datenrecht.ch

APRA: Ent­wurf eines “Ame­ri­can Pri­va­cy Rights Act”

In den USA wird ein neu­er Anlauf für eine sek­tor­über­grei­fen­de und natio­na­le Rege­lung des Kern­da­ten­schut­zes genom­men, in Gestalt des “Ame­ri­can Pri­va­cy Rights Act” (APRA):

Der­zeit ist der APRA ein Dis­kus­si­ons­ent­wurf, der aber von bei­den Par­tei­en unter­stützt wird (“bipar­ti­san”) und des­halb etwas bes­se­re Chan­cen hat als frü­he­re Anläu­fe wie z.B. der ADPPA; inhalt­lich lehnt sich der APRA aber an den ADPPA und auch den Fede­ral Con­su­mer Online Pri­va­cy Rights Act (COPRA) an. Gewis­se Ähn­lich­kei­ten mit der DSGVO sind fer­ner unüber­seh­bar, auch wenn die Ter­mi­no­lo­gie natür­lich abweicht (z.B. “Cover­ed Enti­ties” statt “Ver­ant­wort­li­che”). Der APRA ist auf den Pri­vat­be­reich beschränkt und nimmt Unter­neh­men mit weni­ger als USD 40M Umsatz und Daten von weni­ger als 200’000 Kon­su­men­ten aus, solan­ge sie kei­ne Per­so­nen­da­ten verkaufen.

Der APRA regelt auf 53 Sei­ten in 24 Sec­tions u.a. bestimm­te Grund­sät­ze (etwa zur Daten­mi­ni­mie­rung), Rech­te (z.B. ein Wider­spruchs­recht gegen Wer­bung, ein Aus­kunfts­recht oder ein Lösch­recht), Ein­wil­li­gungserfor­der­nis­se für die Bekannt­ga­be sen­si­ti­ver Daten an Drit­te, Bestim­mun­gen zur Daten­si­cher­heit, die Pflicht, DPOs zu bestel­len, und beson­de­re Anfor­de­run­gen an bestimm­te Unter­neh­men, bspw. beson­ders gro­sse, sozia­le Netz­wer­ke mit beson­de­rer Reich­wei­te und Datenbroker.

Mit Bezug auf bestimm­te Algo­rith­men ent­hält der APRA eben­falls eine eige­ne Rege­lung. Weil Algo­rith­men ein defi­nier­ter Begriff ist, der auf AI-Anwen­dun­gen zuge­schnit­ten ist (auch wenn die Defi­ni­ti­on wei­ter ist), ist der APRA auch eine ansatz­wei­se AI-Regu­lie­rung, die sich in den wach­sen­den Kanon ent­spre­chen­der Regu­lie­run­gen ein­fügt. Soweit Unter­neh­men den AI Act als glo­ba­len Stan­dard anwen­den, was teils der Fall ist und sicher zuneh­mend der Fall sein wird, sind die APRA-Vor­ga­ben im Wesent­li­chen kom­pa­ti­bel. Beim Ein­satz erfass­ter Algo­rith­men müs­sen gro­sse Ver­ant­wort­li­che für heik­le Anwen­dungs­ge­bie­te (bspw. im Arbeits- oder Gesund­heits­be­reich, oder bei einer Ver­wen­dung beson­ders heik­ler Daten) eine Risi­ko­fol­gen­ab­schät­zung vor­neh­men, und wenn Algo­rith­men Ent­schei­dun­gen tref­fen oder mensch­li­che Ent­schei­dun­gen erleich­tern, sind Infor­ma­ti­ons­pflich­ten und eine Wider­spruchs­recht vorgesehen.

Auf­ge­baut ist der APRA wie folgt:

  • Sec. 1. Short tit­le; table of contents.
  • Sec. 2. Definitions.
  • Sec. 3. Data minimization.
  • Sec. 4. Transparency
  • Sec. 5. Indi­vi­du­al con­trol over cover­ed data.
  • Sec. 6. Opt-out rights and cen­tra­li­zed mechanism.
  • Sec. 7. Inter­fe­rence with con­su­mer rights.
  • Sec. 8. Pro­hi­bi­ti­on on deni­al of ser­vice and wai­ver of rights.
  • Sec. 9. Data secu­ri­ty and pro­tec­tion of cover­ed data.
  • Sec. 10. Exe­cu­ti­ve responsibility.
  • Sec. 11. Ser­vice pro­vi­ders and third parties.
  • Sec. 12. Data brokers.
  • Sec. 13. Civil rights and algorithms.
  • Sec. 14. Con­se­quen­ti­al decis­i­on opt out.
  • Sec. 15. Com­mis­si­on appro­ved com­pli­ance guidelines.
  • Sec. 16. Pri­va­cy-enhan­cing tech­no­lo­gy pilot program.
  • Sec. 17. Enforce­ment by the Fede­ral Trade Commission.
  • Sec. 18. Enforce­ment by States.
  • Sec. 19. Enforce­ment by individuals.
  • Sec. 20. Rela­ti­on to other laws.
  • Sec. 21. Children’s Online Pri­va­cy Pro­tec­tion Act of 1998.
  • Sec. 22. Ter­mi­na­ti­on of FTC rule­ma­king on com­mer­cial sur­veil­lan­ce and data security.
  • Sec. 23. Severability.
  • Sec. 24. Effec­ti­ve date.

Behörde

Gebiet

Themen

Ähnliche Beiträge

Newsletter