Amerikaner haben wollte ein Bundesdatenschutzgesetz Jahrelang. Leider hat intensive Lobbyarbeit der Technologiebranche und die allgemeine Inkompetenz unserer Bundesgesetzgeber dafür gesorgt, dass ein solches Gesetz nie verabschiedet wurde. Zumindest bis jetzt.
Ja, im Jahr 2024 ist es möglich, dass wir endlich die Datenschutzbestimmungen bekommen, die wir uns wünschen. Amerikanischer Datenschutz-Rechtsakt, kürzlich von Cathy McMorris Rodgers (R-WA) und Maria Cantwell (D-WA) eingeführt, würde einen grundlegenden Schutz der digitalen Privatsphäre für Amerikaner schaffen. Das Gesetz würde bei Verabschiedung eine Reihe von Schutzmechanismen und Rechten für Verbraucher schaffen, darunter die Möglichkeit, auf von Unternehmen erfasste Informationen zugänglich sein, sie zu kontrollieren und zu löschen.
Das mag sich zwar gut anhören, doch es gibt einen Aspekt der Gesetzgebung, der den Verfechtern des Datenschutzes offenbar Sorgen bereitet. Das vorgeschlagene Gesetz würde potenziell stärkere, derzeit bestehende Schutzmaßnahmen auf Landesebene beseitigen. Obwohl Datenschutzgruppen hinsichtlich des Potenzials des APRA vorsichtig optimistisch bleiben, sind sie auch besorgt über die vorgeschlagene Präemption von Landesgesetzen. Auch wenn die derzeit vorgeschlagenen Regelungen stark erscheinen, steht der Gesetzgebungsprozess erst am Anfang und es ist nicht abzusehen, wie das Bundesgesetz nach einem sicherlich langen und kämpferischen politischen Entscheidungsprozess aussehen wird.
Hier ist ein kurzer Blick darauf, was die Gesetzgebung derzeit verspricht und was Datenschutzbeauftragte dazu sagen.
Das Recht auf Zugriff, Kontrolle und Löschung
Der American Privacy Rights Act würde einen umfassenden Schutz für die Daten der Amerikaner schaffen und den Verbrauchern die Möglichkeit geben, auf die von der Gesetzgebung abgedeckten Daten zuzugreifen, diese zu kontrollieren und zu löschen. Die Richtlinie würde allen Amerikanern die Befugnis geben, Informationen von Unternehmen anzufordern, die Daten über sie gesammelt haben. Unternehmen, die unter das Gesetz fallen, müssten den Anfragen der Verbraucher nachkommen. innerhalb „festgelegter Zeiträume“, heißt es in dem Gesetzentwurf. Der Gesetzentwurf lässt bestimmte Ausnahmen von diesen Auflagen zu, darunter kleine Unternehmen (definiert als Unternehmen mit „40.000.000 $ oder weniger Jahresumsatz“ oder die „die abgedeckten Daten von 200.000 oder weniger Personen erheben, verarbeiten, aufbewahren oder übermitteln“), sowie Regierungen und „Einrichtungen, die im Auftrag von Regierungen arbeiten“.
Datenminimierung
Der Gesetzentwurf würde auch etwas vorschreiben, das als „Datenminimierung“ bezeichnet wird. Die Idee dahinter ist, die Gesamtmenge an Informationen zu reduzieren, die Unternehmen über Webbenutzer sammeln können. Die Befürworter des Gesetzentwurfs sagen, dass Unternehmen, die unter die Gesetzgebung fallen, nicht in der Lage sein werden, „Daten über das hinaus zu sammeln, zu verarbeiten, aufzubewahren oder zu übertragen, was notwendig, verhältnismäßig oder begrenzt ist.“ um ein von einer Person angefordertes Produkt oder einen Dienst bereitzustellen oder aufrechtzuerhalten, oder um eine im Kontext der Beziehung vernünftigerweise erwartete Kommunikation oder einen zulässigen Zweck zu ermöglichen.“ Auch hier klingt das zwar gut, der Teufel steckt jedoch auch hier im Detail, und es ist noch nicht ganz klar, wie diese Art der Datenminimierung im wirklichen Leben aussehen würde.
Was sind abgedeckte Daten?
Der Gesetzentwurf definiert die vom Gesetz erfassten Daten wie folgt:
…Informationen, die eine Person oder ein Gerät identifizieren oder damit verknüpft sind oder vernünftigerweise mit einer Person oder einem Gerät verknüpft werden können. Nicht hierzu gehören deidentifizierte Daten, Mitarbeiterdaten, öffentlich verfügbare Informationen, Schlussfolgerungen aus mehreren Quellen öffentlich verfügbarer Informationen, die nicht der Definition sensibler geschützter Daten entsprechen und nicht mit geschützten Daten kombiniert sind, sowie Informationen in einer Bibliothek, einem Archiv oder einer Museumssammlung, die bestimmten Einschränkungen unterliegen.
Stärkung der FTC
Die Durchsetzung des Gesetzes würde sowohl auf Bundes- als auch auf Landesebene erfolgen. Insbesondere würde die Federal Trade Commission damit beauftragt, Vorschriften und technische Spezifikationen für einen „zentralisierten Mechanismus für Einzelpersonen zur Ausübung“ ihrer Opt-out-Rechte sowie andere technische Aspekte zu entwickeln. Klagen im Zusammenhang mit der Umsetzung der Gesetzgebung, heißt es in dem Gesetzentwurf. Gleichzeitig erteilt der Gesetzentwurf „Generalstaatsanwälten der Bundesstaaten, obersten Verbraucherschutzbeauftragten und anderen Beamten eines Bundesstaates vor Bundesbezirksgerichten“ die Befugnis, Vollstreckungsmaßnahmen gegen Unternehmen einzuleiten, die gegen das Gesetz verstoßen.
Die Datenbroker-Branche im Visier
Der Gesetzentwurf zielt auch auf Datenhändler ab. Nach der neuen Gesetzgebung wäre die FTC verpflichtet, ein Datenhändlerregister einzurichten, das von den Verbrauchern genutzt werden könnte, um zu erkennen, welche Unternehmen Händler sind, und um der Datenerfassung durch diese Firmen zu widersprechen. Alle Datenhändler, die Die Unternehmen, die Daten von mehr als 5.000 Personen erfassen, müssten sich jedes Jahr erneut beim Bundesregister registrieren. Gleichzeitig wären die Makler gezwungen, eigene Websites zu betreiben, auf denen sie als Datenmakler ausgewiesen sind und auf denen Verbraucher ein Tool zur Deaktivierung der Datennutzung finden.
Privatklagerecht
Ein langjähriger Wunsch der Datenschutzbeauftragten war Privatklagerecht— dabei handelt es sich um einen Mechanismus, der es einzelnen Verbrauchern ermöglicht, Unternehmen zu verklagen, die ihre Rechte verletzt haben. In zahlreichen Datenschutzgesetzen der Bundesstaaten ist dies nicht vorgesehen. Nach der aktuellen Fassung des APRA erhalten Verbraucher ein privates Klagerecht, das es ihnen ermöglicht, Klagen gegen Unternehmen einzureichen, die nachweislich ihre digitalen Datenschutzrechte verletzt haben.
Datenschutzbeauftragte bleiben vorsichtig optimistisch
Angesichts der jahrelangen Untätigkeit der Bundesregulierungsbehörden in Bezug auf den Datenschutz haben die Landesregierungen im letzten Jahrzehnt eine Reihe strenger Datenschutzgesetze verabschiedet. Einige dieser Gesetze, wie etwa das kalifornische CCPA, waren recht streng. Das neu vorgeschlagene Bundesgesetz gibt offen zu, dass es „den bestehenden Flickenteppich umfassender staatlicher Datenschutzgesetze“ beseitigen würde und an seiner Stelle „robuste Durchsetzungsmechanismen“ einzurichten, um die Gesetzesverletzer zur Verantwortung zu ziehen. Die Tatsache, dass das APRA Landesgesetze außer Kraft setzen würde, bereitet einigen Datenschutzaktivisten Sorgen, die ein abgeschwächtes Bundesgesetz befürchten. Die Tatsache, dass das APRA derzeit stark erscheint, bedeutet nicht viel, da es während des Gesetzgebungsprozesses leicht von Lobbyisten entschärft werden könnte.
Caitriona Fitzgerald, stellvertretende Direktorin des Electronic Privacy Information Center, sagte, dass die Vorwegnahme staatlicher Regulierung durch das Bundesgesetz nur dann angemessen sei, wenn es sich am Ende um ein starkes Gesetz handele. „Aus unserer Sicht – in einer idealen Welt – würde es staatliche Gesetze nicht vorwegnehmen, sondern es würde den Staaten ermöglichen, „Wir müssen strengere Gesetze verabschieden“, sagte Fitzgerald. „Wir erkennen an, dass ein Kompromiss notwendig ist und dass dies ein großer Knackpunkt ist. Wenn es Landesgesetze verdrängen soll, muss es strenger sein als bestehende Landesgesetze und Verordnungen. Wir prüfen den Gesetzentwurf noch um festzustellen, ob das der Fall ist.“
Andere Verfechter des Datenschutzes wie das Surveillance Technology Oversight Project (STOP) äußerten ähnliche Bedenken. „Das ADPPA bietet starken Datenschutz, insbesondere Regeln zur Minimierung von Daten“, sagt Will Owen, Kommunikationsdirektor von STOP. „Aber das Gesetz reicht nicht aus, da es den Bundesstaaten vorenthält und dadurch nicht möglich ist, selbst starke Maßnahmen zu ergreifen sollten sie dies en Wunsch tun. Am schlimmsten ist das ADPPA dass die Bundesstaaten daran hindert, Schutz durchzusetzen und dies allein der Exekutive der US-Regierung überlässt die Durchsetzung der Datenschutzrechte der Amerikaner seit unbeständig ist.“
Cody Venzke, leitender Politikberater der ACLU, sagte, seine Organisation sei weiterhin „besorgt, dass die weitgehende Präemption dieses Gesetzentwurfs gegenüber Landesgesetzen unsere Fähigkeit, auf die sich entwickelnden Herausforderungen der Technologie zu reagieren, einfrieren wird.“
