Im vergangenen Jahr hat der Oberste Gerichtshof mit seinem Urteil in der Rechtssache Dobbs gegen Jackson das US-Verfassungsrecht in Bezug auf das Recht auf Schwangerschaftsabbruch drastisch verändert.
Über die Entscheidung selbst wurde weltweit in den Medien viel berichtet, aber die damit eingeleitete Krise des Datenschutzes blieb außerhalb der USA weitgehend unbemerkt. Im Folgenden erfahren Sie, was in den USA nach dem Urteil Dobbs vs. Jackson vor sich geht und was die EU daraus lernen kann.
- Hintergrund
- Dobbs v. Jackson ist eine Krise der Privatsphäre
- Big Tech ist nicht hilfreich
- Der HIPAA ist nicht genug
- Was tun die USA, um den Schaden zu begrenzen?
- Was kann Europa aus dieser Datenschutzkrise lernen?
Hintergrund
Am 24. Juni 2022 entschied der Oberste Gerichtshof der Vereinigten Staaten in der Rechtssache Dobbs vs. Jackson. Damit kippte er Roe vs. Wade, einen Präzedenzfall aus dem Jahr 1973, der das Recht auf Abtreibung in den USA schützte. Infolge von Dobbs vertritt der Gerichtshof nun die Auffassung, dass die US-Verfassung das Recht auf Abtreibung nicht schützt und dass es den Bundesstaaten freisteht, diese Frage nach eigenem Gutdünken zu regeln.
Das umstrittene Urteil öffnete einer Welle von Anti-Abtreibungsgesetzen in konservativen Bundesstaaten Tür und Tor**.** Ein Jahr nach der Entscheidung gibt es in etwa der Hälfte der Staaten Gesetze, die den Schwangerschaftsabbruch einschränken oder verbieten und in einigen Fällen Abtreibungswillige und diejenigen, die ihnen helfen, kriminalisieren.
Die Entscheidung wurde von Regierungen, internationalen Organisationen und vielen Stimmen aus Wissenschaft und Zivilgesellschaft scharf kritisiert. In einem von fast 200 Nichtregierungsorganisationen unterzeichneten Schreiben wird auf die schwerwiegenden Auswirkungen von Dobbs auf die Rechte von Frauen und die körperliche Autonomie sowie auf die unverhältnismäßigen Folgen für bereits benachteiligte Gemeinschaften hingewiesen.
Dobbs v. Jackson ist eine Krise der Privatsphäre
Dobbs v. Jackson hat den Rechten und der Autonomie der Frauen einen schweren Schlag versetzt und gleichzeitig eine umfassende Krise der Privatsphäre ausgelöst.
Die Strafverfolgungsbehörden konservativer Staaten nutzen derzeit die digitalen Fußabdrücke von Frauen, um Abtreibungswillige zu verfolgen, einschließlich Standortdaten, Google-Suchen und Chats mit Familienmitgliedern. Die Daten von Frauen werden im Rahmen eines Mandats gesammelt oder einfach auf dem Markt gekauft, was allzu bequem ist und keine Einschaltung eines Gerichts erfordert. Sogar Zivilisten kaufen manchmal diese Daten, um Abtreibungswillige bei den Behörden zu melden und die von einigen Staaten ausgelobten Kopfgelder zu kassieren.
Wie ist eine so dramatische Krise der Privatsphäre in einem Land der ersten Welt möglich?
Ein Hauptproblem ist, dass die USA kein Bundesdatenschutzgesetz haben, sondern nur Gesetze für bestimmte Sektoren wie das Gesundheitswesen und das Finanzwesen sowie bundesstaatliche Gesetze wie das kalifornische CCPA und das CPA von Colorado. Ein Bundesgesetz zum Schutz der Privatsphäre (American Data Protection and Privacy Act) wurde zwar vorgeschlagen, steht aber noch lange nicht vor der Fertigstellung.
Ohne einen Datenschutz auf Bundesebene hängt die Online-Privatsphäre der meisten US-Bürger weitgehend von der Datenschutzkultur und den Praktiken der Unternehmen ab, denen sie ihre Daten anvertrauen, und das ist eine schlechte Nachricht. Viele Unternehmen sind bereit, Daten an den Meistbietenden zu verkaufen, und die meisten Bundesstaaten haben keine Gesetze, um sie daran zu hindern.
In Staaten mit Datenschutzgesetzen sieht es nicht viel besser aus. In den Gesetzen werden die Datenschutzrechte in der Regel in Form von Opt-out-Rechten und nicht in Form von Verboten formuliert. Aber die meisten Menschen sind einfach zu beschäftigt, um sich bei jedem einzelnen Dienst, den sie nutzen, und jeder Website, die sie besuchen, gegen invasive Datenerfassungspraktiken zu entscheiden.
