Der Gouverneur von Maryland hat am 9. Mai 2024 ein umfassendes Datenschutzgesetz unterzeichnet, das Maryland Online Data Protection Act(MODPA).
Sie zeichnet sich durch einen breiten rechtlichen Rahmen, strenge Anforderungen an die Datenverarbeitung und einzigartige Bestimmungen zur Datenminimierung und zur Erhebung und Verarbeitung sensibler personenbezogener Daten aus.
In diesem Leitfaden erkläre ich Ihnen die einzelnen Teile dieses Gesetzes, seine Anforderungen, die Auswirkungen auf Unternehmen und Verbraucher und vieles mehr.
- Was ist das Maryland Online Data Protection Act (MODPA)?
- MODPA Schlüsselbegriffe und Definitionen
- Was deckt das Maryland Online Data Protection Act ab?
- Anforderungen des Maryland Online Data Protection Act
- Das Datenschutzgesetz von Maryland im Vergleich zu anderen Bundesstaaten: Gemeinsamkeiten und Unterschiede
- Wie wird sich das MODPA auf die Verbraucher auswirken?
- Für wen gilt das MODPA?
- Wie wird sich das MODPA auf die Unternehmen auswirken?
- Wer muss sich an das neue Datenschutzgesetz von Maryland halten?
- Wie können sich die Unternehmen auf das MODPA vorbereiten?
- Wie wird das MODPA durchgesetzt?
- Geldbußen und Strafen gemäß dem Maryland Online Data Protection Act
- Wie kann Termly bei der Einhaltung des MODPA helfen?
- Gibt es noch andere Datenschutzgesetze in Maryland?
- Zusammenfassung
Was ist das Maryland Online Data Protection Act (MODPA)?
Das Maryland Online Data Protection Act (MODPA) ist das erste Verbraucherdatenschutzgesetz des Bundesstaates, das regelt, wie die für die Verarbeitung Verantwortlichen und die Auftragsverarbeiter mit personenbezogenen Daten umgehen, und den Einwohnern von Maryland verschiedene Rechte und Kontrollmöglichkeiten in Bezug auf diese Informationen einräumt.
Maryland ist der 16. Bundesstaat der USA, der ein umfassendes Datenschutzgesetz verabschiedet hat.
Außerdem werden die Strafen für Verstöße gegen das Gesetz festgelegt und die Vollstreckungsbefugnis an den Generalstaatsanwalt von Maryland übertragen.
MODPA Datum des Inkrafttretens
Das Maryland Online Data Protection Act wird voraussichtlich am 1. Oktober 2025 in Kraft treten.
MODPA Schlüsselbegriffe und Definitionen
Damit Sie die Einzelheiten des neuen Datenschutzgesetzes von Maryland besser verstehen, habe ich im Folgenden einige der wichtigsten Begriffe zusammengestellt und die Definitionen aus dem Gesetzestext angegeben:
Was deckt das Maryland Online Data Protection Act ab?
Das MODPA gilt für die personenbezogenen Daten der Einwohner von Maryland.
Es werden jedoch auch mehrere Datenkategorien ausgenommen, darunter einige davon:
- Geschützte Gesundheitsinformationen gemäß dem Health Insurance Portability Accountability Act (HIPAA)
- Patienten-identifizierende Informationen
- Persönliche Daten, die unter den Family Educational Rights and Privacy Act (FERPA) fallen
- Kontaktinformationen für Notfälle, wenn sie für einen Notfall verwendet werden
Anforderungen des Maryland Online Data Protection Act
Im folgenden Abschnitt fasse ich einige der wichtigsten Anforderungen zusammen, die das neue Datenschutzgesetz von Maryland stellt.
Rechtmäßige Grundlage für die Verarbeitung von Daten
Nach dem MODPA müssen die für die Verarbeitung Verantwortlichen die Datenerhebung auf das beschränken, was vernünftigerweise notwendig und verhältnismäßig ist, um die vom Verbraucher gewünschten Produkte oder Dienstleistungen bereitzustellen oder zu erhalten.
Die in diesem Teil des Gesetzes verwendete Formulierung unterscheidet sich von anderen staatlichen Datenschutzgesetzen, da sie von der Ware oder Dienstleistung und nicht nur vom Zweck der Datenverarbeitung abhängt.
Beschränkungen der Datenverarbeitung durch den für die Verarbeitung Verantwortlichen
Das MODPA verbietet den für die Verarbeitung Verantwortlichen die Verarbeitung bestimmter Arten von personenbezogenen Daten.
So ist es den für die Verarbeitung Verantwortlichen beispielsweise nicht gestattet, Daten zu erheben oder zu verarbeiten, es sei denn, dies ist unbedingt erforderlich, um ein bestimmtes Produkt oder eine bestimmte Dienstleistung auf Wunsch eines Verbrauchers bereitzustellen oder zu erhalten:
- Sensible Daten verkaufen
- Verarbeitung von Daten eines Verbrauchers unter 18 Jahren für gezielte Werbung
- Verkauf personenbezogener Daten von Verbrauchern unter 18 Jahren
- einen Verbraucher wegen der Ausübung seiner Rechte zu diskriminieren
- Daten für Zwecke zu verarbeiten, die nach vernünftigem Ermessen nicht erforderlich oder mit den offengelegten Zwecken, für die personenbezogene Daten verarbeitet werden, unvereinbar sind(es sei denn, es liegt eine Einwilligung vor)
Vertragliche Verpflichtungen zwischen für die Verarbeitung Verantwortlichen und Auftragsverarbeitern
Die für die Verarbeitung Verantwortlichen, die einen Datenverarbeiter einsetzen, müssen einen Vertrag abschließen, in dem die Anweisungen für die Datenverarbeitung, die Art und der Zweck der Verarbeitung, die Arten der Datenverarbeitung und die Dauer der Verarbeitung sowie die Rechte und Pflichten beider Parteien festgelegt sind.
Im Vertrag müssen diese Anforderungen auch für den Verarbeiter festgelegt werden:
- Alle Beteiligten sind zur Vertraulichkeit der Daten zu verpflichten.
- Einführung, Umsetzung und Aufrechterhaltung von Sicherheitspraktiken zum Schutz der Vertraulichkeit, Integrität und Zugänglichkeit der personenbezogenen Daten.
- den Auftragsverarbeiter zu verpflichten, die Verarbeitung der Daten auf Antrag des für die Verarbeitung Verantwortlichen einzustellen, wenn ein Verbraucher dies wünscht.
- Auf Anweisung des für die Verarbeitung Verantwortlichen muss der Auftragsverarbeiter alle Daten löschen oder zurückgeben, es sei denn, ein Gesetz schreibt die Aufbewahrung vor.
- auf Verlangen des für die Verarbeitung Verantwortlichen den Auftragsverarbeiter auffordern, alle in seinem Besitz befindlichen Daten zur Verfügung zu stellen, um die Einhaltung des MODPA nachzuweisen.
- Nachdem Sie dem für die Verarbeitung Verantwortlichen die Möglichkeit gegeben haben, Einspruch zu erheben, beauftragen Sie einen Unterauftragnehmer mit der Verarbeitung der personenbezogenen Daten auf der Grundlage eines Vertrags, der diesen Leitlinien entspricht.
- den Auftragsverarbeiter zu verpflichten, bei Bewertungen durch den für die Verarbeitung Verantwortlichen oder einen unabhängigen Prüfer mitzuwirken, um die Strategien und technischen Maßnahmen des Auftragsverarbeiters zu bewerten.
- Der Auftragsverarbeiter muss dem für die Verarbeitung Verantwortlichen auf Verlangen einen Bewertungsbericht vorlegen, wie es das MODPA verlangt.
Datenschutz-Bewertungen
Gemäß dem MODPA müssen die für die Verarbeitung Verantwortlichen für jede Verarbeitungstätigkeit, die ein erhöhtes Risiko für die Verbraucher darstellt, eine Datenschutzbewertung durchführen und dokumentieren, unter anderem:
- Verarbeitung von Daten für gezielte Werbung
- Verkauf von personenbezogenen Daten
- Verarbeitung sensibler Daten
- Verarbeitung von Daten zur Profilerstellung
Bei der Bewertung müssen die Vorteile, die sich aus der Verarbeitung ergeben können, gegen die potenziellen Risiken für die Rechte der Verbraucher sowie die Notwendigkeit und Verhältnismäßigkeit der Verarbeitung abgewogen werden.
Sie muss auch Folgendes berücksichtigen:
- Die Verwendung de-identifizierter Daten
- Die berechtigten Erwartungen der Verbraucher
- Der Kontext der Verarbeitung
- Die Beziehung zwischen dem für die Verarbeitung Verantwortlichen und dem Verbraucher, dessen Daten verarbeitet werden
Nach dem Gesetz von Maryland kann ein für die Verarbeitung Verantwortlicher eine einzige Datenschutzbeurteilung verwenden, um ein anderes Gesetz einzuhalten, wenn es in seinem Geltungsbereich dem MODPA einigermaßen ähnlich ist.
Anforderungen an die Datensicherheit
Das MODPA verpflichtet die für die Datenverarbeitung Verantwortlichen, angemessene administrative, technische und physische Sicherheitsmaßnahmen zum Schutz der erhobenen personenbezogenen Daten festzulegen, umzusetzen und aufrechtzuerhalten.
Die Maßnahmen müssen dem Umfang und der Art der erhobenen und gespeicherten Daten Rechnung tragen und deren Vertraulichkeit, Integrität und Zugänglichkeit schützen.
Überprüfbare Verbraucheranfragen
Gemäß dem MODPA müssen Unternehmen in ihren Datenschutzrichtlinien eine oder mehrere Möglichkeiten vorsehen, wie Verbraucher nachprüfbare Anträge auf Wahrnehmung ihrer Datenschutzrechte stellen können:
- Die Art und Weise, wie Verbraucher normalerweise mit dem Controller interagieren
- Der Bedarf an sicherer und zuverlässiger Kommunikation
- Die Fähigkeit des für die Verarbeitung Verantwortlichen, die Identität des Verbrauchers zu überprüfen
Das Gesetz nennt die folgenden Methoden, um diese gesetzliche Anforderung zu erfüllen:
- Bereitstellung eines auffälligen, deutlich gekennzeichneten Links auf der Website
- Bis zum 1. Oktober 2025 müssen die Verbraucher die Möglichkeit haben, ihre Rechte über einen universellen Opt-out-Mechanismus wahrzunehmen.
Universelle Opt-Out-Mechanismen
Das MODPA verlangt von den Unternehmen, dass sie bis zum 1. Oktober 2025 dem Wunsch der Nutzer nachkommen, der Datenverarbeitung durch universelle Opt-out-Mechanismen (UOOM) wie Global Privacy Control (GPC) zu widersprechen.
Konkret erlaubt das Gesetz den Verbrauchern, einen Internet-Link, eine Browser-Einstellung, eine Browser-Erweiterung oder eine ähnliche globale Geräteeinstellung oder Technologie zu verwenden, um ihre Absicht zum Ausstieg anzuzeigen.
Das Datenschutzgesetz von Maryland im Vergleich zu anderen Bundesstaaten: Gemeinsamkeiten und Unterschiede
Neben Maryland gibt es in mehreren anderen US-Bundesstaaten Datenschutzgesetze, darunter:
- California Consumer Protection Act (CCPA), geändert durch den California Privacy Rights Act (CPRA ) - derzeit in Kraft
- Colorado Privacy Act (CPA) - derzeit in Kraft
- Connecticut Data Privacy Act (CTDPA) - derzeit in Kraft
- Delaware Personal Data Privacy Act (DPDPA) - derzeit in Kraft
- Florida Digital Bill of Rights (FDBR ) - derzeit in Kraft
- Iowa Consumer Data Protection Act (Iowa CDPA) - derzeit in Kraft
- Verbraucherdatenschutzgesetz von Indiana (Indiana CDPA) - gültig ab 1. Januar 2026
- Kentucky Consumer Data Protection Act (KCDPA) - gültig ab 1. Januar 2026
- Minnesota Consumer Data Privacy Act (MCDPA) - gültig ab 31. Juli 2025
- Montana Consumer Data Privacy Act (MCDPA) - derzeit in Kraft
- Nebraska Data Privacy Act (NDPA) - derzeit in Kraft
- New Hampshire Data Privacy Law (NHDPL) - derzeit in Kraft
- New Jersey Data Privacy Act (NJDPA) - derzeit in Kraft
- Oregon Consumer Privacy Act (OCPA) - derzeit in Kraft
- Tennessee Information Protection Act (TIPA) - gültig ab 1. Juli 2025
- Texas Data Privacy and Security Act (TDPSA) - derzeit in Kraft
- Utah Consumer Privacy Act (UCPA) - derzeit in Kraft
- Virginia Consumer Data Protection Act (VCDPA) - derzeit in Kraft
In der nachstehenden Tabelle können Sie das MODPA mit diesen anderen Datenschutzgesetzen vergleichen.
Staatliches Recht | Opt-in-Einwilligung für bestimmte Arten der Datenverarbeitung | Opt-out-Zustimmung für bestimmte Arten der Datenverarbeitung | Muss den Nutzern eine Datenschutzrichtlinie (oder einen Hinweis) zur Verfügung stellen | Erfordert Datenschutzbeurteilungen | Umreißt vertragliche Verpflichtung mit Drittverarbeitern | Ermöglicht zivilrechtliche Klagen oder das Recht auf Privatklage | Muss die globalen Datenschutzkontrollen/Browser-Datenschutzeinstellungen beachten |
MODPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
CCPA/CPRA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
CPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
CTDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
DPDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
FDBR | ✓ | ✓ | ✓ | ✓ | |||
Indiana CDPA | ✓ | ✓ | ✓ | ✓ | |||
Iowa CDPA | ✓ | ✓ | ✓ | ||||
KCDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
MN CDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
MT CDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
NHDPL | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
NJDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
OCPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
TIPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
TDPSA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
UCPA | ✓ | ✓ | ✓ | ||||
VCDPA | ✓ | ✓ | ✓ | ✓ |
Wie wird sich das MODPA auf die Verbraucher auswirken?
Das MODPA hat Auswirkungen auf die Verbraucher, indem es ihnen die folgenden Rechte in Bezug auf ihre personenbezogenen Daten einräumt:
- Bestätigen, ob ein für die Verarbeitung Verantwortlicher ihre Daten verarbeitet
- Zugriff auf die Daten
- Korrektur von Ungenauigkeiten in den Daten
- einen für die Verarbeitung Verantwortlichen auffordern, die Daten zu löschen
- eine tragbare Kopie ihrer persönlichen Daten zu erhalten
- eine Liste der Dritten zu erhalten, an die ihre Daten weitergegeben werden
- Abmeldung von der Datenverarbeitung für gezielte Werbung
- dem Verkauf ihrer Daten widersprechen
- Abmeldung vom Profiling
Für wen gilt das MODPA?
Das MODPA gilt für Einwohner des Bundesstaates Maryland; es gilt jedoch nicht für Personen in Maryland, die im Rahmen eines Arbeitsverhältnisses oder in einem kommerziellen Kontext handeln.
Wie wird sich das MODPA auf die Unternehmen auswirken?
Neben den Anforderungen des MODPA, die bereits in diesem Leitfaden behandelt wurden, hat das Gesetz auch Auswirkungen auf die Datenschutz- und Cookie-Richtlinien der Unternehmen.
Wie wird sich das MODPA auf meine Datenschutzpolitik auswirken?
Das MODPA verlangt von den Unternehmen, dass sie den Verbrauchern eine Datenschutzerklärung vorlegen, die Folgendes enthält:
- Die Kategorien der verarbeiteten personenbezogenen Daten, einschließlich sensibler Daten.
- Der Zweck der Verarbeitung.
- Wie ein Verbraucher seine Datenschutzrechte wahrnehmen und die Entscheidung eines für die Verarbeitung Verantwortlichen auf der Grundlage seines Antrags anfechten oder seine Einwilligung widerrufen kann.
- Die Kategorien der Dritten, an die die Daten weitergegeben werden, mit einem für den Verbraucher verständlichen Detaillierungsgrad, einschließlich der Art, des Geschäftsmodells oder der von jedem Dritten durchgeführten Verarbeitung.
- Die Kategorien personenbezogener Daten, einschließlich sensibler Daten, die an Dritte weitergegeben werden.
- Eine aktive E-Mail-Adresse oder andere Online-Mechanismen zur Kontaktaufnahme mit dem für die Verarbeitung Verantwortlichen.
Unternehmen, die personenbezogene Daten an Dritte verkaufen, Daten für gezielte Werbung verarbeiten oder ein Profil erstellen, müssen dies in ihren Datenschutzrichtlinien offenlegen und erklären, wie die Verbraucher ihr Recht ausüben können, einer solchen Verarbeitung zu widersprechen.
Sie muss auch eine oder mehrere sichere, angemessene Methoden einrichten, mit denen Einzelpersonen nachprüfbare Anträge auf Durchsetzung ihrer Datenschutzrechte stellen können.
Wie wird sich das MODPA auf meine Cookie-Richtlinie auswirken?
Das MODPA wirkt sich auf die Cookie-Politik aus, da das Gesetz eine Benachrichtigung vorschreibt und den Verbrauchern ein Opt-out-Recht einräumt.
Unternehmen, die unter dieses Gesetz fallen, müssen sicherstellen, dass ihre Cookie-Richtlinie aktuell und korrekt ist und in der Datenschutzrichtlinie verlinkt ist, damit die Verbraucher angemessen über alle Cookies informiert werden, die auf ihren Browsern platziert werden können.
Außerdem müssen Sie den Verbrauchern in Maryland die Möglichkeit geben, Cookies abzulehnen, wenn diese von Ihnen verkaufte Daten oder sensible Daten erfassen oder für gezielte Werbung verwendet werden.
Wer muss sich an das neue Datenschutzgesetz von Maryland halten?
Unternehmen müssen das MODPA einhalten, wenn sie im Bundesstaat geschäftlich tätig sind oder Produkte und Dienstleistungen anbieten, die sich an Einwohner des Bundesstaats richten, und in einem Kalenderjahr einen der folgenden Schwellenwerte erreichen:
- die personenbezogenen Daten von mindestens 35.000 Verbrauchern kontrolliert oder verarbeitet (ohne Zahlungsverkehr) oder
- die personenbezogenen Daten von mindestens 100.000 Verbrauchern kontrolliert oder verarbeitet und mehr als 20 % der jährlichen Bruttoeinnahmen aus dem Verkauf dieser Daten erzielt.
Im Gegensatz zu mehreren anderen Gesetzen der US-Bundesstaaten gibt es im MODPA keinen Schwellenwert.
Wer ist von dem MODPA ausgenommen?
Die folgenden Einrichtungen sind von den Anforderungen des neuen Datenschutzgesetzes von Maryland ausgenommen:
- Politische Untergliederungen des Staates
- Nationale Wertpapierverbände, die nach dem Federal Securities Exchange Act von 1934 (SEA) registriert sind
- Finanzinstitute, die dem Gramm-Leach-Bliley Act (GLBA) unterliegen
- Für die Verarbeitung Verantwortliche ohne Erwerbszweck, die Daten ausschließlich zur Unterstützung von Strafverfolgungsbehörden bei der Untersuchung von kriminellen oder betrügerischen Handlungen im Zusammenhang mit Versicherungen oder von Ersthelfern, die auf Katastrophenereignisse reagieren, verarbeiten
Wie können sich die Unternehmen auf das MODPA vorbereiten?
Um sich auf das MODPA vorzubereiten, sollten Unternehmen planen, ihre Datenschutz- und Cookie-Richtlinien zu aktualisieren, um sicherzustellen, dass sie alle im Gesetz beschriebenen Meldepflichten erfüllen.
Websites sollten auch mindestens eine oder mehrere sichere, zuverlässige Methoden für Verbraucher bereithalten, um Anträge zur Durchsetzung ihrer Datenschutzrechte zu stellen, wie z. B. die Veröffentlichung eines Formulars für Anträge auf Zugang zu Daten (DSAR).
Unternehmen, die Daten verarbeiten, die ein erhöhtes Risiko für Verbraucher darstellen, müssen Datenschutzbewertungen durchführen.
Die für die Datenverarbeitung Verantwortlichen, die mit Auftragsverarbeitern zusammenarbeiten, müssen ebenfalls Verträge abschließen, in denen alle im Gesetz beschriebenen Anforderungen festgelegt sind.
Wie wird das MODPA durchgesetzt?
Der Generalstaatsanwalt von Maryland ist befugt, das MODPA durchzusetzen, und es liegt in seinem Ermessen, den Unternehmen eine 60-tägige Frist zur Behebung der Mängel einzuräumen.
Die Nachbesserungsfrist läuft nach dem 1. April 2027 ab.
Ein Verstoß gegen das MODPA wird als unfaire, missbräuchliche oder irreführende Handelspraxis betrachtet.
Geldbußen und Strafen gemäß dem Maryland Online Data Protection Act
Geldstrafen für Verstöße gegen das MODPA können bis zu 10.000 Dollar pro Vorfallbetragen.
Die Verbraucher haben jedoch kein Recht auf eine Privatklage.
Wie kann Termly bei der Einhaltung des MODPA helfen?
Um die Einhaltung des MODPA zu erleichtern, wird die WebsiteTermly's Datenschutzerklärung Generator alle vom Gesetz geforderten Klauseln enthalten, bevor es 2025 in Kraft tritt.
Unser Generator stellt Ihnen einfache Fragen zu Ihrem Unternehmen und erstellt auf der Grundlage Ihrer Antworten eine umfassende, einzigartige Police.
Termly bietet auch eine Consent Management Platform (CMP ) an, die so konfiguriert werden kann, dass sie die im MODPA beschriebenen Opt-out-Anforderungen erfüllt.
Sie enthält ein kostenloses DSAR-Formular, mit dem Ihre Nutzer auf sichere Weise verifizierte Anträge zur Ausübung ihrer Rechte stellen können.
Gibt es noch andere Datenschutzgesetze in Maryland?
Während das MODPA das erste Gesetz dieser Art in Maryland ist, gibt es bereits einige andere Gesetze zum Schutz der Privatsphäre, darunter auch das MODPA:
- Abschnitt 14-350 des Maryland Code (Gesetz zum Schutz persönlicher Daten): Beschreibt die Gesetze zur Meldung von Datenschutzverletzungen in diesem Bundesstaat, die Unternehmen, die personenbezogene Daten sammeln und von einer Datenschutzverletzung betroffen sind, Verpflichtungen auferlegen.
- Gesetz über Krankenakten des Maryland Code: Verlangt, dass alle medizinischen Informationen vertraulich behandelt werden, und gibt Einzelpersonen ein Recht auf Privatklage.
Zusammenfassung
Wenn Ihr Unternehmen dem Maryland Online Data Protection Act unterliegt, können Sie sich auf die Einhaltung der Vorschriften vorbereiten:
- Aktualisierung Ihrer Datenschutz- und Cookie-Richtlinien zur Erfüllung aller Meldepflichten.
- Bieten Sie Ihren Nutzern einen oder mehrere sichere Wege an, um Anträge zur Durchsetzung ihrer Rechte zu stellen.
- Durchführung von Datenschutzbewertungen, wenn die Verarbeitungstätigkeiten ein erhöhtes Verbraucherrisiko darstellen.
- Verwenden Sie konforme Verträge mit allen Datenverarbeitern, mit denen Sie zusammenarbeiten.
Nutzen Sie Termly's Datenschutzerklärung Generator und CMP zur Vereinfachung Ihres Einhaltungsprozesses.