Die Obama-Regierung hat am vergangenen Freitagnachmittag einen Gesetzesvorschlag zur Verbesserung der Privatsphäre von US-Amerikanern gegenüber privaten Datenverarbeitern vorgelegt. Das ist bemerkenswert, da die USA kein allgemeines Datenschutzgesetz besitzen, sondern lediglich sektorspezifische Vorschriften und unternehmerische Selbstverpflichtungen – Letztere vor allem im Onlinebereich. Deren Durchsetzung obliegt der Federal Trade Commission (FTC), die über weitaus weniger Befugnisse als die europäischen Datenschutzbehörden verfügt. Der Vorschlag des Weißen Hauses setzt weiterhin auf Selbstregulierung und Kontrolle durch die FTC. Allerdings könnte er diese Regeln und Prozesse grundlegenden Prinzipien unterwerfen. Ist der Entwurf also ein möglicher Fortschritt für die Privatsphäre in den USA?

Der folgende Beitrag erschien zuerst auf bendrath.blogspot.de. Übersetzung und Vorspann: Benjamin Bergemann.

Der US „Administration Discussion Draft: Consumer Privacy Bill of Rights Act of 2015″ wurde gestern veröffentlicht. Er knüpft an Präsident Obamas „Consumer Privacy Bill of Rights“ von 2012 an.

Der Gesetzesentwurf legt einige grundlegende Definitionen und Prinzipien fest, darunter die „angemessene“ Erhebung personenbezogener Daten und Verbraucherrechte, etwa das auf Auskunft über die eigenen Daten. Der Entwurf gibt der Federal Trade Commission (FTC) die Befugnis von der Industrie eingereichte Verhaltenskodizes zu genehmigen und durchzusetzen. Bisher hat die FTC bestimmte Datenschutzvorschriften im Rahmen von Title V des FTC Act durchgesetzt. Dieser verbietet „unfaire und irreführende Handelspraktiken“.

Auf den ersten Blick weist der Entwurf eine Reihe von schweren Problemen auf – vor allem wenn man ihn aus einer EU-Datenschutzperspektive betrachtet. Ein paar erwähnenswerte Punkte:

1) „Cybersecurity data“ fällt aus dem Anwendungsbereich des Textes:

The term “personal data” shall not include cyber threat indicators collected, processed, created, used, retained, or disclosed in order to investigate, mitigate, or otherwise respond to a cybersecurity threat or incident, when processed for those purposes.

Das macht keinen Sinn. Es kann sinnvoll sein, die Verarbeitung personenbezogener Daten für IT-Sicherheitszwecke zu ermöglichen (wie bestimmte Entwürfe der geplanten EU-Datenschutzverordnung das tun), jedoch würden mit obiger Formulierung Dinge wie IP-Adressen dem Anwendungsbereich des Gesetzes entzogen.

2) Der Text ist widersprüchlich. So heißt es in Abschnitt 103:

If a covered entity processes personal data in a manner that is reasonable in light of context, this section does not apply.

und in Abschnitt 104:

Each covered entity may only collect, retain, and use personal data in a manner that is reasonable in light of context.

In meinen Augen ist es völlig unklar, wann Abschnitt 103 überhaupt gelten würde.

3) Titel III des Gesetzentwurfs recycelt den Safe-Harbor-Begriff und die Idee der Selbstzertifizierung, die das Europäischen Parlament und Datenschutzexperten aus der ganzen Welt kritisieren seit die EU-Kommission und das US-Handelsministerium den Safe-Harbor-Ansatz im Jahr 2000 aufbrachten.

Safe Harbor Protection.—In any suit or action brought under Title II of this Act for alleged violations of Title I of this Act, the defendant shall have a complete defense to each alleged violation of Title I of this Act if it demonstrates with respect to such an alleged violation that it has maintained a public commitment to adhere to a Commission-approved code of conduct that covers the practices that underlie the suit or action and is in compliance with such code of conduct.

Die Einhaltung der Regeln („compliance“) ist erforderlich, nicht nur das Bekenntnis („committment“) zu ihnen. Das grundlegende und tiefergehende Problem des Entwurfes besteht jedoch darin, dass die FTC nur in der Lage wäre eingereichte Codes zu überprüfen, nicht aber eigene zu entwickeln und durchzusetzen.

4) Der Entwurf würde Gesetze auf Ebene der US-Bundesstaaten ausbremsen, von denen einige, wie etwa in Kalifornien, stärker sind als der Vorschlag des Weißen Hauses.

5) Der Gesetzentwurf würde Start-ups für die ersten 18 Monate ihres Bestehens von Datenschutzanforderungen befreien. Das wird Praktiken nach dem Prinzip befördern: „Wachse schnell und rücksichtslos, während du so viele Daten wie möglich sammelst und verkaufe nach 18 Monaten an den Meistbietenden.“ Ich glaube nicht, dass das gut ist für eine nachhaltige und langfristige Unternehmensstrategie.

6) Der Abschnitt zu den Strafen (203) ist jedoch ziemlich interessant:

(1) The civil penalty shall be calculated by multiplying the number of days that the covered entity violates the Act by an amount not to exceed $35,000; or
(2) If the Commission provides notice to a covered entity, stated with particularity, that identifies a violation of this Act, the civil penalty shall be calculated by multiplying the number of directly affected consumers by an amount not to exceed $5,000 (…)

Das könnte leicht die 5% des jährlichen Gesamtumsatzes eines Unternehmens, die das Europäische Parlament als Höchststrafe in seiner Fassung der kommenden Datenschutzverordnung vorsieht, überschreiten.

Dieser Artikel in der Washington Post gibt einen guten Überblick über die Reaktionen auf den Entwurf (kurz: Die FTC ist nicht zufrieden, die NGOs sind nicht zufriden, die Industrie ist teilweise zufrieden – bis auf die Libertären).

Dem Weißen Haus ist es offenbar nicht gelungen, Sponsoren beider Parteien im Kongress für das Gesetz zu finden. Dieser Aspekt und das Timing (Freitagnachmittag) lässt einige Beobachter schließen, dass der Entwurf bereits tot sei.

Senator Ed Markey, bekannt als starker Privatsphäre-Advokat, hat kritisiert, dass der Entwurf nicht genug für Verbraucher tun würde. Deshalb hat er für die nächste Woche (!) einen eigenen Vorschlag angekündigt.

Für die Delegation des Europäischen Parlaments, die Washington Mitte März besucht, gibt es also viel zu diskutieren. Unter den teilnehmenden Abgeordneten sind Jan Philipp Albrecht (Grüne/EFA), stellvertretender Vorsitzender des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres und Berichterstatter für die EU-Datenschutzverordnung und für das EU-US-Datenschutz-Rahmenabkommen sowie Claude Moraes (S&D), Vorsitzender des gleichen Ausschusses und Berichterstatter des Untersuchungsausschusses zur Massenüberwachung und den dazugehörigen Nachfolgeaktivitäten.