Das Wichtigste zum Datenschutz in den USA in Kürze
- Anders als in der EU ist der Datenschutz in den USA nicht allgemein und umfassend geregelt.
- Stattdessen gibt es branchenspezifische Regelungen. Ein Großteil beruht jedoch auf Selbstverpflichtungen seitens der Unternehmen.
- Problematisch für den Datenverkehr mit der EU sind neben dem niedrigen Schutzniveau auch die umfassenden Zugriffsbefugnisse der US-Behörden.
Spezifische Informationen zum Datenschutz in den USA
Datenschutz in Deutschland und den USA: Zwei verschiedene Welten?
Inhaltsverzeichnis
Der Datenschutz in den USA ist in Deutschland und Europa vor allem dann ein Thema, wenn es um die großen Internetkonzerne wie Google und Facebook geht. Was machen sie mit unseren Daten, wo speichern sie sie und was passiert dann eigentlich mit ihnen? Dies sind in der Regel die Fragen, um die sich die Auseinandersetzung dreht.
Es herrscht dabei viel Unkenntnis, was den Datenschutz in Amerika betrifft. Zum Teil scheint angenommen zu werden, dass in den USA der Datenschutz überhaupt nicht existiere. Um ein wenig Klarheit in die Regelungen zu bringen, die jenseits des Atlantiks gelten, soll im Folgenden das dort geltende Recht überblicksweise dargestellt und in Bezug zu den deutschen und europäischen Regelungen gesetzt werden.
Wie ist der Datenschutz in den USA geregelt?
Anders als in Deutschland mit dem Bundesdatenschutzgesetz und auf europäischer Ebene mit der Datenschutzgrundverordnung gibt es kein allgemeines und umfassendes Datenschutzgesetz in den USA. Vielmehr gibt es für einzelne Bereiche jeweils eigene Gesetze. So gibt es beispielsweise eigene Regelungen für den Bereich Wirtschaft und Handel, für das Gesundheitswesen und für den Finanzsektor.
Unternehmen sind nach diesen branchenspezifischen Datenschutz-Gesetzen der USA etwa dazu verpflichtet, für die Sicherheit von gespeicherten personenbezogenen Daten zu garantieren. Zudem müssen sie bei Datenlecks umfassenden Meldepflichten nachkommen – was auch eine disziplinarische Wirkung in präventiver Hinsicht hat.
Grundsätzlich gilt aber das Prinzip, dass Unternehmen ihr eigenes Datenschutzniveau festlegen. Wenn sie dann gegen ihre eigenen Versprechungen verstoßen, so gilt dies als trügerisches oder unlauteres Vorgehen, was wiederum wettbewerbsrechtliche Konsequenzen hat.
Die Aufsichtsbehörde hat umfassende Mittel, um die Umsetzung dieser Vorschriften zum Datenschutz in den USA durchzusetzen. So kann sie verlangte Änderungen in Unternehmen durch langfristige Überprüfungsmaßnahmen nicht nur erzwingen, sondern auch kontrollieren. Zudem kann sie hohe Sanktionen verhängen.
Zwei verschiedene Ansätze: Datenschutz in der EU und den USA
Der Unterschied in der Herangehensweise hat seinen Ursprung in einer anderen Sichtweise. Während der Schutz der personenbezogenen Daten in Europa als Grundrecht gesehen wird, gilt der Datenschutz in den USA als Teil des Verbraucherschutzrechts, letztlich also als ein Element des Wirtschaftslebens.
Zum Ausdruck kommt diese wirtschaftliche Sicht auf den Datenschutz auch darin, dass die datenschutzrechtliche Aufsicht in den USA der Federal Trade Commission (FTC) zukommt, der Bundeshandelskommission, die für die wettbewerbsrechtliche und verbraucherschutzrechtliche Kontrolle von Unternehmen zuständig ist.
In Deutschland und der EU hingegen gibt es unabhängige Datenschutzbehörden bzw. -beauftragte, die sowohl für öffentliche als auch nicht-öffentliche Stellen zuständig sind.
Einschränkung des Datenschutzes durch Sicherheitsgesetze in den USA
Ungeachtet der Einzelgesetze, die in den verschiedenen Wirtschaftssektoren den Datenschutz der USA ansatzweise regulieren, ist die Sicherheit der personenbezogenen Daten dort nicht in dem Maße gewährleistet, wie es von europäischer Seite wünschenswert wäre. Eingriffe kommen dabei vor allem von staatlicher Seite.
Grundlage ist insbesondere der USA PATRIOT Act, ein Gesetz, das nach den Anschlägen vom 11. September 2001 zur Terrorabwehr verabschiedet wurde und die Befugnisse der Sicherheitsbehörden massiv ausweitet.
So können die Behörden ohne richterliche Anordnung auf Daten zugreifen, die auf Servern in den USA gespeichert sind. Seit den Snowden-Enthüllungen ist zudem bekannt, dass diese Zugriffe nicht nur punktuell stattfinden, sondern eine permanente und breite Auswertung der Daten technisch möglich ist und praktiziert wird.
Datenaustausch und Datenschutz zwischen den USA und der EU
Das europäische Datenschutzrecht sieht seit der Datenschutzrichtlinie von 1995 vor, dass keine personenbezogenen Daten aus der EU in unsichere Drittländer übermittelt werden dürfen. Im Datenschutz gelten die USA aufgrund der oben genannten Situation ebenfalls als Drittland, in dem kein ausreichendes Schutzniveau herrscht.
Um dennoch eine Datenübermittlung zu ermöglichen, wurden Sonderregelungen ausgehandelt, die unter den Namen Safe Harbor und Privacy Shield bekannt sind. Es handelt sich hierbei um Vereinbarungen, die bei amerikanischen Unternehmen ein ausreichendes Schutzniveau für Daten herstellen sollen, sodass eine Übermittlung dorthin mit dem europäischen Datenschutzrecht vereinbar ist und erlaubt werden kann.
Safe Harbor und Privacy Shield
Das Safe-Harbor-Abkommen über den Unternehmens-Datenschutz in den USA funktionierte so, dass Unternehmen sich öffentlich zu gewissen Datenschutz-Grundsätzen bekannten, die vom US-Handelsministerium aufgestellt wurden. Daraufhin wurden sie in eine vom Ministerium geführte Liste aufgenommen.
Safe Harbor wurde 2015 vom Europäischen Gerichtshof für ungültig erklärt, weil es nach Meinung des Gerichts keinen ausreichenden Schutz der Daten sicherstelle. Um weiterhin Rechtssicherheit beim Datenaustausch zu haben, wurde dann ein Nachfolgeabkommen namens Privacy Shield ausgehandelt, das einige Verschärfungen enthält, jedoch nach Ansicht von Kritikern nicht den mangelnden Datenschutz der USA beheben kann.
Insbesondere die umfassenden Befugnisse, die den US-Sicherheitsbehörden durch die amerikanische Gesetzeslage zugesprochen werden, lassen es wenig zielführend erscheinen, einen hinreichenden Datenschutz in den USA durch Selbstverpflichtungen der Unternehmen zu erreichen.
Datenschützer empfehlen daher, zur Sicherheit auf europäische Alternativen zurückzugreifen. Gerade Unternehmen müssen sonst mit möglichen Sanktionen nach der Datenschutzgrundverordnung (DSGVO) wegen der Verletzung europäischen Datenschutzrechts befürchten.
Joachim meint
12. Oktober 2023 at 10:48
Am 10.7.2023 hat die EU-Kommission beschlossen, dass das Datenschutzniveau in den USA mit dem in der EU vergleichbar sei. Diesem Beschluss gingen Verhandlungen mit den USA voraus, die beispielsweise den Rechtsschutz für EU-Bürger verbessert haben. Allerdings erscheint es mir doch sehr gewagt, das Niveau als Grundrecht wie in der EU als vergleichbar (d. h. ähnlich) mit dem Niveau eines Wirtschaftsrechts wie in den USA einzuschätzen. Zu einer Wertigkeit des Datenschutzes als Grundrecht wird die EU-Kommission die USA bestimmt nicht so schnell bekehren können. Was bedeutet das denn nun konkret für Website-Betreiber, die besonders beim Einsatz von Google Analytics immer vor dem Problem des schwachen Datenschutzes stehen?
Albrecht meint
14. Juni 2022 at 16:02
Wenn man in den USA wohnt, ist das einigermaßen hinfällig. Dass ich hier quasi ausspioniert werde und dies sowohl von privater als auch von staatlicher Seite, ist mir klar. Aber zu der Zeit, als ich noch Wissenschaftler oder (später) Journalist war, ich also selbst „spionierte“, habe ich mich oft über die rigiden europäischen Datenschutznormen geärgert, da sie mir den Zugang zu Quellen versperrten.
Kirsten meint
26. Mai 2021 at 17:41
Vielen Dank für die Gegenüberstellung! Eigentlich hatte ich gegooglet, wo die Server von Paypal stehen und bin durchs Herumklicken auf Ihre Seite gestoßen. Paypal adé :-). Nachdenklich stimmt mich der Artikel dennoch, denn ich nutze für meine Webseite Pinterest… Hm. Doof 🙂