Virginia Adopts CCPA-like Consumer Privacy Law

Virginia hat neue Datenschutzgesetze erlassen, die Ähnlichkeiten mit dem California Consumer Privacy Act (dem „CCPA“) aufweisen und einige Konzepte aus der Datenschutz-Grundverordnung der Europäischen Union (die „DSGVO“) übernehmen. Im Februar verabschiedete die gesetzgebende Körperschaft von Virginia das Virginia Consumer Data Protection Act (SB Nr. 1392) (das „CDPA“ oder „Act“) und der Gouverneur unterzeichnete das Gesetz am 2. März 2021. Damit ist Virginia der zweite Bundesstaat in das Land – nach Kalifornien – ein umfassendes Verbraucherschutzgesetz verabschieden. Dieser Artikel bietet einen Überblick über einige der Schlüsselkomponenten des CDPA.

Für wen gilt das CDPA?

Das CDPA gilt für alle, die in Virginia Geschäfte tätigen oder Produkte oder Dienstleistungen herstellen, die auf Einwohner von Virginia ausgerichtet sind und eines der folgenden Kriterien erfüllen:

  • Kontrolliert oder verarbeitet personenbezogene Daten von mindestens 100.000 Verbrauchern in Virginia; oder

  • Kontrolliert oder verarbeitet personenbezogene Daten von mindestens 25.000 Verbrauchern in Virginia und erzielt mehr als die Hälfte ihrer Einnahmen aus dem Verkauf personenbezogener Daten.

Welche Informationen fallen unter das CDPA?

Das CDPA definiert „personenbezogene Daten“ als „alle Informationen, die mit einer identifizierten oder identifizierbaren natürlichen Person verknüpft oder vernünftigerweise mit dieser verknüpft werden können“. Die Definition schließt personenbezogene Daten aus, die anonymisiert wurden oder öffentlich zugänglich sind. Insbesondere ist der Begriff „öffentlich verfügbare“ Informationen im CDPA weiter gefasst als im CCPA und umfasst Informationen, dass „ein Unternehmen begründet anzunehmen ist, dass sie der breiten Öffentlichkeit rechtmäßig durch weit verbreitete Medien, durch den Verbraucher oder durch eine Person, der der Verbraucher die Informationen offengelegt hat, es sei denn, der Verbraucher hat die Informationen auf eine bestimmte Zielgruppe beschränkt.“

Darüber hinaus legt das CDPA auch „sensible Daten“ als Teilmenge personenbezogener Daten fest, die die Rasse oder ethnische Herkunft beinhalten; religiöse Ansichten; geistige oder körperliche Gesundheit; sexuelle Orientierung; Staatsbürgerschaft oder Einwanderungsstatus; genetische oder biometrische Daten; personenbezogene Daten von Kindern; oder genaue Geolokalisierungsdaten (definiert als Informationen, die „den spezifischen Standort einer natürlichen Person mit Präzision und Genauigkeit in einem Umkreis von 1.750 Fuß direkt identifizieren.“). Das CDPA erlegt Unternehmen, die sensible Daten erheben und verarbeiten, zusätzliche Verpflichtungen auf. Insbesondere darf ein Unternehmen keine sensiblen Daten verarbeiten, ohne die Zustimmung des Verbrauchers einzuholen, und wenn ein Unternehmen solche Daten verarbeitet, muss es eine Datenschutzbewertung durchführen.

Welche Rechte haben Verbraucher im Rahmen des CDPA?

Nach dem CDPA haben Verbraucher das Recht auf:

  • Bestätigung verlangen, dass ein Unternehmen die personenbezogenen Daten des Verbrauchers verarbeitet;

  • Korrigieren von Ungenauigkeiten in den personenbezogenen Daten des Verbrauchers, die das Unternehmen besitzt;

  • Löschen Sie die personenbezogenen Daten des Verbrauchers, die im Besitz des Unternehmens sind, vorbehaltlich bestimmter begrenzter Ausnahmen;

  • eine Kopie der personenbezogenen Daten in einem tragbaren und, soweit möglich, leicht verwendbaren Format zu erhalten;

  • Widerspruch gegen die Verarbeitung personenbezogener Daten für Zwecke der gezielten Werbung, des Verkaufs personenbezogener Daten oder der Profilerstellung zur Unterstützung von Entscheidungen, die rechtliche oder andere erhebliche Auswirkungen auf den Verbraucher haben.

Welche Verpflichtungen erlegt das CDPA Unternehmen auf?

Das CDPA verlangt unter anderem, dass Unternehmen:

  • Befolgen Sie die Anforderungen der Verbraucher bezüglich der Rechte der Verbraucher, die oben aufgezählt wurden. Unternehmen haben 45 Tage Zeit, um auf Verbraucheranfragen zu reagieren. Diese Frist kann einmal um 45 Tage auf insgesamt 90 Tage verlängert werden, wenn „unter Berücksichtigung der Komplexität und Anzahl der Anfragen des Verbrauchers angemessen erforderlich“ und solange das Unternehmen „den Verbraucher innerhalb der ursprünglichen Frist über eine solche Verlängerung informiert“. 45-Tage-Antwortfrist“ und gibt den Grund für die Verlängerung an.

  • Bieten Sie ein Einspruchsverfahren an wenn das Unternehmen auf eine Verbraucheranfrage, mit der versucht wird, eines der Verbraucherrechte aus dem CDPA auszuüben, keine Maßnahmen ergreift. Insbesondere muss das Unternehmen dem Verbraucher eine Erklärung geben, ein Verfahren bereitstellen, mit dem der Verbraucher die Entscheidung beim Unternehmen anfechten kann, und schließlich eine Methode bereitstellen, mit der der Verbraucher eine Beschwerde beim Generalstaatsanwalt einreichen kann.

  • Geben Sie eine Datenschutzerklärung an das beschreibt (i) die Kategorien personenbezogener Daten, die vom Verantwortlichen verarbeitet werden, (ii) den Zweck der Verarbeitung der personenbezogenen Daten, (iii) wie Verbraucher ihre Rechte im Rahmen des CDPA ausüben können (einschließlich eines Opt-out-Verfahrens für Unternehmen, die Verkauf personenbezogener Daten oder gezielte Werbung), (iv) die Kategorien personenbezogener Daten, die der Verantwortliche an Dritte weitergibt, und (v) die Kategorien von Dritten, mit denen der Verantwortliche personenbezogene Daten teilt.

  • Beschränken Sie die Erfassung personenbezogener Daten zu dem, was „angemessen, relevant und vernünftigerweise in Bezug auf die Zwecke, für die diese Daten verarbeitet werden“ und „wie dem Verbraucher offengelegt“ in der Datenschutzrichtlinie des Unternehmens ist.

  • Implementieren Sie administrative, technische und physische Datenpraktiken die Vertraulichkeit personenbezogener Daten zu schützen.

  • Nicht diskriminieren gegen Verbraucher wegen der Ausübung ihrer Rechte aus dem CDPA.

  • Verarbeiten Sie keine sensiblen Daten ohne Zustimmung des Verbrauchers einholen.

  • Vertraulichkeit und Privatsphäre vertraglich schützen von Daten, die mit Unternehmen geteilt werden, die personenbezogene Daten im Auftrag eines Unternehmens verarbeiten.

  • Führen Sie eine Datenschutzbewertung durch, wenn Der Verantwortliche verarbeitet personenbezogene Daten für gezielte Werbung, verkauft personenbezogene Daten, verarbeitet personenbezogene Daten zum Zwecke der Profilerstellung, verarbeitet sensible Daten oder nimmt Verarbeitungen vor, die ein erhöhtes Risiko für Verbraucher darstellen.

Die letzte Verpflichtung ist bemerkenswert, da sie einen wesentlichen Unterschied zwischen dem CDPA und dem CCPA darstellt. Der CCPA, wie er derzeit gültig ist, erfordert keine Datenschutzbewertungen; jedoch gemäß den Änderungen des CCPA, die von den Kaliforniern angenommen wurden, als sie im November 2020 für die Verabschiedung des Consumer Privacy Rights Act of 2020 (der „CPRA“) stimmten, Unternehmen, die personenbezogene Daten verarbeiten, die ein erhebliches Risiko für die Privatsphäre oder Sicherheit der Verbraucher darstellen müssen Risikobewertungen in Bezug auf die Verarbeitung dieser personenbezogenen Daten durchführen und den Bericht den Aufsichtsbehörden vorlegen. Insbesondere ähneln diese Anforderungen den Datenschutz-Folgenabschätzungspflichten der DSGVO.

