Datenschutz im Golden State – moderne Gesetze in Kalifornien
Kalifornien ist die Wiege zahlreicher Gattungsbegriffe – besser noch: Klischees –, die weltweit und bis heute mit den USA verbunden werden. Prominente Beispiele sind der sog. Goldrausch, Hollywood und auch Silicon Valley.
Dabei ist weitgehend unbekannt, dass 1853 dort, wo heute Hollywood liegt, nicht mehr als eine Adobehütte stand. Knapp 50 Jahre später gab es bereits ein Postamt, eine Zeitung, ein Hotel, zwei Märkte und 500 Einwohner. Heute ist Hollywood die Quelle der internationalen Filmindustrie, die nicht allzu weit entfernt vom Tal der IT-Branche, dem Silicon Valley liegt. Kalifornien ist mithin prädestiniert für eine Metamorphose hin zur Moderne, zur Zukunft. Es verwundert daher nicht, dass dieser Bundesstaat auch in Sachen Datenschutzrecht eine Vorreiterrolle in den USA einnimmt. Ausländische, v.a. deutsche Unternehmen sollte dies nicht abschrecken. Vielmehr liegt hierin eine Chance, Rechtsklarheit zu erlangen, wo sonst in den USA die Gefahr unerwarteten Richterrechts besteht. Die ilex Datenschutz GbR stellt einige dieser Regeln und die dort vorherrschenden Gegebenheiten vor.
Übersicht
- Datenschutzrecht in den USA – ein Problem!
- Privatsphäre in der Verfassung von Kalifornien!
- Beispiel: Consumer Credit Reporting Agencies Act
- Beispiel: Medical Information, Collection for Direct Marketing
- Fazit
1. Datenschutzrecht in den USA – ein Problem!
Ohne Netzpolitik in den Mittelpunkt dieses Beitrages zu rücken: Niemand in Europa sollte den Finger heben und die USA in Fragen des Datenschutzes belehren. Dennoch: Datenschutzrecht wird in vielen Teilen der USA als Standortfaktor betrachtet, wobei ähnliches in Teilen Europas gilt.
Bereits an anderer Stelle wurde darauf hingewiesen, dass es in den USA nicht das in Europa bekannte, datenschutzrechtliche Verbot mit Erlaubnisvorbehalt gibt. In den USA ist die Zulässigkeit der Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten der Regelfall, es sei denn der Gesetzgeber verbietet einen bestimmten Datenumgang.
Auf den ersten Blick verwundert diese Analyse, galten die USA doch lange Zeit als Land der freien Bürger. Ein Schutz der Privatsphäre ist dem US-Recht, das insoweit seine Unabhängigkeit von den übrigen Common-Law-Staaten beweist, auch nicht gänzlich fremd. So garantiert die Verfassung für die Vereinigten Staaten von Amerika, etwa als Ausfluss des 9. Zusatzartikels die Privatsphäre als allgemeines Bürgerrecht. Im Verhältnis Staat-Bürger kann man dies auch dem 4. Zusatzartikel entnehmen. Auch in der amerikanischen Rechtswissenschaft wird das Thema schon lange diskutiert. Unvergessen bleibt insoweit der Fachaufsatz „The Right to Privacy“, mit dem sich Samuel D. Warren und Louis D. Brandeis im Dezember 1890 ein Denkmal setzten (Harvard Law Review, Vol. IV December 15, 1890 No. 5).
Trotz dieser herausragenden zivilisatorischen Errungenschaften stehen die meisten US-Bundesstaaten dem Datenschutzrecht kritisch gegenüber. Hier und dort zieht man freiwillige Selbstverpflichtungen der Wirtschaft strengen niedergeschriebenen Gesetzen vor. Die mangelnde Verbindlichkeit dieser Datenschutzerklärungen mag der eine oder andere Unternehmer tatsächlich als Standortvorteil verstehen. Diesem vermeintlichen Vorteil steht aber ein nicht zu unterschätzendes, wirtschaftliches Risiko gegenüber.
Denn in den USA sorgt das wichtige Richterrecht immer wieder für Überraschungen. Schnell entwickelt ein Richter einen Präzedenzfall und verurteilt ein Unternehmen doch zur Zahlung eines hohen Strafschadenersatzes. In diesen Fällen hätten sich viele Unternehmen gewünscht, es hätte klare gesetzliche Vorgaben gegeben, auf die man sich einstellen kann.
Geschriebenes Recht bedeutet also Rechtssicherheit, die heute mindestens ein genauso wichtiger Standortfaktor ist. Möglicherweise hat Kalifornien, die Wiege der US-IT-Branche, dies erkannt und gerade deshalb eine Vielzahl geschriebener Datenschutzgesetze verabschiedet.
Doch der Reihe nach:
2. Privatsphäre in der Verfassung von Kalifornien!
Es darf als herausragend bezeichnet werden, dass in der Verfassung des Bundesstaates Kalifornien, bereits im Article 1 Section 1 – mithin gleich zu Beginn der Verfassung – das Recht auf Privatsphäre garantiert wird. Dort heißt es:
„All people are by nature free and independent and have inalienable rights. Among these are enjoying and defending life and liberty, acquiring, possessing, and protecting property, and pursuing and obtaining safety, happiness, and privacy.”
Doch anders als in anderen Bundesstaaten bleibt es nicht bei dieser Verfassungslyrik. Das Datenschutzrecht in Kalifornien wird ausdrücklich auch auf nichtöffentliche verantwortliche Stellen ausgedehnt:
3. Beispiel: Consumer Credit Reporting Agencies Act
Ein erstes Beispiel hierfür ist der Consumer Credit Reporting Agencies Act – Civil Code section 1785.1-1785.36. Dieses Gesetz reguliert die Tätigkeiten von Auskunfteien. Dort wird etwa ein Auskunftsanspruch für jene Betroffene festgeschrieben, denen eine Kreditdienstleistung verwehrt wurde oder ein Anspruch auf Sperrung von Informationen, die durch Identitätsdiebstahl hervorgerufen wurden. Verbraucher, die durch eine rechtswidrige Bonitätsbewertung Schäden erleiden, können vor Gericht einen Korrektur- (vgl. Section 1785.30) und auch einen Schadenersatzanspruch geltend machen (vgl. Section 1785.31).
Nur am Rande: In Deutschland gibt es deutlich strengere Regeln, etwa in den §§ 28a, 28b, 34 Abs. 4, 35 Abs. 2 BDSG.
4. Beispiel: Medical Information, Collection for Direct Marketing
Ein zweites Beispiel betrifft den Gesundheitssektor. Hier gilt das Medical Information, Collection for Direct Marketing Purposes – Civil Code section 1798.91. Dieses Gesetz schreibt vor, dass Direct Marketing mit Gesundheitsdaten nur bei informierter Einwilligung des Betroffenen zulässig ist.
5. Fazit
Kalifornien steht wie kaum ein zweiter Bundesstaat der USA für die Wandlungsfähigkeit des Landes der unbegrenzten Möglichkeiten. Viele Begriffe, die heute mit den USA verbunden werden, entstammen dieser Gegend. Ist also der Umstand, dass in Kalifornien ein vergleichsweise modernes Datenschutzrecht gilt, ein Fingerzeig für die Zukunft dieses Themas in den USA?
Die vorläufige Antwort lautet: Nein! Die 50. Bundesstaaten der USA trennen zahlreiche kulturelle, politische und wirtschaftliche Gegebenheiten. Letzteres hat auch Einfluss auf das jeweilige Datenschutzverständnis.
Dennoch sollte die hohe Regulierungsdichte Kaliforniens, die noch weit hinter der europäischen Überregulierung liegt, nicht als Hemmschuh für Investitionen verstanden werden.
Zu empfehlen ist vielmehr eine ausgiebige Vorab-Beratung über das anvisierte Geschäftsmodell. Sollte dabei die Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten von Bedeutung sein, muss das dortige Datenschutzrecht, das über zahlreiche Gesetze verteilt ist, genau analysiert werden. Dann kann frühzeitig mit der dortigen Aufsichtsbehörde Kontakt aufgenommen und die Einzelheiten geklärt werden.
Ob das eigene Unternehmen ein Teil Kaliforniens wird, sollte zumindest nicht an der Frage des Datenschutzrechts scheitern.