Kurze Antwort: Virginias Consumer Data Protection Act (VCDPA) ist ein umfassendes staatliches Datenschutzgesetz, das am 1. Januar 2023 in Kraft trat und Unternehmen, die bestimmte Umsatz- oder Datenverarbeitungsschwellenwerte erreichen, dazu verpflichtet, die Rechte der Verbraucher an personenbezogenen Daten zu respektieren. Unternehmen an der Ostküste, auch solche mit Hauptsitz außerhalb Virginias, müssen sich daran halten, wenn sie Virginia-Einwohner in großem Umfang bedienen. Ab dem 1. Juli 2026 wurde das Gesetz durch ein Verbot des Verkaufs präziser Geolokalisierungsdaten gemäß SB 338 weiter verschärft.
Wichtigste Erkenntnisse
- Der VCDPA gilt für jedes Unternehmen, das jährlich Daten von mehr als 100.000 Virginia-Verbrauchern kontrolliert oder verarbeitet, oder von mehr als 25.000 Verbrauchern, wenn 50 % oder mehr des Umsatzes aus dem Verkauf personenbezogener Daten stammen.
- Virginia-Verbraucher haben sechs Kernrechte: Zugang, Berichtigung, Löschung, Datenübertragbarkeit, Widerspruch gegen gezielte Werbung/Verkauf/Profiling und das Recht, gegen eine abgelehnte Anfrage Berufung einzulegen.
- Der Generalstaatsanwalt von Virginia besitzt die ausschließliche Durchsetzungsbefugnis; es gibt kein privates Klagerecht unter dem VCDPA.
- Zivilrechtliche Strafen können bis zu 7.500 US-Dollar pro vorsätzlichem Verstoß betragen, mit einer 30-tägigen Heilungsfrist (die nach dem 1. Januar 2026 ausläuft).
- Ab dem 1. Juli 2026 verbietet SB 338 den Verkauf präziser Geolokalisierungsdaten, was eine erhebliche neue Verpflichtung für Datenbroker und Ad-Tech-Unternehmen darstellt.
- Sensible Datenkategorien (biometrische Daten, Gesundheitsdaten, rassische/ethnische Herkunft, präzise Geolokalisierung usw.) erfordern eine explizite Opt-in-Zustimmung vor der Verarbeitung.
- Im Gegensatz zur DSGVO verlangt der VCDPA keine Rechtsgrundlage für die Verarbeitung allgemeiner personenbezogener Daten, aber er verlangt Datenschutz-Folgenabschätzungen für risikoreiche Aktivitäten.
- Kleine Unternehmen unterhalb der Schwellenwerte sind ausgenommen, aber diejenigen, die sensible Daten verarbeiten oder personenbezogene Daten verkaufen, sollten ihr Risiko sorgfältig prüfen.
- Eine Consent Management Platform wie Biscotti CMP kann die Handhabung von Opt-out-Signalen und die Aufzeichnung von Einwilligungen automatisieren.
- Datenschutzrichtlinien müssen die gesammelten Datenkategorien, Zwecke, die Weitergabe an Dritte und alle Verbraucherrechte gemäß VCDPA klar offenlegen.
Was ist der Virginia Consumer Data Protection Act und wie funktioniert er?
Der VCDPA ist Virginias umfassendes Verbraucherdatenschutzgesetz, kodifiziert in Titel 59.1, Kapitel 53 des Virginia Code, und trat am 1. Januar 2023 in Kraft [10]. Es etabliert einen Rahmen von Verbraucherrechten und entsprechenden Geschäftsverpflichtungen, der lose an die DSGVO der EU angelehnt ist, jedoch mit bemerkenswerten strukturellen Unterschieden, die auf einen US-amerikanischen kommerziellen Kontext zugeschnitten sind.
Das Gesetz arbeitet nach einem Verantwortlicher-Auftragsverarbeiter-Modell. Verantwortliche (Einheiten, die den Zweck und die Mittel der Verarbeitung bestimmen) tragen die primäre Compliance-Last. Auftragsverarbeiter (Anbieter, die Daten im Auftrag eines Verantwortlichen verarbeiten) müssen unter einem Datenverarbeitungsvertrag arbeiten und den dokumentierten Anweisungen des Verantwortlichen folgen [1].
Wichtige Mechanismen umfassen:
- Obligatorische Beantwortung von Verbraucherrechtsanfragen innerhalb von 45 Tagen (verlängerbar um weitere 45 Tage mit Benachrichtigung)
- Erforderliche Datenschutz-Folgenabschätzungen für Verarbeitungen, die ein erhöhtes Risiko darstellen
- Vertragliche Verpflichtungen zwischen Verantwortlichen und Auftragsverarbeitern
- Opt-in-Zustimmung für sensible Daten erforderlich; Opt-out-Rechte für gezielte Werbung und Datenverkäufe [8]
Wann tritt der VCDPA für Unternehmen in Kraft?
Der VCDPA trat am 1. Januar 2023 für alle betroffenen Unternehmen in Kraft [5]. Es gab keine gestaffelte Einführung nach Unternehmensgröße, anders als bei Kaliforniens CPRA. Wenn ein Unternehmen die Schwellenwerte an oder nach diesem Datum erfüllte, war die Einhaltung sofort erforderlich.
Die jüngste Änderung, SB 338, fügte ein Verbot des Verkaufs präziser Geolokalisierungsdaten hinzu, das am 1. Juli 2026 in Kraft tritt [2][3]. Dies bedeutet, dass Unternehmen, die Standortdaten monetarisieren, einschließlich Datenbrokern, Werbenetzwerken und Herausgebern mobiler Apps, die Virginia-Verbraucher bedienen, in diesem Jahr eine neue harte Frist hatten.
Wer muss die VCDPA-Anforderungen von Virginia erfüllen?
Der VCDPA gilt für gewinnorientierte Unternehmen, die in Virginia Geschäfte tätigen oder Produkte/Dienstleistungen anbieten, die auf Virginia-Einwohner abzielen und mindestens einen der beiden Schwellenwerte erfüllen [8][10]:
| Schwellenwert | Bedingung |
|---|---|
| Volumenbasiert | Kontrolle oder Verarbeitung von Daten von 100.000+ Virginia-Verbrauchern pro Kalenderjahr |
| Umsatzbasiert | Kontrolle oder Verarbeitung von Daten von 25.000+ Verbrauchern UND 50%+ des Bruttoumsatzes aus dem Verkauf personenbezogener Daten |
Ausgenommene Entitäten und Datentypen umfassen:
- Gemeinnützige Organisationen
- Hochschulen
- Finanzinstitute, die GLBA unterliegen
- HIPAA-regulierte Entitäten und Geschäftspartner (für HIPAA-regulierte Daten)
- Regierungsbehörden
- Mitarbeiter- und B2B-Kontaktdaten (im Kontext von Beschäftigung oder kommerziellen Transaktionen)
Das Gesetz erfordert keine physische Präsenz in Virginia. Ein E-Commerce-Unternehmen mit Sitz in New York, ein SaaS-Anbieter in Massachusetts oder eine Marketingagentur in Florida können alle in den Geltungsbereich fallen, wenn sie Virginia-Verbraucherdaten in der erforderlichen Menge verarbeiten [1].
Gilt der VCDPA für mein Unternehmen, wenn ich nicht in Virginia bin?
Ja, der geografische Standort des Unternehmens ist irrelevant. Der Geltungsbereich des VCDPA wird durch den Standort der Verbraucher bestimmt, nicht durch den Standort des Unternehmens [7]. Jedes Unternehmen an der Ostküste mit einem erheblichen Kundenstamm in Virginia sollte seine Datenmengen anhand der oben genannten Schwellenwerte bewerten.
Praktisches Beispiel: Ein in Baltimore ansässiger E-Commerce-Händler, der jährlich an 150.000 Kunden verkauft, von denen ein erheblicher Teil Einwohner Virginias sind, überschreitet wahrscheinlich die Schwelle von 100.000 Verbrauchern und muss sich daran halten.
Welche Daten schützt und deckt der VCDPA tatsächlich ab?
Der VCDPA deckt personenbezogene Daten ab, definiert als alle Informationen, die mit einer identifizierten oder identifizierbaren natürlichen Person verknüpft oder vernünftigerweise verknüpfbar sind [10]. Dies schließt de-identifizierte Daten und öffentlich zugängliche Informationen aus.
Sensible Daten sind eine eigenständige, höher geschützte Kategorie, die eine Opt-in-Zustimmung vor der Verarbeitung erfordert [8]:
- Rassische oder ethnische Herkunft
- Religiöse Überzeugungen
- Diagnosen psychischer oder physischer Gesundheit
- Sexuelle Orientierung oder Geschlechtsidentität
- Einwanderungsstatus
- Genetische oder biometrische Daten, die zur eindeutigen Identifizierung verarbeitet werden
- Persönliche Daten eines bekannten Kindes (unter 13 Jahren)
- Präzise Geolokalisierungsdaten (und ab dem 1. Juli 2026 dürfen solche Daten überhaupt nicht mehr verkauft werden) [2]

Was sind die Hauptpflichten für Unternehmen unter VCDPA?
Verantwortliche müssen sechs Kategorien von Pflichten gemäß Virginias VCDPA erfüllen: Was Unternehmen an der Ostküste über Datenschutz wissen müssen, beginnt hier in praktischer Hinsicht.
- Transparenz: Bereitstellung einer angemessen zugänglichen, klaren Datenschutzerklärung, die Datenkategorien, Verarbeitungszwecke, Weitergabe an Dritte und Verbraucherrechte offenlegt [7].
- Erfüllung von Verbraucherrechten: Beantwortung von Zugangs-, Berichtigungs-, Löschungs-, Portabilitäts- und Opt-out-Anfragen innerhalb von 45 Tagen.
- Zweckbindung: Erhebung nur von Daten, die für den offengelegten Zweck angemessen und relevant sind.
- Datensicherheit: Implementierung angemessener administrativer, technischer und physischer Schutzmaßnahmen.
- Nichtdiskriminierung: Verweigerung von Waren/Dienstleistungen oder unterschiedliche Preisgestaltung nicht allein aufgrund der Ausübung eines Datenschutzrechts durch einen Verbraucher.
- Datenschutz-Folgenabschätzungen: Durchführung und Dokumentation von Bewertungen für gezielte Werbung, Datenverkäufe, Verarbeitung sensibler Daten, Profiling mit rechtlichen/erheblichen Auswirkungen und bestimmte risikoreiche Aktivitäten [1][9].
Verantwortliche müssen auch universelle Opt-out-Mechanismen (wie browserbasierte Global Privacy Control-Signale) für gezielte Werbung und Datenverkäufe respektieren, eine Anforderung, die im Rahmen der Virginia-Änderungen schrittweise eingeführt wurde [6].
Welche Verbraucherrechte müssen Unternehmen unter VCDPA unterstützen?
Virginia-Verbraucher haben sechs durchsetzbare Rechte [8][10]:
- Recht auf Zugang: Bestätigung, ob ihre Daten verarbeitet werden, und Erhalt einer Kopie.
- Recht auf Berichtigung: Berichtigung von Ungenauigkeiten in ihren personenbezogenen Daten.
- Recht auf Löschung: Anforderung der Löschung von personenbezogenen Daten, die sie bereitgestellt oder über sie gesammelt wurden.
- Recht auf Datenübertragbarkeit: Erhalt einer portablen Kopie in einem leicht nutzbaren Format.
- Recht auf Widerspruch: Widerspruch gegen gezielte Werbung, den Verkauf personenbezogener Daten und Profiling für Entscheidungen mit rechtlichen oder erheblichen Auswirkungen.
