Unter BigIDeas für unterwegs, Mary Stone Ross, Co-Autorin des Kalifornisches Verbraucherschutzgesetz (CCPA) und ehemalige Präsidentin von Californians for Consumer Privacy spricht darüber, wie sie von der „Gegenseite“ als Spionageabwehranalystin der CIA in den Datenschutzbereich einstieg.
Ein „schreckliches“ Problem, das es zu lösen gilt
In einer Vor-Cambridge Analytica Weltweit läuft die allgemeine Meinung zum Thema Datenschutz auf Folgendes hinaus: „Wenn Sie etwas privat halten wollen, dann stellen Sie es einfach nicht ins Internet.“
Nachdem Ross sich mit dem Thema Datenschutz auseinandergesetzt hatte – und über ein fundiertes Wissen in Politik und Recht verfügte –, „fing er an, sich damit zu befassen und herauszufinden, ob es hier überhaupt ein Problem gibt? Gibt es ein Problem, das wir zu lösen versuchen?“
Als ehemaliges Mitglied des Geheimdienstausschusses des Repräsentantenhauses, der an der Überwachung des Abhörprogramms der NSA beteiligt war, das Edward Snowden später an die Öffentlichkeit brachte, verfügte Ross über einzigartige Einblicke in das mögliche Problem.
„Ehrlich gesagt waren wir darüber nicht besonders besorgt“, sagt Ross damals über das Programm. „Es gab zahlreiche Kontrollmechanismen, um die Verwendung dieser Informationen zu kontrollieren und sicherzustellen, dass sie nicht zu weit gingen.“
Aus Ross‘ Sicht waren viele der entscheidenden Probleme auf Versehen zurückzuführen. „Als ich mit der Recherche begann und sah, wie viele Informationen diese großen Unternehmen sammelten und die Detailgenauigkeit, es hat mich wirklich erschreckt. Und als ich sah, wie viele Informationen – Dinge wie Gesundheitsinformationen und präzise Geolokalisierungsinformationen – da draußen waren und niemand den Überblick darüber hatte oder wusste, wie sie verwendet wurden, wusste ich, dass dies das Problem war, das wir lösen mussten.“
Vom Datenschutzbeauftragten zum CCPA-Aktionär
Ross begann mit der Forschung für CCPA im Jahr 2016. „Man hört ständig: ‚Oh, es wurde in einer Woche verabschiedet – es wurde in einer Woche geschrieben!‘ Und das könnte nicht weiter von der Wahrheit entfernt sein.“
In enger Zusammenarbeit mit der ACLU, der EFF und zahlreichen Datenschutzorganisationen „haben wir wirklich versucht, rücksichtsvoll zu sein und die Dinge anders anzugehen.“
CCPA begann als Informationsfreiheitsgesetz für private Unternehmen. „Die Idee war, dass man zu jedem Unternehmen gehen und fragen konnte: ‚Was wissen Sie über mich?‘ und sie müssten es dir sagen.
„Selbst für Leute, die vielleicht nicht interessiert sind oder keine Zeit haben, diese Dinge zu tun, ist es eine Kontrolle für diese Unternehmen…. Wenn sie müssen in einfacher Sprache offenlegen was sie sammeln und was sie mit diesen Informationen machen, wird es zu einer Soft-Powered-Kontrolle. Vielleicht gibt es bestimmte Arten von Informationen Sie wollen das Geld nicht eintreiben, weil sie nicht wollen, dass es an die Öffentlichkeit gelangt.“
CCPA: Was hat funktioniert?
Von den Verbrauchern Rechte an ihren Daten Neben den Offenlegungspflichten für Unternehmen hat das CCPA wichtige Regelungen geschaffen.
„Was man hinter den Kulissen nicht sieht, ist, dass es viele Unternehmen gibt, die zum ersten Mal darüber nachgedacht haben: ‚Welche Informationen sammeln wir über Menschen?‘“ Organisationen begannen Kartierung ihrer Daten und ihre internen Prozesse zu verbessern – nicht nur für die Aufsichtsbehörden, sondern auch für ihr öffentliches Image.
Unter dem CCPA mussten Unternehmen überlegen: Welche Informationen haben wir? Brauchen wir sie? Und wenn nicht, sollten wir werde es los„Das war ein riesiger Triumph“, sagt Ross.
CCPA: Was hat nicht funktioniert?
