• Deutsch
  • Aktuelles
  • Die Entscheidung FTC v. Wyndham – Der Wegbereiter für eine zentrale Aufsichtsbehörde für Datenschutz in den USA?

Eine zentrale Aufsichtsbehörde für Datenschutz in den USA?

Inhaltsverzeichnis

Federal Trade Commission v. Wyndham Worldwide Corp. Civ. Action No. 13-1887 (D.N.J. 7 April 2014)

“Like the lifeguard at the beach, though, the FTC will remain vigilant to ensure that while innovation pushes forward, consumer privacy is not engulfed by that wave.“

Edith Ramirez, Head of U.S. Federal Trade Commission (FTC), Keynote anlässlich des 
Technology Policy Institute Aspen Forum in Aspen, Colorado, am 19. August 2013

Federal Trade Commission

Die Entwicklung der Federal Trade Commission zum „lifeguard for consumer privacy“

Eine offizielle Aufsichtsbehörde mit weitgehenden Befugnissen auf dem Gebiet des Datenschutzes, die mit denen in den EU-Mitgliedstaaten vergleichbar wären, besteht in den USA per Gesetz nicht. Die für Verbraucherschutz und Wettbewerb zuständige Bundesbehörde Federal Trade Commission hat jedoch in den letzten Jahren beachtliche Ambitionen entwickelt, diesen Umstand zu ändern und selbst die Rolle des obersten Datenschützers zu übernehmen.

Bereits in den siebziger Jahren begann die FTC, die Einhaltung des Fair Credit Reporting Acts zu überwachen und ist seitdem auch als Aufsichtsbehörde für Verbraucherdatenschutz tätig. Dabei beruft sich die FTC auf Absatz 5 ihres Gründungsaktes (FTCA) der ein Verbot unlauterer geschäftlicher Handlungen vorsieht. In diesem Zusammenhang geht die FTC gegen Unternehmen vor, die entweder gegen gesetzliche Vorschriften über Datenschutz verstoßen, oder aber ihre beworbenen Datenschutzverpflichtungen (z.B. in Online-Datenschutzerklärungen) nicht einhalten und damit Verbraucher in die Irre führen.

Vor nahezu 10 Jahren erweiterte die FTC den Anwendungsbereich des Absatzes 5 FTCA jedoch auch auf die Fälle, in denen Unternehmen zwar ein niedriges Datenschutzniveau hatten, Verbraucher diesbezüglich aber nicht durch anderslautende Anpreisungen irreführten. Entscheidender Punkt ist, nach Auffassung der FTC, dass schlechtes Datenschutzmanagement stets eine unlautere Wettbewerbshandlung konstituiere und zwar unabhängig davon, welches Datenschutzniveau den Verbrauchern tatsächlich versprochen wurde.

Auf dieser Grundlage hat die FTC Unternehmen bereits wegen diverser Datenschutzverstöße verklagt, unter anderem wegen Nichtnutzung bereits verfügbarer Technologien (z.B. Datenverschlüsselung, Firewalls, redundante Speicherung), Nichtbeachtung des Gebots der Datensparsamkeit, fehlender Maßnahmen zur Einschätzungen von Sicherheitsrisiken sowie fehlender Datenschutz-Schulungen für Mitarbeiter.

Der Rechtsstreit FTC vs. Wyndham

Kaum ein Urteil war für das US-amerikanische Datenschutzrecht und die Rolle des FTC in letzter Zeit derart wegweisend, wie die im Rechtsstreit FTC vs. Wyndham ergangene erstinstanzliche Entscheidung des Bundesbezirksgerichts in New Jersey Anfang 2014.

Die Hotelkette Wyndham, zu der auch bekannte Marken wie Ramada, Planet Hollywood und Days Inn zählen, wurde wegen unzureichender Datensicherheitsvorkehrungen auf den Servern ihres Property Management Systems durch die FTC abgemahnt und schließlich wegen unfairer und irreführender Geschäftspraktiken gerichtlich verklagt.

