Rhode Island hat im Juni 2024 offiziell ein umfassendes Gesetz zum Schutz der Verbraucherdaten verabschiedet, das Rhode Island Data Transparency and Privacy Protection Act (RIDTPPA).
In diesem Leitfaden fasse ich alles zusammen, was Unternehmen über das RIDTPPA wissen müssen, einschließlich der Anforderungen, der Rechte, die es den Verbrauchern einräumt, der Strafen bei Nichteinhaltung und mehr.
- Was ist das Rhode Island Data Transparency and Privacy Protection Act (RIDTPPA)?
- RIDTPPA Schlüsselbegriffe und Definitionen
- Was umfasst das Gesetz über Datentransparenz und Datenschutz in Rhode Island?
- Anforderungen des Rhode Island Data Transparency and Privacy Protection Act
- Das Gesetz über Datentransparenz und Datenschutz in Rhode Island im Vergleich zu anderen Staaten: Gemeinsamkeiten und Unterschiede
- Wie wird sich das RIDTPPA auf die Verbraucher auswirken?
- Für wen gilt das RIDTPPA?
- Welche Auswirkungen hat das RIDTPPA auf die Unternehmen?
- Wer muss sich an das neue Datenschutzgesetz von Rhode Island halten?
- Wie wird das RIDTPPA durchgesetzt?
- Geldbußen und Strafen gemäß dem Gesetz über Datentransparenz und Datenschutz in Rhode Island
- Wie kann Termly zur Einhaltung des RIDTPPA beitragen?
- Gibt es in Rhode Island noch andere Datenschutzgesetze?
- Zusammenfassung
Was ist das Rhode Island Data Transparency and Privacy Protection Act (RIDTPPA)?
Der Rhode Island Data Transparency and Privacy Protection Act (RIDTPPA) ist das neu verabschiedete Gesetz zum Schutz der Verbraucherdaten.
Es schützt die Art und Weise, wie personenbezogene Daten von Einwohnern von Rhode Island von externen Stellen erfasst, verarbeitet und verwendet werden, und gewährt Einzelpersonen verschiedene Rechte in Bezug auf ihre Daten.
Das Gesetz sieht auch Sanktionen für die Nichteinhaltung der Vorschriften vor.
RIDTPPA Datum des Inkrafttretens
Das neue Datenschutzgesetz von Rhode Island tritt am 1. Januar 2026 in Kraft.
RIDTPPA Schlüsselbegriffe und Definitionen
Um Sie bei der Einhaltung des RIDTPPA zu unterstützen, habe ich einige Schlüsselbegriffe aus dem Gesetz mit ihren genauen Definitionen beigefügt:
Wenn ich diese Begriffe in diesem Leitfaden verwende, habe ich diese Definitionen im Hinterkopf.
Was umfasst das Gesetz über Datentransparenz und Datenschutz in Rhode Island?
Das RIDTPPA gilt für die personenbezogenen Daten der Einwohner von Rhode Island.
Sie gilt nicht für Personen, die im Staat in einem Arbeits- oder Geschäftsverhältnis handeln.
Anforderungen des Rhode Island Data Transparency and Privacy Protection Act
Im nächsten Abschnitt fasse ich einige der wichtigsten Anforderungen des Rhode Island Data Transparency and Privacy Protection Act zusammen.
Rechtmäßige Grundlage für die Verarbeitung von Daten
Um personenbezogene Daten nach dem RIDTPPA rechtmäßig zu erheben, zu speichern oder zu verkaufen, müssen kommerzielle Websites oder Internetdienstanbieter alle erhobenen Daten an einer gut sichtbaren Stelle auf ihrer Website offenlegen.
Für die Verarbeitung sensibler Daten müssen Sie jedoch die aktive Zustimmung des Kunden einholen.
Zustimmung
Nach dem RIDTPPA ist eine Zustimmung erforderlich, um sensible personenbezogene Informationen oder Daten von bekannten Kindern zu sammeln und zu verarbeiten.
Das Gesetz definiert die Zustimmung als solche:
- Klar
- Bestätigend
- Freigegeben
- Spezifische
- Informiert
- Unzweideutig
Die Zustimmung kann eine schriftliche Erklärung auf elektronischem Wege beinhalten, aber nicht das Überfahren, Stummschalten, Anhalten oder Schließen eines Inhalts oder eine durch dunkle Muster erlangte Zustimmung.
