Der American Privacy Rights Act (APRA) ist ein überparteilicher Bundesentwurf zum Datenschutz, der vom US-Kongress vorgeschlagen wurde. Während der Entwurf viele langjährige Lücken im amerikanischen Datenschutzrecht adressiert, sind seine Regeln zu gezielter Werbung besonders unklar und manchmal widersprüchlich.

Warum APRA wichtig ist

Die USA haben noch kein umfassendes Bundesdatenschutzgesetz, was eine regulatorische Lücke schafft, die die digitale Wirtschaft ohne sinnvolle Basisschutzmaßnahmen belässt. Die FTC hat versucht, diese Lücke zu füllen, und einzelne Bundesstaaten wie Kalifornien haben eigene Gesetze verabschiedet, aber der resultierende Flickenteppich erzeugt Compliance-Komplexität ohne einheitlichen Verbraucherschutz.

Zentrale Bestimmungen

Geltungsbereich: APRA gilt weitreichend, nimmt aber kleine Unternehmen, Regierungsbehörden und Regierungsauftragnehmer aus. Arbeitnehmerdaten sind ebenfalls ausgenommen, was viele Kritiker angesichts der Zunahme von Überwachungstools am Arbeitsplatz als erhebliche Schwäche betrachten. Das Gesetz ersetzt nicht branchenspezifische Gesetze wie HIPAA.

Verbraucherrechte: Der Entwurf umfasst Rechte auf Zugang, Berichtigung, Löschung und Übertragbarkeit personenbezogener Daten, sowie das Recht, gezielter Werbung und Datenweitergabe zu widersprechen. Er beinhaltet auch ein privates Klagerecht, das es Einzelpersonen erlaubt, bei Verstößen zu klagen, obwohl viele wichtige Bestimmungen von diesem Mechanismus ausgenommen sind.

Datenminimierung: Die Verarbeitung muss notwendig, verhältnismäßig und begrenzt sein, mit einer detaillierten Liste zulässiger Zwecke. In der Praxis entsteht ein komplexes Regelwerk aus breiten Vorschriften und langen Ausnahmen.

Sensible Daten: Zu den Kategorien gehören Gesundheitsdaten, präzise Geolokalisierung, Informationen zum Sexualverhalten, persönliche Kommunikation, behördliche Identifikatoren, Daten von Minderjährigen unter 17 Jahren, websiteübergreifendes Nutzerverhalten und Verhaltensdaten von großen Social-Media-Plattformen. Die Weitergabe sensibler Daten erfordert grundsätzlich eine Opt-in-Einwilligung.

Das Problem mit gezielter Werbung

Gezielte Werbung ist unter APRA auf Opt-out-Basis erlaubt, und der Entwurf scheint das Erheben von Daten ausschließlich für Werbezwecke zu verbieten -- Organisationen dürfen nur Daten verwenden, die bereits für andere legitime Zwecke erhoben wurden.

Die Wechselwirkung zwischen den allgemeinen Regeln für gezielte Werbung und den Bestimmungen für sensible Daten schafft jedoch erhebliche Mehrdeutigkeit. Die Weitergabe sensibler Daten erfordert Opt-in-Einwilligung, aber gezielte Werbung unterliegt Opt-out-Regeln. Wenn sich diese Bestimmungen überschneiden -- insbesondere hinsichtlich websiteübergreifender Aktivitätsdaten und Social-Media-Verhaltensdaten, die den Großteil der gezielten Werbung antreiben -- ist das Ergebnis unklar. Gezielte Werbung basierend auf sensiblen Daten könnte je nach Auslegung entweder Opt-in erfordern oder effektiv verboten sein.

Bewertung

Stärken: Das Prinzip der Datenminimierung geht über die Abhängigkeit von oft bedeutungsloser Einwilligung hinaus. Das Verbot von Dark Patterns bei der Einwilligungserhebung ist begrüßenswert. Die Kategorien sensibler Daten sind lobenswert breit, und das Gesetz schützt Gesundheitsdaten, die nicht unter HIPAAs Geltungsbereich fallen.

Schwächen: Zu viele Bestimmungen sind von privaten Klagen ausgenommen, was die Durchsetzung potenziell schwächt. Die Regeln zu sensiblen Daten und gezielter Werbung sind schlecht formuliert und widersprüchlich. Der Ausschluss von Arbeitnehmerdaten ist eine ernste Lücke.

Bundesstaatliche Präemption: APRA würde die meisten bundesstaatlichen Datenschutzgesetze aufheben, was Einheitlichkeit schafft, aber möglicherweise den Schutz in Bundesstaaten mit stärkerer bestehender Gesetzgebung schwächt. Dieses Thema brachte APRAs Vorgängerentwurf, den ADPPA, zum Scheitern.