Unterm Strich horten Online-Dienste enorme Mengen personenbezogener Daten aus Profitgründen, und die meisten von ihnen sind Freiwild, wenn man das Geld dazu hat.
Das ist nichts Neues. Datenschützer machen schon seit langem auf die enormen Gefahren der Online-Überwachungswirtschaft aufmerksam. Der Fall Dobbs gegen Jackson hat diese Risiken für amerikanische Frauen nur noch deutlicher gemacht.
Big Tech ist nicht hilfreich
Trotz aller Versprechen, die Privatsphäre zu achten und zu schützen, tut Big Tech nicht viel, um Frauen zu schützen. Einem kürzlich erschienenen Artikel von Insider zufolge erhält Meta jährlich mehr als 400.000 Anfragen der Regierung nach persönlichen Daten und ficht diese selten vor Gericht an.
Erschwerend kommt hinzu, dass selbst dann, wenn Big Tech versucht, den Schaden zu begrenzen, dies nicht immer gelingt.
Letztes Jahr versprach Google, sensible Orte wie Abtreibungskliniken aus dem Standortverlauf von Google Maps zu löschen. Später haben sowohl die Washington Post als auch Accountable Tech mit Google Maps experimentiert und festgestellt, dass die Löschung sensibler Standortdaten inkonsistent und sehr unzuverlässig ist.
Warum kann Google sein Versprechen nach einem Jahr nicht einhalten?
Nun, Google-Dienste sind von vornherein so konzipiert, dass sie in die Privatsphäre eingreifen. Sie wurden entwickelt, um zuerst die Daten zu erfassen und sich erst später um den Datenschutz und die Datenverwaltung zu kümmern - wenn überhaupt. Jetzt sind Maßnahmen zur Wahrung der Privatsphäre erforderlich, aber sie sind schwer zu implementieren, wenn sie von Anfang an nicht vorhanden waren. Es ist, als würde man versuchen, Bremsen an einem Auto anzubringen, das von vornherein nicht für Bremsen ausgelegt war und jetzt mit voller Geschwindigkeit fährt.
DerDatenhunger ist das Kernproblem. Und es ist viel, viel größer als Google. Unzählige andere Dienste horten alle Daten, die sie bekommen können, ohne sich um den Datenschutz und die Datenverwaltung zu scheren. Infolgedessen wächst der digitale Fußabdruck des Nutzers bis zu einem Punkt, an dem nicht einmal die Unternehmen selbst die Daten unter Kontrolle halten können.
Dasselbe Problem tauchte kürzlich in einem Rechtsstreit gegen Meta auf, in dem das Unternehmen im Wesentlichen zugab, wenig oder gar keine Kontrolle über die ungeheuren Datenmengen zu haben, die es sammelt.
Auch hier sind Google und Meta eher die Regel als die Ausnahme. Unternehmen haben einen Anreiz, alle Daten zu horten, aus denen sie Profit schlagen können. Datenhunger führt zu mangelhafter Datenverwaltung, und mangelhafte Datenverwaltung führt zu Datenschutzkatastrophen, weil man Daten, über die man keine Kontrolle hat, nicht schützen kann.
Der HIPAA ist nicht genug
Aber gibt es in den USA nicht den HIPAA? Warum wird das Problem damit nicht gelöst?
Die Sache ist die. Der Health Insurance Portability and Accountability Act (HIPAA) ist kein Datenschutzgesetz im eigentlichen Sinne, sondern ein sektorspezifisches Gesetz für Gesundheitsdienstleister (wie wir in einem anderen Blog erläutert haben). Die Datenschutzvorschriften sind sehr eng gefasst, da der HIPAA nur für Gesundheitsdienstleister und die von ihnen beauftragten Unternehmen gilt.
Zwar spielen Verstöße gegen den HIPAA eine Rolle bei der Datenschutzkrise in den USA, doch das Hauptproblem sind die riesigen Mengen an Gesundheitsdaten, die gar nicht unter den HIPAA fallen. Wenn Sie Informationen über die von Ihnen eingenommenen Medikamente googeln oder Google Maps auf der Fahrt zum Krankenhaus nutzen, können Sie Ihren Online-Fußabdruck um einige gefährlich sensible Daten erweitern. Und doch fallen diese Daten nicht unter den HIPAA, weil Google kein Gesundheitsdienstleister ist.
Menstruations-Apps sind ein herausragendes Beispiel für dieses Problem. Diese Apps sammeln sehr detaillierte Informationen über den reproduktiven Status von Millionen von Frauen, die sie nutzen. Diese Informationen fallen nicht unter den HIPAA und können in den meisten Staaten mit geringen oder gar keinen Einschränkungen verkauft werden.
Zusammenfassend lässt sich sagen, dass der sehr enge Anwendungsbereich des HIPAA in Verbindung mit dem Fehlen von Bundesgesetzen zum Schutz der Privatsphäre zu einem gefährlichen Mangel an Schutzmaßnahmen für sensible Daten führt.
Was tun die USA, um den Schaden zu begrenzen?
Washington hat als erster Bundesstaat auf die Datenschutzkrise reagiert und im April 2023 den My Health, My Data Act verabschiedet. Der My Health, My Data Act sieht einen stärkeren Schutz von Gesundheitsdaten vor und verbietet das Geofencing in der Nähe von Gesundheitsdienstleistern, d. h. die Verwendung von Standortdaten (in der Regel von Smartphones), um herauszufinden, wer einen bestimmten Ort besucht hat. Die Bundesstaaten Connecticut und Nevada folgten später dem Beispiel und verabschiedeten ähnliche Gesetze zum Schutz von Gesundheitsdaten.
Einerseits besteht die Hoffnung, dass dieser Gesetzgebungstrend zu einem starken Schutz von Gesundheitsdaten (und sensiblen Informationen im Allgemeinen) im vorgeschlagenen American Data Protection and Privacy Act führen wird. Andererseits werden sich Staaten, die bereits einen starken Schutz für Gesundheitsdaten haben, wahrscheinlich gegen jeden Entwurf des ADPPA wehren, der diesen Schutz abschwächt, so dass diese Gesetze den perversen Effekt haben könnten, die politischen Verhandlungen über das Gesetz zu verzögern, indem sie die ohnehin schon heikle Frage der staatlichen Vorrechte noch komplizierter machen.
Weitere wichtige Entwicklungen kommen aus Kalifornien. Seit dem Urteil in der Rechtssache Dobbs gegen Jackson hat Kalifornien seine traditionelle Position als "sanctuary state" (Zufluchtsstaat) durch die Verabschiedung von Gesetzen gestärkt, die die strafrechtliche Verfolgung von Frauen verhindern sollen, die im Staat reproduktive Gesundheitsfürsorge suchen.
Derzeit arbeitet der Bundesstaat an einer Änderung des kalifornischen Strafgesetzbuchs, die kalifornische Unternehmen vor Haftbefehlen für Anfragen zur Rückverfolgung von Schlüsselwörtern und zur Rückverfolgung von Standorten schützen würde. Mit anderen Worten: Kalifornische Unternehmen dürfen bestimmte hochinvasive Durchsuchungsbefehle aus anderen Bundesstaaten ignorieren.
Die Gesetzesänderung könnte sich als wegweisend erweisen, da sie für Unternehmen aus dem Silicon Valley gilt, die riesige Mengen an personenbezogenen Daten kontrollieren. Dadurch, dass Big Tech wie Apple und Meta von Durchsuchungsbefehlen verschont bleibt, könnte die Änderung erhebliche Auswirkungen auf die Privatsphäre von Frauen außerhalb Kaliforniens haben. Die politischen Verhandlungen um den Gesetzentwurf sind jedoch kompliziert, da er die Untersuchung von Straftaten, die nichts mit Abtreibung zu tun haben, behindern könnte.
Was kann Europa aus dieser Datenschutzkrise lernen?
Im Gegensatz zu den USA verfügt Europa mit der Datenschutz-Grundverordnung über ein allgemeines Datenschutzgesetz, das spezifische und strenge Vorschriften für sensible Daten enthält. Das bedeutet jedoch nicht, dass unsere sensiblen Daten sicher sind. Europa sollte sich genau ansehen, was derzeit in den USA passiert, denn es gibt einige wichtige Lehren aus dem Chaos zu ziehen.
"Gesundheitsdaten" ist eine weit gefasste Kategorie
Wenn wir an Gesundheitsdaten denken, denken wir in der Regel an Krankenakten, Röntgenbilder und so weiter. Aber diese Daten sind nicht das Hauptproblem in der US-Datenschutzkrise. Tatsächlich gehen einige der dringendsten Bedrohungen für die Privatsphäre von Suchverläufen, Standortdaten und (nicht Ende-zu-Ende-verschlüsselter) persönlicher Kommunikation wie Chats und E-Mails aus.
Auf europäischer Seite werden diese Daten in der GDPR nicht (ausdrücklich) als sensibel eingestuft. Infolgedessen machen sich viele Organisationen in Europa keine allzu großen Gedanken über diese Daten und gehen nicht mit der erforderlichen Sorgfalt mit ihnen um.
Zwei wichtige Urteile des EU-Gerichtshofs könnten die Situation ändern. Nach der jüngsten Rechtsprechung des Gerichtshofs sind Daten, die auf sensible Daten hinweisen könnten, selbst sensible Daten (weitere Informationen finden Sie in unseren Blogs über sensible Daten und das Urteil des Bundeskartellamts ).
