Im Jahr 2023 befasste sich der Gesetzgeber mit dem Gesetzentwurf Nr. 1201 - dem Pennsylvania Consumer Data Privacy Act -, der die Anforderungen an die Verarbeitung personenbezogener Daten durch Unternehmen beschreibt und den Verbrauchern Rechte in Bezug auf ihre Daten einräumt.
In diesem Leitfaden erfahren Sie mehr über das vorgeschlagene, aber gescheiterte Datenschutzgesetz von Pennsylvania, für wen es gegolten hätte und welche Auswirkungen es auf Unternehmen hätte, wenn es in Kraft getreten wäre.
UPDATE: Die Gesetzesvorlage Nr. 1201 wurde nicht verabschiedet, und Pennsylvania verfügt derzeit über kein umfassendes landesweites Gesetz zum Schutz der Privatsphäre der Verbraucher.
- Was war das Pennsylvania Consumer Data Privacy Act (PCDPA)?
- Was deckt der Pennsylvania Consumer Data Privacy Act ab?
- Anforderungen des PCDPA
- Das Datenschutzgesetz von Pennsylvania im Vergleich zu anderen staatlichen Gesetzen: Gemeinsamkeiten und Unterschiede
- Wie würde sich das PCDPA auf die Verbraucher auswirken?
- Welche Auswirkungen hätte das Gesetz zum Schutz der Verbraucherdaten in Pennsylvania auf die Unternehmen gehabt?
- Wer muss sich an das Datenschutzgesetz von Pennsylvania halten?
- Wie würde das PCDPA durchgesetzt werden?
- Geldbußen und Strafen nach dem Pennsylvania Consumer Data Privacy Act
- Wie Termly bei der Einhaltung von Vorschriften hilft
- Gibt es in Pennsylvania noch andere Datenschutzgesetze?
- Zusammenfassung
Was war das Pennsylvania Consumer Data Privacy Act (PCDPA)?
Der Pennsylvania Consumer Data Privacy Act(PCDPA) war ein Gesetzentwurf, der durch das Repräsentantenhaus von Pennsylvania ging.
Es wäre das erste umfassende Verbraucherdatenschutzgesetz des Bundesstaates geworden, wurde aber nicht verabschiedet.
Es legt die Anforderungen für Einrichtungen fest, die personenbezogene Daten von Einwohnern Pennsylvanias erfassen, verarbeiten und nutzen wollen, und räumt dem Einzelnen Rechte und eine gewisse Kontrolle über seine Daten ein.
PCDPA Schlüsselbegriffe und Definitionen
Um das gescheiterte Datenschutzgesetz von Pennsylvania besser verstehen zu können, sollten wir uns einige Schlüsselbegriffe und Definitionen genau so ansehen, wie sie im Text des Gesetzes stehen:
Was deckt der Pennsylvania Consumer Data Privacy Act ab?
Das PCDPA hätte die personenbezogenen Daten der Einwohner des Staates Pennsylvania erfasst.
Sie schloss niemanden im Staat ein, der im Rahmen eines Arbeitsverhältnisses oder einer gewerblichen Tätigkeit handelt.
Insbesondere dann, wenn Transaktionen mit einem für die Verarbeitung Verantwortlichen ausschließlich im Rahmen der Funktion einer Person bei einem Unternehmen oder einer anderen Einrichtung stattfanden, waren sie ebenfalls ausgeschlossen:
- Mitarbeiter
- Eigentümer
- Direktoren
- Beamte
- Auftragnehmer eines Unternehmens
- Partnerschaften
- Einzelfirmen
- Gemeinnützige Organisationen
- Staatliche Stellen
Anforderungen des PCDPA
Unternehmen, die nach dem PCDPA als für die Verarbeitung Verantwortliche gelten, hätten mehrere Anforderungen erfüllen müssen, die ich im Folgenden näher erläutere.
Pflichten der für die Datenverarbeitung Verantwortlichen
Nach Abschnitt 5 des Datenschutzgesetzes von Pennsylvania wären die für die Verarbeitung Verantwortlichen angewiesen worden, die Erhebung personenbezogener Daten auf das zu beschränken, was für die Zwecke der dem Verbraucher mitgeteilten Verarbeitung vernünftigerweise als notwendig erachtet wird.
