USA: Gegenwärtige FCC und FTC-Aktivitäten zum Schutz der Privacy
Axel Spies
German attorney-at-law (Rechtsanwalt)
Dr. Axel Spies is a German attorney (Rechtsanwalt) in Washington, DC, and co-publisher of the German journals Multi-Media-Recht (MMR) and Zeitschrift für Datenschutz (ZD).
Die Federal Trade Commission (FTC) und die Federal Communications Commission (FCC) haben am 10.05.16 zwei getrennte Untersuchungsverfahren gegen bestimmte TK-Anbieter und Hersteller von Smartphones etc. eingeleitet. Die US-Behörden wollen wissen, wie diese Unternehmen Updates zur Datensicherheit vornehmen, wie die Kunden die Updates umsetzen und wie die Unternehmen eventuelle Verwundbarkeiten in den Geräten adressieren. Das wirft die allgemeine Frage auf, welche Kompetenzen beide Behörden in den Bereichen Datenschutz und Datensicherheit haben und wie sie zusammenarbeiten.
1) FCC (Federal Communications Commission)
Die FCC stützt sich auf drei Vorschriften, um personenbezogene Daten im TK-Bereich zu regeln: Sections 201(b), 222(a) und 222(c) Communications Act. Section 201(b) legt folgende allgemeine Regel fest, die auch den Bereich „Privacy“ umfasst: „Alle Gebühren, Praktiken, Klassifikationen und Vorschriften für und in Verbindung mit [zwischenstaatlichen oder ausländischen] Kommunikationsdiensten [leitungsgebunden oder drahtlos] müssen gerecht und vernünftig sein; eine Gebührenerhebung, Praxis, Klassifizierung oder Verordnung, die ist ungerecht oder unvernünftig ist, muss für rechtswidrig erklärt werden.“ Section 222(a) Communications Act regelt allgemein die Pflicht der TK-Anbieter die Vertraulichkeit der Informationen ihrer Kunden zu schützen. Section 222(c)(1) erlaubt es den TK-Anbietern, nur solche personenbezogene Daten (Customer Proprietary Network Information – CPNI) zu verarbeiten, die für die Erbringung der TK-Dienste erforderlich sind, es sei denn das Gesetz oder die Einwilligung des Kunden erlaube etwas anderes.
a. Die FCC hat diese weite Befugnis u.a. dem Verfahren Terracom und YourTel im Oktober 2014 angewandt, indem sie beiden Unternehmen getrennt behördliche Strafbefehle (Notice of Apparent Liability) i.H.v. US$ 10 Millionen zugestellt hat (vgl. Spies, ZD-Aktuell 2014, 04387). Beide Unternehmen hatten laut FCC TK-Daten entgegen den o.g. Vorschriften verarbeitet, die sie von Kunden im Rahmen von sog. Lifeline Dienste (TK-Grunddienste für finanziell Bedürftige) erhalten hatten. Hinzu kam ein Bruch der Datensicherheit. Die Unternehmen einigten sich mit der FCC im Juli 2015 auf eine erhebliche, rechtskräftige Geldbuße i.H.v. US$ 3,5 Mio.
b. Die in vieler Hinsicht wegweisende Open Internet Order der FCC vom 26.02.15 (vgl. Spies MMR-Aktuell 2015, 367980) enthält einen weiteren Schritt für mehr Datenschutz im TK-Bereich und weiter gehender Aufsicht der FCC, indem sie die o.g. Vorschriften von Sections 201(b) und 222 Communications Act auf die Vermittler von Internet-Zugangsdiensten (Broadband Internet Access Services oder BIAS) ausdehnt. Die Open Internet Order ist allerdings vor Gericht angefochten worden, auch im Hinblick auf deren Privacy-Regelungen. Mit einer Entscheidung des Berufungsgerichtes ist in einigen Wochen zu rechnen.
