Anfang des Monats veröffentlichte der US-Kongress überraschend einen Entwurf für ein neues US-Datenschutzgesetz. Das vorgeschlagene Gesetz würde eine Datenminimierung vorschreiben sowie Rechte der Verbraucher stärken, indem sie personalisierte Werbung ablehnen und ihre persönlichen Daten schützen können.
Was würde das für Gesetzgeber und Unternehmen bedeuten? Das haben wir untersucht.
Am 7. April 2024 stellten die US-Gesetzgeber Cathy McMorris Rodgers und Senatorin Maria Cantwell den überparteilichen American Privacy Rights Act (APRA) vor, mit dem ein einheitlicher nationaler Datenschutz- und Sicherheitsstandard geschaffen werden soll.
Was ist der APRA?
Die vorgeschlagene Gesetzgebung, welche in einem 53-seitigem Dokument erörtert wird, schreibt eine Minimierung von Daten vor und stärkt die Verbraucherrechte, indem diese sich gegen personalisierte Werbung zu entscheiden und ihre persönlichen Daten verwalten könne. Der Gesetzesentwurf führt außerdem ein nationales Register für Datenvermittler ein und verbietet obligatorische Schiedsverfahren bei schwerwiegenden Datenschutzverletzungen.
Darüber hinaus bietet der ARPA zivilrechtlichen Schutz gegen die Verwendung personenbezogener Daten zu diskriminierenden Zwecken in Bereichen wie Wohnung und Arbeit. Das Gesetz sieht auch ein privates Klagerecht vor, das von der Federal Trade Commission, den Generalstaatsanwälten der Bundesstaaten und Einzelpersonen mit einer verkürzten Frist von sechs Monaten durchgesetzt werden kann.
Bezeichnenderweise will der Gesetzentwurf den Datenschutzgesetzen der Einzelstaaten vorgreifen. Dies ist ein umstrittener Punkt, insbesondere wegen der strengen kalifornischen Standards. Vorgreifen bedeutet hier, dass im Falle eines Konflikts zwischen einem staatlichen Gesetz und dem APRA das Bundesgesetz Vorrang hat. Sieht ein staatliches Gesetz jedoch strengere Regelungen vor, gelten beide Gesetze, wenn sie sich ergänzen. Der APRA übernimmt auch einige Aspekte der Gesetze der Bundesstaaten Kalifornien, Illinois und Washington und ermöglicht Klagen von Verbrauchern bei Datenschutzverletzungen.
Was kann der APRA erreichen?
Dieser Entwurf markiert einen wichtigen Schritt in Richtung einer Vereinheitlichung der Datenschutzstandards in den USA. Er spiegelt auch eine Art Kompromiss zwischen verschiedenen politischen Ansichten wider. Der APRA ist auch eine Reaktion auf die sich verändernde Landschaft des Datenschutzes, die von technologischen Fortschritten und globalen regulatorischen Trends beeinflusst wird.
Die Einführung des APRA ist ein wichtiger Meilenstein auf dem Weg zu einer umfassenden Bundesgesetzgebung zum Schutz der Privatsphäre in den USA, die derzeit auf 15 staatliche Gesetze und Dutzende von sektorspezifischen Bundesgesetzen wie HIPPA verteilt ist.
Was bedeutet der APRA für Ihr Unternehmen?
Der APRA könnte Auswirkungen haben, die weit über die Vereinigten Staaten hinausgehen. Wie passen diese Entwicklungen zum europäischen Datenschutzrecht (oder beeinflussen es)? Und was könnte das für Ihr Unternehmen bedeuten? Schauen wir uns das genauer an.
1. Angleichung der Standards
Globale Konsistenz: Wenn der APRA einen starken Schutz der Privatsphäre einführt, würde er eine größere Konvergenz zwischen US-amerikanischen und europäischen Standards fördern, insbesondere in Bezug auf Datenminimierung und Verbraucherrechte. Dies könnte die Hürden für europäische Unternehmen, die in den USA tätig sind, senken, da sie nicht gezwungen wären, je nach Region sehr unterschiedliche Praktiken anzuwenden.
Der APRA benutzt möglicherweise eine andere Terminologie als die Datenschutz-Grundverordnung (DSGVO). Das Gesetz bezieht sich auf „erfasste Stellen“ (in der DSGVO als „für die Verarbeitung Verantwortliche“ bezeichnet) und „Dienstleister“ (in der DSGVO als „Auftragsverarbeiter“ bezeichnet). Der Gesetzentwurf enthält jedoch viele Begriffe und Grundsätze, die aus der DSGVO bekannt sind.
Einfluss auf künftige EU-Vorschriften: Die EU wird oft als weltweit führend im Bereich des Datenschutzes angesehen, da die DSGVO einen hohen Standard vorgibt. Wenn der APRA ebenso strenge oder innovative Datenschutzmaßnahmen einführt, könnte dies künftige Versionen oder Aktualisierungen der Datenschutz-Grundverordnung beeinflussen.
2. Geschäftsbetrieb und Compliance
Compliance-Kosten: Für europäische Unternehmen, insbesondere solche, die international tätig sind, wäre es unerlässlich, den APRA zu verstehen und einzuhalten. Dies kann bedeuten, dass Sie größere Investitionen in die Compliance-Infrastruktur tätigen sollten, insbesondere für Datenverarbeitungsstandards, die sich von denen der DSGVO unterscheiden. Vor allem der Grundsatz der Datenminimierung im APRA unterscheidet sich von dem der DSGVO. Beispielsweise enthält das APRA 15 aufgeführte Zwecke der rechtmäßigen Datenverarbeitung.
Operative Anpassungen: Unternehmen müssen unter Umständen ihre Verfahren anpassen, um sicherzustellen, dass Datenübermittlungen zwischen der EU und den USA den in beiden Regionen geltenden Vorschriften entsprechen. Dies kann strengere Datenschutzmaßnahmen oder überarbeitete Verträge beinhalten.
3. Datentransfer und Safe Harbor-Abkommen
Auswirkungen auf die Datenübermittlungsmechanismen: In den letzten zehn Jahren haben die EU und die USA über Datenübermittlungsmechanismen verhandelt. Dies geschah nach bahnbrechenden Urteilen des Europäischen Gerichtshofs (EuGH), insbesondere nach der jüngsten Ungültigkeitserklärung des Privacy Shield im Jahr 2020.
Ein starkes Bundesdatenschutzgesetz in den USA könnte den europäischen Gerichten und Regulierungsbehörden die Gewissheit geben, dass die USA ein angemessenes Schutzniveau bieten. Dies könnte eine weitere Ungültigkeitserklärung der derzeitigen Übermittlungsmechanismen durch den EuGH verhindern.
Rechtssicherheit für die Unternehmen: Ein strengeres US-Datenschutzgesetz könnte europäischen Unternehmen mehr Rechtssicherheit in Bezug auf die Sicherheit ihrer Datenübermittlungsmechanismen bieten und das Risiko von Rechtsstreitigkeiten und komplexen Folgenabschätzungen bei der Datenübermittlung verringern.
4. Auswirkungen auf die Strategie und den Wettbewerb
Gleiche Wettbewerbsbedingungen: Wenn der APRA strenge Datenschutzstandards einführt, könnte er die Wettbewerbsbedingungen für europäische Unternehmen, die sich an die strengen Standards der Datenschutz-Grundverordnung halten müssen, angleichen und möglicherweise dazu führen, dass US-Unternehmen ähnlichen Beschränkungen und Compliance-Kosten unterworfen werden. Große US-amerikanische Tech-Unternehmen würden möglicherweise mehr Datenschutz in ihre Software einbauen, da sie dann an die strengen Datenschutzanforderungen in ihrem Heimatland gebunden wären.
Innovation und Marktchancen: Große Veränderungen bieten auch große Chancen. Überlegen Sie, wie die Veränderungen in der US-Datenschutzlandschaft neue Marktchancen eröffnen könnten. Dies kann auch bedeuten, dass Sie innovativere Ansätze für das Datenmanagement und Technologien zur Verbesserung des Datenschutzes entwickeln müssen. Gleichzeitig ist zu berücksichtigen, dass die strengen Datenschutzverfahren in den USA – mit Sammelklagen und Strafschadensersatz – eine strengere Umsetzung in den USA als in Europa bedeuten können.
Die nächsten Schritte für EU-Unternehmen
Der Gesetzgebungsprozess wird weitergehen, aber es kann dabei zu Schwierigkeiten kommen. Kalifornien hat sich bereits kritisch über den Kurs der Regierung geäußert. Die Gesetzgebung würde auch bedeuten, dass die Federal Trade Commission neben ihren Abteilungen für Wettbewerb und Verbraucherschutz eine völlig neue Behörde einrichten müsste.
Wir verfolgen die Entwicklung und die endgültigen Bestimmungen des APRA, während europäische Unternehmen und Gesetzgeber mögliche Änderungen des globalen regulatorischen Umfelds beobachten. Sollten die neuen Vorschläge Gesetz werden, könnte dies erhebliche Anpassungen Ihrer Betriebsabläufe und Compliance-Richtlinien erforderlich machen.
Bleiben Sie dran, um alle wichtigen Informationen zu erhalten.
Wenn Sie wissen möchten, was das für Ihr Unternehmen bedeutet, wenden Sie sich einfach an Ihren DataGuard-Berater. Sie sind noch kein Kunde? Nehmen Sie hier Kontakt auf.
