Am 3. Juni 2022 wurde im US-Kongress ein neuer Anlauf genommen, um auf Bundesebene endlich ein Bundesdatenschutzgesetz, den „American Data Privacy and Protection Act“ (ADPPA) zu verabschieden. Da der ADPPA-Entwurf sowohl von der demokratischen als auch von der republikanischen Fraktion unterstützt wird, bestehen berechtigte Hoffnungen, dass der ADPPA-Entwurf nach weiteren Diskussionen tatsächlich verabschiedet werden wird.
Erste Einschätzung aus europäischer Sicht
Es handelt es sich um den Entwurf für ein umfassendes Datenschutzgesetz, das in den meisten Punkten mit der DSGVO vergleichbar ist. Viele Prinzipien, die aus der DSGVO bereits bekannt sind, sind in ähnlicher Form im ADPPA-Entwurf geregelt:
Der ADPPA-Entwurf findet auf die meisten Unternehmen oder Personen Anwendung, die personenbezogene Daten von in den USA ansässigen Personen für kommerzielle Zwecke verwenden wollen. Ähnlich wie in der DSGVO werden anonyme Daten ausgenommen.
Ebenso wie in der DSGVO für besondere personenbezogene Daten werden für sensitive Daten besondere Einschränkungen vorgenommen. Die Verantwortlichen unterliegen Transparenzpflichten und insbesondere müssen „Privacy Policies“ erstellt und veröffentlicht werden. Ferner gilt das Prinzip der Datenminimierung.
Die betroffenen Bürger bekommen ähnliche Rechte wie nach den Art. 15 ff. DSGVO, insbesondere ein Informationsrecht hinsichtlich der zu Ihrer Person gespeicherten Daten, ein Recht auf Korrektur unrichtiger Daten, ein Recht auf Löschung von Daten, ein Recht auf Datenportabilität sowie ein „opt-out“-Recht für den Fall, dass Verantwortliche ihre personenbezogenen Daten an Dritte übertragen oder „targeted advertising“ betreiben wollen.
Unternehmen, die bestimmte Schwellenwerte überschreiten, unterliegen weiteren Anforderungen z.B. im Hinblick auf die Durchführung von Datenschutzfolgenabschätzungen oder der Einführung von Berichterstattungsstrukturen unter Einbindung von leitenden Angestellten. Alle Unternehmen sind verpflichtet, einen Datenschutzbeauftragten zu ernennen.
Der ADPPA-Entwurf sieht für den Fall einer Auftragsdatenverarbeitung ähnliche die Pflichten der Verantwortlichen und der Auftragsdatenverarbeiter wie die DSGVO. Zur Rechtsdurchsetzung sind insbesondere die Federal Trade Commission (FTC) und die Generalstaatsanwälte der Bundesstaaten verpflichtet. Bei der FTC wird dazu extra ein „Bureau of Privacy“ eingerichtet. Vier Jahre nach In Kraft treten des Gesetzes sollen auch einzelne Bürger das Recht bekommen, selbst Klagen vor den Bundesgerichten einzulegen bei Datenschutzverstößen, die ihre Rechte verletzen.
Eine der umstrittensten Fragen des ADPPA-Entwurfs ist die, ob die bereits verabschiedeten Datenschutzgesetze der Bundesstaaten der USA (insbesondere des Bundesstaats Kalifornien) weiterbestehen können oder nach dem Grundsatz des Vorrangs des Bundesrechts verdrängt werden. Der derzeit vorliegende ADPPA-Entwurf würde dazu führen, dass die Gesetze der Bundesstaaten verdrängt werden und nicht mehr gültig wären, was für Unternehmen, die in den USA kommerziell tätig sind, aber personenbezogene Daten von US-Bürgern verarbeiten, eine große Erleichterung mit sich bringen würde.
Folgen für den internationalen Datentransfer
Da der ADPPA-Entwurf in vielen Punkten Ähnlichkeiten mit der DSGVO aufweist, stellt sich natürlich die Frage, ob nach Inkrafttreten des ADPPA ein angemessenes Schutzniveau in den USA gegeben wäre, so dass die EU-Kommission in Ansehung des ADPPA eine neue Angemessenheitsentscheidung nach Art. 45 DSGVO für den Datentransfer zwischen der EU und den USA treffen könnte. Aufgrund der überzogenen Rechtsprechung des EuGH in den Schrems-Urteilen (hierzu ausführlich Lejeune, CR 2020, 716 ff.) muss diese Frage eindeutig verneint werden.
Grund für die Urteile des EuGH sind bekanntlich die aus Sicht des EuGH zu weitreichenden Befugnisse der US-amerikanischen Sicherheitsbehörden nach dem Foreign Intelligence Surveillance Act (FISA) bzw. der Executive Order 12333 sowie die nach geltendem Recht nur begrenzten Rechte von Bürgern, sich gegen unrechtmäßige Erhebungen bzw. Verarbeitungen ihrer persönlichen Daten gerichtlich zur Wehr setzen zu können. Der ADPPA regelt aber nur das „zivile“ Datenschutzrecht und sieht keinerlei Regelungen vor, die die Befugnisse der Geheimdienste und der sonstigen Sicherheitsbehörden begrenzen könnten.
Lediglich hinsichtlich der Möglichkeiten betroffener Bürger, Klage gegen eine unrechtmäßige Verarbeitung ihrer personenbezogenen Daten einlegen zu können, regelt der ADPPA-Entwurf eine der vom EuGH aufgeworfenen Fragen. Allerdings stellt sich auch insoweit die Frage, ob die Regelungen des ADPPA-Entwurfs die Anforderungen des EuGH erfüllen könnten. Bekanntlich werden im US-amerikanischen Zivilprozessrecht sehr hohe Anforderungen an die Klagebefugnis gestellt (sog. Art. III Standing, vgl. Spokeo Inc. v. Robins, 578 U.S. 330 2016 (U.S. Supreme Court 16.5.2016)). Gerade im Zusammenhang mit Datenschutzfragen ist es für betroffene Bürger oft schwierig, einen konkreten Schaden, der durch eine unrechtmäßige Erhebung ihrer personenbezogenen Daten eingetreten ist, glaubhaft machen zu können (vgl. Clapper et Al. v. Amnesty International USA et al., 568 U.S. 398 (U.S. Supreme Court 26.2.2013).).
In diesem Kontext ist auch die aktuelle Fazaga-Entscheidung des US Supreme Court zu erwähnen (FBI et Al. v. Fazaga et al., 4.3.2022, 595 U.S.__ (2022) mit Anm. Lejeune, CRi 2022, 46). In dieser Entscheidung hat der US Supreme Court entschieden, dass die Sicherheitsbehörden der USA sich auf der Grundlage des sog. „state secret privilege“ weigern dürfen, im Rahmen eines Zivilverfahrens bestimmte geheime Informationen offenzulegen, wenn dadurch die nationale Sicherheit der USA gefährdet werden könnte.
Es ist davon auszugehen, dass der EuGH diese Einschränkungen für Bürger, sich gegen unrechtmäßige Datenverarbeitungen ihrer personenbezogenen Daten vor amerikanischen Gerichten zur Wehr setzen zu können, als ausgesprochen kritisch ansehen dürfte.
Fazit
Der ADPPA-Entwurf, sofern er in einigen Monaten verabschiedet werden sollte, wäre ein großer Schritt in Richtung angemessenes Datenschutzniveau in den USA, könnte aber eine Angemessenheitsentscheidung der EU nach Art. 45 DSGVO wegen der überzogenen Anforderungen des EuGH aus den Schrems-Urteilen nicht ermöglichen (ausführlich Lejeune, CR 2020, 522). Der Datenaustausch zwischen den USA und der EU wird ein schwieriges Thema bleiben. Ob der angekündigte „Trans-Atlantic Data Protection Framework“ daran etwas ändern kann, bleibt abzuwarten (kritisch dazu Lejeune, CRi 2022, 60).