Mit dem Kentucky Consumer Data Protection Act(KCDPA) reiht sich Kentucky in die wachsende Liste der US-Bundesstaaten ein, die ein umfassendes Gesetz zum Schutz von Verbraucherdaten verabschiedet haben.
Das KCDPA ähnelt anderen Datenschutzgesetzen auf US-Bundesstaatsebene, unterscheidet sich aber insofern, als es keine monetären Schwellenwerte für den rechtlichen Geltungsbereich vorsieht, aber Grenzen für die Datenerhebung festlegt.
In diesem Leitfaden erfahren Sie alles, was Sie über das KCDPA wissen müssen, z. B. was es verlangt, wen es schützt und wie es sich auf Verbraucher und Unternehmen auswirkt.
- Was ist das Kentucky Consumer Data Protection Act (KCDPA)?
- KCDPA Schlüsselbegriffe und Definitionen
- Was umfasst das Verbraucherdatenschutzgesetz von Kentucky?
- Anforderungen des Kentucky Consumer Data Protection Act
- Das Verbraucherdatenschutzgesetz von Kentucky im Vergleich zu anderen Bundesstaaten: Gemeinsamkeiten und Unterschiede
- Wie wird sich das KCDPA auf die Verbraucher auswirken?
- Für wen gilt das KCDPA?
- Welche Auswirkungen hat das KCDPA auf die Unternehmen?
- Wer muss sich an das neue Datenschutzgesetz von Kentucky halten?
- Wie können sich Unternehmen auf das KCDPA vorbereiten?
- Wie wird das KCDPA durchgesetzt?
- Geldbußen und Strafen nach dem Verbraucherdatenschutzgesetz von Kentucky
- Wie kann Termly zur Einhaltung des KCDPA beitragen?
- Gibt es in Kentucky noch andere Datenschutzgesetze?
- Zusammenfassung
Was ist das Kentucky Consumer Data Protection Act (KCDPA)?
Das Verbraucherdatenschutzgesetz von Kentucky ist das erste umfassende Gesetz zum Schutz von Verbraucherdaten in diesem Bundesstaat und das 15. in den USA.
Sie soll den Einwohnern von Kentucky mehr Kontrolle darüber geben, wie ihre persönlichen Daten online erfasst, verarbeitet und verwendet werden.
Außerdem werden Leitlinien und Anforderungen für Unternehmen, die diese Informationen verwenden, dargelegt und die Strafen für Verstöße gegen das Gesetz beschrieben.
KCDPA Datum des Inkrafttretens
Das KCDPA tritt am 1. Januar 2026 in Kraft.
KCDPA Schlüsselbegriffe und Definitionen
Im Folgenden werden einige Schlüsselbegriffe des KCDPA so definiert, wie sie im Gesetzestext erscheinen:
Diese Begriffe werden in diesem Leitfaden in Übereinstimmung mit den Definitionen des KCDPA verwendet.
Was umfasst das Verbraucherdatenschutzgesetz von Kentucky?
Das neue Datenschutzgesetz von Kentucky gilt für die personenbezogenen Daten der Einwohner von Kentucky, nicht aber für die Daten der Einwohner von Kentucky:
- Geschützte Gesundheitsinformationen gemäß dem Health Insurance Portability and Accountability Act (HIPAA)
- Gesundheitsdaten
- Aufzeichnungen zur Identifizierung von Patienten
- Identifizierbare private Informationen für die Zwecke der Bundespolitik zum Schutz von Menschen gemäß 45 C.F.R. pt. 46
- Informationen und Dokumente, die für die Zwecke des Bundesgesetzes zur Verbesserung der Qualität des Gesundheitswesens von 1986 erstellt wurden
- Arbeitsprodukt zur Patientensicherheit im Sinne des Bundesgesetzes über Patientensicherheit und Qualitätsverbesserung
Anforderungen des Kentucky Consumer Data Protection Act
Im Folgenden werde ich einige der wichtigsten Anforderungen erläutern, die Unternehmen gemäß dem KCDPA erfüllen müssen.
Rechtmäßige Verarbeitung von personenbezogenen Daten
Nach dem KCDPA müssen die für die Verarbeitung Verantwortlichen die Datenerhebung auf das beschränken, was angemessen, relevant und vernünftigerweise notwendig ist , um die Zwecke zu erreichen, für die die Daten verarbeitet werden und die dem Verbraucher mitgeteilt wurden.
