Skip to main content

Das Verbraucherdatenschutzgesetz von Virginia (VCDPA)

Am 2. März 2021 wurde das Virginia Consumer Data Protection Act (VCDPA) vom Gouverneur des Bundesstaates verabschiedet und soll Anfang 2023 in Kraft treten.

Das Gesetz mit dem offiziellen Namen S.B. 1392; H.B. 2307 regelt, wie Unternehmen, die mit personenbezogenen Daten umgehen, den Schutz dieser Informationen einhalten müssen, und ermöglicht es den Verbrauchern, ihre Rechte auf Zugang und Kontrolle ihrer personenbezogenen Daten auszuüben.

Das VCDPA ist nach dem California Privacy Rights Act (CCPA) das zweite wichtige Datenschutzgesetz in den Vereinigten Staaten von Amerika, die beide dem europäischen GDPR-Modell folgen.

Diesem Trend folgend werden viele Bundesstaaten bald ihre eigenen Gesetze zum Schutz der Privatsphäre und zur Sicherheit personenbezogener Daten verabschieden.

An wen richtet sich das VCDPA?

Das VCDPA richtet sich an alle Institutionen, Organisationen oder Körperschaften, "die im Commonwealth of Virginia geschäftlich tätig sind oder Produkte oder Dienstleistungen herstellen, die sich an Einwohner des Commonwealth richten" und die über einen Zeitraum von einem Jahr entweder:

"(1) personenbezogene Daten von mindestens 100.000 Einwohnern Virginias kontrollieren oder verarbeiten, oder (2) mehr als 50 % der Bruttoeinnahmen aus dem Verkauf personenbezogener Daten erzielen (wobei das Gesetz unklar ist, ob die Umsatzschwelle nur für Einwohner Virginias gilt) und personenbezogene Daten von mindestens 25.000 Einwohnern Virginias kontrollieren oder verarbeiten."

Wenn Sie also eine Website betreiben, die sich an Personen aus Virginia richtet, sollten Sie sicherstellen, dass Sie diese künftige Gesetzgebung einhalten, indem Sie:

  • Ihre Hinweise aktualisieren

  • die Datenminimierung einführen

  • ein mögliches Widerspruchsverfahren einrichten

  • die Möglichkeit bieten, sensible Daten abzulehnen

  • Bewertung Ihrer Datenschutz-, Sicherheits- und Berichterstattungsverfahren.

VCDPA-Rechte und -Pflichten

Ähnlich wie die anderen Datenschutzgesetze definiert das VCDPA die Rechte der Verbraucher, d. h. der Personen, deren Daten gesammelt werden, und die Pflichten der für die Verarbeitung Verantwortlichen, d. h. der Stellen, die diese Daten sammeln und speichern.

Nach dem Virginia Consumer Data Protection Act haben Einzelpersonen das Recht auf:

  1. sich zu vergewissern, ob ihre personenbezogenen Daten von einem für die Verarbeitung Verantwortlichen verarbeitet werden;
  2. Ungenauigkeiten in ihren Daten zu berichtigen;
  3. die Löschung von personenbezogenen Daten, die von oder über den Verbraucher erhoben wurden;
  4. eine Kopie der Daten zu erhalten, die der Verbraucher dem für die Verarbeitung Verantwortlichen zuvor zur Verfügung gestellt hat, und zwar in einem tragbaren und leicht verwendbaren" Format; und
  5. der Datenerhebung zu widersprechen, wenn die Daten "für Zwecke der gezielten Werbung, des Verkaufs personenbezogener Daten oder der Profilerstellung zur Unterstützung von Entscheidungen, die rechtliche oder ähnlich erhebliche Auswirkungen auf den Verbraucher haben", erhoben werden.

Dabei müssen die für die Verarbeitung Verantwortlichen sicherstellen, dass:

  1. die Erhebung personenbezogener Daten auf das zu beschränken, was "angemessen, relevant und vernünftigerweise notwendig" ist, um den Zweck der Verarbeitung zu erreichen, der dem Verbraucher mitgeteilt werden muss;
  2. die Verarbeitung personenbezogener Daten für andere als die angegebenen Zwecke zu unterlassen, es sei denn, der Verbraucher stimmt zu;
  3. Einführung, Umsetzung und Aufrechterhaltung angemessener administrativer, technischer und physischer Datensicherheitspraktiken zum Schutz der Vertraulichkeit, Integrität und Zugänglichkeit von personenbezogenen Daten.
  4. keine personenbezogenen Daten unter Verletzung von Antidiskriminierungsgesetzen zu verarbeiten oder Verbraucher zu diskriminieren, die ihre Rechte gemäß dem CDPA wahrnehmen.
  5. keine "sensiblen" Verbraucherdaten ohne die Zustimmung des Verbrauchers zu verarbeiten.
  6. die Verbraucher klar und deutlich über den Verkauf personenbezogener Daten an Dritte oder die Verarbeitung für gezielte Werbung sowie über die Art und Weise, wie sie sich von solchen Aktivitäten abmelden können, zu informieren.
  7. Schaffung und Bereitstellung eines oder mehrerer sicherer und verlässlicher Mittel für Verbraucher, um einen Antrag auf Ausübung ihrer Verbraucherrechte zu stellen", die die Art und Weise, wie Verbraucher normalerweise mit dem für die Verarbeitung Verantwortlichen interagieren", und die Notwendigkeit einer sicheren Übermittlung solcher Anträge" berücksichtigen müssen, in den Datenschutzhinweisen.
  8. den Verbrauchern einen "angemessen zugänglichen, klaren und aussagekräftigen Datenschutzhinweis" zur Verfügung zu stellen, der Folgendes enthält:
  • Die Kategorien der von dem für die Verarbeitung Verantwortlichen verarbeiteten personenbezogenen Daten;
  • die Zwecke der Verarbeitung der personenbezogenen Daten
  • Wie ein Verbraucher seine CDPA-Rechte ausüben kann und wie er gegen eine Entscheidung des für die Verarbeitung Verantwortlichen bezüglich einer Anfrage Widerspruch einlegen kann;
  • die Kategorien von Daten, die der für die Verarbeitung Verantwortliche mit Dritten teilt;
  • Die Kategorien von Dritten, mit denen der für die Verarbeitung Verantwortliche Daten austauscht.

Vergleich zwischen CCPA und VCDPA

Im nächsten Teil werden wir die Gemeinsamkeiten und Unterschiede zwischen CCPA und VCDPA erörtern. Beginnen wir mit der Definition von personenbezogenen Daten.

Nach dem CCPA handelt es sich um Informationen, die einen bestimmten Verbraucher oder Haushalt identifizieren, sich auf ihn beziehen, ihn beschreiben, mit ihm in Verbindung gebracht werden können oder vernünftigerweise direkt oder indirekt mit ihm in Verbindung gebracht werden könnten, während das VCDPA sie als alle Informationen definiert, die mit einer identifizierten oder identifizierbaren natürlichen Person in Verbindung gebracht werden oder vernünftigerweise in Verbindung gebracht werden können.

Was die Strafen und Bußgelder angeht, so sehen beide Gesetze vor, dass Unternehmen, die die Vorschriften nicht einhalten, pro Verstoß bis zu 7.500 Dollar Strafe zahlen müssen, was im Vergleich zu den Bußgeldern der DSGVO sehr niedrig ist.

Nach dem CCPA müssen Datenverarbeitungsaktivitäten, die als erhebliches Risiko für die Privatsphäre der Verbraucher angesehen werden können, jährlich geprüft und bewertet werden, während nach dem VCDPA Datenschutzbewertungen durchgeführt werden müssen, wenn:

  1. Verarbeitung personenbezogener Daten für die Zwecke der gezielten Werbung;
  2. den Verkauf personenbezogener Daten;
  3. die Verarbeitung personenbezogener Daten zum Zwecke der Profilerstellung (in bestimmten Zusammenhängen);
  4. Verarbeitung sensibler Daten; oder
  5. Verarbeitungen, die ein erhöhtes Risiko eines Schadens für die Verbraucher darstellen.

Einen detaillierteren Vergleich zwischen VCDPA und CCPA finden Sie hier.

Um den Datenschutz in vollem Umfang zu gewährleisten, empfehlen wir Ihnen, zunächst ein Website-Analyse-Tool zu installieren, das Datensicherheit garantiert.

Visitor Analytics ist eines dieser Tools, da es keine Cookies verwendet, um Ihre Besucher zu verfolgen, und die Daten nicht an Dritte weitergibt. Sie haben die volle Kontrolle über die von Ihnen gesammelten personenbezogenen Daten.