Der Aus­tausch per­so­nen­be­zo­ge­ner Daten mit US-ame­ri­ka­ni­schen Unter­neh­men wird für vie­le deut­sche Unter­neh­men All­tag sein. Nicht zuletzt ste­hen vie­le Ser­ver auf US-ame­ri­ka­ni­schem Boden.

Für die USA hat die Euro­päi­sche Kom­mis­si­on per Ange­mes­sen­heits­be­schluss ein ange­mes­se­nes Daten­schutz­ni­veau bestä­tigt, unter der Vor­aus­set­zung dass der Emp­fän­ger dem so bezeich­ne­ten US-Pri­va­cy Shield ange­hört. Vie­le Daten­schüt­zer stel­len jedoch in Fra­ge, ob man das US-ame­ri­ka­ni­sche Daten­schutz­ni­veau guten Gewis­sens dem Euro­päi­schen gleich­set­zen kann. Nicht zuletzt die in den letz­ten Mona­ten häu­fig auf­ge­tre­te­nen Daten­pan­nen gro­ßer ame­ri­ka­ni­scher Kon­zer­ne las­sen Zwei­fel auf­kom­men. Und nicht weni­ge äußern, dass es sich von Sei­ten der Euro­päi­schen Kom­mis­si­on wohl eher um eine poli­ti­sche, denn eine aus Sicht des Daten­schut­zes fun­dier­te Ent­schei­dung han­delt, den USA die Ange­mes­sen­heit des Niveaus zu bestä­ti­gen.

Die Grup­pe der „Zweif­ler“ wird sich seit letz­ter Woche eher bestä­tigt sehen.

Über 50 Schwer­ge­wich­te der US-ame­ri­ka­ni­schen Wirt­schaft haben in einem offe­nen Brief an den US-Kon­gress ein Bun­des­wei­tes Daten­schutz­ge­setz gefor­dert. Begrün­det wird dies unter ande­rem mit wirt­schaft­li­chen Argu­men­ten (feh­len­de Wett­be­werbs­fä­hig­keit ame­ri­ka­ni­scher Unter­neh­men durch die Erschwer­nis­se des Daten­schut­zes). Hin­ter­grund ist, dass zuletzt eini­ge Bun­des­staa­ten Daten­schutz­ge­set­ze erlas­sen hat­ten, teil­wei­se mit dem Vor­bild DSGVO, weil eine bun­des­wei­te Rege­lung bis­her fehlt.

Der Vor­schlag der Unter­neh­men, „Frame­work for Con­su­mer Pri­va­cy Legis­la­ti­on“ liest sich ober­fläch­lich betrach­tet zunächst so, als hät­ten die Unter­neh­men begrif­fen, dass die Sen­si­bi­li­tät für den Schutz per­so­nen­be­zo­ge­ner Daten vor­nehm­lich im letz­ten Jahr deut­lich zuge­nom­men hat. Fast wöchent­lich erschei­nen­de Pres­se­nach­rich­ten von gro­ßen Daten­pan­nen ame­ri­ka­ni­scher Kon­zer­ne dürf­ten den jewei­li­gen Public Affairs Abtei­lun­gen nicht gefal­len haben.

Wer genau­er hin­sieht wird jedoch schnell eines Bes­se­ren belehrt. Im letz­ten Satz des Doku­men­tes heißt es näm­lich: „No Pri­va­te Right of Action: A natio­nal con­su­mer pri­va­cy law should not pro­vi­de for a pri­va­te right of action.“

Mit ande­ren Wor­ten: betrof­fe­nen Per­so­nen wird kein Recht ein­ge­räumt, ihr Recht vor Gerich­ten ein­zu­kla­gen. Auch die für das US-ame­ri­ka­ni­sche Rechts­sys­tem so wich­ti­ge Mög­lich­keit, Scha­dens­er­satz ein­zu­kla­gen, ent­fällt damit wohl. Statt­des­sen sol­len Bun­des­an­wäl­te und die Han­dels­be­hör­de FTC „stell­ver­tre­tend“ für die betrof­fe­nen Per­so­nen die­se Funk­ti­on über­neh­men. Letz­te­re, die FTC, hat sich jedoch in den letz­ten Jah­ren zumin­dest im öffent­lich wahr­nehm­ba­ren Bereich nicht gera­de für die­se Rol­le prä­de­sti­niert, was wohl auch der Grund ist, wie­so die US-Kon­zer­ne die­se Vari­an­te vor­schla­gen.

Soll­te die­ses von den Groß­kon­zer­nen lob­by­ier­te „Frame­work for Con­su­mer Pri­va­cy Legis­la­ti­on“ tat­säch­lich die Basis für ein US-Bun­des­ge­setz im Daten­schutz lie­fern, könn­te man bei der Euro­päi­schen Kom­mis­si­on m.E. von einem ange­mes­senen Daten­schutz­ni­veau auch mit beson­ders aus­ge­präg­tem Wohl­wol­len nicht mehr spre­chen.