Am 19. Juni 2023 verabschiedete Texas als einer der US-Bundesstaaten ein Datenschutzgesetz, den Texas Data Privacy and Security Act (TDPSA), der nun in Kraft ist.
In diesem Leitfaden habe ich alle notwendigen Informationen zusammengestellt, um Unternehmen bei der Vorbereitung auf die neuen Datenschutzrechte für Verbraucher, die Verpflichtungen für Unternehmen und andere Anforderungen des TDPSA zu unterstützen.
- Was ist das texanische Datenschutz- und Sicherheitsgesetz (TDPSA)?
- TDPSA Schlüsselbegriffe und Definitionen
- Was deckt das texanische Gesetz zum Datenschutz und zur Datensicherheit ab?
- Anforderungen des Texas Data Privacy and Security Act
- Das texanische Gesetz im Vergleich zu den Datenschutzgesetzen anderer Staaten: Gemeinsamkeiten und Unterschiede
- Wie wird sich das TDPSA auf die Verbraucher auswirken?
- Welche Auswirkungen hat das TDPSA auf die Unternehmen?
- Wer muss sich an das neue texanische Datenschutzgesetz halten?
- Wie können sich Unternehmen auf das TDPSA vorbereiten?
- Wie wird das TDPSA durchgesetzt?
- Geldbußen und Strafen nach dem texanischen Datenschutz- und Sicherheitsgesetz
- Wie kann Termly bei der Einhaltung des TDPSA helfen?
- Gibt es in Texas noch andere Gesetze, die sich auf die Privatsphäre beziehen?
- Zusammenfassung
Was ist das texanische Datenschutz- und Sicherheitsgesetz (TDPSA)?
Das texanische Datenschutz- und Sicherheitsgesetz (Texas Data Privacy and Security Act, TDPSA) regelt, wie Unternehmen die persönlichen Daten texanischer Verbraucher sammeln, verwenden und verarbeiten.
Außerdem werden die Rechte erläutert, die diese Verbraucher in Bezug auf ihre Daten haben, und die zivilrechtlichen Strafen dargelegt, die Unternehmen drohen, wenn sie gegen die Anforderungen dieses neuen staatlichen Gesetzes verstoßen.
TDPSA Datum des Inkrafttretens
Das texanische Gesetz zum Datenschutz und zur Datensicherheit trat am 1. Juli 2024 in Kraft.
Die spezifischen Bestimmungen über die universellen Opt-out-Mechanismen für Verbraucher treten jedoch erst am 1. Januar 2025 in Kraft.
TDPSA Schlüsselbegriffe und Definitionen
Das texanische Datenschutz- und Sicherheitsgesetz definiert die wichtigsten Begriffe in Abschnitt 541.001.
Hier sind einige der kritischsten Formulierungen genau so, wie sie in diesem neuen staatlichen Gesetz beschrieben werden:
Was deckt das texanische Gesetz zum Datenschutz und zur Datensicherheit ab?
Das texanische Datenschutz- und Sicherheitsgesetz gilt für Einwohner von Texas, die als Einzelpersonen oder im Rahmen eines Haushalts handeln.
Personen, die in einem kommerziellen oder arbeitsrechtlichen Kontext handeln, gelten nicht als "Verbraucher" im Sinne des Gesetzes, wie in Abschnitt 541.001 Teil (7) erläutert.
Das TDPSA schreibt vor, dass Unternehmen nur personenbezogene Daten von Verbrauchern erheben dürfen, die vernünftigerweise notwendig sind und in einem angemessenen Verhältnis zu den Zwecken der Verarbeitung stehen, die den Verbrauchern mitgeteilt werden müssen.
Anforderungen des Texas Data Privacy and Security Act
Das TDPSA legt mehrere Anforderungen fest, die Unternehmen erfüllen müssen, um personenbezogene Daten von texanischen Verbrauchern rechtmäßig zu erfassen, zu verarbeiten und zu nutzen.
Damit Sie besser verstehen, wie Sie die Vorschriften einhalten können, habe ich in den folgenden Abschnitten die wichtigsten Punkte des Gesetzes hervorgehoben.
Für die Verarbeitung Verantwortliche und Transparenz
Gemäß Abschnitt 541.101 des Gesetzes ist Transparenz eine der Hauptpflichten eines für die Datenverarbeitung Verantwortlichen nach dem TDPSA.
Wenn Ihr Unternehmen als für die Verarbeitung Verantwortlicher gilt, müssen Sie die Erhebung personenbezogener Daten auf das beschränken, was angemessen, sachdienlich und vernünftigerweise notwendig ist, da es sich auf den Zweck bezieht, den Sie dem Verbraucher mitgeteilt haben, weshalb Sie seine Daten verarbeiten.
Die einzige Ausnahme von diesem Erfordernis ist, wenn Sie die ausdrückliche Zustimmung des Kunden zu einem anderen Vorgehen erhalten haben.
Anforderungen an die Datensicherheit
Das TDPSA verlangt von den für die Datenverarbeitung Verantwortlichen auch, die Vertraulichkeit und Integrität der von ihnen gesammelten Daten zu schützen, indem sie diese einführen, umsetzen und aufrechterhalten:
"... angemessene administrative, technische und physische Datensicherheitspraktiken, die die dem Umfang und der Art der fraglichen personenbezogenen Daten angemessen sind".
Dieser Sicherheitsteil des texanischen Datenschutz- und Sicherheitsgesetzes ist in Abschnitt 541.101 Teil (a)(2) beschrieben.
Die für die Datenverarbeitung Verantwortlichen müssen die von ihnen gesammelten personenbezogenen Daten vor Cyberkriminalität und unbefugten Datenverletzungen schützen, da sie sonst gesetzlich zur Rechenschaft gezogen werden können.
Zustimmung
Nach dem TDPSA müssen die für die Datenverarbeitung Verantwortlichen nur unter bestimmten Umständen die Zustimmung der Nutzer einholen:
- Sie müssen die Zustimmung eines Erziehungsberechtigten einholen, wenn Sie personenbezogene Daten über ein Kind unter dreizehn Jahren verarbeiten wollen.
- Eine Einwilligung ist auch erforderlich, wenn ein für die Verarbeitung Verantwortlicher personenbezogene Daten für Zwecke verarbeiten will, die weder "vernünftigerweise erforderlich" noch "mit den offengelegten Zwecken, für die die personenbezogenen Daten ursprünglich verarbeitet wurden, vereinbar" sind.
- Schließlich müssen Sie die Zustimmung der Nutzer zur Verarbeitung sensibler personenbezogener Daten einholen.
Authentifizierte Verbraucheranfragen
Nach dem TDPSA haben Verbraucher das Recht, authentifizierte Anfragen zu stellen, die von den Unternehmen auf bestimmte Weise beantwortet werden müssen.
Gemäß Abschnitt 541.051 Buchstaben a) und b) kann ein Verbraucher (oder ein Erziehungsberechtigter eines Kindes) diesen Antrag stellen, indem er angibt, welches Recht er ausüben möchte.
Der für die Verarbeitung Verantwortliche muss unverzüglich antworten, d. h. nicht länger als 45 Tage, wobei in einigen Fällen eine Verlängerung um 45 Tage möglich ist.
Als für die Verarbeitung Verantwortlicher müssen Sie mindestens zweimal pro Jahr und Verbraucher unentgeltlich antworten.
Wenn Sie den Antrag jedoch mit wirtschaftlich vertretbarem Aufwand nicht authentifizieren können, können Sie weitere Informationen von der betreffenden Person anfordern, bevor Sie ihrem Antrag nachkommen.
Das TDPSA beschreibt in Abschnitt 541.055 des Gesetzes die zugelassenen Verfahren für die Einreichung von Verbraucheranträgen.
Erstens müssen die für die Verarbeitung Verantwortlichen zwei oder mehr sichere und zuverlässige Methoden einrichten, die es den Verbrauchern ermöglichen, diese Anträge zu stellen, wobei sie Folgendes berücksichtigen müssen
- Die Art und Weise, wie Ihre Kunden normalerweise mit Ihnen interagieren
- Die Notwendigkeit einer sicheren und zuverlässigen Kommunikation
- Die Fähigkeit des für die Verarbeitung Verantwortlichen, die Identität des anfragenden Verbrauchers zu authentifizieren
Wenn Sie eine Website haben, müssen Sie den Mechanismus auf dieser Website bereitstellen.
Wenn Sie jedoch ausschließlich online tätig sind und eine direkte Beziehung zum Verbraucher haben, müssen Sie nur eine E-Mail-Adresse angeben.
Rechtlich gesehen können Sie von den Verbrauchern jedoch nicht verlangen, dass sie ein neues Konto anlegen, um ihre Rechte wahrzunehmen.
Verbraucher in Texas haben auch das Recht, gegen Ihre Entscheidung Widerspruch einzulegen, wie in Abschnitt 541.053 erläutert.
Das Rechtsbehelfsverfahren muss deutlich erkennbar sein und dem Verfahren für die Einreichung von Verbraucheranträgen entsprechen.
Datenschutz-Bewertungen
Das TDPSA verlangt von Unternehmen die Durchführung und Dokumentation von Datenschutzbewertungen, wenn Sie eine der folgenden Datenverarbeitungstätigkeiten durchführen, wie in Abschnitt 541.105 erläutert:
- Verarbeitung personenbezogener Daten für gezielte Werbung
- Beteiligung am Verkauf von personenbezogenen Daten
- Verarbeitung personenbezogener Daten zum Zwecke der Profilerstellung
- Sensible Daten verarbeiten
- Verarbeitungen von Daten, die ein erhöhtes Risiko für die Verbraucher darstellen
Bei der Bewertung müssen die direkten und indirekten Vorteile, die sich aus der Verarbeitung ergeben, gegen die potenziellen Risiken abgewogen werden, die sich daraus ergeben könnten, insbesondere im Hinblick auf die Rechte der Verbraucher.
Außerdem müssen Sie die folgenden Kriterien bei Ihren Bewertungen berücksichtigen:
- Die Verwendung deidentifizierter Daten
- Die berechtigten Erwartungen Ihrer Verbraucher
- Der Kontext der Verarbeitung
- Die Beziehung zwischen dem für die Verarbeitung Verantwortlichen und dem Verbraucher
Sie müssen Ihre Datenschutzbewertungen dem Generalstaatsanwalt zur Verfügung stellen, um ihn bei zivilrechtlichen Ermittlungen zu unterstützen. Andernfalls sollten sie vertraulich bleiben.
Das TDPSA erlaubt es Ihnen, dieselbe Datenschutzbeurteilung zu verwenden, die Sie zur Einhaltung anderer Datenschutzgesetze durchgeführt haben, solange diese anderen Gesetze ähnliche Anforderungen haben.
Vertragliche Verpflichtungen zwischen für die Verarbeitung Verantwortlichen und Auftragsverarbeitern
Wenn sich ein für die Datenverarbeitung Verantwortlicher auf einen externen Datenverarbeiter verlässt, müssen beide Parteien einen Vertrag unterzeichnen, der alle in Abschnitt 541.104, Teil (b ) des TDPSA aufgeführten Bestimmungen enthält. Diese beinhalten:
- Klare Anweisungen für die Datenverarbeitung
- Zweck und Art der Verarbeitung
- Die Art der Daten, die Gegenstand der Verarbeitung sind
- Die Dauer der Bearbeitung
- Die Rechte und Pflichten der beiden Parteien
- Die Anforderung, dass der Auftragsverarbeiter sicherstellen muss, dass jede Person, die die Daten verarbeitet, der Geheimhaltungspflicht unterliegt
- die Verpflichtung des Auftragsverarbeiters, alle Daten auf Verlangen zu löschen oder an den für die Verarbeitung Verantwortlichen zurückzugeben
- Eine Anforderung, dass der Auftragsverarbeiter dem für die Verarbeitung Verantwortlichen alle in seinem Besitz befindlichen Informationen zur Verfügung stellt, um die Einhaltung des TDPSA nachzuweisen
- die Verpflichtung des Auftragsverarbeiters, angemessene Bewertungen durch den für die Verarbeitung Verantwortlichen und den von ihm benannten Prüfer zuzulassen und mit ihnen zusammenzuarbeiten
- Die Auflage, dass der Verarbeiter nur mit Unterauftragnehmern Verträge abschließt, die dieselben Bedingungen erfüllen
Das texanische Gesetz im Vergleich zu den Datenschutzgesetzen anderer Staaten: Gemeinsamkeiten und Unterschiede
Das texanische Datenschutz- und Sicherheitsgesetz hat einige Ähnlichkeiten mit anderen US-Datenschutzgesetzen, weist aber auch einige interessante und einzigartige Unterschiede auf.
