Aus Sicht der Schweiz sowie der EU verfügen die USA über kein angemessenes Datenschutzniveau; ein US-Bundesgesetz für Datenschutz existiert (bisher) nicht und die übrige US-amerikanische Gesetzgebung bietet insgesamt keinen gleichwertigen Schutz für Personendaten.
Aus diesem Grund müssen bei einer Bekanntgabe von Personendaten beispielsweise von der Schweiz in die USA zusätzliche Massnahmen getroffen werden, wie z.B. der Abschluss von Standarddatenschutzklauseln mit dem Empfänger in den USA, die Zertifizierung des US-Empfängers gemäss Swiss-US Privacy Shield oder die Einwilligung der betroffenen Personen etc.
Dessen ungeachtet gibt es eine Vielzahl US-amerikanischer Gesetze mit Regeln für den Umgang mit Personendaten. Aus diesem Grund lohnt sich ein Blick auf die wichtigsten „US-Datenschutzgesetze“:
(i) The Federal Trade Commission Act (FTC) – ein Bundesgesetz mit Regeln gegen unfairen Wettbewerb („unfair or deceptive commercial practices“). Diese beinhalten u.a. Regeln zur Einhaltung von „ privacy policies“ und für den angemessenen Schutz von Personendaten.
(ii) Electronic Communications Privacy Act (ECPA) - ein Bundesgesetz mit Regeln zum Schutz von u.a. elektronischer Kommunikation.
(iii) Computer Fraud & Abuse Act (CFAA) – ein Bundesgesetz mit Regeln gegen Missbrauch und Betrug im Bereich der Cybersecurity.
(iv) Children’s Online Privacy Protection Act (COPPA) - ein Bundesgesetz mit Regeln für Webseitenbetreiber für den Umgang mit Personendaten von Kindern.
(v) Controlling the Assault of Non-Solicited Pornography and Marketing Act (CAN-SPAM Act) – ein Bundesgesetz u.a. mit Regeln für Werbe-E-Mails.
(vi) Financial Services Modernization Act (GLBA) - ein Bundesgesetz u.a. mit Regeln für die Erhebung, Auswertung, Weitergabe etc. von Personendaten durch Finanzinstitute.
(vii) Fair and Accurate Credit Transactions Act (FACTA) - ein Bundesgesetz u.a. mit der Pflicht für Identitätsdiebstahlprogramme für Finanzinstitute.
(viii) California Consumer Privacy Act (CCPA) - ein Datenschutzgesetz für den Gliedstaat Kalifornien, das ab 1. Januar 2020 in Kraft treten wird.
(ix) Nevada Senate Bill 220 Online Privacy Law - ein Datenschutzgesetz des Gliedstaates Nevada für den Onlinebereich, das seit 1. Oktober 2019 in Kraft ist.
(x) Maine Act to Protect the Privacy of Online Consumer Information - ein Datenschutzgesetz des Gliedstaates Main für den Onlinebereich, das ab 1. Juli 2020 in Kraft treten wird.
Ferner gibt es noch zahlreiche Gliedstaatengesetze für die Bereiche Cybersecurity, Data Security und Data Breach Notification (z.B. in New York, Massachusetts und Texas).
Schliesslich haben zwei US-amerikanische Congresswomen kürzlich einen Entwurf für ein "Online Privacy Act" auf Bundesebene eingereicht. Es gilt abzuwarten, inwiefern die USA inskünftig ein „richtiges“ Datenschutzrahmengesetz analog dem schweizerischen DSG oder der EU-DSGVO erhalten.
Michal Cichocki
Aus diesem Grund müssen bei einer Bekanntgabe von Personendaten beispielsweise von der Schweiz in die USA zusätzliche Massnahmen getroffen werden, wie z.B. der Abschluss von Standarddatenschutzklauseln mit dem Empfänger in den USA, die Zertifizierung des US-Empfängers gemäss Swiss-US Privacy Shield oder die Einwilligung der betroffenen Personen etc.
Dessen ungeachtet gibt es eine Vielzahl US-amerikanischer Gesetze mit Regeln für den Umgang mit Personendaten. Aus diesem Grund lohnt sich ein Blick auf die wichtigsten „US-Datenschutzgesetze“:
(i) The Federal Trade Commission Act (FTC) – ein Bundesgesetz mit Regeln gegen unfairen Wettbewerb („unfair or deceptive commercial practices“). Diese beinhalten u.a. Regeln zur Einhaltung von „ privacy policies“ und für den angemessenen Schutz von Personendaten.
(ii) Electronic Communications Privacy Act (ECPA) - ein Bundesgesetz mit Regeln zum Schutz von u.a. elektronischer Kommunikation.
(iii) Computer Fraud & Abuse Act (CFAA) – ein Bundesgesetz mit Regeln gegen Missbrauch und Betrug im Bereich der Cybersecurity.
(iv) Children’s Online Privacy Protection Act (COPPA) - ein Bundesgesetz mit Regeln für Webseitenbetreiber für den Umgang mit Personendaten von Kindern.
(v) Controlling the Assault of Non-Solicited Pornography and Marketing Act (CAN-SPAM Act) – ein Bundesgesetz u.a. mit Regeln für Werbe-E-Mails.
(vi) Financial Services Modernization Act (GLBA) - ein Bundesgesetz u.a. mit Regeln für die Erhebung, Auswertung, Weitergabe etc. von Personendaten durch Finanzinstitute.
(vii) Fair and Accurate Credit Transactions Act (FACTA) - ein Bundesgesetz u.a. mit der Pflicht für Identitätsdiebstahlprogramme für Finanzinstitute.
(viii) California Consumer Privacy Act (CCPA) - ein Datenschutzgesetz für den Gliedstaat Kalifornien, das ab 1. Januar 2020 in Kraft treten wird.
(ix) Nevada Senate Bill 220 Online Privacy Law - ein Datenschutzgesetz des Gliedstaates Nevada für den Onlinebereich, das seit 1. Oktober 2019 in Kraft ist.
(x) Maine Act to Protect the Privacy of Online Consumer Information - ein Datenschutzgesetz des Gliedstaates Main für den Onlinebereich, das ab 1. Juli 2020 in Kraft treten wird.
Ferner gibt es noch zahlreiche Gliedstaatengesetze für die Bereiche Cybersecurity, Data Security und Data Breach Notification (z.B. in New York, Massachusetts und Texas).
Schliesslich haben zwei US-amerikanische Congresswomen kürzlich einen Entwurf für ein "Online Privacy Act" auf Bundesebene eingereicht. Es gilt abzuwarten, inwiefern die USA inskünftig ein „richtiges“ Datenschutzrahmengesetz analog dem schweizerischen DSG oder der EU-DSGVO erhalten.
Michal Cichocki