{{slotProps.result.Title}} {{slotProps.result.Title}} {{slotProps.result.Title}} {{slotProps.result.Title}}
English
Japanese

Outside Publication

USA: FCC-Konsultation über neue ISP-Datenschutzregeln, MMR-Aktuell (USA: FCC Consultation about new ISP Data Protection Rules)

April 2016

Die Federal Communications Commission (FCC) hat im Bereich des Datenschutzes und dem damit zusammenhängenden Verbraucherschutz erhebliche Befugnisse, was häufig in Europa übersehen wird. In der Sitzung der FCC-Kommissare v. 3.3.2016 hat die FCC nunmehr beschlossen, ein neues Konsultationsverfahren auf den Weg zu bringen, um den Datenschutz bei Internet-Zugangsanbietern (ISP) für die von ihnen verarbeiteten Kundendaten (CPNI - Customer Proprietary Network Information) zu verbessern.

Das FCC-Verfahren (Notice of Public Rulemaking - NPRM) beruht darauf, dass durch die Open Internet Order der FCC aus dem Jahr 2015 (vgl. Spies, MMR-Aktuell 2015, 367980 und Spies/Ufer, MMR 2015, 91 ff.) die ISPs als Carrier gem. Titel II des Communications Act eingestuft werden. Damit hat die FCC auch im Bereich des Datenschutzes neue Befugnisse auf der Grundlage von Sec. 222 Communications Act, es sei denn die Open Internet Order wird vom Berufungsgericht rechtlich in den nächsten Wochen gekippt (im Einzelnen zum Verfahren Spies, MMR-Aktuell 2015, 374380). Die Kommentierungsfrist für die NPRM endet am 27.5.2016. Rückantworten (reply comments) sind dann bis zum 27.6.2016 möglich.

Der Beschluss kam nach einer heftigen Auseinandersetzung der FCC intern zustande. Die Abstimmung der Kommissare ging mit 3 zu 2 Voten streng entlang der Parteizugehörigkeit der Kommissare aus. Die zwei unterlegenen Kommissare aus dem republikanischen Lager kritisierten die FCC-Initiative scharf: Kommissar Pai führte u.a. vor der Abstimmung aus, dass es keinen Sinn mache, strengere Auflagen für ISPs zu verhängen, als für OTT-Anbieter wie Google mit ihren Online-Werbeflächen gelten. ISP-spezifische Regeln würden die ISPs als „neue Marktteilnehmer" benachteiligen. Die Verbraucher würden oft nicht wissen, ob ein OTT-Anbieter oder ein ISP die Daten verarbeite.

Die Eckpunkte der NPRM (WC Docket No. 16-106) lauten wie folgt:

  • Konkludente Einwilligung der Kunden, wenn sie die ISP-Dienstleistungen ordern, in die Verarbeitung der dafür erforderlichen Kundendaten, gemessen an dem Erwartungshorizont der Kunden;
  • Opt-out erforderlich für die Verarbeitung von Kundendaten für andere kommunikationsbezogene Dienste, die das Unternehmen, einschließlich der mit ihm verbundenen Gesellschaften, erbringt;
  • ausdrückliches Opt-in erforderlich für alle sonstigen Verwendungen der Daten und den Austausch von Kundendaten mit Dritten.

Darüber hinaus enthält die NPRM folgende Regelungsvorschläge:

  • Transparenzanforderungen mit neuen Regeln für die ISPs, ihren Kunden in klarer Form mitzuteilen, welche Kundendaten sie verarbeiten und mit Dritten teilen und wie die Kunden ihre Datenschutzeinstellungen ändern können;
  • „robuste“ Datensicherheitsanforderungen für ISPs in den Bereichen Risikomanagement-Praktiken, Ausbildung des Personals, Anforderungen an die Authentifizierung der Kunden, Benennung der Manager, die für die Datensicherheit verantwortlich sind, usw. und
  • neue Benachrichtigungspflichten bei einem Bruch der Datensicherheit.

Die Vorschläge im NPRM dürften auch die Diskussion in Europa beeinflussen. Nicht von der NPRM erfasst sind sonstige Dienste eines Breitbandanbieters, wie z.B. der Betrieb einer Social Media-Webseite, sowie die staatliche Überwachung des Datenflusses, Verschlüsselungstechniken oder die Zusammenarbeit des ISP mit den Sicherheitsorganen.