Der "Colorado Privacy Act" (CPA)

Colorado ist nach Kalifornien und Virginia der dritte US-Bundesstaat, der ein Gesetz zum Schutz der Daten seiner Bürger verabschiedet hat. Der Colorado Privacy Act wurde am 7. Juli 2021 von Gouverneur Jared Polis unterzeichnet. Dieses neue Datenschutzgesetz wird im Juli 2023 in Kraft treten. Hier können Sie sich ansehen, was Sie als Webseitenbesitzer darüber wissen müssen.

Laut der Colorado General Assembly, der Legislative des Staates Colorado, ist der Zweck dieses Gesetzes die Schaffung und Umsetzung persönlicher Datenschutzrechte und:

• "Gilt für juristische Personen, die geschäftlich tätig sind oder kommerzielle Produkte oder Dienstleistungen herstellen, die absichtlich auf Einwohner von Colorado ausgerichtet sind und die entweder:
  • Persönliche Daten von mehr als 100.000 Verbrauchern pro Kalenderjahr kontrollieren oder verarbeiten; oder
  • Einnahmen aus dem Verkauf von personenbezogenen Daten erzielen und die personenbezogenen Daten von mindestens 25.000 Verbrauchern kontrollieren oder verarbeiten; und
  • gilt nicht für bestimmte spezifizierte Einrichtungen, personenbezogene Daten, die durch aufgelistete Landes- und Bundesgesetze geregelt sind, sowie aufgelistete Aktivitäten und Beschäftigungsaufzeichnungen.

Verbraucher haben das Recht, die Verarbeitung ihrer persönlichen Daten abzulehnen, auf die Daten zuzugreifen, sie zu korrigieren oder zu löschen oder eine tragbare Kopie der Daten zu erhalten. Der Gesetzentwurf definiert einen "Controller" als eine Person, die allein oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt. Ein "Verarbeiter" ist eine Person, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet.

Die Gemeinsamkeiten und Unterschiede zwischen den US-Datenschutzgesetzen

Wie bereits erwähnt, folgt der CPA den Grundsätzen seiner Gegenstückgesetze, dem California Consumer Privacy Act (CCPA) und dem Virginia Consumer Data Protection Act (VCDPA), die beide auf den Grundsätzen der europäischen Datenschutzgrundverordnung, auch bekannt als DSGVO, basieren.

Definition der Verbraucherrechte: Alle drei Gesetze sehen Rechte auf Zugriff, Löschung, Korrektur, Übertragbarkeit und Opt-out für gezielte Werbung, Verkäufe und bestimmte Profiling-Entscheidungen vor, die rechtliche oder ähnliche Auswirkungen haben. Ein Unterschied zwischen CCPA und CPA besteht darin, dass Verbraucher in Colorado einen bevollmächtigten Vertreter für Verkauf-Opt-Out-Anfragen einsetzen müssen.

Umgang mit Verbraucherrechtsentscheidungen: Das Berufungsverfahren für Verbraucher in Colorado ist dem in Virginia ähnlich. Unter CPA muss der Controller, wenn ein Verbraucher eine gültige Anfrage hat, dem Verbraucher die Möglichkeit geben, seine Entscheidung anzufechten. Der Controller muss dem Verbraucher auch die Gründe für die Ablehnung der Anfrage mitteilen und ihn auch über das Recht informieren, sich an den Generalstaatsanwalt zu wenden, "wenn der Verbraucher Bedenken bezüglich des Ergebnisses der Beschwerde hat."

Opt-out-Anfragen: Anders als im kalifornischen Gesetz, das die globale Datenschutzkontrolle fakultativ macht, müssen die für die Verarbeitung Verantwortlichen das universelle Opt-out nach CPA einhalten. Die technischen Spezifikationen für dieses Verfahren sind noch in der Diskussion, werden aber rechtzeitig vor Inkrafttreten des Gesetzes im Juli 2023 bekannt gegeben.

Zustimmung zur Datenverarbeitung: Ähnlich wie das Virginia-Gesetz erfordert CPA eine Opt-in-Einwilligung für die Verarbeitung sensibler personenbezogener Daten wie:

• Staatsangehörigkeit
• rassische oder ethnische Herkunft
• religiöse Überzeugungen
• genetische oder biometrische Daten, die zur Identifizierung einer einzelnen Person verwendet werden.

Der Colorado Privacy Act verlangt auch die Zustimmung zur Verarbeitung von Daten von Kindern unter 13 Jahren.

Pflichten des Controllers: Die CPA-Liste der Pflichten für Verantwortliche umfasst:

• Transparenz
• Zweckbestimmung
• Datenminimierung
• Vermeidung von Sekundärnutzung
• Vermeidung von unrechtmäßiger Diskriminierung
• andere Pflichten in Bezug auf sensible Daten

Diese sind den im CCPA und VCDPA genannten sehr ähnlich.

Datenschutz-Bewertungen: Das CPA verlangt DPAs (Datenschutzbeurteilungen) für Aktivitäten wie gezielte Werbung, Verkauf, bestimmte Profilerstellung und die Verarbeitung sensibler personenbezogener Daten. Wie beim VCDPA hat der Generalstaatsanwalt von Colorado das Recht, auf die DPAs des Controllers zuzugreifen.

Wählen Sie ein CPA-konformes Analysewerkzeug für Ihre Webseite

Hier bei TWIPLA, unterstützt von einem großartigen Team von Datenschutzanwälten, tun wir unser Bestes, um Sie über die Datenschutzgesetze auf dem Laufenden zu halten und Ihnen ein Analysewerkzeug zu bieten, das immer mit den ständigen gesetzlichen Änderungen aus aller Welt konform ist.

TWIPLA ist CPA-, CCPA- und VDCPA-konform.

Wenn Sie unser Werkzeug noch nicht ausprobiert haben, können Sie sich unter hierkostenlos registrieren und mit wenigen Klicks Ihre historischen Google Analytics-Daten importieren.