New call-to-action

Das NJDPA verstehen – New Jerseys Datenschutzgesetz im Detail

11-12-2024 | 7 Minute gelesen | Business to Government Compliance, Einhaltung der DSGVO

Autor: Priyasha Purkayastha, Global Content Manager, TJC Gruppe

Im Vergleich zu anderen Ländern nehmen die USA eine einzigartige Haltung ein, wenn es um den Datenschutz geht. Die Weite des Kontinents bedeutet, dass einige Staaten ihre eigenen lokalen Gesetze zum Schutz der Verbraucher geschaffen haben. In diesem Blog erkunden wir das Datenschutzgesetz eines der begehrtesten Bundesstaaten der Vereinigten Staaten: New Jersey. Lesen Sie weiter und erfahren Sie mehr!

Inhaltsübersicht

Einführung

Bis heute haben 14 US-Bundesstaaten ihre eigenen Datenschutzbestimmungen. Dazu gehört auch New Jersey, das am 16. Januar 2024 sein eigenes Gesetz, den New Jersey Data Protection Act (New Jersey Data Privacy Act oder NJDPA), vorgestellt hat. Damit reagierte es auf eine Reihe von Ankündigungen von acht anderen US-Bundesstaaten, die 2023 ihre eigenen Datenschutzgesetze verabschiedet haben.

Die Gesetzgebung von New Jersey wird am 15. Januar 2025 vollständig in Kraft treten. Für Unternehmen ist es wichtig, sich ihrer Verpflichtungen bewusst zu sein, unabhängig davon, ob sie direkt oder indirekt davon betroffen sind. Dieser Artikel erläutert die wichtigsten Bestimmungen des NJDPA und zeigt auf, wie es sich von anderen Datenschutzgesetzen unterscheidet. Lesen Sie weiter und erfahren Sie mehr!

Was ist der Anwendungsbereich des New Jersey Data Privacy Act (NJDPA)?

Organisationen, die eine der beiden folgenden Bedingungen erfüllen, müssen sich an die Bestimmungen des NJDPA halten:

  • Jede Organisation, die im Bundesstaat New Jersey geschäftlich tätig ist
  • Organisationen, die Produkte oder Dienstleistungen herstellen, die sich an Einwohner von New Jersey richten und in einem Kalenderjahr einen der beiden Schwellenwerte erreichen:
  • personenbezogene Daten von mindestens 100.000 Verbrauchern und Einwohnern von New Jersey kontrolliert oder verarbeitet, mit Ausnahme von personenbezogenen Daten, die ausschließlich zum Zweck der Abwicklung eines Zahlungsvorgangs verarbeitet werden
  • personenbezogene Daten von mindestens 25.000 Verbrauchern kontrolliert oder verarbeitet und aus dem Verkauf personenbezogener Daten Einnahmen erzielt oder einen Rabatt auf den Preis von Waren oder Dienstleistungen erhält
Lesen Sie unseren neuesten Blog zum California Consumer Privacy Act 2020

Vier interessante Aspekte des NJDPA

Es gibt einige interessante Punkte zu diesem Datenschutzgesetz zu beachten, nämlich,

  • Kleine Unternehmen, die als stationäre Geschäfte arbeiten und ansonsten keine persönlichen Daten sammeln, sind von der Einhaltung der Verordnung ausgenommen.
  • Die Umsatzschwelle dieses Gesetzes ist sehr weit gefasst und gilt für alle Unternehmen, die Einnahmen aus dem Verkauf personenbezogener Daten erzielen oder die einen Rabatt auf den Preis von Waren oder Dienstleistungen erhalten.In anderen US-Bundesstaaten sehen die Datenschutzgesetze eine Mindestumsatzschwelle vor, ab der die entsprechenden Vorschriften gelten.
  • Das NJPDA nimmt Regierungsbehörden und Informationen oder Daten, die unter andere Gesetze wie den Health Insurance Portability and Accountability Act (HIPAA) und den Gramm-Leach-Bliley Act (GLBA) fallen, aus.Ausgenommen sind auch personenbezogene Daten, die von Einwohnern im Rahmen von Beschäftigungsverhältnissen oder Transaktionen zwischen Unternehmen erhoben werden.
  • Ein weiterer wichtiger Aspekt des NJPDA ist, dass es für gemeinnützige Organisationen gilt, die die bedingten Schwellenwerte erfüllen, während viele andere Staaten „gemeinnützige“ Organisationen nicht in gleicher Weise behandeln wie kommerzielle Einrichtungen.
Informieren Sie sich hier über das Loi 25 oder Gesetz 25 von Québec!