Vertragliche Verpflichtungen mit Datenverarbeitern
Nach dem RIDTPPA muss zwischen allen Datenverarbeitern und den für die Verarbeitung Verantwortlichen ein Vertrag bestehen, in dem Folgendes festgelegt ist:
- Stellen Sie sicher, dass jede Person, die die Daten verarbeitet, der Schweigepflicht unterliegt;
- Auf Anweisung des für die Verarbeitung Verantwortlichen den Auftragsverarbeiter auffordern, alle Daten nach Beendigung des Dienstes zu löschen oder zurückzugeben, sofern die Aufbewahrung nicht gesetzlich vorgeschrieben ist;
- auf Verlangen des für die Verarbeitung Verantwortlichen alle Informationen zur Verfügung stellen, die die Einhaltung des RIDTPPA durch den Auftragsverarbeiter belegen;
- Die Auftragsverarbeiter müssen sicherstellen, dass die Unterauftragnehmer einem schriftlichen Vertrag unterliegen, in dem dieselben Verpflichtungen festgelegt sind, der für die Verarbeitung Verantwortliche jedoch die Möglichkeit hat, dem Unterauftragnehmer zu widersprechen; und
- bei angemessenen Datenschutzbeurteilungen durch den für die Verarbeitung Verantwortlichen oder den von ihm benannten Prüfer mitzuwirken, soweit dies erforderlich ist.
Datenschutz-Bewertungen
Gemäß dem RIDTPPA muss eine Datenschutzprüfung durchgeführt werden, wenn Daten für die folgenden Zwecke verarbeitet werden:
- Durchführung von gezielter Werbung
- Verkauf von Daten
- Profiling, wenn es vernünftigerweise vorhersehbare Risiken einer unfairen oder irreführenden Behandlung birgt
- Verarbeitung sensibler personenbezogener Daten
Eine einzige Bewertung kann verwendet werden, wenn bereits eine Bewertung durchgeführt wurde, um die Verpflichtungen zu erfüllen, die in anderen Datenschutzgesetzen mit ähnlichem Anwendungsbereich festgelegt sind.
Der Generalstaatsanwalt kann von einem für die Verarbeitung Verantwortlichen verlangen, dass er die Datenschutzbeurteilung für eine Bewertung zur Verfügung stellt, um die Einhaltung des RIDTPPA zu überprüfen.
Datenschutz und Datensicherheit
Nach dem RIDTPPA müssen Unternehmen Sicherheitsmaßnahmen ergreifen, um die Integrität und Zugänglichkeit aller erhobenen personenbezogenen Daten zu schützen.
Es wird zwar nicht genau beschrieben, welche Sicherheitstechniken zu verwenden sind, aber es gibt gemeinsame Ansätze:
- Verschlüsselung
- Anonymisierung
- Zugangskontrollen
- Firewalls
Das Gesetz über Datentransparenz und Datenschutz in Rhode Island im Vergleich zu anderen Staaten: Gemeinsamkeiten und Unterschiede
Mehrere andere US-Bundesstaaten haben Datenschutzgesetze erlassen, darunter die folgenden:
- Kalifornisches Verbraucherschutzgesetz(CCPA) - derzeit in Kraft
- Colorado Privacy Act(CPA) - derzeit in Kraft
- Connecticut Data Privacy Act(CTDPA) - derzeit in Kraft
- Delaware Personal Data Privacy Act(DPDPA) - gültig ab 1. Januar 2025
- Florida Digital Bill of Rights(FDBR) - derzeit in Kraft
- Verbraucherdatenschutzgesetz von Indiana(Indiana CDPA) - gültig ab 1. Januar 2026
- Iowa Consumer Data Protection Act(Iowa CDPA) - gültig ab 1. Januar 2025
- Kentucky Consumer Data Protection Act(KCDPA) - gültig ab 1. Januar 2026
- Minnesota Consumer Data Privacy Act(MCDPA) - gültig ab 31. Juli 2025
- Montana Consumer Data Privacy Act(MCDPA) - gültig ab 1. Oktober 2024
- Maryland Online Data Privacy Act(MODPA) - gültig ab 1. Oktober 2025
- Nebraska Data Privacy Act(NDPA) - gültig ab 1. Januar 2025
- New Hampshire Data Privacy Law(NHDPL) - gültig ab 1. Januar 2025
- New Jersey Data Privacy Act(NJDPA) - gültig ab 15. Januar 2025
- Oregon Consumer Privacy Act(OCPA) - derzeit in Kraft
- Tennessee Information Protection Act(TIPA) - gültig ab 1. Juli 2025
- Texas Data Privacy and Security Act(TDPSA) - derzeit in Kraft
- Utah Consumer Privacy Act(UCPA) - derzeit in Kraft
- Virginia Consumer Data Protection Act(VCDPA) - derzeit in Kraft
In der nachstehenden Tabelle können Sie Aspekte des RIDTPPA mit diesen anderen US-amerikanischen Datenschutzgesetzen vergleichen.
