USA-Update Teil 4: Ein einhetliches Datenschutzgesetz?
In den USA gibt es einen erneuten Vorstoß für ein nationales Datenschutzgesetz. Am 7. April 2024 stellten zwei führende Politikerinnen beider Parteien einen Gesetzentwurf vor. Der „American Privacy Rights Act“ (APRA) soll landesweite Standards festlegen und die wachsende Zahl einzelstaatlicher Datenschutzgesetze eindämmen. Bislang existiert in den USA kein einheitliches Datenschutzgesetz auf Bundesebene, obwohl es in den letzten Jahren mehrere Anläufe gab, eines zu schaffen, darunter der „American Data Privacy and Protection Act“ (ADPPA) von 2022.
Der American Privacy Rights Act
Die Republikanerin Cathy McMorris Rodgers und die Demokratin Maria Cantwell präsentierten den neuen Gesetzentwurf als vielversprechende Möglichkeit, einen einheitlichen Datenschutzstandard einzuführen und den Bürgern mehr Kontrolle über ihre persönlichen Daten zu geben. In ihrer Pressemitteilung betonten die Politikerinnen, dass die Erfolgschancen dieses Vorschlags höher sind als bei vorherigen Versuchen, da beide Parteien den Entwurf unterstützen.
Am 23. Mai 2024 wurde ein überarbeiteter Vorschlag vom Energie- und Handelsausschuss des Repräsentantenhauses an den Gesamtausschuss weitergeleitet.
Inhalt der Gesetzesinitiative
Ähnlich wie die europäische DSGVO orientiert sich der aktuelle Entwurf am Schutz personenbezogener Daten. Der „American Privacy Rights Act“ (APRA) legt besonderen Wert auf die bewusste und freiwillige Einwilligung zur Datenverarbeitung und enthält das Prinzip der Datenminimierung. Besonders “sensible” Daten dürfen nur mit ausdrücklicher Zustimmung verarbeitet werden, während öffentlich zugängliche Informationen, wie solche, die auf Webseiten frei einsehbar sind, weitgehend vom Schutz ausgenommen sind. In Anlehnung an die kürzlich verabschiedete EU-Verordnung zur Regulierung künstlicher Intelligenz enthält der Entwurf auch Regelungen, die bestimmte Anforderungen an Algorithmen stellen, wie zum Beispiel eine Risikoabschätzung und das Recht, eine menschliche Überprüfung automatisierter Entscheidungen zu verlangen. Zur Durchsetzung dieser Regelungen sind zivilrechtliche Betroffenenrechte und spezielle Befugnisse für die Federal Trade Commission (FTC), die US-Behörde für Wettbewerb und Verbraucherschutz, vorgesehen. Zudem könnte es in bestimmten Fällen die Verpflichtung zur Ernennung eines Datenschutzbeauftragten geben. Ein geplanter Entschädigungsfonds soll Betroffenen bei Datenschutzverletzungen Unterstützung bieten.
Im dem gesamten Ausschuss vorgelegten geänderten Entwurf sind auch Vorschriften zu „Privacy by Design“ enthalten, die von Dienstleistungs- und Produktanbietern verlangen, Datenschutz bereits durch technische Maßnahmen zu gewährleisten, ähnlich wie in Art. 25 DSGVO. Zudem soll es eine Ausnahme vom Grundsatz der Datenminimierung für bestimmte Forschungszwecke geben. Darüber hinaus müssen Datenhändler einen Mechanismus einführen, der es den Betroffenen ermöglicht, die Löschung aller Daten zu verlangen, die der Verantwortliche nicht direkt vom Individuum erhalten hat.
Verhältnis zu Datenschutzgesetzen der Bundesstaaten
Da der Gesetzentwurf darauf abzielt, eine möglichst einheitliche Rechtslage zu schaffen, würde er viele bestehende Datenschutzgesetze der Bundesstaaten außer Kraft setzen (Lesen Sie zu den einzelnen Bundesstaaten Teil 2 dieser Reihe). Dieses Prinzip, bei dem Bundesrecht Vorrang vor staatlichen Regelungen hat, wird als Pre-Emption bezeichnet. Diese Regelung könnte bei einigen Bundesstaaten auf Widerstand stoßen. Um diesem entgegenzuwirken, listet der Entwurf verschiedene Bereiche auf, die von der Pre-Emption nicht betroffen sind, wie beispielsweise Verbraucherschutzgesetze oder Gesetze zum Schutz der Privatsphäre von Arbeitnehmern.
Bedeutung für den Angemessenheitsbeschluss
Derzeit ermöglicht ein im Juli 2023 erlassenes Privacy Framework (Lesen Sie dazu Teil 3 dieser Reihe) den Datenaustausch zwischen den USA und der EU. Ob dieses Rahmenwerk den Anforderungen an einen Angemessenheitsbeschluss entspricht, wird derzeit in einem Verfahren vor dem Europäischen Gerichtshof (EuGH) geprüft. Die letzten beiden Ansätze, das Safe-Harbor-Abkommen und das Privacy Shield, wurden vom EuGH für ungültig erklärt. Sollte das neue Datenschutzgesetz verabschiedet werden, könnte es als Grundlage für die Beurteilung durch den EuGH dienen, falls das Urteil bis dahin noch nicht gefällt wurde.
Fazit und Ausblick
Die Einhaltung internationaler Datenschutzstandards stellt Unternehmen vor große Herausforderungen. Wir helfen Ihnen bei der Einhaltung von Compliance-Regeln – Fordern Sie noch heute Ihr Angebot bei uns an.