Dass Daten in den USA gut geschützt sind, glaubt in der EU seit dem Bekanntwerden der Spionage-Praktiken von US-Geheimdiensten kaum noch jemand. Was es schwierig macht, in Sachen Datenschutz auf einen gemeinsamen Nenner zu kommen, sind die unterschiedlichen Konzepte, die ihm in den beiden Kulturkreisen zugrunde liegen.
In Europa bzw. in der EU beruht Datenschutz auf der unveräußerlichen Würde des Menschen. Sie führt zum Grundrecht auf informationelle Selbstbestimmung und zum Recht darauf, dass bei der Verarbeitung von personenbezogenen Daten ihre Vertraulichkeit und Integrität sichergestellt sind. Dieses Grundrecht ist einklagbar; es wird durch die DSGVO EU-gestärkt und seine Einhaltung von unabhängigen Instanzen überwacht. In den USA hingegen steht der Schutz von Freiheit im Vordergrund. Über seine Freiheit kann jedes Individuum selbst verfügen. Auf dieser Grundlage wird „Privacy“ zum Verhandlungsgegenstand und reguliert sich im Zusammenspiel unterschiedlicher Interessen selbst. Statt eines Grundrechtes ist Datenschutz in den USA Teil des Verbraucherschutzrechtes und von daher auf die Integrität von Daten als Wirtschaftsfaktor fokussiert. Entsprechend wird er statt durch eine Datenschutzbehörde wie in der EU von der Wettbewerbs- und Verbraucherschutzbehörde Federal Trade Commission (FTC) beaufsichtigt.
Als Konsequenz daraus haben sich in den USA für einzelne Wirtschaftszweige spezifische Regelwerke für den Datenschutz etabliert, die zusammen mit den Datenschutz-Regelungen des betreffenden US-Bundesstaates gelten.
Dazu gehören
- HIPAA. Der Health Insurance Portability and Accountability Act regelt, wie personenbezogene Daten im Gesundheitswesen zu handhaben sind.
- GLBA. Der Gramm-Leach-Bliley Act regelt den Schutz von persönlichen Daten und Informationen in der Finanzwirtschaft.
- NIST 800-171. Das National Institute of Standards and Technology, für Standardisierung zuständiges Institut des Handelsministerium, regelt den Schutz von „Controlled Unclassified Information“ (CUI), die außerhalb der Systeme der US-Bundesbehörden verarbeitet werden.
- FISMA. Der Federal Information Security and Management Act regelt den Schutz von Daten und Informationen, die die US-Bundesbehörden oder andere Stellen in ihrem Auftrag verarbeiten.
Dies führt zu einem Flickenteppich, bei dem Datenschutz, abgesehen von den branchenspezifischen Regelungen, von Bundesstaat zu Bundesstaat unterschiedlich ausfällt – 48 von 50 Bundesstaaten haben jeweils ihre eigenen Regelungen. Einige entsprechen DSGVO-Standards, andere können deutlich darunter liegen. Die DSGVO mit ihrem breit angelegten Anwendungsbereich und teilweise vagen Bestimmungen ist also sehr weit weg von dem an konkreten Anwendungsfällen orientierten Vorgehen US-amerikanischer Entscheider. Sie sind an die Umsetzung von Datenschutz in einzelnen Bereichen und Sektoren gewöhnt und können sich nur schwer vorstellen, dass ein Regelwerk in unterschiedlichen Branchen und für unterschiedliche Sachverhalte Gültigkeit haben und umgesetzt werden kann.
Den Schutz der personenbezogenen Daten beim Datenverkehr zwischen der EU und den USA regelt das EU-US-Datenschutzschild (EU-US Privacy Shield). Es löst das Safe-Harbor-Abkommen ab, das 2015 vom Europäischen Gerichtshof für ungültig erklärt wurde. Das EU-US-Datenschutzschild ist eine Absprache mit Grundsätzen zum Datenschutz, zu deren Einhaltung sich US-amerikanische Unternehmen im Umgang mit personenbezogenen Daten von Bürgern in der EU verpflichten, und Zusicherungen der US-Bundesregierung hinsichtlich Beschränkungen für den Datenzugriff. Die US-Verbraucherschutzbehörde und das Handelsministerium unterstützen die Absprache, aber Unternehmen, die sie ignorieren, werden lediglich vom Handel mit der EU ausgeschlossen. Auch die durch die DSGVO gewährleisteten individuellen Rechte finden sich im Privacy Shield nicht wieder.
US-Unternehmen, die Daten von Bürgern in der EU verarbeiten, sind ab Mai 2018 dazu verpflichtet, für diese die Richtlinien der DSGVO anzuwenden. Wie sie sich in der Praxis bewährt, dürfte durchaus Einfluss darauf haben, welchen Weg der Datenschutz in den USA künftig einschlägt.
