Oregon Verbraucherschutzgesetz: Erster Blick & Zusammenfassung

Abgedeckt durch Termly

von: Josh Langeland, CIPM Josh Langeland, CIPM | Aktualisiert am: Februar 14, 2025

Kostenlose Datenschutzerklärung erstellen
Was-ist-das-Oregon-Verbraucher-Datenschutz-Gesetz-(OCPA)-01

Der Oregon Consumer Privacy Act (OCPA) ist jetzt in Kraft getreten und ähnelt anderen bestehenden Gesetzen der US-Bundesstaaten, unterscheidet sich aber insofern, als er für einige gemeinnützige Organisationen gilt.

Im Folgenden erfahren Sie alles über das neue Datenschutzgesetz in Oregon, einschließlich der Verpflichtungen für Unternehmen, der Verbraucherrechte, der Strafen für Verstöße gegen das Gesetz und vieles mehr.

Inhaltsübersicht
  1. Was ist das Oregon Consumer Privacy Act (OCPA)?
  2. OCPA Schlüsselbegriffe und Definitionen
  3. Was deckt das Oregon Consumer Privacy Act ab?
  4. Anforderungen des Oregon Consumer Privacy Act
  5. Das Datenschutzgesetz von Oregon im Vergleich zu anderen Bundesstaaten: Gemeinsamkeiten und Unterschiede
  6. Wie wird sich das OCPA auf die Verbraucher auswirken?
  7. Für wen gilt das OCPA?
  8. Welche Auswirkungen hat das OCPA auf die Unternehmen?
  9. Wer muss sich an das neue Datenschutzgesetz von Oregon halten?
  10. Wie können sich Unternehmen auf das OCPA vorbereiten?
  11. Wie wird das OCPA durchgesetzt?
  12. Bußgelder und Strafen gemäß dem Oregon Consumer Protection Act
  13. Wie kann Termly bei der Einhaltung des OCPA helfen?
  14. Gibt es in Oregon noch andere Datenschutzgesetze?
  15. Zusammenfassung

Was ist das Oregon Consumer Privacy Act (OCPA)?

Der Oregon Consumer Privacy Act (OCPA), ursprünglich Oregon Bill 619, ist ein neues Gesetz, das im US-Bundesstaat Oregon verabschiedet wurde.

Sie beschreibt die Pflichten bei der Erhebung und Verarbeitung personenbezogener Daten von Verbrauchern in Oregon und gewährt ihnen Rechte und Kontrolle über die Verwendung dieser Daten.

Außerdem werden Sanktionen für Verstöße gegen das Gesetz festgelegt.

OCPA Datum des Inkrafttretens

Die meisten Teile des OCPA sind am 1. Juli 2024 in Kraft getreten, aber es gibt noch weitere wichtige Termine:

  • Die Bestimmungen über gemeinnützige Organisationen treten am 1. Juli 2025 in Kraft,
  • Die Anforderung an Unternehmen, Opt-out-Präferenzsignale über die Browser der Nutzer zu erkennen, wird am 1. Januar 2026 durchsetzbar.
  • Die 30-tägige OCPA-Frist endet ebenfalls am 1. Januar 2026.

OCPA Schlüsselbegriffe und Definitionen

Um das OCPA einhalten zu können, müssen Sie einige Schlüsselbegriffe verstehen, die im gesamten Gesetz verwendet werden. Ich habe sie daher im Folgenden genau so aufgeführt, wie sie in Abschnitt 1 des neuen Datenschutzgesetzes von Oregon erscheinen:

Was deckt das Oregon Consumer Privacy Act ab?

Das neue Datenschutzgesetz von Oregon gilt für die persönlichen Daten von natürlichen Personen, die ihren Wohnsitz in diesem Bundesstaat haben, mit Ausnahme von Personen, die in einem kommerziellen oder arbeitsrechtlichen Kontext handeln.

Eine natürliche Person im rechtlichen Sinne ist ein lebender Mensch, unabhängig von seiner Staatsangehörigkeit.

Anforderungen des Oregon Consumer Privacy Act

Das OCPA enthält mehrere rechtliche Anforderungen, die alle unter das Gesetz fallenden Einrichtungen erfüllen müssen und die ich im nächsten Abschnitt näher erläutern werde.

