Senator Sherrod Brown (D-Ohio) hat einen Entwurf für einen Data Accountability and Transparency Act vorgelegt, der die US-amerikanische Datenschutzlandschaft grundlegend verändern würde. Auch wenn der Entwurf im aktuellen Senat keine Überlebenschancen hat, so gibt er doch einen Einblick, welche Ideen möglicherweise zum Durchbruch kommen könnten, sollten die Demokraten bei den Wahlen am 3.11.2020 auf breiter Front siegen.
(Der Beitrag wurde auch veröffentlicht in ZD-Aktuell 2020, 07221)
Die Zielrichtung des Entwurfs („Discussion Draft“), der am 18.6.2020 der Öffentlichkeit vorgestellt wurde, ist klar eine Stärkung der Verbraucher und darf als eine Kampfansage an zahlreiche Vertreter des Silicon Valley verstanden werden. Bahnbrechend ist seine Abkehr von der Einwilligung als zentraler Basis für die Verarbeitung personenbezogener Daten. An ihre Stelle sollen strenge und klare Verarbeitungsgrundlagen treten und es soll somit der Machtasymmetrie zwischen Verbrauchern und Großkonzernen entgegengewirkt werden. Damit wäre auch dem Verstecken von umfangreichen Befugnissen in länglichen und trügerisch formulierten Terms of Service und Privacy Policies ein Ende gesetzt. Der Fokus von Datenschutzerklärungen würde von der Ermächtigung zur Aufklärung der Verbraucher verschoben. Die Aushandlung des Rahmens für zulässige Datenverarbeitung fände nicht mehr zwischen Verbraucher und Anbieter statt, sondern zwischen den Anbietern und dem Gesetzgeber. Entsprechend wird der materielle Teil des Entwurfs mit einem grundsätzlichen Verbot eingeleitet: „A data aggregator shall not collect, use, or share, or cause to be collected, used, or shared any personal data, unless the data aggregator can demonstrate that such personal data is strictly necessary to carry out a permissible purpose under section 102.“ Dort ist dann eine Liste mit zwölf zulässigen Zwecken verortet, deren erster Eintrag eine Entsprechung zu Art. 6 Abs. 1 UAbs. 1 lit. b DS-GVO darstellt. Interessant ist u. a. Nr. 8, wonach eine Verarbeitung zulässig ist „to detect or to respond to security incidents, protect against malicious, deceptive, fraudulent, or illegal activity, or prosecute those responsible for that activity“. Ein Äquivalent zu Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO ist nicht vorgesehen. Zudem findet sich im Entwurf eine Liste mit „unlawful data practices“, wozu z. B. zählt: „Terminate, refuse to provide, degrade goods or services to, or otherwise retaliate against, a person that exercises the rights of the person under this Act.“ (Sec. 103(a)(2)).
Zur Überwachung der Vorgaben des Gesetzes ist eine eigenständige Datenschutzaufsichtsbehörde nach europäischem Muster vorgesehen. Zudem sticht ein pauschales Verbot von Gesichtserkennungstechnologien aus dem Entwurf hervor. Das Gesetz bleibt offen für weitere Verschärfungen auf Ebene der Bundesstaaten.
Konkret sieht der Entwurf ferner u. a. ein Verbot der diskriminierenden Nutzung personenbezogener Daten im Kontext von Vermietung, Anstellung, Kreditvergabe, Versicherung und „public accommodation“ (ein breiter Begriff, der u. a. „a business that offers goods or services through the internet to the general public“ umfasst) vor. Der Einsatz von algorithmenbasierter Entscheidungsfindung soll mit einer Berichtspflicht gegenüber der Aufsichtsbehörde verknüpft werden (genannt Automated Decision System Impact Evaluation und Automated Decision System Risk Assessment). Bei Datenschutzverstößen sollen CEOs und Boards of Directors sowohl zivilrechtlich als auch strafrechtlich direkt belangt werden können. Die Aufsichtsbehörde selbst könnte als Ultima Ratio Bußgelder von bis zu 1 Mio. USD pro Tag eines andauernden, bewussten Verstoßes verhängen. Unter den Rechten des Betroffenen findet sich u. a. ein „right to human review of automated decisions“.
Bemerkenswert sind aber auch die Detailregelungen des Entwurfs, so etwa die Definition für anonymisierte Daten: „The term ‘anonymized data‘ means information that has been proven not to identify, relate to, describe, reference, be capable of being associated with, or be linked or reasonably linkable to a particular individual or device.“ Die kann kontrastiert werden mit Erwägungsgrund 26 DS-GVO, wonach eine Anonymisierung vorliegt, wenn die betroffene Person nicht oder nicht mehr identifiziert werden kann.
Die ultimativen Erfolgsaussichten der einzelnen Aspekte des Entwurfs sind schwer zu beurteilen. Er enthält zahlreiche Regelungen, die nicht nur aus US-amerikanischer Sicht als radikal gelten dürften. Er trifft aber auf ein politisches Klima, in dem die Themen Accountability und Reform eine prominente Rolle einnehmen. Sie könnten auch als Maximalforderungen eine mildere Reform erwirken, an deren Ende die Etablierung einer unabhängigen Datenschutzaufsichtsbehörde auf Bundesebene steht, wie sie auch schon von anderen gefordert wurde (s. z. B. Geminn, ZD-Aktuell 2020, 07025). Die Aufsichtsbehörde und ihre Befugnisse nehmen denn auch den größten Teil dieses Entwurfs ein.
Die Ideen aus den USA zur Reform des Datenschutzrechts könnten auch die Reformdebatte in Europa erneut befeuern, nachdem erst jüngst die EU-Kommission mit ihrem Bericht zur Evaluation der DS-GVO v. 24.6.2020 den Status quo des Datenschutzes im Wesentlichen zementiert hat, denn sie setzen an Kritikpunkten an, die auch auf das europäische Datenschutzregime zutreffen.