c. Das derzeit noch laufende Konsultationsverfahren der FCC „Broadband and Data Security NPRM“ vom 01.04.2016 (vgl. Spies ZD-Aktuell 2016, 377151) ist ein weiterer wichtiger Meilenstein für den Ausbau des Datenschutz im TK-Bereich. Die FCC will dieses Konsultationsverfahren bis zum 27.06.16 abschießen. In dem umfangreichen Konsultationsdokument schlägt die FCC u.a. folgendes vor:
- Ausweitung der bestehenden FCC-Regeln zum Schutz der Privacy der Proprietary Network Information auf alle Formen von “persönlich identifizierbare Informationen” (PII),
- Zusätzliche Mindestangaben in den Datenschutz-RiLi (Privacy Policies) der Anbieter,
- Zusätzliche Verpflichtungen für die Gewährleistung der Datensicherheit,
- Ein Auskunftsrecht der Kunden über die gespeicherte “Customer Proprietary
Information “(CPI) sowie eine Verpflichtung der TK-Anbieter, unrichtige CPI zu korrigieren,
- Weitere Meldepflichten der Anbieter bei einem Bruch der Datensicherheit,
- Ein neues obligatorisches Schlichtungsverfahren, das andere von den Anbietern üblicherweise in ihren AGB eingeforderte Schlichtungsverfahren und Rechtsweg-Klauseln zugunsten der Kunden ausschließt, sowie
- Ein Verbot bestimmter wettbewerbswidriger Praktiken bei der Datenerhebung.
d. Damit nähert sich die FCC in einigen wichtigen Bereichen, z.B. bei der Definition der PII, dem EU-Datenschutzstandard für den von ihr überwachten TK-Sektor an. Die FCC stellt einen detaillieren Katalog von PII zur Diskussion, der u.a. folgende Informationen abdeckt: Name; Sozialversicherungsnummer; Datum und -ort; Mädchenname der Mutter, Nummern; physikalische Adresse; E-Mail-Adresse oder andere Online-Kontakt-Information, Telefonnummern; MAC-Adresse oder andere eindeutige Gerätekennungen, IP-Adressen, statischen Online-Kennungen, Kontonummern und andere Kontoinformationen, einschließlich Konto-Login-Daten, Internet Browsing History, Geo-Location-Daten usw. Auch die genannten Bereiche der Streitschlichtung und das Auskunftsrecht liegen auf der Linie des EU-Datenschutzrechts.
e. Eine große Bedeutung behält in den USA weiterhin all das, was der Anbieter selbst in seinen Datenschutz-Rili (Privacy Policies) seinen Kunden gegenüber verspricht. Die Behörden halten den Anbieter daran fest. Nach der Vorstellung der FCC sollen die Privacy Policies der Anbieter zumindest folgende Information enthalten:
- Die als CPI erfassten Datenkategorien, die der Anbieter verwendet,
- Eine vollständige Liste der Stellen, die CPI vom Anbieter erhalten und zu welchem Zweck,
- Die Opt-out und/ oder Opt-in Rechte der Kunden (ohne zusätzliche Kosten) in Bezug auf die Bereitstellung von Breitband-Dienstleistungen,
- Detaillierte Bestimmungen über die Einwilligungen der Kunden in einem einfachen und transparenten Verfahren sowie zu deren Rücknahme.
