US-Datenschutz vs. DSGVO

Ist der Schutz personenbezogener Daten in den USA wirklich so viel schlechter als das Datenschutzniveau, das mit der DSGVO erreicht werden soll?

Der Kern der Kritik aus DSGVO-Sicht ist regelmäßig der Umstand, dass das US-amerikanische Bundesrecht keinen Datenschutz für Personen vorsieht, die keine US-Amerikaner sind. Wenn das der »Kern« des Problems wäre, dann sind nicht Amazon, Alphabet, Meta & Co die Bösen™, sondern das US-Bundesrecht. Womit sich als nächstes die Frage stellt, wie wahrscheinlich ist’s, dass ein Durchschnittsmensch, der nicht US-Amerikaner ist, ins Fadenkreuz US-amerikanischer Bundesbehörden gehört?

Ich will das nicht geringschätzen.

Aber die Frage ist: Warum sind aus Sicht vieler europäischer Datenschutzaktivisten™ Amazon, Alphabet, Meta & Co die Bösen – und da reden wir noch nicht von den wirklich üblen rotchinesischen Stasifirmen – obwohl kalifornische Bürger mit Amazon, Alphabet, Meta & Co ganz offensicht kein Problem haben?

Wie gesagt: Dass US-Behörden keinen Respekt vor Daten über Menschen haben, die keine US-Bürger sind, ist ein Problem, das die DSGVO zu Recht adressiert.

Und dass die Datenschutzinformationen von US-Unternehmen in einem anderen Stil geschrieben sind, als es die DSGVO gern hätte, mag auf kulturellen Unterschieden beruhen.

Die Frage ist, warum glauben wir DSGVO-Europäer mit der DSGVO einen Stein der Weisen gefunden zu haben, der besser ist als das, was aufgeklärte demokratische Kalifornier – zum Beispiel – von den genannten Datengiganten erwarten?

Weil das in Kalifornien so geäußert wird? Hab die Quelle nicht mehr, aber erinnere mich, dass die DSGVO Vorlage für den Datenschutz in Cali war.

Abgesehen davon kenne ich mich mit amerikanischem Datenschutzrecht nicht aus und bezweifle auch, dass irgend jemand anders hier genug Ahnung hat. Es reicht mir, zu wissen, dass es nur für amerikanische Bürger gilt:

Und wer sagt, dass nur GAFAM (und nicht auch deren Regierung?) die Bösen (deine Wortwahl) sind? Sie sind es deshalb, weil ihre Vorgehensweise HIER in EUROPA negative Auswirkungen auf die Menschen hat. Die Lage innerhalb Amerikas interessiert mich darüber hinaus überhaupt nicht.

Mir fällt nicht schwer, darauf zu verzichten, dass am europäischen Rechtswesen die gesamte Welt genesen sollte.

Ersten hatte ich an den Bösen ein ™ platziert. Mithin den Begriff als Floskel markiert.

Zweitens: Ich halte GAFAM nicht für per se böse. Die erwirtschaften Gewinne für ihre Eigentümer/Aktionäre/Altersversorger (auch deutsche) mit Methoden, die das Gros der Kunden akzeptiert. Es geht um Aufklärung, nicht um Verbieteritis.

Drittens: Solange wir in Europa durch unternehmerfeindliche Politik verhindern, dass Unternehmen entstehen und hier global players werden, die die Bedürfnisse der Ottonormalverbraucher befriedigen, sollten wir nicht auf dem hohen Ross der hehren Werte reiten.

Der 24. Februar 2022 sollte uns deutlich vor Augen geführt haben, dass weder »Coronamaßnahmen« noch »Datenschutz« eine Existenzberechtigung haben, wenn es ums Überleben geht. Und das betrifft das Überleben von Menschen im Krieg genauso wie das Überleben von Unternehmen im Wettbewerb.

Die EU will mit der DSGVO einen Marktvorteil für Unternehmen in Europa schaffen. Das sollten wir nicht durch Bedenkenträgerei verspielen.

Es gibt in den USA keinen bundesweiten Datenschutz. Einzelne Staaten wie Kalifornien haben Gesetze beschlossen; im Fall Kaliforniens wurde der California Consumer Privacy Act (CCPA) stark von der DSGVO der EU inspiriert, definiert aber nur die Rechte von Personen mit Wohnsitz in Kalifornien.

Wie hierzulande auch, ist der Datenschutz in den USA natürlich ein ziemliches Randthema. Nichtsdestotrotz gibt es genug Spezialisten, die neidisch auf die EU Gesetzgebung schauen. Der Reality 2.0 Podcast ist ein gutes Beispiel.

Genau das! Bzw. Cloud Act, FISA… Der Cloud Act regelt, dass Zugriffsrechte der US-Sicherheitsbehörden auf personenbezogene Daten auch dann gelten, wenn diese Daten außerhalb der USA verarbeitet und von einem US-Unternehmen kontrolliert werden. Dadurch sind die ganzen Konstruktionen von US-Firmen, die Datenverarbeitungen für EU-Bürger in Rechenzentren in der EU zu ermöglichen, trotzdem datenschutzrechtlich bedenklich.
D.h. solange nicht der Cloud Act geändert wird, wird auch ein neues Abkommen mit den USA nach einer erneuten Klage wieder gekippt werden, da sich die Rechtslage eben nicht geändert hat…

Beatrix

Das ist ja richtig. Nur: Dafür können die US-Firmen nichts.

Nähme man die DSGVO humorlos für bare Münze, dann dürften US-Unternehmen personenbezogene Daten über Menschen, die sich in der EU befinden, nur ausnahmsweise und im Einzelfall verarbeiten. Ein solches Gebot ist offensichtlich absurd.

Mit meinem Ausgangspost wollte ich deshalb infragestellen, ob das unter datenschutzafinen Menschen verbreitete recht einseitige Bashing gegen US-Unternehmen wirklich gerechtfertigt ist.

Wenn sie wollten, dann könnten sie über ihre Lobbyisten sicherlich Änderungen herbeiführen. Immerhin nehmen sie in Europa ebenfalls Einfluss auf die europäische Gesetzgebung. Der springende Punkt dürfte Gewinnmaximierung sein, wobei dieses Motiv profan, wesentlich motivierender dürfte der Punkt „Macht“ respektive „Einfluss“ sein. Aufgrund eigener Erfahrung bei GAFAM als Angestellter, ist meine bescheidene Meinung, dass gar kein Interesse daran besteht, das Geschäft mit „Big Data“ freiwillig (selbst) zu beschneiden.

Warum absurd? Meiner Meinung nach dürfte diese Aussage einen wahren Kern besitzen. Wenn wir die DSGVO eng auslegen, dann besteht in der Tat nicht mehr viel Spielraum für eine Datenverarbeitung in den US. Period.

Bashing wird das, vermute ich, nicht sein, sondern schlicht und ergreifend einfach eine erhöhte Sensibilität gegenüber den Phrasen, die von interessierter Seite aus gedroschen werden.

PS:
Weil mein erster Beitrag: ein freundliches „Hallo“ in die Runde und beste Grüße aus Portugal.

Was ich daran absurd finde ist, dass es aktuell ja wirklich keine Rechtsgrundlage gibt. Sobald die Geheimdienste aber nicht mehr „einfach so reingucken“ dürfen, wäre es kein Problem mehr.

Das heißt prinzipiell bietet die DSGVO auch kein ausreichenden Schutz vor Big-Data, weil der einzige Fakt, der alles illegal macht die Geheimdienste sind.

In meinen Augen wurde es auch verpasst, hier Seitens der Behörden scharf durchzugreifen. Aufgrund der ausgesprochenen Verbote, wären dann wahrscheinlich schnell entweder die großen Unternehmen eingeknickt (und in Folge die USA) oder es hätte schnell Alternativen gegeben.

So bleibt die DSGVO ein Papiertiger, der im Schneckentempo durch das EuGH hin und wieder mal für den Bürger einzelne Verbesserungen erreicht. Mehr aber auch nicht.

Na, es gibt ja auch gesetzliche „Erlaubnistatbestände“, für die eine Verarbeitung erlaubt wird

Und es gibt Unternehmen, die ihre Datenverarbeitungen nicht vernünftig transparent darstellen, weshalb es dann den verantwortlichen Stellen z.B. schwer gemacht wird, eine ordentliche DSFA durchzuführen, weil die Risiken mangels konkreter Kenntnisse über die Datenverarbeitungen nicht richtig bewertet werden können.

