USA: Datenschutzrecht

In den USA existiert kein einheitliches Datenschutzgesetz. Vielmehr bestehen individuelle Verordnungen auf einzelstaatlicher Ebene. Immer mehr Bundesstaaten haben in jüngster Zeit Gesetze zum Schutz personenbezogener Daten verabschiedet.

Unterschiede zum europäischen Datenschutz

Der Schutz persönlicher Daten fällt in den USA in den Bereich des Verbraucherschutzes, wohingegen Datenschutz in der EU als Grundrecht eingestuft ist. So kontrolliert die US-Wettbewerbsbehörde Federal Trade Commission (FTC) die Einhaltung der Richtlinien. Die meisten einzelstaatlichen Datenschutzgesetze enthalten kein Privatklagerecht. Die Vollstreckung und Durchsetzung von Geldstrafen bei Verstößen gegen das Gesetz obliegt dem Attorney General. Neben nationalen Vorgaben wie dem Federal Trade Commission Act und den Vorgaben der Einzelstaaten existieren sektorielle Regelungen, die sich auf einzelne Branchen, Datenarten oder bestimmte Anwendergruppen beziehen, beispielsweise zum Schutz von Patientendaten oder von Kindern.

Bundesstaatliche Datenschutzgesetze

Auf einzelstaatlicher Ebene ist der California Consumer Privacy Act (CCPA) mit seiner Ergänzung, dem California Privacy Rights Act (CPRA) ein im US-weiten Vergleich sehr umfassendes Regelwerk im Verbraucherdatenschutz. Er räumt Verbrauchern in Kalifornien Betroffenenrechte wie das Recht auf Datenberichtigung und -löschung ein, die den EU-Datenschutzvorgaben nahekommen. Außerdem verpflichtet der CPRA Betriebe, Datenschutzrichtlinien zu veröffentlichen und auf Datenzugriffsanfragen von Mitarbeitern zu reagieren.
Auch Virginia hat seit dem Inkrafttreten des Virginia Consumer Data Protection Act (VCDPA) ein weitreichendes Datenschutzgesetz. Unternehmen, die in Virginia wirtschaftlich tätig sind beziehungsweise Produkte oder Dienstleistungen für Konsumenten in Virginia bereitstellen und gleichzeitig pro Kalenderjahr entweder personenbezogene Daten von mindestens 100.000 Verbrauchern oder aber personenbezogene Daten von mindestens 25.000 Verbrauchern verarbeiten und dabei über die Hälfte ihres Bruttoumsatzes mit dem Verkauf personenbezogener Daten erwirtschaften, fallen unter das Gesetz. Personenbezogene Informationen sind alle Daten, die mit einer identifizierten oder identifizierbaren Person in Verbindung zu bringen sind. Konsumenten haben im Anwendungsbereich des VCDPA das Recht zu erfragen, ob ein Unternehmen personenbezogene Daten erfasst und diese ebenfalls berichtigen oder löschen zu lassen. Unternehmen haben 45 Tage lang Zeit auf Anfragen zu reagieren.
Seit Juli 2023 ist der Colorado Privacy Act (CPA) in Kraft. Wie auch die Gesetze in Kalifornien und Virginia gewährt der CPA Verbrauchern mehr Kontrolle über ihre personenbezogenen Daten wie beispielsweise ein Recht auf Löschung. Der Anwendungsbereich definiert sich ähnlich wie in Virginia mit Bezug auf Betriebe, die im Laufe eines Kalenderjahres persönliche Daten von mindestens 100.000 Verbrauchern verarbeiten oder Einnahmen aus dem Verkauf von personenbezogenen Daten erzielen und dabei Daten von mindestens 25.000 Verbraucher verarbeiten.
Das Datenschutzvorhaben des Bundesstaates Connecticut hat ebenfalls im Juli 2023 Wirksamkeit erlangt. In der Ausgestaltung orientiert es sich stark an den Inhalten des VCDPA und des CPA.
Auch der Bundesstaat Utah spricht Verbrauchern über den Utah Consumer Privacy Act (UCPA) Rechte zu, die den drei zuvor genannten Regelungen sehr ähnlich sind – darunter ein Auskunftsrecht und ein Recht auf Datenlöschung. Doch es gibt auch Unterschiede: Ein Recht auf Berichtigung bereits erfasster Daten ist im UCPA nicht enthalten. Außerdem müssen Unternehmen dort keine Risikobewertungen zu ihren internen Datenverarbeitungspraktiken vornehmen.
Im Bundesstaat New York kommt seit einigen Jahren der SHIELD Act (Stop Hacks and Improve Electronic Data Security Act) zur Anwendung. Er verpflichtet Firmen, jedwede Sicherheitsverletzung gegenüber den Einwohnern New Yorks, deren Daten kompromittiert wurden, offenzulegen.
Die Gouverneure der Bundesstaaten Florida, Oregon und Texas sind ebenfalls in den letzten Jahren nachgezogen und haben jeweils Gesetze unterzeichnet, die sich auf den Schutz personenbezogener Daten beziehen. So ist im Juli 2024 die Florida Digital Bill of Rights in Kraft getreten, ebenso wie der Texas Data Privacy and Security Act im zweitgrößten US-Bundesstaat ab Mitte 2024 gilt. Der Oregon Consumer Privacy Act ist seit 1. Juli 2024 in Kraft.

