Kentucky Verbraucherdatenschutzgesetz: Erster Blick & Zusammenfassung

Abgedeckt durch Termly

von: Anokhy Desai CIPP/US, CIPT, CIPM Anokhy Desai CIPP/US, CIPT, CIPM | Aktualisiert am: Mai 28, 2024

Kostenlose Datenschutzerklärung erstellen
Kentucky-Verbraucherdatenschutz-Gesetz-01

Mit dem Kentucky Consumer Data Protection Act(KCDPA) reiht sich Kentucky in die wachsende Liste der US-Bundesstaaten ein, die ein umfassendes Gesetz zum Schutz von Verbraucherdaten verabschiedet haben.

Das KCDPA ähnelt anderen Datenschutzgesetzen auf US-Bundesstaatsebene, unterscheidet sich aber insofern, als es keine monetären Schwellenwerte für den rechtlichen Geltungsbereich vorsieht, aber Grenzen für die Datenerhebung festlegt.

In diesem Leitfaden erfahren Sie alles, was Sie über das KCDPA wissen müssen, z. B. was es verlangt, wen es schützt und wie es sich auf Verbraucher und Unternehmen auswirkt.

Inhaltsübersicht
  1. Was ist das Kentucky Consumer Data Protection Act (KCDPA)?
  2. KCDPA Schlüsselbegriffe und Definitionen
  3. Was umfasst das Verbraucherdatenschutzgesetz von Kentucky?
  4. Anforderungen des Kentucky Consumer Data Protection Act
  5. Das Verbraucherdatenschutzgesetz von Kentucky im Vergleich zu anderen Bundesstaaten: Gemeinsamkeiten und Unterschiede
  6. Wie wird sich das KCDPA auf die Verbraucher auswirken?
  7. Für wen gilt das KCDPA?
  8. Welche Auswirkungen hat das KCDPA auf die Unternehmen?
  9. Wer muss sich an das neue Datenschutzgesetz von Kentucky halten?
  10. Wie können sich Unternehmen auf das KCDPA vorbereiten?
  11. Wie wird das KCDPA durchgesetzt?
  12. Geldbußen und Strafen nach dem Verbraucherdatenschutzgesetz von Kentucky
  13. Wie kann Termly zur Einhaltung des KCDPA beitragen?
  14. Gibt es in Kentucky noch andere Datenschutzgesetze?
  15. Zusammenfassung

Was ist das Kentucky Consumer Data Protection Act (KCDPA)?

Das Verbraucherdatenschutzgesetz von Kentucky ist das erste umfassende Gesetz zum Schutz von Verbraucherdaten in diesem Bundesstaat und das 15. in den USA.

Sie soll den Einwohnern von Kentucky mehr Kontrolle darüber geben, wie ihre persönlichen Daten online erfasst, verarbeitet und verwendet werden.

Außerdem werden Leitlinien und Anforderungen für Unternehmen, die diese Informationen verwenden, dargelegt und die Strafen für Verstöße gegen das Gesetz beschrieben.

KCDPA Datum des Inkrafttretens

Das KCDPA tritt am 1. Januar 2026 in Kraft.

KCDPA Schlüsselbegriffe und Definitionen

Im Folgenden werden einige Schlüsselbegriffe des KCDPA so definiert, wie sie im Gesetzestext erscheinen:

Diese Begriffe werden in diesem Leitfaden in Übereinstimmung mit den Definitionen des KCDPA verwendet.

Was umfasst das Verbraucherdatenschutzgesetz von Kentucky?

Das neue Datenschutzgesetz von Kentucky gilt für die personenbezogenen Daten der Einwohner von Kentucky, nicht aber für die Daten der Einwohner von Kentucky:

  • Geschützte Gesundheitsinformationen gemäß dem Health Insurance Portability and Accountability Act (HIPAA)
  • Gesundheitsdaten
  • Aufzeichnungen zur Identifizierung von Patienten
  • Identifizierbare private Informationen für die Zwecke der Bundespolitik zum Schutz von Menschen gemäß 45 C.F.R. pt. 46
  • Informationen und Dokumente, die für die Zwecke des Bundesgesetzes zur Verbesserung der Qualität des Gesundheitswesens von 1986 erstellt wurden
  • Arbeitsprodukt zur Patientensicherheit im Sinne des Bundesgesetzes über Patientensicherheit und Qualitätsverbesserung

Anforderungen des Kentucky Consumer Data Protection Act

Im Folgenden werde ich einige der wichtigsten Anforderungen erläutern, die Unternehmen gemäß dem KCDPA erfüllen müssen.

