USA-Update Teil 4: Ein einhetliches Datenschutzgesetz?

15. August 2024

In den USA gibt es einen erneuten Vorstoß für ein nationales Datenschutzgesetz. Am 7. April 2024 stellten zwei führende Politikerinnen beider Parteien einen Gesetzentwurf vor. Der „American Privacy Rights Act“ (APRA) soll landesweite Standards festlegen und die wachsende Zahl einzelstaatlicher Datenschutzgesetze eindämmen. Bislang existiert in den USA kein einheitliches Datenschutzgesetz auf Bundesebene, obwohl es in den letzten Jahren mehrere Anläufe gab, eines zu schaffen, darunter der „American Data Privacy and Protection Act“ (ADPPA) von 2022.

Der American Privacy Rights Act

Die Republikanerin Cathy McMorris Rodgers und die Demokratin Maria Cantwell präsentierten den neuen Gesetzentwurf als vielversprechende Möglichkeit, einen einheitlichen Datenschutzstandard einzuführen und den Bürgern mehr Kontrolle über ihre persönlichen Daten zu geben. In ihrer Pressemitteilung betonten die Politikerinnen, dass die Erfolgschancen dieses Vorschlags höher sind als bei vorherigen Versuchen, da beide Parteien den Entwurf unterstützen.

Am 23. Mai 2024 wurde ein überarbeiteter Vorschlag vom Energie- und Handelsausschuss des Repräsentantenhauses an den Gesamtausschuss weitergeleitet.

Inhalt der Gesetzesinitiative

Ähnlich wie die europäische DSGVO orientiert sich der aktuelle Entwurf am Schutz personenbezogener Daten. Der „American Privacy Rights Act“ (APRA) legt besonderen Wert auf die bewusste und freiwillige Einwilligung zur Datenverarbeitung und enthält das Prinzip der Datenminimierung. Besonders “sensible” Daten dürfen nur mit ausdrücklicher Zustimmung verarbeitet werden, während öffentlich zugängliche Informationen, wie solche, die auf Webseiten frei einsehbar sind, weitgehend vom Schutz ausgenommen sind. In Anlehnung an die kürzlich verabschiedete EU-Verordnung zur Regulierung künstlicher Intelligenz enthält der Entwurf auch Regelungen, die bestimmte Anforderungen an Algorithmen stellen, wie zum Beispiel eine Risikoabschätzung und das Recht, eine menschliche Überprüfung automatisierter Entscheidungen zu verlangen. Zur Durchsetzung dieser Regelungen sind zivilrechtliche Betroffenenrechte und spezielle Befugnisse für die Federal Trade Commission (FTC), die US-Behörde für Wettbewerb und Verbraucherschutz, vorgesehen. Zudem könnte es in bestimmten Fällen die Verpflichtung zur Ernennung eines Datenschutzbeauftragten geben. Ein geplanter Entschädigungsfonds soll Betroffenen bei Datenschutzverletzungen Unterstützung bieten.

Im dem gesamten Ausschuss vorgelegten geänderten Entwurf sind auch Vorschriften zu „Privacy by Design“ enthalten, die von Dienstleistungs- und Produktanbietern verlangen, Datenschutz bereits durch technische Maßnahmen zu gewährleisten, ähnlich wie in Art. 25 DSGVO. Zudem soll es eine Ausnahme vom Grundsatz der Datenminimierung für bestimmte Forschungszwecke geben. Darüber hinaus müssen Datenhändler einen Mechanismus einführen, der es den Betroffenen ermöglicht, die Löschung aller Daten zu verlangen, die der Verantwortliche nicht direkt vom Individuum erhalten hat.

