7.1 Der US-Flickenteppich — Kein Bundesgesetz
Modul 7: Datenschutzgesetze in Amerika
Erklärt das Fehlen eines umfassenden US-Bundesdatenschutzgesetzes, den sektoralen Ansatz mit HIPAA, FERPA, COPPA und anderen Gesetzen sowie den ADPPA-Vorschlag aus europäischer Perspektive.
Learning Material
1 pagesDer US-Flickenteppich — Kein Bundesgesetz
Wer aus Europa die amerikanische Datenschutzlandschaft betrachtet, ist oft überrascht: Die USA haben kein umfassendes Bundesgesetz zum Schutz personenbezogener Daten — kein Pendant zur Datenschutz-Grundverordnung (DSGVO). Stattdessen existiert ein sektoraler Flickenteppich, der Datenschutz je nach Branche und Datenkategorie unterschiedlich regelt.
Die wichtigsten Sektorgesetze
Der Health Insurance Portability and Accountability Act (HIPAA, 1996) schützt Gesundheitsdaten und verpflichtet Krankenhäuser, Versicherungen und ihre Dienstleister zur Vertraulichkeit und Datensicherheit. Der Family Educational Rights and Privacy Act (FERPA, 1974) regelt den Umgang mit Bildungsdaten von Schülern und Studierenden und räumt Eltern sowie volljährigen Studierenden Auskunfts- und Korrekturrechte ein.
Der Children's Online Privacy Protection Act (COPPA, 1998) verpflichtet Betreiber von Websites und Online-Diensten, die sich an Kinder unter 13 Jahren richten, zur elterlichen Einwilligung vor jeder Datenerhebung. Der Fair Credit Reporting Act (FCRA, 1970) schützt Verbraucher vor falschen oder unrechtmäßig verwendeten Kreditdaten. Der Gramm-Leach-Bliley Act (GLBA, 1999) schreibt Finanzdienstleistern vor, Kundendaten zu schützen und transparent zu kommunizieren, welche Daten sie teilen.
Die FTC als De-facto-Datenschutzbehörde
Ohne eine zentrale Datenschutzbehörde nach europäischem Vorbild übernimmt die Federal Trade Commission (FTC) eine Schlüsselrolle: Sie verfolgt unlautere oder irreführende Datenschutzpraktiken als Wettbewerbsrechtsverstöße. Damit ist Datenschutz in den USA weniger ein Grundrecht als ein Konsumentenschutzthema, das über Marktregulierung durchgesetzt wird.
Warum stockt die Bundesgesetzgebung?
Seit Jahren diskutiert der US-Kongress ein umfassendes Datenschutzgesetz. Lobbygruppen der Technologie- und Werbewirtschaft bremsen ambitionierte Vorhaben. Hinzu kommt das strukturelle Spannungsfeld zwischen Bundesgewalt und Bundesstaatenrechten: Einzelne Staaten wie Kalifornien haben eigene Gesetze erlassen, die teils strenger als jedes diskutierte Bundesgesetz sind.
Der American Data Privacy and Protection Act (ADPPA), 2022 im Repräsentantenhaus beschlossen, enthält erstmals Rechte wie Datenzugang, Korrektur, Löschung und Opt-out vom Datenhandel sowie Mindestanforderungen an Datensicherheit. Das Gesetz wurde im Senat bisher nicht verabschiedet.
Europäische Perspektive
Aus Sicht des deutschen Datenschutzrechts wirkt das US-System lückenhaft: Es fehlt ein Recht auf informationelle Selbstbestimmung als Grundrecht, und große Teile der Bevölkerung sind nur durch sektorale Gesetze oder gar nicht geschützt. Für Unternehmen, die transatlantisch agieren, bedeutet das erhebliche Compliance-Komplexität — und für Verbraucher eine ungleiche Schutzsituation je nach genutztem Dienst.