In der folgenden Tabelle wird der TDPSA mit diesen anderen aktiven oder in Kürze aktiven US-Datenschutzgesetzen verglichen:
- California Consumer Protection Act(CCPA), geändert durch den California Privacy Rights Act(CPRA) - derzeit in Kraft
- Colorado Privacy Act(CPA) - derzeit in Kraft
- Connecticut Data Privacy Act(CTDPA) - derzeit in Kraft
- Delaware Personal Data Privacy Act(DPDPA) - gültig ab 1. Januar 2025
- Florida Digital Bill of Rights(FDBR) - derzeit in Kraft
- Indiana Consumer Data Protection Act(Indiana CDPA) - gültig ab 1. Januar 2026
- Iowa Consumer Data Protection Act(Iowa CDPA) - gültig ab 1. Januar 2025
- Kentucky Consumer Data Protection Act(KCDPA) - gültig ab 1. Januar 2026
- Minnesota Consumer Data Privacy Act(MCDPA) - gültig ab 31. Juli 2025
- Maryland Online Data Privacy Act(MODPA) - gültig ab 1. Oktober 2025
- Montana Consumer Data Privacy Act(MCDPA) - gültig ab 1. Oktober 2024
- New Hampshire Data Privacy Law(NHDPL) - gültig ab 1. Januar 2025
- New Jersey Data Privacy Act(NJDPA) - gültig ab 15. Januar 2025
- Oregon Consumer Privacy Act(OCPA) - derzeit in Kraft
- Tennessee Information Protection Act(TIPA) - gültig ab 1. Juli 2025
- Utah Consumer Privacy Act(UCPA) - derzeit in Kraft
- Virginia Consumer Data Protection Act(VCDPA) - derzeit in Kraft
Die Einzelheiten finden Sie unten:
| Staatliches Recht | Opt-in-Einwilligung für bestimmte Arten der Datenverarbeitung | Opt-out-Zustimmung für bestimmte Arten der Datenverarbeitung | Muss den Nutzern eine Datenschutzrichtlinie (oder einen Hinweis) zur Verfügung stellen | Erfordert Datenschutzbeurteilungen | Umreißt vertragliche Verpflichtung mit Drittverarbeitern | Ermöglicht zivilrechtliche Klagen oder das Recht auf Privatklage | Muss die globalen Datenschutzkontrollen/Browser-Datenschutzeinstellungen beachten |
| TDPSA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| CCPA/CPRA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| CPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| CTDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| DPDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| FDBR | ✓ | ✓ | ✓ | ✓ | |||
| Indiana CDPA | ✓ | ✓ | ✓ | ✓ | |||
| Iowa CDPA | ✓ | ✓ | ✓ | ||||
| KCDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| MN CDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| MT CDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| MODPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| NHDPL | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| NJDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| OCPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| TIPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| UCPA | ✓ | ✓ | ✓ | ||||
| VCDPA | ✓ | ✓ | ✓ | ✓ |
Wie wird sich das TDPSA auf die Verbraucher auswirken?
Das TDPSA hat Auswirkungen auf die Verbraucher, indem es ihnen neue Rechte in Bezug auf die Erfassung, Verarbeitung und Nutzung ihrer persönlichen Daten einräumt.
Verbraucher im Sinne des TDPSA haben das Recht, jederzeit einen Antrag an einen für die Verarbeitung Verantwortlichen zu stellen, um ihre Rechte auszuüben.
Ein gesetzlicher Vormund kann das Gleiche im Namen eines bekannten Kindes tun, wie in Abschnitt 541.051 des Gesetzes erläutert.
Zu den Verbraucherrechten gehört es, Anträge zu stellen an:
- Bestätigen, ob ein für die Verarbeitung Verantwortlicher ihre Daten verarbeitet
- Zugang zu den über sie gesammelten persönlichen Daten
- Ungenauigkeiten in ihren Daten zu korrigieren, wobei die Art der Daten und der Zweck der Verarbeitung zu berücksichtigen sind
- Löschung der vom Verbraucher zur Verfügung gestellten oder über ihn erhaltenen Daten
- eine tragbare Kopie ihrer Daten zu erhalten, wenn diese in einem digitalen Format verfügbar sind
Die Verbraucher haben auch das Recht auf Nichtdiskriminierung und das Recht, der Verarbeitung personenbezogener Daten für gezielte Werbung, den Verkauf ihrer Daten oder die Profilerstellung zu widersprechen.
Unternehmen, die beglaubigte Anträge erhalten, müssen diesen unverzüglich und innerhalb von 45 Tagen nachkommen, wobei eine Verlängerung von 45 Tagen möglich ist.
Wen schützt das TDPSA?
Das TDPSA gilt nur für personenbezogene Daten natürlicher Personen, die in Texas ansässig sind, und zwar nur für persönliche Daten oder Haushaltsdaten.
Sie schützt nicht die Daten von Personen, die in diesem Staat in einem kommerziellen oder beruflichen Kontext tätig sind.
Welche Auswirkungen hat das TDPSA auf die Unternehmen?
Die Unternehmen müssen damit rechnen, dass das TDPSA in mehrfacher Hinsicht Auswirkungen haben wird.
Neben der Schaffung eines Verfahrens zur Authentifizierung von Verbraucheranfragen und der Durchführung von Datenschutzbewertungen beschreibt dieses Gesetz einige Rechte, die Ihre Datenschutzpolitik und die Konfiguration Ihres Einwilligungsbanners verändern werden.
Außerdem müssen Websites eine Möglichkeit schaffen, die universellen Opt-out-Einstellungen in den Browsern der Nutzer zu berücksichtigen.
Lassen Sie uns diese drei Aspekte des Gesetzes näher erläutern.
Wie wirkt sich das TDPSA auf meine Datenschutzpolitik aus?
Das TDPSA beschreibt in Abschnitt 541.102 des Gesetzes spezifische Anforderungen an Datenschutzhinweise (auch bekannt als Datenschutzpolitik).
Die für die Verarbeitung Verantwortlichen müssen den Verbrauchern eine leicht zugängliche und klare Datenschutzerklärung zur Verfügung stellen, in der alle folgenden Informationen erläutert werden:
- Die Kategorien der verarbeiteten personenbezogenen Daten, einschließlich sensibler Daten
- Der Zweck der Verarbeitung der Daten
- Wie Verbraucher ihre Rechte wahrnehmen können und wie sie gegen die Entscheidung vorgehen können
- Gegebenenfalls die Kategorien der mit Dritten geteilten Daten
- die Kategorien der Dritten, an die Sie die Daten weitergeben, falls vorhanden
- Eine Beschreibung, wie Verbraucher Anträge zur Ausübung ihrer Rechte gemäß dem TDPSA stellen können
Wenn Sie als für die Verarbeitung Verantwortlicher gelten und sensible personenbezogene Daten oder biometrische Informationen verkaufen, müssen Sie außerdem den folgenden Hinweis "an derselben Stelle und in derselben Weise wie den Datenschutzhinweis" anbringen:
- HINWEIS: Wir können Ihre sensiblen persönlichen Daten verkaufen
- HINWEIS: Wir können Ihre biometrischen personenbezogenen Daten verkaufen.
Wie wird sich das TDPSA auf meine Cookie Banner auswirken?
Das TDPSA bezieht sich zwar nicht direkt auf Cookie-Banner, aber mehrere Bestimmungen wirken sich darauf aus, wie ein Unternehmen diese auf seiner Plattform anzeigen sollte.
Gemäß Abschnitt 541.051 des Gesetzes haben die Verbraucher das Recht, dem Verkauf ihrer personenbezogenen Daten, der gezielten Werbung und der Profilerstellung zu widersprechen, und die für die Verarbeitung Verantwortlichen müssen ihre Nutzer über diese Aktivitäten informieren.
Da Websites in der Regel auf Internet-Cookies angewiesen sind, um diese Vorgänge zu unterstützen, müssen Sie auf Ihrem Banner cookie consent eine Opt-out-Option anbieten und einen Link zu einer entsprechenden Datenschutz- oder Cookie-Richtlinie einfügen, um diese rechtliche Anforderung zu erfüllen.
So können die Verbraucher in angemessener Weise kontrollieren, ob sie von Ihrer Website verfolgt und/oder profiliert werden.
Eine Opt-out-Option ist auch erforderlich, wenn die Cookies eines für die Verarbeitung Verantwortlichen sensible personenbezogene Daten oder Informationen von bekannten Kindern verarbeiten.
Wenn dies auf Ihr Unternehmen zutrifft, achten Sie genau auf die TDPSA-Definition der Zustimmung, insbesondere auf die Vermeidung von dunklen Mustern und automatischem Opt-in durch Hovering, damit Sie nicht gegen das Gesetz verstoßen.
Besondere Bestimmungen für universelle Opt-Out-Signale
Das texanische Datenschutz- und Sicherheitsgesetz beschreibt in Abschnitt 541.055 Teile (e) und (f) die Anforderungen an für die Verarbeitung Verantwortliche und Verbraucher in Bezug auf die Verwendung von universellen Opt-out-Mechanismen.
Konkret heißt es, dass die Verbraucher dies tun können:
"eineandere Person zu benennen, die als Bevollmächtigter des Verbrauchers fungiert und im Namen des Verbrauchers handelt, um der Verarbeitung der personenbezogenen Daten des Verbrauchers zu widersprechen..."
Dazu gehören universelle Opt-out-Mechanismen wie Global Privacy Controls (GPC) oder die kommende Google Privacy Sandbox.
Diese Funktionen ermöglichen es dem Einzelnen, sich direkt in seinem Browser abzumelden, der dann Signale an die von ihm besuchten Websites sendet, in denen er seine Präferenzen mitteilt.
Nach dem TDPSA kann ein Verbraucher:
"... einen Bevollmächtigten zu benennen, der eine Technologie, einschließlich eines Links zu einer Internet Website, eine Einstellung oder Erweiterung des Internetbrowsers oder eine globale Einstellung auf einem elektronischen Gerät, die es dem Verbraucher ermöglicht, seine Absicht anzuzeigen, die Verarbeitung zu beenden Verarbeitung."
Sie erklärt, dass der für die Verarbeitung Verantwortliche diesen Opt-out-Anträgen nachkommen muss, solange er mit wirtschaftlich vertretbarem Aufwand die Identität des Verbrauchers und die Befugnis des Bevollmächtigten, in dessen Namen zu handeln, überprüfen kann.
Diese Bestimmungen über universelle Opt-out-Mechanismen für Verbraucher treten am 1. Januar 2025 in Kraft, einige Monate nach Inkrafttreten des restlichen Gesetzes.
Wer muss sich an das neue texanische Datenschutzgesetz halten?
Gemäß Abschnitt 541.002 des TDPSA muss Ihr Unternehmen dieses Gesetz einhalten, wenn es die folgenden Schwellenwerte erfüllt:
- in Texas geschäftlich tätig ist oder Waren oder Dienstleistungen herstellt, die von Einwohnern des Bundesstaates verbraucht werden
- Verarbeitet oder verkauft persönliche Daten
- Es handelt sich nicht um ein kleines Unternehmen gemäß der Definition der US-amerikanischen Small Business Administration(SBA), d. h. um Unternehmen mit weniger als 500 Mitarbeitern, es sei denn, das Unternehmen verkauft sensible personenbezogene Daten.
Dies ist ein einzigartiger rechtlicher Rahmen, insbesondere im Vergleich zu anderen Datenschutzgesetzen in den USA, die sich traditionell auf bestimmte Geld- und Datenverarbeitungsschwellen stützen.
Wer ist von der TDPSA ausgenommen?
Alle folgenden Personen oder Einrichtungen sind von der Einhaltung der im texanischen Datenschutz- und Sicherheitsgesetz festgelegten Anforderungen befreit:
- Staatliche Stellen oder politische Untergliederungen von Texas
- Finanzinstitute, die unter Titel V des Gramm-Leach-Bliley Act(GLBA) fallen
- Betroffene Einrichtungen oder Geschäftspartner, die den Datenschutz-, Sicherheits- und Meldevorschriften des HIPAA unterliegen
- Gemeinnützige Unternehmen
- Einrichtungen der Hochschulbildung
- Elektrizitätsversorgungsunternehmen, Stromerzeugungsunternehmen und Stromeinzelhandelsunternehmen
Wie können sich Unternehmen auf das TDPSA vorbereiten?