- Recht auf Beschwerde: Wenn ein Unternehmen eine Anfrage ablehnt, können Verbraucher Beschwerde einlegen, und das Unternehmen muss innerhalb von 60 Tagen nach der Beschwerde antworten.
Unternehmen müssen mindestens zwei Methoden zur Einreichung von Anfragen bereitstellen (z. B. ein Webformular und eine gebührenfreie Nummer oder E-Mail-Adresse) [9].
Wie viel kosten VCDPA-Compliance-Verstöße an Bußgeldern und Strafen?
Der Generalstaatsanwalt von Virginia kann zivilrechtliche Strafen von bis zu 7.500 US-Dollar pro vorsätzlichem Verstoß und bis zu 2.500 US-Dollar pro unbeabsichtigtem Verstoß verhängen [8][10]. Strafen können auch Unterlassungsansprüche und Anwaltskosten umfassen.
Entscheidend ist, dass der VCDPA ursprünglich eine 30-tägige Heilungsfrist vorsah, in der Unternehmen Verstöße beheben konnten, bevor Strafen verhängt wurden. Diese Heilungsfrist ist jedoch am 1. Januar 2026 ausgelaufen, was bedeutet, dass der Generalstaatsanwalt nun nach eigenem Ermessen Durchsetzungsmaßnahmen ohne die Möglichkeit einer Heilung ergreifen kann [6].
Es gibt kein privates Klagerecht, sodass einzelne Verbraucher Unternehmen nicht direkt unter dem VCDPA verklagen können. Die Durchsetzung erfolgt ausschließlich durch das Büro des Generalstaatsanwalts.
Wie unterscheidet sich der VCDPA vom CCPA und was ist der Unterschied zur DSGVO für Unternehmen an der Ostküste?
Das Verständnis von Virginias VCDPA: Was Unternehmen an der Ostküste über Datenschutz wissen müssen, erfordert eine vergleichende Betrachtung.
| Merkmal | VCDPA | CCPA/CPRA | DSGVO |
|---|---|---|---|
| Privates Klagerecht | Nein | Begrenzt (Datenpannen) | Ja (Mitgliedstaaten variieren) |
| Opt-in für sensible Daten | Ja | Nein (Opt-out-Modell) | Ja |
| Heilungsfrist | Abgelaufen Jan 2026 | Abgelaufen Jan 2023 | Nicht zutreffend |
| Max. Strafe pro Verstoß | 7.500 $ | 7.500 $ | Bis zu 4 % des weltweiten Umsatzes |
| Datenschutz-Folgenabschätzungen | Erforderlich (hohes Risiko) | Erforderlich (hohes Risiko) | Erforderlich (DPIAs) |
| Rechtsgrundlage für die Verarbeitung | Nicht erforderlich (allgemeine Daten) | Nicht erforderlich | Erforderlich (6 Rechtsgrundlagen) |
Wichtigste Erkenntnis für Unternehmen an der Ostküste: Der VCDPA ist weniger belastend als die DSGVO in Bezug auf die Anforderungen an die Rechtsgrundlage, aber präskriptiver als der ursprüngliche CCPA in Bezug auf die Zustimmung zu sensiblen Daten. Unternehmen, die bereits DSGVO-konform sind, werden die Anpassung an den VCDPA als überschaubar empfinden; diejenigen, die nur mit dem CCPA vertraut sind, müssen ihre Arbeitsabläufe für sensible Daten anpassen.
Müssen kleine Unternehmen Virginias VCDPA einhalten?
Kleine Unternehmen unterhalb der Schwellenwerte von 100.000 Verbrauchern oder 25.000 Verbrauchern plus Umsatz sind nicht verpflichtet, den VCDPA einzuhalten [10]. Dies ist eine bedeutsame Ausnahme, die Virginias Gesetz von einigen internationalen Rahmenwerken unterscheidet.
