Internet Explorer: Unsere Empfehlung

×
Sie nutzen noch den Interenet Explorer 11 (IE11) und wir empfehlen Ihnen, bis zum 15. Juni 2022 auf den neuen Browser „Microsoft Edge“ oder eine aktuelle Version eines anderen gängigen Internet-Browsers (Firefox, Chrome, usw.) umzusteigen. Wir folgen damit den Empfehlungen des Unternehmens Microsoft, das ebenfalls schrittweise begonnen hat, die Unterstützung dieser Browserversion einzustellen. Bei Fragen wenden Sie sich bitte an unsere Hotline unter der Telefonnummer 089-38189-421.
CHB_RSW_Logo_mit_Welle_trans
Banner-GSZ

Informationsrechte – auch in den USA

Interview mit Dr. Axel Spies

ZGI 2024, 49   Der US-Datenschutz befindet sich weiter im Fluss. Auch Unternehmen in Europa mit Geschäft in den USA können betroffen sein. Zum Thema Informationsrechte haben wir Dr. Axel Spies, Rechtsanwalt in der Kanzlei Morgan Lewis & Bockius in Washington DC und Mitherausgeber der Zeitschriften MMR und ZD die folgenden Fragen gestellt:

ZGI: Herr Dr. Spies, wie ist die allgemeine Situation des Datenschutzes gegenwärtig in den USA?

Spies: Sehr unübersichtlich. Der Datenschutz in den USA wird traditionell durch bewährte, sektorale Gesetze wie HIPAA (Gesundheit), Gramm-Leach-Bliley Act – GLBA (Finanzen) und COPPA (Kinder) geregelt. Mit der Ausweitung von HIPAA auf Pixel und Tracker, mit der Frage der Anwendung des GLBA auf die Nutzung von KI und mit der Überarbeitung und Durchsetzung von COPPA für Pixel erhalten diese Gesetze neue Aktualität. Außerdem kämpft die Industrie noch mit mehr als 50 (einzelstaatlichen und bundesstaatlichen) Gesetzen zu Datenschutzverletzungen mit recht unterschiedlichen Anforderungen für die Meldung eines Bruchs der Datensicherheit – meist mit unterschiedlichen Schwellenwerten und Adressaten der Meldung.

In den US-Gesetzen gibt es einen ganzen Zoo von Definitionen, was personenbezogene Daten sind, die der Verarbeiter berücksichtigen muss. Es gibt PHI (HIPAA), NPI (GLBA), personenbezogene Daten nach COPPA, PII (nach den Gesetzen über den Bruch der Datensicherheit – Data Breach Laws), biometrische Daten/Kennungen (BIPA) und personenbezogene Informationen (PII) in diversen Datenschutzgesetzen der US-Bundesstaaten. Selbst die Definitionen personenbezogener Informationen (PII) in den Datenschutzgesetzen der US-Bundesstaaten unterscheiden sich von der Definition in der DS-GVO, da sie öffentliche Informationen regelmäßig ausklammern und sensible Daten in den einzelnen Bundesstaaten unterschiedlich definieren. Wo es in den Bundesstaaten verbraucherschützende Datenschutzgesetze gibt, sind die verschiedenen Schwellenwerte für die Anwendbarkeit auch von ausländischen Anbietern zu berücksichtigen. Das macht es nicht einfach.

Als zusätzliches Problem kommt hinzu, dass es weiter keine unabhängige Bundesdatenschutzbehörde gibt. Die Federal Trade Commission ist eine Verbraucherschutzbehörde. „Es ist Jagdsaison auf persönliche Daten: Wir brauchen jetzt eine Datenschutzbehörde“, schrieb Senatorin Gillibrand in einem Gastbeitrag für die 

Zeitschrift „The Hill“ kürzlich. Aber praktisch tut sich im Kongress im Wahljahr trotzdem wenig. Besonders wegen KI besteht aber durchaus Handlungsdruck bei den Gesetzgebern.

ZGI: Heißt das, dass es in den einschlägigen Gesetzen Informationsrechte der Betroffenen gibt?

Spies: Das Paradebeispiel ist der bekannte Freedom of Information Act (FOIA), der aber nur Bundesbehörden ins Visier nimmt. Seine Anfangsgründe reichen bis 1966 bzw. 1974 zurück und hat auch die späteren europäischen Gesetze beeinflusst. Für FOIA-Requests gibt es eingespielte Verfahren und jede Menge US-Rechtsprechung. Was den Privatsektor betrifft, sind zahlreiche bundesstaatliche Datenschutzgesetze einschlägig, die unterschiedliche Regelungen für Verbraucher enthalten.

ZGI: Können Sie das am Beispiel Kalifornien kurz erläutern?

Spies: In Kalifornien gilt das kürzlich erweiterte Datenschutzgesetz – der California Consumer Privacy Act (CCPA), der als Besonderheit auch Arbeitnehmerdaten und „B2B“-Daten abdeckt. Allerdings gilt das Gesetz erst ab bestimmten Schwellenwerten, zB wenn das Unternehmen einen Bruttojahresumsatz von über 25 Millionen USD hat. Für deutsche Unternehmen, die in Kalifornien Geschäfte machen oder dort Arbeitnehmer beschäftigen, kann der CCPA schnell zum Thema werden. Wenn der CCPA anwendbar ist, können die Betroffenen verlangen, dass diese Unternehmen ihnen mitteilen, welche personenbezogenen Daten sie über sie gesammelt, verwendet, weitergegeben oder „verkauft“ haben und zu welchen Zwecken. Insbesondere können diese Personen verlangen, dass die Unternehmen ihnen Folgendes offenlegen:

  • die Kategorien der erfassten personenbezogenen Daten,

  • die Kategorien der Quellen, aus denen das Unternehmen personenbezogene Daten gesammelt hat,

  • die Zwecke, für die das Unternehmen die personenbezogenen Daten verwendet,

  • die Kategorien von Dritten, mit denen das Unternehmen die personenbezogenen Daten teilt sowie

  • die Kategorien von Informationen, die das Unternehmen „verkauft“ oder an Dritte weitergibt.

Die Unternehmen müssen den Anfragenden diese Informationen für den Zwölf-Monats-Zeitraum vor der Anfrage zur Verfügung stellen – und zwar kostenlos. Sie müssen innerhalb von 45 Kalendertagen auf das eingehende Informationsgesuch antworten. Sie können aber diese Frist um weitere 45 Tage (insgesamt 90 Tage) unter Umständen verlängern. Auf die Informationsrechte müssen sie auf ihrer Webseite geziemend hinweisen. Es gibt einige Ausnahmen vom Recht auf Auskunft. Häufig verweigern Unternehmen die Herausgabe der Informationen, weil es den Betroffenen nicht hinreichend identifizieren kann. Eine Verweigerung der Auskunft ist auch möglich, wenn das Gesuch offensichtlich unbegründet ist oder das Unternehmen bereits mehr als zweimal innerhalb von zwölf Monaten personenbezogene Daten zur Verfügung gestellt hat. Die Verbraucher haben auch das Recht, eine kostenlose Kopie ihrer personenbezogenen Daten in einem leicht verwendbaren und lesbaren Format zu erhalten (Datenportabilität iSd DS-GVO). Insoweit ähnelt das Verfahren durchaus der DS-GVO.

Dies sind die Regeln für Kalifornien – in anderen Bundesstaten können die Regeln anders sein, obgleich die meisten bundesstaatlichen Datenschutzgesetze ein „right to know“ beim Datenschutz durchaus anerkennen. Das ebenfalls wegweisende Datenschutzgesetz von Virginia (VCDPA) enthält zB eine Vorschrift, dass die erfassten Verbraucher das Recht haben, sich zu vergewissern, ob ein für die Verarbeitung Verantwortlicher ihre personenbezogenen Daten verarbeitet oder nicht, und daher „Zugang“ zu diesen personenbezogenen Daten erhalten sollen.

ZGI: Werden diese Rechte auch praktisch durch die Datenschutzbehörde durchgesetzt?

Spies: Eher zurückhaltend verglichen mit Europa, aber es tut sich einiges. Zunächst ist auf Bundesebene die FTC als Verbraucherschutzbehörde zu nennen, an die sich die Betroffenen wenden können. Hinzu kommt zB die Federal Communications Commission, als Behörde für den Telekommunikationsbereich, an die sich Nutzer wenden können, deren „Privacy“ verletzt ist – zB durch die unberechtigte Nutzung von Telekommunikationsdaten. Die FTC hat bei der Regulierung des Datenschutzes einen langen Weg zurückgelegt. Schwerpunkte bei der Durchsetzung sind für die FTC zurzeit die Datennutzung zur präzisen Geolokalisierung von Personen und die Nutzung sensibler Daten (insbesondere biometrischer und genetischer Daten).

In Kalifornien gibt es neuerdings die CPPA (California Privacy Protection Agency) als emsige, unabhängige Datenschutzbehörde – die einzige bislang in einem US-Bundesstaat. Die CPPA hat eigene Ausführungsvorschriften zum CPRA erlassen. Die CCPA-Ausführungsvorschriften (kurz „Rules“ oder „Regeln“) enthalten wichtige Details darüber, wie das Recht des Betroffenen auf Information umgesetzt werden muss: Zum Beispiel muss ein Unternehmen den Eingang des Antrags innerhalb von zehn Werktagen bestätigen. Eine andere Regel verlangt von den betroffenen Unternehmen, dass sie eine „angemessene“ Verifizierungsmethode einrichten, ihre Überprüfung dokumentieren und dieses Verfahren dann auch einhalten. Es gibt auch zusätzliche Regeln für die Überprüfung von passwortgeschützten Konten, Nicht-Kontoinhabern und deren Bevollmächtigten.

Was die Vollstreckung angeht – die kalifornische Staatsanwaltschaft (Attorney General) spielt weiter eine wichtige Rolle: Kürzlich (am 21.2.2024) hat sie bekannt gegeben, dass sie mit einem Unternehmen einen Vergleich in Höhe von 375.000 USD geschlossen hat, um Vorwürfe auszuräumen, das Unternehmen habe gegen den CCPA und den California Online Privacy Protection Act (CalOPPA) verstoßen. Dies ist erst das zweite Mal, dass sie mit einem solchen Vergleich an die Öffentlichkeit tritt. Die Behörde hatte dem Unternehmen vorgeworfen, gegen den CCPA verstoßen zu haben, da es den „Verkauf“ von personenbezogenen Daten nicht offengelegt und überdies den Verbrauchern nicht das Recht eingeräumt habe, sich gegen den „Verkauf“ der Daten zu entscheiden. Deutsche Unternehmen vergessen leider häufig, 

wie weit der Begriff „Verkauf“ von Daten u. a. in Kalifornien ausgelegt wird.

Was die nahe Zukunft betrifft, ist es naheliegend, dass die CPPA verstärkt gegen Unternehmen vorgeht, die auf ihrer Webseite keine hinreichenden Angaben zum Informationsrecht etc. veröffentlichen oder die Informationsgesuche nicht oder nur verzögert bearbeiten. Auf der Website der CPPA find sich ein online auszufüllendes Beschwerdeformular, das auch das „right to know“ abbildet.

ZGI: Welche Informationsrechte haben die Betroffenen sonst noch in den USA?

Spies: Als wesentlichen Punkt möchte ich die Informationsrechte der Kläger (und Beklagten) im US-Zivilprozess erwähnen – die sog. „Discovery“. In den USA sammeln Kläger und Beklagte in Zivilverfahren notwendige Beweismittel in großem Umfang ohne Einwirkung des Richters direkt bei der anderen Seite oder bei Dritten. Sind die Dokumente elektronisch vorhanden (E-Mails, PDF-Dateien, Tabellenkalkulationen, Textdokumente, elektronisch gespeicherte Fotos, Metadaten usw.), existieren weitgehende Löschungsverbote, Speicher- und Vorlagepflichten nach den US-Federal Rules of Civil Procedures – teilweise bevor es überhaupt zu einem gerichtlichen Verfahren kommt. Die Sammelklagen in den USA bei Datenschutzverletzungen (insbesondere bei einem Bruch der Datensicherheit) weiten sich aus. Man muss auch kein in den USA ansässiges Unternehmen sein, um verklagt zu werden. Die sonstigen neuralgischen Punkte für Sammelklagen sind derzeit das Abhören von Chats und die Sitzungswiedergabe, VPPA (Videoüberwachung) und die Nutzung von biometrischen Daten (BIPA). Auch die Datennutzung durch KI ist ins Visier geraten, aber es ist noch unklar, ob diese Klagen Erfolg haben werden.


QR-Code scannen - Heft gratis lesen

Heft kostenfrei lesen

Anzeige:

ZGI Banner

Teilen:

Menü