Gemäß TIPA genügt für allgemeine personenbezogene Daten eine implizite (Opt-out-)Cookie-Zustimmung – für sensible personenbezogene Daten und Daten von bekannten Kindern ist jedoch eine explizite Opt-in-Zustimmung erforderlich. Ist Ihr Einwilligungsmanagement konform?
Der Tennessee Information Protection Act (TIPA), in Kraft getreten am 1. Juli 2025, ist ein staatliches Datenschutzgesetz zum Schutz der Einwohner von Tennessee. Es wendet ähnliche Standards an wie andere Landesgesetze und setzt Datenschutzpraktiken durch Compliance-Anforderungen, Verbraucherrechte und Strafen durch.
Um die Bereitschaft zur TIPA-Konformität zu überprüfen, müssen Unternehmen:
Führen Sie ein Audit durch:
Führen Sie eine vollständige Prüfung der Datenerfassungs- und -freigabepraktiken durch und identifizieren Sie die erfassten personenbezogenen Daten und deren Zwecke.
Datenschutzbestimmungen aktualisieren:
Überprüfen und aktualisieren Sie Datenschutz- und Cookie-Richtlinien mit TIPA-spezifischen Offenlegungen.
Implementieren Sie das Einwilligungsmanagement:
Implementieren Sie Cookie-Einwilligungsbanner und Opt-out-Flows, um die Einwilligungserfassung und das Präferenzmanagement zu automatisieren
Verbraucherrechte gewährleisten:
Richten Sie Mechanismen ein, um innerhalb von 45 Tagen auf Anfragen zu Verbraucherrechten zu reagieren
Führen Sie Datenschutzbewertungen durch:
Schützen Sie die Privatsphäre im Hinblick auf gezielte Werbung, Datenverkauf, Profilerstellung oder die Verarbeitung sensibler Daten.
Die Einhaltung des TIPA ist für alle gewinnorientierten Unternehmen erforderlich, die:
in Tennessee geschäftlich tätig sind oder sich an Einwohner von Tennessee richten;
einen Jahresumsatz von mindestens 25 Millionen US-Dollar erzielen;
und entweder Daten von mindestens 175.000 Einwohnern Tennessees verarbeiten oder mindestens 25.000 Daten verarbeiten und mindestens 50 % ihres Umsatzes durch den Verkauf dieser Daten erzielen.
Ausnahmen gelten für:
gemeinnützige Organisationen, staatliche Behörden, Hochschulen, HIPAA-pflichtige Einrichtungen, staatlich zugelassene Versicherungsunternehmen sowie GLBA-regulierte Finanzinstitute und -daten.
Verbrauchern in Tennessee wird Folgendes gewährt:
Verbraucher können auf die Verarbeitung personenbezogener Daten zugreifen und diese bestätigen
Verbraucher können die Berichtigung von Ungenauigkeiten verlangen
Verbraucher können die Löschung ihrer personenbezogenen Daten verlangen
Verbraucher haben das Recht, ihre Informationen in einem nutzbaren Format zu portieren/herunterzuladen/zu übermitteln
Verbraucher können dem Verkauf personenbezogener Daten, gezielter Werbung und Profilerstellung mit rechtlichen/signifikanten Auswirkungen widersprechen.
Verbraucher können herausfinden, welche Drittparteien ihre Daten erhalten haben und bestätigen, ob ein Unternehmen diese verarbeitet.
Verantwortliche müssen auf Rechteanfragen innerhalb von 45 Tagen (verlängerbar um weitere 45 Tage) antworten.
Cookies, die personenbezogene Daten (z. B. IP-Adresse, Kennungen) erfassen, erfordern:
Unbedingt notwendige Cookies sind weiterhin ausgenommen.
Kontrollen müssen außerdem klare Cookie-Hinweise und Opt-out-Mechanismen bereitstellen, um Transparenz- und Compliance-Anforderungen zu erfüllen.
