Neues Datenschutzgesetz in den USA?

computer ga7b85f3c8 640Am 03. Juni 2022 wurde in den USA überraschend ein Gesetzentwurf zur Verschärfung der Datenschutzrechte, der sogenannten American Data Privacy and Protection Act (kurz: ADPPA), vorgestellt. Dieser stellt eine vollkommen neue Vorgehensweise zum Thema Datenschutz in den USA dar. Was dieser beinhaltet, welche Möglichkeiten sich durch den Entwurf bieten können und ob der Entwurf wirklich so vielversprechend ist, wie es scheint, erörtern wir im nachfolgenden Blogbeitrag.
Im Vergleich zu früheren Entwürfen und Ideen, scheint dieser Entwurf mehr „Erfolg“ zu versprechen, da er sowohl auf demokratischer als auch auf republikanischer Seite Anhänger gefunden hat. Insofern bestehen bei gleichbleibender Interessenslage zwischen den Parteien gute Chancen, dass dieser Entwurf zum Gesetz wird. Dennoch ist nichts beschlossen und einige Klauseln des Entwurfs führen bereits jetzt zu überparteilichen Diskussionen.

Welchen Inhalt hat der Entwurf?

Der Entwurf beinhaltet zum einen die Regelung, die Datenspeicherung auf ein Minimumzu reduzieren. . Der Verantwortliche soll nur „notwendige, angepasste und limitierte Daten“ speichern und verarbeiten dürfen.
Zum anderen räumt der Entwurf dem Nutzer die Möglichkeit ein, seine Daten abzufragen und auf Wunsch diese vom Verantwortlichen korrigieren oder löschen zu lassen.
Des Weiteren sieht der Entwurf vor, das bereits für Personen unter 13 Jahren bestehende Verbot zur nutzerorientierten Werbung auf alle Minderjährige auszuweiten. .
Mit einher geht ein Verbot von sogenannten Dark Patterns. Bei Dark Patterns handelt es sich um gestalterische Elemente (z.B. Pop-Ups, Ausgestaltungen bei Cookie-Bannern etc.). Diese sollen durch geschickte Verwendung von Farben und Formen den Nutzer dazu bringen, Handlungen vorzunehmen, die er eigentlich nicht vornehmen möchte. Alternativ dient es dazu, einen Nutzer durch „komplizierte“ Ausgestaltung dazu zu bringen den „einfachen Weg“ zu wählen, ohne sich über die Konsequenzen vorab ausreichend informieren zu können.
Ein besonderer Schutz soll durch das Gesetz biometrischen und genetischen Daten zukommen. Unter diese Daten fallen unter Anderem Fingerabdrücke, Netzhaut-Scans (sogenannte Retina Scans) oder Scans von Gangarten. Auch vertrauliche Daten wie Sozialversicherungsnummern, Ortsdaten oder Gesundheitsdaten sollen zukünftig besser geschützt werden.

Wer soll die Einhaltung dieser Maßnahmen kontrollieren und wer ist überhaupt zur Einhaltung verpflichtet?

Die US-Handelsbehörde „Federal Trade Comission“ (FTC) soll die Kontrolle der Daten übernehmen.
Diese ist auch bereits jetzt für die Kontrolle IT-Sicherheitsrelevanter Vorschriften und der wenigen bestehenden Datenschutzvorschriften zuständig.
Aus diesem Grund sind alle Unternehmen betroffen, die bereits jetzt unter Kontrolle der FTC stehen. Dies betrifft daher grundsätzlich alle Unternehmen, die mit „Handel“ in den USA in Verbindung stehen. Darunter fallen auch Unternehmen, die internationalen Handel betreiben, welcher möglicherweise zu Rechtsstreitigkeiten in den USA führen könnte (gemäß 15 U.S.C. Section 45 (1) (4) (A)).


Versicherungsunternehmen, Banken, Kredit- und Sparunternehmen, Kreditgenossenschaften, Fluggesellschaften und die Regierung unterfallen hingegen nicht den Regelungen unter den ADPPA.
Auch gibt es Ausnahmen für besonders kleine Organisationen:

  • Unternehmen, die in den letzten 3 Jahren nicht mehr als 41 Millionen US-Dollar Bruttoeinkommen gemacht haben und
  • die nicht die Daten von mehr als 100.000 Personen verarbeiten und
  • nicht mehr als 50% seiner Einnahmen durch Übertragung verschlüsselter Daten verdient haben.

Dem gegenüber gelten für besonders Große Unternehmen höhere Anforderungen. Darunter fallen Unternehmen, die mehr als 250 Millionen US-Dollar Bruttoeinkommen im letzten Jahr gemacht haben und mehr als 5 Millionen Benutzerdaten oder besonders schützenswerte („sensitive“) Daten verarbeitet haben.
Die Art der Daten, die unter die Kontrolle der FTC und das neue Gesetz fallen ist zwar grundsätzlich unbeschränkt, jedoch finden sich im Entwurf einige wenige explizite Ausnahmen zum Anwendungsbereich des Gesetzes. So soll das Gesetz nicht greifen, wenn die Verarbeitung von Mitarbeiterdaten oder öffentlich zugängliche Daten betroffen ist. Ähnlich wie die DSGVO unterfallen auch anonymisierte Daten nicht unter den Anwendungsbereich.