Es gibt natürlich auch genug andere Unternehmen… bei denen das „Bashing“ nicht gerechtfertigt ist! Aber es ist auf jeden Fall immer ein Zusatzaufwand zu leisten, wenn Daten in „unsichere Drittländer“ gehen, das gilt auch für Australien u.a. (bezüglich Australien hatte ich gerade einen Fall).

Beatrix

Das ist mit ziemlicher Sicherheit volle Absicht der irischen Datenschutzbehörde. Da praktisch alle GAFAM dort ihre europäische Niederlassung haben, werden alle Augen zugedrückt. Gerade dieses Wochenende gab es einen schönen Meinungsartikel im Guardian, warum das so ist: Ireland has raked in billions from tech giants. But what if the golden goose flies the nest?

Ich vermute, dass wir EUler wirtschaftlich langfristig profitieren könnten, wenn diese Regeln tatsächlich angewandt würden, aber letztendlich kann man nur spekulieren.

Doch, doch. Die gibt es schon. Nur greift die eben nur im Einzelfall und ausnahmsweise

Im Prinzip ist diese Aussage richtig. Nur: Unter Datenschutznerds wird der Alarmismus mindestens gleichwertig von AMAMA (ehem. GAFAM) getriggert – Stichwort: Big Data. Und da stellt sich schon im Ausgangspunkt die Frage, ob Big Data überhaupt eine datenschutzrechtliche Fragestellung ist. Denn das Datenschutzrecht regelt den Umgang mit Daten, die sich auf einen konkreten Menschen beziehen. Big Data hingegen ist die Identität des durch den Datensatz beschriebenen Menschen – jedenfalls im kommerziellen Normalfall – völlig wumpe. Es geht ausschließlich darum, ob das Zielobjekt zu einem Verwertungsmuster passt. Wenn das der Fall ist, klingelt die Kasse, und der nächste Köder wird ausgelegt. Die Identität des Zielobjekts ist egal.

Nein. Das ist nicht richtig. Auch in der EU dürfen Geheimdienste auf personenbezogenen Daten zugreifen, die bei Unternehmen gespeichert sind. Dafür gibt es Regeln und dagegen gibt es Rechtsbehelfe. Das ist auch in den USA so. Einzig und allein – und das ist der Unterschied – billigt das US-Bundesrecht Nicht-US-Bürgern keinen wirksamen Rechtsbehelf gegen die Verarbeitung von personenbezogenen Daten zu. Frei nach dem Motto: Sofern eine in der EU befindliche Person Schutz vor Maßnahmen sucht, die eine US-Behörde gegen sie aufgrund von Informationen über sie durchführt, dann möge diese Person bitte sich an die Behörden des Staates wenden, dem sie angehört. US-Behörden schützen nur US-Bürger.

Das kann man so machen. Finde ich.

Wahrscheinlich geht eher ein Kamel durch das berühmte Nadelöhr, bevor wir hierzu ganz praktische Überlegungen anstellen müssten. Leider.

Das würde ich so unterschreiben. Was definitiv fehlt, das ist wirtschaftlicher, juristischer Druck. Nichts ist alternativlos. Denn im Zweifel können Sanktionen - augenscheinlich - geradezu in Lichtgeschwindigkeit umgesetzt werden. Man muss halt nur wollen.

Fully ack. Sehe ich zumindest als Standortvorteil. Da wir Europäer dies jedoch nicht selbst in die Hand nehmen, werden wir das auch nicht in Erfahrung bringen.

Eben, und das wäre auch unproblematisch, wenn es alle so machen würden.

Quote vonMathias Schmitt aus dem alten Forum:

Beitrag von Bit » 6. Aug 2018, 18:25

Mathias Schmitt hat geschrieben: 6. Aug 2018, 17:11Wir müssen es vereinfachen, damit es lesbar bleibt.
Ich versuche es noch einmal.
[…]
Krönung: Es darf sogar diese Anordnung UND ein solches Gesetz DESWEGEN geheimgehalten werden, WEIL Nicht-US-Bürger nicht von der US-Verfassung (anders als in der EU, wo ALLE Menschen geschützt werden) geschützt werden.