f. Bei den neuen Regeln zum Bruch der Datensicherheit in der genannten NPRM bemüht sich die FCC um Vereinheitlichung der nach dem Recht von 46 Einzelstaaten bestehenden Vorgaben für CPI (State Data Breach Notification Laws), da ein Bundesgesetz bislang fehlt. Vorgesehen ist eine Meldepflicht mit einer Höchstfrist von 7 Tagen an die FCC und von 10 Tagen an den Kunden. Sofern mehr als 5000 Kunden betroffen sind, spricht sich die FCC für gesteigerte Meldepflichten an das FBI und ggf. an den US Secret Service innerhalb von 7 Tage nach Entdeckung des Bruchs der Datensicherheit aus. Das ist mehr Zeit als es z.B. der deutsche §109 TKG im Fall einer Verletzung des Schutzes personenbezogener Daten für TK-Anbieter vorsieht: Nach dieser Vorschrift sind in jedem Fall „unverzüglich“ (üblicherweise innerhalb von 24 Stunden) die BNetzA und die BfDI zu benachrichtigen. Ist anzunehmen, dass durch die Verletzung des Schutzes personenbezogener Daten ein Teilnehmer oder andere Personen schwerwiegend in ihren Rechten oder schutzwürdigen Interessen beeinträchtigt werden, hat der Diensteanbieter zusätzlich auch diese Betroffenen unverzüglich zu benachrichtigen. Interessant ist, wie die FCC den „Bruch“ definiert: Ein „Bruch“ ist jeder Umstand, in dem “eine Person ohne Genehmigung oder mittels Überschreiten der Genehmigung Zugriff auf [CPI] hat oder solche Daten genutzt oder aufgedeckt hat.” Eine Mitteilung soll auch dann erforderlich sein, wenn ein Anbieter „ein Verhalten entdeckt, das vernünftigerweise zu einem Aufdecken von [CPI] führt.“ Diese Pflicht geht über §109a Abs. 1 TKG hinaus, wonach der Anbieter allein bei “eine[r] Verletzung des Schutzes personenbezogener Daten“ meldepflichtig wird. Es ist zu erwarten, dass sich die Industrie gegen diese weite Definition der FCC zur Wehr setzen wird.
g. Gleich was die nahe Zukunft bringen mag, kann man feststellen, dass die FCC auch schon mit dem bestehenden regulatorischen Werkzeug in der Lage ist, für ihren Geschäftsbereich Datenschutzvorschriften zu erlassen und notfalls mit Hilfe des personell gut ausgestatteten und geschulten Enforcement Bureau gegenüber den TK-Anbietern durchzusetzen. Sollte die Open Internet Order in dieser Hinsicht vor dem Berufungsgericht Bestand haben (vgl. Spies, MMR Aktuell, 2015, 374380) haben, müssen sich auch zahlreiche Anbieter von Breitband-Internetzugang an die neuen Regeln halten und diese durch ihre Privacy Policies umsetzen.
2) FTC (Federal Trade Commission)
Die FTC ist von ihrer Konzeption her eine Verbraucherschutzbehörde und keine unabhängige Datenschutzbehörde im Sinne der EU-Datenschutz-Rili. Dreh- und Angelpunkt der FTC-Kompetenz im Bereich „Privacy“ ist Section 5 FTC Act. Die nur schwer zu übersetzende Vorschrift verbietet als Generalklausel „unfaire oder täuschende Handlungen oder Praktiken im Handel oder mit Auswirkungen auf den Handel (“unfair or deceptive acts or practices in or affecting commerce“). Die Vorschrift gibt der FTC weitaus mehr Spielraum als die enger gefassten Regeln der FCC.
a. Ein gutes neueres Beispiel für die Nutzung der Kompetenz ist der Wyndham-Fall. Ohne hier in die Einzelheiten des Sachverhaltes eingehen zu wollen, ging es ebenfalls um einen Bruch der Datensicherheit. FTC war zur der Erkenntnis gelangt, dass das Hotel-Unternehmen Wyndham (i) seinen Kunden gegenüber unrichtige oder irreführende Angaben und Zusicherungen zur Datensicherheit gemacht hatte, und (ii) dass das Unternehmen keine sinnvoll und geeigneten Maßnahmen ergriffen habe, um personenbezogenen Daten der Kunden vor einem unberechtigtem Zugriff zu schützen. Aufgrund dessen sei es betrügerischen Abbuchungen i.H.v. rd. US$ 10 Mio. durch Hacker gekommen, die einen erheblichen, vermeidbaren Schaden für die Verbraucher herbeigeführt hätte. Die Daten von mehreren 100,000 Kunden seien ungeschützt zugänglich gewesen. Dieser Schaden sei durch geldwerte Vorteile für die Verbraucher (Schadensersatz gegen Dritte etc.) nicht aufgewogen.
