Vermeidung eines Showdowns über EU-Datenschutzgesetze

Im Oktober tritt die Datenschutzrichtlinie der Europäischen Union in Kraft. In den Vereinigten Staaten wenig bekannt, wird die Richtlinie die elektronische Übermittlung personenbezogener Daten europäischer Bürger in Länder mit als unzureichend erachteten Datenschutzgesetzen verbieten. Infolgedessen könnten viele US-Unternehmen mit europäischen Niederlassungen in ihren Aktivitäten erheblich beeinträchtigt werden.





Eine pauschale gesetzgeberische Reaktion, die europäisches Recht nachahmt, ist die falsche Reaktion. Ein besserer Ansatz ist die Selbstregulierung der am wahrscheinlichsten betroffenen Branchen und Unternehmen. Darüber hinaus scheint die EU-Richtlinie selbst solche sektoralen Maßnahmen zu befürworten.



Eine ausführlichere Untersuchung des Problems wird in Swire und Litans demnächst erscheinendem Brookings-Buch None of Your Business: World Data Flows, Electronic Commerce and the European Privacy Directive enthalten sein. Von Peter P. Swire und Robert E. Litan



RICHTLINIENKURZ #29



Die Vereinigten Staaten und der Rest der Welt befinden sich inmitten einer Revolution in der Informationsverarbeitung und -kommunikation. Vieles an dieser Revolution ist willkommen: Personalcomputer, die leistungsfähiger sind als Mainframes vor einer Generation; praktisch sofortige Kommunikation von Sprache und Daten auf der ganzen Welt; und ein ständig wachsendes Universum von Informationen, die über das Internet verfügbar sind.



Nichtsdestotrotz hat zumindest ein Aspekt der Computerrevolution erhebliche Bedenken hervorgerufen: die potenzielle Bedrohung der Privatsphäre des Einzelnen. Aufgrund der drastischen Reduzierung der Kosten für die Verarbeitung und den Zugriff auf Informationen ist es einfacher denn je, andere Personen aufzuspüren und viele Dinge über sie herauszufinden – wo sie sich befinden, was sie kaufen, welche Websites sie im Web besuchen und vieles mehr mehr. Es überrascht daher nicht, dass Meinungsumfragen ergeben, dass ein wesentliches Hindernis für das weitere Wachstum des elektronischen Geschäftsverkehrs – Geschäfte über das Internet – die Angst der Benutzer ist, dass die von ihnen kommunizierten Informationen in andere, unerwünschte Hände und in einer Weise verwendet werden, die sie nicht genehmigen.



Die zunehmenden Bedenken hinsichtlich des Datenschutzes im Informationszeitalter haben viele Diskussionen unter politischen Entscheidungsträgern im In- und Ausland ausgelöst. Insbesondere wird heftig darüber diskutiert, ob und inwieweit Datenschutzfragen – nicht nur im Kontext des Internets, sondern allgemeiner – durch Marktmechanismen, Technologie, Selbstregulierung der Industrie oder zwingende staatliche Regulierung behandelt werden sollten .

1998 könnte diese Debatte zu einem totalen Handelskrieg ausbrechen. Der Funke könnte die Umsetzung der Datenschutzrichtlinie der Europäischen Union sein, die im Oktober in Kraft tritt. In diesem Land wenig bekannt, abgesehen von einigen wenigen Branchen, die sich ihrer möglichen Auswirkungen bewusst sind, verbietet die Richtlinie (mit wenigen Ausnahmen) die Übertragung personenbezogener Daten europäischer Bürger in andere Länder, in denen es keinen angemessenen Schutz der Privatsphäre gibt.



Wird die EU entscheiden, dass es den Vereinigten Staaten an einem angemessenen Datenschutz fehlt? Oder werden, wie wir für wahrscheinlicher halten, wichtige Sektoren der US-Wirtschaft als unzureichend herausgestellt? Gibt es eine Möglichkeit, den bevorstehenden Showdown um die Datenschutzrichtlinie zu vermeiden?



Datenschutzerklärung auf beiden Seiten des Atlantiks

In welchem ​​Jahr ist der erste Mensch auf dem Mond gelaufen?

Während der Datenschutz auf beiden Seiten des Atlantiks sehr ernst genommen wird, gehen die Vereinigten Staaten und Europa sehr unterschiedliche Herangehensweisen an das Thema. Wie Fred Cate in seinem ausgezeichneten, kürzlich erschienenen Leitfaden zum Datenschutzrecht Privacy in the Information Age (Brookings Institution Press, 1997) erklärt, gibt es in den Vereinigten Staaten im Gegensatz zu den westeuropäischen Ländern kein einziges umfassendes Datenschutzgesetz. Es verfügt auch nicht über eine Behörde, die mit der Verwaltung eines solchen Gesetzes betraut ist. Der bisherige Ansatz der Vereinigten Staaten war selektiver und regulierte sowohl den öffentlichen als auch den privaten Sektor in bestimmten Bereichen streng – die Offenlegung personenbezogener Daten durch die Regierung, Kreditauskunfteien, Kabelfernsehanbieter und Videoverleihgeschäfte –, ansonsten hielten sie jedoch die Hände weg von der Privatwirtschaft. Das Fehlen allgemeiner Datenschutzgesetze in den Vereinigten Staaten ist kein Hinweis darauf, dass dem Datenschutz an Bedeutung mangelt, sondern spiegelt vielmehr die Tatsache wider, dass die Verfassung und die Gesetzgeber sowohl auf Bundes- als auch auf Landesebene auch konkurrierende politische Ziele, einschließlich der Prävention und Verfolgung von Straftaten, schätzen , den Presseschutz des Ersten Verfassungszusatzes und einen Generalverdacht auf staatliche Eingriffe, ein Verdacht, der in den letzten Jahren gewachsen zu sein scheint.



Der europäische Ansatz zum Datenschutz ist sowohl umfassender als auch restriktiver und spiegelt die Tatsache wider, dass der Datenschutz in Europa ein klar verankertes und streng zu schützendes Menschenrecht ist. Einige nationale Datenschutzgesetze bestehen seit über zwanzig Jahren, aber 1995 hat die Europäische Union die umfassende Richtlinie verabschiedet. Die Richtlinie soll den Datenschutz in der gesamten EU verbessern und harmonisieren und verlangt von jedem EU-Mitgliedstaat, ein strenges Datenschutzgesetz zu verabschieden, das bestimmte Elemente enthalten muss:



  • Sie muss von allen Personen, die personenbezogene Daten verarbeiten, verlangen, genau definierte, faire Informationspraktiken einzuhalten, einschließlich Garantien, dass Einzelpersonen Zugang zu allen sie betreffenden personenbezogenen Daten haben und die Möglichkeit haben, diese Daten zu korrigieren.
  • Das Gesetz darf die Verwendung personenbezogener Daten nur für den Zweck zulassen, für den sie ursprünglich erhoben wurden, sowie eine Unterrichtung und ein Widerspruchsrecht vor der erstmaligen Weitergabe von Daten an Dritte zum Zwecke des Direktmarketings verlangen .
  • Sie muss in jedem Land eine Aufsichtsbehörde einrichten, die die Datenschutzgesetze dieses Landes überwacht. Die Behörde muss zusammen mit Privatpersonen in der Lage sein, Vollstreckungsmaßnahmen wegen Verletzung von Datenschutzgesetzen einzuleiten.

    Dass sich die Vereinigten Staaten und die EU in ihren Herangehensweisen an den Datenschutz sowie in ihren Herangehensweisen an eine Vielzahl von politischen Fragen unterscheiden, würde bis auf eine Sache keine Rolle spielen. Artikel 25 der Richtlinie verbietet die Übermittlung personenbezogener Daten von Personen aus der EU in andere Länder, die nach Auffassung der EU kein angemessenes Datenschutzniveau bieten. Die Richtlinie enthält eine Reihe von Ausnahmen (Ausnahmen) von ihrem pauschalen Verbot, beispielsweise Fälle, in denen: die betroffene Person der Übermittlung eindeutig zugestimmt hat; die Überweisung ist notwendig, um eine Transaktion abzuschließen (wie den Kauf eines Flugtickets oder die Verwendung einer Kreditkarte in Europa); die personenbezogenen Daten sind ansonsten öffentlich; oder die Partei, die die Informationen übermitteln möchte, hat einen Vertrag abgeschlossen, der von der Aufsichtsbehörde des Landes genehmigt wurde, aus dem sie die Daten übermitteln möchte. Nach den bisherigen öffentlichen Äußerungen von EU-Beamten zu urteilen, dürften diese Ausnahmen jedoch eng ausgelegt werden. Daher wird das Verbot im Allgemeinen wahrscheinlich echte Konsequenzen haben.

    Russland vor Peter dem Großen

    Was wird die EU entscheiden?



    Es ist ein riskantes Unterfangen, genau zu erraten, wie die EU den Angemessenheitstest auf die Vereinigten Staaten anwenden wird, da EU-Beamte widersprüchliche Botschaften gesendet haben. Die gemischten Signale können auf den gleichzeitigen Wunsch der EU zurückzuführen sein, streng und doch vernünftig zu erscheinen, streng, um die Vereinigten Staaten zu ermutigen, ihre Datenschutzgesetze zu ändern, vernünftig, um eine Störung des normalen Handels zu vermeiden. Eine weitere Ursache könnte die Innenpolitik der EU sein. Verständlicherweise haben die für den Datenschutz zuständigen Beamten die härteste Linie in der Öffentlichkeit abgesteckt und in Reden darauf hingewiesen, dass der derzeitige Datenschutz in den Vereinigten Staaten für europäische Zwecke nicht angemessen ist. Andere Beamte, beispielsweise diejenigen, die Europa dazu drängen, im elektronischen Handel aktiv zu werden, und sind daher vorsichtig bei Maßnahmen, die den Datenfluss in die und aus der EU behindern könnten, haben einen kompromittierenden Ton angeschlagen. Aus unseren Gesprächen mit US-amerikanischen und europäischen Regierungsbeamten und sachkundigen Personen in der Unternehmensgemeinschaft auf beiden Seiten des Atlantiks prognostizieren wir die folgenden Ergebnisse:



  • Es ist unwahrscheinlich, dass die EU eine pauschale Feststellung trifft, dass der US-Datenschutz unzureichend . Stattdessen wird es wahrscheinlich Angemessenheitsentscheidungen auf branchen- und praxisspezifischer Basis treffen.
  • Die EU wird wahrscheinlich entscheiden, dass einige US-Branchen, die spezielle Gesetze zur Verwendung personenbezogener Daten haben tun den Angemessenheitstest bestehen. Die Kreditauskunftsbranche ist ein Beispiel.
  • Wenn nicht bald ein allgemeiner Kompromiss gefunden wird, wird die EU sehr wahrscheinlich ihre Ernsthaftigkeit mit der Richtlinie unter Beweis stellen, indem sie zunächst ein oder mehrere US-Unternehmen oder -Sektoren als nicht Angemessenheitsprüfung und unterliegt damit dem Datenübermittlungsverbot der Richtlinie. Ganz oben auf der Liste potenzieller Zielgruppen stehen unserer Ansicht nach Unternehmen aus der Direktmarketingbranche, der Versicherungsbranche und alle Unternehmen, die mit personenbezogenen medizinischen Daten umgehen (sofern der Kongress nicht umgehend Gesetzesvorschläge zum Schutz der Vertraulichkeit von Krankenakten erlässt).

    Gefährdete Sektoren und Praktiken

    Die obige Liste potenzieller Ziele könnte nur die Spitze des Eisbergs darstellen. Entscheidet die EU, dass der weitgehend selbstregulierende Ansatz der USA nicht ausreicht, um eine Angemessenheitsfeststellung zu rechtfertigen, ist ein viel weiter gefasstes Informationsembargo möglich. Natürlich könnten EU-Beamte dennoch einige Informationen im Rahmen einer oder mehrerer der Ausnahmeregelungen durchlassen. Aber basierend auf unseren Interviews und unserer Lektüre der Richtlinie selbst könnte die Übermittlung vieler Informationen über Personen in Europa eingeschränkt werden, mit vielleicht überraschend schwerwiegenden Auswirkungen.

