Das Virginia Consumer Data Protection Act (VCDPA ) ist ein umfassendes Datenschutzgesetz, das die Menschen in Virginia schützt und im Jahr 2021 in Kraft getreten ist.
In diesem Leitfaden erkläre ich die Anforderungen des VCDPA und wie es sich auf Unternehmen und Verbraucher auswirkt und stelle Ihnen Ressourcen zur Verfügung, die Ihnen die Einhaltung der Vorschriften erleichtern.
- Was ist das Verbraucherdatenschutzgesetz von Virginia (VCDPA)?
- VCDPA Schlüsselbegriffe und Definitionen
- Wann ist das Verbraucherdatenschutzgesetz von Virginia in Kraft getreten?
- Wen schützt das VCDPA?
- Wer muss sich an das VCDPA halten?
- Rechte der Verbraucher auf Datenschutz
- VCDPA Geschäftsanforderungen
- Sanktionen für Verstöße gegen das VCDPA
- Verwendung von Termly für die VCDPA-Konformität
- Zusammenfassung
Was ist das Verbraucherdatenschutzgesetz von Virginia (VCDPA)?
Der Virginia Consumer Data Protection Act(VCDPA) ist ein Datenschutzgesetz auf US-Bundesstaatsebene, das die persönlichen Daten der Einwohner von Virginia schützt.
Es beschreibt die Anforderungen, die Unternehmen erfüllen müssen, um personenbezogene Daten rechtmäßig zu erheben, zu verarbeiten und zu nutzen, räumt den Verbrauchern verschiedene Rechte ein und beschreibt die Strafen für Verstöße gegen das Gesetz.
Virginia war einer der ersten vier US-Bundesstaaten, die ein Gesetz zum Schutz der Privatsphäre von Verbrauchern verabschiedet haben, das dem California Consumer Privacy Act (CCPA) ähnelt.
VCDPA Schlüsselbegriffe und Definitionen
Im Folgenden habe ich eine Liste der wichtigsten Begriffe und Definitionen aus dem Text des VCDPA zusammengestellt, damit Sie den Geltungsbereich des Gesetzes besser verstehen.
Wann ist das Verbraucherdatenschutzgesetz von Virginia in Kraft getreten?
Das VCDPA trat am 1. Januar 2023 in Kraft.
Eine Änderung des VCDPA, die den Schutz der Privatsphäre von Kindern verstärkt, trat am 1. Januar 2025 in Kraft.
Wen schützt das VCDPA?
Das VCDPA gilt für jeden Einwohner von Virginia, der als Einzelperson oder als Haushalt handelt.
Sie gilt nicht für Personen, die im Staat in einem kommerziellen oder arbeitsrechtlichen Kontext handeln.
Wer muss sich an das VCDPA halten?
Ihr Unternehmen muss das VCDPA einhalten, wenn Sie in Virginia geschäftlich tätig sind oder sich mit Ihren Produkten und Dienstleistungen an Einwohner von Virginia wenden und einen der beiden Schwellenwerte erfüllen:
- die personenbezogenen Daten von 100.000 Verbrauchern innerhalb eines Kalenderjahres kontrolliert oder verarbeitet oder
- Kontrolliert oder verarbeitet die personenbezogenen Daten von 25.000 Verbrauchern und erzielt 50 % der Bruttoeinnahmen aus dem Verkauf personenbezogener Daten.
