Nach dem KCDPA erfordert die Verarbeitung sensibler personenbezogener Daten (z. B. genaue Standortdaten, biometrische Daten, Daten von Kindern, Gesundheitsdaten usw.) eine klare, ausdrückliche Einwilligung – zum Beispiel über ein Cookie-Banner oder ein Präferenzzentrum. Sind Sie konform?
Der Kentucky Consumer Data Protection Act (KCDPA), der am 1. Januar 2026 in Kraft tritt, ist das erste umfassende Datenschutzgesetz des Bundesstaates. Es verpflichtet Unternehmen, die im Bundesstaat tätig sind oder Einwohner von Kentucky ansprechen, zu Daten-Governance- und Transparenzmaßnahmen. Das Gesetz orientiert sich am Rahmenwerk des Virginia CDPA.
Verpflichtungen nach dem KCDPA umfassen datenminimierung, transparenz, technische und organisatorische Schutzmaßnahmen, nichtdiskriminierung, vorherige Einwilligung für die Verarbeitung sensibler Daten, datenschutz-Folgenabschätzungen (DPIAs) bei risikoreichen Verarbeitungen
Folgende Maßnahmen sind im Rahmen der KCDPA-Compliance erforderlich:
Datenschutzrichtlinien aktualisieren:
Aktualisierung der Datenschutz- und Cookie-Richtlinien, einschließlich Zweck, Kategorien, Dritte und Opt-out-Methoden.
Einwilligungsmanagement implementieren:
Einführung von Cookie-Bannern und Opt-out-Flows, um eine klare, ausdrückliche Zustimmung einzuholen, den Verbrauchern Mechanismen zur Ausübung ihrer Rechte zu geben und Einwilligungen sowie Opt-outs zu protokollieren.
Bewertungen durchführen:
Durchführung von Datenschutz-Folgenabschätzungen (DPIAs) bei sensibler Verarbeitung, Profiling, gezielter Werbung oder Datenverkauf.
Drittparteien verwalten:
Abschluss von Datenverarbeitungsverträgen mit Anbietern und Auftragsverarbeitern.
Diese Maßnahmen sind erforderlich, um den Vorgaben des KCDPA zu entsprechen.
Unternehmen, die im Bundesstaat tätig sind oder Einwohner von Kentucky ansprechen.
Organisationen, die Daten von ≥ 100.000 Verbrauchern aus Kentucky verarbeiten oder Daten von ≥ 25.000 Verbrauchern verarbeiten und mehr als 50 % ihres Umsatzes mit Datenverkäufen erzielen, unterliegen dem KCDPA.
Ausnahmen umfassen: staatliche Stellen, durch die GLBA regulierte Unternehmen, unter die HIPAA fallende Dienstleister, gemeinnützige Organisationen, Hochschulen, kleine Telekommunikations- und Versorgungsunternehmen, nutzungsbezogene Daten im Zusammenhang mit Strafverfolgung, Gesundheitsdaten, FERPA-, FCRA- sowie ähnliche regulierte Daten.
Verbraucher in Kentucky haben folgende Rechte:
Verbraucher können auf ihre personenbezogenen Daten zugreifen und die Verarbeitung bestätigen.
Verbraucher können die Korrektur von Ungenauigkeiten verlangen.
Verbraucher können die Löschung ihrer personenbezogenen Daten verlangen.
Verbraucher haben das Recht, ihre Daten in einem nutzbaren Format zu portieren/herunterzuladen/zu übertragen.
Verbraucher können dem Verkauf personenbezogener Daten, gezielter Werbung und Profiling mit rechtlichen oder erheblichen Auswirkungen widersprechen.
Frist für Unternehmen: Sie haben 45 Tage, um einer Anfrage nachzukommen (verlängerbar um weitere 45 Tage).
Cookies können personenbezogene oder sensible Daten speichern.
Die Nutzung nicht sensibler Cookies (z. B. für Analysen) ist mit einem Opt-out zulässig, während die Verarbeitung sensibler Daten über Cookies eine ausdrückliche Opt-in-Einwilligung erfordert.
Organisationen, die den KCDPA nicht einhalten, können mit Strafen von bis zu 7.500 USD pro Verstoß belegt werden.
Es gibt eine 30-tägige Nachfrist zur Behebung von Verstößen; bleiben Probleme ungelöst, können Strafen verhängt werden.
Die Durchsetzung der Vorschriften obliegt dem Generalstaatsanwalt von Kentucky.
In Kentucky besteht kein privates Klagerecht für Verbraucher.
Um sicherzustellen, dass Ihr Ansatz zum Datenschutz den Best Practices entspricht und mit dem KCDPA Kentucky konform ist, sollten Organisationen folgende Schritte unternehmen:
Audit:
Führen Sie ein Daten-Audit durch, um alle Cookies und Tracker auf Ihren Websites zu identifizieren.
Kategorisieren:
Kategorisieren Sie Cookies (z. B. notwendig, Präferenzen, Analyse, Marketing).
Consent Management implementieren:
Stellen Sie sicher, dass Cookie-Banner korrekt mit granularen Auswahlmöglichkeiten implementiert sind, ermöglichen Sie den Nutzern, ihre Einwilligung jederzeit zu widerrufen, und führen Sie Protokolle über Einwilligungen.
Verträge mit Drittparteien prüfen:
Überprüfen Sie die Praktiken zur gemeinsamen Datennutzung mit Drittanbietern.
Eine Consent-Management-Plattform wie CookieHub automatisiert Cookie-Banner, die Protokollierung von Einwilligungen, Opt-out-Prozesse und die Verwaltung sensibler Daten – und vereinfacht so die KCDPA-Compliance sowie die Vorbereitung auf DPIAs.
Der KCDPA gilt für natürliche Personen in individuellen oder privaten Haushaltskontexten in Kentucky, nicht jedoch für geschäftliche oder berufliche Zwecke. Die Verordnung betrifft Verantwortliche und Auftragsverarbeiter, die bestimmte Schwellenwerte in Bezug auf Datenvolumen oder Umsatz erreichen und Einwohner von Kentucky ansprechen.
„Alle Informationen, die mit einer identifizierten oder identifizierbaren natürlichen Person verknüpft sind oder vernünftigerweise verknüpft werden können“, mit Ausnahme von anonymisierten oder öffentlichen Daten. Dazu gehören Namen, IP-Adressen, E-Mails, Kaufhistorien und Geräte-Fingerprints.
Sensible Daten umfassen: ethnische Herkunft, Religion, Gesundheitsdaten, sexuelle Orientierung, Staatsangehörigkeit, biometrische/genetische Daten zur Identifizierung, personenbezogene Daten bekannter Kinder sowie präzise Standortdaten (innerhalb von ca. 533 m).
Der Generalstaatsanwalt von Kentucky hat die ausschließliche Durchsetzungsbefugnis. Es gibt kein privates Klagerecht für Verbraucher.
Ausgenommen sind: staatliche Stellen, durch GLBA/HIPAA regulierte Unternehmen, gemeinnützige Organisationen, Hochschulen, kleine Telekommunikations- und Versorgungsunternehmen, Datenverarbeiter im Bereich Strafverfolgung/Betrugsprävention sowie bundesrechtlich regulierte Datentypen (Gesundheit, FERPA, FCRA usw.).
Konsultieren Sie den vollständigen Gesetzestext HB 15 sowie die Leitlinien des Generalstaatsanwalts für offizielle Definitionen, Inkrafttretensdaten und Compliance-Regeln.
©2018-2025 CookieHub ehf.
CookieHub CMP offers tools and services for managing cookies and online privacy.
