Tennessee Information Protection Act (TIPA)

Der Tennessee Information Protection Act (TIPA) wurde am 11. Mai 2023 in Kraft gesetzt und tritt am 1. Juli 2025 in Kraft. Tennessee reiht sich in die wachsende Zahl der US-Bundesstaaten ein, die umfassende Verbraucherdatenschutzgesetze verabschieden.

Was ist der TIPA?

Der TIPA gewährt Einwohnern Tennessees Rechte über ihre personenbezogenen Daten und erlegt Unternehmen, die diese Daten erheben oder verarbeiten, Pflichten auf. Das Gesetz folgt dem Opt-out-Modell für allgemeine personenbezogene Daten und erfordert eine Opt-in-Einwilligung vor der Verarbeitung sensibler Daten. Ein bemerkenswertes Merkmal ist die Safe-Harbor-Bestimmung für Unternehmen, die ein Datenschutzprogramm im Einklang mit dem NIST Privacy Framework unterhalten.

Für wen gilt der TIPA?

Der TIPA gilt für Unternehmen, die in Tennessee geschäftlich tätig sind oder Produkte oder Dienstleistungen anbieten, die auf Einwohner Tennessees ausgerichtet sind, und die im vorangegangenen Kalenderjahr einen Jahresumsatz von mindestens 25 Millionen US-Dollar hatten und entweder:

• Die personenbezogenen Daten von mindestens 175.000 Verbrauchern kontrolliert oder verarbeitet haben; oder
• Die personenbezogenen Daten von mindestens 25.000 Verbrauchern kontrolliert oder verarbeitet haben und mehr als 50 % des Bruttoumsatzes aus dem Verkauf personenbezogener Daten erzielt haben.

Verbraucherrechte nach dem TIPA

Einwohner Tennessees haben Anspruch auf:

• Auskunftsrecht: Bestätigung, ob ein Unternehmen ihre personenbezogenen Daten verarbeitet, und Anforderung einer Kopie
• Recht auf Berichtigung: Berichtigung unrichtiger personenbezogener Daten verlangen
• Recht auf Löschung: Löschung ihrer personenbezogenen Daten verlangen
• Recht auf Datenübertragbarkeit: Eine portable Kopie ihrer personenbezogenen Daten erhalten
• Widerspruchsrecht: Widerspruch gegen gezielte Werbung, Verkauf personenbezogener Daten und Profiling für bedeutsame Entscheidungen
• Beschwerderecht: Beschwerde gegen die Ablehnung eines Rechtsantrags durch ein Unternehmen einlegen

Unternehmen müssen auf verifizierte Verbraucheranfragen innerhalb von 45 Tagen antworten, verlängerbar um weitere 45 Tage, wenn dies angemessen erforderlich ist.

Sensible Daten

Die Verarbeitung sensibler Daten erfordert eine Opt-in-Einwilligung der Verbraucher. Sensible Daten nach dem TIPA umfassen rassische oder ethnische Herkunft, religiöse Überzeugungen, psychische oder physische Gesundheitszustände oder Diagnosen, sexuelle Orientierung, Staatsbürgerschafts- oder Einwanderungsstatus, genetische oder biometrische Daten, die zur eindeutigen Identifizierung einer Person verarbeitet werden, präzise Standortdaten und personenbezogene Daten bekannter Kinder.

NIST Privacy Framework Safe Harbor

Ein einzigartiges Merkmal des TIPA ist seine Safe-Harbor-Bestimmung. Unternehmen, die ein schriftliches Datenschutzprogramm erstellen, pflegen und einhalten, das in angemessener Weise dem NIST Privacy Framework entspricht, haben Anspruch auf eine positive Verteidigung gegen Vorwürfe von Verstößen. Dies schafft Anreize für Unternehmen, anerkannte Best Practices im Datenschutz zu übernehmen.

Durchsetzung

Der Generalstaatsanwalt von Tennessee setzt den TIPA durch. Es gibt kein privates Klagerecht. Unternehmen haben eine 60-tägige Nachbesserungsfrist nach Erhalt einer Benachrichtigung über einen Verstoß. Zivilrechtliche Strafen von bis zu 7.500 US-Dollar pro Verstoß können verhängt werden. Bei vorsätzlichen oder wissentlichen Verstößen kann der dreifache Schadenersatz (dreimal die zivilrechtliche Strafe) zugesprochen werden.

Wie UniConsent die TIPA-Konformität unterstützt

UniConsent bietet Unternehmen die Werkzeuge, die sie zur Erfüllung der TIPA-Anforderungen benötigen:

• Opt-out- und Opt-in-Einwilligungsbanner, konfigurierbar nach Bundesstaat
• Erkennung des Global Privacy Control (GPC)-Signals
• Verwaltung von Verbraucherrechtsanträgen
• Einwilligungsworkflows für sensible Daten
• Integration mit Websites, mobilen Apps und Tag-Managern

Starten Sie mit UniConsent oder entdecken Sie unsere Funktionen.

Weitere US-Datenschutzgesetze der Bundesstaaten

• CCPA: California Consumer Privacy Act, erfahren Sie mehr unter CCPA
• CPRA: California Privacy Rights Act, erfahren Sie mehr unter CPRA
• CPA: Colorado Privacy Act, erfahren Sie mehr unter CPA
• VCDPA: Virginia Consumer Data Protection Act, erfahren Sie mehr unter VCDPA
• UCPA: Utah Consumer Privacy Act, erfahren Sie mehr unter UCPA
• CTDPA: Connecticut Data Protection Act, erfahren Sie mehr unter CTDPA
• TDPSA: Texas Data Privacy and Security Act, erfahren Sie mehr unter TDPSA
• DPDPA: Delaware Personal Data Privacy Act, erfahren Sie mehr unter DPDPA
• NHPA: New Hampshire Privacy Act, erfahren Sie mehr unter NHPA
• MTCDPA: Montana Consumer Data Privacy Act, erfahren Sie mehr unter MTCDPA
• FDBR: Florida Digital Bill of Rights, erfahren Sie mehr unter FDBR
• NJDPA: New Jersey Data Protection Act, erfahren Sie mehr unter NJDPA
• INCDPA: Indiana Consumer Data Protection Act, erfahren Sie mehr unter INCDPA
• ICDPA: Iowa Consumer Data Protection Act, erfahren Sie mehr unter ICDPA
• MODPA: Maryland Online Data Privacy Act, erfahren Sie mehr unter MODPA
• MNCDPA: Minnesota Consumer Data Privacy Act, erfahren Sie mehr unter MNCDPA
• NDPA: Nebraska Data Privacy Act, erfahren Sie mehr unter NDPA
• OCPA: Oregon Consumer Privacy Act, erfahren Sie mehr unter OCPA
• RIDTPPA: Rhode Island Data Transparency and Privacy Protection Act, erfahren Sie mehr unter RIDTPPA

Vergleichen Sie verschiedene US-Datenschutzgesetze der Bundesstaaten