Die datenschutzrechtlichen Regelungen in den USA gleichen einem Flickenteppich. Da man sich länderübergreifend nicht auf ein zentrales Gesetz, den American Data Privacy and Protection Act, einigen kann, verabschieden die einzelnen US-Bundesstaaten nach und nach eigene Datenschutzgesetze. Die Gesetze ähneln sich zwar, jeder Bundesstaat hat aber durchaus seine eigenen Besonderheiten. Das macht es für europäische Unternehmen, die sich unter bestimmten Umständen ebenfalls an die US-Gesetze halten müssen, nicht leichter. Wir geben Ihnen in diesem Beitrag einen Überblick über die wichtigsten Inhalte der US-Datenschutzgesetze.
Übersicht: Wo wurden bereits Datenschutzgesetze verabschiedet?
Wer muss sich an die US-Datenschutzgesetze halten?
Die Anwendungsbereiche der US-Datenschutzgesetze unterscheiden sich im Detail je nach Bundesstaat. Es gibt jedoch einige Rahmenbedingungen, die in allen Bundesstaaten in ähnlicher Weise geregelt sind.
Territorialer Anwendungsbereich: Marktortprinzip
Der territoriale Anwendungsbereich der einzelnen US-Datenschutzgesetze orientiert sich stark am aus der DSGVO bekannten Marktortprinzip. So müssen sich alle Organisationen an die Datenschutzgesetze halten, die geschäftlich in dem jeweiligen Bundesstaat tätig sind („conduct business in the State“). Darüber hinaus sind auch solche Organisationen umfasst, die Produkte oder Dienstleistungen anbieten, die sich an die Bürger:innen des jeweiligen Bundesstaats richten. Inwiefern eine Organisation die Bürger:innen mit ihren Produkten und Dienstleistungen absichtlich und gezielt ansprechen müssen und ob diese Produkte tatsächlich auch von diesen konsumiert werden müssen, unterscheidet sich im Detail je nach Bundesstaat.
Sachlicher Anwendungsbereich: Verarbeitung personenbezogener Daten
Die US-Datenschutzgesetze sind, analog zur DSGVO, anwendbar bei der Verarbeitung von personenbezogenen Daten. Und auch die Definition von personenbezogenen Daten („personal data“ oder „personal information“) wird allen, die mit der DSGVO vertraut sind, bekannt vorkommen.
„Personal information“ oder „personal data“ umfasst alle Informationen, die mit einer identifizierten oder identifizierbaren natürlichen Person verknüpft sind oder vernünftigerweise verknüpft werden können.
Ist ein Personenbezug bei bestimmten Informationen nicht (mehr) herstellbar, ist die Verarbeitung solcher anonymen Daten nicht vom Anwendungsbereich der US-Datenschutzgesetze umfasst. In den US-Datenschutzgesetzen ist dann die Rede von „de-identified data“.
„De-identified data“ umfasst alle Daten, die vernünftigerweise nicht mit einer bestimmten oder bestimmbaren natürlichen Person oder einem mit dieser Person verbundenen Gerät in Verbindung gebracht werden können.
Für die Verarbeitung von „de-identified data“ legen einige US-Datenschutzgesetze den Unternehmen bestimmte Verpflichtungen auf. Dazu zählt unter anderem, dass öffentlich dargestellt werden muss, dass „de-identified data“ verarbeitet werden und kein Versuch unternommen wird, den Personenbezug wiederherzustellen und dass jegliche Empfänger dieser Daten vertraglich dazu verpflichtet werden, die Datenschutzgesetze zu erfüllen.
In Kalifornien, Iowa und Indiana existiert neben den „de-identified data“ die Kategorie der aggregierten Daten („aggregate data“ bzw. „aggregate consumer information“). Auch die Verarbeitung solcher Daten ist vom Anwendungsbereich der Datenschutzgesetze ausgenommen.
„Aggregate data“ oder „aggregate consumer information“ umfassen Informationen, die sich auf eine Gruppe oder Kategorie von Personen beziehen, aus der die Identität der einzelnen Personen entfernt wurde, und die nicht mit einer Person verknüpft sind oder vernünftigerweise verknüpft werden können.
Von anonymen und aggregierten Daten zu unterscheiden sind, wie auch in der DSGVO, die pseudonymen Daten („pseudonymous data“). Auf diese Daten sind die US-Datenschutzgesetze in der Regel anwendbar.
„Pseudonymous data“ umfassen personenbezogene Daten, die ohne die Verwendung zusätzlicher Informationen nicht einer bestimmten natürlichen Person zugeordnet werden können.
Achtung: Solche Daten sind nur dann pseudonym, wenn der Verantwortliche auch entsprechende Maßnahmen trifft. Die zur Identifikation notwendigen zusätzlichen Informationen müssen getrennt von den weiteren Informationen aufbewahrt und mit geeigneten technischen und organisatorischen Maßnahmen gesichert werden. Es ist dafür Sorge zu tragen, dass eine Identifikation der betroffenen Personen mit den pseudonymen Daten nicht ohne weiteres möglich ist. Der Verantwortliche muss insbesondere bei der Offenlegung pseudonymer Daten dafür sorgen, dass die Empfänger getroffene vertragliche Bestimmungen einhalten und sich an die Datenschutzgesetze halten.
Neu ist, dass in nahezu allen US-Bundesstaaten öffentlich zugängliche Daten („publicly available information“) von dem Begriff der personenbezogenen Daten, und somit vom Anwendungsbereich der Datenschutzgesetze, ausgenommen werden. Die Definition unterscheidet sich in den verschiedenen US-Bundesstaaten, kann im Kern aber auf den folgenden Inhalt reduziert werden.
„Publicly available information“ umfasst Informationen, die rechtmäßig aus Aufzeichnungen von Bundes-, Landes- oder Kommunalbehörden stammen, sowie Informationen, bei denen ein für die Verarbeitung Verantwortlicher Grund zu der Annahme hat, dass der Verbraucher sie rechtmäßig der Öffentlichkeit zugänglich gemacht hat.
Inwiefern verarbeitete Daten tatsächlich unter diesen Begriff fallen, sollte im Einzelfall unter Hinzunahme von US-Datenschutzexperten geklärt werden.
Persönlicher Anwendungsbereich: Schwellenwerte
Anders als die Datenschutz-Grundverordnung gelten die US-Datenschutzgesetze nicht für alle Organisationen, die personenbezogene Daten verarbeiten. Vielmehr richten sich die US-amerikanischen Datenschutzgesetze lediglich an Organisationen, die einen oder mehrere bestimmte Schwellenwerte übertreffen. Diese unterscheiden sich wiederum je nach Bundesstaat, können aber grob in drei Kategorien eingeordnet werden.
1. Schwellenwert: Jahresumsatz
Utah, Tennessee und Kalifornien nutzen als ersten Schwellenwert für die Anwendung der Datenschutzgesetze die Bezugsgröße des Jahresumsatzes. Unklar ist dabei, ob der weltweite Jahresumsatz herangezogen werden muss oder ob lediglich der Umsatz in dem jeweiligen Bundesstaat als Bezugsgröße dient. Auch die Frage, ob im Falle eines Konzerns der Umsatz verbundener Organisationen miteinbezogen werden muss, ist nicht ausdrücklich geregelt.
Das kalifornische Datenschutzgesetz gilt für alle Organisationen, die im vorausgehenden Kalenderjahr einen Bruttojahresumsatz von mindestens 25 Mio. US-Dollar erwirtschaftet haben. Utah und Tennessee nutzen den gleichen Schwellenwert wie Kalifornien; die Datenschutzgesetze dieser beiden Bundesstaaten gelten trotzdem nur für Organisationen, die zusätzlich zu einem Bruttojahresumsatz von 25 Mio. US-Dollar noch einen der beiden folgenden Schwellenwerte übersteigen.
2. Schwellenwert Anzahl betroffener Personen
Alle US-Datenschutzgesetze, mit Ausnahme des Sonderfalls aus Texas, normieren als (weiteren) Schwellenwert die Anzahl betroffener Personen. So gelten die jeweiligen Gesetze dann, wenn die jeweilige Organisation personenbezogene Daten von mindestens 35.000, 50.000 oder 100.000 betroffenen Personen „kontrolliert“ oder verarbeitet („controls or processes“).