Verpflichtungen für Verantwortliche und Auftragsverarbeiter

Das NJDPA ähnelt anderen Datenschutzbestimmungen, einschließlich der DSGVO, da es die verschiedenen „Akteure“, die an den verschiedenen Datenverarbeitungsaktivitäten beteiligt sind, als für die Verarbeitung Verantwortliche und Auftragsverarbeiter definiert. Für die Unerfahrenen: Ein „für die Verarbeitung Verantwortlicher“ bestimmt allein oder gemeinsam mit anderen den Zweck und die Mittel der Verarbeitung personenbezogener Daten; ein „Auftragsverarbeiter“ hingegen verarbeitet personenbezogene Daten im Auftrag eines für die Verarbeitung Verantwortlichen. Ein Unternehmen, das Daten für Marketingzwecke sammelt, wäre ein für die Verarbeitung Verantwortlicher, und eine Agentur, die im Auftrag des für die Verarbeitung Verantwortlichen Marketingkampagnen durchführt, wäre ein Auftragsverarbeiter.

Verpflichtungen des für die Datenverarbeitung Verantwortlichen gemäß NJDPA

Die meisten der primären Datenschutzpflichten innerhalb des NJDPA obliegen den für die Verarbeitung Verantwortlichen.Nach diesem Gesetz müssen die für die Verarbeitung Verantwortlichen den Verbrauchern einen angemessen zugänglichen, klaren und aussagekräftigen Datenschutzhinweis zur Verfügung stellen, der Auskunft gibt:

  • Kategorien und Verwendungszweck der erfassten persönlichen Daten
  • Kategorien von Dritten, die Zugriff auf die persönlichen Daten des Verbrauchers haben könnten
  • Kategorien der persönlichen Informationen, die mit Dritten geteilt werden
  • Jede Sammlung personenbezogener Daten durch Dritte von verschiedenen Online-Diensten
  • Einzelheiten darüber, wie Verbraucher Zugang zu ihren persönlichen Daten beantragen oder diese korrigieren können
  • Das Verfahren, das Verbraucher befolgen können, um Zugang zu ihren Informationen zu erhalten
  • Ein für die Verarbeitung Verantwortlicher muss die Verbraucher über alle Änderungen der Gesetzgebung informieren.

Der NJDPA legt auch Grenzen und Verpflichtungen für die Verarbeitung personenbezogener Daten durch die für die Verarbeitung Verantwortlichen fest. Dazu gehören die folgenden Mandate:

  • Die Erhebung und Verarbeitung personenbezogener Daten ist minimal und beschränkt sich auf das, was notwendig ist oder wozu der Verbraucher seine Zustimmung gegeben hat.
  • Zum Schutz der Daten wird eine Reihe von administrativen, technischen und physischen Maßnahmen ergriffen
  • Verbraucher haben das Recht, eine zuvor erteilte Einwilligung gegenüber den für die Verarbeitung Verantwortlichen zu widerrufen
  • Verbraucher haben außerdem das Recht, eine tragbare Kopie ihrer persönlichen Daten zu erhalten
  • Vor jeder Verarbeitung sensibler Daten oder von Daten, die sich auf ein Kind beziehen, einschließlich gezielter Werbung, Verkauf oder Marketing-Profiling, muss die Zustimmung eingeholt werden.
  • Antworten auf Anfragen zum Datenzugriff müssen innerhalb von fünfundvierzig (45) Tagen nach Erhalt erfolgen, mit der Möglichkeit, eine Verlängerung von fünfundvierzig (45) Tagen für komplexe oder mehrfache Anfragen vorzusehen.

Einstufung sensibler Daten gemäß NJDPA

Die Art und Weise, wie sensible Daten nach dem NJDPA definiert werden, ist recht umfangreich und umfasst:

  • Rasse, ethnische Herkunft, religiöse Überzeugungen, sexuelle Orientierung, Identifizierung als transgender/nicht-binär
  • Gesundheitszustände mit Informationen zur Behandlung oder Diagnose
  • Finanzinformationen, einschließlich Kontonummern, Logins, Kredit- oder Debitkartennummern, Kundencodes oder Passwortdaten
  • Staatsbürgerschaft oder Einwanderungsstatus
  • Genetische oder biometrische Daten
  • Genaue geographische Lage.

