Da­ten­schutz­ge­setz in Oregon – Oregon Con­su­mer Privacy Act (OCPA)

Am 22. Juni 2023 hat das Re­prä­sen­tan­ten­haus von Oregon das „Oregon Con­su­mer Privacy Act“ (S.B. 619) (das „OCPA“) ver­ab­schie­det. Mit der Un­ter­zeich­nung des OCPA ist Oregon der 12. Bun­des­staat, der ein um­fas­sen­des Da­ten­schutz­ge­setz in Kraft gesetzt hat.

An­wend­bar­keit

Das OCPA gilt für jede Person, die in Oregon ge­schäft­lich tätig ist oder die Pro­duk­te oder Dienst­leis­tun­gen für Ein­woh­ner von Oregon an­bie­tet und die während eines Ka­len­der­jah­res: (a) die per­so­nen­be­zo­ge­nen Daten von 100.000 oder mehr Ver­brau­chern kon­trol­liert oder ver­ar­bei­tet oder (b) die per­so­nen­be­zo­ge­nen Daten von 25.000 oder mehr Ver­brau­chern kon­trol­liert oder verarbeitet.

Pflich­ten der für die Ver­ar­bei­tung Verantwortlichen

Für die Ver­ar­bei­tung Ver­ant­wort­li­che, die dem OCPA un­ter­lie­gen, sind unter anderem ver­pflich­tet, (1) einen Da­ten­schutz­hin­weis mit be­stimm­tem Inhalt be­reit­zu­stel­len; (2) die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten auf das Maß zu be­schrän­ken, das für die Zwecke der Ver­ar­bei­tung an­ge­mes­sen, sach­dien­lich und er­for­der­lich ist; (3) ein si­che­res und zu­ver­läs­si­ges Mittel ein­zu­rich­ten, mit dem Ver­brau­cher ihre ge­setz­lich ver­an­ker­ten Da­ten­schutz­rech­te ausüben können; (4) die Zu­stim­mung eines Ver­brau­chers zur Ver­ar­bei­tung sen­si­bler Daten ein­zu­ho­len; (5) Ver­trä­ge mit ihren Auf­trags­ver­ar­bei­tern ab­zu­schlie­ßen; und (6) Da­ten­schutz­be­wer­tun­gen durch­zu­füh­ren und zu do­ku­men­tie­ren, bevor sie Ver­ar­bei­tungs­tä­tig­kei­ten auf­neh­men, die ein er­höh­tes Scha­dens­ri­si­ko dar­stel­len (z. B., Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten zum Zwecke ge­ziel­ter Werbung, Ver­ar­bei­tung sen­si­bler Daten, Verkauf per­so­nen­be­zo­ge­ner Daten und Ver­wen­dung per­so­nen­be­zo­ge­ner Daten für be­stimm­te Arten der Profilerstellung).

Darüber hinaus ver­langt der OCPA aus­drück­lich, dass die für die Ver­ar­bei­tung Ver­ant­wort­li­chen Schutz­maß­nah­men zum Schutz per­so­nen­be­zo­ge­ner Daten einrichten.

Rechte der Verbraucher

Der OCPA gibt Ver­brau­chern das Recht, (1) sich zu ver­ge­wis­sern, ob ein für die Ver­ar­bei­tung Ver­ant­wort­li­cher ihre per­so­nen­be­zo­ge­nen Daten ver­ar­bei­tet, auf ihre per­so­nen­be­zo­ge­nen Daten zu­zu­grei­fen und eine Kopie ihrer per­so­nen­be­zo­ge­nen Daten in einem trag­ba­ren und – soweit tech­nisch möglich – leicht nutz­ba­ren Format zu er­hal­ten, das es dem Ver­brau­cher er­mög­licht, die Daten un­ge­hin­dert an eine andere Person wei­ter­zu­ge­ben; (2) Un­rich­tig­kei­ten in den per­so­nen­be­zo­ge­nen Daten des Ver­brau­chers zu be­rich­ti­gen; (3) per­so­nen­be­zo­ge­ne Daten über den Ver­brau­cher zu löschen; und (4) der Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten des Ver­brau­chers für Zwecke (a) ge­ziel­ter Werbung, (b) des Ver­kaufs der per­so­nen­be­zo­ge­nen Daten des Ver­brau­chers und (c) der Pro­fi­ler­stel­lung zur För­de­rung aus­schließ­lich au­to­ma­ti­sier­ter Ent­schei­dun­gen, die recht­li­che oder ähnlich er­heb­li­che Aus­wir­kun­gen auf den Ver­brau­cher haben, zu widersprechen.

Durch­set­zung

Der OCPA enthält kein pri­va­tes Kla­ge­recht. Das OCPA über­trägt die aus­schließ­li­che Durch­set­zungs­be­fug­nis an den Ge­ne­ral­staats­an­walt von Oregon.

Das neue Da­ten­schutz­ge­setz in Oregon bringt für Un­ter­neh­men Ver­än­de­run­gen und An­for­de­run­gen mit sich. Für Un­ter­neh­men in Oregon oder Un­ter­neh­men, die dort Ge­schäf­te tätigen ist wichtig, das OCPA zu prüfen und ent­spre­chen­de Maß­nah­men zur Um­set­zun­gen der An­for­de­run­gen zu ergreifen.

Über­blick über U.S. Privacy Laws: