• Deutsch
  • Aktuelles
  • Die Entscheidung FTC v. Wyndham – Der Wegbereiter für eine zentrale Aufsichtsbehörde für Datenschutz in den USA?

Eine zentrale Aufsichtsbehörde für Datenschutz in den USA?

Inhaltsverzeichnis

  1. Die Entwicklung der FTC zum "lifeguard for consumer privacy"
  2. Der Rechtsstreit FTC vs. Wyndham
  3. Fazit

Federal Trade Commission v. Wyndham Worldwide Corp. Civ. Action No. 13-1887 (D.N.J. 7 April 2014)

“Like the lifeguard at the beach, though, the FTC will remain vigilant to ensure that while innovation pushes forward, consumer privacy is not engulfed by that wave.“

Edith Ramirez, Head of U.S. Federal Trade Commission (FTC), Keynote anlässlich des 
Technology Policy Institute Aspen Forum in Aspen, Colorado, am 19. August 2013

Federal Trade Commission

Die Entwicklung der Federal Trade Commission zum „lifeguard for consumer privacy“

Eine offizielle Aufsichtsbehörde mit weitgehenden Befugnissen auf dem Gebiet des Datenschutzes, die mit denen in den EU-Mitgliedstaaten vergleichbar wären, besteht in den USA per Gesetz nicht. Die für Verbraucherschutz und Wettbewerb zuständige Bundesbehörde Federal Trade Commission hat jedoch in den letzten Jahren beachtliche Ambitionen entwickelt, diesen Umstand zu ändern und selbst die Rolle des obersten Datenschützers zu übernehmen.

Bereits in den siebziger Jahren begann die FTC, die Einhaltung des Fair Credit Reporting Acts zu überwachen und ist seitdem auch als Aufsichtsbehörde für Verbraucherdatenschutz tätig. Dabei beruft sich die FTC auf Absatz 5 ihres Gründungsaktes (FTCA) der ein Verbot unlauterer geschäftlicher Handlungen vorsieht. In diesem Zusammenhang geht die FTC gegen Unternehmen vor, die entweder gegen gesetzliche Vorschriften über Datenschutz verstoßen, oder aber ihre beworbenen Datenschutzverpflichtungen (z.B. in Online-Datenschutzerklärungen) nicht einhalten und damit Verbraucher in die Irre führen.

Vor nahezu 10 Jahren erweiterte die FTC den Anwendungsbereich des Absatzes 5 FTCA jedoch auch auf die Fälle, in denen Unternehmen zwar ein niedriges Datenschutzniveau hatten, Verbraucher diesbezüglich aber nicht durch anderslautende Anpreisungen irreführten. Entscheidender Punkt ist, nach Auffassung der FTC, dass schlechtes Datenschutzmanagement stets eine unlautere Wettbewerbshandlung konstituiere und zwar unabhängig davon, welches Datenschutzniveau den Verbrauchern tatsächlich versprochen wurde.

Auf dieser Grundlage hat die FTC Unternehmen bereits wegen diverser Datenschutzverstöße verklagt, unter anderem wegen Nichtnutzung bereits verfügbarer Technologien (z.B. Datenverschlüsselung, Firewalls, redundante Speicherung), Nichtbeachtung des Gebots der Datensparsamkeit, fehlender Maßnahmen zur Einschätzungen von Sicherheitsrisiken sowie fehlender Datenschutz-Schulungen für Mitarbeiter.

Der Rechtsstreit FTC vs. Wyndham

Kaum ein Urteil war für das US-amerikanische Datenschutzrecht und die Rolle des FTC in letzter Zeit derart wegweisend, wie die im Rechtsstreit FTC vs. Wyndham ergangene erstinstanzliche Entscheidung des Bundesbezirksgerichts in New Jersey Anfang 2014.

Die Hotelkette Wyndham, zu der auch bekannte Marken wie Ramada, Planet Hollywood und Days Inn zählen, wurde wegen unzureichender Datensicherheitsvorkehrungen auf den Servern ihres Property Management Systems durch die FTC abgemahnt und schließlich wegen unfairer und irreführender Geschäftspraktiken gerichtlich verklagt.

Die beklagte Wyndham Group stellte jedoch die Kardinalsfrage und vertrat die Auffassung, dass die wettbewerbsrechtliche Zuständigkeit der FTC sich gar nicht auf Zuständigkeiten im Bereich des Datenschutzrechts erstrecke. So hätte der Kongress bereits gezielt Gesetze zum Datenschutz erlassen, ohne dies zum Anlass zu nehmen, der FTC ausdrücklich Kompetenzen auf diesem Gebiet zuzuweisen. Wyndham argumentierte mit dem für deutsche Juristen nicht ganz fremd klingenden Ansatz, dass spezielle Eingriffsbefugnisse auch eine ausdrückliche rechtsstaatlich abgesicherte Ermächtigungsgrundlage voraussetzen. Wyndham verglich seine Situation mit einem lokalen Möbelkaufhaus, das bestraft werden soll, weil es beraubt wurde und seine Unterlagen durchsucht wurden. Jede Verantwortung für das Geschehene wies Wyndham von sich.

Dieses Vorbringen vermochte das Gericht allerdings nicht zu überzeugen. Es bestätigte die weitreichenden Befugnisse der FTC aus Absatz 5 des FCTA, unter Berücksichtigung des Senatsberichts über den FTCA aus dem Jahre 1914, welcher sich zu Abs. 5 des Gesetzes wie folgt äußerte: 

“When Congress created the FederalTrade Commission in 1914 and charted its power and responsibility under [Section] 5, it explicitly considered, and rejected, the notion that it reduce the ambiguity of the phrase’unfair methods of competition’ by tying the concept of unfairness to a common-law or statutory standard or by enumerating the particular practices to which it was intended to apply.” (FTC v Wyndham Worldwide Corp., S. 15)

Wyndham rügte weiterhin eine angeblich nicht erfolgte vorherige angemessene Aufklärung (fair notice) über die rechtlichen Anforderungen an Datenschutz in Unternehmen, die sich aus Abs. 5 des FCTA ergeben sollen. So hätte die FTC keine Vorschriften veröffentlicht, die Unternehmen hinreichend über die datenschutzrechtlichen Anforderungen des Abs. 5 FCTA informieren könnten. Mangels Kenntnis von den rechtlichen Standards, deren Nichteinhaltung die FTC sanktioniert, könne die Beklagte auch nicht verurteilt werden.

Diese Auffassung teilte das Gericht jedoch nicht.

„Hotels and Resorts argues that, because the FTC has the power to issue particularized regulations and that it is plausible to do so, it must.“, Ibid., S. 23

Zwar sei eine angemessene Aufklärung über verbotenes oder gebotenes Verhalten notwendig, allerdings sei der Erlass von Vorschriften nicht das einzige Mittel zur Erfüllung dieser Aufklärungspflichten.

„But the Court is unpersuaded that regulations are the only means of providing sufficientfair notice […] especially since Hotels and Resorts itself recognizes how “quickly” the digital age and data-security world is moving.“, Ibid., S. 22

Folgerichtig erkennt das Gericht, dass die Verfolgung unlauterer und irreführender Geschäftspraktiken in einem sich so dynamisch entwickelnden Bereich wie dem Datenschutz eine dem Abs. 5 FTCA innewohnende Flexibilität erfordert. Eine ex-ante-Pflicht der FTC zum Erlass von Vorschriften würde dieser Flexibilität zuwiderlaufen.

„But the contour of an unfairness claim in the data-security context, like any other, is necessarily “flexible” such that the FTC can apply Section 5 “to the facts of particular cases arising out of unprecedented situations.“, Ibid., S. 23, sowie „The FTC would have to cease bringing all unfairness actions without first proscribing particularized prohibitions—a result that is in direct contradiction with the flexibility necessarily inherent in Section 5 of the FTC Act.“, Ibid., S. 25

Fazit

Die Entscheidung des Gerichts ist für die FTC und die weitere Entwicklung des Datenschutzrechts in den Vereinigten Staaten unter mehreren Gesichtspunkten bedeutsam. Zum einen wird die FTC legitimiert, Verstöße gegen das Datenschutzrecht aufgrund einschlägiger wettbewerbsrechtlicher Bestimmungen ihres Gründungsaktes zu ahnden. Zum anderen werden die Kompetenzen der FTC zur Setzung von Mindeststandards auf dem Gebiet des Datenschutzrechts eindeutig bestätigt, womit die FTC in absehbarer Zeit zur zentralen Datenschutzbehörde der Vereinigten Staaten aufsteigen könnte.

Im Juli dieses Jahres hat das erstinstanzliche Gericht eine Zwischenbeschwerde (interlocutory appeal) zugelassen, die dem Third Circuit Court of Appeals vorgelegt wird. Eine endgültige Regelung des Rechtsstreits bleibt somit mit Spannung abzuwarten.

Einen Kommentar schreiben

Tags

Suchmaschinenbetreiber recht am eigenen bild Data Protection Berlin Kosmetik Expedia.com Sitzverlegung Unlauterer Wettbewerb Bildung Kundenbewertungen CRM Suchmaschinen Pressekodex Einverständnis data Alexa Lebensmittel Double-Opt-In Medienprivileg Medienstaatsvertrag UWG Travel Industry Irreführung Sperrabrede besondere Darstellung Auftragsdatenverarbeitung Schadensersatz YouTube Wahlen Minijob Schadensfall Impressum Datenschutzrecht Hackerangriff drohnengesetz Digitalwirtschaft Vergleichsportale Verbandsklage gesellschaftsrecht Sicherheitslücke Abmahnung Fotografie Resort handelsrecht Künstliche Intelligenz Marke Opentable custom audience Telefon Crowdfunding Reisen gdpr DSGVO Touristik Meinung AfD #emd15 Rechtsprechung Filesharing Panorama Anmeldung Hotelsterne Reiserecht Google anwaltsserie Artificial Intelligence markenanmeldung Informationsfreiheit Zustellbevollmächtigter Urlaub kinderfotos Auslandszustellung Arbeitsrecht Vergütungsmodelle Suchfunktion Bildrechte Hinweispflichten Xing Newsletter Überwachung Hotelrecht Website data security Online-Bewertungen Kennzeichnung Online Wettbewerb Recht unternehmensrecht § 5 UWG brexit Identitätsdiebstahl TikTok ISPs Beleidigung Unionsmarke Löschung Erdogan Hausrecht Gesetz Arbeitsvertrag Social Media Event Persönlichkeitsrecht Barcamp Ratenparität München NetzDG Radikalisierung Meldepflicht Check-in Creative Commons Midijob ReFa Twitter Löschungsanspruch Haftung Suchalgorithmus Journalisten Spielzeug Rechtsanwaltsfachangestellte data privacy Bots § 15 MarkenG HSMA Preisauszeichnung Vertrauen drohnen Hotelkonzept EU-Textilkennzeichnungsverordnung Erbe Keyword-Advertising c/o kommunen Blog Compliance § 5 MarkenG Umtausch Abwerbeverbot Beacons Handynummer privacy shield whatsapp Datenschutzerklärung Spitzenstellungsbehauptung Corporate Housekeeping E-Mail ransom Algorithmen Team Spirit Urheberrechtsreform § 4 UWG Europawahl Foto Exklusivitätsklausel Tracking Datenschutzbeauftragter Abhören jahresabschluss britain Auftragsverarbeitung right of publicity patent Kapitalmarkt Sampling Hotelvermittler Herkunftsfunktion Einwilligung Vertragsgestaltung Mitarbeiterfotografie Interview Recap LMIV PSD2 Hacking IT-Sicherheit Einstellungsverbot §75f HGB Kennzeichnungskraft Konferenz Data Breach verbraucherstreitbeilegungsgesetz berufspflicht Behinderungswettbewerb Customer Service copter Wettbewerbsverbot Conversion Gäste Bachblüten Vergütung Europarecht Gesundheit Facial Recognition Panoramafreiheit FashionID Kritik ransomware Know How Spirit Legal

Die Rechtsanwaltssozietät Spirit Legal berät in- und ausländische Unternehmen mit internationaler Ausrichtung. Unser fachlicher Beratungsschwerpunkt liegt in den Bereichen E-Commerce, Gesellschafts-, Wettbewerbs-, Marken-, IT- und Datenschutzrecht. Dank unserer Branchenerfahrung sind wir in rechtlichen Fragen der spezialisierte Ansprechpartner für Start-ups, Reiseunternehmen und die Hotellerie.

© Spirit Legal 2013 - 2024, alle Rechte vorbehalten

Förderung von Fachanwaltskursen & anwaltlichen Fortbildungen durch SAB Sachsen: