11 neue Datenschutzgesetze weltweit und wie sie Ihr Analytics beeinflussen
Der Datenschutz im Web löste vermutlich eine der größten Debatten aus. Die Fülle an Datenleaks und Kontroversen um Big-Tech-Giganten zeigten uns, wie moderne Technologie unsere Privatsphäre untergraben kann. Die Antwort darauf ist die wachsende Zahl neuer Gesetze, die regeln, wie Unternehmen und Organisationen mit Nutzerdaten umgehen sollen.
In unserem Überblick lesen Sie über 11 neue und bevorstehende Datenschutzgesetze weltweit. Wir schlagen auch vor, wie Sie sich darauf vorbereiten.
Kapitel
Kapitel 1
Vorwort: DSGVO – Datenschutz-Grundverordnung
Erfahren Sie mehr, wie sich die Europäische Datenschutz-Grundverordnung (DSGVO) auf den Datenschutz weltweit auswirkt.
Kapitel
- Vorwort: DSGVO – Datenschutz-Grundverordnung
- California Privacy Rights Act (CPRA)
- Virginia Consumer Data Protection Act (CDPA)
- Kanadas Consumer Privacy Protection Act (CPPA)
- Neuseelands Privacy Act
- Das brasilianische Lei Geral de Proteção de Dados (LGPD)
- Singapurs Personal Data Protection Act (PDPA)
- Thailands Personal Data Protection Act (PDPA) 2019
- ePrivacy-Verordnung
- Deutsches Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG)
- Chinas Personal Information Protection Law (PIPL)
- Bundesgesetz über den Datenschutz (revDSG) der Schweiz
- Wie bereiten Sie sich auf diese Vorschriften weltweit vor?
Die DSGVO war ein Durchbruch im Datenschutz – der neue, Goldstandard unter den Datenschutzregeln. Hier erinnern wir an die wichtigsten Grundsätze, die im Bericht “Global convergence of data privacy standards and laws” veröffentlicht wurden:
- Die DSGVO befähigte Datenschutzbehörden, verbindliche Beschlüsse zu treffen und verwaltungsrechtliche Sanktionen einschließlich Geldbußen zu verhängen.
- Sie führte das Recht auf Widerspruch gegen Datenverarbeitung im Interesse des Verantwortlichen oder im öffentlichen Interesse ein.
- Der Datenverantwortliche ist verpflichtet, Datenschutzbehörden und betroffene Personen über Datenschutzverstöße zu informieren.
- Die DSGVO setzt strengere Vorgaben zur Einwilligung ein.
- Die Verordnung bezieht biometrische und/oder genetische Daten in die Definition sensibler Daten ein.
- Der Datenschutzbeauftragte (DSB) übernimmt eine obligatorische Rolle in Organisationen, die personenbezogene Daten verarbeiten.
Wir beobachteten eine Art Dominoeffekt. Verschiedene Länder führten nacheinander Datenschutz-Rahmenkonzepte im Stil der DSGVO ein.
Neue Datenschutzgesetze wirkten sich zweifellos – lokal und global – auf die Wirtschaft aus. International handelnde Unternehmen passen sich einer Vielzahl von Rechtsvorschriften an, die oft unterschiedliche Pflichten und Einschränkungen mit sich bringen.
Wir stellten die wichtigsten neuen Datenschutzgesetze weltweit zusammen, um Unternehmen bei dieser Aufgabe unter die Arme zu greifen. Ferner erläutern wir, wie sie sich praktisch auf die Unternehmen auswirken, die Analyse- und Marketingplattformen wie CRM, CDP oder Webanalytics einsetzen.
Kapitel 2
California Privacy Rights Act (CPRA)
Der Wandel in der kalifornischen Legislatur begann, als der Bundesstaat Kalifornien den California Consumer Privacy Act (CCPA) im Juni 2018 verabschiedete. CCPA trat am 1. Januar 2020 in Kraft. Das Gesetz gab Einwohnern Kaliforniens das Recht zur Information, ob und welche personenbezogenen Daten Unternehmen über sie sammeln und verkaufen. Der California Privacy Rights Act (CPRA) ist eine Wählerinitiative, die die kalifornischen Wähler am 3. November 2020 annahmen. CPRA ändert und erweitert den CCPA. Er aktualisiert, modifiziert und ergänzt bestimmte Regeln, um die Rechte der kalifornischen Verbraucher zu stärken.
Kapitel
- Vorwort: DSGVO – Datenschutz-Grundverordnung
- California Privacy Rights Act (CPRA)
- Virginia Consumer Data Protection Act (CDPA)
- Kanadas Consumer Privacy Protection Act (CPPA)
- Neuseelands Privacy Act
- Das brasilianische Lei Geral de Proteção de Dados (LGPD)
- Singapurs Personal Data Protection Act (PDPA)
- Thailands Personal Data Protection Act (PDPA) 2019
- ePrivacy-Verordnung
- Deutsches Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG)
- Chinas Personal Information Protection Law (PIPL)
- Bundesgesetz über den Datenschutz (revDSG) der Schweiz
- Wie bereiten Sie sich auf diese Vorschriften weltweit vor?
Datum des Inkrafttretens: 1. Januar 2023
Der Anwendungsbereich
CPRA ändert den vom CCPA umrissenen Anwendungsbereich.
Das Gesetz gilt für jedes Unternehmen, das gewinnorientiert agiert und personenbezogene Daten von kalifornischen Einwohnern verarbeitet, wenn es:
- Einen jährlichen Bruttoumsatz von mindestens 25 Millionen US-Dollar erarbeitet
- Jährlich Informationen von 100.000 oder mehr Einwohnern/Haushalten oder netzwerkfähigen Geräten in Kalifornien sammelt
- Mindestens 50 % ihres Jahreseinkommens aus dem Verkauf oder Weitergabe von Informationen über Einwohner Kaliforniens erwirtschaftet
Die Anhebung des Schwellenwerts von 50.000 kalifornischen Einwohnern im CCPA auf 100.000 verringert die Zahl der Unternehmen, die unter das Gesetz fallen. Die Aufnahme des Begriffs „Weitergabe“ in die Regel über die Erzielung von 50 % oder mehr des Jahreseinkommens aus dem Verkauf personenbezogener Daten erhöht jedoch potenziell die Zahl der Organisationen, für die das Gesetz gilt.
Wie definiert CPRA personenbezogene Daten?
Die Definition von personenbezogenen Daten stimmt mit der des CCPA überein und ist recht weit gefasst:
[I]Informationen, die einen bestimmten Verbraucher oder Haushalt identifizieren, sich auf ihn beziehen, ihn beschreiben, diesem direkt oder indirekt nachvollziehbar zugeordnet werden können.
Die Definition personenbezogener Daten umfasst eindeutige (persönliche) Kennungen – von denen viele der Treibstoff für Marketingaktivitäten sind:
“Eindeutige Kennung” oder “eindeutige persönliche Kennung”: Eine dauerhafte Kennung, die verwendet werden kann, um einen Verbraucher, eine Familie oder ein Gerät, das mit einem Verbraucher oder einer Familie verbunden ist, im Laufe der Zeit und über verschiedene Dienste hinweg zu erkennen, einschließlich, aber nicht beschränkt auf eine Gerätekennung, eine Internetprotokolladresse, Cookies, Beacons, Pixel-Tags, mobilen Werbekennungen oder ähnliche Technologien; Kundennummern, eindeutige Pseudonyme oder Nutzeraliase; Telefonnummern oder andere Formen von dauerhaften oder wahrscheinlichen Identifikatoren, die verwendet werden können, um einen bestimmten Verbraucher oder ein bestimmtes Gerät zu identifizieren […].
Der CPRA, genau wie die DSGVO, betrifft also auch Tracking-Cookies und andere Arten von Online-Identifikatoren!
Wie definiert CPRA sensible personenbezogene Daten?
CPRA sieht eine neue Kategorie von Daten vor – sensible personenbezogene Daten („sensitive personal information” = SPI). Solche Daten erfordern angemessene Sicherheitsmaßnahmen. Verbraucher haben das Recht, von Unternehmen zu verlangen, dass sie ihre personenbezogenen Daten eingeschränkt verwenden.
Zu den sensiblen personenbezogenen Daten gehören:
- Sozialversicherungsnummer
- Führerscheindaten
- Staatlicher Personalausweis
- Reisepassnummer
- Finanzkontoinformationen und Anmeldedaten
- Debitkarten- oder Kreditkartennummer und Zugangsdaten
- Genaue Geolokalisierungsdaten
- Religiöse oder philosophische Überzeugungen
- Ethnische Herkunft
- Inhalte der Kommunikation
- Genetische Daten
- Biometrische Informationen zum Zweck der Identifizierung
- Informationen zur Gesundheit
- Informationen über das Geschlecht oder die sexuelle Orientierung
Die wichtigsten Pflichten gemäß CPRA
Ergreifen Sie Maßnahmen zum Schutz der Daten von Minderjährigen
Für den Verkauf personenbezogener Daten von Minderjährigen (unter 16 Jahren) schreibt CPRA ein Opt-in vor. Unternehmen müssen außerdem 12 Monate warten, bevor sie einen minderjährigen Verbraucher um die Zustimmung zum Verkauf oder zur Weitergabe seiner personenbezogenen Daten bitten, nachdem der Minderjährige dies abgelehnt hat.
Ordnen Sie Ihre Datenprozesse
Stellen Sie sicher, dass Sie wissen, welche Arten von personenbezogenen Daten Sie sammeln. Bereiten Sie die Daten für Zugriffs- und Löschanfragen oder Datenübertragungsanforderungen Ihrer Kunden.
Die Verbraucher haben das Recht:
- Einen Bericht mit den personenbezogenen Daten zu erhalten, die Unternehmen in den letzten 12 Monaten über sie gesammelt haben (unter bestimmten Umständen auch über den 12-Monats-Zeitraum hinaus).
- Zu verlangen, dass ein Unternehmen bestimmte personenbezogene Daten an ein anderes Unternehmen weitergibt
- Zu verlangen, dass die Unternehmen ihre personenbezogenen Daten löschen
- Die Unternehmen aufzufordern, den Verkauf oder die Weitergabe ihrer Daten einzustellen
- Über die Dauer der Datenspeicherung informiert zu werden.
- CPRA führt zusätzliche Verbraucherschutzrechte ein, die der CCPA nicht einbezieht:
- Das Recht, von einem Unternehmen zu verlangen, dass es unrichtige personenbezogene Daten korrigiert
- Das Recht auf Zugang zu Informationen über die automatisierte Entscheidungsfindung (z. B. Profilerstellung) und das Recht, diese abzulehnen.
Wichtig ist, dass ein Unternehmen Verbraucher, die ihre Rechte anwenden, nicht diskriminieren darf.
Überprüfen Sie die Quellen Ihrer Third-Party-Daten
Gemäß dem CPRA ist der Umgang mit gestohlenen Daten eine Straftat. Unternehmen, die Kundendaten von Dritten kaufen, sollten immer darauf achten, dass diese aus einer legitimen Quelle stammen.
Auf Wunsch des Verbrauchers leiten die Unternehmen den Löschantrag an Dritte weiter, die die personenbezogenen Daten des Verbrauchers gekauft oder erhalten haben.
Bereiten Sie ein Verfahren für den Umgang mit Verbraucheranfragen vor
Stellen Sie Nutzern mindestens zwei Optionen für Anfragen bereit. Den Link zu diesen Formularen setzen Sie, zusammen mit dem Text: “Do Not Sell My Personal Information” auf Ihre Homepage.
Passen Sie Ihre interne Datenschutzrichtlinie an
CCPA forderte bereits einen detaillierten, DSGVO-ähnlichen Ansatz für die Datenschutzrichtlinie.
Ihre Datenschutzrichtlinie soll die oben beschriebenen Verbraucherrechte abbilden. Sie soll auch klarstellen:
- Welche Arten von personenbezogenen Daten Sie sammeln
- Wie Sie sie sammeln
- Wo Sie sie verwenden und
- Mit welchen Dritten Sie sie teilen.
CPRA erweitert die Offenlegungspflichten. Sie sind verpflichtet,
- Offenzulegen, ob Sie die gesammelten Daten verkaufen oder weitergeben.
- Die sensiblen personenbezogenen Daten zu identifizieren, die Sie sammeln.
- Festzustellen, wie lange Sie die Daten aufbewahren oder Kriterien offenzulegen, nach denen Sie die Dauer der Aufbewahrung bestimmen.
- Offenzulegen, ob Sie Informationen durch einen auffälligen Hinweis sammeln.
Ergreifen Sie geeignete Sicherheitsmaßnahmen zum Schutz der Daten
Nach dem CPRA ist jedes Unternehmen, das personenbezogene Daten von Verbrauchern sammelt, dazu verpflichtet:
[…] begründete Sicherheitsverfahren und -praktiken einzuführen, die der Art der personenbezogenen Daten angemessen sind, um die personenbezogenen Daten vor unbefugtem oder rechtswidrigem Zugriff, Zerstörung, Verwendung, Änderung oder Offenlegung gemäß Abschnitt 1798.81.5 zu schützen.
Einwohner Kaliforniens haben das Recht, Unternehmen zu verklagen, die ihre Daten verwenden, wenn diese gestohlen oder bei einer Datenschutzverletzung offengelegt wurden. Ferner können sie auch Unternehmen verklagen, die die Sicherheit ihrer Daten vernachlässigen (z. B. weil sie sie nicht verschlüsseln).
Das Gesetz führt auch eine ausschließliche Behörde ein, die CPRA auslegt und reguliert – die California Privacy Protection Agency (CPPA). Sie stellt Leitlinien für die Umsetzung des CPRA bereit. Außerdem untersucht CPPA Verstöße, führt Anhörungen durch und weist den betroffenen Unternehmen die Haftung für Verstöße zu. Entscheidend ist, dass die CPPA die erste Regulierungsbehörde in den USA ist, die sich ausschließlich mit Fragen des Datenschutzes befasst.
Strafen
Das kalifornische Gesetz verhängt auch Strafmaßnahmen gegen Unternehmen, die ihren Pflichten nicht nachkommen. Es sieht folgende Bußgelder vor:
- Im Falle einer Verbraucherklage: 100-750 USD (oder die Kosten des tatsächlichen Schadens, je nachdem, welcher Betrag höher ist) pro Einwohner und Vorfall bei Datenschutzverletzungen oder Datendiebstahl, wenn das Unternehmen die Daten nicht ordnungsgemäß schützte
- Im Falle einer Klage des Generalstaatsanwalts: 2.500 USD pro unbeabsichtigten Verstoß und bis zu 7.500 USD pro vorsätzliche Verletzung des Datenschutzes. In Fällen, in denen Minderjährige involviert sind, beträgt die maximale Geldstrafe 7.500 USD, sowohl für vorsätzliche als auch für unbeabsichtigte Verstöße.
- Beim CPRA haben Unternehmen keine 30-Tage-Frist, um den Verstoß zu beheben, sobald sie über die Nichteinhaltung informiert werden, wie es beim CCPA der Fall war.
PRO TIP
So unterstützt Sie die Piwik PRO Analytics Suite, den Pflichten der CPRA nachzugehen:
- Sie erhalten die volle Kontrolle über gesammelte Daten
- Sie richten schnell Banner ein, die die Besucher informieren, dass Sie ihre Daten erheben und dass sie dieser Datenweitergabe widersprechen und Datenanfragen senden können.