Und da ist eben die Frage, was eigentlich richtiger ist.
Ich glaube überall sind Regierungen (außer zum Selbstzweck) in erster Linie für ihre eigenen Bürger da und schützen sie (und ihre Interessen) gegen außen. Alle Ausländer gehören zu „außen“ – außer sie genießen Asyl …
Stark vereinfacht: Wenn jeder von seiner Regierung beschützt würde, wären alle beschützt.
Das könnte sich nach und nach durchsetzen und wo es sich nicht durchsetzt, schadet es nur den jeweiligen Inländern.

Nur bei uns werden alle beschützt, außer den eigenen Bürgern: die sind maximal gleichrangig. Das ist Murks.
Das wäre nicht einmal sinnvoll, wenn alle Regierungen so dächten, sondern es gäbe ein furchtbares Durcheinander.

Das ist ausschließlich sinnvoll, wenn es eine (Welt-) Regierung für alle (Welt-) Bürger gäbe – wozu es wohl ohne einen Angriff böser Aliens (von außen) niemals kommen wird.

Dem habe ich auch heute nichts hinzuzufügen.

Das ist nicht zutreffend. Big Data ist die Voraussetzung für die Einordnung einzelner, identifizierbarer Menschen in bestimmte Profilgruppen (siehe z.B. Schufa, aber auch personenbezogene Werbung). In dem Moment, wo die Zielperson (identifiziert durch ein Login, die IP, einen Vertragsschluss oder Zahlungsvorgang) in eine Gruppe eingeordnet wird, sind das Profil und alles, woraus es berechnet wird, personenbezogene Daten. Die Schufa redet von geschäftsgeheimnis, aber ich hoffe, dass die Offenlegung solcher Algorythmen erfolgreich durchgesetzt werden kann.

Die US-Datenkraken machen DESHALB Milliarden mit den persönlichen Daten absichtlich rechtlos gehaltener US-Ausländer, WEIL diese so grundsätzlich entrechtet wurden, KEIN Recht auf Privatheit genießen.
Da muss man nicht fragen, ob die US-Unternehmen böse sind oder die Regierung.

@Bit: Deinem „nationalen Ansatz“, den auch die USA haben, hat die EU mit Art. 8 EU-Grundrechtecharta eine Absage erteilt.
Aus gutem Grund: Ohne Privatheitsschutz funktionieren weder Demokratie, noch Rechtsstaat und auch widerspricht es der Menschenwürdegarantie.
Und das galt schon vor der EU-Bestimmung jedenfalls in Deutschland aufgrund Art. 1 und 2 Grundgesetz, hat das BVerfG entschieden.

Der einzige „Nachteil“ der Definition als MENSCHENrecht ist für alle EU-Staaten, dass sie nicht hemmunglos mit Ausländerdaten rumsauen dürfen, sondern diese überhaupt nur verarbeiten dürfen, wenn sie dafür eine Rechtsgrundlage haben. Das allein ist der Effekt eines Grund- oder Menschenrechts.
So musste bspw der Bundestag 2017 ein Gesetz erlassen, DAMIT man die Handys von Immigranten, die ohne Papiere einreisen wollen, auswerten kann.

Sinnloser Formalismus? Nö, in solchen Gesetzen steht dann vieles drin, was einleuchtet: Beschränkung auf die relevanten Daten, Umgang mit Kopien der Daten, Löschungsfristen etc. und eben auch Sanktionen, falls die Handys falsch behandelt wurden etc. Eigentlich einfach nur, was ein vernünftiger, gewissenhafter Beamter sowieso tun würde, nicht aber beispielsweise sein übernächtigter, depressiver und Ausländer „sowieso“ ablehnender Kollege mit Alkoholproblem.
Ja, Grund- und Menschenrechte „erzeugen“ Gesetze - es ist ihr Sinn und Zweck.
Denn „Gesetze“ müssen im Parlament drei Mal gelesen werden, die Opposition informiert die Presse und … dann wird abgestimmt. Mühsame Demokratie?
Wenn es um grundsätzliche Rechte geht ist das mal in Ordnung.