3. Schwellenwert: Anzahl betroffener Personen bei Verkauf personenbezogener Daten
Als weiteren Schwellenwert normieren die US-Datenschutzgesetze, ebenfalls mit der Ausnahme des Sonderfalls Texas, die Anzahl betroffener Personen für den Fall, dass die Organisation einen Teil ihres Umsatzes aus dem Verkauf oder der Weitergabe von personenbezogenen Daten erzielt. Erwirtschaftet eine Organisation 20%, 25% bzw. 50% des Jahresumsatzes mit dem Verkauf oder der Weitergabe von personenbezogenen Daten, so genügt schon die Verarbeitung personenbezogener Daten von mindestens 10.000 bzw. 25.000 betroffenen Personen für die Anwendbarkeit der US-Datenschutzgesetze. In Kalifornien ist die Anzahl der betroffenen Personen in diesem Fall unerheblich. Dort genügt schon der Verkauf bzw. die Weitergabe von personenbezogenen Daten in gewissem Umfang für die Anwendbarkeit der Regelungen.
Sonderfall: Texas
Das Datenschutzgesetz in Texas, der TDPSA, hat eine von diesen Grundsätzen abweichende Regelung getroffen. Der TDPSA gilt demnach nur für Organisationen, die personenbezogene Daten verarbeiten oder verkaufen und kein Kleinunternehmen („small business“) gemäß der Definition der U.S. Small Business Administration ist. Als Kleinunternehmen gelten Unternehmen, wenn sie weniger als 500 Beschäftigte haben. Die Definition kann je nach Branche des Unternehmens allerdings variieren.
Übersicht (vereinfacht): Schwellenwerte
Die folgende Übersicht fasst die oben beschriebenen Schwellenwerte je Bundesstaaten in vereinfachter Darstellung zusammen.
Ausnahmen vom Anwendungsbereich
In jedem der Datenschutzgesetze werden zahlreiche Ausnahmen vom Anwendungsbereich geregelt. Das betrifft sowohl bestimmte Formen von Organisationen als auch konkrete Datenkategorien.
Typischerweise gelten die Regelungen der US-Datenschutzgesetze nicht für die folgenden Bereiche:
- öffentliche Stellen;
- Finanzinstitute, die dem Gramm-Leach-Bliley Act unterliegen;
- Non-Profit-Organisationen;
- Hochschulen („institutions of higher education“);
- weite Teile von Datenverarbeitungen in Forschungs- und Studienvorhaben;
- weite Teile von Datenverarbeitungen im Gesundheitsbereich (aufgrund des Health Insurance Portability and Accountability Acts, kurz HIPPA);
- Datenverarbeitungen zur Kreditwürdigkeit von Personen.
In den meisten Bundesstaaten sind zudem Datenverarbeitungen, die in Verbindung mit einem Beschäftigungsverhältnis stehen, aus dem Anwendungsbereich ausgenommen. Das betrifft auch Daten, die im Rahmen der Bewerbung für einen Arbeitsplatz verarbeitet werden, sowie Kontaktdaten von B2B-Ansprechpartner:innen. Unternehmen, die überwiegend im B2B-Geschäft tätig sind, dürften daher den US-Datenschutzgesetzen in der Regel nicht unterliegen. Lediglich in Kalifornien sind personenbezogene Daten, die eine beschäftigte Person oder eine:n Bewerber:in betreffen, vom CCPA umfasst.
Was regeln die US-Datenschutzgesetze?
Nachdem der Anwendungsbereich der US-Datenschutzgesetze etwas klarer wurde, schauen wir nun auf den Inhalt der Gesetze. Wir stellen Ihnen nachfolgend die wichtigsten Begriffe, Pflichten, Betroffenenrechte sowie Sanktionen vor.
Bekannte Definitionen und Grundbegriffe
Die Grundbegrifflichkeiten in den US-Datenschutzgesetzen sind in weiten Teilen ähnlich zu der englischen Sprachversion der DSGVO. So finden sich auch die Verantwortlichen und Auftragsverarbeiter in den US-Datenschutzgesetzen unter den bekannten Namen „Controller“ und „Processor“ und mit den bekannten Definitionen wieder.
Betroffene Personen werden in den US-Datenschutzgesetzen als „consumer“ bezeichnet. Darunter fallen alle natürlichen Personen, die ihren Wohnsitz in dem jeweiligen Bundesstaat haben. Da die US-Datenschutzgesetze jeweils nur für einen Bundesstaat gelten, sind auch nur die Bürger:innen dieses Bundesstaats von den spezifischen Regelungen geschützt.
Der Begriff der Verarbeitung (“processing“) umfasst, ebenfalls analog zur DSGVO, jeglichen Umgang mit personenbezogenen Daten. Dabei ist es unerheblich, ob die personenbezogenen Daten mittels automatisierter oder manueller Mittel verarbeitet werden.
Verkauf personenbezogener Daten
Für DSGVO-Kenner:innen neu ist der Begriff des Verkaufs von personenbezogenen Daten („sale of personal data“).
„Sale of data“ umfasst grundsätzlich jeden Austausch von personenbezogenen Daten gegen Geldleistung gegenüber Dritten.
Einige US-Bundesstaaten (z.B. Kalifornien, Colorado, Connecticut, Texas) regeln, dass nicht zwingend eine Geldleistung erfolgen muss, sondern auch andere werthaltige, nicht-monetäre Gegenleistungen genügen, um den Tatbestand des Verkaufs personenbezogener Daten zu erfüllen.
Der im Grundsatz sehr weite Begriff des Verkaufs personenbezogener Daten wird durch zahlreiche Ausnahmen, die sich im Detail in den US-Bundesstaaten unterscheiden, begrenzt. Ein Verkauf personenbezogener Daten liegt unter anderem nicht vor, wenn
- Daten an einen Auftragsverarbeiter weitergegeben werden;
- Daten zum Zweck der Bereitstellung eines Services oder Produkts, das die betroffene Person angefragt hat, an einen Dritten weitergegeben werden;
- Daten an verbundene Unternehmen des Verantwortlichen weitergegeben werden;
- Daten weitergegeben werden, die der Betroffene zuvor absichtlich der breiten Öffentlichkeit zugänglich gemacht und nicht auf ein bestimmtes Publikum beschränkt hat;
- Daten als Asset im Rahmen einer Transaktion gegenüber einem Dritten offengelegt oder übertragen werden, bei der der Dritte die Kontrolle über das gesamte oder einen Teil des Vermögens des Verantwortlichen übernimmt (z.B. Fusion, Übernahme, Konkurs des Unternehmens).
Sofern Unternehmen personenbezogene Daten der Betroffenen verkaufen oder weitergeben, haben die Betroffenen ein separates Recht auf Widerspruch gegen diese Verarbeitung (Opt-Out). Verantwortliche haben die Pflicht, die Betroffenen eindeutig über die stattfindende Datenverarbeitung inklusive der verarbeiteten Datenkategorien und der Empfänger der Daten sowie das Bestehen des Widerspruchsrechts zu informieren. Dazu ist in der Regel ein Hinweis in der jeweiligen Privacy Policy aufzunehmen. Darüber hinaus müssen Verantwortliche den Betroffenen einen einfachen, leicht zugänglichen Weg zur Ausübung des Widerspruchsrechts bereitzustellen. Das kann beispielsweise über einen separaten Link im Footer der Website („Do not sell/share my data“) geschehen.
Gezielte Werbung bei betroffenen Personen („Targeted Advertising“)
Neu ist auch der Begriff des „Targeted Advertising“.
„Targeted advertising“ meint die Anzeige von personalisierter Werbung bei einer betroffenen Person auf Grundlage personenbezogener Daten, die aus den Aktivitäten dieser betroffenen Person im Laufe der Zeit auf Websites oder Online-Anwendungen gewonnen wurde, um die Vorlieben oder Interessen der betroffenen Person vorherzusagen.
Targeted advertising liegt unter anderem nicht vor bei
- personalisierter Werbung, die auf Aktivitäten innerhalb der eigenen Websites/Online-Anwendungen des Verantwortlichen basiert;
- personalisierter Werbung, die auf dem Kontext einer aktuellen Suchanfrage bzw. des aktuellen Besuchs einer Website oder Online-Anwendung einer betroffenen Person basiert;
- personalisierter Werbung, die an eine betroffene Person als Antwort auf deren Informations- oder Feedback-Anfrage gerichtet ist;
- der Verarbeitung personenbezogener Daten ausschließlich zur Messung bzw. Berichterstattung von Werbeleistung, Reichweite oder Häufigkeit von Werbemaßnahmen.