"Klein" ist jedoch relativ. Ein Nischen-SaaS-Tool mit 110.000 kostenlosen Virginia-Nutzern überschreitet die Volumenschwelle unabhängig vom Umsatz. Unternehmen sollten:
- Jährlich die tatsächlichen Verbraucherdatenmengen prüfen
- Verfolgen, ob Datenverkäufe 50 % oder mehr des Umsatzes ausmachen
- Schwellenwerte neu bewerten, wenn das Geschäft skaliert
Auch ausgenommene Unternehmen profitieren davon, frühzeitig datenschutzfreundliche Praktiken zu etablieren, da die nachträgliche Anpassung an die Compliance stets teurer ist als ein proaktives Design.
Was sind häufige Fehler, die Unternehmen bei der VCDPA-Compliance machen?
1. Falsche Klassifizierung von Auftragsverarbeitern als Verantwortliche (oder umgekehrt). Anbieter, die eigenständige Entscheidungen über die Datennutzung treffen, sind Verantwortliche, keine Auftragsverarbeiter. Eine falsche Klassifizierung führt zu unzureichenden vertraglichen Schutzmaßnahmen und unberücksichtigten Pflichten.
2. Ignorieren universeller Opt-out-Signale. Viele Unternehmen haben Opt-out-Workflows nur für manuelle Anfragen erstellt und die Anforderung übersehen, browserbasierte Signale wie Global Privacy Control zu respektieren [6].
3. Versäumnis, Datenverarbeitungsverträge zu aktualisieren. Der VCDPA erfordert spezifische vertragliche Bestimmungen zwischen Verantwortlichen und Auftragsverarbeitern. Generische Anbieterverträge fehlen diese oft [1].
4. Behandlung sensibler Daten wie allgemeine personenbezogene Daten. Die Verarbeitung biometrischer, gesundheitsbezogener oder präziser Geolokalisierungsdaten ohne Opt-in-Zustimmung ist ein eigenständiger Verstoß, nicht nur eine prozedurale Lücke.
5. Annahme, dass die Heilungsfrist noch gilt. Da die Heilungsfrist im Januar 2026 abgelaufen ist, können sich Unternehmen nicht mehr auf ein Korrekturfenster vor Durchsetzungsmaßnahmen verlassen [6].
6. Auslassen des Beschwerdemechanismus. Vielen Datenschutzrichtlinien und Anfrage-Workflows fehlt ein dokumentierter Beschwerdeprozess, der ein erforderliches Element unter dem VCDPA ist [9].
Wie prüfe ich mein Unternehmen auf VCDPA-Bereitschaft?
Ein VCDPA-Bereitschaftsaudit sollte fünf Bereiche abdecken:
- Schwellenwertbewertung: Abbildung aller Virginia-Verbraucherdatenflüsse und Berechnung der jährlichen Verarbeitungsvolumina anhand der gesetzlichen Schwellenwerte.
- Dateninventar: Katalogisierung aller gesammelten Kategorien personenbezogener Daten, ihrer Quellen, Zwecke, Aufbewahrungsfristen und Empfänger Dritter.
- Überprüfung sensibler Daten: Identifizierung aller sensiblen Datenkategorien und Bestätigung, dass Opt-in-Zustimmungsmechanismen vorhanden sind.
- Rechte-Infrastruktur: End-to-End-Test aller sechs Verbraucherrechte-Workflows, einschließlich des Beschwerdeprozesses.
- Anbieterverträge: Überprüfung aller Auftragsverarbeiterverträge auf VCDPA-erforderliche Bestimmungen (Verarbeitungsanweisungen, Vertraulichkeit, Subunternehmerkontrollen, Prüfrechte) [7].
Für Unternehmen, die die Einwilligung über mehrere digitale Kontaktpunkte hinweg verwalten, kann eine Consent Management Platform wie Biscotti CMP die Handhabung von Opt-out-Signalen zentralisieren und überprüfbare Einwilligungsaufzeichnungen führen, um sowohl VCDPA- als auch Multi-State-Compliance-Programme zu unterstützen.
Was sollte meine Datenschutzerklärung enthalten, um VCDPA-konform zu sein?
