Die jüngste Einigung von Facebook mit der Federal Trade Commission (FTC) hat die Debatte darüber neu entfacht, ob die Agentur der Aufgabe des Datenschutzes gewachsen ist. Viele Leute, darunter einige Skeptiker der FTC, das Silicon Valley zu zügeln, lobten die Einigung oder zumindest Teile davon.
Andere hingegen sahen die Fünf-Milliarden-Dollar-Bußgelder, Aufsichtsreformen und Compliance-Zertifizierungsmaßnahmen als Tropfen auf den heißen Stein im Vergleich zu den Gewinnen von Facebook. Zwei abweichende FTC-Kommissare und andere Kritiker wiesen darauf hin, dass die FTC weder das grundlegende Geschäftsmodell von Facebook geändert noch Mark Zuckerberg persönlich haftbar gemacht habe, obwohl es Hinweise darauf gab, dass das Unternehmen kurz nach der Unterzeichnung dieser Vereinbarung gegen seine ursprüngliche FTC-Einwilligungsanordnung von 2010 verstoßen habe. Einige Datenschutzanwälte und Gesetzgeber argumentierten sogar, dass die Grenzen des Vergleichs ein Beweis dafür seien, dass die FTC, die seit Ende der 1990er Jahre führende Datenschutzaufsichtsbehörde in den USA, nicht mehr die richtige Behörde ist, um unsere personenbezogenen Daten vor Big Tech zu schützen. Sie unterstützen die Schaffung einer neuen, auf den Datenschutz ausgerichteten Bundesbehörde.
Wir glauben, dass die FTC immer noch die richtige Behörde ist, um die Bemühungen um die Regulierung des Datenschutzes in den USA zu leiten. In diesem Essay erläutern wir die strukturellen und kulturellen Stärken der FTC für diese Aufgabe und wenden uns dann Reformen zu, die der FTC helfen könnten, sich den modernen Herausforderungen des Datenschutzes zu stellen. Grundsätzlich verfügt die FTC über die erforderliche Struktur und die erforderlichen rechtlichen Befugnisse, um angemessene Datenschutzbestimmungen durchzusetzen. Sie muss sich jedoch weiterentwickeln, um der Herausforderung der Regulierung moderner Informationsplattformen gerecht zu werden.
Die FTC hat bemerkenswerte Befugnisse. Bei seiner Gründung vor einem Jahrhundert gab ihm der Kongress beispiellose Untersuchungs- und Durchsetzungsinstrumente an die Hand. Diese wurden im Laufe der Zeit erweitert, da die FTC mit neuen Unrechten konfrontiert wurde. Heute kann die FTC Geschäftspraktiken auch dort prüfen, wo es kein Ermittlungsprädikat gibt, und als allgemeine Verbraucherschutzbehörde kann sie fast jedes Unternehmen verklagen.
Dadurch ist die FTC wendig und kann sich ohne Kongressakt an neue Technologien anpassen. Gegründet in den Tagen irreführender Zeitungswerbung, wandte sich die FTC schnell dem Radio-, Fernseh- und Internetbetrug zu. Die Breite und Allgemeinheit seiner Befugnisse sind auch eine Quelle der Stärke. Moderne Verbraucherprobleme sind weit mehr als nur Datenschutz, sondern umfassen Plattformen, Macht, Informationsasymmetrien und Marktwettbewerb. Theoretisch verfügt die FTC über eine ausreichend breite Zuständigkeit und Zuständigkeit, um verschiedene Probleme zu behandeln, die oft als Datenschutz bezeichnet werden, wie etwa algorithmische Manipulation und Rechenschaftspflicht.
In der Informationswirtschaft gehört die Privatsphäre zu den wichtigsten Werten, die Gesetze und Normen schützen sollten. Gleichzeitig muss die Privatsphäre jedoch auch anderen wichtigen Werten Rechnung tragen, einschließlich der Risiken, die mit der wirtschaftlichen Entwicklung verbunden sind. Aus unserer Sicht ist Privatsphäre ein Mittel zum Zweck der Freiheit und Autonomie in unserem persönlichen Leben und in unserem Gemeinwesen. Es ist eine Schlüsselkomponente für das menschliche Gedeihen.
