Gemäß dem MCDPA müssen Websites, die sich an Einwohner Minnesotas richten, vor dem Setzen nicht unbedingt notwendiger Cookies eine ausdrückliche und eindeutige Einwilligung einholen, insbesondere bei der Verarbeitung sensibler Daten oder der Profilerstellung von Personen. Transparenz und ein gültiger Einwilligungsmechanismus sind für die Einhaltung der Vorschriften zwingend erforderlich. Sind Sie konform?
Der Minnesota Consumer Data Privacy Act (MCDPA) ist ein landesweites Datenschutzgesetz, das am 24. Mai 2024 unterzeichnet wurde und am 31. Juli 2025 in Kraft tritt. Es verleiht den Einwohnern von Minnesota Rechte an ihren personenbezogenen Daten und erlegt den entsprechenden Unternehmen Verpflichtungen auf, beispielsweise in Bezug auf Transparenz, Datenbestand und Sicherheit.
Unternehmen sollten eine Compliance-Checkliste durchführen:
Datenschutzbestimmungen aktualisieren:
Aktualisierung der Datenschutzrichtlinien mit Minnesota-spezifischen Offenlegungen.
Implementieren Sie das Einwilligungsmanagement:
Implementieren Sie Cookie-Einwilligungsbanner und Opt-out-Abläufe, um eine klare, ausdrückliche Zustimmung einzuholen und die Verbraucherrechte zu verwalten.
Umgang mit betroffenen Personen:
Einrichten von Prozessen zur Bearbeitung von Anfragen betroffener Personen
Datensicherheit:
Sicherstellen, dass Maßnahmen zur Datensicherheit vorhanden sind.
Führen Sie Datenbewertungen durch:
Führen Sie die erforderlichen Datenschutz-Folgenabschätzungen durch und führen Sie ein Dateninventar.
Verschiedene Unternehmenstypen müssen den MCDPA einhalten:
Unternehmen, die jährlich Daten von mehr als 100.000 Millionen Verbrauchern verarbeiten; oder
Unternehmen mit mehr als 25.000 Millionen Verbrauchern und einem Umsatz von mehr als 25 % aus dem Verkauf personenbezogener Daten.
Ausnahmen gelten für kleine Unternehmen (gemäß SBA), Behörden, Indianerstämme, bestimmte gemeinnützige Organisationen, Banken, Versicherungsunternehmen, HIPAA/GLBA-konforme Unternehmen und im Beschäftigungskontext.
Verbraucher in Minnesota haben:
Verbraucher können auf die Verarbeitung personenbezogener Daten zugreifen und diese bestätigen
Verbraucher können die Berichtigung von Ungenauigkeiten verlangen
Verbraucher können die Löschung ihrer personenbezogenen Daten verlangen
Verbraucher können die Ergebnisse der Profilerstellung anfechten, Erklärungen erhalten und gegen Ablehnungen Einspruch einlegen.
Verbraucher können dem Verkauf personenbezogener Daten, gezielter Werbung und Profilerstellung mit rechtlichen/signifikanten Auswirkungen widersprechen.
Verbraucher können eine Liste bestimmter Drittparteien erhalten, die ihre Daten erhalten haben
Unternehmen müssen über DSAR-Prozesse und Reaktionszeitpläne verfügen.
Cookies, die personenbezogene Daten von Nutzern aus Minnesota sammeln, müssen klar offengelegt werden. Für nicht unbedingt erforderliche Cookies oder Profilierungscookies ist eine Opt-in-Zustimmung erforderlich. Zustimmungsmechanismen müssen in Cookie-Banner und CMPs integriert werden, um Opt-out- und Transparenzverpflichtungen zu erfüllen.
Die Durchsetzung erfolgt durch den Generalstaatsanwalt von Minnesota. Unternehmen erhalten eine 30-tägige Frist zur Nachbesserung (bis 31. Januar 2026). Nach Ablauf dieser Frist können Geldbußen von bis zu 7.500 USD pro Verstoß verhängt werden. Verbraucher haben kein privates Klagerecht.
Organisationen sollten im Rahmen ihrer MCDPA-Minnesota-Konformität die Einhaltung bewährter Verfahren zum Datenschutz sicherstellen:
Prüfung:
Führen Sie ein Datenaudit durch, um alle Cookies und Tracker auf Ihren Websites zu identifizieren
Kategorisieren:
Kategorisieren Sie Cookies (z. B. notwendig, Präferenz, Analyse, Marketing)
Implementieren Sie das Einwilligungsmanagement:
Stellen Sie sicher, dass Einwilligungsbanner mit detaillierten Auswahlmöglichkeiten korrekt implementiert werden, dass Benutzer ihre Einwilligung jederzeit widerrufen können und dass Einwilligungsprotokolle geführt werden.
Verträge mit Drittanbietern prüfen:
Überprüfen Sie die Praktiken von Drittanbietern zum Datenaustausch
Eine Consent-Management-Plattform wie CookieHub kann Cookie-Banner automatisieren, Opt-ins/Opt-outs aufzeichnen und verwalten, universelle Mechanismen (z. B. GPC) respektieren und sicherstellen, dass die Zustimmung protokolliert wird – und so die Bemühungen zur Einhaltung des MCDPA vereinfachen.
Das MCDPA gilt für Einwohner von Minnesota in ihrer individuellen oder häuslichen Eigenschaft, nicht für B2B- oder Mitarbeiterdaten, und gilt für Unternehmen, die Datenvolumen- oder Umsatzschwellenwerte einhalten und auf diese Verbraucher abzielen.
Alle Informationen, die mit einer identifizierbaren Person verknüpft sind oder vernünftigerweise verknüpft werden können – ausgenommen anonymisierte oder öffentliche Daten – wie Namen, E-Mails, IP-Adressen, Geolokalisierung, Geräte-IDs, biometrische Daten und mehr.
Zu den sensiblen Kategorien zählen rassische oder ethnische Herkunft, religiöse Überzeugungen, Gesundheitsdaten, sexuelle Orientierung, genetische/biometrische Daten, Staatsbürgerschaftsstatus, genaue Geolokalisierung und personenbezogene Daten bekannter Kinder.
Der Generalstaatsanwalt von Minnesota ist die einzige Durchsetzungsbehörde.
Ausnahmen gelten für kleine Unternehmen (SBA-Standard), die Regierung, staatlich anerkannte Stämme, bestimmte Banken/Versicherungen, gemeinnützige Organisationen, die Versicherungsbetrug aufdecken, HIPAA/GLBA-regulierte Daten, Beschäftigungskontexte und öffentliche Aufzeichnungen.
Besuchen Sie die Website des Büros des Generalstaatsanwalts von Minnesota und lesen Sie die erlassenen Gesetze HF4757/Minnesota (Kapitel 325O).
Haftungsausschluss: Die Informationen auf dieser Seite dienen ausschließlich allgemeinen Referenzzwecken und stellen keine Rechts- oder Regulierungsberatung dar. Datenschutzbestimmungen sind komplex und unterliegen häufigen Aktualisierungen, Auslegungen und rechtlichen Abweichungen. Wir bemühen uns um Richtigkeit und Aktualität der Informationen, können jedoch deren Vollständigkeit oder Anwendbarkeit auf Ihre individuellen Umstände nicht garantieren. Für Beratung zur Einhaltung gesetzlicher Vorschriften oder zu rechtlichen Verpflichtungen wenden Sie sich bitte an qualifizierte Rechtsexperten oder die zuständigen Aufsichtsbehörden.
©2025 CookieHub ehf.
