Montana ist ein weiterer US-Bundesstaat, der ein Datenschutzgesetz verabschiedet hat.
Der Montana Consumer Data Privacy Act (MCDPA ) trat am 1. Oktober 2024 in Kraft.
In diesem Leitfaden finden Sie alles, was Sie über das MCDPA wissen müssen, einschließlich der Frage, für wen es gilt und wen es betrifft, welche Verbraucherrechte es schafft und welche Strafen bei Verstößen gegen seine Bestimmungen drohen.
- Was ist das Montana Consumer Data Privacy Act (MCDPA)?
- MCDPA Schlüsselbegriffe und Definitionen
- Was deckt das Montana Consumer Data Privacy Act ab?
- Anforderungen des Montana Consumer Data Privacy Act
- Montanas Datenschutzgesetz im Vergleich zu anderen Staaten: Gemeinsamkeiten und Unterschiede
- Wie wird sich das MCDPA auf die Verbraucher auswirken?
- Welche Auswirkungen hat das MCDPA auf die Unternehmen?
- Wer muss sich an das neue Datenschutzgesetz von Montana halten?
- Wie können sich Unternehmen auf das MCDPA vorbereiten?
- Wie wird das MCDPA durchgesetzt?
- Geldbußen und Strafen gemäß dem Montana Consumer Data Privacy Act
- Wie kann Termly bei der Einhaltung des MCDPA helfen?
- Gibt es in Montana noch andere Datenschutzgesetze?
- Zusammenfassung
Was ist das Montana Consumer Data Privacy Act (MCDPA)?
Der Montana Consumer Data Privacy Act (MCDPA) ist eines der zahlreichen neuen Datenschutzgesetze, die in den USA verabschiedet werden.
Sie legt die Rechte der Verbraucher in Bezug auf die Verwendung personenbezogener Daten durch Unternehmen fest und beschreibt Anforderungen, Leitlinien und Verpflichtungen für Unternehmen, die diese Daten sammeln und verarbeiten wollen.
Außerdem werden die Sanktionen und Durchsetzungsmaßnahmen bei Verstößen gegen das Gesetz erläutert.
MCDPA Datum des Inkrafttretens
Das Datenschutzgesetz von Montana trat am 1. Oktober 2024 in Kraft.
Sie haben jedoch bis zum 1. Januar 2025 Zeit, bestimmte Bestimmungen über die Anerkennung globaler Datenschutzkontrollen durch Verbraucher-Browser zu erfüllen.
Das Gesetz sieht auch eine anfängliche Heilungsfrist für Unternehmen vor, die dagegen verstoßen, aber diese Frist endet am 1. April 2026.
MCDPA Schlüsselbegriffe und Definitionen
Sie müssen die rechtlichen Definitionen einiger Schlüsselbegriffe verstehen, um die Anforderungen des Montana Consumer Data Privacy Act zu erfüllen.
Nachfolgend habe ich die wichtigsten Begriffe und Definitionen , wie sie im MCDPA erscheinen, aufgeführt.
Was deckt das Montana Consumer Data Privacy Act ab?
Das MCDPA gilt für personenbezogene Daten von Verbrauchern, die ihren Wohnsitz im Bundesstaat Montana haben. Es schützt keine Personen, die in einem kommerziellen oder arbeitsrechtlichen Kontext handeln.
Die folgenden Personen, die im Namen eines Unternehmens, einer Personengesellschaft, eines Einzelunternehmens, einer gemeinnützigen Organisation oder einer Regierungsbehörde handeln und deren Kommunikation mit dem für die Verarbeitung Verantwortlichen ausschließlich im Rahmen ihrer Funktion erfolgt , fallen jedoch nicht darunter:
- Mitarbeiter
- Eigentümer
- Direktoren
- Beamte
- Bauunternehmer
Anforderungen des Montana Consumer Data Privacy Act
Um Ihnen bei der Einhaltung dieses Gesetzes zu helfen, finden Sie im Folgenden die verschiedenen geschäftlichen Anforderungen, die das Montana Consumer Data Privacy Act vorgibt.
Leitlinien des für die Verarbeitung Verantwortlichen für die Verarbeitung von Daten
Der MCDPA-Text beschreibt in Abschnitt 7 die Leitlinien des für die Verarbeitung Verantwortlichen für die Verarbeitung personenbezogener Daten.
Sie können personenbezogene Daten verarbeiten, solange Sie:
- Beschränken Sie die Datenerhebung auf das, was angemessen, relevant und vernünftigerweise notwendig ist, um die dem Verbraucher mitgeteilten Zwecke der Informationsverarbeitung zu erfüllen.
- Einführung, Umsetzung und Aufrechterhaltung angemessener Sicherheitspraktiken zum Schutz der Vertraulichkeit und Integrität der personenbezogenen Daten, die dem Umfang und der Art der Informationen angemessen sind.
Obwohl die Gründe für die Verarbeitung von Daten nach dem MCDPA breit gefächert sind, müssen Sie die Zustimmung einholen, wenn Sie sensible personenbezogene Daten, Daten von bekannten Kindern oder zusätzliche Informationen von Ihren Nutzern sammeln wollen, die über das hinausgehen, was vernünftigerweise als notwendig erachtet wird.
Im nächsten Abschnitt erfahren Sie mehr über die Einwilligung nach dem MCDPA.
Zustimmung
Nach dem MCDPA dürfen die für die Verarbeitung Verantwortlichen personenbezogene Daten nur dann aus Gründen verarbeiten, die nach vernünftigem Ermessen notwendig oder mit den offengelegten Zwecken vereinbar sind, wenn sie die Zustimmung des Verbrauchers einholen, wie in Abschnitt 7 Teil (2)(a) erläutert.
Im Datenschutzgesetz von Montana ist genau definiert, was eine Einwilligung ist und was nicht.
Sie müssen mehrere Bedingungen erfüllen, damit die Zustimmung rechtskonform ist, darunter die folgenden:
- Die Zustimmung muss eine klare, bestätigende Handlung sein und darf nicht konkludent erfolgen.
- Die Verbraucher müssen sie freiwillig geben, d. h. ohne Zwang oder Gewalt.
- Sie kann in einer schriftlichen Erklärung, auf elektronischem Wege oder auf andere eindeutige Art und Weise erfolgen.
Was die Frage betrifft, was nicht als Zustimmung im Sinne des MCDPA gilt, so besagt der Gesetzestext eindeutig, dass keine der folgenden Handlungen als tauglich gilt:
- Akzeptieren von Nutzungsbedingungen oder ähnlichen Dokumenten, die Beschreibungen personenbezogener Daten sowie weitere, nicht damit zusammenhängende Angaben enthalten
- Bewegen Sie den Mauszeiger über einen Inhalt, schalten Sie ihn stumm, halten Sie ihn an oder schließen Sie ihn
- Erzielung von Vereinbarungen durch die Verwendung von dunklen Mustern
Datenschutz-Bewertungen
Das MCDPA verlangt von den für die Verarbeitung Verantwortlichen die Durchführung und Dokumentation von Datenschutzbewertungen für alle Aktivitäten, die ein erhöhtes Risiko für den Verbraucher darstellen können.