    Bestimmte nachteilige Auswirkungen können jedes Unternehmen, das in Europa tätig ist, spüren – unabhängig von der Nationalität seines Eigentümers. Alle Unternehmen unterhalten umfangreiche Datenbanken mit persönlichen Informationen über ihre leitenden Angestellten, Mitarbeiter, Lieferanten und Kunden. Wenn das Unternehmen sowohl in den Vereinigten Staaten als auch in Europa Geschäfte macht, speichert es diese Daten mit ziemlicher Sicherheit auf einem oder mehreren Großrechnern oder Servern auf beiden Seiten des Atlantiks und verschiebt die Informationen nach Bedarf hin und her.

    Überlegen Sie nun, was passieren würde, wenn eine europäische Regierung – im Einklang mit der Politik der Europäischen Kommission – multinationalen Unternehmen mit Niederlassungen in Europa sagen würde, dass sie keine personenbezogenen Daten in die Vereinigten Staaten übermitteln könnten, sei es per Telekopie, auf einer Computerplatte, oder über das Internet. Plötzlich stellte das Unternehmen fest, dass es keine persönlichen Informationen über seine europäischen Mitarbeiter versenden konnte, was seine Fähigkeit, seine Mitarbeiter mit Jobs zu finden, frustrierte. Mitarbeiter, die Intranets oder Extranets des Unternehmens (Informationsnetzwerke mit wichtigen Lieferanten und Kunden) verwenden, würden feststellen, dass ihre Kommunikation mit anderen in den Vereinigten Staaten verboten und bestraft wird, wenn sie Informationen enthalten, die der weiten Definition von personenbezogenen Daten entsprechen. Datenbanken, die mit Informationen über europäische Kunden gefüllt sind, konnten zur Verarbeitung nicht in die USA versandt werden.

    Sind diese möglichen Nebenwirkungen phantasievoll? Leider nicht. Darüber hinaus sind sie wahrscheinlich nicht auf einige wenige Unternehmen beschränkt. Alle in Europa tätigen multinationalen Unternehmen mit US-Präsenz könnten es für erforderlich halten, die Art und Weise, wie sie Daten über Mitarbeiter und Kunden zu pflegen und weiterzugeben, radikal zu ändern, wenn die EU allgemein feststellt, dass großen Teilen der US-Wirtschaft ein angemessener Datenschutz fehlt.

    Unterdessen könnten selbst enge Feststellungen der Unzulänglichkeit für bestimmte Branchen besonders schädlich sein. Fluggesellschaften und Hotelketten, die in Europa Geschäfte machen, könnten möglicherweise nicht in der Lage sein, Daten über Essen, Sitzplätze und andere Präferenzen der Reisenden an Reservierungssysteme in den Vereinigten Staaten zu übertragen. Pharmaunternehmen könnten es unmöglich finden, Daten aus europäischen Forschungsstudien selbst mit ihren eigenen Mitarbeitern in den USA auszutauschen. Investmentbanker, die Geschäfte in Europa abschließen möchten, könnten nicht in der Lage sein, Daten über die leitenden Angestellten der Unternehmen zu sammeln, die ihre Kunden möglicherweise kaufen möchten. Wirtschaftsprüfungsgesellschaften in den Vereinigten Staaten könnte untersagt werden, Prüfungen von Transaktionen durchzuführen, an denen europäische Einzelpersonen beteiligt sind.

    Einige Skeptiker haben uns behauptet, dass die Europäer niemals Schritte unternehmen würden, die zu diesen Auswirkungen führen würden. Sie haben sich die Äußerungen verschiedener europäischer Beamter nicht angehört oder die Richtlinie nicht genau gelesen. Andere mögen behaupten, dass die Europäer niemals Datenbeschränkungen durchsetzen könnten. Das könnte stimmen. Aber die Tatsache, dass viele Datenübertragungen einfach unrechtmäßig gemacht werden könnten, setzt jedes Unternehmen, das in Europa tätig ist, der potenziellen Gefahr von rechtlichen Schritten, negativer Werbung und Belästigung aus. Darüber hinaus müssen insbesondere amerikanische Unternehmen bedenken, dass ihre europäischen Betriebe überwiegend mit Europäern besetzt sind und Unternehmen das Wohlwollen ihrer Mitarbeiter und Kunden riskieren, wenn sie wissentlich gegen europäisches Recht verstoßen.

