Der Oregon Consumer Privacy Act, der im Juni 2023 durch den Senatsbeschluss 619 verabschiedet wurde, trat am 1. Juli 2024 in Kraft – die Umsetzungsfrist beginnt im Januar 2026. Er regelt den Umgang von Unternehmen mit personenbezogenen Daten von Einwohnern Oregons und gewährt ihnen umfassende Datenschutzrechte.
Zu den wichtigsten Pflichten gehören:
Erkennen, ob Sie Verantwortlicher (entscheidet über die Datenverwendung) oder Auftragsverarbeiter (handelt im Auftrag eines Verantwortlichen) sind.
Eine klare Datenschutzrichtlinie anbieten, die Datenkategorien, Zwecke, Weitergabe an Dritte, Verbraucherrechte, Kontaktdaten, Profiling und damit verbundene Opt-out-Möglichkeiten abdeckt.
Nur notwendige Daten erheben und diese mit angemessenen administrativen, technischen und physischen Maßnahmen schützen.
Datenschutzbewertungen durchführen bei der Verarbeitung sensibler Daten, Profiling, gezielter Werbung oder dem Verkauf personenbezogener Daten.
Verträge zwischen Verantwortlichen und Auftragsverarbeitern abschließen, die den Verpflichtungen des OCPA entsprechen.
Unternehmen sollten:
Führen Sie ein Audit durch:
Führen Sie eine vollständige Prüfung der Datenerfassungs- und -freigabepraktiken durch und identifizieren Sie die erfassten personenbezogenen Daten und deren Zwecke.
Datenschutzbestimmungen aktualisieren:
Überprüfen und aktualisieren Sie Datenschutz- und Cookie-Richtlinien mit OCPA-spezifischen Offenlegungen
Implementieren Sie das Einwilligungsmanagement:
Implementieren Sie Cookie-Einwilligungsbanner und Opt-out-Flows, um die Einwilligungserfassung und das Präferenzmanagement zu automatisieren
Verbraucherrechte gewährleisten:
Richten Sie Mechanismen ein, um innerhalb von 45 Tagen auf Anfragen zu Verbraucherrechten zu reagieren
Führen Sie Datenschutzbewertungen durch:
Schützen Sie die Privatsphäre im Hinblick auf gezielte Werbung, Datenverkauf, Profilerstellung oder die Verarbeitung sensibler Daten.
Das OCPA gilt, wenn Ihr Unternehmen innerhalb eines Kalenderjahres personenbezogene Daten von mindestens 100.000 Verbrauchern in Oregon verarbeitet (ausgenommen reine Zahlungsdaten) oder mehr als 25.000 Verbraucher verarbeitet und dabei mehr als 25 % seines Umsatzes aus Datenverkäufen erzielt.
Es gilt für Unternehmen, die in Oregon geschäftlich tätig sind oder dessen Einwohner betreuen – einschließlich gemeinnütziger Organisationen, für die eine verlängerte Compliance-Frist gilt, die am 1. Juli 2025 in Kraft trat.
Ausgenommen sind Regierungsbehörden, Finanzinstitute im Rahmen des GLBA, HIPAA-konforme Einrichtungen sowie Bildungseinrichtungen und gemeinnützige Organisationen im öffentlichen Interesse (z. B. Betrugsprävention, Presseverbände).
Das Gesetz garantiert den Einwohnern von Oregon folgende Rechte:
Verbraucher können auf die Verarbeitung personenbezogener Daten zugreifen und diese bestätigen
Verbraucher können die Berichtigung von Ungenauigkeiten verlangen
Verbraucher können die Löschung ihrer personenbezogenen Daten verlangen
Verbraucher haben das Recht, ihre Informationen in einem nutzbaren Format zu portieren/herunterzuladen/zu übermitteln
Verbraucher können dem Verkauf personenbezogener Daten, gezielter Werbung und Profilerstellung mit rechtlichen/signifikanten Auswirkungen widersprechen.
Verbraucher können herausfinden, welche Drittparteien ihre Daten erhalten haben und bestätigen, ob ein Unternehmen diese verarbeitet.
Die Verantwortlichen müssen innerhalb von 45 Tagen (ggf. mit einer weiteren 45-tägigen Verlängerung) antworten und etwaige Ablehnungen mit einer Einspruchsbelehrung begründen. Eltern müssen der Datenverarbeitung von Kindern unter 13 Jahren gemäß COPPA zustimmen.
Cookies, die das Tracking sensibler Daten, gezielte Werbung oder den Datenaustausch ermöglichen, fallen unter die OCPA-Verordnung. Unternehmen müssen:
Nutzer in Bannern klar informieren
Ausdrückliche Einwilligung für nicht unbedingt erforderliche Cookies einholen
Einen einfachen Mechanismus zum Opt-out und Widerruf der Einwilligung bereitstellen
Gemäß OCPA müssen Unternehmen klare Cookie-Banner oder Einwilligungsformulare implementieren, wenn Cookies für gezielte Werbung, Profilerstellung oder Datenaustausch verwendet werden – einschließlich speziell auf Oregoner zugeschnittener Cookie-Einwilligungen. Das Banner muss Nutzer klar darüber informieren, welche Arten von Cookies verwendet werden, ihnen die Möglichkeit geben, ihre Einwilligung zu akzeptieren oder zu deaktivieren und sie einfach widerrufen zu können.
Der Generalstaatsanwalt von Oregon ist für die Durchsetzung des OCPA zuständig. Nach Feststellung eines Verstoßes kann er eine 30-tägige Abhilfeaufforderung aussprechen; nach dem 1. Januar 2026 können Verstöße zu Geldstrafen von bis zu 7.500 USD pro Verstoß zuzüglich Anwaltskosten führen. Es besteht kein privates Klagerecht – nur die Durchsetzung durch den Generalstaatsanwalt ist zulässig.
Zusätzlich zur Durchführung bestimmter Maßnahmen zur Einhaltung des OCPA Oregon sollten Organisationen auch bewährte Verfahren zum Datenschutz einhalten, beispielsweise:
Prüfung:
Führen Sie ein Datenaudit durch, um alle Cookies und Tracker auf Ihren Websites zu identifizieren
Kategorisieren:
Kategorisieren Sie Cookies (z. B. notwendig, Präferenz, Analyse, Marketing)
Implementieren Sie das Einwilligungsmanagement:
Stellen Sie sicher, dass Einwilligungsbanner mit detaillierten Auswahlmöglichkeiten korrekt implementiert werden, dass Benutzer ihre Einwilligung jederzeit widerrufen können und dass Einwilligungsprotokolle geführt werden.
Verträge mit Drittanbietern prüfen:
Überprüfen Sie die Praktiken von Drittanbietern zum Datenaustausch
Es gilt für Unternehmen, die in Oregon geschäftlich tätig sind oder Einwohner von Oregon bedienen und die folgenden Schwellenwerte erreichen: ≥ 100.000 Verbraucher oder ≥ 25.000 + 25 % Umsatz aus Datenverkäufen.
Alle Daten, die vernünftigerweise mit einer Person verknüpft werden können – Namen, E-Mails, Geräte-IDs, Geolokalisierung, Surfgewohnheiten usw.
Rasse/ethnische Herkunft, Religion, Gesundheit, biometrische/genetische Daten, sexuelle Orientierung, genaue Geolokalisierung, Staatsbürgerschaft, Status als Opfer einer Straftat, Transgender-Status und Daten von Kindern unter 13 Jahren.
Die Durchsetzung obliegt ausschließlich der Generalstaatsanwaltschaft von Oregon.
Regierungsbehörden, unter HIPAA/GLBA fallende Einrichtungen, bestimmte gemeinnützige Organisationen (Betrugsprävention, Rundfunkberichterstattung), arbeitsbezogene Daten, anonymisierte, öffentlich verfügbare Daten.
Weitere Informationen zur Einhaltung und Durchsetzung des OCPA finden Sie auf der Website des Justizministeriums von Oregon zum Verbraucherschutz.
Haftungsausschluss: Die Informationen auf dieser Seite dienen ausschließlich allgemeinen Referenzzwecken und stellen keine Rechts- oder Regulierungsberatung dar. Datenschutzbestimmungen sind komplex und unterliegen häufigen Aktualisierungen, Auslegungen und rechtlichen Abweichungen. Wir bemühen uns um Richtigkeit und Aktualität der Informationen, können jedoch deren Vollständigkeit oder Anwendbarkeit auf Ihre individuellen Umstände nicht garantieren. Für Beratung zur Einhaltung gesetzlicher Vorschriften oder zu rechtlichen Verpflichtungen wenden Sie sich bitte an qualifizierte Rechtsexperten oder die zuständigen Aufsichtsbehörden.
©2025 CookieHub ehf.