Verhältnis zu Datenschutzgesetzen der Bundesstaaten

Da der Gesetzentwurf darauf abzielt, eine möglichst einheitliche Rechtslage zu schaffen, würde er viele bestehende Datenschutzgesetze der Bundesstaaten außer Kraft setzen (Lesen Sie zu den einzelnen Bundesstaaten Teil 2 dieser Reihe). Dieses Prinzip, bei dem Bundesrecht Vorrang vor staatlichen Regelungen hat, wird als Pre-Emption bezeichnet. Diese Regelung könnte bei einigen Bundesstaaten auf Widerstand stoßen. Um diesem entgegenzuwirken, listet der Entwurf verschiedene Bereiche auf, die von der Pre-Emption nicht betroffen sind, wie beispielsweise Verbraucherschutzgesetze oder Gesetze zum Schutz der Privatsphäre von Arbeitnehmern.

Bedeutung für den Angemessenheitsbeschluss 

Derzeit ermöglicht ein im Juli 2023 erlassenes Privacy Framework (Lesen Sie dazu Teil 3 dieser Reihe) den Datenaustausch zwischen den USA und der EU. Ob dieses Rahmenwerk den Anforderungen an einen Angemessenheitsbeschluss entspricht, wird derzeit in einem Verfahren vor dem Europäischen Gerichtshof (EuGH) geprüft. Die letzten beiden Ansätze, das Safe-Harbor-Abkommen und das Privacy Shield, wurden vom EuGH für ungültig erklärt. Sollte das neue Datenschutzgesetz verabschiedet werden, könnte es als Grundlage für die Beurteilung durch den EuGH dienen, falls das Urteil bis dahin noch nicht gefällt wurde.

Fazit und Ausblick

Die Einführung eines einheitlichen Datenschutzgesetzes auf Bundesebene könnte eine klarere und konsistentere Regulierung in den USA ermöglichen und zugleich einen soliden Rechtsrahmen für den Datenaustausch mit Europa schaffen. Obwohl vielversprechende Anzeichen dafür sprechen, bleibt abzuwarten, wie sich die Verhandlungen in den kommenden Monaten entwickeln und ob der APRA-Entwurf die notwendige Unterstützung erhält.

Die Datenschutzlandschaft in den USA ist derzeit ein komplexes Geflecht aus föderalen und bundesstaatlichen Regelungen. Während es auf föderaler Ebene noch kein einhetliches Datenschutzgesetz gibt, setzen immer mehr Bundesstaaten eigene Vorschriften um, die den Schutz der Privatsphäre ihrer Bürger stärken sollen.

Diese föderale Zersplitterung stellt sowohl Unternehmen als auch Verbraucher vor Herausforderungen. Unternehmen müssen sich auf eine Vielzahl unterschiedlicher Regelungen einstellen, was den administrativen Aufwand und die Kosten für die Einhaltung der Vorschriften erheblich erhöht. Verbraucher profitieren je nach Bundesstaat von unterschiedlichen Datenschutzstandards, was jedoch zu Ungleichheiten im Datenschutz führt. Kritisch betrachtet, ist die aktuelle Situation durch einen Mangel an Konsistenz und Effizienz gekennzeichnet. Die fragmentierte Gesetzgebung schafft Unsicherheiten und zusätzliche Belastungen, die insbesondere kleine und mittlere Unternehmen überfordern können. Um dieses Problem zu lösen, sollten konkrete Schritte unternommen werden. Der aktuelle Entwurf des APRA könnte einen verbindlichen Mindeststandard für alle Bundesstaaten festlegen und so einheitliche Datenschutzvorgaben in den USA schaffen. Es bleibt zu hoffen, dass der Vorschlag im Repräsentantenhaus weiterhin Unterstützung findet.

Insgesamt zeigt sich, dass sich der Datenschutz in den USA in einer dynamischen Entwicklungsphase befindet, die sowohl Risiken als auch Chancen für alle Beteiligten mit sich bringt. Eine stärkere Zusammenarbeit zwischen Bund und Ländern sowie ein intensiverer Austausch mit internationalen Datenschutzregelungen könnten den Weg zu einem effizienteren und gerechteren Datenschutz ebnen.

Die Einhaltung internationaler Datenschutzstandards stellt Unternehmen vor große Herausforderungen. Wir helfen Ihnen bei der Einhaltung von Compliance-Regeln – Fordern Sie noch heute Ihr Angebot bei uns an.