Künftige Datenschutzvorhaben

Mit Iowa, Indiana, Tennessee, Maryland und Nebraska haben weitere Bundesstaaten umfassende Datenschutzgesetze erlassen. Die Datenschutzgesetze von Iowa, Tennessee, Maryland und Nebraska werden im Jahr 2025 in Kraft treten. In Indiana wird das entsprechende Gesetzt erst im Jahr 2026 wirksam.
Der Montana Consumer Data Privacy Act (MCDPA), der bereits ab dem 1. Oktober 2024 gilt, ist besonders verbraucherfreundlich. Er betrifft eine relativ hohe Anzahl von Unternehmen, da er vergleichsweise niedrige Schwellenwerte im Anwendungsbereich ansetzt. So sind beispielsweise alle Firmen betroffen, die in Montana geschäftlich tätig sind oder Produkte oder Dienstleistungen an die Einwohner des Bundesstaates veräußern und die persönlichen Daten von mindestens 50.000 Einwohner kontrollieren oder verarbeiten.
Tim Walz, Gouverneur von Minnesota, hat im Frühjahr 2024 den Minnesota Consumer Data Privacy Act unterzeichnet. Der Act ähnelt den Gesetzen in Maryland und New Hampshire und wird voraussichtlich Ende Juli 2025 in Kraft treten.
Im Osten der USA sind mittlerweile ebenfalls bundesstaatliche Datenschutzgesetze hinzugekommen. Diese dürften in 2025 unter anderem in Delaware, New Jersey und New Hampshire in Umsetzung gehen. Kentucky hat im April 2024 ein Datenschutzgesetz auf den Weg gebracht, welches zum 1. Januar 2026 wirksam wird. Zu diesem Termin soll auch der Rhode Island Data Transparency and Privacy Protection Act in Kraft treten.

Was es zu beachten gilt

Zwar besteht in den USA bislang kein einheitlich geltendes Datenschutzgesetz, das mit der europäischen Datenschutzgrundverordnung (DSGVO) vergleichbar wäre. Nichtsdestotrotz ist der Schutz personenbezogener Daten in den Vereinigten Staaten nicht gänzlich ungeregelt. Die genannten Unterschiede und die fragmentierte Gesetzeslandschaft der USA verdeutlichen, dass Firmen die datenschutzrelevante Grundlage auf Einzelstaatenebene genau im Blick haben müssen. Grundsätzlich sollte analysiert werden, ob das Unternehmen dem Datenschutzgesetz des jeweiligen Staates überhaupt unterliegt. Die meisten Gesetze sehen gewisse Schwellenwerte hinsichtlich des Umsatzes oder der betroffenen Personen vor und greifen daher nicht automatisch für alle Unternehmen mit Aktivitäten in entsprechenden Staat. Oftmals gibt es auch für bestimmte Organisations- und Datenarten Ausnahmen. Da die Regelungen jedoch stets angepasst oder erweitert werden können, ist dahingehend eine regelmäßige Prüfung zu empfehlen. Der US State Privacy Legislation Tracker bietet einen Übersicht über bestehende und angekündigte Datenschutzbestimmungen, deren Anwendungsbereiche und Einzelheiten.
Für die nahe Zukunft ist eine Zunahme von Datenschutzgesetzen in den US-Bundesstaaten zu erwarten. So diskutieren zahlreiche weitere Bundesstaaten derzeit die Einführung von eigenen Bestimmungen. Außerdem wird mit dem American Privacy Rights Act (APRA) derzeit ein umfassendes föderales Datenschutzvorhaben im Kongress diskutiert, das bei Inkrafttreten Vorrang vor den meisten Regelungen der bundesstaatlichen Gesetze hätte. APRA soll demnach eine klare, einheitliche Rechtsgrundlage schaffen, würde in einigen Bereichen der europäischen DSGVO ähneln und von der Federal Trade Commission (FTC) durchgesetzt werden. Ob der überparteiliche Entwurf tatsächlich als Gesetz verabschiedet wird, ist aktuell auch aufgrund der anstehenden US-Wahlen noch unsicher.