Wir haben bereits über das California Privacy Act (CCPA) in einem früheren Beitrag berichtet. Heute schauen wir uns das neu verabschiedete Datenschutzgesetz im US-Bundesstaat Virginia an: Virginia Consumer Data Protection Act (VCDPA) . Das Gesetz wird voraussichtlich Anfang März, nach der finalen Abstimmung vom Gouvernuer unterzeichnet werden. Damit wäre es das erste umfassende Datenschutzgesetzt eines US-Bundestaates, seit dem Erlass des CCPA. Das Gesetz soll am 01.01.2023 in Kraft treten.
Der Inhalt im Überblick
Für wen gilt der VCDPA?
Jedes Unternehmen, dass in Virginia geschäftlich tätig ist und personenbezogene Daten von mind. 100.000 Verbrauchern in Viriginia kontrolliert oder verarbeitet, unterliegt dem VCDPA. Weiterhin sind solche Unternehmen betroffen, die personenbezogene Daten von 25.000 Verbrauchern in Virginia kontrollieren oder verarbeiten und mehr als die Hälfte der Einnahmen aus dem Verkauf von solchen Daten erzielen.
Für staatliche Behörden, Gremien, Kommissionen oder politische Unterabteilungen des Staates Virginia, gemeinnützige Organisationen und höhere Bildungseinrichtungen findet das VCDPA keine Anwendung. Ebenfalls ausgeschlossen vom Anwendungsbereich des VCDPA sind die Verarbeitungen von Daten, die durch andere Gesetzesvorschriften reguliert werden. Darunter sind Daten zu verstehen, die beispielweise unter den Driver Privacy Protection Act (DPPA), Federal Educational Rights and Privacy Act (FERPA), Farm Credit Act und den Children’s Online Privacy Protection Act (COPPA) fallen.
Der Begriff „personenbezogene Daten“ wird sehr weit definiert:
„‚Personal data‘ means any information that is linked or reasonably linkable to an identified or identifiable natural person.“
Allerdings werden Daten aus öffentlichen zugänglichen Quellen ausgeschlossen.
„‚Personal data‘ does not include de-identified data or publicly available information.“
Welche Rechte haben die Verbraucher?
Einwohnern von Virginia ist es erlaubt, durch das VCDPA, ihre Rechte in Bezug auf ihre persönlichen Daten beim Verantwortlichen geltend zu machen. Sie können Anträge stellen um bestimmte Anliegen wie z.B. Korrektur, Löschung oder Kopie der personenbezogenen Daten zu verlangen. Des Weiteren kann eine Bestätigung über die Verarbeitung der Daten des Verbrauchers durch den Verantwortlichen verlangt werden. Gegen eine Verarbeitung von persönlichen Daten kann Widerspruch eingelegt werden, wenn diese für Werbezwecke, zum Verkauf oder für das Profiling genutzt werden.
Solche Anträge können bis zu zweimal im Jahr gestellt werden. Danach muss der Verantwortliche gemäß eines im Gesetz festgelegten Zeitplans antworten, ein Einspruchsrecht vorsehen und Verbrauchern einen Mechanismus zur Verfügung stellen, um etwaige Beschwerden beim Generalstaatsanwalt von Virginia einreichen zu können.
Pflichten des Verantwortlichen
Die Erhebung von Daten durch den Verantwortlichen ist auf das Notwendigste zu beschränken, das für die Erreichung des Zwecks angemessen und relevant ist. Administrative, technische und physische Datenpraktiken sind zu implementieren, damit die Vertraulichkeit der personenbezogenen Daten geschützt ist. Handelt es sich um sensible Daten, dürfen diese nicht ohne die ausdrückliche Zustimmung des Verbrauchers verarbeitet werden. Weiterhin sind aussagekräftige Datenschutzhinweise bereit zu stellen. Der VCDPA macht dafür bestimmte Angaben:
㤠59.1-574.Data controller responsibilities; transparency.
C. Controllers shall provide consumers with a reasonably accessible, clear, and meaningful privacy notice that includes:
1. The categories of personal data processed by the controller;
2.The purpose for processing personal data;
3.How consumers may exercise their consumer rights pursuant to §59.1-573, including how a consumer may appeal a controller’s decision with regard to the consumer’s request;
4.The categories of personal data that the controller shares with thirdparties, if any; and
5.The categories of thirdparties, if any, with whom the controller shares personal data.“
Verantwortliche müssen einen Mechanismus bereitstellen, damit Verbraucher die Möglichkeit haben ihre Verbraucherrechte auszuüben. In Bezug auf Auftragsverarbeiter ist die Vertraulichkeit und der Schutz der Daten vertraglich abzusichern und die jeweiligen Rollen durch solche Verträge zu begrenzen und einzuschränken.
Zuletzt muss durch angemessene Anstrengungen sichergestellt sein, dass alle de-identifizierten Daten nicht wieder identifziert oder mit einer natürlichen Person in Verbindung gebracht werden. Allerdings sind solche Daten nicht per Gesetz dem Verbraucher zur Verfügung zu stellen.
Ein Schritt in die richtige Richtung?
Der VCDPA verwendet die gleiche Terminologie der DSGVO (z. B. für die Verarbeitung Verantwortlicher, Auftragsverarbeiter, personenbezogene Daten) und übernimmt das Prinzip der Datenminimierung, erlegt aber einige der schwerwiegenderen Verpflichtungen der DSGVO nicht auf, wie z. B. die Anforderung an die für die Verarbeitung Verantwortlichen, eine rechtmäßige Grundlage für die Verarbeitung zu schaffen, einen Datenschutzbeauftragten zu ernennen oder ein Privacy-by-Design zu implementieren.
Allerdings kann auch gesagt werden, dass durch den VCDPA ein weiterer Bundestaat endlich ein eigenes Datenschutzgesetz erlassen wird. Zwar ist momenten kein vereinheitlichendes US-Bundesdatenschutzgesetz vorgesehen, trotz verschiedenen Gesetzesinitiativen im US-Kongress. Dennoch können, durch die Verabschiedung des VCDPA, andere US-Bundestaaten dazu animiert werden ebenfalls eigene Datenschutzgesetze zu verabschieden.
Für die EU-Kommission könnte der VCDPA ein bedeutsamer Schritt dahingehend sein, dass die Chancen auf ein vergleichbares Datenschutzniveau steigen. Nachdem der EuGH im letzten Sommer das EU-US-Privacy-Shield für unwirksam erklärt hat, verursachte dies erhebliche Rechtsunsicherheiten für eine Datenübermittlung in die USA.
Fraglich ist, ob die Anhebung des Datenschutzstandards in zwei US-Bundesstaaten überhaupt ausreichen kann. Das US-Recht muss den Datenschutz von EU-Bürger stärker achten, Rechtsbehelfe gegen Datenzugriffe von US-Behörden und unabhängige Aufsichtsbehörden bereitstellen. Erst dann kann von einem vergleichbaren Datenschutzniveau ausgegangen werden. Ein flächendeckendes Datenschutzgesetz für die USA bleibt aber zur Zeit lediglich Wunschdenken. Offen bleibt aber, ob die EU-Kommission einen Kommissionsbeschluss für einzelne US-Bundestaaten begrenzt erlassen könnte.
