Tennessee Informationsschutzgesetz: Erster Blick & Zusammenfassung

Abgedeckt durch Termly

von: Josh Langeland, CIPM Josh Langeland, CIPM | Aktualisiert am: November 12, 2024

Kostenlose Datenschutzerklärung erstellen
Was-ist-das-Tennessee-Informationsschutzgesetz-(TIPA)-01

Tennessee war der achte US-Bundesstaat, der ein offizielles Datenschutzgesetz verabschiedete, das Tennessee Information Protection Act (TIPA).

In diesem TIPA-Leitfaden beschreibe ich, für wen dieses Gesetz gilt, wie es sich auf Unternehmen und Verbraucher auswirkt und welche Schritte zu unternehmen sind, um es vollständig einzuhalten.

Inhaltsübersicht
  1. Was ist das Tennessee Information Protection Act (TIPA)?
  2. TIPA Schlüsselbegriffe und Definitionen
  3. Was deckt das Informationsschutzgesetz von Tennessee ab?
  4. Anforderungen des Tennessee Information Protection Act
  5. Das Gesetz von Tennessee im Vergleich zu den Datenschutzgesetzen anderer Bundesstaaten: Gemeinsamkeiten und Unterschiede
  6. Welche Auswirkungen hat das TIPA auf die Unternehmen?
  7. Welche Auswirkungen wird das TIPA auf die Verbraucher haben?
  8. Wer muss sich an das neue Datenschutzgesetz von Tennessee halten?
  9. Wie können sich Unternehmen auf die TIPA vorbereiten?
  10. Wie wird das TIPA durchgesetzt?
  11. Geldbußen und Strafen gemäß dem Tennessee Information Protection Act
  12. Wie hilft Termly bei der Einhaltung der TIPA?
  13. Zusammenfassung

Was ist das Tennessee Information Protection Act (TIPA)?

Das Tennessee Information Protection Act - oder TIPA - ist ein Gesetz zum Datenschutz und zum Schutz der Privatsphäre, das im US-Bundesstaat Tennessee verabschiedet wurde.

Es zielt auf Unternehmen ab, die im Bundesstaat Tennessee Geschäfte machen, indem sie personenbezogene Daten erheben und verarbeiten, und soll den Einwohnern von Tennessee die Rechte zurückgeben, wie diese Daten erhoben, verarbeitet und genutzt werden.

TIPA Datum des Inkrafttretens

Das Informationsschutzgesetz von Tennessee tritt am 1. Juli 2025 in Kraft.

Die Entscheidungsträger unterzeichneten das TIPA am 11. Mai 2023, und die endgültige Fassung des Textes wurde am 24. Mai veröffentlicht.

TIPA Schlüsselbegriffe und Definitionen

Das Informationsschutzgesetz von Tennessee definiert in Abschnitt 47-18-3201, Teile (1) bis (30) des Gesetzes, wichtige Begriffe, von denen ich Ihnen einige nachstehend zur Verfügung stelle.

Was deckt das Informationsschutzgesetz von Tennessee ab?

Das TIPA gilt für personenbezogene Daten von Verbrauchern in Tennessee, die von einem für die Datenverarbeitung Verantwortlichen oder einem Auftragsverarbeiter verarbeitet werden.

Gemäß Abschnitt 47-18-3208 Teil (f ) dieses neuen Landesgesetzes dürfen Einrichtungen personenbezogene Daten nur in dem Umfang verarbeiten, in dem die Verarbeitung erfolgt:

  • Vernünftigerweise notwendig und verhältnismäßig zu den Zwecken, die im Tennessee Information Protection Act als "Rechtsgrundlagen" aufgeführt sind.
  • Angemessen, sachdienlich und beschränkt auf das, was in Bezug auf die spezifischen Zwecke (Rechtsgrundlagen) gemäß TIPA 3208 Teile (a-e) erforderlich ist.

Zusätzlich zu den Rechtsgrundlagen für die Verarbeitung beschreibt das TIPA Szenarien, in denen ein für die Verarbeitung Verantwortlicher oder ein Auftragsverarbeiter Daten verarbeiten kann, z. B. zur Einhaltung von Gesetzen und Vorschriften, zur Durchführung von strafrechtlichen Ermittlungen oder zur Abwehr von Rechtsansprüchen.

