New Jersey verabschiedet umfassendes Datenschutzgesetz und führt damit die Welle der staatlichen Datenschutzgesetze für 2024 an

Am 16. Januar 2024 unterzeichnete Phil Murphy, Gouverneur von New Jersey, den Senatsentwurf (SB) 332, mit dem das Verbraucherdatenschutzgesetz von New Jersey, der New Jersey Data Privacy Act (NJDPA), verabschiedet wurde, das am 15. Januar 2025 in Kraft treten wird. Mit diesem Gesetz ist New Jersey der erste Bundesstaat, der 2024 ein umfassendes Datenschutzgesetz einführt, und reiht sich damit in die Liste von 13 anderen Bundesstaaten mit ähnlichen Gesetzen ein. Da die Gesetzgebung auf Bundesebene auf absehbare Zeit ins Stocken geraten ist, symbolisiert das NJDPA die zunehmende nationale Konzentration auf die Stärkung des Schutzes personenbezogener Daten von Verbrauchern auf Bundesstaatsebene.

Obwohl die NJDPA viele Ähnlichkeiten mit anderen umfassenden Datenschutzgesetzen auf Bundesstaatsebene aufweist, wie beispielsweise dem California Privacy Rights Act (CPRA), dem Colorado Privacy Act (CPA) und dem Virginia Consumer Data Protection Act (CDPA), gibt es auch erhebliche Unterschiede. Daher reicht die Einhaltung bestehender Datenschutzgesetze für Verbraucher möglicherweise nicht aus, um die Anforderungen der NJDPA zu erfüllen, und Unternehmen müssen sicherstellen, dass sie die spezifischen Anforderungen und Ansätze jedes einzelnen Bundesstaates einhalten.

Anwendbarkeit und Ausnahmen

Kriterien für die Anwendbarkeit

Die NJDPA gilt für alle Unternehmen (Verantwortliche), die „in New Jersey geschäftlich tätig sind oder Produkte oder Dienstleistungen für Einwohner von New Jersey herstellen“ und während eines Kalenderjahres einen der folgenden Schwellenwerte erreichen:

• Kontrolliert oder verarbeitet die personenbezogenen Daten von 100.000 oder mehr Verbrauchern in New Jersey (mit Ausnahme von Daten, die ausschließlich zum Zweck der Abwicklung einer Zahlung kontrolliert oder verarbeitet werden) oder
• Verarbeitet oder kontrolliert die personenbezogenen Daten von 25.000 oder mehr Verbrauchern aus New Jersey und erzielt Einnahmen oder erhält einen Preisnachlass auf Waren oder Dienstleistungen aus dem Verkauf personenbezogener Daten.

Insbesondere sieht die NJDPA, ähnlich wie die CPA in Colorado, keine Umsatzschwelle für den Prozentsatz des Umsatzes vor, den ein Unternehmen aus dem Verkauf von Daten erzielen muss. Die meisten anderen aktuellen Datenschutzgesetze der Bundesstaaten gelten in der Regel nur, wenn das Unternehmen zwischen 25 % und 50 % seines Jahresumsatzes aus dem Verkauf personenbezogener Daten erzielt. Darüber hinaus beinhaltet die Anwendbarkeit gemäß NJDPA keine Form einer Umsatzschwelle, was bedeutet, dass Unternehmen mit minimaler Verarbeitung personenbezogener Daten möglicherweise nicht unter das Gesetz fallen, selbst wenn sie hohe Umsätze erzielen.

Personenbezogene Daten

Das NJDPA gilt für die Verarbeitung von „personenbezogenen Daten“ durch Unternehmen oder „Verantwortliche“, definiert als „Informationen, die mit einer identifizierten oder identifizierbaren Person in Verbindung stehen oder vernünftigerweise in Verbindung gebracht werden können“. Personenbezogene Daten schließen explizit anonymisierte Daten und öffentlich zugängliche Daten aus.

Verbraucherdaten vs. kommerzielle Daten

Wichtig ist, dass die NJDPA eine klare Grenze zwischen Verbraucherdaten und Beschäftigungs- oder Geschäftsdaten zieht. Die NJDPA gilt nur für Informationen über „Verbraucher”, die als Einwohner von New Jersey definiert sind, die ausschließlich in einem individuellen oder häuslichen Kontext handeln. Somit gilt die NJDPA, wie die meisten Datenschutzgesetze der Bundesstaaten mit Ausnahme des CPRA in Kalifornien, nicht für Informationen über Personen, die in einem geschäftlichen oder beschäftigungsbezogenen Kontext handeln – einschließlich als Bewerber um eine Stelle oder als Begünstigter einer anderen Person, die im Beschäftigungskontext handelt.

Ausnahmen

Das NJDPA enthält viele mittlerweile gängige Ausnahmen, darunter staatliche Behörden und Daten, die dem Health Insurance Portability and Accountability Act (HIPAA), dem Gramm-Leach-Bliley Act (GLBA) und dem Fair Credit Reporting Act (FCRA) unterliegen. Das NJDPA enthält jedoch keine Ausnahmeregelung für HIPAA-regulierte Einrichtungen oder für Daten, die von gemeinnützigen Organisationen oder Hochschulen verarbeitet werden (oder Bildungsdaten, die dem FERPA unterliegen).

Darüber hinaus schließt die Definition von personenbezogenen Daten im NJDPA, wie oben erwähnt, explizit anonymisierte und öffentlich zugängliche Daten aus. Der Ansatz des NJDPA in Bezug auf anonymisierte Daten ähnelt dem des CDPA von Virginia, wonach der Verantwortliche sich „öffentlich verpflichten“ muss, die Daten anonymisiert zu halten, und alle Empfänger der Daten vertraglich dazu verpflichten muss, dies ebenfalls zu tun. Daher müssen Unternehmen, die der NJDPA unterliegen, möglicherweise Verträge über die Weitergabe anonymisierter Daten überprüfen und überarbeiten. Die Definition der NJDPA für „öffentlich zugängliche Informationen“ ist ebenfalls weiter gefasst als Gesetze wie die CPRA und umfasst nicht nur Informationen, die rechtmäßig aus staatlichen Aufzeichnungen zugänglich gemacht wurden, sondern auch Informationen, bei denen der Verantwortliche Grund zu der Annahme hat, dass der Verbraucher sie rechtmäßig der Öffentlichkeit zugänglich gemacht hat.

Geschäftliche Verpflichtungen

Das NJDPA erlegt den Verantwortlichen für personenbezogene Daten mehrere Pflichten auf. Diese Pflichten sollen sicherstellen, dass Unternehmen verantwortungsbewusst und transparent mit personenbezogenen Daten umgehen.

Transparenz

Ähnlich wie bei anderen Datenschutzgesetzen für Verbraucher müssen die für die Verarbeitung Verantwortlichen den Verbrauchern eine Datenschutzerklärung zur Verfügung stellen, die leicht zugänglich, klar und aussagekräftig ist. Die Datenschutzerklärung muss folgende Informationen enthalten:

– Kategorien der verarbeiteten personenbezogenen Daten.

– Zwecke der Verarbeitung personenbezogener Daten.

– Kategorien von Dritten, an die Daten weitergegeben werden.

– Wie Verbraucher ihre gesetzlichen Rechte ausüben können (siehe Verbraucherrechte unten).

– Methoden zur Benachrichtigung der Verbraucher über wesentliche Änderungen der Datenschutzerklärung.

– Eine aktive elektronische Kontaktmethode für Anfragen.

Wenn ein Verantwortlicher personenbezogene Daten an Dritte verkauft oder personenbezogene Daten für gezielte Werbung oder Profiling-Zwecke verarbeitet, muss die Datenschutzerklärung solche Verkäufe oder Verarbeitungen klar und deutlich offenlegen. Außerdem muss sie die Methode erläutern, mit der ein Verbraucher sich gegen einen solchen Verkauf oder eine solche Verarbeitung entscheiden kann. Verantwortlichen ist es untersagt, einen Verbraucher zu diskriminieren, weil er sich gegen die Verarbeitung zum Zwecke des Verkaufs, der gezielten Werbung oder des Profilings entschieden hat.

Universeller Opt-Out-Mechanismus

Sechs Monate nach Inkrafttreten des NJDPA müssen alle Verantwortlichen, die personenbezogene Daten für gezielte Werbung, den Verkauf personenbezogener Daten oder Profiling verarbeiten, den Verbrauchern die Möglichkeit geben, sich über einen vom Nutzer gewählten universellen Opt-out-Mechanismus von einer solchen Verarbeitung abzumelden. Kalifornien und Colorado haben bereits die Verwendung des Browser-Signals „General Privacy Control“ (GPC) für diesen Zweck genehmigt.