Unternehmen können sich auf folgende Weise auf den TDPSA vorbereiten, um erfolgreich zu sein.
Datenschutzbestimmungen
Zunächst müssen Sie eine Datenschutzrichtlinie erstellen, um alle im Gesetzestext beschriebenen rechtlichen Verpflichtungen zu erfüllen. Wenn Sie bereits eine haben, sollten Sie sie aktualisieren.
Verwaltung von Einwilligungen
Sie sollten auch Ihre Cookie-Richtlinie erstellen - oder aktualisieren - und Opt-out-Optionen in die Konfiguration Ihres Einwilligungsbanners aufnehmen, insbesondere wenn Sie diese für gezielte Werbung verwenden, da die Verbraucher in Texas das Recht haben, sich von dieser Art der Datenverarbeitung zurückzuziehen.
Wenn Sie sensible Daten sammeln, müssen Sie die Zustimmung Ihrer Nutzer einholen.
Die Verwendung unserer Consent Management Platform für Ihre Website oder App kann Ihnen helfen, diese Opt-in- und Opt-out-Verpflichtungen zu erfüllen.
Anträge auf Zugang zu personenbezogenen Daten
Um Ihren texanischen Verbrauchern ein geeignetes Mittel zur Verfügung zu stellen, mit dem sie ihre Datenschutzrechte einfordern können, sollten Sie auf Ihrer Plattform einDSAR-Formular (Data Subject Access Request) bereitstellen und daran denken, in Ihrer Datenschutzrichtlinie darauf zu verweisen.
DPA
Je nach Ihrer Funktion und der Art der von Ihnen verarbeiteten Daten müssen Sie möglicherweise Datenschutzbewertungen durchführen.
Wenn Sie die Informationen mit anderen teilen oder sich auf einen dritten Datenverarbeiter verlassen, sollten Sie auch Verträge erstellen, die alle TDPSA-Richtlinien erfüllen.
Sicherheit
Schließlich müssen Sie geeignete Sicherheitsmaßnahmen zum Schutz dieser personenbezogenen Daten ergreifen.
Wie wird das TDPSA durchgesetzt?
Der texanische Generalstaatsanwalt hat die ausschließliche Vollstreckungsbefugnis im Rahmen des TDPSA.
Gemäß den Abschnitten 541.151 bis 541.154 des Gesetzes werden auf der Website des Generalstaatsanwalts Informationen über die Verantwortlichkeiten der für die Verarbeitung Verantwortlichen und der Auftragsverarbeiter, über die Rechte der Verbraucher und über einen Mechanismus, über den die Verbraucher TDPSA-Beschwerden einreichen können, verfügbar sein.
Der Generalstaatsanwalt kann ein zivilrechtliches Ermittlungsersuchen stellen, wenn er begründeten Anlass zu der Annahme hat, dass eine Person gegen das TDPSA verstößt, und er kann verlangen, dass ein für die Verarbeitung Verantwortlicher alle für die Untersuchung relevanten Datenschutzbeurteilungen offenlegt, um die Einhaltung der Vorschriften zu beurteilen.
Die Einrichtung hat dann 30 Tage Zeit, den Verstoß zu beheben und dem Generalstaatsanwalt eine schriftliche Erklärung vorzulegen:
- dass Sie den Verstoß behoben haben
- Sie haben den Verbraucher darüber informiert, dass Sie sich mit seinem Datenschutzproblem befasst haben.
- Unterstützende Dokumentation, die zeigt, wie Sie das Vergehen behoben haben
- die Änderungen an den internen Richtlinien, die sicherstellen sollen, dass es nicht zu weiteren Verstößen dieser Art kommt
Geldbußen und Strafen nach dem texanischen Datenschutz- und Sicherheitsgesetz
Gemäß Abschnitt 541.155 droht Personen, die das texanische Datenschutz- und Sicherheitsgesetz nach Ablauf der 30-tägigen Frist nicht einhalten, eine Geldstrafe von bis zu 7.500 US-Dollar pro Verstoß.
Der Generalstaatsanwalt kann auch die folgenden Maßnahmen ergreifen:
- Wiedereinziehung zivilrechtlicher Sanktionen
- die Person an der Verletzung des TDPSA zu hindern oder ihr diese zu untersagen
- Unterlassungsansprüche geltend machen
- Erstattung von Anwaltsgebühren und anderen angemessenen Kosten, die bei der Untersuchung entstanden sind
Die durch dieses Gesetz geschützten Verbraucher haben jedoch kein privates Klagerecht.
Wie kann Termly bei der Einhaltung des TDPSA helfen?
Termly kann Ihnen bei der Anwendung des texanischen Datenschutz- und Sicherheitsgesetzes helfen, indem wir Ihnen die Tools und Ressourcen zur Verfügung stellen, die Sie benötigen, um Ihre Website oder App so einzurichten, dass sie die Vorschriften vollständig erfüllt.
Unser Team hat bereits die notwendigen Änderungen an unserem Datenschutzerklärung Generator vorgenommen, um die durch dieses neue staatliche Gesetz auferlegten Verpflichtungen zu erfüllen.
Sie können auch unsere consent management platform so konfigurieren, dass es die von der TDPSA beschriebenen Zustimmungsanforderungen erfüllt.
Wir arbeiten hart daran, über neue und sich entwickelnde Datenschutzgesetze auf der ganzen Welt auf dem Laufenden zu bleiben, damit unsere Kunden sicher sein können, dass die Tools, die sie auf ihrer Plattform verwenden, auch wirklich die aktuelle Datenschutzlandschaft widerspiegeln.
Gibt es in Texas noch andere Gesetze, die sich auf die Privatsphäre beziehen?
Das TDPSA ist das erste texanische Datenschutzgesetz, das für Online-Verbraucherdaten gilt.
Der Bundesstaat verfügt jedoch auch über Gesetze wie das Texas Medical Records Privacy Act, das sensible Gesundheits- und medizinische Daten vor der Freigabe zu Marketingzwecken ohne die Zustimmung des Betroffenen schützt.
Außerdem gibt es das texanische Gesetz zur Durchsetzung und zum Schutz von Identitätsdiebstahl (Texas Identity Theft Enforcement and Protection Act), das Polizeibeamte in verschiedenen texanischen Gerichtsbezirken dazu verpflichtet, Berichte zu verfassen und Kopien davon zu erstellen, wenn eine in ihrer Region lebende Person mutmaßlich Opfer eines Identitätsverbrechens wird.
Zusammenfassung
Sie wissen jetzt, wie Sie Ihr Unternehmen auf das texanische Datenschutz- und Sicherheitsgesetz vorbereiten können:
- Aktualisieren Sie ihre Datenschutzpolitik
- Fügen Sie Abmeldeoptionen zu ihren cookie consent Bannern hinzu.
- Durchführung von Datenschutzbewertungen nach Bedarf
- Einhaltung der vertraglichen Verpflichtungen mit dritten Datenverarbeitern
- Einführung einer Methode zur Berücksichtigung von universellen Opt-out-Mechanismen für Verbraucher (vor dem 1. Januar 2025)
Sie können das alles selbst erledigen oder sich den Ärger ersparen und die Compliance-Tools von Termlynutzen, wie unsere Datenschutzerklärung Generator und Consent Management Platform.
Wir vereinfachen die Einhaltung des Datenschutzes, auch bei neuen und künftigen Gesetzen wie dem TDPSA.
Mehr über die Autorin
Geschrieben von Josh Langeland, CIPM
Hallo, ich bin Josh! Ich bin ein Privacy Engineer, der sich leidenschaftlich für den Einsatz von Technologie zur Wahrung der Privatsphäre der Nutzer einsetzt. Ich fühle mich an der Schnittstelle zwischen komplexer Technologie und sich ständig änderndem Datenschutzrecht wohl. Wenn ich nicht gerade eine Entwurfsprüfung durchführe oder ein System neu architektiere, lese ich vielleicht eine Biografie oder gehe im nächstgelegenen Nationalpark wandern. Mehr über die Autorin
