UCPA: Utahs Verbraucherschutzgesetz erklärt 

Abgedeckt durch Termly

von: Anokhy Desai CIPP/US, CIPT, CIPM Anokhy Desai CIPP/US, CIPT, CIPM | Aktualisiert am: Januar 17, 2025

Kostenlose Compliance-Lösung
UCPA-Utah-Verbraucherschutzgesetz-01

Utah hat im März 2022 den Utah Consumer Privacy Act verabschiedet und ist damit einer der ersten Bundesstaaten der USA, der ein umfassendes Gesetz zum Schutz der Privatsphäre von Verbrauchern erlassen hat.

Im Folgenden fasse ich die Anforderungen des UCPA zusammen, einschließlich der Auswirkungen auf die Unternehmen, der Rechte, die es den Verbrauchern einräumt, der Maßnahmen zur Einhaltung des Gesetzes und der Strafen für Verstöße gegen das Gesetz.

Inhaltsübersicht
  1. Was ist das Utah Consumer Privacy Act (UCPA)?
  2. UCPA Schlüsselbegriffe und Definitionen
  3. Wann trat das Utah Consumer Privacy Act in Kraft?
  4. Wen schützt das UCPA?
  5. Wer muss sich an das UCPA halten?
  6. Rechte der Verbraucher auf Datenschutz
  7. UCPA-Geschäftsanforderungen
  8. Verwendung von Termly für die UCPA-Konformität
  9. Zusammenfassung

Was ist das Utah Consumer Privacy Act (UCPA)?

Der Utah Consumer Privacy Act(UCPA) ist ein Datenschutzgesetz auf US-Bundesstaatsebene, das die persönlichen Daten der Einwohner von Utah schützt.

Das UCPA gilt als unternehmensfreundlicheres Gesetz, das den Verbrauchern Rechte einräumt, den Unternehmen Pflichten auferlegt und Sanktionen bei Nichteinhaltung der Vorschriften vorsieht.

UCPA Schlüsselbegriffe und Definitionen

Um Ihnen das Verständnis des UCPA zu erleichtern, habe ich nachstehend eine Liste mit einigen Schlüsselbegriffen und ihren Definitionen, so wie sie im Gesetzestext erscheinen, beigefügt.

Utah ist einer der wenigen Staaten, in denen die Angabe der Rasse oder der ethnischen Herkunft nicht zu den sensiblen persönlichen Daten gehört.

Wann trat das Utah Consumer Privacy Act in Kraft?

Das UCPA trat am 31. Dezember 2023 in Kraft und ist vollständig in Kraft.

Wen schützt das UCPA?

Das UCPA schützt die personenbezogenen Daten von Einwohnern des Bundesstaates Utah, die nur als Einzelpersonen oder Haushalte handeln.

Sie gilt nicht für Personen, die sich aus geschäftlichen oder beruflichen Gründen im Land aufhalten.

Wer muss sich an das UCPA halten?

Ihr Unternehmen muss das UCPA einhalten, wenn Sie in Utah geschäftlich tätig sind oder Ihre Waren und Dienstleistungen den Einwohnern von Utah zur Verfügung stehen, Sie einen Jahresumsatz von mindestens 25 Millionen Dollar haben und Sie einen der folgenden Schwellenwerte erfüllen:

  • Sie verarbeiten oder kontrollieren personenbezogene Daten von mindestens 100.000 Verbrauchern oder
  • Sie verarbeiten oder kontrollieren die personenbezogenen Daten von mindestens 25.000 Verbrauchern und erzielen mehr als 50 % Ihrer Einnahmen aus dem Verkauf personenbezogener Daten.

Sie sind vom UCPA ausgenommen, wenn Sie als Auftragnehmer der Regierung Daten verarbeiten oder wenn es sich bei Ihrer Organisation um eine gemeinnützige Organisation oder eine Hochschuleinrichtung handelt.