Anforderungen des Tennessee Information Protection Act

Nach dem TIPA müssen Unternehmen ihren Verbrauchern bestimmte Rechte einräumen und bestimmte Pflichten erfüllen, die ich in den folgenden Abschnitten näher erläutern werde.

Verantwortlichkeiten des für die Datenverarbeitung Verantwortlichen und des Datenverarbeiters

Die für die Datenverarbeitung Verantwortlichen und die Auftragsverarbeiter haben im Rahmen des TIPA leicht unterschiedliche Pflichten.

Gemäß Abschnitt 47-18-3204 des Gesetzes gehört Transparenz zu den Pflichten des für die Verarbeitung Verantwortlichen , und diese Unternehmen müssen Folgendes tun:

  • Sie müssen die Erhebung personenbezogener Daten auf das beschränken, was für den Zweck, für den die Daten verarbeitet werden, angemessen, relevant und vernünftigerweise notwendig ist und dem Verbraucher mitgeteilt wird.
  • Sie dürfen personenbezogene Daten nicht für Zwecke verarbeiten, die über das hinausgehen, was vernünftigerweise erforderlich ist, um die dem Verbraucher mitgeteilten Ziele der Verarbeitung zu erreichen, es sei denn, Sie erhalten die Zustimmung des Verbrauchers.
  • Muss angemessene administrative, technische und physische Datensicherheitspraktiken einführen, umsetzen und aufrechterhalten.
  • Die Löschung aggregierter oder de-identifizierter Informationen muss nicht verlangt werden, sofern sie nicht mit einem bestimmten Verbraucher verknüpft sind.
  • Sie dürfen personenbezogene Daten nicht unter Verstoß gegen ein Landes- oder Bundesgesetz verarbeiten, das die Diskriminierung von Verbrauchern verbietet.
  • Sie dürfen keine sensiblen personenbezogenen Daten eines Verbrauchers verarbeiten, ohne dessen Zustimmung einzuholen oder, falls die Daten von einem bekannten Kind stammen, sie gemäß dem Children's Online Privacy Protection Act(COPPA) zu verarbeiten.

Außerdem sollten sie den Verbrauchern einen angemessenen, leicht zugänglichen Datenschutzhinweis zur Verfügung stellen, wie weiter unten in diesem Leitfaden beschrieben.

Datenverarbeiter im Rahmen des TIPA müssen sich an alle Anweisungen des für die Verarbeitung Verantwortlichen halten und ihn bei der Erfüllung der in diesem staatlichen Gesetz festgelegten Verpflichtungen unterstützen:

  • unter Berücksichtigung der Art der Verarbeitung und der Informationen, die dem Auftragsverarbeiter zur Verfügung stehen, um den Anträgen der Verbraucher hinsichtlich ihrer Rechte nachzukommen
  • Bereitstellung von Informationen, die es einem für die Verarbeitung Verantwortlichen ermöglichen, eine Bewertung der Datenverarbeitung durchzuführen(DPA)

Vertragliche Verpflichtungen zwischen für die Datenverarbeitung Verantwortlichen und Auftragsverarbeitern

Gemäß Abschnitt 47-18-3205 (b) des TIPA muss ein Vertrag bestehen, der die Datenverarbeitungspraktiken des Auftragsverarbeiters im Namen des für die Verarbeitung Verantwortlichen regelt.

Der Vertrag muss vorsehen, dass der Verarbeiter:

  • Sicherstellung, dass jede Person, die personenbezogene Daten verarbeitet, der Schweigepflicht unterliegt
  • Löschung oder Rückgabe aller Daten an den für die Verarbeitung Verantwortlichen nach Ablauf der Vertragslaufzeit auf dessen Anweisung
  • stellt auf angemessene Anfrage des für die Verarbeitung Verantwortlichen alle in seinem Besitz befindlichen Informationen zur Verfügung, um die Einhaltung der TIPA-Verpflichtungen nachzuweisen
  • kooperiert bei angemessenen Bewertungen durch den für die Verarbeitung Verantwortlichen oder den benannten Prüfer
  • durch einen schriftlichen Vertrag von Unterauftragnehmern verlangt, dass sie dieselben Verpflichtungen in Bezug auf die personenbezogenen Daten erfüllen wie der Auftragsverarbeiter

Zustimmung und TIPA

Die für die Datenverarbeitung Verantwortlichen dürfen nach dem TIPA personenbezogene Daten nur dann verarbeiten, wenn dies vernünftigerweise notwendig und mit den in ihrer Datenschutzrichtlinie angegebenen Zwecken vereinbar ist, es sei denn, sie holen die Zustimmung der Verbraucher ein (siehe Abschnitt 47-18-3204 Teil (a)(2)).

Die rechtmäßige Zustimmung muss eine klare, bestätigende Handlung sein, die aus freien Stücken, in Kenntnis der Sachlage und unzweideutig erteilt wird.

Sie müssen auch die Zustimmung zur Verarbeitung sensibler personenbezogener Daten Ihrer Verbraucher einholen.

Widerspruchsrecht bei der Datenverarbeitung

Das Informationsschutzgesetz von Tennessee räumt Verbrauchern in Abschnitt 47-18-3203 das Recht ein, bestimmte Arten der Datenverarbeitung abzulehnen . Teil (a)(2)(E).

Insbesondere müssen die für die Verarbeitung Verantwortlichen den Betroffenen die Möglichkeit geben, sich von der Teilnahme abzumelden:

  • Der Verkauf ihrer persönlichen Informationen
  • Gezielte Werbung
  • Profiling zur Unterstützung von Entscheidungen, die rechtliche oder ähnlich erhebliche Auswirkungen auf den Verbraucher haben

Es ist Sache des für die Datenverarbeitung Verantwortlichen, das Verfahren festzulegen, das es den Nutzern ermöglicht, von diesem Recht Gebrauch zu machen. Welches Verfahren Sie auch immer anwenden, es muss in der Datenschutzrichtlinie, die Sie den Verbrauchern vorlegen, klar beschrieben sein.

Jeder für die Verarbeitung Verantwortliche muss in der Lage sein, einer direkt eingereichten Anfrage nachzukommen, in der angegeben wird, welche Verbraucherrechte der Verbraucher geltend machen möchte.

Schließlich kann auch der Erziehungsberechtigte eines bekannten Kindes im Namen des Kindes dessen Verbraucherrechte geltend machen.

Authentifizierte Verbraucheranfragen

Im Rahmen des TIPA können Verbraucher ihre Rechte geltend machen, indem sie einen Antrag an den für die Verarbeitung Verantwortlichen stellen, und es gibt einige Richtlinien, die Ihr Unternehmen befolgen muss, um dieses Verfahren zu unterstützen, wie in Abschnitt 47-18-3203 Teile (a) und (b) dargelegt.

Rechtlich gesehen, müssen Sie das:

  • Beantworten Sie den Antrag ohne unangemessene Verzögerung, mindestens jedoch innerhalb von 45 Tagen nach Eingang des Antrags (je nach Komplexität des Antrags kann diese Frist auf weitere 45 Tage verlängert werden, sofern Sie den Verbraucher über die Verzögerung informieren).
  • Informieren Sie den Verbraucher unverzüglich, spätestens jedoch innerhalb von 45 Tagen, wenn Sie seinen Antrag ablehnen. Legen Sie dar, warum der Antrag abgelehnt wurde.
  • Die Informationen sind dem Verbraucher bis zu zweimal jährlich kostenlos zur Verfügung zu stellen.
  • Wenn der für die Verarbeitung Verantwortliche die Anfrage nicht mit wirtschaftlich vertretbarem Aufwand authentifizieren kann, sind Sie nicht verpflichtet, ihr nachzukommen, und können vom Verbraucher zusätzliche Informationen anfordern, um die Authentifizierung zu unterstützen.
  • Sie dürfen von Ihren Kunden nicht verlangen, dass sie ein neues Konto anlegen, um ihre Rechte wahrzunehmen, wie es in Teil 47-18-3204 Abschnitt (e)(2) des Gesetzes steht.

Sie müssen auch ein Verfahren einrichten, mit dem die Verbraucher Widerspruch einlegen können, wenn Sie einen ihrer Anträge ablehnen. Das Widerspruchsverfahren muss gut sichtbar sein, den Verbrauchern kostenlos zur Verfügung stehen und dem Verfahren ähneln, das Sie für die Einreichung des Antrags verwenden.

Sie haben dann 60 Tage Zeit, dem Verbraucher schriftlich mitzuteilen, welche Maßnahmen Sie als Reaktion auf seinen Widerspruch ergreifen (oder nicht ergreifen) werden.

Datenschutz-Bewertungen

Das Informationsschutzgesetz von Tennessee legt in Abschnitt 47-18-3206(a)(1-5) fest, dass die für die Datenverarbeitung Verantwortlichen für jede der folgenden Arten von Verarbeitungstätigkeiten eine Datenschutzbewertung durchführen müssen:

  • Verarbeitung personenbezogener Daten für gezielte Werbung
  • Verkauf von persönlichen Informationen
  • die Verarbeitung personenbezogener Daten zum Zwecke der Profilerstellung, wenn sie ein vorhersehbares Risiko einer unfairen oder irreführenden Behandlung, einer finanziellen, physischen oder rufschädigenden Schädigung, eines physischen oder sonstigen Eingriffs in die Abgeschiedenheit privater Angelegenheiten oder Belange oder sonstiger erheblicher Verletzungen darstellt
  • Verarbeitung sensibler personenbezogener Daten
  • Verarbeitungstätigkeiten mit Daten, die ein erhöhtes Risiko für die Verbraucher darstellen

Diese Datenschutzbehörden müssen die direkten und indirekten Vorteile der Datenverarbeitung gegen die möglichen Risiken für die Rechte der betroffenen Verbraucher abwägen.

Sie sollte auch die Verwendung de-identifizierter Daten durch ein Unternehmen, die Erwartungen der Verbraucher und den Kontext der Verarbeitung berücksichtigen.

Das Gesetz von Tennessee im Vergleich zu den Datenschutzgesetzen anderer Bundesstaaten: Gemeinsamkeiten und Unterschiede

Derzeit gibt es in den USA in sieben Bundesstaaten aktive Datenschutzgesetze, und mehrere weitere werden im Laufe des nächsten Jahres in Kraft treten. Sie alle weisen einige Ähnlichkeiten mit dem TIPA auf, unterscheiden sich aber in wesentlichen Punkten.

Um Ihnen zu helfen, habe ich eine Tabelle erstellt, in der die folgenden US-Gesetze und Gesetzesentwürfe mit dem Tennessee Information Protection Act verglichen werden:

Sehen Sie es sich unten an.

Staatliches Recht Opt-in-Einwilligung für bestimmte Arten der Datenverarbeitung Opt-out-Zustimmung für bestimmte Arten der Datenverarbeitung Muss den Nutzern eine Datenschutzrichtlinie (oder einen Hinweis) zur Verfügung stellen Erfordert Datenschutzbeurteilungen Umreißt vertragliche Verpflichtung mit Drittverarbeitern Ermöglicht zivilrechtliche Klagen oder das Recht auf Privatklage Muss die globalen Datenschutzkontrollen/Browser-Datenschutzeinstellungen beachten
TIPA
CCPA/CPRA
CPA
CTDPA
Indiana CDPA
Iowa CDPA
KCDPA
MN CDPA
MT CDPA
MODPA
NHDPL
NJDPA
OCPA
TDPSA
UCPA
VCDPA

Gibt es in Tennessee weitere Gesetze zum Datenschutz?

In Tennessee gibt es keine weiteren Datenschutzgesetze, aber wie in allen anderen US-Bundesstaaten ist das Delikt des Eindringens in die Privatsphäre nach dem Gewohnheitsrecht anerkannt, so dass Einzelpersonen Klage gegen andere erheben können, die unrechtmäßig in ihre privaten Angelegenheiten eindringen.

Der Bundesstaat verfügt außerdem über ein Gesetz zur Meldung von Datenschutzverletzungen, das im 2017 geänderten Tennessee Code beschrieben ist.

Es schreibt vor, dass Unternehmen die Verbraucher über einen Verstoß gegen verschlüsselte und unverschlüsselte Daten benachrichtigen müssen, und war der erste Bundesstaat in den USA, der dies gesetzlich verankert hat.

Außerdem wurde am 28. April 2023 das Gesetz über den Schutz genetischer Informationen unterzeichnet, das am 1. Juli 2023 in Kraft tritt. Dieses Gesetz verhindert, dass Versicherungsanbieter von Personen, die Krankenversicherungsschutz erhalten, die Offenlegung genetischer Informationen über sich selbst oder ihre Familien verlangen.

Sie verhindert auch, dass Versicherungsanbieter genetische Informationen über eine Person ohne schriftliche Genehmigung weitergeben.

Einige Aspekte des Verbraucherschutzgesetzes von Tennessee regeln den Schutz der Privatsphäre, z. B. den Schutz der persönlichen Daten von Verbrauchern vor Videokassettenverkäufern oder Dienstleistern.

Welche Auswirkungen hat das TIPA auf die Unternehmen?

Das TIPA wird sich in mehrfacher Hinsicht auf die Unternehmen auswirken.

Neben der Vorbereitung auf die bereits erwähnten Datenschutzbeurteilungen und vertraglichen Verpflichtungen müssen Unternehmen, die als für die Datenverarbeitung Verantwortliche gelten, auch ihre Datenschutz- und Cookie-Richtlinien aktualisieren, um die vom Gesetz geforderten Informationen zu berücksichtigen.

Wie wirkt sich das TIPA auf meine Datenschutzpolitik aus?

Um das TIPA zu erfüllen, müssen Sie möglicherweise zusätzliche Informationen in Ihre Datenschutzrichtlinie aufnehmen.

Insbesondere Abschnitt 47-18-3204 Teil (c ) des Gesetzes besagt, dass die für die Verarbeitung Verantwortlichen den Verbrauchern einen Datenschutzhinweis zur Verfügung stellen müssen, der Folgendes beschreibt:

  • Welche Kategorien von personenbezogenen Daten der für die Verarbeitung Verantwortliche verarbeitet
  • Der Zweck der Verarbeitung der personenbezogenen Daten
  • wie sie ihre Rechte ausüben können, einschließlich der Frage, wie sie gegen die Entscheidung eines für die Verarbeitung Verantwortlichen über einen Antrag Widerspruch einlegen können
  • Die Kategorien personenbezogener Daten, die der für die Verarbeitung Verantwortliche gegebenenfalls mit Dritten teilt
  • Die Kategorien von Dritten, an die der für die Verarbeitung Verantwortliche die personenbezogenen Daten weitergegeben hat, falls vorhanden

Darüber hinaus werden in Abschnitt 47-18-3213 Teile (a) (1) und (2) Einzelheiten zu einem freiwilligen Datenschutzprogramm erläutert, das einem für die Verarbeitung Verantwortlichen oder einem Auftragsverarbeiter im Falle einer Klage wegen eines Verstoßes als positive Verteidigung dienen kann.

Mit anderen Worten: Sie können Ihr Unternehmen rechtlich verteidigen, wenn jemand behauptet, Sie würden gegen das Gesetz verstoßen.

Die bestätigende Verteidigung? Eine Datenschutzrichtlinie, die:

  • dem Datenschutz-Rahmenwerk des National Institute of Standards and Technology (NIST) mit dem Titel "A Tool for Improving Privacy Through Enterprise Risk Management Version 1.0" oder anderen dokumentierten Richtlinien, Standards und Verfahren zum Schutz des Verbraucherdatenschutzes entspricht; und
  • innerhalb von zwei Jahren nach dem in der letzten Überarbeitung des NIST-Rahmenwerks oder eines vergleichbaren Rahmenwerks angegebenen Veröffentlichungsdatum so aktualisiert wird, dass sie in angemessener Weise mit der nachfolgenden Überarbeitung des NIST-Rahmenwerks oder eines vergleichbaren Rahmenwerks für den Datenschutz übereinstimmt
  • Bietet einer Person die im TIPA geforderten materiellen Rechte

Dieses freiwillige Datenschutzprogramm wirkt sich jedoch nicht nur auf Ihre Datenschutzpolitik aus, da es auch die folgenden Bedingungen berücksichtigen sollte:

  • Die Größe und Komplexität Ihres Unternehmens
  • Art und Umfang der Aktivitäten Ihres Unternehmens
  • Die Sensibilität der verarbeiteten Informationen
  • Kosten und Verfügbarkeit von Instrumenten zur Verbesserung des Schutzes der Privatsphäre und der Datenverwaltung
  • Wenn Sie vergleichbare Landes- oder Bundesgesetze einhalten

Wie wirkt sich das TIPA auf meine Cookie-Richtlinie aus?

Der Tennessee Information Protection Act wirkt sich auf zwei Arten auf Ihre Cookie-Richtlinie aus.

Erstens: Da das TIPA eine weit gefasste Beschreibung des Begriffs "personenbezogene Daten" verwendet, fallen Internet-Cookies wahrscheinlich unter die Legaldefinition, und Sie müssen dieselben Verpflichtungen einhalten, die Sie auch bei anderen Datenverarbeitungsaktivitäten einhalten, z. B. Transparenz und Erläuterung der Rechtsgrundlage.

Nach diesem Gesetz haben die Verbraucher auch das Recht, gezielte Werbung abzulehnen, und gezielte Werbung beinhaltet in der Regel die Verwendung von Internet-Cookies. Aktualisieren Sie Ihre Cookie-Richtlinie, um auf dieses Recht hinzuweisen.

Welche Auswirkungen wird das TIPA auf die Verbraucher haben?

Der Tennessee Information Protection Act hat Auswirkungen auf die Verbraucher, indem er ihnen neue Rechte in Bezug auf die Verwendung und Verarbeitung ihrer persönlichen Daten einräumt.

Konkret heißt es in Teil 47-18-3203 (a) Abschnitt (1), dass Verbraucher ihre Rechte geltend machen können, indem sie einen Antrag an den für die Datenverarbeitung Verantwortlichen stellen, in dem sie angeben, welches Recht sie in Anspruch nehmen wollen.

Einwohner von Tennessee haben gemäß 47-18-3203 (a) Abschnitt (2 ) das Recht auf:

  • sich zu vergewissern, ob ein für die Verarbeitung Verantwortlicher ihre personenbezogenen Daten verarbeitet, und auf diese zuzugreifen.
  • Ungenauigkeiten in ihren Informationen zu korrigieren.
  • die vom Verbraucher zur Verfügung gestellten oder über ihn erhaltenen personenbezogenen Daten zu löschen (der für die Verarbeitung Verantwortliche muss jedoch keine aggregierten oder de-identifizierten Daten löschen).
  • Beschaffen Sie sich eine tragbare Kopie ihrer persönlichen Daten.
  • dem Verkauf ihrer Daten, gezielter Werbung und der Profilerstellung widersprechen.

Gemäß Teil 47-18-3204 Abschnitt (c) haben auch die Verbraucher das Recht auf Information:

  • Welche Kategorien von personenbezogenen Daten der für die Verarbeitung Verantwortliche verarbeitet
  • Der Zweck der Verarbeitung der personenbezogenen Daten
  • wie sie ihre Rechte ausüben können, einschließlich der Frage, wie sie gegen die Entscheidung eines für die Verarbeitung Verantwortlichen über einen Antrag Widerspruch einlegen können
  • Die Kategorien personenbezogener Daten, die der für die Verarbeitung Verantwortliche gegebenenfalls mit Dritten teilt
  • Die Kategorien von Dritten, an die der für die Verarbeitung Verantwortliche die personenbezogenen Daten weitergegeben hat, falls vorhanden

Für wen gilt das TIPA?

Das Informationsschutzgesetz von Tennessee gilt für natürliche Personen, die ihren Wohnsitz in Tennessee haben und in einem persönlichen Kontext handeln.

Es schützt keine Personen, die sich zu kommerziellen oder beruflichen Zwecken in Tennessee aufhalten. Dieser Geltungsbereich ist in 47-18-3201, Abschnitt (7) Teile (A) und (B) des Gesetzes klar beschrieben.

Wer muss sich an das neue Datenschutzgesetz von Tennessee halten?

