Anhang IV
Schreiben der Vorsitzenden der Federal Trade Commission Edith Ramirez
PER E-MAIL
Věra
Jourová
Kommissionsmitglied für Justiz, Verbraucherschutz und
Gleichstellungsfragen
Europäische Kommission
Rue
de la Loi/Wetstraat 200
1049
Brüssel
Belgien
Sehr geehrte Frau Jourová:
Die Federal Trade Commission der Vereinigten Staaten („FTC“) nimmt gern diese Gelegenheit wahr, um darzulegen, wie sie die neue EU-US-Datenschutzschild-Regelung (die „Datenschutzschild-Regelung“ oder „Regelung“) durchzusetzen gedenkt. Nach unserer Auffassung wird die Regelung maßgeblich dazu beitragen, den datenschutzfreundlichen Geschäftsverkehr in einer zunehmend vernetzten Welt zu erleichtern. Sie wird Unternehmen in die Lage versetzen, in der globalen Wirtschaft wichtige Transaktionen durchzuführen, und zugleich sicherstellen, dass die Verbraucher in der EU ein hohes Maß an Datenschutz genießen. Die FTC bekennt sich schon seit Langem zum grenzüberschreitenden Datenschutz und wird der Durchsetzung der neuen Regelung eine hohe Priorität einräumen. Im Folgenden geben wir einen allgemeinen Überblick über die bisherigen Bemühungen der FTC um die konsequente Handhabung des Datenschutzes, namentlich der ursprünglich geltenden SAFE-Harbor-Regelung, und über die Vorstellungen der FTC zur Durchsetzung der neuen Regelung.
Zum ersten Mal verpflichtete sich die FTC im Jahr 2000 öffentlich dazu, die SAFE-Harbor-Regelung durchzusetzen. Der damalige FTC-Vorsitzende Robert Pitofsky sandte der Europäischen Kommission ein Schreiben, in dem er die Entschlossenheit der FTC unterstrich, den SAFE-Harbor-Datenschutzgrundsätzen mit Nachdruck Geltung zu verschaffen. Wie fast 40 Durchsetzungsmaßnahmen, zahlreiche zusätzliche Ermittlungen und die Zusammenarbeit mit einzelnen europäischen Datenschutzbehörden zu Fragen von gegenseitigem Interesse deutlich machen, hat die FTC ihre Zusage eingehalten.
Nachdem die Europäische Kommission im November 2013 Bedenken zur Verwaltung und Durchsetzung des SAFE-Harbor-Programms anmeldete, leiteten wir und das US-Handelsministerium Konsultationen mit Vertretern der Europäischen Kommission ein, um Möglichkeiten zur Stärkung des Programms zu erkunden. Während die Konsultationen noch im Gange waren, verkündete der Europäische Gerichtshof am ein Urteil in der Rechtssache Schrems, das unter anderem die Entscheidung der Europäischen Kommission über die Angemessenheit des SAFE-Harbor-Programms für ungültig erklärte. Danach arbeiteten wir weiter eng mit dem Handelsministerium und der Europäischen Kommission zusammen, um den Datenschutz für Einzelpersonen in der EU effektiver zu gestalten. Die Datenschutzschild-Regelung ist ein Ergebnis dieser weiter andauernden Konsultationen. Wie beim SAFE-Harbor-Programm verpflichtet sich die FTC hiermit zur konsequenten Durchsetzung der neuen Regelung. Dieses Schreiben soll diese Verpflichtung dokumentieren.
Im Mittelpunkt unseres Engagements stehen vier Kernbereiche: (1) die vorrangige Behandlung von überwiesenen Fällen und Ermittlungen; (2) die Unterbindung falscher oder irreführender Angaben zur Mitgliedschaft im Datenschutzschild; (3) die Kontrolle der Befolgung von Verfügungen; und (4) verstärkte Kontakte zu Datenschutzbehörden der EU und engere Zusammenarbeit mit ihnen bei der Durchsetzung. Nachstehend machen wir zu jedem dieser Punkte detaillierte Angaben und geben Hintergrundinformationen zu dem Beitrag, den die FTC bisher zum Schutz von Verbraucherdaten und zur Durchsetzung des SAFE-Harbor-Programms leistete, sowie zur Gesamtsituation des Datenschutzes in den Vereinigten Staaten [1].
I. HINTERGRUND
A. Durchsetzung des Datenschutzrechts durch die FTC und konzeptionelle Fragen
Die FTC genießt umfassende zivilrechtliche Befugnisse zur Förderung des Verbraucherschutzes und des Wettbewerbs im Wirtschaftsleben. Im Rahmen ihres Auftrags zum Verbraucherschutz verschafft sie einem breiten Spektrum von Rechtsvorschriften Geltung und sorgt damit für den Schutz und die Sicherheit von Verbraucherdaten. Das wichtigste von ihr durchzusetzende Gesetz, der FTC Act, untersagt „unlautere“ und „irreführende“ Handlungen oder Praktiken, die den Geschäftsverkehr betreffen oder sich darauf auswirken [2]. Eine Darstellung, Unterlassung oder Praxis ist irreführend, wenn sie rechtserheblich und geeignet ist, Verbraucher zu täuschen, die sich unter den gegebenen Umständen angemessen verhalten [3]. Eine Handlung oder Praxis ist unlauter, wenn sie tatsächlich oder vermutlich einen erheblichen Schaden bewirkt, der von Verbrauchern unter normalen Umständen nicht zu vermeiden ist oder nicht durch ausgleichende Vorteile für die Verbraucher oder den Wettbewerb aufgewogen wird [4]. Die FTC setzt auch Gesetze durch, die gezielt dem Schutz von Informationen über die Gesundheit, Kredite und andere finanzielle Daten dienen, sowie dem Schutz von Online-Informationen zu Kindern. Zu jedem dieser Gesetze hat sie Durchführungsverordnungen erlassen.
Nach dem FTC Act ist die FTC für Sachen zuständig, die „den Geschäftsverkehr betreffen oder sich darauf auswirken“. Sie ist nicht befugt, strafrechtliche Maßnahmen zu ergreifen oder in Fragen der nationalen Sicherheit zu entscheiden. Auch liegen die meisten anderen hoheitlichen Maßnahmen außerhalb ihres Zuständigkeitsbereichs. Hinzu kommen Einschränkungen ihrer Kompetenzen im wirtschaftlichen Bereich, die den Bankensektor, den Luftverkehr, das Versicherungsgewerbe und die Betreiber öffentlicher Telekommunikationsnetze betreffen. Auch ist die FTC nicht zuständig für die meisten gemeinnützigen Organisationen, wohl aber für nur scheinbar karitative oder gemeinnützige Einrichtungen, die in Wirklichkeit gewinnorientiert sind. In ihren Aufgabenbereich fallen auch gemeinnützige Organisationen, die zugunsten gewinnorientierter Mitglieder kommerzielle Zwecke verfolgen, indem sie ihnen beispielsweise erhebliche wirtschaftliche Vorteile verschaffen [5]. In manchen Fällen überschneiden sich die Kompetenzen der FTC mit denen anderer Strafverfolgungsbehörden.
Wir haben stabile Arbeitsbeziehungen zu Behörden des Bundes und der Einzelstaaten aufgebaut und arbeiten mit ihnen eng zusammen, um die Ermittlungen zu koordinieren oder gegebenenfalls Fälle an eine andere Stelle zu verweisen.
Die Durchsetzung ist der Dreh- und Angelpunkt des Datenschutzkonzepts der FTC. Die FTC ist bisher in über 500 Fällen Verstößen gegen den Schutz und die Sicherheit von Verbraucherdaten nachgegangen. Dabei geht es sowohl um Offline- als auch um Online-Daten und um Durchsetzungsmaßnahmen gegen große wie kleine Unternehmen, denen vorgeworfen wurde, dass sie nicht richtig mit sensiblen Verbraucherdaten umgingen, personenbezogene Daten von Verbrauchern nicht schützten, das Verhalten von Verbrauchern unter Vorspiegelung falscher Tatsachen online verfolgten, unerbetene Werbung an Verbraucher versendeten, Spyware oder andere Schadsoftware auf den PCs von Verbrauchern installierten, gegen das Anrufverbot und andere Regeln des Telemarketing verstießen und missbräuchlich Verbraucherdaten zu Mobilgeräten erfassten und weitergaben. Die Durchsetzungsmaßnahmen der FTC betrafen sowohl realwirtschaftliche als auch digitale Vorgänge und waren eine klare Ansage an die Unternehmen, dass sie die Privatsphäre von Verbrauchern zu respektieren haben.
Die FTC hat auch zahlreiche politische Initiativen zur wirksameren Gestaltung des Verbraucherschutzes verfolgt, die das Ziel all seiner Durchsetzungsmaßnahmen ist. Sie hat Workshops veranstaltet und Berichte mit Empfehlungen zu bewährten Verfahren herausgegeben, die auf folgende Ziele gerichtet sind: besserer Schutz der Privatsphäre im Mobile-Ökosystem; größere Transparenz in der Datenmaklerbranche; Ausschöpfung des Potenzials von Big Data bei gleichzeitiger Minderung der Risiken, insbesondere für Geringverdiener und unterversorgte Verbraucher; und Verdeutlichung der datenschutzrechtlichen und sicherheitstechnischen Probleme, die sich aus der Gesichtserkennung, dem „Internet der Dinge“ und anderen Entwicklungen ergeben.
Die FTC bemüht sich auch um die Aufklärung von Verbrauchern und Unternehmen, damit ihre Initiativen zur Durchsetzung der Regeln und zur Politikgestaltung stärker zum Tragen kommen. Sie nutzte ein breites Instrumentarium – Veröffentlichungen, Online-Ressourcen, Workshops und soziale Medien –, um Informationsmaterial zu einem breiten Spektrum von Themen, darunter mobile Apps, Schutz der Privatsphäre von Kindern und Datensicherheit, zur Verfügung zu stellen. Unlängst brachte die Kommission ihre Initiative „Start With Security“ mit neuen Leitlinien für Unternehmen auf den Weg, die auf den Erfahrungen mit Datenschutzfällen der Behörde sowie einer Reihe von Workshops in verschiedenen Teilen des Landes aufbauen. Überdies spielt die FTC seit Langem eine führende Rolle bei der Aufklärung der Verbraucher über Grundfragen der Computersicherheit. Im letzten Jahr verzeichneten unsere Website OnGuard Online und ihr spanischsprachiges Pendant Alerta en Línea über fünf Millionen Aufrufe.
B. US-Rechtsschutz kommt EU-Verbrauchern zugute
Die Regelung ist im Gesamtzusammenhang des US-Datenschutzes zu sehen, der EU-Verbraucher auf verschiedene Weise schützt.
Das im FTC Act verankerte Verbot unlauterer oder irreführender Handlungen oder Praktiken ist nicht darauf beschränkt, US-Verbraucher vor US-Unternehmen zu schützen, da es Praktiken einschließt, die (1) tatsächlich oder wahrscheinlich einen nach vernünftigem Ermessen vorhersehbaren Schaden in den Vereinigten Staaten bewirken oder (2) entscheidungserhebliches Verhalten in den Vereinigten Staaten dabei eine Rolle spielt. Zudem kann die FTC beim Schutz ausländischer Verbraucher alle Rechtsbehelfe in Anspruch nehmen, darunter eine Wiederherstellungsklage, die zum Schutz inländischer Verbraucher zur Verfügung stehen.
Die Durchsetzungsmaßnahmen der FTC zahlen sich sowohl für amerikanische als auch für ausländische Verbraucher deutlich aus. Beispielsweise galten die Klagen zur Durchsetzung von § 5 des FTC Act dem Schutz der Privatsphäre sowohl amerikanischer als auch ausländischer Verbraucher. In einem Fall, der den Informationsbroker Accusearch betraf, vertrat die FTC den Standpunkt, dass der Verkauf vertraulicher Telefondaten an Dritte ohne Wissen oder Zustimmung des Verbrauchers unlauteres Handeln darstellte und gegen § 5 des FTC verstieß. Accusearch verkaufte Daten, die sowohl US-Bürger als auch ausländische Verbraucher betrafen [6]. Das Gericht erließ eine einstweilige Verfügung, die Accusearch unter anderem die Vermarktung oder den Verkauf personenbezogener Daten von Verbrauchern ohne schriftliche Einwilligung untersagte, sofern sie nicht rechtmäßig aus öffentlich zugänglichen Informationen beschafft wurden, und verhängte eine Geldbuße von fast 200 000 USD [7].
Ein weiteres Beispiel ist der Vergleich, den die FTC mit TRUSTe geschlossen hat. Er stellt sicher, dass sich Verbraucher – auch in der Europäischen Union – auf Erklärungen verlassen können, die eine zur Selbstkontrolle verpflichtete globale Organisation zur Überprüfung und Zertifizierung von inländischen und ausländischen Online-Diensten abgibt [8]. Hervorzuheben ist dabei, dass unser Vorgehen gegen TRUSTe auch das Selbstkontrollsystem im Bereich des Datenschutzes insgesamt stärkt, denn es gewährleistet die Rechenschaftspflicht von Einrichtungen, die in Systemen der freiwilligen Selbstkontrolle eine wichtige Rolle spielen, wozu auch grenzüberschreitende Datenschutzregelungen gehören.
Die FTC setzt darüber hinaus weitere zielgerichtete Rechtsvorschriften durch, deren Schutzwirkung sich auch auf Nicht-US-Verbraucher erstreckt, beispielsweise den Children's Online Privacy Protection Act („COPPA“). Dieses Gesetz schreibt vor, dass Betreiber von Websites und Online-Diensten, die für Kinder bestimmt sind, sowie von allgemeinen Websites, die wissentlich personenbezogene Daten von Kinder unter 13 Jahren erfassen, die Eltern davon in Kenntnis setzen und deren nachprüfbare Zustimmung einholen müssen. In den USA beheimatete Websites und Dienste, die dem COPPA unterliegen und personenbezogene Daten ausländischer Kinder erfassen, müssen das Gesetz einhalten. Es gilt auch für ausländische Websites und Online-Dienste, wenn sie für Kinder in den Vereinigten Staaten bestimmt sind oder wenn wissentlich personenbezogene Daten von Kindern in den USA erfasst werden. Neben den von der FTC durchgesetzten Bundesgesetzen können sich noch weitere Verbraucherschutz- und Datenschutzregelungen des Bundes und der Einzelstaaten als vorteilhaft für EU-Verbraucher erweisen.