Einholung der Einwilligung für bestimmte Verarbeitungen

Verantwortliche müssen vor der Verarbeitung sensibler Daten eine ausdrückliche Einwilligung (über ein Opt-in) einholen. Dazu gehören Finanzinformationen (einschließlich der Kontonummer, der Kontoanmeldedaten, des Finanzkontos oder der Kredit- oder Debitkartennummer eines Verbrauchers in Kombination mit allen erforderlichen Sicherheitscodes, Zugangscodes oder Passwörtern, die den Zugriff auf das Finanzkonto eines Verbrauchers ermöglichen); Informationen, die Aufschluss über die rassische oder ethnische Herkunft, religiöse Überzeugungen, den geistigen oder körperlichen Gesundheitszustand, Behandlungen oder Diagnosen geben; Informationen über das Sexualleben oder die sexuelle Orientierung; Informationen über die Staatsangehörigkeit oder den Einwanderungsstatus; Informationen über den Status als Transgender oder nicht-binäre Person; genetische oder biometrische Daten, die zum Zweck der eindeutigen Identifizierung einer Person verarbeitet werden können; oder präzise Geolokalisierungsdaten.

Verantwortliche müssen außerdem vor der Verarbeitung personenbezogener Daten von (i) Minderjährigen unter 13 Jahren (und müssen die Daten gemäß dem Bundesgesetz zum Schutz der Privatsphäre von Kindern im Internet (COPPA) verarbeiten) und (ii) Minderjährigen im Alter von 13 bis 16 Jahren für Zwecke der gezielten Werbung, des Verkaufs der personenbezogenen Daten des Verbrauchers oder der Profilerstellung zur Förderung von Entscheidungen, die rechtliche oder ähnlich bedeutende Auswirkungen auf einen Verbraucher haben, eine Einwilligung einholen.

Datenschutzbewertung

Die NJDPA (ähnlich wie die Colorado CPA) verbietet Verantwortlichen die Verarbeitung von Daten, die ein „erhöhtes Schadensrisiko“ für Verbraucher darstellen, ohne zuvor eine Datenschutzbewertung durchzuführen und zu dokumentieren. Der Begriff „erhöhtes Schadensrisiko“ ist definiert als:

• Verarbeitung personenbezogener Daten zu Profiling- oder gezielten Werbezwecken
• Der „Verkauf“ personenbezogener Daten
• Verarbeitung „sensibler Daten“
• Verarbeitung personenbezogener Daten für die Profilerstellung, wenn diese Profilerstellung ein vernünftigerweise vorhersehbares Risiko darstellt:
  • Unfaire oder irreführende Behandlung von Verbrauchern oder unrechtmäßige Ungleichbehandlung von Verbrauchern
  • Finanzielle oder körperliche Schäden für Verbraucher
  • Eine physische oder sonstige Beeinträchtigung der Privatsphäre oder Abgeschiedenheit oder der privaten Angelegenheiten oder Belange von Verbrauchern, wenn diese Beeinträchtigung für eine vernünftige Person beleidigend wäre.
  • Sonstige erhebliche Schäden für Verbraucher.

Verträge mit Verarbeitern

Ähnlich wie bei anderen Datenschutzgesetzen für Verbraucher müssen die für die Verarbeitung Verantwortlichen Verträge mit bestimmten Bedingungen mit den Auftragsverarbeitern abschließen, die den Verpflichtungen des NJDPA entsprechen.

Verbraucherrechte

Ähnlich wie andere Verbraucherdatenschutzgesetze gewährt das NJDPA Verbrauchern das Recht, zu überprüfen, ob ein Unternehmen ihre personenbezogenen Daten verarbeitet, auf ihre personenbezogenen Daten zuzugreifen, Ungenauigkeiten in ihren personenbezogenen Daten zu korrigieren, personenbezogene Daten löschen zu lassen und ihre personenbezogenen Daten zweimal pro Jahr in einem übertragbaren Format zu erhalten. Verbraucher haben das Recht, der Verarbeitung ihrer personenbezogenen Daten für folgende Zwecke zu widersprechen: (a) gezielte Werbung, (b) Verkauf personenbezogener Daten oder (c) Profiling zur Förderung von Entscheidungen, die rechtliche oder ähnlich bedeutende Auswirkungen auf sie haben.

