US-amerikanisches Datenschutzgesetz?
Der Austausch personenbezogener Daten mit US-amerikanischen Unternehmen wird für viele deutsche Unternehmen Alltag sein. Nicht zuletzt stehen viele Server auf US-amerikanischem Boden.
Für die USA hat die Europäische Kommission per Angemessenheitsbeschluss ein angemessenes Datenschutzniveau bestätigt, unter der Voraussetzung dass der Empfänger dem so bezeichneten US-Privacy Shield angehört. Viele Datenschützer stellen jedoch in Frage, ob man das US-amerikanische Datenschutzniveau guten Gewissens dem Europäischen gleichsetzen kann. Nicht zuletzt die in den letzten Monaten häufig aufgetretenen Datenpannen großer amerikanischer Konzerne lassen Zweifel aufkommen. Und nicht wenige äußern, dass es sich von Seiten der Europäischen Kommission wohl eher um eine politische, denn eine aus Sicht des Datenschutzes fundierte Entscheidung handelt, den USA die Angemessenheit des Niveaus zu bestätigen.
Die Gruppe der „Zweifler“ wird sich seit letzter Woche eher bestätigt sehen.
Über 50 Schwergewichte der US-amerikanischen Wirtschaft haben in einem offenen Brief an den US-Kongress ein Bundesweites Datenschutzgesetz gefordert. Begründet wird dies unter anderem mit wirtschaftlichen Argumenten (fehlende Wettbewerbsfähigkeit amerikanischer Unternehmen durch die Erschwernisse des Datenschutzes). Hintergrund ist, dass zuletzt einige Bundesstaaten Datenschutzgesetze erlassen hatten, teilweise mit dem Vorbild DSGVO, weil eine bundesweite Regelung bisher fehlt.
Der Vorschlag der Unternehmen, „Framework for Consumer Privacy Legislation“ liest sich oberflächlich betrachtet zunächst so, als hätten die Unternehmen begriffen, dass die Sensibilität für den Schutz personenbezogener Daten vornehmlich im letzten Jahr deutlich zugenommen hat. Fast wöchentlich erscheinende Pressenachrichten von großen Datenpannen amerikanischer Konzerne dürften den jeweiligen Public Affairs Abteilungen nicht gefallen haben.
Wer genauer hinsieht wird jedoch schnell eines Besseren belehrt. Im letzten Satz des Dokumentes heißt es nämlich: „No Private Right of Action: A national consumer privacy law should not provide for a private right of action.“
Mit anderen Worten: betroffenen Personen wird kein Recht eingeräumt, ihr Recht vor Gerichten einzuklagen. Auch die für das US-amerikanische Rechtssystem so wichtige Möglichkeit, Schadensersatz einzuklagen, entfällt damit wohl. Stattdessen sollen Bundesanwälte und die Handelsbehörde FTC „stellvertretend“ für die betroffenen Personen diese Funktion übernehmen. Letztere, die FTC, hat sich jedoch in den letzten Jahren zumindest im öffentlich wahrnehmbaren Bereich nicht gerade für diese Rolle prädestiniert, was wohl auch der Grund ist, wieso die US-Konzerne diese Variante vorschlagen.
Sollte dieses von den Großkonzernen lobbyierte „Framework for Consumer Privacy Legislation“ tatsächlich die Basis für ein US-Bundesgesetz im Datenschutz liefern, könnte man bei der Europäischen Kommission m.E. von einem angemessenen Datenschutzniveau auch mit besonders ausgeprägtem Wohlwollen nicht mehr sprechen.