Die nationale Datenschutzpolitik steht in Washington auf der Tagesordnung, eine strengere kalifornische Politik wird von den Wählern gebilligt, und andere Bundesstaaten sind zum Handeln bereit.

Wesentliche Punkte:

  • Viele Unternehmen bevorzugen eine nationale Datenschutzpolitik anstelle einer staatlichen Flickenteppichpolitik.
  • Die neue Biden-Regierung ist offen für die Einführung einer umfassenden nationalen Datenschutzpolitik.
  • In der Zwischenzeit haben die Bundesstaaten ihre Politik vorangetrieben, darunter das neue, strengere kalifornische Gesetz, das die Wähler am Wahltag gebilligt haben.

Es wird erwartet, dass das Jahr 2021 neue Datenschutzrichtlinien, -regulierungen und -durchsetzungen in den USA bringen wird. Alle Augen sind auf Washington und Kalifornien gerichtet, wo die jüngsten Wahlergebnisse die Dynamik verändert haben. Aber auch die Entwicklungen in Staaten wie Massachusetts und New York müssen beobachtet werden, während die internationalen Datenschutzbestimmungen, die US-Unternehmen betreffen, im Wandel begriffen sind.

Viele amerikanische Unternehmen müssen bereits verschiedene Datenschutzanforderungen gemäß Richtlinien wie dem US-Gesetz zur Krankenversicherung und Rechenschaftspflicht (Health Insurance and Accountability Act, HIPAA) und der allgemeinen europäischen Datenschutzverordnung (General Data Privacy Regulation, GDPR) erfüllen. Bis heute gibt es jedoch keine umfassende US-Datenschutzpolitik, und Beobachter sagen, dass 2021 ein solches nationales Gesetz einführen könnte. Größere Durchsetzungsbemühungen zeichnen sich ebenfalls ab, insbesondere im Rahmen einer neuen kalifornischen Datenschutzbehörde.

Wenn sich die Datenschutzbestimmungen ändern, müssen Unternehmen die Datenerhebung, -speicherung, -weitergabe und den Schutz der persönlichen Daten ihrer Kunden und Mitarbeiter sowie die Verfahren für die Berichterstattung an Aufsichtsbehörden anpassen. Wenn die Regeln durchgesetzt werden, können Unternehmen mit Geldstrafen, Betriebsunterbrechungen, damit verbundenen Zivilklagen und Rufschädigung rechnen.

Die E-Mail-Verwaltung kann für die Einhaltung gesetzlicher Vorschriften von zentraler Bedeutung sein, da so viele persönliche Daten in E-Mails übertragen und gespeichert werden - und da geschäftliche E-Mails so oft der Einstiegspunkt für Hacker sind, die persönliche Daten stehlen wollen. E-Mail-Dienstleister wie Mimecast unterstützen Kunden bei der Verwaltung konformer Archive, der Sicherung persönlicher Informationen und der Erfüllung anderer Anforderungen.

Hier ist ein Überblick über die neuen Entwicklungen im Bereich des Datenschutzes in den USA.

Washington öffnet den Weg zu einer neuen Datenschutzrichtlinie

Der designierte Präsident Joe Biden hat öffentlich seine Unterstützung für eine umfassende Datenschutzpolitik erklärt, "nicht unähnlich dem, was die Europäer tun".[1] Wie genau diese Politik aussehen würde und wie schnell sie, wenn überhaupt, verabschiedet werden könnte, hängt möglicherweise davon ab, welche politische Partei im Januar die Kontrolle über den Senat übernimmt.

Auf dem Capitol Hill sind bereits etwa 30 Gesetzesvorlagen zum Datenschutz im Umlauf. Die Brookings Institution, ein Washingtoner Think Tank, schrieb kürzlich, dass "die Datenschutzgesetzgebung ein Thema sein könnte, bei dem der Kongress und die neue Regierung auf parteiübergreifender Basis zusammenarbeiten können".[2]

Viele Unternehmen haben sich über den Flickenteppich staatlicher Datenschutzrichtlinien im ganzen Land beklagt. BSA|Die Software Alliance empfahl kürzlich, dass die neue Verwaltung eng mit dem Kongress zusammenarbeiten sollte, um ein nationales Datenschutzgesetz zu erlassen.[3] Auch die US-Handelskammer hat ein von ihr entwickeltes Modell für eine nationale Datenschutzgesetzgebung gefördert, das sich teilweise auf das europäische GDPR stützt.[4]

Auch die Durchsetzung des Datenschutzes kann unter einer neuen Verwaltung zunehmen. Die International Association of Privacy Professionals sieht ein Beispiel dafür in der Federal Trade Commission, die bereits aktiv ist, aber einen Führungswechsel erleben könnte, der eine energischere Durchsetzung mit sich bringt.[5]

Kalifornien verdoppelt den Datenschutz

Bei den Wahlen im Jahr 2020 stimmten die Kalifornier für Proposition 24, die den erst wenige Monate zuvor umgesetzten California Consumer Privacy Act (CCPA) stärkt. Es wird erwartet, dass der neue California Privacy Rights Act von 2020 die Anforderungen verschärft, um die Sammlung persönlicher Daten zu minimieren, ihre Archivierung einzuschränken und ihre Sicherheit zu gewährleisten, während gleichzeitig die California Consumer Privacy Agency geschaffen wird, um diese Anforderungen durchzusetzen.

Wenn die neue Behörde im Juli 2021 ihre Arbeit aufnimmt, müssen Unternehmen, die in Kalifornien geschäftlich tätig sind, Risikobewertungen und Cybersicherheits-Audits in Bezug auf den Schutz persönlicher Daten vorlegen.[6] In einer weiteren Änderung legt das Gesetz fest, was Rechtsexperten als die breiteste Definition von persönlichen Informationen im Land bezeichnen.[7] Zwischen bestehenden und neuen Kategorien von Informationen reicht die Definition Kaliforniens nun von E-Mail-Adressen und dem Inhalt einiger E-Mails und Textnachrichten bis hin zu Sozialversicherungsnummern, Geolokalisierung, philosophischen Überzeugungen und mehr.

Nach der neuen Regelung können mehr Kleinunternehmen als nach dem ursprünglichen CCPA von der Steuer befreit werden, wenn ihr Jahresumsatz oder die Zahl ihrer kalifornischen Kunden unter bestimmte Schwellenwerte fällt. "Trotzdem können kleine Unternehmen größer werden - und in dieser Hinsicht ist das Gesetz etwas, das man beachten sollte", berichtete die Zeitschrift Inc.[8]

Fortschritte bei der Regulierung und Durchsetzung des Datenschutzes in vielen Staaten

Nach der Verabschiedung des CCPA im Jahr 2018 begannen andere Staaten, diesem Beispiel zu folgen. Die National Conference of State Legislatures zählte kürzlich Gesetzesvorschläge in mehr als 30 Staaten, sagte aber, dass viele während der COVID-19-Pandemie ins Stocken geraten seien.

Die Maßnahmen sind unterschiedlich und können Anforderungen an die Durchführung von Risikobewertungen, die Minimierung der Archivierung persönlicher Daten, die Überwachung zur Verhinderung von Datenverstößen und die Meldung auftretender Verstöße umfassen. In einer anderen Wendung könnte die vorgeschlagene Gesetzgebung des Bundesstaates New York für alle Unternehmen, ob klein oder groß, gelten, ohne Mindestumsatz oder Verbraucherschwelle wie in Kalifornien.[9]

Ob diese von COVID verzögerten Maßnahmen bald wieder in Schwung kommen, ist eine offene Frage. Beobachter sagen, dass einige Staaten abwarten könnten, was in Washington geschieht.

Unterdessen ist in einigen Staaten eine zunehmende Durchsetzung zu beobachten. In den letzten Monaten kündigte zum Beispiel der Generalstaatsanwalt von Massachusetts die Schaffung einer Abteilung für Datenschutz und Sicherheit an, die mit der Untersuchung und Durchsetzung des Massachusetts Consumer Protection Act und des Data Breach Law zum Schutz von Verbraucherdaten beauftragt ist.

