Colorado schließt sich Kalifornien und Virginia an und verabschiedet ein umfassendes Datenschutzgesetz

Am 7. Juli 2021 unterzeichnete Jared Polis, Gouverneur von Colorado, den Colorado Privacy Act („CPA“) und machte Colorado damit nach Kalifornien und Virginia zum dritten Bundesstaat, der ein umfassendes Datenschutzgesetz verabschiedet hat. Am selben Tag gab Gouverneur Polis jedoch eine Erklärung gegenüber der Colorado General Assembly ab, in der er darlegte, dass aufgrund der „Eile, dieses Gesetz zu verabschieden“, eine Reihe von Fragen noch offen seien und dass im kommenden Legislaturjahr in Colorado eine Bereinigung der Gesetzgebung erforderlich sein werde. In der Erklärung forderte Gouverneur Polis, dass diese Bereinigung der Gesetzgebung „ein angemessenes Gleichgewicht zwischen Verbraucherschutz und der Förderung von Innovation sowie der Position Colorados als einer der besten Bundesstaaten für Unternehmen herstellen“ solle. Darüber hinaus kann der Generalstaatsanwalt von Colorado vor dem 1. Januar 2025 Vorschriften erlassen, die das Gesetz oder dessen Durchsetzung weiter ändern können. Daher wird das Gesetz wahrscheinlich sowohl vor als auch nach seinem Inkrafttreten am 1. Juli 2023 erheblichen Änderungen unterliegen, sodass Unternehmen, die diesem Gesetz unterliegen, vor dem Dilemma stehen, entweder jetzt mit der Umsetzung der Vorschriften zu beginnen oder zu warten, bis die Änderungen verabschiedet sind, und dann möglicherweise vor dem Inkrafttreten der Vorschriften hastig versuchen müssen, diese zu erfüllen.

Das derzeit geltende Gesetz weist zwar viele Ähnlichkeiten mit der Datenschutz-Grundverordnung der Europäischen Union (DSGVO) auf und ähnelt den umfassenden Datenschutzgesetzen, die in Kalifornien und Virginia verabschiedet wurden, es gibt jedoch einige wesentliche Unterschiede. Daher reicht die Einhaltung der DSGVO oder der Datenschutzgesetze in Kalifornien oder Virginia nicht unbedingt aus, um die Anforderungen der aktuellen Fassung des CPA zu erfüllen.

DER CPA: WAS SIE WISSEN MÜSSEN

• Der CPA gilt für Unternehmen, die gezielt Verbraucher in Colorado ansprechen und Daten von mindestens 100.000 Verbrauchern sammeln und speichern oder Einnahmen aus dem Verkauf von Daten von mindestens 25.000 Verbrauchern erzielen. Bemerkenswert ist das Fehlen einer Umsatzschwelle.

• Bestimmte Arten von Daten sind ausgenommen, darunter Beschäftigungsunterlagen, Bewerbungen, personenbezogene Daten, die bestimmten Bundes- oder Landesgesetzen wie dem GLBA unterliegen, sowie Daten, die in öffentlichen Registern verfügbar sind.

• Verbraucher erhalten durch den CPA fünf wichtige Rechte: das Recht auf Zugang, das Recht auf Widerspruch, das Recht auf Berichtigung, das Recht auf Löschung und das Recht auf Datenübertragbarkeit. Außerdem erhalten sie ein Recht auf Berufung.

• Unternehmen haben mehrere neue Pflichten, darunter die Pflicht zur Transparenz, die Pflicht zur Vermeidung von Sekundärnutzung, die Pflicht zur Datenminimierung, die Sorgfaltspflicht in Bezug auf die Datensicherheit und die Pflicht, vor der Verarbeitung sensibler Daten eines Verbrauchers dessen Einwilligung einzuholen.

• Die CPA wird vom Generalstaatsanwalt und den Bezirksstaatsanwälten durchgesetzt. Es gibt kein privates Klagerecht.

• Das Gesetz tritt am 1. Juli 2023 in Kraft.

