11 neue Datenschutzgesetze weltweit und wie sie Ihr Analytics beeinflussen

Die DSGVO war ein Durchbruch im Datenschutz – der neue, Goldstandard unter den Datenschutzregeln. Hier erinnern wir an die wichtigsten Grundsätze, die im Bericht “Global convergence of data privacy standards and laws” veröffentlicht wurden:

• Die DSGVO befähigte Datenschutzbehörden, verbindliche Beschlüsse zu treffen und verwaltungsrechtliche Sanktionen einschließlich Geldbußen zu verhängen.
• Sie führte das Recht auf Widerspruch gegen Datenverarbeitung im Interesse des Verantwortlichen oder im öffentlichen Interesse ein.
• Der Datenverantwortliche ist verpflichtet, Datenschutzbehörden und betroffene Personen über Datenschutzverstöße zu informieren.
• Die DSGVO setzt strengere Vorgaben zur Einwilligung ein.
• Die Verordnung bezieht biometrische und/oder genetische Daten in die Definition sensibler Daten ein.
• Der Datenschutzbeauftragte (DSB) übernimmt eine obligatorische Rolle in Organisationen, die personenbezogene Daten verarbeiten.

Wir beobachteten eine Art Dominoeffekt. Verschiedene Länder führten nacheinander Datenschutz-Rahmenkonzepte im Stil der DSGVO ein.

Neue Datenschutzgesetze wirkten sich zweifellos – lokal und global – auf die Wirtschaft aus. International handelnde Unternehmen passen sich einer Vielzahl von Rechtsvorschriften an, die oft unterschiedliche Pflichten und Einschränkungen mit sich bringen.

Wir stellten die wichtigsten neuen Datenschutzgesetze weltweit zusammen, um Unternehmen bei dieser Aufgabe unter die Arme zu greifen. Ferner erläutern wir, wie sie sich praktisch auf die Unternehmen auswirken, die Analyse- und Marketingplattformen wie CRM, CDP oder Webanalytics einsetzen.

Datum des Inkrafttretens: 1. Januar 2023

Der Anwendungsbereich

CPRA ändert den vom CCPA umrissenen Anwendungsbereich. 

Das Gesetz gilt für jedes Unternehmen, das gewinnorientiert agiert und personenbezogene Daten von kalifornischen Einwohnern verarbeitet, wenn es:

• Einen jährlichen Bruttoumsatz von mindestens 25 Millionen US-Dollar erarbeitet
• Jährlich Informationen von 100.000 oder mehr Einwohnern/Haushalten oder netzwerkfähigen Geräten in Kalifornien sammelt
• Mindestens 50 % ihres Jahreseinkommens aus dem Verkauf oder Weitergabe von Informationen über Einwohner Kaliforniens erwirtschaftet

Die Anhebung des Schwellenwerts von 50.000 kalifornischen Einwohnern im CCPA auf 100.000 verringert die Zahl der Unternehmen, die unter das Gesetz fallen. Die Aufnahme des Begriffs „Weitergabe“ in die Regel über die Erzielung von 50 % oder mehr des Jahreseinkommens aus dem Verkauf personenbezogener Daten erhöht jedoch potenziell die Zahl der Organisationen, für die das Gesetz gilt.

Wie definiert CPRA personenbezogene Daten?

Die Definition von personenbezogenen Daten stimmt mit der des CCPA überein und ist recht weit gefasst:

[I]Informationen, die einen bestimmten Verbraucher oder Haushalt identifizieren, sich auf ihn beziehen, ihn beschreiben, diesem direkt oder indirekt nachvollziehbar zugeordnet werden können.

Die Definition personenbezogener Daten umfasst eindeutige (persönliche) Kennungen – von denen viele der Treibstoff für Marketingaktivitäten sind:

“Eindeutige Kennung” oder “eindeutige persönliche Kennung”: Eine dauerhafte Kennung, die verwendet werden kann, um einen Verbraucher, eine Familie oder ein Gerät, das mit einem Verbraucher oder einer Familie verbunden ist, im Laufe der Zeit und über verschiedene Dienste hinweg zu erkennen, einschließlich, aber nicht beschränkt auf eine Gerätekennung, eine Internetprotokolladresse, Cookies, Beacons, Pixel-Tags, mobilen Werbekennungen oder ähnliche Technologien; Kundennummern, eindeutige Pseudonyme oder Nutzeraliase; Telefonnummern oder andere Formen von dauerhaften oder wahrscheinlichen Identifikatoren, die verwendet werden können, um einen bestimmten Verbraucher oder ein bestimmtes Gerät zu identifizieren […].

Wie definiert CPRA sensible personenbezogene Daten?

CPRA sieht eine neue Kategorie von Daten vor – sensible personenbezogene Daten („sensitive personal information”  = SPI). Solche Daten erfordern angemessene Sicherheitsmaßnahmen. Verbraucher haben das Recht, von Unternehmen zu verlangen, dass sie ihre personenbezogenen Daten eingeschränkt verwenden.

Zu den sensiblen personenbezogenen Daten gehören:

• Sozialversicherungsnummer
• Führerscheindaten
• Staatlicher Personalausweis
• Reisepassnummer
• Finanzkontoinformationen und Anmeldedaten
• Debitkarten- oder Kreditkartennummer und Zugangsdaten
• Genaue Geolokalisierungsdaten
• Religiöse oder philosophische Überzeugungen
• Ethnische Herkunft
• Inhalte der Kommunikation
• Genetische Daten
• Biometrische Informationen zum Zweck der Identifizierung
• Informationen zur Gesundheit
• Informationen über das Geschlecht oder die sexuelle Orientierung

Die wichtigsten Pflichten gemäß CPRA

Ergreifen Sie Maßnahmen zum Schutz der Daten von Minderjährigen

Für den Verkauf personenbezogener Daten von Minderjährigen (unter 16 Jahren) schreibt CPRA ein Opt-in vor. Unternehmen müssen außerdem 12 Monate warten, bevor sie einen minderjährigen Verbraucher um die Zustimmung zum Verkauf oder zur Weitergabe seiner personenbezogenen Daten bitten, nachdem der Minderjährige dies abgelehnt hat.

Ordnen Sie Ihre Datenprozesse

Stellen Sie sicher, dass Sie wissen, welche Arten von personenbezogenen Daten Sie sammeln. Bereiten Sie die Daten für Zugriffs- und Löschanfragen oder Datenübertragungsanforderungen Ihrer Kunden.

Die Verbraucher haben das Recht:

• Einen Bericht mit den personenbezogenen Daten zu erhalten, die Unternehmen in den letzten 12 Monaten über sie gesammelt haben (unter bestimmten Umständen auch über den 12-Monats-Zeitraum hinaus).
• Zu verlangen, dass ein Unternehmen bestimmte personenbezogene Daten an ein anderes Unternehmen weitergibt
• Zu verlangen, dass die Unternehmen ihre personenbezogenen Daten löschen 
• Die Unternehmen aufzufordern, den Verkauf oder die Weitergabe ihrer Daten einzustellen
• Über die Dauer der Datenspeicherung informiert zu werden.
• CPRA führt zusätzliche Verbraucherschutzrechte ein, die der CCPA nicht einbezieht:
• Das Recht, von einem Unternehmen zu verlangen, dass es unrichtige personenbezogene Daten korrigiert
• Das Recht auf Zugang zu Informationen über die automatisierte Entscheidungsfindung (z. B. Profilerstellung) und das Recht, diese abzulehnen.

Wichtig ist, dass ein Unternehmen Verbraucher, die ihre Rechte anwenden, nicht diskriminieren darf.

Überprüfen Sie die Quellen Ihrer Third-Party-Daten 

Gemäß dem CPRA ist der Umgang mit gestohlenen Daten eine Straftat. Unternehmen, die Kundendaten von Dritten kaufen, sollten immer darauf achten, dass diese aus einer legitimen Quelle stammen.

Auf Wunsch des Verbrauchers leiten die Unternehmen den Löschantrag an Dritte weiter, die die personenbezogenen Daten des Verbrauchers gekauft oder erhalten haben.

Bereiten Sie ein Verfahren für den Umgang mit Verbraucheranfragen vor

Stellen Sie Nutzern mindestens zwei Optionen für Anfragen bereit. Den Link zu diesen Formularen setzen Sie, zusammen mit dem Text: “Do Not Sell My Personal Information” auf Ihre Homepage.

Passen Sie Ihre interne Datenschutzrichtlinie an

CCPA forderte bereits einen detaillierten, DSGVO-ähnlichen Ansatz für die Datenschutzrichtlinie.

Ihre Datenschutzrichtlinie soll die oben beschriebenen Verbraucherrechte abbilden. Sie soll auch klarstellen:

• Welche Arten von personenbezogenen Daten Sie sammeln
• Wie Sie sie sammeln
• Wo Sie sie verwenden und 
• Mit welchen Dritten Sie sie teilen.

CPRA erweitert die Offenlegungspflichten. Sie sind verpflichtet,

• Offenzulegen, ob Sie die gesammelten Daten verkaufen oder weitergeben.
• Die sensiblen personenbezogenen Daten zu identifizieren, die Sie sammeln.
• Festzustellen, wie lange Sie die Daten aufbewahren oder Kriterien offenzulegen, nach denen Sie die Dauer der Aufbewahrung bestimmen.
• Offenzulegen, ob Sie Informationen durch einen auffälligen Hinweis sammeln.

Ergreifen Sie geeignete Sicherheitsmaßnahmen zum Schutz der Daten

Nach dem CPRA ist jedes Unternehmen, das personenbezogene Daten von Verbrauchern sammelt, dazu verpflichtet:

[…] begründete Sicherheitsverfahren und -praktiken einzuführen, die der Art der personenbezogenen Daten angemessen sind, um die personenbezogenen Daten vor unbefugtem oder rechtswidrigem Zugriff, Zerstörung, Verwendung, Änderung oder Offenlegung gemäß Abschnitt 1798.81.5 zu schützen.

Einwohner Kaliforniens haben das Recht, Unternehmen zu verklagen, die ihre Daten verwenden, wenn diese gestohlen oder bei einer Datenschutzverletzung offengelegt wurden. Ferner können sie auch Unternehmen verklagen, die die Sicherheit ihrer Daten vernachlässigen (z. B. weil sie sie nicht verschlüsseln).