Die beklagte Wyndham Group stellte jedoch die Kardinalsfrage und vertrat die Auffassung, dass die wettbewerbsrechtliche Zuständigkeit der FTC sich gar nicht auf Zuständigkeiten im Bereich des Datenschutzrechts erstrecke. So hätte der Kongress bereits gezielt Gesetze zum Datenschutz erlassen, ohne dies zum Anlass zu nehmen, der FTC ausdrücklich Kompetenzen auf diesem Gebiet zuzuweisen. Wyndham argumentierte mit dem für deutsche Juristen nicht ganz fremd klingenden Ansatz, dass spezielle Eingriffsbefugnisse auch eine ausdrückliche rechtsstaatlich abgesicherte Ermächtigungsgrundlage voraussetzen. Wyndham verglich seine Situation mit einem lokalen Möbelkaufhaus, das bestraft werden soll, weil es beraubt wurde und seine Unterlagen durchsucht wurden. Jede Verantwortung für das Geschehene wies Wyndham von sich.

Dieses Vorbringen vermochte das Gericht allerdings nicht zu überzeugen. Es bestätigte die weitreichenden Befugnisse der FTC aus Absatz 5 des FCTA, unter Berücksichtigung des Senatsberichts über den FTCA aus dem Jahre 1914, welcher sich zu Abs. 5 des Gesetzes wie folgt äußerte: 

“When Congress created the FederalTrade Commission in 1914 and charted its power and responsibility under [Section] 5, it explicitly considered, and rejected, the notion that it reduce the ambiguity of the phrase’unfair methods of competition’ by tying the concept of unfairness to a common-law or statutory standard or by enumerating the particular practices to which it was intended to apply.” (FTC v Wyndham Worldwide Corp., S. 15)

Wyndham rügte weiterhin eine angeblich nicht erfolgte vorherige angemessene Aufklärung (fair notice) über die rechtlichen Anforderungen an Datenschutz in Unternehmen, die sich aus Abs. 5 des FCTA ergeben sollen. So hätte die FTC keine Vorschriften veröffentlicht, die Unternehmen hinreichend über die datenschutzrechtlichen Anforderungen des Abs. 5 FCTA informieren könnten. Mangels Kenntnis von den rechtlichen Standards, deren Nichteinhaltung die FTC sanktioniert, könne die Beklagte auch nicht verurteilt werden.

Diese Auffassung teilte das Gericht jedoch nicht.

„Hotels and Resorts argues that, because the FTC has the power to issue particularized regulations and that it is plausible to do so, it must.“, Ibid., S. 23

Zwar sei eine angemessene Aufklärung über verbotenes oder gebotenes Verhalten notwendig, allerdings sei der Erlass von Vorschriften nicht das einzige Mittel zur Erfüllung dieser Aufklärungspflichten.

„But the Court is unpersuaded that regulations are the only means of providing sufficientfair notice […] especially since Hotels and Resorts itself recognizes how “quickly” the digital age and data-security world is moving.“, Ibid., S. 22

Folgerichtig erkennt das Gericht, dass die Verfolgung unlauterer und irreführender Geschäftspraktiken in einem sich so dynamisch entwickelnden Bereich wie dem Datenschutz eine dem Abs. 5 FTCA innewohnende Flexibilität erfordert. Eine ex-ante-Pflicht der FTC zum Erlass von Vorschriften würde dieser Flexibilität zuwiderlaufen.

„But the contour of an unfairness claim in the data-security context, like any other, is necessarily “flexible” such that the FTC can apply Section 5 “to the facts of particular cases arising out of unprecedented situations.“, Ibid., S. 23, sowie „The FTC would have to cease bringing all unfairness actions without first proscribing particularized prohibitions—a result that is in direct contradiction with the flexibility necessarily inherent in Section 5 of the FTC Act.“, Ibid., S. 25

Fazit

Die Entscheidung des Gerichts ist für die FTC und die weitere Entwicklung des Datenschutzrechts in den Vereinigten Staaten unter mehreren Gesichtspunkten bedeutsam. Zum einen wird die FTC legitimiert, Verstöße gegen das Datenschutzrecht aufgrund einschlägiger wettbewerbsrechtlicher Bestimmungen ihres Gründungsaktes zu ahnden. Zum anderen werden die Kompetenzen der FTC zur Setzung von Mindeststandards auf dem Gebiet des Datenschutzrechts eindeutig bestätigt, womit die FTC in absehbarer Zeit zur zentralen Datenschutzbehörde der Vereinigten Staaten aufsteigen könnte.