Die Durchsetzung obliegt dem Generalstaatsanwalt von Tennessee. Verstöße unterliegen:
Eine 60-tägige Abhilfefrist vor der Verhängung formeller Sanktionen.
Nach der Abhilfe ist eine schriftliche Erklärung zur Lösung des Problems einzureichen.
Bei nicht behobenen Verstößen drohen Schadensersatzforderungen von bis zu 7.500 USD pro Verbraucher und Verstoß, bei vorsätzlichen Verstößen sogar der dreifache Schadenersatz.
Gerichte können außerdem Unterlassungsansprüche und die Übernahme der Ermittlungskosten zusprechen.
Kein privates Klagerecht nach TIPA.
Die Einhaltung des TIPA-Gesetzes ist mit bestimmten Maßnahmen verbunden. Sie können jedoch auch überprüfen, ob Ihr Datenschutzansatz den allgemeinen Best Practices entspricht:
Prüfung:
Führen Sie ein Datenaudit durch, um alle Cookies und Tracker auf Ihren Websites zu identifizieren
Kategorisieren:
Kategorisieren Sie Cookies (z. B. notwendig, Präferenz, Analyse, Marketing)
Implementieren Sie das Einwilligungsmanagement:
Stellen Sie sicher, dass Einwilligungsbanner mit detaillierten Auswahlmöglichkeiten korrekt implementiert werden, dass Benutzer ihre Einwilligung jederzeit widerrufen können und dass Einwilligungsprotokolle geführt werden.
Verträge mit Drittanbietern prüfen:
Überprüfen Sie die Praktiken von Drittanbietern zum Datenaustausch
Es gilt für gewinnorientierte Unternehmen, die in Tennessee geschäftlich tätig sind und sich an die Einwohner des Bundesstaates richten, einen Umsatz von mindestens 25 Millionen US-Dollar erzielen und die Schwellenwerte für Verbraucherdaten erreichen (insgesamt mindestens 175.000 US-Dollar oder mindestens 25.000 US-Dollar mit mindestens 50 % Umsatz aus Datenverkäufen).
Alle Daten, die mit einer identifizierten oder identifizierbaren Person verknüpft sind oder vernünftigerweise verknüpft werden können – Name, IP, Browserverlauf, Geolokalisierung, E-Mail, Daten aus Gesundheits-Apps – jedoch keine anonymisierten oder öffentlich verfügbaren Daten.
Beinhaltet rassische/ethnische Herkunft, Religion, Gesundheit, sexuelle Orientierung, Staatsbürgerschaft, genetische/biometrische Daten, genaue Geolokalisierung und Daten von bekannten Kindern.
Der Generalstaatsanwalt von Tennessee setzt das TIPA durch, unter anderem durch die Verhängung von 60-tägigen Abhilfemaßnahmen, Strafen und rechtlichen Schritten.
Ausgenommen sind gemeinnützige Organisationen, staatliche/höhere Bildungseinrichtungen, HIPAA-versicherte Personen, staatlich zugelassene Versicherer und GLBA-regulierte Unternehmen/Daten.
Der offizielle Tennessee-Code (Titel 47, Kapitel 18, Teil 32) kann den vollständigen Hintergrund für TIPA Tennessee liefern.
Haftungsausschluss: Die Informationen auf dieser Seite dienen ausschließlich allgemeinen Referenzzwecken und stellen keine Rechts- oder Regulierungsberatung dar. Datenschutzbestimmungen sind komplex und unterliegen häufigen Aktualisierungen, Auslegungen und rechtlichen Abweichungen. Wir bemühen uns um Richtigkeit und Aktualität der Informationen, können jedoch deren Vollständigkeit oder Anwendbarkeit auf Ihre individuellen Umstände nicht garantieren. Für Beratung zur Einhaltung gesetzlicher Vorschriften oder zu rechtlichen Verpflichtungen wenden Sie sich bitte an qualifizierte Rechtsexperten oder die zuständigen Aufsichtsbehörden.
©2025 CookieHub ehf.
