Am 03.06.2022 wurde mit dem American Data Privacy and Protection Act (nachfolgend „ADPPA”) ein Entwurf für ein US-Datenschutzgesetz vorgestellt. Der Entwurf beschäftigt sich mit der in den USA viel diskutierten Frage, (ob und) wie ein Bundesgesetz den bestehenden Flickenteppich aus den bisher teilweise vorhandenen Datenschutzgesetzen der US-Bundestaaten zusammenführen und vereinheitlichen kann. Der Entwurf umfasst die Kapitel „Treuepflichten“, „Rechte von Verbrauchern“, „Rechenschaftspflichten für Unternehmen“ und „Durchsetzung, Anwendbarkeit und Sonstiges“. Vorangestellt sind eine Reihe von Begriffsbestimmungen und Definitionen.
Was regelt der ADPPA?
Die meisten Regelungen des Entwurfs des ADPPA dürfte Kennern des Europäischen Datenschutzrechts vertraut vorkommen. So werden z.B. die aus Datenschutz-Grundverordnung bestens bekannten Grundsätze der Rechtmäßigkeit, der Datensparsamkeit, aber auch Privacy by Design aufgegriffen und in ähnlicher Weise geregelt.
Einen besonderen Fokus legt der Entwurf des ADPPA auf die Verarbeitung der Sozialversicherungsnummer sowie von biometrischen, Geolokalisierungs- oder Gesundheitsdaten. Für die Verarbeitung dieser Daten sieht der Entwurf eine restriktive Ausnahmen vom generellen Verbot der Verarbeitung vor.
Durch den ADPPA sollen aber vor allem die Rechte der Verbraucher gestärkt werden. Dies zeigt sich in der Anzahl der enthaltenen Vorschriften: In zehn der insgesamt 29 Regelungen werden umfangreiche Rechte definiert, die ebenfalls denen aus der DSGVO ähneln. Unter anderem sollen Datenverarbeitungen transparent gemacht werden, weshalb den Betroffenen eine Datenschutzerklärung zur Verfügung zu stellen ist. Diese soll unter anderem auch die getroffenen Sicherheitsmaßnahmen beschreiben. An dieser Stelle geht der Entwurf sogar weiter als die DSGVO, die eine Mitteilungspflicht von Sicherheitsmaßnahmen gerade nicht in Artikel 13 und/oder 14 verankert hat.
Darüber hinaus enthält der Entwurf Vorgaben für Auftragsverarbeiter (service provider) und Dritte (third parties), die Zugriff auf die personenbezogenen Daten erhalten sollen.
Auf Unternehmen mit mehr als 250 Millionen USD Umsatz im vergangenen Geschäftsjahr, die zudem entweder Daten von mehr als 5 Millionen Betroffenen oder sensible Daten von mehr als 100.000 Personen verarbeiten, soll zudem eine umfangreiche Rechenschaftspflicht zukommen. Diese Unternehmen sollen künftig den Nachweis erbringen müssen, dass sie eine angemessene interne Kontrolle zur Einhaltung des ADPPA getroffen haben.
Keine Datenschutzbehörde und lange Übergangszeit
Spannend ist, dass das in Europa bewährte Konstrukt einer unabhängigen Datenschutzbehörde nicht im Entwurf aufgegriffen wird. Für die Einhaltung und Überwachung des ADPPA sollen zum einen die Federal Trade Commission und der Attorney General des jeweiligen Bundesstaates zuständig sein.
Überraschend ist aber vor allem die lange Übergangzeit, bis sich Betroffene bei Verstößen gegen den ADPPA mit gerichtlicher Hilfe zur Wehr setzen dürfen. Nach dem derzeitigen Entwurf soll dies erst vier (!) Jahre nach Inkrafttreten des ADPPA möglich sein. Dies unterstreicht – vorsichtig formuliert – nicht gerade eine hohe Priorisierung bei der Etablierung bzw. Stärkung des Datenschutzes…
Fazit und Ausblick
Die Regelungen im Entwurf des American Data Privacy and Protection Act ähneln den Regelungen der EU-Datenschutzgrundverordnung in wesentlichen Teilen. Beim Lesen des ADPPA dürfte bei so manchem Europäischen Datenschutzexperten der Eindruck entstehen, dass die DSGVO den Autoren als „Inspiration“ diente. Frei nach dem Motto: „Besser gut geklaut als schlecht selbst gemacht.“
Gleichwohl fanden nicht alle in Europa bekannten Datenschutz-Grundsätze Einzug in den Entwurf. Dies zeigt alleine die für europäische Verhältnisse gerade „mickrige“ Anzahl an Regelungen. Kommt die DSGVO auf stattliche 99 Artikel, so begnügt sich der Entwurf des ADPPA mit „gerade einmal“ 29 Artikeln.
Wünschenswert wäre eine Ähnlichkeit der Regelungen auf US- und Europäischer Seite allemal; könnte für die USA so doch leichter ein dem der EU vergleichbares Datenschutzniveau festgelegt werden. Letztlich wird die Angemessenheit des Datenschutzniveaus in den USA nicht nur durch ein Gesetz zum Datenschutz, sondern vor allem durch deren derzeitige Überwachungs- und Sicherheitsgesetze bestimmt. Sollten diese im Zuge der Einführung des Datenschutzgesetzes keine Änderung erfahren, wären die vom EuGH in der Entscheidung C-311/18 („Schrems II“) aufgeworfenen Hürden für einen Datentransfer in die USA selbst bei Verabschiedung des Entwurfs für ein American Data Privacy and Protection Act nicht gänzlich überwunden.
Ein Schritt in die – aus europäischer Sicht – richtige Richtung wäre die Umsetzung eines Datenschutzgesetzes in den USA aber ohne Frage und könnte auch maßgeblichen, positiven Einfluss auf die weiteren Verhandlungen zum Trans-Atlantic Data Privacy Framework haben.
Allerdings muss der Entwurf erstmal umgesetzt werden. Mitglieder des US Kongresses haben bereits Bedenken angemeldet – wir sind gespannt und halten Sie über die weiteren Entwicklungen auf dem Laufenden.
Bei Fragen zum internationalen Datenschutz steht Ihnen unsere Praxisgruppe gerne zur Verfügung. Sprechen Sie uns einfach an!
Autor: Fabian Dechent (Rechtsanwalt)