U.S.-Europäische Datenschutzbestimmungen im Wandel

Als das oberste Gericht der Europäischen Union vor kurzem das EU-U.S.-Rahmenwerk zum Schutz der Privatsphäre (Privacy Shield Framework), eine Regelung für den transatlantischen Datenfluss, für ungültig erklärte, sollen Verhandlungen über einen Ersatz beginnen. Seither sind die Gespräche jedoch kaum mehr erwähnt worden. In der Zwischenzeit haben europäische Beamte öffentliche Kommentare zu Standardvertragsklauseln eingeholt, die anstelle des Schutzschildes verwendet werden können und die es den Unternehmen erlaubten, sich jährlich selbst zu bescheinigen, dass sie bestimmte Grundsätze zum Schutz personenbezogener Daten einhalten würden, vorbehaltlich ihrer Durchsetzung.

Was lässt sich daraus schließen?

Es wird erwartet, dass der Datenschutz ein größerer Schwerpunkt der neuen US-Präsidialverwaltung sein wird, was die Möglichkeit einer umfassenden nationalen Politik im Jahr 2021 erhöht. Die Unternehmen sollten sich auch darauf einstellen, dass die Durchsetzung sowohl auf bundesstaatlicher als auch auf nationaler Ebene zunehmen wird.

 

[1] "Ein Blick auf den Standpunkt von Joe Biden zu technischen Schlüsselfragen", S&P Global

[2] "Mit der Verabschiedung von Proposition 24 erhöhen die kalifornischen Wähler den Einsatz des Bundesgesetzes zum Schutz der Privatsphäre", Brookings Institution

[3] "BSA veröffentlicht politische Empfehlungen für das Biden-Harris-Übergangsteam", BSA|The Software Alliance

[4] "U.S. Kammer veröffentlicht Modellgesetz zum Datenschutz, drängt Kongress zur Verabschiedung eines Bundesgesetzes zum Datenschutz", U.S. Handelskammer

[5] "Was könnte eine Biden-Administration für den Datenschutz und die Cybersicherheit bedeuten?", Internationale Vereinigung von Datenschutzexperten

[6] "Antrag 24", Regierung von Kalifornien

[7] "Sensible persönliche Daten - Was sind das und was bedeutet das für die Einhaltung des kalifornischen Gesetzes zum Schutz der Persönlichkeitsrechte?," Nationale Gesetzesrevision

[8] "Warum kleine Unternehmen Kaliforniens neuestes Datenschutzgesetz ignorieren sollten", Inc.

[9] "Innerhalb des vorgeschlagenen New Yorker Datenschutzgesetzes", New York Law Journal

Sie wollen noch mehr Artikel wie diesen? Abonnieren Sie unseren Blog.

Erhalten Sie alle aktuellen Nachrichten, Tipps und Artikel direkt in Ihren Posteingang

Das könnte Ihnen auch gefallen:

Der Datenschutz steht bei den US-Wahlen auf dem Stimmzettel

Die Wahlen in Kalifornien und im ganzen Land...

Die Wahlen in Kalifornien und im ganzen Land könnten die... Read More >

Karen Lynch

von Karen Lynch

Mitwirkender Verfasser

Posted Oct 29, 2020

Mimecast Cloud Archive zum Marktführer im EIA Magic Quadrant 2020 von Gartner ernannt

Im sechsten Jahr in Folge hat Mimecast...

Zum sechsten Mal in Folge hat das Mimecast Cloud Archive die... Mehr lesen >

Garth Landers

von Garth Landers

Produktmarketing-Direktor, Archivierung

Veröffentlicht 19. November 2020

EU-U.S. Data Privacy Shield wird für ungültig erklärt: Was nun?

Mit dem EU-U.S. Privacy Shield für Daten...

Mit dem EU-U.S. Privacy Shield für Datentransfers in der... Read More >

Karen Lynch

von Karen Lynch

Mitwirkender Verfasser

Verfasst am 22. September 2020