USA: ADPPA ante portas

Die USA ver­fü­gen der­zeit über einen aus euro­päi­scher Optik frag­men­tier­ten Daten­schutz – man könn­te auch sagen: einen ziel­ge­rich­te­ten Daten­schutz, dies im Gegen­satz etwa zur DSGVO oder zum DSG mit ihrem weit­ge­hen­den One-Size-Fits-All-Ansatz. Vie­le Bun­des­staa­ten ver­fü­gen inzwi­schen über brei­te­re Rege­lun­gen (eine aktu­el­le Über­sicht fin­det sich bei der IAPP). aber auf Bun­des­ebe­ne fin­det sich bis­her kei­ne über­grei­fen­de Regelung.

Das soll sich ändern. Ver­tre­ter des Kon­gres­ses haben den Ent­wurf des ersten über­grei­fen­den Bun­des­ge­set­zes zum Schutz der Pri­vat­sphä­re in den USA vor­ge­legt, des Ame­ri­can Data Pri­va­cy and Pro­tec­tion Act (ADPPA). Der ADPPA ist inhalt­lich nicht ganz anders als bis­he­ri­ge ein­zel­staat­li­che Regel­wer­ke wie bspw. die kali­for­ni­sche CCPA. Der Senat hat eine Zusam­men­fas­sung ver­öf­fent­licht.

Anwend­bar wäre der ADPPA auf bestimm­te Unter­neh­men, die in Anleh­nung an den HIPPA (Health Insuran­ce Por­ta­bi­li­ty and Accoun­ta­bi­li­ty Act of 1996) als “cove­r­ed enti­ties” bezeich­net wer­den – das sind im Wesent­li­chen Stel­len, die Per­so­nen­da­ten bear­bei­ten (mit gewis­sen Aus­nah­men). Cove­r­ed enti­ties sol­len eine Rei­he von Pflich­ten haben, ein­schliess­lich der Beach­tung der Daten­mi­ni­mie­rung und Pri­va­cy by Design und der Gewähr­lei­stung der Daten­si­cher­heit. Zudem sind bestimm­te Bear­bei­tun­gen nur mit Ein­wil­li­gung zuläs­sig, etwa die Bekannt­ga­be bio­me­tri­scher oder gene­ti­scher Daten ausser­halb bestimm­ter Zwecke. Unter­neh­men ab einer bestimm­ten Grö­sse haben zudem Pri­va­cy Impact Assess­ments vorzunehmen.

Betrof­fe­nen Per­so­nen sol­len zudem bestimm­te Rech­te ein­ge­räumt wer­den, z.B. das Recht auf Infor­ma­ti­on und wei­te­rer Betrof­fe­nen­rech­te wie etwa ein Auskunfts‑, ein Berich­ti­gungs- und ein Lösch­recht und ein Recht auf Datenportabilität.

Die Durch­set­zung des ADPPA soll der Federal Tra­de Com­mis­si­on, der FTC, und den Staats­an­wäl­ten der Bun­des­staa­ten über­tra­gen wer­den. Ver­stös­see wür­den als unlau­te­re Prak­ti­ken mit Stra­fen bis zu ca. USD 45,000 geahn­det. Staats­an­wäl­te könn­ten zudem Zivil­kla­ge erhe­ben. und vier Jah­re nach Inkraft­tre­ten hät­ten auch Ein­zel­per­so­nen ein Klagerecht.