Wenn ein für die Verarbeitung Verantwortlicher zusätzliche Informationen sammeln wollte, die über diesen Rahmen hinausgehen, hätte er die Zustimmung des Verbrauchers einholen müssen.
Eine Zustimmung wäre auch erforderlich gewesen, um sensible personenbezogene Daten oder Informationen über ein bekanntes Kind zu verarbeiten.
Zustimmung
Im PCDPA wurde die Zustimmung in Abschnitt 2 des Gesetzes klar definiert.
Sie erklärte, dass es sich um eine klare, bestätigende Handlung eines Verbrauchers handeln muss, die er freiwillig für einen bestimmten, eindeutigen Zweck gibt.
Die Zustimmung nach diesem Gesetzentwurf könnte eine schriftliche Erklärung beinhalten, auch auf elektronischem Wege.
Sie kann jedoch nicht die Annahme sehr allgemeiner oder weit gefasster Bedingungen oder irreführender Praktiken wie z. B.:
- Mit der Maus über den Inhalt fahren
- Etwas stummschalten
- Pausieren von Inhalten
- Schließen eines Pop-up-Fensters
Vertragliche Verpflichtungen zwischen für die Datenverarbeitung Verantwortlichen und Auftragsverarbeitern
Gemäß Abschnitt 6 des PCDPA müssen die für die Verarbeitung Verantwortlichen und die Auftragsverarbeiter spezielle Verträge unterzeichnen, in denen die Tätigkeiten des Auftragsverarbeiters geregelt sind:
- Sicherstellung, dass der Verarbeiter zur Vertraulichkeit der personenbezogenen Daten verpflichtet ist
- Aufforderung an den Auftragsverarbeiter, alle Daten auf Anweisung des für die Verarbeitung Verantwortlichen zu löschen oder zurückzugeben, sofern die Aufbewahrung nicht gesetzlich vorgeschrieben ist
- Bereitstellung aller Daten für den für die Verarbeitung Verantwortlichen zum Nachweis der Einhaltung des Gesetzes auf angemessene Anfrage
- Aufforderung an alle Unterauftragnehmer, einen Vertrag zu unterzeichnen, der ähnliche Verpflichtungen enthält
- Verpflichtung des Auftragsverarbeiters, angemessene Bewertungen durch den für die Verarbeitung Verantwortlichen oder den benannten Prüfer zuzulassen und daran mitzuwirken, um sicherzustellen, dass die Verarbeitung den PCDPA-Standards entspricht
Datenschutz-Bewertungen
In Abschnitt 7 des Gesetzentwurfs werden auch die Anforderungen für die Durchführung von Datenschutzbewertungen festgelegt.
Sie erklärte, dass die für die Verarbeitung Verantwortlichen eine dieser Bewertungen durchführen und dokumentieren müssen, wenn ihre Verarbeitungstätigkeiten ein erhöhtes Risiko eines Schadens für die Verbraucher darstellen.
Der für die Verarbeitung Verantwortliche müsste die Vorteile und Risiken, die sich auf die Verbraucherrechte auswirken könnten, ermitteln und gegeneinander abwägen sowie alle Schutzmaßnahmen zur Abschwächung oder Verringerung dieser Risiken ergreifen.
Die Unternehmen wären verpflichtet gewesen, alle folgenden Punkte in die Bewertung einzubeziehen:
- Die Verwendung de-identifizierter Daten
- Die berechtigten Erwartungen des Verbrauchers
- Der Kontext der Datenverarbeitung und die Beziehung zwischen für die Verarbeitung Verantwortlichen und Verbrauchern
Universelle Opt-Out-Mechanismen
Wäre das PCDPA Gesetz geworden, wären die betroffenen Unternehmen verpflichtet gewesen, bis 2026 die von den Browsern der Verbraucher festgelegten universellen Opt-out-Mechanismen (UooM) zu beachten.
Der Gesetzentwurf besagt, dass zugelassene UooM-Technologien, wie Global Privacy Control (GPC), folgende Kriterien erfüllen müssen:
- Keine unfaire Benachteiligung eines anderen Kontrolleurs
- keine Standardeinstellung zu verwenden, sondern den Verbraucher zu verpflichten, sich frei gegen die Verarbeitung oder den Verkauf seiner Daten zu entscheiden.
