Die Reaktionen reichen von ungläubigem Staunen über Enttäuschung bis zu vorsichtigem Optimismus. Nur wenige hatten damit gerechnet, dass der US-Kongress in diesem Jahr ein bundesweites Datenschutzgesetz vorlegen würde. Doch letzte Woche einigte sich eine parteiübergreifende Koalition von Abgeordneten beider Parlamentshäuser auf einen Entwurf, dem eine Chance eingeräumt wird, tatsächlich Gesetz zu werden.
Mit der EU-Datenschutzgrundverordnung vergleichbare Regeln, die im ganzen Land gelten, fehlen bislang in den USA. Zum einen hat das zu haarsträubenden, aber legalen Geschäftspraktiken der Datenindustrie geführt. Zum anderen bildet sich ein wachsender Flickenteppich. Immer mehr Bundesstaaten, darunter große wie Kalifornien und Illinois, legen ihre eigenen Datenschutzregeln fest. Nicht zuletzt stört das auch die Industrie, der einheitliche Regeln lieber wären.
„Wir glauben fest daran, dass dieser Standard die beste Gelegenheit seit Jahrzehnten ist, ein bundesweites Datenschutzgesetz zu verabschieden“, sagten die federführenden Abgeordneten in einer gemeinsamen Stellungnahme. Die Gruppe besteht aus dem Demokraten Frank Pallone und der Republikanerin Cathy McMorris Rodgers aus dem Repräsentantenhaus sowie dem republikanischen Senator Roger Wicker.
DSGVO lässt grüßen
Einige der vorgeschlagenen Bestimmungen sind aus der EU bekannt, wären aber ein jeweiliges Novum in den USA: Der Entwurf enhält eine Pflicht zur Datenminimierung. Unternehmen sollten also nur Daten speichern, die „notwendig, angemessen und limitiert“ sind. Nutzer:innen könnten bei Firmen anfragen, welche Daten über sie gespeichert sind und eine Korrektur oder Löschung verlangen. Verboten wäre zielgerichtete Online-Werbung an Minderjährige sowie der Einsatz von Dark Patterns. Das sind Tricks, um Nutzer:innen zu bestimmtem Verhalten zu verleiten – etwa, dass sie Cookies akzeptieren.
Besonders geschützt wären sensible informationen wie genetische und biometrische Daten. Zu letzterer Kategorie zählen etwa Fingerabdrücke, Retina-Scans oder die digitale Repräsentation der Gangart einer Person. Auch heikle Datenkategorien wie die Sozialversicherungsnummer, präzise Ortsdaten und Gesundheitsinformationen dürften nicht oder nur unter bestimmten Bedingungen verarbeitet werden. Zudem dürften algorithmische Verfahren sowie das zugrundliegende Trainingsmaterial Grundrechte nicht verletzen.
Die Aufsicht würde der US-Handelsbehörde (Federal Trade Commission, FTC) zufallen. Diese würde etwa eine öffentliche Datenbank von Datenhändlern aufbauen und einen Mechanismus einführen, mit dem Nutzer:innen aus zielgerichteter Werbung aussteigen könnten. Gelten soll das Gesetz für alle Firmen, die jetzt schon von der FTC beaufsichtigt werden. Auch die traditionell von der Federal Communications Commission kontrollierten Netzbetreiber müssten Teile ihrer Geschäftsmodelle anpassen. Von einigen Ausnahmen abgesehen soll das Gesetz generell die Regelungen von Bundesstaaten ablösen.
Ärgerliche Schlupflöcher
Doch das Gesamtpaket wird durch eine Reihe an Schlupflöchern entwertet. Wie Gizmodo berichtet, sind unter anderem „de-identifizierte“ Daten von den Bestimmungen ausgenommen. Das macht viele Schutzvorkehrungen unwirksam, denn aus mehreren Töpfen zusammengeführte Daten lassen häufig dennoch den Rückschluss auf ein Individuum und eine Re-Identifizierung zu. Mit einem stark eingeschränkten Schutz müssten weiterhin Angestellte leben – und breite Ausnahmeregelungen für Ermittlungsbehörden würden viele der neuen Rechte aushebeln.
Eine der Ausnahmen stößt der Senatorin Maria Cantwell besonders auf, die dem entscheidenden Handelsausschuss vorsitzt und die bislang nicht mit an Bord ist. So sieht der Entwurf vor, dass Bürger:innen direkt Unternehmen verklagen können, die gegen das Gesetz verstoßen. Allerdings soll dieses Recht erst vier Jahre nach Inkrafttreten des Gesetzes gelten. Bürger:innen müsste dieses Recht vom ersten Tag an zustehen, fordert Cantwell. „Wir brauchen ein Bundesgesetz, das nicht von Schlupflöchern durchsiebt ist“, sagt die Demokratin aus Washington, die an einem eigenen Gesetzentwurf arbeitet.
Ob sie den fallen lässt oder an ihm festhält, bleibt vorerst unklar. Unbestritten ist aber, dass an Cantwell kein Weg vorbei führt, zumindest bis zu den im Herbst anstehenden Zwischenwahlen. Ein durchaus realistischer Wahlsieg der Republikaner würde die Situation verändern – nur wenige rechnen damit, dass das Gesetz bis dahin unter Dach und Fach ist. Auch wenn die Chancen verhältnismäßig gut stehen, dass US-Bürger:innen künftig ein Mindestmaß an Schutz genießen werden: In jedem Fall werden sie sich noch ein wenig gedulden müssen.
Es wäre durchaus wichtig, dass hier darauf hingewiesen wird, dass Ausnahmen für Ermittlungsbehörden nicht unbedingt das Gesetz aushebeln. Dieses gilt auch dann weiterhin für private Unternehmen.
Die Ausnahme von „deidentifizierten Daten“ sollte im Detail diskutiert werden. Da sie viel (zu viel) Spielraum lässt.