• Deutsch
  • Aktuelles
  • Die Entscheidung FTC v. Wyndham – Der Wegbereiter für eine zentrale Aufsichtsbehörde für Datenschutz in den USA?

Eine zentrale Aufsichtsbehörde für Datenschutz in den USA?

Inhaltsverzeichnis

  1. Die Entwicklung der FTC zum "lifeguard for consumer privacy"
  2. Der Rechtsstreit FTC vs. Wyndham
  3. Fazit

Federal Trade Commission v. Wyndham Worldwide Corp. Civ. Action No. 13-1887 (D.N.J. 7 April 2014)

“Like the lifeguard at the beach, though, the FTC will remain vigilant to ensure that while innovation pushes forward, consumer privacy is not engulfed by that wave.“

Edith Ramirez, Head of U.S. Federal Trade Commission (FTC), Keynote anlässlich des 
Technology Policy Institute Aspen Forum in Aspen, Colorado, am 19. August 2013

Federal Trade Commission

Die Entwicklung der Federal Trade Commission zum „lifeguard for consumer privacy“

Eine offizielle Aufsichtsbehörde mit weitgehenden Befugnissen auf dem Gebiet des Datenschutzes, die mit denen in den EU-Mitgliedstaaten vergleichbar wären, besteht in den USA per Gesetz nicht. Die für Verbraucherschutz und Wettbewerb zuständige Bundesbehörde Federal Trade Commission hat jedoch in den letzten Jahren beachtliche Ambitionen entwickelt, diesen Umstand zu ändern und selbst die Rolle des obersten Datenschützers zu übernehmen.

Bereits in den siebziger Jahren begann die FTC, die Einhaltung des Fair Credit Reporting Acts zu überwachen und ist seitdem auch als Aufsichtsbehörde für Verbraucherdatenschutz tätig. Dabei beruft sich die FTC auf Absatz 5 ihres Gründungsaktes (FTCA) der ein Verbot unlauterer geschäftlicher Handlungen vorsieht. In diesem Zusammenhang geht die FTC gegen Unternehmen vor, die entweder gegen gesetzliche Vorschriften über Datenschutz verstoßen, oder aber ihre beworbenen Datenschutzverpflichtungen (z.B. in Online-Datenschutzerklärungen) nicht einhalten und damit Verbraucher in die Irre führen.

Vor nahezu 10 Jahren erweiterte die FTC den Anwendungsbereich des Absatzes 5 FTCA jedoch auch auf die Fälle, in denen Unternehmen zwar ein niedriges Datenschutzniveau hatten, Verbraucher diesbezüglich aber nicht durch anderslautende Anpreisungen irreführten. Entscheidender Punkt ist, nach Auffassung der FTC, dass schlechtes Datenschutzmanagement stets eine unlautere Wettbewerbshandlung konstituiere und zwar unabhängig davon, welches Datenschutzniveau den Verbrauchern tatsächlich versprochen wurde.

Auf dieser Grundlage hat die FTC Unternehmen bereits wegen diverser Datenschutzverstöße verklagt, unter anderem wegen Nichtnutzung bereits verfügbarer Technologien (z.B. Datenverschlüsselung, Firewalls, redundante Speicherung), Nichtbeachtung des Gebots der Datensparsamkeit, fehlender Maßnahmen zur Einschätzungen von Sicherheitsrisiken sowie fehlender Datenschutz-Schulungen für Mitarbeiter.

Der Rechtsstreit FTC vs. Wyndham

Kaum ein Urteil war für das US-amerikanische Datenschutzrecht und die Rolle des FTC in letzter Zeit derart wegweisend, wie die im Rechtsstreit FTC vs. Wyndham ergangene erstinstanzliche Entscheidung des Bundesbezirksgerichts in New Jersey Anfang 2014.

Die Hotelkette Wyndham, zu der auch bekannte Marken wie Ramada, Planet Hollywood und Days Inn zählen, wurde wegen unzureichender Datensicherheitsvorkehrungen auf den Servern ihres Property Management Systems durch die FTC abgemahnt und schließlich wegen unfairer und irreführender Geschäftspraktiken gerichtlich verklagt.

Die beklagte Wyndham Group stellte jedoch die Kardinalsfrage und vertrat die Auffassung, dass die wettbewerbsrechtliche Zuständigkeit der FTC sich gar nicht auf Zuständigkeiten im Bereich des Datenschutzrechts erstrecke. So hätte der Kongress bereits gezielt Gesetze zum Datenschutz erlassen, ohne dies zum Anlass zu nehmen, der FTC ausdrücklich Kompetenzen auf diesem Gebiet zuzuweisen. Wyndham argumentierte mit dem für deutsche Juristen nicht ganz fremd klingenden Ansatz, dass spezielle Eingriffsbefugnisse auch eine ausdrückliche rechtsstaatlich abgesicherte Ermächtigungsgrundlage voraussetzen. Wyndham verglich seine Situation mit einem lokalen Möbelkaufhaus, das bestraft werden soll, weil es beraubt wurde und seine Unterlagen durchsucht wurden. Jede Verantwortung für das Geschehene wies Wyndham von sich.

Dieses Vorbringen vermochte das Gericht allerdings nicht zu überzeugen. Es bestätigte die weitreichenden Befugnisse der FTC aus Absatz 5 des FCTA, unter Berücksichtigung des Senatsberichts über den FTCA aus dem Jahre 1914, welcher sich zu Abs. 5 des Gesetzes wie folgt äußerte: 

“When Congress created the FederalTrade Commission in 1914 and charted its power and responsibility under [Section] 5, it explicitly considered, and rejected, the notion that it reduce the ambiguity of the phrase’unfair methods of competition’ by tying the concept of unfairness to a common-law or statutory standard or by enumerating the particular practices to which it was intended to apply.” (FTC v Wyndham Worldwide Corp., S. 15)

Wyndham rügte weiterhin eine angeblich nicht erfolgte vorherige angemessene Aufklärung (fair notice) über die rechtlichen Anforderungen an Datenschutz in Unternehmen, die sich aus Abs. 5 des FCTA ergeben sollen. So hätte die FTC keine Vorschriften veröffentlicht, die Unternehmen hinreichend über die datenschutzrechtlichen Anforderungen des Abs. 5 FCTA informieren könnten. Mangels Kenntnis von den rechtlichen Standards, deren Nichteinhaltung die FTC sanktioniert, könne die Beklagte auch nicht verurteilt werden.

Diese Auffassung teilte das Gericht jedoch nicht.

„Hotels and Resorts argues that, because the FTC has the power to issue particularized regulations and that it is plausible to do so, it must.“, Ibid., S. 23

Zwar sei eine angemessene Aufklärung über verbotenes oder gebotenes Verhalten notwendig, allerdings sei der Erlass von Vorschriften nicht das einzige Mittel zur Erfüllung dieser Aufklärungspflichten.

„But the Court is unpersuaded that regulations are the only means of providing sufficientfair notice […] especially since Hotels and Resorts itself recognizes how “quickly” the digital age and data-security world is moving.“, Ibid., S. 22

Folgerichtig erkennt das Gericht, dass die Verfolgung unlauterer und irreführender Geschäftspraktiken in einem sich so dynamisch entwickelnden Bereich wie dem Datenschutz eine dem Abs. 5 FTCA innewohnende Flexibilität erfordert. Eine ex-ante-Pflicht der FTC zum Erlass von Vorschriften würde dieser Flexibilität zuwiderlaufen.

„But the contour of an unfairness claim in the data-security context, like any other, is necessarily “flexible” such that the FTC can apply Section 5 “to the facts of particular cases arising out of unprecedented situations.“, Ibid., S. 23, sowie „The FTC would have to cease bringing all unfairness actions without first proscribing particularized prohibitions—a result that is in direct contradiction with the flexibility necessarily inherent in Section 5 of the FTC Act.“, Ibid., S. 25

Fazit

Die Entscheidung des Gerichts ist für die FTC und die weitere Entwicklung des Datenschutzrechts in den Vereinigten Staaten unter mehreren Gesichtspunkten bedeutsam. Zum einen wird die FTC legitimiert, Verstöße gegen das Datenschutzrecht aufgrund einschlägiger wettbewerbsrechtlicher Bestimmungen ihres Gründungsaktes zu ahnden. Zum anderen werden die Kompetenzen der FTC zur Setzung von Mindeststandards auf dem Gebiet des Datenschutzrechts eindeutig bestätigt, womit die FTC in absehbarer Zeit zur zentralen Datenschutzbehörde der Vereinigten Staaten aufsteigen könnte.

Im Juli dieses Jahres hat das erstinstanzliche Gericht eine Zwischenbeschwerde (interlocutory appeal) zugelassen, die dem Third Circuit Court of Appeals vorgelegt wird. Eine endgültige Regelung des Rechtsstreits bleibt somit mit Spannung abzuwarten.

Einen Kommentar schreiben

Tags

Bestandsschutz Email bgh Identitätsdiebstahl Werbung Extremisten HSMA E-Commerce Konferenz Hotelsterne Sponsoring gesellschaftsrecht Sponsoren Journalisten Herkunftsfunktion Panoramafreiheit Kapitalmarkt Marketing videoüberwachung Markenrecht Apps LinkedIn patent Einzelhandel brexit Stellenangebot Löschungsanspruch Hacking Urteil Bundesmeldegesetz Abwerbeverbot Schadensersatz Mitarbeiterfotografie Linkhaftung Datenschutzrecht § 4 UWG Reise Einstellungsverbot Big Data Education Hackerangriff Jahresrückblick Beweislast data security TeamSpirit Datenschutzbeauftragter Kündigung Umtausch CNIL Human Resource Management data Hausrecht Panorama Beacons Einverständnis Sitzverlegung Blog Bewertung kündigungsschutz Preisauszeichnung OTMR drohnengesetz AIDA fotos Erdogan Kartellrecht Jugendschutzfilter § 24 MarkenG Verfügbarkeit Kleinanlegerschutz verlinkung Referendar Gaming Disorder Handynummer Kundenbewertungen Kekse datenverlust total buy out Verlängerung Gäste Expedia.com technology Wettbewerbsrecht Interview Medienprivileg Social Networks Google AdWords Online-Portale EuGH Abmahnung Rabattangaben gdpr Bildung CRM EU-Kommission zugangsvereitelung Asien anwaltsserie information technology Machine Learning Wettbewerbsbeschränkung Bachblüten Privacy custom audience IT-Sicherheit Consent Management schule Rückgaberecht Impressumspflicht Sperrwirkung Datenschutzgesetz Löschung data privacy Website copter Überwachung Conversion Voice Assistant Travel Industry 2014 Preisangabenverordnung Wettbewerb Europawahl Notice & Take Down Rechtsprechung Datensicherheit Impressum Recht Zahlungsdaten Data Protection Finanzierung Vergütungsmodelle Online Zustellbevollmächtigter Unternehmensgründung Newsletter Midijob Haftung Instagram Flugzeug Bildrecherche Leaks whatsapp Polen FTC Unionsmarke Videokonferenz Freelancer entgeltgleichheit Resort LG Köln USPTO Onlineplattform Corporate Housekeeping Infosec ecommerce Marke Spirit Legal Ferienwohnung Opentable Plattformregulierung Gastronomie Dynamic Keyword Insertion Verpackungsgesetz Hotelvermittler drohnen Textilien Alexa Presserecht Einwilligung Schadensfall Presse Hotels Lohnfortzahlung gezielte Behinderung transparenzregister Online-Bewertungen c/o Onlineshop messenger Spitzenstellungsbehauptung Webdesign Deep Fake Auslandszustellung Datenpanne Job Ruby on Rails ADV Gesamtpreis KUG Reisen Meldepflicht Kosmetik Anonymisierung Chat Soziale Netzwerke Analytics Hotelkonzept Produktempfehlungen Bestpreisklausel

Die Rechtsanwaltssozietät Spirit Legal berät in- und ausländische Unternehmen mit internationaler Ausrichtung. Unser fachlicher Beratungsschwerpunkt liegt in den Bereichen E-Commerce, Gesellschafts-, Wettbewerbs-, Marken-, IT- und Datenschutzrecht. Dank unserer Branchenerfahrung sind wir in rechtlichen Fragen der spezialisierte Ansprechpartner für Start-ups, Reiseunternehmen und die Hotellerie.

© Spirit Legal 2013 - 2024, alle Rechte vorbehalten

Förderung von Fachanwaltskursen & anwaltlichen Fortbildungen durch SAB Sachsen: