Der American Data Privacy and Protection Act (ADPPA), oder H.R. 8152, ist immer noch nur ein Gesetzentwurf.
Aber könnte es das erste Bundesdatenschutzgesetz der USA werden?
Wir können die Zukunft nicht vorhersagen, aber die parteiübergreifende Unterstützung und die Popularität des Gesetzes geben Aufschluss darüber, wie ein mögliches US-Bundesgesetz aussehen wird.
Untersuchen wir die Anforderungen, Pflichten und Rechte, die das ADPPA vorsieht, erörtern wir, was es behindern könnte, und untersuchen wir, was es für die Zukunft des Datenschutzes in Amerika bedeutet.
- Was ist der American Data Privacy and Protection Act (ADPPA)?
- Was ist der Zweck des ADPPA?
- ADPPA Schlüsselbegriffe und Definitionen
- Wer unterstützt das ADPPA?
- Was blockiert das ADPPA?
- Was ist im ADPPA enthalten?
- Auswirkungen des ADPPA auf Unternehmen und Verbraucher
- ADPPA im Vergleich zu einigen der größten Datenschutzgesetze
- Zukunftsperspektiven des ADPPA
- Zusammenfassung
Was ist der American Data Privacy and Protection Act (ADPPA)?
Das amerikanische Datenschutzgesetz (American Data Privacy and Protection Act, ADPPA) ist ein Gesetzesentwurf, der im Falle seiner Verabschiedung das erste Datenschutzgesetz auf Bundesebene in den Vereinigten Staaten darstellen würde.
Mit Ausnahme bestimmter Kategorien von Gesetzen in Kalifornien und Illinois würden bestehende umfassende Datenschutzgesetze der Bundesstaaten außer Kraft gesetzt.
Das ADPPA passierte den Energie- und Handelsausschuss des Repräsentantenhauses mit 53:2 Stimmen und wurde im Dezember 2022 in den Kalender der Union, Kalender Nr. 488, aufgenommen.
Der Kongress hatte jedoch keine Zeit, ihn vor dem Ende der 117. Sitzungsperiode im Januar 2023 formell zu prüfen.
Was ist der Zweck des ADPPA?
Der Zweck des ADPPA ist es, eine einheitliche Reihe von Schutzmaßnahmen und Rechten für Amerikaner in Bezug auf die Art und Weise, wie ihre persönlichen Daten gesammelt, verarbeitet und verwendet werden, zu schaffen.
Es schafft Beschränkungen und Anforderungen für Unternehmen, die mit personenbezogenen Daten umgehen, einschließlich gemeinnütziger Organisationen und Verkehrsunternehmen, und legt die Strafen und Bußgelder für Verstöße gegen das Gesetz fest.
ADPPA Schlüsselbegriffe und Definitionen
Bevor ich die Anforderungen des ADPPA erkläre, ist es wichtig, einige Schlüsselbegriffe zu erläutern, damit Sie den Umfang und die Anwendung dieses potenziellen Gesetzes verstehen.
Er verwendet eine einzigartige Formulierung, die in anderen Datenschutzgesetzen, einschließlich der meisten aktuellen Datenschutzgesetze der US-Bundesstaaten, nicht regelmäßig vorkommt.
So wird beispielsweise im ADPPA anstelle von "Verbraucher" oder "betroffene Person" der Begriff "Personen" verwendet.
Lesen Sie die Definitionen dieser Begriffe genau so, wie sie in Abschnitt 2 der aktuellen Fassung des American Data Privacy and Protection Act stehen:
- Affirmative ausdrückliche Zustimmung: Eine bestätigende Handlung einer Person, die klar und deutlich die frei gegebene, spezifische und unmissverständliche Erlaubnis der Person für eine Handlung oder Praxis mitteilt, nachdem sie informiert wurde, und zwar als Antwort auf eine spezifische Anfrage einer betroffenen Einrichtung, die die Anforderungen von Unterabsatz (B) erfüllt.
- Sammeln/Sammeln: Kaufen, Mieten, Sammeln, Erhalten, Empfangen, Zugreifen oder anderweitiges Erwerben von erfassten Daten mit jeglichen Mitteln.
- Beherrschung: (A) Besitz von mehr als 50 Prozent der im Umlauf befindlichen Aktien einer beliebigen Gattung von stimmberechtigten Wertpapieren des Unternehmens oder die Befugnis zur Stimmabgabe; (B) Kontrolle über die Wahl der Mehrheit der Direktoren des Unternehmens (oder von Personen, die ähnliche Funktionen ausüben); oder (C) die Befugnis zur Ausübung eines beherrschenden Einflusses auf die Geschäftsführung des Unternehmens.
- Erfasste Daten: Informationen, die allein oder in Kombination mit anderen Informationen eine Person oder ein Gerät, das eine Person identifiziert oder mit ihr verknüpft oder verknüpft werden kann, identifizieren oder mit ihr verknüpft werden können, und können abgeleitete Daten und eindeutige dauerhafte Kennungen umfassen.
-
Abgedeckte Einrichtung: Jede Einrichtung oder jede Person, die nicht als Einzelperson in einem nichtkommerziellen Kontext handelt, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Erhebung, Verarbeitung oder Übermittlung erfasster Daten entscheidet und -
- (I) unterliegt dem Federal Trade Commission Act (15 U.S.C. 41 et seq.);
- (II) ein Common Carrier ist, der dem Communications Act von 1934 (47 U.S.C. 151 et seq.) und allen Gesetzen zur Änderung und Ergänzung dieses Gesetzes unterliegt; oder
- (III) eine Organisation ist, die nicht zur Erzielung von Gewinnen für sich oder ihre Mitglieder organisiert ist, und
- (ii) umfasst jede Einrichtung oder Person, die die erfasste Einrichtung kontrolliert, von ihr kontrolliert wird oder unter gemeinsamer Kontrolle mit ihr steht.
- Einzelperson: Eine natürliche Person mit Wohnsitz in den Vereinigten Staaten.
-
Großer Datenträger: Eine erfasste Einrichtung oder ein Dienstleistungsanbieter, der im letzten Kalenderjahr:
- (i) jährliche Bruttoeinnahmen von 250.000.000 $ oder mehr hatte; und
- (ii) erfasste, verarbeitete oder übermittelte (I) die erfassten Daten von mehr als 5.000.000 Personen oder Geräten, die eine oder mehrere Personen identifizieren oder mit ihnen verknüpft sind oder vernünftigerweise verknüpft werden können, ausgenommen erfasste Daten, die ausschließlich zum Zweck der Anbahnung, Erbringung, Abrechnung, Fertigstellung, Abwicklung oder anderweitigen Einziehung der Zahlung für ein angefordertes Produkt oder eine angeforderte Dienstleistung erfasst und verarbeitet wurden; und
- (II) die sensiblen erfassten Daten von mehr als 200.000 Personen oder Geräten, die eine oder mehrere Personen identifizieren oder mit ihnen verbunden oder vernünftigerweise verbindbar sind.
- Verarbeiten: Durchführen oder Anweisen eines Vorgangs oder einer Reihe von Vorgängen, die mit erfassten Daten durchgeführt werden, einschließlich des Analysierens, Organisierens, Strukturierens, Aufbewahrens, Speicherns, Nutzens oder anderweitigen Umgangs mit erfassten Daten.
- Dienstleister: eine Person oder Einrichtung, die (i) erfasste Daten im Namen und auf Anweisung einer erfassten Einrichtung oder einer Bundes-, Staats-, Stammes-, territorialen oder lokalen Regierungseinrichtung sammelt, verarbeitet oder überträgt und (ii) erfasste Daten von einer erfassten Einrichtung oder einer Bundes-, Staats-, Stammes-, territorialen oder lokalen Regierungseinrichtung oder in deren Namen erhält.
-
Dritte Inkassostelle: Eine erfasste Einrichtung, deren Haupteinnahmequelle aus der Verarbeitung oder Übertragung erfasster Daten stammt, die die erfasste Einrichtung nicht direkt bei den mit den erfassten Daten verbundenen oder verknüpfbaren Personen erhoben hat.
- Er umfasst nicht eine erfasste Einrichtung, soweit diese Einrichtung Arbeitnehmerdaten verarbeitet, die von einem Dritten über eine Person, die Arbeitnehmer des Dritten ist, zu dem alleinigen Zweck erhoben und erhalten wurden, dass dieser Dritte dem Arbeitnehmer Leistungen erbringt.
- Übertragung: Offenlegen, freigeben, verbreiten, zur Verfügung stellen, lizenzieren, vermieten oder teilen von erfassten Daten mündlich, schriftlich, elektronisch oder auf andere Weise.
Ich werde diese Begriffe in diesem Leitfaden so verwenden, wie sie von der ADPPA beschrieben werden, Sie können also bei Bedarf auf diese Liste mit Definitionen zurückgreifen.
Wer unterstützt das ADPPA?
Der American Data Privacy and Protection Act wird von beiden Parteien unterstützt und vom demokratischen Abgeordneten Frank Pallone Jr. aus New Jersey, Distrikt 6, befürwortet.
Sie wird mitfinanziert von:
- Abgeordnete Cathay McMorris Rodgers, Republikanerin aus Washington, Bezirk 5
- Abgeordnete Janice D. Schakowsky, Demokratin aus Illinois, Bezirk 9
- Der Abgeordnete Gus M. Bilirakis, ein Republikaner aus Florida, Distrikt 12
Was blockiert das ADPPA?
Trotz der offensichtlichen parteiübergreifenden Unterstützung liegt das ADPPA derzeit auf Eis und wird vielleicht sogar ganz fallen gelassen.
Was also hindert diesen Entwurf daran, ein Gesetz zu werden? Das Gleichgewicht zwischen Innovation auf staatlicher Ebene und einem kohärenten nationalen Rahmen ist schwierig, aber unerlässlich.
Es gibt ungelöste Debatten, für die die politischen Führer noch keinen Mittelweg gefunden haben.
Lassen Sie uns auf einige dieser Reden etwas näher eingehen.
Der Abschluss des 117. Kongresses
Ein Hauptproblem, das das ADPPA blockiert? Nicht genug Zeit im Zeitplan des Kongresses.
Das ADPPA wurde im Juli 2022 vom Energie- und Handelsausschuss mit 53:2 Stimmen angenommen.
Die Gesetzgeber hatten jedoch nie die Zeit, den Vorschlag vor dem Ende des 117. Kongresses am 3. Januar 2023 formell zu prüfen.
Obwohl der 118. Kongress versprochen hat, dem Datenschutz und dem ADPPA oberste Priorität einzuräumen, hat sich in Bezug auf den Gesetzentwurf noch nichts getan.
Die Debatte über ein privates Klagerecht
Ein weiteres umstrittenes Thema bei der Verabschiedung eines Bundesgesetzes zum Datenschutz in den USA ist die Frage, ob Einzelpersonen ein privates Klagerecht haben sollten oder nicht.
Ein privates Klagerecht bedeutet, dass eine Einzelperson wegen einer Verletzung ihrer Rechte klagen kann.
Die Demokraten drängen auf ein privates Klagerecht, während die Republikaner dagegen sind. Als Kompromiss sieht das ADPPA ein privates Klagerecht mit einer zweijährigen Frist vor.
Die Gesetzgeber sind jedoch auf beiden Seiten des Atlantiks besorgt, ob dies machbar ist.
Vorrangig oder nicht vor anderen staatlichen Gesetzen
Ein weiteres Problem, das das ADPPA blockiert, ist die Frage, welche Auswirkungen es auf die verschiedenen Datenschutzgesetze der US-Bundesstaaten haben könnte, die bereits in Kraft getreten sind.
Wenn ein Bundesgesetz einzelstaatlichen Gesetzen vorgeht, übernimmt es diese und ersetzt sie letztendlich, was zu einer Vereinheitlichung zwischen allen US-Bundesstaaten führt.
In der Frage, ob das Bundesdatenschutzgesetz der Gesetzgebung auf Landesebene vorgehen sollte, gibt es zwei offensichtliche Trennlinien.
Die eine Seite möchte, dass die staatlichen Gesetze in Kraft bleiben, solange sie ein ähnliches oder höheres Schutzniveau in Bezug auf die Datenverarbeitungsvorschriften bieten.
Die andere Seite möchte, dass das Bundesgesetz alle einzelstaatlichen Gesetze außer Kraft setzt, ohne Ausnahmen.
In seiner derzeitigen Fassung bietet das ADPPA einige Kompromisse für Kalifornien und Illinois.
Dieser Kompromiss ist zum großen Teil darauf zurückzuführen, dass sich Kalifornien während der 117. Kongresssitzung am stärksten gegen das Vorrecht gewehrt hat, wie die IAPP berichtet.
Aufgrund dieser anhaltenden Debatten lässt sich nur schwer vorhersagen, ob Amerikas erstes offizielles Datenschutzgesetz auf Bundesebene den Gesetzen der einzelnen Bundesstaaten vorgreifen wird. Unabhängig davon ist es von größter Bedeutung, ein Gleichgewicht zwischen nationaler Einheitlichkeit und staatlicher Innovation zu erreichen.
Was ist im ADPPA enthalten?
Das ADPPA enthält Bestimmungen zu allen der folgenden Themen:
- Minimierung der Datenmenge
- Loyalitätspflichten
- Datenschutz durch Design
- Loyalität gegenüber Einzelpersonen in Bezug auf die Preis
- Anforderungen an Datenschutzrichtlinien und -hinweise
- Berichterstattung über Metriken für große Dateninhaber
- Dritte Sammelstellen
- Bürgerrechte und Algorithmen
- Sicherheit und Schutz der Daten
- Schutz für kleine Unternehmen
- Vereinheitlichte Opt-out-Mechanismen
Lassen Sie uns im Detail erörtern, wie sich diese auf die betroffenen Unternehmen auswirken können.
Minimierung von Daten
Das ADPPA erörtert die Pflichten der betroffenen Einrichtung zur Datenminimierung in Titel I, Abschnitt 101.
Die Einrichtungen dürfen nur Informationen sammeln, die "vernünftigerweise notwendig" sind und in einem "angemessenen Verhältnis" zu denfolgenden Punkten stehen:
- Bereitstellung oder Beibehaltung eines Produkts oder einer Dienstleistung auf Wunsch der Person
- Spezifische zulässige Zwecke
Diese zulässigen Zwecke der Datenerhebung und -verarbeitung sind:
- Um eine Transaktion einzuleiten, zu verwalten oder abzuschließen, um eine Bestellung für Produkte oder Dienstleistungen zu erfüllen, die von der Person angefordert wurden
- Verarbeitung der für die Wartung und Diagnose des Systems erforderlichen Daten
- Entwicklung, Wartung, Reparatur oder Verbesserung eines Produkts oder einer Dienstleistung
- Durchführung interner Untersuchungen oder Analysen zur Verbesserung eines Produkts oder einer Dienstleistung
- Durchführung einer Bestandsverwaltung oder einer angemessenen Netzverwaltung
- Schutz vor Spam
- Fehlersuche oder Behebung von Fehlern, die die Funktionalität eines Dienstes oder Produkts beeinträchtigen
- Authentifizierung von Nutzern eines Produkts oder einer Dienstleistung
- Erfüllung einer Produkt- oder Dienstleistungsgarantie
- Vorbeugung, Aufdeckung, Schutz vor oder Reaktion auf einen Sicherheitsvorfall, Betrug, Belästigung oder illegale Aktivitäten
- Erfüllung gesetzlicher Verpflichtungen auf Landes-, Bundes-, Kommunal-, Stammes- oder Ermittlungsebene
- Verhindern, dass eine Person oder eine Gruppe Schaden erleidet, wenn die Gefahr des Todes, einer schweren Körperverletzung oder eines anderen Gesundheitsrisikos besteht
- zur Durchführung wissenschaftlicher, historischer oder statistischer Forschung
- Übermittlung von Mitteilungen, die der Verbraucher vernünftigerweise erwartet, oder zwischen Einzelpersonen (keine Werbung)
- Gewährleistung von Datensicherheit und -integrität
Die Federal Trade Commission (die Kommission) wird Anleitungen dazu geben, was als "vernünftigerweise notwendig und verhältnismäßig" für die Einhaltung der Vorschriften angesehen wird.
Loyalitätsverpflichtungen
Das ADPPA verlangt von allen betroffenen Einrichtungen die Einhaltung bestimmter "Loyalitätspflichten" in Bezug auf ihre Verfahren zur Verarbeitung personenbezogener Daten, wie in Titel I, Abschnitt 102 dargelegt.
Insbesondere wird beschrieben, was die betroffenen Einrichtungen und Dienstleister nicht mit personenbezogenen Daten tun dürfen, darunter:
- Sammeln, Verarbeiten oder Übertragen von Sozialversicherungsnummern.
- Erhebung, Verarbeitung oder Übermittlung sensibler Daten, es sei denn, dies ist unbedingt erforderlich.
- Übermittlung sensibler Daten an Dritte, es sei denn, diese haben ihr ausdrückliches Einverständnis gegeben oder die Übermittlung ist notwendig.
- Fernsehsender, Kabeldienste und andere Videoprogrammdienste dürfen Daten nur mit ausdrücklicher Zustimmung an Dritte weitergeben.
Datenschutz durch Design
Amerikas potenzielles Datenschutzgesetz erörtert den eingebauten Datenschutz (Privacy by Design, PbD ) in Titel I, Abschnitt 103. Es würde den "eingebauten Datenschutz" zu einer gesetzlichen Verpflichtung für die betroffenen Einrichtungen machen.
Nach dem ADPPA bedeutet PbD die Einführung, Umsetzung und Aufrechterhaltung angemessener Strategien und Praktiken, die:
- Berücksichtigen Sie die geltenden Bundesgesetze, -vorschriften und -regelungen in Bezug auf die Daten.
- Identifizierung, Bewertung und Abschwächung von Datenschutzrisiken im Zusammenhang mit Minderjährigen.
- die Risiken für den Schutz der Privatsphäre im Zusammenhang mit den von ihnen angebotenen Produkten und Dienstleistungen, einschließlich der Konzeption und Entwicklung solcher Produkte und Dienstleistungen, zu mindern.
- Umsetzung angemessener Schulungs- und Schutzmaßnahmen zur Förderung der Einhaltung aller geltenden Datenschutzgesetze, die die betroffene Einrichtung betreffen.
Die betroffenen Unternehmen müssen ihre Größe sowie den Umfang und die Komplexität der Verarbeitungstätigkeiten berücksichtigen, an denen sie beteiligt sind.
Sie müssen auch die Sensibilität der gesammelten Daten, das Volumen der gesammelten Daten, die Anzahl der betroffenen Personen oder Geräte und die Kosten für die Umsetzung solcher Maßnahmen berücksichtigen.
Loyalität gegenüber Einzelpersonen in Bezug auf die Preis
Das ADPPA verbietet in Titel I, Abschnitt 104 ausdrücklich Vergeltungsmaßnahmen durch Dienstleistungen oder Preise.
Die betroffenen Unternehmen können eine Person nicht dafür bestrafen, dass sie ihre Rechte gemäß dem potenziellen neuen Gesetz wahrnimmt.
Sie hindert die Einrichtungen jedoch nicht daran:
- Angebot eines anderen Preises, Tarifs, Niveaus oder einer anderen Auswahl an Waren in Verbindung mit der freiwilligen Teilnahme an einem Treueprogramm.
- Finanzielle Anreize für Personen, die sich an der Marktforschung beteiligen.
- Angebot unterschiedlicher Preise oder Funktionen, wenn Einzelpersonen ihre Datenschutzrechte wahrnehmen.
- Ablehnung der Bereitstellung eines Produkts oder einer Dienstleistung, wenn die Datenerhebung für dieses Produkt oder diese Dienstleistung unbedingt erforderlich ist.
Anforderungen an Datenschutzrichtlinien und -hinweise
Das ADPPA beschreibt in Titel II, Abschnitt 202 mehrere Anforderungen an die Datenschutzpolitik und den Datenschutzhinweis.
Betroffene Einrichtungen müssen eine Datenschutzrichtlinie veröffentlichen, die alle folgenden Informationen enthält:
- Identität und Kontaktinformationen der betroffenen Einrichtung oder des Dienstleisters
- Für wen die Datenschutzrichtlinie gilt, einschließlich Kontaktstellen und einer allgemeinen E-Mail-Adresse für Anfragen zum Datenschutz und zur Datensicherheit
- Jede andere Einrichtung mit der gleichen Unternehmensstruktur wie die betroffene Einrichtung, an die die Daten übermittelt werden
- Die Kategorien der verarbeiteten Daten
- Der Zweck der Verarbeitung jeder Datenkategorie
- Ob das Unternehmen die Daten weitergibt, und wenn ja, an welche Kategorie oder an welche Drittpartei sie weitergegeben werden, den Namen jeder Drittpartei und den Zweck der Weitergabe der Daten
- Die Dauer, für die das Unternehmen plant, die Daten aufzubewahren
- Eine Beschreibung, wie Einzelpersonen ihre Rechte gemäß dem ADPPA ausüben können
- Eine allgemeine Beschreibung der Sicherheitspraktiken der Einrichtung
- Das Datum des Inkrafttretens der Datenschutzrichtlinie
- Wenn die Daten in die Volksrepublik China, Russland, den Iran oder Nordkorea übermittelt, dort verarbeitet, gespeichert oder dort zugänglich gemacht werden
Darüber hinaus müssen Unternehmen, die als große Dateninhaber gelten , den Verbrauchern einen kurzen Datenschutzhinweis zur Verfügung stellen:
- Kurz, klar, auffällig und nicht irreführend
- Leicht zugänglich
- Enthält einen Überblick über die Rechte des Einzelnen und weist auf möglicherweise unerwartete Datenpraktiken hin
- Nicht mehr als 500 Wörter lang
Berichterstattung über Metriken für große Dateninhaber
Nach dem ADPPA muss jede Einrichtung, die als großer Dateninhaber gilt, Kennzahlen für das vorangegangene Kalenderjahr zusammenstellen.
Zu den spezifischen Metriken gehört die Anzahl der:
- Geprüfte Zugangsanträge
- Geprüfte Löschungsanträge
- Ersuchen um Ablehnung gezielter Werbung
- Ersuchen, denen der große Dateninhaber ganz oder teilweise nachgekommen ist und die er abgelehnt hat
- Die durchschnittliche oder mittlere Anzahl von Tagen, die für die Beantwortung der Anfragen benötigt wurde
Dritte Inkassostellen
Gemäß Titel II, Abschnitt 206 des ADPPA müssen alle Dritten, die Daten sammeln, einen klaren, nicht irreführenden und zugänglichen Hinweis auf ihrer Website oder ihren mobilen Apps veröffentlichen.
Sie muss alle folgenden Anforderungen erfüllen:
- Benachrichtigung der Personen, dass es sich um eine dritte Inkassostelle handelt, unter Verwendung der von der Kommission entwickelten Formulierung
- Aufnahme eines Links zur bestehenden Website der Kommission
- für Menschen mit Behinderungen in angemessener Weise zugänglich und nutzbar ist
Vor dem 31. Januar eines jeden Kalenderjahres müssen sich alle dritten Sammelstellen, die Daten von mehr als 5.000 Personen oder Geräten gesammelt haben, bei der Kommission registrieren lassen.
Der Registrierungsprozess umfasst:
- Entrichtung einer Gebühr von 100 Dollar
- Angabe des juristischen Namens und der primären physischen, E-Mail- und Internetadresse der beteiligten dritten Person
- Eine Beschreibung der Kategorien der erfassten Daten, die sie verarbeiten und übermitteln
- Die Kontaktinformationen des Dritten, einschließlich Kontaktperson, Telefonnummer, E-Mail-Adresse, Website und Anschrift
- Ein Link zu einer Website, auf der Einzelpersonen ihre Rechte wahrnehmen können
Die Kommission wird eine für die Öffentlichkeit zugängliche Website einrichten und pflegen, auf der Einzelheiten zu allen dritten Verwertungsgesellschaften zu finden sind.
Bürgerrechte und Algorithmen
Das ADPPA verbietet den betroffenen Einrichtungen die Verarbeitung von Informationen in einer Weise, die Einzelpersonen diskriminiert ( Titel II, Abschnitt 207).
Die Kommission ist befugt, diesen Abschnitt des ADPPA durchzusetzen.
Wenn das ADPPA in Kraft tritt, wird die Kommission dem Kongress innerhalb von drei Jahren einen Bericht vorlegen, der eine Zusammenfassung enthält:
- Alle Arten von Informationen, die die Kommission im vergangenen Jahr an die Agenturen übermittelt hat
- Wie sich die Informationen auf die Bundesgesetze über Bürgerrechte beziehen
Abgedeckte Algorithmus-Folgenabschätzungen
Große Dateninhaber, die einen "abgedeckten Algorithmus" verwenden, der ein potenzielles Schadensrisiko für eine Person oder Gruppe darstellt, müssen eine Folgenabschätzung durchführen.
Das ADPPA definiert den abgedeckten Algorithmus als:
"Ein computergestützter Prozess, der maschinelles Lernen, natürliche Sprachverarbeitung, Techniken der künstlichen Intelligenz oder andere computergestützte Verarbeitungstechniken von ähnlicher oder größerer Komplexitätverwendet und der eine Entscheidung trifft oder die menschliche Entscheidungsfindung in Bezug auf erfasste Daten erleichtert, auch um die Bereitstellung von Produkten oder Dienstleistungen zu bestimmen oder um die Bereitstellung oder Anzeige von Informationen für eine Person zu ordnen, zu fördern, zu empfehlen, zu verstärken oder in ähnlicher Weise zu bestimmen."
Die Folgenabschätzung muss alle folgenden Informationen enthalten:
- Eine detaillierte Beschreibung der Daten, die von dem betreffenden Algorithmus verwendet werden
- Eine Erklärung über den Zweck und die vorgeschlagenen Verwendungszwecke des Algorithmus
- Eine Beschreibung der vom Algorithmus erzeugten Ausgaben
- Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit des erfassten Algorithmus in Bezug auf seine angegebenen Zwecke
- Eine Beschreibung der Schritte, die der Inhaber der großen Datenmengen unternehmen wird, um mögliche Schäden zu mindern
Sie fragen sich vielleicht, warum eine KI-Regelung in einem Datenschutzgesetz auftaucht?
Die Datenschutzbestimmungen müssen mit dem raschen technologischen Fortschritt Schritt halten.
Das Bundesrecht muss anpassungsfähig und zukunftsorientiert sein und unvorhergesehene Datenschutzprobleme lösen können, die sich aus Technologien wie KI, Biometrie und sich entwickelnden Datenerfassungsmethoden ergeben.
Sicherheit und Schutz von Daten
Wie in Titel II, Abschnitt 208 erläutert, müssen die unter das ADPPA fallenden Einrichtungen angemessene administrative, technische und physische Datensicherheitspraktiken einführen, umsetzen und aufrechterhalten.
Bei der Entscheidung, welche Sicherheitspraktiken zu implementieren sind, müssen die betroffenen Unternehmen berücksichtigen:
- Die Größe und Komplexität der betroffenen Einrichtung selbst
- Art und Umfang der Erhebung, Verarbeitung und Übermittlung der Daten
- Umfang und Art der erhobenen, verarbeiteten oder übermittelten Daten
- die Sensibilität der erhobenen, verarbeiteten oder übermittelten Daten
- den aktuellen Stand (und die Grenzen) der administrativen, technischen und physischen Sicherheitsvorkehrungen zum Schutz der Daten
- Die Kosten der verfügbaren Instrumente zur Verbesserung der Sicherheit und zur Verringerung von Schwachstellen
Zumindest müssen die betroffenen Unternehmen ihre Schwachstellen bewerten, ihre Präventiv- und Abhilfemaßnahmen beurteilen, ihre Mitarbeiter schulen und einen Beauftragten für die Umsetzung dieser Praktiken benennen.
Schutz für kleine Unternehmen
Ausnahmen und Schutzmaßnahmen speziell für kleine Unternehmen sind in Titel II, Abschnitt 209 des ADPPA beschrieben.
Um sich als Kleinunternehmen zu qualifizieren, muss das Unternehmen die folgenden Schwellenwerte erfüllen:
- Die durchschnittlichen jährlichen Bruttoeinnahmen dürfen 41.000.000 $ nicht überschreiten.
- Nicht jährlich Daten von mehr als 200.000 Personen sammeln oder verarbeiten
- in einem Kalenderjahr nicht mehr als 50 % seiner Einnahmen aus der Übermittlung von Daten erwirtschaften
Insbesondere sind kleine Unternehmen von der Einhaltung von Abschnitt 203 (a) 4, Absätze (1) bis (3) und (5) bis (7) befreit.
Sie sind auch von der Einhaltung von Abschnitt 208 (b) und Abschnitt 301(c) befreit.
Die Einhaltung von Abschnitt 203 (a)(2) ist fakultativ.
Einheitliche Opt-Out-Mechanismen
Gemäß Titel II, Abschnitt 210 des ADPPA müssen die betroffenen Unternehmen innerhalb von 18 Monaten nach Inkrafttreten des Gesetzes einen oder mehrere globale Opt-out-Mechanismen für Datenschutzsignale einrichten.
Der zentralisierte Opt-out-Mechanismus muss alle folgenden Richtlinien erfüllen:
- Die betroffene Einrichtung muss die Verbraucher über die zentralisierte Opt-out-Option informieren.
- Es muss nicht die Standardeinstellung sein, kann aber die Standardeinstellung sein, wenn der Mechanismus eindeutig die bestätigte, freie Entscheidung einer Person darstellt, sich dagegen zu entscheiden.
- Sie müssen verbraucherfreundlich, einfach zu benutzen und klar beschrieben sein.
- Erlauben Sie der betroffenen Einrichtung ein Authentifizierungsverfahren, um festzustellen, ob es sich bei dem Mechanismus um eine rechtmäßige Opt-out-Anfrage handelt.
- Sie müssen in allen Sprachen verfügbar sein, für die das Unternehmen Produkte oder Dienstleistungen anbietet.
- in einer Weise bereitgestellt werden, die für Menschen mit Behinderungen in angemessener Weise zugänglich ist.
Geldbußen und Strafen für Verstöße gegen das ADPPA
Die Federal Trade Commission und die Generalstaatsanwaltschaften der Bundesstaaten sind für die Durchsetzung des ADPPA zuständig, wie in Titel IV festgelegt.
Geldstrafen und Bußgelder können bis zu 10.000 Dollar pro Verstoß betragen, wenn die Kommission dies als unfaire oder irreführende Handlung einstuft.
Privates Klagerecht
Das ADPPA gewährt in Titel IV, Abschnitt 403 auch ein privates Klagerecht für Einzelpersonen, das auf zwei Jahre begrenzt ist.
Das Recht auf eine Privatklage gilt jedoch erst zwei Jahre nach Verabschiedung des Gesetzes.
Das Gericht kann dem Kläger einen Betrag zusprechen, der dem Schadensersatz, der Unterlassungsklage, der Feststellungsklage und den angemessenen Anwalts- und Prozesskosten entspricht.
Die Person muss jedoch zunächst die Kommission und den Generalstaatsanwalt des Staates, in dem sie ihren Wohnsitz hat, über ihre Absicht, zivilrechtlich vorzugehen, informieren.
Sie erhalten innerhalb von 60 Tagen nach Erhalt der Mitteilung eine Antwort, in der sie angeben, ob sie den Rechtsstreit fortsetzen können.
Auswirkungen des ADPPA auf Unternehmen und Verbraucher
Wenn das ADPPA in Kraft tritt, wird es nicht nur die amerikanischen Verbraucher betreffen, sondern auch für Unternehmen weltweit gelten.
Lassen Sie uns die möglichen Auswirkungen und die Reichweite näher erörtern.
Wie sie sich auf Unternehmen auswirkt
Lassen Sie uns erörtern, wie sich das ADPPA auf die Unternehmen auswirken würde, wenn es zu einem Bundesgesetz würde.
Sie müssen nicht nur Datenschutzrichtlinien (und möglicherweise einen zusätzlichen Hinweis) auf Ihrer Website oder App veröffentlichen, sondern Sie müssen es auch:
- Einhaltung globaler Datenschutzkontrollen in Bezug auf die Opt-out-Rechte der Verbraucher.
- Bieten Sie Ihren amerikanischen Verbrauchern mehrere Möglichkeiten, ihre Rechte geltend zu machen.
- Durchführung von Folgenabschätzungen für bestimmte Arten der Datenverarbeitung.
- Einholung der Zustimmung der Verbraucher für bestimmte Arten der Datenverarbeitung, -erfassung und -übermittlung.
- Schaffung und Umsetzung geeigneter Sicherheitsmaßnahmen zum Schutz der Integrität der Daten.
Die strengsten Anforderungen des ADPPA gelten jedoch für große Dateninhaber.
Kleine Unternehmen sind von der Erfüllung einiger der komplexeren und zeitaufwändigeren Aspekte des potenziellen Gesetzes ausgenommen.
Wenn Ihr Unternehmen bereits die Datenschutzgesetze der US-Bundesstaaten wie den Virginia Consumer Data Protection Act(VCDPA) oder den Colorado Privacy Act(CPA) einhält, wird es für Sie wahrscheinlich einfacher sein, die Anforderungen des ADPPA zu erfüllen.
Das Bundesgesetz kann diese bundesstaatlichen Gesetze überholen, aber da es ähnliche Schutzmaßnahmen beschreibt, könnte es in einigen Fällen einen nahtloseren Übergang zur Einhaltung ermöglichen.
Wie es sich auf die Verbraucher auswirkt
Das ADPPA wirkt sich auf die Verbraucher aus, indem es ihnen Rechte in Bezug auf die Art und Weise einräumt, wie externe Stellen ihre personenbezogenen Daten erfassen, verarbeiten und nutzen.
Sie bietet ihnen auch ein privates Klagerecht gegen Einrichtungen, die eines der in dem potenziellen Gesetz genannten Datenschutzrechte verletzen.
Die Rechte der Verbraucherdaten finden sich in Titel II des Gesetzes und umfassen Folgendes:
- Bewusstseinsbildung
- Transparenz
- Individuelles Dateneigentum und Kontrolle
- Recht auf Zustimmung und Widerspruch
- Datenschutz für Kinder und Minderjährige
Lassen Sie uns genau besprechen, was jedes dieser Rechte beinhaltet.
Bewusstseinsbildung
Gemäß Titel II, Abschnitt 201 des ADPPA haben die Verbraucher das Recht auf Aufklärung, das im Gesetz in drei Teilen definiert wird.
Erstens würde die Kommission innerhalb von 90 Tagen nach Inkrafttreten des Gesetzes eine Webseite veröffentlichen, auf der alle Bestimmungen, Rechte, Pflichten und Anforderungen des ADPPA beschrieben werden.
Außerdem verspricht die Kommission, die Informationen vierteljährlich und bei Bedarf zu aktualisieren, wenn sich Gesetze, Vorschriften, Leitlinien oder Gerichtsentscheidungen ändern.
Schließlich werden die Informationen in den zehn wichtigsten Sprachen veröffentlicht, die laut der letzten Volkszählung in den USA verwendet werden.
Transparenz
Die Verbraucher haben auch das Recht auf Transparenz, wie in Titel II, Abschnitt 202 des Gesetzes dargelegt.
Die betroffenen Unternehmen müssen den Verbrauchern eine klare, auffällige, nicht irreführende und leicht zu lesende Datenschutzrichtlinie zur Verfügung stellen.
Außerdem muss es leicht zugänglich sein und eine detaillierte und genaue Darstellung der Datenerhebung, -verarbeitung und -übermittlung durch die betroffene Einrichtung enthalten.
Die Verbraucher haben auch das Recht, von großen Dateninhabern im Rahmen des ADPPA zusätzlich zu den Datenschutzrichtlinien eine Kurzform des Datenschutzhinweises zu erhalten, die nicht länger als 500 Wörter ist.
Individuelle Dateneigentümerschaft und -kontrolle
Das ADPPA gewährt den Verbrauchern in Titel II, Abschnitt 203 das Recht auf Zugang, Berichtigung, Löschung und Übertragbarkeit der erfassten Daten.
Konkret können die Verbraucher:
- zweimal innerhalb von 12 Monaten kostenlos Zugang zu ihren persönlichen Daten in einem lesbaren Format, das aus dem Internet heruntergeladen werden kann.
- nachprüfbare und wesentliche Ungenauigkeiten oder unvollständige Informationen zu korrigieren und die betroffene Einrichtung anzuweisen, alle damit verbundenen Dritten oder Dienstleister zu benachrichtigen, dasselbe zu tun.
- Löschen Sie die Daten, die eine betroffene Einrichtung über sie gesammelt hat, und weisen Sie sie an, alle damit verbundenen Dritten oder Dienstleister zu benachrichtigen, dasselbe zu tun.
- wenn technisch möglich, zu verlangen, dass eine betroffene Einrichtung ihre Daten in einem portablen, strukturierten, interoperablen und maschinenlesbaren Format an die Person oder eine andere Einrichtung exportiert.
Qualifizierte Kleinunternehmen sind von der Befolgung dieser Einzelanträge befreit.
Recht auf Zustimmung und Widerspruch
Das amerikanische Datenschutzgesetz (American Data Privacy and Protection Act) räumt den Verbrauchern in Titel II, Teil 204 das Recht auf Zustimmung und Widerspruch ein .
Insbesondere können die Verbraucher ihre Zustimmung verweigern (auch: widersprechen):
- Übermittlung ihrer Daten an einen Dritten
- Gezielte Werbung
Die Verbraucher haben auch das Recht auf "individuelle Autonomie", was bedeutet, dass die betroffenen Einrichtungen nicht versuchen dürfen, den Verbraucher zu zwingen, Entscheidungen zu treffen:
- Verwendung falscher, fiktiver, betrügerischer oder irreführender Aussagen oder Darstellungen
- Gestaltung, Änderung oder Manipulation der Benutzeroberfläche mit dem Ziel, die Autonomie einer Person, ihre Entscheidungsfreiheit oder ihre Wahl zur Ausübung ihrer Rechte zu verschleiern, zu untergraben oder zu beeinträchtigen
Datenschutz für Kinder und Minderjährige
Das ADPPA beschreibt auch zusätzliche Rechte bezüglich des Datenschutzes für Kinder und Minderjährige.
Insbesondere dürfen die betroffenen Einrichtungen keine gezielte Werbung betreiben, wenn es sich bei der betroffenen Person um einen Minderjährigen unter 17 Jahren handelt.
Die betroffenen Einrichtungen dürfen auch keine Daten von Minderjährigen übermitteln, ohne die ausdrückliche, bestätigende Zustimmung des gesetzlichen Vertreters einzuholen.
ADPPA im Vergleich zu einigen der größten Datenschutzgesetze
Als nächstes wollen wir das vorgeschlagene ADPPA mit anderen wichtigen Datenschutzgesetzen weltweit vergleichen.
ADPPA vs. DSGVO
Das ADPPA ähnelt der Allgemeinen Datenschutzverordnung der Europäischen Union (EU) (DSGVO), ihrem führenden Datenschutzgesetz.
Es gibt jedoch auch einige bemerkenswerte Unterschiede.
In beiden Gesetzen werden die Grundsätze der Transparenz der Datenverarbeitungsaktivitäten eines Unternehmens festgelegt und Datenschutzhinweise (oder -richtlinien) gefordert.
Sie beschreiben jeweils die Anforderungen an die Datenminimierung hinsichtlich der Erfassung von Informationen, die "verhältnismäßig" und "notwendig" sind.
Darüber hinaus gewähren sie den geschützten Personen ähnliche Rechte, d. h. das Recht auf Auskunft, Löschung oder Berichtigung von Daten und auf Datenübertragbarkeit.
Es gibt jedoch einige wesentliche Unterschiede:
- Die ADPPA-Definition des Begriffs "Einzelperson" scheint nicht den gleichen extraterritorialen Geltungsbereich zu haben wie die DSGVO -Definition des Begriffs "betroffene Person".
- Die Definition von "personenbezogenen Daten" unter DSGVO ist weiter gefasst und enthält weniger Ausnahmen als die ADPPA-Definition von "erfassten Daten".
- Der Begriff "erfasste Stelle" im ADPPA gilt nicht für Regierungsbehörden, während die Definition des Begriffs "für die Verarbeitung Verantwortlicher" unter DSGVO gilt.
- Das ADPPA sieht Ausnahmeregelungen für kleine Unternehmen vor, und die Website DSGVO hat nicht die gleiche Wirkung.
ADPPA vs. PIPEDA
Der größte Teil Kanadas unterliegt dem Personal Information Protection and Electronic Documents Act(PIPEDA), einem Gesetz, das einige Ähnlichkeiten mit dem ADPPA aufweist, sich aber auch stark unterscheidet.
Beide Gesetze schaffen Grundregeln für Unternehmen, die mit personenbezogenen Daten von Einzelpersonen umgehen.
Wie das ADPPA verlangt auch PIPEDA von den betroffenen Einrichtungen, dass sie für den Schutz personenbezogener Daten verantwortlich sind und diese sicher aufbewahren.
Ein wesentlicher Unterschied betrifft jedoch ihren rechtlichen Geltungsbereich.
Die Reichweite des PIPEDA-Schutzes ist begrenzt, selbst in Kanada. An einigen Orten haben die Gesetze der Provinzen mehr Macht als PIPEDA. Es wirkt sich auch nur auf gewinnorientierte, kommerzielle Aktivitäten im privaten Sektor aus.
Andererseits würde das ADPPA für jede natürliche Person mit Wohnsitz in Amerika gelten.
Es gibt zwar Ausnahmen, was als erfasste Einrichtung oder erfasste Daten gilt, aber es berücksichtigt sowohl den öffentlichen als auch den privaten Sektor.
ADPPA vs. CCPA
Wie verhält sich nun Amerikas erstes potenzielles Bundesgesetz im Vergleich zum California Consumer Protection Act(CCPA)- einem Gesetz aus dem Jahr 2018, das einst als "Amerikas DSGVO" bezeichnet wurde?
Beide räumen den Verbrauchern das Recht ein, auf ihre Daten zuzugreifen, sie zu berichtigen oder zu löschen, und enthalten Bestimmungen über Datenschutzhinweise und -richtlinien. Sie enthalten auch ähnliche Beschreibungen von Sicherheitsanforderungen, obwohl das ADPPA mehr Einzelheiten aufführt als das CCPA.
Der kalifornische Gesetzgeber behauptet jedoch, dass die Anforderungen des CCPA strenger sind als die des ADPPA, und zwar in folgender Hinsicht
- Das CCPA sieht Verpflichtungen für Drittverarbeiter vor, die in der aktuellen Fassung des ADPPA nicht enthalten sind.
- Das ADPPA schließt Beschäftigtendaten aus seinem Geltungsbereich aus, einschließlich der Daten von Auftragnehmern, was im Rahmen des CCPA nicht der Fall ist.
- Mit den jüngsten CCPA-Änderungen wurde die California Privacy Protection Agency(CPPA) geschaffen, eine Gruppe von fünf Vorstandsmitgliedern, die das Gesetz umsetzen und durchsetzen.
- Das ADPPA sieht jedoch keine spezielle Behörde für die Durchsetzung des Gesetzes vor und ist stattdessen von der Kommission und den Generalstaatsanwaltschaften der Bundesstaaten abhängig.
Zukunftsperspektiven des ADPPA
Der American Data Privacy and Protection Act steht an einem entscheidenden Punkt, an dem Vorrechte, Innovationen, neue Technologien und Schutzlücken im Vordergrund stehen.
Es ist jedoch sehr wahrscheinlich, dass etwas, das der aktuellen Version des ADPPA ähnelt, Amerikas erstes Bundesdatenschutzgesetz sein wird.
Aber im Moment ist es eher eine Frage des Zeitpunkts, der noch einige Jahre dauern kann.
Nach dem Ende des 117. Kongresses im Januar 2023 erklärten die amerikanischen Gesetzgeber, der Datenschutz werde weiterhin höchste Priorität haben. Doch das ADPPA steht noch nicht zur Diskussion.
Sobald sie wieder auf dem Plan steht, könnten sich noch einige Details ändern, z. B. ob Einzelpersonen ein privates Klagerecht eingeräumt wird oder ob sie den Datenschutzgesetzen der Bundesstaaten vorgeht.
Aber insgesamt wurde das ADPPA in seiner jetzigen Fassung von beiden Seiten des politischen Spektrums positiv aufgenommen.
Zusammenfassung
Es ist unklar, wann Amerika ein Bundesdatenschutzgesetz verabschieden wird, aber die aktuelle Version des ADPPA gibt einen guten Einblick, wie es wahrscheinlich aussehen wird.
Amerikas erstes offizielles Bundesgesetz muss einen umfassenden Schutz gewährleisten und darf keinen Raum für Unternehmen lassen, Unklarheiten zum Nachteil der Verbraucher auszunutzen.
Sie sollte einen sinnvollen Grundstock an Datenschutzrechten schaffen und gleichzeitig die staatlichen Regulierungsbehörden ermächtigen, auf spezifische regionale Belange einzugehen.
Der Schutz der Privatsphäre im digitalen Zeitalter ist komplex und erfordert eine sorgfältige Navigation.
Es ist von entscheidender Bedeutung, ein Gleichgewicht zwischen Bundes- und Landesbehörden herzustellen, Innovationen zu fördern und der Technologie voraus zu sein, um einen angemessenen Datenschutz zu gewährleisten.
In der Zwischenzeit werden wir das ADPPA weiter verfolgen, während es sich auf dem Weg zu einem möglichen Gesetz befindet (oder auch nicht).