In den Vereinigten Staaten von Amerika wird derzeit über ein mögliches Gesetz verhandelt, welches den Umgang mit personenbezogenen Daten rund um das Angebot von mobilen Fahrdiensten durch Privatpersonen, wie sie etwa von Uber oder Lyft angeboten werden, strenger reglementieren soll.
Im Bundesland Kalifornien wurde im Februar 2015 ein entsprechender Gesetzesvorschlag durch den Abgeordneten Chau in das Abgeordnetenhaus eingebracht (Informationen zu dem „Passenger Privacy Act of 2015“ gibt es hier). Der Gesetzesentwurf wurde Ende März 2015 durch das Abgeordnetenhaus mit einigen Änderungen versehen (hier der Gesetzesentwurf mit Änderungen) und muss erneut verhandelt werden.
Nach dem Gesetzesvorschlag wäre es Anbietern von sog. „Transportdienstleistungsnetzwerken“ verboten, personenbezogene Daten von Kunden zu erheben, außer eine gesetzlich bestimmte Voraussetzung ist erfüllt. Bei diesen Anbietern handelt es sich laut dem Gesetzesentwurf um solche Unternehmen, welche in Kalifornien Transportdienstleistungen durch Taxis oder andere vorher festgelegte Transportdienstleistungen für eine Gegenleistung erbringen und dafür unter anderem Internet-basierte Dienste nutzen, um mit den Passagieren in Kontakt zu treten.
Dies ist etwa der Fall, wenn die Daten erforderlich sind, um die Buchung von Geld im Zusammenhang mit der Inanspruchnahme des Dienstes vornehmen zu können oder zur Verhinderung oder Aufdeckung von Missbrauch oder Identitätsdiebstahl. Zudem dürfen die Daten nur für die im Gesetz bestimmten Zwecke verwendet werden.
Auch die Weitergabe der Daten an Dritte ist grundsätzlich untersagt, es sei denn, ein Landes- oder Bundesgesetz verpflichtet den Diensteanbieter zur Weitergabe oder eine Übermittlung der Daten an ein Finanzinstitut ist erforderlich, um die Dienstleistung abzurechnen.
Daneben sieht der Gesetzesentwurf vor, dass ein Anbieter von Transportdienstleistungsnetzwerken von Verbrauchern verlangen darf, dass diese sich bei dem Dienst einen Nutzeraccount anlegen müssen. Im Zusammenhang mit dem der Eröffnung, Aktualisierung und Aufrechterhaltung des Accounts darf der Diensteanbeiter dann auch diejenigen personenbezogenen Daten von dem Nutzer einfordern, welche hierfür erforderlich sind. Zudem muss der Anbieter von einem Transportdienstleistungsnetzwerk für Nutzer die Möglichkeit bereithalten, dass diese ihren Account jederzeit löschen können. Im Zuge dessen muss der Anbieter dann alle personenbezogenen Daten in einer „sicheren“ Weise löschen. Doch nicht nur dann müssen die Daten gelöscht werden. Auch in dem Fall, dass die einmal erhobenen Daten nicht mehr erforderlich sind, um die in dem Gesetz beschriebenen Zwecke zu verfolgen.
Anders als in Deutschland, wird in Amerika das Datenschutzrecht überwiegend sektoral reguliert. Auch der hier angesprochene Gesetzesentwurf ist ein weiteres Beispiel für ein solches Vorgehen. Dennoch sind die in dem Entwurf vorgeschlagenen datenschutzrechtlichen Pflichten aus Sicht des europäischen und auch deutschen Datenschutzrechts keine „Unbekannten“. Gerade der dort auftauchende Zweckbindungsgrundsatz oder auch die Pflicht zur Löschung von nicht mehr erforderlichen Daten, ist im europäischen Datenschutzrecht fest verankert.
In den Usa kann jeder einen Entwurf einbringen. Ich frage mich, warum wir nicht ein paar Us-Abgeordnete überzeugen mit Vorschlägen zur Eu-US Harmonisierung des Datenschuturechtes.