Dr. Axel Spies

USA: Datenschutz im Internet


In Europa charakterisieren einige die USA gerne auf dem Gebiet des Online-Datenschutzes als Wilder Westen, wo man sich seiner persönlichen Daten nicht sicher sei. Die europäische Kritik ist in vielen Punkten überzogen.

Richtig ist im Kern: Z.Zt. gibt es in den USA kein übergreifendes Bundesrecht, das die Sammlung, Speicherung und Weitergabe von personenbezogenen Daten im Internet regelt. Es gibt jedoch in der Praxis wichtige Richtlinien (Guidelines) der US-Wettbewerbsbehörde, der Federal Trade Commission (FTC), wonach Datenschutzregeln von Unternehmen (sog. Privacy Policies oder Privacy Codes) einen Grundkatalog von Schutzpflichten abdecken müssen. Mehr und mehr US-Unternehmen, die online Kundendaten erheben und verarbeiten, gehen dazu über, deren Nutzung durch eigene Privacy Policies zu regeln. Hält sich ein Unternehmen nicht an die eigene Privacy Policy oder verstößt die Privacy Policy gegen die FTC-Richtlinien, kann die FTC Strafen und sonstige Sanktionen ggü. dem Unternehmen verhängen. Die von der FTC in ihren Richtlinien definierten Grundregeln sind schlagwortartig folgende:

  • "Notice": Der Betroffene muss klar und verständlich darüber informiert werden, wie das Unternehmen seine Daten handhabt (d.h. was mit den Daten geschieht).

  • "Choice": Der Betroffene muss die Möglichkeit haben, die Nutzung seiner Daten zu anderen Zwecken, als zu denen sie zur Verfügung gestellt wurden, zu unterbinden.

  • "Access": Dem Betroffenen muss das Unternehmen im vernünftigen Umfang Zugriff zu seinen Daten gewähren, um diese zu überprüfen und ggf. bei Fehlerhaftigkeit oder Unvollständigkeit zu korrigieren.

  • "Security": Das Unternehmen muss im vernünftigen Umfang Maßnahmen einleiten, um die Sicherheit der Daten vor unberechtigtem Zugriff Dritter zu gewährleisten.

Z.Zt. werden im US-Kongress mehrere Gesetzesvorhaben erörtert, um einen Online-Datenschutz auf Bundesebene zu kodifizieren. Es ist noch nicht abzusehen, wann diese Vorhaben in ein Bundesgesetz münden werden.

Ein Bereich, der bereits schon jetzt gesetzlich bundesrechtlich geschützt ist, ist das Sammeln von Daten Minderjähriger nach dem Children's Online Privacy Protection Act (COPPA). Nach COPPA bedarf die Erhebung persönlicher Daten von Kindern unter 13 Jahren grds. der Zustimmung der Erziehungsberechtigten. Außerdem existieren Spezialvorschriften für das Sammeln von Finanzdaten durch Finanzunternehmen nach dem kürzlich ergangenen GrammLeach-Bliley Act. Zu beachten ist hier, dass der Begriff "Finanzunternehmen" sehr weit gefasst ist. Das Gesetz deckt z.B. "Versicherungen gegen finanziellen Verlust" und Abzahlungskäufe ab, d.h., dass z.B. Autohändler oder Reiseagenturen durchaus unter den Anwendungsbereich des Gramm-Leach-Bliley Act fallen können.

Schließlich gibt es noch den im Dezember 2000 verabschiedeten Health Insurance Portability and Accountability Act (HIPPA), der die Verarbeitung von personenbezogenen Daten im Gesundheitsbereich regelt. Nach diesem Gesetz gilt der Grundsatz, dass eine Nutzung und Weitergabe von Patienteninformationen durch den Versicherer (Health Care Provider), Krankenhäuser usw. grds. nur mit vorheriger Zustimmung des Patienten zulässig ist. Außerdem muss der elektronische Zugriff auf Gesundheitsdaten dokumentiert werden.

Interessant ist die Entwicklung des Online-Datenschutzes auf der Ebene der US-Bundesstaaten: Als erster US-Bundesstaat hat kürzlich Minnesota ein überraschend kompaktes Gesetz verabschiedet, das den Datenschutz im Internet regelt (Internet Privacy Bill - S.F 2908 v. 22.5.2002 - http://www.revisor.leg.state.mn.us).Das Gesetz dürfte einige Ausstrahlungswirkung auf andere Bundesstaaten haben. Es tritt zum 1.3.2003 in Kraft. Abgedeckt sind sog. PII (Personally Identifiable Information) von Kunden, die durch das Internet gewonnen werden. Dies schließt ein: Daten über Websites, welche Kunden besuchen, E-Mail-Adressen, Wohnungsadressen und Telefonnummern. Das Gesetz legt dem Online-Diensteanbieter auf, seinen Kunden in Minnesota mitzuteilen, wann und wie sie die Daten verwerten ("to disclose"). Dabei kommt es nicht darauf an, wo der Diensteanbieter seinen Sitz hat. Das Gesetz schützt nur Personen, die die Dienste per Internet für persönliche, familienbezogene oder haushaltsbezogene Zwecke benutzen.

Insb. muss ein Diensteanbieter in seiner Vereinbarung mit dem Kunden deutlich sichtbar ("conspicious") mitteilen, ob ein Kunde die Nutzung seiner PII, z.B. durch Weitergabe, untersagen kann (Opt-out-System) oder ob der Diensteanbieter die vorherige Zustimmung zur Weitergabe der Daten einholt (Opt-in-System). Die Zustimmung kann der ISP dann schriftlich oder elektronisch einholen. Dabei ist jedoch erforderlich, dass vor Einholung der Zustimmung der Diensteanbieter den Kunden mitteilt, an wen er die PII weiterleitet und zu welchem Zweck das geschieht. Außerdem muss der Diensteanbieter "vernünftige Maßnahmen" (reasonable steps) ergreifen, um die Sicherheit und den Schutz der PII vor unbefugtem Zugriff Dritter zu gewährleisten.

Das Gesetz enthält auch Schadensersatzvorschriften. Falls der Kunde in einem Verfahren auf Grund dieses Gesetzes gegen einen Diensteanbieter obsiegt, muss der Diensteanbieter den "tatsächlichen Schaden" ersetzen (mindestens aber US$ 500 sind zu zahlen). Außerdem ist dann der Diensteanbieter verpflichtet, dem Kunden die Prozess- und Anwaltskosten (im vernünftigen Umfang) zu erstatten, was für US-Verhältnisse eher ungewöhnlich ist. US-Sammelklagen (class action suits) sind auf Grund dieses Gesetzes jedoch nicht möglich.

Weiterhin definiert das Gesetz drei relativ weite Ausnahmefälle, in denen ein Diensteanbieter den Kunden nicht über die Weiterleitung der PII informieren muss:

  • an Strafverfolgungsbehörden,

  • an andere Diensteanbieter zur Aufdeckung von Straftaten oder

  • an Personen, die diese Daten der Diensteanbieter i.R.e. ordentlichen Geschäftsbetriebs benötigen (gedacht ist an Inkasso-Unternehmen oder an den Erwerber beim Eigentumswechsel an einem Diensteanbieter).

Sofern US-Bundesrecht weitergehende Befugnisse zur Weiterleitung der PII einräumt (s.o.), gehen die Bestimmungen des Bundesrechts dem Gesetz vor.

Schließlich enthält das Gesetz auch Regelungen über das unerwünschte Zusenden vom E-Mails (spam). Es gilt das Opt-out-Prinzip, d.h. der Diensteanbieter kann unangeforderte E-Mail einem Kunden übersenden, solange dieser nicht widerspricht. Interessant ist, dass jede unangeforderte Werbe-E-Mail den Zusatz "ADV" (Advertisement) in der Titelzeile enthalten muss, damit klar erkennbar ist, dass es sich um Werbung handelt. Sofern der Inhalt der E-Mail pornografischer Natur ist, muss eine Kennzeichnung mit der Abkürzung "ADV-Adult" erfolgen. Zusätzlich muss bei allen unangeforderten E-Mails grds. eine gebührenfreie Telefonnummer oder eine gültige E-Mail-Adresse angegeben sein, damit der Empfänger die Zusendung weiterer E-Mails durch den Absender unterbinden kann. Falls der Absender diesen Regeln nicht Folge leistet, hat er nach dem Gesetz Schadensersatz von bis zu US$ 25 pro E-Mail oder US$ 35.000 pro Tag zu leisten.

RA Dr. Axel Spies, Swidler, Berlin, Shereff, Friedman, L.L.P., Washington DC.


MMR 2002, Heft 7, XII