Der Begriff wird in allen US-Bundesstaaten mit Ausnahme von Kalifornien verwendet. Dort ist statt des „targeted advertising“ die Rede von „cross-context behavioral advertising“. Darunter wird jedoch, ähnlich wie in den anderen Bundesstaaten, die gezielte Werbung bei einer betroffenen Person auf der Grundlage der persönlichen Daten dieser Person, die aus deren Aktivitäten bei anderen Unternehmen, Websites, Anwendungen oder Diensten gewonnen wurden, verstanden. Einschränkungen für diesen Begriff gibt es allerdings nicht.
Analog zum Verkauf personenbezogener Daten müssen Verantwortliche die Betroffenen auch bei Targeted Advertising transparent über diese Datenverarbeitung informieren. Auch hier ist den Betroffenen ein leicht zugänglicher Weg bereitzustellen, über den die Ausübung des Widerspruchs möglich ist.
Bekannte Pflichten für Verantwortliche und Auftragsverarbeiter
Nicht nur einige Definitionen der US-Datenschutzgesetze sind für europäische Unternehmen bekannt. Auch der Pflichtenkatalog der US-Datenschutzgesetze ähnelt in einigen Aspekten dem der DSGVO:
- Verantwortliche und Auftragsverarbeiter sind verpflichtet, geeignete technische und organisatorische Maßnahmen zu treffen, um die Datensicherheit zu gewährleisten.
- Auftragsverarbeiter dürfen nur auf Weisung des Verantwortlichen tätig werden. Es ist ein Vertrag abzuschließen, in dem die Zwecke der Datenverarbeitung sowie die Rechte und Pflichten der Parteien festgelegt werden. Die genauen Inhalte des Vertrages werden in den einzelnen US-Datenschutzgesetzen bestimmt, ähneln im Großen und Ganzen aber denen von Art. 28 Abs. 3 DSGVO. Lediglich der kalifornische CCPA fordert relevante von der DSGVO abweichende Festlegungen.
- Auch die US-Datenschutzgesetze sehen bestimmte Informationspflichten Betroffene Personen müssen daher mittels Datenschutzhinweisen über stattfindende Datenverarbeitungen informiert werden. Vorgaben zu Umfang und Inhalt der Datenschutzhinweise variieren je nach Bundesstaat. Insbesondere Kalifornien regelt einige relevante Sonderbestimmungen.
- Der Großteil der US-Datenschutzgesetze sieht die Pflicht vor, für bestimmte Datenverarbeitungen, die zu einem erhöhten Risiko für die Betroffenen führen können, sogenannte „Data Protection Assessments“ durchzuführen. Diese Assessments ähneln im Kern den Datenschutz-Folgenabschätzungen aus Art. 35 DSGVO. Detaillierte Vorgaben, wann eine Datenverarbeitung zu einem erhöhten Risiko führen könnte, werden in den einzelnen US-Datenschutzgesetzen festgelegt. Wichtig: Die meisten Gesetze sehen vor, dass die Pflicht zur Durchführung des Assessments nur Datenverarbeitungen betrifft, die nach Inkrafttreten des jeweiligen Gesetzes begonnen wurden. Bereits stattfindende Datenverarbeitungen müssen daher nicht retrospektiv unter die Lupe genommen werden.
- Zentrales Element in den US-Datenschutzgesetzen ist die Einwilligung der Betroffenen („consent“). Die Anforderungen für wirksame Einwilligungen ähneln weitestgehend den Vorgaben der DSGVO.
- Auch das Verständnis, dass bestimmte Daten einen erhöhten Schutzbedarf innehaben, findet sich in den US-Datenschutzgesetzen wieder. In allen Gesetzen wird die Kategorie der „sensitive personal data“ definiert, die mit den „besonderen Kategorien personenbezogener Daten“ aus Art. 9 DSGVO vergleichbar ist. Die genaue Definition von „sensitive data“ unterscheidet sich im Detail zwischen den US-Datenschutzgesetzen. Im Kern wird aber der Großteil der in Art. 9 Abs. 1 DSGVO genannten Datenkategorien auch von dem Begriff der „sensitive data“ umfasst. Hinzu kommen in machen Gesetzen Daten wie personenbezogene Daten eines Kindes oder die genaue Geolocation, die ebenfalls einem besonderen Schutz unterliegen. Die meisten US-Datenschutzgesetze lassen die Verarbeitung von „sensitive data“ nur mit der Einwilligung der Betroffenen zu; wenige US-Datenschutzgesetze (z.B. Utah und Kalifornien) fordern lediglich die transparente Information über die Verarbeitung und die Möglichkeit zum Widerspruch (Opt-Out).
- Die US-Datenschutzgesetze kennen zwar keinen zu Art. 5 DSGVO vergleichbaren Grundsätze-Katalog, die Prinzipien der Datenminimierung und Zweckbindung finden sich allerdings trotzdem in den US-Gesetzen wieder. Die Datenverarbeitung ist demnach auf das Maß zu beschränken, das in Bezug auf die Zwecke angemessen, relevant und vernünftigerweise notwendig ist.
Relevante Unterschiede zur DSGVO
Trotz der vielen Gemeinsamkeiten gibt es an einigen Stellen relevante Abweichungen zwischen den US-Datenschutzgesetzen und der DSGVO:
- Der wohl größte Unterschied ist das Fehlen von Rechtsgrundlagen. Anders als in der DSGVO, wo eine Datenverarbeitung nur bei Vorliegen einer Rechtsgrundlage rechtmäßig ist, gibt es in den US-Datenschutzgesetzen keine übergreifende Festlegung von Rechtsgrundlagen. Lediglich die Einwilligung findet sich wieder (s.o.). Die Verarbeitung personenbezogener Daten ist daher innerhalb der Grenzen der US-Datenschutzgesetze grundsätzlich erlaubt.
- Auch die Verpflichtung zum Führen eines Verzeichnisses von Verarbeitungstätigkeiten kennt das US-amerikanische Datenschutzrecht nicht. Es gibt keine vergleichbaren Dokumentationspflichten für nach den US-Datenschutzgesetzen Verantwortliche, die dem europäischen Verarbeitungsverzeichnis ähneln würden.
- Ein zu Art. 26 DSGVO vergleichbares Konstrukt der gemeinsamen Verantwortlichkeit ist den US-Datenschutzgesetzen ebenfalls fremd. Zumindest, wenn es auf die Notwendigkeit einer vertraglichen Vereinbarung zwischen den gemeinsamen Verantwortlichen ankommt. Dass die US-Datenschutzgesetze allerdings grundsätzlich die gemeinsame Festlegung von Mitteln und Zwecken durch mehrere Verantwortliche zulassen, zeigt die Definition des Verantwortlichen („controller“). Demnach ist ein „Controller“ jede Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.
- Datenschutz- bzw. Sicherheitsvorfälle sind im US-Recht grundsätzlich kein rein datenschutzrechtliches Thema und werden daher aus vielen der US-Datenschutzgesetze ausgeklammert. Bestimmungen zu Pflichten bei Vorliegen eines Sicherheitsvorfalls, inklusive Meldepflichten an die Aufsichtsbehörden oder die Betroffenen, ergeben sich in der Regel aus anderen Gesetzen mit separaten Anwendungsbereichen und Definitionen.
- Ein insbesondere für Konzerne wichtiger Fakt ist, dass die US-Datenschutzgesetze den Begriff des „Affiliates“, also des beherrschten Unternehmens (z.B. Tochtergesellschaft) kennen. In einigen Fällen werden Datenübermittlungen an konzernverbundene Unternehmen privilegiert, so zum Beispiel bei der Weitergabe von Daten („sale of data“). Werden personenbezogene Daten im Konzern weitergegeben, so stellt dies formal kein „sale of data“ dar und die Weitergabe unterliegt demnach auch nicht den strengeren Anforderungen für den Verkauf personenbezogener Daten.
Betroffenenrechte
Betroffene Personen haben auch nach den US-Datenschutzgesetzen bestimmte Rechte, die ihnen gegenüber Verantwortlichen zustehen. Die einzelnen Betroffenenrechte unterscheiden sich dabei nur wenig zwischen den US-Bundesstaaten. Weitgehend analog zur DSGVO gibt es auch in den US-Datenschutzgesetzen ein
- Recht auf Auskunft;
- Recht auf Berichtigung;
- Recht auf Löschung und
- Recht auf Datenportabilität.
Auch das Widerspruchsrecht ist in den US-Datenschutzgesetzen geregelt. Inhaltlich ist es aber auf bestimmte Anwendungszwecke beschränkt. Betroffene können ihren Widerspruch nur gegen die Verarbeitung ihrer Daten zu Zwecken des targeted advertising, des Verkaufs/der Weitergabe oder (in manchen Staaten) des Profilings geltend machen.
