Verarbeitung personenbezogener Daten, die bereits in diesem Leitfaden erwähnt wurden, sollten sich Unternehmen auch darauf vorbereiten, Datenschutz- und Cookie-Richtlinien zu aktualisieren.

Im Folgenden werden die Änderungen erörtert, die Unternehmen möglicherweise an diesen Dokumenten vornehmen müssen.

Wie wirkt sich der Iowa CDPA auf meine Datenschutzpolitik aus?

Nach dem neuen Datenschutzgesetz von Iowa müssen die für die Verarbeitung Verantwortlichen den Verbrauchern eine Datenschutzerklärung zur Verfügung stellen, die mehrere spezifische Leitlinien erfüllt.

Diese Anforderung bedeutet, dass die Unternehmen einige Aktualisierungen ihrer bestehenden Politik vorbereiten müssen.

Gemäß Abschnitt 4 des Gesetzes muss eine Datenschutzrichtlinie alle folgenden Informationen enthalten:

  • Die Kategorien der verarbeiteten personenbezogenen Daten.
  • Der Zweck der Verarbeitung der Daten.
  • Eine Beschreibung, wie Verbraucher ihre Rechte wahrnehmen und gegen die Entscheidung eines für die Verarbeitung Verantwortlichen Widerspruch einlegen können.
  • Gegebenenfalls die Kategorien der Daten, die an Dritte weitergegeben werden.
  • Die Kategorien der Dritten, mit denen Sie Daten austauschen - falls vorhanden
  • Wenn ein Unternehmen personenbezogene Daten an Dritte verkauft oder gezielte Werbung betreibt, müssen alle diese Informationen eindeutig offengelegt werden, und es ist notwendig, den Nutzern die Möglichkeit zu geben, sich von diesen Aktivitäten abzumelden.
  • Einrichtung und Beschreibung eines sicheren und zuverlässigen Verfahrens, mit dem die Verbraucher ihre Rechte geltend machen können.

Wie wird sich das Iowa CDPA auf meine Cookie-Richtlinie auswirken?

Einige Internet-Cookies gelten nach dem Iowa Consumer Data Protection Act als personenbezogene Daten, was sich auf die Cookie-Politik eines Unternehmens auswirken kann.

Insbesondere haben die Verbraucher nach dem Iowa CDPA das Recht, gezielte Werbung, den Verkauf ihrer persönlichen Daten und die Erhebung und Verarbeitung sensibler persönlicher Daten abzulehnen.

Wenn ein Unternehmen Internet-Cookies verwendet, die zu gezielter Werbung führen, oder Daten von Nutzern sammelt, die an Dritte verkauft werden, muss es darauf hinweisen, um welche Cookies es sich handelt, und den Nutzern die Möglichkeit geben, diese zu deaktivieren.

Ein ähnlicher Opt-out-Mechanismus muss vorhanden sein, wenn Sie sensible personenbezogene Daten sammeln.

Wer muss sich an das neue Datenschutzgesetz von Iowa halten?

Ein Unternehmen muss das Iowa CDPA einhalten, wenn es in Iowa geschäftlich tätig ist oder Produkte und Dienstleistungen herstellt, die sich an Verbraucher richten, die in diesem Bundesstaat ansässig sind, und wenn es während eines Kalenderjahres einen der folgenden Schwellenwerte erfüllt:

  • Persönliche Daten von 100.000 oder mehr Verbrauchern kontrolliert oder verarbeitet
  • personenbezogene Daten von mindestens 25.000 Verbrauchern kontrolliert oder verarbeitet und mehr als 50 % seiner Bruttojahreseinnahmen aus dem Verkauf personenbezogener Daten erzielt

Wer ist von der Iowa CDPA ausgenommen?