- Verbraucherfreundlich und benutzerfreundlich sein
- Sie müssen mit anderen ähnlichen Plattformen, Technologien oder Mechanismen übereinstimmen.
- Ermöglicht es dem für die Verarbeitung Verantwortlichen festzustellen, ob der Verbraucher in Pennsylvania ansässig ist oder nicht.
Das Datenschutzgesetz von Pennsylvania im Vergleich zu anderen staatlichen Gesetzen: Gemeinsamkeiten und Unterschiede
Das Datenschutzgesetz von Pennsylvania ist nicht in Kraft getreten, aber diese anderen Gesetze sind derzeit in Kraft oder werden in naher Zukunft in Kraft treten:
- California Consumer Protection Act (CCPA), geändert durch den California Privacy Rights Act (CPRA ) - derzeit in Kraft
- Colorado Privacy Act (CPA) - derzeit in Kraft
- Connecticut Data Privacy Act (CTDPA) - derzeit in Kraft
- Delaware Personal Data Privacy Act (DPDPA) - derzeit in Kraft
- Florida Digital Bill of Rights (FDBR ) - derzeit in Kraft
- Iowa Consumer Data Protection Act (Iowa CDPA) - derzeit in Kraft
- Verbraucherdatenschutzgesetz von Indiana (Indiana CDPA) - gültig ab 1. Januar 2026
- Kentucky Consumer Data Protection Act (KCDPA) - gültig ab 1. Januar 2026
- Minnesota Consumer Data Privacy Act (MCDPA) - gültig ab 31. Juli 2025
- Maryland Online Data Protection Act (MODPA ) - gültig ab 1. Oktober 2025
- Montana Consumer Data Privacy Act (MCDPA) - derzeit in Kraft
- Nebraska Data Privacy Act (NDPA) - derzeit in Kraft
- New Hampshire Data Privacy Law (NHDPL) - derzeit in Kraft
- New Jersey Data Privacy Act (NJDPA) - derzeit in Kraft
- Oregon Consumer Privacy Act (OCPA) - derzeit in Kraft
- Tennessee Information Protection Act (TIPA) - gültig ab 1. Juli 2025
- Texas Data Privacy and Security Act (TDPSA) - derzeit in Kraft
- Utah Consumer Privacy Act (UCPA) - derzeit in Kraft
- Virginia Consumer Data Protection Act (VCDPA) - derzeit in Kraft
In der nachstehenden Tabelle können Sie einige dieser Gesetze mit dem PCDPA vergleichen.
| Staatliches Recht | Opt-in-Einwilligung für bestimmte Arten der Datenverarbeitung | Opt-out-Zustimmung für bestimmte Arten der Datenverarbeitung | Muss den Nutzern eine Datenschutzrichtlinie (oder einen Hinweis) zur Verfügung stellen | Erfordert Datenschutzbeurteilungen | Umreißt vertragliche Verpflichtung mit Drittverarbeitern | Ermöglicht zivilrechtliche Klagen oder das Recht auf Privatklage | Muss die globalen Datenschutzkontrollen/Browser-Datenschutzeinstellungen beachten |
|
PCDPA (Gesetzentwurf)
|
✓ | ✓ | ✓ | ✓ | ✓ | ||
| CCPA/CPRA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| CPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| CTDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| DPDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| FDBR | ✓ | ✓ | ✓ | ✓ | |||
| Indiana CDPA | ✓ | ✓ | ✓ | ✓ | |||
| Iowa CDPA | ✓ | ✓ | ✓ | ||||
| MCDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| ODPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| TIPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| TDPSA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| UCPA | ✓ | ✓ | ✓ | ||||
| VCDPA | ✓ | ✓ | ✓ | ✓ |
Wie würde sich das PCDPA auf die Verbraucher auswirken?
Wenn der Pennsylvania Consumer Data Privacy Act in Kraft getreten wäre, hätte er den Einwohnern des Bundesstaates bestimmte Rechte in Bezug auf die Verarbeitung und Verwendung ihrer Daten eingeräumt.
Nach Abschnitt 3 des Gesetzentwurfs hätten die Verbraucher die Möglichkeit gehabt:
- Bestätigen Sie, ob ein für die Verarbeitung Verantwortlicher ihre Daten verarbeitet.
- Korrektur von Ungenauigkeiten in ihren Daten.
- ihre persönlichen Daten zu löschen .
- Erhalten Sie eine Kopie ihrer Daten in einem portablen Format.
- Abmeldung von der Verarbeitung von Daten für zielgerichtete Werbung.
- dem Verkauf ihrer persönlichen Daten widersprechen .
- Opt-out des Profilings im Rahmen von ausschließlich automatisierten Entscheidungen, die rechtliche oder ähnlich erhebliche Auswirkungen haben.
Sie hätten diese Rechte über ein sicheres Verfahren wahrnehmen können, das von dem für die Verarbeitung Verantwortlichen eingerichtet und in dessen Datenschutzhinweis beschrieben wurde.
Für wen gilt das PCDPA?
Das PCDPA hätte nur für Einwohner des Staates Pennsylvania gegolten, die in einem persönlichen oder häuslichen Kontext handeln.
Sie hätte nicht für Personen gegolten, die in diesem Staat in einer kommerziellen oder beruflichen Funktion handeln.
Welche Auswirkungen hätte das Gesetz zum Schutz der Verbraucherdaten in Pennsylvania auf die Unternehmen gehabt?
Wäre das PCDPA ein Gesetz geworden, hätte es Auswirkungen auf die Unternehmen gehabt, die über die vertraglichen Verpflichtungen und Datenfolgenabschätzungen hinausgehen, über die wir bereits berichtet haben.
Außerdem wurden Leitlinien beschrieben, die sich auf den Datenschutz und die Cookie-Politik auswirken würden.
Wie würde sich der PCDPA auf meine Datenschutzpolitik auswirken?
Das PCDPA enthielt Informationspflichten, die sich auf den Inhalt der Datenschutzpolitik von Unternehmen ausgewirkt hätten.
Die für die Verarbeitung Verantwortlichen waren verpflichtet, den Verbrauchern einen Hinweis zu geben, in dem sie beschrieben werden:
- Die Kategorien der verarbeiteten personenbezogenen Daten
- Der Zweck der Verarbeitung der Daten
- Wie Verbraucher ihre Datenschutzrechte wahrnehmen und die Entscheidungen des für die Verarbeitung Verantwortlichen anfechten können
- Kategorien personenbezogener Daten, die mit jedem Dritten geteilt werden
- Die Kategorien der Dritten, mit denen der für die Verarbeitung Verantwortliche Daten austauscht
- Eine aktive E-Mail-Adresse oder Online-Mechanismen zur Kontaktaufnahme mit dem für die Verarbeitung Verantwortlichen
Darüber hinaus mussten die für die Verarbeitung Verantwortlichen offenlegen, ob sie beabsichtigen, personenbezogene Daten an Dritte zu verkaufen oder die Informationen für gezielte Werbung zu verwenden, und beschreiben, wie die Verbraucher dem widersprechen können.
Wie würde sich das PCDPA auf meine Cookie-Richtlinie auswirken?
Das PCDPA hätte sich auch auf die Cookie-Politik von Unternehmen ausgewirkt, wenn diese über Internet-Cookies gesammelte personenbezogene Daten verkaufen oder sie für gezielte Werbung verwenden würden.
Nach diesem Gesetzentwurf hätten die Verbraucher das Recht gehabt, sich gegen diese Datenverarbeitungsaktivitäten zu entscheiden, und die für die Verarbeitung Verantwortlichen wären verpflichtet gewesen, diese Informationen an ihre Verbraucher weiterzugeben.
Wer muss sich an das Datenschutzgesetz von Pennsylvania halten?
Sollte das PCDPA in Kraft treten, würde es für Unternehmen gelten, die gewinnorientiert sind, in diesem Bundesstaat tätig sind und einen der folgenden Standards erfüllen:
- einen Bruttojahresumsatz von 10.000.000 $ oder mehr erwirtschaftet haben
- die persönlichen Daten von mindestens 50.000 Verbrauchern, Haushalten oder Geräten zu kommerziellen Zwecken verkauft oder weitergegeben hat
- Mindestens 50 % des Jahresumsatzes aus dem Verkauf personenbezogener Daten erwirtschaftet
Wer war vom PCDPA ausgenommen?