| Staatliches Recht | Opt-in-Einwilligung für bestimmte Arten der Datenverarbeitung | Opt-out-Zustimmung für bestimmte Arten der Datenverarbeitung | Muss den Nutzern eine Datenschutzrichtlinie (oder einen Hinweis) zur Verfügung stellen | Erfordert Datenschutzbeurteilungen | Umreißt vertragliche Verpflichtung mit Drittverarbeitern | Ermöglicht zivilrechtliche Klagen oder das Recht auf Privatklage | Muss die globalen Datenschutzkontrollen/Browser-Datenschutzeinstellungen beachten |
| RIDTPPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| CCPA/CPRA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| CPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| CTDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| DPDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| FDBR | ✓ | ✓ | ✓ | ✓ | |||
| Indiana CDPA | ✓ | ✓ | ✓ | ✓ | |||
| Iowa CDPA | ✓ | ✓ | ✓ | ||||
| KCDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| Minnesota CDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Montana CDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| MODPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| NDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| NHDPL | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| NJDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| OCPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| TIPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| TDPSA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| UCPA | ✓ | ✓ | ✓ | ||||
| VCDPA | ✓ | ✓ | ✓ | ✓ |
Wie wird sich das RIDTPPA auf die Verbraucher auswirken?
Das RIDTPPA wirkt sich auf die Verbraucher (im Gesetzestext als Kunden bezeichnet) aus, indem es ihnen die folgenden Rechte in Bezug auf ihre persönlichen Daten einräumt:
- sich zu vergewissern, ob ein für die Verarbeitung Verantwortlicher ihre personenbezogenen Daten verarbeitet, und auf diese Daten zuzugreifen
- Ungenauigkeiten in ihren Daten zu korrigieren
- Antrag auf Löschung ihrer personenbezogenen Daten
- eine tragbare Kopie ihrer persönlichen Daten zu erhalten
- Widerspruch gegen die Datenverarbeitung für gezielte Werbung, den Verkauf von Daten oder das Profiling
- Einwilligung in die Erhebung und Verarbeitung ihrer sensiblen persönlichen Daten
Für wen gilt das RIDTPPA?
Das RIDTPPA gilt für Personen mit Wohnsitz in Rhode Island, aber nicht für Personen, die in diesem Bundesstaat in einem kommerziellen oder arbeitsrechtlichen Kontext handeln.
Welche Auswirkungen hat das RIDTPPA auf die Unternehmen?
Neben den gesetzlichen Zwecken für die Datenverarbeitung, den vertraglichen Verpflichtungen und anderen Anforderungen, die ich bereits behandelt habe, hat das RIDTPPA auch Auswirkungen auf die Datenschutz- und Cookie-Richtlinien der Unternehmen.
Wie wirkt sich das RIDTPPA auf meine Datenschutzrichtlinie aus?
Das RIDTPPA wirkt sich auf Ihre Datenschutzpolitik aus, indem es vorschreibt, dass diese die folgenden Angaben enthält:
- Geben Sie alle Kategorien personenbezogener Daten an, die über die Website oder den Online-Dienst erhoben werden;
- Nennen Sie alle Dritten, an die der für die Verarbeitung Verantwortliche Daten verkauft;
- Geben Sie eine aktive E-Mail-Adresse oder ein anderes Online-Verfahren an, mit dem die Kunden den für die Verarbeitung Verantwortlichen kontaktieren können;
- Geben Sie deutlich an, ob Daten an Dritte verkauft oder für gezielte Werbung verarbeitet werden.
Wie wird sich das RIDTPPA auf meine Cookie-Richtlinie auswirken?
Das RIDTPPA wirkt sich auf Ihre Cookie-Richtlinie aus, da das Gesetz den Nutzern das Recht einräumt, bestimmte Datenverarbeitungen, die den Einsatz von Internet-Cookies beinhalten könnten, abzulehnen oder zu akzeptieren.
So müssen die Kunden beispielsweise ihr Einverständnis geben, bevor sensible personenbezogene Daten über sie erhoben und verarbeitet werden, und sie haben das Recht, dem Verkauf oder der Verarbeitung ihrer Daten für gezielte Werbung zu widersprechen.
Vergewissern Sie sich, dass Sie eine consent management platform verwenden, die es Ihren Nutzern in Rhode Island ermöglicht, ihre Opt-In- und Opt-Out-Rechte wahrzunehmen, und präsentieren Sie ihnen stets eine aktualisierte, genaue Cookie-Richtlinie.
Wer muss sich an das neue Datenschutzgesetz von Rhode Island halten?
Ihr Unternehmen muss das RIDTPPA einhalten, wenn Sie gewinnorientiert sind, im Bundesstaat tätig sind oder Waren und Dienstleistungen herstellen, die sich an Einwohner von RI richten, und:
- in einem Kalenderjahr die personenbezogenen Daten von 35.000 Kunden kontrolliert oder verarbeitet, mit Ausnahme der Daten, die ausschließlich zur Abwicklung eines Zahlungsvorgangs verarbeitet werden, oder
- in einem Kalenderjahr die personenbezogenen Daten von 10.000 Kunden kontrolliert oder verarbeitet und 20 % oder mehr Bruttoeinnahmen aus dem Verkauf personenbezogener Daten erzielt.
Wer ist vom RIDTPPA ausgenommen?
Die folgenden Einrichtungen sind von der Einhaltung des RIDTPPA befreit:
- Jede Behörde, jedes Gremium, jeder Vorstand, jedes Büro, jede Kommission, jeder Bezirk oder jede Agentur des Staates RI oder politischer Untergliederungen des Staates
- Gemeinnützige Organisationen
- Einrichtungen der Hochschulbildung
- Nationale Wertpapiervereinigungen, die nach dem Securities Exchange Act von 1934 registriert sind
- Finanzinstitute, die dem Gramm-Leach-Bliley Act (GLBA) unterliegen
Wie können sich die Unternehmen auf das RIDTPPA vorbereiten?
Ihre Unternehmen können sich auf das RIDTPPA vorbereiten, indem sie sicherstellen, dass sie ihre Cookie- und Datenschutzrichtlinien aktualisiert haben, um alle Transparenz- und Benachrichtigungsrichtlinien zu berücksichtigen, die das Gesetz vorsieht.
Verwenden Sie eine consent management platform (CMP) auf Ihrer Website, damit Ihre Kunden in Rhode Island ihre Datenschutzrechte wahrnehmen können, z. B. indem sie gezielte Werbung oder den Verkauf ihrer Daten ablehnen.
Und schließlich können Sie Ihren Kunden durch die Aufnahme einesDSAR-Formulars (Data Subject Access Request) in Ihre Website eine unkomplizierte Möglichkeit bieten, Anträge auf die Wahrnehmung zusätzlicher Rechte zu stellen.
Wie wird das RIDTPPA durchgesetzt?
Der Generalstaatsanwalt wird das RIDTPPA durchsetzen, und ein Verstoß gegen das Gesetz wird als betrügerische Praxis betrachtet.
Geldbußen und Strafen gemäß dem Gesetz über Datentransparenz und Datenschutz in Rhode Island
Unternehmen, die gegen das RIDTPPA verstoßen, müssen mit Geldstrafen zwischen 100 und 500 Dollar pro Vorfall rechnen.
Die Kunden haben jedoch kein Recht auf eine Privatklage nach dem Gesetz.
Wie kann Termly zur Einhaltung des RIDTPPA beitragen?
Termly wird Unternehmen helfen, die Einhaltung des RIDTPPA zu vereinfachen, indem wir sicherstellen, dass unsere Datenschutzerklärung Generator auf den neuesten Stand gebracht wird, um alle Meldevorschriften des Gesetzes zu erfüllen, bevor es im Jahr 2026 in Kraft tritt.
Unterstützt von unserem Rechtsteam und unseren Datenschutzexperten werden Multiple-Choice-Fragen zu Ihrem Unternehmen und seinen Datenverarbeitungsaktivitäten gestellt.
Auf der Grundlage Ihrer Antworten wird eine individuelle Police erstellt.
Unsere consent management platform (CMP) ist auch so konfigurierbar, dass sie die im RIDTPPA beschriebenen Opt-out- und Opt-in-Anforderungen erfüllt.
Es enthält ein kostenloses DSAR-Formular, das es Unternehmen leicht macht, Kundenanfragen zur Einhaltung ihrer Datenschutzrechte zu erhalten.
Gibt es in Rhode Island noch andere Datenschutzgesetze?
In Rhode Island gibt es noch einige andere Gesetze zum Schutz der Privatsphäre, die mit dem RIDTPPA zusammenwirken, darunter die folgenden:
- Gesetz zum Schutz vor Identitätsdiebstahl von 2015: Dieses Gesetz umreißt den Schutz personenbezogener Daten im Hinblick auf die Offenlegung von Verletzungen der Sicherheitssysteme. Es verlangt die Umsetzung von risikobasierten Sicherheitsprogrammen zur Verhinderung von Cyberkriminalität.
- Consumer Empowerment and Identity Theft Prevention Act von 2006: Dieses Gesetz schützt die Verbraucher auch vor Datenschutzverletzungen und gibt ihnen das Recht, ihre Kreditberichte einzufrieren.
Zusammenfassung
Bevor das RIDTPPA im Jahr 2026 in Kraft tritt, sollten Sie sicherstellen, dass Ihr Unternehmen die richtigen Schritte zur Vorbereitung auf die Einhaltung der Vorschriften unternimmt:
- Fügen Sie Ihrer Website oder Ihrem Online-Dienst eine Datenschutzerklärung hinzu, in der Sie die Nutzer darüber informieren, welche Daten Sie sammeln und ob und wie Sie diese an Dritte weitergeben.
- Aktualisieren Sie Ihre Cookie-Richtlinie, um sicherzustellen, dass sie alle verwendeten Internet-Cookies offenlegt, damit Ihre RI-Kunden ihre Datenschutzrechte wahrnehmen können.
- Fügen Sie Ihrer Website ein DSAR-Formular hinzu, damit RI-Kunden problemlos Anträge auf Zugang, Korrektur oder Löschung ihrer persönlichen Daten stellen können.
- Verwenden und unterzeichnen Sie einen vorschriftsmäßigen Vertrag, wenn Sie mit Datenverarbeitern zusammenarbeiten.
- Durchführung von Datenschutzbewertungen bei Bedarf für bestimmte Datenverarbeitungszwecke.
Glücklicherweise war die Einhaltung von Gesetzen wie dem RITDPPA mit Lösungen wie Termly's Datenschutzerklärung Generator und CMP noch nie so einfach.
Geschrieben von Natasha Piirainen
Natasha Piirainen ist Autorin zum Thema Datenschutz. Sie hat einen Bachelor-Abschluss in Englisch und Philosophie vom Wheaton College und verfügt über mehr als 10 Jahre Berufserfahrung in der forschungsorientierten Entwicklung von Inhalten.
Alle Beiträge von Natasha Piirainen lesen
Rezensiert von Anokhy Desai CIPP/US, CIPT, CIPM
Anokhy ist Datenschutzanwältin mit einem Master-Abschluss der Carnegie Mellon University und einem Juris Doctor der University of Pittsburgh. Als ehemalige Westin Fellow der IAPP veröffentlichte sie mehrere Artikel, White Papers und Infografiken und leitete, koordinierte und moderierte Webinare und Podiumsdiskussionen zum Thema Datenschutz und Datenschutztechnologie in den USA.
Alle Beiträge lesen, die von Anokhy Desai CIPP/US, CIPT, CIPM geprüft wurden