Die folgenden Einrichtungen sind von dem Iowa Consumer Data Protection Act ausgenommen:

  • Der Staat oder eine politische Untergliederung des Staates
  • Finanzinstitute, mit ihnen verbundene Unternehmen oder betroffene Personen im Sinne des bundesstaatlichen Gramm-Leach-Bliley Act(GLBA)
  • Personen, die dem Health Insurance Portability and Accountability Act(HIPAA) unterliegen
  • Personen, die dem Health Information Technology for Economic and Clinical Health Act von 2009(HITECH) unterliegen
  • Gemeinnützige Organisationen
  • Einrichtungen der Hochschulbildung

Wie können sich Unternehmen auf das Iowa CDPA vorbereiten?

Aktualisierung der Datenschutzrichtlinie

Unternehmen, die von dem neuen Datenschutzgesetz des Bundesstaates Iowa betroffen sind, sollten eine Aktualisierung ihrer Datenschutzrichtlinien planen, um alle Anforderungen des Gesetzes zu erfüllen.

Umsetzung der Zustimmungsverwaltung

Sie sollten auch eine Consent Management Platform (CMP) mit einem angemessenen Einwilligungsbanner und einem Einstellungszentrum verwenden, das es den Nutzern ermöglicht, ihre Datenschutzrechte wahrzunehmen, z. B. dem Verkauf ihrer Daten und gezielter Werbung zu widersprechen.

Bieten Sie ein Formular für den Antrag auf Datenzugang an

Das Hinzufügen einesDSAR-Formulars (Data Subject Access Request) zu einer Website ist eine weitere geeignete Möglichkeit, um Nutzern eine einfache Möglichkeit zu bieten, Anträge auf Wahrnehmung ihrer Rechte zu stellen und gegen Entscheidungen eines für die Datenverarbeitung Verantwortlichen Einspruch zu erheben.

Entwurf von Datenverarbeitungsverträgen

Wenn ein Unternehmen Daten in seinem Namen von Dritten verarbeiten lässt, muss es eine Datenverarbeitungsvereinbarung(Data Processing Agreement,DPA) verwenden, die alle im Iowa CDPA beschriebenen notwendigen Klauseln enthält.

Wie wird das Iowa CDPA durchgesetzt?

Der Generalstaatsanwalt von Iowa hat die ausschließliche Befugnis, alle Teile des Iowa CDPA durchzusetzen.

Wenn der Generalstaatsanwalt begründeten Anlass zu der Annahme hat, dass eine Einrichtung gegen das Gesetz verstößt, kann er eine zivilrechtliche Ermittlungsanordnung erlassen.

Sie teilen dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter innerhalb von 90 Tagen schriftlich mit, gegen welche Teile des Iowa CDPA sie angeblich verstoßen haben.

Die Unternehmen müssen die Verstöße innerhalb von 90 Tagen abstellen und eine schriftliche Erklärung an die AG zurücksenden, in der sie erklären, dass keine weiteren Verstöße erfolgen werden.

Im Falle der Genehmigung wird die AG keine negativen Maßnahmen gegen den für die Verarbeitung Verantwortlichen oder den Auftragsverarbeiter ergreifen.

Wenn die AG jedoch nie eine schriftliche Erklärung erhält oder es zu weiteren Verstößen kommt, müssen die Unternehmen mit einer Geldstrafe rechnen.

Geldbußen und Strafen gemäß dem Iowa Consumer Data Protection Act

Nach dem CDPA des Bundesstaates Iowa müssen für die Verarbeitung Verantwortliche oder Auftragsverarbeiter, die nach einem mutmaßlichen Verstoß die Abhilfefrist nicht einhalten, mit Geldstrafen rechnen.

Diese Geldbußen können bis zu 7.500 Dollar pro Verstoß betragen.

Der Generalstaatsanwalt wird dann das durch Verstöße eingenommene Geld dem Fonds für Verbraucheraufklärung und Rechtsstreitigkeiten zuführen.

Wie kann Termly bei der Einhaltung des CDPA in Iowa helfen?

Termly's Datenschutzerklärung Generator und Consent Management Platform kann Unternehmen dabei helfen, das Iowa CDPA einzuhalten.