C. Durchsetzung der SAFE-Harbor-Regelung
Im Rahmen ihres Programms zur Durchsetzung des Datenschutzes und der Datensicherheit bemühte sich die FTC zudem um den Schutz der EU-Verbraucher, indem sie bei Verstößen gegen die SAFE-Harbor-Regelung Durchsetzungsmaßnahmen einleitete. Die FTC hat im Rahmen von SAFE Harbor 39 Durchsetzungsmaßnahmen eingeleitet: In 36 Fällen ging es um falsche Angaben zur Zertifizierung und in drei Fällen – Google, Facebook und Myspace – um mutmaßliche Verstöße gegen Datenschutzgrundsätze von SAFE Harbor [9]). Diese Verfahren belegen, dass korrekte Angaben zur Zertifizierung durchgesetzt werden können und welche Folgen Verstöße nach sich ziehen. Mit Zustimmung der Gegenseite erlassene „Consent orders“ mit einer Geltungsdauer von zwanzig Jahren verpflichten Google, Facebook und Myspace dazu, umfassende Datenschutzprogramme zu erstellen, die nach menschlichem Ermessen so konzipiert sind, dass sie Datenschutzrisiken abdecken, die sich aus der Entwicklung bzw. Verwaltung neuer und bestehender Produkte und Dienstleistungen ergeben, und die Privatsphäre und die Vertraulichkeit personenbezogener Daten schützen. Die aufgrund dieser Verfügungen erstellten umfassenden Datenschutzprogramme müssen wesentliche vorhersehbare Risiken benennen und Kontrollen zur Ausräumung dieser Risiken vorsehen. Zudem müssen sich die Unternehmen kontinuierlichen unabhängigen Einschätzungen ihrer Datenschutzprogramme unterziehen, die der FTC vorzulegen sind. In den Verfügungen wird diesen Unternehmen auch untersagt, falsche Angaben zu ihrer Datenschutzpraxis und zur Beteiligung an einem Datenschutz- oder Sicherheitsprogramm zu machen. Dieses Verbot würde auch für die Handlungen und Praktiken von Unternehmen im Rahmen der neuen Datenschutzschild-Regelung gelten. Die FTC kann diese Verfügungen durch zivilrechtliche Klagen durchsetzen. So hat Google 2012 ein Bußgeld in Rekordhöhe, nämlich 22,5 Mio. USD, gezahlt, weil ihm Verstöße gegen die Verfügung vorgeworfen wurden. Die Maßnahmen der FTC tragen also zum Schutz von über einer Milliarde Verbraucher in der Welt bei, von denen Hunderte von Millionen in Europa beheimatet sind.
Einen weiteren Schwerpunkt der FTC bildeten falsche oder irreführende Behauptungen über eine Beteiligung an der SAFE-Harbor-Regelung. Die FTC nimmt derartige falsche Angaben sehr ernst. Beispielsweise erhob die FTC 2011 in der Rechtssache FTC/Karnani Klage gegen einen Internet-Anbieter in den Vereinigten Staaten, dem vorgeworfen wurde, dass er und sein Unternehmen britischen Verbrauchern vortäuschte, der Sitz der Firma befände sich im Vereinigten Königreich, indem er unter anderem Webadressen mit der Endung.uk verwendete und auf die britische Währung und das britische Postsystem Bezug nahm [10]. Als aber die Ware eintraf, stellten die Käufer fest, dass darauf wider Erwarten Einfuhrzölle erhoben wurden, die Garantiezusagen im Vereinigten Königreich nichts galten und Kosten für die Erstattung der Zollgebühren anfielen. Die FTC machte zudem geltend, dass die Beklagten die Verbraucher über ihre Beteiligung am SAFE-Harbor-Programm getäuscht hatten. Im Übrigen waren alle Opfer des Betrugs Briten.
Bei vielen anderen Verfahren zur Durchsetzung der SAFE-Harbor-Regelung ging es um Organisationen, die dem Programm beitraten, ohne ihre Zertifizierung jährlich zu erneuern, sich aber weiterhin als aktuelle Mitglieder ausgaben. Wie weiter unten dargelegt, verpflichtet sich die FTC auch dazu, gegen falsche Angaben über die Beteiligung an der Datenschutzschild-Regelung vorzugehen. Diese strategischen Durchsetzungsmaßnahmen ergänzen die verstärkten Bemühungen des Handelsministeriums, die Einhaltung der Anforderungen an die Zertifizierung und Rezertifizierung zu überprüfen, die tatsächliche Einhaltung zu überwachen, unter anderem durch Fragebogenaktionen bei den Teilnehmern, und falsche Angaben zur Mitgliedschaft im Datenschutzschild und Fälle des Missbrauchs von Zertifizierungsmarken aufzudecken [11].
II. DIE VORRANGIGE BEHANDLUNG VON ÜBERWIESENEN FÄLLEN UND ERMITTLUNGEN
Wie schon beim SAFE-Harbor-Programm verpflichtet sich die FTC, die ihr von EU-Mitgliedstaaten im Rahmen des Datenschutzschilds zugeleiteten Fälle vorrangig zu behandeln. Priorität haben auch Fälle, die Verstöße gegen die für den Datenschutzschild geltenden Leitlinien der freiwilligen Selbstkontrolle betreffen und mit denen wir von Einrichtungen der Selbstkontrolle und anderen unabhängigen Beschwerdestellen befasst werden.
Um im Rahmen der Regelung die Zuleitung von Fällen aus den EU-Mitgliedstaaten zu erleichtern, richtet die FTC ein standardisiertes Verweisungsverfahren ein und gibt den EU-Mitgliedstaaten eine Anleitung dazu, welche Art von Informationen für die FTC bei den Ermittlungen zu einem ihr zugeleiteten Fall besonders hilfreich ist. Zu diesem Zweck benennt die FTC innerhalb der Behörde eine Kontaktstelle für aus den EU-Mitgliedstaaten weitergeleitete Fälle. Es ist zweifellos von Vorteil, wenn die vorlegende Behörde bereits eine Voruntersuchung des mutmaßlichen Verstoßes eingeleitet hat und bei den Ermittlungen mit der FTC zusammenarbeiten kann.
Wenn ein EU-Mitgliedstaat oder eine der Selbstkontrolle unterliegende Organisation die FTC mit einer Sache befasst, kann diese eine Reihe von Maßnahmen ergreifen, um die aufgeworfenen Fragen zu klären. Beispielsweise können wir die Datenschutzpolitik des Unternehmens überprüfen; zusätzliche Informationen direkt beim Unternehmen oder bei Dritten einholen; die vorlegende Stelle dazu befragen; untersuchen, ob die Verstöße systematisch erfolgen oder eine größere Anzahl von Verbrauchern betreffen; in Erfahrung bringen, ob der uns zugeleitete Fall Fragen berührt, die in den Zuständigkeitsbereich des Handelsministeriums fallen; prüfen, ob Aufklärungsmaßnahmen für Verbraucher und Unternehmen hilfreich wären; und gegebenenfalls ein Verfahren einleiten.
Die FTC verpflichtet sich auch dazu, mit den vorlegenden Durchsetzungsinstanzen Informationen über die ihr zugeleiteten Sachen auszutauschen, unter anderem zu deren Status im Hinblick auf Geheimhaltungsvorschriften und Einschränkungen. In dem Maße, wie es Anzahl und Art der überwiesenen Fälle erlauben, enthalten die Informationen eine Beurteilung der Fälle, einschließlich einer Beschreibung der aufgeworfenen Kernfragen und der Maßnahmen, die gegen Verstöße im Zuständigkeitsbereich der FTC ergriffen wurden. Die FTC unterrichtet die vorlegende Behörde auch über die Art der ihr zugeleiteten Fälle, um die Wirksamkeit der Bemühungen um die Ahndung gesetzwidrigen Verhaltens zu erhöhen. Wenn eine vorlegende Durchsetzungsinstanz um Informationen zum Status eines bestimmten Falles ersucht, um eigene Durchsetzungsmaßnahmen zu verfolgen, wird die FTC diesem Wunsch nachkommen, wobei sie die Anzahl der jeweils zu prüfenden Sachen ebenso berücksichtigt wie Geheimhaltungsvorschriften sowie andere rechtliche Vorgaben.
Die FTC wird auch eng mit den Datenschutzbehörden der EU zusammenarbeiten, um die Durchsetzung der Regelung zu unterstützen. In bestimmten Fällen könnten ein Informationsaustausch und Amtshilfe bei Ermittlungen gemäß U.S. SAFE WEB Act dazugehören, denn dieses Gesetz gestattet der FTC, ausländischen Strafverfolgungsbehörden Amtshilfe zu leisten, wenn die betreffende ausländische Behörde Vorschriften zur Unterbindung von Praktiken durchsetzt, die im Wesentlichen denen entsprechen, die auch nach den von der FTC durchgesetzten Vorschriften strafbar sind [12]. Im Rahmen dieser Amtshilfe kann die FTC Informationen weitergeben, die sie im Zusammenhang mit eigenen Ermittlungen erlangt hat, Zwangsmaßnahmen zur Beweissicherung im Auftrag von Datenschutzbehörden der EU anordnen, die eigene Ermittlungen durchführen, und Zeugen oder Beschuldigte im Zusammenhang mit Durchsetzungsmaßnahmen der Datenschutzbehörden anhören, wobei die Bestimmungen des U.S. SAFE WEB Act einzuhalten sind. Die FTC macht regelmäßig von diesem Recht Gebrauch, um anderen Behörden weltweit bei Daten- und Verbraucherschutzsachen zur Seite zu stehen [13].
Die FTC räumt nicht nur im Rahmen des Datenschutzschilds den Fällen, die ihr von EU-Mitgliedstaaten und der Selbstkontrolle unterliegenden Organisationen zugeleitet werden, Priorität ein [14], sondern verpflichtet sich auch dazu, mögliche Verstöße gegen die Regelung gegebenenfalls aus eigener Initiative zu untersuchen und dazu verschiedene Instrumente einzusetzen.
Seit gut einem Jahrzehnt verfolgt die FTC ein tragfähiges Programm zur Untersuchung von Datenschutz- und Sicherheitsproblemen, die in Unternehmen auftreten. Im Rahmen dieser Ermittlungen prüfte die FTC routinemäßig, ob sich die Unternehmen öffentlich zu den SAFE-Harbor-Grundsätzen bekannten. Wenn dies der Fall war, die Ermittlungen aber offensichtliche Verstöße gegen diese Grundsätze erkennen ließen, berücksichtigte die FTC das mutmaßliche Fehlverhalten bei ihren Durchsetzungsmaßnahmen. Wir werden bei der neuen Regelung an diesem offensiven Vorgehen festhalten. Anzumerken ist, dass die Zahl der Untersuchungen, die von der FTC eingeleitet werden, wesentlich höher ist als die Zahl der Untersuchungen, die letztendlich zu öffentlichen Durchsetzungsmaßnahmen führen. Vielfach werden Ermittlungen der FTC eingestellt, weil keine offensichtlichen Rechtsverstöße erkennbar sind. Da die Untersuchungen vertraulich und nicht öffentlich zugänglich sind, wird häufig auch die Einstellung nicht publik gemacht.
Die fast 40 Durchsetzungsmaßnahmen, die von der FTC im Zusammenhang mit dem SAFE-Harbor-Programm ergriffen wurden, belegen den Einsatz der Behörde für eine offensive Durchsetzung grenzüberschreitender Datenschutzregelungen. Die FTC wird bei ihren regelmäßigen Untersuchungen im Bereich des Datenschutzes und der Sicherheit auf mögliche Verstöße gegen die neue Regelung achten.
III. UNTERBINDUNG FALSCHER ODER IRREFÜHRENDER ANGABEN ZUR MITGLIEDSCHAFT IM DATENSCHUTZSCHILD
Wie bereits ausgeführt, wird die FTC gegen Unternehmen vorgehen, die falsche Angaben zu ihrer Beteiligung an der Regelung machen. Priorität erhalten dabei die Fälle, die ihr vom Handelsministerium zugeleitet werden und Organisationen betreffen, die wahrheitswidrig behaupten, aktuelle Mitglieder der Regelung zu sein, oder unbefugt Zertifizierungsmarken der Regelung verwenden.
Wenn im Übrigen eine Organisation in ihren Datenschutzbestimmungen zusichert, dass sie sich an die Grundsätze des Datenschutzschilds hält, reicht die bloße Tatsache, dass sie sich beim Handelsministerium nicht registrieren lässt oder ihre Registrierung nicht verlängert, nicht aus, um sich der Durchsetzung dieser Zusicherungen durch die FTC zu entziehen.
IV. KONTROLLE DER BEFOLGUNG VON VERFÜGUNGEN
Die FTC bekräftigt zudem die von ihr eingegangene Verpflichtung, die Befolgung von Verfügungen zu überwachen, um die Einhaltung der Datenschutzschild-Regelung zu gewährleisten.
Wir werden bei künftigen die Regelung betreffenden FTC-Verfügungen durch eine Vielzahl geeigneter vorläufiger Anordnungen auf die Einhaltung der Grundsätze hinwirken. Dazu gehört die Untersagung von falschen Angaben zur neuen Regelung oder anderen Datenschutzprogrammen, wenn diese die Grundlage für das Vorgehen der FTC bilden.
Die bisherigen Verfahren der FTC zur Durchsetzung des SAFE-Harbor-Programms sind sehr aufschlussreich. In den 36 Fällen, die falsche oder irreführende Angaben zur SAFE-Habor-Zertifizierung betrafen, untersagt die jeweilige Verfügung den Beklagten, falsche Angaben zur Beteiligung an SAFE Harbor oder anderen Datenschutz- bzw. Sicherheitsprogrammen zu machen, und verpflichtet das Unternehmen dazu, der FTC Compliance-Berichte vorzulegen. Wenn es in den Verfahren um Verstöße gegen die Datenschutzgrundsätze von SAFE Harbor ging, wurde es den Unternehmen zur Auflage gemacht, umfassende Datenschutzprogramme einzurichten und zwanzig Jahre lang alle zwei Jahre für unabhängige externe Einschätzungen dieser Programme zu sorgen, die der FTC vorzulegen sind.
Die Nichtbefolgung von Verfügungen der FTC kann zur Folge haben, dass je Verstoß ein Bußgeld von bis zu 16 000 USD und bei anhaltenden Verstößen von 16 000 USD je Tag verhängt wird [15]. Wenn sich die Praktiken auf zahlreiche Verbraucher auswirken, kann sich die Summe schnell auf Millionen von Dollar belaufen. Jeder „Consent order“ ist auch mit Berichts- und Einhaltungspflichten verbunden. Die betroffenen Unternehmen müssen über einen festgelegten Zeitraum die Belege für regelkonformes Verhalten aufbewahren. Auch sind sie gehalten, die Verfügungen an die Mitarbeiter weiterzuleiten, die für die Befolgung zuständig sind.
Wie bei all ihren Verfügungen kontrolliert die FTC auch bei SAFE Harbor systematisch die Einhaltung der Auflagen. Sie nimmt die Durchsetzung ihrer Verfügungen in den Bereichen Datenschutz und -sicherheit sehr ernst und leitet erforderlichenfalls dazu juristische Schritte ein. Wie schon erwähnt, zahlte Google aufgrund der Anschuldigung, es habe gegen eine FTC-Verfügung verstoßen, ein Bußgeld von 22,5 Mio. USD. Die Verfügungen der FTC werden auch künftig alle Verbraucher weltweit schützen, die Kunden eines Unternehmens sind, und nicht nur jene unter ihnen, die Beschwerden eingereicht haben.
Abschließend dazu sei betont, dass die FTC weiterhin eine Online-Liste von Unternehmen führen wird, die Auflagen im Zusammenhang mit der Durchsetzung des SAFE-Harbor-Programms und der neuen Datenschutzschild-Regelung unterliegen [16]. Überdies sind nach den Grundsätzen des Datenschutzschilds alle Unternehmen, die aufgrund von Verstößen gegen die Grundsätze Auflagen der FTC oder eines Gerichts erfüllen müssen, jetzt dazu verpflichtet, sämtliche die Regelung betreffenden Abschnitte eines der FTC vorgelegten Compliance- oder Prüfberichts publik zu machen, soweit die Geheimhaltungsvorschriften und -regeln dies gestatten.
V. VERSTÄRKTE KONTAKTE ZU DATENSCHUTZBEHÖRDEN DER EU UND ENGERE ZUSAMMENARBEIT MIT IHNEN BEI DER DURCHSETZUNG
Die FTC erkennt die wichtige Rolle an, die Datenschutzbehörden der EU bei der Einhaltung der Regelung spielen, und befürwortet verstärkte Konsultationen und eine engere Zusammenarbeit bei der Durchsetzung. Über Rücksprachen mit vorlegenden Datenschutzbehörden zu fallspezifischen Fragen hinaus verpflichtet sich die FTC, an regelmäßigen Zusammenkünften mit dazu benannten Vertretern der Artikel-29-Datenschutzgruppe teilzunehmen, um in allgemeiner Form darüber zu diskutieren, wie sich die Zusammenarbeit bei der Durchsetzung der Regelung verbessern lässt. Die FTC wird sich zudem gemeinsam mit dem Handelsministerium, der Europäischen Kommission und Vertretern der Artikel-20-Datenschutzgruppe an der jährlichen Überprüfung der Regelung beteiligen, um die praktische Umsetzung zu erörtern.
Die FTC wirkt auch auf die Entwicklung von Instrumenten hin, die eine verstärkte Zusammenarbeit mit Datenschutzbehörden der EU sowie ähnlichen Einrichtungen in der ganzen Welt bei Durchsetzungsmaßnahmen ermöglichen. Vor allem hat die FTC zusammen mit Partnern in der Europäischen Union und der übrigen Welt im letzten Jahr ein Warnsystem innerhalb des Global Privacy Enforcement Network („GPEN“) ins Leben gerufen, um Informationen über Ermittlungen auszutauschen und die Koordinierung der Durchsetzungsmaßnahmen zu fördern. Dieses als „GPEN Alert“ bezeichnete Instrument könnte sich bei der Datenschutzschild-Regelung als besonders nützlich erweisen. Die FTC und die Datenschutzbehörden der EU könnten es für diesbezügliche und andere datenschutzrechtliche Ermittlungen nutzen, auch als Ausgangspunkt für den Informationsaustausch, um für einen besser koordinierten und effektiveren Verbraucherschutz zu sorgen. Wir sehen erwartungsvoll der weiteren Zusammenarbeit mit den beteiligten EU-Behörden entgegen, damit wir das GPEN-Alert-System auf noch breiterer Grundlage einsetzen und weitere Instrumente entwickeln können, die zur Verbesserung der Zusammenarbeit bei der Durchsetzung des Datenschutzes, auch im Rahmen der neuen Regelung, beitragen.
Die FTC bekennt sich hiermit zu ihrer Verpflichtung, der neuen Datenschutzschild-Regelung zum Erfolg zu verhelfen. Wir freuen uns darauf, weiterhin im Zusammenwirken mit unseren Kollegen in der EU den Verbraucherschutz beiderseits des Atlantiks zu befördern.
Hochachtungsvoll
Edith
Ramirez
Vorsitzende
Anlage A
Der EU-US-Datenschutzschild in der Praxis: Ein Überblick über das Datenschutz- und -sicherheitsumfeld in den USA
Das durch die Regelung zum EU-US-Datenschutzschild („die Regelung“) gebotene Sicherheitsniveau ist in die umfassenderen Datenschutzvorschriften des US-Rechtssystems eingebettet. Erstens wacht die Federal Trade Commission („FTC“) der USA mithilfe eines wirksamen Datenschutz- und -sicherheitsprogramms für US-Geschäftspraktiken über den weltweiten Verbraucherschutz. Zweitens hat sich das Umfeld für Verbraucherdatenschutz und -sicherheit in den USA seit dem Jahre 2000, als die ursprüngliche SAFE-Harbor-Regelung zwischen den USA und der EU angenommen wurde, merklich gewandelt. In der Zwischenzeit wurden auf Bundesebene und in den Einzelstaaten zahlreiche Gesetze zum Datenschutz und zur Datensicherheit erlassen, und es war ein deutlicher Anstieg bei der Zahl der Verwaltungs- und Zivilprozesse zur Durchsetzung der Datenschutzrechte zu vermelden. Ergänzt wird der für Einzelpersonen in der EU mit der neuen Regelung verbundene Rechtsschutz durch ein breites Spektrum an US-Rechtsvorschriften für den Schutz und die Sicherheit von Verbraucherdaten, die für den Umgang mit Geschäftsdaten gelten.
I. DAS ALLGEMEINE PROGRAMM DES FTC ZUR DURCHSETZUNG DES DATENSCHUTZES UND DER DATENSICHERHEIT
Die FTC ist die führende Verbraucherschutzbehörde in den USA und vorrangig im Bereich des Datenschutzes im Geschäftsverkehr aktiv. Sie ist befugt, unlautere und irreführende Handlungen oder Praktiken, die gegen den Verbraucherdatenschutz verstoßen, zu verfolgen und zielgenauere Datenschutzregelungen durchzusetzen, um bestimmte Finanz- und Gesundheitsdaten, Daten von Kindern sowie Daten, auf deren Grundlage bestimmte Entscheidungen über Anspruchsberechtigungen von Verbrauchern getroffen werden, zu schützen.
Die FTC verfügt über einzigartige Erfahrungen im Bereich der Durchsetzung des Verbraucherdatenschutzes. Die bisherigen Durchsetzungsmaßnahmen der FTC betrafen gesetzwidrige Praktiken im Offline- und Online-Umfeld. So hat die FTC beispielsweise Durchsetzungsmaßnahmen gegen bekannte Unternehmen wie Google, Facebook, Twitter, Microsoft, Wyndham, Oracle, HTC und Snapchat sowie gegen weniger bekannte Unternehmen eingeleitet. Sie hat Unternehmen verklagt, denen vorgeworfen wurde, unerbetene Werbung an Verbraucher zu senden, Spyware auf PCs zu installieren, personenbezogene Daten von Verbrauchern nicht zu schützen, das Verhalten von Verbrauchern unter Vorspiegelung falscher Tatsachen online zu verfolgen, die Privatsphäre von Kindern zu verletzen, missbräuchlich Verbraucherdaten über Mobilgeräte zu erfassen und Endgeräte mit Internet-Zugang, die zur Speicherung personenbezogener Daten genutzt werden, nicht zu sichern. In der Regel wurde in diesen Fällen für einen Zeitraum von zwanzig Jahren eine kontinuierliche Überwachung durch die FTC angeordnet, weitere Gesetzesverstöße wurden untersagt und hohe Geldstraßen für den Fall angekündigt, dass die Unternehmen gegen diese Verfügungen verstoßen [17]. Die Verfügungen der FTC schützen nicht nur jene Verbraucher, die Beschwerde eingereicht haben, sondern alle Verbraucher, die Kunde eines Unternehmens sind. Auf grenzüberschreitender Ebene ist die FTC für den weltweiten Verbraucherschutz im Zusammenhang mit allen in den USA stattfindenden Praktiken zuständig [18].
Bisher ist die FTC Verstößen in mehr als 130 Spam- und Spyware-Fällen nachgegangen, hat über 120 Anrufsverbote im Telemarketing verhängt, mehr als 100 Maßnahmen im Bereich des Fair Credit Reporting Act (Gesetz zur Regelung des Datenschutzes bei Konsumentenkrediten) ergriffen, ist in nahezu 60 Datensicherheitsfällen und mehr als 50 allgemeinen Datenschutzfällen sowie in etwa 30 Fällen einer Verletzung des Gramm-Leach-Bliley Act tätig geworden und hat mehr als 20 Maßnahmen zur Durchsetzung des Children's Online Privacy Protection Act („COPPA“) eingeleitet [19]. Neben den genannten Fällen hat die FTC auch Warnschreiben verfasst und herausgegeben [20].
Darüber hinaus hat die FTC im Rahmen ihrer bisherigen Bemühungen um eine konsequente Handhabung des Datenschutzes kontinuierlich über mögliche Verstöße gegen die SAFE-Harbor-Regelung gewacht. Seit Annahme der SAFE-Harbor-Regelung hat die FTC auf eigene Initiative zahlreiche Ermittlungen im Zusammenhang mit der Einhaltung der SAFE-Harbor-Verfahren geführt und 39 Verfahren gegen US-Unternehmen wegen Verstößen gegen die SAFE-Harbor-Regelung eingeleitet. Diese proaktive Herangehensweise will die FTC auch weiterhin fortsetzen und dabei der Durchsetzung der neuen Regelung eine hohe Priorität einräumen.
II. VERBRAUCHERDATENSCHUTZ AUF BUNDESEBENE UND IN DEN EINZELSTAATEN
Der Überblick über die Möglichkeiten der Durchsetzung der Grundsätzes des sicheren Hafens im Anhang zur Entscheidung der Kommission über die Angemessenenheit des von den Grundsätzen des sicheren Hafens gewährleisteten Schutzes enthält eine Zusammenfassung vieler der zum Zeitpunkt der Annahme der SAFE-Harbor-Regelung im Jahr 2000 auf Bundesebene und in den Einzelstaaten geltenden Datenschutzgesetze [21]. Zu diesem Zeitpunkt wurde die gewerbliche Erfassung und Verwendung personenbezogener Daten durch zahlreiche Bundesgesetze – neben § 5 des FTC Act – geregelt, darunter der Cable Communications Policy Act, der Driver's Privacy Protection Act, der Electronic Communications Privacy Act, der Electronic Funds Transfer Act, der Fair Credit Reporting Act, der Gramm-Leach-Bliley Act, der Right to Financial Privacy Act, der Telephone Consumer Protection Act und der Video Privacy Protection Act. Viele Bundesstaaten hatten in diesen Bereichen eine analoge Rechtsprechung.
Seit dem Jahr 2000 hat es auf Bundesebene und in den Einzelstaaten grundlegende Veränderungen gegeben, die zu einem zusätzlichen Verbraucherdatenschutz beitragen [22]. So hat die FTC im Jahr 2013 auf Bundesebene beispielsweise den COPPA überarbeitet, um einige zusätzliche Schutzmechanismen für die personenbezogenen Angaben von Kindern einzuführen. Darüber hinaus hat sie mit der Datenschutz- und der Garantiebestimmung zwei Bestimmungen zur Umsetzung des Gramm-Leach-Bliley Act eingeführt, die Finanzinstitutionen dazu verpflichten [23] ihre Praktiken beim Austausch von Informationen offenzulegen und ein umfassendes Informationssicherheitsprogramm zum Schutz von Verbraucherdaten zu erarbeiten [24]. Der im Jahr 2003 eingeführte Fair and Accurate Credit Transactions Act („FACTA“) dient ebenfalls der Ergänzung altbewährter US-Kreditgesetze und enthält Bestimmungen zur Unkenntlichmachung, gemeinsamen Nutzung und Vernichtung sensibler Finanzdaten. Im Rahmen des FACTA hat die FTC eine Reihe von Regeln eingeführt, die sich unter anderem auf das Recht der Verbraucher auf einen kostenfreien jährlichen Kreditbericht, auf Bestimmungen zur sicheren Vernichtung von gemeldeten Verbraucherdaten, auf das Recht der Verbraucher, den Erhalt bestimmter Informationen zu Krediten und Versicherungen abzubestellen, auf das Recht der Verbraucher, der Verwendung von durch ein Tochterunternehmen bereitgestellten Angaben für die Vermarktung seiner Produkte und Dienstleistungen zu widersprechen sowie auf Anforderungen an Institutionen und Kreditgeber zur Durchführung von Programmen zur Ermittlung und Prävention von Identitätsdiebstahl beziehen [25]. Darüber hinaus wurden die im Rahmen des Health Insurance Portability and Accountability Act eingeführten Regeln im Jahr 2013 überarbeitet und um zusätzliche Garantien für den Schutz und die Sicherheit personenbezogener Gesundheitsdaten ergänzt [26]. Dank neuer Vorschriften werden Verbraucher zudem vor unerbetener Telefonwerbung, computergesteuerten Werbeanrufen und Spam geschützt. Der Kongress hat ferner Gesetze erlassen, die Gesundheitsinformationen erfassende Unternehmen dazu verpflichten, Verbraucher über einen möglichen Verstoß zu unterrichten [27].
Auch in den Bundestaaten wurden zahlreiche Gesetze im Bereich Datenschutz und -sicherheit erlassen. Seit dem Jahre 2000 haben 47 Bundesstaaten, der District of Columbia, Guam, Puerto Rico und die Virgin Islands Gesetze eingeführt, die Unternehmen dazu verpflichten, Einzelpersonen über Verstöße gegen die Sicherheit personenbezogener Angaben zu unterrichten [28]. In mindestens 32 Staaten sowie in Puerto Rico gibt es Gesetze zur Datenvernichtung mit Vorschriften zur Zerstörung oder Vernichtung personbezogener Daten [29]. In einer Reihe von Bundesstaaten wurden zudem allgemeine Datensicherheitsgesetze erlassen. Darüber hinaus wurden in Kalifornien unterschiedliche Datenschutzgesetze eingeführt, darunter ein Gesetz, das Unternehmen zur Festlegung von Datenschutzbestimmungen und zur Offenlegung ihrer „do-not-track“-Verfahren verpflichtet [30] sowie ein „Shine the Light“-Gesetz mit höheren Transparenzanforderungen an Datenvermittler [31] und ein Gesetz, das die Einführung einer Schaltfläche vorsieht, mit der Minderjährige die Löschung bestimmter Daten in sozialen Medien auslösen können [32]. Mit Hilfe dieser Gesetze sowie weiterer Befugnisse konnten die Regierungen auf Bundesebene und in den Einzelstaaten hohe Geldbußen gegen Unternehmen verhängen, die den Schutz und die Sicherheit der personenbezogenen Daten von Verbrauchern nicht gewährleistet haben [33].
Auch zivilrechtliche Verfahren hatten erfolgreiche gerichtliche Entscheidungen und Vergleiche zum Ergebnis, die zu mehr Datenschutz und -sicherheit für Verbraucher beitragen. So hat beispielsweise Target im Jahr 2015 zugestimmt, im Rahmen eines Vergleichs 10 Mio. USD an Kunden zu zahlen, die Klage wegen Missbrauchs ihrer personenbezogenen Finanzdaten im Zuge einer umfassenden Datenschutzverletzung eingereicht hatten. AOL hat sich 2013 bereit erklärt, im Rahmen eines Vergleichs 5 Mio. USD zu zahlen, um eine Sammelklage wegen unzureichender Anonymisierung im Zusammenhang mit der Veröffentlichung von Suchanfragen von Hunderttausenden AOL-Nutzern abzuwehren. Darüber hinaus hat ein Bundesgericht einer Zahlung in Höhe von 9 Mio. USD durch Netflix zugestimmt. Gegen das Unternehmen war Beschwerde eingereicht worden, weil es entgegen den Bestimmungen aus dem Video Privacy Protection Act von 1988 die Verleihhistorien seiner Nutzer gespeichert hatte. Bundesgerichte in Kalifornien haben zwei separate Vergleiche mit Facebook über 20 bzw. 9,5 Mio. USD genehmigt, in denen es um die Erfassung, die Verwendung und den Austausch personenbezogener Daten der Nutzer durch das Unternehmen ging. Ferner hat ein Gericht des Bundestaats Kalifornien im Jahr 2008 einem Vergleich in Höhe von 20 Mio. USD in einem Verfahren gegen LensCrafters wegen unrechtmäßige Offenlegung medizinischer Verbraucherinformationen zugestimmt.
Alles in allem zeigt dieser Überblick, dass in den USA ein umfassender Rechtsschutz im Bereich Verbraucherdatenschutz und -sicherheit besteht. Auf dieser soliden Rechtsgrundlage, die Verbraucherdatenschutz und -sicherheit nach wie vor oberste Priorität einräumt, kann die neue Datenschutzschild-Regelung zur Anwendung kommen, mit der wirksame Garantien für Einzelpersonen in der EU verbunden sind.
Fundstelle(n):
zur Änderungsdokumentation
KAAAG-88638
1Amtl. Anm.: Zusätzliche Angaben über das US-Datenschutzrecht auf Bundesebene und in den Einzelstaaten finden Sie im Anhang A und einen Überblick über unsere neuesten Durchsetzungsmaßnahmen im Bereich Datenschutz und -sicherheit in Anhang B. Dieser Überblick ist auch auf der Website der FTC abrufbar unter https://www.ftc.gov/reports/privacy-data-security-update-2015.
2Amtl. Anm.: 15 U.S.C. § 45(a).
3Amtl. Anm.: Siehe FTC Policy Statement on Deception, appended to Cliffdale Assocs., Inc., 103 F.T.C. 110, 174 (1984), abrufbar unter https://www.ftc.gov/public-statements/1983/10/ftc-policy-statement-deception.
4Amtl. Anm.: Siehe 15 U.S.C § 45(n); FTC Policy Statement on Unfairness, appended to Int'l Harvester Co., 104 F.T.C. 949, 1070 (1984), abrufbar unter https://www.ftc.gov/public-statements/1980/12/ftc-policy-statement-unfairness.
5Amtl. Anm.: Siehe California Dental Ass'n v. FTC, 526 U, S. 756 (1999).
6Amtl. Anm.: Siehe Office of the Privacy Commissioner of Canada, Complaint under PIPEDA against Accusearch, Inc., doing business as Abika.com, https://www.priv.gc.ca/cf-dc/2009/2009_009_0731_e.asp. Das Büro des kanadischen Datenschutzbeauftragten legte im Rechtsmittelverfahren gegen die FTC-Maßnahme einen Amicus-curiae-Schriftsatz vor und führte eigene Ermittlungen durch, die zu dem Schluss führten, dass die Praktiken von Accusearch auch gegen kanadisches Recht verstießen.
7Amtl. Anm.: Siehe FTC v. Accusearch, Inc., No. 06CV015D (D. Wyo. Dec. 20, 2007), aff'd 570 F.3d 1187 (10th Cir. 2009).
8Amtl. Anm.: Siehe In the Matter of True Ultimate Standards Everywhere, Inc., No. C-4512 (F.T.C. Mar. 12, 2015) (Entscheidung und Verfügung), abrufbar unter https://www ftc.gov/system/files/documents/cases/150318trust-edo.pdf.
9Amtl. Anm.: Siehe In the Matter of Google, Inc., No. C-4336 (F.T.C. Oct. 13 2011) (Entscheidung und Verfügung), abrufbar unter https://www.ftc.gov/news-events/press-releases/2011/03/ftc-charges-deceptive-privacy-practices-googles-rollout-its-buzz; In the Matter of Facebook, Inc., No. C-4365 (F.T.C. July 27, 2012) (Entscheidung und Verfügung), abrufbar unter https://www.ftc.gov/news-events/press-releases/2012/08/ftc-approves-final-settlement-facebook; In the Matter of Myspace LLC, No. C-4369 (F.T.C. Aug. 30, 2012) (Entscheidung und Verfügung), abrufbar unter https://www.ftc.gov/news-events/press-releases/2012/09/ftc-finalizes-privacy-settlement-myspace.
10Amtl. Anm.: Siehe FTC v. Karnani, No. 2:09-cv-05276 (C.D. Cal. May 20, 2011) (abschließende Verfügung), abrufbar unter https://www ftc.gov/sites/default/files/documents/cases/2011/06/110609karnanistip.pdf; siehe auch Lesley Fair, FTC Business Center Blog, Around the World in Shady Ways, https://www.ftc.gov/blog/2011/06/around-world-shady-ways ().
11Amtl. Anm.: Schreiben von Ken Hyatt, geschäftsführender Staatssekretär für internationalen Handel im Handelsministerium, Leiter der International Trade Administration, an Věra Jourová, Kommissionsmitglied für Justiz, Verbraucherschutz und Gleichstellungsfragen.
12Amtl. Anm.: Zur Beantwortung der Frage, ob sie ihre Befugnisse nach dem U.S. SAFE WEB Act ausüben sollte, prüft die FTC unter anderem, „(A) ob die vorlegende Behörde sich dazu bereit erklärt hat, ihrerseits der Kommission Amtshilfe zu leisten; (B) ob die Befürwortung des Antrags dem öffentlichen Interesse der Vereinigten Staaten zuwiderlaufen würde; und (C) ob die Ermittlungen oder Durchsetzungsmaßnahmen der vorlegenden Behörde Handlungen oder Praktiken zum Gegenstand haben, die einer größeren Zahl von Personen tatsächlich oder voraussichtlich zum Schaden gereichen.“ 15 U.S.C. § 46(j)(3). Die Befugnisse erstrecken sich nicht auf die Durchsetzung von Wettbewerbsvorschriften.