Rechtsgrundlage für die Verarbeitung personenbezogener Daten

Gemäß Abschnitt 5 des OCPA dürfen Einrichtungen nur personenbezogene Daten verarbeiten, die für die in ihrer Datenschutzerklärung beschriebenen Zwecke "angemessen, relevant und vernünftigerweise notwendig" sind.

Der Rechtsakt verbietet es dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter jedoch nicht:

  • Vorbeugung, Aufdeckung, Reaktion auf und Untersuchung von Bedrohungen der Cybersicherheit, wie Identitätsdiebstahl, Betrug, Belästigung oder andere illegale Aktivitäten
  • Erkennen von technischen Fehlern in Informationssystemen, die die Funktionalität beeinträchtigen
  • Durchführung interner Forschungsarbeiten zur Entwicklung neuer Dienstleistungen oder Technologien
  • Ermittlungen zur Feststellung, Einleitung oder Abwehr von Rechtsansprüchen
  • Durchführung interner Vorgänge, die in angemessener Weise auf die Erwartungen der Verbraucher abgestimmt sind, die diese aufgrund ihrer bestehenden Beziehung zum für die Verarbeitung Verantwortlichen erwarten können

Sie verbietet es den für die Verarbeitung Verantwortlichen oder den Auftragsverarbeitern auch nicht, einzel- oder bundesstaatliche Gesetze einzuhalten.

Zustimmung

Um personenbezogene Daten zu verarbeiten, die über den Rahmen dessen hinausgehen, was als vernünftigerweise notwendig angesehen wird, müssen Unternehmen die aktive Zustimmung der Verbraucher einholen.

Die gleichen Zustimmungsrichtlinien gelten, wenn Sie sensible Daten sammeln und verarbeiten wollen.

Das OCPA beschreibt in Abschnitt 1 des Gesetzes eindeutig, was eine Einwilligung ist und was nicht:

  • Der Verbraucher muss eine eindeutige, bestätigende Maßnahme anbieten
  • Die Zustimmung muss eindeutig und in Kenntnis der Sachlage erfolgen
  • Der Zustimmungsmechanismus darf ihre Entscheidungsfindung nicht verschleiern, untergraben oder beeinträchtigen
  • Sie müssen eine einfache und ähnliche Möglichkeit vorsehen, die Zustimmung jederzeit zu widerrufen.

Die Untätigkeit des Verbrauchers gilt nicht als Zustimmung.

Außerdem müssen Sie die aktive Zustimmung eines Erziehungsberechtigten einholen, um Daten von Kindern unter dreizehn Jahren zu verarbeiten, auch für gezielte Werbung oder den Verkauf ihrer Informationen.

Personenbezogene Daten und Sicherheitsverpflichtungen

Eine weitere Anforderung des OCPA ist der angemessene Schutz der Integrität, Vertraulichkeit und Sicherheit der erhobenen personenbezogenen Daten, wie in Abschnitt 5, Teil 1 (c) beschrieben.

Insbesondere müssen die für die Datenverarbeitung Verantwortlichen nach diesem Gesetz Sicherheitspraktiken einführen, umsetzen und aufrechterhalten, die den im Oregon Revised Statute Chapter 646A.622 beschriebenen Standards entsprechen.

Sie beschreibt die administrativen, organisatorischen und physischen Sicherheitsmaßnahmen, die Sie im Umgang mit persönlichen Daten von Verbrauchern anwenden sollten, um diese vor unbefugtem Zugriff oder Verstößen zu schützen.

Vertragliche Verpflichtungen mit Drittverarbeitern

Die für die Datenverarbeitung Verantwortlichen und die Auftragsverarbeiter müssen rechtsgültige Verträge mit spezifischen Leitlinien und Klauseln abschließen.

Das Gesetz erklärt, dass nichts in Abschnitt 6 den für die Verarbeitung Verantwortlichen oder den Auftragsverarbeiter von der Haftung nach den Abschnitten 1 bis 9 des OCPA befreit.

