- Das American Privacy Rights Act (APRA) strebt eine nationale Regelung für den Datenschutz in den USA an.
- Der APRA bietet Rechte wie Auskunftsrecht und Löschrecht, und ist bipartisan unterstützt, was seine Erfolgschancen erhöht.
- Er enthält spezifische Regelungen für Algorithmen und AI-Anwendungen, um einem wachsenden Regulierungsbedarf gerecht zu werden.
In den USA wird ein neuer Anlauf für eine sektorübergreifende und nationale Regelung des Kerndatenschutzes genommen, in Gestalt des “American Privacy Rights Act” (APRA):
Derzeit ist der APRA ein Diskussionsentwurf, der aber von beiden Parteien unterstützt wird (“bipartisan”) und deshalb etwas bessere Chancen hat als frühere Anläufe wie z.B. der ADPPA; inhaltlich lehnt sich der APRA aber an den ADPPA und auch den Federal Consumer Online Privacy Rights Act (COPRA) an. Gewisse Ähnlichkeiten mit der DSGVO sind ferner unübersehbar, auch wenn die Terminologie natürlich abweicht (z.B. “Covered Entities” statt “Verantwortliche”). Der APRA ist auf den Privatbereich beschränkt und nimmt Unternehmen mit weniger als USD 40M Umsatz und Daten von weniger als 200’000 Konsumenten aus, solange sie keine Personendaten verkaufen.
Der APRA regelt auf 53 Seiten in 24 Sections u.a. bestimmte Grundsätze (etwa zur Datenminimierung), Rechte (z.B. ein Widerspruchsrecht gegen Werbung, ein Auskunftsrecht oder ein Löschrecht), Einwilligungserfordernisse für die Bekanntgabe sensitiver Daten an Dritte, Bestimmungen zur Datensicherheit, die Pflicht, DPOs zu bestellen, und besondere Anforderungen an bestimmte Unternehmen, bspw. besonders grosse, soziale Netzwerke mit besonderer Reichweite und Datenbroker.
Mit Bezug auf bestimmte Algorithmen enthält der APRA ebenfalls eine eigene Regelung. Weil Algorithmen ein definierter Begriff ist, der auf AI-Anwendungen zugeschnitten ist (auch wenn die Definition weiter ist), ist der APRA auch eine ansatzweise AI-Regulierung, die sich in den wachsenden Kanon entsprechender Regulierungen einfügt. Soweit Unternehmen den AI Act als globalen Standard anwenden, was teils der Fall ist und sicher zunehmend der Fall sein wird, sind die APRA-Vorgaben im Wesentlichen kompatibel. Beim Einsatz erfasster Algorithmen müssen grosse Verantwortliche für heikle Anwendungsgebiete (bspw. im Arbeits- oder Gesundheitsbereich, oder bei einer Verwendung besonders heikler Daten) eine Risikofolgenabschätzung vornehmen, und wenn Algorithmen Entscheidungen treffen oder menschliche Entscheidungen erleichtern, sind Informationspflichten und eine Widerspruchsrecht vorgesehen.
Aufgebaut ist der APRA wie folgt:
- Sec. 1. Short title; table of contents.
- Sec. 2. Definitions.
- Sec. 3. Data minimization.
- Sec. 4. Transparency
- Sec. 5. Individual control over covered data.
- Sec. 6. Opt-out rights and centralized mechanism.
- Sec. 7. Interference with consumer rights.
- Sec. 8. Prohibition on denial of service and waiver of rights.
- Sec. 9. Data security and protection of covered data.
- Sec. 10. Executive responsibility.
- Sec. 11. Service providers and third parties.
- Sec. 12. Data brokers.
- Sec. 13. Civil rights and algorithms.
- Sec. 14. Consequential decision opt out.
- Sec. 15. Commission approved compliance guidelines.
- Sec. 16. Privacy-enhancing technology pilot program.
- Sec. 17. Enforcement by the Federal Trade Commission.
- Sec. 18. Enforcement by States.
- Sec. 19. Enforcement by individuals.
- Sec. 20. Relation to other laws.
- Sec. 21. Children’s Online Privacy Protection Act of 1998.
- Sec. 22. Termination of FTC rulemaking on commercial surveillance and data security.
- Sec. 23. Severability.
- Sec. 24. Effective date.