Sie müssen das TIPA einhalten, wenn Sie in Tennessee geschäftlich tätig sind oder Produkte oder Dienstleistungen herstellen, die sich an Einwohner des Bundesstaates richten, einen Jahresumsatz von mehr als 25 Millionen Dollar erzielen und entweder:

  • die persönlichen Daten von mindestens 25.000 Verbrauchern in Tennessee kontrollieren oder verarbeiten und 50 % Ihrer jährlichen Bruttoeinnahmen aus dem Verkauf dieser Daten erzielen oder
  • während eines Kalenderjahres die persönlichen Daten von mindestens 175.000 Verbrauchern in Tennessee verarbeiten oder kontrollieren

Wie viele andere Datenschutzvorschriften hat auch das TIPA einen extraterritorialen Geltungsbereich und wirkt sich auf Unternehmen außerhalb von Tennessee aus.

Wer ist von der TIPA ausgenommen?

Die folgenden Einrichtungen, Organisationen und Gruppen sind von den Bestimmungen des Tennessee Information Protection Act ausgenommen und müssen sich nicht an das Gesetz halten:

  • Politische Untergliederungen des Staates sowie Einrichtungen, Behörden, Gremien, Ämter, Kommissionen, Bezirke oder andere Stellen des Staates
  • Finanzinstitute, verbundene Unternehmen eines Finanzinstituts oder alle Daten, die unter Titel V des Gramm Leach Bliley Act(GLBA) fallen
  • Betroffene Einrichtungen oder Geschäftspartner, die den Datenschutz-, Sicherheits- und Benachrichtigungsregeln unterliegen, die in den Datenschutz- und Sicherheitsregeln des Health Insurance Portability and Accountability Act(HIPAA) festgelegt sind
  • Gemeinnützige Organisationen
  • Einrichtungen des Hochschulwesens
  • Nach HIPAA geschützte Gesundheitsinformationen
  • Informationen zur Identifizierung des Patienten

Wenn Sie nicht in den USA geschäftlich tätig sind und sicher sind, dass niemand aus Tennessee Ihre Produkte kauft oder Ihre Dienstleistungen in Anspruch nimmt, sind Sie außerdem vom TIPA ausgenommen.

Sie müssen sich auch nicht an das Gesetz halten, wenn Ihr Unternehmen die Schwelle von 25 Millionen Dollar Jahresumsatz nicht erreicht.

Wie können sich Unternehmen auf die TIPA vorbereiten?

Unternehmen können sich auf das TIPA vorbereiten, indem sie ihre Datenschutz- und Cookie-Richtlinien aktualisieren, um allen neuen Rechten Rechnung zu tragen, die den Verbrauchern in Tennessee durch das Gesetz gewährt werden, einschließlich ihres Rechts, über bestimmte Aspekte Ihrer Datenverarbeitungsaktivitäten informiert zu werden.

Außerdem müssen Sie Ihren Kunden in Tennessee die Möglichkeit geben, sich gegen den Verkauf ihrer persönlichen Daten, die Profilerstellung und gezielte Werbung zu entscheiden.

Um dies zu erreichen, verwenden Sie eine Consent Management Platform (CMP) mit einem Präferenzzentrum für jede spezifische Art der Datenverarbeitung.

Die für die Datenverarbeitung Verantwortlichen müssen den Nutzern auch die Möglichkeit bieten, nachprüfbare Anfragen von Verbrauchern zu stellen. Ziehen Sie daher in Erwägung, auf Ihrer Website oder in Ihrer App ein Formular für Anträge auf Zugang zu personenbezogenen Daten(DSAR oder SAR) bereitzustellen.

Wie wird das TIPA durchgesetzt?

Derzeit ist ausschließlich der Generalstaatsanwalt von Tennessee für die Durchsetzung aller Bestimmungen des TIPA zuständig.

Der Generalstaatsanwalt oder der Berichterstatter hat begründeten Anlass zu der Annahme, dass ein für die Datenverarbeitung Verantwortlicher oder ein Auftragsverarbeiter gegen das TIPA verstößt, indem er entweder eine eigene Untersuchung durchführt oder auf eine Beschwerde eines Verbrauchers oder der Öffentlichkeit reagiert.

Vor der Einleitung von Maßnahmen muss der Generalstaatsanwalt oder der Berichterstatter die Einrichtung 60 Tage lang schriftlich darüber informieren, gegen welche TIPA-Bestimmungen sie angeblich verstoßen hat.