Rechte der Verbraucher auf Datenschutz

Das Datenschutzgesetz von Utah gibt den Verbrauchern die folgenden Rechte in Bezug auf ihre persönlichen Daten:

  • Bestätigen Sie, ob ein für die Verarbeitung Verantwortlicher ihre Daten verarbeitet
  • Zugang zu den über sie gesammelten Daten
  • Antrag auf Löschung ihrer persönlichen Daten
  • eine tragbare Kopie ihrer Daten zu erhalten
  • Abmeldung von gezielter Werbung
  • Widerspruch gegen den Verkauf von personenbezogenen Daten
  • Nicht-Diskriminierung bei der Durchsetzung ihrer Rechte

Im Gegensatz zu den meisten anderen Datenschutzgesetzen in den USA haben die Verbraucher in Utah nicht das Recht, ihre Daten zu korrigieren oder der Profilerstellung zu widersprechen.

UCPA-Geschäftsanforderungen

Nachfolgend fasse ich die wichtigsten Anforderungen der UCPA an die Unternehmen zusammen.

Richtlinien zur Datenschutzpolitik

Nach dem UCPA müssen Unternehmen den Nutzern eine Datenschutzerklärung vorlegen, die die folgenden Informationen enthält:

  • Die Kategorien der verarbeiteten personenbezogenen Daten
  • Der Zweck der Verarbeitung
  • Wie Verbraucher ihre Rechte wahrnehmen können
  • Gegebenenfalls die Kategorien der mit Dritten geteilten Daten
  • Die Kategorien der Dritten, an die die Daten weitergegeben werden, falls vorhanden
  • Ein auffälliger Hinweis auf das Recht der Verbraucher, dem Verkauf ihrer Daten und gezielter Werbung zu widersprechen

Verwaltung von Einwilligungen

Unternehmen, die dem UCPA unterliegen, müssen bei bestimmten Arten der Datenverarbeitung die Präferenzen der Verbraucher im Einklang mit dem Gesetz verwalten.

So müssen Sie beispielsweise eine Möglichkeit einrichten, mit der Ihre Verbraucher dem Verkauf ihrer Daten und gezielter Werbung problemlos widersprechen können.

Auch wenn für die Verarbeitung sensibler Daten keine Zustimmung erforderlich ist, müssen Sie den Verbrauchern die Möglichkeit geben, sich dagegen zu entscheiden.

Dies lässt sich erreichen, indem Sie auf Ihrer Website ein Einwilligungsbanner mit einem Link zu Ihrer Cookie-Richtlinie und einem Einstellungszentrum einfügen, in dem die Verbraucher ihre Meinung jederzeit ändern können.

Vertragliche Verpflichtungen

Nach dem UCPA müssen die für die Verarbeitung Verantwortlichen und die Auftragsverarbeiter Verträge abschließen, die Folgendes vorsehen 

  • Geben Sie die Anweisungen für die Verarbeitung, ihre Art, den Zweck und die Art der Daten, die verarbeitet werden sollen, an,
  • Geben Sie auch Informationen über die Dauer der Verarbeitung und die Rechte beider Parteien an,
  • Alle Personen, die Daten verarbeiten, müssen zur Vertraulichkeit verpflichtet werden,
  • Verarbeiter sollten verpflichtet werden, Unterauftragnehmer in einem Vertrag zu verpflichten, der dieselben Bestimmungen enthält.

Diese Anforderungen sind weniger umfassend als andere Datenschutzgesetze auf US-Bundesebene.

Beantwortung von Anfragen von Verbrauchern

Nach dem UCPA sind die Unternehmen dafür verantwortlich, die Identität der Verbraucher zu überprüfen, die einen Antrag auf Wahrnehmung ihrer Datenschutzrechte stellen.

Die für die Verarbeitung Verantwortlichen haben 45 Tage Zeit, um eine Antwort zu übermitteln. Diese Frist kann je nach Komplexität der Anfrage um weitere 45 Tage verlängert werden, wenn dies angemessen ist.

Sie dürfen für diese Anfragen keine Gebühren erheben, es sei denn, es handelt sich um die zweite Anfrage eines Verbrauchers innerhalb eines Zeitraums von 12 Monaten.

Richtlinien zur Datensicherheit

Nach dem Utah Consumer Privacy Act müssen die für die Verarbeitung Verantwortlichen Sicherheitspraktiken anwenden, um die personenbezogenen Daten der Verbraucher zu schützen.

Diese Praktiken umfassen administrative, technische und physische Maßnahmen.

Bei der Entscheidung darüber, welche Sicherheitsmaßnahmen in Ihrem Fall angemessen sind, erlaubt Ihnen das Gesetz, die Größe Ihres Unternehmens, die Art der personenbezogenen Daten und die Menge der von Ihnen verarbeiteten Daten zu berücksichtigen.

Strafen für Verstöße gegen das UCPA

Verstöße gegen das Utah Consumer Privacy Act können mit zwei Arten von Bußgeldern oder Strafen geahndet werden:

  • der tatsächliche Schaden des Verbrauchers, der durch den Gesetzesverstoß des Unternehmens entstanden ist
  • Ein maximales Bußgeld von $7.500 pro Verstoß

Der Generalstaatsanwalt setzt das Gesetz durch, und die Verbraucher haben kein privates Klagerecht.

Verwendung von Termly für die UCPA-Konformität

Unternehmen können die gesamte Palette der Compliance-Lösungen von Termlynutzen, um die Erfüllung der Anforderungen des UCPA zu vereinfachen.

Unser Datenschutzerklärung Generator enthält alle notwendigen Funktionen und Klauseln, um die Transparenz- und Offenlegungsrichtlinien des Datenschutzgesetzes von Utah zu erfüllen.

Es stellt einfache Fragen zu Ihrem Unternehmen und Ihrer Datenverarbeitung und erstellt dann auf der Grundlage Ihrer Antworten eine umfassende Richtlinie.

Wir bieten auch eine Consent Management Platform (CMP) an, die so konfiguriert werden kann, dass sie die im Gesetz beschriebenen Opt-out-Anforderungen erfüllt.

Es enthält ein kostenloses Formular zur Beantragung des Zugangs zu Daten, das Sie auf Ihrer Website verlinken können, damit die Verbraucher in Utah ihre Datenschutzrechte problemlos wahrnehmen können.

Zusammenfassung

Wenn Ihr Unternehmen dem UCPA unterliegt, sollten Sie einige wichtige Schritte unternehmen, um die Vorschriften zu erfüllen.

Vergewissern Sie sich, dass Sie über eine aktualisierte Datenschutzrichtlinie verfügen, die alle im Datenschutzgesetz von Utah festgelegten Benachrichtigungsanforderungen erfüllt. Fügen Sie auf Ihrer Website ein Einwilligungsbanner mit einem Präferenzzentrum ein, damit die Verbraucher ihre Opt-out-Rechte wahrnehmen können.

Denken Sie daran, angemessene Sicherheitsmaßnahmen zu ergreifen, um alle von Ihnen erfassten personenbezogenen Daten vor unbefugtem Zugriff, Verstößen und anderen Risiken zu schützen.

Erleichtern Sie sich die Einhaltung von Vorschriften, indem Sie die Lösungen von Termlynutzen, um die Anforderungen des UCPA und verschiedener anderer Datenschutzgesetze aus aller Welt zu erfüllen.

Anokhy Desai CIPP/US, CIPT, CIPM
Mehr über die Autorin

Geschrieben von Anokhy Desai CIPP/US, CIPT, CIPM

Anokhy ist Anwältin für Datenschutz mit Erfahrung in den Bereichen Datenschutz und Cybersicherheit im öffentlichen und privaten Sektor. Als ehemalige Westin Fellow bei der IAPP veröffentlichte sie mehrere Artikel, White Papers und Infografiken und leitete, koordinierte und moderierte Webinare und Diskussionsrunden zu den Themen Datenschutz und Datenschutztechnologie in den USA. Anokhy erwarb ihren Master an der Carnegie Mellon University und ihren Juris Doctor an der University of Pittsburgh. Mehr über die Autorin

Verwandte Artikel

Weitere Artikel ansehen