Gemäß CTDPA müssen Unternehmen eine klare und informierte Einwilligung einholen, bevor sie Cookies oder andere Tracking-Technologien einsetzen, die personenbezogene oder sensible Daten von Einwohnern Connecticuts erfassen. Verfügen Sie über die richtigen Tools zur Einwilligungsverwaltung, um die Anforderungen zu erfüllen?
Der Connecticut Data Privacy Act (CTDPA) trat am 1. Juli 2023 in Kraft. Er gewährt den Einwohnern Connecticuts wichtige Datenschutzrechte und -schutz und legt Unternehmen und Dienstleistern, die personenbezogene Daten von Einwohnern Connecticuts verarbeiten, Pflichten auf.
Verantwortliche/Auftragsverarbeiter, die quantitative Schwellenwerte erreichen oder Gesundheitsdaten von Verbrauchern verarbeiten (für CHD-Verantwortliche gelten keine Schwellenwerte), sind vom CTDPA betroffen.
Unternehmen sollten prüfen, ob sie bestimmte Schwellenwerte überschreiten – etwa die Verarbeitung von Daten von mindestens 100.000 Einwohnern Connecticuts oder von mindestens 25.000 Einwohnern mit einem Umsatz von über 25 % aus Datenverkäufen – und ob sie mit Gesundheitsdaten von Verbrauchern (CHD) arbeiten. Wenn ja, stellen Sie Folgendes sicher:
Datenschutzbestimmungen aktualisieren:
Aktualisierung der Datenschutzrichtlinien mit Delaware-spezifischen Offenlegungen
Implementieren Sie das Einwilligungsmanagement:
Implementieren Sie Cookie-Einwilligungsbanner und ermöglichen Sie Verbraucherrechten
Bewertungen durchführen:
Erstellen Sie Risiko- und Datenschutzbewertungen
Opt-in- und Opt-out-Unterstützung:
Nutzen Sie Opt-in für sensible Daten und integrieren Sie globale Opt-out-Unterstützung (z. B. GPC).
Implementieren Sie Prozessorvereinbarungen:
Treffen Sie Vereinbarungen zur Durchsetzung der CTDPA-Standards
Die Einhaltung des CTDPA ist für jede Organisation erforderlich, die:
Zu den befreiten Einrichtungen zählen:
Landes- und Kommunalverwaltungen
Gemeinnützige Einrichtungen und Hochschulen
Finanzinstitute, die unter das GLBA fallen
Unternehmen, die unter das HIPAA fallen
Nationale Wertpapierverbände
Einwohner von Connecticut können die folgenden Rechte ausüben:
Verbraucher können auf personenbezogene Daten zugreifen, einschließlich aus Profiling gewonnener Schlussfolgerungen
Verbraucher können die Berichtigung von Ungenauigkeiten verlangen
Verbraucher können die Löschung ihrer personenbezogenen Daten verlangen
Verbraucher haben das Recht, ihre Informationen herunterzuladen/zu übermitteln
Verbraucher können dem Verkauf personenbezogener Daten, gezielter Werbung und Profiling mit rechtlichen/signifikanten Auswirkungen widersprechen.
Cookie-Banner und Einwilligungstools müssen erklären, welche Daten erhoben werden, warum und wie sie verwendet werden, und Nutzern die Möglichkeit geben, Tracking zu akzeptieren oder abzulehnen.
Cookies, die personenbezogene oder sensible Daten verarbeiten (z. B. Geräte-IDs, biometrische Daten, gesundheitsbezogenes Tracking), erfordern eine ausdrückliche Einwilligung. Cookie-Hinweise müssen den Zweck und die Art der Cookies detailliert beschreiben und einfache Annahme-/Ablehnungsoptionen bieten. Unternehmen müssen die Einwilligung dokumentieren und „Nicht verkaufen“-Mechanismen unterstützen.
Verstöße werden mit Geldstrafen geahndet. Bis zum 31. Dezember 2024 sah das CTDPA eine 60-tägige Nachfrist nach Bekanntgabe durch den Generalstaatsanwalt vor, innerhalb derer Verstöße behoben werden mussten, um Geldstrafen zu vermeiden. Nach dem 1. Januar 2025 entfiel diese Nachfrist. Der Generalstaatsanwalt von Connecticut kann pro vorsätzlichem Verstoß bis zu 5.000 USD verhängen, einschließlich Schadensersatz und Unterlassungsansprüchen.
Um Ihre Einhaltung des CTDPA zu überprüfen, sollten Organisationen:
Prüfung:
Führen Sie ein Datenaudit durch, um alle Cookies und Tracker auf Ihren Websites zu identifizieren
Kategorisieren:
Kategorisieren Sie Cookies (z. B. notwendig, Präferenz, Analyse, Marketing)
Implementieren Sie das Einwilligungsmanagement:
Stellen Sie sicher, dass Einwilligungsbanner mit detaillierten Auswahlmöglichkeiten korrekt implementiert werden, dass Benutzer ihre Einwilligung jederzeit widerrufen können und dass Einwilligungsprotokolle geführt werden.
Verträge mit Drittanbietern prüfen:
Überprüfen Sie die Praktiken von Drittanbietern zum Datenaustausch
Dies gilt für Verantwortliche/Auftragsverarbeiter, die in CT geschäftlich tätig sind oder sich an dessen Einwohner richten und jährlich ≥100.000 Verbraucherdaten verarbeiten oder ≥25.000 mit >25 % Umsatz aus Datenverkäufen, sowie für alle Verantwortlichen von Gesundheitsdaten von Verbrauchern.
Alle Informationen, die mit einer identifizierbaren Person verknüpft sind (z. B. Name, Adresse, IDs, Anmeldeinformationen), ausgenommen öffentliche Informationen.
Teilmenge personenbezogener Daten, einschließlich ethnischer Herkunft, Religion, Gesundheitszustand, sexueller Orientierung, biometrischer/genetischer Daten und Gesundheitsdaten des Verbrauchers – für die Verarbeitung ist eine Einwilligung erforderlich.
Der Generalstaatsanwalt von Connecticut setzt das CTDPA durch. Die Durchsetzung umfasst Mitteilungen, Geldstrafen, Unterlassungsverfügungen und Entschädigungen.
Zu den ausgenommenen Einrichtungen zählen Regierungsstellen, gemeinnützige Organisationen, Hochschulen, GLBA-gedeckte Finanzinstitute, HIPAA-gedeckte Einrichtungen und nationale Wertpapierverbände.
Offizielle Richtlinien finden Sie auf der CTDPA-Seite des Generalstaatsanwalts von Connecticut.
Haftungsausschluss: Die Informationen auf dieser Seite dienen ausschließlich allgemeinen Referenzzwecken und stellen keine Rechts- oder Regulierungsberatung dar. Datenschutzbestimmungen sind komplex und unterliegen häufigen Aktualisierungen, Auslegungen und rechtlichen Abweichungen. Wir bemühen uns um Richtigkeit und Aktualität der Informationen, können jedoch deren Vollständigkeit oder Anwendbarkeit auf Ihre individuellen Umstände nicht garantieren. Für Beratung zur Einhaltung gesetzlicher Vorschriften oder zu rechtlichen Verpflichtungen wenden Sie sich bitte an qualifizierte Rechtsexperten oder die zuständigen Aufsichtsbehörden.
©2025 CookieHub ehf.
