Neuer Anlauf für einheitlichen Datenschutz in den USA: Der American Privacy Rights Act
Am 07. April 2024 hat ein Gesetzesentwurf in den USA für viel Aufsehen gesorgt. Der Entwurf des "American Privacy Rights Act" zielt darauf ab, die Rechte und Freiheiten von US-Bürgern zukünftig stärker zu schützen. Dieser Entwurf wurde von den Vorsitzenden der Handels- und Energieausschüsse, Cathy McMorris Rodgers und Maria Cantwell vorgestellt. Doch was verbirgt sich eigentlich dahinter?
Standard einheitlich für ganz Amerika
Das Problem bislang ist, dass es, anders als in der EU, in den USA kein umfassendes Datenschutzgesetz gibt, das bundesweit für eine einheitliche Gesetzgebung sorgt. Stattdessen gibt es vereinzelte Gesetze in den einzelnen Bundesstaaten (z.B. der California Consumer Privacy Act). Das Problem hierbei ist, Verbraucher als auch Unternehmen, die in mehreren Bundesstaaten tätig sind, sind von sowohl Rechtsunsicherheit als auch bürokratischem Aufwand betroffen. Gleiches gilt für internationale Unternehmen, welche Standorte in einzelnen Bundesstaaten der USA betreiben.
Durch den Entwurf soll es zum ersten Mal einen einheitlichen Standard auf Landesebene geben. Verbraucher sollen mehr Kontrolle über ihre persönlichen Daten haben, darunter das Recht, die Übertragung von Daten zu verbieten und das Recht auf Löschung ihrer eigenen Informationen.
Durchsetzbare Rechte dank Klagemöglichkeit
Eine der wichtigsten Neuerungen des Entwurfs ist die Option, dass Verbraucher die Unternehmen bei Regelverstößen verklagen können und Schadenersatz fordern können, ähnlich wie die in Art. 82 DSGVO definierten Regelungen zur Haftung und das Recht auf Schadenersatz. Es soll zudem möglich sein, schwerwiegende Verstöße durch Zwangsschiedsverfahren zu umgehen. Dadurch soll die Durchsetzung der Datenschutzrechte deutlich einfacher sein.
Welche Regeln müssen große Datenunternehmen beachten?
Für Großunternehmen mit einem Jahresumsatz von über 250 Millionen Dollar sollen die Vorgaben besonders streng sein. Es ist unter Umständen erforderlich, regelmäßige interne Überprüfungen durchzuführen und eine Person für die Einhaltung der Regeln zu benennen. Dies kommt den in Art. 37-39 DSGVO definierten Stellungen und Aufgaben der Datenschutzbeauftragten nahe, ist jedoch nicht nur kontrollierend, sondern ebenfalls umsetzend gemeint. Firmen, die weniger als 40 Millionen Dollar Umsatz erzielen, wären von den meisten Bestimmungen zum aktuellen Zeitpunkt ausgenommen.
Auswirkungen auf internationale Unternehmen
Für internationale Unternehmen, die mit Informationen von US-Bürgern arbeiten, könnte das Gesetz Konsequenzen haben. Es ist wahrscheinlich, dass sie ihre Datenverarbeitungsabläufe gemäß den neuen Vorschriften überprüfen und möglicherweise überarbeiten müssen.
Insbesondere Unternehmen aus der EU, für die bereits die EU-DSGVO seit 2018 angewendet wird, sollten die Maßnahmen innerhalb des Datenschutzmanagements umsetzen können.
Eins steht fest!
Selbst wenn es nur ein Entwurf ist, markiert die „American Privacy Rights Act (APRA)“einen guten Schritt vorwärts im Bereich des Datenschutzes in den USA. Es bleibt abzuwarten, ob das Gesetz die erforderlichen Hürden im Kongress überwinden kann.
Jedoch hat die bisher international erkennbare Debatte klar gezeigt, dass der Ruf nach mehr Verbraucherschutz im Datenzeitalter lauter wird und auch international agierende US-Unternehmen bereits freiwillig Regulierungen vornehmen, um die Privatsphäre der Nutzer zu schützen.
Bildnachweis
Co-Autor
Chayenne Bytomski