- Sie sammeln und verarbeiten Datenschutzanfragen mit dem Piwik PRO Consent Manager
Zusätzliche Lektüre:
- California Privacy Rights Act (CPRA) – der Volltext (EN)
- California Consumer Privacy Act of 2018 – der Volltext (EN)
Kapitel 3
Virginia Consumer Data Protection Act (CDPA)
Der US-Bundesstaat Virginia verabschiedete den Consumer Data Protection Act (CDPA) am 2. März 2021. Damit ist Virginia nach dem CPPA in Kalifornien der zweite Bundesstaat, der ein umfassendes Datenschutzgesetz erlassen hat. Das Gesetz gibt den Einwohnern von Virginia mehr Kontrolle darüber, wie Unternehmen ihre Daten verwenden und verkaufen. CDPA ist ein sogenanntes „Opt-Out-Gesetz”. Verbraucher sind gezwungen aktiv zu handeln, um dem Sammeln ihrer Daten zu widersprechen.
Kapitel
- Vorwort: DSGVO – Datenschutz-Grundverordnung
- California Privacy Rights Act (CPRA)
- Virginia Consumer Data Protection Act (CDPA)
- Kanadas Consumer Privacy Protection Act (CPPA)
- Neuseelands Privacy Act
- Das brasilianische Lei Geral de Proteção de Dados (LGPD)
- Singapurs Personal Data Protection Act (PDPA)
- Thailands Personal Data Protection Act (PDPA) 2019
- ePrivacy-Verordnung
- Deutsches Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG)
- Chinas Personal Information Protection Law (PIPL)
- Bundesgesetz über den Datenschutz (revDSG) der Schweiz
- Wie bereiten Sie sich auf diese Vorschriften weltweit vor?
Datum des Inkrafttretens: 1. Januar 2023
Wen betrifft das Gesetz?
Das Gesetz gilt für jedes Unternehmen, das in Virginia tätig ist, Produkte oder Dienstleistungen für Einwohner aus Virginia anbietet und die personenbezogenen Daten von mindestens:
- 100.000 Verbrauchern pro Kalenderjahr kontrolliert oder verarbeitet
- 25.000 Verbrauchern kontrolliert oder verarbeitet und mindestens 50 % seines Bruttoumsatzes aus dem Verkauf dieser Daten erzielt
Interessant ist, dass selbst große Unternehmen dem Gesetz nicht unterliegen, wenn sie nicht in eine dieser beiden Kategorien fallen.
Das Gesetz betrifft auch nicht:
- Institutionen, Behörden, Kammern, Büros, Kommissionen, Bezirke oder Agenturen Virginias oder jede politische Unterabteilung Virginias
- Finanzinstitute oder Finanzdienstleister, die dem Gramm-Leach-Bliley Act unterliegen
- Jedes Unternehmen oder Organisation, die dem Health Insurance Portability and Accountability Act (HIPAA) und dem Health Information Technology for Economic and Clinical Health Act (HITECH) unterliegen
- Gemeinnützige Organisationen (einschließlich bestimmter Arten von politischen Organisationen)
- Hochschulen
Diese Schlüsselbegriffe des CDPA wirken sich auch auf den Geltungsbereich des Gesetzes aus (Kapitel 52, § 59.1-571.):
- „Verbraucher“ ist eine natürliche Person, mit Wohnsitz im Commonwealth, die nur im Rahmen einer Einzelperson oder eines Haushalts handelt, was bedeutet, dass das Gesetz beispielsweise keine Arbeitnehmerdaten umfasst.
- „Verkauf personenbezogener Daten“ ist ein Austausch personenbezogener Daten gegen Entgelt durch den Verantwortlichen an einen Dritten, was bedeutet, dass der Austausch von Nutzerdaten gegen nicht monetäre Güter nicht als Verkauf von Daten gilt.
Wie definiert CDPA personenbezogene Daten?
Personenbezogene Daten sind alle Informationen, die mit einer identifizierten oder identifizierbaren natürlichen Person verknüpft oder vernünftigerweise mit dieser verknüpfbar sind (Kapitel 52, § 59.1-571). Das Gesetz enthält keine weiteren Richtlinien zu „vernünftigerweise verknüpfbaren“ Daten. Dies weist darauf hin, dass das Gesetz alle Arten von identifizierbaren Daten über eine Person abdeckt, einschließlich Online-Identifikatoren wie Cookies oder Nutzer-IDs.
Der CDPA schließt jedoch Folgendes von der Definition personenbezogener Daten aus:
- Arbeitnehmerdaten
- Anonymisierte Daten
- Öffentlich verfügbare Informationen
Was sind öffentlich verfügbare Informationen gemäß CDPA?
CDPA definiert öffentlich verfügbare Informationen als alle Daten, die ein Verbraucher oder eine Person, an die diese Informationen weitergegeben wurden, rechtmäßig über Medien veröffentlicht. Dies könnte bedeuten, dass CDPA z. B. die über Social-Media-Profile offengelegten Informationen als öffentlich verfügbar betrachtet.
Was sind sensible Daten?
CDPA legt eine besondere Kategorie personenbezogener Daten fest, die als sensible Daten gelten. Sie umfasst, ist aber nicht beschränkt auf:
- Daten über rassische oder ethnische Herkunft, religiöse Überzeugungen, psychische oder körperliche Gesundheitsdiagnosen, sexuelle Orientierung, Staatsbürgerschaft oder Einwanderungsstatus.
- Genetische oder biometrische Daten, die es ermöglichen, eine Person zu identifizieren.
- Personenbezogene Daten eines Kindes.
- Präzise Geolokalisierungsdaten.
Die Verarbeitung dieser Art von Informationen bringt verschiedene Datenschutzverpflichtungen mit sich, darunter die aktive Zustimmung des Nutzers. Wir werden später darüber sprechen.
Ihre Hauptpflichten unter CDPA
✓ Respektieren Sie Verbraucherrechte
Das CDPA gibt Verbrauchern sechs wichtige Rechte:
- Auskunftsrecht – Auf Anfrage von Verbrauchern legen Sie offen, welche Informationen Sie über sie gesammelt haben.
- Recht auf Berichtigung – Auf Anfrage von Verbrauchern berichtigen Sie die über sie gesammelten Informationen.
- Recht auf Löschung – Auf Anfrage von Verbrauchern löschen Sie alle über sie gesammelten Informationen.
- Recht auf Datenübertragbarkeit – Auf Anfrage von Verbrauchern stellen Sie ihnen eine Kopie der von ihnen gesammelten Daten bereit. Die Kopie sollte in einem tragbaren und leicht verwendbaren Format vorliegen. Dies ermöglicht Verbrauchern, z. B. ihre Daten einfach an verschiedene Institutionen und Unternehmen zu übermitteln.
- Beschwerderecht – Die CDPA gibt Ihnen 45 Tage Zeit Verbraucheranfragen zu bearbeiten. Bei Bedarf verlängern Sie die First um weitere 45 Tage. Vorausgesetzt, Sie informieren die Verbraucher darüber innerhalb des ersten Antwortfensters. Verbraucher legen eine Beschwerde ein, sobald das Unternehmen diese Fristen nicht einhält. Der Generalstaatsanwalt überprüft die Beschwerde der Fahrlässigkeit.
- Widerspruchsrecht – Die Verbraucher haben das Recht, dem Sammeln ihrer Daten, z. B. zur gezielten Werbung, dem Verkauf ihrer Daten oder dem Profiling zu widersprechen und Sie sind verpflichtet die Auswahl zu respektieren. Sie bieten ihnen Hilfsmittel, damit sie dieses Recht ausüben können, z.B. indem Sie ein Opt-Out-Widget auf Ihrer Website platzieren
Diese Regel hat eine wichtige Ausnahme. Wenn Sie mit Informationen arbeiten, die in die Kategorie der sensiblen Daten fallen, benötigen Sie dafür eine aktive Einwilligung des Nutzers. In diesem Fall wenden Sie ein DSGVO- oder LGPD-ähnliches Einwilligungsverfahren an. Lesen Sie diesen Leitfaden, um mehr über bewährte Methoden zum Einholen von Einwilligungen zu erfahren.
✓ Beschreiben Sie in Ihrer Datenschutzerklärung die Methoden, mit denen Sie Daten verarbeiten
Das Gesetz verlangt von Ihnen, Verbraucherdaten transparent zu erheben, zu verarbeiten und weiterzugeben. Erläutern Sie Ihren Website-Besuchern in Ihrer Datenschutzerklärung:
- Welche Kategorien personenbezogener Daten Sie verarbeiten
- Welche Kategorien personenbezogener Daten Sie an Dritte weitergeben
- Mit welchen Drittparteien Sie personenbezogene Daten teilen
- Zu welchen Zwecken Sie personenbezogene Daten verarbeiten
- Wie Sie Verbrauchern verhelfen, ihre Rechte auszuüben (z. B. Recht auf Löschung oder Berichtigung ihrer Daten, Auskunftsrecht)
✓ Verwenden und sammeln Sie Daten nur in begrenztem Umfang
Beschränken Sie den Umfang der gesammelten Daten auf das, was angemessen, relevant und vernünftigerweise notwendig in Bezug auf die Zwecke ist, für die die Daten verarbeitet werden. Verwenden Sie Verbraucherdaten nur auf jene Art und Weise, die Sie in Ihrer Datenschutzrichtlinie beschreiben, es sei denn, Sie haben eine aktive Einwilligung des Nutzers für neue Zwecke des Datengebrauchs.
✓ Wenden Sie technische Schutzmaßnahmen für Ihre Daten an
Führen Sie einen Prozess ein, der gewährleistet, dass personenbezogene Daten vertraulich, unversehrt und zugänglich bleiben. Das Gesetz enthält jedoch keine spezifischen Angaben zu den bevorzugten Methoden.
✓ Führen Sie Datenschutzbewertungen durch
Führen Sie Datenschutzkontrollen durch, die Ihnen helfen, potenzielle Risiken der Datenverarbeitung abzuschätzen. Eine umfassende Liste der Aktivitäten finden Sie hier.
✓ Unterzeichnen Sie Auftragsverarbeitungsverträge mit jeder Partei, die Daten in Ihrem Namen verarbeitet
Schließen Sie mit jeder Partei, die Zugriff auf die von Ihnen erfassten Verbraucherdaten hat, einen Auftragsverarbeitungsvertrag ab (auch Data Processing Agreement genannt). Die wichtigsten Informationen in diesem Dokument sind:
- Klare Vorgaben zur Verarbeitung der Daten
- Art und Zweck des Prozesses
- Die Art der verarbeiteten Daten
- Die Dauer der Verarbeitung
- Rechte und Pflichten beider Parteien
PRO TIP
So unterstützt Sie die Piwik PRO Analytics Suite, den Pflichten des CDPA nachzugehen:
- Sie erhalten volle Kontrolle über die gesammelten Daten und verlassen sich darauf, dass wir sie nicht für unsere eigenen Zwecke verwenden.
- Sie richten schnell Banner ein, die die Besucher informieren, dass Sie ihre Daten sammeln und dass sie diese Datenweitergabe widersprechen und Datenanfragen senden können.
- Dank des integrierten Consent und Tag Managers passen Sie ihre Tracking-Methoden an die Wünsche der Besucher an
Strafen bei fehlender Compliance
Der CDPA befugt Verbraucher nicht, eine private Klage einzureichen. Bußgelder verhängt der Generalstaatsanwalt und belegt sie mit einer 30-tägigen Behebungsfrist. Wenn die Organisation nach dieser Zeit immer noch gegen das Gesetz verstößt, kann sie mit Geldstrafen von bis zu 7.500 USD pro Verstoß rechnen.
Kapitel 4
Kanadas Consumer Privacy Protection Act (CPPA)
Am 16. Juni 2022 brachte die kanadische Bundesregierung den lang erwarteten Digital Charter Implementation Act 2022, bekannt als Bill C-27, ein. Es handelt sich dabei um eine Wiederaufnahme von Bill C-11. Der Gesetzentwurf wurde erstmals im Jahr 2020 eingebracht und im Jahr 2021 scheiterte er an der Tagesordnung aufgrund der Bundeswahlen. Der Gesetzgeber übernahm einen wesentlichen Teil des Bill C-11 in den Bill C-27.
Kapitel
- Vorwort: DSGVO – Datenschutz-Grundverordnung
- California Privacy Rights Act (CPRA)
- Virginia Consumer Data Protection Act (CDPA)
- Kanadas Consumer Privacy Protection Act (CPPA)
- Neuseelands Privacy Act
- Das brasilianische Lei Geral de Proteção de Dados (LGPD)
- Singapurs Personal Data Protection Act (PDPA)
- Thailands Personal Data Protection Act (PDPA) 2019
- ePrivacy-Verordnung
- Deutsches Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG)
- Chinas Personal Information Protection Law (PIPL)
- Bundesgesetz über den Datenschutz (revDSG) der Schweiz
- Wie bereiten Sie sich auf diese Vorschriften weltweit vor?
Falls verabschiedet, wird der Bill C-27 folgende neue Gesetze schaffen:
- Den Consumer Privacy Protection Act (CPPA), das wichtigste Datenschutzgesetz, das den Personal Information Protection and Electronic Documents Act (PIPEDA) ersetzen wird (wie es auch Bill C-11 vorsieht)
- Den Personal Information and Data Protection Tribunal Act (das Gesetz zum Schutz personenbezogener Informationen und Daten), der ein neues Gericht schaffen wird. Das Gericht übernimmt die derzeitige Rolle des Bundesgerichts im Rahmen des PIPEDA und ermöglicht ein neues Sanktionssystem, wie es auch Bill C-11 vorsieht.
- Das Gesetz über künstliche Intelligenz und Daten (Artificial Intelligence and Data Act), das einen Neuzugang zu Bill C-27 im Vergleich zu Bill C-11 darstellt und nicht genau in den CPPA/Tribunal-Rechtsrahmen passt.
Datum des Inkrafttretens: Unbekannt. Das Gesetz befindet sich derzeit im Entwurfsstadium.
Was sind personenbezogene Daten gemäß CPPA?
Das neue Gesetz behält die in PIPEDA festgelegte Definition von personenbezogenen Daten bei. Unter dem CPPA sind personenbezogene Daten alle Informationen über eine identifizierbare natürliche Person, lebend oder verstorben zusammengefasst. Sie umfassen:
- Alter, Name, ID-Nummern, Einkommen, ethnische Herkunft oder Blutgruppe
- Meinungen, Bewertungen, Kommentare, sozialer Status oder Disziplinarmaßnahmen
- Personalakten, Kreditunterlagen, Darlehensunterlagen, Krankenakten, Bestehen einer Streitigkeit zwischen einem Verbraucher und einem Händler, Absichten (z. B. zum Erwerb von Waren oder Dienstleistungen oder zum Arbeitsplatzwechsel)
[Quelle]
Wer ist vom CPPA betroffen?
CPPA-Vorgaben gelten für jede Organisation, die:
- Personenbezogene Daten für kommerzielle Zwecke sammelt, verarbeitet und weitergibt.
- Personenbezogene Daten von Mitarbeitern und Stellenbewerbern sammelt, verarbeitet und weitergibt.
CPPA gilt nicht für:
- Staatliche Organisationen, die unter den Privacy Act fallen.
- Personenbezogene Daten, die für journalistische, künstlerische und literarische Zwecke verwendet werden.
- Personenbezogene Daten, die für persönliche Zwecke verwendet werden.
- Personenbezogene Daten, die in Bezug auf Beschäftigung, Geschäftsaktivität oder Beruf verwendet werden.
Ihre Hauptaufgaben unter CPPA
✓ Übernehmen Sie die Verantwortung für die gesammelten Daten
Der CPPA macht Ihre Organisation verantwortlich für die Sicherheit der personenbezogenen Daten, unabhängig davon, ob Sie oder andere Personen in Ihrem Namen die Daten sammeln, verwalten oder weitergeben.
Sie sind verpflichtet, personenbezogene Daten durch physische, organisatorische und technologische Sicherheitsvorkehrungen zu schützen. Sie sollen dabei das Schutzniveau an die Sensibilität der Daten anpassen. Außerdem sind Sie verpflichtet, „angemessene Maßnahmen zu ergreifen, um die Identität der Person, auf die sich die personenbezogenen Daten beziehen, zu bestätigen“.
Sie sind auch verpflichtet, eine Person zu beauftragen, die die Erfüllung der Datenschutzpflichten verantwortet und deren Kontaktdaten Sie offenlegen, z. B. in Ihrer Datenschutzerklärung oder auf Anfrage eines Besuchers.
✓ Holen Sie Einwilligungen ein
Holen Sie sinnvole Einwilligungen ein, um personenbezogene Daten der Nutzer zu erheben, zu verwalten und weiterzugeben. Informieren Sie mit der Aufforderung Ihre Besucher ordnungsgemäß über deren Optionen in einfacher Sprache.
Die Einwilligungsaufforderung kommt in zwei Formen vor:
- Implizite Form – Sie informieren die Nutzer, dass Sie ihre personenbezogenen Daten erheben und ermöglichen ihnen ein Opt-out-Verfahren
- Explizite Form – Sie holen eine aktive Einwilligung der Nutzer ein, bevor Sie anfangen, Daten zu tracken
Ihre Wahl der impliziten oder expliziten Einwilligung hängt von der Art der personenbezogenen Daten ab. Während sensiblere Daten eine aktive Einwilligung erfordern, können Sie sich bei weniger sensiblen Daten auf die stillschweigende Einwilligung verlassen. Denken Sie daran, dass das Dokumentieren von Einwilligungen (eine Pflicht gemäß CPPA) bei expliziten Einwilligungen viel einfacher ist als bei solchen, die auf Untätigkeit der Nutzer beruhen.
Es gibt einige Ausnahmen, für die Sie keine Einwilligung benötigen:
- Wenn Sie Daten an Dienstleistungsanbieter übermitteln
- Wenn Sie personenbezogener Daten für interne Forschung, Analyse und Entwicklung verwenden, sofern die Daten anonymisiert werden
- Bei definierten Geschäftstätigkeiten, wenn eine vernünftige Person die Erfassung oder Verwendung für eine solche Tätigkeit erwarten würde und die personenbezogenen Daten nicht zu dem Zweck erfasst oder verwendet werden, das Verhalten oder die Entscheidungen der Person zu beeinflussen
- Wenn ein berechtigtes Interesse besteht, das die möglichen nachteiligen Auswirkungen auf die Person überwiegt
Unabhängig davon, für welche Art der Einwilligung Sie sich entscheiden, stellen Sie sicher, dass Ihre Nachricht an Besucher folgende Informationen enthält:
- Wege und Zwecke, für die Sie personenbezogene Daten erheben, verwalten und weitergeben.
- Konsequenzen der Erhebung, Verwendung oder Weitergabe der personenbezogenen Daten.
- Arten von personenbezogenen Daten, die Sie sammeln, verwalten und weitergeben.
- Die Namen von Drittparteien, mit denen Sie die personenbezogenen Daten der Nutzer teilen.
Denken Sie ebenfalls an das Recht der Nutzer, die Einwilligung zu widerrufen. Sie sollten ihnen auf einfache Art und Weise ermöglichen, ihre Meinung zu ändern, z. B. über ein Kontaktformular oder eine E-Mail-Adresse auf Ihrer Datenschutzseite. Falls Sie einen Antrag auf Widerruf der Einwilligung erhalten, informieren Sie den Nutzer über die Folgen des Widerrufs und hören so schnell wie möglich auf, Daten zu erheben, zu verwenden oder weiterzugeben.
✓ Beachten Sie Rechte der Nutzer auf Datenübertragbarkeit und Löschung
Unter dem CPPA haben Nutzer das Recht:
- Ihre personenbezogenen Daten zwischen Organisationen, z. B. Banken oder Versicherungsanbietern zu übertragen
- Die Löschung ihrer personenbezogenen Daten anzufordern
✓ Denken Sie an Datenschutz-Managementprogramme und Transparenz
Unternehmen sind verpflichtet, transparente Prozesse für den Umgang mit personenbezogenen Daten zu haben. Jede Organisation bereitet Materialien vor, in denen sie beschreibt:
- Wie sie personenbezogene Daten schützt
- Wie sie mit Informationsanfragen und Beschwerden umgeht
- Wie sie andere durch das Gesetz bestimmte Pflichten erfüllt
- Welche Schulungen und Informationen sie ihren Mitarbeitern bereitstellt
Aktualisieren Sie auch Ihre interne Datenschutzrichtlinie, damit sie klar beschreibt, welche Arten von personenbezogenen Daten Sie sammeln und wie Sie diese verarbeiten. Verfassen Sie die Datenschutzerklärung in einfacher und verständlicher Sprache.
✓ Dokumentieren Sie das Einholen von Einwilligungen und Ihre Datenschutzrichtlinien
Ihre Organisation ist verpflichtet, Einwilligungen und die Zwecke, für die sie Daten sammeln, verwalten und weitergeben, zu dokumentieren. Wenn Sie sich entscheiden, Daten für einen neuen Zweck zu nutzen, holen Sie eine separate Einwilligung ein, dokumentieren Sie sie und fügen diese den Unterlagen hinzu.
Diese Daten bewahren Sie in leicht zugänglicher Form auf. Im Falle einer Kontrolle durch Datenschutzbehörden, stellen Sie Informationen, die die Datenschutzrichtlinien und -praktiken der Organisation in verständlicher Sprache erläutern, sowie die Einwilligungserklärungen bereit.
✓ Erwägen Sie, mit anonymisierten Daten zu arbeiten
Der CPPA legt keine Definition von anonymisierten Informationen fest. Stattdessen beschreibt er den Prozess der Datenanonymisierung:
Anonymisierung bedeutet, personenbezogene Daten zu modifizieren – oder Informationen aus personenbezogenen Daten zu erstellen – indem technische Verfahren eingesetzt werden, um sicherzustellen, dass die Informationen keine Person identifizieren oder unter vernünftigerweise vorhersehbaren Umständen allein oder in Kombination mit anderen Informationen nicht zur Identifizierung eines Individuums verwendet werden können.
Laut Gesetz benötigen Sie keine Einwilligung der Besucher, um anonymisierte Daten zu sammeln.
Der CPPA beinhaltet auch das Konzept der anonymisierten Daten. Anonymisierung bedeutet, dass personenbezogene Daten im Einklang mit allgemein anerkannten bewährten Praktiken unwiderruflich und dauerhaft verändert werden, um sicherzustellen, dass keine Person anhand der Daten identifiziert werden kann, weder direkt noch indirekt. Es heißt jedoch, dass anonymisierte Daten nicht in den Anwendungsbereich des CPPA fallen.
✓ Erwägen Sie, mit anonymisierten Daten zu arbeiten
Der Bill C-27 betrachtet die personenbezogenen Daten von Minderjährigen als sensibel. Eltern oder Erziehungsberechtigte können die Rechte (einschließlich der Einwilligung) im Namen ihres Kindes ausüben. Das Kind kann jedoch ihre Genehmigung ablehnen. Außerdem haben Kinder mehr Rechte auf die Löschung ihrer personenbezogenen Daten.
CPPA: Welche Strafen gibt es bei Verstößen?
Die Geldbußen für die fehlende Compliance betragen bis zu 10 Millionen US-Dollar oder bis zu 3 % des weltweiten Umsatzes. Das Gesetz sieht auch höhere Strafen für schwerwiegende und vorsätzliche Verstöße vor, bis zu 25 Millionen US-Dollar oder 5 % des weltweiten Umsatzes.
Wichtig ist, dass Verbraucher dem CPPA nach ein privates Klagerecht erhalten. Sie können Unternehmen verklagen, die ihre Daten in einer gegen das Gesetz verstoßender Weise verwenden.
PRO TIP
So unterstützt Sie die Piwik PRO Analytics Suite, Pflichten des CPPA nachzugehen:
- Verwenden Sie den Consent Manager, der sich nahtlos in Analytics, Tag Manager und CDP integriert
- Sammeln und verarbeiten Sie Nutzeranfragen
- Sammeln Sie Daten mit einem 30-Minuten-Cookie oder ohne Cookies, sobald die Besucher der Sammlung personenbezogener Daten nicht zustimmen
- Erhalten Sie die volle Kontrolle über die gesammelten Daten und verlassen Sie sich darauf, dass wir die Daten nicht für unsere eigenen Zwecke verwenden
- Nutzen Sie sichere Datenspeicherung in einer Public Cloud oder Private Cloud
Zusätzliche Lektüre:
Kapitel 5
Neuseelands Privacy Act
Neuseelands neuer Privacy Act ersetzte den veralteten Rechtsakt. Das Gesetz setzt Vorschläge der Law Commission aus dem Jahr 2011 um. Sie deckten ein breites Spektrum von Themen ab, darunter: nen extraterritorialen Geltungsbereich des Gesetzes, neue obligatorische Meldepflichten bei Datenschutzverletzungen, Änderungen an den „Compliance Notices“ als einem wichtigen Durchsetzungsinstrument des Office of the Privacy Commissioner, bearbeitete Regeln für Zugriffsanfragen der betroffenen Personen, Limits für die grenzüberschreitenden Transfers personenbezogener Daten und die allgemeine Durchsetzungsregelung.
Kapitel
- Vorwort: DSGVO – Datenschutz-Grundverordnung
- California Privacy Rights Act (CPRA)
- Virginia Consumer Data Protection Act (CDPA)
- Kanadas Consumer Privacy Protection Act (CPPA)
- Neuseelands Privacy Act
- Das brasilianische Lei Geral de Proteção de Dados (LGPD)
- Singapurs Personal Data Protection Act (PDPA)
- Thailands Personal Data Protection Act (PDPA) 2019
- ePrivacy-Verordnung
- Deutsches Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG)
- Chinas Personal Information Protection Law (PIPL)
- Bundesgesetz über den Datenschutz (revDSG) der Schweiz
- Wie bereiten Sie sich auf diese Vorschriften weltweit vor?
Datum des Inkrafttretens: 1. Dezember 2020
Der Anwendungsbereich
Das Gesetz gilt für jedes Unternehmen, das Daten von Einwohnern Neuseelands verwaltet, auch wenn es nicht physisch im Land ansässig ist. Fast jede Person oder Organisation, die Kontrolle über personenbezogene Daten behält, ist laut Gesetz eine „Agentur“ (agency). Der Rechtsakt betrifft also alle Regierungsabteilungen, Unternehmen sowie religiöse Gruppen, Schulen und Vereine
Wie es personenbezogene Daten definiert?
Personenbezogene Daten sind Informationen über eine identifizierbare, lebende Person. Dazu gehören Namen, E-Mail-Adressen und biometrische Daten, sowie:
- IP-Adressen
- Eindeutige IDs
- Such- und Browserverlauf
- Daten zu Geräten, Betriebssystemen, Updates etc.
- Standortdaten
- Kauf- und Online-Shopping-Historie
- Einstellungen und Website-Präferenzen
- Verhaltensdaten, wie Scrollgeschwindigkeit, Bewegen der Maus und des Mauszeigers
Dies bedeutet, dass das Gesetz auch Marketingtools betrifft, die mit eindeutigen Identifikatoren und Cookies arbeiten (z. B. Analyticsplattformen, Customer Data Plattformen oder CRM).
Wesentliche Pflichten und Vorschriften
- Informieren Sie betroffene Personen über die Erhebung ihrer Daten. Sie sind verpflichtet, die Nutzer zu benachrichtigen und zu informieren, dass Sie ihre Daten sammeln, verwalten und weitergeben. Die Anzeige kann viele Formen annehmen, z. B. ein Datenschutzhinweis mittels Banner an der Unterseite Ihrer Website.
- Beachten Sie die Rechte betroffener Personen. Gemäß dem neuseeländischen Datenschutzgesetz haben betroffene Personen ein Recht auf Zugang und Berichtigung von Daten, die Unternehmen über sie sammeln.
- Benachrichtigen Sie die Behörden über Datenschutzverletzungen. Wenn ein Verstoß gegen das Datenschutzrecht eine definierte Schwelle erreicht, muss eine “Agentur” darüber sowohl die betroffene Person als auch den Datenschutzbeauftragten informieren.
- Seien Sie vorsichtig bei grenzüberschreitenden Datenübertragungen. Das Gesetz führt ein neues Verbot der Weitergabe personenbezogener Daten an das Ausland ein. Ein Unternehmen oder eine Organisation darf personenbezogene Daten nur dann an eine andere Organisation außerhalb Neuseelands weitergeben, wenn es sich vergewissert, dass der Empfänger:
- Dem Privacy Act unterliegt, weil er in Neuseeland tätig ist
- Die Daten angemessen schützt
- Datenschutzgesetzen unterliegt, die vergleichbare Garantien wie der Privacy Act bieten
- Die Erlaubnis der betroffenen Person zur Weitergabe einholt
Wie Sie sehen, zielt das Gesetz zwar darauf ab, den Informationsfluss über Nutzer zwischen Ländern und Unternehmen zu regeln. Es ist aber nicht so stark wie die DSGVO und andere moderne Datenschutzgesetze. Zum einen schafft es keinen Rahmen, der Internetnutzern die Möglichkeit gibt, dem Tracken ihrer Daten zuzustimmen oder zu widersprechen. Außerdem gibt das Gesetz betroffenen Personen nicht das Recht, vergessen zu werden oder das Recht auf Datenübertragbarkeit. Und schließlich gibt es dem Datenschutzbeauftragten nicht die Möglichkeit, Verstöße gegen den Datenschutz mit Geldstrafen zu belegen, wie dies bei der DSGVO oder der CCPA der Fall ist.
Strafen
Der Gesetzentwurf führt neue Straftatbestände ein. Eine Person macht sich strafbar, wenn sie:
- Falsche oder irreführende Aussagen macht
- Fälschlich angibt, dass eine Person gemäß dem Privacy Act befugt ist
- Sich als eine Privatperson ausgibt oder fälschlich vorgibt, eine Privatperson zu sein, um Zugang zu personenbezogenen Daten einer betroffenen Person zu erhalten
- Wissentliche Dokumente mit personenbezogenen Daten vernichtet, die Gegenstand einer Anfrage sind
Jede Person, die eine der oben genannten Straftaten begeht, unterliegt einer Geldstrafe von bis zu 10.000 US-Dollar.
