Was könnte ein Bundesdatenschutzgesetz für die USA bedeuten?

Die US-Bundesregierung hat eine ganze Reihe von vorgeschlagenen umfassenden Gesetzen zum Schutz der Privatsphäre von Verbrauchern erlebt, die alle zu scheitern scheinen. Die neueste Version könnte anders sein.

Während die meisten anderen Gesetzgebungsversuche parteiisch waren, sind die Autoren des American Privacy Rights Act (APRA), Rep. Cathy McMorris Rodgers (R-WA) und Sen. Maria Cantwell (D-WA), kommen von beiden Seiten des Senats. Senator Cantwell entgegengesetzt APRAs Vorgänger, der Amerikanisches Datenschutzgesetz (ADPPA), das es 2022 nicht auf den Schreibtisch des Präsidenten schaffte. Jetzt ist sie die überparteiliche Autorin des Nachfolgers. Auch wenn es sich bei diesem Vorschlag noch nur um einen Diskussionsentwurf handelt, könnte er allein dadurch einem DSGVO-ähnlichen US-Bundesgesetzentwurf am nächsten kommen.

Breite Abdeckung

Im Falle einer Annahme müssten Organisationen, die in den Geltungsbereich der APRA fallen, Datenminimierungsstandards befolgen und die Daten nur für begrenzte Zwecke sammeln. Verbraucher hätten die Möglichkeit, auf ihre Daten zuzugreifen, deren Löschung, Berichtigung und Export zu verlangen und könnten sich gegen die Übermittlung nicht sensibler Daten an Dritte entscheiden. Sie müssten auch der Übertragung sensibler Daten zustimmen.

Unter den Gesetzentwurf fallen Organisationen, die den Zweck der Erhebung oder Verarbeitung von Daten festlegen und unter das FTC-Gesetz fallen. Es gibt eine Untergruppe großer Dateninhaber mit höheren Mindestschwellenwerten (250 Millionen US-Dollar und fünf Millionen Personen), deren Mitglieder strengeren Einschränkungen unterliegen. Unternehmen, die weniger als 40 Millionen US-Dollar pro Jahr verdienen und die Daten von nicht mehr als 200,000 Personen verarbeiten, fallen nicht in den Geltungsbereich.

Das Gesetz erfasst Daten, die vernünftigerweise mit einem Gerät verknüpft werden können, nicht jedoch öffentliche oder Mitarbeiterinformationen. Es gibt auch eine Teilmenge sensibler Daten, zu denen Datenpunkte gehören wie: Gesundheit; biometrische (keine Fotos, Audio- oder Videodaten) und genetische Informationen; Wettrennen; ethnische Zugehörigkeit; nationale Herkunft; Religion; und Sex; zusammen mit Finanzkonto- und Zahlungsdaten. Diese sensible Kategorie geht weiter und umfasst genaue Geolokalisierungsinformationen, Anmeldedaten, private Kommunikation, Telefonprotokolle und sogar Kalenderdaten.

Es gibt auch einige explizite Definitionen, darunter Fotos und Aufnahmen für den privaten Gebrauch, Nackt- oder Privatbilder und Informationen, die sexuelles Verhalten offenbaren.

Ben Sperry, leitender Wissenschaftler für Innovationspolitik am International Center for Law & Economics, macht sich Sorgen über einen bestimmten Datentyp in der Kategorie sensibler Daten: Online-Aktivitäten, die im Laufe der Zeit und auf Websites Dritter gesammelt werden.

„So funktioniert zielgerichtete Werbung im Allgemeinen“, sagt er gegenüber ISMS.online und fügt hinzu, dass die Einschränkung der Möglichkeit, gezielte Werbung zu schalten, Auswirkungen auf die Geschäftsmodelle von Online-Plattformen und den Content-Erstellern haben wird, die sie nutzen.

Umfangreiche Verpflichtungen

Die Verpflichtungen für die von der Gesetzesvorlage erfassten Personen sind zahlreich. Es gibt einen Abschnitt, der Manipulationspraktiken verbietet, die darauf abzielen, die Aufmerksamkeit der Verbraucher von ihren Datenschutzrechten abzulenken (sogenannte „Dark Patterns“), und ein anderer Abschnitt, der angemessene Sicherheitspraktiken vorschreibt. Ein anderer erfordert die gebotene Sorgfalt bei der Auswahl von Drittanbietern, die Benutzerdaten verarbeiten.

Auch Algorithmen unterliegen der Regulierung im Rahmen des vorgeschlagenen Gesetzes, wobei große Dateninhaber verpflichtet sind, Folgenabschätzungen für diejenigen durchzuführen, bei denen ein „Folgerisiko von Schäden“ besteht. Sie müssen diese der FTC melden. Verbraucher hätten das Recht, sich von diesen Algorithmen abzumelden.

Abgedeckte Organisationen müssten Datenschutzrichtlinien veröffentlichen, in denen die Zwecke der Datenverarbeitung und die Aufbewahrungsdauer erläutert werden. In den Richtlinien müssten Dritte aufgeführt werden, an die die Daten übermittelt werden, darunter ausdrücklich auch Datenbroker. Die FTC müsste außerdem ein Datenbrokerregister mit einer Opt-out-Option für Verbraucher einrichten.

Die FTC spielt eine wichtige Rolle bei dieser Gesetzgebung und fungiert als deren Durchsetzungsbehörde, soweit sie diese aufheben würde Regelsetzung zur kommerziellen Überwachung und Datensicherheit als das Gesetz in Kraft trat.

Ashley Johnson, Senior Policy Manager bei der Technologieindustrie-Lobbygruppe Information Technology & Innovation Foundation (ITIF), identifiziert die Rolle der FTC als Knackpunkt für den Gesetzesvorschlag. Das Erfordernis eines zentralen FTC-Registers für die Opt-out-Funktion untergräbt die Opt-out-Bestimmungen für abgedeckte Daten, sagt sie gegenüber ISMS.online und fügt hinzu, dass dadurch die Werbeeinnahmen für Online-Dienste sinken würden.

Wessen Gesetz zählt?

Ein weiterer Streitpunkt ist, welche Gesetze Vorrang haben würden; APRA oder Gesetzgebung auf Landesebene. So wie es aussieht, würde das Bundesgesetz den Gesetzen der Bundesstaaten vorgreifen – es sei denn, dies ist nicht der Fall, was, wie sich herausstellt, recht häufig der Fall ist.

„Während APRA darauf abzielt, einen nationalen Standard zu etablieren, versucht es auch, die strengen Schutzmaßnahmen staatlicher Gesetze wie denen in Kalifornien, Illinois und Washington einzubeziehen“, warnt Perla Khattar, Doktorandin am Tech Ethics Lab der University of Notre Dame Law School . „Es ist eine komplexe Herausforderung, diese Ziele unter einen Hut zu bringen und den Bedenken von Staaten durch strenge Datenschutzmaßnahmen Rechnung zu tragen.“

Die Vorkaufsfrage spielt in einem weiteren Spannungspunkt eine Rolle: Die im Gesetzentwurf vorgesehenen Bestimmungen für private Klagen neben Strafen durch die Generalstaatsanwälte der Bundesstaaten und die FTC. Dies führt dazu, dass sich die ITIF über die steigenden Kosten Sorgen macht.

„Nach dem Illinois Biometric Information Privacy Act (BIPA) gab es enorme Vergleiche bei Gerichtsverfahren in Millionenhöhe, allein für dieses eine Landesgesetz“, sagt Johnson vom ITIF. Das Gesetz erlaubt Einzelpersonen, private Klagen einzureichen.

„Viele Unternehmen schauen sich solche Beispiele an und denken: ‚Wie würde das aussehen, wenn es auf Bundesebene wäre?‘“

Das Gesetz würde es Einzelpersonen in Illinois ermöglichen, gemäß BIPA und seinem Genetic Information Privacy Act zu klagen, wenn der Verstoß dort stattgefunden hat. Es ermöglicht Kaliforniern außerdem, gemäß dem California Privacy Rights Act zu klagen. Johnson nennt dies „Hinterzimmerhandel“, der den Staaten einen unfairen Vorteil verschaffen würde.

Streitigkeiten wie diese sind angesichts der vielen beteiligten Interessengruppen und Anliegen schwer zu lösen, und die Zeit drängt.

„Wenn der Gesetzentwurf zu lange auf sich warten lässt und keine Fortschritte erzielt werden, besteht die Gefahr, dass er an Dynamik und die Unterstützung wichtiger Interessengruppen verliert“, warnt Khattar.

„Da 2024 ein Wahljahr ist, wird der Zeitpunkt für die Verabschiedung von Gesetzen wie der APRA noch wichtiger. In dieser Zeit reagieren die Gesetzgeber in der Regel stärker auf die öffentliche Meinung. Allerdings könnten sie auch vorsichtig sein, wenn es darum geht, kontroverse oder spaltende Maßnahmen zu unterstützen.“

Selbst das vielversprechendste Gesetz nützt wenig, wenn es nicht umgesetzt wird. Dennoch sollten sich Unternehmen darauf vorbereiten, dass die APRA – oder alle nachfolgenden Gesetzesvorhaben – ein Geschäftsrisiko darstellt.

„Beurteilen Sie zunächst, wie gut Ihr aktueller Umgang mit Daten den strengen Landesgesetzen, etwa denen von Kalifornien oder Illinois, entspricht“, schließt Khattar. „Unternehmen, die bereits solch strenge Vorschriften einhalten, könnten den Übergang zur APRA-Konformität als reibungsloser empfinden. Wenn Ihre Praktiken jedoch auf weniger strenge Standards zugeschnitten sind, sind möglicherweise erhebliche Anpassungen erforderlich.“

Wenn es möglich ist, jetzt die wichtigsten Bestimmungen einzuhalten, könnten spätere Probleme vermieden werden. Es könnte auch dazu beitragen, wertvolles Kundenvertrauen aufzubauen.