Das bundesweite [SECURE Data Act](https://d1dth6e84htgma.cloudfront.net/SECURE_Data_Act_for_introduction_7c80a347ac.pdf) steht im Fokus der Prüfung hinsichtlich seiner potenziellen Auswirkungen auf den Verbraucherschutz. Es wächst die Besorgnis, dass das Gesetz, falls es verabschiedet wird, einen erheblichen Rückschritt gegenüber den derzeitigen, wenn auch unzureichenden, Schutzmaßnahmen auf bundesstaatlicher Ebene darstellen würde. Republikaner im [House Energy and Commerce Committee](https://energycommerce.house.gov/posts/committees-on-energy-and-commerce-and-financial-services-introduce-pair-of-privacy-bills-to-establish-comprehensive-data-protections-for-all-americans) haben den Gesetzesentwurf Ende letzten Monats ohne parteiübergreifenden Konsens eingebracht. Kritiker argumentieren, dass das Gesetz schwächer ist als frühere Kongressvorschläge und viele der [21 bundesstaatlichen Verbraucherschutzgesetze](https://iapp.org/resources/article/us-state-privacy-legislation-tracker), die bereits in Kraft sind. ### Bedenken hinsichtlich der Präemption Ein Hauptstreitpunkt ist die potenzielle Präemption zahlreicher bundesstaatlicher Datenschutzgesetze durch das Gesetz. Abschnitt 15 des Gesetzes würde jede „Gesetzgebung, Regelung, Verordnung, Anforderung, Standard oder andere Bestimmung [die] sich auf die Bestimmungen dieses Gesetzes bezieht“ präemptieren. Dies könnte die bestehenden Verbraucherschutzgesetze in 21 Bundesstaaten faktisch außer Kraft setzen. Kalifornien unterhält beispielsweise ein [Tool zur Löschung von Datenmaklern](https://privacy.ca.gov/drop/) und verlangt von Unternehmen die Einhaltung von [automatischen Opt-out-Signalen](https://www.eff.org/gpc-privacy-badger) – einschließlich eines, das in **EFFs** [Privacy Badger](https://privacybadger.org/#What-is-Global-Privacy-Control) integriert ist. Da der SECURE Data Act Bestimmungen enthält, die sich auf Datenschutz und Datensicherheit beziehen, könnte er [alle 50 bundesstaatlichen Gesetze zu Datenschutzverletzungen](https://www.ncsl.org/technology-and-communication/security-breach-notification-laws) und [viele andere](https://www.congress.gov/crs-product/R48667) präemptieren. Er könnte auch bundesstaatliche Gesetze im Zusammenhang mit spezifischen sensiblen Daten präemptieren, wie z. B. Verbote des Verkaufs von [biometrischen](https://www.ilga.gov/Legislation/ILCS/Articles?ActID=3004&ChapterID=57) oder [Standortinformationen](https://www.doj.state.or.us/consumer-protection/id-theft-data-breaches/privacy/privacy-law-faqs-for-consumers/). Einige [Bundesstaaten wie Kalifornien](https://leginfo.legislature.ca.gov/faces/codes_displaySection.xhtml?lawCode=CONS&sectionNum=SECTION%201.&article=I) haben Verfassungsbestimmungen, die das Recht einer Person auf Privatsphäre schützen, das [gegenüber Unternehmen](https://btlj.org/wp-content/uploads/2025/01/39-2_Ozer.pdf) durchgesetzt werden kann. Diese Verfassungsbestimmung sowie [bundesstaatliche Datenschutzklagen](https://scholarship.law.bu.edu/faculty_scholarship/628/) könnten ebenfalls gefährdet sein, wenn dieses Gesetz verabschiedet würde. ### Fehlendes privates Klagerecht Ein weiteres erhebliches Bedenken ist das Fehlen eines privaten Klagerechts, das es Einzelpersonen ermöglichen würde, Unternehmen wegen Datenschutzverletzungen zu verklagen. Kritiker argumentieren, dass diese Auslassung die Wirksamkeit des Gesetzes untergräbt, da Aufsichtsbehörden möglicherweise nicht über die Ressourcen verfügen, um die Einhaltung umfassend durchzusetzen. Stattdessen hätten die **FTC** und die Generalstaatsanwälte der Bundesstaaten die primäre Durchsetzungsbefugnis. Das Gesetz gibt Unternehmen auch 45 Tage Zeit, um jede Verletzung ohne Strafe zu „beheben“, nachdem sie aufgedeckt wurde. ### Schwache Datenschutz-Standardeinstellungen und Datenminimierung Das Gesetz wird auch wegen seiner schwachen Datenschutz-Standardeinstellungen kritisiert, die die Verbraucher in die Pflicht nehmen, sich von invasiven Datenerfassungspraktiken abzumelden. Obwohl das Gesetz die Zustimmung zur Verarbeitung sensibler Daten verlangt, argumentieren Kritiker, dass dies zu manipulativen Zustimmungsanfragen führen könnte. Abschnitt 3 des Gesetzes verwendet den Begriff „Datenminimierung“, aber nur dem Namen nach. Die Bestimmung beschränkt die Verarbeitung von Daten durch ein Unternehmen nicht auf das, was zur Bereitstellung des vom Kunden angeforderten Produkts oder Dienstes erforderlich ist. Stattdessen beschränkt die Bestimmung die Verarbeitung von Daten auf das, was ein Unternehmen dem Kunden „offengelegt hat“ – das bedeutet, wenn es in der verwirrenden Datenschutzerklärung steht, die niemand liest, ist es in Ordnung. Und das Gesetz würde es Ihnen nicht einmal erlauben, bestimmte Verwendungen Ihrer Daten einzuschränken. Da Unternehmen mehr Daten für KI-Systeme suchen, möchten viele Internetnutzer nicht, dass ihre privaten persönlichen Daten zum Trainieren dieser Modelle verwendet werden. Das Gesetz macht jedoch deutlich, dass „nichts in diesem Gesetz so ausgelegt werden kann, dass es“ ein Unternehmen daran hindert, Ihre Daten zu sammeln, zu verwenden oder zu speichern, um eine neue Technologie zu „entwickeln“ oder zu „verbessern“. ### Weitere Bedenken * **Regierungsauftragnehmer**: Gemäß Abschnitt 13(b)(2) sind Regierungsauftragnehmer von dem Gesetz ausgenommen, was fälschlicherweise so ausgelegt werden könnte, dass bestimmte Datenmakler von Verkaufsbeschränkungen ausgenommen werden, wenn diese Verkäufe an die Regierung erfolgen. Diese Art von Ausnahmeregelung könnte Überwachungsunternehmen wie **Clearview AI** zugutekommen, die