Neues Datenschutzgesetz in den USA?

Drucken

computer ga7b85f3c8 640Am 03. Juni 2022 wurde in den USA überraschend ein Gesetzentwurf zur Verschärfung der Datenschutzrechte, der sogenannten American Data Privacy and Protection Act (kurz: ADPPA), vorgestellt. Dieser stellt eine vollkommen neue Vorgehensweise zum Thema Datenschutz in den USA dar. Was dieser beinhaltet, welche Möglichkeiten sich durch den Entwurf bieten können und ob der Entwurf wirklich so vielversprechend ist, wie es scheint, erörtern wir im nachfolgenden Blogbeitrag.
Im Vergleich zu früheren Entwürfen und Ideen, scheint dieser Entwurf mehr „Erfolg“ zu versprechen, da er sowohl auf demokratischer als auch auf republikanischer Seite Anhänger gefunden hat. Insofern bestehen bei gleichbleibender Interessenslage zwischen den Parteien gute Chancen, dass dieser Entwurf zum Gesetz wird. Dennoch ist nichts beschlossen und einige Klauseln des Entwurfs führen bereits jetzt zu überparteilichen Diskussionen.

Welchen Inhalt hat der Entwurf?

Der Entwurf beinhaltet zum einen die Regelung, die Datenspeicherung auf ein Minimumzu reduzieren. . Der Verantwortliche soll nur „notwendige, angepasste und limitierte Daten“ speichern und verarbeiten dürfen.
Zum anderen räumt der Entwurf dem Nutzer die Möglichkeit ein, seine Daten abzufragen und auf Wunsch diese vom Verantwortlichen korrigieren oder löschen zu lassen.
Des Weiteren sieht der Entwurf vor, das bereits für Personen unter 13 Jahren bestehende Verbot zur nutzerorientierten Werbung auf alle Minderjährige auszuweiten. .
Mit einher geht ein Verbot von sogenannten Dark Patterns. Bei Dark Patterns handelt es sich um gestalterische Elemente (z.B. Pop-Ups, Ausgestaltungen bei Cookie-Bannern etc.). Diese sollen durch geschickte Verwendung von Farben und Formen den Nutzer dazu bringen, Handlungen vorzunehmen, die er eigentlich nicht vornehmen möchte. Alternativ dient es dazu, einen Nutzer durch „komplizierte“ Ausgestaltung dazu zu bringen den „einfachen Weg“ zu wählen, ohne sich über die Konsequenzen vorab ausreichend informieren zu können.
Ein besonderer Schutz soll durch das Gesetz biometrischen und genetischen Daten zukommen. Unter diese Daten fallen unter Anderem Fingerabdrücke, Netzhaut-Scans (sogenannte Retina Scans) oder Scans von Gangarten. Auch vertrauliche Daten wie Sozialversicherungsnummern, Ortsdaten oder Gesundheitsdaten sollen zukünftig besser geschützt werden.

Wer soll die Einhaltung dieser Maßnahmen kontrollieren und wer ist überhaupt zur Einhaltung verpflichtet?

Die US-Handelsbehörde „Federal Trade Comission“ (FTC) soll die Kontrolle der Daten übernehmen.
Diese ist auch bereits jetzt für die Kontrolle IT-Sicherheitsrelevanter Vorschriften und der wenigen bestehenden Datenschutzvorschriften zuständig.
Aus diesem Grund sind alle Unternehmen betroffen, die bereits jetzt unter Kontrolle der FTC stehen. Dies betrifft daher grundsätzlich alle Unternehmen, die mit „Handel“ in den USA in Verbindung stehen. Darunter fallen auch Unternehmen, die internationalen Handel betreiben, welcher möglicherweise zu Rechtsstreitigkeiten in den USA führen könnte (gemäß 15 U.S.C. Section 45 (1) (4) (A)).


Versicherungsunternehmen, Banken, Kredit- und Sparunternehmen, Kreditgenossenschaften, Fluggesellschaften und die Regierung unterfallen hingegen nicht den Regelungen unter den ADPPA.
Auch gibt es Ausnahmen für besonders kleine Organisationen:

Dem gegenüber gelten für besonders Große Unternehmen höhere Anforderungen. Darunter fallen Unternehmen, die mehr als 250 Millionen US-Dollar Bruttoeinkommen im letzten Jahr gemacht haben und mehr als 5 Millionen Benutzerdaten oder besonders schützenswerte („sensitive“) Daten verarbeitet haben.
Die Art der Daten, die unter die Kontrolle der FTC und das neue Gesetz fallen ist zwar grundsätzlich unbeschränkt, jedoch finden sich im Entwurf einige wenige explizite Ausnahmen zum Anwendungsbereich des Gesetzes. So soll das Gesetz nicht greifen, wenn die Verarbeitung von Mitarbeiterdaten oder öffentlich zugängliche Daten betroffen ist. Ähnlich wie die DSGVO unterfallen auch anonymisierte Daten nicht unter den Anwendungsbereich.


Zu beachten ist jedoch, dass die Definition „anonymisierter Daten“ im Entwurf stark von der Definition der DSGVO abweicht. Der Begriff der Anonymisierung entspricht eher dem europäischen Pendant der Pseudonymisierung personenbezogener Daten, da diese mit dem richtigen Schlüssel oder weitergehenden Informationen einen Rückschluss auf die konkrete Person ermöglichen können.

Fazit

Abschließend ist zu sagen, dass der Gesetzesentwurf durchaus problematisch ist, da er zum Einen viele offene Fragen zum Schutzniveau lässt, zum Anderen unklar ist, wie lange er parteiübergreifend als Konsens betrachtet wird.
Der Entwurf bietet den amerikanischen Bürgern eine zentrale Regelung ,die derzeitige, teilweise sehr variierende, Bundesstaatenregeln ablösen soll. Zudem soll der Entwurf die personenbezogenen Daten der Bürger besser schützen, als es derzeit der Stand ist.
Mit den aufgezählten Ausnahmen bleibt es spannend, ob die USA ein Datenschutzniveau erreichen können, dass dem der DSGVO entspricht. Im Hinblick auf die von der EU und den USA angestrebten Verhandlungen bzgl. eines neuen Angemessenheitsbeschlusses (wir berichteten: https://www.dury.de/datenschutzrecht-blog/TADPF-Trans-Atlantic-Data-Privacy-Framework-Privacy-Shield-Update) besteht jedoch Hoffnung, dass die gemeinsame Basis zwischen den USA und Europa größer wird.
Problematisch bleibt vor allem die hochgradig Datenschutz-problematische, nahezu regelungsfreie Überwachung durch die amerikanische Regierung und deren Geheimdienste.
Abschließend möchten wir noch kurz erwähnen, dass die im Herbst anstehenden Zwischenwahlen den gesamten Entwurf bedrohen können, sofern nicht vorab eine Einigung erfolgt ist.


Co-Autor: Wissenschaftliche Mitarbeiterin – Stud. jur. Lea Fröhlich

Benjamin Schmidt
Autor: Benjamin Schmidt
Diplomjurist & Business Development Manager
Autoren-Info:
Herr Diplomjurist Benjamin Schmidt gehört dem Team von DURY LEGAL bereits seit Januar 2016 an. Er ist Leiter der Website-Check Abteilung und ist in dieser Funktion zuständig für deren technischen Systeme im Zusammenhang mit der rechtlichen Prüfung von Webseiten und Online-Shops. Seine Abteilung bildet die Schnittstelle zur Website-Check GmbH, die ebenfalls der DURY Gruppe angehört. Er unerstützt zudem das Dezernat von Rechtsanwalt Marcus Dury LL.M.im Bereich der Vertragsbearbeitung und rechtlichen Beratung in IT-Projekten.