Die Verpflichtung von Verantwortlichen, eingesetzte Dienstleister oder sonstige Empfänger personenbezogener Daten von der Geltendmachung bestimmter Betroffenenrechte zu informieren (Art. 19 DSGVO), existiert bisher nur im kalifornischen CCPA.
Die aus der DSGVO bekannten Rechte auf Vergessenwerden (Art. 17 Abs. 2 DSGVO), auf Einschränkung der Datenverarbeitung (Art. 18 DSGVO) oder hinsichtlich einer automatisierten Einzelfallentscheidungsfindung (Art. 22 DSGVO) finden sich hingegen nicht in den US-Datenschutzgesetzen wieder.
Neu im Gegensatz zur DSGVO ist die Normierung eines Anti-Diskriminierungsrechts der Betroffenen. So ist in den einzelnen Gesetzen stets festgelegt, dass betroffene Personen, die ihre Rechte gegenüber Verantwortlichen geltend machen oder geltend gemacht haben, aufgrund dieser Rechteausübung nicht durch die Verantwortlichen diskriminiert werden dürfen.
Die üblichen aus der DSGVO bekannten Rechtsfragen rund um die Geltendmachung und Bearbeitung von Betroffenenrechten werden auch in den US-Datenschutzgesetzen thematisiert:
- Verantwortliche müssen grundsätzlich auf alle Betroffenenanfragen antworten, auch wenn sie die Anfragen inhaltlich nicht beantworten werden (z.B. aufgrund von Ausnahmetatbeständen).
- Betroffene müssen die Geltendmachung ihrer Rechte nicht begründen.
- Die Bearbeitung der Anfragen ist in der Regel kostenfrei durchzuführen, mindestens bezogen auf die erste Anfrage innerhalb eines Jahres.
- Offensichtlich unbegründete („manifestly unfounded“), exzessive oder repetitive Anfragen können in der Regel zurückgewiesen oder unter Festlegung einer angemessenen Gebühr beantwortet werden.
- Die Identität der anfragenden Person muss geprüft werden. Kann die anfragende Person nicht authentifiziert werden, muss der Verantwortliche die Anfrage inhaltlich nicht beantworten. Unter gewissen Umständen kann der Verantwortliche weitere personenbezogene Daten zur Identifizierung der anfragenden Person anfordern.
- Betroffenenanfragen können unter gewissen Umständen auch durch andere Personen geltend gemacht werden (insb. Rechtsanwält:innen).
Konkrete Regelungen gibt es in den US-Datenschutzgesetzen zudem meist zu den Mitteln, über die die Betroffene ihre Rechte geltend machen können. Verantwortliche müssen deshalb in ihren Datenschutzhinweisen leicht zugänglich auf die verschiedenen Möglichkeiten zur Abgabe einer Betroffenenanfrage hinweisen und den Betroffenen gut nutzbare Kontaktwege und -mittel bereitstellen.
Betroffenenanfragen müssen in der Regel unverzüglich, in jedem Fall aber innerhalb von 45 Tagen beantwortet werden. Eine erste Eingangsbestätigung muss oft schon nach wenigen Tagen versendet werden (z.B. in Kalifornien zehn Tage nach Erhalt der Anfrage). Ist die Beantwortung innerhalb der 45-Tage-Frist nicht möglich, kann eine Verlängerung um weitere 45 Tage erfolgen. Die betroffene Person muss allerdings innerhalb der ersten 45-Tages-Frist über die Verlängerung informiert werden.
Für DSGVO-Kenner:innen neu ist das Recht zur Beschwerde der Betroffenen bei unbefriedigender Antwort des Verantwortlichen auf die Betroffenenanfrage. In der überwiegenden Anzahl der US-Datenschutzgesetze findet sich ein solches Beschwerderecht, auf das die Verantwortlichen die Betroffenen insbesondere bei Ablehnung von Betroffenenanfragen konkret hinweisen müssen. Betroffene haben demnach das Recht, gegen die Ablehnung der Anfrage Widerspruch einzulegen. Der Verantwortliche muss die Anfrage dann in einem internen Prozess erneut prüfen und die betroffene Person über das neue Ergebnis informieren. Wird die Betroffenenanfrage weiterhin abgelehnt, muss der Verantwortliche die betroffene Person auf ihr Beschwerderecht bei der zuständigen Behörde hinweisen.
Sanktionen
Für die Durchsetzung der US-Datenschutzgesetze sind in der Regel die „Attorney General“, also die Generalstaatsanwälte der jeweiligen Bundesstaaten zuständig. Lediglich in Kalifornien wurde mit der „California Privacy Protection Agency“ (kurz „CPPA“) eine eigene, den europäischen Aufsichtsbehörden nahekommende Datenschutzbehörde ins Leben gerufen.
Die Generalstaatsanwälte und die CPPA haben weitgehende Befugnisse zur Durchsetzung der jeweiligen Gesetze, unter anderem auch zur Verhängung von Bußgeldern. Zulässige Höchstbußgelder betragen nach unserem Kenntnisstand zwischen 2.500 und 20.000 US-Dollar pro Verstoß gegen die Vorschriften. Inwiefern von diesen Höchstgrenzen durch die Behörden Gebrauch gemacht wird und wie genau die Bemessung tatsächlich pro Einzelverstoß erfolgt, ist aktuell noch nicht abschätzbar.
Einige US-Datenschutzgesetze schreiben den Behörden zudem (mindestens für eine gewisse Übergangszeit nach Inkrafttreten des Gesetzes) vor, dass Sanktionen gegen ein Unternehmen erst ausgesprochen werden dürfen, wenn diesem zuvor ein Zeitraum gegeben wurde, um den Verstoß abzustellen. Die Behörden müssen das Unternehmen also zunächst auf ein Fehlverhalten hinweisen und dürfen den Verstoß erst sanktionieren, wenn dieser auch nach Ablauf der „Cure“-Zeit nicht abgestellt wurde oder das Unternehmen nicht wahrheitsgemäß behauptet, den Verstoß abgestellt zu haben.
Zu beachten ist, dass die US-Datenschutzgesetze grundsätzlich kein „private right of action“, also kein privates Klagerecht von Betroffenen gegen Unternehmen vorsehen. Der Durchsetzung der Regelungen durch die Behörden kommt daher eine maßgebende Bedeutung zu. Betroffene Personen können aber weiterhin Beschwerden bei den zuständigen Behörden einreichen und damit eine behördliche Untersuchung initiieren. Dies gilt jedoch teilweise nur für Beschwerden in Bezug auf den Umgang mit Betroffenenanfragen (s.o.).
Was sollten europäische Unternehmen jetzt tun?
Europäische Unternehmen mit Bezug zu den USA sind gut beraten, sich einen Überblick über die US-Datenschutzgesetze zu verschaffen. Geprüft werden sollte zunächst, ob und welche der US-Datenschutzgesetze überhaupt für das Unternehmen anwendbar sind. Dazu ist insbesondere zu bestimmen, ob und, wenn ja, von wie vielen betroffenen Personen in den USA personenbezogene Daten verarbeitet werden. Die Bemessung sollte dabei möglichst pro Bundesstaat erfolgen, um die konkret anwendbaren Regelungen bestimmen zu können.
Kommt ein Unternehmen zu dem Schluss, dass von einer Anwendbarkeit der US-Datenschutzgesetze auszugehen ist, sollte insbesondere die Privacy Policy bzw. Datenschutzerklärung des Unternehmens aus Sicht der US-Datenschutzgesetze geprüft und ggf. erweitert werden. Agiert das Unternehmen als Auftragsverarbeiter und verarbeitet in dieser Rolle personenbezogene Daten von US-Bürger:innen sollte zudem ein global gültiger Auftragsverarbeitungsvertrag erstellt werden, der auch die Rechte und Pflichten nach den US-Datenschutzgesetzen regelt.
Dabei sollte immer darauf geachtet werden, dass die fachliche Kenntnis von Expert:innen vor Ort hinzugezogen wird, um auch die jeweiligen Spezifika der verschiedenen US-Datenschutzgesetze vollumfänglich erfüllen zu können. Wir unterstützen Sie gerne bei der Identifikation anwendbarer Regelungen und der Vorbereitung globalgültiger Dokumente.
Louisa El-Dbeissi ist Beraterin für Datenschutz und Informationssicherheit, zertifizierte Datenschutzbeauftragte (IHK) und Senior Legal Consultant bei der Datenschutzkanzlei.