Im Juli dieses Jahres hat das erstinstanzliche Gericht eine Zwischenbeschwerde (interlocutory appeal) zugelassen, die dem Third Circuit Court of Appeals vorgelegt wird. Eine endgültige Regelung des Rechtsstreits bleibt somit mit Spannung abzuwarten.

Einen Kommentar schreiben

Tags

Datenschutzrecht Auslandszustellung berufspflicht Sitzverlegung Twitter Sponsoren Spirit Legal Data Breach EC-Karten TikTok Erschöpfungsgrundsatz Kündigung videoüberwachung Meldepflicht Facebook Limited Onlineplattform Datenschutzbeauftragter Sperrwirkung information technology § 4 UWG Werktitel Hotels 2014 Markeneintragung § 15 MarkenG Geschmacksmuster privacy shield Presserecht § 5 MarkenG Störerhaftung Bachblüten Linkhaftung LikeButton Doxing technology Verlängerung Reiserecht Herkunftsfunktion Bestandsschutz Facial Recognition Team Spirit Datenschutzerklärung whatsapp E-Commerce Marke Spitzenstellungsbehauptung Gesundheit Scam Vergütungsmodelle handelsrecht Haftung Class Action Influencer Schadensersatz SEA Notice & Take Down Recht Kosmetik §75f HGB Wahlen Mitarbeiterfotografie Europawahl right of publicity events entgeltgleichheit New Work Microsoft Gaming Disorder Keyword-Advertising geldwäsche Vertragsgestaltung Rabattangaben Einstellungsverbot Kekse data privacy Bußgeld Schadenersatz Schadensfall Double-Opt-In Dark Pattern drohnengesetz Auftragsverarbeitung Wettbewerbsrecht Team wetteronline.de Rechtsprechung gezielte Behinderung Überwachung Filesharing Buchungsportal Reise Hotelvermittler EU-Textilkennzeichnungsverordnung Arbeitsvertrag Lizenzrecht Geschäftsgeheimnis Kritik Tracking Datensicherheit Resort Kinderrechte Weihnachten Pressekodex Hacking unternehmensrecht Hotelrecht britain Boehmermann Crowdfunding Rückgaberecht wallart Sampling Arbeitsrecht Meinung Urteil Zustellbevollmächtigter WLAN kinderfotos Human Resource Management Impressum Ratenparität Prozessrecht Informationspflicht Konferenz KUG Insolvenz Handelsregister Internet data Auftragsdatenverarbeitung Expedia.com Analytics data security Gesichtserkennung datenverlust nutzungsrechte Hotellerie Urteile brexit Bundeskartellamt Hotel Datenportabilität gender pay gap Panorama copter EU-Kosmetik-Verordnung Freelancer EuGH Digitalwirtschaft Midijob Compliance LG Hamburg Adwords Newsletter Medienstaatsvertrag Datenpanne Erdogan Werbung Unternehmensgründung Stellenausschreibung E-Mail-Marketing Reisen OLG Köln email marketing BDSG Flugzeug Abwerbeverbot Datenschutz Asien Anmeldung Blog Social Media Machine Learning Online-Portale Kleinanlegerschutz Event Bestpreisklausel Suchalgorithmus Heilkunde Voice Assistant Medienrecht DSGVO Presse GmbH Data Protection Stellenangebot Amazon Sponsoring Fotografie Anonymisierung FashionID Domainrecht Education Hotelkonzept Neujahr Duldungsvollmacht Recap Vergleichsportale Opentable

Die Rechtsanwaltssozietät Spirit Legal berät in- und ausländische Unternehmen mit internationaler Ausrichtung. Unser fachlicher Beratungsschwerpunkt liegt in den Bereichen E-Commerce, Gesellschafts-, Wettbewerbs-, Marken-, IT- und Datenschutzrecht. Dank unserer Branchenerfahrung sind wir in rechtlichen Fragen der spezialisierte Ansprechpartner für Start-ups, Reiseunternehmen und die Hotellerie.

© Spirit Legal 2013 - 2021, alle Rechte vorbehalten