Viele Datenschutzprobleme gelten als neu. Die FTC verfügt jedoch über jahrzehntelange Erfahrung im Umgang mit Datenschutzproblemen, insbesondere bei Kreditauskünften und Inkasso. Die frühesten Datenschutzangelegenheiten der FTC im Jahr 1951 und dann in einer Reihe von Fällen in den 1970er Jahren erkannten die allgemeine Präferenz der Verbraucher gegen die Kommerzialisierung personenbezogener Daten an. Im Rahmen ihrer Durchsetzungsbefugnisse verklagte die FTC Unternehmen wegen betrügerischer Datenerhebung und wegen des Verkaufs von Daten, die bei der Erstellung von Steuererklärungen erhoben wurden. Die Agentur brachte ihren ersten internetbezogenen Betrugsfall 1994 vor, lange bevor die meisten Verbraucher online kauften. Seitdem verfolgt die FTC die größten Namen im Internethandel. Sie hat die Pflichten für einen fairen Umgang mit Informationen, insbesondere im Bereich der Informationssicherheit, stetig erweitert.
Die umfassendste Gerichtsbarkeit der FTC ist die Durchsetzung unlauterer und betrügerischer Praktiken gemäß Abschnitt 5 des FTC-Gesetzes. Trotz einer großen Reichweite weist Abschnitt 5 jedoch einige erhebliche Leistungsgrenzen auf. Die FTC kann bei Verstößen gegen Abschnitt 5 im Allgemeinen zunächst keine Geldbuße verhängen – Geldstrafen können nur für Verstöße gegen Einwilligungserlasse verhängt werden, wie es im Fall Facebook der Fall war.
ist die Zeit heute eine Stunde zurückgegangen
Ressourcen sind die größte Einschränkung der FTC. Es handelt sich um eine kleine Agentur mit einem umfassenden Auftrag im Bereich Wettbewerb und Verbraucherschutz. Es führt diese Mission mit einem Budget von knapp über 300 Millionen US-Dollar und insgesamt etwa 1.100 Mitarbeitern durch, von denen nicht mehr als 50 für den Datenschutz zuständig sind. Im Vergleich dazu hat das Information Commissioner's Office (ICO) des Vereinigten Königreichs über 700 Mitarbeiter und ein Budget von 38 Millionen Pfund für eine Mission, die sich ausschließlich auf Privatsphäre und Datenschutz konzentriert. Darüber hinaus hat der Kongress die FTC für einen Großteil der modernen Geschichte an der kurzen Leine gehalten. 1980, Kongress die Agentur bestraft, weil sie zu aggressiv war , wodurch es zweimal heruntergefahren wird. Der Kongress hat die Autorität über den Kopf der Agentur gehalten und die Aufsichtsbefugnis genutzt, um zu überprüfen, was Mitglieder des Kongresses als weitreichende Nutzung der rechtlichen Befugnisse der FTC wahrnehmen, einschließlich ihrer Interpretation von Datenschutzverletzungen.
Angesichts dieser Beschränkungen treffen FTC-Anwälte bei der Fallauswahl pragmatische Entscheidungen. Zu jeder Zeit ermitteln Linienanwälte gegen viele Unternehmen und wägen ab, wo die begrenzten Durchsetzungsressourcen zum Einsatz kommen sollen. Die FTC kann nur gegen einen kleinen Bruchteil der Rechtsverletzer klagen und hat die Fälle mit Bedacht gewählt, um der Industrie lautstarke Erklärungen zum Schutz der Privatsphäre abzugeben.
Trotz dieser starken Einschränkungen ist es gelungen, wichtige Normen zu stärken und starke Signale an die Industrie zu senden, die die Praktiken vieler Unternehmen beeinflusst haben. Es ist zu einer bedeutenden Durchsetzungsbehörde geworden, der die Industrie Aufmerksamkeit schenkt. Es hat eine Durchsetzungsbilanz, die sich mit denen anderer Behörden in den USA und auf der ganzen Welt vergleichen lässt.
Einige Kritiker der Facebook-Vereinbarung haben sich nur auf ihre Mängel konzentriert. Trotz Mängeln und Einschränkungen in der Einwilligungsreihenfolge war die Fünf-Milliarden-Dollar-Strafe die mit Abstand größte Datenschutzregelung weltweit. Es ist eine Größenordnung höher als die bisher höchste Geldbuße nach der Datenschutz-Grundverordnung der EU (die Geldstrafe des britischen ICO in Höhe von 183 Millionen Euro gegen British Airways) und ungefähr das Doppelte der Rekordstrafe nach dem EU-Wettbewerbsrecht, die von Datenschutzbeauftragten als gefordert wurde Hinweis auf Datenschutzstrafen.
