Suche

American Data Privacy and Protection Act: Bekommen die USA ein bundesweites Datenschutzgesetz?

Jure Globocnik

Jure Globocnik

Gastautor von der activeMind AG

Anders als in vielen anderen Ländern gilt in den USA zurzeit noch kein Datenschutzgesetz, das sektorenübergreifend und bundesweit jegliche Verarbeitung personenbezogener Daten regeln würde. Dies könnte sich mit dem American Data Privacy and Protection Act (ADPPA), der sich derzeit im Gesetzgebungsverfahren befindet, bald ändern. In diesem Artikel erklären wir, was sich mit dem neuen Gesetz für Unternehmen ändern dürfte und wie es mit dem Gesetzesentwurf weitergeht.

Welche Datenschutzgesetze gelten zurzeit in den USA?

Auch wenn es in den USA derzeit kein allgemeines bundesweit geltendes Datenschutzgesetz wie die EU-Datenschutz-Grundverordnung (DSGVO) gibt, bedeutet dies jedoch nicht, dass der Datenschutz bzw. der Schutz der Privatsphäre in den USA nicht gesetzlich geregelt wäre. Allerdings besteht ein Flickenteppich an Datenschutzgesetzen – sowohl auf Bundesebene, als auch in diversen Bundesstaaten.

Bundesgesetze zu Datenschutz und Privatsphäre

Bundesweit gelten in den USA einige Gesetze zum Schutz der Privatsphäre, die jedoch lediglich auf einen bestimmten Sektor oder auf Daten bestimmter Personengruppen anwendbar sind.

  • Zu ersteren gehören bspw. der Video Privacy Protection Act, der die Offenlegung von Informationen über den Verleih von Videos regelt, und der CAN-SPAM Act, der den Schutz der Privatsphäre in elektronischer Kommunikation zum Gegenstand hat.
  • In die zweite Kategorie fallen insbesondere Gesetze, die die Privatsphäre von Kindern bzw. Minderjährigen schützen sollen, etwa der Children’s Online Privacy Protection Act.

Die Verabschiedung dieser Gesetze ist oft auf ein konkretes Ereignis zurückzuführen, auf das der Gesetzgeber reagieren wollte.

Gesetze von Bundesstaaten

Des Weiteren haben Bundesstaaten in jüngster Zeit zahlreiche Datenschutzgesetzte verabschiedet. Dazu zählen zum einen allgemeine Gesetze, die oft gewisse Parallelen zur DSGVO aufweisen. Solche Gesetze wurden bisher in California, Virginia, Colorado, Utah und Connecticut verabschiedet.

Darüber hinaus gibt es in einigen Bundesstaaten sektorspezifische Gesetze, wie bspw. den Biometric Data Protection Act in Idaho oder die Data Broker Regulation in Vermont.

Mängel an einheitlicher gesetzlicher Regelung

Trotz der zahlreichen Gesetze werden personenbezogene Daten in den USA in vielen Kontexten nicht ausreichend oder gar nicht geschützt. Diesen Zustand wollte der Gesetzgeber in den letzten Dekaden schon mehrmals ändern, bisher jedoch stets ohne Erfolg.

Ein neuer Versuch wurde im Frühling 2022 mit dem American Data Privacy and Protection Act gestartet. Dem ADPPA werden im Vergleich zu den bisherigen Versuchen die größten Chancen eingeräumt, tatsächlich verabschiedet zu werden.

Anwendbarkeit des ADPPA

Laut dem Entwurf wäre der ADPPA auf sog. erfasste Rechtssubjekte (covered entities) anwendbar, vorausgesetzt, diese sammeln, verarbeiten oder teilen sog. erfasste Daten (covered data). Der Begriff erfasste Rechtssubjekte umfasst zunächst Unternehmen, auf die der Federal Trade Commission Act oder Titel II des Communications Act anwendbar ist. Somit wären neben Netzbetreibern auch die meisten anderen Unternehmen, die Handel in den USA betreiben, von dem ADPPA abgedeckt.

Eine Ausnahme bilden Unternehmen in Bereichen, auf die der Federal Trade Commission Act nicht anwendbar ist, wie bspw. Versicherungsunternehmen, Banken und Fluggesellschaften.

Der ADPPA wäre des Weiteren auf gemeinnützige Organisationen anwendbar, nicht aber auf Regierungsbehörden.

Laut Entwurf wäre der ADPPA auch auf kleine und mittlere Unternehmen anwendbar, jedoch nicht sämtliche Gesetzesnormen. Um unter diese Ausnahmen zu fallen, müsste das Unternehmen folgende Voraussetzungen erfüllen:

  1. jährlicher Bruttoumsatz von weniger als 41 Millionen USD in jedem der vergangenen drei Jahre,
  2. verarbeitet Daten von weniger als 100.000 Personen und
  3. erwirtschaftet nicht mehr als 50% seines Umsatzes mit dem Datenteilen.

Wie oben erwähnt, ist eine der Anwendbarkeitsvoraussetzungen des ADPPA-Entwurfs, dass das Rechtssubjekt sog. erfasste Daten sammelt, verarbeitet bzw. teilt. Diese sind als Informationen definiert, die sich auf eine Person beziehen oder mit dieser in Beziehung gebracht werden können. Der Begriff umfasst ferner Daten, die sich auf ein Gerät beziehen, über das eine Person identifiziert werden kann. Ausdrücklich von dem Anwendungsbereich ausgenommen sind anonymisierte Daten (wobei diese anders zu verstehen sind als unter der DSGVO), Beschäftigtendaten inkl. Daten der Bewerber sowie öffentlich zugängliche Informationen.

Der Anwendungsbereich des ADPPA ist nach dem Entwurf also um einiges enger als derjenige der DSGVO, die zum einen keine Ausnahmen für kleinere Unternehmen oder für bestimmte Branchen vorsieht und zum anderen auch auf Beschäftigtendaten und öffentlich zugängliche Informationen anwendbar ist.

Der Entwurf regelt auch Datenverarbeitung im Auftrag durch Dienstleister (vergleichbar mit Auftragsverarbeitern nach der DSGVO). Für diese gelten teilweise andere bzw. modifizierte Anforderungen.

Anforderungen des ADPPA

Die Anforderungen, die der ADPPA-Entwurf vorsieht, ähneln denjenigen, die einige Bundesstaaten verabschiedet haben. Auch denjenigen, die sich mit der DSGVO auskennen, dürften viele Normen bekannt vorkommen:

  • So sieht der ADPPA-Entwurf bestimmte Transparenzpflichten vor.
  • Der Grundsatz der Zweckbindung und der Grundsatz der Datenminimierung werden gesetzlich vorgeschrieben.
  • Auch die Anforderungen an eine gültige Einwilligung werden geregelt.
  • Außerdem sieht der Entwurf erhöhte Erfordernisse an die Verarbeitung von bestimmten sensiblen Datenkategorien vor.
  • Der Entwurf sieht einige Betroffenenrechte vor, die stark denjenigen aus Art. 15 ff. DSGVO ähneln. Neben dem Recht auf Information sollen Betroffene auch das Recht auf Löschung von Daten, das Recht auf Berichtigung von Daten, das Recht auf Datenportabilität sowie das Recht, bestimmten Datenverarbeitungen zu widersprechen (Opt-out), erhalten.

Anders als in der DSGVO findet sich im ADPPA-Entwurf keine Regelung über die Meldung von Datenpannen. Bisher haben jedoch alle Bundesstaaten ein derartiges Gesetz verabschiedet. Diese sollten weiterhin gelten. Diesbezüglich wird es also weiterhin einen Flickenteppich der Gesetze auf Bundesstaatenebene geben.

Wie geht es mit dem ADPPA-Entwurf weiter?

Einige Streitpunkte wurden bisher nicht gelöst. Dies betrifft zunächst die Frage, ob Betroffene ein „private right of action“ bekommen sollen, d.h. das Recht, Unternehmen wegen Datenschutzverstößen zu verklagen.

Die zweite offene Frage ist, ob die bereits verabschiedeten Gesetzte der Bundesstaaten, die in einigen Aspekten strenger als das Bundesgesetz sind, weiterbestehen oder durch das Bundesgesetz verdrängt werden sollen. Insbesondere Republikaner setzten sich für die zweite Option ein, um so einen einheitlichen nationalen Standard zu etablieren. Dies wäre für Unternehmen, die in mehr als einem Bundesstaat tätig sind, eine große Erleichterung. Gegner dieser Idee (die meisten davon aus Kalifornien) argumentieren, man solle das bereits etablierte Niveau an Datenschutz nicht senken. Bisher konnte in dieser viel diskutierten Frage keine Einigung erreicht werden.

Einfluss des ADPPA auf Datenübermittlungen aus der EU

Aus europäischer Sicht stellt sich die Frage, ob die EU nach der Verabschiedung des ADPPA die USA als ein sicheres Drittland einstufen wird. Dies ist allerdings nicht sehr wahrscheinlich, denn in der Schrems II-Entscheidung hat der Europäische Gerichtshof gerade die weitreichenden Befugnisse der US-amerikanischen Sicherheitsbehörden bemängelt. Diese beschränkt der ADPPA, der auf die Regierung bzw. Regierungsbehörden keine Anwendung findet, in keiner Weise. Folglich ist es nicht davon auszugehen, dass im Falle der Verabschiedung der ADPPA die USA als Ganzes einen Angemessenheitsbeschluss erhalten werden.

Nichtsdestotrotz wäre die ADPPA-Verabschiedung ein wichtiges politisches Signal, dass die USA den Datenschutz nun ernst(er) nehmen, und könnte somit das Vertrauen in die USA stärken.

Fazit

Mit dem ADPPA-Entwurf folgen die USA vielen anderen Staaten, die bereits ein sektorenübergreifendes nationales Datenschutzgesetz verabschiedet haben. Das Gesetz würde die Verarbeitung personenbezogener Daten begrenzen und natürlichen Personen einige Rechte nach dem DSGVO-Vorbild an die Hand geben.

Auch wenn dem Entwurf gute Chancen eingeräumt werden, bleibt jedoch abzuwarten, ob er tatsächlich verabschiedet wird. Wir werden Sie an dieser Stelle über die wesentlichen Entwicklungen auf dem Laufenden halten.

Kontaktieren Sie uns!

Sichern Sie sich das Wissen unserer Experten!

Abonnieren Sie unseren Newsletter: