Am 18. Juni tauchte ein neuer Stern in der amerikanischen Datenschutzkonstellation auf: Texas nahm stolz seinen Platz als elfter Bundesstaat ein, der sich mit der Verabschiedung des Texas Data Privacy and Security Act (TDPSA) für die Datenschutzrechte der Verbraucher einsetzte, wobei die Tinte auf HB 4 trocknete.
Die TDPSA soll am 1. Juli 2024 in Kraft treten – am selben Tag wie ihr Gegenstück in Florida, die Florida Digital Bill of Rights.
Eine Einführung in den Texas Data Privacy and Security Act
Das TDPSA schützt die Privatsphäre und die Rechte an personenbezogenen Daten von über 31 Millionen Texanern. Was es jedoch von anderen Datenschutzgesetzen auf staatlicher Ebene in den USA unterscheidet, ist seine einzigartige Sprache und Anwendung.
Während sich die meisten Gesetze dieser Art auf Waren oder Dienstleistungen konzentrieren, die auf die Einwohner des Bundesstaates abzielen, ist der Begriff „konsumiert“ des TDPSA möglicherweise das unterscheidungskräftigste Merkmal. Diese eigentümliche Wahl des Wortlauts könnte möglicherweise ihren Geltungsbereich auf Unternehmen außerhalb des Bundesstaates ausweiten, die mit Texanern zu tun haben, um sicherzustellen, dass sie sich an TDPSA halten oder anderweitig Einwohner von Texas von ihrer Kundschaft ausschließen, wenn sie sich nicht an gleichwertige Vorschriften halten.
Organisationen unter dem Dach der TDPSA
Jedes Unternehmen, das personenbezogene Daten von Verbrauchern verarbeitet, ist von dem Gesetz betroffen. Texas definiert einen Verbraucher nicht nur als jeden Einwohner, sondern insbesondere als jemanden, der als Einzelperson oder Haushalt handelt – mit Ausnahme von gewerblichen oder beruflichen Kontexten.
Daher ist es für diese Unternehmen von entscheidender Bedeutung, ihre Kunden über die verschiedenen Datenerfassungs- und Verarbeitungsaktivitäten zu informieren, die sie perfektionieren, einschließlich Klarheit über die Art der gesammelten Daten, ihren Verwendungszweck und eine mögliche Weitergabe an Dritte.
Das Opt-Out-Modell
Das TDPSA verwendet ein Opt-out-Modell, ähnlich wie mehrere andere Staaten, die umfassende Datenschutzbestimmungen eingeführt haben. Dies verpflichtet Unternehmen, den Verbrauchern einen klaren Weg zu bieten, um die Datenerfassung und -verarbeitung abzulehnen.
Daneben müssen sowohl die Unternehmen als auch ihre verbundenen Unternehmen angemessene Datensicherheitsmaßnahmen und -sicherungen durchsetzen.
Kerndefinitionen im Rahmen des TDPSA
Personenbezogene Daten: TDPSA verfolgt einen konventionellen Ansatz zur Definition personenbezogener Daten. Es umfasst alle Informationen, ob sensibel oder nicht, die mit einer identifizierbaren Person verknüpft werden können (oder verknüpft werden können).
Das Gesetz listet zwar keine spezifischen Beispiele auf, aber traditionelle Details wie Namen, Telefonnummern, IP-Adressen und Sozialversicherungsnummern fallen unter diese Kategorie.
Einwilligen: In Anlehnung an die DSGVO der Europäischen Union definiert das TDPSA die Einwilligung als eine klare und unmissverständliche Handlung, die die freiwillige Zustimmung eines Verbrauchers zur Verarbeitung seiner personenbezogenen Daten anzeigt.
Dies kann in Form von schriftlichen Erklärungen oder anderen offensichtlichen positiven Handlungen geschehen. Das Gesetz unterscheidet sich jedoch von vielen anderen dadurch, dass bestimmte Sonderfälle – wie die Annahme allgemeiner Nutzungsbedingungen – von der Einstufung als gültige Einwilligung ausgeschlossen sind.
Sensible Daten: Diese Kategorie ist personenbezogenen Daten vorbehalten, die bei unsachgemäßer Handhabung zu erheblichen Schäden führen können. Dazu gehören Daten, aus denen rassische oder ethnische Herkunft, religiöse Überzeugungen, Gesundheitsdiagnosen, Sexualität, Staatsbürgerschaftsstatus, genetische oder biometrische Daten, Informationen von Kindern unter 13 Jahren und genaue Geolokalisierungsdaten hervorgehen.
Verantwortlicher und Auftragsverarbeiter: Unternehmen, die die Art und Weise und den Zweck der Verarbeitung personenbezogener Daten bestimmen, werden als „Verantwortliche“ bezeichnet. In der Zwischenzeit werden Drittunternehmen, die Daten im Auftrag dieser Unternehmen verarbeiten, als „Auftragsverarbeiter“ bezeichnet.
Ausverkauf: Dies ist definiert als die Übertragung oder Offenlegung personenbezogener Daten für materielle oder andere wertvolle Gewinne. Es gibt jedoch mehrere Ausnahmen: wie die gemeinsame Nutzung von Daten für die angeforderte Produkt-/Dienstleistungslieferung oder im Rahmen von Fusionen.
Gezielte Werbung: Dies bezieht sich auf Werbung, die auf der Grundlage von Verbraucherdaten (die im Laufe der Zeit auf verschiedenen Plattformen gesammelt werden) kuratiert wird und darauf abzielt, Verbraucherpräferenzen vorherzusagen.
Ausnahmen vom TDPSA
Texas orientiert sich an den bestehenden US-Datenschutzgesetzen, indem es bestimmte Ausnahmen vorsieht, die hauptsächlich Bundesgesetze wie HIPAA, COPPA und FCRA anerkennen, um nur einige zu nennen.
Das Gesetz schließt auch Daten aus, die sich auf Versuchspersonen am Menschen, Personal, Gesundheitsakten und Beschäftigungszwecke beziehen. Darüber hinaus gehören Einrichtungen wie staatliche Regierungsbehörden, Hochschuleinrichtungen, Versicherungsunternehmen, Finanzinstitute, Stromversorger und gemeinnützige Organisationen zu den ausgenommenen Organisationen.
Verbraucherrechte im Rahmen des TDPSA
Texanische Verbraucher können nach diesem Gesetz mehrere Rechte ausüben:
Auskunftsrecht
Auf diese Weise können Verbraucher überprüfen, ob ein Verantwortlicher ihre Daten verarbeitet, und erhalten Zugriff darauf.
Recht auf Berichtigung
Verbraucher können ungenaue oder veraltete Informationen berichtigen.
Recht auf Löschung
Verbraucher können den für die Verarbeitung Verantwortlichen anweisen, ihre personenbezogenen Daten zu löschen, abgesehen von bestimmten Ausnahmen.
Recht auf Datenübertragbarkeit
Dadurch wird sichergestellt, dass Verbraucher ihre Daten in einem brauchbaren Format abrufen können.
Recht auf Nichtdiskriminierung
Die für die Verarbeitung Verantwortlichen dürfen die Verbraucher bei der Geltendmachung ihrer Rechte nicht unangemessen diskriminieren.
Recht auf Opt-out
Dies umfasst die Ablehnung des Verkaufs personenbezogener Daten, gezielte Werbung oder wichtige Entscheidungen auf der Grundlage von Profiling.
Eltern oder Erziehungsberechtigte können auch Kinder unter 13 Jahren vertreten. Bemerkenswert ist, dass das TDPSA Verbrauchern im Gegensatz zum kalifornischen Gesetz nicht das Recht einräumt, rechtliche Schritte gegen Verstöße gegen die Datenverarbeitung einzuleiten.
Schlussfolgerung
Der Texas Data Privacy and Security Act zeigt das Engagement von Texas, die technologischen und wirtschaftlichen Fortschritte des digitalen Zeitalters mit den Datenschutzrechten seiner Bürger in Einklang zu bringen.
Mit seiner einzigartigen Sprache und seinen weitreichenden Auswirkungen ist das TDPSA ein Beweis für die sich entwickelnde Landschaft der Datenschutzgesetze in den USA. Da sich die digitale Welt weiter ausdehnt, wird auch die Bedeutung dieser Vorschriften zunehmen, um eine Blaupause für andere Staaten zu bieten, die ähnliche Maßnahmen in Betracht ziehen.