• Der Gouverneur von Colorado hat bereits beantragt, dass der Gesetzgeber die CPA ändert, was die Verpflichtungen und Anforderungen des Gesetzes erheblich verändern könnte.

WAS IST ZUR VORBEREITUNG ZU TUN?

Da sich die Gesetzgebung ändern kann, sollten Unternehmen die folgenden Maßnahmen entsprechend den erforderlichen Ressourcen und der potenziellen Wiederverwendbarkeit unter anderen Datenschutzregelungen oder anderen Vorteilen für das Unternehmen priorisieren:

• Führen Sie eine Datenzuordnung durch.

• Führen Sie eine Datenschutz-Folgenabschätzung durch.

• Wenn das Unternehmen risikoreiche Verarbeitungsprozesse durchführt, beauftragen Sie eine Cybersicherheits-Prüfungsgesellschaft.

• Aktualisieren Sie Richtlinien und Verfahren, um die Einhaltung des neuen Gesetzes sicherzustellen.

• Überprüfen und überarbeiten Sie Richtlinien oder führen Sie neue ein, um den Verbraucherrechten zu entsprechen.

• Überprüfen und ändern Sie die Datenschutzhinweise bei Bedarf.

• Überprüfen und überarbeiten Sie konforme Anhänge zur Datenverarbeitung oder übernehmen Sie diese.

Anwendbarkeit und Ausnahmen der CPA

Die derzeit geltende CPA gilt für alle Unternehmen (ein „Verantwortlicher“), die „in Colorado geschäftlich tätig sind oder kommerzielle Produkte oder Dienstleistungen herstellen oder liefern, die sich bewusst an Einwohner von Colorado richten“ und einen oder beide der folgenden Schwellenwerte erfüllen:

Der Verantwortliche verarbeitet oder kontrolliert jährlich personenbezogene Daten von mindestens 100.000 Verbrauchern aus Colorado. Dieser Wert liegt zwar über dem Schwellenwert in Kalifornien gemäß dem CCPA, entspricht jedoch dem Schwellenwert im neuen kalifornischen CPRA und im CDPA von Virginia.
Der Verantwortliche verarbeitet oder kontrolliert jährlich personenbezogene Daten von mindestens 25.000 Verbrauchern in Colorado und erzielt Einnahmen oder erhält einen Preisnachlass auf Waren oder Dienstleistungen aus dem Verkauf personenbezogener Daten. Im Gegensatz zum CCPA und zum Virginia CDPA gibt es im CPA keinen prozentualen Schwellenwert, und jede Einnahme oder jeder Preisnachlass aus dem Verkauf personenbezogener Daten kann ausreichend sein, selbst wenn dieser minimal ist. Wenn dieser Schwellenwert bei etwaigen Änderungen bestehen bleibt, dürfte seine Anwendbarkeit nach Inkrafttreten des Gesetzes ein heißes Thema in Rechtsstreitigkeiten sein.

Im Gegensatz zum kalifornischen CPRA, aber ähnlich wie das CDPA in Virginia, sieht auch das aktuelle CPA keine Umsatzschwelle vor. Dadurch wird verhindert, dass Unternehmen mit hohen Umsatzströmen, aber relativ geringem Umfang an personenbezogenen Daten, allein aufgrund ihrer Umsätze in den Anwendungsbereich des CPA fallen.

Die derzeitige CPA gilt nur für Informationen über Verbraucher, die als Einwohner Colorados definiert sind, die ausschließlich in einem individuellen oder häuslichen Kontext handeln. Sie gilt nicht für Informationen über Personen, die in einem kommerziellen oder beruflichen Kontext handeln (einschließlich als Bewerber oder als Begünstigter einer anderen Person, die im beruflichen Kontext handelt). Im Gegensatz dazu unterliegen sowohl Beschäftigungs- als auch Business-to-Business-Informationen der kalifornischen CPRA, sobald die vorübergehenden Ausnahmen für diese Arten von Daten am 1. Januar 2023 auslaufen, es sei denn, die vorübergehenden Ausnahmen werden verlängert oder es wird ein anderes Gesetz verabschiedet, das diese Informationen abdeckt.

Das Gesetz gilt für die Verarbeitung „personenbezogener Daten“ durch einen Verantwortlichen, die im Gesetz als „Informationen, die mit einer identifizierten oder identifizierbaren Person in Verbindung stehen oder vernünftigerweise in Verbindung gebracht werden können“ definiert sind. Die Definition schließt jedoch ausdrücklich anonymisierte Informationen oder öffentlich zugängliche Informationen aus. „Öffentlich zugängliche Informationen“ sind etwas weiter gefasst als in Gesetzen wie dem CPRA und umfassen nicht nur Informationen, die rechtmäßig aus staatlichen Aufzeichnungen zugänglich gemacht wurden, sondern auch Informationen, bei denen der Verantwortliche Grund zu der Annahme hat, dass sie vom Verbraucher rechtmäßig der Öffentlichkeit zugänglich gemacht wurden. Dazu gehören wahrscheinlich auch Informationen, die in sozialen Medien gepostet wurden. Es ist jedoch unklar, ob Informationen, die in sozialen Medien für einen begrenzten Kreis von Personen gepostet wurden, als öffentlich zugänglich gelten.

Bestimmte Arten von Unternehmen und bestimmte Kategorien sind von den Anforderungen des CPA ausgenommen. Unternehmen, die dem Gramm-Leach-Bliley Act (GLBA) unterliegen, sind vom CPA ausgenommen. Obwohl das Gesetz Unternehmen, die dem HIPAA unterliegen, nicht vollständig ausnimmt, befreit es verschiedene andere Arten von personenbezogenen Daten, die anderen Gesetzen und Vorschriften unterliegen, darunter gesundheitsbezogene Informationen, die gemäß HIPAA als geschützte Gesundheitsdaten gelten, sowie bestimmte klinische Forschungsdaten und bestimmte Informationen, die dem Fair Credit Reporting Act (FCRA), dem Children’s Online Privacy Protection Act (COPPA), dem Family Educational Rights and Privacy Act (FERPA) und dem Driver’s Privacy Protection Act (DPPA) unterliegen.

Verbraucherrechte

Der CPA gewährt Verbrauchern in Colorado die folgenden Rechte in Bezug auf ihre personenbezogenen Daten:

Recht auf Auskunft. Verbraucher haben das Recht, zu erfahren, ob ein Unternehmen ihre personenbezogenen Daten verarbeitet, und sie haben das Recht auf Auskunft über ihre personenbezogenen Daten.
Widerspruchsrecht. Verbraucher haben das Recht, der Verarbeitung ihrer personenbezogenen Daten zum Zwecke der gezielten Werbung, des Verkaufs personenbezogener Daten oder der Profilerstellung zur Unterstützung von Entscheidungen, die rechtliche oder ähnlich bedeutende Auswirkungen auf sie haben, zu widersprechen.
Recht auf Berichtigung. Verbraucher haben das Recht, Ungenauigkeiten in ihren personenbezogenen Daten zu berichtigen. Dabei müssen jedoch die Art und die Zwecke der Verarbeitung der personenbezogenen Daten des Verbrauchers berücksichtigt werden.
Recht auf Löschung. Verbraucher haben das Recht, personenbezogene Daten über sich selbst zu löschen.
Recht auf Datenübertragbarkeit. Verbraucher haben das Recht, zweimal pro Jahr ihre personenbezogenen Daten in einem übertragbaren Format zu erhalten. Diese Daten müssen in einem leicht nutzbaren Format vorliegen, das es dem Verbraucher ermöglicht, die Daten ohne Hindernisse an eine andere Stelle zu übermitteln, soweit dies technisch möglich ist.
Recht auf Einspruch. Unternehmen müssen innerhalb von 45 Tagen nach Erhalt auf Verbraucheranfragen gemäß dem CPA reagieren. Diese Frist kann um weitere 45 Tage verlängert werden, wenn der Verbraucher innerhalb der ersten 45-Tage-Frist benachrichtigt wird und die Verlängerung angemessen erforderlich ist. Wenn das Unternehmen beschließt, auf die Anfrage des Verbrauchers nicht einzugehen, muss es den Verbraucher darüber informieren, wie er gegen die Entscheidung Widerspruch einlegen kann. Das Widerspruchsverfahren muss „gut sichtbar verfügbar” und für den Verbraucher einfach zu nutzen sein.

Die Verantwortlichen sind verpflichtet, innerhalb von 45 Tagen nach der Anfrage zu antworten, wobei diese Frist unter bestimmten Umständen um weitere 45 Tage verlängert werden kann. Die Verantwortlichen sind verpflichtet, die angeforderten Informationen einmal pro Jahr kostenlos zur Verfügung zu stellen, können jedoch für weitere Anfragen innerhalb eines Zeitraums von 12 Monaten eine Gebühr erheben. Verbraucher können diese Rechte ausüben, indem sie Anträge gemäß den Angaben in der Datenschutzerklärung stellen. Die für die Verarbeitung Verantwortlichen können von den Verbrauchern zwar nicht verlangen, dass sie ein neues Konto erstellen, um diese Rechte auszuüben, aber sie können von den Verbrauchern verlangen, dass sie ihr bestehendes Konto verwenden.

Geschäftliche Verpflichtungen

Neben der Möglichkeit für Verbraucher, ihre Rechte auszuüben, erlegt das CPA den Verantwortlichen mehrere neue positive Pflichten auf.

Transparenz. Verantwortliche müssen Verbrauchern eine klare und aussagekräftige Datenschutzerklärung zur Verfügung stellen. Die Erklärung muss in angemessener Weise zugänglich sein und Folgendes enthalten: (a) die Kategorien der erhobenen oder verarbeiteten personenbezogenen Daten; (b) die Zwecke, für die die personenbezogenen Daten verarbeitet werden; (c) eine Beschreibung der oben genannten Verbraucherrechte und wie ein Verbraucher diese ausüben kann; (d) die Kategorien personenbezogener Daten, die an Dritte weitergegeben werden; und (e) die Kategorien von Dritten, an die die personenbezogenen Daten weitergegeben werden.
Datenminimierung. Verantwortliche müssen die Erhebung personenbezogener Daten auf das beschränken, was für den angegebenen Zweck der Datenverarbeitung relevant und angemessen erforderlich ist.
Zweckbindung. Verantwortliche müssen die ausdrücklichen Zwecke, für die personenbezogene Daten erhoben und verarbeitet werden, klar und deutlich offenlegen. Verantwortliche müssen zunächst die Zustimmung des Verbrauchers zur Verwendung personenbezogener Daten einholen, die nicht vernünftigerweise erforderlich oder mit den offengelegten Zwecken vereinbar sind.
Sorgfaltspflicht. Die für die Verarbeitung Verantwortlichen müssen angemessene Maßnahmen ergreifen, um personenbezogene Daten während der Speicherung und Nutzung vor unbefugtem Zugriff zu schützen. Die Maßnahmen zur Datensicherheit müssen der Art des Unternehmens sowie der Menge und Art der verarbeiteten Daten angemessen sein.
Vermeidung unrechtmäßiger Diskriminierung. Verantwortlichen ist es untersagt, personenbezogene Daten unter Verstoß gegen Bundes- oder Landesgesetze zu verarbeiten, die eine unrechtmäßige Diskriminierung von Verbrauchern verbieten.
Einwilligung zur Verarbeitung sensibler Daten. Verantwortliche müssen vor der Verarbeitung sensibler Daten eines Verbrauchers dessen Einwilligung einholen. Bei der Verarbeitung sensibler Daten eines Kindes muss das Unternehmen zunächst die Einwilligung der Eltern oder des gesetzlichen Vormunds des Kindes einholen. Sensible Daten sind personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, religiöse Überzeugungen, eine geistige oder körperliche Gesundheit oder Diagnose, das Sexualleben oder die sexuelle Orientierung einer Person, die Staatsangehörigkeit oder der Staatsbürgerschaftsstatus hervorgehen, sowie genetische oder biometrische Daten, die zum Zwecke der eindeutigen Identifizierung einer Person verarbeitet werden können. Zu den sensiblen Daten gehören auch personenbezogene Daten von bekannten Kindern.
Verkauf personenbezogener Daten. Verantwortliche müssen den Verkauf personenbezogener Daten oder die Verarbeitung personenbezogener Daten für gezielte Werbung klar und deutlich offenlegen und den Verbrauchern die Möglichkeit geben, sich von solchen Aktivitäten abzumelden.
Datenschutzbewertungen für risikoreiche Verarbeitungen. Verantwortliche müssen eine Datenschutzbewertung durchführen und dokumentieren, wenn ihre Verarbeitungsaktivitäten ein erhöhtes Risiko für Verbraucher darstellen. Zu solchen Aktivitäten gehören die Verarbeitung sensibler Daten, der Verkauf personenbezogener Daten und gezielte Werbung oder Profiling, wenn das Profiling bestimmte vernünftigerweise vorhersehbare Risiken mit sich bringt.
Verarbeiter und Datenverarbeitungsvereinbarungen. Auftragsverarbeiter sind Stellen, die personenbezogene Daten für oder im Auftrag von Verantwortlichen verarbeiten. Auftragsverarbeiter sind verpflichtet, die Anweisungen des Verantwortlichen zu befolgen. Darüber hinaus sind Auftragsverarbeiter verpflichtet, den Verantwortlichen bei der Erfüllung seiner Verpflichtungen gemäß dem CPA zu unterstützen, unter anderem durch geeignete Maßnahmen zur Unterstützung bei der Beantwortung von Verbraucheranfragen, zur Erfüllung der Sicherheits- und Meldepflichten bei Verstößen und zur Bereitstellung der für die Durchführung von Datenschutzbewertungen erforderlichen Informationen. Verantwortliche und Auftragsverarbeiter müssen eine schriftliche Vereinbarung mit Bedingungen abschließen, die denen der DSGVO ähneln:
- Beschreibt den Zweck der Verarbeitung, die Dauer der Verarbeitung und die Arten der zu verarbeitenden personenbezogenen Daten;
- Verlangt, dass jede an der Verarbeitung beteiligte Person einer Geheimhaltungspflicht unterliegt;
- Verlangt, dass der Auftragsverarbeiter nur Unterauftragsverarbeiter gemäß einem ähnlichen Vertrag einsetzt und dass der Auftragsverarbeiter die Verantwortung für alle Unterauftragsverarbeiter übernimmt.
- Beschreibt die Zuweisung der Verantwortung für Sicherheitsmaßnahmen;
- Verlangt vom Auftragsverarbeiter, die personenbezogenen Daten entweder zu löschen oder an den Verantwortlichen zurückzugeben, es sei denn, die Aufbewahrung ist gesetzlich vorgeschrieben.
- Verpflichtet den Auftragsverarbeiter, angemessene Audits und Inspektionen durch den Verantwortlichen oder einen externen Prüfer zuzulassen und zu unterstützen. Mit Zustimmung des Verantwortlichen kann der Auftragsverarbeiter jedoch einen unabhängigen Prüfer beauftragen und die Richtlinien und Sicherheitsstandards des Auftragsverarbeiters anhand eines geeigneten und anerkannten Kontrollstandards oder -rahmens prüfen.
- Verlangt vom Verarbeiter, alle Informationen zur Verfügung zu stellen, die der Verantwortliche benötigt, um die Einhaltung der Vorschriften nachzuweisen.

Vollstreckung

Das CPA legt ausdrücklich fest, dass Verbraucher kein privates Klagerecht haben. Stattdessen kann das CPA sowohl vom Generalstaatsanwalt als auch von Bezirksstaatsanwälten durchgesetzt werden, die im Namen des Staates oder im Namen von Personen mit Wohnsitz in diesem Staat Klage erheben können. Bis zum 1. Januar 2025 ist der Generalstaatsanwalt verpflichtet, der Organisation eine Frist von 60 Tagen zur Behebung eines Verstoßes einzuräumen, bevor er Klage gegen die Organisation erheben kann. Diese Frist zur Behebung des Verstoßes läuft jedoch am 1. Januar 2025 aus, und nach diesem Datum wird keine Frist mehr eingeräumt.

Geldstrafen

Das Gesetz sieht keine gesetzlichen Geldstrafen vor. Ein Verstoß gegen das CPA gilt jedoch als irreführende Handelspraxis, die gemäß dem Colorado Consumer Protection Act mit Geldstrafen von bis zu 2.000 US-Dollar pro Verstoß (bis zu 500.000 US-Dollar) für Klagen des Generalstaatsanwalts und mit mindestens 500 US-Dollar für Klagen einzelner Verbraucher geahndet werden kann. Es ist unklar, ob Verbraucher in Colorado versuchen werden, das Colorado Consumer Protection Act als Hintertür zu nutzen, um Verstöße gegen das CPA zu verklagen, wie sie es in Kalifornien getan haben.

Schlussfolgerungen

Während die derzeit geltende Fassung des CPA Organisationen, die möglicherweise unter das neue Gesetz fallen, einige erhebliche Verpflichtungen auferlegt, werden Organisationen, die auf die Einhaltung des kalifornischen CCPA oder CPRA oder der DSGVO hingearbeitet haben oder hinarbeiten, erhebliche Überschneidungen zwischen diesen Bemühungen und den gemäß diesen Gesetzen verabschiedeten Richtlinien und Verfahren feststellen. Organisationen, die bisher nicht anderen ähnlichen Datenschutzgesetzen unterlagen, wie beispielsweise denen in Kalifornien, Virginia oder Europa, müssen jedoch möglicherweise erhebliche Ressourcen für die Einhaltung aufwenden. Die Unsicherheit hinsichtlich des Gesetzes aufgrund des Änderungsantrags von Gouverneur Polis macht es Unternehmen derzeit unmöglich, auf die Einhaltung hinzuarbeiten. Da das Gesetz noch Änderungen unterliegen kann, sollten Organisationen den folgenden Aktivitäten Vorrang einräumen, die wahrscheinlich viel Zeit in Anspruch nehmen und die auch für andere Datenschutzregelungen wiederverwendet werden können oder die allgemeine Gültigkeit für ein ausgereiftes Datenschutzprogramm haben:

Führen Sie eine Datenkartierung durch, um zu verstehen, welche Arten von Daten das Unternehmen speichert, zu welchen Zwecken sie verwendet werden und ob alle Daten benötigt werden.
Führen Sie eine Datenschutz-Folgenabschätzung durch.
Beginnen Sie die Zusammenarbeit mit unabhängigen Cybersicherheits-Prüfungsgesellschaften für risikoreiche Verarbeitungsprozesse.
Aktualisieren Sie Richtlinien und Verfahren, um den neuen Anforderungen und Verpflichtungen des CPA nachzukommen.
Beginnen Sie mit der Entwicklung von Geschäftsprozessen, damit Verbraucher ihre neuen Rechte ausüben können.
Stellen Sie sicher, dass das Unternehmen über eine angemessen zugängliche, klare und aussagekräftige Datenschutzerklärung verfügt, die den Anforderungen des CPA entspricht.
Überprüfen Sie die Geschäftsbeziehungen zu externen Datenverarbeitern, um die Rolle jeder Partei und mögliche Anforderungen zu verstehen.
Entwerfen und verabschieden Sie Datenschutzzusätze mit den gemäß CPA erforderlichen Klauseln, die bei Verträgen mit Dritten zu verwenden sind.

Für weitere Informationen zum Colorado Privacy Act und seinen Anforderungen wenden Sie sich bitte an einen der unten aufgeführten Autoren oder an eines der Kernmitglieder der Partner oder Senior Counsel der Cybersicherheitspraxis von Foley.

Haftungsausschluss

Dieser Blog wird von Foley & Lardner LLP ("Foley" oder "die Kanzlei") ausschließlich zu Informationszwecken zur Verfügung gestellt. Er soll weder die Rechtsposition der Kanzlei im Namen eines Mandanten wiedergeben, noch soll er eine spezifische Rechtsberatung vermitteln. Die in diesem Artikel geäußerten Meinungen spiegeln nicht notwendigerweise die Ansichten von Foley & Lardner LLP, ihrer Partner oder ihrer Mandanten wider. Handeln Sie daher nicht aufgrund dieser Informationen, ohne sich von einem zugelassenen Anwalt beraten zu lassen. Dieser Blog ist nicht dazu gedacht, ein Anwalts-Mandanten-Verhältnis zu begründen, und der Erhalt dieses Blogs stellt kein solches dar. Die Kommunikation mit Foley über diese Website per E-Mail, Blogpost oder auf andere Weise begründet kein Anwalts-Mandanten-Verhältnis in einer rechtlichen Angelegenheit. Daher wird jegliche Kommunikation oder jegliches Material, das Sie über diesen Blog an Foley übermitteln, sei es per E-Mail, Blogpost oder auf andere Weise, nicht als vertraulich oder urheberrechtlich geschützt behandelt. Die Informationen in diesem Blog werden ohne Gewähr veröffentlicht und es wird nicht garantiert, dass sie vollständig, richtig oder aktuell sind. Foley gibt keinerlei ausdrückliche oder stillschweigende Zusicherungen oder Gewährleistungen in Bezug auf den Betrieb oder den Inhalt der Website. Foley lehnt ausdrücklich alle anderen ausdrücklichen oder stillschweigenden Garantien, Gewährleistungen, Bedingungen und Zusicherungen jeglicher Art ab, unabhängig davon, ob sie sich aus einem Gesetz, einer Rechtsvorschrift, der kommerziellen Nutzung oder anderweitig ergeben, einschließlich der stillschweigenden Gewährleistungen der Marktgängigkeit, der Eignung für einen bestimmten Zweck, des Eigentumsrechts und der Nichtverletzung von Rechten Dritter. In keinem Fall sind Foley oder seine Partner, leitenden Angestellten, Mitarbeiter, Vertreter oder verbundenen Unternehmen direkt oder indirekt unter irgendeiner Rechtstheorie (Vertrag, unerlaubte Handlung, Fahrlässigkeit oder anderweitig) Ihnen oder anderen gegenüber haftbar für Ansprüche, Verluste oder Schäden, direkte, indirekte, besondere, zufällige, strafende oder Folgeschäden, die sich aus der Erstellung, der Nutzung oder dem Vertrauen auf diese Website (einschließlich Informationen und anderer Inhalte) oder Websites Dritter oder den Informationen, Ressourcen oder Materialien, auf die über solche Websites zugegriffen wird, ergeben oder dadurch verursacht werden. In einigen Rechtsordnungen kann der Inhalt dieses Blogs als Anwaltswerbung angesehen werden. Falls zutreffend, beachten Sie bitte, dass frühere Ergebnisse keine Garantie für ein ähnliches Ergebnis sind. Die Fotos dienen nur zur Veranschaulichung und können Modelle enthalten. Die Abbildungen implizieren nicht notwendigerweise einen aktuellen Mandanten-, Partner- oder Mitarbeiterstatus.

[email protected]

San Diego 858.847.6737

Ein Mann in Anzug und rosa Krawatte lächelt vor einem unscharfen Hintergrund in Innenräumen in die Kamera und spiegelt damit die Professionalität der Anwälte aus Chicago wider.

[email protected]

Boston 617.226.3149

Colorado schließt sich Kalifornien und Virginia an und verabschiedet ein umfassendes Datenschutzgesetz

Anwendbarkeit und Ausnahmen der CPA

Verbraucherrechte

Geschäftliche Verpflichtungen

Vollstreckung

Geldstrafen

Schlussfolgerungen

Autor(en)

Steven M. Millendorf

Avi B. Ginsberg

Verwandte Einblicke

Gender Affirming Care for Minors: CMS and HHS Propose Limits on “Sex Rejection Procedures” and Expanded Enforcement Pathways

Prohibition to Prescription: What Trump’s Marijuana Executive Order Really Means

Foley Automotive Update