Mögliche Auswirkungen der Präsidentschaft Joe Bidens auf den Datenschutz in den USA
Die USA haben ihre 59. Präsidentschaftswahl abgeschlossen und Joe Biden als ihren 46. Präsidenten gewählt. Er wird das Amt am 20. Januar 2021 antreten. Ein Wechsel von der Trump-Regierung zur Biden-Regierung geht unweigerlich mit einer Änderung der Prioritäten der Exekutive einher. Der Datenschutz wird unter einer Biden-Regierung vermutlich einen größeren Stellenwert haben – auch mit möglichen Folgen für Datenschutzrechtsstreitigkeiten zwischen den USA und Europa.
(Dieser Beitrag wurde auch veröffentlicht in Johannes ZD-Aktuell 2020, 07441)
Interesse an Datenschutz
Es wird erwartet, dass die Biden-Regierung Datenschutz als hohe Priorität ansehen wird. Dies stünde im Einklang mit dem Interesse der designierten Vizepräsidentin Kamala Harris an datenschutzbezogenen Themen während ihrer Karriere als kalifornische Generalstaatsanwältin und US-Senatorin.
Als Generalstaatsanwältin war Harris im Bereich des Datenschutzes sehr aktiv. Während ihrer Amtszeit waren Datenschutzfragen im Zusammenhang mit dem Aufkommen mobiler Geräte von besonderer Bedeutung (Privacy on the Go: Recommendations for the Mobile Ecosystem) und sie drängte Amazon, Google, Apple und andere große Technologiefirmen, sich auf bestimmte Prinzipien zu einigen (Joint Statement on Principles). Während Harris‘ Amtszeit wurde die Privacy Enforcement and Protection Unit der kalifornischen Generalstaatsanwaltschaft gegründet, um Gesetze zum Datenschutz im Cyberspace, zu Identitätsdiebstahl und Datenverletzungen durchzusetzen. Diese Abteilung ist unter anderem für die Durchsetzung des kalifornischen Gesetzes zum Schutz der Privatsphäre der Verbraucher (CPRA, siehe dazu ZD-Aktuell 2020, 07398) zuständig.
Prioritäten der Biden-Regierung und EU-US Privacy Shield
Eine der Hauptprioritäten der Biden-Regierung wird die Wiederbelebung der US-Wirtschaft sein. Dabei besteht auch das Unwirksam werden des EU-US Privacy Shields als Hindernis. Im Juli 2020 hat der EuGH den EU-US Privacy Shield, ein Rahmenwerk zur Erleichterung transatlantischer Datentransfers, für ungültig erklärt. Dadurch haben die regulatorische Belastung und die damit verbundenen Risiken für Unternehmen, die im Einklang mit der DSGVO personenbezogene Daten in die USA übermitteln, erheblich zugenommen. Zu den damit verbundenen rechtlichen Fragen gehören die Überwachung durch die USA gemäß Section 702 des Foreign Intelligence Surveillance Act (FISA), der Executive Order 12333 und Presidential Policy Directive 28. Eine Biden-Regierung könnte sowohl die E.O. 12333 als auch die PPD-28 überprüfen und ändern. Dies könnte eine Übereinkommen über einen neuen transatlantischen Rahmen für die Übermittlung personenbezogener Daten aus der EU an die USA erleichtern. Es wird aber nicht mit einer schnellen Einigung gerechnet.
Bundesgesetzgebung zum Datenschutz
Interessanterweise könnten die durch die COVID-Pandemie verursachten Herausforderungen auch zur Verabschiedung föderaler Datenschutzgesetze führen. Die effiziente Kontrolle der Ausbreitung des Virus beinhaltet auch das Verfolgen und Aufspüren von Fällenm, die Datenverarbeitung erfordern und damit Risiken für die Privatsphäre bergen. Im Laufe des Jahres 2020 erregten diese Risiken die Aufmerksamkeit von Republikanern und Demokraten gleichermaßen, was zu einer von Republikanern im Senat eingebrachten Gesetzesvorlage (S. 3663 – The COVID-19 Consumer Data Protection Act of 2020) und einer von Demokraten im Repräsentantenhaus eingebrachten Gesetzesvorlage (H.R. 6866 – The Public Health Emergency Privacy Act) führte. Obwohl beide Gesetzentwürfe noch anhängig sind, ist es plausibel, dass der von den Demokraten eingebrachte Gesetzentwurf erneut Beachtung finden wird, sollte die Kontrolle des Senats wechseln. Das Interesse an der Verabschiedung einer Datenschutzgesetzgebung in Bezug auf COVID-bezogene Informationen wird wahrscheinlich 2021 wieder auftauchen und könnte zu neuen Anforderungen sowohl für staatliche Stellen als auch für Organisationen im privaten Sektor führen, darunter auch für Unternehmen, die Gesundheitsdaten von Mitarbeitern und Daten zur Untersuchung von Gästen oder Besuchern sammeln.
