- Der American Data Privacy and Protection Act (ADPPA) bietet einen neuen, einheitlichen Datenschutz in den USA, im Gegensatz zu fragmentierten Regelungen.
- Covered entities müssen Pflichten wie Datenminimierung und Datensicherheit einhalten, sowie eine Einwilligung für bestimmte Datenbearbeitungen einholen.
- Die Durchsetzung erfolgt durch die Federal Trade Commission (FTC) und Staatsanwälte, mit Strafen bis zu USD 45,000 bei Verstössen.
Die USA verfügen derzeit über einen aus europäischer Optik fragmentierten Datenschutz – man könnte auch sagen: einen zielgerichteten Datenschutz, dies im Gegensatz etwa zur DSGVO oder zum DSG mit ihrem weitgehenden One-Size-Fits-All-Ansatz. Viele Bundesstaaten verfügen inzwischen über breitere Regelungen (eine aktuelle Übersicht findet sich bei der IAPP). aber auf Bundesebene findet sich bisher keine übergreifende Regelung.
Das soll sich ändern. Vertreter des Kongresses haben den Entwurf des ersten übergreifenden Bundesgesetzes zum Schutz der Privatsphäre in den USA vorgelegt, des American Data Privacy and Protection Act (ADPPA). Der ADPPA ist inhaltlich nicht ganz anders als bisherige einzelstaatliche Regelwerke wie bspw. die kalifornische CCPA. Der Senat hat eine Zusammenfassung veröffentlicht.
Anwendbar wäre der ADPPA auf bestimmte Unternehmen, die in Anlehnung an den HIPPA (Health Insurance Portability and Accountability Act of 1996) als “covered entities” bezeichnet werden – das sind im Wesentlichen Stellen, die Personendaten bearbeiten (mit gewissen Ausnahmen). Covered entities sollen eine Reihe von Pflichten haben, einschliesslich der Beachtung der Datenminimierung und Privacy by Design und der Gewährleistung der Datensicherheit. Zudem sind bestimmte Bearbeitungen nur mit Einwilligung zulässig, etwa die Bekanntgabe biometrischer oder genetischer Daten ausserhalb bestimmter Zwecke. Unternehmen ab einer bestimmten Grösse haben zudem Privacy Impact Assessments vorzunehmen.
Betroffenen Personen sollen zudem bestimmte Rechte eingeräumt werden, z.B. das Recht auf Information und weiterer Betroffenenrechte wie etwa ein Auskunfts‑, ein Berichtigungs- und ein Löschrecht und ein Recht auf Datenportabilität.
Die Durchsetzung des ADPPA soll der Federal Trade Commission, der FTC, und den Staatsanwälten der Bundesstaaten übertragen werden. Verstössee würden als unlautere Praktiken mit Strafen bis zu ca. USD 45,000 geahndet. Staatsanwälte könnten zudem Zivilklage erheben. und vier Jahre nach Inkrafttreten hätten auch Einzelpersonen ein Klagerecht.