Iubenda logo
Generator starten

Anleitungen

INHALTSÜBERSICHT

Das American Daten Privacy and Protection Act (ADPPA): ein Überblick

Während viele neue Datenschutzgesetze auf einer Ebene der Bundesstaaten in Kraft treten, haben die Vereinigten Staaten noch immer kein umfassendes Bundesgesetz zum Datenschutz verabschiedet. Dann, wenn Bill H.R. 8152 sollte das parteiübergreifend unterstützte American Data Privacy Protection Act (ADPPA) verabschiedet werden, es wäre das erste Bundesdatenschutzgesetz nach fast zwei Jahrzehnten Diskussion.

In diesem Beitrag werden wir die wichtigsten Definitionen und Anforderungen des Gesetzentwurfs durchgehen, um eine klarere Vorstellung davon zu haben, was passieren würde, wenn die ADPPA durchgesetzt würde.

Auf einen Blick:

American Data Privacy and Protection Act (ADPPA)

Was ist der American Daten Privacy Protection Act (ADPPA)?

Nach dem offiziellen Wortlaut lautet die ADPPA:

Ein Gesetzentwurf, der Verbraucher grundlegende Daten bietet, starke Aufsichtsmechanismen schafft und eine sinnvolle Durchsetzung einführt.

Das ADPPA würde allen US-Verbraucher erhebliche Daten einräumen und gleichzeitig ein Überwachungssystem für die erheben und Verarbeitung von Daten durch erfasste Unternehmen einrichten.

Als Bundesgesetz würde die ADPPA im Allgemeinen anderen Datenschutzgesetzen auf Staatsebene vorgreifen, die von ihren Bestimmungen erfasst werden, wie Californias CPRA oder Virginias VCDPA. Das bedeutet, dass Unternehmen, die in den USA Geschäfte tätigen, das ADPPA einhalten müssten, da die meisten staatlichen Gesetze nicht mehr gelten würden.

Vorbehalt staatlicher Gesetze
Kein Staat oder keine politische Untergliederung eines Staates darf Gesetze, Vorschriften, Regeln, Normen, Erfordernisse oder andere Bestimmungen mit Rechtskraft und Rechtswirkung eines Staates oder einer politischen Untergliederung eines Staates, die von den Bestimmungen dieses Gesetzes oder einer nach diesem Gesetz verkündeten Regel, Regelung oder Anforderung erfasst sind, erlassen, beibehalten, durchsetzen, vorschreiben oder fortführen.

Die USA. Die Federal Trade Commission wäre hauptsächlich für die Durchsetzung des Gesetzes zuständig. Nach dem Entwurf ist die FTC verpflichtet, ein neues Büro namens „Bureau of Privacy“ einzurichten, das sich um die Überwachung und Durchsetzung des Gesetzentwurfs kümmert.

Für wen gilt das ADPPA?

Das amerikanische Datenschutzgesetz würde für die sogenannten „erfassten Unternehmen“ gelten.

Der Textentwurf definiert eine erfasste Stelle als „jede andere Stelle oder Person a ls eine in einem nichtkommerziellen Kontext handelnde Person, di e allein oder gemeinsam mit anderen über die Zwecke und Mittel der Erhebung, Verarbeitung oder Übermittlung erfasster Daten entscheidet“. Diese weit gefasste Definition umfasst die überwiegende Mehrheit der Unternehmen.

Die Definition umfasst nicht Bundes-, Landes-, Stammes-, Gebiets- oder Kommunalbehörden oder Personen oder Organisationen, die Daten in ihrem Namen erheben und verarbeiten.

👉 Lesen Sie hier die offizielle Definition

Was sind ConS Personenbezogene Daten nach dem ADPPA?

Das ADPPA definiert „erfasste Daten“ als Informationen, die – allein oder in Kombination mit anderen Informationen – zur Identifizierung einer Person oder ihres Geräts führen können oder mit ihr verknüpft oder vernünftigerweise verknüpfbar sind. Zu dieser Definition gehören auch eindeutige Identifikatoren wie IP-Adressen.

Andererseits umfasst die Definition von „erfassten Daten“ nicht:

  • gelöschte Daten;
  • Daten der Mitarbeiter;
  • öffentlich zugängliche Informationen oder
  • Rückschlüsse aus mehreren unabhängigen Quellen öffentlich zugänglicher Informationen, die keine sensiblen erfassten Daten über eine Person offenbaren.

Der American Data Privacy Protection Act enthält auch einen speziellen Abschnitt, der „sensiblen erfassten Daten“ gewidmet ist: Sozialversicherungs- und Passnummern; Gesundheitsinformationen; Finanzkonto-, Debitkarten- und Kreditkartennummern; biometrische und genetische Informationen; private Kommunikation; Anmeldeinformationen für Konten oder Geräte, um nur einige zu nennen.

👉 Die vollständige Liste finden Sie hier

Hauptgrundsätze des amerikanischen Daten

Unter Titel I – Loyalitätspflicht definiert die ADPPA ihre wichtigsten Grundsätze:

  • Datenminimierung: Ein Unternehmen sollte seine Erhebung, Verarbeitung und Übermittlung erfasster Daten nur auf das beschränken, was vernünftigerweise Erforderlich und verhältnismäßig ist, um einen zulässigen Zweck zu erfüllen oder ein bestimmtes Produkt oder Dienst bereitzustellen, das von der Person angefordert wird, der die Daten gehören.
  • Treuepflichten: umfassen vor allem Tätigkeiten, die das ADPPA verbietet, nämlich die Verarbeitung sensibler Daten, wenn dies nicht Erforderlich ist, um dem Einzelnen einen von ihm angeforderten Dienst zu erbringen, oder die Übermittlung Personenbezogener Daten an einen Dritten ohne ConS des Einzelnen.
  • Privacy by Design: Einrichtungen, die Personenbezogene Daten erheben und verarbeiten, sollten Schutzmaßnahmen und Sicherheitspraktiken anwenden, um sicherzustellen, dass ihre Tätigkeit sicher und in Übereinstimmung mit den geltenden Gesetzen ausgeübt wird.
  • Loyalität gegenüber Einzelpersonen in Bezug auf Preise: Versicherte Einrichtungen müssen von Vergeltungsmaßnahmen gegen eine Einzelperson absehen, wenn sie eines der durch das ADPPA garantierten Rechte ausüben, einschließlich der Verweigerung von Waren oder Dienstleistungen, der Erhebung unterschiedlicher Preise oder Sätze oder der Bereitstellung eines anderen Qualitätsniveaus.

Verbraucherdatenrechte gemäß ADPPA

Zu den Verbrauchern gemäß Titel II des ADPPA gehören:

  • ConS Sensibilisierung: Innerhalb von 90 Tagen nach Inkrafttreten des ADPPA müsste die FTC eine Beschreibung aller Bestimmungen, Rechte, Pflichten und Anforderungen des Gesetzes auf ihrer Website veröffentlichen.
  • Transparenz: Jedes erfasste Unternehmen macht eine Datenschutzerklärung öffentlich zugänglich, die eine detaillierte und genaue Darstellung seiner Daten erhebt, verarbeitet und übermittelt.
  • Anbieter individueller Daten: Einzelpersonen haben das Recht auf Zugang, Berichtigung, Löschung und Übertragbarkeit ihrer Daten.
  • Einwilligungs- und Widerspruchsrecht: Unternehmen müssen Einzelpersonen Mittel an die Hand geben, um unter anderem ihre Einwilligung in Bezug auf die Verarbeitung oder Übermittlung ihrer erfassten Daten und das Opt-out zielgerichteter Werbung zu erteilen und zu widerrufen.
  • Datenschutz für Kinder und Minderjährige: Betroffene Organisationen unterliegen zusätzlichen Anforderungen, wenn Personen unter 17 Jahren beteiligt sind. Beispielsweise ist zielgerichtete Werbung ausdrücklich untersagt, ebenso die Weitergabe von Daten an Dritte, sofern keine ausdrückliche ConS des abgedeckten Minderjährigen oder der Eltern oder Erziehungsberechtigten des abgedeckten Minderjährigen vorliegt.
  • Dritte erheben: Drittanbieter erheben auf ihrer Website und/oder App einen klaren und auffälligen Hinweis, der Einzelpersonen darüber informiert, dass sie ein Drittanbieter erheben, in der in den FTC-Vorschriften festgelegten Sprache.
  • Daten Sicherheit und Schutz erfasster Daten: Organisationen müssen Praktiken und Verfahren zur Daten Sicherheit einführen und aufrechterhalten, die Daten vor unbefugtem Zugriff und unbefugtem Erwerb schützen und schützen.

Da der Gesetzentwurf weder das Gesetzgebungsverfahren abgeschlossen noch verabschiedet wurde, gibt es noch keine wirksamen gesetzlichen Anforderungen. Sollte das ADPPA in seiner derzeitigen Fassung wirksam werden, wären die erfassten Unternehmen jedoch von folgenden Verpflichtungen Betroffen:

  • Datenschutzerklärung: Datenschutzrichtlinien werden im Text ausdrücklich erwähnt und sollten mindestens Folgendes umfassen:
    • die Kontaktdaten des erfassten Unternehmens;
    • Angaben zu den Dritten, die die Daten erhalten;
    • welche Art von Daten erhoben und verarbeitet werden und warum;
    • welche Rechte die Personen in Bezug auf ihre Daten haben und wie sie diese ausüben können;
    • Wie lange die Organisation die Daten speichern will.
  • Ein Mechanismus, um ConS für die Verarbeitung sensibler erfasster Daten zu erheben und diese zu widerrufen.
  • Ein Mechanismus zur Deaktivierung von gezielter Werbung.
  • Wenn Sie ein Drittanbieter sind, der Ihre Aktivitäten erhebt, einen deutlichen Hinweis auf Ihrer Website und/oder App.
Was muss ich tun?

Im Moment sollten Sie nichts gegen die ADPPA unternehmen: Der Text ist immer noch ein Entwurf und die Diskussion könnte Monate dauern. Unser Team von iubenda wird die Situation jedoch stets beobachten und Sie über Änderungen und Updates informieren.

👉 Melden Sie sich einfach hier an und verpassen Sie nicht die neuesten Nachrichten!

Sie können jedoch prüfen, ob eines der neu geltenden Datenschutzgesetze der US-Bundesstaaten für Sie gilt! Wenn das der Fall ist, müssten Sie ihre Anforderungen erfüllen.

Keine Sorge, es ist einfacher als Sie denken!

Mach einfach dieses 1-minütige Quiz und finde es heraus

About us

iubenda

Attorney-level solutions to make your websites and apps compliant with the law across multiple countries and legislations.

www.iubenda.com

Haben Sie noch Fragen?

Nehmen Sie an einem unserer kostenlosen Webinare teil Senden Sie uns eine E-Mail Live-Chat