UniConsent

Der American Privacy Rights Act (APRA)

Der American Privacy Rights Act (APRA) zielt darauf ab, einen umfassenden Bundesrahmen für den Verbraucherdatenschutz zu schaffen, Datenschutzpflichten für Unternehmen aufzuerlegen, Einzelpersonen bestimmte Rechte über ihre Daten zu gewähren und die Durchsetzungsfähigkeiten der Federal Trade Commission zu stärken.

FunktionenLoslegen
Vertrauenswürdig bei über 5000 globalen Verlagen und Vermarktern
  • sej
  • football365
  • sharethrough
  • districtm
  • pf1
  • tower cast

APRA

Was ist APRA? Der American Privacy Rights Act?

Der American Privacy Rights Act (APRA) ist ein bedeutender überparteilicher Gesetzentwurf beider Kammern, der am 7. April im Kongress eingebracht wurde. Er wurde von der Vorsitzenden des House Energy and Commerce Committee, Cathy McMorris Rodgers (R-WA), und der Vorsitzenden des Senate Commerce, Science, and Transportation Committee, Maria Cantwell (D-WA), geleitet. Der APRA ist darauf ausgelegt:

  • Als umfassendes Bundesdatenschutzgesetz zu fungieren und die meisten bundesstaatsspezifischen Datenschutzvorschriften zu ersetzen.
  • Datenschutzrechte für alle US-Bürger zu gewährleisten, unabhängig von ihrem Bundesstaat, ihrer Branche oder demografischen Gruppe.
  • Strenge Durchsetzungsmaßnahmen zur Sicherstellung der Einhaltung umzusetzen, einschließlich der Aufsicht durch die Federal Trade Commission (FTC), Generalstaatsanwälte der Bundesstaaten und insbesondere der Möglichkeit für Einzelpersonen, rechtliche Schritte direkt gegen Verstöße einzuleiten.

Schlüsselelemente des American Privacy Rights Act (APRA)

  1. Datenschutzrechte für Einzelpersonen

Der APRA gewährt Einzelpersonen das Recht auf Zugang, Berichtigung, Löschung und Export ihrer personenbezogenen Daten. Er gibt ihnen auch die Möglichkeit, der Datenverarbeitung zu widersprechen, etwa bei gezielter Werbung und der Verwendung von Algorithmen.

  1. Pflichten für Unternehmen

Unternehmen und Organisationen, die personenbezogene Daten erheben, verarbeiten oder übertragen, müssen strenge Grundsätze der Datenminimierung, Transparenzanforderungen und Datensicherheitsstandards einhalten. Der APRA auferlegt großen Datenhaltern und Datenhändlern zusätzliche Pflichten, einschließlich der Durchführung von Datenschutz-Folgenabschätzungen und der Bereitstellung von Opt-out-Möglichkeiten für Einzelpersonen.

  1. Einwilligungsanforderungen

Für sensible Daten, wie biometrische oder genetische Informationen, schreibt der APRA vor, dass Unternehmen eine ausdrückliche, bejahende Einwilligung von Einzelpersonen einholen müssen, bevor sie solche Daten erheben, verarbeiten oder übertragen. Dies stellt sicher, dass Einzelpersonen eine größere Kontrolle über ihre sensibelsten persönlichen Informationen haben.

  1. Durchsetzungsmechanismen

Der APRA ermächtigt die Federal Trade Commission (FTC) zur Durchsetzung des Gesetzes, wobei Verstöße zivilrechtlichen Strafen unterliegen. Generalstaatsanwälte der Bundesstaaten sind ebenfalls berechtigt, zivilrechtliche Klagen im Namen ihrer Einwohner zu erheben. Bemerkenswert ist, dass der APRA ein privates Klagerecht beinhaltet, das es Einzelpersonen ermöglicht, bei bestimmten Verstößen zu klagen, wie z. B. bei der unbefugten Verwendung ihrer sensiblen Daten.

  1. Vorrang vor Landesgesetzen

Der APRA würde die meisten bundesstaatlichen Datenschutzgesetze ersetzen und einen einheitlichen Satz von Datenschutzbestimmungen landesweit etablieren. Bestimmte Landesgesetze in Bezug auf Verbraucherschutz, Arbeitnehmerdatenschutz und Gesundheitsinformationen können jedoch von der Vorrangklausel ausgenommen sein.

Einwilligung im Rahmen des APRA

Im Rahmen des APRA spielt die Einwilligung eine entscheidende Rolle beim Schutz der Privatsphäre von Einzelpersonen. Unternehmen müssen eine klare und bejahende Einwilligung von Einzelpersonen einholen, bevor sie sensible personenbezogene Daten verarbeiten. Diese Anforderung soll sicherstellen, dass Einzelpersonen umfassend darüber informiert sind, wie ihre Daten verwendet werden, und fundierte Entscheidungen darüber treffen können, ob sie eine solche Verarbeitung zulassen.

Darüber hinaus verlangt der APRA, dass Einzelpersonen die Möglichkeit erhalten, bestimmten Datenverarbeitungsaktivitäten zu widersprechen, wie z. B. der Verwendung ihrer Daten für gezielte Werbung oder algorithmische Entscheidungsfindung. Dies ermöglicht es Einzelpersonen, eine größere Kontrolle über ihre persönlichen Informationen und deren Nutzung durch Unternehmen und Organisationen auszuüben.

Zeitplan des American Privacy Rights Act (APRA)

  1. 7. April 2024: Einführung des APRA

Der American Privacy Rights Act (APRA) wurde von der Vorsitzenden des House Energy and Commerce Committee, Cathy McMorris Rodgers (R-WA), und der Vorsitzenden des Senate Commerce, Science, and Transportation Committee, Maria Cantwell (D-WA), eingebracht. Der Gesetzentwurf wurde als überparteiliche Bemühung beider Kammern vorgestellt, um einen umfassenden Bundesrahmen für den Datenschutz in den Vereinigten Staaten zu schaffen.

  1. 23. Mai 2024: Markup des House Energy & Commerce Committee

Das House Energy & Commerce Committee, insbesondere das Innovation, Data, and Commerce Subcommittee, überprüfte eine aktualisierte Version des APRA. Diese Version enthielt neue Bestimmungen wie Titel II, der den Children's Online Privacy Protection Act (COPPA) ändert und neue Schutzmaßnahmen für Minderjährige einführt.

  1. 31. Mai 2024: Öffentliche Diskussion und weitere Aktualisierungen

Der Congressional Research Service (CRS) veröffentlichte eine aktualisierte rechtliche Zusammenfassung des APRA und hob wichtige Änderungen gegenüber dem ursprünglichen Entwurf hervor. Diese Aktualisierung enthielt Vergleiche mit anderen Datenschutzgesetzentwürfen, Reaktionen von Interessengruppen und mögliche rechtliche Herausforderungen.

  1. Zukünftige Entwicklungen:
  • Gesetzgebungsverfahren: Der APRA wird das Gesetzgebungsverfahren fortsetzen, einschließlich Debatten, möglicher Änderungsanträge und Abstimmungen im Repräsentantenhaus und Senat. Wenn der Gesetzentwurf von beiden Kammern verabschiedet wird, wird er dem Präsidenten zur Unterzeichnung vorgelegt.
  • Umsetzungsdatum: Das genaue Umsetzungsdatum wird durch die endgültige Fassung des Gesetzentwurfs bestimmt und kann einige Zeit nach der Verabschiedung festgelegt werden, um Unternehmen Zeit zur Einhaltung der neuen Vorschriften zu geben.

APRA gilt für die folgenden Unternehmen

Erfasste Unternehmen:

Der APRA gilt für die meisten Unternehmen, Organisationen und gemeinnützigen Einrichtungen, die als „erfasste Unternehmen" definiert sind. Dies sind Unternehmen, die allein oder in Zusammenarbeit mit anderen die Zwecke und Mittel der Erhebung, Verarbeitung, Speicherung oder Übertragung personenbezogener Daten bestimmen.

Große Datenhalter:

Unternehmen mit umfangreichen Datenoperationen, insbesondere solche mit einem jährlichen Bruttoumsatz von über 250 Millionen US-Dollar und die bestimmte Datenschwellenwerte erreichen, unterliegen zusätzlichen Pflichten im Rahmen des APRA. Diese großen Datenhalter müssen Algorithmus-Folgenabschätzungen, Datenschutz-Folgenabschätzungen durchführen und jährliche Compliance-Zertifizierungen an die FTC übermitteln.

Datenhändler:

Der APRA gilt auch für Unternehmen, deren Haupteinnahmen aus der Verarbeitung oder Übertragung personenbezogener Daten stammen, die sie nicht direkt von Einzelpersonen erhoben haben. Diese Datenhändler müssen sich bei der FTC registrieren und spezifische Anforderungen an Datenverwaltung und Transparenz erfüllen.

Ausnahmen:

Bestimmte Kleinunternehmen sind von der Definition der „erfassten Unternehmen" im Rahmen des APRA ausgenommen, was bedeutet, dass sie nicht denselben Vorschriften wie größere Organisationen unterliegen. Die spezifischen Kriterien für diese Ausnahmen werden jedoch in der endgültigen Gesetzgebung festgelegt.

Einzelpersonen und Verbraucher:

Während der APRA Unternehmen Pflichten auferlegt, gewährt er Einzelpersonen und Verbrauchern Rechte. Diese Rechte umfassen den Zugang zu, die Berichtigung, Löschung und den Export ihrer personenbezogenen Daten sowie den Widerspruch gegen bestimmte Arten der Datenverarbeitung, wie z. B. gezielte Werbung.

Wesentliche Anforderungen des APRA

APRA-Ausnahmen

Im Gegensatz zu vielen bundesstaatlichen Datenschutzgesetzen erstreckt sich der APRA nicht auf Kleinunternehmen, die definiert sind als Unternehmen, die:

  • Einen Jahresumsatz von 40 Millionen US-Dollar oder weniger haben,
  • Daten von 200.000 oder weniger Einzelpersonen erheben, verarbeiten, speichern oder übertragen, und
  • Keine Einnahmen aus dem Verkauf personenbezogener Daten an Dritte, wie z. B. Datenhändler, erzielen.

Darüber hinaus schließt der APRA bestimmte Organisationen und Einrichtungen aus, wie Regierungsbehörden, Auftragnehmer im Auftrag von Regierungen, das National Center for Missing and Exploited Children (NCMEC) und gemeinnützige Organisationen zur Betrugsbekämpfung.

Unternehmen, die bereits bestimmte Bundesvorschriften einhalten, wie den Gramm-Leach-Bliley Act oder HIPAA, gelten als konform mit dem APRA. Darüber hinaus gilt das Gesetz nur für Daten, die vernünftigerweise mit einer Einzelperson verknüpft werden können, wodurch de-identifizierte Daten, Mitarbeiterdaten, öffentlich verfügbare Informationen und ähnliche Kategorien ausgeschlossen werden.

Primäre APRA-Anforderungen

Organisationen, die dem APRA unterliegen, werden feststellen, dass seine Kernanforderungen mit denen der meisten Datenschutzgesetze übereinstimmen, obwohl es einige einzigartige Elemente gibt, die beachtenswert sind.

Betroffenenrechte

Der APRA gewährt Einzelpersonen eine Reihe von Rechten, ähnlich wie andere US-Datenschutzgesetze, darunter:

  • Das Recht zu erfahren, welche personenbezogenen Daten erhoben wurden,
  • Das Recht auf Zugang zu ihren Daten,
  • Das Recht auf Berichtigung von Ungenauigkeiten,
  • Das Recht auf Löschung ihrer Daten,
  • Das Recht, ihre Daten in einem portablen Format zu erhalten, und
  • Das Recht auf Widerspruch gegen gezielte Werbung und Profiling.

Große Datenhalter

Eines der besonderen Merkmale des APRA ist die Klassifizierung von „Großen Datenhaltern", definiert als Unternehmen, die:

  • Einen Jahresumsatz von 250 Millionen US-Dollar oder mehr haben,
  • Die Daten von mehr als 5 Millionen Einzelpersonen (oder vergleichbare Schwellenwerte für Geräte) verarbeiten, oder
  • Die sensiblen Daten von mehr als 200.000 Einzelpersonen verwalten.

Große Datenhalter unterliegen strengeren Vorschriften, darunter:

  • Veröffentlichung von Datenschutzrichtlinien der letzten zehn Jahre und Bereitstellung einer Kurzfassung,
  • Berichterstattung an die FTC über Anfragen zu Betroffenenrechten,
  • Bestellung sowohl eines Datenschutzbeauftragten als auch eines Datensicherheitsbeauftragten,
  • Durchführung regelmäßiger Datenschutz-Folgenabschätzungen, insbesondere für Algorithmen.

Sensible Daten

Wie bei Datenschutzvorschriften üblich, definiert der APRA eine besondere Kategorie für sensible Daten, die breit gefasst Folgendes umfasst:

  • Behördliche Identifikatoren,
  • Gesundheits- und biometrische Informationen,
  • Genetische Daten,
  • Finanzdetails,
  • Präzise Geolokalisierung,
  • Anmeldedaten,
  • Private Kommunikation,
  • Daten, die sexuelles Verhalten offenbaren, unter anderem.

Der APRA verlangt, dass Verbraucher der Erhebung und Nutzung sensibler Daten aktiv zustimmen. Nicht-sensible Daten können verarbeitet werden, sofern die Verbraucher informiert sind und ihre Einwilligung widerrufen können.

Erforderlicher Datenschutz-/Sicherheitsbeauftragter

In Anlehnung an Aspekte der DSGVO schreibt der APRA vor, dass Unternehmen einen Datenschutz- oder Sicherheitsbeauftragten ernennen. Obwohl die Verantwortlichkeiten der Rolle im aktuellen Entwurf nicht vollständig detailliert sind, ist dies eine Anforderung für alle erfassten Unternehmen, wobei große Datenhalter sowohl einen Datenschutzbeauftragten als auch einen Sicherheitsbeauftragten ernennen müssen.

Datenhändler

Der APRA führt spezifische Vorschriften für Datenhändler ein und verpflichtet sie, sich bei der FTC zu registrieren, wenn sie die Daten von mehr als 5.000 Einzelpersonen betreffen. Diese Registrierung muss jährlich erneuert werden, und die Händler müssen eine Website unterhalten, die Betroffenenrechte und Widerspruchsanträge erleichtert und auf das Datenhändlerregister der FTC verweist.

Mehrstufige Durchsetzung mit privatem Klagerecht

Die Durchsetzung des APRA kann über mehrere Kanäle erfolgen:

  • Die FTC, die Verstöße als unlautere oder irreführende Praktiken behandelt,
  • Generalstaatsanwälte der Bundesstaaten, die verschiedene Formen der Abhilfe einschließlich zivilrechtlicher Strafen und Entschädigungen anstreben können, und
  • Privatpersonen, die Unternehmen verklagen können, die ihre Rechte im Rahmen des Gesetzes verletzen.

Die Aufnahme eines privaten Klagerechts ist besonders bemerkenswert, da es Einzelpersonen ermöglicht, ihre Rechte direkt durchzusetzen, eine Bestimmung, die während der Gesetzgebungsdiskussionen ein Schwerpunkt werden könnte.

Wie wird der American Privacy Rights Act (APRA) eingehalten?

Verwenden Sie eine Einwilligungsverwaltungsplattform wie UniConsent, um Verbrauchern die volle Kontrolle über die Datenerhebung zu bieten, mit Widerspruchsmöglichkeiten, die die Präferenzkommunikation automatisieren, vereinfachen und verwalten, ohne zusätzlichen Zeit- und Arbeitsaufwand.

Comply With Global Privacy Regulations

General Data Protection Regulation (GDPR)

Achieve seamless compliance with the General Data Protection Regulation (GDPR) – the cornerstone of data privacy in the European Union. Safeguard user data and build trust with our comprehensive GDPR compliance solutions.

California Consumer Privacy Act (CCPA)

Navigate the intricate landscape of the California Consumer Privacy Act (CCPA) effortlessly. Our CCPA compliance tools ensure that you adhere to the rigorous data protection standards required for California residents.

U.S. State Privacy Laws

Stay ahead of evolving privacy regulations in the United States. Our platform supports a range of state-specific laws, including CCPA, CPRA, CPA, VCDPA, UCPA, and COPPA, ensuring you remain compliant across all jurisdictions.

California Privacy Rights Act (CPRA)

Embrace the future of data privacy with the California Privacy Rights Act (CPRA). As a pioneering state-level legislation, CPRA empowers businesses to enhance their data protection practices and prioritize consumer privacy.

Colorado Privacy Act (CPA)

Prepare for the Colorado Privacy Act (CPA) with UniConsent CMP. Our solutions help you meet the stringent requirements of this forward-thinking state-level privacy law, ensuring the highest level of data security and compliance.

Virginia Consumer Data Protection Act (VCDPA)

Comply confidently with the Virginia Consumer Data Protection Act (VCDPA). UniConsent CMP provides the tools and expertise to ensure your organization aligns with VCDPA's robust data privacy framework, bolstering trust among Virginia residents.

Utah Consumer Privacy Act (UCPA)

Protect user data effectively with the Utah Consumer Privacy Act (UCPA). UniConsent CMP offers solutions that facilitate compliance with this emerging privacy law, ensuring your business is well-prepared for data privacy challenges in Utah.

Connecticut Data Protection Act (CTDPA)

Guard user information and uphold their privacy rights under the Connecticut Data Protection Act (CTDPA). UniConsent CMP's suite of compliance tools empowers you to navigate this state-level law seamlessly and responsibly.

Children’s Online Privacy Protection Act (COPPA)

Prioritize children's privacy with UniConsent CMP's COPPA compliance solutions. Complying with the Children’s Online Privacy Protection Act (COPPA) is simplified, allowing you to provide a safe online environment for young users.

General Data Protection in Thailand (PDPA)

Adhere to the Personal Data Protection Act 2019 (PDPA) in Thailand with UniConsent CMP. Our expertise in PDPA compliance ensures that your organization can operate confidently and securely in the Thai market while respecting user data privacy.

The General Data Protection Law in Brazil (LGPD)

UniConsent CMP facilitates compliance with Brazil's General Data Protection Law (LGPD). Our solutions empower businesses to meet LGPD's stringent requirements, safeguarding the personal data of individuals in Brazil.

China Personal Information Protection Law (PIPL)

Prepare for the China Personal Information Protection Law (PIPL) with UniConsent CMP. As data protection regulations evolve in China, our platform ensures your organization is well-equipped to handle personal information responsibly and securely.

Protection of Personal Information Act in South Africa (POPIA)

The Summary of Protection of Personal Information Act, POPI Act, POPIA, South African Privacy Law.

India’s Personal Data Protection (PDP)

The Personal Data Protection bill for India could require changes to your data management and is not directly solved with GDPR compliance.

Turkey Personal Data Protection Law (KVKK)

The Summary of Turkey’s Personal Data Protection Law: KVKK.

UK General Data Protection Regulation (UK GDPR)

Achieve seamless compliance with the General Data Protection Regulation (GDPR) – the cornerstone of data privacy in the UK. Safeguard user data and build trust with our comprehensive GDPR compliance solutions.

Texas Data Privacy and Security Act (TDPSA)

Comply with the Texas Data Privacy and Security Act (TDPSA), effective July 1, 2024. UniConsent CMP supports opt-out rights, universal opt-out signals, and data protection assessments for Texas residents.

Delaware Personal Data Privacy Act (DPDPA)

Meet the requirements of the Delaware Personal Data Privacy Act (DPDPA). UniConsent CMP provides opt-out and opt-in consent tools, consumer rights management, and sensitive data workflows for Delaware compliance.

New Hampshire Privacy Act (NHPA)

Comply with the New Hampshire Privacy Act (NHPA). UniConsent CMP provides consent banners, Global Privacy Control support, and consumer rights request management for New Hampshire residents.

Montana Consumer Data Privacy Act (MTCDPA)

Meet the requirements of the Montana Consumer Data Privacy Act (MTCDPA). UniConsent CMP helps businesses manage opt-out rights, sensitive data consent, and consumer requests for Montana residents.

Florida Digital Bill of Rights (FDBR)

Meet the requirements of the Florida Digital Bill of Rights (FDBR). UniConsent CMP provides opt-out consent tools, children's data protections, and consumer rights management for Florida compliance.

New Jersey Data Protection Act (NJDPA)

Comply with the New Jersey Data Protection Act (NJDPA). UniConsent CMP provides opt-out consent banners, Global Privacy Control signal recognition, and consumer rights request management for New Jersey residents.

Indiana Consumer Data Protection Act (INCDPA)

Meet the requirements of the Indiana Consumer Data Protection Act (INCDPA). UniConsent CMP provides opt-out consent tools, sensitive data workflows, and consumer rights management for Indiana residents.

Iowa Consumer Data Protection Act (ICDPA)

Comply with the Iowa Consumer Data Protection Act (ICDPA). UniConsent CMP provides opt-out consent banners and consumer rights request management for Iowa residents.

Maryland Online Data Privacy Act (MODPA)

Meet the strict requirements of the Maryland Online Data Privacy Act (MODPA). UniConsent CMP supports data minimization, opt-in consent for sensitive data, and consumer rights management for Maryland residents.

Minnesota Consumer Data Privacy Act (MNCDPA)

Comply with the Minnesota Consumer Data Privacy Act (MNCDPA). UniConsent CMP provides opt-out consent tools, sensitive data workflows, and consumer rights management for Minnesota residents.

Nebraska Data Privacy Act (NDPA)

Meet the requirements of the Nebraska Data Privacy Act (NDPA). UniConsent CMP provides opt-out and opt-in consent tools, Global Privacy Control support, and consumer rights management for Nebraska residents.

Oregon Consumer Privacy Act (OCPA)

Comply with the Oregon Consumer Privacy Act (OCPA). UniConsent CMP provides opt-out consent banners, sensitive data opt-in workflows, and consumer rights management for Oregon residents.

Rhode Island Data Transparency and Privacy Protection Act (RIDTPPA)

Meet the requirements of the Rhode Island Data Transparency and Privacy Protection Act (RIDTPPA). UniConsent CMP provides consent banners, Global Privacy Control support, and consumer rights management for Rhode Island residents.

Tennessee Information Protection Act (TIPA)

Comply with the Tennessee Information Protection Act (TIPA). UniConsent CMP provides opt-out consent tools, sensitive data workflows, and NIST Privacy Framework-aligned privacy management for Tennessee residents.

Oklahoma Computer Data Privacy Act (OKCDPA)

Meet the requirements of the Oklahoma Computer Data Privacy Act (OKCDPA). UniConsent CMP provides opt-out consent banners, sensitive data consent workflows, and consumer rights management for Oklahoma residents.

Nevada Privacy Law (NRS 603A)

Comply with Nevada privacy law (NRS 603A). UniConsent CMP supports opt-out of data sale rights and consent management for Nevada residents.

California Invasion of Privacy Act (CIPA)

Manage CIPA compliance for your website. UniConsent CMP provides opt-in consent tools that block third-party tracking scripts until consent is granted, supporting compliance with California wiretapping law.

California Delete Act (SB 362)

Comply with the California Delete Act (SB 362). UniConsent CMP helps businesses manage consumer deletion requests, data broker obligations, and opt-out preference signals.

Kentucky Consumer Data Protection Act (KCDPA)

Meet the requirements of the Kentucky Consumer Data Protection Act (KCDPA). UniConsent CMP provides opt-out consent tools, sensitive data workflows, and consumer rights management for Kentucky residents.

Alabama Personal Data Protection Act (APDPA)

Prepare for the Alabama Personal Data Protection Act (APDPA), effective May 1, 2027. UniConsent CMP provides opt-out and opt-in consent tools, sensitive data workflows, and consumer rights management for Alabama residents.

IAB registered consent manager for GDPRIAB TCF V2 registered consent manager for GDPRIAB TCF Canada registered consent managerGoogle-certified CMPGoogle-certified CMP
Vertrauenswürdig bei über 5000 globalen Verlagen und Vermarktern
  • sej
  • football365
  • sharethrough
  • districtm
  • pf1
  • tower cast

Beginnen Sie damit, Ihre Website und Anwendung gemäß EU-DSGVO, US-CPRA, CA-PIPEDA usw. konform zu machen

Registrieren