Fortschritte bei der US-Datenschutzverordnung

Der Ausschuss für Energie und Handel des US-Repräsentantenhauses hat offiziell ein als „American Data Privacy and Protection Act“ (ADPPA) bezeichnetes Datenschutzgesetz eingeführt, das verspricht, die Messlatte höher zu legen und Organisationen zu einer besseren Verwaltung und einem besseren Schutz von Daten zu verpflichten.

Die aktuelle Fassung umfasst den Schutz von Bürgerrechten, der die Verwendung personenbezogener Daten, einschließlich biometrischer Daten, einschränkt, zusätzliche Beschränkungen der Datenerfassung und der Weitergabe personenbezogener Daten sowie ein Klagerecht bei Verletzungen des Datenschutzes und einen Abschnitt mit folgendem Wortlaut:

Eine darunter fallende Entität muss angemessene administrative, technische und physische Datensicherheitspraktiken und -verfahren einrichten, implementieren und aufrechterhalten, um die abgedeckten Daten vor unbefugtem Zugriff und unbefugtem Erwerb zu schützen und zu sichern.

Eine bilaterale Unterstützungserklärung, verfasst vom Vorsitzenden des Energie- und Handelsausschusses Frank Pallone (Demokrat, New Jersey), dem ranghöchsten republikanischen Mitglied Cathy McMorris Rodgers, (Republikanerin, Bundesstaat Washington) zusammen mit den Leitern des Unterausschusses für Verbraucherschutz und Handel, Jan Schakowsky (Demokratin, Illinois) und Gus Bilirakis (Republikaner, Florida), lässt vermuten, dass es jetzt nur noch eine Frage der Zeit ist, bis die Kernbestimmungen der ADPPA geltendes Recht werden. Als solches würde dieses Gesetz ein Sammelsurium an widersprüchlichen Datenschutzgesetzen ersetzen, die von verschiedenen Gesetzgebern in unterschiedlichen Bundesstaaten verabschiedet wurden und mit denen sich Unternehmen heute auseinandersetzen müssen. In dieser Hinsicht würde das ADPPA zumindest einen bedeutenden Schritt in Richtung Vereinfachung darstellen.

Aber natürlich gibt es auch das sprichwörtliche Haar in der Suppe. Während Senator Roger Wicker (Republikaner, Mississippi), das ranghöchste republikanische Mitglied des Senatsausschusses für Wissenschaft, Handel und Verkehr im US-Senat, seine Unterstützung signalisiert hat, ließ die Vorsitzende des Ausschusses, Senatorin Maria Cantwell (Demokratin, Bundesstaat Washington), durch Berater verlauten, dass sie eine andere Version des Gesetzentwurfs vorantreiben wird, die strengere Durchsetzungsbestimmungen enthält.

Das ADPPA lehnt sich natürlich an die von der Europäischen Union verabschiedete Datenschutz-Grundverordnung (DSGVO) an, sodass viele größere Unternehmen, die in Europa tätig sind, bereits den Großteil der DSGVO-Bestimmungen einhalten. Das ADPPA ist jedoch nicht so umfassend und präskriptiv wie die Datenschutz-Grundverordnung, d. h. dass weder die Kosten für die Einhaltung noch die Strafen so hoch sind.

Es gibt jedoch viele Unternehmen in den USA, die keine Transaktionen in Europa durchführen, sodass das ADPPA von ihnen erhebliche Anpassungen bei der Verwaltung und dem Schutz von Daten verlangen wird. Die Wahrheit ist, dass die meisten Unternehmen nicht besonders gut in der Verwaltung von Daten, geschweige denn im Schutz von Daten sind. Alle Arten von sensiblen Daten befinden sich in allen Bereichen, von E-Mails bis hin zu Tabellenkalkulationen, die auf einer Vielzahl von Endgeräten gespeichert sind. Es ist unmöglich, etwas zu verwalten oder zu schützen, wenn kaum oder gar kein Einblick in die Art und Weise besteht, wie es eingesetzt wird.

Die Ursache dieses Problems liegt darin, dass zu viele Unternehmen dazu neigen, Daten als einen Vermögenswert zu betrachten, der ihnen gehört, statt als etwas, das ihnen anvertraut wurde. Unabhängig von den Gesetzesvorschriften betrachten Einzelpersonen ihre personenbezogenen Daten zunehmend als etwas, deren Verwendung sie Unternehmen im Bedarfsfall gestatten. Jedes Mal, wenn es zu einer Datenschutzverletzung kommt, ist das Vertrauen zwischen dem Endnutzer und dem Unternehmen, das die Daten erhoben hat, mindestens erschüttert.

Verordnungen wie das ADPPA und die DSGVO sind im Wesentlichen Bemühungen, nicht nur gesetzlich zu verankern, wer Eigentümer welcher Daten ist, sondern auch in welchem Maße derjenige für deren Pflege verantwortlich ist. Im Rahmen dieser Datenschutzbestimmungen müssen die Unternehmen ihrer Verpflichtung nachkommen, ihre Cybersicherheit zu verbessern. Ob es Ihnen gefällt oder nicht: Das ist im Allgemeinen eine gute Sache für die Cybersecurity in einer Zeit, in der die aktuelle Compliance-Messlatte für die Sicherung von Daten einfach viel zu niedrig ist.