Obwohl die meisten US-Bundesstaaten alle diese Informationskategorien als sensibel einstufen und von den Verbrauchern verlangen, dass sie für jede Datenverarbeitung ihre Zustimmung geben, ist die Einbeziehung von Finanzinformationen eine Besonderheit des NJDPA.

Dieses Gesetz geht sogar noch einen Schritt weiter, da es von den für die Verarbeitung Verantwortlichen verlangt, eine zusätzliche Datenschutzprüfung durchzuführen, wenn ihre Datenverarbeitungsaktivitäten zu einem Risiko oder Schaden für den Verbraucher führen können.

Verständnis der Verpflichtungen für Datenverarbeiter

Gemäß dem NJDPA müssen auch Datenverarbeiter strenge Verpflichtungen erfüllen, wenn sie personenbezogene Daten im Auftrag von für die Verarbeitung Verantwortlichen verarbeiten.Diese umfassen:

  • Sie haben einen Vertrag, der ihre individuellen Verpflichtungen festlegt.
  • Vorhandene Kontrollen zum Schutz des für die Verarbeitung Verantwortlichen, einschließlich der Sicherstellung, dass alle Mitarbeiter oder Subunternehmer, die für einen Auftragsverarbeiter arbeiten, die Vertraulichkeit des Kunden wahren.

Einige wichtige Aspekte des Datenschutzgesetzes von New Jersey

Besondere Überlegungen zu den Daten von Kindern

Die Daten von Kindern unterliegen einem zusätzlichen Schutz und müssen immer in Übereinstimmung mit dem Children’s Online Privacy Protection Act (COPPA) verarbeitet werden. Dieses Gesetz hat einen zusätzlichen Vorbehalt: Für jede Datenerfassung oder -verarbeitung muss die Zustimmung der Eltern oder Erziehungsberechtigten eingeholt werden.

Überlegungen zu „de-identifizierten“ und „pseudonymen“ Daten

Genau wie bei anderen Datenschutzvorschriften gibt es im NJDPA eine besondere Berücksichtigung von „de-identifizierten Daten“. Diesem Gesetz zufolge können Daten nur dann als „de-identifiziert“ behandelt werden, wenn sie nicht mit einer identifizierbaren Person oder einem mit einer Person verbundenen Gerät in Verbindung gebracht werden können.Dies ist ein weiterer Unterschied in den staatlichen Vorschriften, da andere Regionen ihre gesetzlichen Anforderungen nicht auf Geräte ausweiten. Die für die Verarbeitung Verantwortlichen müssen sicherstellen, dass nicht identifizierte Daten auch nicht identifiziert werden. Dazu gehören vertragliche Verpflichtungen und öffentliche Zusagen, solche Daten nicht erneut zu identifizieren.

Interessanterweise enthält das NJDPA keine Definition von „pseudonymen“ Daten, die künstlich anonymisiert wurden. Das bedeutet, dass die üblichen Ausnahmeregelungen nicht gelten, es sei denn, die Daten werden auch als „de-identifiziert“ eingestuft.

Link zu: https://www.tjc-group.com/resource/durr-group-sap-ilm-and-data-deletion-case-study/

Wie wird das NJDPA durchgesetzt?

Das Büro des Generalstaatsanwalts von New Jersey wird das NJDPA durchsetzen. Darüber hinaus ist die Abteilung für Verbraucherangelegenheiten im Ministerium für Recht und öffentliche Sicherheit dafür verantwortlich, dass die Unternehmen die Regeln und Vorschriften verstehen und einhalten können.

Insbesondere enthält das NJDPA eine dreißig (30) Tage dauernde „Heilungsklausel“, die den Fluglotsen einen Zeitrahmen einräumt, um Verstöße zu beheben oder zu korrigieren, bevor eine Durchsetzungsmaßnahme eingeleitet werden kann.Diese Bestimmung gilt jedoch nur bis zum 1. Juli 2026, danach gibt es keine weitere Schonfrist mehr. Im Gegensatz zu anderen Datenschutzgesetzen wurden keine festen Bußgeldsummen im Voraus festgelegt und werden von den Vollstreckungsbehörden individuell beurteilt.

Schlusswort

  • Datenschutz, ob in der EU, in Indien oder in den USA, hat das gleiche Ziel – den Schutz der Vertraulichkeit der persönlichen Daten der Verbraucher.
  • Unter dem NJDPA ist die Definition von sensiblen Daten umfassend und umfasst Gesundheitsinformationen, finanzielle Informationen, Daten über die rassische und ethnische Herkunft, religiöse Überzeugungen, sexuelle Orientierung, Staatsbürgerschaft oder Einwanderungsstatus und mehr.
  • Es ist zwingend erforderlich, dass Auftragsverarbeiter die Regeln der Datenschutzgesetze von New Jersey einhalten, wenn sie die Daten im Auftrag der für die Datenverarbeitung Verantwortlichen verarbeiten.
  • Datenverarbeiter müssen alle Anweisungen befolgen, die ein für die Verarbeitung Verantwortlicher erteilt, damit sie ihren gesetzlichen Verpflichtungen gemäß den Datenschutzbestimmungen nachkommen können.
  • Es müssen Kontrollen vorhanden sein, die zum Schutz der für die Verarbeitung Verantwortlichen beitragen. Dazu gehört auch, dass die Mitarbeiter oder sogar Subunternehmer des Datenverarbeiters die Vertraulichkeit der Kunden wahren und schützen.
  • Das Datenschutzgesetz von New Jersey enthält auch eine besondere Bestimmung für die Daten von Kindern. Sie unterliegen dem Children’s Online Privacy Protection Act (COPPA) und müssen stets in Übereinstimmung mit diesem verarbeitet werden.

Die TJC Group nimmt den Datenschutz äußerst ernst und stellt sicher, dass Benutzerdaten nur dann erfasst werden, wenn der Verbraucher dem zugestimmt hat. Außerdem verfügen wir über strenge Richtlinien, die der DSGVO entsprechen, um die Vertraulichkeit unserer Kunden und Verbraucher zu schützen.

Datenschutz-Serie

Wir informieren unsere Leser auch in unseren Datenschutz-Blogs. Wenn Sie mehr über internationale Datenschutzbestimmungen erfahren möchten, ist dies die richtige Serie für Sie.

  • Alles über das südkoreanische Datenschutzgesetz (PIPA): Alles, was Sie wissen müssen (in Kürze)
  • Datenschutzgesetze im Nahen Osten (in Kürze)
Zurück zu allen Blogs
Außerbetriebnahme von Legacy-Systemen Business to Government Compliance Cybersecurity DART Datenmanagement S/4HANA-Migration Einhaltung der DSGVO Enterprise Legacy System-Applikation (ELSA) Fichier des Écritures Comptables (FEC) Globale E-Rechnung und E-Reporting IT-Trends Karriere Nachhaltigkeit SAF-T-Konformität SAP BTP SAP Information Lifecycle Management SAP-Datenarchivierung SAP-Datenverwaltung SAP-Highlights Steuer- und Prüfungsbereitschaft Unternehmen der TJC-Gruppe Vorfall
December 2024November 2024October 2024September 2024August 2024July 2024June 2024May 2024April 2024March 2024February 2024January 2024December 2023November 2023October 2023September 2023August 2023July 2023June 2023May 2023April 2023March 2023February 2023January 2023December 2022November 2022October 2022September 2022August 2022June 2022April 2022March 2022February 2022December 2021November 2021October 2021September 2021July 2021June 2021May 2021April 2021March 2021February 2021January 2021December 2020November 2020October 2020September 2020August 2020June 2020May 2020April 2020March 2020February 2020January 2020December 2019October 2019September 2019July 2019November 2018August 2018July 2018June 2018April 2018February 2018December 2017May 2017February 2016December 2015May 2015February 2014March 2013

Aktuelle Artikel

Virginia's data privacy law
Gesetz zum Datenschutz: Alles, was Sie über Virginias CDPA wissen müssen

12/12/2024 |  

5 Minute gelesen
SAP Data Archiving
SAP-Datenarchivierung: Ihr Leitfaden von A bis Z, um alles darüber zu erfahren

10/12/2024 |  

51 Minute gelesen

Mehr wie das

Virginia's data privacy law

Gesetz zum Datenschutz: Alles, was Sie über Virginias CDPA wissen müssen

12/12/2024 |  

5 Minute gelesen
SAP DRC

Verstehen der wichtigsten Vorteile von SAP DRC für Unternehmen

09/12/2024 |  

5 Minute gelesen
SAP DRC

Verstehen der wichtigsten Vorteile von SAP DRC für Unternehmen

09/12/2024 |  

5 Minute gelesen