Zu beachten ist jedoch, dass die Definition „anonymisierter Daten“ im Entwurf stark von der Definition der DSGVO abweicht. Der Begriff der Anonymisierung entspricht eher dem europäischen Pendant der Pseudonymisierung personenbezogener Daten, da diese mit dem richtigen Schlüssel oder weitergehenden Informationen einen Rückschluss auf die konkrete Person ermöglichen können.

Fazit

Abschließend ist zu sagen, dass der Gesetzesentwurf durchaus problematisch ist, da er zum Einen viele offene Fragen zum Schutzniveau lässt, zum Anderen unklar ist, wie lange er parteiübergreifend als Konsens betrachtet wird.
Der Entwurf bietet den amerikanischen Bürgern eine zentrale Regelung ,die derzeitige, teilweise sehr variierende, Bundesstaatenregeln ablösen soll. Zudem soll der Entwurf die personenbezogenen Daten der Bürger besser schützen, als es derzeit der Stand ist.
Mit den aufgezählten Ausnahmen bleibt es spannend, ob die USA ein Datenschutzniveau erreichen können, dass dem der DSGVO entspricht. Im Hinblick auf die von der EU und den USA angestrebten Verhandlungen bzgl. eines neuen Angemessenheitsbeschlusses (wir berichteten: https://www.dury.de/datenschutzrecht-blog/TADPF-Trans-Atlantic-Data-Privacy-Framework-Privacy-Shield-Update) besteht jedoch Hoffnung, dass die gemeinsame Basis zwischen den USA und Europa größer wird.
Problematisch bleibt vor allem die hochgradig Datenschutz-problematische, nahezu regelungsfreie Überwachung durch die amerikanische Regierung und deren Geheimdienste.
Abschließend möchten wir noch kurz erwähnen, dass die im Herbst anstehenden Zwischenwahlen den gesamten Entwurf bedrohen können, sofern nicht vorab eine Einigung erfolgt ist.


Co-Autor: Wissenschaftliche Mitarbeiterin – Stud. jur. Lea Fröhlich

Benjamin Schmidt
Autor: Benjamin Schmidt
Diplomjurist & Business Development Manager
Autoren-Info:
Herr Diplomjurist Benjamin Schmidt gehört dem Team von DURY LEGAL bereits seit Januar 2016 an. Er ist Leiter der Website-Check Abteilung und ist in dieser Funktion zuständig für deren technischen Systeme im Zusammenhang mit der rechtlichen Prüfung von Webseiten und Online-Shops. Seine Abteilung bildet die Schnittstelle zur Website-Check GmbH, die ebenfalls der DURY Gruppe angehört. Er unerstützt zudem das Dezernat von Rechtsanwalt Marcus Dury LL.M.im Bereich der Vertragsbearbeitung und rechtlichen Beratung in IT-Projekten.

datenschutz luxemburg 2019 DURY cover

Jetzt bestellen: DURY / KERZ - Datenschutz in Luxemburg

Dieses Handbuch gibt einen praxisnahen Einblick in die Besonderheiten des luxemburgischen Datenschutzrechts und deren Zusammenspiel mit der Datenschutzgrundverordnung (DSGVO). Seit dem 25. Mai 2018 ist die DSGVO wirksam. Das neue luxemburgische Datenschutzgesetz ist seit dem 20. August 2018 in allen Datenverarbeitungsprozessen mit Bezug zu Luxemburg ergänzend zu der DSGVO zu beachten.
Im ersten Teil dieses Buches erfahren Sie, welche neuen gesetzlichen Anforderungen die DSGVO und das neue luxemburgische Datenschutzgesetz an Unternehmen in Luxemburg bzw. Konzernstrukturen mit Bezug zu Luxemburg stellen.
Im zweiten Teil des Buches finden Sie eine systematische Darstellung der DSGVO und des luxemburgischen Datenschutzgesetzes.
Es soll Ihnen im Unternehmensalltag helfen, datenschutzrechtliche Vorgaben in Luxemburg einzuhalten und diese in der Praxis mit möglichst wenig Aufwand umzusetzen.
Das Buch, inklusive des Textes des luxemburgischen Datenschutzgesetzes, ist in drei Sprachen erhältlich: Französisch, Englisch und Deutsch. Die deutsche und englische Übersetzung des Gesetzestextes sind zudem von der luxemburgischen Aufsichtsbehörde (CNPD) autorisiert, sodass Sie sicher sein können, dass Ihnen bei der Anwendung der Übersetzungen kein Nachteil gegenüber der Anwendung des ursprünglichen Gesetzeswortlauts entsteht.

Zielgruppe

Dieses Praxishandbuch richtet sich an alle, die sich mit dem Thema Datenschutz in Luxemburg beruflich beschäftigen, z. B. Datenschutzbeauftragte in Unternehmen oder Vereinen, Berater, Geschäftsführer oder sonstige IT-Verantwortliche.

Bestellen Sie jetzt per Fax unter +49 (0) 8581 754, bei Amazon.de oder auf www.shop.ruw.de