Das Wichtigste zum Datenschutz in den USA in Kürze

Anders als in der EU ist der Datenschutz in den USA nicht allgemein und umfassend geregelt.
Stattdessen gibt es branchenspezifische Regelungen. Ein Großteil beruht jedoch auf Selbstverpflichtungen seitens der Unternehmen.
Problematisch für den Datenverkehr mit der EU sind neben dem niedrigen Schutzniveau auch die umfassenden Zugriffsbefugnisse der US-Behörden.

Spezifische Informationen zum Datenschutz in den USA

Datenschutz in Deutschland und den USA: Zwei verschiedene Welten?

Datenschutz in den USA: Wie ist er geregelt und wie unterscheidet er sich von den europäischen Regelungen?

Inhaltsverzeichnis

Der Datenschutz in den USA ist in Deutschland und Europa vor allem dann ein Thema, wenn es um die großen Internetkonzerne wie Google und Facebook geht. Was machen sie mit unseren Daten, wo speichern sie sie und was passiert dann eigentlich mit ihnen? Dies sind in der Regel die Fragen, um die sich die Auseinandersetzung dreht.

Es herrscht dabei viel Unkenntnis, was den Datenschutz in Amerika betrifft. Zum Teil scheint angenommen zu werden, dass in den USA der Datenschutz überhaupt nicht existiere. Um ein wenig Klarheit in die Regelungen zu bringen, die jenseits des Atlantiks gelten, soll im Folgenden das dort geltende Recht überblicksweise dargestellt und in Bezug zu den deutschen und europäischen Regelungen gesetzt werden.

Wie ist der Datenschutz in den USA geregelt?

USA: Der Datenschutz ist nur für bestimmte Branchen geregelt.

Anders als in Deutschland mit dem Bundesdatenschutzgesetz und auf europäischer Ebene mit der Datenschutzgrundverordnung gibt es kein allgemeines und umfassendes Datenschutzgesetz in den USA. Vielmehr gibt es für einzelne Bereiche jeweils eigene Gesetze. So gibt es beispielsweise eigene Regelungen für den Bereich Wirtschaft und Handel, für das Gesundheitswesen und für den Finanzsektor.

Unternehmen sind nach diesen branchenspezifischen Datenschutz-Gesetzen der USA etwa dazu verpflichtet, für die Sicherheit von gespeicherten personenbezogenen Daten zu garantieren. Zudem müssen sie bei Datenlecks umfassenden Meldepflichten nachkommen – was auch eine disziplinarische Wirkung in präventiver Hinsicht hat.

Grundsätzlich gilt aber das Prinzip, dass Unternehmen ihr eigenes Datenschutzniveau festlegen. Wenn sie dann gegen ihre eigenen Versprechungen verstoßen, so gilt dies als trügerisches oder unlauteres Vorgehen, was wiederum wettbewerbsrechtliche Konsequenzen hat.

Die Aufsichtsbehörde hat umfassende Mittel, um die Umsetzung dieser Vorschriften zum Datenschutz in den USA durchzusetzen. So kann sie verlangte Änderungen in Unternehmen durch langfristige Überprüfungsmaßnahmen nicht nur erzwingen, sondern auch kontrollieren. Zudem kann sie hohe Sanktionen verhängen.

Zwei verschiedene Ansätze: Datenschutz in der EU und den USA

Der Unterschied in der Herangehensweise hat seinen Ursprung in einer anderen Sichtweise. Während der Schutz der personenbezogenen Daten in Europa als Grundrecht gesehen wird, gilt der Datenschutz in den USA als Teil des Verbraucherschutzrechts, letztlich also als ein Element des Wirtschaftslebens.

In Deutschland ist für den Datenschutz das Volkszählungsurteil des Bundesverfassungsgerichts von 1983 maßgeblich, in dem es erstmals das Grundrecht auf informationelle Selbstbestimmung aus Artikel 2 Absatz 1 Grundgesetz in Verbindung mit Artikel 1 Absatz 1 ableitete.

Datenschutz ist in den USA kein Grundrecht, sondern stärker auf die Wirtschaft bezogen.

Zum Ausdruck kommt diese wirtschaftliche Sicht auf den Datenschutz auch darin, dass die datenschutzrechtliche Aufsicht in den USA der Federal Trade Commission (FTC) zukommt, der Bundeshandelskommission, die für die wettbewerbsrechtliche und verbraucherschutzrechtliche Kontrolle von Unternehmen zuständig ist.

In Deutschland und der EU hingegen gibt es unabhängige Datenschutzbehörden bzw. -beauftragte, die sowohl für öffentliche als auch nicht-öffentliche Stellen zuständig sind.

Einschränkung des Datenschutzes durch Sicherheitsgesetze in den USA

Ungeachtet der Einzelgesetze, die in den verschiedenen Wirtschaftssektoren den Datenschutz der USA ansatzweise regulieren, ist die Sicherheit der personenbezogenen Daten dort nicht in dem Maße gewährleistet, wie es von europäischer Seite wünschenswert wäre. Eingriffe kommen dabei vor allem von staatlicher Seite.

Grundlage ist insbesondere der USA PATRIOT Act, ein Gesetz, das nach den Anschlägen vom 11. September 2001 zur Terrorabwehr verabschiedet wurde und die Befugnisse der Sicherheitsbehörden massiv ausweitet.

So können die Behörden ohne richterliche Anordnung auf Daten zugreifen, die auf Servern in den USA gespeichert sind. Seit den Snowden-Enthüllungen ist zudem bekannt, dass diese Zugriffe nicht nur punktuell stattfinden, sondern eine permanente und breite Auswertung der Daten technisch möglich ist und praktiziert wird.

Hiermit ist die Frage nach dem Datenschutz in den USA, zum Beispiel bei der Nutzung von amerikanischen E-Mail-Anbietern oder Cloud-Diensten, für europäische Bürger mit aller Heftigkeit aufgeworfen worden. Personenbezogene Daten, die in die USA übermittelt werden, können spätestens seit diesen Erkenntnissen nicht mehr als sicher gelten.

Datenaustausch und Datenschutz zwischen den USA und der EU

Der Datenschutz in der EU und den USA ist nicht äquivalent, was zu Problemen bei der Datenübermittlung führt.

Das europäische Datenschutzrecht sieht seit der Datenschutzrichtlinie von 1995 vor, dass keine personenbezogenen Daten aus der EU in unsichere Drittländer übermittelt werden dürfen. Im Datenschutz gelten die USA aufgrund der oben genannten Situation ebenfalls als Drittland, in dem kein ausreichendes Schutzniveau herrscht.

Um dennoch eine Datenübermittlung zu ermöglichen, wurden Sonderregelungen ausgehandelt, die unter den Namen Safe Harbor und Privacy Shield bekannt sind. Es handelt sich hierbei um Vereinbarungen, die bei amerikanischen Unternehmen ein ausreichendes Schutzniveau für Daten herstellen sollen, sodass eine Übermittlung dorthin mit dem europäischen Datenschutzrecht vereinbar ist und erlaubt werden kann.

Safe Harbor und Privacy Shield

Das Safe-Harbor-Abkommen über den Unternehmens-Datenschutz in den USA funktionierte so, dass Unternehmen sich öffentlich zu gewissen Datenschutz-Grundsätzen bekannten, die vom US-Handelsministerium aufgestellt wurden. Daraufhin wurden sie in eine vom Ministerium geführte Liste aufgenommen.

Safe Harbor wurde 2015 vom Europäischen Gerichtshof für ungültig erklärt, weil es nach Meinung des Gerichts keinen ausreichenden Schutz der Daten sicherstelle. Um weiterhin Rechtssicherheit beim Datenaustausch zu haben, wurde dann ein Nachfolgeabkommen namens Privacy Shield ausgehandelt, das einige Verschärfungen enthält, jedoch nach Ansicht von Kritikern nicht den mangelnden Datenschutz der USA beheben kann.

Insbesondere die umfassenden Befugnisse, die den US-Sicherheitsbehörden durch die amerikanische Gesetzeslage zugesprochen werden, lassen es wenig zielführend erscheinen, einen hinreichenden Datenschutz in den USA durch Selbstverpflichtungen der Unternehmen zu erreichen.

Datenschützer empfehlen daher, zur Sicherheit auf europäische Alternativen zurückzugreifen. Gerade Unternehmen müssen sonst mit möglichen Sanktionen nach der Datenschutzgrundverordnung (DSGVO) wegen der Verletzung europäischen Datenschutzrechts befürchten.

(56 Bewertungen, Durchschnitt: 4,13 von 5)