Nach Ansicht von Ross litt die Durchsetzung im Rahmen des CCPA unter legislativen Kompromissen, die Einzelpersonen und Beamten das Recht nahmen, rechtliche Schritte gegen nicht konforme Organisationen einzuleiten.
Die Initiative hatte eine sehr strenge Durchsetzung. Wir ermöglichten ein privates Klagerecht, das bedeutete, dass jede Person, die durch einen Verstoß gegen den CCPA geschädigt wurde, Klage einreichen konnte. Dieses Recht wurde abgeschafft.
Auch Bezirks- und Stadtanwälte sowie Staatsanwälte haben nicht mehr das Recht, rechtliche Schritte einzuleiten – nur noch der Generalstaatsanwalt von Kalifornien. „Ich halte großen Wert auf Generalstaatsanwalt [Xavier] Becerra und die Leute in seinem Büro, die wirklich sehr deutlich signalisiert haben, dass sie dieses Gesetz durchsetzen wollen, und zwar ernsthaft“, sagt Ross.
Das Problem ist, dass die Ressourcen des Generalstaatsanwalts begrenzt sind. Sehr begrenzt – sie reichen für etwa drei Durchsetzungsmaßnahmen pro Jahr. Daher unternehmen viele Unternehmen nur das Nötigste, gehen davon aus, nicht zu diesen drei Maßnahmen zu gehören, und setzen auf die Wahrscheinlichkeit.
Wird CPRA das „Durchsetzungsproblem“ lösen?
Während die jüngste Datenschutzinitiative aus Kalifornien, der California Privacy Rights Act (CPRA), darauf abzielt, CCPA „echte Zähne“ verleihen Ross hat Bedenken hinsichtlich der Einrichtung einer neuen Agentur, die sich ausschließlich der Durchsetzung der Vorschriften widmet.
„Ich finde es großartig, dass es eine neue kalifornische Datenschutzbehörde gibt“, sagt Ross, „aber so wie die neue Initiative formuliert ist, ist das Budget auf 1TP4B10 Millionen pro Jahr begrenzt.“
Im Gegensatz dazu „beträgt das Budget der FTC über 143 Milliarden TP2 pro Jahr, und alle sind sich einig, dass das nicht ausreicht, um alle notwendigen Durchsetzungsmaßnahmen zu ergreifen. Daher sind 141 Milliarden TP2 wirklich ein geringer Betrag. Vielleicht reicht es, um eine Behörde zu finanzieren, aber ich verstehe einfach nicht, warum man das Budget so gering begrenzen sollte, wenn das Ausmaß des Problems so groß ist.“
Die Zukunft der Bundesregulierung
Ähnlich wie andere Initiativen, die in Kalifornien ihren Ursprung hatten – wie strengere Abgasnormen für Autos und Benachrichtigung über Verstöße Anforderungen – Ross sah voraus, landesweite Verbreitung und Auswirkungen, die CCPA über die Grenzen Kaliforniens hinaus hätte.
Als ehemalige Bundesbeamtin und aktive Verfechterin des Datenschutzes betrachtet sie dies als positives Zeichen für eine mögliche Bundesgesetzgebung, die die landesweiten Regelungen ersetzen würde.
In Washington werden weiterhin etliche neue Datenschutzgesetze verabschiedet. Ich gehe davon aus, dass es in den nächsten Jahren umfassende bundesweite Datenschutzgesetze geben wird. Es geht um mehr als nur CCPA und CPRA. Auch andere Bundesstaaten setzen bereits entsprechende Maßnahmen. Ich glaube, die Branche fürchtet einen Flickenteppich aus 50 Bundesstaaten. Aus geschäftlicher Sicht wird es dadurch deutlich schwieriger, die Vorschriften einzuhalten.
Ross betont, dass die Vorteile eines verantwortungsvollen Datenschutzes in öffentlichem Vertrauen, einfacheren Geschäftsprozessen und einem entscheidenden Wettbewerbsvorteil liegen. „Datenschutz“, sagt sie, „ist tatsächlich ein sehr gutes Geschäft.“
Hören Sie das ganze Interview um mehr darüber zu erfahren, wie Ross Unternehmen dabei hilft, sich im Datenschutzrecht zurechtzufinden, und in welche Richtung sich die Lage im Datenschutz ihrer Meinung nach entwickelt.