Datenschutz in den USA?
Die Datenschutzgesetze in den USA sind ein komplexes Geflecht, das sich stark von den Regelungen in Europa unterscheidet. Während in einigen US-Bundesstaaten bereits individuelle Datenschutzgesetze verabschiedet wurden, fehlt es weiterhin an einer landesweiten, einheitlichen Regelung. Dieser Beitrag gibt einen Überblick über die aktuelle Datenschutzlage in den US-Bundesstaaten, beleuchtet die Unterschiede zur DSGVO und thematisiert den geplanten American Privacy Rights Act (APRA).
Datenschutz oder Verbraucherschutz in den USA?
Im Gegensatz zu Europa gibt es in den USA kein nationales Datenschutzgesetz. Die Gesetzgebung liegt stattdessen bei den einzelnen Bundesstaaten. Von den 50 US-Bundesstaaten haben bisher 17 eigene Datenschutzgesetze erlassen, von denen einige erst 2026 in Kraft treten. Diese Gesetze unterscheiden sich erheblich in ihren Anforderungen und Schutzniveaus, wobei der Fokus oft eher auf Verbraucherschutz als auf Datenschutz liegt.
Überblick über die Datenschutzgesetze der US-Bundesstaaten
Colorado: Der Colorado Privacy Act (CPA) trat im Juli 2023 in Kraft und unterscheidet erstmals zwischen Verantwortlichen und Auftragsverarbeitern, ohne eine Umsatzschwelle für die Anwendbarkeit festzulegen.
Connecticut: Der Connecticut Data Privacy Act (CTDPA) trat ebenfalls im Juli 2023 in Kraft und erfordert eine Datenschutz-Folgenabschätzung für bestimmte Verarbeitungstätigkeiten, sieht jedoch kein Klagerecht für Verbraucher vor.
Delaware: Der Delaware Personal Data Privacy Act (DPDPA) wird am 1. Januar 2025 wirksam und verlangt von Unternehmen, die Daten von mindestens 100.000 Verbrauchern verarbeiten, eine Datenschutz-Folgenabschätzung.
Florida: Der Florida Digital Bill of Rights (FDBR), in Kraft seit Juli 2024, enthält unter anderem ein Verbot für Regierungsangestellte, ihre Position zur Moderation von Social-Media-Inhalten zu nutzen.
Indiana: Der Indiana Consumer Data Protection Act (INCDPA), der am 1. Januar 2026 in Kraft tritt, ist als unternehmensfreundlich bekannt und beschränkt den "Verkauf" von Daten auf den Austausch gegen Geld.
Iowa: Der Iowa Consumer Data Protection Act, der ab 1. Januar 2025 gilt, enthält kein Recht auf Berichtigung und erlaubt die Verarbeitung sensibler Daten ohne ausdrückliche Einwilligung, mit einer Opt-out-Möglichkeit für Verbraucher.
Kalifornien: Der California Consumer Privacy Act (CCPA), eines der ersten umfassenden Datenschutzgesetze in den USA, trat 2020 in Kraft und wurde durch den California Privacy Rights Act (CPRA) ergänzt.
Texas: Der Texas Data Privacy and Security Act (TDPSA) trat am 1. Juli 2024 in Kraft und schließt ein Klagerecht für Verbraucher aus.
Diese Auflistung zeigt, dass die Anforderungen und Schutzmaßnahmen je nach Bundesstaat stark variieren, was es für Unternehmen, die in mehreren Staaten tätig sind, schwierig macht, einheitliche Standards einzuhalten.
Vergleich mit der DSGVO
Im Vergleich zur DSGVO, die in der EU ein einheitliches Datenschutzrecht schafft, führt die Fragmentierung der US-Datenschutzgesetze zu erheblichen Unterschieden im Schutzniveau. Während die DSGVO auf dem Prinzip des Verbots mit Erlaubnisvorbehalt basiert, bieten die meisten US-Gesetze nur eine Opt-out-Möglichkeit, wenn es um die Verarbeitung von Daten geht. Eine Meldepflicht für Datenschutzverletzungen gibt es in den USA nicht einheitlich; die Fristen und Anforderungen variieren von Staat zu Staat.
Geringe Geldbußen und fragmentierte Durchsetzung
Im Gegensatz zur DSGVO, die hohe Geldbußen vorsieht, sind die Strafen in den USA gering. Die Durchsetzung der Datenschutzgesetze obliegt in der Regel den Generalstaatsanwälten der Bundesstaaten, ohne zentrale Aufsichtsbehörde. Dies könnte sich jedoch mit dem geplanten American Privacy Rights Act (APRA) ändern.
Der geplante American Privacy Rights Act (APRA)
Der APRA soll eine einheitliche Datenschutzregelung auf Bundesebene schaffen und den Flickenteppich der einzelstaatlichen Gesetze ablösen. Der Entwurf zielt darauf ab, einheitliche Rechte für Verbraucher und Pflichten für Unternehmen zu etablieren, sowie der Federal Trade Commission (FTC) besondere Befugnisse zur Durchsetzung zu geben. Trotz anfänglicher Zustimmung gab es zuletzt kontroverse Änderungen, die den Entwurf abgeschwächt haben. Ob der APRA letztlich verabschiedet wird, bleibt angesichts der politischen Entwicklungen in den USA ungewiss.
Fazit
Die Datenschutzlandschaft in den USA bleibt dynamisch und uneinheitlich. Während einige Bundesstaaten neue Gesetze einführen, mangelt es nach wie vor an einem landesweiten Schutzstandard für die Bürger. Ob der APRA diese Lücke füllen kann, wird die Zukunft zeigen.
Bildrechte: PhotoSG / stock.adobe.com
usa_adobe_cr_photosg.jpeg (1200×628) (beck.de)
