US-Repräsentantenhaus und Senat veröffentlichen überparteilichen Gesetzesentwurf zum Datenschutz

24. Juni 2022

Anfang Juni legten drei der vier Vorsitzenden der für den Datenschutz zuständigen US-Kongressausschüsse den Entwurf eines Datenschutzgesetzes (American Data Privacy and Protection Act, kurz ADPPA) zur Beratung vor. Im Falle einer Verabschiedung würde es bestimmte kürzlich verabschiedete Datenschutzgesetze einiger US-Bundesstaaten außer Kraft setzen.

Der Entwurf weist Merkmale des kalifornischen Datenschutzgesetzes (California Consumer Privacy Act) sowie der europäischen Datenschutz-Grundverordnung auf.

Bundesstaaten legten vor

Bisher stand der Datenschutz in den Vereinigten Staaten vornehmlich auf bundesstaatlicher Ebene oben auf der Agenda. In Kalifornien, Colorado, Connecticut, Virginia und Utah wurden kürzlich umfassende Datenschutzgesetze erlassen.  Allein in diesem Jahr wurden schon mehr als 100 Gesetzesentwürfe zum Datenschutz in den Bundesstaaten eingebracht.  Auch wenn diese nicht alle verabschiedet wurden, hat die Vielzahl von einzelstaatlichen Gesetzen und ihre unterschiedlichen regulatorischen Anforderungen dazu geführt, dass immer häufiger die Verabschiedung eines bundesweiten Datenschutzgesetzes gefordert wird. Ein einheitliches Bundesgesetz würde, wenn es verabschiedet wird, den Einrichtungen und Unternehmen die dringend benötigte Klarheit verschaffen und im Idealfall auch die Flut von Sammelklagen und anderen Datenschutzklagen eindämmen, die im Rahmen verschiedener einzelstaatlicher Gesetze erhoben werden.

Betroffene Einrichtungen

Das ADPPA gilt (mit Ausnahmen) im Großen und Ganzen für Organisationen, die in den Vereinigten Staaten tätig sind, die personenbezogene Daten sammeln, verarbeiten oder übertragen und in eine der folgenden Kategorien fallen:

  • Sie unterliegen dem Federal Trade Commission Act
  • Gemeinnützige Organisationen
  • Sog. Common Carrier, die dem Titel II des Communications Act von 1934 unterliegen

Vorgaben des ADPPA (nicht abschließend)

  • Beschränkung der Datenerhebung und -verarbeitung auf das vernünftigerweise notwendige Maß
  • Einhaltung öffentlicher und interner Datenschutzrichtlinien
  • Gewährung von Verbraucherrechten wie Zugang, Berichtigung und Löschung
  • Einspruchsmöglichkeiten
  • Einholung der Zustimmung vor der Erhebung oder Verarbeitung sensibler Daten, z. B. Geolokalisierung, genetische und biometrische Informationen und Browserverläufe
  • Bestellung eines Datenschutzbeauftragten
  • Erbringung eines Nachweises, dass angemessene Kontrollen durchgeführt werden
  • Registrierung der Datenhändler bei der Federal Trade Commission (FTC)
  • Die FTC wird ein durchsuchbares, zentrales öffentliches Online-Register aller registrierten Datenhändler sowie ein “Do Not Collect”-Register einrichten und pflegen, dass es Einzelpersonen ermöglicht, alle Datenhändler aufzufordern, ihre Daten innerhalb von 30 Tagen zu löschen
  • Einrichtungen dürfen die erfassten Daten nicht in einer Weise erheben, verarbeiten oder übertragen, die eine Diskriminierung aufgrund von Rasse, Hautfarbe, Religion, nationaler Herkunft, Geschlecht, sexueller Orientierung oder Behinderung darstellt
  • Einführung angemessener administrativer, technischer und physischer Datensicherheitspraktiken und -verfahren, um die betroffenen Daten vor unbefugtem Zugriff und unbefugter Kenntnisnahme zu schützen

Ausgang noch ungewiss

Kurz nachdem ein Entwurf des ADPPA veröffentlicht worden war, meldeten sich Datenschutzorganisationen, Bürgerrechtsgruppen und Unternehmen zu Wort und ergriffen Partei für und gegen das Gesetz.

Da sich die Legislaturperiode rasch dem Ende zuneigt, sind die Aussichten für die Verabschiedung des ADPPA weiterhin unklar. Zwischen den wichtigsten Interessengruppen herrscht nach wie vor große Uneinigkeit über wichtige Aspekte der vorgeschlagenen Gesetzgebung. Es herrscht jedoch Konsens darüber, dass die Vereinigten Staaten ein Bundesgesetz zum Datenschutz dringend benötigen. Somit ist die Verabschiedung eines entsprechenden Gesetztes in absehbarer Zeit recht wahrscheinlich.