FAQ: Was ist der Virginia Consumer Data Protection Act (VCDPA)?

Datenschutz ist weiterhin ein immer relevanteres Thema unserer Zeit.

Der Virginia Consumer Data Protection Act (Virginias CDPA oder VCDPA) wurde kürzlich von beiden Kammern der gesetzgebenden Körperschaft Virginias erlassen und sieht neue Beschränkungen für die Erhebung, Offenlegung und Verwendung personenbezogener Daten (PII) von Einwohnern Virginias durch nicht ausgenommene Unternehmen vor.

VCDPA-Fragen, die in dieser FAQ beantwortet werden:

• Welche Einschränkungen gibt es im neuen VCDPA?
• Welche Verbraucherschutzmaßnahmen bietet das VCDPA?
• Wer wird das VCDPA durchsetzen?
• Für wen gilt das VCDPA?
• Wann trat das VCDPA in Kraft?
• Was müssen Verlage über VCDPA wissen?

Welche Einschränkungen gibt es im neuen VCDPA?

• Dass sie spezifischen, nachweisbaren Anfragen von Verbrauchern aus Virginia nach Offenlegung, Berichtigung oder Löschung personenbezogener Daten nachkommen;
• Dass sie es Verbrauchern in Virginia gestatten, der Verarbeitung personenbezogener Daten für bestimmte Zwecke zu widersprechen (und dass darüber hinaus sensible Daten nicht ohne eine eindeutige Zustimmung verarbeitet werden dürfen);
• Dass Unternehmen Schutzbewertungen ihrer Datenverarbeitungsvorgänge durchführen (sowie anderer Verarbeitungsvorgänge personenbezogener Daten, „die ein erhöhtes Schadensrisiko für Verbraucher darstellen“);
• Dass Unternehmen angemessene Datenschutzhinweise und -offenlegungen pflegen und veröffentlichen (und diese einhalten); Und
• Dass Unternehmen und ihre Datenverarbeiter spezifische Rechtsklauseln in ihre Nutzungsverträge aufnehmen.

Um die Sicherheit der persönlichen Daten der Kunden im Lichte des neuen VCDPA zu gewährleisten, müssen Datenverarbeiter nun einige zusätzliche Vorschriften einhalten, die sich hauptsächlich auf Datenschutzbewertungen, Verbraucheranfragen und Benachrichtigungen über Sicherheitsverletzungen beziehen.

Leser können den vollständigen Text des VCDPA hier einsehen.

Einige Beobachter haben Parallelen zwischen dem California Consumer Privacy Act (CCPA, der 2020 in Kraft trat) – der ersten bedeutenden Datenschutzmaßnahme in den Vereinigten Staaten – und dem jüngsten VCDPA gezogen, der vor mehr als zweieinhalb Jahren verabschiedet wurde später. (Beachten Sie, dass der CCPA selbst am 1. Januar 2023 durch den California Privacy Rights Act [CPRA] geändert und erweitert wurde.)

Andere argumentieren jedoch, dass die weitaus strengere Datenschutz-Grundverordnung (DSGVO) der EU eher dem VCDPA ähnelt.

Aber das VCDPA ist auch eindeutig ein eigenes Maßnahmenpaket. Während das VCDPA bestimmte Einschränkungen für das Business-to-Consumer-Targeting (B2C) vorsieht, gibt es auch eine Reihe von Möglichkeiten, diese Einschränkungen zu umgehen.

Auch wenn einige dieser Einschränkungen möglicherweise Auswirkungen auf die B2C-Marketingbemühungen von Unternehmen haben könnten, scheint es immer noch ein faires Spiel zu sein, einen Virginianer im Rahmen von Business-to-Business (B2B) oder Business-to-Government (B2G) anzusprechen solange dies für die berufliche Funktion des Opfers relevant ist und nicht gegen Gesetze verstößt. Wenn Sie jedoch einen Menschen aus Virginia erreichen möchten, während er oder sie nach einem langen Tag mit seiner Familie (und seinem Telefon) auf dem Sofa entspannt, sollten Sie Ihre gezielte Werbung möglicherweise zurückschrauben.

Welche Verbraucherschutzmaßnahmen bietet das VCDPA?

Das VCDPA gewährt Verbrauchern spezifische Rechte in Bezug auf ihre privaten Daten. Zu diesen Schutzmaßnahmen des Gesetzes gehören:

1. Das Recht, personenbezogene Daten einzusehen, darauf zuzugreifen und zu bestätigen
2. Das Recht, personenbezogene Daten zu löschen
3. Das Recht, Ungenauigkeiten in personenbezogenen Daten zu korrigieren
4. Das Recht auf Datenübertragbarkeit (d. h. vereinfachter, tragbarer Zugriff auf alle personenbezogenen Daten eines Unternehmens)
5. Das Recht, der Verarbeitung personenbezogener Daten für gezielte Werbezwecke zu widersprechen
6. Das Recht, dem Verkauf personenbezogener Daten zu widersprechen
7. Das Recht, der Profilerstellung auf der Grundlage personenbezogener Daten zu widersprechen
8. Das Recht, bei der Ausübung eines der oben genannten Rechte nicht diskriminiert zu werden

Um die Vorschriften des VCDPA einzuhalten, müssen Unternehmen den Verbrauchern Informationen über ihre Rechte sowie einen Mechanismus zur Ausübung dieser Rechte zur Verfügung stellen. Das Gesetz kodifiziert außerdem verschiedene Pflichten zum Schutz personenbezogener Daten für Unternehmen. Wenn es um die Erhebung und Nutzung sensibler personenbezogener Daten wie präziser Geolokalisierungsdaten, Daten zu geschützten Nutzermerkmalen sowie genetischer oder biometrischer Daten geht, müssen Unternehmen, die zur Einhaltung des Gesetzes verpflichtet sind, zunächst eine Einwilligung einholen.

Der VCDPA ähnelt dem CCPA darin, dass der VCDPA besondere Verträge zwischen Unternehmen und den Dienstleistern vorschreibt, die sie mit der Datenverarbeitung in ihrem Namen beauftragen. Diese Verträge müssen den Anforderungen des Gesetzes entsprechen und die Pflichten der Dienstleister in Bezug auf die von ihnen verarbeiteten personenbezogenen Daten festlegen.

Darüber hinaus schreibt das VCDPA vor, dass Unternehmen personenbezogene Daten nicht länger als für einen bestimmten Zweck erforderlich und nicht länger als für die Erreichung des angegebenen Zwecks aufbewahren müssen. Diese Konzepte werden als Zweckbindung bzw. Datenminimierung bezeichnet.

Das VCDPA schreibt außerdem vor, dass Unternehmen über angemessene Datensicherheitsrichtlinien verfügen und diese beibehalten, um die Privatsphäre, Integrität und Verfügbarkeit von Kundeninformationen zu schützen.

Die Datensicherheitsmaßnahmen eines Unternehmens sind wahrscheinlich angemessen, wenn sie dem anerkannten Industriestandard entsprechen und die Größe und Komplexität des Unternehmens sowie die von ihm verarbeiteten personenbezogenen Daten berücksichtigen. Allerdings ist noch nicht klar, wie diese Angemessenheitskriterien umgesetzt werden.

Schließlich schreibt das VCDPA ebenso wie die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union vor, dass Organisationen eine Datenschutzbewertung durchführen und dokumentieren, bevor sie sensible Daten verarbeiten oder bestimmte Aktivitäten mit personenbezogenen Daten durchführen, wie z. B. gezielte Werbung, Verkauf usw Profilierung.

Wer wird das VCDPA durchsetzen?

Der Generalstaatsanwalt von Virginia wird für die Durchsetzung des VCDPA verantwortlich sein, und obwohl es eine 30-tägige Nachfrist gibt, um etwaige Verstöße zu beheben, kann ein weiterer Verstoß gegen das Gesetz über diesen Zeitpunkt hinaus zu einer zivilrechtlichen Strafe von bis zu 7.500 US-Dollar pro Vorfall führen. Es ist wichtig anzumerken, dass das Gesetz einzelnen Verbrauchern kein privates Klagerecht einräumt, wie dies beim CCPA der Fall ist.

Was diesen letzten Vorbehalt betrifft, muss ein Einwohner von Virginia eine natürliche Person sein, die „nur im Einzel- oder Haushaltskontext handelt“, um als Verbraucher im Sinne des VCDPA zu gelten. (Vergleichen Sie dies mit dem CCPA, das seine Definition von „Verbraucher“ nicht auf „Einzelpersonen oder Haushalte“ beschränkt.) Das VCDPA stellt außerdem klar, dass Personen, die „in einem kommerziellen oder arbeitsrechtlichen Kontext handeln“, keine Schutzmaßnahmen gewährt werden.

Für wen gilt das VCDPA?

Wie der CCPA kann auch der VCDPA für Unternehmen gelten, die nicht in Virginia ansässig sind, aber dennoch im Bundesstaat geschäftlich tätig sind. Dieses Gesetz schreibt vor, dass Unternehmen, die (1) in Virginia Geschäfte tätigen oder an Einwohner von Virginia vermarkten; und (2) entweder: (a) die personenbezogenen Daten von 100.000 oder mehr Einwohnern Virginias verarbeiten oder kontrollieren; oder (b) die personenbezogenen Daten von 25.000 oder mehr Einwohnern Virginias verarbeiten oder kontrollieren und mehr als 50 % des Bruttoumsatzes aus dem Verkauf personenbezogener Daten erzielen, unterliegen dem VCDPA.

Wann trat das VCDPA in Kraft?

Das VCDPA trat am 1. Januar 2023 in Kraft, daher müssen Unternehmen es derzeit einhalten.

Am 2. März 2021 wurde Virginia nach Kalifornien der zweite Bundesstaat, der umfassende Datenschutzgesetze einführte und damit eine landesweite Gesetzgebung ergänzte Flickenteppich an Datenschutzbestimmungen. (Die Bundesstaaten Nevada und Maine haben ebenfalls beide Datenschutzgesetze erlassen, obwohl diese nicht als „umfassend“ im Sinne der International Association of Privacy Professionals [IAPP] gelten.)

Was müssen Verlage über VCDPA wissen?

Unternehmen sollten ihre Verarbeitungsvorgänge personenbezogener Daten, Datensicherheitsmaßnahmen, Datenschutzrichtlinien und Dienstanbieterverträge so schnell wie möglich überprüfen, um sich vor der Durchsetzung des VCDPA zu schützen. Wir empfehlen außerdem, das Gesamtbild zu berücksichtigen, wenn es darum geht, auf die Forderungen der Verbraucher zu reagieren, Rechte gemäß dem CCPA oder dem VCDPA durchzusetzen.

Admiral, eine CMP (Consent Management Platform), verfolgt Datenschutzgesetze, die Auswirkungen auf Online-Publisher in den Vereinigten Staaten und auf der ganzen Welt haben. Es wird empfohlen, dass Sie die lesen Wenn Sie Fragen oder Bedenken haben, wenden Sie sich an die CMP-FAQ .

Zusätzlich zu den gesetzlichen Vorschriften kann das Einholen der Einwilligung der Besucher ein wertvolles Besuchersegment für die Vermarktung schaffen und für einige Verlage zu höheren CPMs geführt haben.

Es wird bald strengere Datenschutzgesetze geben

Die Aufmerksamkeit der Öffentlichkeit wird auf den Datenschutz gelenkt, da Meldungen über Datenschutzverletzungen, die missbräuchliche Verwendung von Kundendaten und den Schutz der Privatsphäre immer häufiger werden. Den Ergebnissen einer Cisco-Umfrage zufolge wünschen sich mittlerweile 84 % der Befragten mehr Mitsprache über ihre Daten und deren Verwendung.

84 % der Befragten wünschen sich nun mehr Mitspracherecht über ihre Daten und deren Verwendung. - Cisco-Umfrage

Dies ist die Spitze des Eisbergs für Verlage. Illinois, Maine, Massachusetts, Nevada, New Jersey und Pennsylvania sind nur einige der Bundesstaaten, die kürzlich Datenschutzgesetze verabschiedet haben.

Es gibt auch Bemühungen, eine Bundesdatenschutzbehörde und nationale Datenschutzvorschriften einzurichten. Im Vorfeld hat das Tech Lab des IAB die General Privacy Platform geschaffen, ein standardisiertes Compliance-Protokoll. Die Consent-Management-Plattform von Admiral ist GPP-konform und auf Flexibilität über Staaten und Gerichtsbarkeiten hinweg ausgelegt.

Einhaltung von VCDPA, CPRA, CCPA und DSGVO

Für Verlage kann es ein Albtraum sein, mit der gesamten Datenschutzgesetzgebung und der Komplexität der DSGVO, CCPA, CPRA und VCDPA Schritt zu halten. Um den Datenschutz und die Einwilligung der Besucher besser zu handhaben, haben viele Verlage Admiral um Unterstützung gebeten.

Admiral ist einer der ersten CMPs, der die Methodik des Interactive Advertising Bureau (IAB) für die Übermittlung von Opt-out-Informationen an nachgelagerte Anbieter einhält, Website-Besuche anhand von IP-Adressen in Virginia automatisch identifiziert und Besuchern eine Benutzeroberfläche zur Verfügung stellt, von der sie sich abmelden können Datenverkauf.

CMP von Admiral ist die preisgünstigste Lösung zur Verwaltung von Datenschutzeinwilligungen für Medienverleger. Vereinbaren Sie noch heute eine Demo.