Die folgenden Einrichtungen sind jedoch vom VCDPA ausgenommen:
- Banken oder Finanzinstitute
- Staatliche Stellen
- Gemeinnützige Organisationen
- Hochschulen und Universitäten
Es gibt auch Ausnahmen für bestimmte Arten von Informationen, zu denen die folgenden gehören:
- Unternehmen, die in einem kommerziellen oder arbeitsrechtlichen Kontext handeln
- Informationen gemäß dem Health Insurance Portability and Accountability Act (HIPAA)
- Persönliche Daten, die unter den Family Educational Rights and Privacy Act (FERPA) fallen
- Informationen und Daten im Zusammenhang mit Kreditauskünften, wie sie im bundesstaatlichen Fair Credit Reporting Act (FCRA) geregelt sind
- Informationen und Daten im Zusammenhang mit Fahrzeugführerinformationen, wie sie im Bundesgesetz zum Schutz der Privatsphäre von Fahrern von 1994 geregelt sind
- Informationen und Daten, die unter Titel V des Gramm-Leach-Bliley Act (15 U.S.C. § 6801 et seq.) fallen, der Banken und Finanzinstitute reguliert
Rechte der Verbraucher auf Datenschutz
Das VCDPA räumt den Verbrauchern bestimmte Rechte in Bezug auf die Erhebung und Verwendung ihrer personenbezogenen Daten ein, darunter die folgenden:
- Bestätigen, ob ein für die Verarbeitung Verantwortlicher ihre Daten verarbeitet
- Zugang zu ihren persönlichen Daten
- Ungenauigkeiten in ihren Daten zu korrigieren
- Antrag auf Löschung durch Unternehmen
- Erhalt einer Kopie der persönlichen Daten
- Abmeldung von der Verarbeitung personenbezogener Daten für gezielte Werbung
- dem Verkauf ihrer persönlichen Daten widersprechen
- Abmeldung vom Profiling
- Nicht-Diskriminierung bei der Ausübung von Rechten
- Eine Beschwerde über Rechtsverletzungen einreichen
VCDPA Geschäftsanforderungen
Im Folgenden habe ich die wichtigsten geschäftlichen Anforderungen zusammengefasst, die das Datenschutzgesetz von Virginia vorsieht.
Rechtmäßige Verarbeitung von Daten
Nach dem VCDPA müssen Unternehmen die Erhebung personenbezogener Daten auf das beschränken, was im Hinblick auf den dem Verbraucher mitgeteilten Zweck der Verarbeitung angemessen, relevant und vernünftigerweise erforderlich ist.
Die betroffenen Unternehmen dürfen auch keine sensiblen Daten von Verbrauchern verarbeiten, ohne zuvor deren ausdrückliche Zustimmung einzuholen.
Richtlinien zur Datenschutzpolitik
Das VCDPA verlangt von den Unternehmen, dass sie den Nutzern einen klaren, leicht zugänglichen und aussagekräftigen Datenschutzhinweis geben, der die folgenden Informationen enthält:
- Der Zweck der Verarbeitung personenbezogener Daten
- Kategorien der verarbeiteten Daten
- Kategorien von Daten, die an Dritte weitergegeben werden
- Kategorien von Daten, die an Dritte verkauft werden
- Offenlegung der Kategorien von Dritten selbst
- Erläutert, wie Verbraucheranträge gestellt werden können
- Bietet einen Mechanismus zur Anfechtung von Entscheidungen im Zusammenhang mit Verbraucheranträgen
- die Verarbeitung personenbezogener Daten für gezielte Werbung deutlich offenlegt
- Recht auf Ablehnung der Verarbeitung von Daten
Verwaltung von Einwilligungen
Nach dem VCDPA müssen Unternehmen für bestimmte Arten der Datenverarbeitung, einschließlich der Erhebung sensibler Daten, die ausdrückliche und bestätigende Zustimmung der Verbraucher einholen.
Die Zustimmung nach dem VCDPA muss ausdrücklich, in Kenntnis der Sachlage und unmissverständlich sein.
Aber Sie müssen den Verbrauchern auch die Möglichkeit geben, sich gegen gezielte Werbung, den Verkauf ihrer Daten und die Profilerstellung zu entscheiden .
Unternehmen, die unter dieses Gesetz fallen, müssen Lösungen für das Einwilligungsmanagement implementieren, damit die Einwohner von Virginia diese Rechte problemlos wahrnehmen können.
Vertragliche Verpflichtungen
Jeder für die Datenverarbeitung Verantwortliche, der sich auf einen Dritten als Datenverarbeiter verlässt, muss einen Vertrag abschließen und von beiden Parteien unterzeichnen lassen, in dem die folgenden Bestimmungen festgelegt sind:
- Stellen Sie sicher, dass alle Personen, die Daten verarbeiten, zur Vertraulichkeit verpflichtet sind,
- Löschung oder Rückgabe aller Daten bei Vertragsende auf Anweisung des für die Verarbeitung Verantwortlichen,
- alle Informationen, die sich im Besitz des Auftragsverarbeiters befinden, dem für die Verarbeitung Verantwortlichen auf dessen begründetes Ersuchen hin zur Verfügung zu stellen, um die Einhaltung der gesetzlichen Bestimmungen nachzuweisen,
- Kooperieren Sie mit dem für die Verarbeitung Verantwortlichen oder einem externen Prüfer und lassen Sie angemessene Bewertungen zu,
- Beauftragen Sie alle Unterauftragnehmer mit einem schriftlichen Vertrag, der denselben Richtlinien folgt.
Beantwortung von Verbraucheranfragen
Unternehmen, die unter das VCDPA fallen, müssen auf Anfragen von Verbrauchern zur Durchsetzung ihrer Rechte innerhalb einer Frist von 45 Tagen reagieren.
Diese Frist kann bei Bedarf um weitere 45 Tage verlängert werden, je nach Komplexität und Anzahl der bei dem Unternehmen eingehenden Anträge.
Nach dem VCPDA müssen Unternehmen bis zu zweimal pro Jahr kostenlos Antworten auf Verbraucheranfragen geben.
Die Unternehmen sind dafür verantwortlich, die Identität des Verbrauchers, der eine Anfrage gestellt hat, zu überprüfen, bevor sie eine Antwort senden. Falls erforderlich, dürfen Sie weitere Informationen von der Person anfordern, um deren Identität zu bestätigen.
Rechtsmittelverfahren
Das VCDPA verlangt von den Unternehmen, dass sie ein Verfahren einrichten, mit dem Verbraucher gegen Ihre Entscheidung, auf eine Anfrage zur Wahrung ihrer Datenschutzrechte nicht zu reagieren, Widerspruch einlegen können.
Das Verfahren muss für den Verbraucher genauso einfach sein wie das ursprüngliche Einreichen eines Antrags, und Sie müssen innerhalb von 60 Tagen nach Eingang des Antrags antworten.
Datenschutz-Bewertungen
Unternehmen, die unter das VCDPA fallen, müssen Datenschutzbewertungen für die folgenden Datenverarbeitungsaktivitäten durchführen:
- Verarbeitung personenbezogener Daten für gezielte Werbung
- Verkauf von personenbezogenen Daten
- Verarbeitung personenbezogener Daten zum Zwecke der Profilerstellung
- Verarbeitung sensibler personenbezogener Daten
- Alle Verarbeitungstätigkeiten, die ein erhöhtes Risiko für die Verbraucher darstellen
Nach dem 1. Januar 2025 muss jeder für die Verarbeitung Verantwortliche, der Online-Dienste, -Produkte oder -Funktionen anbietet, die sich an bekannte Kinder richten, diese Bewertungen ebenfalls durchführen.
Bei der Bewertung müssen die direkten und indirekten Vorteile der Verarbeitung für den für die Verarbeitung Verantwortlichen, die Verbraucher und andere Beteiligte gegenüber den Risiken für die Rechte der Verbraucher ermittelt und abgewogen werden.
Der Generalstaatsanwalt kann die für die Verarbeitung Verantwortlichen auffordern, ihre Datenschutzbeurteilungen offenzulegen, wenn diese für Ermittlungen zur Einhaltung des Gesetzes relevant sind.