PRO TIP
So unterstützt Sie die Piwik PRO Analytics Suite, Pflichten des Neuseelands Privacy Bill nachzugehen:
- Sammeln und verarbeiten Sie Nutzeranfragen für Datenzugriff und Berichtigung mit dem integrierten Consent Manager
- Speichern Sie die gesammelten Daten in einer sicheren Public Cloud oder Private Cloud
Zusätzliche Lektüre:
Kapitel 6
Das brasilianische Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD) schafft einen neuen Rechtsrahmen für die Verarbeitung personenbezogener Daten in Brasilien, online und offline, im privaten und öffentlichen Sektor. LGPD ist das erste umfassende brasilianische Datenschutzgesetz, das sich weitgehend an die DSGVO anlehnt. Beide beruhen auf verwandten Konzepten, darunter die Einwilligung und solide Rechte betroffener Personen.
Kapitel
- Vorwort: DSGVO – Datenschutz-Grundverordnung
- California Privacy Rights Act (CPRA)
- Virginia Consumer Data Protection Act (CDPA)
- Kanadas Consumer Privacy Protection Act (CPPA)
- Neuseelands Privacy Act
- Das brasilianische Lei Geral de Proteção de Dados (LGPD)
- Singapurs Personal Data Protection Act (PDPA)
- Thailands Personal Data Protection Act (PDPA) 2019
- ePrivacy-Verordnung
- Deutsches Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG)
- Chinas Personal Information Protection Law (PIPL)
- Bundesgesetz über den Datenschutz (revDSG) der Schweiz
- Wie bereiten Sie sich auf diese Vorschriften weltweit vor?
Datum des Inkrafttretens: 18. September 2020
Der Anwendungsbereich
Wie die DSGVO in der EU hat die LGPD extraterritoriale Anwendung. Es bedeutet, dass das Gesetz jedes Unternehmen betrifft, das:
- Daten innerhalb des brasilianischen Hoheitsgebiets verarbeitet
- Daten von Personen verarbeitet, die sich auf dem brasilianischen Staatsgebiet befinden, unabhängig davon, wo sich der Datenverarbeiter befindet
- Die in Brasilien erhobenen Daten verarbeitet.
Wie es personenbezogene Daten definiert?
Ähnlich wie bei der DSGVO umfasst die Definition der personenbezogenen Daten:
[Alle] Daten, isoliert oder aggregiert, die eine natürliche Person identifizieren oder sie einer bestimmten Handlung ausüben lassen (diese Interpretation scheint sich nach einer umfassender Lektüre des Textes aufzudrängen). In Zeiten von Big Data, die eine schnelle Korrelation von großen, strukturierten und unstrukturierten Datenbanken ermöglichen, können praktisch alle Daten irgendwann als personenbezogen gelten und unterliegen somit dem Gesetz.
Hauptpflichten
Das LGPD teilt viele Merkmale mit der DSGVO, ist aber nicht identisch. Sehen wir uns die wichtigsten Prinzipien an:
- Wählen Sie zwischen 10 rechtmäßigen Gründen für die Verarbeitung von Daten. Abgesehen von den sechs Grundlagen der DSGVO für die rechtmäßige Verarbeitung legt das LGPD einige zusätzliche, spezifische Grundlagen fest. Das brasilianische Gesetz führt vier neue Optionen ein, darunter die Durchführung von Forschungsstudien, medizinische Verfahren, Kreditschutz und Gerichtsverfahren.
- Holen Sie Einwilligungen ein. LGPD behandelt die Einwilligung als freiwillig erteilte, informierte und eindeutige Angabe der Zustimmung der betroffenen Personen zur Datenverarbeitung. Das Gesetz verwendet ein Opt-in-Modell für die Einwilligung. Es bedeutet, dass Sie Daten erst dann erheben oder verarbeiten dürfen, wenn der Nutzer dem zustimmt.
- Beachten Sie die Rechte der betroffenen Personen. Die LGPD führt neue Rechte für betroffene Personen ein, wie z. B. das Recht auf Auskunft, das Recht auf Berichtigung, Löschung oder Ausschluss von Daten, das Recht, der Verarbeitung zu widersprechen, das Recht, eine zuvor erteilte Einwilligung zu widerrufen, das Recht auf Information und Erklärung bezüglich der Verwendung von Daten sowie das Recht auf Datenübertragbarkeit. Außerdem wird ein relativ kurzer Zeitrahmen für die Bearbeitung von Anträgen betroffener Personen, die sich aus diesen Rechten ergeben, festgelegt (15 Tage gegenüber einem Monat gemäß der Datenschutz-Grundverordnung).
- Benachrichtigen Sie die Behörden über Datenschutzverstöße. Meldungen über Datenschutzverstöße an die Datenschutzbehörde werden obligatorisch, müssen aber innerhalb eines „angemessenen Zeitrahmens“ erfolgen, nicht innerhalb von 72 Stunden wie nach der DSGVO.
- Weisen Sie einen Datenschutzbeauftragten zu. Ähnlich wie die DSGVO führt LGPD die Pflicht ein, einen Datenschutzbeauftragten (DSB) zu benennen. Ein Unternehmen oder eine Organisation, die Daten verarbeitet und unter die LGDP fällt, ernennt einen Beauftragten, der die Kommunikation zwischen Gesetzgebern und betroffenen Personen durchführt.
- Folgen Sie die Grundsätze des Datenschutzes mit Privacy by Design und Privacy by Default. Gestalten Sie Dienstleistungen, Produkte und Geschäftsmodelle im Hinblick auf die Privatsphäre und Datenschutzrechte. Berücksichtigen Sie die allgemeinen Prinzipien der LGPD und Sicherheitsstandards von der Idee bis zur Umsetzung eines Produkts oder einer Dienstleistung.
- Beachten Sie die 10 Grundsätze der Verarbeitung personenbezogener Daten, darunter:
- Zweckbindung
- Angemessenheit
- Notwendigkeit
- Datenqualität
- Transparenz
- Sicherheit
- Gleichbehandlung
- Genauigkeit
- Vorsorge
- Grundsatz der Rechenschaftspflicht
Umsetzbare Schritte
Wenn Sie bereits DSGVO-konform agieren, erfüllen Sie den Löwenanteil der Vorschriften der LGPD. Es gibt jedoch wichtige Unterschiede, die Sie beachten sollten. Sie betreffen einen kürzeren Zeitraum, in dem Sie Anfragen betroffener Personen verarbeiten und zusätzliche Rechtsgrundlagen für die Datenverarbeitung. Dennoch scheint auch im Fall von LGDP die Einwilligung als die beste Grundlage für Marketing- und Vertriebsaktivitäten.
Strafen
Die Strafen umfassen Mahnungen und Geldbußen. Sie machen nicht mehr als zwei Prozent des Umsatzes des Unternehmens in Brasilien im letzten Geschäftsjahr aus, insgesamt sind jedoch auf 50 Millionen Real (ca. 13.305.657 USD) pro Verstoß begrenzt. Das LGDP sieht auch eine tägliche Geldstrafe vor, um diejenigen zu zwingen, die gegen das Gesetz verstoßen, das Verhalten einzustellen.
PRO TIP
So unterstützt Sie die Piwik PRO Analytics Suite, Pflichten des LGDP nachzugehen:
- Verwenden Sie den Consent Manager, der sich nahtlos in Analytics, Tag Manager und CDP integriert
- Sammeln und verarbeiten Sie Benutzeranfragen
- Sammeln Sie einige Daten mit einem 30-Minuten-Cookie oder ohne Cookies, wenn die Besucher der Erfassung ihrer personenbezogenen Daten nicht zustimmen
- Speichern Sie Daten in einer sicheren Public Cloud oder Private Cloud
- Erhalten Sie die volle Kontrolle über die gesammelten Daten und verlassen Sie sich darauf, dass wir die Daten nicht für unsere eigenen Zwecke verwenden
Zusätzliche Lektüre:
Kapitel 7
Singapurs Personal Data Protection Act (PDPA)
Das Gesetz zum Schutz personenbezogener Daten (PDPA) in Singapur trat 2014 in Kraft. Der Gesetzgeber änderte den Rechtsakt im Laufe der Zeit, zuletzt im Jahr 2021. Das Gesetz enthält nun einen soliden Rahmen für die Einwilligung und präzisere Regeln für Offshore-Datentransfers. Mit diesen Änderungen wurde es zu einem der strengsten Datenschutzgesetze in Südostasien.
Kapitel
- Vorwort: DSGVO – Datenschutz-Grundverordnung
- California Privacy Rights Act (CPRA)
- Virginia Consumer Data Protection Act (CDPA)
- Kanadas Consumer Privacy Protection Act (CPPA)
- Neuseelands Privacy Act
- Das brasilianische Lei Geral de Proteção de Dados (LGPD)
- Singapurs Personal Data Protection Act (PDPA)
- Thailands Personal Data Protection Act (PDPA) 2019
- ePrivacy-Verordnung
- Deutsches Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG)
- Chinas Personal Information Protection Law (PIPL)
- Bundesgesetz über den Datenschutz (revDSG) der Schweiz
- Wie bereiten Sie sich auf diese Vorschriften weltweit vor?
Datum des Inkrafttretens: 1. Februar 2021
Der Anwendungsbereich
PDPA regelt, wie Unternehmen und Organisationen personenbezogene Daten in Singapur sammeln, nutzen und weitergeben. Es macht Website-Besitzer, Unternehmen und Organisationen für den Aufbau eines rechtmäßigen Datenerhebungsprozesses verantwortlich.
Das Gesetz wirkt extraterritorial, d. h. es gilt für jedes Unternehmen, das mit Daten von Einwohnern Singapurs umgeht.
Der PDPA betrifft private Organisationen, die personenbezogene Daten erheben, verwalten und/oder weitergeben. Aber es gibt einige Ausnahmen, wie zum Beispiel:
- Personen, die Daten für ihre persönlichen Zwecke verwenden
- Arbeitnehmer im Rahmen ihrer Beschäftigung bei einer Organisation
- Öffentliche und staatliche Stellen, da sie ihre eigenen Datenschutzregeln haben
Wie PDPA personenbezogene Daten definiert?
Personenbezogene Daten in PDPA sind ein sehr weit gefasster Begriff. Er umfasst Daten, ob wahr oder nicht, über eine Person, die anhand dieser Daten oder anhand dieser Daten und anderer Informationen, auf die die Organisation Zugriff hat oder vermutlich haben könnte, identifiziert werden kann. Zu personenbezogenen Daten gehören:
- Namen, Adressen, E-Mail-Adressen, Telefonnummern
- IP-Adressen, Cookie-Kennungen, eindeutige IDs, Suchverlauf, Browserverlauf, Gerätedaten, Standortdaten
- Angaben zu Alter, Geschlecht, Rasse, Gesundheitszustand, sexueller Orientierung, Aussehen, politischen und religiösen Überzeugungen
Auch Marketingtools, die mit eindeutigen IDs und Cookies arbeiten (wie Analyticsplattformen), unterliegen dem Gesetz. Ihr Gebrauch zum Tracken der Aktivitäten von Einwohnern Singapurs erfordert eine vorherige Einwilligung, mit Ausnahme von Cookies, die für das ordnungsgemäße Funktionieren der Website erforderlich sind.
Ihre wichtigsten Pflichten gemäß PDPA
✓ Holen Sie Einwilligung der betroffenen Personen ein, um ihre personenbezogenen Daten zu verarbeiten
Eine der wesentlichen Pflichten im Rahmen von PDPA besteht darin, dass Sie Einwilligung des Besuchers benötigen, um seine Daten zu erheben. Die Zustimmung kann einen bejahenden oder stillschweigenden Charakter haben. Die stillschweigende Einwilligung (deemed consent, Art. 15 PDPA) bedeutet, dass Sie die Nutzer über die Datensammlung informieren und ihnen ermöglichen, es abzulehnen, aber die Nutzer tun es nicht. Die bejahende Einwilligung ähnelt der DSGVO – sie erfordert eine aktive Einwilligung der Besucher.
Die stillschweigende Einwilligung kann als praktischerer Weg erscheinen, um mit den von der PDPA auferlegten Pflichten umzugehen. Gemäß den Beratungsleitfäden zu Schlüsselbegriffen im PDPA birgt dieser Ansatz jedoch mehr Risiken und Verbindlichkeiten:
Die Kommission empfiehlt, dass Organisationen die Einwilligung einer betroffenen
Person durch eine positive Aktion der Person einholen, indem sie zustimmt, dass ihre personenbezogenen Daten zu den genannten Zwecken gesammelt und weitergegeben werden. Wenn eine Organisation beabsichtigt, den Opt-out-Ansatz bei der Suche nach der Einwilligung zu übernehmen, sollte die Organisation die Risiken berücksichtigen, dass sie der Mitteilungspflicht und Einwilligungspflicht nicht nachkommen könnte.
Der Gesetzgeber erweiterte den Geltungsbereich der „stillschweigenden Einwilligung“ um folgende Umstände:
- Die Erhebung, Verwendung oder Weitergabe personenbezogener Daten sind vernünftigerweise notwendig, um einen Vertrag oder eine Transaktion zu erfüllen oder abzuschließen.
- Die Nutzer wurden über den Zweck der beabsichtigten Erhebung, Verwendung oder Weitergabe ihrer personenbezogenen Daten informiert. Sie hatten auch eine angemessene Möglichkeit, dem zu widersprechen, trotzdem haben sie dies nicht getan.
Zu den anderen Regeln zum Einholen rechtmäßiger Einwilligungen gehört das Informieren der Nutzer über:
- Ihre Absicht, ihre Daten zu verarbeiten, bevor Sie anfangen, die Daten zu sammeln
- Die Zwecke der Verarbeitung
- Ihr Recht, die Einwilligung jederzeit zu widerrufen
Schließlich ist es Ihnen nicht erlaubt, Nutzer zur Einwilligung zu zwingen, indem Sie den Zugriff auf ein Produkt oder eine Dienstleistung einschränken.
Einige Organisationen, die personenbezogene Daten verarbeiten, können sich auf die Ausnahme aufgrund berechtigter Interessen oder Zwecke der Geschäftsverbesserungberufen. Erfahren Sie mehr darüber in den Beratungsleitfäden der Datenschutzkommission von Singapur.
✓ Respektieren Sie Besucherrechte
Auf Wunsch eines Nutzers:
- Informieren Sie Nutzer, welche personenbezogenen Daten gesammelt werden
- Geben Sie an, wie Sie seine personenbezogenen Daten innerhalb eines Jahres vor der Anfrage verwendeten
- Stellen Sie eine tragbare und übertragbare Kopie der personenbezogenen Daten bereit
- Berichtigen Sie Fehler oder Lücken in den personenbezogenen Daten
Gemäß PDPA, wenn Sie nicht vermögen, die Zugangsanfrage eines Kunden innerhalb von 30 Tagen zu beantworten, erhalten Sie weitere 30 Tage, um diese Pflicht zu erfüllen. Danach drohen Ihnen Geldbußen wegen PDPA-Verstößen.
✓ Begrenzen Sie Ihre Datensammlung
Ihre Organisation darf personenbezogene Daten nur für die Zwecke erheben, verwalten und weitergeben, denen die Besucher zustimmen. Außerdem bewahren Sie die Daten nur so lange auf, wie Sie sie für einen bestimmten Zweck verwenden, und danach sofort löschen.
✓ Begrenzen Sie Datenübertragungen
Unter PDPA dürfen Sie die personenbezogenen Daten der Nutzer ins Ausland übertragen. Aber das Land, in dem Sie sie behalten, muss einen Schutzstandard bieten, der mit dem von Singapur vergleichbar ist. Dies macht es praktisch unmöglich, die Daten in Länder wie die USA zu senden, wo nationale Sicherheitsbehörden Nutzerdaten überwachen dürfen. Dies unterminiert die Rechtmäßigkeit des Gebrauchs von solchen Plattformen wie Google Analytics, das Benutzerdaten an vielen Orten speichert, einschließlich der USA.
✓ Seien Sie transparent
Benennen Sie einen Datenschutzbeauftragten und denken Sie daran, dessen Kontaktdaten auf Ihrer Website zu veröffentlichen. Aktualisieren Sie Ihre Datenschutzerklärung, damit sie richtig beschreibt, wie Sie personenbezogene Daten sammeln, verarbeiten und weitergeben.
✓ Respektieren Sie die Do-not-call-Anforderung
Respektieren Sie Entschlüsse der in dem singapurischen Do-Not-Call-Register eingetragenen Personen. Kontaktieren Sie sich nicht mit ihnen zu Marketingzwecken, es sei denn, Sie haben deren klare und eindeutige Einwilligung oder führen eine laufende Geschäftsbeziehung mit ihnen.
Was ist das nationale Do-Not-Call-Register?
Das nationale Do-Not-Call-Register ist eine Liste, dank der Sie auf Marketingnachrichten und Anrufe verzichten, die an Ihr Telefon in Singapur gerichtet sind.
✓ Halten Sie Ihre Datenbank relevant und aktuell
Stellen Sie sicher, dass die personenbezogenen Daten, mit denen Sie arbeiten, richtig und vollständig sind.
✓ Schützen Sie die Sicherheit der gesammelten Daten
Bewahren Sie personenbezogene Daten sicher auf und schützen Sie sie vor unbefugtem Zugriff, Veränderung oder Verwendung.
✓ Benachrichtigen Sie immer die Behörden über Datenschutzverletzungen
Benachrichtigen Sie Nutzer und die Kommission zum Schutz personenbezogener Daten von Singapur (Personal Data Protection Commission, PDPC) über Datenschutzverstöße innerhalb von drei Tagen nach dessen Entdeckung.
Strafen
Die Geldbußen für fehlende PDPA-Konformität betragen 10 % des Jahresumsatzes einer Organisation mit einem Jahresumsatz von mehr als 10 Millionen US-Dollar oder 1 Million US-Dollar, je nachdem, welcher Betrag höher ist.
PRO TIP
So unterstützt Sie die Piwik PRO Analytics Suite, Pflichten des PDPA nachzugehen:
- Verwenden Sie den Consent Manager, der sich nahtlos in Analytics, Tag Manager und CDP integriert.
- Sammeln und verarbeiten Sie Datenanfragen von Nutzern
- Sammeln Sie Daten mit einem 30-Minuten-Cookie oder ohne Cookies, wenn die Besucher der Erfassung ihrer personenbezogenen Daten nicht zustimmen
- Sammeln Sie alternativ keine Einwilligungen und verwenden Sie Tracking-Methoden, die nicht auf personenbezogenen Daten beruhen
- Erhalten Sie die volle Kontrolle über die gesammelten Daten und verlassen Sie sich darauf, dass wir die Daten nicht für unsere eigenen Zwecke verwenden
- Speichern Sie Daten sicher in Singapur – Public Cloud oder Private Cloud
Zusätzliche Lektüre
Kapitel 8
Thailands Personal Data Protection Act (PDPA) 2019
Das thailändische Datenschutzgesetz (Personal Data Protection Act) aus dem Jahr 2019, nahm sich die europäische DSGVO als Vorbild. Es ist auch das allererste Gesetz in Thailand, das sich speziell dem Datenschutz widmet.
Kapitel
- Vorwort: DSGVO – Datenschutz-Grundverordnung
- California Privacy Rights Act (CPRA)
- Virginia Consumer Data Protection Act (CDPA)
- Kanadas Consumer Privacy Protection Act (CPPA)
- Neuseelands Privacy Act
- Das brasilianische Lei Geral de Proteção de Dados (LGPD)
- Singapurs Personal Data Protection Act (PDPA)
- Thailands Personal Data Protection Act (PDPA) 2019
- ePrivacy-Verordnung
- Deutsches Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG)
- Chinas Personal Information Protection Law (PIPL)
- Bundesgesetz über den Datenschutz (revDSG) der Schweiz
- Wie bereiten Sie sich auf diese Vorschriften weltweit vor?
Datum des Inkrafttretens: 1. Juni 2022
Der Anwendungsbereich
PDPA hat einen extraterritorialen Geltungsbereich. Es betrifft alle Organisationen, die personenbezogene Daten in Thailand oder von Einwohnern Thailands sammeln, verwenden oder weitergeben, unabhängig davon, ob sie nach thailändischem Recht gegründet oder anerkannt sind und ob sie in Thailand ansässig sind oder eine Geschäftspräsenz haben.
Wie werden personenbezogene Daten definiert?
Das Gesetz sieht folgende Definition von personenbezogenen Daten vor:
„Personenbezogene Daten“ alle Informationen sind, die sich auf eine Person beziehen und eine direkte oder indirekte Identifizierung dieser Person ermöglichen, insbesondere jedoch nicht die Angaben zu verstorbenen Personen.
Abgesehen davon führt das Gesetz nicht viele konkrete Beispiele für personenbezogene Daten auf.
Da Nutzerkennungen und Cookies auch eine Nutzeridentifikation ermöglichen, unterliegen Marketingtools wie Customer-Relationship-Management-Systeme (CRM), Customer Data Plattformen (CDP) oder Analyticssoftware dem Gesetz.
Ausnahmen vom Anwendungsbereich der personenbezogenen Daten sind:
- Zu privaten Zwecken erhobene Daten
- Von Regierungsbehörden gesammelte Daten in Bezug auf nationale Sicherheit, Kampf gegen Geldwäsche und Cybersicherheit
- Medien, die ethischen Standards und Zwecken von öffentlichem Interesse unterliegen
- Von Mitgliedern des Parlaments und der Justiz erhobene Daten
- Von Kreditbüros gesammelte Daten
Hauptpflichten
✓ Holen Sie eine Einwilligung des Nutzers ein, um seine Daten zu verarbeiten
Das Gesetz verlangt, dass Sie eine Einwilligung des Nutzers für Cookies und andere Tracking-Methoden, die auf eindeutigen Kennungen basieren, einholen. Sie sind außerdem verpflichtet, die folgenden Grundsätze einzuhalten:
- Die Nutzer erteilen Einwilligungen freiwillig in schriftlicher Form (z. B. durch Ankreuzen eines Kästchens in einem Einwilligungs-Pop-up)
- Sie informieren die Nutzer über den Zweck der Datenerhebung (z.B. Remarketing, A/B-Testing oder Analytics)
- Sie formulieren die Anfrage in klarer und einfacher Sprache
- Sie bewahren Einwilligungserklärungen für einen Zeitraum von fünf Jahren
Sie dürfen die vor dem 1. Juni 2022 gesammelten personenbezogenen Daten verarbeiten, wenn Sie sie für denselben Zweck verwenden, für den Sie sie ursprünglich erhoben haben. Sie sind jedoch verpflichtet, den Nutzern zu ermöglichen, ihre Einwilligung zu widerrufen. Und wenn Sie sich entscheiden, die gesammelten Daten über den ursprünglichen Zweck hinaus zu verwenden oder weiterzugeben, benötigen Sie eine neue gültige Zustimmung des Nutzers.
PDPA erlaubt auch, angenommene (stillschweigende) Einwilligungen einzuholen. Es ist jedoch nur in bestimmten Situationen vertretbar, sich auf sie zu verlassen. Dieses Vorgehen können Sie beispielsweise anwenden, wenn ein Nutzer Ihnen seine Daten freiwillig beim Anmelden zu einem Newsletter oder einem Online-Event mitteilt. In diesem Fall sind Sie dennoch verpflichtet, den Nutzern eine Opt-out-Option zu bieten und verwenden ihre Daten nur für den Zweck, dem sie zustimmten.
Dies gilt jedoch nicht für sensible Daten. Die Verarbeitung dieser Art von Informationen erfordert eine ausdrückliche Einwilligung, außer wenn Sie sie für wissenschaftliche, historische oder statistische Zwecke verwenden.
✓ Verhindern Sie den unbefugten Zugriff auf personenbezogene Daten der Nutzer
Laut PDPA sollten Sie für die gesammelten Daten die höchsten Sicherheits- und Datenschutzstandards gewährleisten. Das Gesetz schlägt keine spezifischen Datenschutzmethoden vor, sodass es Ihnen überlassen ist, ausreichende Maßnahmen zu definieren, um den unbefugten Zugriff, die Weitergabe oder das Kopieren personenbezogener Daten in Ihrem Unternehmen zu verhindern.
✓ Beachten Sie die Nutzerrechte
PDPA führt die folgenden Nutzerrechte ein:
- Das Recht auf Auskunft über den Zweck der Datenerhebung und -verarbeitung
- Das Recht auf Widerruf der erteilten Einwilligung
- Das Recht auf Gleichberechtigung bei Verweigerung der Einwilligung – was bedeutet, dass Sie den Zugang zu Produkten oder Dienstleistungen für Besucher, die das Tracking ablehnen, nicht einschränken dürfen
- Das Recht Recht auf Zugang zu den von den Personen gesammelten Daten und deren Erhalt
- Das Recht auf Widerspruch gegen die Erhebung, Nutzung und Weitergabe ihrer Daten
- Das Recht, die Verwendung seiner Daten einzuschränken – das bedeutet, dass der Nutzer in der Lage sein sollte, die Zwecke festzulegen, für die er Ihnen die Verwendung seiner Daten erlaubt
- Das Recht auf Berichtigung ihrer Daten
- Das Recht, seine Daten an einen anderen für die Datenverarbeitung Verantwortlichen zu übermitteln
- Das Recht auf Löschung, Vernichtung oder Anonymisierung der Daten
✓ Übertragen Sie Daten nur in Länder mit hohen Datenschutzstandards
Der PDPA erlaubt das Senden von Daten nur an Rechtsgebiete mit gleichen oder höheren Sicherheitsstandards wie Thailand. Es ist noch nicht klar, welche Länder die Pflichten von PDPA erfüllen. Das Gesetz sieht jedoch andere Gründe für die Datenübertragung vor, wie zum Beispiel:
- Einhaltung gesetzlicher Verpflichtungen
- Vertrag
- Erfüllung vertraglicher Pflichten des Verantwortlichen gegenüber einem Dritten zugunsten der betroffenen Person
- Vitales Interesse
- Erfüllung einer wichtigen Aufgabe von öffentlichem Interesse
Es ist schwer vorherzusagen, ob einer dieser Gründe auf die Datenverarbeitung zutrifft, die mit Analytics und Marketing durchgeführt wird.
Strafen
Für Verstöße gegen die Regeln sieht PDPA folgende Strafen von:
- Bußgelder bis zu 5 Millionen THB (Thai Baht, $159.591) oder bis zu 4 % des weltweiten Umsatzes der Organisation
- Strafrechtliche Sanktionen bis zu einem Jahr Freiheitsstrafe
PRO TIP
So unterstützt Sie die Piwik PRO Analytics Suite, Pflichten des thailändischen PDPA nachzugehen:
- Verwenden Sie den Consent Manager, der sich nahtlos in Analytics, Tag Manager und CDP integriert
- Sammeln und verarbeiten Sie Nutzeranfragen
- Sammeln Sie Daten mit einem 30-Minuten-Cookie oder ohne Cookies, wenn die Besucher der Erfassung ihrer personenbezogenen Daten nicht zustimmen
- Sammeln Sie alternativ keine Einwilligungen und verwenden Sie Tracking-Methoden, die nicht auf personenbezogenen Daten beruhen
- Erhalten Sie die volle Kontrolle über die gesammelten Daten
- Nutzen Sie eine sichere Datenspeicherung in Südostasien – Public Cloud oder Private Cloud
Kapitel 9
ePrivacy-Verordnung
Die ePrivacy-Verordnung ist ein Gesetz, das die Datenschutz-Grundverordnung, auch bekannt als DSGVO, ergänzt und weiterentwickelt. Es gibt detaillierte Vorgaben zum Umgang mit Cookies, IoT-Geräten, E-Mail-Marketing und anderen digitalen Kommunikationskanälen. Gleichzeitig ersetzt sie die Richtlinie 2002/58/EG (auch bekannt als ePrivacy-Direktive).
Kapitel
- Vorwort: DSGVO – Datenschutz-Grundverordnung
- California Privacy Rights Act (CPRA)
- Virginia Consumer Data Protection Act (CDPA)
- Kanadas Consumer Privacy Protection Act (CPPA)
- Neuseelands Privacy Act
- Das brasilianische Lei Geral de Proteção de Dados (LGPD)
- Singapurs Personal Data Protection Act (PDPA)
- Thailands Personal Data Protection Act (PDPA) 2019
- ePrivacy-Verordnung
- Deutsches Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG)
- Chinas Personal Information Protection Law (PIPL)
- Bundesgesetz über den Datenschutz (revDSG) der Schweiz
- Wie bereiten Sie sich auf diese Vorschriften weltweit vor?
Vollständiger Name: Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (Verordnung über Privatsphäre und elektronische Kommunikation).
Datum des Inkrafttretens: Noch unbekannt, aber nicht vor 2023. Der Rat und das Europäische Parlament verhandeln nun über den endgültigen Wortlaut. Es ist noch nicht sicher, ob das Gesetz in seiner jetzigen Form durchgesetzt wird, da es von EU-Behörden, darunter der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), stark kritisierten.
Das Gesetz tritt 20 Tage nach seiner Veröffentlichung in Kraft und ist zwei Jahre später anwendbar.
Wen betrifft die ePrivacy-Verordnung?
Falls angenommen, gilt der neueste Entwurf für die Verarbeitung personenbezogener Daten unter Verwendung einer „öffentlich zugänglichen“ elektronischen Kommunikation oder eines Netzes. Es wird folgende Subjekte betreffen:
- Betreiber elektronischer Kommunikationsdienste
- Betreiber öffentlich zugänglicher Verzeichnisse
- Diejenigen, die mithilfe elektronischer Kommunikationsdienste an Endnutzer gerichtete gewerbliche Direktwerbung betreiben
- Diejenigen, die Daten in den Endeinrichtungen der Nutzer verarbeiten und speichern
- Diejenigen, die Informationen sammeln, die die Endeinrichtungen der Endnutzer verarbeiten, aussenden oder speichern
Was ist die Endeinrichtung der Endnutzer?
Dies bedeutet ein Gerät, das man als Übertragungsquelle oder Ziel der Daten verwendet (z. B. ein Computer, Server oder IoT-Gerät). Zu den Aktivitäten, an denen Endeinrichtungen der Nutzer beteiligt sind, gehören zum Beispiel:
- Platzieren von Cookies oder Verwenden von “Device Fingerprinting”, um interessenbezogene Werbung zu schalten oder Website-Inhalte zu personalisieren
- Sammeln von Daten von IoT-Geräten zu Marketingzwecken
- Gebrauch von First Party-Cookies, um Informationen über die Seitennutzung zu erhalten und deren ordnungsgemäße Funktion sicherzustellen
Das Gesetz betrifft also die meisten Organisationen, die elektronisch erhobenen Nutzerdaten verwalten.
Die Verordnung wirkt extraterritorial. Sie schützt die Daten von EU-Bürgern unabhängig davon, wo sie erhoben und verarbeitet werden.
Welche Hauptpflichten legt der aktuelle ePrivacy-Entwurf auf?
Im Vergleich zu früheren Entwürfen der ePrivacy-Verordnung ist der neueste weniger streng und detailliert. Es deckt jedoch immer noch mehrere Arten der elektronischen Datenverarbeitung ab. In diesem Artikel konzentrieren wir uns auf die Teile, die mit Marketing und Analytics zusammenhängen.
Cookies und Einwilligung
Die neue Version des Gesetzes hält die Einwilligung als eine der Säulen des Datenschutzes im Internet aufrecht. Im Vergleich zu früheren Gesetzesnovellen werden jedoch die Vorbehalte beim Einholen der Zustimmung gelockert.
Die wichtigsten Regeln zu Einwilligung und Cookies:
1. Zugriff auf personenbezogene Daten auf Nutzergeräten ohne Einwilligung
In der aktuellen Fassung erlaubt das Gesetz den Dienstanbietern, zum Zweck der Vertragserfüllung, den Zugriff auf personenbezogene Daten auf Nutzergeräten. In der vorherigen Fassung war ein solcher Zugriff nur erlaubt, wenn er technisch notwendig war. Auf diese Weise wird die Klausel unklarer und lässt Raum für die Auslegung dessen, was zur Vertragserfüllung erforderlich ist.
2. Ausnahmeregelung für analytische Cookies
Nach dem neuen Entwurf ist für die Verwendung von Cookies zur einfachen Messung der Nutzerzahlen keine Einwilligung mehr erforderlich, sofern”sie für den alleinigen Zweck der Messung der Nutzerzahlen erforderlich sind, solange diese Messung vom Anbieter des angeforderten Dienstes oder von einem Dritten durchgeführt wird”. Solche Cookies, die in der Regel als Analyse-Cookies bezeichnet werden, könnten ohne vorherige Einwilligung verwendet werden.
3. Unklare Leitlinien für die Erhebung personenbezogener Daten zur Verbesserung der Effizienz des angebotenen Dienstes
Der vorgeschlagene Entwurf weist darauf hin, dass das Sammeln von statistischen Daten zur Messung der Leistung einer Website keine Einwilligung erfordert. Auch der Gebrauch von Trackingpixeln zur Messung von Werbekampagnen erfordert keine Einwilligung des Nutzers, sofern Sie die Cookies nicht zum Sammeln von personenbezogenen Daten, sondern von aggregierten statistischen Daten verwenden.
Diese Regel gilt nicht für jegliche Art von Remarketing oder Datenaktivierung, die mit personenbezogenen Daten durchgeführt werden.
4. Weiches„Ja“ für Cookie-Walls
Der aktuelle Entwurf führt weniger strenge Regeln für den Zugang zu Informationen oder Dienstleistungen ein, die auf einer Einwilligung der Nutzer beruhen. Es ermöglicht Unternehmen, dem Nutzer unterschiedliche Angebote zu machen, je nachdem, wie sie sich für den Datenschutz entscheiden:
[…] Eine Einwilligung zu erfordern, würde normalerweise nicht als Entzug einer wirklichen Wahlmöglichkeit des Endnutzers angesehen werden, falls der Endnutzer auf der Grundlage klarer, präziser und benutzerfreundlicher Informationen über den Zweck von Cookies und ähnlichen Techniken zwischen Diensten wählen kann […]
5. Keine Lösung für globale, durch Browsereinstellungen ausgedrückte, Datenschutzpräferenzen
In der neuen Fassung des Entwurfs stimmen Endnutzer der Verwendung bestimmter Arten von Cookies nur auf die Weise zu, wenn sie einen oder mehrere Anbieter in ihren Browsereinstellungen auf die Whitelist setzen:
Sofern verfügbar und technisch machbar, kann ein Endnutzer daher durch Softwareeinstellungen einem bestimmten Anbieter die Einwilligung zur Nutzung der Verarbeitungs- und Speichermöglichkeiten von Endgeräten für einen oder mehrere bestimmte Zwecke über einen oder mehrere bestimmte Dienste dieses Anbieters erteilen.
Die vorherige Fassung legte, in den nun gestrichenen Artikeln 9 und 10, einige benutzerfreundlichere Lösungen vor – daher, Einwilligungsformulare und Pop-ups durch rechtsverbindliche, vom Nutzer konfigurierte Signale zu ersetzen.
6. Metadaten ohne Einwilligung der Nutzer verwenden
Der Verordnungsentwurf eröffnet den Weg, Metadaten der Nutzer auch ohne deren Einwilligung zu verarbeiten. Der Anwendungsbereich von Metadaten in der aktuellen Fassung der Datenschutzverordnung für elektronische Kommunikation legt sich wie folgt aus:
„Elektronische Kommunikationsmetadaten“: Daten, die in einem elektronischen Kommunikationsnetz zu Zwecken der Übermittlung, der Verbreitung oder des Austauschs elektronischer Kommunikationsinhalte verarbeitet werden; dazu zählen die zur Verfolgung und Identifizierung des Ausgangs- und Zielpunkts einer Kommunikation verwendeten Daten, die im Zusammenhang mit der Bereitstellung elektronischer Kommunikationsdienste erzeugten Daten über den Standort des Geräts sowie Datum, Uhrzeit, Dauer und Art der Kommunikation.
(Kapitel I, Art. 4, Pkt. 3c)
Laut dem Text dürfen Sie diese Daten für statistische und andere Zwecke, für die Sie sie ursprünglich nicht erhoben haben, verwenden, wenn Sie sie verschlüsseln oder pseudonymisieren. Im Gegensatz dazu sagt die DSGVO zu den Pflichten bei der Verarbeitung pseudonymisierter Daten:
Die Grundsätze des Datenschutzes sollten für alle Informationen gelten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden.
Quelle: Erwägungsgrund 26 EU DS-GVO
Die eingeführten Änderungen weckten Bedenken bei Datenschutzbehörden und Aktivisten, darunter die Stiftung Panoptykon, eine polnische NGO, deren Hauptziel der Schutz der Grundfreiheiten und der Menschenrechte ist. In einem offenen Brief kritisierte Panoptykon den Entwurf dafür, dass er die Nutzer nicht vor Tracking schützt, Nutzer zur Einwilligung zwingen und ihnen die Verantwortung für Datenschutzkontrollen auferlegen könnte. Es forderte das Europäische Parlament auf, die Gesetzeslücken und Grauzonen zu schließen und an die Schutzstandards der DSGVO anzugleichen.
Den ganzen Brief können Sie hier lesen.
PRO TIP
Der beste Weg, sich auf die neue ePrivacy-Verordnung vorzubereiten, besteht darin, sich auf dem Laufenden über mögliche Änderungen im Text zu informieren. Die zuverlässigste Informationsquelle ist der Nachrichtenbereich auf der Webseite des Europäischen Rates.
Strafen bei Verstößen
ePrivacy behält die gleichen Bußgelder wie die in der DSGVO beschriebenen – von 10 Mio. € oder 2 % des Jahresumsatzes bis zu 20 Mio. € oder 4 % des Jahresumsatzes, je nach Schwere des Verstoßes. Details zu den Sanktionen finden Sie in Artikel 23 des Entwurfs.
Zusätzliche Lektüre: Der aktuelle Entwurf der ePrivacy-Verordnung
Kapitel 10
Deutsches Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG)
Das Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG) fasst die bisher auf verschiedene deutsche Gesetze verteilten Datenschutzbestimmungen für Telemedien und Telekommunikation zusammen. Das TTDSG regelt unter anderem die Vertraulichkeit und den Schutz der Privatsphäre bei der Nutzung von internetfähiger Endgeräteinfrastruktur wie Websites, Messenger-Diensten oder Smart-Home-Geräten. Das Gesetz ändert auch den rechtlichen Rahmen für die Verwendung von Cookies und ähnlichen Technologien. Es setzt die Vorgaben der ePrivacy-Richtlinie. TTDSG wird zusätzlich zur Datenschutz-Grundverordnung (DSGVO) angewandt.
Kapitel
- Vorwort: DSGVO – Datenschutz-Grundverordnung
- California Privacy Rights Act (CPRA)
- Virginia Consumer Data Protection Act (CDPA)
- Kanadas Consumer Privacy Protection Act (CPPA)
- Neuseelands Privacy Act
- Das brasilianische Lei Geral de Proteção de Dados (LGPD)
- Singapurs Personal Data Protection Act (PDPA)
- Thailands Personal Data Protection Act (PDPA) 2019
- ePrivacy-Verordnung
- Deutsches Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG)
- Chinas Personal Information Protection Law (PIPL)
- Bundesgesetz über den Datenschutz (revDSG) der Schweiz
- Wie bereiten Sie sich auf diese Vorschriften weltweit vor?
Datum des Inkrafttretens: 1. Dezember 2021
Der Anwendungsbereich
Wie das TTDSG feststellt:
Diesem Gesetz unterliegen alle Unternehmen und Personen, die im Geltungsbereich dieses Gesetzes eine Niederlassung haben oder Dienstleistungen erbringen oder daran mitwirken oder Waren auf dem Markt bereitstellen.
Das bedeutet, dass alle in Deutschland niedergelassenen Organisationen sowie alle anwendbaren Organisationen mit Sitz außerhalb Deutschlands unter das TTDSG fallen.
PRO TIP
Am 22. Dezember 2021 gab die Datenschutzkonferenz (DSK) eine Orientierungshilfe zum TTDSG heraus. Sie stellt darin bestimmte Aspekte des Gesetzes klar.
Welche Daten betrifft das TTDSG?
Gemäß der ePrivacy-Richtlinie gilt das TTDSG sowohl für personenbezogene als auch für nicht personenbezogene Daten.
Soweit Sie keine personenbezogenen Daten verarbeiten, richten Sie sich ausschließlich nach dem TTDSG. Verarbeiten Sie sowohl personenbezogene als auch nicht personenbezogene Daten, gelten sowohl das TTDSG als auch die DSGVO.
Wenn es jedoch um die Speicherung von und den Zugriff auf Informationen auf/von Endeinrichtungen geht, hat das TTDSG Vorrang. Wenn Sie nachfolgend Daten verarbeiten, die Sie durch Cookies oder andere Tracking-Mechanismen erhoben, ohne dass die Endeinrichtung (z. B. ein Computer, Tablet oder Smartphone) weiter einbezogen wird, richten Sie sich nach der DSGVO.
Ihre Hauptpflichten unter TTDSG
Holen Sie entsprechende Einwilligungen der Nutzer ein und speichern Sie sie
Sie sind verpflichtet, gegebenenfalls eine gültige Einwilligung der Nutzer einzuholen. Zeichnen Sie alle Einwilligungen der Nutzer auf, damit Sie bei Bedarf einen Nachweis erbringen können.
In § 25 des TTDSG heißt es:
Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.
Eine Einwilligung ist gültig, wenn sie:
- Vor der Datenverarbeitung gegeben wurde
- Freiwillig erteilt wurde
- Ausdrücklich und
- Informiert ist.
In dieser Hinsicht orientiert sich das TTDSG genau an der DSGVO.
Holen Sie Einwilligung zum Speichern oder Lesen von Informationen vom Gerät eines Nutzers ein
Ohne Einwilligung dürfen Sie keine Informationen auf dem Gerät eines Nutzers lesen oder dort speichern.
Infolgedessen sind viele Optionen zum Sammeln von Analysedaten mit Cookies nicht TTDSG-konform, bevor Sie die Einwilligung einholen. Selbst der Einsatz eines temporären Besucher-Cookies erfordert eine Einwilligung des Users. Sie dürfen auch keine zusätzlichen Informationen über das Gerät lesen, wie Bildschirmauflösung oder Browser-Plugins.
Entweder blenden Sie ein Cookie Consent Banner ein, um die ausdrückliche Einwilligung des Nutzers zu erhalten, oder Sie entscheiden sich für eine Option ohne Cookies.
Das TTDSG unterscheidet zwischen zwei Arten von Cookies: Cookies, die, wie oben beschrieben, eine Zustimmung erfordern, und Cookies, die technisch unbedingt erforderlich sind.
Es gibt nur zwei Ausnahmen von der Einwilligungspflicht:
- Der einzige Zweck des Cookies besteht darin, die Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz zu erleichtern, oder
- Das Cookie ist technisch unbedingt erforderlich, um einen vom Nutzer ausdrücklich gewünschten Telemediendienst bereitzustellen
So gilt etwa ein Cookie, das dazu dient, Artikel eines Online-Shops in einem Warenkorb zu speichern, als „technisch unbedingt erforderlich“. Für diese Art von Cookies benötigen Sie keine Einwilligung.
Zeigen Sie ein konformes Cookie Consent Banner an
Ihr Banner muss Angaben zu den spezifischen Zwecken der Verarbeitung enthalten. Begriffe wie “Verbesserung der User-Experience” oder „Werbezwecke“ reichen nicht aus. Geben Sie den Usern die Option, jedem Cookie-Typ separat zuzustimmen.
Seien Sie transparent in Bezug auf alle Verarbeitungsaktivitäten. Welche Daten verarbeiten Sie? Wer ist daran beteiligt? Welche Dritten sind involviert? Informieren Sie auch über die Aufbewahrung der Cookies. Vergessen Sie nicht, einen Link zu Ihrer Datenschutzrichtlinie anzugeben.
Da sich ein Benutzer durch Ausführen einer Aktion anmeldet, reicht ein Cookie Banner, das nur eine Benachrichtigung enthält, nicht aus.
Achten Sie auf das Design des Banners. Wählen Sie einen Consent Manager, mit dem Sie den Text und das Erscheinungsbild des Cookie Banners anpassen können.
Passen Sie den Text auf den Buttons an. Stellen Sie sicher, dass die Funktionen der einzelnen Buttons klar sind und Nutzer erkennen, welche Folgen das Anklicken mit sich bringt.
Das Cookie Banner sollte den Zugriff auf die Datenschutzrichtlinie oder andere rechtliche Hinweise der Website nicht verhindern.
Ermöglichen Sie es den Nutzern, ihre Zustimmung zurückzuziehen oder zu verwalten
Nach TTDSG sind Sie verpflichtet, das Recht auf Widerruf der Einwilligung auf der ersten Ebene des Consent Banners zu erwähnen. Die Nutzer müssen die Option haben, ihre Einwilligung jederzeit zu widerrufen.
Der Widerruf der Einwilligung soll genauso einfach sein wie die Erteilung der Einwilligung und auf demselben Weg erfolgen. Wenn also ein Nutzer seine Einwilligung auf der Website erteilt, können Sie nicht verlangen, dass er anruft oder eine E-Mail schreibt, um sie zu widerrufen.
Bieten Sie den Nutzern gleichwertige Optionen für die Annahme und Ablehnung von Cookies. Wenn sich etwa auf der ersten Ebene des Consent Banners ein Button „Alle akzeptieren“ befindet, sollte sich auf derselben Ebene ein Button zum Ablehnen befinden. Die Nutzer sollten keine weiteren Maßnahmen benötigen, um ihre Zustimmung zu verweigern, z. B. indem sie zu den Einstellungen navigieren, da dies zusätzliche Schritte erfordert, um die gewünschte Aktion durchzuführen.
