Ein neues nationales Datenschutzgesetz, das den Amerikanern viele der gleichen Datenschutzrechte wie die Datenschutz-Grundverordnung der Europäischen Union (DSGVO) verspricht, arbeitet sich durch den US-Kongress. Der Gesetzesentwurf bleibt jedoch hinter den Datenschutzbestimmungen zurück, die bereits in bestehenden staatlichen Datenschutzgesetzen und -vorschriften verankert sind.
Das Ziel der Bundesgesetzgebung ist es, eine einzige nationale Grundlage für den Datenschutz für Verbraucher zu schaffen und gleichzeitig eine staatliche Aufsicht und Durchsetzung durch die Regierung zu gewährleisten Federal Trade Commission (FTC). In Wirklichkeit die vorgeschlagene Amerikanisches Datenschutzgesetz erfüllt nicht die Benchmarks, die in der festgelegt wurden Gesetz zum Schutz der Verbrauchergesetze in Kalifornien (CCPA) von 2018 oder im Ersatz Kalifornisches Gesetz über Datenschutzrechte (CPRA), das am 1. Januar 2023 in Kraft tritt, sagen Kritiker.
Das Gesetz würde in den Zuständigkeitsbereich des fallen Federal Trade Commission (FTC), was bedeutet, dass es nur die Themen abdeckt, die bereits von der FTC behandelt wurden. Dazu gehören Verbraucherbetrug, Identitätsdiebstahl, die Privatsphäre von Kindern und einige Cybersicherheitsprobleme.
Nancy Pelosi, eine kalifornische Abgeordnete, die als Sprecherin des Repräsentantenhauses die Befugnis hat, zu verhindern, dass der Gesetzentwurf zur Abstimmung im Repräsentantenhaus landet, gab eine Erklärung ab
am 1. September und stellte fest, dass „das amerikanische Datenschutzgesetz nicht den gleichen wesentlichen Verbraucherschutz garantiert wie die bestehenden Datenschutzgesetze Kaliforniens“. Ihre Aussage wird von Experten dahingehend interpretiert, dass sie die Gesetzesvorlage nicht ohne neue Präventivsprache zum Schutz der kalifornischen Gesetze unterstützen und sie töten würde, anstatt sie zur Abstimmung zu bringen.
In einem offenen Brief An die Führer des Kongresses haben 10 Generalstaatsanwälte, die Staaten vertreten, die derzeit Datenschutzgesetze haben, den Kongress ermutigt, Gesetze zu verabschieden, die nur eine Grundlinie für den Datenschutz festlegen. „Wir ermutigen den Kongress, Gesetze zu verabschieden, die eine föderale Untergrenze und keine Obergrenze für kritische Datenschutzrechte festlegen und die wichtige Arbeit respektieren, die die Staaten bereits geleistet haben, um unseren Einwohnern einen starken Datenschutz zu bieten“, schrieben sie. Sie zitierten bestehende föderale Grundlagen für andere Gesetze, einschließlich bestehender Datenschutzbestimmungen für Verbraucher, der Privatsphäre von Kindern und der Privatsphäre von Kindern sowie HIPAA. „Jeder föderale Datenschutzrahmen muss den Staaten Raum lassen, um als Reaktion auf Änderungen in der Technologie und den Datenerfassungspraktiken Gesetze zu erlassen“, schrieb der Generalstaatsanwalt in dem Brief. „Dies liegt daran, dass die Staaten besser gerüstet sind, um sich schnell an die Herausforderungen anzupassen, die durch technologische Innovationen entstehen, die sich der Bundesaufsicht entziehen können.“
Auch die Electronic Frontier Foundation schickte einen Brief an Rep. Frank Pallone, Vorsitzender des Ausschusses für Energie und Handel des Repräsentantenhauses und Unterstützer des Gesetzentwurfs, der darum bittet, dass die Bestimmungen des Bundesgesetzes verstärkt werden und dass die Vorwegnahme staatlicher Datenschutzgesetze abgeschafft wird. Der Illinois Information Privacy Act, CCPA und der Data Broker Act von Vermont schützen Verbraucher bereits, und andere Bundesstaaten prüfen ähnliche Vorschläge. „Während die EFF die Bundesgesetzgebung unterstützt, die tatsächlich die Privatsphäre der Verbraucher schützt, haben wir uns lange dagegen ausgesprochen, wenn der Preis der Vorgriff auf strengere staatliche Gesetze ist“, schrieb die EFF in dem Brief.
Kalifornien widersetzt sich geschwächtem Schutz
Der Gesetzentwurf stieß auch auf heftige Kritik aus Kalifornien, wo die California Privacy Protection Agency herausgegeben wurde ein Memorandum das empfiehlt der kalifornischen Kongressdelegation, die 12 % des Repräsentantenhauses ausmacht, gegen die Gesetzesvorlage zu sein.
Die kalifornischen Gesetzgeber und Staatsbeamten führen mehrere Bereiche an, in denen sie behaupten, dass das Bundesgesetz den Schutz der Privatsphäre einschränken würde, der derzeit durch die bestehenden staatlichen Gesetze geboten wird. Dazu gehört die Verringerung des Datenschutzes für Personen, die abtreibungsbezogene Dienste und die psychische Gesundheit von Teenagern in Anspruch nehmen.
Das Bundesgesetz, wie es derzeit verfasst ist, erlaubt es Kalifornien nicht, die mit der Durchsetzung des Bundesgesetzes verbundenen Geldstrafen zurückzufordern. Im Gegensatz dazu erlaubt CCPA derzeit die Wiedererlangung erheblicher Strafen für Verstöße gegen das staatliche Recht.
Andere Änderungen, die ADPPA für Kalifornien vornehmen würde, die derzeit von CCPA abgedeckt werden:
- Entfernen des aktuellen Opt-Outs von der automatisierten Entscheidungsfindung
- Ersetzen der kalifornischen Definition von Personal Information mit Definition von abgedeckte Daten das schließt einige „abgeleitete Daten und eindeutige Kennungen“ nach kalifornischem Recht nicht ein
- Aufhebung bestimmter Schutzmaßnahmen in Bezug auf die Nichtvergeltung für die Ausübung von Datenschutzrechten
- Hinzufügen einer Anforderung zur Authentifizierung globaler Opt-out-Anfragen – Das kalifornische Gesetz verlangt von Unternehmen, Browser-Datenschutzsignale als Opt-out zu akzeptieren, während ADPPA eine ausdrückliche Zustimmung für sensible Kategorien erfordert
Debbie Reynolds, eine globale Datenschutzexpertin und CEO und Chief Privacy Officer von Debbie Reynolds Consulting, sagt, dass das Bundesgesetz die Datenschutzrechte nur auf den ursprünglichen Verbraucher eines Geräts beschränkt. Befindet sich beispielsweise ein digitaler Assistent wie Alexa in einem Büro, wird nur die Privatsphäre des Unternehmens geschützt, das den Alexa-Dienst erworben hat. Jeder Mitarbeiter, der sich über dem Gerät befindet und private Informationen diskutiert, wäre nicht durch das Gesetz geschützt, da er es nicht wäre Verbraucher des Geräteservices.
Fiona Campbell-Webster, Chief Privacy Officer bei MediaMath und ehemalige Head Legal Counsel und Global Data Protection Officer von Cloud-basiertem Beeswax, einer von Comcast erworbenen SaaS-Anwendung, sagt, dass es Konsequenzen im wirklichen Leben gibt.
„Ich denke, wir müssen uns darüber im Klaren sein, was das für die Erfahrung des Konsumierens von Inhalten bei der Interaktion im Internet bedeuten wird, bevor diese Gesetze verabschiedet werden“, sagt sie. „Die Besorgnis über … die unbeabsichtigten Folgen großer Plattformen, die letztendlich alles kontrollieren.“
Sie warnt davor, dass Privatsphäre ihren Preis hat. „Ich denke, es wäre wirklich schade, eine Welt zu sehen, in der wir bestraft würden, wenn wir all diese verschiedenen Dienste, die wir jetzt kostenlos bekommen, nicht auf eine bestimmte Weise bezahlen könnten.“ Einige unbeabsichtigte Folgen des Datenschutzgesetzes, warnte sie, könnten sich negativ auf kleine Unternehmen auswirken und sie zwingen, höhere Kosten zu zahlen, um die neuen Datenschutzbestimmungen zu erfüllen.
Kanada erwägt eine ähnliche Gesetzgebung
Die USA sind nicht das einzige nordamerikanische Land, das an der Schaffung eines neuen nationalen Datenschutzgesetzes arbeitet. Kanada führte den mit Spannung erwarteten Digital Charter Implementation Act ein, 2022 – Bill C-27 – der einen ähnlichen Gesetzentwurf ersetzt, der das kanadische Parlament im August 2021 nicht verabschiedet hat. Der Gesetzentwurf würde den Consumer Privacy Protection Act (CPPA), den Personal Information and Data Protection Tribunal Act und den Artificial Intelligence and Data Act erlassen andere bestehende Gesetze ändern.
„Dies ist ein sehr wichtiges Gesetz für Kanada“, sagt David Goodis, Partner bei INQ Law in Toronto. „Es gilt in allen Provinzen und Territorien mit Ausnahme von British Columbia, Alberta und Quebec. Quebec hat Anfang dieses Jahres sein eigenes neues, aktualisiertes Gesetz verabschiedet. BC und Alberta erwägen, ihre mittlerweile sehr alten Gesetze zu überarbeiten. Abgesehen von Quebec wird CPPA das modernste und strengste Datenschutzgesetz in Kanada sein und in etwa auf einer Stufe mit der europäischen DSGVO und dem kalifornischen CCPA stehen.“
Es gibt ein paar signifikante Unterschiede zwischen dem alten Bill C-11 und dem neuen Bill C-27, sagt Goodis. „Es gibt mehrere neue Pflichten für Organisationen, die bei Nichteinhaltung Geldstrafen nach sich ziehen können. Beispielsweise müssen Unternehmen ein Datenschutzmanagementprogramm implementieren, sicherstellen, dass ihre Dienstanbieter bei der Übertragung personenbezogener Daten vom Unternehmen an den Dienstanbieter über einen gleichwertigen Datenschutz verfügen, und sicherstellen, dass ein Dienstanbieter, der eine Sicherheitsverletzung entdeckt, die Organisation benachrichtigt. Es gibt auch einen völlig neuen Teil der Gesetzgebung, der sich mit den spezifischen Bedenken hinsichtlich des Schutzes der Privatsphäre von Kindern befasst“, erklärt er.
Darüber hinaus nach Analyse
Der alte Gesetzentwurf der globalen Wirtschaftskanzlei DLA Piper ersetzte keine Provinzgesetze, die dem Bundesgesetz „im Wesentlichen ähnlich“ seien, was bedeutete, dass die Provinzen Quebec, Alberta und British Columbia stattdessen ihre Gesetze hätten anwenden können des Bundes. Während der neue Gesetzentwurf es der Bundesregierung ermöglicht, zu entscheiden, ob die Gesetze der Provinzen im Wesentlichen ähnlich sind und daher bestehen bleiben dürfen, ist noch nicht klar, ob Alberta und British Columbia die Musterung bestehen werden – Quebec, die aktualisierte sein Datenschutzgesetz im Jahr 2021, wird voraussichtlich freigestellt.