Es werden keine weiteren Maßnahmen ergriffen, wenn der Auftragsverarbeiter oder der für die Verarbeitung Verantwortliche die Verstöße erfolgreich abstellen und dem Generalstaatsanwalt eine ausdrückliche schriftliche Mitteilung zukommen lassen kann.

Geldbußen und Strafen gemäß dem Tennessee Information Protection Act

Wenn ein für die Verarbeitung Verantwortlicher oder ein Auftragsverarbeiter seine mutmaßlichen Verstöße gegen das TIPA nicht innerhalb der 60-tägigen Kündigungsfrist behebt, kann der Generalstaatsanwalt oder der Berichterstatter das Unternehmen vor Gericht bringen, um es zu belangen:

  • eine Feststellung, dass die Handlung oder Praxis der Einrichtung gegen das Tennessee Information Protection Act verstößt
  • Unterlassungsansprüche (einschließlich einstweiliger und dauerhafter Verfügungen, um weitere Verstöße zu verhindern und die Einhaltung des TIPA zu erzwingen)
  • Zivilrechtliche Strafen von bis zu 7.500 Dollar pro Verstoß oder dreifacher Schadensersatz, wenn der Kontrolleur oder Verarbeiter vorsätzlich oder wissentlich gegen das Gesetz verstößt
  • Andere vom Gericht festgelegte Maßnahmen

Die Verbraucher können jedoch weder ein privates Klagerecht noch eine Sammelklage einreichen.

Wie hilft Termly bei der Einhaltung der TIPA?

Wir haben bereits die entsprechenden Aktualisierungen in unsere Tools implementiert, um Ihr Unternehmen bei der Erfüllung mehrerer Anforderungen des Tennessee Information Protection Act zu unterstützen.

Konkret können Sie unseren Datenschutzerklärung Generator und consent management platformnutzen, um Ihre Einhaltung des neuen Gesetzes von Tennessee zu vereinfachen, bevor es 2025 in Kraft tritt.

Unser Team hält sich über neue, sich ändernde und sich entwickelnde Datenschutzgesetze, -gesetze und -vorlagen weltweit auf dem Laufenden. Und glauben Sie mir, in diesen Tagen passiert eine Menge.

Halten Sie also Ausschau nach unseren zukünftigen Ankündigungen, denn ich bin sicher, dass noch viel mehr kommen wird.

Zusammenfassung

Wenn Ihr Unternehmen als Datenverantwortlicher oder -verarbeiter im Sinne des neuen Datenschutzgesetzes von Tennessee gilt, sollten Sie sich darauf vorbereiten, vor dem 1. Juli 2025 einige Änderungen vorzunehmen, um die Einhaltung der Vorschriften sicherzustellen.

Denken Sie zum Beispiel daran, Ihre Datenschutz- und Cookie-Richtlinien zu aktualisieren, um alle gesetzlich vorgeschriebenen Transparenz- und Benachrichtigungsanforderungen zu erfüllen.

Bereitstellung einer Möglichkeit für Verbraucher, dem Verkauf ihrer Daten, gezielter Werbung und Profiling zu widersprechen, und Durchführung von Datenschutzbewertungen gemäß den TIPA-Leitlinien.

Vereinfachen Sie den gesamten Prozess der Einhaltung von Vorschriften für Ihr Unternehmen, indem Sie Termly ausprobieren.

Josh Langeland, CIPM
Mehr über die Autorin

Geschrieben von Josh Langeland, CIPM

Hallo, ich bin Josh! Ich bin ein Privacy Engineer, der sich leidenschaftlich für den Einsatz von Technologie zur Wahrung der Privatsphäre der Nutzer einsetzt. Ich fühle mich an der Schnittstelle zwischen komplexer Technologie und sich ständig änderndem Datenschutzrecht wohl. Wenn ich nicht gerade eine Entwurfsprüfung durchführe oder ein System neu architektiere, lese ich vielleicht eine Biografie oder gehe im nächstgelegenen Nationalpark wandern. Mehr über die Autorin

Verwandte Artikel

Weitere Artikel ansehen