Der Vergleich enthält auch bedeutende und bemerkenswerte Maßnahmen, wie z. B., dass Facebook gezwungen wird, den Datenschutz zu einem Anliegen auf Vorstandsebene zu machen, und Mark Zuckerberg auffordern, die Einhaltung zu überprüfen. Wie die abweichenden Kommissare Chopra und Slaughter feststellen, löst die Einigung der FTC nicht jedes Problem; Die Struktur und das Geschäftsmodell von Facebook bleiben gleich. Aber keine bestehende Durchsetzungsbehörde hat in diesem Fall annähernd die Auswirkungen der FTC erreicht, und ausländische Datenschutzbehörden, die den in den USA als FTC-Alternativen vorgeschlagenen ähnlich sind, haben weder die Macht noch das politische Kapital dafür bewiesen. Was die Datenschutzbehörden angeht, schneidet die FTC in vielerlei Hinsicht gut mit anderen ab.
Die FTC ist resistent, wenn auch nicht immun, gegen die Eroberung durch die von ihr regulierten Industrien. Ein Grund, warum sich die FTC gegen eine Erfassung sträubt, besteht darin, dass sie keine einzelne, zusammenhängende Industrie reguliert. Auch die Technologiebranche ist eine heterogene Gruppe mit konkurrierenden und widersprüchlichen Grundinteressen. Während einige Technologieunternehmen ihre Geschäftsmodelle mit Verpflichtungen zum Schutz der Privatsphäre als Menschenrecht begleitet haben, ist dies im Silicon Valley nicht typisch.
Die jüngste Capture-Episode der FTC im Zusammenhang mit der Kreditblase. Die Agentur hat viel aus dem Kredit getrunken, ein Beamter hat sogar den Satz geprägt Wunder des Sofortkredits zu beschreiben, was er für ein solides Vergabesystem hielt, das selbst mit Subprime-Kreditnehmern angemessene Risiken eingehen konnte. Zu dieser Zeit übernahmen die FTC – und praktisch alle anderen Regulierungsbehörden – die Präferenzen der Industrie für den Datenverkauf und schlossen sich der Industrie an, sich gegen echte Reformen zum Schutz der Verbraucher zu wehren.
Die Reaktion auf die Kreditkrise ist aufschlussreich, um die Stärken und Schwächen der FTC im Verbraucherschutz einzuschätzen. Die Katastrophe erschütterte das Vertrauen des Kongresses in die FTC und veranlasste den Kongress zu der Annahme, dass Finanzdienstleistungen eine eigene Verbraucherschutzbehörde, das Consumer Financial Protection Bureau (CFPB), brauchten. Mit einem neuen Präsidenten an der Spitze hat sich die CFPB von einem ernsthaften Vollstrecker zu einem Schiff der reinen Verbraucheraufklärung entwickelt. Im Gegensatz zur CFPB hat die FTC die Trump-Administration bisher überstanden. Die ernannte Führung der FTC ist gut qualifiziert und grundsätzlich mit einer Verbraucherschutzmission an Bord.
Agenturen können nicht nur von Branchen, sondern auch von Ideologien erfasst werden. So wichtig die Privatsphäre auch ist, das Risiko einer Datenschutzbehörde besteht darin, dass sie zu sehr auf den Datenschutz ausgerichtet wird und sich zu sehr auf den weitgehend verfahrensrechtlichen Schutz fairer Informationspraktiken konzentriert. Die FTC hat es im Allgemeinen vermieden, zu weit in eine dieser Richtungen abzuweichen. Sie ist mit einem ganzheitlicheren Ziel des Verbraucherschutzes beauftragt. Es behandelt Datenschutz nicht als Selbstzweck, sondern hat sich zum Ziel gesetzt, den Datenschutz in einem Umfeld florierender Märkte und technologischer Entwicklung zu fördern.
Die Struktur der FTC, bei der nicht mehr als drei von fünf Kommissaren derselben politischen Partei angehören dürfen, hat ihr geholfen, überparteilich zu bleiben. Und in der Praxis hat die FTC in Datenschutzfällen im Allgemeinen mit einem breiten Konsens vorgegangen. Die meisten Maßnahmen zur Durchsetzung des Datenschutzes haben von den Kommissaren 5-0 Stimmen erhalten.
Trotz der ausgewogenen und konsequenten Durchsetzung der FTC schöpft sie nicht das volle Potenzial ihrer Befugnisse aus. Die Agentur sollte mehr bahnbrechende und normgerechte Fälle aufnehmen. Die meisten ihrer modernen Fälle sind Slam-Dunks, weil die Agentur risikoscheu ist und einen Rückschlag durch den Kongress befürchtet. In einer anderen Ära, als der Kongress die FTC unterstützte, nahm die FTC sogar Fälle auf, die normativ folgenreicher waren. In den letzten Jahrzehnten ist sie jedoch vorsichtiger und schrittweise vorgegangen, hat Einverständniserklärungen ausgehandelt und nur selten Rechtsstreitigkeiten geführt.
Abgesehen davon, dass die FTC mehr zur Weiterentwicklung der Normen tut, verfügt sie über Befugnisse, die bei Anwendung mehr Abschreckung bewirken könnten. Der DC Circuit hat kürzlich eine umfassende Befugnis bekräftigt, Personen, die direkt an betrügerischen Praktiken beteiligt sind oder diese kontrollieren, persönliche Haftung aufzuerlegen. Dies scheint ein hervorragendes Mittel für Plattformunternehmen wie Facebook und Google zu sein. Diese Unternehmen werden weiterhin im eigentlichen Sinne von den Gründern kontrolliert, und die Gründer haben wenig oder inkonsequent die Privatsphäre der Nutzer respektiert. Bei ihren Ermittlungen hat die FTC zahlreiche E-Mails von Führungskräften aufgedeckt, in denen sie Informationen über Raubzüge diskutieren. Diese Führungskräfte stärker in die Verantwortung zu nehmen, könnte eine dramatische abschreckende Wirkung haben.
Die FTC könnte auch eine größere Abschreckung erreichen, indem sie eine obskure Macht nutzt, die als Nichtbeantworterhaftung bekannt ist. In Fällen, in denen die FTC über eine vollständig entschiedene Angelegenheit bezüglich einer Geschäftspraxis verfügt, kann die Agentur diesen Präzedenzfall nutzen, um zivilrechtliche Sanktionen gegen andere zu verhängen, die dieselbe Tätigkeit ausüben . Die Befugnis ist auf Fälle der tatsächlichen Kenntnis eines eng übereinstimmenden Präzedenzfalles durch den neuen Beklagten beschränkt, kann jedoch durch Zusendung einer Mitteilung über sein Fehlverhalten und der entsprechenden vorherigen Anordnung an dieses Unternehmen festgestellt werden. Wenn wir an die jüngsten Datenschutzverletzungen denken – schlechte Datensicherheit, Verkauf von Daten trotz des Versprechens, dies nicht zu tun usw. – sind viele weit verbreitete und wiederkehrende Praktiken. Wenn die FTC bereit wäre, nur einen Fall zu entscheiden, in dem es um den Verkauf von Informationen, die Änderung von Benutzereinstellungen oder sogar die Speicherung von Passwörtern im Klartext geht, könnten Hunderte von Unternehmen durch diesen Mechanismus zivilrechtliche Sanktionen erben.
Die bestehenden Befugnisse der FTC würden durch eine Ausweitung ihrer wirtschaftlichen Analyse gestärkt. Einige innerhalb der FTC betrachten die Privatsphäre als ein wirtschaftliches Interesse, aber die Anwendung der wirtschaftlichen Prinzipien durch die FTC war zu doktrinär. Die FTC nimmt die Nützlichkeitsansprüche von Unternehmen, die aus personenbezogenen Daten gewonnen wurden, zum Nennwert – sehen Sie sich nur an, wie sich die Agentur gegenüber Subprime-Kreditgebern verzog. Gleichzeitig steht die FTC den wirtschaftlichen Folgen des Informationshandels für Verbraucher skeptisch gegenüber, einschließlich der Transaktionskosten, die Unternehmen gestalten und den Verbrauchern opportunistisch auferlegen können. Die FTC ist mit den besten Verhaltensnachweisen in Bezug auf die (falsche) Wahrnehmung der Informationswirtschaft durch Verbraucher nicht Schritt. Mit einem breiteren wirtschaftlichen Konzept von Verbraucherverhalten und Datenschutzverletzungen könnte die FTC ihre Macht nutzen, um viele normverletzende Praktiken zu überwachen.
Vollform von am und pm
Die FTC hat die Herausforderung des Informationsmarktes und der Plattformmacht nicht vollständig erkannt, was zu unzureichend konzipierten Fällen und verpassten Gelegenheiten führte. Die Herausforderung für den modernen Verbraucher besteht nicht in Informationsknappheit und einer diskreten Wahl zwischen dem Kauf eines Bauchmuskeltrainers oder eines Bauchmuskeltrainers. Die moderne Informationsdynamik ist von Informationsschwemme geprägt, und viele Transaktionen laufen kontinuierlich ab, bei denen Unternehmen versuchen, Verbraucher auf einer Plattform zu erfassen. Plattformen haben unergründliche Mittel und unverständliche Ziele, können die Bedingungen für Verbraucher ändern und werden Benutzerdaten nach Möglichkeit für immer aufbewahren.
