Hillary Clinton, US-Senatorin und Gattin des Expräsidenten Bill Clinton, hat angekündigt, ein Datenschutzgesetz für den privaten Sektor vorzulegen. Der „Privacy Rights and Oversight for Electronic and Commercial Transactions Act“ („PROTECT Act“ – ja, die Amis lieben Akronyme) soll erstmals eine Reihe von Prinzipien umfassen, die für alle privaten Datenverarbeitungen gelten. Bisher gibt es das nur in Spezialbereichen wie Gesundheit, Kreditauskunft oder Videoverleih. Dieser Schritt ist interessant, weil es seit einiger Zeit auch von Seiten der Industrie immer mehr Forderungen nach einem umfassenen US-Datenschutzgesetz gibt. Die Gründe sind vielfältig. Zum einen wird die Sorge der Kunden als Bremse für den e‑Kommerz gesehen, zum anderen haben viele Bundesstaaten mittlerweile Datenschutzgesetze eingeführt, die nicht kompatibel sind und zu noch mehr Chaos sorgen. Besonders Microsoft hatte im November Aufsehen erregt, als sich Vizepräsident Brad Smith in einem Weissbuch für ein Datenschutzgesetz aussprach.
Schaut man sich Clintons „Privacy Bill of Rights“, wie sie sie nennt, mal genauer an, dann ist es allerdings eher ein schlechter Scherz:

• „Right to Clear Protections of Consumers’ Most Private Information“: Hier geht es um Schutz von Informationen über politische oder sexuelle Präferenzen und ähnliches – das ist ja wohl der Mindeststandard.
• „Right to Sue and Seek Damages“: Man soll eine Art Schmerzensgeld bekommen, wenn die Daten missbraucht oder geklaut wurden, wobei aber sehr kleine Firmen ausgenommen sind. Das wird also eine schöne Subunternehmer-Industrie des Datenmissbrauchs mit Einweg-Kleinstfirmen erzeugen.
• „Right to Protect Phone Records“, „Right to Know Your Credit Report“, „Right to Freeze Personal Credit“, „Right to Medical Privacy“: Das ist entweder schon durch bestehende Gesetze abgedeckt oder in der Diskussion. Es reproduziert aber vor allem wieder den alten Fehler des US-Datenschutzes, nicht einheitliche hohe Schutzregeln für alle Arten von personenbezogenen Daten zu etablieren, sondern verschiedene Daten verschieden zu behandeln. Was passiert denn mit allen Daten, die nicht darunter fallen? Ach ja, das hier:
• „Right to Know When Identity Theft Happens“: Das gibt es in Kalifornien schon, wo eh viele der Datenhändler sitzen. Ist aber wohl eine der sinnvolleren Regelungen.
• „Right to Know When Your Data Leaves the United States“: Eine Anspielung auf die EU-Drittstaatenregelung. Während diese aber für ganze Drittländer oder Konzerne gilt und recht restriktiv ist, sollen hier die Kunden in jedem Einzelfall selber gefragt werden. Wie soll denn das gehen? Es wird also wieder auf „Shrink-Wrap“-Einverständniserklärungen hinauslaufen.

Was hier insgesamt fehlt, ist ein einfaches Einsichtsrecht in die eigenen Daten, die bei irgendwelchen Firmen gespeichert sind und nicht Kredite betreffen. Und es fehlt ein klares Bekenntnis zum „opt-in“ oder wenigstens „opt-out“. Man hat also weiterhin keine Kontrolle darüber, was die Firmen mit den eigenen Daten machen und wem sie diese weitergeben.
Dann gibt es noch:

• „Right to High Standards from Government“: Damit soll ein hochrangiger „Privacy Zar“ beim Office of Management and Budget geschaffen werden, der über die Datenverarbeitung der Regierungsbehörden wachen soll. Dies wird ihm aber schwerfallen, da er sich im Zwiefelsfall nicht gegen die Interessen von DHS und NSA („nationale Sicherheit!“) durchsetzen können wird. Das DHS hat schon seit Jahren einen Chief Privacy Officer, gemerkt hat man davon nichts. Ausserdem fehlt eine Aufsichtsbehörde für den privaten Sektor völlig.

Falsch an diesem Gesetz ist der ganze Ansatz: Datenverarbeitung soll grundsätzlich erlaubt sein und nur bestimmten Einschränkungen und Schutzvorkehrungen unterworfen werden, ohne das die Bürger darüber groß selber bestimmen können. Der Ansatz der EU ist genau anders herum: Die Verarbeitung personenbezogener Daten ist erstmal verboten, und Datensparsamkeit steht als Prinzip auch in den Gesetzen drin. Wenn dennoch eine Verarbeitung stattfinden soll, dann ist eine ausdrückliche Einwilligung des oder der Betroffenen nötig (Dass das Enforcement auch in Europa durchwachsen ist, steht auf einem anderen Blatt). Dieser Unterschied wird dazu führen, dass die USA auch mit Frau Clintons nett klingendem Gesetz keine EU-Einstufung als „angemessenes Schutzniveau“ bekommen werden. Das „Safe Harbor“-Abkommen, das Datenexporte von der EU in die USA nur an zertifizierte Firmen erlaubt, wird also weiter gelten müssen.
Dennoch finde ich die Diskussion sehr interessant, weil sich offenbar langsam jenseits des Atlantiks eine kritische Masse an Befürwortern von stärkerem Datenschutz zusammenbraut. Wenn Hillary Clinton das Thema angeht, dann macht sie es ja nicht, weil sie selber daran glaubt. Sondern weil sie glaubt, sich damit profilieren zu können. Und das ist gemessen an den Entwicklungen seit 2001 ja ein sehr gutes Zeichen.