Strafen

Das kalifornische Gesetz verhängt auch Strafmaßnahmen gegen Unternehmen, die ihren Pflichten nicht nachkommen. Es sieht folgende Bußgelder vor:

• Im Falle einer Verbraucherklage: 100-750 USD (oder die Kosten des tatsächlichen Schadens, je nachdem, welcher Betrag höher ist) pro Einwohner und Vorfall bei Datenschutzverletzungen oder Datendiebstahl, wenn das Unternehmen die Daten nicht ordnungsgemäß schützte
• Im Falle einer Klage des Generalstaatsanwalts: 2.500 USD pro unbeabsichtigten Verstoß und bis zu 7.500 USD pro vorsätzliche Verletzung des Datenschutzes. In Fällen, in denen Minderjährige involviert sind, beträgt die maximale Geldstrafe 7.500 USD, sowohl für vorsätzliche als auch für unbeabsichtigte Verstöße.
• Beim CPRA haben Unternehmen keine 30-Tage-Frist, um den Verstoß zu beheben, sobald sie über die Nichteinhaltung informiert werden, wie es beim CCPA der Fall war.

Datum des Inkrafttretens: 1. Januar 2023

Wen betrifft das Gesetz?

Das Gesetz gilt für jedes Unternehmen, das in Virginia tätig ist, Produkte oder Dienstleistungen für Einwohner aus Virginia anbietet und die personenbezogenen Daten von mindestens:

• 100.000 Verbrauchern pro Kalenderjahr kontrolliert oder verarbeitet
• 25.000 Verbrauchern kontrolliert oder verarbeitet und mindestens 50 % seines Bruttoumsatzes aus dem Verkauf dieser Daten erzielt

Interessant ist, dass selbst große Unternehmen dem Gesetz nicht unterliegen, wenn sie nicht in eine dieser beiden Kategorien fallen.

Das Gesetz betrifft auch nicht:

• Institutionen, Behörden, Kammern, Büros, Kommissionen, Bezirke oder Agenturen Virginias oder jede politische Unterabteilung Virginias
• Finanzinstitute oder Finanzdienstleister, die dem Gramm-Leach-Bliley Act unterliegen
• Jedes Unternehmen oder Organisation, die dem Health Insurance Portability and Accountability Act (HIPAA) und dem Health Information Technology for Economic and Clinical Health Act (HITECH) unterliegen
• Gemeinnützige Organisationen (einschließlich bestimmter Arten von politischen Organisationen)
• Hochschulen

Diese Schlüsselbegriffe des CDPA wirken sich auch auf den Geltungsbereich des Gesetzes aus (Kapitel 52, § 59.1-571.):

• „Verbraucher“ ist eine natürliche Person, mit Wohnsitz im Commonwealth, die nur im Rahmen einer Einzelperson oder eines Haushalts handelt, was bedeutet, dass das Gesetz beispielsweise keine Arbeitnehmerdaten umfasst.
• „Verkauf personenbezogener Daten“ ist ein Austausch personenbezogener Daten gegen Entgelt durch den Verantwortlichen an einen Dritten, was bedeutet, dass der Austausch von Nutzerdaten gegen nicht monetäre Güter nicht als Verkauf von Daten gilt.

Wie definiert CDPA personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die mit einer identifizierten oder identifizierbaren natürlichen Person verknüpft oder vernünftigerweise mit dieser verknüpfbar sind (Kapitel 52, § 59.1-571). Das Gesetz enthält keine weiteren Richtlinien zu „vernünftigerweise verknüpfbaren“ Daten. Dies weist darauf hin, dass das Gesetz alle Arten von identifizierbaren Daten über eine Person abdeckt, einschließlich Online-Identifikatoren wie Cookies oder Nutzer-IDs.

Der CDPA schließt jedoch Folgendes von der Definition personenbezogener Daten aus:

• Arbeitnehmerdaten
• Anonymisierte Daten
• Öffentlich verfügbare Informationen

Was sind sensible Daten?

CDPA legt eine besondere Kategorie personenbezogener Daten fest, die als sensible Daten gelten. Sie umfasst, ist aber nicht beschränkt auf:

• Daten über rassische oder ethnische Herkunft, religiöse Überzeugungen, psychische oder körperliche Gesundheitsdiagnosen, sexuelle Orientierung, Staatsbürgerschaft oder Einwanderungsstatus.
• Genetische oder biometrische Daten, die es ermöglichen, eine Person zu identifizieren.
• Personenbezogene Daten eines Kindes.
• Präzise Geolokalisierungsdaten.

Die Verarbeitung dieser Art von Informationen bringt verschiedene Datenschutzverpflichtungen mit sich, darunter die aktive Zustimmung des Nutzers. Wir werden später darüber sprechen.

Ihre Hauptpflichten unter CDPA

✓ Respektieren Sie Verbraucherrechte

Das CDPA gibt Verbrauchern sechs wichtige Rechte:

• Auskunftsrecht – Auf Anfrage von Verbrauchern legen Sie offen, welche Informationen Sie über sie gesammelt haben.
• Recht auf Berichtigung – Auf Anfrage von Verbrauchern berichtigen Sie die über sie gesammelten Informationen.
• Recht auf Löschung – Auf Anfrage von Verbrauchern löschen Sie alle über sie gesammelten Informationen.
• Recht auf Datenübertragbarkeit – Auf Anfrage von Verbrauchern stellen Sie ihnen eine Kopie der von ihnen gesammelten Daten bereit. Die Kopie sollte in einem tragbaren und leicht verwendbaren Format vorliegen. Dies ermöglicht Verbrauchern, z. B. ihre Daten einfach an verschiedene Institutionen und Unternehmen zu übermitteln.
• Beschwerderecht – Die CDPA gibt Ihnen 45 Tage Zeit Verbraucheranfragen zu bearbeiten. Bei Bedarf verlängern Sie die First um weitere 45 Tage. Vorausgesetzt, Sie informieren die Verbraucher darüber innerhalb des ersten Antwortfensters. Verbraucher legen eine Beschwerde ein, sobald das Unternehmen diese Fristen nicht einhält. Der Generalstaatsanwalt überprüft die Beschwerde der Fahrlässigkeit.
• Widerspruchsrecht – Die Verbraucher haben das Recht, dem Sammeln ihrer Daten, z. B. zur gezielten Werbung, dem Verkauf ihrer Daten oder dem Profiling zu widersprechen und Sie sind verpflichtet die Auswahl zu respektieren. Sie bieten ihnen Hilfsmittel, damit sie dieses Recht ausüben können, z.B. indem Sie ein Opt-Out-Widget auf Ihrer Website platzieren

✓ Beschreiben Sie in Ihrer Datenschutzerklärung die Methoden, mit denen Sie Daten verarbeiten

Das Gesetz verlangt von Ihnen, Verbraucherdaten transparent zu erheben, zu verarbeiten und weiterzugeben. Erläutern Sie Ihren Website-Besuchern in Ihrer Datenschutzerklärung:

• Welche Kategorien personenbezogener Daten Sie verarbeiten
• Welche Kategorien personenbezogener Daten Sie an Dritte weitergeben
• Mit welchen Drittparteien Sie personenbezogene Daten teilen
• Zu welchen Zwecken Sie personenbezogene Daten verarbeiten
• Wie Sie Verbrauchern verhelfen, ihre Rechte auszuüben (z. B. Recht auf Löschung oder Berichtigung ihrer Daten, Auskunftsrecht)

✓ Verwenden und sammeln Sie Daten nur in begrenztem Umfang

Beschränken Sie den Umfang der gesammelten Daten auf das, was angemessen, relevant und vernünftigerweise notwendig in Bezug auf die Zwecke ist, für die die Daten verarbeitet werden. Verwenden Sie Verbraucherdaten nur auf jene Art und Weise, die Sie in Ihrer Datenschutzrichtlinie beschreiben, es sei denn, Sie haben eine aktive Einwilligung des Nutzers für neue Zwecke des Datengebrauchs.

✓ Wenden Sie technische Schutzmaßnahmen für Ihre Daten an

Führen Sie einen Prozess ein, der gewährleistet, dass personenbezogene Daten vertraulich, unversehrt und zugänglich bleiben. Das Gesetz enthält jedoch keine spezifischen Angaben zu den bevorzugten Methoden.

✓ Führen Sie Datenschutzbewertungen durch

Führen Sie Datenschutzkontrollen durch, die Ihnen helfen, potenzielle Risiken der Datenverarbeitung abzuschätzen. Eine umfassende Liste der Aktivitäten finden Sie hier.

✓ Unterzeichnen Sie Auftragsverarbeitungsverträge mit jeder Partei, die Daten in Ihrem Namen verarbeitet

Schließen Sie mit jeder Partei, die Zugriff auf die von Ihnen erfassten Verbraucherdaten hat, einen Auftragsverarbeitungsvertrag ab (auch Data Processing Agreement genannt). Die wichtigsten Informationen in diesem Dokument sind: 

• Klare Vorgaben zur Verarbeitung der Daten
• Art und Zweck des Prozesses
• Die Art der verarbeiteten Daten
• Die Dauer der Verarbeitung
• Rechte und Pflichten beider Parteien

Strafen bei fehlender Compliance

Der CDPA befugt Verbraucher nicht, eine private Klage einzureichen. Bußgelder verhängt der Generalstaatsanwalt und belegt sie mit einer 30-tägigen Behebungsfrist. Wenn die Organisation nach dieser Zeit immer noch gegen das Gesetz verstößt, kann sie mit Geldstrafen von bis zu 7.500 USD pro Verstoß rechnen.

Falls verabschiedet, wird der Bill C-27 folgende neue Gesetze schaffen:

• Den Consumer Privacy Protection Act (CPPA), das wichtigste Datenschutzgesetz, das den Personal Information Protection and Electronic Documents Act (PIPEDA) ersetzen wird (wie es auch Bill C-11 vorsieht)
• Den Personal Information and Data Protection Tribunal Act (das Gesetz zum Schutz personenbezogener Informationen und Daten), der ein neues Gericht schaffen wird. Das Gericht übernimmt die derzeitige Rolle des Bundesgerichts im Rahmen des PIPEDA und ermöglicht ein neues Sanktionssystem, wie es auch Bill C-11 vorsieht.
• Das Gesetz über künstliche Intelligenz und Daten (Artificial Intelligence and Data Act), das einen Neuzugang zu Bill C-27  im Vergleich zu Bill C-11 darstellt und nicht genau in den CPPA/Tribunal-Rechtsrahmen passt.

Datum des Inkrafttretens: Unbekannt. Das Gesetz befindet sich derzeit im Entwurfsstadium.

Was sind personenbezogene Daten gemäß CPPA?

Das neue Gesetz behält die in PIPEDA festgelegte Definition von personenbezogenen Daten bei. Unter dem CPPA sind personenbezogene Daten alle Informationen über eine identifizierbare natürliche Person, lebend oder verstorben zusammengefasst. Sie umfassen:

• Alter, Name, ID-Nummern, Einkommen, ethnische Herkunft oder Blutgruppe
• Meinungen, Bewertungen, Kommentare, sozialer Status oder Disziplinarmaßnahmen
• Personalakten, Kreditunterlagen, Darlehensunterlagen, Krankenakten, Bestehen einer Streitigkeit zwischen einem Verbraucher und einem Händler, Absichten (z. B. zum Erwerb von Waren oder Dienstleistungen oder zum Arbeitsplatzwechsel)

[Quelle]

Wer ist vom CPPA betroffen?

