US-Konzerne fordern Datenschutzgesetz – aber bitte zahnlos

Inhaltsverzeichnis

51 große US-Konzerne fordern ein einheitliches Verbraucher-Datenschutzgesetz für die gesamten USA. Bisher gibt es das in dem Land nur für Personen jünger als 13. Seit den US-Wahlen des Vorjahres ist eine neue Politiker-Generation am Ruder, die in mehreren US-Staaten Datenschutzgesetze auf den Weg gebracht hat. Die Konzerne wollen sich aber nicht mit über 50 verschiedenen Gesetzen und Behörden herumschlagen. Daher fordern sie ein Bundesgesetz ohne Anspruch auf gerichtliche Durchsetzung.

Das geht aus einem Dienstag veröffentlichten Brief der 51 Konzernchefs an die Repräsentanten und Senatoren des US Congress hervor. Die Verfasser sorgen sich um das Vertrauen ihrer Kunden und drängen den Gesetzgeber zur Eile. Dabei umreißen sie problematische Aspekte der aktuellen Situation: "Wir können und sollen von Verbrauchern nicht erwarten, dass sie die Regeln verstehen, die sich abhängig davon ändern können, in welchem Staat sie wohnen, in welchem Staat sie ins Internet gehen und in welchem Staat der (Unternehmer) sitzt", schreiben die Konzerne.

Außerdem bedrohe die Zersplitterung in Staaten-Gesetze die "Innovation und globale Wettbewerbsfähigkeit" der USA. Zu den Unterzeichnern des Schreibens zählen neben Netzbetreibern, Geldinstituten und Kfz-Herstellern auch Unternehmen wie Amazon.com, Dell, Harman, IBM, Motorola Solutions, Qualcomm, Salesforce und SAP. Sie stecken auch gleich einen Rahmen ab, der "Framework for Consumer Privacy Legislation" heißt.

Aber bitte mit Sahne

Dieses Framework spiegelt klar die Interessen der Konzerne wider. Die USA sollen als Vorreiter für Datenschutz dargestellt werden, um das Vertrauen der Verbraucher zurückzugewinnen. Einheitliche Regeln innerhalb der USA über alle Branchen hinweg sollen die Kosten senken, für kleine Unternehmen soll es zusätzliche Ausnahmen geben. Staaten und Kommunen sollen keine Datenschutzregeln mehr erlassen können. Gefordert wird auch, dass Daten friktionsfrei über internationale Grenzen fließen dürfen.

In der allerletzten Zeile des Dokuments wird ihm der Zahn gezogen: Betroffene sollen ausdrücklich kein Recht haben, bei Datenschutzverletzungen zu Gericht zu gehen. Damit entfällt die Möglichkeit, Schadenersatz zu erstreiten. Für die Durchsetzung des gewünschten Verbraucher-Datenschutzgesetzes soll vielmehr die Handelsbehörde FTC zuständig sein. Zudem dürften die Justizminister der einzelnen US-Staaten klagen, jeweils für Einwohner ihres Staates.

FTC statuiert vereinzelt Exempel

Die FTC ist ein politisch besetztes Gremium, das sich auf symbolträchtige Verfahren mit hohen Strafen gegen einzelne Gauner spezialisiert hat. Das sorgt für Schlagzeilen, hat aber wenig mit breiter Rechtsdurchsetzung zu tun. Betroffene haben keinen Anspruch auf ein FTC-Verfahren. Sie können behördliches Eingreifen lediglich anregen, was in den seltensten Fällen Erfolg hat.

Die geringe Datenschutz-Wirkung der FTC zeigt sich am Kinderdatenschutzgesetz COPPA. Es ist rund 20 Jahre alt, wird aber weitgehend ignoriert. Voriges Jahr stellte eine Untersuchung fest, dass in Googles Play Store drei Viertel aller Kinder-Apps auf den Datenschutz pfeifen. Soweit bekannt hat die FTC seither gerade einmal vier Unternehmen belangt: Musical.ly (TikTok) musste 5,7 Millionen US-Dollar Strafe zahlen, YouTube 170 Millionen. Eine Webseite ist mit 35.000 Dollar davongekommen, eine weitere mit dem Versprechen, sich zu bessern. Zudem wurden drei Dating-Apps aus dem Play Store entfernt.

Mehr Infos

Die neue Machtteilung zwischen Republikanern und Demokraten wird zu Kontrolle der Geheimdienste und anderer Datenhungriger führen, hofft Marc Rotenberg (EPIC). Das Ringen hat begonnen.

Die FTC tropft also auf den heißen Stein, in der Hoffnung, das Verdampfungszischen wirke abschreckend. Ähnlich verhält es sich mit Klagen der Justizminister der einzelnen Staaten. Auch dieses Amt ist politisch besetzt, meistens durch direkte Wahl. Opfer können ihren Justizminister ebenfalls nicht dazu zwingen, gegen Rechtsbrecher vorzugehen oder einen schlechten Vergleich verhindern.

Löschanspruch mit Ausnahmen

Die Konzerne schlagen vor, dass Verbraucher Anspruch auf "angemessenen" ("reasonable") Zugang zu verständlichen Angaben über den Datengebrauch ihres Vertragspartners haben. Außerdem sollen sie "angemessen" Kontrolle über Sammlung und Nutzung ihrer Daten ausüben können. Hinzukommen soll die Gelegenheit, über den Verkauf ihrer Daten an Dritte "auszuwählen". Für kostenlose Datenweitergabe wird das nicht gefordert.

Unternehmen sollen jene Dritten, denen sie Verbraucherdaten zukommen lassen, vertraglich dazu verpflichten, Datenschutz-Entscheidungen der Verbraucher zu respektieren. Verantwortung für die Einhaltung dieser Verpflichtung soll aber ausschließlich beim Dritten liegen, nicht bei der Datenquelle. Und die Dritten sollen ausdrücklich nicht verpflichtet werden, Auskunft über Datensammlung und -verwendung zu geben.

Zudem erwähnt der Vorschlag ein Recht auf Datenlöschung. Es ist mit umfangreichen Ausnahmen konzipiert. Beispielsweise soll es keinen Löschanspruch geben, solange die Daten noch für "legitime Geschäftszwecke", freie Meinungsäußerung oder "Information" benötigt werden. Und wenn die Löschung aufgrund der Art und Weise der Speicherung aufwändig wäre, soll es hinreichen, die Daten "außerhalb praktischer Anwendung" zu stellen.

Keine generelle Pflicht zu guter Verschlüsselung

Konkrete Vorgaben zum Schutz gegen unbefugten Datenzugriff verbitten sich die Unternehmen. Jeder Datenverarbeiter soll selbst entscheiden, was angemessen ist, abhängig von Art der gespeicherten Information und empfundenem Risiko.

Von Datenschutz für Beschäftigte, Einzelunternehmer oder Auszubildende ist in dem Framework übrigens keine Rede. Und gegenüber Behörden soll das Bundesdatenschutzgesetz explizit nicht gelten. Es wird ausschließlich für die Beziehung zwischen Unternehmen und Verbrauchern in ihrer Eigenschaft als solche gewünscht. (ds)