    Den Showdown vermeiden

    Es ist davon auszugehen, dass die Vereinigten Staaten bis Oktober 1998 kein umfassendes Regulierungssystem zum Schutz der Privatsphäre in Gesetzesform annehmen werden, das heute in Europa vorherrscht. Dies gilt ungeachtet der Tatsache, dass allein auf dem 104. Kongress (1995-96) fast 1.000 Gesetzentwürfe vorgelegt wurden, die einige Bestimmungen zum Schutz der Privatsphäre enthielten. Weder der von den Republikanern kontrollierte Kongress noch die Clinton-Administration haben Appetit auf einen flächendeckenden Regulierungsansatz, den man heute in Europa findet.

    Bedeutet dies, dass die USA und die EU in der Datenschutzfrage auf Kollisionskurs sind? Nicht unbedingt. Wenn Beamte auf beiden Seiten des Atlantiks in den kommenden Monaten etwas Kreativität und Flexibilität zeigen, besteht zumindest die Chance, dass ein Datenschutzkrieg abgewendet werden kann.

    Insbesondere sollten die Vereinigten Staaten in ihrem eigenen Interesse und dem ihrer Bürgerinnen und Bürger zwei wichtige Schritte unternehmen, die gleichzeitig den Europäern ausreichend Schutz bieten könnten, um auch nur ein teilweises Embargo für personenbezogene Daten, die sonst für dieses Land bestimmt sind, zu verhängen . Europäische Beamte könnten für den Inlandsverbrauch behaupten, dass es ihre Richtlinie war, die uns veranlasste, das Thema Datenschutz ernster zu nehmen.

    Physikalische Eigenschaften der Venus

    Erstens sollte die Verwaltung, da es innerhalb der Bundesregierung keine institutionelle Einrichtung für Datenschutzangelegenheiten im Privatsektor gibt, ein ständiges Büro einrichten, das sich nicht nur mit dem Datenschutz befasst, sondern auch mit anderen Themen, die den elektronischen Geschäftsverkehr allgemein betreffen, wie Verschlüsselung, besondere Internetsteuern (die vermieden werden sollten) und Schutz des geistigen Eigentums im Netz. Wir bevorzugen es, dieses Büro innerhalb des Handelsministeriums anzusiedeln, das in diesem digitalen Zeitalter eine aktualisierte Mission haben sollte, um die Erleichterung des elektronischen Handels einzuschließen.

    Zweitens, anstatt eine neue Bundesbehörde einzurichten, die detaillierte Datenschutzbestimmungen erlässt, sollten verschiedene Branchen ihre eigenen Datenschutz-Verhaltenskodizes festlegen, und die Unternehmen innerhalb dieser sollten sich verpflichten, solche Kodizes in einer nachprüfbaren Weise einzuhalten. Solche Kodizes sollten zumindest Datenschutzgrundsätze enthalten, die: (1) Verbraucher darüber informieren, welche Daten über sie gesammelt werden und wie sie verwendet werden sollen, und (2) Verbrauchern eine sinnvolle Möglichkeit bieten, die Nutzung einzuschränken, und Wiederverwendung ihrer personenbezogenen Daten sowie zur Berichtigung von Fehlern, die möglicherweise in Unternehmensdateien vorhanden sind. Der Hauptvorteil einzelner unternehmens- und branchenspezifischer Kodizes besteht darin, dass sie per Definition die Einheitsmentalität staatlicher Regulierungsbehörden vermeiden und zu Praktiken führen, die auf die spezifischen Umstände in verschiedenen Wirtschaftssektoren zugeschnitten sind.

    Kritiker auf beiden Seiten des Atlantiks mögen einwenden, die Selbstregulierung sei unzureichend, weil sie nicht durchsetzbar sei. Das ist nicht wahr. Unternehmen, die Verbraucher auf ihre Datenschutzrichtlinie hinweisen und diese nicht einhalten, können wegen falscher Angaben angeklagt und von der Federal Trade Commission oder den Bundesstaaten wegen unlauterer oder betrügerischer Praktiken strafrechtlich verfolgt werden. Darüber hinaus können Personen, die sich verletzt fühlen, jederzeit die Medien informieren, die sich als die vielleicht effektivsten Durchsetzungsinstrumente von allen erwiesen haben. Letztes Jahr wurden Lexis-Nexis, AOL und Experian alle Gegenstand von Medienberichten über ihre Datenpraktiken, und sobald sie aufgedeckt wurden, gaben alle Unternehmen diese Praxis schnell auf.