Die Macht der Plattform ist somit größer als unsere individuellen Entscheidungen. Plattformbefugnisse prägen unsere Entscheidungen und verzerren, was wir für möglich halten. Das ist die moderne Herausforderung, der sich die FTC stellen muss. Es ist größer als die Privatsphäre, und eine Agentur, die sich nur auf den Datenschutz konzentriert, könnte es nicht angehen.
Mit größeren Ressourcen könnte die FTC viel mehr Fälle bearbeiten. Wie viele, hängt von der Art der Unternehmen und den Geschäftsbereichen ab. Ein Hufeiseneffekt plagt die FTC-Datenschutzdurchsetzung: Einige kleine Unternehmen halten sich möglicherweise für immun, weil sie glauben, dass sie für die Aufmerksamkeit der FTC zu belanglos sind, während einige der größten Unternehmen bewiesen haben, dass sie fast alles tun, um den Plattformstatus zu erlangen.
Offensichtlich reicht die Zahl der Fälle, die die Agentur derzeit bearbeitet, nicht aus. Im Durchschnitt kündigt die FTC etwa 15-20 Vollstreckungsvergleiche nach Abschnitt 5 pro Jahr an. Es könnte mit einer Größenordnung von 100 Fällen beginnen und dann die abschreckende Wirkung auf kleine und große Unternehmen untersuchen. Aber es braucht weit mehr Ressourcen, um auf diese Weise zu skalieren. Unabhängig davon, ob er umfassende Datenschutzgesetze erlässt, die die Durchsetzungsbefugnis der FTC erweitern, sollte der Kongress die Mittel der Behörde zur Durchsetzung bestehender Gesetze erheblich ausweiten.
Wenn sich Bedrohungen von Plattformen weiterentwickeln und klar werden, muss die FTC möglicherweise darüber hinaus mehr als gegen Täuschung und unfaire Handlungen, die Schaden anrichten, und auch gegen Manipulationen und missbräuchliche Praktiken vorgehen. Plattformen und Apps setzen jetzt regelmäßig manipulative Schnittstellen ein, manchmal auch als Dark Patterns bezeichnet, um Menschen abzuwerben, zu unterdrücken und zu überzeugen, gegen ihre eigenen Interessen zum Wohle des Unternehmens zu handeln. Diese dunklen Muster sind oft nicht gerade trügerisch und verursachen auch nicht unbedingt den erheblichen Schaden, der von den Regeln der Ungerechtigkeit erwartet wird. Vielmehr nutzen sie die eigenen Grenzen der Menschen in nachteiliger Weise gegen sie aus. Der Kongress könnte die FTC ermutigen, diese dunklen Muster zu bekämpfen, indem er Abschnitt 5 ändert, um neben betrügerischen und unfairen auch missbräuchliche Handelspraktiken zu verbieten, was die Befugnisse der CFPB widerspiegeln würde.
Was die beiden abweichenden Kommissare und viele Kritiker wirklich verärgert hat, ist, dass die FTC das Geschäftsmodell von Facebook nicht geändert hat; es hat gerade eine bessere Papierspur erstellt, wenn Facebook seine Benutzer überwacht. Wenn es der FTC jedoch ernst wird mit dem Datenschutz, muss der Kongress unter anderem ernsthaft die Macht der Plattform einschränken. Die FTC kann nicht mutig all die Dinge tun, die getan werden müssen, ohne dass der Kongress ebenfalls tätig wird.
Wir sind der Meinung, dass die FTC angesichts ihrer Beschränkungen bei zivilrechtlichen Sanktionen und Vorschriften gut abgeschnitten hat. Die Leistung der FTC muss im Kontext ihrer feindlichen Umgebung bewertet werden. Es wird ständig von mächtigen Unternehmensgruppen übertroffen. Die FTC verfügt über weit weniger Ressourcen als die meisten der von ihr untersuchten Unternehmen sowie ihre vergleichbaren Agenturen in anderen Teilen der Welt. Angesichts ihrer Macht, ihrer Position, des Gesetzes und all des Drucks, der auf sie ausgeübt wird, hat die FTC diese Gewässer gut bewältigt. Sie war im Allgemeinen parteiübergreifend und hat einen Großteil der Politisierung vermieden, die bei der Federal Communications Commission und der CFPB zu beobachten war.
Aber wenn die FTC eine erfolgreiche Regulierungsbehörde für Technologieplattformen sein soll, braucht sie mehr Ressourcen, mehr Werkzeuge, einen größeren Schutz vor politischem Druck und ein klares Mandat des Kongresses. Nur dann kann sie eine umfassendere Vision von Privatsphäre, Macht und menschlichem Gedeihen für eine sichere und nachhaltige Informationsgesellschaft entwickeln und verwirklichen.