Konferenz in Washington: USA kümmern sich um Datenschutz

Im März fand in Washington die Jahrestagung der ‘International Association of Privacy Professionals’ (IAPP) statt. In der Vereinigung sind mehr als 10.000 Datenschützer weltweit organisiert. In Washington diskutierten über 2000 Teilnehmer ihre unterschiedlichen Auffassungen über Bedeutung und Inhalt datenschutzrechtlicher Regelungen.

Eröffnungsreden: USA und Europa im Vergleich

In den Eröffnungsreden von Jeff Jarvis und Brad Smith wurde insbesondere die unterschiedliche regulative Herangehensweise in Europa und den USA betont. Während in den USA der Bürger unter Datenschutz im Grundsatz eher die Frage versteht, was der Staat mit den Daten seiner Bürger machen darf, steht in Europa unter dem Begriff Datenschutz eher im Focus, was Unternehmen mit den Daten von Verbrauchern machen dürfen.

Gerade im Vergleich der verschiedenen Entwürfe zu neuen Datenschutzregelungen zeigt sich zudem ein weiterer grundlegender Unterschied: Während Europa eher das “Opt-In-Konzept” verfolgt (zulässige Datenverarbeitung nur mit gesetzlichem Erlaubnistatbestand oder Einwilligung des Betroffenen), präferiert die US-Seite eher ein “Opt-Out-Konzept” (grundsätzliche Zulässigkeit von Datenverarbeitung mit entsprechenden Informationspflichten und den Möglichkeiten zur Datenlöschung und Widerspruchserteilung).

Datenschutz: Teil der US-Regelungswelt

Insgesamt zeigte die Größe der Veranstaltung, welche Bedeutung dem Thema Datenschutz in den USA tatsächlich beigemessen wird und welch professionelle Datenschutzstrukturen dort implementiert werden. Auf der Veranstaltung wurde zum Beispiel eine ganze Reihe von Softwareprodukten vorgestellt, um den (US-)Datenschützer in seiner täglichen Arbeit zu unterstützen.

US-Focus: “Data Breach Notifications”

Einen weiteren Schwerpunkt bildeten Ausführungen zum Thema “Data Breach Notifications” (in Deutschland über § 42a BDSG bekannt als Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten durch Dritte). In den USA existiert ein relativ dichtes und teils nach Bundesstaaten differenziertes Regelungsgeflecht an Vorgaben, wer im Fall eines Datenverlustes zu informieren ist und welche weiteren Maßnahmen zu ergreifen sind. Im Ergebnis setzen die US-Unternehmen zunehmend auf Verschlüsselungstechnik und die frühzeitige Implementierung datenschutzrechtlicher Vorgaben in die Prozesslandschaften der Unternehmen.

Kernthemen: Cloud-Computing, EU-Datenschutzverordnung und “BCRs”

Aus meiner persönlichen Sicht bildeten daneben die Veranstaltungen zu den Themen

  • Cloud-Computing (‘Privacy Compliance in the Cloud—12 Myths and Facts’,’Global Cloud Computing: Preventing a Digital Trade War’und ‘Selecting a Cloud Service Provider’,

  • Entwurf der EU-Datenschutzverordnung (‘Advanced Topics in European Privacy’,’EU Legislative Update’) und

  • Binding Corporate Rules (BCRs) (‘Binding Corporate Rules: We’ve Come a Long Way, Baby!’)

die inhaltlichen Schwerpunkte des diesjährigen Treffens. Eine vollständige Übersicht der Veranstaltungsinhalte findet sich hier.

Fazit

Die jährlich stattfindende IAPP Konferenz dient Datenschützern weltweit als Branchentreffen zum Erfahrungsaustausch. Interessant war die die kulturell bedingte unterschiedliche Auffassung über Bedeutung und Inhalt datenschutzrechtlicher Regelungen in einem internationalen Kontext. Es bleibt mit Spannung zu erwarten, ob und wenn ja zu welchem Regelungs-Kompromiss EU und USA beim Thema Datenschutz (insbesondere hinsichtlich der Kernthemen “Anwendungsbereich” und “Durchsetzbarkeit”) gelangen werden. Die Annahme, die USA würden sich um das Thema Datenschutz generell nicht kümmern, ist aus meiner Sicht in Anbetracht der IAPP Konferenz nicht zutreffend.