US-Kongress: Lagerübergreifende Initiative für US-Bundesdatenschutzrecht

In den USA zeichnet sich eine Einigung beim landesweiten Datenschutzrecht ab. Mit den neuen Regelungen würden die USA zudem näher an die EU heranrücken.

In Pocket speichern vorlesen Druckansicht 34 Kommentare lesen

(Bild: Guy J. Sagi/Shutterstock.com)

Lesezeit: 6 Min.
Von
  • Falk Steiner
Inhaltsverzeichnis

In der jahrelangen Auseinandersetzung um ein US-Bundesgesetz für besseren Privatsphärenschutz ist nun ein neuer Vorschlag in den Kongress eingebracht worden, dem Beobachter Chancen einräumen. Denn der Entwurf eines "American Data Privacy and Protection Act" wird nicht nur von einflussreichen Politikern sowohl der Demokraten als auch der Republikaner unterstützt. Er enthält auch einen Lösungsansatz für eines der schwierigsten politischen Probleme, das eine US-weite Regelung für Datenschutz bislang verhinderte. Inhaltlich würden die Regelungen zudem die USA näher an die EU rücken.

Wichtig für die Erfolgschancen: Der Gesetzentwurf wird sowohl von Demokraten wie dem Vorsitzenden des Energie- und Handelsausschusses im Repräsentantenhaus Frank Pallone und republikanischen Mitgliedern der Kammer getragen, zugleich aber auch von US-Senatoren wie dem Republikaner Roger Wicker unterstützt. Damit ist er die erste derartige Initiative, die in beiden politischen Lagern und beiden Kammern des US-Systems verankert ist. Jahre habe es gedauert, diesen Entwurf fertigzustellen, heißt es in einer gemeinsamen Erklärung der Initiatoren. Ihr Vorschlag eines Data Privacy and Protection Act würde Teile der bisherigen US-Datenpolitik massiv verändern.

Inhaltlicher Kern des Vorschlags sind US-weite Regelungen für alle Unternehmen, die der Aufsicht durch die Federal Trade Commission (FTC) unterliegen. Der Gesetzentwurf schließt dabei ausdrücklich auch die Carrier im Telekommunikationsbereich ein, die eigentlich weitgehend durch die Federal Communications Commission (FCC) beaufsichtigt werden und sehr viel tiefer in die Daten ihrer Kunden schauen dürfen als ihre EU-Pendants. Die FTC soll den Großteil der Regeln anschließend auch durchsetzen.

Viele der Ideen des Datenschutzrecht-Vorschlags könnten europäischen Bürgern bekannt vorkommen. Denn im Grundsatz würde, wie in der EU, mit diesem Gesetz eine Datenverarbeitung verboten, die nicht per Gesetz oder auf anderer Grundlage erlaubt ist. Personenbezogene und personenbeziehbare Daten sollen grundsätzlich nur dann gespeichert werden dürfen, wenn dies nötig ist (Datensparsamkeitsprinzip). Eine Verarbeitung soll nur zulässig sein, wenn dies verhältnismäßig, notwendig und begrenzt ist und die datenverarbeitenden Stellen das Privacy by Design-Prinzip anwenden.

Ausdrücklich verboten würde die Verarbeitung bestimmter Datenkategorien, sofern dies nicht zwingend nötig ist – etwa die in den USA besonders relevante Sozialversicherungsnummer, biometrische Daten, aber auch Geolokalisierungs- und Gesundheitsdaten, die von mobilen Endgeräten erhoben werden. Einige dieser Daten sollen jedoch auf Grundlage der zweiten europäisch anmutenden Regelung erhoben werden können: Der Gesetzentwurf sieht konkrete Vorgaben für eine ausdrückliche Zustimmung in Datenverarbeitungsvorgänge vor, die den Anforderungen für eine informierte Einwilligung nach europäischem Recht ähneln.