Für die Verarbeitung von Daten, die über diesen Rahmen hinausgehen, müssen Sie die Zustimmung der Nutzer einholen.
Eine Zustimmung ist auch erforderlich, um sensible persönliche Informationen von Verbrauchern aus Kentucky oder Daten von bekannten Kindern zu sammeln.
Zustimmung
Die Zustimmung nach dem neuen Datenschutzgesetz von Kentucky wird definiert als eine bestätigende, eindeutige Handlung, die die frei gegebene, spezifische, informierte und unzweideutige Zustimmung eines Verbrauchers bedeutet und Folgendes beinhalten kann:
- Eine schriftliche Erklärung
- Eine elektronische Erklärung
- Jede andere eindeutige Maßnahme
Authentifizierte Verbraucheranfragen
Nach dem KCDPA sind die betroffenen Unternehmen verpflichtet, den Verbrauchern eine oder mehrere Möglichkeiten zu bieten, authentifizierte Verbraucheranfragen zu stellen, um ihre Datenschutzrechte durchzusetzen.
Die für die Verarbeitung Verantwortlichen müssen die Anfragen innerhalb von 45 Tagen beantworten; diese Frist kann je nach Komplexität und Anzahl der Anfragen um weitere 45 Tage verlängert werden.
Die Informationen, die auf eine Anfrage des Verbrauchers hin erteilt werden, müssen bis zu zweimal jährlich kostenlos sein.
Allerdings kann dem Verbraucher eine angemessene Gebühr zur Deckung der Verwaltungskosten in Rechnung gestellt werden, wenn die Anträge übermäßig sind, sich wiederholen, technisch nicht durchführbar oder offensichtlich unbegründet sind.
Vertragliche Verpflichtungen zwischen für die Verarbeitung Verantwortlichen und Auftragsverarbeitern
Nach dem KCDPA müssen sowohl der für die Verarbeitung Verantwortliche als auch der Auftragsverarbeiter einen Vertrag unterzeichnen, in dem die folgenden Verpflichtungen zur rechtmäßigen Erhebung und Verarbeitung personenbezogener Daten festgelegt sind:
- klare Anweisungen für die Verarbeitung der personenbezogenen Daten, ihre Art und ihren Zweck, die Art der zu verarbeitenden Daten, die Dauer der Verarbeitung und die Rechte beider Parteien festlegen.
- Sicherstellen, dass jede Partei zur Vertraulichkeit der personenbezogenen Daten verpflichtet ist.
- den Auftragsverarbeiter auffordern, alle personenbezogenen Daten zu löschen oder an den für die Verarbeitung Verantwortlichen zurückzugeben, sofern die Aufbewahrung nicht gesetzlich vorgeschrieben ist.
- den Auftragsverarbeiter auffordern, bei angemessenen Bewertungen durch den für die Verarbeitung Verantwortlichen oder einen benannten Prüfer, der die Maßnahmen des Auftragsverarbeiters bewertet, zu kooperieren.
- den Auftragsverarbeiter auffordern, dem für die Verarbeitung Verantwortlichen alle in seinem Besitz befindlichen Informationen zur Verfügung zu stellen, um die Einhaltung des KCDPA nachzuweisen.
- Verlangen Sie von allen Unterauftragnehmern die Unterzeichnung eines Vertrags, der die gleichen Anforderungen enthält.
Datenschutz-Folgenabschätzungen
Der KCDPA verlangt von den für die Verarbeitung Verantwortlichen die Durchführung und Dokumentation von Datenschutz-Folgenabschätzungen für die folgenden Verarbeitungstätigkeiten:
- Verarbeitung von Daten für gezielte Werbung
- Verkauf von personenbezogenen Daten
- Verarbeitung von Daten zum Zwecke der Profilerstellung
- Verarbeitung sensibler personenbezogener Daten
- Verarbeitung von Daten, die ein erhöhtes Risiko eines Schadens für den Verbraucher darstellen
Bei der Bewertung müssen die Vorteile der Datenverarbeitung gegen die möglichen Risiken einer Schädigung des für die Verarbeitung Verantwortlichen abgewogen werden.
Eine einzige Bewertung kann verwendet werden, wenn sie sich auf andere Gesetze bezieht, deren Geltungsbereich und Auswirkungen mit denen des KCDPA einigermaßen vergleichbar sind.
Anforderungen an die Datensicherheit
Nach dem neuen Datenschutzgesetz von Kentucky müssen die für die Verarbeitung Verantwortlichen angemessene administrative, technische und physische Datensicherheitsmaßnahmen zum Schutz der Vertraulichkeit, Integrität und Zugänglichkeit der Informationen einführen, umsetzen und aufrechterhalten.
Die Sicherheitsmaßnahmen müssen dem Umfang und der Art der von einem Unternehmen erhobenen personenbezogenen Daten angemessen sein.
Das Verbraucherdatenschutzgesetz von Kentucky im Vergleich zu anderen Bundesstaaten: Gemeinsamkeiten und Unterschiede
In den USA gibt es mehrere weitere Datenschutzgesetze auf bundesstaatlicher Ebene, darunter die folgenden:
- California Consumer Protection Act (CCPA), geändert durch den California Privacy Rights Act (CPRA ) - derzeit in Kraft
- Colorado Privacy Act (CPA) - derzeit in Kraft
- Connecticut Data Privacy Act (CTDPA) - derzeit in Kraft
- Delaware Personal Data Privacy Act (DPDPA) - derzeit in Kraft
- Florida Digital Bill of Rights (FDBR ) - derzeit in Kraft
- Iowa Consumer Data Protection Act (Iowa CDPA) - derzeit in Kraft
- Verbraucherdatenschutzgesetz von Indiana (Indiana CDPA) - gültig ab 1. Januar 2026
- Minnesota Consumer Data Privacy Act (MCDPA) - gültig ab 31. Juli 2025
- Maryland Online Data Privacy Act (MODPA ) - gültig ab 1. Oktober 2025
- Montana Consumer Data Privacy Act (MCDPA) - derzeit in Kraft
- Nebraska Data Privacy Act (NDPA) - derzeit in Kraft
- New Hampshire Data Privacy Law (NHDPL) - derzeit in Kraft
- New Jersey Data Privacy Act (NJDPA) - derzeit in Kraft
- Oregon Consumer Privacy Act (OCPA) - derzeit in Kraft
- Tennessee Information Protection Act (TIPA) - gültig ab 1. Juli 2025
- Texas Data Privacy and Security Act (TDPSA) - derzeit in Kraft
- Utah Consumer Privacy Act (UCPA) - derzeit in Kraft
- Virginia Consumer Data Protection Act (VCDPA) - derzeit in Kraft
Vergleichen Sie das Datenschutzgesetz von Kentucky mit diesen anderen Datenschutzgesetzen in der nachstehenden Tabelle.
Staatliches Recht | Opt-in-Einwilligung für bestimmte Arten der Datenverarbeitung | Opt-out-Zustimmung für bestimmte Arten der Datenverarbeitung | Muss den Nutzern eine Datenschutzrichtlinie (oder einen Hinweis) zur Verfügung stellen | Erfordert Datenschutzbeurteilungen | Umreißt vertragliche Verpflichtung mit Drittverarbeitern | Ermöglicht zivilrechtliche Klagen oder das Recht auf Privatklage | Muss die globalen Datenschutzkontrollen/Browser-Datenschutzeinstellungen beachten |
KCDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
CCPA/CPRA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
CPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
CTDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
DPDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
FDBR | ✓ | ✓ | ✓ | ✓ | |||
Indiana CDPA | ✓ | ✓ | ✓ | ✓ | |||
Iowa CDPA | ✓ | ✓ | ✓ | ||||
MN CDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
MT CDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
MODPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
NHDPL | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
NJDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
OCPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
TIPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
TDPSA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
UCPA | ✓ | ✓ | ✓ | ||||
VCDPA | ✓ | ✓ | ✓ | ✓ |
Wie wird sich das KCDPA auf die Verbraucher auswirken?
Das neue Datenschutzgesetz von Kentucky hat Auswirkungen auf die Verbraucher, indem es ihnen die folgenden Rechte einräumt:
-
- Bestätigen, ob ein für die Verarbeitung Verantwortlicher ihre personenbezogenen Daten verarbeitet
- Zugang zu den über sie gesammelten persönlichen Daten
- Ungenauigkeiten in ihren persönlichen Daten zu korrigieren
- ihre persönlichen Daten zu löschen
- eine tragbare Kopie ihrer Daten anzufordern, wenn dies technisch möglich ist
- Abmeldung von gezielter Werbung
- Widerspruch gegen den Verkauf von personenbezogenen Daten
- Opt-out des Profilings im Zusammenhang mit Entscheidungen, die rechtliche oder ähnlich erhebliche Auswirkungen haben
Für wen gilt das KCDPA?
Das KCDPA gilt für Einwohner von Kentucky, die in einem individuellen Kontext handeln.
Sie gilt nicht für alle Personen, die in diesem Staat in einem kommerziellen oder arbeitsrechtlichen Kontext handeln.
Welche Auswirkungen hat das KCDPA auf die Unternehmen?
Neben den bereits in diesem Leitfaden erwähnten Anforderungen hat das KCDPA auch Auswirkungen auf die Datenschutz- und Cookie-Richtlinien von Unternehmen.
Wie wirkt sich das KCDPA auf meine Datenschutzrichtlinie aus?
Nach dem KCDPA müssen die für die Verarbeitung Verantwortlichen den Verbrauchern einen leicht zugänglichen, klaren und aussagekräftigen Datenschutzhinweis vorlegen, der die folgenden Angaben enthält:
- Die Kategorien der von den für die Verarbeitung Verantwortlichen verarbeiteten personenbezogenen Daten
- Der Zweck der Verarbeitung
- Wie Verbraucher ihre Rechte wahrnehmen können und wie sie gegen die Entscheidung eines für die Verarbeitung Verantwortlichen über einen Antrag Widerspruch einlegen können
- Die Kategorien personenbezogener Daten, die der für die Verarbeitung Verantwortliche mit Dritten teilt
- Die Kategorien der Drittparteien selbst
- Wenn der für die Verarbeitung Verantwortliche personenbezogene Daten an Dritte verkauft oder Daten für gezielte Werbung verarbeitet
- Angaben darüber, wie der Verbraucher sein Recht auf Widerspruch gegen eine solche Verarbeitung ausüben kann
In Ihrer Datenschutzpolitik müssen Sie auch einen oder mehrere sichere, zuverlässige Wege einrichten und beschreiben, auf denen Verbraucher ihre Rechte geltend machen können.
Wie wirkt sich das KCDPA auf meine Cookie-Richtlinie aus?
Das KCDPA wirkt sich auf die Cookie-Politik aus, da die Verbraucher nach diesem Gesetz das Recht haben, gezielte Werbung und den Verkauf ihrer Daten abzulehnen , was durch die Installation von Cookies in den Browsern der Nutzer geschehen kann.
Sie müssen sicherstellen, dass Ihre Cookie-Richtlinie korrekt und aktuell ist, und sie den Nutzern gemäß den gesetzlichen Benachrichtigungsrichtlinien vorlegen.
Erwägen Sie die Aufnahme einer Klausel in Ihre Datenschutzrichtlinie, in der Sie erklären, wie Sie Cookies oder andere Tracker verwenden, und fügen Sie einen direkten Link zu Ihrer Cookie-Richtlinie hinzu.
Wer muss sich an das neue Datenschutzgesetz von Kentucky halten?
Ihr Unternehmen muss das KCDPA einhalten, wenn Sie in diesem Bundesstaat geschäftlich tätig sind oder sich mit Ihren Produkten und Dienstleistungen an Einwohner des Bundesstaates wenden und während eines Kalenderjahres einen der folgenden Punkte erfüllen:
- die personenbezogenen Daten von mindestens 100.000 Verbrauchern verarbeitet und kontrolliert oder
- Verarbeitet und kontrolliert die personenbezogenen Daten von mindestens 25.000 Verbrauchern und erwirtschaftet 50 % der jährlichen Bruttoeinnahmen aus dem Verkauf personenbezogener Daten.
Im Gegensatz zu vielen anderen Datenschutzgesetzen in den USA gibt es in Kentucky keinen Schwellenwert.
Wer ist von dem KCDPA ausgenommen?
Die folgenden Einrichtungen sind von den Anforderungen des KCDPA ausgenommen:
- Städtische und staatliche politische Einrichtungen
- Finanzinstitute, die unter Titel V des Gramm-Leach-Bliley Act(GLBA) fallen
- Betroffene Einrichtungen, die dem United States Department of Health and Human Services und dem Health Insurance Portability and Accountability Act (HIPAA) unterliegen
- Gemeinnützige Organisationen
- Einrichtungen der Hochschulbildung
- Strafverfolgungsbehörden im Zusammenhang mit vermuteten kriminellen oder betrügerischen Handlungen im Zusammenhang mit Versicherungen
- Ersthelfer im Zusammenhang mit Katastrophenereignissen
- Kleine Telefongesellschaften
Wie können sich Unternehmen auf das KCDPA vorbereiten?
Um sich auf das KCDPA vorzubereiten, sollten Unternehmen planen, ihre Datenschutzrichtlinien zu aktualisieren, um alle im neuen Gesetz festgelegten Meldepflichten zu erfüllen.
Vergewissern Sie sich, dass auch Ihre Cookie-Richtlinie auf dem neuesten Stand ist, insbesondere wenn Sie durch Cookies gesammelte Daten verkaufen, Cookies für gezielte Werbung verwenden oder sensible Informationen sammeln.
Geben Sie Ihren Nutzern eine oder mehrere Möglichkeiten, ihre Rechte wahrzunehmen, z. B. ein Einwilligungsbanner und einDSAR-Formular (Data Subject Access Request).
Erforderlichenfalls Durchführung von Datenschutz-Folgenabschätzungen.
Schließlich sollten Sie mit allen Datenverarbeitern, mit denen Sie zusammenarbeiten, konforme Verträge abschließen.
Wie wird das KCDPA durchgesetzt?
Der Generalstaatsanwalt hat die ausschließliche Befugnis, Verstöße gegen das KCDPA durchzusetzen.
Der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter wird schriftlich über die mutmaßlichen Verstöße informiert und hat dann 30 Tage Zeit, den Verstoß zu beheben und eine schriftliche Mitteilung zurückzuschicken.
Bei Nichtbeachtung drohen Geldstrafen.
Geldbußen und Strafen nach dem Verbraucherdatenschutzgesetz von Kentucky
Geldstrafen für Verstöße gegen das KCDPA können bis zu 7.500 Dollar pro Vorfall betragen.
Die Verbraucher haben kein privates Klagerecht nach diesem Gesetz.
Wie kann Termly zur Einhaltung des KCDPA beitragen?
Termly wird dazu beitragen, die Einhaltung von Gesetzen wie dem KCDPA zu vereinfachen, indem wir sicherstellen, dass unsere Datenschutzerklärung Generator alle notwendigen Klauseln des Gesetzes enthält, bevor es in Kraft tritt.
Unser Generator stellt einfache Fragen zu Ihrem Unternehmen und seinen Datenverarbeitungsaktivitäten und erstellt dann auf der Grundlage Ihrer Antworten eine einzigartige, umfassende Richtlinie.
Wir bieten auch eine consent management platform (CMP) an, die so konfiguriert werden kann, dass sie alle im KCDPA beschriebenen Opt-out-Anforderungen erfüllt.
Gibt es in Kentucky noch andere Datenschutzgesetze?
Das KCDPA ist zwar das erste umfassende Gesetz zum Schutz der Privatsphäre von Verbrauchern in diesem Bundesstaat, doch gibt es in Kentucky noch mehrere andere Gesetze zum Schutz der Privatsphäre, darunter die folgenden:
- Kapitel 365, Teil 365.732 der Kentucky Revised Statutes: Beschreibt die Anforderungen von Kentucky für die Benachrichtigung bei Datenschutzverletzungen.
- Der Genetic Information Privacy Act: Gibt den Verbrauchern mehr Kontrolle darüber, wie ihr genetisches Material von externen Stellen gesammelt, verwendet und offengelegt wird.
- Das Gesetz über die Sicherheit von Versicherungsdaten: Verpflichtet Versicherungsunternehmen zum Schutz von Verbraucherdaten und zur Durchführung von Risikobewertungen.
Zusammenfassung
Unternehmen, die unter den Schwellenwert des Kentucky Consumer Data Protection Act fallen, haben bis zum 1. Januar 2025 Zeit, sich auf die Anforderungen dieses Gesetzes vorzubereiten, die unter anderem Folgendes umfassen
- Den Nutzern wird eine konforme Datenschutzpolitik präsentiert.
- Bereitstellung einer oder mehrerer Möglichkeiten für die Nutzer, ihre Rechte wahrzunehmen, z. B. ein DSAR-Formular und ein Zustimmungsbanner.
- Verwendung konformer Verträge mit allen Datenverarbeitern oder Unterauftragnehmern.
- Durchführung von Datenschutz-Folgenabschätzungen für verschiedene Arten der Datenverarbeitung mit höherem Risiko.
- Umsetzung geeigneter Sicherheitsmaßnahmen zum Schutz der Daten vor unbefugtem Zugriff oder Verstößen.
Machen Sie sich die Einhaltung der Vorschriften besonders einfach, indem Sie unsere Datenschutzerklärung Generator und CMP, die Ihnen helfen, einige der Anforderungen des KCDPA zu erfüllen.