Wisconsin State Assembly beschleunigt das Gesetz zum Datenschutz in Wisconsin

Am 14. November 2023 verabschiedete die Wisconsin State Assembly den Gesetzentwurf 466, auch bekannt als Wisconsin Data Privacy Act (WDPA). Der Gesetzentwurf wurde in dritter Lesung verabschiedet und sofort an den Senat des Bundesstaates Wisconsin weitergeleitet. Wenn er vom Senat verabschiedet und vom Gouverneur unterzeichnet wird, tritt der WDPA am 1. Januar 2025 in Kraft. In seiner jetzigen Form ähnelt der WDPA stark anderen umfassenden Verbraucherschutzgesetzen, die derzeit in Virginia, Colorado und Connecticut in Kraft sind.

Anwendbarkeit

Vorbehaltlich der unten beschriebenen Ausnahmen gilt das WDPA für alle Personen, die in Wisconsin geschäftlich tätig sind oder Produkte oder Dienstleistungen herstellen, die sich an Einwohner von Wisconsin richten und eines der folgenden Kriterien erfüllen:

• Verarbeitet oder kontrolliert die personenbezogenen Daten von mindestens 100.000 Einwohnern von Wisconsin („Verbraucher“) während eines Kalenderjahres; und/oder
• Verarbeitet oder kontrolliert die personenbezogenen Daten von mindestens 25.000 Verbrauchern und erzielt über 50 % seines jährlichen Bruttoumsatzes aus dem Verkauf personenbezogener Daten.

Diese Personen werden im WDPA als „Verantwortliche“ bezeichnet. Wie andere umfassende Verbraucherschutzgesetze auf Bundesstaatsebene mit Ausnahme von Kalifornien sieht auch das WDPA keine Umsatzschwelle vor.

Wichtige Ausnahmen

Die WDPA sieht weitreichende Ausnahmen für bestimmte Einrichtungen und Informationen vor. Zu den Ausnahmen für Einrichtungen zählen staatliche und lokale Behörden, Finanzinstitute, die dem Gramm-Leach-Bliley Act (GLBA) unterliegen, Einrichtungen oder Geschäftspartner, die unter den HIPAA fallen, gemeinnützige Organisationen und Hochschuleinrichtungen.

Im Gegensatz zu Kalifornien sind auch Beschäftigungs- und Business-to-Business-Informationen vom WDPA ausgenommen. Weitere wichtige Ausnahmen sind öffentlich zugängliche Informationen, Informationen, die dem Fair Credit Reporting Act, dem Driver’s Privacy Protection Act, dem Family Educational Rights and Privacy Act, dem Farm Credit Act und dem Children’s Online Privacy Protection Act unterliegen. Die WDPA sieht auch eine Vielzahl von Ausnahmen im Gesundheitsbereich vor, darunter Informationen, die als geschützte Gesundheitsdaten (PHI) im Sinne des HIPAA, des Cures Act von 2021 oder anderer Bundes- oder Wisconsin-Gesetze zum Schutz von Gesundheitsdaten oder -unterlagen gelten, sowie bestimmte identifizierbare Patientendaten im Zusammenhang mit klinischer Forschung und Studien.

Verbraucherrechte

Die WDPA gewährt den Einwohnern von Wisconsin die folgenden Rechte in Bezug auf ihre personenbezogenen Daten:

• Recht auf Auskunft/Zugang. Verbraucher haben das Recht, zu bestätigen, ob ein Verantwortlicher die personenbezogenen Daten des Verbrauchers verarbeitet, und Zugang zu diesen personenbezogenen Daten zu erhalten, es sei denn, die Bestätigung würde den Verantwortlichen zur Offenlegung eines Geschäftsgeheimnisses verpflichten.
• Recht auf Datenübertragbarkeit. Verbraucher haben das Recht, eine Kopie ihrer personenbezogenen Daten in einem übertragbaren und leicht nutzbaren Format zu erhalten, damit die Daten an einen Dritten übermittelt werden können, wenn die Verarbeitung automatisiert erfolgt; der Verantwortliche ist jedoch nicht verpflichtet, Geschäftsgeheimnisse preiszugeben.
• Recht auf Berichtigung. Verbraucher haben das Recht, unrichtige personenbezogene Daten berichtigen zu lassen.
• Recht auf Löschung. Verbraucher haben das Recht, ihre personenbezogenen Daten löschen zu lassen.
• WiderspruchsrechtVerbraucher haben das Recht, der folgenden Verwendung ihrer personenbezogenen Daten zu widersprechen:
  • Verarbeitung ihrer personenbezogenen Daten zum Zwecke gezielter Werbung.
  • Verkauf ihrer personenbezogenen Daten gegen Geld.
  • Automatisierte Entscheidungsfindung, die rechtliche oder ähnlich bedeutende Auswirkungen auf den Verbraucher hat.

Die Kontrollstellen haben 45 Tage Zeit, um auf Verbraucheranfragen zu reagieren, mit der Option auf eine zusätzliche Verlängerung um 45 Tage, wenn dies angemessen erforderlich ist.

Geschäftliche Verpflichtungen

Die WDPA verpflichtet die für die Verarbeitung Verantwortlichen, bei der Verarbeitung personenbezogener Daten bestimmte Verpflichtungen wie folgt zu erfüllen:

• Einwilligung zur Verarbeitung sensibler Daten. Ein Verantwortlicher darf ohne die Einwilligung des Verbrauchers keine „sensiblen Daten” über einen Verbraucher verarbeiten. Gemäß dem WDPA umfassen „sensible Daten” personenbezogene Daten, die Aufschluss über die Rasse oder ethnische Zugehörigkeit, religiöse Überzeugungen, psychische oder physische Gesundheitsdiagnosen, sexuelle Orientierung oder Staatsangehörigkeit oder Einwanderungsstatus geben. Zu den sensiblen Daten gehören auch genetische oder biometrische Daten, personenbezogene Daten von Kindern, die bekanntermaßen jünger als 13 Jahre sind, sowie genaue Geolokalisierungsdaten innerhalb eines Radius von 1.750 Fuß.
• Datenverarbeitungsvereinbarungen. Die WDPA verpflichtet die für die Verarbeitung Verantwortlichen, mit jedem Auftragsverarbeiter, der personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet, eine Datenverarbeitungsvereinbarung (DPA) abzuschließen. Die DPA muss klare Anweisungen für die Verarbeitung der Daten, die Art und den Zweck der Verarbeitung, die Art der zu verarbeitenden Daten, die Dauer der Verarbeitung sowie die Rechte und Pflichten jeder Partei im Rahmen der Vereinbarung enthalten.
• Datenschutzbewertungen. Ein Verantwortlicher muss eine Datenschutzbewertung der folgenden Verarbeitungsaktivitäten durchführen und dokumentieren: die Verarbeitung personenbezogener Daten für gezielte Werbezwecke, der Verkauf personenbezogener Daten und die Verarbeitung personenbezogener Daten zum Zwecke der Profilerstellung (wenn die Profilerstellung ein vernünftigerweise vorhersehbares Risiko für den Verbraucher darstellt). Ein Verantwortlicher ist außerdem verpflichtet, die Vorteile jeder Verarbeitungsaktivität gegen die potenziellen Risiken für die Rechte der Verbraucher abzuwägen.
• Datenschutzerklärungen. Ein Verantwortlicher muss eine angemessen zugängliche, klare und aussagekräftige Datenschutzerklärung bereitstellen, die folgende Angaben enthält: die Kategorien der vom Verantwortlichen verarbeiteten personenbezogenen Daten, den Zweck der Verarbeitung personenbezogener Daten, wie Verbraucher ihre Rechte ausüben können und wie ein Verbraucher gegen die Entscheidung eines Verantwortlichen, einer Verbraucherrechtsanforderung nicht nachzukommen, Widerspruch einlegen kann, die Kategorien personenbezogener Daten, die der Verantwortliche an Dritte weitergibt, und die Kategorien von Dritten, an die der Verantwortliche personenbezogene Daten weitergibt. Die Datenschutzerklärung muss auch beschreiben, ob personenbezogene Daten an Dritte verkauft werden oder ob personenbezogene Daten für gezielte Werbung verarbeitet werden, und diese Verarbeitung sowie die Möglichkeiten für Verbraucher, ihr Recht auf Widerspruch gegen eine solche Verarbeitung auszuüben, klar und deutlich offenlegen. Schließlich muss die Datenschutzerklärung eine oder mehrere sichere und zuverlässige Möglichkeiten für Verbraucher beschreiben, Anträge auf Ausübung ihrer Rechte zu stellen.
• Sonstige Anforderungen/Verbote. Ein Verantwortlicher muss (i) die Erhebung personenbezogener Daten auf das beschränken, was für die offengelegten Zwecke, für die die Daten verarbeitet werden, angemessen, relevant und vernünftigerweise erforderlich ist; und (ii) angemessene administrative, technische und physische Datensicherheitsmaßnahmen zum Schutz der Vertraulichkeit, Integrität und Zugänglichkeit personenbezogener Daten festlegen, umsetzen und aufrechterhalten. Ein Verantwortlicher darf (i) personenbezogene Daten nicht für Zwecke verarbeiten, die für die angegebenen Zwecke nicht angemessen erforderlich sind, es sei denn, der Verantwortliche hat die Zustimmung des Verbrauchers erhalten; oder (ii) dem Verbraucher Waren oder Dienstleistungen verweigern, unterschiedliche Preise oder Tarife für Waren oder Dienstleistungen berechnen oder ihm eine andere Qualitätsstufe der Ware anbieten, weil der Verbraucher seine Rechte ausgeübt hat.

