Im Einklang mit der neueren globalen Entwicklung im Datenschutz- bzw. Privacyrecht haben Mitglieder des US Senats den Entwurf eines Gesetzes eingebracht, das Betreibern von Online Services neue Pflichten auferlegen soll in Bezug auf Personendaten, welche diese sammeln und verwenden ("that such providers collect and use"). Geregelt werden soll die Bearbeitung von sensiblen Daten (sensitive data), namentlich

  • die social security number
  • Personendaten von Kindern
  • Nummern von offiziellen Dokumenten zur Identifikation wie Fahrausweis, Pass etc.
  • Nummern und Passwörter, welche den Zugang zu finanziellen Daten erlauben
  • biometrische Daten betreffend einzigartige Merkmale (unique biometrical data) wie etwa Fingerabdruckdaten oder Irisdaten
  • Zugangsdaten zu Onlineaccounts
  • Vorname und Name in Verbindung mit weiteren Merkmalen, die Zusammengenommen zur Identifikation geeignet sind.

Als Pflichten sind vorgesehen

  • duty to care: eine Pflicht, die übrigen Pflichten nach Treu und Glauben wahrzunehmen
  • duty to loyalty: eine Pflicht, nicht gegen die Interessen der Datensubjekte zu handeln
  • duty to confidentiality: Verschiedene Vertraulichkeitspflichten, insbesondere ein Verbot, Daten zu verkaufen, das indes durch vertragliche Bindung von Dritten an diese duties umgangen werden kann.
  • sowie eine Pflicht zur breach notification.

Die weitere Regulierung der Einzelheiten durch die Federal Trade Commission soll unter Einbezug von Risikobewertungen erfolgen, insbesondere mit Hinblick auf die grösse des Anbieters, die Komplexität des Angebots, Art und Umfang der Aktivitäten des Anbieters, der Sensibilität der bearbeiteten Daten sowie einer Kosten/Nutzen-Analyse der Regulierung.

Der Originaltext des Entwurfs kann hier abgerufen werden.