Neues Datenschutzgesetz in Oregon: Was bedeutet das für Unternehmen?
Am 22. Juni wurde SB 619, das Oregon Consumer Privacy Act (OCPA), von den Gesetzgebern in Salem verabschiedet. Sollte es von Gouverneur Kotek in Kraft treten, wird Oregon der elfte US-Bundesstaat (und der sechste im Jahr 2023) sein, der umfassende Datenschutzgesetze zur Erfassung, Nutzung und Übermittlung von Verbraucherdaten einführt. Der Großteil der Anforderungen des OCPA tritt am 1. Juli 2024 in Kraft (mit Ausnahme von gemeinnützigen Organisationen, für die das Gesetz ab dem 1. Juli 2025 gilt).
Für Unternehmen in Oregon oder Unternehmen, die in Oregon tätig sind, hat das neue Datenschutzgesetz einige wichtige Auswirkungen. Hier sind die zentralen Bestimmungen, die Unternehmen beachten sollten:
1. Breiter Anwendungsbereich
Im Gegensatz zu vielen anderen staatlichen Datenschutzgesetzen schließt das OCPA nicht automatisch Unternehmen aus, die bereits den Bundesgesetzen zum Datenschutz unterliegen. Es gibt lediglich Ausnahmen für bestimmte Daten, die bereits durch Gesetze wie den Health Insurance Portability and Accountability Act (HIPAA) und den Gramm-Leach-Bliley Act (GLBA) geregelt sind. Zudem gelten Non-Profit-Organisationen im OCPA nicht als Ausnahme, außer im Falle von Organisationen, die “Betrug im Zusammenhang mit Versicherungen aufdecken und verhindern” oder als “Finanzinstitute” nach Landesrecht eingestuft sind.
2. Erweiterte Definitionen von erfassten Daten
Das OCPA bezieht sich auf “personenbezogene Daten” und legt zudem eine Kategorie von “sensiblen Daten” fest, die besonderen Schutz genießen. Die Definition von “personenbezogenen Daten” im OCPA ist jedoch einzigartig, da sie explizit “abgeleitete Daten” einschließt, also Schlussfolgerungen über einen Kunden, sowie Daten, die mit einem “Gerät” verbunden sind und vernünftigerweise einer oder mehreren Personen in einem “Haushalt” zugeordnet werden können. Im Gegensatz zu ähnlichen Gesetzen gibt es im OCPA keine spezifische Definition und Ausnahmen für pseudonymisierte Daten.
Die Definition von “sensiblen Daten” im Oregon-Gesetz ist auch weiter gefasst als in anderen Bundesstaaten und umfasst unter anderem “Herkunft”, “Geschlechtsidentität als Transgender oder Non-Binary” und “Opferstatus eines Verbrechens”. Zudem definiert das OCPA den Begriff “biometrische Daten” weitreichend und schließt Informationen ein, die eine eindeutige Identifizierung einer Person ermöglichen. Es gibt jedoch eine Ausnahme für “Gesichtsmapping oder Gesichtsgeometrie”, sofern diese Technologien nicht zur eindeutigen Identifizierung einer Person verwendet werden.
3. Neue Verbraucherrechte
Das OCPA gewährt Verbrauchern eine Reihe von Rechten, die inzwischen weitgehend üblich sind, wie das Recht auf Bestätigung der
Datenverarbeitung, Zugang, Berichtigung, Löschung, Portabilität der persönlichen Daten sowie das Recht, der gezielten Werbung, dem Datenverkauf und bedeutenden Profilierungsentscheidungen zu widersprechen. Ein interessanter Aspekt des OCPA ist jedoch das Recht der Verbraucher, eine Liste der “spezifischen Dritten” anzufordern, an die ein Unternehmen personenbezogene Daten weitergibt. Dies stellt eine operationale Herausforderung dar und ähnelt den Anforderungen, die in kürzlich erlassenen Datenschutzgesetzen im Gesundheitswesen in Washington State und Nevada festgelegt wurden. Darüber hinaus ist das OCPA das erste umfassende Datenschutzgesetz, das explizit das Recht auf Löschung von “abgeleiteten Daten” vorsieht.
4. Striktere Verpflichtungen für Datenverantwortliche
Das OCPA legt für betroffene Unternehmen eine Reihe von Verpflichtungen fest, die bereits aus anderen Datenschutzgesetzen bekannt sind, wie die Aufrechterhaltung angemessener Datensicherheit, vertragliche Anforderungen an Auftragsverarbeiter, Veröffentlichung von Datenschutzerklärungen und die Einholung von Einwilligungen zur Verarbeitung sensibler Daten. Allerdings sind die Verpflichtungen im OCPA etwas strenger als in vergleichbaren Gesetzen anderer Bundesstaaten. So müssen Datenverantwortliche beispielsweise eine ausdrückliche Einwilligung einholen, um Daten von Jugendlichen im Alter von 13 bis 15 Jahren für bedeutende Entscheidungen zu profilieren. Zudem wird im OCPA darauf hingewiesen, dass Designmechanismen, die darauf abzielen, die Verbraucherwahl zu beeinträchtigen, die Zustimmung der Verbraucher gemäß dem Gesetz ungültig machen können. Schließlich schreibt das Gesetz vor, dass Datenschutz-Folgenabschätzungen für einen Zeitraum von fünf Jahren aufbewahrt werden müssen. Lediglich Colorado hat ähnliche Aufbewahrungsfristen in seinen Durchführungsbestimmungen festgelegt.
5. Datenverwendung und -austausch für Forschungszwecke
Das OCPA enthält Ausnahmen von den Verbraucherrechten und -pflichten für bestimmte Verwendungen personenbezogener Daten, wie interne Betriebsabläufe, die den Verbrauchererwartungen entsprechen, die Erfüllung von Ermittlungsanfragen von Strafverfolgungsbehörden und die Aufrechterhaltung der Datensicherheit. Im Gegensatz zu anderen Datenschutzgesetzen gibt es im OCPA jedoch keine speziellen Anforderungen für die Verwendung von Daten zu Forschungszwecken. Solange die Verwendung von identifizierenden Daten im Einklang mit dem geltenden Recht steht, sind Unternehmen von den Verbraucherrechten und -pflichten des Gesetzes befreit.
Das neue Datenschutzgesetz in Oregon bringt für Unternehmen Veränderungen und Herausforderungen mit sich. Es ist wichtig, dass Unternehmen, insbesondere solche in Oregon oder Unternehmen, die in Oregon Geschäfte tätigen, die Bestimmungen des OCPA sorgfältig prüfen und geeignete Maßnahmen ergreifen, um die Anforderungen des Gesetzes zu erfüllen und den Schutz der Verbraucherdaten sicherzustellen.