Aktuelle Entwicklungen zum Datenschutz in den USA

13.01.2022 von Leon De Gottardi

Wie sieht die Datenschutzsituation in den USA aus?

Ähnlich wie in der Schweiz gibt es in den USA landesweite Gesetze (Federal Laws) und Gesetze, die von den einzelnen Bundesstaaten erlassen werden (State Laws). Die USA kennen kein landesweites Datenschutzgesetz, das auf alle Datenkategorien Anwendung findet. Stattdessen gibt es nur vereinzelte Gesetze, die meistens nur sehr beschränkt durchsetzbare Datenschutzbestimmungen enthalten.

Welche landesweiten Gesetze gibt es und was regeln sie?

Einer der wichtigsten Erlasse ist der US Privacy Act aus dem Jahre 1974. Er statuierte erste Rechte und Einschränkungen in Bezug auf Daten, die sich im Besitz der Regierungsbehörden befinden. Dazu gehören:

  • Das Recht der US-Bürger auf Zugang zu allen Daten im Besitz von Regierungsbehörden sowie ein Recht, diese Daten zu kopieren.

  • Das Recht der US-Bürger auf Korrektur von fehlerhaften Informationen.

  • Der Grundsatz der Datenminimierung. Demnach dürfen nur die Informationen erfasst werden, die für die Erreichung eines bestimmten Zwecks erforderlich sind.

  • Der Grundsatz des «need to know»-Prinzips, d.h. die Einschränkung des Personenkreises, der Zugang zu den Daten hat.

  • Die Einschränkung der Weitergabe von Informationen zwischen Behörden.

Daneben gibt es zahlreiche andere Erlasse, wie beispielsweise

  • der Health Insurance Portability and Accountability Act (HIPAA), der minimale Datenschutzstandards im Gesundheitswesen setzt;

  • der Children’s Online Privacy Protection Act (COPPA), der die Erhebung von personenbezogenen Daten von Minderjährigen einschränkt; und

  • der Federal Trade Commission Act (FTC), der das Ziel verfolgt, einen fairen Wettbewerb zwischen den Unternehmen zu garantieren und Verbraucher gegen betrügerische Geschäftspraktiken zu schützen.

Welche bundesstaatlichen Gesetze gibt es und was regeln sie?

Bis heute haben lediglich drei Bundesstaaten umfassende Gesetze zum Schutz der Privatsphäre von Verbrauchern erlassen. Dies sind Kalifornien (CCPA), Virginia (VCDPA) und Colorado (ColoPA):

Der California Consumer Protection Act (CCPA) ist der einzige Erlass, der ein (begrenztes) privates Klagerecht für Datenschutzverletzungen vorsieht. In den Gesetzen von Virginia und Colorado gibt es keine Möglichkeit für Konsumenten, ihre Datenschutzrechte gerichtlich durchzusetzen. Dazu kommt, dass vor allem in den Bundesstaaten, die kein privates Klagerecht zulassen, die staatlichen Vollzugsbehörden stark unterfinanziert sind. Dies führt dazu, dass Datenschutzverletzungen kaum rechtlich verfolgt werden.

Was sind die aktuellen Entwicklungen im US-Datenschutzrecht?

Im März 2021 stellte US-Kongressmitglied Suzan DelBene den Information Transparency and Personal Data Control Act vor. Der Erlass soll auf nationaler Ebene den Datenschutz harmonisieren. Die wichtigsten Bestimmungen beinhalten:

  • Klares und verständliches Englisch: Die Unternehmen müssen ihre Datenschutzrichtlinien in "einfachem Englisch" formulieren.

  • Opt-in: Die Benutzenden müssen ihre Zustimmung geben, bevor Unternehmen ihre besonders schützenswerten Personendaten in einer Weise verwenden, welche die Benutzenden nicht erwarten.

  • Offenlegung: Unternehmen werden verpflichtet, offenzulegen, ob und mit wem sie ihre Daten teilen werden und zu welchem Zweck dies geschieht.

  • Audits: Unternehmen werden verpflichtet, alle zwei Jahre ein Datenschutz-Audit durch einen neutralen Dritten vornehmen zu lassen. Ein Audit untersucht, ob Prozesse, Anforderungen und Richtlinien die geforderten Standards erfüllen.

Ob die Schweiz oder die EU den Information Transparency and Personal Data Control Act als angemessen betrachten, wird sich zeigen. Um diesbezüglich auf dem Laufenden zu bleiben, besuche den US State Privacy Legislation Tracker von iapp.

 

Was war der Privacy Shield und wozu diente er?

Aufgrund des spärlichen Datenschutzes hat die Schweiz 2017 das Privacy Shield Abkommen mit den USA abgeschlossen. Der Privacy Shield stärkte allgemeine Datenschutzprinzipien und ermöglichte es betroffenen Personen, sich bei zertifizierten US-Unternehmen oder den zuständigen Behörden direkt über Datenbearbeitungen zu informieren sowie Korrekturen und Löschungen durchzusetzen.

Am 8. September 2020 kam der EDÖB zum Schluss, dass der Swiss-US Privacy Shield kein angemessenes Schutzniveau für Personendaten garantiert, die aus der Schweiz in die USA bekannt gegeben werden. Dieser Entscheid hatte zur Folge, dass schweizerische Unternehmen, die Personendaten in die USA bekannt geben, andere Massnahmen zur Sicherung eines angemessenen Datenschutzniveaus ergreifen mussten.

 

Was sind unsere Empfehlungen für den Datenaustausch mit den USA?

Solange die USA kein einheitliches und umfassendes Datenschutzrecht schafft oder keine bessere Alternative zum Privacy Shield ausgehandelt wird, liegt es an den einzelnen Unternehmen, ihre Datenexporte in die USA so zu gestalten, dass der Datenschutz für die betroffenen Personen gewährleistet ist.

Um zu erfahren, wie Du künftig sicher und rechtskonform Personendaten in die USA bekanntgeben kannst, besuche unsere Anleitung zu Datenexporten.

Ratgeber Weitere Themen

Alle Themen anzeigen
Kontakt

Schildere uns Deinen Fall. Unsere Datenschutzexpert*innen beraten Dich gerne!

subscribe

Melde Dich für unseren Newsletter an, um auf dem Laufenden zu bleiben!

datenschutz.law logo

Domenig & Partner
Rechtsanwälte AG
Laupenstrasse 1
Postfach
CH-3001 Bern

Tel: +41 58 531 20 00
Fax: +41 31 380 11 09

datenschutz@domenig.law
www.domenig.law

Beiträge

Gesetzgebungen

Behördeninformationen

Rechtsprechung

Ratgeber

News

Ratgeber

Datenschutz Schweiz

Datenschutz Unternehmen

Datenschutz online

Die Personendaten

Datenschutz international

Glossar

News

Gesetze

Beratung

Datenschutzerklärung

Impressum