Startseite   ›   Ressourcen   ›   Artikel   ›   New Jersey Data Privacy Act: First...

New Jersey-Datenschutzgesetz: Erster Blick & Zusammenfassung

Abgedeckt durch Termly

von: Josh Langeland, CIPM Josh Langeland, CIPM | Aktualisiert am: Januar 21, 2025

Kostenlose Datenschutzerklärung erstellen
New-Jersey-Datenschutz-Gesetz-NJDPA-01

Am 16. Januar 2024 unterzeichnete der Gouverneur von New Jersey die Senate Bill 332, den New Jersey Data Privacy Act (NJDPA), der nun in Kraft getreten ist.

Das NJDPA umreißt den Schutz der Privatsphäre und die Rechte der Einwohner des Bundesstaates.

In diesem Leitfaden erkläre ich, was das NJDPA verlangt, wie es sich auf Unternehmen und Verbraucher auswirkt und welche Schritte Sie unternehmen müssen, um die Vorschriften zu erfüllen.

Inhaltsübersicht
  1. Was ist der New Jersey Data Privacy Act (NJDPA)?
  2. NJDPA Schlüsselbegriffe und Definitionen
  3. Was deckt der New Jersey Data Privacy Act ab?
  4. Anforderungen des New Jersey Data Privacy Act
  5. New Jerseys Datenschutzgesetz im Vergleich zu anderen Staaten: Gemeinsamkeiten und Unterschiede
  6. Welche Auswirkungen hat das NJDPA auf die Verbraucher?
  7. Für wen gilt das NJDPA?
  8. Welche Auswirkungen hat das NJDPA auf Unternehmen?
  9. Wer muss sich an das neue Datenschutzgesetz von New Jersey halten?
  10. Wie können sich Unternehmen auf das NJDPA vorbereiten?
  11. Wie wird das NJDPA durchgesetzt?
  12. Geldbußen und Strafen gemäß dem New Jersey Data Privacy Act
  13. Wie Termly bei der Einhaltung des NJDPA hilft
  14. Gibt es noch andere Datenschutzgesetze in New Jersey?
  15. Zusammenfassung

Was ist der New Jersey Data Privacy Act (NJDPA)?

Der New Jersey Data Privacy Act ist ein umfassendes Gesetz zum Schutz der Verbraucherdaten auf bundesstaatlicher Ebene.

Es schützt die persönlichen Daten der Bürger des Staates und beschreibt die Verpflichtungen, Anforderungen und Richtlinien, die kommerzielle Einrichtungen bei der Erfassung und Nutzung dieser Daten befolgen müssen.

Außerdem werden die Strafen und Auswirkungen von Verstößen gegen das Gesetz dargelegt.

NJDPA Datum des Inkrafttretens

Das NJPDA trat am 15. Januar 2025 in Kraft.

NJDPA Schlüsselbegriffe und Definitionen

Damit Ihr Unternehmen die Bestimmungen des NJDPA einhalten kann, sollten Sie die folgende Liste der wichtigsten Begriffe und Definitionen genau so lesen, wie sie in dem Gesetz erscheinen:

Diese Begriffe werden im weiteren Verlauf dieses Leitfadens unter Berücksichtigung dieser Definitionen verwendet.

Was deckt der New Jersey Data Privacy Act ab?

Der New Jersey Data Privacy Act gilt für personenbezogene Daten von Einwohnern New Jerseys und nicht für Personen, die in diesem Bundesstaat im Rahmen eines Beschäftigungsverhältnisses tätig sind.

Anforderungen des New Jersey Data Privacy Act

Gehen wir die wichtigsten geschäftlichen Anforderungen des neuen Datenschutzgesetzes von New Jersey durch.

Rechtmäßige Zwecke für die Verarbeitung personenbezogener Daten

Gemäß dem NJDPA müssen die für die Verarbeitung Verantwortlichen die Erhebung personenbezogener Daten auf das beschränken, was für die dem Verbraucher mitgeteilten Verarbeitungszwecke angemessen, relevant und vernünftigerweise erforderlich ist.