Wyndham und die FTC schlossen am 09.12.15 eine Vereinbarung zur Erledigung des Verfahrens. Darin verpflichtet sich Wyndham u.a. dazu, ein detailliertes Programm zur Informationssicherheit für Karteninhaberdaten umzusetzen, einschließlich jährlicher Audits. Die vereinbarten Schutzmaßnahmen für einen Zeitraum von 20 Jahren umfassen auch den Schutz der Server der Franchisenehmer von Wyndham. Durch diesen Vergleich entging Wyndham empfindlichen Bußgeldern. Gleichwohl ist Wyndham weiterhin auf dem Radarschirm der FTC. Sollte Wyndham die Vereinbarung verletzen, könnte die FTC ein Exempel mit noch empfindlicheren Sanktionen statuieren.
b. Die FTC ist derzeit eng in die Verhandlungen der US-Regierung mit der EU und die Einrichtung des neuen EU/US Privacy Shield involviert (vgl. hierzu Spies ZD-Aktuell 2016, 04992 und 05005). Die FCC steht in diesem Fall außen vor, da der Privacy Shield derzeit nicht auf TK-Daten anwendbar ist. Sollte die EU-Kommission den neuen Regeln zustimmen, dürften die Unternehmen (Datenimporteure) mit einer intensiven Kontrolle der FTC zu rechnen haben. Die Datenimporteure müssen die such unter dem Privacy Shield selbst zertifizieren, dass sie die Daten aus der EU/EEA im Einklang mit den im Privacy Shield Framework festgeschriebenen Regeln verarbeiten. Wenn sie die Regeln verletzen drohen ihnen u.a. Sanktionen der FTC. Die FTC hat bereits Workshops zum neuen Privacy Shield für die US-Industrie angekündigt. Ein weitere Schwerpunkte der Arbeit der FTC liegen auf der Durchsetzung der Datenschutzregeln, deren Einhaltung die Unternehmen in ihren jeweiligen Privacy Policies ihren Kunden gegenüber versprechen, den Auswirkungen des Internet of Things (IoT) und, ähnlich wie in Europa, dem Thema „Privacy by Design.“
3) Zusammenarbeit der beiden Behörden
a. Die Tatsache, dass die FCC und die FTC teilweise überlappende Kompetenzen im Bereich „Privacy“ haben, könnte zu rivalisierenden Maßnahmen der beiden Behörden oder, positiv ausgedrückt, zu einem Wettlauf um den besseren Datenschutz führen. Von offizieller Seite wird eine Rivalität vehement verneint (vgl. z.B. Law360 v. 04.04.16: “FCC Chief Denies Superhero Rivalry with FTC on Privacy”). Durch ihre Fachkompetenz im bestimmten Bereichen (TK gegenüber Verbraucherschutz) ergänzen sich die Behörden jedenfalls in ihrer Arbeit. Der Informationsfluss zwischen den Mitarbeitern beider Behörden ist gut.
b. Die FTC und die FTC haben im letzten November ein Memorandum of Understanding unterzeichnet, um ihre Zusammenarbeit bei Verbraucherschutzthemen zu fördern. Das MoU, das über den Bereich Privacy hinausgeht, soll die bestehende Zusammenarbeit zwischen den Behörden formalisieren und beschreibt Methoden zur Koordination und zum Informationsaustausch. So soll nach dem MoU die FTC nicht gegen TK-Unternehmen vorgehen, ohne vorher die FCC zu konsultieren. Die ist besonders relevant für Ermittlungen und andere Maßnahmen der FTC nach dem Fair Credit Reporting Act und nach dem Telephone Disclosure and Dispute Resolution Act von 1992, für die die FTC (und nicht die FCC) originäre Zuständigkeit hat. Umgekehrt ist eine Konsultationspflicht vorgesehen, wenn die FCC in Verbraucherschutzfragen aktiv wird. Die Behörden informieren sich gegenseitig über eingehende Verbraucherbeschwerden. Zentrale Kontaktstellen (Designated Liaison Officers) beider Behörden sollen eventuelle Kompetenzkonflikte schon in einem frühen Stadium ausräumen.
RA Dr. Axel Spies, Morgan Lewis & Bockius LLP, Washington DC, 20.05.2016