Bidens Executive Order zu sensiblen persönlichen Daten trägt vorerst wenig dazu bei, den Datenmarkt einzudämmen – verdeutlicht aber die Bedrohung, die der Markt darstellt

Estimated read time 7 min read

Die Biden-Regierung hat „besorgniserregende Länder“, die die sensiblen persönlichen Daten der Amerikaner ausnutzen, als nationalen Notfall eingestuft. Um die Krise zu bewältigen, gab das Weiße Haus eine heraus oberster Befehl am 28. Februar 2024 mit dem Ziel, diese Länder daran zu hindern, auf die massenhaft sensiblen personenbezogenen Daten der Amerikaner zuzugreifen.

In der Anordnung werden die Länder nicht genannt, in Nachrichtenberichten werden jedoch namentlich nicht genannte hochrangige Verwaltungsbeamte zitiert sie zu identifizieren wie China, Russland, Nordkorea, Iran, Kuba und Venezuela.

Die Durchführungsverordnung übernimmt eine einfache, weit gefasste Definition sensibler Daten, die geschützt werden sollten, die Verordnung ist jedoch eingeschränkt den Schutz, den es bietet.

Die größere Bedeutung der Anordnung liegt in der dargelegten Begründung, warum die USA eine solche Anordnung überhaupt brauchen, um die sensiblen Daten der Menschen zu schützen. Der nationale Notstand ist die direkte Folge der enormen Mengen sensibler personenbezogener Daten, die auf dem riesigen internationalen Markt für kommerzielle Daten, der sich aus Unternehmen zusammensetzt, die personenbezogene Daten sammeln, analysieren und verkaufen, zum Verkauf angeboten werden – an jedermann.

Datenbroker nutzen immer fortschrittlichere prädiktive und generative künstliche Intelligenzsysteme, um Einblicke in das Leben der Menschen zu gewinnen und diese Macht auszunutzen. Dies birgt zunehmend Risiken für den Einzelnen sowie für die innere und nationale Sicherheit.

Ich bin ein Rechtsanwalt und Juraprofessor, und ich arbeite, schreibe und lehre über Daten, Datenschutz und KI. Ich weiß es zu schätzen, dass die Verordnung die Gefahren des Datenmarkts in den Mittelpunkt rückt, indem sie anerkennt, dass Unternehmen mehr Daten über Amerikaner sammeln als je zuvor – und dass die Daten legal über Datenbroker verkauft und weiterverkauft werden. Diese Gefahren unterstreichen das Versagen des Kongresses beim Schutz der sensibelsten Daten der Menschen.

Sensible personenbezogene Daten können Anlass für Erpressungen sein, Anlass zu Bedenken hinsichtlich der nationalen Sicherheit geben und als Beweismittel für Strafverfolgungen verwendet werden. Dies gilt insbesondere in Zeiten von Fehlinformationen und Deepfakes – KI-generierten Video- oder Audioimitationen – und mit jüngster US-Bundesstaat Und staatliche Gerichtsurteile die es Staaten ermöglichen, private persönliche Entscheidungen, einschließlich solcher im Zusammenhang mit reproduktiven Rechten, einzuschränken und zu kriminalisieren. Die Durchführungsverordnung zielt darauf ab, die Amerikaner vor diesen Risiken zu schützen – zumindest vor den besorgniserregenden Ländern.

Neben der Durchführungsverordnung, mit der gegnerische Länder daran gehindert werden sollen, auf die massenhaft sensiblen Daten der Amerikaner zuzugreifen, untersucht die Biden-Regierung auch das Datenschutzrisiko, das von in den USA verkauften chinesischen Autos ausgeht

Was die Executive Order bewirkt

Die Anordnung erlässt Anweisungen an Bundesbehörden, um den anhaltenden Bemühungen bestimmter Länder entgegenzuwirken, auf die massenhaft sensiblen persönlichen Daten von Amerikanern sowie auf Daten der US-Regierung zuzugreifen. In der Anordnung wird unter anderem betont, dass personenbezogene Daten zur Erpressung von Personen, darunter Militär- und Regierungspersonal, verwendet werden könnten.

Gemäß der Anordnung wird das Justizministerium Vorschriften entwickeln und erlassen, die die groß angelegte Übermittlung sensibler personenbezogener Daten von Amerikanern in besorgniserregende Länder verhindern.

Im weiteren Sinne ermutigt die Verordnung das Consumer Financial Protection Bureau, Schritte zu unternehmen, um die Einhaltung des Bundesverbraucherschutzgesetzes zu verbessern. Dies könnte zum Teil dazu beitragen, die allzu invasive Erhebung und den Verkauf sensibler Daten einzuschränken und die Menge an Finanzinformationen – wie etwa Kreditauskünften – zu reduzieren, die Datenmakler sammeln und weiterverkaufen.

Die Anordnung weist die zuständigen Bundesbehörden außerdem an, Datenmaklern den Verkauf großer Mengen an Gesundheits- und Genomdaten an die betreffenden Länder zu verbieten. Es erkennt an, dass Datenmakler und ihre Kunden zunehmend in der Lage sind, KI zur Analyse von Gesundheits- und Genomdaten sowie anderen Arten von Daten zu nutzen, die nicht die Identität einzelner Personen enthalten, um Daten bestimmten Personen zuzuordnen.

Sensible personenbezogene Daten definieren

Aus Sicht des Datenschutzes ist die Verordnung aufgrund ihrer breiten Definition dessen, was sensible personenbezogene Daten sind, von Bedeutung. Im Lieferumfang enthalten dieser Oberbegriff sind „Betroffen sind persönliche Identifikatoren, Geolokalisierung und damit verbundene Sensordaten, biometrische Identifikatoren und menschliche Omic-Daten, persönliche Gesundheitsdaten, persönliche Finanzdaten oder eine beliebige Kombination davon.“ Nicht in die Definition einbezogen sind Daten, die öffentlich bekannt sind.

Die weit gefasste Definition ist wichtig, weil sie eine Abweichung vom US-Rechtssystem bestätigt Standardansatz für Daten, also Sektor für Sektor. Im Allgemeinen schützen Bundes- und Landesgesetze unterschiedliche Arten von Daten, z Gesundheitsdaten, biometrische Daten Und Finanzdaten, auf veschiedenen Wegen. Lediglich die Personen und Einrichtungen innerhalb dieser Sektoren, wie etwa Ihr Arzt oder Ihre Bank, sind in der Art und Weise, wie sie die Daten verwenden, reguliert.

Dieser stückweise Ansatz passt nicht gut zur Ära von Satelliten und intelligente Geräte, und hat viele Daten, sogar sehr sensible Daten, ungeschützt gelassen. Beispielsweise erfassen, sammeln, nutzen und verbreiten Smartphones und tragbare Geräte sowie die darauf befindlichen Apps große Mengen hochgradig aufschlussreicher gesundheitsbezogener Daten und Geolokalisierungsdaten. Diese Daten fallen jedoch nicht unter den Health Insurance Portability and Accountability Act oder andere Datenschutzbestimmungen Gesetze.

Durch die Zusammenführung dieser historisch unterschiedlichen Datenkategorien unter dem umfassenderen und leichter verständlichen Begriff „sensible personenbezogene Daten“ haben sich die politischen Entscheidungsträger in der Exekutive an der Arbeit der Federal Trade Commission orientiert Schützen Sie sensible Verbraucherdaten. Die FTC hat einige Datenbroker angewiesen, den Verkauf sensibler Standortinformationen über Einzelpersonen einzustellen. Die Anordnung spiegelt auch das zunehmende Verständnis der politischen Entscheidungsträger darüber wider, was für einen sinnvollen Datenschutz im Zeitalter der prädiktiven und generativen KI erforderlich ist.

Was die Executive Order nicht tut

In der Durchführungsverordnung heißt es, dass sie nicht darauf abzielt, den globalen Datenmarkt auf den Kopf zu stellen oder „die erheblichen Verbraucher-, Wirtschafts-, Wissenschafts- und Handelsbeziehungen, die die Vereinigten Staaten mit anderen Ländern unterhalten“, negativ zu beeinflussen. Es zielt auch nicht darauf ab, Menschen in den USA generell zu verbieten, kommerzielle Transaktionen mit Unternehmen und Einzelpersonen in den betroffenen Ländern durchzuführen oder „deren Kontrolle, Weisung oder Gerichtsbarkeit unterliegen“.

Sie schreibt auch keine Maßnahmen vor, die die Verpflichtungen der USA einschränken würden, den Zugang der Öffentlichkeit zu wissenschaftlicher Forschung, den Austausch und die Interoperabilität elektronischer Gesundheitsinformationen sowie den Zugang der Patienten zu ihren Daten zu verbessern.

Insbesondere geht es nicht darum, eine allgemeine Anforderung aufzuerlegen, dass Unternehmen sensible Daten von Amerikanern oder Daten der US-Regierung innerhalb der Territorialgrenzen der USA speichern müssen, was theoretisch einen besseren Schutz der Daten bieten würde. Es wird auch nicht angestrebt, die freiwillige Regelung für 2023 neu zu formulieren Datenschutzrahmen für Datenübermittlungen zwischen der Europäischen Union und den USA

Zusammenfassend lässt sich sagen, dass es wenig dazu beiträgt, die Aktivitäten und Praktiken kommerzieller Datenbroker in den USA zu ändern – es sei denn, diese Aktivitäten betreffen die betreffenden Länder.

Was kommt als nächstes?

Die verschiedenen Behörden, die beauftragt werden, Maßnahmen zu ergreifen, müssen dies innerhalb klar festgelegter Fristen in der Anordnung tun, die zwischen vier Monaten und einem Jahr liegen. Daher handelt es sich vorerst um ein Wartespiel. Inzwischen hat sich Präsident Joe Biden einer langen Liste von Menschen angeschlossen, die dies weiterhin tun fordern Sie den Kongress auf Zu umfassende parteiübergreifende Datenschutzgesetze verabschieden.



Image Source

You May Also Like

More From Author

+ There are no comments

Add yours