Der für die Verarbeitung Verantwortliche muss die Zustimmung der Verbraucher einholen, um Informationen zu sammeln, die nicht in diesen Bereich fallen, und um sensible personenbezogene Daten zu sammeln und zu verarbeiten.

Zustimmung

Nach dem NJDPA muss die Zustimmung erfolgen:

  • Klar
  • Bestätigend
  • Freigegeben
  • Spezifische
  • Informiert

Mit anderen Worten, das Gesetz verlangt eine Zustimmung, die auch eine schriftliche Erklärung auf elektronischem Wege umfassen kann.

Die Einwilligung darf jedoch nicht die Annahme allgemeiner oder weit gefasster Nutzungsbedingungen oder ähnlicher Dokumente beinhalten oder sich auf dunkle Muster stützen, die darauf abzielen, die Autonomie und Wahlfreiheit des Nutzers durch Techniken wie das Bewegen des Mauszeigers über eine Schaltfläche, das Stummschalten, Anhalten oder Schließen eines Inhalts zu manipulieren.

Überprüfbare Verbraucheranfragen

Gemäß dem NJDPA müssen Organisationen zwei oder mehr Möglichkeiten für Einzelpersonen bereitstellen, um nachprüfbare Verbraucheranfragen zur Wahrnehmung ihrer Datenschutzrechte zu stellen.

Sie können jede beliebige Methode verwenden, dürfen aber nicht verlangen, dass ein Verbraucher ein Konto einrichtet.

Sobald Sie einen Antrag auf Datenschutzrechte erhalten, haben Sie 45 Tage Zeit, um dem Verbraucher zu antworten. Je nach Komplexität der Anfrage kann diese Frist um weitere 45 Tage verlängert werden, wenn dies angemessen ist.

Die Antwort muss dem Verbraucher kostenlos zur Verfügung gestellt werden. Sie sind jedoch nicht verpflichtet, auf wiederholte identische Anfragen innerhalb eines Zeitraums von 12 Monaten zu antworten.

Die Unternehmen müssen außerdem ein Verfahren einrichten, mit dem die Verbraucher die Entscheidung des für die Verarbeitung Verantwortlichen auf der Grundlage ihrer Anträge anfechten können.

Berücksichtigung von universellen Opt-Out-Mechanismen

Das NJDPA enthält Bestimmungen, die es den Verbrauchern ermöglichen, über eine Technologie, einen Link auf der Website, eine Browsereinstellung oder -erweiterung oder eine globale Einstellung auf einem elektronischen Gerät verifizierte Anfragen zur Durchsetzung ihrer Datenschutzrechte zu stellen.

Mit anderen Worten: Organisationen, die unter dieses Gesetz fallen, müssen sicherstellen, dass ihre Websites die mit universellen Opt-out-Mechanismen (UOOMs) wie Global Privacy Control(GPC) eingestellten Einwilligungspräferenzen der Nutzer empfangen und berücksichtigen können.

Die UOOM-Anforderungen treten spätestens sechs Monate nach dem Inkrafttreten des neuen Gesetzes in Kraft.

Vertragliche Verpflichtungen zwischen für die Verarbeitung Verantwortlichen und Auftragsverarbeitern

Die für die Verarbeitung Verantwortlichen und die Auftragsverarbeiter im Sinne des NJDPA müssen beide Verträge unterzeichnen, in denen Folgendes festgehalten ist:

  • Legt die Verarbeitungsanweisungen fest, an die der Verarbeiter gebunden ist, einschließlich der Art und des Zwecks der Verarbeitung.
  • Auflistung der Arten von personenbezogenen Daten, die Gegenstand der Verarbeitung sind, und der Dauer der Verarbeitung.
  • Nennt die vom NJDPA auferlegten Anforderungen.
  • Beauftragt den Auftragsverarbeiter, alle Daten nach Beendigung der Dienste nach dem Ermessen des für die Verarbeitung Verantwortlichen zu löschen oder zurückzugeben.
  • Der Auftragsverarbeiter ist verpflichtet, dem für die Verarbeitung Verantwortlichen alle Informationen zur Verfügung zu stellen, die für den Nachweis der Einhaltung der Rechtsvorschriften erforderlich sind.
  • Der Auftragsverarbeiter ist verpflichtet, angemessene Bewertungen und Inspektionen durch den für die Verarbeitung Verantwortlichen oder einen von ihm benannten Prüfer zuzulassen und dazu beizutragen.

