Amerikaner haben wollte ein Bundesdatenschutzgesetz Seit Jahren wird dieser Wunsch jedoch durch intensives Lobbying der Technologiebranche und die allgemeine Inkompetenz unserer Bundesgesetzgeber immer wieder vereitelt. Nun, im Jahr 2024 ist es möglich, dass wir endlich ein strenges Bundesgesetz zum Datenschutz bekommen.
Ich sage es noch einmal: Es ist möglich. Das ist auch technisch möglich Frösche könnten vom Himmel regnen über Lower Manhattan und überzieht die New Yorker mit einem Frühlingsschauer aus amphibischen Eingeweiden, aber ist das tatsächlich wahrscheinlich?
Der Amerikanisches Gesetz über Datenschutzrechte Das kürzlich von Cathy McMorris Rodgers (R-WA) und Maria Cantwell (D-WA) eingeführte Gesetz von 2024 würde einen grundlegenden Schutz der digitalen Privatsphäre für Amerikaner schaffen. Das Gesetz würde im Falle seiner Verabschiedung eine Reihe von Schutzmaßnahmen und Rechten für Verbraucher schaffen, einschließlich der Möglichkeit, auf die von Unternehmen gesammelten Informationen zuzugreifen, diese zu kontrollieren und zu löschen.
Auch wenn das nach einer guten Sache klingt, gibt es einen Aspekt der Gesetzgebung, der den Befürwortern der Privatsphäre offenbar Sorgen bereitet. Das vorgeschlagene Gesetz würde potenziell stärkere Schutzmaßnahmen auf Landesebene beseitigen, die derzeit bestehen. Während Datenschutzgruppen hinsichtlich des Potenzials der APRA weiterhin vorsichtig optimistisch sind, sind sie auch misstrauisch gegenüber der vorgeschlagenen Ausgrenzung staatlicher Gesetze. Wenn die derzeit vorgeschlagenen Regelungen stark erscheinen, steht der Gesetzgebungsprozess gerade erst am Anfang und es ist nicht abzusehen, wie das Bundesgesetz nach einem sicherlich langen, kämpferischen politischen Entscheidungsprozess aussehen wird.
Hier ein kurzer Blick darauf, was die Gesetzgebung derzeit verspricht und was Datenschützer dazu sagen.
Das Recht auf Zugriff, Kontrolle und Löschung
Der American Privacy Rights Act würde einen umfassenden Schutz für die Daten der Amerikaner schaffen und den Verbrauchern die Möglichkeit geben, auf die unter die Gesetzgebung fallenden Daten zuzugreifen, sie zu kontrollieren und zu löschen. Die Richtlinie würde allen Amerikanern die Befugnis geben, Informationen von Unternehmen anzufordern, die Daten über sie gesammelt haben. Unternehmen, die unter das Gesetz fallen, müssten den Wünschen der Verbraucher innerhalb „festgelegter Zeitrahmen“ nachkommen, heißt es im Gesetzentwurf. Der Gesetzentwurf erlaubt bestimmte Ausnahmen von diesen Vorschriften, einschließlich kleiner Unternehmen (die als Unternehmen definiert sind, die „40.000.000 US-Dollar oder weniger Jahresumsatz“ erzielen oder „die erfassten Daten von 200.000 oder weniger Personen“ sammeln, verarbeiten, speichern oder übertragen). sowie Regierungen und „Einrichtungen, die im Auftrag von Regierungen arbeiten“.
Datenminimierung
Der Gesetzentwurf würde auch etwas vorschreiben, das als „Datenminimierung“ bezeichnet wird. Die Idee dabei ist, die Gesamtmenge an Informationen zu reduzieren, die Unternehmen über Webbenutzer sammeln können. Befürworter des Gesetzentwurfs sagen, dass Unternehmen, die unter die Gesetzgebung fallen, nicht in der Lage sein werden, „Daten zu sammeln, zu verarbeiten, aufzubewahren oder zu übertragen, die über das hinausgehen, was notwendig, verhältnismäßig oder begrenzt ist, um ein von einer Einzelperson angefordertes Produkt oder eine Dienstleistung bereitzustellen oder aufrechtzuerhalten oder eine Kommunikation bereitzustellen.“ im Rahmen der Beziehung vernünftigerweise zu erwarten ist, oder ein zulässiger Zweck.“ Auch wenn das gut klingt, steckt der Teufel hier im Detail und es ist noch nicht ganz klar, wie diese Art der Datenminimierung im wirklichen Leben aussehen würde.
Was sind abgedeckte Daten?
Der Gesetzentwurf definiert die vom Gesetz erfassten Daten wie folgt:
…Informationen, die eine Person oder ein Gerät identifizieren oder damit verknüpft oder vernünftigerweise damit verknüpfbar sind. Nicht erfasst werden anonymisierte Daten, Mitarbeiterdaten, öffentlich zugängliche Informationen, Schlussfolgerungen aus mehreren Quellen öffentlich zugänglicher Informationen, die nicht der Definition sensibler abgedeckter Daten entsprechen und nicht mit abgedeckten Daten kombiniert werden, sowie Informationen in einer Bibliothek oder einem Archiv , oder Museumssammlung vorbehaltlich bestimmter Einschränkungen.
Stärkung der FTC
Die Durchsetzung des Gesetzes würde sowohl auf Bundes- als auch auf Landesebene erfolgen. Insbesondere soll die Federal Trade Commission damit beauftragt werden, Vorschriften und technische Spezifikationen für einen „zentralisierten Mechanismus für Einzelpersonen zur Ausübung“ ihrer Opt-out-Rechte sowie andere technische Fragen im Zusammenhang mit der Umsetzung der Gesetzgebung zu entwickeln, heißt es in dem Gesetzentwurf. Gleichzeitig gibt der Gesetzentwurf den „Generalstaatsanwälten, obersten Verbraucherschutzbeauftragten und anderen Beamten eines Staates vor dem Bundesbezirksgericht“ die Befugnis, Durchsetzungsmaßnahmen gegen Unternehmen zu ergreifen, die gegen das Gesetz verstoßen.
Ziel ist die Datenbrokerbranche
Der Gesetzentwurf zielt auch auf Datenbroker ab. Nach der neuen Gesetzgebung wäre die FTC verpflichtet, ein Datenmaklerregister einzurichten, das von Verbrauchern verwendet werden könnte, um zu identifizieren, welche Unternehmen Makler sind, und um die Datenerfassung durch diese Firmen abzulehnen. Alle Datenbroker, die Daten von mehr als 5.000 Personen sammeln, müssten sich jedes Jahr neu im Bundesregister registrieren. Gleichzeitig wären Makler auch gezwungen, eigene Websites zu unterhalten, die sie als Datenbroker kennzeichnen und ein Tool enthalten, mit dem Verbraucher sich abmelden können.
Privates Klagerecht
Ein langjähriger Wunsch von Befürwortern der Privatsphäre ist ein privates Klagerecht– ein Mechanismus, der es einzelnen Verbrauchern ermöglicht, Unternehmen zu verklagen, die ihre Rechte verletzt haben. Eine Reihe staatlicher Datenschutzgesetze haben dies nicht berücksichtigt. Nach der aktuellen Fassung der APRA würden Verbraucher ein privates Klagerecht erhalten, das es ihnen ermöglicht, Klage gegen Unternehmen einzureichen, die nachweislich ihre digitalen Datenschutzrechte verletzt haben.
Datenschützer bleiben vorsichtig optimistisch
Angesichts der jahrelangen Untätigkeit der Bundesregulierungsbehörden in Bezug auf die Datenschutzpolitik haben die Regierungen der Bundesstaaten im letzten Jahrzehnt eine Reihe strenger Datenschutzgesetze verabschiedet. Einige dieser Gesetze, wie das kalifornische CCPA, waren recht streng. Das neu vorgeschlagene Bundesgesetz gibt offen zu, dass es „den bestehenden Flickenteppich bundesstaatlicher umfassender Datenschutzgesetze“ beseitigen und stattdessen „robuste Durchsetzungsmechanismen einführen würde, um Verstöße zur Rechenschaft zu ziehen“. Die Tatsache, dass die APRA den Gesetzen der Bundesstaaten vorgreifen würde, beunruhigt einige Befürworter der Privatsphäre, die die Möglichkeit eines abgeschwächten Bundesgesetzes befürchten. Die Tatsache, dass die APRA jetzt stark zu sein scheint, bedeutet nicht viel, da sie während des Gesetzgebungsprozesses leicht von Lobbyisten kastriert werden könnte.
Caitriona Fitzgerald, die stellvertretende Direktorin des Electronic Privacy Information Center, sagte, dass der Vorrang des Bundesgesetzes gegenüber bundesstaatlicher Regulierung nur dann angemessen sei, wenn es sich letztendlich um ein starkes Gesetz handele. „Aus unserer Sicht – in einer idealen Welt – würde es den Gesetzen der Bundesstaaten nicht zuvorkommen, sondern es den Bundesstaaten ermöglichen, strengere Gesetze zu verabschieden“, sagte Fitzgerald. „Wir sind uns bewusst, dass Kompromisse notwendig sind und dass dies ein großer Knackpunkt ist. Wenn es den Gesetzen des Bundesstaates zuvorkommen soll, muss es strenger sein als die bestehenden Gesetze und Vorschriften des Bundesstaates. Wir prüfen den Gesetzentwurf noch, um festzustellen, ob dies der Fall ist.“
Andere Befürworter des Datenschutzes, wie das Surveillance Technology Oversight Project (STOP), äußerten ähnliche Bedenken. „Das ADPPA bietet strenge Datenschutzbestimmungen, insbesondere Regeln zur Datenminimierung“, sagte Will Owen, Kommunikationsdirektor von STOP. „Aber der Gesetzentwurf greift zu kurz, da er Staaten davon abhält, noch härtere Maßnahmen zu ergreifen, falls sie dies wünschen. Am schlimmsten ist, dass das ADPPA Staaten von der Durchsetzung von Schutzmaßnahmen abhält und dies allein der US-Exekutive überlässt, die bei der Durchsetzung der Datenschutzrechte der Amerikaner unbeständig war.“
Cody Venzke, leitender Politikberater bei der ACLU, sagte, seine Organisation sei weiterhin „besorgt, dass die weitgehende Ausgrenzung staatlicher Gesetze durch diesen Gesetzentwurf unsere Fähigkeit, auf die sich entwickelnden Herausforderungen der Technologie zu reagieren, einfrieren wird.“