Die Federal Trade Commission (FTC) setzt das US-amerikanische Bundesdatenschutzrecht hauptsächlich durch Abschnitt 5 des FTC-Gesetzes durch — der "unfaire oder täuschende Praktiken" verbietet — ohne ein umfassendes bundesstaatliches Datenschutzgesetz, das dem GDPR entspricht. Trotz dieses fragmentierteren Rahmens führte die Durchsetzung der FTC im Jahr 2024 zu dem aggressivsten Jahr der Datenschutzdurchsetzung in den USA, das jemals aufgezeichnet wurde.
2024 FTC Durchsetzung: Rekordaktivität
Die FTC erließ 2024 19 mit KI verbundene Durchsetzungsmaßnahmen — mehr als in den drei vorhergehenden Jahren zusammen. Kombiniert mit 25 erlassenen oder aktiven Datenschutzgesetzen auf Landesebene sehen sich US-Organisationen einem Compliance-Patchwork gegenüber, das in seiner Komplexität dem EU-GDPR für Unternehmen, die in großem Maßstab tätig sind, rivalisiert.
Wichtige Durchsetzungsfälle 2024:
Amazon Alexa (875 Millionen Dollar, 2023/anhängig): Amazon wurde verpflichtet, 25 Millionen Dollar an zivilrechtlichen Strafen wegen COPPA-Verstößen zu zahlen und illegal gespeicherte Alexa-Sprachaufzeichnungen von Kindern zu löschen. Die umfassendere FTC-Klage beinhaltete Vorwürfe, dass Amazon Sprachaufzeichnungen über die angegebenen Aufbewahrungsfristen hinaus aufbewahrte und sie ohne angemessene Zustimmung zur Schulung von KI-Modellen verwendete.
Meta-Verfahren zu Verhaltenswerbung: Die FTC verbot Meta, Daten von Nutzern unter 18 Jahren zu monetarisieren, Teil der laufenden Aufsicht der FTC über Metas Datenschutz-Zustimmungsanordnung.
Durchsetzung gegen KI-Datenbroker: Die FTC erließ Durchsetzungsmaßnahmen gegen mehrere Datenbroker, die KI-analysierte persönliche Profile ohne angemessene Offenlegung oder Zustimmung verkauften — was feststellt, dass die KI-Analyse persönlicher Daten zur Erstellung von Verhaltensprofilen eine "sensible" Verarbeitung darstellt, die eine erhöhte Offenlegung erfordert.
Durchsetzung von Gesundheitsdaten: Die Durchsetzungsbehörde der FTC über Gesundheitsdaten, die nicht durch HIPAA abgedeckt sind (Verbraucheranwendungen, tragbare Geräte, Telemedizinplattformen außerhalb von Netzwerken von Gesundheitsdienstleistern), führte zu mehreren Durchsetzungsmaßnahmen, die sich gegen unbefugte Gesundheitsdatenweitergabe richteten.
Das US-Datenschutz-Patchwork: 25 Landesgesetze
Das Fehlen eines bundesstaatlichen US-Datenschutzgesetzes hat ein Patchwork von Landesstatuten hervorgebracht, das zusammen die Mehrheit der US-Bevölkerung abdeckt:
Kalifornien CPRA (gültig ab 2023): Umfassendstes US-Landesgesetz, das 40 Millionen Kalifornier abdeckt. Gilt für Unternehmen mit >25 Millionen Dollar Umsatz oder die mehr als 100.000 CA-Verbraucher verarbeiten. Schafft die California Privacy Protection Agency (CPPA) als zuständige Durchsetzungsbehörde.
Virginia VCDPA, Colorado CPA, Connecticut CTDPA: Ähnliche Rechte und Anforderungen, die mehr als 20 Millionen Einwohner in drei Bundesstaaten abdecken.
Texas TDPSA, Florida FDBR: Erweiterung des Geltungsbereichs auf die beiden größten Bundesstaaten außerhalb Kaliforniens.
Washington My Health MY Data Act: Erweitert den Schutz von Gesundheitsdaten über HIPAA hinaus auf Verbraucher-Gesundheitsanwendungen — das aggressivste US-Gesundheitsdatengesetz außerhalb Kaliforniens.
Für Organisationen, die national tätig sind, erfordert die Einhaltung aller 25 aktiven Landesgesetze eine Rechteverwaltungsinfrastruktur, die dem GDPR im Großen und Ganzen ähnlich ist — Verbraucherrechteanfragen, Datenminimierung, Datenschutzerklärungen und Auftragsverarbeiterverträge — jedoch mit unterschiedlichen spezifischen Anforderungen.
Was die KI-Durchsetzung der FTC technisch bedeutet
Die KI-Durchsetzungsmaßnahmen der FTC im Jahr 2024 etablieren praktische Leitlinien:
Transparenz der Trainingsdaten: Organisationen müssen in der Lage sein, zu dokumentieren, welche persönlichen Daten zur Schulung von KI-Modellen verwendet wurden, ob die Zustimmung für diese Trainingsnutzung angemessen war und welche Aufbewahrungsfrist galt.
Zweckbindung: KI-generierte persönliche Profile dürfen nicht für andere Zwecke verwendet werden, als die, die dem Betroffenen offengelegt wurden. Die Verwendung von Verhaltens-KI-Analysen zur Beschäftigungsprüfung, wenn nur Marketing offengelegt wurde, stellt einen Verstoß gegen das FTC-Gesetz dar.
Datenpraktiken von Anbietern: Die FTC betrachtet SaaS-Anbieter, die auf Nutzerdaten zugreifen und diese speichern, als Compliance-Verantwortung der bereitstellenden Organisation. Eine Organisation, die ein CRM, eine Analyseplattform oder ein KI-Tool verwendet, bei dem der Anbieter Nutzerdaten verarbeitet, muss dies in den Datenschutzerklärungen offenlegen und sicherstellen, dass die Praktiken des Anbieters den offengelegten Zwecken entsprechen.
Zero-Knowledge-Architektur und FTC-Compliance: Das zentrale Anliegen der FTC in KI-Anbieterfällen ist, dass Anbieter Nutzerdaten über das hinaus sammeln, speichern und verwenden, was offengelegt wurde. Eine Zero-Knowledge-Architektur — bei der die Infrastruktur des Anbieters nur verschlüsselte Daten ohne Entschlüsselungsmöglichkeit enthält — bedeutet, dass der Anbieter keine nicht offengelegte Nutzung von Nutzerdaten vornehmen kann. Die technische Einschränkung stimmt direkt mit den Durchsetzungsprioritäten der FTC überein.
Vorgeschlagene FTC-Regelung zur kommerziellen Überwachung
Die vorgeschlagene Regel der FTC zu kommerziellen Überwachungspraktiken (ausstehend ab 2025) würde explizite Anforderungen schaffen für:
- Datenminimierung für KI-Verarbeitung
- Opt-out-Rechte für automatisierte Profilierung
- Einschränkungen bei der sekundären Nutzung von Daten, die für einen Zweck gesammelt wurden
- Sicherheitsanforderungen für die Aufbewahrung persönlicher Daten
Wenn sie finalisiert wird, würde diese Regel bundesstaatliche, dem GDPR ähnliche Verpflichtungen zur Datenminimierung schaffen, die für jede Organisation gelten, die US-Verbraucher bedient — was die Anforderungen an die Datenschutz-Compliance auf dem US-Markt erheblich erhöhen würde.
Quellen: