US-amerikanische Gesetze zum digitalen Datenschutz

Veröffentlicht: 2023-04-25

Wenn die Vereinigten Staaten niesen, erkältet sich die Welt. Diese Aussage gilt besonders in der Welt der digitalen Technologie. Amerika ist schließlich die Heimat vieler der weltweit führenden und erfolgreichsten Online-Unternehmen (obwohl einige argumentieren könnten, dass China ihnen auf den Fersen ist). Ein Bereich, in dem unsere europäischen Cousins ​​jedoch die Führung übernehmen, ist der digitale Datenschutz.

Die DSGVO hat die Art und Weise verändert, wie die Welt den Datenschutz betrachtet

Wenn Sie an das Jahr 2018 zurückdenken, erinnern Sie sich, wie die Europäische Union mit der Datenschutz-Grundverordnung (DSGVO) die ganze Welt aufgerüttelt hat.

Damals war die DSGVO einzigartig, da es sich um eine allumfassende Verordnung handelte, die darauf abzielte, die Privatsphäre der europäischen Bürger zu schützen, unabhängig davon, mit wem oder wo sie ihre Daten teilten. Diese Verordnung bedeutete, dass US-Unternehmen, wenn sie weiterhin in Europa oder mit europäischen Bürgern unabhängig von ihrem Standort tätig sein wollten, die DSGVO einhalten mussten.

Im Gegensatz zu früheren Datenschutzbestimmungen hatte die DSGVO Zähne und das Gewicht der Europäischen Kommission hinter sich, um bei Verstößen hohe Bußgelder zu erheben.

Millionen von Dollar und unzählige Arbeitsstunden wurden weltweit aufgewendet, um die Einhaltung zu gewährleisten. In vielerlei Hinsicht hat diese Investition dazu beigetragen, die letzten Überreste der Geschäftspraktiken des „Wilden Westens“ zu beseitigen, die in einem reifenden, aber immer noch weitgehend unregulierten digitalen Geschäftssektor übernommen wurden. Trotzdem sind unzählige US-Firmen mit der DSGVO in Konflikt geraten.

Glauben Sie immer noch nicht, dass die DSGVO auf Sie zutrifft? Schauen Sie sich diese Liste der höchsten Bußgelder an, die wegen Nichteinhaltung verhängt werden – sie liest sich wie ein „Who is Who?“ der großen amerikanischen Unternehmen, wobei Amazon, Meta (Facebook) und Alphabet (Google) die Top Ten der bedeutendsten Bußgelder dominieren.

Das sich ändernde Gesicht der US-Datenschutzgesetze

Man könnte argumentieren, dass die USA vor der DSGVO im Wesentlichen die Dose (CAN-SPAM) in Bezug auf den Datenschutz verdrängt haben.

In vielerlei Hinsicht zwang die DSGVO US-Unternehmen, ihre Handlungen zu bereinigen, ohne dass US-Vorschriften erforderlich waren. Das heißt aber nicht, dass die USA den Datenschutz nicht ernst nehmen. Derzeit gibt es mehrere Datenschutzgesetze, und viele andere werden in den USA eingeführt. Aufgrund der Art und Weise, wie einzelne Staaten Gesetze erlassen, sind diese Gesetze jedoch weniger miteinander verbunden oder allumfassend als die DSGVO. Für Unternehmen, die über die Staatsgrenze hinweg tätig sind, kann dies verwirrend sein.

CCPA/CPRA

Der California Consumer Privacy Act (CCPA) und der nachfolgende California Privacy Rights Act (CPRA) , der am 1. Juli 2023 in Kraft tritt, wurden als der DSGVO am nächsten beschrieben.

Das CPRA baut auf der Grundlage der DSGVO auf, die den Grundstein für mehrere Regeln legte, die nicht im CCPA enthalten sind. Zu diesen Regeln gehören:

  • Datenminimierung: Sicherzustellen, dass die Datenerhebung zur Erfüllung eines bestimmten Zwecks erforderlich ist.
  • Zweckbeschränkung: Sicherstellen, dass gesammelte Daten nicht für neue und nicht kompatible Zwecke verwendet werden können.
  • Speicherbegrenzung: Sicherstellen, dass Daten nicht länger als nötig gespeichert werden können.

Die DSGVO hat auch Einfluss darauf, wie die CPRA mit sensiblen personenbezogenen Daten (SPI) umgeht, wie z. B. Rasse oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, sexuelle Orientierung, Genetik und gesundheitsbezogene Daten.

Trotz der Ähnlichkeiten gibt es einige wesentliche Unterschiede zwischen GDPR und CPRA.

Die DSGVO gilt für alle Organisationen, die Daten von EU-Bürgern sammeln und verarbeiten, unabhängig von Unternehmensgröße, Standort oder Zweck. Auch die DSGVO unterscheidet nicht zwischen personenbezogenen und geschäftlichen Daten.

Unterdessen gilt der California Privacy Rights Act (CPRA) nur für Unternehmen, die die personenbezogenen Daten von Einwohnern Kaliforniens erfassen und verarbeiten und eines oder mehrere der folgenden Kriterien erfüllen:

  • einen jährlichen Bruttoumsatz von über 25 Millionen US-Dollar haben;
  • Kaufen, verkaufen oder teilen Sie jährlich die personenbezogenen Daten von 100.000 oder mehr Verbrauchern oder Haushalten; oder
  • 50 % oder mehr ihres Jahresumsatzes aus dem Verkauf personenbezogener Daten von Verbrauchern erzielen.

Im Vergleich zur DSGVO gibt es viel Spielraum für Unternehmen, unter dem Radar von CCPA/CCPR zu fliegen. Dies spiegelt möglicherweise eine entspanntere Haltung gegenüber Organisationen in den USA wider, die im Vergleich zu Europa auf personenbezogene Daten zugreifen und diese speichern. Nach mehreren hochkarätigen Datenschutzverletzungen , die Tausende von US-Bürgern belästigt haben, werden diese Einstellungen jedoch weniger nachlässig, und immer mehr US-Bundesstaaten springen auf den Datenschutz-Zug auf.

Das Verbraucherdatenschutzgesetz von Virginia (VCPDA)

Der Virginia Consumer Data Protection Act (VCDPA) ist ein Datenschutzgesetz ähnlich dem CCPA/CPRA und der DSGVO und trat am 1. Januar 2023 in Kraft.

Der VCDPA gilt für Unternehmen, die in Virginia Geschäfte tätigen oder auf Einwohner von Virginia abzielen und bestimmte Schwellenwertanforderungen erfüllen. Diese Anforderungen umfassen die Verarbeitung der personenbezogenen Daten von mindestens 100.000 Verbrauchern in Virginia jährlich oder die Erzielung von über 50 % des Bruttoumsatzes aus dem Verkauf personenbezogener Daten und die Verarbeitung der personenbezogenen Daten von mindestens 25.000 Verbrauchern in Virginia jährlich.

Gemäß dem VCDPA haben Verbraucher in Virginia das Recht zu erfahren, welche personenbezogenen Daten über sie erfasst werden, das Recht auf Zugang zu ihren Daten, das Recht, Ungenauigkeiten in diesen Daten zu korrigieren, das Recht, ihre Daten unter bestimmten Umständen zu löschen, und das Recht auf dem Verkauf ihrer Daten widersprechen.

Das Colorado-Datenschutzgesetz (CPA)

Das CPA soll am 1. Juli 2023 in Kraft treten.

Ähnlich wie der CCPA/CPRA und die DSGVO gilt der CPA für Unternehmen, die in Colorado Geschäfte tätigen oder auf Einwohner von Colorado abzielen und bestimmte Schwellenwerte erfüllen. Diese Anforderungen umfassen die Verarbeitung der personenbezogenen Daten von mindestens 100.000 Verbrauchern in Colorado jährlich oder die Erzielung von über 50 % des Bruttoumsatzes aus dem Verkauf personenbezogener Daten und die Verarbeitung der personenbezogenen Daten von mindestens 25.000 Verbrauchern in Colorado jährlich.

Noch einmal, unter CPA haben Verbraucher in Colorado das Recht zu wissen, welche personenbezogenen Daten über sie gesammelt werden, das Recht auf Zugang zu ihren personenbezogenen Daten, das Recht, Ungenauigkeiten in ihren personenbezogenen Daten zu korrigieren, das Recht, ihre personenbezogenen Daten unter bestimmten Umständen zu löschen , und das Recht, dem Verkauf ihrer personenbezogenen Daten zu widersprechen.

Eine wachsende Bewegung für mehr Datenschutz in den USA

Während CCPA/CCPR, VCDPA und CPA allesamt lokale Vorschriften sind, gibt es eine wachsende Bewegung, die dazu führt, dass immer mehr Staaten Datenschutzvorschriften einführen, die dazu beitragen werden, die Punkte zu verbinden und eine „nationale“ Verpflichtung zum Schutz der Privatsphäre zu schaffen.

Connecticut, Iowa und Utah haben alle Vorschriften, die in den nächsten zwei Jahren durchgesetzt werden sollen. Laut Tracker der International Association of Privacy Professionals (IAPP) sind viele andere Staaten dabei, Vorschriften einzuführen.

Es gibt jedoch einige veraltete US-Datenschutzgesetze, die Staatsgrenzen überschreiten und Einzelpersonen auf Bundesebene schützen.

HIPAA – Bundesgesetz

Der Health Insurance Portability and Accountability Act (HIPAA) ist ein 1996 erlassenes Bundesgesetz, das vor der DSGVO und sogar vor der weit verbreiteten Internetnutzung erlassen wurde.

HIPAA wurde entwickelt, um Datenschutz- und Sicherheitsstandards zum Schutz der persönlichen Gesundheitsdaten von Patienten bereitzustellen. Das Gesetz legt nationale Standards für den Datenschutz und die Sicherheit von geschützten Gesundheitsinformationen (PHI) fest und gilt für Gesundheitspläne, Gesundheitsdienstleister und Gesundheitsverrechnungsstellen, die bestimmte elektronische Transaktionen durchführen.

Unter HIPAA müssen betroffene Unternehmen Sicherheitsvorkehrungen treffen, um die Vertraulichkeit, Integrität und Verfügbarkeit von PHI zu schützen. Diese Sicherheitsvorkehrungen umfassen administrative, physische und technische Maßnahmen, um den Datenschutz und die Sicherheit von PHI zu gewährleisten.

HIPAA gibt Einzelpersonen auch bestimmte Rechte in Bezug auf ihre PHI, darunter das Recht auf Zugang zu ihren PHI, das Recht, Korrekturen an ihren PHI zu verlangen, und das Recht, Beschwerden einzureichen, wenn sie glauben, dass ihre Datenschutzrechte verletzt wurden.

Wie reagieren Unternehmen?

Insgesamt reagieren Unternehmen positiv auf die wachsende Welle von Datenschutzbestimmungen. Da viele Unternehmen wissen, dass dieser Trend nicht nachlässt, passen sie ihre Dienste an, um Datenschutz in ihre Geschäftsmodelle zu integrieren. Wir haben bereits Apples Mail Privacy Protection- Updates gesehen, und Google erfindet neu, wie es das Benutzerengagement in GA4, der neuesten Iteration von Google Analytics, verfolgt .

Dies kann jedoch eine verwirrende Zeit für kleine und mittlere Unternehmen sein, die nicht über die Ressourcen verfügen, um die Anforderungen der Datenschutzbestimmungen zu verfolgen und mit ihnen Schritt zu halten. Dies gilt insbesondere dann, wenn Daten über mehrere Technologieplattformen gesammelt und verarbeitet werden. Für diese Unternehmen ist es sinnvoll, die Privatsphäre ihrer Kunden und die Zukunft ihrer Organisation zu schützen, indem sie mit einem Experten sprechen, der ihnen helfen kann, die Vorschriften einzuhalten.

Erfahren Sie mehr

Um mehr darüber zu erfahren, wie die Marketing-Experten von emfluence Ihrem Unternehmen helfen können, auf der richtigen Seite der aktuellen und kommenden Datenschutzbestimmungen zu bleiben, kontaktieren Sie uns noch heute unter [email protected] .