Am 22. Juni 2023 hat das Repräsentantenhaus von Oregon das „Oregon Consumer Privacy Act“ (S.B. 619) (das „OCPA“) verabschiedet. Mit der Unterzeichnung des OCPA ist Oregon der 12. Bundesstaat, der ein umfassendes Datenschutzgesetz in Kraft gesetzt hat.
Anwendbarkeit
Das OCPA gilt für jede Person, die in Oregon geschäftlich tätig ist oder die Produkte oder Dienstleistungen für Einwohner von Oregon anbietet und die während eines Kalenderjahres: (a) die personenbezogenen Daten von 100.000 oder mehr Verbrauchern kontrolliert oder verarbeitet oder (b) die personenbezogenen Daten von 25.000 oder mehr Verbrauchern kontrolliert oder verarbeitet.
Pflichten der für die Verarbeitung Verantwortlichen
Für die Verarbeitung Verantwortliche, die dem OCPA unterliegen, sind unter anderem verpflichtet, (1) einen Datenschutzhinweis mit bestimmtem Inhalt bereitzustellen; (2) die Verarbeitung personenbezogener Daten auf das Maß zu beschränken, das für die Zwecke der Verarbeitung angemessen, sachdienlich und erforderlich ist; (3) ein sicheres und zuverlässiges Mittel einzurichten, mit dem Verbraucher ihre gesetzlich verankerten Datenschutzrechte ausüben können; (4) die Zustimmung eines Verbrauchers zur Verarbeitung sensibler Daten einzuholen; (5) Verträge mit ihren Auftragsverarbeitern abzuschließen; und (6) Datenschutzbewertungen durchzuführen und zu dokumentieren, bevor sie Verarbeitungstätigkeiten aufnehmen, die ein erhöhtes Schadensrisiko darstellen (z. B., Verarbeitung personenbezogener Daten zum Zwecke gezielter Werbung, Verarbeitung sensibler Daten, Verkauf personenbezogener Daten und Verwendung personenbezogener Daten für bestimmte Arten der Profilerstellung).
Darüber hinaus verlangt der OCPA ausdrücklich, dass die für die Verarbeitung Verantwortlichen Schutzmaßnahmen zum Schutz personenbezogener Daten einrichten.
Rechte der Verbraucher
Der OCPA gibt Verbrauchern das Recht, (1) sich zu vergewissern, ob ein für die Verarbeitung Verantwortlicher ihre personenbezogenen Daten verarbeitet, auf ihre personenbezogenen Daten zuzugreifen und eine Kopie ihrer personenbezogenen Daten in einem tragbaren und – soweit technisch möglich – leicht nutzbaren Format zu erhalten, das es dem Verbraucher ermöglicht, die Daten ungehindert an eine andere Person weiterzugeben; (2) Unrichtigkeiten in den personenbezogenen Daten des Verbrauchers zu berichtigen; (3) personenbezogene Daten über den Verbraucher zu löschen; und (4) der Verarbeitung der personenbezogenen Daten des Verbrauchers für Zwecke (a) gezielter Werbung, (b) des Verkaufs der personenbezogenen Daten des Verbrauchers und (c) der Profilerstellung zur Förderung ausschließlich automatisierter Entscheidungen, die rechtliche oder ähnlich erhebliche Auswirkungen auf den Verbraucher haben, zu widersprechen.
Durchsetzung
Der OCPA enthält kein privates Klagerecht. Das OCPA überträgt die ausschließliche Durchsetzungsbefugnis an den Generalstaatsanwalt von Oregon.
Das neue Datenschutzgesetz in Oregon bringt für Unternehmen Veränderungen und Anforderungen mit sich. Für Unternehmen in Oregon oder Unternehmen, die dort Geschäfte tätigen ist wichtig, das OCPA zu prüfen und entsprechende Maßnahmen zur Umsetzungen der Anforderungen zu ergreifen.
Überblick über U.S. Privacy Laws: