Der US-Kongress hat im vergangenen Monat ein neues, aus zwei Kammern bestehendes Bundesgesetz zum Datenschutz vorgestellt: APRA (kurz für American Privacy Rights Act). Der Vorschlag war in letzter Zeit das Gesprächsthema im Datenschutzbereich, aber es gibt einen Wermutstropfen für die Marketing- und Ad-Tech-Fachleute: Die Regeln für gezielte Werbung sind unverständlich.
Hier erfahren Sie, worum es bei APRA geht, was es über gezielte Werbung aussagt und was wir von dem Gesetz insgesamt halten.
- Warum ist APRA eine so große Sache?
- Was steht im APRA?
- Was bedeutet APRA für die Werbung?
- Wie ist APRA insgesamt?
- Schlussfolgerungen
Tauchen wir ein!
Warum ist APRA eine so große Sache?
Bis heute gibt es in den USA kein Bundesgesetz zum Schutz der Privatsphäre. Dies führt zu einer gefährlichen Regelungslücke und macht die digitale Wirtschaft zu einem Freiraum für Daten, der für schädlichen Missbrauch geradezu prädestiniert ist - wie wir im Alptraum der Datenschutz- und Menschenrechtssituation nach Dobbs gesehen haben.
Die FTC tut ihr Bestes, um die Lücke zu füllen und den Schaden einzudämmen, aber ihr fehlt die Autorität, um die Situation wirklich zu verbessern. In der Zwischenzeit sind viele Bundesstaaten des Wartens auf den Kongress müde geworden und haben ihre eigenen Datenschutzgesetze verabschiedet - darunter auch Kalifornien, die Heimat der Silicon-Valley-Giganten.
APRA könnte die Regelungslücke schließen, ein gewisses Maß an Einheitlichkeit in den USA schaffen und den dringend benötigten Schutz der Privatsphäre der Amerikaner durchsetzen. Und nicht zuletzt könnte das Gesetz angesichts des Gewichts der GAFAM und anderer Tech-Giganten erhebliche Auswirkungen auf die gesamte globale digitale Wirtschaft haben.
Was steht im APRA?
Wir können nur einen sehr allgemeinen Überblick über APRA geben, da es sich um einen sehr komplexen Rechtsakt handelt. Wir wollen versuchen, einige der wichtigsten Punkte aufzuschlüsseln.
Was ist der Anwendungsbereich von APRA?
Der Geltungsbereich von APRA ist recht weit gefasst, aber er gilt nicht für alle oder für alle Arten von Daten. Kleine Unternehmen, die Regierung und Dienstleister, die für die Regierung arbeiten, sind ausgenommen.
Der Begriff der erfassten Daten ist recht weit gefasst, nicht anders als der Begriff der personenbezogenen Daten in der Datenschutz-Grundverordnung. Allerdings sind Mitarbeiterdaten von APRA ausgenommen (was eine fragwürdige Entscheidung ist). Außerdem ersetzt APRA keine spezifischeren Gesetze wie HIPAA.
Welche Rechte haben Sie?
APRA umfasst mehrere Rechte wie das Recht auf Zugang zu den erfassten Daten, das Recht auf Berichtigung und Löschung, Datenübertragbarkeit und das Recht, gezielte Werbung und Datenweitergabe abzulehnen.
APRA sieht auch ein privates Klagerecht vor: Sie können ein Unternehmen verklagen, wenn es Ihre Rechte verletzt. Dies ist wichtig, weil die US-amerikanische Rechtstradition etwas komplizierte Regeln dafür vorsieht, wer verklagt werden kann und wer nicht.
Bestimmte Arten von erfassten Daten gelten als sensible Daten und können nur mit Zustimmung des Betroffenen offengelegt werden (mit einigen Ausnahmen). Die Liste umfasst u. a. Gesundheitsdaten, genaue geografische Informationen, Daten über das Sexualverhalten, den Inhalt persönlicher Mitteilungen, von der Regierung ausgegebene Kennungen wie Sozialversicherungs- oder Autokennzeichen und alle Daten von Minderjährigen unter 17 Jahren.
Zwei spezifische Arten von sensiblen Daten verdienen besondere Aufmerksamkeit: Website-übergreifendes Nutzerverhalten und Verhaltens- und Aktivitätsdaten, die von sozialen Medien mit hohem Einfluss erhoben werden. Dies sind die Daten, die Sie normalerweise für Retargeting verwenden würden. Daher ist eine ausdrückliche Opt-in-Anforderung für die Offenlegung von Daten eine wichtige Sache für die Werbetechnik.
Datenminimierung
APRA enthält einen Grundsatz zur Datenminimierung: Die Verarbeitung der erfassten Daten muss notwendig, verhältnismäßig und begrenzt sein. Zu diesem Grundsatz gehört eine lange Liste von "zulässigen Zwecken", d. h. von bestimmten Arten der Verarbeitung, die dem Grundsatz der Datenminimierung entsprechen.
In der Praxis haben wir eine weit gefasste Regel und eine lange Liste komplizierter Ausnahmen. Dies führt zu einem sehr komplexen und manchmal widersprüchlichen System. Höchstwahrscheinlich wird es einige Zeit und Rechtsprechung brauchen, um das Ganze zu verstehen.
Was bedeutet APRA für die Werbung?
Gezielte Werbung: Opt-outs und Beschränkungen
Oberflächlich betrachtet ist APRA klar genug: Gezielte Werbung ist auf Opt-out-Basis erlaubt. Für kontextbezogene Werbung gilt diese Anforderung nicht.
Vor allem ist Werbung nur auf der Grundlage von Daten erlaubt, die bereits im Rahmen von APRA erhoben wurden. Die Vorschrift ist noch nicht zu 100 % klar, aber auf den ersten Blick sieht es so aus, als dürften Sie keine Daten ausschließlich für Werbung sammeln. Sie können nur auf der Grundlage von Daten werben, die Sie bereits für einen anderen Zweck kontrollieren.
Wenn das die Absicht ist, dann gefällt uns die Idee sehr. Die Beschränkung der Werbung auf Daten, die Sie bereits für andere Zwecke kontrollieren, könnte die überall zu beobachtende Datenhortung eindämmen und dazu beitragen, den digitalen Fußabdruck zu verkleinern, ohne gezielte Werbung völlig zu verbieten.
Gezielte Werbung und sensible Daten
Die Dinge werden komplizierter, wenn es um sensible Daten geht, denn es ist nicht klar, wie die Vorschriften über sensible Daten mit den Beschränkungen für gezielte Werbung zusammenspielen:
- Die Offenlegung sensibler Daten erfolgt im Allgemeinen auf freiwilliger Basis, es sei denn, es liegt einer von mehreren spezifischen Zwecken vor (Abschnitt 3(b)(1)).
- Einer dieser Zwecke ist die gezielte Werbung. Gezielte Werbung ist auf Opt-out-Basis erlaubt, allerdings mit Ausnahme sensibler Daten (Abschnitt 3 Buchstabe d Nummer 15).
Diese Vorschriften führen zu potenziell widersprüchlichen Schlussfolgerungen, wie die Jungs von Bloomberg Law festgestellt haben. Deren Standpunkt zum Datenschutz ist grauenhaft, aber sie machen dennoch zwei stichhaltige Argumente: Erstens könnte APRA, für bare Münze genommen, sehr wohl gezielte Werbung auf der Grundlage sensibler Daten verbieten (was sie hassen würden und wir absolut begrüßen würden). Zweitens: Das Gesetz muss klarer werden.
Mangelnde Klarheit ist ein großes Problem, denn die Beschränkungen für die Verwendung sensibler Daten gelten für seitenübergreifende Aktivitäten und Verhaltensdaten aus den sozialen Medien - das Material, das die meisten zielgerichteten Anzeigen überhaupt erst ermöglicht. Die Vorschriften würden sich massiv auf die Werbetechnik auswirken, aber es wäre gut zu wissen, wie.
Kurz gesagt: Gezielte Werbung auf der Grundlage sensibler Daten ist entweder Opt-in oder schlichtweg illegal. Ihre Vermutung ist so gut wie unsere.
Wie ist APRA insgesamt?
Das Gesetz hat einige gute Seiten, gemischt mit einigen schrecklichen Ideen und unklaren Regeln.
Das Gute
Der Grundsatz der Datenminimierung zeigt die klare Absicht, die Fiktion der Einwilligung zu überwinden und den Unternehmen stattdessen eine Liste von Geboten und Verboten zu geben. Dies ist eine großartige Idee, da die Zustimmung oft durch unfaire Vertragsbedingungen oder durch das Verstecken von fragwürdigen Klauseln im Kleingedruckten erpresst wird. Mit APRA ist das alles kein Thema mehr.
Übrigens verbietet APRA die Einholung von Einwilligungen durch dunkle Muster, selbst in den speziellen Fällen, in denen eine Einwilligung von Bedeutung ist. Auch das ist eine gute Entscheidung! Wir haben es satt, uns mit undurchschaubaren Benutzeroberflächen herumzuschlagen, die ohne guten Grund mehr Daten verlangen.
Wir finden es auch gut, dass die Liste der sensiblen Daten ziemlich lang ist und Dinge wie genaue Geolokalisierungsdaten, den Inhalt der persönlichen Kommunikation und seitenübergreifende Online-Aktivitäten umfasst. Wir wünschten, diese Daten wären auch unter der GDPR sensibel.
Nicht zuletzt schützt APRA große Mengen von Gesundheitsdaten, die nicht in den Anwendungsbereich des HIPAA fallen. Diese Daten sind seit dem Urteil in der Rechtssache Dobbs gegen Jackson ein wichtiges Thema.
Das Schlechte
Viele Abschnitte des APRA sind von privaten Klagen ausgenommen, darunter auch einige wichtige Vorschriften zur Datenminimierung. Mit anderen Worten: Einige der wichtigsten APRA-Vorschriften können nur von Generalanwälten, der Federal Trade Commission und anderen Institutionen durchgesetzt werden - Bürger können nicht direkt klagen.
Die Absicht ist, eine Flut von Klagen gegen Unternehmen zu verhindern, was verständlich ist. Dennoch sind wir der Meinung, dass die Ausnahmeregelung zu weit gefasst ist und das Gesetz in der Praxis aushebeln könnte.
Außerdem sind, wie bereits erwähnt, die Vorschriften über gezielte Werbung und sensible Daten unklar und widersprüchlich. Und das ist noch nicht alles: Die Vorschriften für sensible Daten sind so schlecht formuliert, dass sie in bestimmten Szenarien als freizügiger als die allgemeinen Vorschriften ausgelegt werden können. Das macht absolut keinen Sinn und trägt weiter zur Unsicherheit bei.
Und nicht zuletzt gilt APRA nicht für Mitarbeiterdaten. Das ist eine furchtbare Idee, denn die Verwendung von Bossware ist ein dringendes Problem. Wenn der Kongress der Meinung ist, dass der Schutz der Privatsphäre von Arbeitnehmern besser durch ein anderes Gesetz geregelt wird, dann soll es so sein - aber die Arbeitnehmer brauchen dieses Gesetz gestern.
Der So-und-so
Schließlich gibt es noch die heikle Frage der staatlichen Präemption. Kurz gesagt bedeutet dies, dass das APRA die Datenschutzgesetze der einzelnen Bundesstaaten (mit Ausnahme von Nischengesetzen) "außer Kraft setzt".
Das Vorrecht des Staates ist ein zweischneidiges Schwert. Einerseits ist das US-Datenschutzrecht derzeit ein chaotischer Flickenteppich, der die Einhaltung für Unternehmen, die landesweit tätig sind, kompliziert macht. Durch das Präemptivrecht würden die Vorschriften weitgehend vereinheitlicht und der Aufwand für die Einhaltung der Vorschriften verringert.
Andererseits haben einige Bundesstaaten recht strenge Gesetze erlassen, die manchmal sogar strenger sind als das APRA. Sie wollen nicht, dass ihnen Bundesgesetze vorgehen, und drängen darauf, dass APRA eine Untergrenze und nicht eine Obergrenze für die Datenschutzrechte festlegt.
Dies ist keineswegs ein neues Problem. Vor nicht allzu langer Zeit stieß der Vorgänger des APRA (ADPPA) auf heftigen Widerstand wegen des Vorrangs, und das Gesetz wurde schließlich nicht verabschiedet. Es bleibt zu hoffen, dass der Kongress dieses Mal einen Weg findet, auch wenn dies mit Kompromissen verbunden ist.
Schlussfolgerungen
In relativ kurzer Zeit haben wir das TikTok-Verbot, die Beschränkung des Datenverkaufs an "ausländische Gegner", den Vorschlag für APRA und die Verabschiedung des "4th Amendment Is Not For Sale Act" durch das Repräsentantenhaus (eine weniger diskutierte, aber sehr wichtige Entwicklung) erlebt.
Auch wenn einige dieser Gesetze umstritten sind, lässt sich nicht leugnen, dass der Datenschutz auf politischer Ebene an Dynamik gewinnt. Dies könnte der richtige Zeitpunkt für den Kongress sein, um ein dringend benötigtes Bundesgesetz zum Datenschutz zu verabschieden. Allerdings müssen die Macken von APRA noch ausgebügelt werden, und die Frage des Vorrechts der Bundesstaaten könnte den Verhandlungen einen Strich durch die Rechnung machen.
Alle Augen richten sich jetzt auf den Kongress. Angesichts des Gewichts der USA in der digitalen Wirtschaft wäre ein starkes Bundesdatenschutzgesetz nicht nur für die USA, sondern auch für den weltweiten Datenschutz ein großer Schritt nach vorn.
Wir haben Simple Analytics entwickelt, weil wir an ein datenschutzfreundliches Internet glauben. Wir helfen unseren Kunden, ihren Traffic zu verstehen und ihr Publikum zu erweitern, ohne ein einziges Bit an persönlichen Daten zu sammeln. Unser Webanalyse-Tool ist einfach zu erlernen, anpassbar und wird mit einem KI-Assistenten geliefert. Wenn sich das für Sie gut anhört, probieren Sie uns doch einfach mal aus!