CPPA-Vorgaben gelten für jede Organisation, die:

• Personenbezogene Daten für kommerzielle Zwecke sammelt, verarbeitet und weitergibt.
• Personenbezogene Daten von Mitarbeitern und Stellenbewerbern sammelt, verarbeitet und weitergibt.

CPPA gilt nicht für:

• Staatliche Organisationen, die unter den Privacy Act fallen.
• Personenbezogene Daten, die für journalistische, künstlerische und literarische Zwecke verwendet werden.
• Personenbezogene Daten, die für persönliche Zwecke verwendet werden.
• Personenbezogene Daten, die in Bezug auf Beschäftigung, Geschäftsaktivität oder Beruf verwendet werden.

Ihre Hauptaufgaben unter CPPA

✓ Übernehmen Sie die Verantwortung für die gesammelten Daten

Der CPPA macht Ihre Organisation verantwortlich für die Sicherheit der personenbezogenen Daten, unabhängig davon, ob Sie oder andere Personen in Ihrem Namen die Daten sammeln, verwalten oder weitergeben.

Sie sind verpflichtet, personenbezogene Daten durch physische, organisatorische und technologische Sicherheitsvorkehrungen zu schützen. Sie sollen dabei das Schutzniveau an die Sensibilität der Daten anpassen. Außerdem sind Sie verpflichtet, „angemessene Maßnahmen zu ergreifen, um die Identität der Person, auf die sich die personenbezogenen Daten beziehen, zu bestätigen“.

Sie sind auch verpflichtet, eine Person zu beauftragen, die die Erfüllung der Datenschutzpflichten verantwortet und deren Kontaktdaten Sie offenlegen, z. B. in Ihrer Datenschutzerklärung oder auf Anfrage eines Besuchers.

✓ Holen Sie Einwilligungen ein

Holen Sie sinnvole Einwilligungen ein, um personenbezogene Daten der Nutzer zu erheben, zu verwalten und weiterzugeben. Informieren Sie mit der Aufforderung Ihre Besucher ordnungsgemäß über deren Optionen in einfacher Sprache. 

Die Einwilligungsaufforderung kommt in zwei Formen vor:

• Implizite Form – Sie informieren die Nutzer, dass Sie ihre personenbezogenen Daten erheben und ermöglichen ihnen ein Opt-out-Verfahren
• Explizite Form – Sie holen eine aktive Einwilligung der Nutzer ein, bevor Sie anfangen, Daten zu tracken

Ihre Wahl der impliziten oder expliziten Einwilligung hängt von der Art der personenbezogenen Daten ab. Während sensiblere Daten eine aktive Einwilligung erfordern, können Sie sich bei weniger sensiblen Daten auf die stillschweigende Einwilligung verlassen. Denken Sie daran, dass das Dokumentieren von Einwilligungen (eine Pflicht gemäß CPPA) bei expliziten Einwilligungen viel einfacher ist als bei solchen, die auf Untätigkeit der Nutzer beruhen.

Unabhängig davon, für welche Art der Einwilligung Sie sich entscheiden, stellen Sie sicher, dass Ihre Nachricht an Besucher folgende Informationen enthält:

• Wege und Zwecke, für die Sie personenbezogene Daten erheben, verwalten und weitergeben.
• Konsequenzen der Erhebung, Verwendung oder Weitergabe der personenbezogenen Daten.
• Arten von personenbezogenen Daten, die Sie sammeln, verwalten und weitergeben.
• Die Namen von Drittparteien, mit denen Sie die personenbezogenen Daten der Nutzer teilen.

Denken Sie ebenfalls an das Recht der Nutzer, die Einwilligung zu widerrufen. Sie sollten ihnen auf einfache Art und Weise ermöglichen, ihre Meinung zu ändern, z. B. über ein Kontaktformular oder eine E-Mail-Adresse auf Ihrer Datenschutzseite. Falls Sie einen Antrag auf Widerruf der Einwilligung erhalten, informieren Sie den Nutzer über die Folgen des Widerrufs und hören so schnell wie möglich auf, Daten zu erheben, zu verwenden oder weiterzugeben.

✓ Beachten Sie Rechte der Nutzer auf Datenübertragbarkeit und Löschung

Unter dem CPPA haben Nutzer das Recht:

• Ihre personenbezogenen Daten zwischen Organisationen, z. B. Banken oder Versicherungsanbietern zu übertragen
• Die Löschung ihrer personenbezogenen Daten anzufordern

✓ Denken Sie an Datenschutz-Managementprogramme und Transparenz

Unternehmen sind verpflichtet, transparente Prozesse für den Umgang mit personenbezogenen Daten zu haben. Jede Organisation bereitet Materialien vor, in denen sie beschreibt:

• Wie sie personenbezogene Daten schützt
• Wie sie mit Informationsanfragen und Beschwerden umgeht
• Wie sie andere durch das Gesetz bestimmte Pflichten erfüllt
• Welche Schulungen und Informationen sie ihren Mitarbeitern bereitstellt

Aktualisieren Sie auch Ihre interne Datenschutzrichtlinie, damit sie klar beschreibt, welche Arten von personenbezogenen Daten Sie sammeln und wie Sie diese verarbeiten. Verfassen Sie die Datenschutzerklärung in einfacher und verständlicher Sprache.

✓ Dokumentieren Sie das Einholen von Einwilligungen und Ihre Datenschutzrichtlinien

Ihre Organisation ist verpflichtet, Einwilligungen und die Zwecke, für die sie Daten sammeln, verwalten und weitergeben, zu dokumentieren. Wenn Sie sich entscheiden, Daten für einen neuen Zweck zu nutzen, holen Sie eine separate Einwilligung ein, dokumentieren Sie sie und fügen diese den Unterlagen hinzu.

Diese Daten bewahren Sie in leicht zugänglicher Form auf. Im Falle einer Kontrolle durch Datenschutzbehörden, stellen Sie Informationen, die die Datenschutzrichtlinien und -praktiken der Organisation in verständlicher Sprache erläutern, sowie die Einwilligungserklärungen bereit.

✓ Erwägen Sie, mit anonymisierten Daten zu arbeiten

Der CPPA legt keine Definition von anonymisierten Informationen fest. Stattdessen beschreibt er den Prozess der Datenanonymisierung:
 
Anonymisierung bedeutet, personenbezogene Daten zu modifizieren – oder Informationen aus personenbezogenen Daten zu erstellen – indem technische Verfahren eingesetzt werden, um sicherzustellen, dass die Informationen keine Person identifizieren oder unter vernünftigerweise vorhersehbaren Umständen allein oder in Kombination mit anderen Informationen nicht zur Identifizierung eines Individuums verwendet werden können.

Laut Gesetz benötigen Sie keine Einwilligung der Besucher, um anonymisierte Daten zu sammeln.

✓ Erwägen Sie, mit anonymisierten Daten zu arbeiten

Der Bill C-27 betrachtet die personenbezogenen Daten von Minderjährigen als sensibel. Eltern oder Erziehungsberechtigte können die Rechte (einschließlich der Einwilligung) im Namen ihres Kindes ausüben. Das Kind kann jedoch ihre Genehmigung ablehnen. Außerdem haben Kinder mehr Rechte auf die Löschung ihrer personenbezogenen Daten.

CPPA: Welche Strafen gibt es bei Verstößen?

Die Geldbußen für die fehlende Compliance betragen bis zu 10 Millionen US-Dollar oder bis zu 3 % des weltweiten Umsatzes. Das Gesetz sieht auch höhere Strafen für schwerwiegende und vorsätzliche Verstöße vor, bis zu 25 Millionen US-Dollar oder 5 % des weltweiten Umsatzes.

Wichtig ist, dass Verbraucher dem CPPA nach ein privates Klagerecht erhalten. Sie können Unternehmen verklagen, die ihre Daten in einer gegen das Gesetz verstoßender Weise verwenden.

Datum des Inkrafttretens: 1. Dezember 2020

Der Anwendungsbereich

Das Gesetz gilt für jedes Unternehmen, das Daten von Einwohnern Neuseelands verwaltet, auch wenn es nicht physisch im Land ansässig ist. Fast jede Person oder Organisation, die Kontrolle über personenbezogene Daten behält, ist laut Gesetz eine „Agentur“ (agency). Der Rechtsakt betrifft also alle Regierungsabteilungen, Unternehmen sowie religiöse Gruppen, Schulen und Vereine

Wie es personenbezogene Daten definiert?

Personenbezogene Daten sind Informationen über eine identifizierbare, lebende Person. Dazu gehören Namen, E-Mail-Adressen und biometrische Daten, sowie:

• IP-Adressen
• Eindeutige IDs
• Such- und Browserverlauf
• Daten zu Geräten, Betriebssystemen, Updates etc.
• Standortdaten
• Kauf- und Online-Shopping-Historie
• Einstellungen und Website-Präferenzen
• Verhaltensdaten, wie Scrollgeschwindigkeit, Bewegen der Maus und des Mauszeigers

Wesentliche Pflichten und Vorschriften

• Informieren Sie betroffene Personen über die Erhebung ihrer Daten. Sie sind verpflichtet, die Nutzer zu benachrichtigen und zu informieren, dass Sie ihre Daten sammeln, verwalten und weitergeben. Die Anzeige kann viele Formen annehmen, z. B. ein Datenschutzhinweis mittels Banner an der Unterseite Ihrer Website.
• Beachten Sie die Rechte betroffener Personen. Gemäß dem neuseeländischen Datenschutzgesetz haben betroffene Personen ein Recht auf Zugang und Berichtigung von Daten, die Unternehmen über sie sammeln.
• Benachrichtigen Sie die Behörden über Datenschutzverletzungen. Wenn ein Verstoß gegen das Datenschutzrecht eine definierte Schwelle erreicht, muss eine “Agentur” darüber sowohl die betroffene Person als auch den Datenschutzbeauftragten informieren.
• Seien Sie vorsichtig bei grenzüberschreitenden Datenübertragungen. Das Gesetz führt ein neues Verbot der Weitergabe personenbezogener Daten an das Ausland ein. Ein Unternehmen oder eine Organisation darf personenbezogene Daten nur dann an eine andere Organisation außerhalb Neuseelands weitergeben, wenn es sich vergewissert, dass der Empfänger:
  • Dem Privacy Act unterliegt, weil er in Neuseeland tätig ist
  • Die Daten angemessen schützt
  • Datenschutzgesetzen unterliegt, die vergleichbare Garantien wie der Privacy Act bieten
  • Die Erlaubnis der betroffenen Person zur Weitergabe einholt

Wie Sie sehen, zielt das Gesetz zwar darauf ab, den Informationsfluss über Nutzer zwischen Ländern und Unternehmen zu regeln. Es ist aber nicht so stark wie die DSGVO und andere moderne Datenschutzgesetze. Zum einen schafft es keinen Rahmen, der Internetnutzern die Möglichkeit gibt, dem Tracken ihrer Daten zuzustimmen oder zu widersprechen. Außerdem gibt das Gesetz betroffenen Personen nicht das Recht, vergessen zu werden oder das Recht auf Datenübertragbarkeit. Und schließlich gibt es dem Datenschutzbeauftragten nicht die Möglichkeit, Verstöße gegen den Datenschutz mit Geldstrafen zu belegen, wie dies bei der DSGVO oder der CCPA der Fall ist.

Strafen

Der Gesetzentwurf führt neue Straftatbestände ein. Eine Person macht sich strafbar, wenn sie:

• Falsche oder irreführende Aussagen macht
• Fälschlich angibt, dass eine Person gemäß dem Privacy Act befugt ist
• Sich als eine Privatperson ausgibt oder fälschlich vorgibt, eine Privatperson zu sein, um Zugang zu personenbezogenen Daten einer betroffenen Person zu erhalten
• Wissentliche Dokumente mit personenbezogenen Daten vernichtet, die Gegenstand einer Anfrage sind

Jede Person, die eine der oben genannten Straftaten begeht, unterliegt einer Geldstrafe von bis zu 10.000 US-Dollar.

Datum des Inkrafttretens: 18. September 2020

Der Anwendungsbereich

Wie die DSGVO in der EU hat die LGPD extraterritoriale Anwendung. Es bedeutet, dass das Gesetz jedes Unternehmen betrifft, das:

• Daten innerhalb des brasilianischen Hoheitsgebiets verarbeitet
• Daten von Personen verarbeitet, die sich auf dem brasilianischen Staatsgebiet befinden, unabhängig davon, wo sich der Datenverarbeiter befindet
• Die in Brasilien erhobenen Daten verarbeitet.

Wie es personenbezogene Daten definiert?

Ähnlich wie bei der DSGVO umfasst die Definition der personenbezogenen Daten:

[Alle] Daten, isoliert oder aggregiert, die eine natürliche Person identifizieren oder sie einer bestimmten Handlung ausüben lassen (diese Interpretation scheint sich nach einer umfassender Lektüre des Textes aufzudrängen). In Zeiten von Big Data, die eine schnelle Korrelation von großen, strukturierten und unstrukturierten Datenbanken ermöglichen, können praktisch alle Daten irgendwann als personenbezogen gelten und unterliegen somit dem Gesetz.

Hauptpflichten

Das LGPD teilt viele Merkmale mit der DSGVO, ist aber nicht identisch. Sehen wir uns die wichtigsten Prinzipien an:

• Wählen Sie zwischen 10 rechtmäßigen Gründen für die Verarbeitung von Daten. Abgesehen von den sechs Grundlagen der DSGVO für die rechtmäßige Verarbeitung legt das LGPD einige zusätzliche, spezifische Grundlagen fest. Das brasilianische Gesetz führt vier neue Optionen ein, darunter die Durchführung von Forschungsstudien, medizinische Verfahren, Kreditschutz und Gerichtsverfahren.
• Holen Sie Einwilligungen ein. LGPD behandelt die Einwilligung als freiwillig erteilte, informierte und eindeutige Angabe der Zustimmung der betroffenen Personen zur Datenverarbeitung. Das Gesetz verwendet ein Opt-in-Modell für die Einwilligung. Es bedeutet, dass Sie Daten erst dann erheben oder verarbeiten dürfen, wenn der Nutzer dem zustimmt.
• Beachten Sie die Rechte der betroffenen Personen. Die LGPD führt neue Rechte für betroffene Personen ein, wie z. B. das Recht auf Auskunft, das Recht auf Berichtigung, Löschung oder Ausschluss von Daten, das Recht, der Verarbeitung zu widersprechen, das Recht, eine zuvor erteilte Einwilligung zu widerrufen, das Recht auf Information und Erklärung bezüglich der Verwendung von Daten sowie das Recht auf Datenübertragbarkeit. Außerdem wird ein relativ kurzer Zeitrahmen für die Bearbeitung von Anträgen betroffener Personen, die sich aus diesen Rechten ergeben, festgelegt (15 Tage gegenüber einem Monat gemäß der Datenschutz-Grundverordnung).
• Benachrichtigen Sie die Behörden über Datenschutzverstöße. Meldungen über Datenschutzverstöße an die Datenschutzbehörde werden obligatorisch, müssen aber innerhalb eines „angemessenen Zeitrahmens“ erfolgen, nicht innerhalb von 72 Stunden wie nach der DSGVO.
• Weisen Sie einen Datenschutzbeauftragten zu. Ähnlich wie die DSGVO führt LGPD die Pflicht ein, einen Datenschutzbeauftragten (DSB) zu benennen. Ein Unternehmen oder eine Organisation, die Daten verarbeitet und unter die LGDP fällt, ernennt einen Beauftragten, der die Kommunikation zwischen Gesetzgebern und betroffenen Personen durchführt.
•  Folgen Sie die Grundsätze des Datenschutzes mit Privacy by Design und Privacy by Default. Gestalten Sie Dienstleistungen, Produkte und Geschäftsmodelle im Hinblick auf die Privatsphäre und Datenschutzrechte. Berücksichtigen Sie die allgemeinen Prinzipien der LGPD und Sicherheitsstandards von der Idee bis zur Umsetzung eines Produkts oder einer Dienstleistung.
• Beachten Sie die 10 Grundsätze der Verarbeitung personenbezogener Daten, darunter:
  • Zweckbindung
  • Angemessenheit
  • Notwendigkeit
  • Datenqualität
  • Transparenz
  • Sicherheit
  • Gleichbehandlung
  • Genauigkeit
  • Vorsorge
  • Grundsatz der Rechenschaftspflicht

Umsetzbare Schritte

Wenn Sie bereits DSGVO-konform agieren, erfüllen Sie den Löwenanteil der Vorschriften der LGPD. Es gibt jedoch wichtige Unterschiede, die Sie beachten sollten. Sie betreffen einen kürzeren Zeitraum, in dem Sie Anfragen betroffener Personen verarbeiten und zusätzliche Rechtsgrundlagen für die Datenverarbeitung. Dennoch scheint auch im Fall von LGDP die Einwilligung als die beste Grundlage für Marketing- und Vertriebsaktivitäten.

Strafen

Die Strafen umfassen Mahnungen und Geldbußen. Sie machen nicht mehr als zwei Prozent des Umsatzes des Unternehmens in Brasilien im letzten Geschäftsjahr aus, insgesamt sind jedoch auf 50 Millionen Real (ca. 13.305.657 USD) pro Verstoß begrenzt. Das LGDP sieht auch eine tägliche Geldstrafe vor, um diejenigen zu zwingen, die gegen das Gesetz verstoßen, das Verhalten einzustellen.

Datum des Inkrafttretens: 1. Februar 2021

Der Anwendungsbereich

PDPA regelt, wie Unternehmen und Organisationen personenbezogene Daten in Singapur sammeln, nutzen und weitergeben. Es macht Website-Besitzer, Unternehmen und Organisationen für den Aufbau eines rechtmäßigen Datenerhebungsprozesses verantwortlich.

Das Gesetz wirkt extraterritorial, d. h. es gilt für jedes Unternehmen, das mit Daten von Einwohnern Singapurs umgeht. 

Der PDPA betrifft private Organisationen, die personenbezogene Daten erheben, verwalten und/oder weitergeben. Aber es gibt einige Ausnahmen, wie zum Beispiel:

• Personen, die Daten für ihre persönlichen Zwecke verwenden
• Arbeitnehmer im Rahmen ihrer Beschäftigung bei einer Organisation
• Öffentliche und staatliche Stellen, da sie ihre eigenen Datenschutzregeln haben

Wie PDPA personenbezogene Daten definiert?

Personenbezogene Daten in PDPA sind ein sehr weit gefasster Begriff. Er umfasst Daten, ob wahr oder nicht, über eine Person, die anhand dieser Daten oder anhand dieser Daten und anderer Informationen, auf die die Organisation Zugriff hat oder vermutlich haben könnte, identifiziert werden kann. Zu personenbezogenen Daten gehören:

• Namen, Adressen, E-Mail-Adressen, Telefonnummern
• IP-Adressen, Cookie-Kennungen, eindeutige IDs, Suchverlauf, Browserverlauf, Gerätedaten, Standortdaten
• Angaben zu Alter, Geschlecht, Rasse, Gesundheitszustand, sexueller Orientierung, Aussehen, politischen und religiösen Überzeugungen

Ihre wichtigsten Pflichten gemäß PDPA

✓ Holen Sie Einwilligung der betroffenen Personen ein, um ihre personenbezogenen Daten zu verarbeiten

Eine der wesentlichen Pflichten im Rahmen von PDPA besteht darin, dass Sie Einwilligung des Besuchers benötigen, um seine Daten zu erheben. Die Zustimmung kann einen bejahenden oder stillschweigenden Charakter haben. Die stillschweigende Einwilligung (deemed consent, Art. 15 PDPA) bedeutet, dass Sie die Nutzer über die Datensammlung informieren und ihnen ermöglichen, es abzulehnen, aber die Nutzer tun es nicht. Die bejahende Einwilligung ähnelt der DSGVO – sie erfordert eine aktive Einwilligung der Besucher.

Zu den anderen Regeln zum Einholen rechtmäßiger Einwilligungen gehört das Informieren der Nutzer über:

• Ihre Absicht, ihre Daten zu verarbeiten, bevor Sie anfangen, die Daten zu sammeln
• Die Zwecke der Verarbeitung
• Ihr Recht, die Einwilligung jederzeit zu widerrufen

Schließlich ist es Ihnen nicht erlaubt, Nutzer zur Einwilligung zu zwingen, indem Sie den Zugriff auf ein Produkt oder eine Dienstleistung einschränken.

✓ Respektieren Sie Besucherrechte

Auf Wunsch eines Nutzers:

• Informieren Sie Nutzer, welche personenbezogenen Daten gesammelt werden
• Geben Sie an, wie Sie seine personenbezogenen Daten innerhalb eines Jahres vor der Anfrage verwendeten
• Stellen Sie eine tragbare und übertragbare Kopie der personenbezogenen Daten bereit
• Berichtigen Sie Fehler oder Lücken in den personenbezogenen Daten

✓ Begrenzen Sie Ihre Datensammlung

Ihre Organisation darf personenbezogene Daten nur für die Zwecke erheben, verwalten und weitergeben, denen die Besucher zustimmen. Außerdem bewahren Sie die Daten nur so lange auf, wie Sie sie für einen bestimmten Zweck verwenden, und danach sofort löschen.

✓ Begrenzen Sie Datenübertragungen

Unter PDPA dürfen Sie die personenbezogenen Daten der Nutzer ins Ausland übertragen. Aber das Land, in dem Sie sie behalten, muss einen Schutzstandard bieten, der mit dem von Singapur vergleichbar ist. Dies macht es praktisch unmöglich, die Daten in Länder wie die USA zu senden, wo nationale Sicherheitsbehörden Nutzerdaten überwachen dürfen. Dies unterminiert die Rechtmäßigkeit des Gebrauchs von solchen Plattformen wie Google Analytics, das Benutzerdaten an vielen Orten speichert, einschließlich der USA.

✓ Seien Sie transparent

Benennen Sie einen Datenschutzbeauftragten und denken Sie daran, dessen Kontaktdaten auf Ihrer Website zu veröffentlichen. Aktualisieren Sie Ihre Datenschutzerklärung, damit sie richtig beschreibt, wie Sie personenbezogene Daten sammeln, verarbeiten und weitergeben.

✓ Respektieren Sie die Do-not-call-Anforderung

Respektieren Sie Entschlüsse der in dem singapurischen Do-Not-Call-Register eingetragenen Personen. Kontaktieren Sie sich nicht mit ihnen zu Marketingzwecken, es sei denn, Sie haben deren klare und eindeutige Einwilligung oder führen eine laufende Geschäftsbeziehung mit ihnen.

✓ Halten Sie Ihre Datenbank relevant und aktuell

Stellen Sie sicher, dass die personenbezogenen Daten, mit denen Sie arbeiten, richtig und vollständig sind.

✓ Schützen Sie die Sicherheit der gesammelten Daten

Bewahren Sie personenbezogene Daten sicher auf und schützen Sie sie vor unbefugtem Zugriff, Veränderung oder Verwendung.

✓ Benachrichtigen Sie immer die Behörden über Datenschutzverletzungen

Benachrichtigen Sie Nutzer und die Kommission zum Schutz personenbezogener Daten von Singapur (Personal Data Protection Commission, PDPC) über Datenschutzverstöße innerhalb von drei Tagen nach dessen Entdeckung.

Strafen

Die Geldbußen für fehlende PDPA-Konformität betragen 10 % des Jahresumsatzes einer Organisation mit einem Jahresumsatz von mehr als 10 Millionen US-Dollar oder 1 Million US-Dollar, je nachdem, welcher Betrag höher ist.

Datum des Inkrafttretens: 1. Juni 2022

Der Anwendungsbereich

PDPA hat einen extraterritorialen Geltungsbereich. Es betrifft alle Organisationen, die personenbezogene Daten in Thailand oder von Einwohnern Thailands sammeln, verwenden oder weitergeben, unabhängig davon, ob sie nach thailändischem Recht gegründet oder anerkannt sind und ob sie in Thailand ansässig sind oder eine Geschäftspräsenz haben.

Wie werden personenbezogene Daten definiert?

Das Gesetz sieht folgende Definition von personenbezogenen Daten vor:

„Personenbezogene Daten“ alle Informationen sind, die sich auf eine Person beziehen und eine direkte oder indirekte Identifizierung dieser Person ermöglichen, insbesondere jedoch nicht die Angaben zu verstorbenen Personen.

Abgesehen davon führt das Gesetz nicht viele konkrete Beispiele für personenbezogene Daten auf.

Ausnahmen vom Anwendungsbereich der personenbezogenen Daten sind:

• Zu privaten Zwecken erhobene Daten
• Von Regierungsbehörden gesammelte Daten in Bezug auf nationale Sicherheit, Kampf gegen Geldwäsche und Cybersicherheit 
• Medien, die ethischen Standards und Zwecken von öffentlichem Interesse unterliegen
• Von Mitgliedern des Parlaments und der Justiz erhobene Daten
• Von Kreditbüros gesammelte Daten

Hauptpflichten

✓ Holen Sie eine Einwilligung des Nutzers ein, um seine Daten zu verarbeiten

Das Gesetz verlangt, dass Sie eine Einwilligung des Nutzers für Cookies und andere Tracking-Methoden, die auf eindeutigen Kennungen basieren, einholen. Sie sind außerdem verpflichtet, die folgenden Grundsätze einzuhalten:

• Die Nutzer erteilen Einwilligungen freiwillig in schriftlicher Form (z.  B. durch Ankreuzen eines Kästchens in einem Einwilligungs-Pop-up)
• Sie informieren die Nutzer über den Zweck der Datenerhebung (z.B. Remarketing, A/B-Testing oder Analytics)
• Sie formulieren die Anfrage in klarer und einfacher Sprache
• Sie bewahren Einwilligungserklärungen für einen Zeitraum von fünf Jahren

Sie dürfen die vor dem 1. Juni 2022 gesammelten personenbezogenen Daten verarbeiten, wenn Sie sie für denselben Zweck verwenden, für den Sie sie ursprünglich erhoben haben. Sie sind jedoch verpflichtet, den Nutzern zu ermöglichen, ihre Einwilligung zu widerrufen. Und wenn Sie sich entscheiden, die gesammelten Daten über den ursprünglichen Zweck hinaus zu verwenden oder weiterzugeben, benötigen Sie eine neue gültige Zustimmung des Nutzers.

✓ Verhindern Sie den unbefugten Zugriff auf personenbezogene Daten der Nutzer

Laut PDPA sollten Sie für die gesammelten Daten die höchsten Sicherheits- und Datenschutzstandards gewährleisten. Das Gesetz schlägt keine spezifischen Datenschutzmethoden vor, sodass es Ihnen überlassen ist, ausreichende Maßnahmen zu definieren, um den unbefugten Zugriff, die Weitergabe oder das Kopieren personenbezogener Daten in Ihrem Unternehmen zu verhindern.

✓ Beachten Sie die Nutzerrechte

PDPA führt die folgenden Nutzerrechte ein:

• Das Recht auf Auskunft über den Zweck der Datenerhebung und -verarbeitung
• Das Recht auf Widerruf der erteilten Einwilligung
• Das Recht auf Gleichberechtigung bei Verweigerung der Einwilligung – was bedeutet, dass Sie den Zugang zu Produkten oder Dienstleistungen für Besucher, die das Tracking ablehnen, nicht einschränken dürfen
• Das Recht Recht auf Zugang zu den von den Personen gesammelten Daten und deren Erhalt
• Das Recht auf Widerspruch gegen die Erhebung, Nutzung und Weitergabe ihrer Daten
• Das Recht, die Verwendung seiner Daten einzuschränken – das bedeutet, dass der Nutzer in der Lage sein sollte, die Zwecke festzulegen, für die er Ihnen die Verwendung seiner Daten erlaubt
• Das Recht auf Berichtigung ihrer Daten
• Das Recht, seine Daten an einen anderen für die Datenverarbeitung Verantwortlichen zu übermitteln
• Das Recht auf Löschung, Vernichtung oder Anonymisierung der Daten

✓ Übertragen Sie Daten nur in Länder mit hohen Datenschutzstandards

Der PDPA erlaubt das Senden von Daten nur an Rechtsgebiete mit gleichen oder höheren Sicherheitsstandards wie Thailand. Es ist noch nicht klar, welche Länder die Pflichten von PDPA erfüllen. Das Gesetz sieht jedoch andere Gründe für die Datenübertragung vor, wie zum Beispiel:

• Einhaltung gesetzlicher Verpflichtungen
• Vertrag
• Erfüllung vertraglicher Pflichten des Verantwortlichen gegenüber einem Dritten zugunsten der betroffenen Person
• Vitales Interesse
• Erfüllung einer wichtigen Aufgabe von öffentlichem Interesse

Es ist schwer vorherzusagen, ob einer dieser Gründe auf die Datenverarbeitung zutrifft, die mit Analytics und Marketing durchgeführt wird.

Strafen

Für Verstöße gegen die Regeln sieht PDPA folgende Strafen von:

• Bußgelder bis zu 5 Millionen THB (Thai Baht, $159.591) oder bis zu 4 % des weltweiten Umsatzes der Organisation
• Strafrechtliche Sanktionen bis zu einem Jahr Freiheitsstrafe

Vollständiger Name: Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (Verordnung über Privatsphäre und elektronische Kommunikation).

Datum des Inkrafttretens: Noch unbekannt, aber nicht vor 2023. Der Rat und das Europäische Parlament verhandeln nun über den endgültigen Wortlaut. Es ist noch nicht sicher, ob das Gesetz in seiner jetzigen Form durchgesetzt wird, da es von EU-Behörden, darunter der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), stark kritisierten. 

Das Gesetz tritt 20 Tage nach seiner Veröffentlichung in Kraft und ist zwei Jahre später anwendbar.

Wen betrifft die ePrivacy-Verordnung?

Falls angenommen, gilt der neueste Entwurf für die Verarbeitung personenbezogener Daten unter Verwendung einer „öffentlich zugänglichen“ elektronischen Kommunikation oder eines Netzes. Es wird folgende Subjekte betreffen:

• Betreiber elektronischer Kommunikationsdienste
• Betreiber öffentlich zugänglicher Verzeichnisse
• Diejenigen, die mithilfe elektronischer Kommunikationsdienste an Endnutzer gerichtete gewerbliche Direktwerbung betreiben
• Diejenigen, die Daten in den Endeinrichtungen der Nutzer verarbeiten und speichern
• Diejenigen, die Informationen sammeln, die die Endeinrichtungen der Endnutzer verarbeiten, aussenden oder speichern

Das Gesetz betrifft also die meisten Organisationen, die elektronisch erhobenen Nutzerdaten verwalten.

Die Verordnung wirkt extraterritorial. Sie schützt die Daten von EU-Bürgern unabhängig davon, wo sie erhoben und verarbeitet werden.

Welche Hauptpflichten legt der aktuelle ePrivacy-Entwurf auf?

Im Vergleich zu früheren Entwürfen der ePrivacy-Verordnung ist der neueste weniger streng und detailliert. Es deckt jedoch immer noch mehrere Arten der elektronischen Datenverarbeitung ab. In diesem Artikel konzentrieren wir uns auf die Teile, die mit Marketing und Analytics zusammenhängen.

Cookies und Einwilligung

Die neue Version des Gesetzes hält die Einwilligung als eine der Säulen des Datenschutzes im Internet aufrecht. Im Vergleich zu früheren Gesetzesnovellen werden jedoch die Vorbehalte beim Einholen der Zustimmung gelockert.

Die wichtigsten Regeln zu Einwilligung und Cookies:

1. Zugriff auf personenbezogene Daten auf Nutzergeräten ohne Einwilligung

In der aktuellen Fassung erlaubt das Gesetz den Dienstanbietern, zum Zweck der Vertragserfüllung, den Zugriff auf personenbezogene Daten auf Nutzergeräten. In der vorherigen Fassung war ein solcher Zugriff nur erlaubt, wenn er technisch notwendig war. Auf diese Weise wird die Klausel unklarer und lässt Raum für die Auslegung dessen, was zur Vertragserfüllung erforderlich ist.

2. Ausnahmeregelung für analytische Cookies

Nach dem neuen Entwurf ist für die Verwendung von Cookies zur einfachen Messung der Nutzerzahlen keine Einwilligung mehr erforderlich, sofern”sie für den alleinigen Zweck der Messung der Nutzerzahlen erforderlich sind, solange diese Messung vom Anbieter des angeforderten Dienstes oder von einem Dritten durchgeführt wird”. Solche Cookies, die in der Regel als Analyse-Cookies bezeichnet werden, könnten ohne vorherige Einwilligung verwendet werden.

3. Unklare Leitlinien für die Erhebung personenbezogener Daten zur Verbesserung der Effizienz des angebotenen Dienstes

Der vorgeschlagene Entwurf weist darauf hin, dass das Sammeln von statistischen Daten zur Messung der Leistung einer Website keine Einwilligung erfordert. Auch der Gebrauch von Trackingpixeln zur Messung von Werbekampagnen erfordert keine Einwilligung des Nutzers, sofern Sie die Cookies nicht zum Sammeln von personenbezogenen Daten, sondern von aggregierten statistischen Daten verwenden.

Diese Regel gilt nicht für jegliche Art von Remarketing oder Datenaktivierung, die mit personenbezogenen Daten durchgeführt werden.

4. Weiches„Ja“ für Cookie-Walls

Der aktuelle Entwurf führt weniger strenge Regeln für den Zugang zu Informationen oder Dienstleistungen ein, die auf einer Einwilligung der Nutzer beruhen. Es ermöglicht Unternehmen, dem Nutzer unterschiedliche Angebote zu machen, je nachdem, wie sie sich für den Datenschutz entscheiden:

[…] Eine Einwilligung zu erfordern, würde normalerweise nicht als Entzug einer wirklichen Wahlmöglichkeit des Endnutzers angesehen werden, falls der Endnutzer auf der Grundlage klarer, präziser und benutzerfreundlicher Informationen über den Zweck von Cookies und ähnlichen Techniken zwischen Diensten wählen kann […]

5. Keine Lösung für globale, durch Browsereinstellungen ausgedrückte, Datenschutzpräferenzen

In der neuen Fassung des Entwurfs stimmen Endnutzer der Verwendung bestimmter Arten von Cookies nur auf die Weise zu, wenn sie einen oder mehrere Anbieter in ihren Browsereinstellungen auf die Whitelist setzen:

Sofern verfügbar und  technisch machbar, kann ein Endnutzer daher durch Softwareeinstellungen einem bestimmten Anbieter die Einwilligung zur Nutzung der Verarbeitungs- und Speichermöglichkeiten von Endgeräten für einen oder mehrere bestimmte Zwecke über einen oder mehrere bestimmte Dienste dieses Anbieters erteilen.

Die vorherige Fassung legte, in den nun gestrichenen Artikeln 9 und 10, einige benutzerfreundlichere Lösungen vor – daher, Einwilligungsformulare und Pop-ups durch rechtsverbindliche, vom Nutzer konfigurierte Signale zu ersetzen.

6.  Metadaten ohne Einwilligung der Nutzer verwenden

Der Verordnungsentwurf eröffnet den Weg, Metadaten der Nutzer auch ohne deren Einwilligung zu verarbeiten. Der Anwendungsbereich von Metadaten in der aktuellen Fassung der Datenschutzverordnung für elektronische Kommunikation legt sich wie folgt aus:

„Elektronische Kommunikationsmetadaten“: Daten, die in einem elektronischen Kommunikationsnetz zu Zwecken der Übermittlung, der Verbreitung oder des Austauschs elektronischer Kommunikationsinhalte verarbeitet werden; dazu zählen die zur Verfolgung und Identifizierung des Ausgangs- und Zielpunkts einer Kommunikation verwendeten Daten, die im Zusammenhang mit der Bereitstellung elektronischer Kommunikationsdienste erzeugten Daten über den Standort des Geräts sowie Datum, Uhrzeit, Dauer und Art der Kommunikation.
(Kapitel I, Art. 4, Pkt. 3c)

Laut dem Text dürfen Sie diese Daten für statistische und andere Zwecke, für die Sie sie ursprünglich nicht erhoben haben, verwenden, wenn Sie sie verschlüsseln oder pseudonymisieren. Im Gegensatz dazu sagt die DSGVO zu den Pflichten bei der Verarbeitung pseudonymisierter Daten:

Die Grundsätze des Datenschutzes sollten für alle Informationen gelten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden.
Quelle: Erwägungsgrund 26 EU DS-GVO

Strafen bei Verstößen

ePrivacy behält die gleichen Bußgelder wie die in der DSGVO beschriebenen – von 10 Mio. € oder 2 % des Jahresumsatzes bis zu 20 Mio. € oder 4 % des Jahresumsatzes, je nach Schwere des Verstoßes. Details zu den Sanktionen finden Sie in Artikel 23 des Entwurfs.

Datum des Inkrafttretens: 1. Dezember 2021

Der Anwendungsbereich

Wie das TTDSG feststellt:

Diesem Gesetz unterliegen alle Unternehmen und Personen, die im Geltungsbereich dieses Gesetzes eine Niederlassung haben oder Dienstleistungen erbringen oder daran mitwirken oder Waren auf dem Markt bereitstellen. 

Das bedeutet, dass alle in Deutschland niedergelassenen Organisationen sowie alle anwendbaren Organisationen mit Sitz außerhalb Deutschlands unter das TTDSG fallen.

Welche Daten betrifft das TTDSG?

Gemäß der ePrivacy-Richtlinie gilt das TTDSG sowohl für personenbezogene als auch für nicht personenbezogene Daten.

Soweit Sie keine personenbezogenen Daten verarbeiten, richten Sie sich ausschließlich nach dem TTDSG. Verarbeiten Sie sowohl personenbezogene als auch nicht personenbezogene Daten, gelten sowohl das TTDSG als auch die DSGVO.

Wenn es jedoch um die Speicherung von und den Zugriff auf Informationen auf/von Endeinrichtungen geht, hat das TTDSG Vorrang. Wenn Sie nachfolgend Daten verarbeiten, die Sie durch Cookies oder andere Tracking-Mechanismen erhoben, ohne dass die Endeinrichtung (z. B. ein Computer, Tablet oder Smartphone) weiter einbezogen wird, richten Sie sich nach der DSGVO.

Ihre Hauptpflichten unter TTDSG

Holen Sie entsprechende Einwilligungen der Nutzer ein und speichern Sie sie

Sie sind verpflichtet, gegebenenfalls eine gültige Einwilligung der Nutzer einzuholen. Zeichnen Sie alle Einwilligungen der Nutzer auf, damit Sie bei Bedarf einen Nachweis erbringen können. 
In § 25 des TTDSG heißt es: 

Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. 

Eine Einwilligung ist gültig, wenn sie:

• Vor der Datenverarbeitung gegeben wurde
• Freiwillig erteilt wurde
• Ausdrücklich und
• Informiert ist.

In dieser Hinsicht orientiert sich das TTDSG genau an der DSGVO.

Holen Sie Einwilligung zum Speichern oder Lesen von Informationen vom Gerät eines Nutzers ein

Ohne Einwilligung dürfen Sie keine Informationen auf dem Gerät eines Nutzers lesen oder dort speichern. 

Infolgedessen sind viele Optionen zum Sammeln von Analysedaten mit Cookies nicht TTDSG-konform, bevor Sie die Einwilligung einholen. Selbst der Einsatz eines temporären Besucher-Cookies erfordert eine Einwilligung des Users. Sie dürfen auch keine zusätzlichen Informationen über das Gerät lesen, wie Bildschirmauflösung oder Browser-Plugins.

Entweder blenden Sie ein Cookie Consent Banner ein, um die ausdrückliche Einwilligung des Nutzers zu erhalten, oder Sie entscheiden sich für eine Option ohne Cookies.

Zeigen Sie ein konformes Cookie Consent Banner an

Ihr Banner muss Angaben zu den spezifischen Zwecken der Verarbeitung enthalten.  Begriffe wie “Verbesserung der User-Experience” oder „Werbezwecke“ reichen nicht aus. Geben Sie den Usern die Option, jedem Cookie-Typ separat zuzustimmen.

Seien Sie transparent in Bezug auf alle Verarbeitungsaktivitäten. Welche Daten verarbeiten Sie? Wer ist daran beteiligt? Welche Dritten sind involviert? Informieren Sie auch über die Aufbewahrung der Cookies. Vergessen Sie nicht, einen Link zu Ihrer Datenschutzrichtlinie anzugeben.

Da sich ein Benutzer durch Ausführen einer Aktion anmeldet, reicht ein Cookie Banner, das nur eine Benachrichtigung enthält, nicht aus. 

Achten Sie auf das Design des Banners. Wählen Sie einen Consent Manager, mit dem Sie den Text und das Erscheinungsbild des Cookie Banners anpassen können. 

Passen Sie den Text auf den Buttons an. Stellen Sie sicher, dass die Funktionen der einzelnen Buttons klar sind und Nutzer erkennen, welche Folgen das Anklicken mit sich bringt.

Das Cookie Banner sollte den Zugriff auf die Datenschutzrichtlinie oder andere rechtliche Hinweise der Website nicht verhindern.

Ermöglichen Sie es den Nutzern, ihre Zustimmung zurückzuziehen oder zu verwalten

Nach TTDSG sind Sie verpflichtet, das Recht auf Widerruf der Einwilligung auf der ersten Ebene des Consent Banners zu erwähnen. Die Nutzer müssen die Option haben, ihre Einwilligung jederzeit zu widerrufen.

Der Widerruf der Einwilligung soll genauso einfach sein wie die Erteilung der Einwilligung und auf demselben Weg erfolgen. Wenn also ein Nutzer seine Einwilligung auf der Website erteilt, können Sie nicht verlangen, dass er anruft oder eine E-Mail schreibt, um sie zu widerrufen.

Bieten Sie den Nutzern gleichwertige Optionen für die Annahme und Ablehnung von Cookies. Wenn sich etwa auf der ersten Ebene des Consent Banners ein Button „Alle akzeptieren“ befindet, sollte sich auf derselben Ebene ein Button zum Ablehnen befinden. Die Nutzer sollten keine weiteren Maßnahmen benötigen, um ihre Zustimmung zu verweigern, z. B. indem sie zu den Einstellungen navigieren, da dies zusätzliche Schritte erfordert, um die gewünschte Aktion durchzuführen.

Sie können zugelassene Dienste für die Verwaltung von Einwilligungen nutzen, z. B. Personal Information Management Services (PIMS). Mit einem PIMS wählen Nutzer einmalig aus, welche Cookies sie zulassen und welcher Verarbeitung personenbezogener Daten sie zustimmen. Das PIMS gibt den Entscheid dann automatisch an die verschiedenen Websites weiter. Allerdings ist PIMS eine praktikable Option für den Schutz der Privatsphäre der Nutzer nur dann, wenn es eine unabhängige Institution überprüft. Außerdem sind noch keine PIMS-Dienste auf dem Markt verfügbar. Die Zeit wird zeigen, ob die für die Verwaltung der Einwilligung vorgesehenen PIMS die gewünschten Vorteile bringen werden.

Setzen Sie Maßnahmen zum Schutz der Vertraulichkeit und der Privatsphäre um

Ihr Unternehmen soll die technischen und organisatorischen Maßnahmen ergreifen, die:

• Sicherstellen, dass Nutzer Telemediendienste in der vor dem Wissen Dritter geschützten Art und Weise verwenden
• Sicherstellen, dass die Nutzer auf den Dienst jederzeit verzichten können
• Den Nutzern eine Option geben, anonym oder unter einem Pseudonym zu zahlen
• Sicherstellen, dass kein unbefugter Zugriff auf die für Telemediendienste genutzten technischen Geräte möglich ist
• Fehlerhafte Übertragungen und die unbefugte Weitergabe von Nachrichteninhalten innerhalb Ihres Unternehmens und an Dritte verhindern.

Sie können Maßnahmen ergreifen, die denen in der DSGVO entsprechen. Es sind etwa:

• Verschlüsselung
• Zuweisung geeigneter Rechte und Rollen für diejenigen, die auf die Daten zugreifen
• Einführung von Sicherungssystemen
• Pseudonymisierung von Daten

Im Hinblick auf organisatorische Maßnahmen erstellen Sie z. B. interne Anweisungen und Mitarbeiterrichtlinien.

Strafen

Bußgelder bei Verstößen gegen das TTDSG betragen je nach deren Schwere bis zu 300.000,00 €. Wo jedoch die DSGVO anwendbar ist, können Geldbußen wesentlich höher ausfallen.

Datum des Inkrafttretens: 1. November 2021

Der Anwendungsbereich

Das PIPL hat einen extraterritorialen Anwendungsbereich und gilt für:

• Organisationen oder Einzelpersonen, die personenbezogene Daten in China verarbeiten, oder
• Organisationen mit Sitz außerhalb Chinas, die personenbezogene Daten von in China ansässigen Personen verarbeiten.

Die oben genannten Organisationen müssen das PIPL einhalten, wenn:

• Sie Produkte oder Dienstleistungen an inländische natürliche Personen liefern
• Sie die Aktivitäten inländischer natürlicher Personen analysieren und bewerten
• Es weitere Umstände gibt, die die Gesetze und Verwaltungsvorschriften vorsehen.

Wie definiert PIPL personenbezogene Daten?

PIPL enthält eine weit gefasste Definition der „personenbezogenen Daten“, die dem California Consumer Privacy Act (CCPA) und der DSGVO ähnelt. Es definiert personenbezogene Daten als: 

… verschiedene Arten von Informationen in Bezug auf identifizierte oder identifizierbare natürliche Personen, die auf elektronischem oder anderem Wege aufgezeichnet wurden, mit Ausnahme von anonymisierten Informationen. 

Wie CCPA und DSGVO betrachtet PIPL anonymisierte Daten als nicht personenbezogen. Es stellt sie außerhalb des Geltungsbereichs des Gesetzes. Die vorgesehene Definition der Anonymisierung ist streng: 

Anonymisierung bezeichnet einen Vorgang, bei dem personenbezogene Daten so verarbeitet werden, dass die Identifizierung einer bestimmten natürlichen Person unmöglich ist und nicht rückgängig gemacht werden kann.

Was sind sensible Daten?

PIPL enthält eine ausgedehnte, aber unklare Definition des Begriffs „sensible personenbezogene Daten“:
 
Sensible personenbezogene Daten beziehen sich auf personenbezogene Daten, die leicht zur Verletzung der persönlichen Würde natürlicher Personen oder zur Beeinträchtigung der persönlichen oder materiellen Sicherheit führen können, sobald sie an die Öffentlichkeit gelangen oder unrechtmäßig verwendet werden, einschließlich biometrischer Daten, religiöser Überzeugungen, bestimmter Identitäten, des Gesundheitszustands, der Finanzkonten und des Aufenthaltsorts sowie personenbezogener Daten von Minderjährigen unter 14 Jahren.

Sie sind verpflichtet, eine gesonderte Einwilligung einzuholen, um sensible personenbezogene Daten zu verarbeiten. Gegebenenfalls bedarf es einer schriftlichen Form.

Sie sind auch verpflichtet, die betroffenen Personen über die Notwendigkeit der Verarbeitung zu informieren und darüber, wie sich dies auf ihre Rechte und Interessen auswirkt.

Ihre Hauptpflichten unter PIPL

Respektieren Sie die Rechte der Nutzer an ihren Daten

Ähnlich wie die DSGVO listet PIPL die Rechte von Einzelpersonen in Bezug auf ihre personenbezogenen Daten auf:

• Das Recht, über die Verarbeitung ihrer personenbezogenen Daten zu erfahren und darüber zu entscheiden 
• Das Recht, der Verarbeitung ihrer personenbezogenen Daten zu widersprechen oder sie einzuschränken
• Das Recht, auf ihre personenbezogenen Daten zuzugreifen und sie zu kopieren
• Das Recht, den Datenverarbeiter aufzufordern, seine Informationen zu korrigieren
• Das Recht auf Löschung der Daten unter einem der im Artikel 47 vorgesehenen Umstände. 
• Das Recht, von den Datenverarbeitern auf Anfrage der betroffenen Personen eine Erläuterung ihrer Verarbeitungsregeln zu erhalten

Die gleichen Rechte gelten für die Angehörigen einer verstorbenen betroffenen Person.

Bereiten Sie eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten vor 

Unter PIPL ist die Einwilligung nur einer der sieben Gründe, um personenbezogene Daten rechtmäßig zu verarbeiten. 

Andere umfassen folgende Fälle:

• Wenn dies zur Vertragserfüllung oder im Hinblick auf ein Arbeitsverhältnis erforderlich ist
• Wenn dies erforderlich ist, um eine gesetzliche Plficht zu erfüllen
• Beim Schutz von Leben, Gesundheit und Eigentum von Personen in Notfällen oder bei der Reaktion auf Notfälle im Bereich der öffentlichen Gesundheit
• In einem angemessenen Rahmen, wenn es sich um Maßnahmen wie Nachrichtenberichterstattung oder Aufsicht der öffentlichen Meinung im öffentlichen Interesse handelt
• Wenn die von Einzelpersonen selbst offengelegten personenbezogenen Daten oder andere gesetzlich deklarierte personenbezogene Daten in einem angemessenen Umfang gemäß PIPL verarbeitet werden
• Unter Umständen, die andere Gesetze oder Vorschriften vorsehen

PIPL betrachtet das berechtigte Interesse nicht als Verarbeitungsgrundlage.

Wenn eine Einwilligung erforderlich ist, sind Sie verpflichtet:

• Sicherzustellen, dass es informiert, freiwillig und unmissverständlich ist
• Sicherzustellen, dass der Zugang zu Produkten oder Dienstleistungen nicht davon abhängt, ob die betroffene Person ihre Einwilligung erteilt oder nicht
• Der betroffenen Person den Widerruf ihrer Einwilligung zu erleichtern
• Eine neue Art der Einwilligung anzufordern, wenn sich der Zweck der Datenverarbeitung ändert

Legen Sie Ihre Datenverarbeitung Aktivitäten offen

Informieren Sie betroffene Personen vor der Verarbeitung ihrer personenbezogenen Daten über Folgendes:

• Name und Kontaktinformationen des Auftragsverarbeiters (Datenverantwortlicher im Sinne der DSGVO)
• Zweck und Methode der Verarbeitung
• Die Art der verarbeiteten personenbezogenen Daten
• Die Aufbewahrungsfrist für die verarbeiteten personenbezogenen Daten und
• Die Methode und das Verfahren, mit dem Einzelpersonen ihre Rechte als Betroffene ausüben können

Sie sind verpflichtet, die Nutzer über alle Änderungen an diesen wichtigen Datenverarbeitungselementen zu informieren.

Erfüllen Sie die Anforderungen für grenzüberschreitende Datentransfers

Für die grenzüberschreitenden Datentransfers benötigen Sie:

• Eine von der Cyberspace Administration of China (CAC) genehmigten Sicherheitsbewertung für grenzüberschreitende Transfers zu bestehen
• Eine Zertifizierung für den Schutz personenbezogener Daten durch eine professionelle Institution zu erlangen
• Die Daten gemäß den vom CAC formulierten Standardvertragsklauseln auszuführen und zu übermitteln
• Andere Bedingungen zu erfüllen, die andere Gesetze, Vorschriften oder CAC vorsehen.

Wenn Sie Daten außerhalb Chinas übermitteln, benötigen Sie die gesonderte Einwilligung des Nutzers dazu. Sie sind verpflichtet, den Nutzer über Folgendes zu informieren:

• Name und Kontaktangaben der empfangenden Partei
• Zweck und Methode der Verarbeitung
• Die Art der übertragenen personenbezogenen Daten
• Welche Optionen er hat, um seine Rechte auszuüben

Sorgen Sie für ausreichende Datensicherheit

Sie sind verpflichtet, Schutzmaßnahmen gemäß Art. 51, wie Verschlüsselung oder Anonymisierung, vorzunehmen, sodass Sie gesetzliche Vorschriften gemäß PIPL einhalten und unbefugten Zugriff verhindern.

Sie müssen auch eine Risikoanalyse Ihrer Cybersicherheitsmaßnahmen durchführen. 

Unter den in Art. 55 genannten Umständen, sind Sie verpflichtet, eine Datenschutz-Wirkungsanalyse durchzuführen. 

Kommt es zu einem Zwischenfall, ergreift das Unternehmen Abhilfemaßnahmen und informiert die chinesischen Aufsichtsbehörden.

