Datensicherheit ist auch im Jahr 2024 ein heißes Thema für Unternehmen und Verbraucher gleichermaßen, da Cybervorfälle und die damit verbundenen Kosten weiterhin Rekordhöhen erreichen. Mit mehreren der größten Datenschutzverletzungen der Geschichte in den letzten Jahren ist das öffentliche Bewusstsein für den Datenschutz gewachsen, und damit auch das Verständnis und die Vorsicht des Durchschnittsverbrauchers gegenüber der Art und Weise, wie Unternehmen ihre persönlichen Daten erfassen, verwenden und davon profitieren.

Während mehrere US-Bundesstaaten Gesetze verabschiedet haben, die sich mit den Problemen der Verbraucherdaten befassen, arbeitet der US-Kongress daran, diese Probleme auf Bundesebene mit einem universellen Datenschutzgesetz anzugehen. Eine solche Gesetzgebung ist schon seit Jahren im Gespräch, gewinnt aber jetzt mit dem American Privacy Rights Act of 2024 (APRA) an Boden. Dieser überparteiliche Gesetzentwurf wurde im April dieses Jahres vorgelegt und soll einen universellen Standard für den Datenschutz in den USA festlegen.

Die vorgeschlagene Gesetzesvorlage folgt auf den American Data Privacy and Protection Act (ADPPA), den letzten Versuch des Kongresses, ein universelles Datenschutzgesetz zu verabschieden. Der ADPPA wurde 2022 eingeführt und erhielt parteiübergreifende Unterstützung, wurde aber letztlich nicht verabschiedet. Trotz seines Scheiterns bot das ADPPA einen soliden Rahmen, auf dem das APRA aufbaut, und es besteht nun die Hoffnung, dass die vorgenommenen Änderungen und Verbesserungen ausreichen, um das Gesetz durch das Repräsentantenhaus und den Senat zu bringen und allen Amerikanern umfassende Datenschutzrechte zu gewähren.

Was wird mit dem American Privacy Rights Act von 2024 vorgeschlagen?

Eines der Hauptziele des APRA ist die Stärkung des Datenschutzes für die amerikanischen Verbraucher, indem sie mehr Kontrolle darüber erhalten, ob, wann und wie ihre Daten verwendet werden. Um diese Ziele zu erreichen, sieht der Gesetzentwurf Folgendes vor:

• Die Verbraucher werden das Recht haben, auf die von Unternehmen und Organisationen (als „betroffene Einrichtungen“ bezeichnet) gesammelten privaten Daten zuzugreifen und diese Daten nach Belieben zu korrigieren oder zu löschen.
• Den Verbrauchern wird ein einfacher Mechanismus zur Verfügung gestellt, mit dem sie sich gegen gezielte Werbung, algorithmische Verfahren und die Verarbeitung und Nutzung ihrer personenbezogenen Daten entscheiden können.
• Die Datenminimierung wird hervorgehoben. Die Praktiken der Datenerhebung werden stärker eingeschränkt, indem die betroffenen Unternehmen verpflichtet werden, für alle von ihnen erhobenen und verarbeiteten Daten einen bestimmten und erwarteten Zweck anzugeben.
• Einzelpersonen haben im Rahmen des APRA ein privates Klagerecht, um betroffene Unternehmen wegen angeblicher Verstöße zu verklagen.

Um den Verbrauchern mehr Kontrolle über ihre Daten zu geben, müssen die Unternehmen, die diese Daten verarbeiten und nutzen, stärker in die Pflicht genommen werden. Die APRA beabsichtigt, diese Verpflichtungen wie folgt durchzusetzen:

• Die betroffenen Unternehmen müssen die gesammelten Daten eines Kunden auf Anfrage innerhalb eines bestimmten Zeitfensters zugänglich machen, und sie müssen es ermöglichen, diese Daten leicht zu verschieben, zu kopieren und zu übertragen.
• Die Federal Trade Commission (FTC) wird einen zentralisierten Opt-out-Mechanismus einrichten, den die betroffenen Unternehmen den Verbrauchern in leicht verständlicher und transparenter Weise zur Verfügung stellen müssen.
• Betroffene Unternehmen, die Daten erheben, verarbeiten und nutzen, müssen die Verbraucher in einer „klaren, auffälligen, nicht irreführenden, leicht lesbaren und leicht zugänglichen Weise“ über ihre Aktivitäten informieren.
• Die Bezeichnung Datenschutz- oder Datensicherheitsbeauftragter muss einem Mitarbeiter zugewiesen werden, der qualifiziert ist, den Erfolg des Datenschutzprogramms der betroffenen Einrichtung sicherzustellen und die Einhaltung der APRA zu gewährleisten.
• Den betroffenen Unternehmen ist es untersagt, in die Rechte der Verbraucher einzugreifen und Kunden aufgrund ihrer Datenpräferenzen zu diskriminieren.

Im Rahmen der APRA werden bestimmte betroffene Einrichtungen als „große Dateninhaber“ betrachtet und unterliegen weiteren Transparenzanforderungen. Große Dateninhaber werden weitgehend durch ihre Bruttoeinnahmen und die Anzahl der Personen definiert, deren private Daten sie jährlich erheben, verarbeiten, aufbewahren und weitergeben. Diejenigen, die die festgelegten Schwellenwerte erreichen, werden zu Folgendem verpflichtet

• den Verbrauchern eine „knappe, klare, auffällige und nicht irreführende“ Kurzmitteilung über ihre Datenpraktiken mit nicht mehr als 500 Wörtern zur Verfügung stellen.
• alle Versionen ihrer Datenschutzrichtlinien der letzten 10 Jahre aufbewahren und veröffentlichen, mit einem klaren, auffälligen und leicht zugänglichen Protokoll aller Änderungen, die in diesem Zeitraum vorgenommen wurden.
• Durchführung von Folgenabschätzungen, um die potenziellen Auswirkungen ihrer Datenverarbeitungspraktiken auf die Privatsphäre zu ermitteln und die Maßnahmen zur Risikominderung und Schadensvermeidung beim Einsatz algorithmischer Praktiken darzulegen.
• zwei qualifizierte Mitarbeiter zu benennen, die die Positionen des Datenschutzbeauftragten und des Datensicherheitsbeauftragten übernehmen.

Dieser Gesetzesentwurf enthält noch viel mehr, aber diese Punkte bieten einige der wichtigsten Anregungen und verdeutlichen die wichtigsten Ziele eines umfassenden Datenschutzplans. Datenschutzgesetze auf Bundesebene können nicht nur dazu beitragen, allen Amerikanern einen besseren Datenschutz zu bieten, sondern auch den Unternehmen die Einhaltung der verschiedenen Datenschutzgesetze auf Staatsebene zu erleichtern, die derzeit existieren.

Wie ist der aktuelle Stand des APRA?

Ein Entwurf des APRA wurde von der Vorsitzenden des Energie- und Handelsausschusses des Repräsentantenhauses, Cathy McMorris Rodgers (R-Wash.), und der Vorsitzenden des Handelsausschusses des Senats, Maria Cantwell (D-Wash.), am 7. April 2024 veröffentlicht. Mitte Mai hatte es bereits einige Änderungen erfahren, darunter einige Änderungsvorschläge zum Children's Online Privacy Protection Act von 1998, die es dem APRA ermöglichen, Minderjährige online besser zu schützen. Die für den 27. Juni vorgesehene Prüfung des Gesetzentwurfs durch den Ausschuss für Energie und Handel des Repräsentantenhauses wurde in letzter Minute abgesagt. Die nächsten Schritte für das APRA sind unklar, aber die Ausschussvorsitzenden haben erklärt, dass sie sich weiterhin dafür einsetzen, den Gesetzentwurf voranzubringen.

So wichtig und überparteilich dieser Gesetzentwurf auch sein mag, es sollte erwartet werden, dass ein so umfassender, weitreichender und bedeutender Gesetzesvorschlag wie ein universeller Datenschutzplan eine umfassende Überprüfung und Überarbeitung erfordert, bevor er schließlich in ein Gesetz aufgenommen wird. Der Gesetzesentwurf weist derzeit einige bemerkenswerte Hürden auf, darunter die Klausel über das private Klagerecht, die bei einigen Gesetzgebern für heftige Diskussionen sorgt und einer der Gründe für das Scheitern des ADPPA war.

Ein weiterer Grund, warum das ADPPA nicht verabschiedet wurde, war die Formulierung des Vorrangs, die den Vertretern von Bundesstaaten Sorgen bereitete, die bereits über Datenschutzgesetze verfügen, wie z. B. das kalifornische Verbraucherschutzgesetz. Diejenigen, die diese Gesetze bereits in Kraft gesetzt haben, wollten nicht, dass ihre Gesetze durch Bundesgesetze, die sie als schwächer als ihre eigenen ansehen, überholt oder geändert werden. Diese Frage könnte auch für die APRA eine große Hürde darstellen.

Schlussfolgerung

Das APRA befindet sich zwar noch in der Anfangsphase, aber sowohl der Gesetzentwurf als auch die darin behandelten Themen werden von beiden Parteien unterstützt. Darüber hinaus war der ADPPA-Entwurf, nach dessen Vorbild das APRA entwickelt wurde, der erfolgreichste Datenschutzplan, der dem Kongress bisher vorgelegt wurde, und das APRA soll einige der Probleme lösen, die zum Scheitern seines Vorgängers geführt haben. Das sollte all jenen Hoffnung geben, die sich Sorgen um den Schutz ihrer Daten und der Daten ihrer Mitbürger machen.