Nebraska-Datenschutzgesetz: Erster Blick & Zusammenfassung

Abgedeckt durch Termly

von: Anokhy Desai CIPP/US, CIPT, CIPM Anokhy Desai CIPP/US, CIPT, CIPM | Aktualisiert am: Januar 8, 2025

Kostenlose Datenschutzerklärung erstellen
Nebraska-Datenschutz-Gesetz-01

Der Nebraska Data Privacy Act(NDPA) ist ein umfassendes Datenschutzgesetz, das die persönlichen Daten der Einwohner des Bundesstaates schützt.

In diesem Leitfaden erkläre ich Ihnen, welche Arten von Unternehmen das neue Datenschutzgesetz von Nebraska einhalten müssen, wie sich das neue Gesetz auf Unternehmen und Verbraucher auswirkt und welche Bußgelder und Strafen für Verstöße gegen Teile des Gesetzes vorgesehen sind.

Inhaltsübersicht
  1. Was ist das Nebraska Data Privacy Act (NDPA)?
  2. NDPA Schlüsselbegriffe und Definitionen
  3. Was deckt das Nebraska-Datenschutzgesetz ab?
  4. Anforderungen des Nebraska Data Privacy Act
  5. Nebraskas Datenschutzgesetz im Vergleich zu anderen Bundesstaaten: Gemeinsamkeiten und Unterschiede
  6. Wie wird sich das NDPA auf die Verbraucher auswirken?
  7. Für wen gilt das NDPA?
  8. Welche Auswirkungen hat das NDPA auf die Unternehmen?
  9. Wer muss sich an das neue Datenschutzgesetz von Nebraska halten?
  10. Wie können sich Unternehmen auf das NDPA vorbereiten?
  11. Wie wird das NDPA durchgesetzt?
  12. Geldbußen und Strafen nach dem Nebraska Data Privacy Act
  13. Wie Termly bei der Einhaltung des NDPA hilft
  14. Gibt es noch andere Datenschutzgesetze in Nebraska?
  15. Zusammenfassung

Was ist das Nebraska Data Privacy Act (NDPA)?

Das NDPA ist das erste umfassende Verbraucherdatenschutzgesetz in Nebraska und der siebzehnte Bundesstaat, der ein solches Gesetz in den USA verabschiedet hat.

Es enthält Richtlinien dafür, wie Einrichtungen personenbezogene Daten von Einwohnern des Bundesstaates sammeln, verarbeiten und nutzen können.

Das Gesetz gibt den Verbrauchern auch neue Rechte und Kontrollmöglichkeiten über ihre Daten und legt die Strafen für Verstöße gegen Teile des Gesetzes fest.

NDPA Datum des Inkrafttretens

Das neue Datenschutzgesetz von Nebraska trat am 1. Januar 2025 in Kraft.

NDPA Schlüsselbegriffe und Definitionen

Im Folgenden habe ich einige Schlüsselbegriffe aus dem NDPA mit den genauen Definitionen aus dem Gesetzestext aufgeführt.

Was deckt das Nebraska-Datenschutzgesetz ab?

Das NDPA gilt für die personenbezogenen Daten von Einwohnern des Bundesstaates Nebraska.

Sie schließt jedoch mehrere Arten von Daten aus, einschließlich, aber nicht beschränkt auf, die folgenden:

  • Geschützte Gesundheitsinformationen gemäß dem Health Insurance Portability and Accountability Act (HIPAA)
  • Gesundheitsdaten
  • Patientenidentifizierende Informationen für bestimmte Zwecke
  • Identifizierbare private Informationen, die für die Zwecke der Bundespolitik zum Schutz von Menschen oder der vom Internationalen Rat für die Harmonisierung der technischen Anforderungen an Humanarzneimittel herausgegebenen Leitlinien für die gute klinische Praxis erhoben werden

Anforderungen des Nebraska Data Privacy Act

Im Folgenden werde ich Ihnen einige der wichtigsten Anforderungen des neuen Datenschutzgesetzes von Nebraska erläutern.

Rechtmäßige Grundlage für die Datenverarbeitung

Gemäß Abschnitt 12 des NDPA müssen Unternehmen die Datenverarbeitung auf das beschränken, was vernünftigerweise notwendig ist, um die Zwecke der Verarbeitung zu erreichen, die dem Verbraucher mitgeteilt wurden.

Sie müssen die Zustimmung der Verbraucher einholen, wenn Sie Informationen außerhalb dieses Rahmens sammeln oder Kategorien sensibler personenbezogener Daten sammeln und verarbeiten wollen.

Zustimmung

Die Einwilligung nach dem NDPA muss frei, ausdrücklich, in Kenntnis der Sachlage und unmissverständlich erteilt werden, und der Verbraucher muss seine Einwilligung durch eine eindeutige, bestätigende Handlung zum Ausdruck bringen.

Mit anderen Worten, das NDPA beschreibt eine Art von Opt-in-Zustimmung und stellt klar, dass das Überfahren, Stummschalten, Anhalten oder Schließen von Inhalten keine Zustimmung darstellt.

Die Verwendung von dunklen Mustern oder verworrenen Zustimmungsmechanismen mit weit gefassten Nutzungsbedingungen wird ebenfalls nicht als ordnungsgemäß eingeholte Zustimmung betrachtet.

Überprüfbare Verbraucheranfragen

Nach dem NDPA können Verbraucher jederzeit einen nachprüfbaren Antrag an einen für die Verarbeitung Verantwortlichen stellen, damit dieser ihre verschiedenen Datenschutzrechte wahrnimmt.

Der für die Verarbeitung Verantwortliche hat dann 45 Tage nach Erhalt der Anfrage Zeit, diese zu beantworten, wobei diese Frist je nach Komplexität der Anfrage um weitere 45 Tage verlängert werden kann.

Die Informationen müssen dem Verbraucher bis zu zwei Mal im Kalenderjahr kostenlos zur Verfügung gestellt werden.

Universelle Opt-Out-Mechanismen

Das NDPA ermöglicht es den Verbrauchern, verifizierte Anträge zur Ausübung ihrer Datenschutzrechte zu stellen, indem sie eine Technologie wie den universellen Opt-out-Mechanismus (UOOM) verwenden.

Nach diesem Gesetz müssen Unternehmen sicherstellen, dass ihre Websites Zustimmungssignale von UOOM-Technologien wie Global Privacy Control(GPC) lesen können, die automatisch die Entscheidung eines Nutzers, gezielte Werbung und den Verkauf seiner Daten abzulehnen, an die von ihm besuchten Websites weiterleiten.

Anforderungen an Datensicherheit und -schutz

Unternehmen, die personenbezogene Daten im Rahmen des NDPA sammeln, müssen technische, administrative und physische Datensicherheitspraktiken einführen, umsetzen und aufrechterhalten, um die Vertraulichkeit, Integrität und Zugänglichkeit der Daten zu schützen.

Vertragliche Verpflichtungen zwischen für die Verarbeitung Verantwortlichen und Auftragsverarbeitern

Die für die Datenverarbeitung Verantwortlichen im Sinne des NDPA müssen mit allen Datenverarbeitern Verträge abschließen, in denen alle folgenden Einzelheiten aufgeführt sind:

  • Klare Anweisungen für die Datenverarbeitung.
  • Die Art und der Zweck der Verarbeitung.
  • Die Art der Daten, die Gegenstand der Verarbeitung sind.
  • Die Dauer der Bearbeitung.
  • Die Rechte und Pflichten der beiden Parteien.
  • Stellen Sie sicher, dass alle beteiligten Parteien zur Vertraulichkeit der Daten verpflichtet sind.
  • Die Verpflichtung des Auftragsverarbeiters, nach Vertragsende alle Daten zu löschen oder auf Wunsch an den für die Verarbeitung Verantwortlichen zurückzugeben, es sei denn, die Aufbewahrung ist gesetzlich vorgeschrieben.
  • Der Auftragsverarbeiter muss dem für die Verarbeitung Verantwortlichen alle Daten zur Verfügung stellen, um die Einhaltung des NDPA nachzuweisen.
  • Der Auftragsverarbeiter muss alle angemessenen Beurteilungen durch den für die Verarbeitung Verantwortlichen oder dessen Prüfer zulassen und daran mitwirken.
  • Alle Unterauftragnehmer müssen einen Vertrag unterzeichnen, der dieselben Richtlinien enthält.

Datenschutz-Bewertungen

Das NDPA verlangt von den Unternehmen, dass sie bei jeder der folgenden Verarbeitungstätigkeiten von personenbezogenen Daten eine Datenschutzbewertung durchführen:

  • Verarbeitung von Daten zum Zwecke der gezielten Werbung
  • Der Verkauf von personenbezogenen Daten
  • Verarbeitung von Daten zum Zwecke der Profilerstellung
  • Verarbeitung sensibler Daten
  • Alle Verarbeitungstätigkeiten, die ein erhöhtes Risiko für einen Verbraucher darstellen

Bei der Bewertung müssen die Risiken und Vorteile der Verarbeitung ermittelt und gegeneinander abgewogen werden, wobei Folgendes zu berücksichtigen ist

  • Die Verwendung de-identifizierter Daten
  • Die Erwartungen der Verbraucher
  • Der Kontext der Verarbeitung
  • Die Beziehung zwischen dem für die Verarbeitung Verantwortlichen und dem Verbraucher

Um diesen Teil des NDPA zu erfüllen, kann ein für die Verarbeitung Verantwortlicher eine einzige Datenschutzbeurteilung verwenden, die durchgeführt wird, um andere Datenschutzgesetze mit demselben oder einem strengeren Schutzniveau einzuhalten.

Nebraskas Datenschutzgesetz im Vergleich zu anderen Bundesstaaten: Gemeinsamkeiten und Unterschiede

Mehrere andere US-Bundesstaaten haben ebenfalls Datenschutzgesetze erlassen, darunter die folgenden:

In der nachstehenden Tabelle können Sie diese Gesetze mit dem NDPA vergleichen.

Staatliches Recht Opt-in-Einwilligung für bestimmte Arten der Datenverarbeitung Opt-out-Zustimmung für bestimmte Arten der Datenverarbeitung Muss den Nutzern eine Datenschutzrichtlinie (oder einen Hinweis) zur Verfügung stellen Erfordert Datenschutzbeurteilungen Umreißt vertragliche Verpflichtung mit Drittverarbeitern Ermöglicht zivilrechtliche Klagen oder das Recht auf Privatklage Muss die globalen Datenschutzkontrollen/Browser-Datenschutzeinstellungen beachten
NDPA
CCPA/CPRA
CPA
CTDPA
DPDPA
FDBR
Indiana CDPA
Iowa CDPA
KCDPA
MCDPA
MODPA
NHDPL
NJDPA
OCPA
TIPA
TDPSA
UCPA
VCDPA

Wie wird sich das NDPA auf die Verbraucher auswirken?

Das NDPA hat Auswirkungen auf die Verbraucher, indem es ihnen neue Rechte und Kontrollmöglichkeiten in Bezug auf die Erhebung, Verarbeitung und Nutzung ihrer personenbezogenen Daten einräumt:

  • Bestätigen, ob ein für die Verarbeitung Verantwortlicher Daten über sie verarbeitet
  • Ungenauigkeiten in ihren Daten zu korrigieren
  • die von ihnen bereitgestellten oder über sie erhaltenen Daten zu löschen
  • eine tragbare Kopie ihrer Daten zu erhalten
  • Abmeldung von gezielter Werbung
  • dem Verkauf ihrer Daten widersprechen
  • Abmeldung vom Profiling

Für wen gilt das NDPA?

Das neue Datenschutzgesetz von Nebraska gilt nur für Einwohner des Bundesstaates, die als Einzelpersonen oder Haushalte handeln.

Sie gilt nicht für alle Personen, die in diesem Staat in einem kommerziellen oder arbeitsrechtlichen Kontext handeln.

Welche Auswirkungen hat das NDPA auf die Unternehmen?

Zusätzlich zu den rechtlichen Anforderungen, die ich bereits in diesem Leitfaden behandelt habe, hat das NDPA auch Auswirkungen auf die Datenschutz- und Cookie-Richtlinien von Unternehmen.

Wie wirkt sich der NDPA auf meine Datenschutzrichtlinie aus?

Das NDPA wirkt sich auf die Datenschutzrichtlinien von Unternehmen aus, indem es sie verpflichtet, die folgenden Angaben zu machen:

  • Die Kategorien der verarbeiteten personenbezogenen Daten, einschließlich aller sensiblen Daten
  • Der Zweck der Verarbeitung
  • Wie Verbraucher ihre Rechte wahrnehmen können und wie sie gegen die Entscheidung eines für die Verarbeitung Verantwortlichen über ihren Antrag Widerspruch einlegen können
  • Jede Kategorie personenbezogener Daten, die an Dritte weitergegeben wird, falls zutreffend
  • Jede Kategorie von Dritten, an die die Daten weitergegeben werden, falls zutreffend
  • eine Beschreibung der einzelnen im Gesetz vorgeschriebenen Verfahren, mit denen ein Verbraucher nachprüfbare Anträge zur Wahrnehmung seiner Rechte stellen kann

Wie wirkt sich das NDPA auf meine Cookie-Richtlinie aus?

Das NDPA wirkt sich auf verschiedene Weise auf die Cookie-Richtlinien aus und verlangt von den Unternehmen, dass sie den Nutzern eine genaue Richtlinie vorlegen und ihnen angemessene Kontrollen für die Verwaltung ihrer Zustimmung bieten.

Aufgrund der gesetzlichen Meldepflicht müssen Unternehmen aktuelle und genaue Cookie-Richtlinien haben, damit die Einwohner von Nebraska wissen, ob und zu welchem Zweck Cookies personenbezogene Daten von ihnen sammeln.

Die Verbraucher haben nach dem Gesetz auch das Recht, bestimmte Arten der Datenverarbeitung abzulehnen, die häufig durch das Hinterlassen von Cookies auf den Browsern der Nutzer erfolgen, wie z. B. gezielte Werbung und den Verkauf von Daten.

Wer muss sich an das neue Datenschutzgesetz von Nebraska halten?

Ihr Unternehmen muss das NDPA einhalten, wenn Sie in Nebraska geschäftlich tätig sind oder Waren oder Dienstleistungen herstellen, die von Einwohnern des Bundesstaates konsumiert werden und:

  • personenbezogene Daten verarbeitet oder sich am Verkauf von personenbezogenen Daten beteiligt und
  • kein Kleinunternehmen im Sinne des bundesstaatlichen Small Business Act ist

Durch den Verweis auf den Small Business Act ähnelt dieses Gesetz dem Texas Data Privacy and Security Act.

Wer ist von dem NDPA ausgenommen?

Die folgenden Einrichtungen sind vom NDPA ausgenommen:

  • Staatliche Behörde oder politische Untergliederung des Staates.
  • Finanzinstitut, verbundenes Unternehmen eines Finanzinstituts oder Daten, die unter Titel V des Gramm-Leach-Bliley Act (GLBA) fallen.
  • Abgedeckte Einrichtung oder Geschäftspartner, die den vom United States Department of Health and Human Services herausgegebenen Vorschriften zum Datenschutz, zur Sicherheit und zur Meldung von Datenschutzverletzungen unterliegen.
  • Gemeinnützige Organisationen.
  • Institution der höheren Bildung.
  • Elektrizitätsversorger oder Lieferant von Elektrizität.
  • Öffentliches Erdgasversorgungsunternehmen oder Erdgasversorgungsunternehmen, das sich im Besitz einer Stadt oder eines Stadtversorgungsbezirks befindet oder von einer Stadt betrieben wird.

Wie können sich Unternehmen auf das NDPA vorbereiten?

Um sich auf das NDPA vorzubereiten, sollten Unternehmen planen, ihre Datenschutz- und Cookie-Richtlinien zu aktualisieren, um alle vom Gesetz geforderten Benachrichtigungsrichtlinien zu erfüllen.

Sie sollten auch dafür sorgen, dass den Verbrauchern zwei oder mehr Möglichkeiten zur Verfügung stehen, um ihre Datenschutzrechte wahrzunehmen, z. B. einDSAR-Formular (Data Subject Access), ein Einwilligungsbanner oder eine aktive E-Mail-Adresse.

Es ist auch eine gute Idee, Ihre Website so vorzubereiten, dass sie UOOMs wie GPC anerkennt, um den Nutzern eine überprüfbare Möglichkeit zu bieten, ihre Opt-out-Rechte wahrzunehmen.

Wie wird das NDPA durchgesetzt?

Der Generalstaatsanwalt hat die ausschließliche Befugnis, das NDPA durchzusetzen.

Sie können eine zivilrechtliche Untersuchung einleiten, wenn sie begründeten Anlass zu der Annahme haben, dass eine Einrichtung gegen das Gesetz verstößt.

Die Unternehmen haben eine 30-tägige Frist, um angebliche Verstöße zu beheben.

Einzelpersonen haben jedoch kein privates Klagerecht nach diesem Gesetz.

Geldbußen und Strafen nach dem Nebraska Data Privacy Act

Geldstrafen für Verstöße gegen das NDPA können bis zu 7.500 Dollar pro Verstoß betragen.

Wie Termly bei der Einhaltung des NDPA hilft

Termly hilft bei der Einhaltung des NDPA, da unser Datenschutzerklärung Generator die gesetzlich vorgeschriebenen Benachrichtigungen enthält.

Unterstützt von unserem Rechtsteam und unseren Datenschutzexperten stellt der Generator einfache Fragen zu Ihrem Unternehmen und erstellt auf der Grundlage Ihrer Antworten eine einzigartige, umfassende Richtlinie.

Wir bieten auch eine consent management platform (CMP) an, die so konfiguriert werden kann, dass sie die gesetzlichen Opt-out-Anforderungen erfüllt.

Es enthält ein kostenloses DSAR-Formular, mit dem Sie den Nutzern eine einfache Möglichkeit bieten können, ihre Datenschutzrechte wahrzunehmen.

In Nebraska gibt es noch einige andere Gesetze zum Schutz der Privatsphäre, darunter die folgenden:

Zusammenfassung

Wenn Ihr Unternehmen das neue Datenschutzgesetz von Nebraska einhalten muss, sind nur wenige Schritte nötig, um sich erfolgreich zu positionieren.

Bereiten Sie sich darauf vor, Ihre Cookie- und Datenschutzrichtlinien zu aktualisieren, um sicherzustellen, dass sie korrekt sind und alle Benachrichtigungsanforderungen erfüllen, wenn Sie sie den Nutzern vorlegen, und stellen Sie Ihren Nutzern ein DSAR-Formular oder eine E-Mail zur Verfügung, damit sie einfach verifizierte Anfragen stellen können, um ihre Rechte durchzusetzen.

Vergewissern Sie sich, dass Ihre Website bereit ist, die von UOOMs gesendeten Einverständniserklärungen zu berücksichtigen, und richten Sie geeignete Sicherheitstechniken zum Schutz der von Ihnen erfassten personenbezogenen Daten ein.

Vereinfachen Sie die Einhaltung von Gesetzen wie dem NDPA und anderen, indem Sie Termly's Datenschutzerklärung Generator und CMP verwenden.

Anokhy Desai CIPP/US, CIPT, CIPM
Mehr über die Autorin

Geschrieben von Anokhy Desai CIPP/US, CIPT, CIPM

Anokhy ist Anwältin für Datenschutz mit Erfahrung in den Bereichen Datenschutz und Cybersicherheit im öffentlichen und privaten Sektor. Als ehemalige Westin Fellow bei der IAPP veröffentlichte sie mehrere Artikel, White Papers und Infografiken und leitete, koordinierte und moderierte Webinare und Diskussionsrunden zu den Themen Datenschutz und Datenschutztechnologie in den USA. Anokhy erwarb ihren Master an der Carnegie Mellon University und ihren Juris Doctor an der University of Pittsburgh. Mehr über die Autorin

Verwandte Artikel

Weitere Artikel ansehen