• Deutsch
  • Aktuelles
  • Die Entscheidung FTC v. Wyndham – Der Wegbereiter für eine zentrale Aufsichtsbehörde für Datenschutz in den USA?

Eine zentrale Aufsichtsbehörde für Datenschutz in den USA?

Inhaltsverzeichnis

Federal Trade Commission v. Wyndham Worldwide Corp. Civ. Action No. 13-1887 (D.N.J. 7 April 2014)

“Like the lifeguard at the beach, though, the FTC will remain vigilant to ensure that while innovation pushes forward, consumer privacy is not engulfed by that wave.“

Edith Ramirez, Head of U.S. Federal Trade Commission (FTC), Keynote anlässlich des 
Technology Policy Institute Aspen Forum in Aspen, Colorado, am 19. August 2013

Federal Trade Commission

Die Entwicklung der Federal Trade Commission zum „lifeguard for consumer privacy“

Eine offizielle Aufsichtsbehörde mit weitgehenden Befugnissen auf dem Gebiet des Datenschutzes, die mit denen in den EU-Mitgliedstaaten vergleichbar wären, besteht in den USA per Gesetz nicht. Die für Verbraucherschutz und Wettbewerb zuständige Bundesbehörde Federal Trade Commission hat jedoch in den letzten Jahren beachtliche Ambitionen entwickelt, diesen Umstand zu ändern und selbst die Rolle des obersten Datenschützers zu übernehmen.

Bereits in den siebziger Jahren begann die FTC, die Einhaltung des Fair Credit Reporting Acts zu überwachen und ist seitdem auch als Aufsichtsbehörde für Verbraucherdatenschutz tätig. Dabei beruft sich die FTC auf Absatz 5 ihres Gründungsaktes (FTCA) der ein Verbot unlauterer geschäftlicher Handlungen vorsieht. In diesem Zusammenhang geht die FTC gegen Unternehmen vor, die entweder gegen gesetzliche Vorschriften über Datenschutz verstoßen, oder aber ihre beworbenen Datenschutzverpflichtungen (z.B. in Online-Datenschutzerklärungen) nicht einhalten und damit Verbraucher in die Irre führen.

Vor nahezu 10 Jahren erweiterte die FTC den Anwendungsbereich des Absatzes 5 FTCA jedoch auch auf die Fälle, in denen Unternehmen zwar ein niedriges Datenschutzniveau hatten, Verbraucher diesbezüglich aber nicht durch anderslautende Anpreisungen irreführten. Entscheidender Punkt ist, nach Auffassung der FTC, dass schlechtes Datenschutzmanagement stets eine unlautere Wettbewerbshandlung konstituiere und zwar unabhängig davon, welches Datenschutzniveau den Verbrauchern tatsächlich versprochen wurde.

Auf dieser Grundlage hat die FTC Unternehmen bereits wegen diverser Datenschutzverstöße verklagt, unter anderem wegen Nichtnutzung bereits verfügbarer Technologien (z.B. Datenverschlüsselung, Firewalls, redundante Speicherung), Nichtbeachtung des Gebots der Datensparsamkeit, fehlender Maßnahmen zur Einschätzungen von Sicherheitsrisiken sowie fehlender Datenschutz-Schulungen für Mitarbeiter.

Der Rechtsstreit FTC vs. Wyndham

Kaum ein Urteil war für das US-amerikanische Datenschutzrecht und die Rolle des FTC in letzter Zeit derart wegweisend, wie die im Rechtsstreit FTC vs. Wyndham ergangene erstinstanzliche Entscheidung des Bundesbezirksgerichts in New Jersey Anfang 2014.

Die Hotelkette Wyndham, zu der auch bekannte Marken wie Ramada, Planet Hollywood und Days Inn zählen, wurde wegen unzureichender Datensicherheitsvorkehrungen auf den Servern ihres Property Management Systems durch die FTC abgemahnt und schließlich wegen unfairer und irreführender Geschäftspraktiken gerichtlich verklagt.

Die beklagte Wyndham Group stellte jedoch die Kardinalsfrage und vertrat die Auffassung, dass die wettbewerbsrechtliche Zuständigkeit der FTC sich gar nicht auf Zuständigkeiten im Bereich des Datenschutzrechts erstrecke. So hätte der Kongress bereits gezielt Gesetze zum Datenschutz erlassen, ohne dies zum Anlass zu nehmen, der FTC ausdrücklich Kompetenzen auf diesem Gebiet zuzuweisen. Wyndham argumentierte mit dem für deutsche Juristen nicht ganz fremd klingenden Ansatz, dass spezielle Eingriffsbefugnisse auch eine ausdrückliche rechtsstaatlich abgesicherte Ermächtigungsgrundlage voraussetzen. Wyndham verglich seine Situation mit einem lokalen Möbelkaufhaus, das bestraft werden soll, weil es beraubt wurde und seine Unterlagen durchsucht wurden. Jede Verantwortung für das Geschehene wies Wyndham von sich.

Dieses Vorbringen vermochte das Gericht allerdings nicht zu überzeugen. Es bestätigte die weitreichenden Befugnisse der FTC aus Absatz 5 des FCTA, unter Berücksichtigung des Senatsberichts über den FTCA aus dem Jahre 1914, welcher sich zu Abs. 5 des Gesetzes wie folgt äußerte: 

“When Congress created the FederalTrade Commission in 1914 and charted its power and responsibility under [Section] 5, it explicitly considered, and rejected, the notion that it reduce the ambiguity of the phrase’unfair methods of competition’ by tying the concept of unfairness to a common-law or statutory standard or by enumerating the particular practices to which it was intended to apply.” (FTC v Wyndham Worldwide Corp., S. 15)

Wyndham rügte weiterhin eine angeblich nicht erfolgte vorherige angemessene Aufklärung (fair notice) über die rechtlichen Anforderungen an Datenschutz in Unternehmen, die sich aus Abs. 5 des FCTA ergeben sollen. So hätte die FTC keine Vorschriften veröffentlicht, die Unternehmen hinreichend über die datenschutzrechtlichen Anforderungen des Abs. 5 FCTA informieren könnten. Mangels Kenntnis von den rechtlichen Standards, deren Nichteinhaltung die FTC sanktioniert, könne die Beklagte auch nicht verurteilt werden.

Diese Auffassung teilte das Gericht jedoch nicht.

„Hotels and Resorts argues that, because the FTC has the power to issue particularized regulations and that it is plausible to do so, it must.“, Ibid., S. 23

Zwar sei eine angemessene Aufklärung über verbotenes oder gebotenes Verhalten notwendig, allerdings sei der Erlass von Vorschriften nicht das einzige Mittel zur Erfüllung dieser Aufklärungspflichten.

„But the Court is unpersuaded that regulations are the only means of providing sufficientfair notice […] especially since Hotels and Resorts itself recognizes how “quickly” the digital age and data-security world is moving.“, Ibid., S. 22

Folgerichtig erkennt das Gericht, dass die Verfolgung unlauterer und irreführender Geschäftspraktiken in einem sich so dynamisch entwickelnden Bereich wie dem Datenschutz eine dem Abs. 5 FTCA innewohnende Flexibilität erfordert. Eine ex-ante-Pflicht der FTC zum Erlass von Vorschriften würde dieser Flexibilität zuwiderlaufen.

„But the contour of an unfairness claim in the data-security context, like any other, is necessarily “flexible” such that the FTC can apply Section 5 “to the facts of particular cases arising out of unprecedented situations.“, Ibid., S. 23, sowie „The FTC would have to cease bringing all unfairness actions without first proscribing particularized prohibitions—a result that is in direct contradiction with the flexibility necessarily inherent in Section 5 of the FTC Act.“, Ibid., S. 25

Fazit

Die Entscheidung des Gerichts ist für die FTC und die weitere Entwicklung des Datenschutzrechts in den Vereinigten Staaten unter mehreren Gesichtspunkten bedeutsam. Zum einen wird die FTC legitimiert, Verstöße gegen das Datenschutzrecht aufgrund einschlägiger wettbewerbsrechtlicher Bestimmungen ihres Gründungsaktes zu ahnden. Zum anderen werden die Kompetenzen der FTC zur Setzung von Mindeststandards auf dem Gebiet des Datenschutzrechts eindeutig bestätigt, womit die FTC in absehbarer Zeit zur zentralen Datenschutzbehörde der Vereinigten Staaten aufsteigen könnte.