Rechtmäßige Verarbeitung von personenbezogenen Daten

Nach dem KCDPA müssen die für die Verarbeitung Verantwortlichen die Datenerhebung auf das beschränken, was angemessen, relevant und vernünftigerweise notwendig ist , um die Zwecke zu erreichen, für die die Daten verarbeitet werden und die dem Verbraucher mitgeteilt wurden.

Für die Verarbeitung von Daten, die über diesen Rahmen hinausgehen, müssen Sie die Zustimmung der Nutzer einholen.

Eine Zustimmung ist auch erforderlich, um sensible persönliche Informationen von Verbrauchern aus Kentucky oder Daten von bekannten Kindern zu sammeln.

Zustimmung

Die Zustimmung nach dem neuen Datenschutzgesetz von Kentucky wird definiert als eine bestätigende, eindeutige Handlung, die die frei gegebene, spezifische, informierte und unzweideutige Zustimmung eines Verbrauchers bedeutet und Folgendes beinhalten kann:

  • Eine schriftliche Erklärung
  • Eine elektronische Erklärung
  • Jede andere eindeutige Maßnahme

Authentifizierte Verbraucheranfragen

Nach dem KCDPA sind die betroffenen Unternehmen verpflichtet, den Verbrauchern eine oder mehrere Möglichkeiten zu bieten, authentifizierte Verbraucheranfragen zu stellen, um ihre Datenschutzrechte durchzusetzen.

Die für die Verarbeitung Verantwortlichen müssen die Anfragen innerhalb von 45 Tagen beantworten; diese Frist kann je nach Komplexität und Anzahl der Anfragen um weitere 45 Tage verlängert werden.

Die Informationen, die auf eine Anfrage des Verbrauchers hin erteilt werden, müssen bis zu zweimal jährlich kostenlos sein.

Allerdings kann dem Verbraucher eine angemessene Gebühr zur Deckung der Verwaltungskosten in Rechnung gestellt werden, wenn die Anträge übermäßig sind, sich wiederholen, technisch nicht durchführbar oder offensichtlich unbegründet sind.

Vertragliche Verpflichtungen zwischen für die Verarbeitung Verantwortlichen und Auftragsverarbeitern

Nach dem KCDPA müssen sowohl der für die Verarbeitung Verantwortliche als auch der Auftragsverarbeiter einen Vertrag unterzeichnen, in dem die folgenden Verpflichtungen zur rechtmäßigen Erhebung und Verarbeitung personenbezogener Daten festgelegt sind:

  • klare Anweisungen für die Verarbeitung der personenbezogenen Daten, ihre Art und ihren Zweck, die Art der zu verarbeitenden Daten, die Dauer der Verarbeitung und die Rechte beider Parteien festlegen.
  • Sicherstellen, dass jede Partei zur Vertraulichkeit der personenbezogenen Daten verpflichtet ist.
  • den Auftragsverarbeiter auffordern, alle personenbezogenen Daten zu löschen oder an den für die Verarbeitung Verantwortlichen zurückzugeben, sofern die Aufbewahrung nicht gesetzlich vorgeschrieben ist.
  • den Auftragsverarbeiter auffordern, bei angemessenen Bewertungen durch den für die Verarbeitung Verantwortlichen oder einen benannten Prüfer, der die Maßnahmen des Auftragsverarbeiters bewertet, zu kooperieren.
  • den Auftragsverarbeiter auffordern, dem für die Verarbeitung Verantwortlichen alle in seinem Besitz befindlichen Informationen zur Verfügung zu stellen, um die Einhaltung des KCDPA nachzuweisen.
  • Verlangen Sie von allen Unterauftragnehmern die Unterzeichnung eines Vertrags, der die gleichen Anforderungen enthält.

Datenschutz-Folgenabschätzungen

Der KCDPA verlangt von den für die Verarbeitung Verantwortlichen die Durchführung und Dokumentation von Datenschutz-Folgenabschätzungen für die folgenden Verarbeitungstätigkeiten:

  • Verarbeitung von Daten für gezielte Werbung
  • Verkauf von personenbezogenen Daten
  • Verarbeitung von Daten zum Zwecke der Profilerstellung
  • Verarbeitung sensibler personenbezogener Daten
  • Verarbeitung von Daten, die ein erhöhtes Risiko eines Schadens für den Verbraucher darstellen

Bei der Bewertung müssen die Vorteile der Datenverarbeitung gegen die möglichen Risiken einer Schädigung des für die Verarbeitung Verantwortlichen abgewogen werden.

Eine einzige Bewertung kann verwendet werden, wenn sie sich auf andere Gesetze bezieht, deren Geltungsbereich und Auswirkungen mit denen des KCDPA einigermaßen vergleichbar sind.

Anforderungen an die Datensicherheit

Nach dem neuen Datenschutzgesetz von Kentucky müssen die für die Verarbeitung Verantwortlichen angemessene administrative, technische und physische Datensicherheitsmaßnahmen zum Schutz der Vertraulichkeit, Integrität und Zugänglichkeit der Informationen einführen, umsetzen und aufrechterhalten.

Die Sicherheitsmaßnahmen müssen dem Umfang und der Art der von einem Unternehmen erhobenen personenbezogenen Daten angemessen sein.

Das Verbraucherdatenschutzgesetz von Kentucky im Vergleich zu anderen Bundesstaaten: Gemeinsamkeiten und Unterschiede

In den USA gibt es mehrere weitere Datenschutzgesetze auf bundesstaatlicher Ebene, darunter die folgenden:

Vergleichen Sie das Datenschutzgesetz von Kentucky mit diesen anderen Datenschutzgesetzen in der nachstehenden Tabelle.

Staatliches Recht Opt-in-Einwilligung für bestimmte Arten der Datenverarbeitung Opt-out-Zustimmung für bestimmte Arten der Datenverarbeitung Muss den Nutzern eine Datenschutzrichtlinie (oder einen Hinweis) zur Verfügung stellen Erfordert Datenschutzbeurteilungen Umreißt vertragliche Verpflichtung mit Drittverarbeitern Ermöglicht zivilrechtliche Klagen oder das Recht auf Privatklage Muss die globalen Datenschutzkontrollen/Browser-Datenschutzeinstellungen beachten
KCDPA
CCPA/CPRA
CPA
CTDPA
DPDPA
FDBR
Indiana CDPA
Iowa CDPA
MN CDPA
MT CDPA
MODPA
NHDPL
NJDPA
OCPA
TIPA
TDPSA
UCPA
VCDPA

Wie wird sich das KCDPA auf die Verbraucher auswirken?

Das neue Datenschutzgesetz von Kentucky hat Auswirkungen auf die Verbraucher, indem es ihnen die folgenden Rechte einräumt:

    • Bestätigen, ob ein für die Verarbeitung Verantwortlicher ihre personenbezogenen Daten verarbeitet
    • Zugang zu den über sie gesammelten persönlichen Daten
    • Ungenauigkeiten in ihren persönlichen Daten zu korrigieren
    • ihre persönlichen Daten zu löschen
    • eine tragbare Kopie ihrer Daten anzufordern, wenn dies technisch möglich ist
    • Abmeldung von gezielter Werbung
    • Widerspruch gegen den Verkauf von personenbezogenen Daten
    • Opt-out des Profilings im Zusammenhang mit Entscheidungen, die rechtliche oder ähnlich erhebliche Auswirkungen haben

Für wen gilt das KCDPA?

Das KCDPA gilt für Einwohner von Kentucky, die in einem individuellen Kontext handeln.

Sie gilt nicht für alle Personen, die in diesem Staat in einem kommerziellen oder arbeitsrechtlichen Kontext handeln.

Welche Auswirkungen hat das KCDPA auf die Unternehmen?

Neben den bereits in diesem Leitfaden erwähnten Anforderungen hat das KCDPA auch Auswirkungen auf die Datenschutz- und Cookie-Richtlinien von Unternehmen.

Wie wirkt sich das KCDPA auf meine Datenschutzrichtlinie aus?

Nach dem KCDPA müssen die für die Verarbeitung Verantwortlichen den Verbrauchern einen leicht zugänglichen, klaren und aussagekräftigen Datenschutzhinweis vorlegen, der die folgenden Angaben enthält:

  • Die Kategorien der von den für die Verarbeitung Verantwortlichen verarbeiteten personenbezogenen Daten
  • Der Zweck der Verarbeitung
  • Wie Verbraucher ihre Rechte wahrnehmen können und wie sie gegen die Entscheidung eines für die Verarbeitung Verantwortlichen über einen Antrag Widerspruch einlegen können
  • Die Kategorien personenbezogener Daten, die der für die Verarbeitung Verantwortliche mit Dritten teilt
  • Die Kategorien der Drittparteien selbst
  • Wenn der für die Verarbeitung Verantwortliche personenbezogene Daten an Dritte verkauft oder Daten für gezielte Werbung verarbeitet
  • Angaben darüber, wie der Verbraucher sein Recht auf Widerspruch gegen eine solche Verarbeitung ausüben kann

In Ihrer Datenschutzpolitik müssen Sie auch einen oder mehrere sichere, zuverlässige Wege einrichten und beschreiben, auf denen Verbraucher ihre Rechte geltend machen können.

Wie wirkt sich das KCDPA auf meine Cookie-Richtlinie aus?

Das KCDPA wirkt sich auf die Cookie-Politik aus, da die Verbraucher nach diesem Gesetz das Recht haben, gezielte Werbung und den Verkauf ihrer Daten abzulehnen , was durch die Installation von Cookies in den Browsern der Nutzer geschehen kann.

Sie müssen sicherstellen, dass Ihre Cookie-Richtlinie korrekt und aktuell ist, und sie den Nutzern gemäß den gesetzlichen Benachrichtigungsrichtlinien vorlegen.

Erwägen Sie die Aufnahme einer Klausel in Ihre Datenschutzrichtlinie, in der Sie erklären, wie Sie Cookies oder andere Tracker verwenden, und fügen Sie einen direkten Link zu Ihrer Cookie-Richtlinie hinzu.

Wer muss sich an das neue Datenschutzgesetz von Kentucky halten?

Ihr Unternehmen muss das KCDPA einhalten, wenn Sie in diesem Bundesstaat geschäftlich tätig sind oder sich mit Ihren Produkten und Dienstleistungen an Einwohner des Bundesstaates wenden und während eines Kalenderjahres einen der folgenden Punkte erfüllen:

  • die personenbezogenen Daten von mindestens 100.000 Verbrauchern verarbeitet und kontrolliert oder
  • Verarbeitet und kontrolliert die personenbezogenen Daten von mindestens 25.000 Verbrauchern und erwirtschaftet 50 % der jährlichen Bruttoeinnahmen aus dem Verkauf personenbezogener Daten.

Im Gegensatz zu vielen anderen Datenschutzgesetzen in den USA gibt es in Kentucky keinen Schwellenwert.

Wer ist von dem KCDPA ausgenommen?

Die folgenden Einrichtungen sind von den Anforderungen des KCDPA ausgenommen:

  • Städtische und staatliche politische Einrichtungen
  • Finanzinstitute, die unter Titel V des Gramm-Leach-Bliley Act(GLBA) fallen
  • Betroffene Einrichtungen, die dem United States Department of Health and Human Services und dem Health Insurance Portability and Accountability Act (HIPAA) unterliegen
  • Gemeinnützige Organisationen
  • Einrichtungen der Hochschulbildung
  • Strafverfolgungsbehörden im Zusammenhang mit vermuteten kriminellen oder betrügerischen Handlungen im Zusammenhang mit Versicherungen
  • Ersthelfer im Zusammenhang mit Katastrophenereignissen
  • Kleine Telefongesellschaften

Wie können sich Unternehmen auf das KCDPA vorbereiten?

Um sich auf das KCDPA vorzubereiten, sollten Unternehmen planen, ihre Datenschutzrichtlinien zu aktualisieren, um alle im neuen Gesetz festgelegten Meldepflichten zu erfüllen.

Vergewissern Sie sich, dass auch Ihre Cookie-Richtlinie auf dem neuesten Stand ist, insbesondere wenn Sie durch Cookies gesammelte Daten verkaufen, Cookies für gezielte Werbung verwenden oder sensible Informationen sammeln.