Die Website Datenschutzerklärung Generator stellt einfache Fragen zu Ihrem Unternehmen und seinen Datenerfassungspraktiken und verwendet die Antworten, um eine umfassende, personalisierte Datenschutzrichtlinie zu erstellen.

Ein Beispiel dafür, wie der Generator aussieht, finden Sie in der nachstehenden Bildschirmabbildung:

Termly-Privacy-Policy-Generator

Sie können Termly's Consent Management Platform auch so konfigurieren, dass es mit den Opt-Out-Anforderungen des Iowa CDPA für gezielte Werbung und den Verkauf von persönlichen Daten kompatibel ist.

Sehen Sie unten, wie es aussieht.

Termly-Zustimmungsmanagement-Plattform-kompatible-Verbraucher-opt-out-Anforderungen-Iowa-CDPA

Das Beste an der Verwendung von Termly? Die Richtliniengeneratoren und Tools werden von Rechts- und Datenschutzexperten unterstützt.

Außerdem werden die Produkte von Termly entsprechend der Entwicklung der Gesetze und Vorschriften aktualisiert, so dass Sie sich darauf verlassen können, dass die Tools immer auf dem neuesten Stand sind.

Das Verbraucherdatenschutzgesetz von Iowa ist zwar das erste Gesetz des Bundesstaates, das sich direkt mit der Erhebung und Verarbeitung personenbezogener Verbraucherdaten befasst, doch gibt es in Iowa noch ein weiteres Gesetz, das sich auf die Sicherheit und Integrität dieser Daten auswirkt.

Insbesondere ein Abschnitt des Iowa Code befasst sich mit Verletzungen des Schutzes personenbezogener Daten, Titel XVI.

Um diesen Abschnitt des Gesetzes einzuhalten, müssen Unternehmen Verbraucher und den Generalstaatsanwalt über Verletzungen des Schutzes personenbezogener Daten, die elektronische oder Papieraufzeichnungen betreffen, benachrichtigen, wenn mehr als 500 Einwohner von Iowa von einer Datenverletzung betroffen sind.

Dieser Abschnitt des Iowa Code wird mit den neuen Datenschutzanforderungen und Verbraucherrechten in Iowa, die im Iowa CDPA beschrieben sind, zusammenarbeiten.

Zusammenfassung

Erleichtern Sie Ihrem Unternehmen die Einhaltung des Iowa CDPA, indem Sie die richtigen Schritte unternehmen, um alle Anforderungen des Gesetzes zu erfüllen.

Planen Sie eine Aktualisierung Ihrer Datenschutzrichtlinien, damit sie alle Anforderungen des CDPA von Iowa erfüllen, und implementieren Sie Opt-out-Optionen für Verbraucher in Bezug auf sensible persönliche Daten, gezielte Werbung und den Verkauf persönlicher Daten.

Unternehmen können die Einhaltung der Vorschriften noch einfacher gestalten, indem sie Ressourcen wie den Datenschutzerklärung Generator und die Consent Management Platform.

Stefani Schmidt, M.S., CIPM, CIPP-US
Mehr über die Autorin

Geschrieben von Stefani Schmidt, M.S., CIPM, CIPP-US

Stefani ist eine Expertin für Datenschutz, Risiko, Compliance und Programmmanagement mit Erfahrung in der Kommunikations-, Finanz- und Werbebranche. Zu Stefanis früheren Erfahrungen gehört die enge Zusammenarbeit mit Interessenvertretern aus verschiedenen Abteilungen, um Datenschutzinitiativen in Unternehmen voranzutreiben, einschließlich der Arbeit an Datenschutz- und Sicherheitsprüfungen für neue Geschäftsinitiativen und Anbieter. Stefani hat einen M.S. in Sicherheitstechnologien von der University of Minnesota - Twin Cities und einen B.A. in Journalismus und Politikwissenschaften. Mehr über die Autorin

Verwandte Artikel

Weitere Artikel ansehen