Datenschutz ist Kernthema der modernen digitalen Welt. Während sich die EU einen robusten Datenschutzrahmen errichtet hat, befinden sich die Vereinigten Staaten noch in einem dynamischen Entwicklungsprozess. Die Biden-Administration hat in den letzten Jahren wichtige Fortschritte gemacht, um den Datenschutz in den USA und die transatlantischen Beziehungen zu stärken. Gleichzeitig stellt sich die Frage, wie sich der Datenschutz unter einer möglichen erneuten Präsidentschaft von Donald Trump entwickeln könnte, insbesondere im Hinblick auf Drittlandsübermittlungen personenbezogener Daten.
Zwei Welten, zwei Ansätze
Die EU hat mit der DSGVO einen strengen und einheitlichen Datenschutzrahmen geschaffen, der seit Mai 2018 umgesetzt sein soll. Sie gilt für alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten. Auch unabhängig davon, wo diese Unternehmen ansässig sind und enthält umfassende Rechte für Betroffene. Darunter fallen unter anderem das Recht auf Auskunft, Berichtigung, Löschung und Datenübertragbarkeit. Unternehmen müssen technische und organisatorische Maßnahmen ergreifen und Datenschutz-Folgenabschätzungen durchführen. Verstöße gegen die DSGVO können zu hohen Geldstrafen führen, die bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes eines Unternehmens betragen können, je nach dem was höher ist.
In den USA gibt es hingegen kein einheitliches nationales Datenschutzgesetz. Der Datenschutz ist ein Mosaik aus Gesetzen der einzelnen Bundesstaaten, die jedoch nicht alle ein Datenschutzgesetz erlassen haben. Einzelne Wirtschaftsbereiche sind durch jeweils eigene Datenschutzgesetze geregelt. So gibt es beispielsweise eigene Regelungen für den Bereich Wirtschaft und Handel, für das Gesundheitswesen und für den Finanzsektor. Wenigstens auf bundesstaatlicher Ebene hat Kalifornien mit dem California Consumer Privacy Act (CCPA) und dem California Privacy Rights Act (CPRA) fortschrittliche Datenschutzgesetze eingeführt, die teilweise der DSGVO ähneln.
Das Transatlantische Verhältnis im Datenschutz
Die Unterschiede begründen sich in einem datenschutzrechtlichen Grundverständnis, das nicht unterschiedlicher sein könnte. Während der Datenschutz und die informationelle Selbstbestimmung in Europa Grundrechte sind, ist der Datenschutz in den USA Teil des Verbraucherschutzes. Dabei dominieren letztlich wirtschaftliche Interessen. Dementsprechend ist die Sicherheit personenbezogener Daten bei Drittlandsübermittlungen nicht in dem Maße gewährleistet, wie man es sich von europäischer Seite wünschen würde.
Eingriffe gehen dabei insbesondere auch von staatlicher Seite aus. Die Befugnisse der Sicherheitsbehörden wurden seit den Terroranschlägen vom 11. September 2001 durch den Patriot Act und den Cloud Act massiv ausgeweitet.
Seit den Snowden-Enthüllungen 2013 ist zudem bekannt, dass diese Zugriffe wenig überraschend nicht nur punktuell, sondern systematisch und umfassend erfolgen.
Der Skandal führte zum Untergang des Safe-Harbor-Abkommens, das 2000 zwischen der EU und den USA geschlossen worden war. Dieses stellte bis dahin eine zentrale rechtliche Grundlage für den Drittlandsübermittlungen in die USA dar.
Das EU-US Privacy Shield, erlebte ein ähnliches Schicksal. Es wurde von Anfang an als unzureichend für kritisiert, da es unter erheblichem wirtschaftlichem Druck entstanden war und nicht den hohen europäischen Datenschutzstandards entsprach. Die erste Regierung unter Trump trug zur Verschärfung der Situation von Drittlandsübermittlungen bei, indem sie Garantien im Datenschutz unzureichend umsetzte. Zudem stellte Sie die DSGVO in der Corona- Pandemie als potenzielle Gefahr für die öffentliche Gesundheit dar. Das Privacy Shield wurde im Sommer 2020 vom Europäischen Gerichtshof entsprechend für ungültig erklärt.
Errungenschaften im Datenschutz der Biden-Administration
Unter Präsident Joe Biden wurden bedeutende Schritte unternommen, um den Datenschutz in den USA zu verbessern und die Beziehungen zu Europa zu stabilisieren.
Die Executive Order on Improving the Nation’s Cybersecurity (EO 14028), die im Mai 2021 unterzeichnet wurde, zielt darauf ab, die Cybersicherheitsstandards für Bundesbehörden und -aufträge zu stärken. Sie fordert moderne Sicherheitsarchitekturen wie Zero Trust und die Zusammenarbeit zwischen öffentlichem und privatem Sektor.
Zudem hat die Federal Trade Commission (FTC) unter der Biden-Administration verstärkt Maßnahmen gegen Unternehmen ergriffen, die gegen Datenschutzrichtlinien verstoßen. Wichtige Fälle betreffen Facebook (Meta) und Zoom, die wegen Verletzung von Datenschutzbestimmungen sanktioniert wurden.
Im Jahr 2023 wurde das EU-US Data Privacy Framework verabschiedet, um die Drittlandsübermittlungen in die USA zu regeln und sicherzustellen, dass die Datenschutzanforderungen der EU eingehalten werden. Ob es ein angemessenes Schutzniveau im Sinne der DSGVO garantiert, gilt es allerdings abzuwarten. Der Datenschutzaktivist Maximilian Schrems beispielsweise kündigte unmittelbar nach Erlass an, Klage einzureichen.
Das größte Potential wurde derzeit aber noch nicht ausgeschöpft. Die lediglich vorgeschlagenen Gesetzesentwürfe des American Data Privacy Protection Act (ADPPA) beziehungsweise American Privacy Rights Act (APRA) zielen darauf ab, umfassende Datenschutzrechte für Verbraucher zu schaffen und Datenschutzstandards staatenübergreifend zu regulieren. Sie beinhalten Rechte auf Zugang, Korrektur, Löschung und Portabilität von Daten sowie strenge Regeln für die Datenweitergabe und -verarbeitung.
Auf „America first“ folgt „America alone“
Bereits jetzt sollten sich die Unternehmen und Institutionen in Deutschland und der EU mit der Frage auseinandersetzen, was eine Wahl von Donald Trump als 47. Präsident der Vereinigten Staaten Amerikas für Datenschutz und Technologiesouveränität bedeuten könnte.
Das EU-US Data Privacy Framework basiert auf der Executive Order des amtierenden Präsidenten Joe Biden. Diese kann durch einen Amtsnachfolger so schnell rückgängig gemacht werden, wie sie erlassen wurde. Trump nahm bereits in seiner ersten Amtszeit zahlreiche Executive Orders von seinem Vorgänger zurück.
Ferner zeigt Trump während seiner ersten Amtszeit nur bedingtes Interesse an umfassenden Datenschutzreformen. Vielmehr lag sein Fokus auf der Deregulierung und der Förderung von Unternehmensinteressen.
Demzufolge wird er voraussichtlich versuchen, bestehende Datenschutzregelungen abzuschwächen oder geplante Gesetze wie den APRA zu blockieren. Dies würde zu einer unternehmerfreundlichen Lockerung der Datenschutzstandards führen und Betroffenenrechte schwächen.
Es ist kein Geheimnis, dass Trump der transatlantischen Zusammenarbeit weniger Bedeutung beimisst. Die strengen Anforderungen der EU bieten Trump genügend Konfliktpotenzial, um die Drittlandsübermittlungen zwischen der EU und den USA zu verunsichern. Trump könnte auch Maßnahmen zugunsten von Technologiegiganten ergreifen, die zu einer verstärkten Datenverarbeitung und -nutzung durch Unternehmen ohne angemessene Datenschutzgarantien führen.
Fazit
Der Datenschutz in den USA befindet sich im Wandel. Es gab bedeutende Fortschritten unter Biden und einen vielversprechenden Fokus auf die Harmonisierung der transatlantischen Beziehungen.
Eine mögliche Rückkehr von Donald Trump könnte jedoch diese Fortschritte im Datenschutz gefährden und zu einer Lockerung der Datenschutzstandards, insbesondere bei Drittlandsübermittlungen, führen. Es bleibt abzuwarten, wie sich die politischen Entwicklungen in den USA auf den Datenschutz auswirken werden und wie die transatlantischen Beziehungen in diesem Bereich gestaltet werden.
Das EU-US Data Privacy Framework steht jedenfalls auf der Kippe und eine Rückkehr von „America First“ könnte bedeuten, dass der Datenschutz wieder amerikanischen Eigeninteressen geopfert wird – ein weiterer Schritt hin zu „America Alone“.
Stellen Sie Ihr Unternehmen noch in der laufenden Legislaturperiode auf sichere Beine. Gerne unterstützen wir Sie bei diesem Vorhaben.
Bildnachweis: KI generiert