Gemäß dem INCDPA müssen Unternehmen vor der Verarbeitung sensibler personenbezogener Daten eine eindeutige Einwilligung einholen – dazu gehören auch Cookies, die genaue Geolokalisierungsdaten oder biometrische Daten erfassen. Die Einwilligung muss dokumentiert, widerrufbar und direkt an bestimmte Cookie-Zwecke gebunden sein. Entspricht Ihr Einwilligungsmanagement den Best Practices?
Der Indiana Consumer Data Protection Act (INCDPA), der am 1. Mai 2023 unterzeichnet wurde und am 1. Januar 2026 in Kraft tritt, ist ein umfassendes staatliches Datenschutzgesetz nach dem Vorbild des VCDPA von Virginia. Es legt die Rechte der Verbraucher in Bezug auf Daten sowie die Pflichten der Verantwortlichen und Auftragsverarbeiter fest.
Unternehmen, die sich an Einwohner von Indiana wenden, müssen die Anwendbarkeit prüfen, Cookie-Banner aktualisieren, Einwilligungsmechanismen verfeinern, Datenschutz-Folgenabschätzungen durchführen und strenge Datenschutzhinweise implementieren. Dabei nutzen sie Tools wie Einwilligungsmanagement-Plattformen, um die Einhaltung der Vorschriften zu optimieren und Risiken zu minimieren.
Um festzustellen, ob das INCDPA anwendbar ist, fragen Sie sich, ob Sie in Indiana geschäftlich tätig sind oder sich an Einwohner von Indiana richten. Wenn ja, verarbeiten Sie jährlich personenbezogene Daten von mindestens 100.000 Einwohnern von Indiana oder von mindestens 25.000 Einwohnern von Indiana und erzielen dabei über 50 % Ihres Umsatzes durch den Verkauf ihrer Daten?
Falls ja, erfordert die Einhaltung der Vorschriften Folgendes:
Überprüfen Sie die Datenpraktiken:
Ordnen Sie alle erfassten persönlichen und sensiblen Daten (einschließlich Cookies) zu.
Implementieren Sie das Einwilligungsmanagement:
Überprüfen Sie Zustimmungsbanner und Cookie-Hinweise.
Setzen Sie Opt-out-Maßnahmen ein:
Stellen Sie Opt-out-Optionen für Datenverkauf, Profilerstellung und gezielte Werbung sicher.
Bereitstellung von Datensicherheit:
Implementieren Sie Datensicherheitsmaßnahmen und Datenschutz-Folgenabschätzungen für Aktivitäten mit hohem Risiko.
Verantwortliche oder Auftragsverarbeiter müssen den INCDPA einhalten, wenn:
Sie in Indiana geschäftlich tätig sind oder dessen Einwohner ansprechen und
Entweder personenbezogene Daten von mindestens 100.000 Einwohnern pro Jahr verarbeiten oder
Daten von mindestens 25.000 Einwohnern pro Jahr verarbeiten und mehr als 50 % ihres Umsatzes aus dem Verkauf personenbezogener Daten erzielen.
Ausnahmen gelten:
Behörden, gemeinnützige Organisationen, Bildungseinrichtungen, Versorgungsunternehmen, GLBA- oder HIPAA-konforme Einrichtungen, arbeitsbezogene Daten und Flussboot-Casinos, die staatlich anerkannte Gesichtserkennung verwenden.
Einwohner von Indiana haben folgende Rechte:
Verbraucher können auf die Verarbeitung personenbezogener Daten zugreifen und diese bestätigen
Verbraucher können die Berichtigung von Ungenauigkeiten verlangen
Verbraucher können die Löschung ihrer personenbezogenen Daten verlangen
Verbraucher haben das Recht, ihre Informationen in einem nutzbaren Format zu portieren/herunterzuladen/zu übermitteln
Verbraucher können dem Verkauf personenbezogener Daten, gezielter Werbung und Profilerstellung mit rechtlichen/signifikanten Auswirkungen widersprechen.
Anfragen müssen innerhalb von 45 Tagen (verlängerbar auf 90 Tage) bearbeitet werden und bei Ablehnung muss eine Berufung möglich sein.
Cookies, die sensible oder personenbezogene Daten (z. B. Standort, Nutzungsprofile) erfassen, erfordern die ausdrückliche Zustimmung des Nutzers. Selbst Analyse-Cookies können unter das Gesetz fallen, wenn sie personenbezogene Daten einer ausreichenden Anzahl von Einwohnern Indianas verarbeiten.
Eindeutige Cookie-Banner, Opt-outs und detaillierte Einwilligungskontrollen sind unerlässlich.
Organisationen, die den INCDPA nicht einhalten, müssen mit Strafen rechnen. Die vom Generalstaatsanwalt von Indiana durchgesetzten Strafen können nach der Behebung des Verstoßes bis zu 7.500 US-Dollar pro Verstoß betragen.
Um Ihre INCDPA-Konformität zu überprüfen, sollten Organisationen:
Prüfung:
Führen Sie ein Datenaudit durch, um alle Cookies und Tracker auf Ihren Websites zu identifizieren
Kategorisieren:
Kategorisieren Sie Cookies (z. B. notwendig, Präferenz, Analyse, Marketing)
Implementieren Sie das Einwilligungsmanagement:
Stellen Sie sicher, dass Einwilligungsbanner mit detaillierten Auswahlmöglichkeiten korrekt implementiert werden, dass Benutzer ihre Einwilligung jederzeit widerrufen können und dass Einwilligungsprotokolle geführt werden.
Verträge mit Drittanbietern prüfen:
Überprüfen Sie die Praktiken von Drittanbietern zum Datenaustausch
Eine Consent-Management-Plattform wie CookieHub zentralisiert und automatisiert die Bereitstellung von Cookie-Bannern, ermöglicht die granulare Erfassung von Einwilligungen, sorgt für die Durchsetzung von Opt-out-Möglichkeiten und ermöglicht die Protokollierung von Audits, wodurch die INCDPA-Konformität für Unternehmen vereinfacht wird.
Gilt für Unternehmen, die sich an Einwohner von Indiana richten (oder dort tätig sind) und die personenbezogenen Daten von mindestens 100.000 Verbrauchern verarbeiten oder für mindestens 25.000 Unternehmen, deren Datenumsatz 50 % ihres Bruttoumsatzes übersteigt. Ausnahmen gelten.
Alle Informationen, die mit einer identifizierten oder identifizierbaren Person verknüpft sind oder vernünftigerweise verknüpft werden können – wie Name, E-Mail-Adresse, IP-Adresse, Gesundheitsinformationen, Browserverhalten.
Enthält Daten zu Rasse, Religion, sexueller Orientierung, Staatsbürgerschaft, Gesundheit, Biometrie, genauer Geolokalisierung und bekannten Kinderdaten. Erfordert eine ausdrückliche Einwilligung.
Der Generalstaatsanwalt von Indiana verfügt über die ausschließliche Durchsetzungsbefugnis und die Befugnis, nach einer 30-tägigen Abhilfefrist Strafen zu verhängen.
Zu den ausgenommenen Einrichtungen zählen Regierungsbehörden, gemeinnützige Organisationen, Schulen, Versorgungsunternehmen, GLBA- oder HIPAA-regulierte Institutionen, Arbeitgeber-Arbeitnehmer-Daten und Flussboot-Casinos, die den Regeln zur Gesichtserkennung folgen.
Weitere Informationen finden Sie im Gesetzentwurf 5 des Senats von Indiana (Indiana Code §24-15) und auf der Website des Generalstaatsanwalts von Indiana, wo Sie Musterbescheide finden.
Haftungsausschluss: Die Informationen auf dieser Seite dienen ausschließlich allgemeinen Referenzzwecken und stellen keine Rechts- oder Regulierungsberatung dar. Datenschutzbestimmungen sind komplex und unterliegen häufigen Aktualisierungen, Auslegungen und rechtlichen Abweichungen. Wir bemühen uns um Richtigkeit und Aktualität der Informationen, können jedoch deren Vollständigkeit oder Anwendbarkeit auf Ihre individuellen Umstände nicht garantieren. Für Beratung zur Einhaltung gesetzlicher Vorschriften oder zu rechtlichen Verpflichtungen wenden Sie sich bitte an qualifizierte Rechtsexperten oder die zuständigen Aufsichtsbehörden.
©2025 CookieHub ehf.