Konkret heißt es in Abschnitt 9 Teil (1 ) des Gesetzes, dass die folgenden Tätigkeiten ein solches erhöhtes Risiko darstellen:
- Verarbeitung personenbezogener Daten für gezielte Werbung
- Verkauf von personenbezogenen Daten
- Verarbeitung personenbezogener Daten für die Profilerstellung, die (1) ein vernünftigerweise vorhersehbares Risiko einer unlauteren oder irreführenden Behandlung oder einer unrechtmäßigen Ungleichbehandlung von Verbrauchern birgt, (2) die Verbraucher finanziell, physisch oder in ihrem Ruf schädigt, (3) physisch oder auf andere Weise in die Privatsphäre, die Einsamkeit, die privaten Angelegenheiten oder Belange von Verbrauchern eindringt, wenn ein solches Eindringen für eine vernünftige Person anstößig wäre
- Sonstige erhebliche Schädigungen der Verbraucher
- Die Verarbeitung von sensiblen Daten
In Teil (2) wird weiter beschrieben, was Ihre Datenschutzbeurteilung beinhalten muss, einschließlich
- Ermittlung und Abwägung der Vorteile, die sich aus der direkten und indirekten Verarbeitung der Daten ergeben können, im Vergleich zu den potenziellen Risiken für die Rechte des Verbrauchers, die durch die von dem für die Verarbeitung Verantwortlichen getroffenen Sicherheitsvorkehrungen abgemildert werden.
- Berücksichtigung der Verwendung nicht identifizierter Daten und der berechtigten Erwartungen der Verbraucher, einschließlich des Kontextes der Verarbeitung und der Beziehung zwischen dem für die Verarbeitung Verantwortlichen und dem Verbraucher.
Das MCDPA erlaubt es Ihnen, eine einzige Datenschutzbeurteilung für eine vergleichbare Reihe von Verarbeitungstätigkeiten zu verwenden, solange diese vom Umfang her ähnlich sind.
Das Gesetz sieht auch vor, dass ähnliche Beurteilungen, die zur Einhaltung anderer geltender Gesetze oder Vorschriften erforderlich sind, möglicherweise auf das MCDPA angerechnet werden können.
Vertragliche Verpflichtungen mit Drittverarbeitern
Jeder für die Datenverarbeitung Verantwortliche, der sich auf einen Drittverarbeiter verlässt, muss einen Vertrag verwenden, der bestimmten Aspekten des MCDPA entspricht, wie in Abschnitt 8 Teil (2) dargelegt.
Der für die Verarbeitung Verantwortliche muss von den Datenverarbeitern Folgendes verlangen, wenn sie personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeiten:
- Stellen Sie sicher, dass jede Person, die die Daten verarbeitet, der Schweigepflicht unterliegt.
- Löschung oder Rückgabe aller personenbezogenen Daten an den für die Verarbeitung Verantwortlichen nach Beendigung der Erbringung von Dienstleistungen auf dessen Anweisung hin, es sei denn, die Aufbewahrung ist gesetzlich vorgeschrieben.
- dem für die Verarbeitung Verantwortlichen auf dessen angemessenes Ersuchen alle Informationen zur Verfügung zu stellen, um die Einhaltung des MCDPA durch den Auftragsverarbeiter nachzuweisen.
- Sicherstellen, dass alle Unterauftragnehmer, mit denen der Auftragsverarbeiter zusammenarbeitet, einem schriftlichen Vertrag unterliegen, der dieselben Verpflichtungen in Bezug auf die personenbezogenen Daten enthält.
- angemessene Datenschutzbewertungen durch den für die Verarbeitung Verantwortlichen oder den von ihm benannten Beauftragten zuzulassen und daran mitzuwirken.
- Alternativ kann der Auftragsverarbeiter einen qualifizierten unabhängigen Prüfer beauftragen, seine Politik sowie seine technischen und organisatorischen Maßnahmen zu bewerten und dem für die Verarbeitung Verantwortlichen auf Anfrage einen Bericht über die Bewertung vorzulegen.
Sowohl der für die Datenverarbeitung Verantwortliche als auch der Auftragsverarbeiter müssen den schriftlichen Vertrag unterzeichnen. In Abschnitt 8 Teil (3) wird betont, dass dieser Abschnitt weder den für die Verarbeitung Verantwortlichen noch den Auftragsverarbeiter von den Verpflichtungen entbindet, die beiden Parteien aufgrund ihrer Rolle in der Verarbeitungsbeziehung auferlegt werden.
Gemäß Abschnitt 8 Teil (4) ist die Feststellung, ob ein Unternehmen ein für die Verarbeitung Verantwortlicher oder ein Auftragsverarbeiter ist, faktenbasiert und hängt von diesen Kontexten ab:
- Wenn sich eine Person bei der Verarbeitung personenbezogener Daten nicht auf die Anweisungen eines für die Verarbeitung Verantwortlichen beschränkt oder die Anweisungen eines für die Verarbeitung Verantwortlichen nicht befolgt, gilt sie als für die Verarbeitung Verantwortlicher und nicht als Auftragsverarbeiter.
- Ein Auftragsverarbeiter, der die Anweisungen des für die Verarbeitung Verantwortlichen bezüglich der Verarbeitung personenbezogener Daten weiterhin befolgt, bleibt ein Auftragsverarbeiter.
- Beginnt ein Auftragsverarbeiter, entweder allein oder zusammen mit anderen, den Zweck und die Mittel der Verarbeitung personenbezogener Daten zu bestimmen, so gilt der Auftragsverarbeiter als für die Verarbeitung Verantwortlicher und kann Gegenstand von Durchsetzungsmaßnahmen sein.
Pflichten bei der De-Identifizierung und Pseudonymisierung von Daten
Gemäß dem MCDPA haben für die Verarbeitung Verantwortliche, die im Besitz von anonymisierten Daten sind, mehrere Pflichten. Abschnitt 10 besagt, dass Sie müssen:
- Ergreifen Sie angemessene Maßnahmen, um sicherzustellen, dass die Daten nicht identifiziert und nicht mit einer Person in Verbindung gebracht werden können.
- sich öffentlich dazu verpflichten, anonymisierte Daten zu speichern und zu verwenden, ohne zu versuchen, sie zu reidentifizieren.
- alle Empfänger der anonymisierten Daten vertraglich zu verpflichten, alle Bestimmungen des MCDPA einzuhalten.
Das Gesetz stellt jedoch klar, dass nichts davon dazu verwendet werden darf, einen für die Verarbeitung Verantwortlichen oder einen Auftragsverarbeiter zu verpflichten:
- Re-Identifizierung deidentifizierter oder pseudonymer Daten.
- Daten in identifizierbarer Form aufbewahren.
- Sie müssen in der Lage sein, eine authentifizierte Verbraucheranfrage mit personenbezogenen Daten zu verknüpfen.
Globale Datenschutzkontrollen
Nach dem neuen Datenschutzgesetz von Montana muss Ihr Unternehmen die Browsererweiterungen oder globalen Geräteeinstellungen der Verbraucher, in der Regel Global Privacy Controls (GPC) genannt, anerkennen und respektieren, wenn diese den Wunsch äußern, bestimmte Arten der Datenverarbeitung abzulehnen.
Gemäß Abschnitt 6 des Gesetzes kann ein Verbraucher rechtmäßig eine AGB verwenden, um anzugeben, dass er der Verwendung seiner Daten für gezielte Werbung oder dem Verkauf seiner Daten widersprechen möchte.
Die Unternehmen haben bis zum 1. Januar 2025 Zeit, sich auf diese Anforderungen an die GPC und ähnliche Plattformtechnologien oder -mechanismen vorzubereiten.
Montanas Datenschutzgesetz im Vergleich zu anderen Staaten: Gemeinsamkeiten und Unterschiede
Inzwischen haben mehrere US-Bundesstaaten Datenschutzgesetze verabschiedet.
Obwohl sie alle einige Gemeinsamkeiten aufweisen, gibt es auch einige bemerkenswerte Unterschiede, die die Unternehmen kennen müssen, um diese Rechtsvorschriften einzuhalten.
Gegenwärtig gibt es weitere Datenschutzgesetze in den USA:
- California Consumer Protection Act (CCPA), geändert durch den California Privacy Rights Act (CPRA ) - derzeit in Kraft
- Colorado Privacy Act (CPA) - derzeit in Kraft
- Connecticut Data Privacy Act (CTDPA) - derzeit in Kraft
- Delaware Personal Data Privacy Act (DPDPA) - derzeit in Kraft
- Florida Digital Bill of Rights (FDBR ) - derzeit in Kraft
- Iowa Consumer Data Protection Act (Iowa CDPA) - derzeit in Kraft
- Verbraucherdatenschutzgesetz von Indiana (Indiana CDPA) - gültig ab 1. Januar 2026
- Kentucky Consumer Data Protection Act (KCDPA) - gültig ab 1. Januar 2026
- Minnesota Consumer Data Privacy Act (MCDPA) - gültig ab 31. Juli 2025
- Maryland Online Data Protection Act (MODPA ) - gültig ab 1. Oktober 2025
- Nebraska Data Privacy Act (NDPA) - derzeit in Kraft
- New Hampshire Data Privacy Law (NHDPL) - derzeit in Kraft
- New Jersey Data Privacy Act (NJDPA) - derzeit in Kraft
- Oregon Consumer Privacy Act (OCPA) - derzeit in Kraft
- Tennessee Information Protection Act (TIPA) - gültig ab 1. Juli 2025
- Texas Data Privacy and Security Act (TDPSA) - derzeit in Kraft
- Utah Consumer Privacy Act (UCPA) - derzeit in Kraft
- Virginia Consumer Data Protection Act (VCDPA) - derzeit in Kraft
Hier ist eine Tabelle, die alle diese Gesetze mit dem MCDPA vergleicht:
Staatliches Recht | Opt-in-Einwilligung für bestimmte Arten der Datenverarbeitung | Opt-out-Zustimmung für bestimmte Arten der Datenverarbeitung | Muss den Nutzern eine Datenschutzrichtlinie (oder einen Hinweis) zur Verfügung stellen | Erfordert Datenschutzbeurteilungen | Umreißt vertragliche Verpflichtung mit Drittverarbeitern | Ermöglicht zivilrechtliche Klagen oder das Recht auf Privatklage | Muss die globalen Datenschutzkontrollen/Browser-Datenschutzeinstellungen beachten |
MT CDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
CCPA/CPRA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
CPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
CTDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
DPDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
FDBR | ✓ | ✓ | ✓ | ✓ | |||
Indiana CDPA | ✓ | ✓ | ✓ | ✓ | |||
Iowa CDPA | ✓ | ✓ | ✓ | ||||
KCDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
MN CDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
MODPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
NHDPL | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
NJDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
OCPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
TIPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
TDPSA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
UCPA | ✓ | ✓ | ✓ | ||||
VCDPA | ✓ | ✓ | ✓ | ✓ |
Wie wird sich das MCDPA auf die Verbraucher auswirken?
Das MCDPA hat Auswirkungen auf die Verbraucher, indem es ihnen mehr Rechte und mehr Kontrolle darüber einräumt, wie externe Stellen ihre personenbezogenen Daten verarbeiten und nutzen.
Im Einzelnen heißt es in Abschnitt 5 des Gesetzes, dass Einwohner von Montana
- zu bestätigen, dass ein für die Verarbeitung Verantwortlicher ihre personenbezogenen Daten verarbeitet, und Zugang zu diesen Daten zu gewähren, es sei denn, die Bestätigung oder der Zugang würde die Preisgabe eines Geschäftsgeheimnisses durch den für die Verarbeitung Verantwortlichen erfordern.
- Berichtigung von Ungenauigkeiten in den personenbezogenen Daten des Verbrauchers
- persönliche Daten über sich selbst zu löschen.
- eine Kopie der personenbezogenen Daten, die der Betroffene zuvor übermittelt hat, in einem tragbaren und nutzbaren Format zu erhalten.
- Widerspruch gegen die Verarbeitung personenbezogener Daten für Zwecke der gezielten Werbung, des Verkaufs personenbezogener Daten oder der Profilerstellung zur Unterstützung ausschließlich automatisierter Entscheidungen, die rechtliche oder erhebliche Auswirkungen auf die Verbraucher haben.
Die Verbraucher können auch gegen Entscheidungen der für die Datenverarbeitung Verantwortlichen bezüglich ihrer überprüfbaren Verbraucheranfragen Widerspruch einlegen.
Für wen gilt das MCDPA?
Gemäß der in Abschnitt 2 beschriebenen Definition des Begriffs "Verbraucher" gilt das MCDPA nur für personenbezogene Daten von in Montana ansässigen Personen.
Wer nicht in Montana ansässig ist, wird durch dieses Gesetz nicht geschützt.
Dies bedeutet insbesondere, dass diese Personen auch dann unter das MCDPA fallen, wenn sie den Staat verlassen und das Internet in anderen Teilen der Welt nutzen.
Welche Auswirkungen hat das MCDPA auf die Unternehmen?
Der Montana Consumer Data Privacy Act wirkt sich auf verschiedene Weise auf Unternehmen aus, die über die bereits in diesem Artikel erwähnten Datenschutzbewertungen, vertraglichen Verpflichtungen und Rechtsgrundlagen für die Datenverarbeitung hinausgehen.
Sie kann sich auch auf Teile Ihrer Datenschutz- und Cookie-Richtlinien auswirken. In den folgenden Abschnitten wird genau beschrieben, was das MCDPA von Unternehmen für beide Richtlinien verlangt.
Wie wirkt sich das MCDPA auf meine Datenschutzrichtlinie aus?
Gemäß Abschnitt 7 Teil (5 ) des Gesetzes müssen die für die Verarbeitung Verantwortlichen den Verbrauchern einen "angemessen zugänglichen, klaren und aussagekräftigen" Datenschutzhinweis vorlegen.
Ihre Mitteilung muss alle folgenden Angaben enthalten:
- Die Kategorien von personenbezogenen Daten, die der für die Verarbeitung Verantwortliche verarbeitet
- Der Zweck der Verarbeitung der Daten
- Die Kategorien personenbezogener Daten, die der für die Verarbeitung Verantwortliche gegebenenfalls an Dritte weitergegeben hat
- die Kategorien der Dritten, an die der für die Verarbeitung Verantwortliche die Daten weitergegeben hat, sofern vorhanden
- Eine aktive E-Mail-Adresse oder ein anderes Verfahren, mit dem die Verbraucher den für die Verarbeitung Verantwortlichen kontaktieren können
- eine Beschreibung, wie die Verbraucher ihre Rechte gemäß dem MCDPA ausüben können, einschließlich der Möglichkeit, gegen die Entscheidungen eines für die Verarbeitung Verantwortlichen bezüglich ihrer Anfragen Widerspruch einzulegen
Ihre Datenschutzpolitik muss zwei oder mehr "sichere und zuverlässige" Wege einrichten und beschreiben, auf denen die Verbraucher ihre Datenschutzrechte geltend machen können, wobei diese Wege zu berücksichtigen sind:
- Die normale Art und Weise, wie Benutzer mit Ihnen interagieren
- die sicheren und zuverlässigen Kommunikationsmaßnahmen, die für den Antrag gelten
- Ihre Fähigkeit, die Identität der Verbraucher, die den Antrag stellen, zu überprüfen
Sie können von niemandem verlangen, dass er ein neues Konto einrichtet, um seine Rechte wahrnehmen zu können. Sie können jedoch einen Verbraucher auffordern, ein bestehendes Konto zu nutzen.
Wie wird sich das MCDPA auf meine Cookie-Richtlinie auswirken?
Das neue Datenschutzgesetz von Montana kann sich auf Ihre Cookie-Richtlinie auswirken, insbesondere dann, wenn Sie mit Hilfe von Internet-Cookies gesammelte Informationen für gezielte Werbung verwenden oder diese Daten verkaufen.
Nach Abschnitt 5 des Gesetzes haben die Verbraucher das Recht, der Verarbeitung ihrer Daten auf eine der beiden Arten zu widersprechen.
Sie müssen Ihre Cookie-Richtlinie aktualisieren und den Verbrauchern erklären, ob Sie zielgerichtete oder Werbe-Cookies verwenden, und ihnen ein angemessenes Mittel an die Hand geben, um die Verwendung dieser oder ähnlicher Internet-Tracker zu verweigern oder sich dagegen zu entscheiden.
Wer muss sich an das neue Datenschutzgesetz von Montana halten?
Gemäß Abschnitt 3 müssen Sie das MCDPA einhalten, wenn Sie in Montana geschäftlich tätig sind oder Produkte oder Dienstleistungen herstellen, die sich an Einwohner des Bundesstaates richten, und einen der folgenden Schwellenwerte erfüllen:
- die personenbezogenen Daten von mindestens 50.000 Verbrauchern kontrolliert oder verarbeitet, mit Ausnahme der personenbezogenen Daten, die ausschließlich zur Durchführung eines Zahlungsvorgangs kontrolliert oder verarbeitet werden
- die personenbezogenen Daten von mindestens 25.000 Verbrauchern kontrolliert oder verarbeitet und mehr als 25 % ihrer Bruttojahreseinnahmen aus dem Verkauf personenbezogener Daten erzielt
Wer ist von dem MCDPA ausgenommen?
Alle folgenden Einrichtungen sind von den Anforderungen des MCDPA ausgenommen:
- Politische Gremien, Behörden, Vorstände, Ämter, Kommissionen, Bezirke oder Agenturen des Staates oder politischer Untergliederungen
- Gemeinnützige Organisationen
- Einrichtungen der Hochschulbildung
- National Securities Association, registriert gemäß 15 U.S.C. 78o-3 des Bundesgesetzes über die Wertpapierbörse von 1934 in seiner geänderten Fassung.
- Finanzinstitute oder verbundene Unternehmen von Finanzinstituten, die unter Titel V des Gramm Leach Bliley Act (GBLA) fallen, oder personenbezogene Daten, die gemäß diesem Gesetz erhoben, verarbeitet, verkauft oder offengelegt werden
- Betroffene Einrichtungen oder Unternehmen gemäß der Definition in den Datenschutzbestimmungen des Bundesgesetzes über die Übertragbarkeit von Krankenversicherungen und Rechenschaftspflicht (HIPAA)
Wie können sich Unternehmen auf das MCDPA vorbereiten?
Unternehmen sollten ihre Datenschutzrichtlinien aktualisieren und mindestens zwei oder mehr Möglichkeiten vorsehen, wie Verbraucher ihre Datenschutzrechte wahrnehmen können, z. B. indem sie sich gegen gezielte Werbung und den Verkauf ihrer Daten entscheiden.
Jetzt ist es auch an der Zeit, Ihre Website darauf vorzubereiten, GPCs von den Browsern Ihrer Nutzer zu honorieren.
Darüber hinaus sollten Unternehmen den Einsatz einer Consent Management Platform (CMP ) in Erwägung ziehen, die den Nutzern ein Zustimmungsbanner zur Verfügung stellt, das den in diesem Gesetz festgelegten Opt-out-Anforderungen gerecht wird.
Sie sollten auch planen, für bestimmte Arten der Datenverarbeitung gemäß Abschnitt 9 des Gesetzes angemessene Datenschutzbewertungen durchzuführen.
Wenn Sie Dritte mit der Verarbeitung personenbezogener Daten Ihrer Verbraucher beauftragen, bereiten Sie sich darauf vor, konforme Datenverarbeitungsverträge zu verwenden, die die in Abschnitt 8 PArt (2 ) des Gesetzes beschriebenen Verpflichtungen erfüllen.
Wie wird das MCDPA durchgesetzt?
Der Generalstaatsanwalt von Montana hat das ausschließliche Recht, das MCDPA durchzusetzen, wie Abschnitt 12 des Gesetzes erläutert.
Wenn ein für die Verarbeitung Verantwortlicher gegen das Gesetz verstößt, wird der Generalstaatsanwalt ihn benachrichtigen und ihm eine 60-tägige Frist zur Behebung des Verstoßes einräumen.
Der für die Verarbeitung Verantwortliche muss die festgestellten Verstöße korrigieren, dem Generalstaatsanwalt eine schriftliche Erklärung vorlegen, in der die Korrekturen erläutert werden, und erklären, dass keine weiteren Verstöße erfolgen werden.
Die AG wird keine weiteren negativen Maßnahmen gegen Fluglotsen einleiten, die die Vorgaben angemessen erfüllen. Diese Schonfrist endet jedoch am 1. April 2026, danach gibt es keine 60-Tage-Frist mehr.
Geldbußen und Strafen gemäß dem Montana Consumer Data Privacy Act
Das MCDPA sieht keine spezifischen Dollarbeträge oder Obergrenzen für Strafen vor. Stattdessen heißt es lediglich, dass der Generalstaatsanwalt für die Durchsetzung des Gesetzes verantwortlich ist.
Das Gesetz stellt jedoch klar, dass die Verbraucher kein privates Klagerecht haben.
Wie kann Termly bei der Einhaltung des MCDPA helfen?
Während sich Ihr Unternehmen auf den Montana Consumer Data Privacy Act vorbereitet, kann Termly Ihnen Ressourcen und Tools zur Verfügung stellen, die Ihnen die Einhaltung der Vorschriften erleichtern.
Termly's Datenschutzerklärung Generatorstellt zum Beispiel einfache Fragen zu Ihrem Unternehmen und seinen Datenverarbeitungsaktivitäten. Auf der Grundlage Ihrer Antworten wird dann eine konforme Richtlinie erstellt, die Sie ganz einfach direkt auf Ihrer Website oder mobilen App einbetten können.
Sehen Sie unten, wie es aussieht.
Wir bieten auch eine Consent Management Platform (CMP) an, die Sie konfigurieren können, um die Opt-out-Anforderungen bezüglich der Verbraucherrechte zu erfüllen, wie sie in Gesetzen wie dem MCDPA festgelegt sind.
Nachstehend finden Sie ein Beispiel dafür.
Gibt es in Montana noch andere Datenschutzgesetze?
Das MCDPA ist zwar das erste Gesetz in Montana, das die personenbezogenen Daten von Verbrauchern schützt und die Pflichten von Datenverarbeitern festlegt, aber es ist nicht das einzige staatliche Gesetz, das sich auf die Datenschutzrechte der Einwohner auswirkt.
Das Gesetz zum Schutz der persönlichen Daten von Schülern in Montana (Montana Pupil Online Personal Information Protection Act) verhindert beispielsweise, dass Einrichtungen wissentlich gezielte Werbung für K-12-Online-Anwendungen betreiben.
Zusammenfassung
Unternehmen, die das MCDPA einhalten müssen, müssen bestimmte Schritte unternehmen, um die hohen Standards des MCDPA zu erfüllen.
Sie sollten Ihre Datenschutzrichtlinien aktualisieren, um alle gesetzlich vorgeschriebenen Verpflichtungen zu erfüllen.
Bieten Sie außerdem zwei oder mehr Methoden an, mit denen Verbraucher ihre Datenschutzrechte wahrnehmen können, z. B. ein Einwilligungsbanner mit Zugang zu einem Präferenzzentrum für Einwilligungen und die Verknüpfung einesDSAR-Formulars (Data Subject Access Request) mit Ihrer Website oder App.
Glücklicherweise können die Tools von Termlyden gesamten Prozess für Sie vereinfachen, so dass Sie sich auf das Wesentliche konzentrieren können - Ihr Geschäft.