Ein Entwurf einer parteiübergreifendes, umfassendes Bundesgesetz zum Datenschutz wurde am Freitag, dem 3. Juni, veröffentlicht. Der Gesetzesentwurf mit dem Titel „American Data Privacy and Protection Act“ soll „Verbrauchern grundlegende Datenschutzrechte gewähren, starke Kontrollmechanismen schaffen und eine wirksame Durchsetzung sicherstellen“.
Der Gesetzesentwurf enthält eine Reihe von Definitionen, darunter eine Reihe von Begriffen, die in den Nachrichten zum Thema Datenschutz immer wieder auftauchen, wie etwa „biometrische Informationen“, „genetische Informationen“ und „gezielte Werbung“.
Unterteilt in vier Abschnitte, Verbraucherdatenrechte würde das Recht beinhalten:
- Zugriff auf bestimmte Daten einer abgedeckten Entität;
- Korrigieren Sie ungenaue oder unvollständige Informationen in diesen Daten;
- Löschen der betroffenen Daten; und
- Empfangen Sie solche Daten in einem portablen Format.
Die Zeitspanne, die den betroffenen Unternehmen zur Beantwortung einer individuellen Verbraucheranfrage zur Verfügung steht, hängt von der Größe des Unternehmens ab (z. B. haben „große Dateninhaber“ ab der Überprüfung der Anfrage 30 Tage Zeit).
Darüber hinaus müssen die betroffenen Unternehmen auch das Recht des Verbrauchers einhalten, der Verarbeitung sensibler Daten zuzustimmen bzw. zu widersprechen. Außerdem müssen sie Mechanismen bereitstellen, mit denen Verbraucher der Übertragung abgedeckter Daten und gezielter Werbung widersprechen können.
Weitere wichtige Bestimmungen in Titel II des Gesetzesentwurfs sind unter anderem:
- Spezifischer Datenschutz für Kinder und Minderjährige;
- Verpflichtungen für abgedeckte Drittunternehmen;
- Anweisungen zu Datenschutzhinweisen und -richtlinien;
- Anforderungen an Datensicherheits- und Schutzprogramme; und
- Klauseln zum Schutz der Bürgerrechte und zu Algorithmen, einschließlich der Notwendigkeit für die betroffenen Unternehmen, Folgenabschätzungen zu Algorithmen durchzuführen.
Titel III des Entwurfs würde Unternehmen und ihre Führungskräfte dazu verpflichten, der FTC zu bescheinigen, dass sie angemessene Kontrollmechanismen gemäß den gesetzlichen Vorgaben implementiert und Berichtsstrukturen eingerichtet haben, die die Einhaltung der Bestimmungen gewährleisten. Zu den wichtigen Anforderungen für betroffene Unternehmen zählen:
- Die Benennung mindestens eines Datenschutzbeauftragten und eines Datenschutzbeauftragten;
- Die Implementierung eines Datenschutzprogramms und eines Datensicherheitsprogramms; und
- Legt zusätzliche Anforderungen für betroffene Unternehmen fest, die als „große Dateninhaber“ gelten, wie im Gesetzentwurf definiert.
Unternehmen, die als große Dateninhaber gelten, wären außerdem verpflichtet, Datenschutz-Folgenabschätzungen („DSFA“) die aufkommende Technologien wie Blockchain oder andere Fortschritte berücksichtigen, „die [von großen Dateninhabern] zur Sicherung geschützter Daten verwendet werden“.
Dem aktuellen Entwurf zufolge soll die FTC die Vollmacht erhalten, das Gesetz durchzusetzen. Zudem soll sie verpflichtet werden, spätestens ein Jahr nach Inkrafttreten des Gesetzes ein neues Büro einzurichten, das sie bei dieser Aufgabe unterstützt.
Der US-Generalstaatsanwalt und die Generalstaatsanwälte der Bundesstaaten (oder je nach Bundesstaat der oberste Verbraucherschutzbeauftragte) könnten zudem im Namen von Einzelpersonen und/oder Einwohnern ihrer jeweiligen Bundesstaaten Zivilklagen gegen Unternehmen einreichen, die gegen das Gesetz verstoßen. Sowohl die FTC als auch der US-Generalstaatsanwalt müssten den Betrag etwaiger Zivilstrafen oder anderer damit verbundener Entschädigungen in einen neu eingerichteten Fonds des US-Finanzministeriums einzahlen, den „Privacy and Security Victims Relief Fund“.
Der Entwurf sieht auch ein privates Klagerecht für Einzel- oder Sammelklagen vor. Diese Regelung tritt jedoch erst vier Jahre nach Inkrafttreten des Gesetzes in Kraft.
Insbesondere würde das Bundesgesetz Landesgesetze bereits durch seine Bestimmungen abgedeckt, enthält aber Ausnahmen für eine Reihe von Bundes- und Landesgesetzen in Bezug auf Datenschutz und Sicherheit, einschließlich des Rechts, im Falle einer Verletzung der Sicherheit personenbezogener Daten eine Zivilklage einzureichen (1798.150, Proposition 24, Abs. 16 (auch bekannt als Kaliforniens „CPRA“).
Autor