13Amtl. Anm.: In den Haushaltsjahren 2012-2015 beispielsweise machte die FTC Gebrauch von ihren Befugnissen gemäß U.S. SAFE WEB Act, um auf fast 60 Anträge ausländischer Behörden hin Informationen weiterzugeben, und erließ fast 60 „civil investigative demands“ (Auskunftsersuchen zur Beweissicherung) und leistete damit Amtshilfe in 25 ausländischen Ermittlungsverfahren.
14Amtl. Anm.: Auch wenn die FTC keinen Beschwerden einzelner Verbraucher nachgeht oder dabei vermittelt, wird sie Fälle, die ihr von Datenschutzbehörden der EU im Rahmen des Datenschutzschilds zugeleitet werden, vorrangig behandeln. Zudem wertet die FTC Beschwerden für ihre Datenbank Consumer Sentinel aus, die vielen Strafverfolgungsbehörden zugänglich ist, um Trends zu erkennen, Schwerpunkte der Durchsetzung festzulegen und mögliche Ziele von Ermittlungen auszumachen. EU-Bürger können dasselbe Beschwerdesystem, das US-Bürgern zur Verfügung steht, für eine Beschwerde an die FTC unter www.ftc.gov/complaint nutzen. Bei Individualbeschwerden, die den Datenschutzschild betreffen, ist es aber für EU-Bürger am zweckmäßigsten, wenn sie ihre Beschwerde bei einer Datenschutzbehörde ihres Mitgliedstaats oder einer Schiedsstelle einreichen.
15Amtl. Anm.: 15 U.S.C. § 45(m); 16 C.F.R. § 1.98.
16Amtl. Anm.: Siehe FTC, Business Center, Legal Resources, https://www.ftc.gov/tips-advice/business-center/legal-resources?type=case&field-consumer-protection-topics-tid=251.
17Amtl. Anm.: Gegen ein Unternehmen, das gegen eine Verfügung der FTC verstößt, kann ein Bußgeld von bis zu 16 000 USD und bei anhaltenden Verstößen von 16 000 USD je Tag verhängt werden. Siehe 15 U.S.C. § 45(l); 16 C.F.R. § 1.98(c).
18Amtl. Anm.: Der Kongress hat ausdrücklich die Befugnis der FTC bekräftigt, Rechtsbehelfe, darunter auch eine Wiederherstellungsklage, in Anspruch zu nehmen bei allen für den Außenhandel bedeutenden Handlungen oder Praktiken, die (1) tatsächlich oder wahrscheinlich einen nach vernünftigem Ermessen vorhersehbaren Schaden in den Vereinigten Staaten bewirken oder (2) bei denen entscheidungserhebliches Verhalten in den Vereinigten Staaten eine Rolle spielt. Siehe 15 U.S.C. § 45(a)(4).
19Amtl. Anm.: In einigen der von ihr behandelten Datenschutz- und -sicherheitsfälle geht die FTC davon aus, dass ein Unternehmen, das sich sowohl irreführender als auch unlauterer Praktiken bedient hat, bisweilen auch gegen mehrere Gesetze verstoßen hat, darunter gegen den Fair Credit Reporting Act, den Gramm-Leach-Bliley Act und den COPPA.
20Amtl. Anm.: Siehe beispielsweise Pressemitteilung, FTC, FTC Warns Children's App Maker BabyBus About Potential COPPA Violations (), https://www.ftc.gov/news-events/press-releases/2014/12/ftc-warns-childrens-app-maker-babybus-about-potential-coppa; Pressemitteilung, FTC, FTC Warns Data Broker Operations of Possible Privacy Violations (), https://www.ftc.gov/news-events/press-releases/2013/05/ftc-warns-data-broker-operations-possible-privacy-violations; Pressemitteilung, FTC, FTC Warns Data Brokers That Provide Tenant Rental Histories They May Be Subject to Fair Credit Reporting Act (), https://www.ftc.gov/news-events/press-releases/2013/04/ftc-warns-data-brokers-provide-tenant-rental-histories-they-may.
21Amtl. Anm.: Siehe U.S.-Handelministerium, SAFE Harbor Enforcement Overview (Überblick über die Möglichkeiten der Durchsetzung der Grundsätzes des sicheren Hafens), https://build.export.gov/main/safeharbor/eu/eg_main_018476.
22Amtl. Anm.: Für einen umfassenderen Überblick über den Rechtsschutz in den USA siehe Daniel J. Solove & Paul Schwartz, Information Privacy Law (5th ed. 2015).
23Amtl. Anm.: Gemäß dem Gramm-Leach-Bliley Act sind Finanzinstitutionen alle Unternehmen, die vornehmlich mit der Bereitstellung von Finanzprodukten und -dienstleistungen befasst sind. Dazu gehören beispielsweise Scheckeinlösestellen, Kurzzeitkreditgeber, Hypothekenmakler, nichtinstitutionelle Kreditgeber, Sachverständige für persönliche Vermögens- und Immobilienbewertung und professionelle Steuerberater.
24Amtl. Anm.: Im Rahmen des Consumer Financial Protection Act von 2010 („CFPA“), Titel X der Pub. L. 111-203, 124 Stat. 1955 () (auch bekannt unter der Bezeichnung „Dodd-Frank Wall Street Reform and Consumer Protection Act“) wurde der Großteil der Gesetzgebungsbefugnisse der FTC gemäß dem Gramm-Leach-Bliley Act an das Consumer Financial Protection Bureau („CFPB“) übertragen. Die FTC behält ihre Durchsetzungsbefugnisse im Rahmen des Gramm-Leach-Bliley Act sowie die Regelungsbefugnisse in Bezug auf Garantieregeln sowie eingeschränkte Regulierungsbefugnisse gemäß den Datenschutzregeln in Bezug auf Kraftfahrzeughändler.
25Amtl. Anm.: Im Rahmen des CFPA verfügt die FTC über eine gemeinsame Zuständigkeit mit der CFPB bei der Durchsetzung des FCRA, während die Regulierungsbefugnis größtenteils auf die CFPB übertragen wurde (mit Ausnahme der „Roten Flaggen“ und der Vorschriften zur Datenvernichtung).
26Amtl. Anm.: Siehe 45 C.F.R. pts. 160, 162, 164.
27Amtl. Anm.: Siehe beispielsweise American Recovery & Reinvestment Act of 2009, Pub. L. No. 111-5, 123 Stat. 115 (2009) sowie einschlägige Regelungen, 45 C.F.R. §§ 164.404-164.414; 16 C.F.R. pt. 318.
28Amtl. Anm.: Siehe beispielsweise National Conference of State Legislatures („NCSL“), State Security Breach Notification Laws (Jan. 4, 2016), einzusehen unter http://www.ncsl.org/research/telecommunications-and-information-technology/security-breach-notification-laws.aspx.
29Amtl. Anm.: NCSL, Data Disposal Laws (), einzusehen unter http://www.ncsl.org/research/telecommunications-and-information-technology/data-disposal-laws.aspx.
30Amtl. Anm.: Cal. Bus. & Professional Code §§ 22575-22579.
31Amtl. Anm.: Cal. Civ. Code §§ 1798.80-1798.84.
32Amtl. Anm.: Cal. Bus. & Professional Code § 22580-22582.
33Amtl. Anm.: Siehe Jay Cline, U.S. Takes the Gold in Doling Out Privacy Fines, Computerworld (), einzusehen unter http://www.computerworld.com/s/article/9246393/Jay-Cline-U.S.-takes-the-gold-in-doling-out-privacy-fines?taxonomyId=17&pageNumber=1.