Datenschutz-Bewertungen

Für bestimmte Datenverarbeitungsaktivitäten, die ein erhöhtes Risiko für Verbraucher darstellen, müssen Sie eine Datenschutzbewertung durchführen, wie in Abschnitt 8 des OCPA erläutert.

Nach dem Gesetz stellen alle der folgenden Punkte ein erhöhtes Risiko dar:

  • Verarbeitung von Daten für gezielte Werbung
  • Verarbeitung sensibler Daten
  • Verkauf von personenbezogenen Daten
  • Verwendung personenbezogener Daten zum Zwecke der Profilerstellung, die vorhersehbare Risiken wie unfaire Behandlung, Schädigung der Kunden oder Verletzung der Privatsphäre birgt.

Sie können eine einzige Datenschutzbeurteilung verwenden, wenn die Tätigkeiten ein ähnliches Schadensrisiko für die Verbraucher bergen.

Sie sollte den Nutzen der Datenverarbeitung für den für die Verarbeitung Verantwortlichen, den Verbraucher, andere Interessengruppen und die Öffentlichkeit gegenüber den möglichen Risiken für den Verbraucher ermitteln und abwägen.

Sie sollte auch berücksichtigen:

  • Bestehende Sicherheitsmaßnahmen oder Schutzvorkehrungen
  • Wie deidentifizierte Daten die Risiken verringern können
  • Die berechtigten Erwartungen der Verbraucher
  • Der Kontext, in dem Sie die Daten verarbeiten
  • Das Verhältnis zwischen dem für die Verarbeitung Verantwortlichen und den Verbrauchern, deren personenbezogene Daten der für die Verarbeitung Verantwortliche verarbeiten wird

Anerkennung von universellen Opt-Out-Mechanismen

Unternehmen, die unter das OCPA fallen, müssen Browsererweiterungen und globale Datenschutzeinstellungen als die vom Verbraucher benannten, bevollmächtigten Vertreter seiner Datenschutzrechte anerkennen, wie in Abschnitt 4, Teil 4 des Gesetzes erläutert.

Universelle Opt-out-Mechanismen wie Global Privacy Control (GPC) ermöglichen es den Verbrauchern, die Opt-out-Präferenzen in ihren Browsern automatisch mitzuteilen.

Solange sie kommerziell durchführbar ist, muss diese Technologie gewürdigt werden.

Obwohl der größte Teil des OCPA im Jahr 2024 in Kraft tritt, wird dieser Teil des Textes erst im Jahr 2026 vollstreckbar.

Das Datenschutzgesetz von Oregon im Vergleich zu anderen Bundesstaaten: Gemeinsamkeiten und Unterschiede

Der OCPA gehört zu den folgenden Datenschutzgesetzen der US-Bundesstaaten, die in Kraft sind oder kürzlich verabschiedet wurden:

In der nachstehenden Tabelle können Sie diese Gesetze mit dem OCPA vergleichen.

Staatliches Recht Opt-in-Einwilligung für bestimmte Arten der Datenverarbeitung Opt-out-Zustimmung für bestimmte Arten der Datenverarbeitung Muss den Nutzern eine Datenschutzrichtlinie (oder einen Hinweis) zur Verfügung stellen Erfordert Datenschutzbeurteilungen Umreißt vertragliche Verpflichtung mit Drittverarbeitern Ermöglicht zivilrechtliche Klagen oder das Recht auf Privatklage Muss die globalen Datenschutzkontrollen/Browser-Datenschutzeinstellungen beachten
OCPA
CCPA/CPRA
CPA
CTDPA
DPDPA
FDBR
Indiana CDPA
Iowa CDPA
KCDPA
MN CDPA
MT CDPA
MODPA
NHDPL
NJDPA
TIPA
TDPSA
UCPA
VCDPA

Wie wird sich das OCPA auf die Verbraucher auswirken?

Nach dem OCPA haben die Verbraucher neue Rechte und die Kontrolle darüber, wie Unternehmen ihre personenbezogenen Daten verarbeiten und nutzen.

