Nach Jahren von verpuffte Gespräche und ins Stocken geratene Verhandlungen In Bezug auf ein Bundesdatenschutzgesetz haben die Vorsitzenden des Repräsentantenhauses und des Senatsausschusses endlich genug von ihren Differenzen beiseite gelegt, um am vergangenen Freitag einen Entwurf eines neuen überparteilichen Gesetzentwurfs zum technischen Datenschutz zu veröffentlichen.
Die als „American Data Privacy and Protection Act“ bezeichnete Gesetzgebung wird vom House Energy and Commerce Chair Frank Pallone (DN.J.), Cathy McMorris Rodgers (R-Wash.) und Sen. Roger Wicker (R-Miss .), hochrangiges Mitglied des Handelsausschusses des Senats.
Und zumindest von einer kurzen Lektüre der 10-seitiger Überblick über die Grundlagen des Gesetzentwurfs, es sieht ziemlich gut aus! Bei genauerer Lektüre ist die Sache jedoch … nun, sie ist nicht ziemlich gut oder auch nur annähernd gut. Es sieht Ausnahmen für schlechte Chefs und Strafverfolgungsbeamte vor, während Datenbroker weiterhin ungestraft große Mengen unserer persönlichen Daten kaufen und verkaufen können.
Zuerst das Gute. Es gibt Bestimmungen, die die meisten Technologieunternehmen daran hindern, „unnötig zu sammeln[ing]” Daten, die sie nicht benötigen, und es gibt Anforderungen für diese Unternehmen, jedem Benutzer das grundlegende Recht zu geben, auf sie betreffende Daten „zuzugreifen, sie zu korrigieren und zu löschen“. Es gibt auch zusätzliche Leitplanken gegen das Abschöpfen von Daten aus der Gruppe der unter 17-Jährigen, einschließlich ausdrücklicher Verbote für Unternehmen, ihre Daten zu verwenden, um Jugendliche mit Anzeigen anzusprechen. Eine solche Regel wäre eine Verbesserung gegenüber den aktuellen Datenschutzgesetzen für Kinder, die diese Praxis nur verbieten, wenn es um Benutzer geht unter 13. Die FTC würde im Rahmen dieses Gesetzentwurfs auch eine neue Liste von Verantwortlichkeiten erhalten, einschließlich der Schaffung eines öffentlichen Registers von Datenbrokern. Der Gesetzentwurf würde die Schaffung einer universellen „Opt-out“-Funktion vorschreiben, die – angeblich mit einem einzigen Klick – einem bestimmten Benutzer das „Recht einräumen würde, verdeckte Datenübertragungen abzulehnen“ (mehr zu „verdeckten Daten“ weiter unten). Der Gesetzentwurf würde diese Art von Unternehmen auch von der Nutzung ausschließen lästige dunkle Muster um Benutzer dazu zu bringen, mehr Daten als nötig preiszugeben.
Dieser Gesetzentwurf enthält Klauseln, die darauf hinweisen, dass er die meisten ersetzen würde aktuellen landesweiten Flickenteppich von Datenschutzgesetzenund würde es schließlich Einzelpersonen ermöglichen, Unternehmen wegen Missbrauchs ihrer persönlichen Daten zu verklagen (solange nicht zuerst ein Bundesanwalt den Fall aufgreift).
G/O Media kann eine Provision erhalten
Befürworter des Datenschutzes zeigten sich vorsichtig optimistisch. EPIC-stellvertretende Direktorin Caitriona Fitzgerald notiert dass die überparteiliche Vereinbarung einen „ermutigenden Fortschritt bei der Bewältigung der Datenschutzkrise“ markiert, in der sich Benutzer aller Technologien heute befinden, während Evan Greer von Fight for the Future getwittert dass die Rechnung wie eine „gutgläubige Anstrengung“ erscheint, und dass „die Details entscheidend sein werden“.
Wie sich herausstellt, gibt es eine viel von Details. 64 Seiten davon, um genau zu sein, mit freundlicher Genehmigung der Volltext des Gesetzentwurfs das fiel am Freitagnachmittag. Es ist für jeden eine Menge zu bewältigen, aber zu sehen, wie es meine Aufgabe ist, mich in die Details zu vertiefen beschissene Datenschutzrichtlinien und beschissene Datenschutzgesetze gleichermaßen, hier ist meine erste Meinung zu dem, was der Gesetzgeber anbietet. Obwohl es viel zu kauen gibt, biete ich mit diesem Entwurf, wie er jetzt geschrieben ist, meine drei größten Kritikpunkte an.
Problem Nr. 1: Wie der Gesetzentwurf „Daten“ definiert
Wenn Sie an ein Technologieunternehmen denken, das gegen unsere kollektive Vorstellung von „Datenschutz“ verstößt, denken Sie an Daten – persönlich identifizierbare oder anonymisierte Informationen über Sie –, die ohne Ihre Zustimmung abgebaut und weitergegeben werden. Diese grundlegende Definition steht im Mittelpunkt jeder ekligen Datenschutzgeschichte – von etwas so Historischem wie dem Cambridge-Analytica-Skandal zu einem Therapie-Startup mit seiner App zu Extrakt Ihre intimsten Details.
Sie sollten also besser hoffen, dass jede Datenschutzgesetzgebung, die ihr Geld wert ist, „Daten“ auf eine Weise definiert, die die Datenschutzverletzungen umfasst, mit denen Menschen konfrontiert sind, große und kleine. So heißt es in diesem Gesetzentwurf:
Der Begriff „erfasste Daten“ bezeichnet Informationen, die eine Person oder ein Gerät identifizieren oder mit ihr verknüpft oder vernünftig verknüpfbar sind, das eine oder mehrere Personen identifiziert oder mit ihnen verknüpft oder vernünftigerweise verknüpfbar ist, einschließlich abgeleiteter Daten und eindeutiger Kennungen.
Groß! Genial. Da können wir aufhören. Aber aus irgendeinem Grund werden wir das nicht tun. Der Gesetzentwurf fügt Ausnahmen hinzu:
Der Begriff „erfasste Daten“ umfasst nicht
(i) anonymisierte Daten; (ii) Mitarbeiterdaten; oder (iii) öffentlich zugängliche Informationen.
Beginnen wir mit dem Begriff der „anonymisierten“ Daten in der Gesetzesvorlage – Informationen ohne persönliche Identifikatoren, die zeigen, von wem sie stammen. Dieser Satz an und für sich ist einer, den Unternehmen, die in Ihre Privatsphäre eindringen wollen – Adtech-Mogule, Datenbroker und dergleichen – gerne herumschleudern, obwohl dies der Fall ist effektiv bedeutungslos.
Selbst wenn ein Unternehmen personenbezogene Daten sammelt, die gegen dieses Gesetz verstoßen, könnte dasselbe Unternehmen diese Daten leicht „anonymisieren“ und sie kostenlos und eindeutig an dieselben Käufer weitergeben, die es immer hat, die dann wenig Probleme hätten, sie zu de-anonymisieren . Denn der moderne datenindustrielle Komplex arbeitet in Netzwerken von unzählige Gänseblümchenketten, es gibt nicht viel, was die Rechnung tun kann, sobald die erste Übergabe erfolgt ist. Zu der Zeit a Dating-Appoder Gutschein-Appor insert-category-here app hat Daten über Ihr Gerät gesaugt und verkauft, die Informationen wurden bereits de-und-re-identifiziert.
Wenn Sie sich den durchschnittlichen Datenbroker ansehen, der Zugang zu den Daten einer durchschnittlichen Person verkauft, erfüllen die Informationen, zu denen sie Zugang bieten, bereits die Definition des Gesetzentwurfs für „anonymisierte Daten“. Aber diese Broker arbeiten meistens mit Partnern zusammen, die aus ihren eigenen Datenquellen schöpfen, die sie dann auf eine beliebige Anzahl von beschriebenen Arten hashen hier bevor es an Partner weitergegeben wird, wo es unidentifiziert und Ihnen leicht zuzuordnen ist.
Das Gesetz wird die bereits stattfindende Datenerfassung nicht stoppen, und bis eine App Ihre anonymisierten Daten an einen Broker verkauft, der sie mit weiteren Datenquellen kombinieren kann, wird es zu spät sein, den freien Fluss Ihrer Informationen zu stoppen an jeden der es möchte.
Problem Nr. 2: Carveouts für Polizisten
Strafverfolgungsbeamte sind bereits gern ausgebeutet jede mögliche Gesetzeslücke um mit oder ohne Einwilligung Daten über Privatpersonen zu erheben. Dieser Gesetzentwurf nimmt einige dieser Schlupflöcher und bringt sie zu Papier, indem er genau festlegt, welche Art von Daten Polizisten über jeden von uns sammeln können. Hier ist ein kurzer Überblick:
- „biometrische Informationen“ wie Ihre Fingerabdrücke, Ihr Gesicht oder sogar Ihr bestimmter Gang
- alle „bekannten nicht einvernehmlichen intimen Bilder“, was eine schicke Art zu sagen ist „Bilder, die an Rachepornos beteiligt sind“
- irgendwelche genetischen Informationen
Während es eklig genug ist, diese Ausnahmen in einem Gesetzesentwurf kodifiziert zu sehen, der sich mit dem Schutz der Privatsphäre des Einzelnen befassen soll, wird es noch schlimmer. Gemäß dem Gesetzentwurf müssten Datenmakler, große Technologieplattformen oder andere Organisationen, die in den Zuständigkeitsbereich des Gesetzentwurfs fallen, den Benutzern vollen Zugriff auf die auf ihnen gesammelten Daten gewähren, zusammen mit dem Recht, diese Daten zu löschen oder zu exportieren. Das klingt auf dem Papier gut, bis Sie zu den vielen, vielen Ausnahmen kommen:
Ein betroffenes Unternehmen kann es ablehnen, einer Aufforderung zur Ausübung eines in Unterabschnitt (a) beschriebenen Rechts ganz oder teilweise nachzukommen
[…]
die Strafverfolgung, Gerichtsverfahren, Ermittlungen oder angemessene Bemühungen zum Schutz vor, Aufdeckung oder Untersuchung böswilliger oder rechtswidriger Aktivitäten zu stören oder gültige Verträge durchzusetzen
Wenn die Polizei einem Technologieunternehmen mitteilt, dass Ihre Anfrage, auf Daten über Sie zuzugreifen, ihre Ermittlungen durcheinander bringen würde, kann das Technologieunternehmen Sie ablehnen, heißt es in der Rechnung. Wenn Sie sich also Sorgen machen, dass ein Fed mit Dritten zusammenarbeitet, um an Ihre persönlichen Daten zu kommen – so wie viele von ihnen nicht zu tun– und Sie diesen Dritten bitten möchten, diese Daten mit den Rechten zu löschen, die Ihnen durch diese neue Rechnung verliehen werden, hätten Sie Pech. Das Unternehmen könnte zu Recht behaupten irgendein Daten werden verwendet, um „böswillige oder rechtswidrige Aktivitäten abzuwehren, aufzudecken oder zu untersuchen“, da „böswillig“ alles umfassen kann, was Strafverfolgungsbeamte wollen, einschließlich beispielsweise friedliche Proteste. Und diese Demonstranten würden unter diesem Gesetz kaum etwas dagegen unternehmen können.
Problem Nr. 3: Arbeitgeberüberwachung
An der obigen Definition ist Ihnen vielleicht auch aufgefallen, dass sich der Gesetzentwurf ausdrücklich nicht auf „Mitarbeiterdaten“ bezieht. Die Coronavirus-Pandemie ist mit einer Explosion von Menschen einhergegangen, die von zu Hause aus arbeiten begleitenden Aufschwung in Unternehmen, die ihre Mitarbeiter rund um die Uhr beobachten, also hob dies meine Augenbrauen ein wenig. Hier ist (einige davon), wie diese Daten definiert sind:
Informationen über einen Mitarbeiter (oder einen Verwandten oder Begünstigten eines solchen Mitarbeiters), die der Arbeitgeber ausschließlich zum Zweck der Verwaltung von Leistungen, auf die dieser Mitarbeiter (oder ein Verwandter oder Begünstigter eines solchen Mitarbeiters) Anspruch hat, erheben, verarbeiten oder übertragen muss auf der Grundlage der Position des Arbeitnehmers bei diesem Arbeitgeber.
…Okay? Die Ausnahme gilt anscheinend hauptsächlich für Leistungen an Arbeitnehmer wie die Krankenversicherung. Ein gerissener Chef könnte jedoch argumentieren, dass es „notwendig“ ist, Daten über jeden Klick der Arbeiter auf einer Tastatur zu sammeln – so wie manche Chefs bereits tun– zum Zwecke der „Verwaltung von Vorteilen“. Derselbe Chef könnte ein Argument dafür vorbringen schnüffeln in Ihren E-Mailszeichnen Sie Ihre Mausbewegungen auf oder verfolgen Sie auch Ihren Standort – und bleiben Sie von dieser Rechnung völlig unbeeinträchtigt.
Der Gesetzentwurf stellt auch fest, dass der Begriff „Angestellter“ als „Angestellter, Direktor, leitender Angestellter, Mitarbeiter, Auszubildender, Freiwilliger oder Praktikant eines Arbeitgebers“ definiert werden kann, unabhängig davon, ob es sich um einen unbezahlten oder einen Zeitarbeiter handelt. Dabei werden nicht nur „Mitarbeiter“ angesprochen, sondern auch Ehrenamtliche und Praktikanten.