Datenschutz-Bewertungen

Teile des NJDPA verlangen von den betroffenen Unternehmen die Durchführung von Datenschutzbeurteilungen oder DPAs, wenn sie Informationen verarbeiten, die ein erhöhtes Risiko eines Schadens für die Verbraucher darstellen können.

Bei der Bewertung werden insbesondere die Risiken und Vorteile der Erfassung und Verarbeitung dieser Informationen ermittelt und abgewogen und berücksichtigt:

  • Die Verwendung de-identifizierter Daten
  • Angemessene Erwartungen der Verbraucher
  • Der Kontext der Verarbeitung
  • Die Beziehung zwischen dem für die Verarbeitung Verantwortlichen und dem Verbraucher

Alle DPAs müssen der Abteilung für Verbraucherangelegenheiten im Ministerium für Recht und öffentliche Sicherheit auf Anfrage zur Verfügung gestellt werden.

Anforderungen an Sicherheit und Schutz

Der NJDPA schreibt den für die Verarbeitung Verantwortlichen vor, angemessene Maßnahmen zu ergreifen, um technische, administrative und physische Datensicherheitspraktiken einzuführen, umzusetzen und aufrechtzuerhalten.

Die Sicherheitsmaßnahmen müssen dem Umfang der erfassten Daten und der Sensibilität der Informationen selbst Rechnung tragen.

New Jerseys Datenschutzgesetz im Vergleich zu anderen Staaten: Gemeinsamkeiten und Unterschiede

New Jersey reiht sich damit in eine Reihe von US-Bundesstaaten ein, die über umfassende Gesetze zum Schutz der Verbraucherdaten verfügen:

Vergleichen Sie das NJDPA mit diesen anderen Gesetzen auf US-Bundesebene in der nachstehenden Tabelle.

Staatliches Recht Opt-in-Einwilligung für bestimmte Arten der Datenverarbeitung Opt-out-Zustimmung für bestimmte Arten der Datenverarbeitung Muss den Nutzern eine Datenschutzrichtlinie (oder einen Hinweis) zur Verfügung stellen Erfordert Datenschutzbeurteilungen Umreißt vertragliche Verpflichtung mit Drittverarbeitern Ermöglicht zivilrechtliche Klagen oder das Recht auf Privatklage Muss die globalen Datenschutzkontrollen/Browser-Datenschutzeinstellungen beachten
NJDPA
CCPA/CPRA
CPA
CTDPA
DPDPA
FDBR
Indiana CDPA
Iowa CDPA
KCDPA
MN CDPA
MT CDPA
MODPA
NHDPL
OCPA
TIPA
TDPSA
UCPA
VCDPA

Welche Auswirkungen hat das NJDPA auf die Verbraucher?

Der New Jersey Data Privacy Act gibt Verbrauchern das Recht auf:

  • Bestätigen, ob ein für die Verarbeitung Verantwortlicher ihre Daten sammelt
  • Zugang zu den über sie gesammelten persönlichen Daten.
  • Ungenauigkeiten in ihren persönlichen Daten zu korrigieren.
  • ihre persönlichen Daten zu löschen.
  • Beschaffen Sie sich eine tragbare Kopie ihrer persönlichen Daten.
  • der Verarbeitung ihrer Daten für gezielte Werbung zu widersprechen
  • dem Verkauf ihrer Daten widersprechen.
  • Abmeldung vom Profiling.
  • Nichtdiskriminierung bei der Wahrnehmung ihrer Datenschutzrechte.

Die Verbraucher können nachprüfbare Anträge stellen, um ihre Rechte über einen Bevollmächtigten wahrzunehmen, wozu auch universelle Opt-out-Mechanismen wie Global Privacy Control(GPC) gehören.

Für wen gilt das NJDPA?

Der New Jersey Data Privacy Act gilt für die personenbezogenen Daten der Einwohner von New Jersey.

Sie gilt jedoch nicht für:

  • Öffentlich zugängliche und de-identifizierte Daten.
  • Gesundheitsinformationen, die durch das U.S. Department of Health and Human Services geschützt sind.
  • Persönlich identifizierbare Informationen, die von bestimmten Verbrauchermeldeagenturen verwendet werden.
  •  Daten, die im Rahmen von Forschungsarbeiten erhoben und verwendet werden, die mit der Bundesrichtlinie zum Schutz von Menschen in Einklang stehen.

Welche Auswirkungen hat das NJDPA auf Unternehmen?

Neben den Sicherheitsanforderungen, den vertraglichen Verpflichtungen und den Richtlinien zur Datenschutzbeurteilung hat das Datenschutzgesetz von New Jersey auch Auswirkungen auf den Datenschutz und die Cookie-Richtlinien.

Wie wirkt sich das NJPDA auf meine Datenschutzpolitik aus?

Das neue Datenschutzgesetz von New Jersey hat Auswirkungen auf Ihre Datenschutzpolitik.

Nach dem NJPDA müssen Betreiber, die über einen Online-Dienst personenbezogene Daten erheben, den Verbrauchern eine Benachrichtigung über den Online-Dienst (auch bekannt als Datenschutzrichtlinie) zur Verfügung stellen, die unter anderem Folgendes enthält

  • Die Kategorien der über den Online-Dienst erhobenen personenbezogenen Daten.
  • Die Kategorien aller Dritten, an die der Betreiber die Informationen weitergeben kann.
  • Wenn der Dritte im Laufe der Zeit personenbezogene Daten über verschiedene Online-Dienste sammelt.
  • Eine Beschreibung, wie Einzelpersonen ihre gesammelten Informationen überprüfen oder ändern können.
  • Die Art und Weise, wie der Betreiber die Nutzer über Änderungen der Richtlinien und das Datum des Inkrafttretens informieren wird.

Darüber hinaus verpflichtet das Gesetz die Unternehmen, einen separaten Abschnitt in ihre Datenschutzrichtlinien aufzunehmen, in dem eine oder mehrere Methoden erläutert werden, mit denen die Verbraucher nachprüfbare Anträge auf Durchsetzung ihrer Datenschutzrechte stellen können.

Wie wirkt sich das NJDPA auf meine Cookie-Richtlinie aus?

Das NJDPA wirkt sich auf die Cookie-Richtlinien aus, da die Nutzer nach dem Gesetz das Recht haben, gezielte Werbung und den Verkauf ihrer Daten abzulehnen, wozu auch die mithilfe von Internet-Cookies erfassten Daten gehören.

Sie müssen alle Cookies, die Ihre Website verwendet, in einer transparenten Cookie-Richtlinie und als Klausel in Ihrer Datenschutzrichtlinie offenlegen.

Stellen Sie sicher, dass Sie erklären, wie die Nutzer sich dagegen entscheiden können, dass Cookies, die verkauft oder für gezielte Werbung verwendet werden, in ihrem Browser abgelegt werden.

Wer muss sich an das neue Datenschutzgesetz von New Jersey halten?

Unternehmen, die in New Jersey geschäftlich tätig sind oder Produkte und Dienstleistungen herstellen, die sich an Einwohner des Bundesstaates richten, und die in einem Kalenderjahr einen der folgenden Schwellenwerte erreichen, müssen das NJDPA befolgen:

  • die personenbezogenen Daten von 100.000 Personen kontrolliert oder verarbeitet, mit Ausnahme der Daten, die ausschließlich zum Zweck der Abwicklung eines Zahlungsvorgangs verarbeitet werden.
  • die personenbezogenen Daten von mindestens 25.000 Personen kontrolliert oder verarbeitet und Einnahmen aus dem Verkauf dieser Informationen erzielt oder einen Preisnachlass dafür erhält.

Wer ist von dem NJDPA ausgenommen?

Die folgenden Einrichtungen und Organisationen sind vom NJDPA ausgenommen:

  • Betroffene Einrichtungen oder Geschäftspartner, die geschützte Gesundheitsinformationen (PHI) verarbeiten und dem "Health Insurance Portability and Accountability Act (HIPAA)" unterliegen
  • Finanzinstitute, die den Bestimmungen des Gramm-Leach Bliley Act(GLBA) unterliegen
  • Sekundärmarktinstitutionen, wie sie im United States Code als vom Kongress gecharterte Institutionen bezeichnet werden, die Transaktionen durchführen, aber keine personenbezogenen Daten an Dritte weitergeben oder verkaufen.
  • Versicherungsinstitute, die dem Gesetz über Informationspraktiken im Versicherungswesen unterliegen.
  • Der Verkauf personenbezogener Daten durch die New Jersey Motor Vehicle Commission, wie er durch das Bundesgesetz zum Schutz der Privatsphäre von Fahrern erlaubt ist.
  • Alle staatlichen Behörden, politischen Untergliederungen, Abteilungen, Gremien, Ämter, Kommissionen oder sonstigen von einer politischen Untergliederung geschaffenen Einrichtungen.

Wie können sich Unternehmen auf das NJDPA vorbereiten?

Um dem NJPDA zu entsprechen, sollten Unternehmen ihre Datenschutz- und Cookie-Richtlinien aktualisieren, um alle im Gesetz festgelegten Benachrichtigungsanforderungen zu erfüllen.

Einholung einer angemessenen Zustimmung der Verbraucher zur Verarbeitung sensibler personenbezogener Daten und bei Bedarf Durchführung von Datenschutzbewertungen.

Bieten Sie Ihren Nutzern außerdem zwei oder mehr Möglichkeiten, dem Verkauf ihrer Daten, gezielter Werbung und der Profilerstellung zu widersprechen und ihre anderen Datenschutzrechte wahrzunehmen.

Sie können zum Beispiel ein Formular für den Antrag auf Zugang zu personenbezogenen Daten(DSAR) auf Ihrer Website einrichten.

Schließlich sollten Sie Ihre Website darauf vorbereiten, auf UOOMs wie GPCs vor der Frist 2025 zu reagieren.

Wie wird das NJDPA durchgesetzt?

Das Büro des Generalstaatsanwalts von New Jersey hat die alleinige und ausschließliche Befugnis, Verstöße gegen das neue Datenschutzgesetz von New Jersey zu verfolgen.

In den ersten 18 Monaten, in denen das Gesetz in Kraft tritt, werden die Kontrolleure, die gegen das Gesetz verstoßen, benachrichtigt und erhalten eine 30-tägige Frist zur Behebung.

Solange der Verstoß innerhalb dieses Zeitrahmens behoben wird, werden keine Sanktionen verhängt.

Geldbußen und Strafen gemäß dem New Jersey Data Privacy Act

Derzeit liegen keine Informationen über die Geldbußen und Strafen für Verstöße gegen das NJDPA vor.

Der Text stellt jedoch klar, dass die Verbraucher kein privates Klagerecht haben.

Wie Termly bei der Einhaltung des NJDPA hilft

Um Unternehmen bei der Einhaltung des NJDPA zu unterstützen, haben wir unsere Website Datenschutzerklärung Generator aktualisiert, um alle erforderlichen Klauseln und Informationen gemäß dem Gesetz aufzunehmen.

Unterstützt von unserem Rechtsteam und unseren Datenschutzexperten stellt der Generator einfache Fragen zu Ihrem Unternehmen und Ihren Datenverarbeitungsaktivitäten.

Auf der Grundlage Ihrer Antwort erstellt es dann eine konforme Police für Sie.

Wir bieten auch eine consent management platform (CMP) an, die Sie so konfigurieren können, dass sie die Opt-out-Anforderungen des Datenschutzgesetzes von New Jersey erfüllt.

Das NJDPA ist das erste umfassende Datenschutzgesetz in New Jersey, aber es gibt noch einige andere datenschutzbezogene Gesetze in diesem Bundesstaat:

Das NJDPA arbeitet mit diesen anderen Gesetzen zusammen, um den Schutz der Privatsphäre in diesem Bundesstaat zu verbessern.

Zusammenfassung

Wenn Ihr Unternehmen die gesetzlichen Schwellenwerte für das New Jersey Data Privacy Act erfüllt, stellen Sie sicher, dass Ihre Website oder App vollständig konform ist.

Aktualisieren Sie Ihre Cookie- und Datenschutzrichtlinien, um alle gesetzlichen Meldepflichten zu erfüllen, und richten Sie Ihre Website so ein, dass UOOMs vor dem Stichtag im Juli 2025 anerkannt werden.

Fügen Sie Ihrer Website ein DSAR-Formular hinzu und denken Sie daran, mit allen Datenverarbeitern oder Dritten, mit denen Sie zusammenarbeiten, entsprechende Verträge zu schließen.

Verschaffen Sie sich einen Vorsprung und nutzen Sie unsere Datenschutzerklärung Generator und CMP, die Ihnen bei der Einhaltung des NJDPA und anderer Bestimmungen helfen können.

Josh Langeland, CIPM
Mehr über die Autorin

Geschrieben von Josh Langeland, CIPM

Hallo, ich bin Josh! Ich bin ein Privacy Engineer, der sich leidenschaftlich für den Einsatz von Technologie zur Wahrung der Privatsphäre der Nutzer einsetzt. Ich fühle mich an der Schnittstelle zwischen komplexer Technologie und sich ständig änderndem Datenschutzrecht wohl. Wenn ich nicht gerade eine Entwurfsprüfung durchführe oder ein System neu architektiere, lese ich vielleicht eine Biografie oder gehe im nächstgelegenen Nationalpark wandern. Mehr über die Autorin
termly-dashboard-add-privacy-policy-screenshot-with-green-checkmark

KOSTENLOSE Datenschutzerklärung erstellen

Erstellen Sie eine kostenlose und umfassende Datenschutzrichtlinie in wenigen Minuten!
Datenschutzerklärung kostenlos generieren

Verwandte Artikel

  1. Termly
    Termly vs. OneTrust: Funktionen und Dienstleistungen im Vergleich
    Vergleiche

    14. Februar 2025
    Ali Talip Pınarbaşı, CIPP/E, & LLM
  2. Was-ist-das-Oregon-Verbraucher-Datenschutz-Gesetz-(OCPA)-01
    Oregon Verbraucherschutzgesetz: Erster Blick & Zusammenfassung
    Artikel

    14. Februar 2025
    Josh Langeland, CIPM
  3. Was-ist-das-Florida-Datenschutzgesetz-(FDBR)-01
    Florida Digital Bill of Rights: Erster Blick & Zusammenfassung
    Artikel

    14. Februar 2025
    Josh Langeland, CIPM
  4. COPPA-Leitfaden zur Einhaltung des Datenschutzgesetzes für Kinder im Internet-01
    COPPA: Gesetz zum Schutz der Privatsphäre von Kindern im Internet erklärt
    Artikel

    13. Februar 2025
    Josh Langeland, CIPM
  5. Was-ist-das-Texas-Datenschutz-und-Sicherheits-Gesetz-(TDPSA)-01
    Gesetz zum Datenschutz und zur Datensicherheit in Texas: Erster Blick & Zusammenfassung
    Artikel

    10. Februar 2025
    Josh Langeland, CIPM
  6. Indiana-Verbraucherdatenschutzgesetz-First-Look-&-Summary-01
    Indiana Verbraucherdatenschutzgesetz: Erster Blick & Zusammenfassung
    Artikel

    10. Februar 2025
    Stefani Schmidt, M.S., CIPM, CIPP-US
  7. 8-Rechtliche-Anforderungen-für-E-Mail-Marketing-01
    8 Rechtliche Anforderungen für E-Mail-Marketing
    Artikel

    7. Februar 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  8. CCPA-vs-CPRA-Was Unternehmen wissen müssen-01
    CCPA vs. CPRA: Was ist anders und was ist gleich?
    Artikel

    6. Februar 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  9. Was-ist-Zuständigkeits-Management-01
    Verwaltung von Einwilligungen: Vereinfachter Leitfaden für Unternehmen
    Artikel

    4. Februar 2025
    Teodor Stanciu, CIPP/E, CIPM

Weitere Artikel ansehen