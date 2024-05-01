Nach jahrelanger Arbeit und erfolglosen Gesetzesversuchen wurde kürzlich ein Entwurf für ein US-Bundesdatenschutzgesetz veröffentlicht. Der Ausschuss für Energie und Handel des Repräsentantenhauses der Vereinigten Staaten hat am 7. April 2024 den American Privacy Rights Act veröffentlicht. Mehrere Probleme in der Vergangenheit standen der Verabschiedung von Gesetzen im Weg, etwa ob US-Bundesstaaten strengere Regeln erlassen und ob Einzelpersonen Unternehmen wegen Datenschutzverletzungen verklagen dürfen.
Mit dem amerikanischen Datenschutzgesetz von 2024 schuf die US-Regierung die erste nationale Datenschutzrichtlinie, die nationale Datenschutzrechte für Verbraucher festlegte und auch Standards für die Datensicherheit definierte. Bestimmte Einrichtungen sind von der Gesetzgebung ausgeschlossen, darunter kleine Unternehmen, Regierungen, Einrichtungen, die im Auftrag von Regierungen arbeiten, und das National Center for Missing and Exploited Children (NCMEC). Betrugsgemeinnützige Organisationen sind nur verpflichtet, die Datensicherheit einzuhalten. Als Teil des Gesetzes wird die Federal Trade Commission (FTC) ein neues Büro zur Durchsetzung von Verstößen einrichten, die gemäß dem FTC Act als unfaire oder irreführende Praxis behandelt werden.
„Dieser parteiübergreifende Gesetzesentwurf beider Kammern des Kongresses bietet die beste Gelegenheit seit Jahrzehnten, einen nationalen Standard für Datenschutz und Datensicherheit zu etablieren, der den Menschen das Recht gibt, ihre persönlichen Daten zu kontrollieren“, erklärten Cathy McMorris Rodgers (Republikanerin aus Washington), Vorsitzende des Energie- und Handelsausschusses des Repräsentantenhauses, und Maria Cantwell (Demokratin aus Washington), Vorsitzende des Handels-, Wissenschafts- und Verkehrsausschusses des Senats, in der Pressemitteilung. „Dieses bahnbrechende Gesetz ist das Ergebnis jahrelanger Bemühungen sowohl im Repräsentantenhaus als auch im Senat. Es bietet ein sinnvolles Gleichgewicht zu Themen, die für die Verabschiedung umfassender Datenschutzgesetze durch den Kongress kritisch sind. Die Amerikaner verdienen das Recht, ihre Daten zu kontrollieren, und wir hoffen, dass unsere Kollegen im Repräsentantenhaus und im Senat uns dabei unterstützen werden, dieses Gesetz zu verabschieden.“
Einer der wichtigsten Teile des Gesetzes ist, dass es die derzeitigen verteilten staatlichen Datenschutzgesetze ersetzt, die als Präemption bezeichnet werden. Da die Unternehmen den Gesetzen des Bundesstaates unterliegen mussten, in dem der Kunde seinen Wohnsitz hatte, war es eine Herausforderung, die Einhaltung der unterschiedlichen Gesetze in den vielen Bundesstaaten sicherzustellen.
Allerdings können die Bundesstaaten in bestimmten Fällen, wie beispielsweise bei Bürgerrechten und Verbraucherschutz, weiterhin ihre eigenen Datenschutzgesetze erlassen. Bei der Ausarbeitung des APRA bewahrten Gesetzgeber Standards aus Schlüsselstaaten wie Kalifornien, Illinois und Washington.
Der 140-seitige Entwurf des APRA legt detaillierte Standards und Prozesse in Bezug auf den Datenschutz fest. Hier sind fünf wichtige Teile der neuen Gesetzesvorlage.
Die Gesetzgeber verwendeten die Formulierung des California Consumer Privacy Rights Act (CCPA), die Personen, die durch eine Datenpanne geschädigt wurden, die Befugnis gab, Unternehmen zu verklagen. Mit der Klage können Verbraucher tatsächlichen Schadenersatz, Unterlassungsansprüche, Feststellungsansprüche und angemessene Anwaltsgebühren und -kosten geltend machen. Einwohner Kaliforniens können auch auf Grundlage des CCPA einen gesetzlichen Schadensersatz erhalten.
Unternehmen müssen eine Datenschutzrichtlinie vorlegen, in der die Verfahren zur Datenerfassung und die Möglichkeiten zur Ablehnung der Datenerhebung durch die Verbraucher aufgeführt sind. Das Gesetz beschränkt außerdem die Sammlung und Übertragung bestimmter Datentypen, wie biometrische oder genetische Informationen, ohne ausdrückliche Zustimmung der Person, sofern dies ausdrücklich durch einen angegebenen erlaubten Zweck erlaubt ist.
Das APRA gibt den Amerikanern die Möglichkeit, Unternehmen und Datenmakler daran zu hindern, ihre Daten weiterzugeben oder zu verkaufen. Verbraucher können sich auch von gezielter Werbung abmelden. Zusätzlich verlangt das Gesetz die Zustimmung des Verbrauchers, damit Unternehmen sensible Daten an Dritte übertragen dürfen.
Im Rahmen des Gesetzes wird die FTC ein Datenbrokerregister führen. Alle Datenbroker müssen zudem eine öffentliche Website betreiben, auf der sie sich als Datenbroker ausweisen. Verbraucher, einschließlich Menschen mit Behinderungen, müssen die Möglichkeit haben, ihre Daten zu kontrollieren und der Datenerfassung auf der Website mittels eines „Nicht erfassen“-Mechanismus zu widersprechen.
Während die meisten Unternehmen entweder einen Datenschutz- oder einen Datenbeauftragten ernennen können, müssen Inhaber großer Datenbestände beide benennen und zusätzliche Anforderungen wie die jährliche Einreichung bei der FTC einhalten. Unternehmen müssen keine eigenständige Position schaffen, sondern können diese Aufgaben zu einer bestehenden Rolle hinzufügen.
Da sich das Gesetz noch im Diskussionsentwurf befindet, sind die Nächste Schritte noch nicht festgelegt. Es ist kein offizielles Datum für die Abstimmung oder Verabschiedung des Gesetzentwurfs festgelegt. Aufgrund der Auswirkungen auf Unternehmen und Verbraucher sollten die Amerikaner die Diskussionen aufmerksam verfolgen, und die Unternehmen sollten sich auf die Verordnungen vorbereiten, die 180 Tage nach ihrer Verabschiedung in Kraft treten würden.