Das Wichtigste zum Datenschutz in den USA in Kürze
- Anders als in der EU ist der Datenschutz in den USA nicht allgemein und umfassend geregelt.
- Stattdessen gibt es branchenspezifische Regelungen. Ein Großteil beruht jedoch auf Selbstverpflichtungen seitens der Unternehmen.
- Problematisch für den Datenverkehr mit der EU sind neben dem niedrigen Schutzniveau auch die umfassenden Zugriffsbefugnisse der US-Behörden.
Spezifische Informationen zum Datenschutz in den USA
Datenschutz in Deutschland und den USA: Zwei verschiedene Welten?
Inhaltsverzeichnis
Der Datenschutz in den USA ist in Deutschland und Europa vor allem dann ein Thema, wenn es um die großen Internetkonzerne wie Google und Facebook geht. Was machen sie mit unseren Daten, wo speichern sie sie und was passiert dann eigentlich mit ihnen? Dies sind in der Regel die Fragen, um die sich die Auseinandersetzung dreht.
Es herrscht dabei viel Unkenntnis, was den Datenschutz in Amerika betrifft. Zum Teil scheint angenommen zu werden, dass in den USA der Datenschutz überhaupt nicht existiere. Um ein wenig Klarheit in die Regelungen zu bringen, die jenseits des Atlantiks gelten, soll im Folgenden das dort geltende Recht überblicksweise dargestellt und in Bezug zu den deutschen und europäischen Regelungen gesetzt werden.
Wie ist der Datenschutz in den USA geregelt?
Unternehmen sind nach diesen branchenspezifischen Datenschutz-Gesetzen der USA etwa dazu verpflichtet, für die Sicherheit von gespeicherten personenbezogenen Daten zu garantieren. Zudem müssen sie bei Datenlecks umfassenden Meldepflichten nachkommen – was auch eine disziplinarische Wirkung in präventiver Hinsicht hat.
Grundsätzlich gilt aber das Prinzip, dass Unternehmen ihr eigenes Datenschutzniveau festlegen. Wenn sie dann gegen ihre eigenen Versprechungen verstoßen, so gilt dies als trügerisches oder unlauteres Vorgehen, was wiederum wettbewerbsrechtliche Konsequenzen hat.
Die Aufsichtsbehörde hat umfassende Mittel, um die Umsetzung dieser Vorschriften zum Datenschutz in den USA durchzusetzen. So kann sie verlangte Änderungen in Unternehmen durch langfristige Überprüfungsmaßnahmen nicht nur erzwingen, sondern auch kontrollieren. Zudem kann sie hohe Sanktionen verhängen.
Zwei verschiedene Ansätze: Datenschutz in der EU und den USA
Der Unterschied in der Herangehensweise hat seinen Ursprung in einer anderen Sichtweise. Während der Schutz der personenbezogenen Daten in Europa als Grundrecht gesehen wird, gilt der Datenschutz in den USA als Teil des Verbraucherschutzrechts, letztlich also als ein Element des Wirtschaftslebens.
In Deutschland und der EU hingegen gibt es unabhängige Datenschutzbehörden bzw. -beauftragte, die sowohl für öffentliche als auch nicht-öffentliche Stellen zuständig sind.
Einschränkung des Datenschutzes durch Sicherheitsgesetze in den USA
Ungeachtet der Einzelgesetze, die in den verschiedenen Wirtschaftssektoren den Datenschutz der USA ansatzweise regulieren, ist die Sicherheit der personenbezogenen Daten dort nicht in dem Maße gewährleistet, wie es von europäischer Seite wünschenswert wäre. Eingriffe kommen dabei vor allem von staatlicher Seite.
Grundlage ist insbesondere der USA PATRIOT Act, ein Gesetz, das nach den Anschlägen vom 11. September 2001 zur Terrorabwehr verabschiedet wurde und die Befugnisse der Sicherheitsbehörden massiv ausweitet.
So können die Behörden ohne richterliche Anordnung auf Daten zugreifen, die auf Servern in den USA gespeichert sind. Seit den Snowden-Enthüllungen ist zudem bekannt, dass diese Zugriffe nicht nur punktuell stattfinden, sondern eine permanente und breite Auswertung der Daten technisch möglich ist und praktiziert wird.
Datenaustausch und Datenschutz zwischen den USA und der EU
Um dennoch eine Datenübermittlung zu ermöglichen, wurden Sonderregelungen ausgehandelt, die unter den Namen Safe Harbor und Privacy Shield bekannt sind. Es handelt sich hierbei um Vereinbarungen, die bei amerikanischen Unternehmen ein ausreichendes Schutzniveau für Daten herstellen sollen, sodass eine Übermittlung dorthin mit dem europäischen Datenschutzrecht vereinbar ist und erlaubt werden kann.
Safe Harbor und Privacy Shield
Das Safe-Harbor-Abkommen über den Unternehmens-Datenschutz in den USA funktionierte so, dass Unternehmen sich öffentlich zu gewissen Datenschutz-Grundsätzen bekannten, die vom US-Handelsministerium aufgestellt wurden. Daraufhin wurden sie in eine vom Ministerium geführte Liste aufgenommen.
Safe Harbor wurde 2015 vom Europäischen Gerichtshof für ungültig erklärt, weil es nach Meinung des Gerichts keinen ausreichenden Schutz der Daten sicherstelle. Um weiterhin Rechtssicherheit beim Datenaustausch zu haben, wurde dann ein Nachfolgeabkommen namens Privacy Shield ausgehandelt, das einige Verschärfungen enthält, jedoch nach Ansicht von Kritikern nicht den mangelnden Datenschutz der USA beheben kann.
Datenschützer empfehlen daher, zur Sicherheit auf europäische Alternativen zurückzugreifen. Gerade Unternehmen müssen sonst mit möglichen Sanktionen nach der Datenschutzgrundverordnung (DSGVO) wegen der Verletzung europäischen Datenschutzrechts befürchten.
Schreibe einen Kommentar