Gesetz

Utah ist der jüngste Bundesstaat, der ein umfassendes Datenschutzgesetz verabschiedet | PC Weiner Brodsky Kider

Die Legislative von Utah hat kürzlich den Utah Consumer Privacy Act (UCPA oder das Gesetz) unterzeichnet, der am 31. Dezember 2023 in Kraft tritt. Damit schließt sich Utah Kalifornien, Virginia und Colorado an, um umfassende Datenschutzgesetze zu erlassen.

Anwendbarkeit und Umfang

Der UCPA gilt für Controller oder Auftragnehmer, die in Utah geschäftlich tätig sind oder ein Produkt oder eine Dienstleistung für Einwohner von Utah herstellen, vorbehaltlich der folgenden Schwellenwerte: Das Unternehmen muss ein jährliches Einkommen von 25.000.000 USD oder mehr haben; und entweder (i) die personenbezogenen Daten von 100.000 oder mehr Verbrauchern in einem Kalenderjahr kontrolliert oder verarbeitet; oder (ii) mehr als 50 % der Bruttoeinnahmen des Unternehmens aus dem Verkauf personenbezogener Daten erzielt und außerdem die personenbezogenen Daten von 25.000 oder mehr Verbrauchern kontrolliert oder verarbeitet.

Wie im UCPA verwendet, ist ein „Verantwortlicher“ als eine Person definiert, die in dem Staat Geschäfte tätigt und die Zwecke und Mittel bestimmt, mit denen personenbezogene Daten verarbeitet werden (unabhängig davon, ob die Person die Entscheidung allein oder zusammen mit anderen trifft). Ein „Auftragsverarbeiter“ ist eine Person, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet. „Bearbeitung“ oder „Verarbeitung“ im Sinne des Gesetzes ist jeder Vorgang, der mit personenbezogenen Daten durchgeführt wird, einschließlich der Erhebung, Nutzung, Speicherung, Offenlegung, Analyse, Löschung oder Änderung personenbezogener Daten.

Das UCPA sieht eine Reihe von Ausnahmen vor, insbesondere für:

  • Finanzinstitute oder Unternehmen, die mit einem Finanzinstitut verbunden sind, das dem GLBA und den damit verbundenen Vorschriften unterliegt;
  • Bestimmte Aktivitäten, die von der FCRA reguliert werden;
  • Gemäß dem Federal Driver Privacy Act erhobene personenbezogene Daten; und
  • Daten in Bezug auf eine Person, die in einem Beschäftigungs- oder Geschäftskontext handelt.

Es gibt auch Einschränkungen, die es einem Verantwortlichen unter anderem ermöglichen, mit Strafverfolgungsbehörden zusammenzuarbeiten, auf Sicherheitsvorfälle zu reagieren und bestimmte interne Prozesse durchzuführen.

Verbraucherrechte

Der UCPA gewährt Verbrauchern bestimmte Rechte an ihren personenbezogenen Daten. Zu diesen Rechten gehört, dass ein Verbraucher eine Anfrage an einen für die Verarbeitung Verantwortlichen stellen kann:

  • Bestätigen Sie, ob ein Verantwortlicher die personenbezogenen Daten des Verbrauchers verarbeitet;
  • Zugriff auf die persönlichen Daten des Verbrauchers;
  • Löschen der personenbezogenen Daten des Verbrauchers, die der Verbraucher dem für die Verarbeitung Verantwortlichen bereitgestellt hat;
  • Erhalten Sie eine Kopie der personenbezogenen Daten des Verbrauchers, die der Verbraucher zuvor dem für die Verarbeitung Verantwortlichen bereitgestellt hat, in einem Format, das portabel und leicht zu verwenden ist und es dem Verbraucher ermöglicht, die Daten an einen anderen für die Verarbeitung Verantwortlichen zu übermitteln, wenn die Verarbeitung automatisiert erfolgt; und
  • Opt-out der Verarbeitung personenbezogener Verbraucherdaten zum Zweck der Werbeausrichtung oder des Verkaufs personenbezogener Daten.

Der Verantwortliche hat 45 Tage Zeit, um auf die Anfrage zu reagieren und den Verbraucher über die getroffenen Maßnahmen zu informieren. Diese 45-Tage-Frist kann vorbehaltlich bestimmter Anforderungen um weitere 45 Tage verlängert werden, wenn dies aufgrund der Komplexität der Anfrage oder der Menge der beim Verantwortlichen eingegangenen Anfragen vernünftigerweise erforderlich ist. Ein für die Verarbeitung Verantwortlicher kann im Allgemeinen keine Gebühr für die Beantwortung der ersten Anfrage des Verbrauchers für einen Zeitraum von 12 Monaten erheben, aber eine Verwaltungsgebühr ist unter bestimmten Umständen zulässig.

Es gibt bestimmte Ausnahmen für Datenverantwortliche, die „pseudonymisierte Daten“ speichern, d. h. personenbezogene Daten, die ohne die Verwendung zusätzlicher Informationen, die von den personenbezogenen Daten getrennt sind und geeigneten technischen und organisatorischen Maßnahmen unterliegen, keiner bestimmten Person zugeordnet werden können.

Anforderungen an Verantwortliche und Auftragsverarbeiter

Der UCPA enthält bestimmte Anforderungen, die in Verträgen zwischen Auftragsverarbeitern und Verantwortlichen in Bezug auf personenbezogene Daten enthalten sein müssen. Das Gesetz stellt fest, dass die Bestimmung, ob eine Person als Verantwortlicher oder als Auftragsverarbeiter in Bezug auf eine bestimmte Datenverarbeitung handelt, eine Tatsachenfeststellung ist, die von dem Kontext abhängt, in dem die personenbezogenen Daten verarbeitet werden sollen. Ein Auftragsverarbeiter, der sich an die Anweisungen eines Verantwortlichen bezüglich einer bestimmten Verarbeitung hält, bleibt ein Auftragsverarbeiter.

Darüber hinaus erlegt der UCPA den Verantwortlichen Verpflichtungen auf, einschließlich, dass die Verantwortlichen:

  • Bereitstellung einer „angemessen zugänglichen und klaren“ Datenschutzerklärung für Verbraucher, die unter anderem enthält, welche personenbezogenen Daten verarbeitet werden und wie Verbraucher ihre Rechte ausüben können;
  • Umsetzung und Aufrechterhaltung angemessener administrativer, technischer und physischer Datensicherheitsverfahren im Zusammenhang mit der Verwendung von Verbraucherdaten und Anwendung von Datensicherheitsverfahren, die dem Umfang und der Art der betroffenen personenbezogenen Daten angemessen sind; und
  • Sofern nicht anders gesetzlich vorgeschrieben, verarbeiten Sie bestimmte sensible Daten (wie vom UCPA definiert) nur, nachdem Sie dem Verbraucher die Möglichkeit gegeben haben, Widerspruch einzulegen.

Unter bestimmten Parametern ist es dem für die Datenverarbeitung Verantwortlichen auch untersagt, einen Verbraucher zu diskriminieren, der eines seiner gesetzlichen Rechte ausgeübt hat, indem er dem Verbraucher eine Ware oder Dienstleistung verweigert, ihm einen anderen Preis berechnet oder sie mit einem anderen Qualitätsniveau anbietet.

Durchsetzung

Das UCPA begründet kein Privatklagerecht für Verbraucher. Das Gesetz verleiht einer neuen Verbraucherschutzabteilung Ermittlungsbefugnisse und dem Utah Attorney General (mit Beratung und Unterstützung durch die Verbraucherschutzabteilung) die Vollstreckungsbehörde. Ein Unternehmen, das eine Mitteilung über einen mutmaßlichen Verstoß erhält, hat 30 Tage Zeit, um den Verstoß zu beheben. Das Gesetz erlaubt der Utah AG, tatsächliche Schäden vom Verbraucher und eine Geldstrafe von bis zu 7.500 US-Dollar pro Verstoß zu verlangen.

Siehe frühere WBK-Artikel zu zuvor erlassenen Datenschutzgesetzen in Kalifornien, Virginia und Colorado.

About the author

steps2world

Leave a Comment