    Der Selbstregulierungsansatz hat jedoch kaum eine Chance, die EU davon zu überzeugen, dass die Vereinigten Staaten einen angemessenen Datenschutz gewährleisten, es sei denn, amerikanische Unternehmen in verschiedenen Sektoren versuchen, klare Datenschutzgrundsätze zu übernehmen und einzuhalten. Einer von uns (Peter Swire) ist derzeit unter der Leitung von Alan Westin – ehemaliger Rechtsprofessor an der Columbia University und weithin als der führende Rechtsexperte des Landes für Datenschutz – an der Entwicklung solcher Kodizes beteiligt. Die Regierung ihrerseits hat dem Privatsektor mitgeteilt, dass sie bis zum Sommer, wenn ein Bericht zu diesem Thema auf dem Schreibtisch von Präsident Clinton ansteht, große Fortschritte in Richtung Selbstregulierung erwartet, oder sie wird auf die Annahme drängen der Gesetzgebung.

    Zu diesem Zeitpunkt könnte es zu wenig, zu spät sein, die Europäer zu besänftigen, wenn es um die Förderung von Gesetzen geht, die zu diesem Zeitpunkt in Inhalt und Umfang noch unbekannt sind. Grundsätzlich halten wir jedoch eine Gesetzgebung in diesem Bereich für verfrüht, insbesondere im Hinblick auf Informationen im Internet. Angesichts der starken öffentlichen Befürchtungen über den Mangel an Privatsphäre im Netz haben Unternehmen, die sich für den elektronischen Handel interessieren, starke marktbasierte Anreize, um Datenschutzbedenken anzugehen. Tatsächlich werden derzeit verschiedene technologische Ansätze entwickelt, die den Datenschutz in die Struktur von Internet-Transaktionen integrieren würden. Ein solcher Mechanismus würde es Verbrauchern ermöglichen, eine Standardoption in ihrem Browser anzugeben, die sich darauf bezieht, wie viele persönliche Informationen über sie übertragen werden sollen, sofern sie nicht ausdrücklich überschrieben werden. Angesichts der Tendenz des Kongresses, in allen Gesetzen, die er erlässt, stark präskriptiv zu sein, ist es schwierig, sicher zu sein, dass selbst ein minimalistischer Gesetzentwurf zum Datenschutz – einer, der lediglich einige einfache Datenschutzprinzipien kodifiziert – ohne viele andere potenziell belastende und unüberlegte Einschränkungen herauskommen würde angebracht.

    Ein praktischerer Ansatz wäre, dass das Weiße Haus und/oder das neue Büro des Handelsministeriums die rasche Entwicklung von Datenschutzkodizes durch Unternehmen fördern, deren Datenschutzpraktiken wahrscheinlich nicht nur für Europäer, sondern auch für Amerikaner von Bedeutung sein könnten. Tatsächlich plant die Regierung, eine Reihe von Treffen mit Unternehmen in Schlüsselsektoren durchzuführen, um sie zu drängen, ihre Datenschutzrichtlinien zu entwickeln oder zu aktualisieren, nicht nur um einen möglichen Konflikt mit Europa zu vermeiden, sondern auch um die Auferlegung potenziell belastender neuer Gesetze durch den Kongress zu verhindern und die Staaten. Der Privatsektor muss schnell handeln – und seine Entwicklung und Umsetzung von Datenschutzrichtlinien, Prinzipien oder Verhaltenskodizes beschleunigen – oder das Vakuum wird durch staatliche Maßnahmen gefüllt. Außerdem könnte die EU hier einem großen Selbstregulierungsschub des Privatsektors nur schwer widerstehen. Schließlich weist Artikel 27 der Datenschutzrichtlinie selbst die Mitgliedstaaten und die Kommission an, die Entwicklung von Verhaltenskodizes zu fördern. Wenn die EU die Fortschritte bei der Selbstregulierung hierzulande anerkennt, kann der bevorstehende Showdown um die Privatsphäre abgewendet werden.