Geben Sie Ihren Nutzern eine oder mehrere Möglichkeiten, ihre Rechte wahrzunehmen, z. B. ein Einwilligungsbanner und einDSAR-Formular (Data Subject Access Request).

Erforderlichenfalls Durchführung von Datenschutz-Folgenabschätzungen.

Schließlich sollten Sie mit allen Datenverarbeitern, mit denen Sie zusammenarbeiten, konforme Verträge abschließen.

Wie wird das KCDPA durchgesetzt?

Der Generalstaatsanwalt hat die ausschließliche Befugnis, Verstöße gegen das KCDPA durchzusetzen.

Der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter wird schriftlich über die mutmaßlichen Verstöße informiert und hat dann 30 Tage Zeit, den Verstoß zu beheben und eine schriftliche Mitteilung zurückzuschicken.

Bei Nichtbeachtung drohen Geldstrafen.

Geldbußen und Strafen nach dem Verbraucherdatenschutzgesetz von Kentucky

Geldstrafen für Verstöße gegen das KCDPA können bis zu 7.500 Dollar pro Vorfall betragen.

Die Verbraucher haben kein privates Klagerecht nach diesem Gesetz.

Wie kann Termly zur Einhaltung des KCDPA beitragen?

Termly wird dazu beitragen, die Einhaltung von Gesetzen wie dem KCDPA zu vereinfachen, indem wir sicherstellen, dass unsere Datenschutzerklärung Generator alle notwendigen Klauseln des Gesetzes enthält, bevor es in Kraft tritt.

Unser Generator stellt einfache Fragen zu Ihrem Unternehmen und seinen Datenverarbeitungsaktivitäten und erstellt dann auf der Grundlage Ihrer Antworten eine einzigartige, umfassende Richtlinie.

Wir bieten auch eine consent management platform (CMP) an, die so konfiguriert werden kann, dass sie alle im KCDPA beschriebenen Opt-out-Anforderungen erfüllt.

Das KCDPA ist zwar das erste umfassende Gesetz zum Schutz der Privatsphäre von Verbrauchern in diesem Bundesstaat, doch gibt es in Kentucky noch mehrere andere Gesetze zum Schutz der Privatsphäre, darunter die folgenden:

Zusammenfassung

Unternehmen, die unter den Schwellenwert des Kentucky Consumer Data Protection Act fallen, haben bis zum 1. Januar 2025 Zeit, sich auf die Anforderungen dieses Gesetzes vorzubereiten, die unter anderem Folgendes umfassen

  • Den Nutzern wird eine konforme Datenschutzpolitik präsentiert.
  • Bereitstellung einer oder mehrerer Möglichkeiten für die Nutzer, ihre Rechte wahrzunehmen, z. B. ein DSAR-Formular und ein Zustimmungsbanner.
  • Verwendung konformer Verträge mit allen Datenverarbeitern oder Unterauftragnehmern.
  • Durchführung von Datenschutz-Folgenabschätzungen für verschiedene Arten der Datenverarbeitung mit höherem Risiko.
  • Umsetzung geeigneter Sicherheitsmaßnahmen zum Schutz der Daten vor unbefugtem Zugriff oder Verstößen.

Machen Sie sich die Einhaltung der Vorschriften besonders einfach, indem Sie unsere Datenschutzerklärung Generator und CMP, die Ihnen helfen, einige der Anforderungen des KCDPA zu erfüllen.

Anokhy Desai CIPP/US, CIPT, CIPM
Mehr über die Autorin

Geschrieben von Anokhy Desai CIPP/US, CIPT, CIPM

Anokhy ist Anwältin für Datenschutz mit Erfahrung in den Bereichen Datenschutz und Cybersicherheit im öffentlichen und privaten Sektor. Als ehemalige Westin Fellow bei der IAPP veröffentlichte sie mehrere Artikel, White Papers und Infografiken und leitete, koordinierte und moderierte Webinare und Diskussionsrunden zu den Themen Datenschutz und Datenschutztechnologie in den USA. Anokhy erwarb ihren Master an der Carnegie Mellon University und ihren Juris Doctor an der University of Pittsburgh. Mehr über die Autorin

Verwandte Artikel

Weitere Artikel ansehen