In Abschnitt 203 schlagen die Autoren zudem weitgehende Rechte für die Betroffenen vor: Als "individuelle Dateneigentümerschaft und Kontrolle" betitelt, werden hier von den Mitgliedern des Repräsentantenhauses nicht nur Zugang, Berichtigung und Löschung als Datenrechte vorgesehen. Das Recht soll, soweit technisch möglich, auch das Herunterladen in portablen, strukturierten und interoperablen Formaten als Anspruch enthalten.

Sofern Daten durch Drittparteien, etwa in Apps oder auf Webseiten, erhoben werden, sollen diese sich ebenfalls bestimmten Regeln unterwerfen und sich in ein Register eintragen müssen, in dem alle Third-Party-Datensammler mit Nennung von Verantwortlichen und mit Kontaktmöglichkeiten aufgelistet werden. Verantwortlich für die Einhaltung des neuen Datenschutzrechts soll dem Entwurf zufolge grundsätzlich die Geschäftsführung der Datenverarbeiter sein – auch ein Datenschutz- und Datensicherheitsbeauftragter sollen zur Pflicht werden.

Bislang gibt es in den USA keine allgemeine Regelung für den Datenschutz. Dafür aber entstehen für Teile dessen, was in der EU als Datenschutz diskutiert wird, immer neue Gesetze in einer zunehmenden Zahl der 50 Bundesstaaten.

Diese Regelungen unterscheiden sich jedoch stark in Schutzniveau, Anforderungen und Form der Durchsetzung, sodass ein Flickenteppich entsteht, der kein sicheres Geschäftsumfeld bietet. Tech-Unternehmen forderten aus diesem Grund bereits seit einiger Zeit ein eigenständiges US-Datenschutzrecht.

Der neue Vorschlag soll hierfür eine Lösung bieten: Einerseits schreibt er Standards fest, die auch für die Bundesstaaten verbindlich wären. Andererseits erlaubt der Entwurf die Beibehaltung aller Regeln, die ausdrücklich ausgenommen werden. Ein besonders prominenter Fall ist dabei ein Gesetz des Bundesstaates Illinois, das biometrische und genetische Daten unter besonderen Schutz stellt: Aufgrund dessen hatte Google vergangene Woche einem Vergleich zugestimmt, bei dem die Firma 100 Millionen US-Dollar für mutmaßliche Rechtsverletzungen an Bürgern des Staates durch die Verarbeitung im Rahmen von Google Photos zahlt.

Auch der internationale Druck auf Unternehmen aus den USA nimmt derzeit immer weiter zu. Selbst die notorisch der Datensammelei verdächtigte Volksrepublik China konnte sich im vergangenen Jahr mit dem Personal Information Protection Law (PIPL) formal zur Regelung des Datenschutzes durchringen. Zugleich führt das fehlende Datenschutzrecht in den USA zu Problemen bei der transatlantischen Zusammenarbeit: Schon zweimal stoppte der Europäische Gerichtshof Vereinbarungen zwischen US-Administration und EU-Kommission, mit denen die US-Seite der EU-Seite Garantien für ein den DSGVO-Anforderungen entsprechendes angemessenes Schutzniveau geben sollte.

Das "Trans Atlantic Data Privacy Framework" (TADP) hatte US-Präsident Joe Biden im Frühjahr bei seinem Brüssel-Besuch angekündigt. Derzeit versuchen beide Seiten schnellstmöglich, damit eine sichere Rechtsgrundlage für die Verarbeitung europäischer, personenbezogener Daten in den USA zu erreichen. Zwar geht es dabei auch um Geheimdienstbefugnisse, die mit dem aktuellen Gesetzentwurf nicht geregelt werden sollen. Eine bundesweite Datenschutzregelung in den USA könnte jedoch helfen, dass Daten auch nach US-Recht gar nicht erst erhoben werden dürfen. Die genaueren Regelungen für das künftige TADP-Framework sollen im Laufe des Sommers bekannt gegeben werden.

(tiw)