Verbraucherdatenschutzrecht - US-Data Protection – New data privacy legislation – Post-Privacy-Shield & Cross-Boarder
Obgleich der EuGH im Juli 2020[1] mit Kippen des EU-US Privacy Shields 2020 den Vereinigten Staaten von Amerika ein „gemessen am Niveau der DS-GVO nicht ausreichend hohes Schutzniveau für Daten“ attestiert hat, was zum größten Teil auf die legislativ festgelegten großen Handlungsspielräume der Geheimdienste und anderer staatlicher Behörden zurückzuführen ist, kann nicht behauptet werden, dass die USA eine die Freiheitsrechte und Privatheit negierende Nation wären, in der Datenschutz nicht zum Tragen käme. Das Datenschutz-Image der USA ist nicht nur aufgrund der Marktmacht von Technologiekonzernen wie Google, Amazon, Facebook & Co. und Big Data-Entwicklungen sowie politischen Instrumenten zur Terrorbekämpfung (Department of Homeland Security)[2] u.a. bei Datenschützern weltweit nicht top gerankt. Grundlage ist im Wesentlichen der USA PATRIOT Act, ein Gesetz, das nach den Terroranschlägen vom 11.09.2001 zur Terrorabwehr verabschiedet wurde und die Befugnisse der Sicherheitsbehörden massiv ausweitet. Da über strukturelle Defizite und die US-Datenschutzkluft[3] bereits viel geschrieben wurde, die Administration Trump ebenfalls abgelöst wurde, sollen nachfolgend positivistisch nur konstruktive US-Datenschutzbeispiele thematisiert werden.
Im Rechtsvergleich mit der EU auf Basis der DS-GVO hinken die USA als gegenwärtig „unsicherer Drittstaat“ zwar hinter dem hohen EU-Schutzniveau rechtlich und in technisch-organisatorischer Hinsicht hinterher, aber es gibt Lichtblicke im Sinne der Verteidigung des Datenschutzes. Das Datenschutzrecht wird in Deutschland seit dem wegweisenden Volkszählungsurteil des BVerfG[4] mit dem allgemeinen Persönlichkeitsrecht (APR), Art. 2 Abs. 1 GG in Verbindung mit Art. 1 Abs. 1 GG, der sog. informationellen Selbstbestimmung, begründet. In den USA geht der Datenschutz – verkürzt gesagt – rechtsdogmatisch auch auf elementare bürgerliche Freiheiten zurück, auch wenn diese nicht explizit, sondern in verfassungsimmanenter Auslegung begründet werden seit einer Entscheidung des Obersten Gerichtshof der Vereinigten Staaten[5] im Fall Griswold v. Connecticut 1965, wonach dem Einzelnen ein Recht auf Privatsphäre zugestehe. Zu einer in allen US-Bundesstaaten gleichermaßen verankerten verfassungsrechtlichen Legitimation hat dies zwar trotz diverser Diskussionen und rühmlicher Ausnahmen noch nicht geführt, aber in den unterschiedlichsten 50 US-Staaten sprießen gegenwärtig neue Verbraucherdatenschutzgesetze. (...)
Aus der Inhaltsübersicht:
I. Post-Privacy-Shield & Cross-Boarder: Rechtsvergleiche lohnen
II. Virginia: Virginia Consumer Data Protection Act (VCDPA)
III. Kalifornien: Californian Consumer Privacy Act (CCPA) & Californian Privacy Rights Act (CPRA)
IV. Colorado: Colorado Privacy Act (CPA)
V. Ausblick
Isabel Ledig-Sturm, Diplom-Juristin, Magister Iuris, Maître en droit und Zertifizierte Datenschutzbeauftragte (DEKRA), und Dr. Thomas A. Degen, Fachanwalt IT-Recht, Zertifizierter Datenschutzbeauftragter TÜV Süd (DSB-TÜV) und Lehrbeauftragter der Dualen Hochschule Baden-Württemberg Stuttgart, vertiefen die aktuelle Thematik an Hand konkreter Praxis- und Rechtsausführungen in dem Beitrag "Datenschutz international: Verbraucherdatenschutzrecht - US-Data Protection for a better Future – New data privacy legislation – Cross-Boarder "- Reihe "Datenschutz International", a p f 2021, 329
[1] EuGH, Urteil vom 16.07.2020 - C‑311/18 im Verfahren Data Protection Commissioner gegen Facebook Ireland Ltd, Maximillian Schrems, Beteiligte: The United States of America, Electronic Privacy Information Centre, BSA Business Software Alliance Inc., Digitaleurope.
[3] Vgl. z.B. https://www.marktundmittelstand.de/recht-steuern/goodbye-privacy-datenschutz-unter-trump-1253921.
[4] BVerfG, Urteil vom 13.04.1983 - 1 BvR 209/83 - 1 BvR 269/83 = NJW 1983, 1307
[5] Im Fall Estelle T. Griswold and C. Lee Buxton v. Connecticut, 381 U.S. 479 (1965), vgl. https://de.wikipedia.org/wiki/Griswold_v._Connecticut.