Vollstreckung

Wie geschrieben, enthält das WDPA keine private Klagebefugnis und wird vom Generalstaatsanwalt von Wisconsin durchgesetzt. Das WDPA sieht vor, dass jeder Verstoß durch einen Verantwortlichen mit einer Geldstrafe von bis zu 7.500 US-Dollar sowie der Erstattung der angemessenen Kosten des Generalstaatsanwalts geahndet werden kann.

Auswirkungen auf Unternehmen

Wisconsin gehört zu einer Handvoll anderer Bundesstaaten, die das bestehende Flickwerk von Verbraucherschutzgesetzen auf staatlicher Ebene ergänzen möchten. Obwohl das WDPA anderen umfassenden Verbraucherschutzgesetzen auf staatlicher Ebene sehr ähnlich ist, ist dies eine gute Gelegenheit für Unternehmen, die in Wisconsin tätig sind, ihre Datenprogramme zu überprüfen, um sicherzustellen, dass diese Anforderungen erfüllt werden. Unternehmen, die derzeit nicht anderen Verbraucherschutzgesetzen auf Bundesstaatsebene unterliegen, sollten überprüfen, ob sie die Schwellenwerte des WDPA (in der derzeit vorgeschlagenen Form) erfüllen, und wenn ja, sicherstellen, dass sie bereit sind, diese Anforderungen umgehend umzusetzen, sollte das WDPA verabschiedet werden.

Für weitere Informationen zur Einhaltung des WDPA oder anderer Verbraucherschutzgesetze wenden Sie sich bitte an einen der Partner oder Senior Counsel des Teams für Cybersicherheit und Datenschutz bei Foley & Lardner.

Der Autor bedankt sich herzlich für die Unterstützung von Lauren Hudon, Studentin an der Marquette University Law School und Rechtsreferendarin bei Foley & Lardner LLP.