Verantwortliche müssen innerhalb von 45 Tagen nach Erhalt einer Anfrage zu Verbraucherrechten antworten, wobei unter bestimmten Umständen eine Verlängerung um weitere 45 Tage zulässig ist. Verantwortliche sind außerdem verpflichtet, einmal pro Jahr kostenlos zu antworten und die angeforderten Informationen bereitzustellen, können jedoch für weitere Anfragen innerhalb eines Zeitraums von 12 Monaten eine Gebühr erheben.

Vollstreckung

Die NJDPA sieht kein privates Klagerecht für Verbraucher vor. Stattdessen wird die NJDPA, wie viele andere staatliche Verbraucherdatenschutzgesetze auch, ausschließlich vom Generalstaatsanwalt von New Jersey durchgesetzt. In den ersten 18 Monaten nach Inkrafttreten des Gesetzes haben die Verantwortlichen eine 30-tägige Frist, um etwaige Verstöße zu beheben. Wenn der Verantwortliche einen Verstoß nicht innerhalb dieser Frist behebt, kann der Generalstaatsanwalt eine Vollstreckungsmaßnahme einleiten.

Die Abteilung für Verbraucherangelegenheiten kann Vorschriften zur Umsetzung des NJDPA erlassen.

Geldstrafen

Das NJDPA sieht keine gesetzlichen Geldstrafen vor. Ein Verstoß gegen das NJDPA stellt jedoch einen Verstoß gegen das New Jersey Consumer Fraud Act dar, der mit Geldstrafen von bis zu 10.000 US-Dollar für den ersten Verstoß und bis zu 20.000 US-Dollar für weitere Verstöße geahndet werden kann.

Auswirkungen auf Unternehmen

Das NJDPA ist das erste von vielen Gesetzen, die voraussichtlich 2024 zu dem wachsenden Flickenteppich sektorspezifischer und bundesstaatsspezifischer Datenschutzgesetze hinzukommen werden. Daher ist es für Unternehmen, die möglicherweise den neuen Gesetzen unterliegen, von entscheidender Bedeutung, proaktive Maßnahmen zu ergreifen, um die Einhaltung der Vorschriften sicherzustellen. Für Unternehmen, die bereits die geltenden Datenschutzgesetze für Verbraucher wie den CPRA in Kalifornien, den CPA in Colorado oder den CDPA in Virginia einhalten oder derzeit daran arbeiten, diese einzuhalten, wird es wahrscheinlich erhebliche Überschneidungen zwischen diesen Bemühungen und den gemäß diesen Gesetzen verabschiedeten Richtlinien und Verfahren geben. Unternehmen, die bisher nicht anderen ähnlichen Datenschutzgesetzen unterlagen, müssen jedoch wahrscheinlich erhebliche Ressourcen aufwenden, um die Einhaltung der Vorschriften zu gewährleisten. Daher sollten Unternehmen die folgenden Maßnahmen priorisieren, um die Einhaltung der Vorschriften sicherzustellen und die damit verbundene Belastung in Zukunft zu verringern:

• Führen Sie eine Datenkartierung durch, um zu verstehen, welche Arten von Daten das Unternehmen verarbeitet und speichert, zu welchen Zwecken die Daten verwendet werden und ob alle Daten benötigt werden.
• Führen Sie eine Datenschutz-Folgenabschätzung durch.
• Beginnen Sie die Zusammenarbeit mit unabhängigen Cybersicherheits-Audit-Unternehmen für die Verarbeitung von „erhöhtem Schadensrisiko“.
• Aktualisieren Sie Richtlinien und Verfahren, um den neuen Anforderungen und Verpflichtungen des NJDPA zu entsprechen.
• Beginnen Sie mit der Entwicklung von Geschäftsprozessen, damit Verbraucher ihre neuen Rechte ausüben können.
• Stellen Sie sicher, dass die Organisation über eine angemessen zugängliche, klare und aussagekräftige Datenschutzerklärung verfügt, die den Anforderungen des NJDPA entspricht.
• Überprüfen Sie die Geschäftsbeziehungen zu externen Datenverarbeitern, um die Rolle jeder Partei und mögliche Anforderungen zu verstehen.

Für weitere Informationen zum New Jersey Data Privacy Act und seinen Anforderungen oder für Unterstützung bei der Einhaltung wenden Sie sich bitte an einen der Autoren oder einen der Partner oder Senior Counsel im Bereich Cybersicherheit und Datenschutz von Foley.