US State Privacy Laws – Virginia CDPA und vergleichbare Datenschutzgesetze der US-Bundesstaaten
Virginia CDPA und ähnliche US-Bundesstaatengesetze führen Verbraucherrechte und Unternehmenspflichten zum Datenschutz in Anlehnung an die DSGVO ein.
Zusammenfassung
In Abwesenheit eines umfassenden US-Bundesdatenschutzgesetzes haben mehrere US-Bundesstaaten eigene Datenschutzgesetze erlassen. Der Virginia Consumer Data Protection Act (VCDPA) trat am 1. Januar 2023 in Kraft und gilt als eines der bedeutendsten dieser Gesetze. Ähnliche Regelwerke wurden u.a. in Colorado, Connecticut, Utah, Texas, Florida und Oregon verabschiedet.
- Verbraucherrechte: Auskunft, Berichtigung, Löschung, Datenportabilität und Widerspruchsrecht gegen Profiling.
- Transparenz: Unternehmen müssen klare Datenschutzerklärungen bereitstellen.
- Einwilligung: Opt-out für Datenverkauf und gezielte Werbung; Opt-in für sensible Daten.
- Datenschutz-Folgenabschätzung: Pflicht zur Durchführung bei bestimmten Verarbeitungstätigkeiten.
Geschichte
Die Entwicklung von Datenschutzgesetzen auf Bundesstaatenebene wurde maßgeblich durch den California Consumer Privacy Act (CCPA, 2018) und dessen Nachfolger, den California Privacy Rights Act (CPRA, 2020), angestoßen. Virginia verabschiedete den VCDPA im März 2021, als zweiter Bundesstaat nach Kalifornien.
In den Folgejahren entwickelte sich ein regelrechter „State Privacy Law Boom“: Colorado (CPA, Juli 2023), Connecticut (CTDPA, Juli 2023), Utah (UCPA, Dezember 2023), Texas (TDPSA, Juli 2024), Florida (FDBR, Juli 2024) und weitere Staaten folgten. Diese Gesetze unterscheiden sich in Schwellenwerten, Ausnahmen, Durchsetzungsmechanismen und dem Umfang der Verbraucherrechte erheblich voneinander. Der Flickenteppich hat den Druck auf den US-Kongress erhöht, ein einheitliches Bundesgesetz zu erlassen.
Der VCDPA selbst wurde seit seiner Verabschiedung mehrfach weiterentwickelt. Bereits vor Inkrafttreten wurden 2022 durch die Gesetze HB 381, HB 714 und SB 534 Anpassungen vorgenommen, darunter eine Ausnahme beim Löschrecht, eine Neudefinition des Nonprofit-Begriffs und die Abschaffung des Consumer Privacy Fund. Im Mai 2024 unterzeichnete der Gouverneur ein Kinderdatenschutz-Amendment (SB 361/HB 707), das am 1. Januar 2025 in Kraft trat. Am 1. Juli 2025 traten Schutzbestimmungen für reproduktive und sexuelle Gesundheitsdaten in Kraft. Zudem wurden mit SB 854 Social-Media-Beschränkungen für Minderjährige verabschiedet (Inkrafttreten: 1. Januar 2026), deren Durchsetzung der Virginia Attorney General im Februar 2026 angekündigt hat.
Geltungsbereich
Der VCDPA gilt für Unternehmen, die in Virginia tätig sind oder Produkte/Dienstleistungen für Virginia-Einwohner anbieten, und mindestens eines der folgenden Kriterien erfüllen:
- Verarbeitung personenbezogener Daten von mindestens 100.000 Verbrauchern pro Jahr, oder
- Verarbeitung von Daten mindestens 25.000 Verbrauchern und Erzielung von mehr als 50 % des Umsatzes durch den Datenverkauf.
Ausgenommen sind u.a. staatliche Behörden, gemeinnützige Organisationen (mit Einschränkungen), Finanzinstitute unter GLBA sowie Gesundheitseinrichtungen unter HIPAA. Besondere Kategorien sensibler Daten (Gesundheit, biometrische Daten, genetische Daten, Rassenzugehörigkeit, Religionszugehörigkeit, Standortdaten, Daten von Kindern) unterliegen verschärften Anforderungen.
Kernanforderungen
- Datenschutzerklärung: Klare Offenlegung von Datenkategorien, Verwendungszwecken, Verbraucherrechten und Kontaktdaten.
- Auskunftsrecht: Verbraucher können bestätigt bekommen, ob und welche Daten verarbeitet werden.
- Berichtigungsrecht: Korrektur unrichtiger personenbezogener Daten.
- Löschungsrecht: Recht auf Löschung bereitgestellter oder gesammelter Daten.
- Portabilitätsrecht: Erhalt einer maschinenlesbaren Kopie der eigenen Daten.
- Opt-out-Recht: Widerspruch gegen Datenverkauf, gezielte Werbung und bestimmte Profilingaktivitäten.
- Datenschutz-Folgenabschätzung: Pflichtgemäße Durchführung bei gezielter Werbung, Datenverkauf, Profiling mit erheblichen Auswirkungen, sensiblen Daten und bestimmten Datenverarbeitungsaktivitäten.
- Auftragsverarbeiterverträge: Schriftliche Vereinbarungen mit Datenverarbeitern erforderlich.
- Durchsetzung: Ausschließlich durch den Attorney General von Virginia; Bußgelder bis zu 7.500 USD pro vorsätzlichem Verstoß und bis zu 2.500 USD pro nicht-vorsätzlichem Verstoß. Jeder betroffene Verbraucher gilt als separater Verstoß.