Gemäß Abschnitt 3 des Textes können die Verbraucher:

  • Bestätigen Sie, ob ein für die Verarbeitung Verantwortlicher personenbezogene Daten über Sie verarbeitet oder verarbeitet hat und welche Datenkategorien dies sind.
  • Eine Liste der spezifischen Dritten, an die die Daten weitergegeben werden.
  • Eine Kopie aller verarbeiteten oder in Bearbeitung befindlichen personenbezogenen Daten.
  • Ungenauigkeiten in ihren persönlichen Daten zu korrigieren.
  • von einem für die Verarbeitung Verantwortlichen die Löschung ihrer personenbezogenen Daten zu verlangen, einschließlich der Daten, die der Verbraucher dem für die Verarbeitung Verantwortlichen übermittelt hat, und der Daten, die er aus einer anderen Quelle erhalten hat.
  • Sie können sich gegen gezielte Werbung, den Verkauf ihrer Daten oder die Profilerstellung entscheiden.

Für wen gilt das OCPA?

Das OCPA gilt für natürliche Personen in Oregon, die sich dort nur zu gewerblichen oder privaten Zwecken aufhalten.

Sie gilt nicht für Personen, die sich zu gewerblichen oder beruflichen Zwecken im Land aufhalten.

Welche Auswirkungen hat das OCPA auf die Unternehmen?

Das neue Datenschutzgesetz von Oregon wirkt sich auf verschiedene Weise auf Unternehmen aus, die über die bereits erwähnten Sicherheitsanforderungen, vertraglichen Verpflichtungen und Datenschutzbewertungsstandards hinausgehen.

Der OCPA wirkt sich auch auf Ihre Datenschutzpolitik aus und kann Ihre Verwendung von Internet-Cookies beeinflussen.

Wie wirkt sich der OCPA auf meine Datenschutzrichtlinie aus?

Gemäß Abschnitt 5, Teil 4 des Oregon Consumer Privacy Act müssen die für die Verarbeitung Verantwortlichen den Verbrauchern einen "vernünftig zugänglichen, klaren und aussagekräftigen Datenschutzhinweis" vorlegen, der spezifische Informationen enthält:

  • Eine Liste der Kategorien personenbezogener Daten, einschließlich aller verarbeiteten sensiblen Daten
  • Beschreibung der Zwecke, zu denen der für die Verarbeitung Verantwortliche die Daten verarbeitet
  • Erläuterung, wie die Verbraucher ihre Rechte wahrnehmen können und wie sie gegen die Ablehnung dieser Anträge durch den für die Verarbeitung Verantwortlichen Widerspruch einlegen können
  • Eine Liste aller Kategorien personenbezogener Daten, die an Dritte weitergegeben werden, einschließlich sensibler Daten
  • Beschreibung der Kategorien von Dritten, mit denen Sie personenbezogene Daten austauschen
  • Eine aktive E-Mail-Adresse oder eine Online-Methode, mit der die Verbraucher den für die Verarbeitung Verantwortlichen kontaktieren können
  • Jeder Geschäftsname, unter dem der Kontrolleur beim Secretary of State eingetragen ist, sowie alle angenommenen Geschäftsnamen, die der Kontrolleur in dem Bundesstaat verwendet
  • Eine Beschreibung jeglicher Verarbeitung personenbezogener Daten für gezielte Werbung oder Profiling, der der Verbraucher widersprechen kann
  • Beschreibung der Methode(n), die der für die Verarbeitung Verantwortliche für die Einreichung von Anträgen zur Durchsetzung der Rechte der Verbraucher eingerichtet hat

Wie wirkt sich der OCPA auf meine Cookie-Richtlinie aus?

Das neue Datenschutzgesetz von Oregon kann sich auf Ihre Cookie-Richtlinie auswirken, insbesondere wenn Sie Informationen über Verbraucher verkaufen, die durch Cookies gesammelt wurden, oder diese für gezielte Werbung verwenden.

Nach dem OCPA haben die Verbraucher das Recht, der Verwendung ihrer Daten auf eine dieser Arten zu widersprechen.

Wenn Sie Cookies für einen dieser Zwecke verwenden, müssen Sie Ihre Verbraucher deutlich darüber informieren und ihnen eine einfache Möglichkeit bieten, diese Verarbeitung zu widerrufen.

Wer muss sich an das neue Datenschutzgesetz von Oregon halten?

Gemäß Abschnitt 2(1) des OCPA müssen Sie dieses Gesetz einhalten, wenn Sie in Oregon geschäftlich tätig sind oder Produkte oder Dienstleistungen für Einwohner des Staates anbieten und innerhalb eines Kalenderjahres einen der folgenden Punkte erfüllen:

  • personenbezogene Daten von 100.000 oder mehr Verbrauchern kontrolliert oder verarbeitet, mit Ausnahme von Daten, die ausschließlich zur Abwicklung von Zahlungsvorgängen kontrolliert oder verarbeitet werden
  • Persönliche Daten von 25.000 oder mehr Verbrauchern kontrolliert oder verarbeitet und 25 % oder mehr des jährlichen Bruttoumsatzes aus dem Verkauf von persönlichen Daten erzielt

Wer ist von dem OCPA ausgenommen?

Die einzigen gemeinnützigen Organisationen, die von der Einhaltung des OCPA ausgenommen sind, sind Organisationen, die speziell betrügerische Aktivitäten aufdecken und verhindern oder Fernseh- oder Radiosender mit Programmen versorgen, einschließlich der nichtkommerziellen Aktivitäten:

  • Journalisten
  • FCC-lizenzierte Radio- oder Fernsehsender
  • Einrichtungen, die einen Informationsdienst anbieten, wie z. B. Presseverbände oder Informationsdienste

Außerdem gilt sie nicht für:

  • Öffentliche Körperschaften gemäß der Definition in den Oregon Revised Statutes, einschließlich der Oregon Health and Science University und der Oregon State Bar
  • Geschützte Gesundheitsdaten und betroffene Einrichtungen gemäß dem Health Insurance Portability and Accountability Act (HIPAA)
  • Informationen, die nur für Aktivitäten und Zwecke der öffentlichen Gesundheit verwendet werden
  • Finanzinstitute oder ihre verbundenen Unternehmen oder Tochtergesellschaften gemäß dem Gramm Leach Bliley Act (GLBA)
  • Versicherer und Versicherungsproduzenten mit Ausnahme von Personen, die allein oder zusammen mit anderen ein Selbstversicherungsprogramm einrichten und unterhalten und ansonsten keine Versicherungsverträge abschließen
  • Informationen, die ausschließlich für die Beschäftigung oder Geschäftsbeziehung einer Person verarbeitet oder aufbewahrt werden

Wie können sich Unternehmen auf das OCPA vorbereiten?

Um Ihre Unternehmen auf das OCPA vorzubereiten, sollten Sie Ihre Datenschutzrichtlinien aktualisieren, um alle in Abschnitt 5, Teil 4 des Gesetzes genannten Informationspflichten zu erfüllen.

Bieten Sie den Verbrauchern in Oregon mehrere einfache Möglichkeiten, ihre Datenschutzrechte wahrzunehmen und Anträge zu stellen, z. B. durch eine Opt-out-Funktion auf Ihrem Einwilligungsbanner und durch das Hinzufügen von Formularen zur Beantragung von Datenzugang auf Ihrer Plattform.

Vergewissern Sie sich, dass die von Ihnen verwendeten Verträge die in Abschnitt 6 des Gesetzes erläuterten Einzelheiten erfüllen.

Für Einrichtungen, die Informationen verarbeiten wollen, die ein angemessenes Risiko eines Schadens für die Verbraucher darstellen, sind angemessene Datenschutzbewertungen gemäß Abschnitt 8 durchzuführen.

Schließlich muss Ihre Website bis 2026 die Datenschutzeinstellungen des Browsers berücksichtigen, da diese als anerkannte, überprüfbare Anträge auf Ausschluss der Verbraucherrechte gelten.

Wie wird das OCPA durchgesetzt?

Der Generalstaatsanwalt von Oregon ist für die Durchsetzung des OCPA zuständig, wie in Abschnitt 9 des Gesetzes erläutert.

Die AG kann eine Anfrage an jeden richten, der für eine Untersuchung relevante Informationen besitzt, kontrolliert oder speichert.

Es gibt eine 30-tägige Frist zur Behebung des Verstoßes nach Erhalt einer Benachrichtigung, und wenn diese Frist nicht eingehalten wird, kann dies zu Maßnahmen ohne weitere Benachrichtigung führen.