Diese Rechtsprechung ist ein wichtiger Schritt in die richtige Richtung und weitet den Anwendungsbereich des Begriffs der sensiblen Daten erheblich aus. Der Ansatz des Gerichtshofs ist jedoch weit entfernt von dem eher formalistischen Ansatz, den die meisten Unternehmen im Umgang mit sensiblen Daten verfolgen. Es wird wahrscheinlich einige Zeit dauern, bis sich das Paradigma in der Praxis ändert - und in der Zwischenzeit werden unsere sensiblen Daten nicht so sicher sein, wie sie sein sollten.
Privacy by Design muss besser durchgesetzt werden
Sie müssen den Datenschutz im Voraus planen. Wenn man ein System nicht datenschutzfreundlich einrichtet, wird es sehr schwierig, einen soliden Datenschutz durchzusetzen, wie das Datenlöschungsfiasko von Google gezeigt hat.
Aus diesem Grund besteht die Datenschutz-Grundverordnung auf dem Grundsatz des " eingebauten Datenschutzes". Datenschutz durch Technik bedeutet, dass Sie die Verarbeitung personenbezogener Daten von Anfang an mit Blick auf den Datenschutz planen müssen.
Datenschutz durch Technik ist keine bloße Anregung, sondern ein verbindlicher Rechtsgrundsatz. Dennoch wird der Grundsatz des eingebauten Datenschutzes von der Industrie oft ignoriert. Das ist schade, denn ein Konzept des eingebauten Datenschutzes kann den digitalen Fußabdruck erheblich verringern. Wir können nur hoffen, dass die Durchsetzung der Datenschutz-Grundverordnung (GDPR) die Unternehmen irgendwann einholt und auf den richtigen Weg zurückbringt.
Das Gleiche gilt für andere Grundsätze im Zusammenhang mit "Privacy by Design". So bedeutet beispielsweise die Datenminimierung, dass nur die wirklich benötigten personenbezogenen Daten erhoben werden dürfen, und die Speicherbegrenzung, dass personenbezogene Daten nicht länger als nötig gespeichert werden dürfen. Zu viele Unternehmen verstoßen gegen diese Grundsätze, und daran wird sich erst etwas ändern, wenn mehr Geldstrafen verhängt werden.
Standortdaten sind gefährlicher als Sie denken
Geolokalisierungsdaten spielen in der Datenschutzlandschaft nach Dobbs eine Schlüsselrolle. Aus diesem Grund verbietet der My Health My Data Act das Geofencing in der Umgebung von Gesundheitsdienstleistern, und die vorgeschlagenen Änderungen am kalifornischen Strafgesetzbuch befassen sich mit Anfragen der Strafverfolgungsbehörden zur Rückverfolgung des Standorts.
Auf europäischer Seite enthält die Datenschutz-Grundverordnung (GDPR) keine spezifischen Bestimmungen zum Schutz von Standortdaten und zählt sie nicht zu den sensiblen Daten (im Gegensatz zum kalifornischen CCPA). Für Standortdaten gelten also nur die allgemeinen Regeln der GDPR
Diese allgemeinen Vorschriften reichen wahrscheinlich nicht aus, um Standortdaten zu schützen. Oder besser gesagt: Sie würden ausreichen, wenn die Durchsetzung der Vorschriften nachgeholt würde. Die Grundsätze des "eingebauten Datenschutzes" und der Speicherbegrenzung könnten eine wichtige Rolle beim Schutz von Standortdaten spielen, aber auch hier sind sie noch zu wenig durchgesetzt, um wirklich etwas zu bewirken.
Fazit: Sowohl Verbraucher als auch Unternehmen sollten mit Standortdaten sehr vorsichtig sein. Und auch hier muss die GDPR-Durchsetzung aufholen!
Abschließende Überlegungen
Letzten Endes zahlen schutzbedürftige Menschen den höchsten Preis für die Überwachungswirtschaft. Um es mit den Worten des Grumpy GDPR-Podcasts zu sagen: Wenn Sie glauben, Sie hätten nichts zu verbergen, dann sind Sie sehr, sehr privilegiert.
Das ist nichts Neues: Die Auswirkungen von Datenschutzpraktiken auf schutzbedürftige Personen und Gemeinschaften sind von Rechts- und Sozialwissenschaftlern gut erforscht und sind ein wichtiges Diskussionsthema in der Datenschutzgemeinschaft.
Leider geht dieser Aspekt in der öffentlichen Debatte über den Datenschutz unter. Es bleibt zu hoffen, dass das Urteil Dobbs gegen Jacks - und das dadurch verursachte Chaos im Bereich des Datenschutzes - uns daran erinnert, dass der Schutz der Privatsphäre eine notwendige Voraussetzung für eine faire Gesellschaft ist und etwas, das wir alle anstreben sollten.