Die folgenden Einrichtungen waren vom PCDPA ausgenommen, so wie es geschrieben war:
- Untergliederungen der Regierung des Bundesstaates Pennsylvania
- Gemeinnützige Organisationen
- Einrichtungen der Hochschulbildung
- Nationale Wertpapierverbände
- Finanzinstitute
- Betroffene Einrichtung oder Geschäftspartner
Wie würde das PCDPA durchgesetzt werden?
Gemäß Abschnitt 10 des PCDPA hätte der Generalstaatsanwalt das ausschließliche Recht gehabt, das potenzielle Gesetz durchzusetzen.
Geldbußen und Strafen nach dem Pennsylvania Consumer Data Privacy Act
In der Entwurfsfassung des PCDPA wurde kein Dollarbetrag oder eine Obergrenze für Bußgelder im Rahmen des Gesetzes festgelegt.
Es wurde jedoch klargestellt, dass Einwohner von Pennsylvania kein privates Klagerecht haben werden.
Wie Termly bei der Einhaltung von Vorschriften hilft
Termly bietet Lösungen für die Einhaltung von Vorschriften an, die Unternehmen dabei helfen, die Anforderungen zu erfüllen, die in den Gesetzen der US-Bundesstaaten festgelegt sind, die bereits verabschiedet wurden und derzeit in Kraft sind.
Das PCDPA wird zwar nicht mehr diskutiert, aber über zwanzig andere Staaten haben bereits Gesetze erlassen. Termly's Datenschutzerklärung Generator enthält derzeit die erforderlichen Klauseln und Informationen, die Ihnen helfen, die Verpflichtungen dieser und anderer Datenschutzgesetze aus aller Welt zu erfüllen.
Wie das aussieht, sehen Sie auf dem folgenden Screenshot.
Wir bieten auch eine Consent Management Platform (CMP), die so konfiguriert werden kann, dass sie die Opt-out-Anforderungen in über 70 Regionen weltweit erfüllt.
Sehen Sie sich den Screenshot unten an.
Gibt es in Pennsylvania noch andere Datenschutzgesetze?
Während die Gesetzgeber in Pennsylvania noch über die Verabschiedung eines umfassenden Datenschutzgesetzes debattieren, gibt es in dem Bundesstaat bereits andere damit zusammenhängende Rechtsvorschriften zum Schutz der Privatsphäre, wie etwa das:
- Pennsylvania Breach of Personal Information Notification Act: Verlangt von Unternehmen, Verbraucher zu benachrichtigen, wenn ihre Daten verletzt wurden oder Unbefugte auf sie zugegriffen haben.
- Gesetz zum Recht auf Wissen(RTKL): Gewährt den Einwohnern das Recht auf Zugang zu bestimmten Dokumenten, die sich im Besitz staatlicher oder lokaler Behörden befinden, was die Transparenz fördern soll.
Zusammenfassung
Das PCDPA ist jetzt nur noch ein gescheitertes Datenschutzgesetz, aber wir werden weiter beobachten, ob weitere relevante Gesetze von der Regierung des Bundesstaates Pennsylvania verabschiedet werden.
Mehrere andere Datenschutzgesetze auf Ebene der US-Bundesstaaten sind derzeit in Kraft, und die meisten von ihnen haben Auswirkungen auf die Datenschutz- und Cookie-Richtlinien und das Zustimmungsmanagement von Unternehmen.
Lösungen wie Termly tragen dazu bei, dass aktuelle und zukünftige Gesetze schnell, einfach und nahtlos eingehalten werden können.
Mehr über die Autorin
Geschrieben von Stefani Schmidt, M.S., CIPM, CIPP-US
Stefani ist eine Expertin für Datenschutz, Risiko, Compliance und Programmmanagement mit Erfahrung in der Kommunikations-, Finanz- und Werbebranche. Zu Stefanis früheren Erfahrungen gehört die enge Zusammenarbeit mit Interessenvertretern aus verschiedenen Abteilungen, um Datenschutzinitiativen in Unternehmen voranzutreiben, einschließlich der Arbeit an Datenschutz- und Sicherheitsprüfungen für neue Geschäftsinitiativen und Anbieter. Stefani hat einen M.S. in Sicherheitstechnologien von der University of Minnesota - Twin Cities und einen B.A. in Journalismus und Politikwissenschaften. Mehr über die Autorin
