CPA: Colorado Privacy Act

CPA

Was ist der CPA?

Der CPA ist der Colorado Privacy Act, der am 24. März 2022 unterzeichnet wurde. Es handelt sich um ein Datenschutzgesetz, das dem US-amerikanischen CCPA ähnelt.

Der „Verkauf personenbezogener Daten" wird definiert als „der Austausch personenbezogener Daten gegen eine geldwerte oder sonstige wertvolle Gegenleistung durch einen Verantwortlichen an einen Dritten."

Unterschiede zu CCPA, VCDPA, UCPA, GDPR

Der CPA enthält keine Umsatzschwellen
Im Gegensatz zum CCPA und CDPA gilt der CPA auch dann, wenn ein Unternehmen weniger als 50 % seines jährlichen Bruttoumsatzes aus dem Verkauf von Daten erzielt

Für wen gilt der CPA?

Kontrolliert oder verarbeitet die personenbezogenen Daten von mindestens 100.000 Verbrauchern oder mehr während eines Kalenderjahres; oder
Erzielt Einnahmen oder erhält einen Rabatt auf den Preis von Waren oder Dienstleistungen aus dem Verkauf personenbezogener Daten und verarbeitet oder kontrolliert die personenbezogenen Daten von 25.000 oder mehr Verbrauchern.

Personenbezogene Daten (PII)

Biometrische Daten
Kredit- und Debitkartennummern
Führerschein- und Kennzeichennummern
E-Mail-Adressen
Beschäftigungsinformationen
Finanzdaten
Gesundheits- und Versicherungsdaten
Postanschriften
Militärausweisnummern
Reisepassnummern
Passwörter
Wohnadressen
Sozialversicherungsnummern
Studentenausweisnummern
Telefonnummern
Benutzernamen

Sensible personenbezogene Daten

Rassische oder ethnische Herkunft
Religiöse Überzeugungen
Psychischer oder physischer Gesundheitszustand oder Diagnose
Sexualleben oder sexuelle Orientierung
Staatsangehörigkeit oder Staatsangehörigkeitsstatus
Genetische oder biometrische Daten, die zum Zweck der eindeutigen Identifizierung einer Person verarbeitet werden können
Ein bekanntes Kind

Verbraucherrechte gemäß dem CPA

Recht auf Auskunft
Recht auf Berichtigung
Recht auf Löschung
Recht auf Datenübertragbarkeit
Recht auf Widerspruch gegen zielgerichtete Werbung, Verkauf oder Profiling mit ihren personenbezogenen Daten
Recht auf Widerspruch (Berufung)

CPA-Durchsetzung und Bußgelder

Der Verantwortliche hat 60 Tage Zeit, den Verstoß zu beheben. Ein nicht konformes Unternehmen kann mit bis zu 20.000 US-Dollar pro Verstoß bestraft werden.

CPA und Einwilligungsverwaltung

Opt-out-Modell: Wie bei den anderen bisher in den USA verabschiedeten Gesetzen auf Bundesstaatsebene müssen Verantwortliche in den meisten Fällen keine Einwilligung der Verbraucher einholen, bevor sie deren personenbezogene Daten erheben.

Verantwortliche dürfen „sensible Daten" nicht ohne Einwilligung verarbeiten. Die Einwilligung muss „frei, spezifisch, informiert und eindeutig" erfolgen.

Ohne Einwilligung schreibt der CPA vor, dass ein Verantwortlicher personenbezogene Daten nicht für „Zwecke verarbeiten darf, die nicht in angemessener Weise für die angegebenen Zwecke, für die die personenbezogenen Daten verarbeitet werden, notwendig oder damit vereinbar sind."

Zeitplan des Colorado Privacy Act (CPA)

Am 8. Juli 2021 unterzeichnet
Der CPA tritt am 1. Juli 2023 in Kraft

Weitere US-Datenschutzgesetze der Bundesstaaten

CCPA: California Consumer Privacy Act, mehr erfahren unter CCPA
CPRA: California Privacy Rights Act, mehr erfahren unter CPRA
CPA: Colorado Privacy Act, mehr erfahren unter CPA
VCDPA: Virginia Consumer Data Protection Act, mehr erfahren unter VCDPA
UCPA: Utah Consumer Privacy Act, mehr erfahren unter UCPA
CTDPA: Connecticut Data Protection Act, mehr erfahren unter CTDPA
COPPA: Children's Online Privacy Protection Act, mehr erfahren unter COPPA

Vergleichen Sie verschiedene US-Datenschutzgesetze der Bundesstaaten

Wie können Sie den Colorado Privacy Act einhalten und eine Compliance-Lösung umsetzen?

Verwenden Sie eine Consent-Management-Plattform wie UniConsent, um Verbrauchern die volle Kontrolle über die Datenerhebung, Opt-out-Funktionen und die Verwaltung der Präferenzkommunikation zu bieten.