Sie können zugelassene Dienste für die Verwaltung von Einwilligungen nutzen, z. B. Personal Information Management Services (PIMS). Mit einem PIMS wählen Nutzer einmalig aus, welche Cookies sie zulassen und welcher Verarbeitung personenbezogener Daten sie zustimmen. Das PIMS gibt den Entscheid dann automatisch an die verschiedenen Websites weiter. Allerdings ist PIMS eine praktikable Option für den Schutz der Privatsphäre der Nutzer nur dann, wenn es eine unabhängige Institution überprüft. Außerdem sind noch keine PIMS-Dienste auf dem Markt verfügbar. Die Zeit wird zeigen, ob die für die Verwaltung der Einwilligung vorgesehenen PIMS die gewünschten Vorteile bringen werden.
Setzen Sie Maßnahmen zum Schutz der Vertraulichkeit und der Privatsphäre um
Ihr Unternehmen soll die technischen und organisatorischen Maßnahmen ergreifen, die:
- Sicherstellen, dass Nutzer Telemediendienste in der vor dem Wissen Dritter geschützten Art und Weise verwenden
- Sicherstellen, dass die Nutzer auf den Dienst jederzeit verzichten können
- Den Nutzern eine Option geben, anonym oder unter einem Pseudonym zu zahlen
- Sicherstellen, dass kein unbefugter Zugriff auf die für Telemediendienste genutzten technischen Geräte möglich ist
- Fehlerhafte Übertragungen und die unbefugte Weitergabe von Nachrichteninhalten innerhalb Ihres Unternehmens und an Dritte verhindern.
Sie können Maßnahmen ergreifen, die denen in der DSGVO entsprechen. Es sind etwa:
- Verschlüsselung
- Zuweisung geeigneter Rechte und Rollen für diejenigen, die auf die Daten zugreifen
- Einführung von Sicherungssystemen
- Pseudonymisierung von Daten
Im Hinblick auf organisatorische Maßnahmen erstellen Sie z. B. interne Anweisungen und Mitarbeiterrichtlinien.
Wenn Sie personenbezogene Daten verarbeiten, um das Nutzerverhalten auf Websites oder in Apps zu tracken, dürfen Sie sie gemäß Artikel 49 der DSGVO nicht auf der Grundlage einer Einwilligung in ein Drittland übertragen. Folglich erfordern Tracking-Technologien generell eine Einwilligung, unabhängig davon, ob Sie personenbezogene Daten verarbeiten.
PRO TIP
So unterstützt Sie die Piwik PRO Analytics Suite, den Pflichten des TTDSGs nachzugehen:
- Sie verwenden einen Consent Manager, der sich nahtlos in Analytics- und Tag-Manager-Tools integrieren lässt. Sie können ein sogenanntes „Zero-Cookie-Load“ erzwingen, was bedeutet, dass keine Cookies oder ähnliche, nicht wesentliche Technologien vor der Einwilligung geladen werden.
- Sehen Sie sich unsere Optionen zur Datenerhebung ohne Cookies vor der Einwilligung an. Wir beschreiben diesen Ansatz hier: Anonyme Daten auf eine TTDSG-konforme Weise sammeln (EN)
- Sie haben die volle Kontrolle über die von Ihnen erfassten Daten und sind sicher, dass wir sie nicht für unsere eigenen Zwecke verwenden.
Strafen
Bußgelder bei Verstößen gegen das TTDSG betragen je nach deren Schwere bis zu 300.000,00 €. Wo jedoch die DSGVO anwendbar ist, können Geldbußen wesentlich höher ausfallen.
Kapitel 11
Chinas Personal Information Protection Law (PIPL)
Trotz noch zu vereinbarender Elemente verabschiedete China das Gesetz zum Schutz personenbezogener Daten (Personal Information Protection Law – PIPL). Obwohl vor dem PIPL andere Datenschutzgesetze in Kraft waren – das Datensicherheitsgesetz (Data Security Law – DSL) und das Internetsicherheitsgesetz (Cybersecurity Law – CSL ) – ist das PIPL Chinas erstes umfassendes Gesetz, das personenbezogene Daten reguliert und schützt. Mit der Annahme von DSL und PIPL gleichen sich Chinas Gesetze zur Datensicherheit und zum Datenschutz stärker an internationale Maßstäbe an. Viele Elemente der PIPL ähneln der DSGVO. Wenn Sie die DSGVO-Regeln bereits folgen, analysieren Sie noch zusätzlich die Lücke zwischen den DSGVO- und PIPL-Pflichten. Sie sollten jedoch keine Probleme haben, sich an das PIPL anzupassen.
Kapitel
- Vorwort: DSGVO – Datenschutz-Grundverordnung
- California Privacy Rights Act (CPRA)
- Virginia Consumer Data Protection Act (CDPA)
- Kanadas Consumer Privacy Protection Act (CPPA)
- Neuseelands Privacy Act
- Das brasilianische Lei Geral de Proteção de Dados (LGPD)
- Singapurs Personal Data Protection Act (PDPA)
- Thailands Personal Data Protection Act (PDPA) 2019
- ePrivacy-Verordnung
- Deutsches Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG)
- Chinas Personal Information Protection Law (PIPL)
- Bundesgesetz über den Datenschutz (revDSG) der Schweiz
- Wie bereiten Sie sich auf diese Vorschriften weltweit vor?
Datum des Inkrafttretens: 1. November 2021
Der Anwendungsbereich
Das PIPL hat einen extraterritorialen Anwendungsbereich und gilt für:
- Organisationen oder Einzelpersonen, die personenbezogene Daten in China verarbeiten, oder
- Organisationen mit Sitz außerhalb Chinas, die personenbezogene Daten von in China ansässigen Personen verarbeiten.
Die oben genannten Organisationen müssen das PIPL einhalten, wenn:
- Sie Produkte oder Dienstleistungen an inländische natürliche Personen liefern
- Sie die Aktivitäten inländischer natürlicher Personen analysieren und bewerten
- Es weitere Umstände gibt, die die Gesetze und Verwaltungsvorschriften vorsehen.
Wie definiert PIPL personenbezogene Daten?
PIPL enthält eine weit gefasste Definition der „personenbezogenen Daten“, die dem California Consumer Privacy Act (CCPA) und der DSGVO ähnelt. Es definiert personenbezogene Daten als:
… verschiedene Arten von Informationen in Bezug auf identifizierte oder identifizierbare natürliche Personen, die auf elektronischem oder anderem Wege aufgezeichnet wurden, mit Ausnahme von anonymisierten Informationen.
Wie CCPA und DSGVO betrachtet PIPL anonymisierte Daten als nicht personenbezogen. Es stellt sie außerhalb des Geltungsbereichs des Gesetzes. Die vorgesehene Definition der Anonymisierung ist streng:
Anonymisierung bezeichnet einen Vorgang, bei dem personenbezogene Daten so verarbeitet werden, dass die Identifizierung einer bestimmten natürlichen Person unmöglich ist und nicht rückgängig gemacht werden kann.
Was sind sensible Daten?
PIPL enthält eine ausgedehnte, aber unklare Definition des Begriffs „sensible personenbezogene Daten“:
Sensible personenbezogene Daten beziehen sich auf personenbezogene Daten, die leicht zur Verletzung der persönlichen Würde natürlicher Personen oder zur Beeinträchtigung der persönlichen oder materiellen Sicherheit führen können, sobald sie an die Öffentlichkeit gelangen oder unrechtmäßig verwendet werden, einschließlich biometrischer Daten, religiöser Überzeugungen, bestimmter Identitäten, des Gesundheitszustands, der Finanzkonten und des Aufenthaltsorts sowie personenbezogener Daten von Minderjährigen unter 14 Jahren.
Sie sind verpflichtet, eine gesonderte Einwilligung einzuholen, um sensible personenbezogene Daten zu verarbeiten. Gegebenenfalls bedarf es einer schriftlichen Form.
Sie sind auch verpflichtet, die betroffenen Personen über die Notwendigkeit der Verarbeitung zu informieren und darüber, wie sich dies auf ihre Rechte und Interessen auswirkt.
Ihre Hauptpflichten unter PIPL
Respektieren Sie die Rechte der Nutzer an ihren Daten
Ähnlich wie die DSGVO listet PIPL die Rechte von Einzelpersonen in Bezug auf ihre personenbezogenen Daten auf:
- Das Recht, über die Verarbeitung ihrer personenbezogenen Daten zu erfahren und darüber zu entscheiden
- Das Recht, der Verarbeitung ihrer personenbezogenen Daten zu widersprechen oder sie einzuschränken
- Das Recht, auf ihre personenbezogenen Daten zuzugreifen und sie zu kopieren
- Das Recht, den Datenverarbeiter aufzufordern, seine Informationen zu korrigieren
- Das Recht auf Löschung der Daten unter einem der im Artikel 47 vorgesehenen Umstände.
- Das Recht, von den Datenverarbeitern auf Anfrage der betroffenen Personen eine Erläuterung ihrer Verarbeitungsregeln zu erhalten
Die gleichen Rechte gelten für die Angehörigen einer verstorbenen betroffenen Person.
Bereiten Sie eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten vor
Unter PIPL ist die Einwilligung nur einer der sieben Gründe, um personenbezogene Daten rechtmäßig zu verarbeiten.
Andere umfassen folgende Fälle:
- Wenn dies zur Vertragserfüllung oder im Hinblick auf ein Arbeitsverhältnis erforderlich ist
- Wenn dies erforderlich ist, um eine gesetzliche Plficht zu erfüllen
- Beim Schutz von Leben, Gesundheit und Eigentum von Personen in Notfällen oder bei der Reaktion auf Notfälle im Bereich der öffentlichen Gesundheit
- In einem angemessenen Rahmen, wenn es sich um Maßnahmen wie Nachrichtenberichterstattung oder Aufsicht der öffentlichen Meinung im öffentlichen Interesse handelt
- Wenn die von Einzelpersonen selbst offengelegten personenbezogenen Daten oder andere gesetzlich deklarierte personenbezogene Daten in einem angemessenen Umfang gemäß PIPL verarbeitet werden
- Unter Umständen, die andere Gesetze oder Vorschriften vorsehen
PIPL betrachtet das berechtigte Interesse nicht als Verarbeitungsgrundlage.
Wenn eine Einwilligung erforderlich ist, sind Sie verpflichtet:
- Sicherzustellen, dass es informiert, freiwillig und unmissverständlich ist
- Sicherzustellen, dass der Zugang zu Produkten oder Dienstleistungen nicht davon abhängt, ob die betroffene Person ihre Einwilligung erteilt oder nicht
- Der betroffenen Person den Widerruf ihrer Einwilligung zu erleichtern
- Eine neue Art der Einwilligung anzufordern, wenn sich der Zweck der Datenverarbeitung ändert
Legen Sie Ihre Datenverarbeitung Aktivitäten offen
Informieren Sie betroffene Personen vor der Verarbeitung ihrer personenbezogenen Daten über Folgendes:
- Name und Kontaktinformationen des Auftragsverarbeiters (Datenverantwortlicher im Sinne der DSGVO)
- Zweck und Methode der Verarbeitung
- Die Art der verarbeiteten personenbezogenen Daten
- Die Aufbewahrungsfrist für die verarbeiteten personenbezogenen Daten und
- Die Methode und das Verfahren, mit dem Einzelpersonen ihre Rechte als Betroffene ausüben können
Sie sind verpflichtet, die Nutzer über alle Änderungen an diesen wichtigen Datenverarbeitungselementen zu informieren.
Erfüllen Sie die Anforderungen für grenzüberschreitende Datentransfers
Für die grenzüberschreitenden Datentransfers benötigen Sie:
- Eine von der Cyberspace Administration of China (CAC) genehmigten Sicherheitsbewertung für grenzüberschreitende Transfers zu bestehen
- Eine Zertifizierung für den Schutz personenbezogener Daten durch eine professionelle Institution zu erlangen
- Die Daten gemäß den vom CAC formulierten Standardvertragsklauseln auszuführen und zu übermitteln
- Andere Bedingungen zu erfüllen, die andere Gesetze, Vorschriften oder CAC vorsehen.
Wenn Sie Daten außerhalb Chinas übermitteln, benötigen Sie die gesonderte Einwilligung des Nutzers dazu. Sie sind verpflichtet, den Nutzer über Folgendes zu informieren:
- Name und Kontaktangaben der empfangenden Partei
- Zweck und Methode der Verarbeitung
- Die Art der übertragenen personenbezogenen Daten
- Welche Optionen er hat, um seine Rechte auszuüben
Sorgen Sie für ausreichende Datensicherheit
Sie sind verpflichtet, Schutzmaßnahmen gemäß Art. 51, wie Verschlüsselung oder Anonymisierung, vorzunehmen, sodass Sie gesetzliche Vorschriften gemäß PIPL einhalten und unbefugten Zugriff verhindern.
Sie müssen auch eine Risikoanalyse Ihrer Cybersicherheitsmaßnahmen durchführen.
Unter den in Art. 55 genannten Umständen, sind Sie verpflichtet, eine Datenschutz-Wirkungsanalyse durchzuführen.
Kommt es zu einem Zwischenfall, ergreift das Unternehmen Abhilfemaßnahmen und informiert die chinesischen Aufsichtsbehörden.
PRO TIP
So unterstützt Sie die Piwik PRO Analytics Suite, den Pflichten des PIPL nachzugehen
- Sie verwenden einen Consent Manager, der sich nahtlos in Analytics- und Tag-Manager-Tools integrieren lässt.
- Sie sammeln und bearbeiten Nutzeranfragen, z. B. für den Zugang zu Daten oder deren Löschung.
- Sie nutzen sichere Datenspeicherung in Public Cloud oder Private Cloud
- Sie erhalten die volle Kontrolle über die gesammelten Daten und verlassen Sie sich darauf, dass wir die Daten nicht für unsere eigenen Zwecke verwenden.
Strafen
Die Strafen betragen bis zu 5 % des Vorjahresumsatzes oder 50 Millionen Yuan (rund 7,7 Millionen US-Dollar). Direkt verantwortliches Personal wird mit Geldstrafen zwischen 100.000 und 1 Million Yuan belegt.
Kapitel 12
Bundesgesetz über den Datenschutz (revDSG) der Schweiz
Das bestehende schweizerische Bundesgesetz über den Datenschutz (DSG) teilt viele Konzepte mit der DSGVO. Es bedurfte jedoch einiger Verbesserungen, um die personenbezogenen Daten der Schweizer Bürgerinnen und Bürger besser zu schützen. Deshalb hat der Bundesrat im September 2020 das neue Bundesgesetz über den Datenschutz (revDSG) verabschiedet. Die Bundesverwaltung erarbeitet zurzeit die entsprechenden Ausführungserlasse. RevDSG führt neue Vorschriften zu Einwilligungen, Verarbeitungsunterlagen, dem Datenmissbrauch und der Datenschutz-Folgenabschätzung ein. Unternehmen, die bereits die DSGVO einhalten, haben einen Vorteil bei der Vorbereitung auf das neue Gesetz.
Kapitel
- Vorwort: DSGVO – Datenschutz-Grundverordnung
- California Privacy Rights Act (CPRA)
- Virginia Consumer Data Protection Act (CDPA)
- Kanadas Consumer Privacy Protection Act (CPPA)
- Neuseelands Privacy Act
- Das brasilianische Lei Geral de Proteção de Dados (LGPD)
- Singapurs Personal Data Protection Act (PDPA)
- Thailands Personal Data Protection Act (PDPA) 2019
- ePrivacy-Verordnung
- Deutsches Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG)
- Chinas Personal Information Protection Law (PIPL)
- Bundesgesetz über den Datenschutz (revDSG) der Schweiz
- Wie bereiten Sie sich auf diese Vorschriften weltweit vor?
Datum des Inkrafttretens: 1. September 2023
Der Anwendungsbereich
Das revDSG gilt für alle Unternehmen und Personen, die Personendaten natürlicher Personen bearbeiten und:
- In der Schweiz ansässig sind.
- Produkte und Dienstleistungen für Personen in der Schweiz anbieten oder erbringen.
Das revDSG im Gegensatz zum bestehenden DSG schützt nicht die Daten juristischer Personen, sondern konzentriert sich auf den Schutz der personenbezogenen Daten natürlicher Personen. Dies steht im Einklang mit der DSGVO.
Wie das revDSG personenbezogene Daten (Personendaten) definiert?
Laut dem revDSG sind Personendaten alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Diese Informationen umfassen, sind aber nicht beschränkt auf:
- Den vollständigen Namen einer Person
- Bild, das das Gesicht einer Person zeigt
- E-Mail-Adresse
- Telefonnummer
- Sozialversicherungsnummer
- Kundennummer
Was sind besonders schützenswerte Personendaten?
Das revDSG führt die folgenden Informationen als „besonders schützenswerte Personendaten“ auf:
- Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten,
- Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie, genetische Daten,
- biometrische Daten, die eine natürliche Person eindeutig identifizieren,
- Daten über administrative und strafrechtliche Verfolgungen oder Sanktionen,
- Daten über Maßnahmen der sozialen Hilfe.
Ihre wichtigsten Pflichten gemäß dem revDSG
Informieren Sie die betroffene Person, dass Sie Personendaten beschaffen
Gemäß Absatz 1 sind Sie verpflichtet, die betroffene Person zu informieren, dass Sie Personendaten beschaffen. Dies gilt auch, wenn die Daten nicht bei der betroffenen Person beschafft werden.
Der Gesetzgeber legt nicht fest, auf welche Weise Sie die Information weitergeben sollen. Stellen Sie aber sicher, dass die betroffene Person die Information tatsächlich zur Kenntnis nehmen kann.
Stellen Sie den betroffenen Personen zumindest Folgendes bereit:
- Den Bearbeitungszweck
- Informationen darüber, wer ihre Informationen erhalten wird
- Kontaktdaten des Verantwortlichen.
Wenn Sie die Daten nicht bei der betroffenen Person beschaffen, so teilen Sie ihr zudem die Kategorien der bearbeiteten Personendaten mit.
Weder das geltende DSG noch das revDSG beschreiben die inhaltlichen Vorgaben für einen Auftragsverarbeitungsvertrag (DPA) näher. Dies kann zu Bedenken bei dem Einsatz des Gesetzes führen.
Dokumentieren Sie Ihre Verarbeitungsmaßnahmen
Sie sind verpflichtet, Ihre Verarbeitungsmaßnahmen zu dokumentieren, wenn Ihr Unternehmen mehr als 250 Personen beschäftigt. In diesem Fall sollten Sie jederzeit in der Lage sein, die Rechtmäßigkeit der von Ihnen durchgeführten Datenverarbeitung nachzuweisen.
Das revDSG nimmt kleine und mittlere Unternehmen mit weniger als 250 Beschäftigten, die Daten mit geringem Risiko verarbeiten, von dieser Pflicht aus.
Die von Ihnen erstellten Unterlagen sollten Angaben zu folgenden Punkten enthalten:
- Wie Sie die Informationen verarbeiten
- Der Bearbeitungszweck
- Die Art der verarbeiteten Daten
- Wo die Verarbeitung stattfindet
- An wen Sie die Daten weitergeben.
Dies könnte Änderungen an Ihrer technischen Infrastruktur erfordern. Außerdem müssten Sie ein definiertes Verfahren für die Übermittlung und Speicherung der gesammelten Daten einführen.
Holen Sie die Einwilligungen der Nutzer ein
Holen Sie für jeden der Verarbeitungszwecke eine gültige Einwilligung ein. Nach dem revDSG sind Sie verpflichtet, die Einwilligung für die Verarbeitung personenbezogener Daten einzuholen, wenn Sie besonders schützenswerte Personendaten erheben oder Profiling mit hohem Risiko ausüben.
Das revDSG verlangt von Ihnen, dass Sie die folgenden Grundsätze befolgen:
- Datenschutz durch Technik (Privacy by Design) – Sie ergreifen bereits in der Planungsphase geeignete technische Vorkehren, um den Verstoß gegen Datenschutzvorschriften zu verunmöglichen oder zumindest die Gefahr erheblich zu verringern.
- Datenschutzfreundliche Voreinstellungen (Privacy by Default) – Sie stellen durch vorgegebene Einstellungen sicher, dass alle erforderlichen Personendaten ausschließlich für den jeweiligen Zweck verarbeitet werden
Mehr zu beiden Konzepten finden Sie in diesem Artikel: Was sind Privacy by Design & Privacy by Default unter der DSGVO
Führen Sie Verfahren gegen Verletzungen der Datensicherheit ein
Bei einer Verletzung der Datensicherheit informieren Sie unverzüglich den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB).
Sie sind auch verpflichtet, die betroffenen Personen zu informieren, wenn der Verstoß ein Risiko für ihre Grundrechte darstellt.
Befolgen Sie die Anforderungen für den grenzüberschreitenden Datentransfer
Das revDSG erlaubt, Daten international zu übermitteln, wenn die Empfängerländer einen angemessenen Schutz gewährleisten. In diesem Fall benötigen Sie keine weitere Genehmigung von einer Entität oder eine zusätzliche Einwilligung von einem Nutzer.
Für Drittländer gelten andere Regeln. In diesem Fall setzen Sie zusätzliche rechtliche Instrumente ein, wie die Einwilligung des Nutzers, Standardvertragsklauseln und andere.
Für Drittländer gelten andere Regeln. In diesem Fall setzen Sie zusätzliche rechtliche Instrumente ein, wie die Einwilligung des Nutzers, Standardvertragsklauseln und andere.
Erstellen Sie eine Datenschutz-Folgenabschätzung, falls erforderlich
Wenn Ihr Unternehmen personenbezogene Daten verarbeitet, sind Sie verpflichtet, abzuschätzen, ob es ein hohes Risiko für die Grundrechte der betroffenen Person darstellt. Wenn Sie Risiken feststellen, erstellen Sie eine Datenschutz-Folgenabschätzung (DSFA).
Anders als die DSGVO und die LGPD, die Unternehmen ab bestimmten Schwellenwerten verpflichten, einen Datenschutzbeauftragten zu benennen, enthält das neue DSG keine solche Vorgabe. Der Gesetzgeber ermutigt Unternehmen dazu, einen Datenschutzbeauftragten zu bestellen, aber sie sind nicht gesetzlich dazu verpflichtet.
PRO TIP
So unterstützt Sie die Piwik PRO Analytics Suite, Pflichten des neuen DSG nachzugehen:
- Sie verwenden den Consent Manager, der sich nahtlos in Analytics und Tag Manager integriert.
- Sie sammeln und verarbeiten Nutzeranfragen.
- Sie nutzen eine sichere Datenspeicherung in Public Cloud oder Private Cloud.
- Sie erhalten volle Kontrolle über die gesammelten Daten und verlassen sich darauf, dass wir sie nicht für unsere eigenen Zwecke verwenden.
Strafen
Wer die Informationspflicht gegenüber den betroffenen Personen verletzt oder nicht mitwirkt, wird mit einer Buße von bis zu 250 000 CHF bestraft. Die Buße wird nicht dem Unternehmen auferlegt, sondern der Person, die für die Datenverletzung verantwortlich ist.
Weitere Informationen zu diesem Thema finden Sie in diesem Blogbeitrag: Datenschutzgesetz Schweiz 2023 (revDSG): der praktische Leitfaden
Kapitel 13
Wie bereiten Sie sich auf diese Vorschriften weltweit vor?
Die neuen Datenschutzgesetze sind eine komplexe Sammlung von Leitlinien. Es ist schwierig, einen Rahmen zu bestimmen, mit dem Sie sich auf alle vorbereiten. Es gibt jedoch einige Herausforderungen, die in mehreren dieser Gesetze auftauchen. Nachfolgend listen wir die wichtigsten gemeinsamen Punkte auf:
Kapitel
- Vorwort: DSGVO – Datenschutz-Grundverordnung
- California Privacy Rights Act (CPRA)
- Virginia Consumer Data Protection Act (CDPA)
- Kanadas Consumer Privacy Protection Act (CPPA)
- Neuseelands Privacy Act
- Das brasilianische Lei Geral de Proteção de Dados (LGPD)
- Singapurs Personal Data Protection Act (PDPA)
- Thailands Personal Data Protection Act (PDPA) 2019
- ePrivacy-Verordnung
- Deutsches Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG)
- Chinas Personal Information Protection Law (PIPL)
- Bundesgesetz über den Datenschutz (revDSG) der Schweiz
- Wie bereiten Sie sich auf diese Vorschriften weltweit vor?
1. Beseitigen Sie Schwachstellen in Ihrem System
Nach vielen dieser Gesetze werden Datenschutzverstöße teuer. Dennoch haben Websites heute Dutzende, wenn nicht Hunderte von Elementen von Drittanbietern in ihren Code eingebettet. Da die Drittanbieter diese Komponenten auf externen Servern hosten, haben Sie keine Kontrolle darüber. Sie verfügen über begrenzte Optionen, potenzielle Sicherheitsverstöße von bösartigen Codeänderungen zu erkennen.
Wenn Sie mit SaaS-Anbietern zusammenarbeiten, die Skripte von Drittanbietern verwenden, wird die Sicherheit Ihrer Website nur so stark wie das schwächste Glied im Ökosystem Ihres Anbieters. Um diese potenzielle Schwachstelle zu beseitigen, ist es besser, auf Produkte mit geschützter Infrastruktur umzusteigen – mit einer sicheren öffentlichen Cloud oder einer privaten Cloud.
Um mehr über die Unterschiede zwischen diesen Hosting-Optionen zu erfahren, lesen Sie dies: So hosten Sie Ihr Analytics: Public Cloud, Private Cloud oder On-Premises
2. Einwilligungs- oder Opt-out-Mechanismen anwenden
Eine der am häufigsten wiederkehrenden Forderungen der neuen Gesetze ist, dass jeder Website-Besitzer aktive Einwilligungen einholt oder den Nutzern zumindest ermöglicht, dem Tracking zu widersprechen.
In dieser Situation sollten Sie darüber nachdenken, einen Mechanismus einzusetzen, der Einträge über Einwilligungen oder Opt-outs sammelt, speichert und verwaltet. Dies bezieht sich auch auf alle möglichen Datenschutzanfragen, die sich aus der Tatsache ergeben, dass Sie personenbezogene Daten/Informationen verarbeiten.
Eine der beliebtesten Methoden, diese Art von Problemen anzugehen, sind Consent Manager.
Wenn Sie wissen möchten, wie der Piwik PRO Consent Manager die Anforderung erfüllt, starke Einwilligungen zu sammeln, empfehlen wir Ihnen diese Seite.
3. Prüfen Sie, wohin Sie Ihre Daten senden
Viele der vorgestellten Gesetze stellen besondere Ansprüche an internationale Datenübermittlungen. Das bedeutet nicht, dass Sie keine Daten mehr im Ausland aufbewahren dürfen. Sie müssen aber bei der Auswahl der Plattformen, die Sie in Ihrer täglichen Arbeit verwenden, auf jeden Fall achtsamer sein.
Singapurs PDPA beispielsweise dürfen Sie keine Nutzerdaten an Länder mit niedrigen Datenschutzstandards senden. Dies wirkt sich möglicherweise auf Ihr Marketing- und Datenanalyse-Toolset, da viele Softwareanbieter Daten an Standorten weltweit, einschließlich der USA, speichern.
4. Finden Sie heraus, ob Ihr Softwareanbieter Sie dabei unterstützt, Ihren Pflichten nachzukommen
Stellen Sie sicher, dass Ihr Softwareanbieter Ihre technischen Anforderungen erfüllt. Er sollte die Daten Ihrer Nutzer so speichern, dass sie voll zugänglich und übertragbar bleiben. So können Sie problemlos auf alle relevanten Informationen, die von Ihren Marketing-Tools erfasst wurden, zugreifen, sie löschen, berichtigen und übermitteln. Bei dieser Art von Anfragen besteht die größte Herausforderung darin, die Nutzerdaten aus Backups zu entfernen.
Prüfen Sie ebenfalls, ob Ihr Softwareanbieter die besten Datenschutzpraktiken anwendet, z. B. keine personenbezogenen Daten für eigene Zwecke verwendet oder an Dritte weitergibt.
Unterzeichnen Sie mit Ihren Softwareanbietern einen Datenverarbeitungsvertrag (Data Processing Agreement, DPA), um sicherzustellen, dass jede Partei seine Pflichte kennt und respektiert.
Wenn Sie nicht wissen, wie Sie einen ordnungsgemäßen DPA aufsetzen, lesen Sie unbedingt diesen Artikel: Die 7 wichtigsten Bestandteile eines Data Processing Agreement
5. Erwägen Sie die Möglichkeit der Datenanonymisierung
Wenn Sie Daten über Ihre Besucher verwenden, ohne eine Einwilligung einzuholen, müssen Sie sicherstellen, dass Sie die Daten ordnungsgemäß anonymisieren. Analytics-Plattformen, die anonyme Daten sammeln, wie Piwik PRO bieten einen dritten Weg anstelle von einem Alles-oder-Nichts-Ansatz, der auf Einwilligungen basiert.
Erfahren Sie mehr über Ihre Tracking-Optionen mit der Piwik PRO Analytics Suite
Vergessen Sie auch nicht, dass diese Regulierungen nur ein Teil des größeren Ökosystems des Datenschutzes sind. In einigen Ländern – wie etwa Australien – gelten die Vorschriften seit mehr als 30 Jahren!
Datenschutzgesetze in aller Welt: Fazit
Wir hoffen, dass Ihnen dieser Beitrag einen besseren Überblick darüber verschafft, was in der Welt der Datenschutzrechte passiert. Als datenschutzfreundlicher Analyticsanbieter stellen wir sicher, dass unsere Plattform unseren Kunden hilft, sich an Gesetze auf der ganzen Welt anzupassen. Wenn Sie erfahren möchten, wie unser Produkt Sie dabei unterstützen kann, die neuen Vorschriften einzuhalten, kontaktieren Sie uns. Unser Team beantwortet gerne alle Ihre Fragen.
Hier finden Sie eine Auswahl an Blogbeiträgen, um noch tiefer in die Themen Datenschutz und Analytics einzusteigen:
Vereinbaren Sie eine Demo einer Piwik PRO Enterprise Konfiguration – Fortgeschrittene Analytics Features mit Datenschutz und Sicherheit.
Wir beantworten alle Ihre Anfragen.