Hier für den ausschließlichen Schutz der eigenen, deutschen oder EU-Bürger zu plädieren lässt außer Acht, dass WIR Demokratie, Rechtsstaat und Menschenwürde überall wollen, nicht nur bei uns.
Konsequent schützen wir die Privatheit als MENSCHENrecht, nicht als bloßes Recht der eigenen Staatsbürger, während die USA - wieder einmal, wie damals bei der Sklaverei - Ausländer bzw. ihre Daten als „Betriebsmittel“ für ihre Wirtschaft benötigen und einfach überaus glücklich sind, dass diese rechtlos sind. In einer Art Datenschutz-Guantanamo.

Die Nichtgewährung des Menschenrechts auf Privatheit durch die USA ist die Geschäftsgrundlage des US-Überwachungskapitalismus.

US-Juristen schämen sich dafür:
https://www.justsecurity.org/2668/foreigners-nsa-spying-rights/

Im Hinblick auf die Ausgangsfrage ist die Aussage nicht richtig, denn die „US-Datenkraken“ verdienen nicht Milliarden weil der US-Datenschutz Ausländer nicht schützt, sondern weil es sowohl nach europäischem als auch nach amerikanischem Recht in Ordnung ist.

Ich habe das oben einmal versucht anzureißen. Der Unterschied ist, dass wir „US Ausländer“ gemäß Cloud Act und Patriot Act keine Rechte haben.
Somit ist in der Theorie die USA kein „sicheres Drittland“. Würde dieser Aspekt wegfallen wäre alles „legal“.

Die Frage ist vielmehr, ist GPDR in irgendeiner weiße (nach aktueller Anwendung) wirkungsvoller als das „nicht existierende“ US Datenrecht

Deswegen ist in meinen Augen diese Aussage falsch, da der „Überwachungskapitalismus“ auch auf US-Bürger angewendet wird und es kein Gesetz (außerhalb von Californien) gibt, dass sie schützt

US-Bürger sind durch den 4ten Verfassungszusatz zur US-Verfassung GRUNDSÄTZLICH geschützt.
Das ist höchstrangiges US-Recht, da braucht’s keine einfachen Gesetze zusätzlich. Die einfachen Gesetze interpretieren oder erweitern lediglich den grundsätzlichen schon gegebenen - für uns als Ausländer NICHT vorhandenen - Schutz.
Das ist in der EU genauso.
Jeder US-Bürger darf gegen EU-Behörden klagen - direkt auf Basis von Art. 8 EU-Grundrechtecharta, aber kein EU-Bürger kann gegen US-Behörden klagen - direkt auf Basis des 4ten Verfassungszusatzes oder (!) eines US-Datenschutzgesetzes.*

*Die für 99,99 % der EU-Bevölkerung irrwitzige Ausnahme davon, nämlich, dass man ausnahmsweise während eines gerade stattfindenden Aufenthaltes in den USA bzw. nach 14 Tagen Aufenthalt dort (unterschiedliche Auffassungen, Entwurf neue US-DSGVO: erst nach 14 Tagen), darf man für langweilig erklären …

Ja ich wiedersprech dir da nicht, dass ist meines erachtens nach nicht Gegenstand der Frage US-Datenschutz / GPDR. Ich wollte dir nur dort wiedersprechen, dass diese Rechtslage die Rechtsgrundlage für den Überwachungskapitalismuses ist.

War die Rechtlosigkeit der Sklaven Grundlage des wirtschaftlichen Erfolgs der Sklaverei? Rechtlosigkeit bedeutet: Kostengünstige Verfügbarkeit.
Wo ist der Unterschied zu den persönlichen Daten der Europäer heute? Rechtlos, d.h. unendlich verfügbar und verwendbar.

Es gab zu jeder Zeit ein dominantes „Betriebsmittel“ für die US-Wirtschaft, ich muss nicht auf der Sklaverei herumreiten. Danach kam das Maschinenzeitalter: Das wurde es das Öl.
Prompt deklarierten die USA die arabischen Länder und die Lieferrouten dorthin als ihre „Interessenszone“, was eine ähnliche Entrechtung Dritter nach sich zog.
Die Daten von Ausländern sind das „Öl des 21. Jahrhunderts“, weshalb sie, da „Interessenszone der USA“ rechtlos bleiben müssen.

Die Dienste CIA/NSA, viele weitere Behörden der US-Regierung, zahlen permanent an die US-Datenkraken für die Daten aus Europa.
Allein das ist schon eine finanzielle Quelle, aber das sind nur Millionen US-Dollar.
Viel profitabler ist der Verkauf als „veredelte“ Daten („anonymisierte“ Profile, Stimmungsbilder zu wirtschaftlichen (Marktforschung) und politischen („Politikberatung“, Nachrichtendienste) Fragen in Echtzeit etc.).
Das Herumpanschen mit persönlichsten Daten aus aller Welt ist in den USA mindestens völlig ungefährlich und lukrativ, in der EU nicht nur bußgeldbewehrt sondern auch strafbar.

Den eigenen Bürgern MUSS man wegen der US-Verfassung Privatheit zugestehen. Die US-Verfassung wiederum macht das aber auch nur, weil ohne dieses Recht, Demokratie, Rechtsstaat und Menschenwürde nicht funktionieren können.
Wenn eine Regierung dir ein Bein bricht, beispielsweise: Polizeiwagen fährt dich an, weil du gegen Polizeigewalt demonstrierst.
Würdest du zu einem Arzt gehen, der direkt an die Polizei/Regierung berichtet?
Zu einem Anwalt, der dasselbe macht?
Würdest du Klage bei einem Gericht GEGEN die Regierung erheben und Richtern vertrauen, die alles direkt an die Regierung = Polizei berichten?

Nein, Rechtstaat etc. geht nicht ohne Privatheit.

ps. bzw. Möchtegern-Signatur-Text:
Ich schreibe nur der Knappheit wegen meist im Indikativpräsens.
Ich könnte auch hinter jede meiner Aussagen ein Fragezeichen setzen oder „ich glaube“ oder „meiner Meinung nach“ voranstellen.
Es sind hier Thesen von mir in einem DISKUSSIONSforum.
Ich habe „die Wahrheit“ nicht gepachtet, ich „verkünde“ „Arbeits-“ oder „Denk“-Hypothesen.
Der scheinbar (selbst-)sichere Ton dient der Knappheit, ich will Argumente liefern, keine Überzeugungen oder „Wahrheiten“ verkünden.

Genau, das ist der Punkt:
Weil eben jedwede Administration für ihren eigenen Scope (und vorrangig dessen Interessen) arbeiten sollte und nicht für andere.

Das am Beispiel US-Recht in Frage zu stellen, war mein Ansatz. Begründung: weil wir auf dem Planeten eben Nationales Recht haben und nicht alle es so geregelt haben, wie die EU, ist es sinnvoller, es zu regeln, wie die USA, bis es eine Vereinheitlichung gibt: Im jeweils eigenen Interesse und darum sollte gehen.

Menschenrecht sollte ausschließlich auf globaler Ebene geregelt werden, dann gäbe es auch keine Konflikte in dieser Frage „Wie Du mir – so ich Dir“.

Natürlich. Das ist das einzig passende Wort dafür: natürlich.

Solange in der Welt nur einer natürlicherweise vorrangig für seine Interessen eintritt, sind alle, die vorrangig für Gemeinschaftsinteressen eintreten, die Dummen.
Wir können aber nicht erwarten, daß andere es gleich sehen, wie wir. Sie müssten ja einen Vorteil dafür aufgeben …

Genau. Weil es so ist.

Das ist es eben nicht, weil die EU-Gesetzgebung den EU-Konzernen oder -Bürgern die Ausbeutung der Daten von Nicht-EU-Bürgern verbietet.
Daraus entsteht das Ungleichgewicht und der selbstgemachte Nachteil.

Ja, na logisch – und umgekehrt: der daraus gewonnene wirtschaftliche Erfolg war auch ihre Intention.

So muss es sein – nur wir gucken blöd in die Röhre.

OT: Dein Möchtegern-Signatur-Text spricht mir aus dem Herzen.