Vorgeschlagener Washington Privacy Act verstärkt Rufe nach Nationalem Gesetz

Im Fahrwasser der EU-DSGVO und des California Consumer Privacy Act (CCPA) fügt sich nun auch der Bundesstaat Washington in die wachsende Gruppe von US-Staaten, die Vorschläge für eigene Datenschutzgesetze diskutieren. Die im Januar 2019 eingebrachte Gesetzesvorlage bezieht sich auf Unternehmen, die Daten von zumindest 25.000 Konsumenten speichern oder verarbeiten und hat etliche Aspekte, darunter die Definition persönlicher Daten, mit der DSGVO und/oder dem CCPA gemeinsam. Wie der CCPA würde das vorgeschlagene Washingtoner Gesetz die Rechte von Konsumenten in Punkto Zugriff, Portabilität, Korrektur und Löschung ihrer Daten sowie das Widerspruchsrecht gegen die Verarbeitung samt Strafen im Fall von Übertretungen regeln.

Zusätzlich beschäftigt sich der Washington Privacy Act mit Verpflichtungen in Bezug auf digitales Profiling und Gesichtserkennung, und in diesen Bereichen unterscheidet er sich deutlich von anderen existierenden und vorgeschlagenen Regelungen. Gleiches gilt dafür, dass er kein Recht auf privatrechtliches Vorgehen beinhaltet.

Trotz prinzipieller Zustimmung zur Notwendigkeit besseren Datenschutzes haben Interessenvertreter aus Industrie und Öffentlichkeit Bedenken betreffend der geplanten Complianceverpflichtungen für KMUs und die unklaren Konsequenzen von Überlappungen mit bestehenden nationalen Datenschutzgesetzen angemeldet. Vor allem jedoch trägt das Gesetzesvorhaben in einem weiteren Bundesstaat zur Sorge über ein verwirrendes und kostspieliges Flickwerk unterschiedlicher Datenschutzverpflichtungen innerhalb der Vereinigten Staaten bei und verleiht dem Ruf nach einem bundesweiten Gesetz zum Thema, das Regelungen in den Einzelstaaten übergeordnet ist oder zumindest eine Grundsatzregelung schafft, neuen Wind. 

Obwohl der Druck – vor allem von großen Unternehmen aus dem Cloud- und Datenverarbeitungsbereich – zur Schaffung einer einheitlichen Datenschutzregelung in den vergangenen Monaten zugenommen hat, ist bislang kein alle notwendigen Aspekte samt Strafen umfassender Gesetzesvorschlag im Kongress eingebracht worden. In Anbetracht des Tempos, in dem die Mühlen des Lobbyings und der Gesetzgebung in der Hauptstadt mahlen, kann es noch eine ganze Weile dauern, bis eine einheitliche Vorschrift beschlossen wird – dennoch scheint sie im Lichte der jüngsten Entwicklungen mittlerweile unausweichlich.

Viele Datenschutzjuristen empfehlen ihren US-Kunden bereits jetzt mit allgemeinen Vorbereitungen für die Einhaltung von Regeln ähnlich denen in bestehenden Datenschutzgesetzen zu beginnen, so sie das noch nicht getan haben: Systematische Überprüfung ihrer derzeitigen Datenschutz- und Datenverarbeitungspraktiken, Risikoeinschätzungen, Implementierung robuster Datensicherheitsstrategien sowie Beschäftigung mit der Frage, wie mit datenbezogenen Anfragen von Konsumenten umzugehen ist.

Es ist sicherlich vorteilhaft, diese Hausaufgaben schon jetzt zu machen um auf die konkreten Verpflichtungen, die früher oder später sicher kommen werden, optimal vorbereitet zu sein.

Ganz deutlich zeigt sich an dieser Stelle, welche Vorreiterrolle die europäische DSGVO einnimmt. Mit ihrer Grundverordnung hat die EU eine „best practice“ dafür vorgegeben, wie man sich des Themas Schutz von personenbezogenen Daten umfassend, ernsthaft und einheitlich annehmen sollte. Sie stellt einen großartigen Erfolg gemeinsamer europäischer Wirtschaftspolitik dar, der letztlich trotz zahlreicher Verhinderungsversuche errungen werden konnte.

Viele Themen, die sich aus der digitalen Transformation ergeben, lassen sich eben nur auf überregionaler Ebene sinnvoll regeln. Der nationalistische Wunsch, sich individuelle und lokale rechtliche, steuerliche oder wirtschaftliche Vorteile zu verschaffen, ist bei globalen Entwicklungen meist von Nachteil – und zwar sowohl für die Menschen als auch für die Wirtschaft. Leider haben viele der aktuell am lautesten polternden Politiker scheinbar noch immer nicht verstanden, welchen Schaden sie diesbezüglich anrichten.