Gesetz zum Schutz der Verbraucherdaten in Minnesota: Erster Blick & Zusammenfassung

Abgedeckt durch Termly

von: Anokhy Desai CIPP/US, CIPT, CIPM Anokhy Desai CIPP/US, CIPT, CIPM | Aktualisiert am: 30. Juli 2024

Kostenlose Datenschutzerklärung erstellen
Minnesota-Gesetz zum Schutz der Verbraucherdaten - Erster Überblick und Zusammenfassung-01

Im Mai 2024 verabschiedete der Gesetzgeber in Minnesota das erste Verbraucherdatenschutzgesetz des Bundesstaates, den Minnesota Consumer Data Privacy Act(MCDPA).

Im Folgenden gehe ich auf das MCDPA ein und erläutere, was es verlangt, wie es sich auf Unternehmen und Verbraucher auswirkt und welche Strafen bei Nichteinhaltung drohen.

Inhaltsübersicht
  1. Was ist das Minnesota Consumer Data Privacy Act (MCDPA)?
  2. MCDPA Schlüsselbegriffe und Definitionen
  3. Was deckt das Minnesota Consumer Data Privacy Act ab?
  4. Anforderungen des Minnesota Consumer Data Privacy Act
  5. Verbraucherdatenschutzgesetz von Minnesota im Vergleich zu anderen Bundesstaaten: Gemeinsamkeiten und Unterschiede
  6. Wie wird sich das MCDPA auf die Verbraucher auswirken?
  7. Für wen gilt das MCDPA?
  8. Welche Auswirkungen hat das MCDPA auf die Unternehmen?
  9. Wer muss sich an das neue Datenschutzgesetz von Minnesota halten?
  10. Wie können sich Unternehmen auf das MCDPA vorbereiten?
  11. Wie wird das MCDPA durchgesetzt?
  12. Geldbußen und Strafen gemäß dem Minnesota Consumer Data Privacy Act
  13. Wie kann Termly bei der Einhaltung des MCDPA helfen?
  14. Gibt es noch andere Datenschutzgesetze in Minnesota?
  15. Zusammenfassung

Was ist das Minnesota Consumer Data Privacy Act (MCDPA)?

Das Minnesota Consumer Data Privacy Act (MCDPA) ist das erste umfassende Verbraucherdatenschutzgesetz des Bundesstaates.

Darin werden der Schutz und die Rechte der Einwohner in Bezug auf die Erhebung, Verarbeitung und Nutzung ihrer personenbezogenen Daten durch externe Stellen dargelegt.

Das Gesetz beschreibt auch die Sanktionen bei Nichteinhaltung der Vorschriften.

MCDPA Datum des Inkrafttretens

Das MCDPA tritt am 31. Juli 2025 in Kraft.

MCDPA Schlüsselbegriffe und Definitionen

Um Ihnen das Verständnis des MCDPA zu erleichtern, habe ich einige Schlüsselbegriffe und ihre Definitionen genau so aufgeführt, wie sie im Gesetzestext erscheinen:

Diese Begriffe werden in diesem Leitfaden unter Berücksichtigung dieser Definitionen verwendet.

Was deckt das Minnesota Consumer Data Privacy Act ab?

Das MCDPA gilt für die personenbezogenen Daten von Einwohnern des Bundesstaates Minnesota.

Sie gilt nicht für de-identifizierte oder öffentlich zugängliche Informationen.

Anforderungen des Minnesota Consumer Data Privacy Act

Im Folgenden erkläre ich einige der kritischen Geschäftsanforderungen, die von der MCDPA umrissen werden.

Rechtmäßige Grundlage für die Verarbeitung personenbezogener Daten

Nach dem MCDPA dürfen Unternehmen nur solche personenbezogenen Daten erheben, die für die Erreichung der dem Verbraucher mitgeteilten Verarbeitungszwecke angemessen und notwendig sind.

Für die Erfassung von Informationen, die über diesen Rahmen hinausgehen, oder für die Erfassung von Kategorien sensibler Daten oder von Daten eines bekannten Kindes müssen Sie die gesetzliche Zustimmung der Nutzer oder ihrer Erziehungsberechtigten einholen.

Zustimmung

Das MCDPA enthält eine genaue Definition der Verbraucherzustimmung, und damit sie als rechtmäßig angesehen werden kann, muss sie die folgenden Bedingungen erfüllen:

  • Die Einwilligung muss freiwillig, in Kenntnis der Sachlage und unmissverständlich erteilt werden.
  • Die Akzeptanz darf nicht durch weit gefasste Nutzungsbedingungen oder ähnliche Formulierungen verkompliziert werden.
  • Das Überfahren, Stummschalten, Pausieren oder Schließen von Inhalten gilt nicht als Zustimmung.
  • Eine Zustimmung kann nicht durch ein dunkles Muster erreicht werden.
  • Die Verbraucher können ihre Zustimmung jederzeit widerrufen.

Vertragliche Verpflichtungen zwischen für die Verarbeitung Verantwortlichen und Auftragsverarbeitern

Nach dem MCDPA müssen für die Verarbeitung Verantwortliche, die mit Drittverarbeitern zusammenarbeiten, einen verbindlichen Vertrag unterzeichnen, in dem Folgendes festgelegt ist:

  • die Anweisungen für die Verarbeitung, ihre Art und ihren Zweck, die Arten der Daten, die Gegenstand der Verarbeitung sind, ihre Dauer sowie die Rechte und Pflichten beider Parteien.
  • Stellen Sie sicher, dass jede Person, die Daten verarbeitet, der Schweigepflicht unterliegt.
  • Beauftragen Sie einen Unterauftragnehmer erst, nachdem Sie dem für die Verarbeitung Verantwortlichen die Möglichkeit gegeben haben, Einspruch zu erheben, und verlangen Sie vom Unterauftragnehmer die Unterzeichnung eines Konstrukts, in dem dieselben Verpflichtungen festgehalten sind.
  • Auf Anweisung des für die Verarbeitung Verantwortlichen ist der Auftragsverarbeiter verpflichtet, alle Daten nach Beendigung des Vertrags zu löschen oder zurückzugeben, es sei denn, die Aufbewahrung ist gesetzlich vorgeschrieben.
  • Auf Anweisung des für die Verarbeitung Verantwortlichen ist der Auftragsverarbeiter verpflichtet, alle Informationen zur Verfügung zu stellen, die für den Nachweis der Einhaltung des MCDPA erforderlich sind.
  • den Auftragsverarbeiter zu verpflichten, angemessene Bewertungen und Inspektionen durch den für die Verarbeitung Verantwortlichen oder einen benannten Prüfer zuzulassen und zu ihnen beizutragen.

Nicht-Diskriminierung

Der MCDPA erklärt, dass die für die Verarbeitung Verantwortlichen personenbezogene Daten nicht in einer Weise verarbeiten dürfen, die den Verbraucher oder eine Gruppe von Verbrauchern aufgrund des Angebots oder der Bereitstellung von Dienstleistungen unrechtmäßig diskriminiert:

  • Gehäuse
  • Beschäftigung
  • Kredit
  • Bildung
  • Waren
  • Dienstleistungen
  • Einrichtungen
  • Privilegien
  • Vorteile
  • Beherbergungsbetriebe in öffentlichen Unterkünften

Universelle Opt-Out-Mechanismen

Das MCDPA räumt den Verbrauchern ausdrücklich das Recht ein, einen universellen Opt-out-Mechanismus (UOOM) zu nutzen, um überprüfbare Anträge zu stellen, damit sie ihre Opt-out-Rechte wahrnehmen können.

Bei der UOOM-Technologie handelt es sich wie bei Global Privacy Controls(GPC) um eine Browser-Einstellung oder -Erweiterung, die Nutzer aktivieren können, um Websites automatisch mitzuteilen, dass sie keine gezielte Werbung wünschen oder dass ihre Daten nicht an Dritte verkauft oder weitergegeben werden sollen.

Bewertung von Datenschutz und Datensicherheit

Das MCDPA beschreibt in Abschnitt 10 des Gesetzes strenge Anforderungen an die Bewertung des Datenschutzes und der Datensicherheit.

Die für die Verarbeitung Verantwortlichen müssen aus einem der folgenden Gründe eine Bewertung der Privatsphäre und des Datenschutzes durchführen:

  • Verarbeitung von Daten für die Zwecke der gezielten Werbung
  • Der Verkauf von personenbezogenen Daten
  • Zur Verarbeitung sensibler personenbezogener Daten
  • Verarbeitungen personenbezogener Daten, die ein erhöhtes Risiko eines Schadens für die Verbraucher darstellen
  • Verarbeitung personenbezogener Daten zum Zwecke der Profilerstellung

Bei der Bewertung müssen die Vorteile der Verarbeitung gegen die potenziellen Risiken abgewogen werden, die durch die von dem für die Verarbeitung Verantwortlichen getroffenen Schutzmaßnahmen gemildert werden.

Eine Bewertung, die dazu dient, ähnliche Anforderungen eines anderen Datenschutzgesetzes zu erfüllen, das einen ähnlichen Anwendungsbereich hat, kann ebenfalls auf das MCDPA angerechnet werden.

Anforderungen für kleine Unternehmen

Gemäß Abschnitt 9 des MCDPA dürfen Unternehmen, die gemäß der Definition der United States Small Business Administration als Kleinunternehmen gelten und Produkte in Minnesota herstellen oder sich an Einwohner des Bundesstaates wenden, sensible personenbezogene Daten nicht ohne Zustimmung verkaufen.

Diese kleinen Unternehmen müssen sich zwar nicht an den Rest der MCDPA-Richtlinien halten, aber sie müssen diese Rechte der Verbraucher respektieren oder riskieren eine Geldstrafe von bis zu 7.500 Dollar pro Verstoß.

Verbraucherdatenschutzgesetz von Minnesota im Vergleich zu anderen Bundesstaaten: Gemeinsamkeiten und Unterschiede

Mehrere andere US-Bundesstaaten haben ebenfalls Datenschutzgesetze erlassen, darunter die folgenden:

In der nachstehenden Tabelle können Sie diese Gesetze mit dem NDPA vergleichen.

Staatliches Recht Opt-in-Einwilligung für bestimmte Arten der Datenverarbeitung Opt-out-Zustimmung für bestimmte Arten der Datenverarbeitung Muss den Nutzern eine Datenschutzrichtlinie (oder einen Hinweis) zur Verfügung stellen Erfordert Datenschutzbeurteilungen Umreißt vertragliche Verpflichtung mit Drittverarbeitern Ermöglicht zivilrechtliche Klagen oder das Recht auf Privatklage Muss die globalen Datenschutzkontrollen/Browser-Datenschutzeinstellungen beachten
MN CDPA
CCPA/CPRA
CPA
CTDPA
DPDPA
FDBR
Indiana CDPA
Iowa CDPA
KCDPA
MT CDPA
MODPA
NDPA
NHDPL
NJDPA
OCPA
TIPA
TDPSA
UCPA
VCDPA

Wie wird sich das MCDPA auf die Verbraucher auswirken?

Das MCDPA hat Auswirkungen auf die Verbraucher, indem es ihnen die folgenden Rechte in Bezug auf ihre persönlichen Daten einräumt:

  • sich zu vergewissern, ob ein für die Verarbeitung Verantwortlicher ihre personenbezogenen Daten verarbeitet und die Kategorien der verarbeiteten personenbezogenen Daten einzusehen.
  • Ungenauigkeiten in ihren persönlichen Daten zu korrigieren.
  • ihre persönlichen Daten zu löschen.
  • die über sie erhobenen personenbezogenen Daten in einem übertragbaren Format zu erhalten.
  • der Verarbeitung für Zwecke der gezielten Werbung widersprechen.
  • dem Verkauf ihrer persönlichen Daten widersprechen.
  • Verzicht auf das Profiling im Rahmen automatisierter Entscheidungen, die Rechtswirkungen entfalten.

Die Verbraucher haben auch das Recht, eine Liste der Dritten zu erhalten, an die ein für die Verarbeitung Verantwortlicher ihre personenbezogenen Daten weitergegeben hat.

Sie können diese Rechte ausüben, indem sie jederzeit einen Antrag an einen für die Verarbeitung Verantwortlichen stellen und angeben, welche Rechte sie ausüben möchten.

Für wen gilt das MCDPA?

Das MCDPA gilt für Personen mit Wohnsitz in Minnesota, die als Einzelpersonen oder Haushalte handeln, und nicht für Personen, die in diesem Bundesstaat in einem Arbeits- oder Geschäftsverhältnis handeln.

Welche Auswirkungen hat das MCDPA auf die Unternehmen?

Neben den vertraglichen Verpflichtungen und den UOOM-Anforderungen, die ich zuvor in diesem Leitfaden beschrieben habe, hat das MCDPA auch Auswirkungen auf die Datenschutz- und Cookie-Richtlinien der Unternehmen.

Wie wirkt sich das MCDPA auf meine Datenschutzrichtlinie aus?

Das MCDPA hat erhebliche Auswirkungen auf die Datenschutzpolitik und enthält spezifischere Anforderungen als die meisten anderen Datenschutzgesetze in den USA.

Insbesondere Abschnitt 8 des MCDPA wirkt sich auf die Datenschutzrichtlinien von Unternehmen aus, indem er vorschreibt, dass sie alle folgenden Informationen enthalten müssen:

Darüber hinaus schreibt das Gesetz vor, dass Datenschutzhinweise der Öffentlichkeit in jeder Sprache zur Verfügung gestellt werden müssen, in der der für die Verarbeitung Verantwortliche ein Produkt oder eine Dienstleistung anbietet, die Gegenstand des Datenschutzhinweises ist.

Sie muss für Menschen mit Behinderungen zugänglich und nutzbar sein.

Wird die Politik wesentlich geändert, muss der für die Verarbeitung Verantwortliche die von der Änderung betroffenen Verbraucher benachrichtigen und ihnen die Möglichkeit geben, ihre Einwilligung zu widerrufen.

Schließlich muss die Datenschutzrichtlinie durch einen auffälligen Hyperlink mit dem Wort "Datenschutz" auf der Homepage der Website oder im App-Store oder auf der Download-Seite der mobilen Anwendung veröffentlicht werden.

Wenn ein für die Verarbeitung Verantwortlicher keine Website verwendet, sollte die Datenschutzerklärung den Nutzern auf die Art und Weise präsentiert werden, wie sie üblicherweise mit dem für die Verarbeitung Verantwortlichen interagieren, einschließlich auf dem Postweg.

Wie wird sich das MCDPA auf meine Cookie-Richtlinie auswirken?

Das MCDPA wirkt sich auf die Cookie-Politik der Unternehmen aus, da das Gesetz den Verbrauchern das Recht gibt, der Datenverarbeitung zu widersprechen, die häufig durch die Verwendung von Internet-Cookies in den Browsern der Nutzer erfolgt. Das Gesetz enthält auch Transparenzanforderungen, die erfüllt werden müssen.

Wenn Sie Internet-Cookies verwenden, um personenbezogene Daten von Minnesota-Nutzern zu sammeln, müssen Sie dies den Verbrauchern deutlich mitteilen und sie darüber informieren, wie sie ihre Rechte wahrnehmen können.

Daher muss Ihre Cookie-Richtlinie gemäß dem MCDPA aktuell und korrekt sein und mit Ihrer Datenschutzrichtlinie verknüpft werden.

Wer muss sich an das neue Datenschutzgesetz von Minnesota halten?

Ihr Unternehmen muss das MCDPA einhalten, wenn Sie in Minnesota geschäftlich tätig sind oder Produkte und Dienstleistungen herstellen, die sich an Einwohner des Bundesstaates richten und eine oder mehrere der folgenden Bedingungen erfüllen:

  • während eines Kalenderjahres die personenbezogenen Daten von 100.000 Verbrauchern kontrolliert oder verarbeitet, mit Ausnahme von Daten, die ausschließlich zur Abwicklung eines Zahlungsvorgangs verarbeitet werden.
  • mehr als 25 % der Bruttoeinnahmen aus dem Verkauf personenbezogener Daten erzielt und die Daten von 25.000 oder mehr Verbrauchern verarbeitet oder kontrolliert.

Wer ist von dem MCDPA ausgenommen?

Verschiedene Einrichtungen sind von der Einhaltung des MCDPA befreit, darunter die folgenden:

  • Staatliche Stellen
  • Non-Profit-Organisationen zur Aufdeckung und Prävention von Versicherungsbetrug
  • Staatlich anerkannte Indianerstämme
  • Bestimmte Banken, Kreditgenossenschaften und Versicherungsgesellschaften
  • Geschützte Gesundheitsinformationen, die unter den Health Insurance Portability and Accessibility Act (HIPAA) fallen
  • Finanzdaten, die durch den Gramm-Leach-Bliley Act (GLBA) geregelt sind

Wie können sich Unternehmen auf das MCDPA vorbereiten?

Um sich auf das neue Datenschutzgesetz von Minnesota vorzubereiten, müssen Unternehmen ihre Datenschutz- und Cookie-Richtlinien so aktualisieren, dass sie alle im MCDPA festgelegten Benachrichtigungsrichtlinien erfüllen.

Nutzen Sie auch eine consent management platform (CMP), um den Nutzern die Möglichkeit zu geben, ihr Recht auf Ablehnung bestimmter Datenverarbeitungen, z. B. gezielter Werbung, wahrzunehmen.

Fügen Sie Ihrer Website ein DSAR-Formular (Data Subject Access Request ) hinzu, damit die Einwohner von Minnesota nachprüfbare Anträge stellen können, um ihre Rechte wahrzunehmen, und richten Sie ein Widerspruchsverfahren ein.

Stellen Sie schließlich sicher, dass Ihre Website bereit ist, die von UOOMs wie GPC und anderen Browsererweiterungen und -einstellungen festgelegten Opt-out-Präferenzen der Verbraucher zu berücksichtigen.

Wie wird das MCDPA durchgesetzt?

Der Generalstaatsanwalt von Minnesota hat die alleinige Befugnis, das MCDPA durchzusetzen.

Unternehmen, die angeblich gegen das Gesetz verstoßen, haben eine 30-tägige Frist, die am 31. Januar 2026 abläuft.

Geldbußen und Strafen gemäß dem Minnesota Consumer Data Privacy Act

Geldstrafen für Verstöße gegen das MCDPA können bis zu 7.500 Dollar pro Verstoß betragen.

Die Verbraucher haben jedoch kein Recht auf eine Privatklage nach diesem Gesetz.

Wie kann Termly bei der Einhaltung des MCDPA helfen?

Termly wird uns bei der Einhaltung des MCDPA helfen, indem wir sicherstellen, dass unser Datenschutzerklärung Generator auf den neuesten Stand gebracht wird, damit sie alle erforderlichen Angaben enthält, bevor das Gesetz im Jahr 2025 in Kraft tritt.

Unser Rechtsteam und unsere Datenschutzexperten unterstützen unsere Generatoren, die unglaublich einfach zu bedienen sind.

Es stellt einfache Fragen zu Ihrem Unternehmen und erstellt auf der Grundlage Ihrer Antworten eine umfassende Police für Sie.

Wir bieten auch eine Consent Management Platform (CMP) an, die Sie so konfigurieren können, dass sie alle gesetzlich vorgeschriebenen Opt-out-Anforderungen erfüllt.

Im Lieferumfang ist ein kostenlosesDSAR-Formular (Data Subject Access Request) enthalten, das es Ihnen erleichtert, Ihren Nutzern in Minnesota eine Möglichkeit zu bieten, nachprüfbare Anträge zur Durchsetzung ihrer neuen Datenschutzrechte zu stellen.

Minnesota ist durch einige andere datenschutzbezogene Gesetze geschützt, die mit dem MCDPA zusammenarbeiten, sobald es in Kraft tritt, darunter die folgenden:

Zusammenfassung

Wenn Ihr Unternehmen dem Minnesota Consumer Data Privacy Act (Gesetz zum Schutz der Verbraucherdaten) unterliegt, sollten Sie die richtigen Schritte zur Vorbereitung auf die Einhaltung der Vorschriften unternehmen:

  • Stellen Sie sicher, dass Ihre Datenschutz- und Cookie-Richtlinien aktualisiert und korrekt sind.
  • Richten Sie Ihre Website so ein, dass sie die Opt-out-Präferenzen der Verbraucher versteht und beachtet, indem Sie eine Technologie wie UOOM verwenden.
  • Fügen Sie auf Ihrer Website ein DSAR-Formular ein und beschreiben Sie das Widerspruchsverfahren, mit dem die Verbraucher gegen Ihre Entscheidungen über ihre Datenschutzanfragen vorgehen können.
  • Schließen und unterzeichnen Sie angemessene Verträge, wenn Sie mit dritten Datenverarbeitern zusammenarbeiten.
  • Durchführung von Datenschutzbewertungen für bestimmte Verarbeitungstätigkeiten.

Beseitigen Sie einige der Schwierigkeiten bei der Einhaltung von Datenschutzbestimmungen, indem Sie Lösungen wie unsere Datenschutzerklärung Generator und CMP, um die Anforderungen von Gesetzen wie dem MCDPA zu erfüllen.

Anokhy Desai CIPP/US, CIPT, CIPM
Mehr über die Autorin

Geschrieben von Anokhy Desai CIPP/US, CIPT, CIPM

Anokhy ist Anwältin für Datenschutz mit Erfahrung in den Bereichen Datenschutz und Cybersicherheit im öffentlichen und privaten Sektor. Als ehemalige Westin Fellow bei der IAPP veröffentlichte sie mehrere Artikel, White Papers und Infografiken und leitete, koordinierte und moderierte Webinare und Diskussionsrunden zu den Themen Datenschutz und Datenschutztechnologie in den USA. Anokhy erwarb ihren Master an der Carnegie Mellon University und ihren Juris Doctor an der University of Pittsburgh. Mehr über die Autorin

Verwandte Artikel

Weitere Artikel ansehen