Die Heilungsfrist des OCPA läuft jedoch am 1. Januar 2026 ab.

Bußgelder und Strafen gemäß dem Oregon Consumer Protection Act

Unternehmen, die gegen das OCPA verstoßen, können mit Geldstrafen von bis zu 7.500 Dollar pro Verstoß belegt werden.

Wie in Abschnitt 11 beschrieben, verjähren die Sanktionen jedoch nach fünf Jahren, und die Verbraucher haben kein privates Klagerecht.

Wie kann Termly bei der Einhaltung des OCPA helfen?

Termly bietet Rechtsrichtlinien und Lösungen für die Verwaltung von Einwilligungen, die von unserem Rechtsteam und unseren Datenschutzexperten geprüft wurden, um Unternehmen bei der Vereinfachung des Compliance-Prozesses zu unterstützen.

Unser Datenschutzerklärung Generatorist zum Beispiel einfach zu bedienen und hilft Unternehmen, innerhalb von Minuten maßgeschneiderte, umfassende Datenschutzhinweise für ihre Plattformen zu erstellen.

Es stellt einfache Fragen zu Ihren Datenverarbeitungsaktivitäten und erstellt auf der Grundlage Ihrer Antworten eine Datenschutzrichtlinie.

Sehen Sie unten, wie es aussieht.

Termly-Datenschutz-Generator

Wir bieten auch eine Consent Management Platform (CMP) an, die ein Zustimmungsbanner enthält, das Sie so konfigurieren können, dass es die Opt-out-Anforderungen erfüllt, die in Gesetzen wie dem OCPA festgelegt sind.

Unten sehen Sie einen Screenshot unseres CMP.

Termly-Consent-Management-Plattform

Geben Sie Ihre Website-URL ein

Um Ihnen dabei zu helfen, eine Cookie-Richtlinie zu erstellen, die mit der weltweiten Gesetzgebung konform ist, müssen wir zunächst Ihre Website auf Cookies untersuchen.

Das Oregon Consumer Privacy Act ist zwar das erste Gesetz des Bundesstaates, das die persönlichen Daten von Verbrauchern im Internet schützt, aber es gibt noch weitere datenschutzrelevante Gesetze, wie das Oregon Consumer Privacy Act:

Weitere Informationen über diese und andere datenschutzrelevante Gesetze in Oregon finden Sie auf der Website des Justizministeriums.

Zusammenfassung

Wenn Ihr Unternehmen in den Geltungsbereich des OCPA fällt, sollten Sie Ihre Rechtsrichtlinien aktualisieren, um alle im Gesetz festgelegten Benachrichtigungsrichtlinien zu erfüllen.

Hinzufügen von Opt-out-Optionen für Verbraucher, damit sie ihre Rechte wahrnehmen können, und gegebenenfalls Durchführung angemessener Datenschutzbewertungen.

Denken Sie daran, ein DSAR-Formular oder einen anderen Mechanismus in Ihre Plattform einzubauen, damit die Nutzer die Durchsetzung ihrer Rechte beantragen können, und stellen Sie sicher, dass Ihre Website die Allgemeinen Geschäftsbedingungen vor 2026 einhält.

Lassen Sie sich nicht von der Konformität verwirren, sondern nehmen Sie Termly in Ihren Werkzeugkasten auf. Wir halten Ihnen den Rücken frei!

Josh Langeland, CIPM
Mehr über die Autorin

Geschrieben von Josh Langeland, CIPM

Hallo, ich bin Josh! Ich bin ein Privacy Engineer, der sich leidenschaftlich für den Einsatz von Technologie zur Wahrung der Privatsphäre der Nutzer einsetzt. Ich fühle mich an der Schnittstelle zwischen komplexer Technologie und sich ständig änderndem Datenschutzrecht wohl. Wenn ich nicht gerade eine Entwurfsprüfung durchführe oder ein System neu architektiere, lese ich vielleicht eine Biografie oder gehe im nächstgelegenen Nationalpark wandern. Mehr über die Autorin

Verwandte Artikel

Weitere Artikel ansehen