Wenn Ihr Unternehmen unter mehrere Gesetze fällt, die eine Datenschutzbeurteilung vorschreiben, können Sie nach dem VCDPA eine einzige Beurteilung verwenden, sofern sie sich auf vergleichbare Gruppen von Verarbeitungsvorgängen bezieht und ähnliche Tätigkeiten umfasst.
Richtlinien zur Datensicherheit
Das VCDPA verlangt von den Unternehmen, dass sie angemessene administrative, technische und physische Datensicherheitsmaßnahmen einführen, umsetzen und aufrechterhalten, um alle Daten sicher zu halten.
Die Sicherheitsmaßnahmen müssen die Vertraulichkeit, die Integrität und die Zugänglichkeit der Daten schützen.
Die Sicherheitsmaßnahmen müssen dem Umfang und der Art der Informationen angemessen sein.
Zu den gängigen Methoden gehören die Datenverschlüsselung, die mehrstufige Authentifizierung und die Beschränkung des Zugriffs auf die erfassten personenbezogenen Daten.
Sanktionen für Verstöße gegen das VCDPA
Zu den Strafen für Verstöße gegen das VCDPA gehören Geldstrafen von bis zu 2.500 US-Dollar für jeden unbeabsichtigten Verstoß und bis zu 7.500 US-Dollar für jeden vorsätzlichen Verstoß.
Der Generalstaatsanwalt ist für die Durchsetzung des VCDPA zuständig.
Die Verbraucher haben kein privates Klagerecht nach diesem Gesetz.
Verwendung von Termly für die VCDPA-Konformität
Unternehmen können Termly nutzen, um die Einhaltung verschiedener Aspekte des VCDPA zu vereinfachen, einschließlich der Richtlinien für Datenschutzmeldungen, der Verwaltung von Einwilligungen und der Unterstützung von Nutzern bei der Wahrnehmung ihrer Datenschutzrechte.
Termly's Datenschutzerklärung Generator enthält alle notwendigen Klauseln, die der Text des VCDPA vorschreibt. Sie stellt grundlegende Fragen zu Ihrem Unternehmen und dessen Verarbeitungstätigkeiten und erstellt dann auf der Grundlage Ihrer Antworten eine einzigartige, umfassende Richtlinie für Sie.
Sie wird von unserem Rechtsteam und unseren Datenschutzexperten unterstützt und enthält hilfreiche Tipps, die die Beantwortung der Fragen noch einfacher machen.
Darüber hinaus können Unternehmen Termly's Consent Management Platform (CMP) verwenden, um die von der VCDPA festgelegten Zustimmungsanforderungen zu erfüllen. Es enthält ein anpassbares Einwilligungsbanner und eine Cookie-Richtlinie, die bei jeder Überprüfung der Website aktualisiert wird.
Außerdem ist ein kostenloses Formular für die Beantragung des Zugangs zu den Daten enthalten, mit dem Ihre Nutzer ganz einfach Anträge stellen können, um ihre verschiedenen Datenschutzrechte gemäß dem Gesetz von Virginia wahrzunehmen.
Zusammenfassung
Das VCDPA ist ein umfassendes Datenschutzgesetz, das sich in mehrfacher Hinsicht auf Unternehmen und Verbraucher auswirkt.
Wenn Ihr Unternehmen unter dieses Gesetz fällt, sollten Sie Ihre Datenschutzrichtlinien aktualisieren und eine consent management platform einrichten, um die im Gesetz festgelegten Anforderungen an Benachrichtigung und Transparenz zu erfüllen.
Fügen Sie Ihrer Website eine oder mehrere einfache Möglichkeiten hinzu, mit denen die Einwohner von Virginia ihre Datenschutzrechte problemlos wahrnehmen können.
Machen Sie die Einhaltung von Vorschriften besonders einfach und nutzen Sie die Lösungspalette von Termly, um die Richtlinien von Gesetzen wie dem VCDPA und anderen zu erfüllen.