Die Senatorin Kirsten Gillibrand (D – New York) hat einen Entwurf für einen Data Protection Act of 2020 vorgelegt (https://www.gillibrand.senate.gov/imo/media/doc/2.11.2020_Data%20Protection%20Act.pdf). Kernanliegen des Entwurfs ist die Schaffung einer Federal Data Protection Agency in den USA.
(Dieser Beitrag wurde auch veröffentlicht in ZD-Aktuell 2020, 07025)
Der Entwurf definiert zunächst den Inhalt eines Rechts auf Privatsphäre, welches durch die zu schaffende Behörde (Data Protection Agency) zu garantieren ist: „The right to privacy protects the individual against intrusions into seclusion, protects individual autonomy, safeguards fair processing of data that pertains to the individual, advances the just processing of data, and contributes to respect for individual civil rights and fundamental freedoms.“ (Sec. 2(3)) Dabei wird auch die gesellschaftliche Bedeutung der Privatsphäre betont (Sec. 2(4)). Dementsprechend wird der Zweck der Behörde gefasst: „The Agency shall seek to protect individuals‘ privacy and limit the collection, disclosure, processing and misuse of individuals’ personal data by covered entities […]” (Sec. 6(a))
Der Behörde würden neben dem Schutz des Rechts auf Privatsphäre, die Aufgaben zugewiesen in Fragen des Datenschutz Beratungsleistungen zu erbringen, Aufklärungsarbeit gegenüber der Öffentlichkeit zu leisten, die Implementierung von angemessenen Datenschutzpraktiken im öffentlichen und privaten Sektor zu fördern und die USA in internationalen Foren zu vertreten. Zudem soll die Umsetzung der Vorgaben von 5 U.S. Code § 552a durch Bundesbehörden überwacht werden. Dieser umfangreiche Artikel ist der Vorschrift zur Informationsfreiheit bei Bundesbehörden (Freedom of Information Act, FOIA) angehängt und behandelt den Umgang mit personenbezogenen Daten von US-Bürgern und Permanent Residents durch diese Behörden (Records maintained on individuals). Ausdrücklich käme der zu schaffenden Aufsichtsbehörde auch eine verbraucherschützende Funktion zu. So soll es zu ihren Aufgaben gehören, angemessene Vertragsbedingungen im Markt sicherzustellen; dies ausdrücklich einschließlich des Verbots von „pay-for-privacy“ und „take-it-or-leave-it“ (Sec. 6(b)(7)). Sie würde auch als Anlaufstelle für Verbraucherbeschwerden dienen.
Die Behörde würde als unabhängiges Exekutivorgan ausgestaltet werden und unter dem Vorsitz eines vom US-Präsidenten ernannten Direktor stehen. Seine Ernennung müsste vom Senat bestätigt werden. Seine Amtszeit soll fünf Jahre betragen.
Zugleich würde das Gesetz eine Reihe von strukturellen Grundsatzentscheidungen zum Datenschutz in den USA mit sich bringen, die stark an das europäische Datenschutzregime angelehnt sind. Erfasst würde von den neu geschaffenen Regelungen jede Person, die in irgendeiner Weise personenbezogene Daten (personal data) verarbeitet. Ausgenommen sind „personal or household activity“. Neben den „personal data” kennt das Gesetz auch sog. “high-risk data practices“. Darunter fallen u.a. Profiling, die Verarbeitung sensitiver Daten, die systematische Überwachung von öffentlich zugänglichen Daten, Entscheidungen über den Zugang zu Dienstleistungen, Produkten etc., die Verarbeitung von biometrischen Daten zur Identifizierung einer Person, die Nutzung von personenbezogenen Daten von Kindern und anderen verletzlichen Gruppen u.a. zu Zwecken des Marketings u.v.m. Der Begriff der „sensitive data“ ist dabei in Anlehnung an die besonderen Kategorien personenbezogener Daten des europäischen Datenschutzrechts definiert. Über mehrere Stellen des Gesetzesentwurfs sind bekannte Datenschutzgrundsätze verteilt, wie etwa Privacy by Design und Datenminimierung (Sec. 6(b)(8)). Besondere Vorgaben sieht der Entwurf in Section 8 für sog. „very large covered entities“ vor. Dabei handelt es sich um Datenverarbeiter, die einen Jahresumsatz von mehr als 25 Millionen US-Dollar aufweisen, mit den Daten von mehr als 50.000 Personen, Haushalten oder Geräten umgehen und 50 Prozent oder mehr ihrer Einnahmen aus dem Verkauf personenbezogener Daten erzielen. Geldstrafen sind als gerichtlich angeordnete Tagessätze vorgesehen, die verhängt werden können, wenn ein durch die Aufsichtsbehörde angemahnter Verstoß nicht abgestellt wird.
Die aktuelle politische Lage in den USA macht es unwahrscheinlich, dass der Entwurf tatsächlich im 116. Kongress vom US-Senat verabschiedet wird. Für den 117. Kongress, der am 4. Januar 2021 beginnen wird, könnte sich dies infolge der Senatswahlen am 3. November 2020 jedoch ändern, falls sich die Mehrheitsverhältnisse in dieser Kammer des US-Kongresses wandeln. 33 der 100 Senatssitze werden dann neu besetzt.
Sollte der Entwurf in dieser Form Gesetz werden, erhielten die USA ein Datenschutzregime nach europäischem Muster mit einer stark am Verbraucherschutz orientierten Ausrichtung, begleitet durch entsprechende Durchsetzungsmechanismen. Leider enthält der Entwurf auch zahlreiche offene und deshalb auslegungsbedürftige Formulierungen und dürfte deshalb ähnliche Kritik auf sich ziehen wie schon der California Consumer Privacy Act. Die Aufgabe der Konkretisierung solcher Formulierungen läge bei der Agency selbst. Die Schwierigkeiten dieses Ansatzes zeigen sich indes bereits bei der Datenschutz-Grundverordnung. Die Bundesstaaten hätten die Möglichkeit, eigene Datenschutzgesetze zu erlassen oder beizubehalten, solange sie dem durch den Data Protection Act of 2020 gesetzten Mindeststandard genügen.
Die Federal Data Protection Agency würde neben die Federal Trade Commission (FTC) treten und deren Befugnisse im Bereich des „Federal privacy law“ übernehmen. Die FTC stand zuletzt wegen ihrer Sanktionspraxis gegenüber Facebook und Google in der Kritik.
Mit dem Consumer Online Privacy Rights Act (COPRA) wurde am 26. November 2019 ein weiterer Gesetzesentwurf zum Datenschutz auf den Weg gebracht, der die Unterstützung von Präsidentschaftskandidatin Klobuchar hat.