Im Juli dieses Jahres hat das erstinstanzliche Gericht eine Zwischenbeschwerde (interlocutory appeal) zugelassen, die dem Third Circuit Court of Appeals vorgelegt wird. Eine endgültige Regelung des Rechtsstreits bleibt somit mit Spannung abzuwarten.

Einen Kommentar schreiben

Tags

Cyber Security Weihnachten Sicherheitslücke Kundendaten EU-Textilkennzeichnungsverordnung Produktempfehlungen Google Schöpfungshöhe Einwilligung Unterlassungsansprüche Datenschutzrecht datenverlust Restaurant Einzelhandel Abhören Mindestlohn Kinderrechte unternehmensrecht Soziale Netzwerke Data Protection Türkisch Microsoft Urteil zahlungsdienst Handynummer Blog Großbritannien ITB Panorama Datenschutzgesetz veröffentlichung Distribution targeting Beweislast Urteile Herkunftsfunktion Big Data nutzungsrechte Infosec PPC Team Bewertung Niederlassungsfreiheit technology data total buy out gesellschaftsrecht Urlaub wetteronline.de Double-Opt-In Direktmarketing CNIL Vergütung Geschäftsführer Irreführung Corporate Housekeeping Datensicherheit Filesharing Medienrecht KUG recht am eigenen bild Internet of Things YouTube fristen LG Köln Artificial Intelligence Kennzeichnung Internet Education Plattformregulierung Kundenbewertungen Wahlen Preisauszeichnung Adwords ransom Unterlassung Annual Return Gepäck Zustellbevollmächtigter Beleidigung Freelancer Dark Pattern Sponsoring Dokumentationspflicht Compliance Datengeheimnis Messe Know How HSMA Technologie Werbekennzeichnung Erschöpfungsgrundsatz Website email marketing Online-Bewertungen Duldungsvollmacht Wettbewerbsverbot Arbeitsrecht Mitarbeiterfotografie ransomware Class Action Ruby on Rails Bestandsschutz Störerhaftung Algorithmus Transparenz Jugendschutzfilter GmbH Hotellerie Hotels USPTO Rechtsanwaltsfachangestellte Überwachung Urheberrecht Custom Audiences Geschmacksmuster Erdogan Löschungsanspruch Scam Journalisten Einstellungsverbot Booking.com Hotelsterne Home-Office Instagram Sitzverlegung Verpackungsgesetz neu §75f HGB BDSG Email Trademark Human Resource Management Travel Industry Beschäftigtendatenschutz Abmahnung Datenportabilität Onlinevertrieb Online-Portale FTC Domainrecht zugangsvereitelung Insolvenz hate speech Marke Touristik informationspflichten Werbung Neujahr Reisen Handelsregister Registered Spielzeug Rechtsprechung html5 Meinungsfreiheit Datenpanne Europa Europawahl OTMR kinderfotos Informationspflicht EC-Karten Datenschutzbeauftragter Xing Sampling Barcamp Wettbewerb Lebensmittel Machine Learning CRM NetzDG Consent Management HipHop geldwäsche Minijob custom audience IT-Sicherheit PSD2 OLG Köln TeamSpirit Stellenangebot Online Conversion videoüberwachung Nutzungsrecht Kundenbewertung Ratenparität Europarecht AIDA Beacons Recht Resort jahresabschluss Analytics Selbstverständlichkeiten Facial Recognition Ring Gesamtpreis Kleinanlegerschutz EuGH

Die Rechtsanwaltssozietät Spirit Legal berät in- und ausländische Unternehmen mit internationaler Ausrichtung. Unser fachlicher Beratungsschwerpunkt liegt in den Bereichen E-Commerce, Gesellschafts-, Wettbewerbs-, Marken-, IT- und Datenschutzrecht. Dank unserer Branchenerfahrung sind wir in rechtlichen Fragen der spezialisierte Ansprechpartner für Start-ups, Reiseunternehmen und die Hotellerie.

© Spirit Legal 2013 - 2021, alle Rechte vorbehalten