Was gilt im Sinne des CDPA als „Verkauf“?

Das Konzept des „Verkaufs“ sowohl im CDPA als auch im CCPA ist wichtig, da sowohl der CCPA als auch der CDPA verlangen, dass Unternehmen Verbrauchern die Möglichkeit bieten, den Verkauf ihrer personenbezogenen Daten abzulehnen.

Diejenigen, die mit dem CCPA vertraut sind, sind wahrscheinlich mit der breiten Definition von „Verkauf“ im Rahmen des CCPA vertraut – „Verkauf“ umfasst die Offenlegung personenbezogener Daten zu „Geld- oder anderen wertvollen Gegenleistungen“. Die weit gefasste Definition im CCPA könnte sich auf die Offenlegung personenbezogener Daten an Dritte erstrecken, selbst wenn kein Geldaustausch stattfindet. Die Definition reicht beispielsweise weit genug, um potenziell Informationen einzuschließen, die im Zusammenhang mit gezielter Online-Werbung offengelegt werden. Das CDPA hingegen definiert „Verkauf“ enger: Gemeint ist damit der Austausch personenbezogener Daten gegen Geld.

Obwohl die Definition des CDPA von „Verkauf“ enger ist als die des CCPA, ist das Opt-out-Recht in gewissem Maße weiter gefasst als im CCPA. Gemäß dem CDPA haben Verbraucher das Recht, Verkäufe (wie dieses Wort enger definiert ist), gezielte Werbung und Profilerstellung abzulehnen, um Entscheidungen zu unterstützen, die rechtliche oder andere erhebliche Auswirkungen auf den Verbraucher haben.

Erlegt das CDPA Verpflichtungen zur Übermittlung personenbezogener Daten an Dienstleister oder Dritte auf?

Ja, das CDPA übernimmt die Konzepte von Datenverantwortlichen und Datenverarbeitern aus der DSGVO. Diese Konzepte ähneln dem Konzept der erfassten Unternehmen und Dienstleistungsanbieter im Rahmen des CCPA, sind jedoch nicht genau gleich. Im Sinne des CDPA sind für die Verarbeitung Verantwortliche Unternehmen, die gemeinsam oder gemeinsam mit anderen den Zweck und die Mittel der Verarbeitung personenbezogener Daten bestimmen. Auftragsverarbeiter sind Unternehmen, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeiten. Das CDPA verlangt, dass der Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter Anweisungen zur Verarbeitung personenbezogener Daten, die Art und den Zweck der Verarbeitung, die Art der verarbeiteten personenbezogenen Daten, die Dauer der Verarbeitung sowie die Rechte und Pflichten beider Parteien enthält. Der Vertrag muss auch Bestimmungen enthalten, die die Vertraulichkeit und Vertraulichkeit der personenbezogenen Daten schützen.

Wann tritt das CDPA in Kraft?

Das CDPA tritt am 1. Januar 2023 in Kraft.

Gibt es Ausnahmen nach dem CDPA?

Wie der CCPA umfasst der CDPA sowohl Ausnahmen von Rechtsträgern als auch Datenausnahmen. Vom CDPA ausgenommene Unternehmen sind staatliche Behörden, Finanzinstitute, die durch den Gramm-Leach-Bliley Act („GLBA“), den Health Insurance Portability and Accountability Act („HIPAA“) abgedeckt sind, sowie Geschäftspartner, gemeinnützige Organisationen und Institutionen der Hochschulbildung.

Zu den Daten, die vom CDPA ausgenommen sind, gehören Daten, die von HIPAA (und Gesundheitsakten, die dem Gesetz des Bundesstaates Virginia unterliegen), GLBA, der Federal Policy for the Protection of Human Subjects (dh Daten von klinischen Studienteilnehmern), dem Fair Credit Reporting Act, das Driver’s Privacy Protection Act, das Family Educational Rights and Privacy Act und das Farm Credit Act. Das CDPA befreit auch Informationen und Dokumente, die für die Zwecke des Gesetzes zur Verbesserung der Gesundheitsversorgung erstellt wurden, sowie Arbeitsergebnisse zur Patientensicherheit für die Zwecke des Gesetzes zur Verbesserung der Patientensicherheit und -qualität.

Das CDPA befreit auch personalbezogene Daten. Das Gesetz tut dies auf zwei Arten. Erstens umfasst die Definition von „Verbraucher“ im CDPA nicht „natürliche Personen, die in einem gewerblichen oder beruflichen Kontext handeln“. Zweitens sieht das Gesetz eine spezielle Ausnahmeregelung für Daten vor, die verarbeitet oder gespeichert werden (i) während sich eine Person bei einem Unternehmen bewirbt oder von diesem beschäftigt oder als Vertreter oder unabhängiger Auftragnehmer eines Unternehmens handelt (solange die Daten erhoben werden und im Kontext dieser Rolle verwendet); (ii) in Verbindung mit Notfallkontaktinformationen von Mitarbeitern oder unabhängigen Auftragnehmern; und (iii) im Zusammenhang mit der Verwaltung von Leistungen an Arbeitnehmer.

Wer setzt das CDPA durch?

Der Generalstaatsanwalt von Virginia hat die ausschließliche Befugnis, Verstöße gegen das CDPA durchzusetzen. Insbesondere gibt es kein privates Klagerecht bei Datenschutzverletzungen, wie es im CCPA der Fall ist. Wie beim CCPA muss der Generalstaatsanwalt jedoch, wenn ein Unternehmen mutmaßlich gegen das CDPA verstoßen hat, das Unternehmen mit einer Frist von 30 Tagen schriftlich benachrichtigen und dem Unternehmen Gelegenheit geben, den Verstoß zu beheben. Aufgrund von Änderungen des CCPA, die durch die CPRA angenommen wurden, wird die 30-tägige Heilungsfrist des CCPA jedoch ab dem 1. Januar 2023 aufgehoben.

Was sind die Strafen nach dem CDPA?

Wenn ein Unternehmen die CDPA nicht heilt oder weiterhin gegen das CDPA verstößt, kann der Generalstaatsanwalt eine Klage auf Schadensersatz in Höhe von 7500 USD pro Verstoß einleiten und einen Unterlassungsanspruch geltend machen. Der Generalstaatsanwalt kann auch die Anwaltskosten zurückfordern.

Was sollten Unternehmen jetzt tun?

Unternehmen haben bis zum 1. Januar 2023 Zeit, sich auf die CDPA-Compliance vorzubereiten. Während dieser Zeit sollten Unternehmen, die Übungen zur Einhaltung der DSGVO oder des CCPA durchgeführt haben, ähnliche Erfahrungen mit dem CDPA machen. Obwohl CCPA und CDPA ähnlich sind, sind sie nicht identisch, und Unternehmen sollten die unterschiedlichen Anforderungen zwischen den einzelnen Gesetzen beachten. Darüber hinaus können Unternehmen mit der Verabschiedung des CPRA erwägen, eine einzige Initiative zu ergreifen, um sowohl die Anforderungen des CPRA als auch des CDPA zu erfüllen.

Zu den geeigneten Schritten können ein Sorgfaltsprozess gehören, um zu ermitteln, an welchen personenbezogenen Datenerhebungs- und -verarbeitungsaktivitäten das Unternehmen beteiligt ist, eine Lückenanalyse, um festzustellen, ob eine dieser Erhebungs- und Verarbeitungsaktivitäten die Anforderungen der CDPA (und CPRA) nicht erfüllt, ein Korrekturprozess, um Schließen von Lücken, einen Überarbeitungsprozess für interne Richtlinien und Verfahren und eine Überarbeitung von Vereinbarungen mit Drittanbietern.

© Copyright 2021 Stubbs Alderton & Markiles, LLPNational Law Review, Band XI, Nummer 67

Comments are closed.