Ohnehin hat das Interesse an einer Datenschutzgesetzgebung auf Bundesebene in den letzten Jahren stetig zugenommen. Im April 2020 veröffentlichte der Congressional Research Service einen Bericht, in dem verschiedene im Kongress eingebrachte Verbraucherschutzgesetze zum Datenschutz verglichen wurden. Der Bericht kam zu dem Schluss, dass die meisten Gesetze ähnliche Ansätze verfolgen: (1) die Anerkennung des Rechts des Einzelnen auf Kontrolle seiner persönlichen Daten; (2) die Forderung an eine definierte Klasse von Einrichtungen, Schritte zur Einhaltung dieser Rechte zu unternehmen; und (3) die Schaffung von Verfahren zur Durchsetzung dieser Anforderungen. Die drei Hauptunterschiede stehen im Mittelpunkt: (1) welche Bundesbehörde die Durchsetzungsbefugnis hätte; (2) ob die Bundesgesetzgebung den Datenschutzgesetzen der Bundesstaaten vorgreifen sollte; und (3) ob die Gesetzesvorlagen ein privates Klagerecht vorsehen sollten.
Im Anschluss an den Bericht vom April 2020 und zum Ende des laufenden Kongresses hat der Senat Schritte unternommen, die neue Datenschutzgesetze auf die Tagesordnung des nächsten Kongresses setzen sollten. Am 17. September 2020 wurde das Gesetz zur Festlegung eines amerikanischen Rahmens zur Gewährleistung von Datenzugang, Transparenz und Rechenschaftspflicht (SAFE DATA) eingebracht. Parallel dazu haben die Demokraten den Consumer Online Privacy Rights Act (COPRA) eingebracht.
In Ermangelung einer umfassenden Bundesgesetzgebung hat sich das Datenschutzrecht auf der Ebene der Bundesstaaten stark ausgeweitet. Drei Bundesstaaten – Kalifornien, Nevada und Maine – haben Datenschutzgesetze, während in mindestens siebzehn Bundesstaaten ähnliche Gesetze eingeführt wurden, wobei die Mehrheit der Gesetzesvorlagen im Ausschuss anhängig ist. Darüber hinaus haben mindestens sechs Bundesstaaten gemeinsame Arbeitsgruppen zusammengestellt, die sich mit Datenschutzfragen befassen. Ausgehend von der Anzahl der derzeit anhängigen Datenschutzgesetze der Bundesstaaten ist es denkbar, dass mehr als die Hälfte der Bundesstaaten in den nächsten Jahren abweichende Datenschutzgesetze erlassen könnten.
Das vorgeschlagene SAFE DATA-Gesetz würde die Datenschutzgesetze der Bundesstaaten weitgehend vorwegnehmen. Im Gegensatz dazu betrachtet COPRA die föderale Datenschutzgesetzgebung als „Stockwerk“ und würde es den Staaten erlauben, strengere Datenschutzstandards zu erlassen, wenn sie dies wünschen.
Die Fähigkeit der Biden-Regierung, mit dem Senat zusammenzuarbeiten, um einen Weg zur Lösung dieser Differenzen zu finden, wird als Schlüsselfaktor bei der Entscheidung darüber angesehen, ob umfassende Datenschutzgesetze auf Bundesebene erlassen werden können.
Cybersecurity und Rechtsdurchsetzung
Beobachter haben auch vorausgesagt, dass die Biden-Regierung wieder einen Cybersicherheitskoordinator im Weißen Haus einsetzen wird. Das 2009 eingerichtete Büro für Cybersicherheit im Weißen Haus wurde unter der Trump-Regierung abgeschafft und die Zuständigkeiten der Position wurden weitgehend auf die neue Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) verlagert. Die Biden-Regierung wird wahrscheinlich viele dieser Zuständigkeiten auf der Ebene des Weißen Hauses wieder einführen.
Die Biden-Regierung wird auch erheblichen Einfluss auf die Prioritäten der Federal Trade Commission (FTC) haben. Es wird mit einer verstärkten Durchsetzungsaktivität der FTC gerechnet. Diese verstärkte Durchsetzung könnte Auswirkungen auf den Datenschutz bei Rechtsstreitigkeiten haben.