Eine VCDPA-konforme Datenschutzerklärung muss offenlegen [8][9]:
- Die verarbeiteten Kategorien personenbezogener Daten
- Den Zweck der Verarbeitung jeder Kategorie
- Wie Verbraucher ihre sechs Rechte ausüben können, einschließlich des Beschwerdeprozesses
- Ob personenbezogene Daten verkauft oder für gezielte Werbung verwendet werden (mit Opt-out-Anweisungen)
- Die Kategorien von Dritten, mit denen Daten geteilt werden
- Kontaktinformationen zur Einreichung von Anfragen (mindestens zwei Methoden)
- Wenn sensible Daten verarbeitet werden, die Grundlage dafür (Opt-in-Zustimmung)
Richtlinien sollten in einfacher Sprache verfasst, angemessen zugänglich (prominent auf Websites und Apps verlinkt) und bei wesentlichen Änderungen der Datenpraktiken aktualisiert werden.
Fazit und umsetzbare nächste Schritte
Virginias VCDPA stellt einen der substanziellsten staatlichen Datenschutzrahmen in den Vereinigten Staaten dar, und die Ergänzung eines Verbots des Verkaufs präziser Geolokalisierungsdaten im Juli 2026 signalisiert, dass die Legislative Virginias beabsichtigt, ihn weiter zu stärken. Für Unternehmen an der Ostküste bedeutet die extraterritoriale Reichweite des Gesetzes, dass die Geografie keine Verteidigung ist; Datenvolumen und Verarbeitungszweck bestimmen das Risiko.
Umsetzbare Schritte für 2026:
- Führen Sie vor Jahresende eine Schwellenwertanalyse Ihrer aktuellen Virginia-Verbraucherdatenmengen durch.
- Überprüfen Sie alle Workflows für sensible Daten, insbesondere solche, die präzise Geolokalisierungs-, biometrische oder Gesundheitsdaten betreffen, auf Einhaltung der Opt-in-Zustimmung.
- Bestätigen Sie, dass Ihre Datenschutzerklärung alle sechs Verbraucherrechte und einen dokumentierten Beschwerdemechanismus enthält.
- Überprüfen Sie Auftragsverarbeiterverträge auf VCDPA-erforderliche vertragliche Bestimmungen.
- Implementieren oder überprüfen Sie die Handhabung universeller Opt-out-Signale (Global Privacy Control) auf Ihren digitalen Eigenschaften.
- Erwägen Sie eine Consent Management Solution wie Biscotti CMP, um die Einholung von Einwilligungen, die Verarbeitung von Opt-out-Signalen und die Compliance-Dokumentation zu automatisieren.
- Planen Sie jährliche Neubewertungen der Schwellenwerte, wenn Ihr Unternehmen skaliert.
Die Heilungsfrist ist abgelaufen. Die Durchsetzung ist aktiv. Unternehmen, die die VCDPA-Compliance als einmaliges Abhaken statt als fortlaufende operative Disziplin behandeln, tragen das größte Risiko.
FAQ
F: Gilt der VCDPA für gemeinnützige Organisationen? Nein. Gemeinnützige Organisationen sind ausdrücklich von den Anforderungen des VCDPA ausgenommen [10].
F: Kann ein Virginia-Verbraucher mein Unternehmen direkt unter dem VCDPA verklagen? Nein. Der VCDPA hat kein privates Klagerecht. Nur der Generalstaatsanwalt von Virginia kann Durchsetzungsmaßnahmen einleiten [8].
F: Wie lange ist die Frist zur Beantwortung einer Verbraucherrechtsanfrage? Unternehmen müssen innerhalb von 45 Tagen nach Erhalt einer überprüfbaren Anfrage antworten. Eine einmalige Verlängerung um 45 Tage ist zulässig, wenn das Unternehmen den Verbraucher über die Verzögerung und den Grund informiert [9].
F: Sind Mitarbeiterdaten vom VCDPA abgedeckt? Mitarbeiterdaten, die im Rahmen eines Arbeitsverhältnisses verarbeitet werden, sind unter dem VCDPA ausgenommen. Diese Ausnahme ist jedoch eng auszulegen und deckt nicht alle HR-nahen Datennutzungen ab [1].
F: Was zählt unter dem VCDPA als "Verkauf" personenbezogener Daten? Der VCDPA definiert "Verkauf" als den Austausch personenbezogener Daten gegen monetäre Gegenleistung. Im Gegensatz zum CCPA erstreckt er sich nicht auf nicht-monetäre wertvolle Gegenleistungen, was eine bedeutsame Unterscheidung für Ad-Tech-Vereinbarungen ist [5].
F: Benötige ich unter dem VCDPA einen Datenschutzbeauftragten? Nein. Der VCDPA verlangt im Gegensatz zur DSGVO keine Ernennung eines Datenschutzbeauftragten [7].
F: Was hat sich mit SB 338 im Jahr 2026 geändert? SB 338, gültig ab dem 1. Juli 2026, verbietet den Verkauf präziser Geolokalisierungsdaten und fügt eine neue kategorische Beschränkung hinzu, die über den allgemeinen Opt-out-Rahmen hinausgeht, der solche Daten zuvor regelte [2][3].
F: Wie definiert der VCDPA "präzise Geolokalisierung"? Präzise Geolokalisierung bedeutet Daten, die aus Technologien stammen, die den Standort eines Verbrauchers innerhalb eines Radius von 1.750 Fuß oder weniger identifizieren [10].
F: Sind Datenschutz-Folgenabschätzungen für alle Verarbeitungsaktivitäten erforderlich? Nein. Bewertungen sind nur für risikoreiche Verarbeitungen erforderlich: gezielte Werbung, Datenverkäufe, Verarbeitung sensibler Daten, Profiling mit rechtlichen/erheblichen Auswirkungen und Verarbeitungen, die ein erhöhtes Schadensrisiko darstellen [1][9].
F: Was passiert, wenn ein Verbraucher gegen eine abgelehnte Anfrage Berufung einlegt? Das Unternehmen muss die Überprüfung der Berufung innerhalb von 60 Tagen abschließen und den Verbraucher über das Ergebnis informieren. Wird die Berufung abgelehnt, muss das Unternehmen Informationen darüber bereitstellen, wie der Verbraucher den Generalstaatsanwalt kontaktieren kann [8].
Interaktiver VCDPA Compliance Schwellenwert-Checker
Referenzen
[1] Virginia Consumer Data Protection Act Guide - https://privacylawmap.com/blog/virginia-consumer-data-protection-act-guide
[2] Virginia Expands VCDPA With Ban On Sale of Precise Geolocation Data - https://www.jdsupra.com/legalnews/virginia-expands-vcdpa-with-ban-on-sale-7091146/
[3] VCDPA Amended - https://www.cblaw.com/vcdpa-amended
[4] Virginia CDPA - https://clearlaunch.dev/cs/regulations/virginia-cdpa
[5] Virginia Consumer Data Protection Act (VCDPA) - https://pro.bloomberglaw.com/insights/privacy/virginia-consumer-data-protection-act-vcdpa/
[6] VCDPA Amendment Process Complete: Text Finalized Ahead of Jan 1 Effective Date - https://iapp.org/news/a/vcdpa-amendment-process-complete-text-finalized-ahead-of-jan-1-effective-date
[7] Consumer Data Privacy Law Guide: Virginia - https://www.bakerdonelson.com/consumer-data-privacy-law-guide-virginia
[8] Virginia Consumer Data Protection Act Summary - https://www.oag.state.va.us/consumer-protection/files/tips-and-info/Virginia-Consumer-Data-Protection-Act-Summary-2-2-23.pdf
[9] VCDPA Overview - https://termly.io/resources/articles/vcdpa/
[10] Virginia Code Title 59.1, Chapter 53 - https://law.lis.virginia.gov/vacodefull/title59.1/chapter53/