Strafen

Die Strafen betragen bis zu 5 % des Vorjahresumsatzes oder 50 Millionen Yuan (rund 7,7 Millionen US-Dollar). Direkt verantwortliches Personal wird mit Geldstrafen zwischen 100.000 und 1 Million Yuan belegt.

Datum des Inkrafttretens: 1. September 2023

Der Anwendungsbereich

Das revDSG gilt für alle Unternehmen und Personen, die Personendaten natürlicher Personen bearbeiten und:

• In der Schweiz ansässig sind.
• Produkte und Dienstleistungen für Personen in der Schweiz anbieten oder erbringen.

Das revDSG im Gegensatz zum bestehenden DSG schützt nicht die Daten juristischer Personen, sondern konzentriert sich auf den Schutz der personenbezogenen Daten natürlicher Personen. Dies steht im Einklang mit der DSGVO.

Wie das revDSG personenbezogene Daten (Personendaten) definiert?

Laut dem revDSG sind Personendaten alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Diese Informationen umfassen, sind aber nicht beschränkt auf:

• Den vollständigen Namen einer Person
• Bild, das das Gesicht einer Person zeigt
• E-Mail-Adresse
• Telefonnummer
• Sozialversicherungsnummer
• Kundennummer

Was sind besonders schützenswerte Personendaten?

Das revDSG führt die folgenden Informationen als „besonders schützenswerte Personendaten“ auf:

• Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten,
• Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie, genetische Daten,
• biometrische Daten, die eine natürliche Person eindeutig identifizieren,
• Daten über administrative und strafrechtliche Verfolgungen oder Sanktionen,
• Daten über Maßnahmen der sozialen Hilfe.

Ihre wichtigsten Pflichten gemäß dem revDSG

Informieren Sie die betroffene Person, dass Sie Personendaten beschaffen

Gemäß Absatz 1 sind Sie verpflichtet, die betroffene Person zu informieren, dass Sie Personendaten beschaffen. Dies gilt auch, wenn die Daten nicht bei der betroffenen Person beschafft werden. 

Der Gesetzgeber legt nicht fest, auf welche Weise Sie die Information weitergeben sollen. Stellen Sie aber sicher, dass die betroffene Person die Information tatsächlich zur Kenntnis nehmen kann.

Stellen Sie den betroffenen Personen zumindest Folgendes bereit:

• Den Bearbeitungszweck
• Informationen darüber, wer ihre Informationen erhalten wird
• Kontaktdaten des Verantwortlichen.

Wenn Sie die Daten nicht bei der betroffenen Person beschaffen, so teilen Sie ihr zudem die Kategorien der bearbeiteten Personendaten mit.

Dokumentieren Sie Ihre Verarbeitungsmaßnahmen

Sie sind verpflichtet, Ihre Verarbeitungsmaßnahmen zu dokumentieren, wenn Ihr Unternehmen mehr als 250 Personen beschäftigt. In diesem Fall sollten Sie jederzeit in der Lage sein, die Rechtmäßigkeit der von Ihnen durchgeführten Datenverarbeitung nachzuweisen. 

Das revDSG nimmt kleine und mittlere Unternehmen mit weniger als 250 Beschäftigten, die Daten mit geringem Risiko verarbeiten, von dieser Pflicht aus. 

Die von Ihnen erstellten Unterlagen sollten Angaben zu folgenden Punkten enthalten:

• Wie Sie die Informationen verarbeiten
• Der Bearbeitungszweck
• Die Art der verarbeiteten Daten
• Wo die Verarbeitung stattfindet
• An wen Sie die Daten weitergeben.

Dies könnte Änderungen an Ihrer technischen Infrastruktur erfordern. Außerdem müssten Sie ein definiertes Verfahren für die Übermittlung und Speicherung der gesammelten Daten einführen.

Holen Sie die Einwilligungen der Nutzer ein

Holen Sie für jeden der Verarbeitungszwecke eine gültige Einwilligung ein. Nach dem revDSG sind Sie verpflichtet, die Einwilligung für die Verarbeitung personenbezogener Daten einzuholen, wenn Sie besonders schützenswerte Personendaten erheben oder Profiling mit hohem Risiko ausüben.

Führen Sie Verfahren gegen Verletzungen der Datensicherheit ein

Bei einer Verletzung der Datensicherheit informieren Sie unverzüglich den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB). 

Sie sind auch verpflichtet, die betroffenen Personen zu informieren, wenn der Verstoß ein Risiko für ihre Grundrechte darstellt.

Befolgen Sie die Anforderungen für den grenzüberschreitenden Datentransfer

Das revDSG erlaubt, Daten international zu übermitteln, wenn die Empfängerländer einen angemessenen Schutz gewährleisten. In diesem Fall benötigen Sie keine weitere Genehmigung von einer Entität oder eine zusätzliche Einwilligung von einem Nutzer.

Für Drittländer gelten andere Regeln. In diesem Fall setzen Sie zusätzliche rechtliche Instrumente ein, wie die Einwilligung des Nutzers, Standardvertragsklauseln und andere.

Für Drittländer gelten andere Regeln. In diesem Fall setzen Sie zusätzliche rechtliche Instrumente ein, wie die Einwilligung des Nutzers, Standardvertragsklauseln und andere.

Erstellen Sie eine Datenschutz-Folgenabschätzung, falls erforderlich

Wenn Ihr Unternehmen personenbezogene Daten verarbeitet, sind Sie verpflichtet, abzuschätzen, ob es ein hohes Risiko für die Grundrechte der betroffenen Person darstellt. Wenn Sie Risiken feststellen, erstellen Sie eine Datenschutz-Folgenabschätzung (DSFA).

Anders als die DSGVO und die LGPD, die Unternehmen ab bestimmten Schwellenwerten verpflichten, einen Datenschutzbeauftragten zu benennen, enthält das neue DSG keine solche Vorgabe. Der Gesetzgeber ermutigt Unternehmen dazu, einen Datenschutzbeauftragten zu bestellen, aber sie sind nicht gesetzlich dazu verpflichtet.

Strafen

Wer die Informationspflicht gegenüber den betroffenen Personen verletzt oder nicht mitwirkt, wird mit einer Buße von bis zu 250 000 CHF bestraft. Die Buße wird nicht dem Unternehmen auferlegt, sondern der Person, die für die Datenverletzung verantwortlich ist.

1. Beseitigen Sie Schwachstellen in Ihrem System

Nach vielen dieser Gesetze werden Datenschutzverstöße teuer. Dennoch haben Websites heute Dutzende, wenn nicht Hunderte von Elementen von Drittanbietern in ihren Code eingebettet. Da die Drittanbieter diese Komponenten auf externen Servern hosten, haben Sie keine Kontrolle darüber. Sie verfügen über begrenzte Optionen, potenzielle Sicherheitsverstöße von bösartigen Codeänderungen zu erkennen.

Wenn Sie mit SaaS-Anbietern zusammenarbeiten, die Skripte von Drittanbietern verwenden, wird die Sicherheit Ihrer Website nur so stark wie das schwächste Glied im Ökosystem Ihres Anbieters. Um diese potenzielle Schwachstelle zu beseitigen, ist es besser, auf Produkte mit geschützter Infrastruktur umzusteigen – mit einer sicheren öffentlichen Cloud oder einer privaten Cloud.

2. Einwilligungs- oder Opt-out-Mechanismen anwenden

Eine der am häufigsten wiederkehrenden Forderungen der neuen Gesetze ist, dass jeder Website-Besitzer aktive Einwilligungen einholt oder den Nutzern zumindest ermöglicht, dem Tracking zu widersprechen.

In dieser Situation sollten Sie darüber nachdenken, einen Mechanismus einzusetzen, der Einträge über Einwilligungen oder Opt-outs sammelt, speichert und verwaltet. Dies bezieht sich auch auf alle möglichen Datenschutzanfragen, die sich aus der Tatsache ergeben, dass Sie personenbezogene Daten/Informationen verarbeiten. 

Eine der beliebtesten Methoden, diese Art von Problemen anzugehen, sind Consent Manager.

3. Prüfen Sie, wohin Sie Ihre Daten senden

Viele der vorgestellten Gesetze stellen besondere Ansprüche an internationale Datenübermittlungen. Das bedeutet nicht, dass Sie keine Daten mehr im Ausland aufbewahren dürfen. Sie müssen aber bei der Auswahl der Plattformen, die Sie in Ihrer täglichen Arbeit verwenden, auf jeden Fall achtsamer sein.

Singapurs PDPA beispielsweise dürfen Sie keine Nutzerdaten an Länder mit niedrigen Datenschutzstandards senden. Dies wirkt sich möglicherweise auf Ihr Marketing- und Datenanalyse-Toolset, da viele Softwareanbieter Daten an Standorten weltweit, einschließlich der USA, speichern.

4. Finden Sie heraus, ob Ihr Softwareanbieter Sie dabei unterstützt, Ihren Pflichten nachzukommen

Stellen Sie sicher, dass Ihr Softwareanbieter Ihre technischen Anforderungen erfüllt. Er sollte die Daten Ihrer Nutzer so speichern, dass sie voll zugänglich und übertragbar bleiben. So können Sie problemlos auf alle relevanten Informationen, die von Ihren Marketing-Tools erfasst wurden, zugreifen, sie löschen, berichtigen und übermitteln. Bei dieser Art von Anfragen besteht die größte Herausforderung darin, die Nutzerdaten aus Backups zu entfernen.

Prüfen Sie ebenfalls, ob Ihr Softwareanbieter die besten Datenschutzpraktiken anwendet, z. B. keine personenbezogenen Daten für eigene Zwecke verwendet oder an Dritte weitergibt.

Unterzeichnen Sie mit Ihren Softwareanbietern einen Datenverarbeitungsvertrag (Data Processing Agreement, DPA), um sicherzustellen, dass jede Partei seine Pflichte kennt und respektiert.

5. Erwägen Sie die Möglichkeit der Datenanonymisierung

Wenn Sie Daten über Ihre Besucher verwenden, ohne eine Einwilligung einzuholen, müssen Sie sicherstellen, dass Sie die Daten ordnungsgemäß anonymisieren. Analytics-Plattformen, die anonyme Daten sammeln, wie Piwik PRO bieten einen dritten Weg anstelle von einem Alles-oder-Nichts-Ansatz, der auf Einwilligungen basiert.

Vergessen Sie auch nicht, dass diese Regulierungen nur ein Teil des größeren Ökosystems des Datenschutzes sind. In einigen Ländern – wie etwa Australien – gelten die Vorschriften seit mehr als 30 Jahren!

Datenschutzgesetze in aller Welt: Fazit

Wir hoffen, dass Ihnen dieser Beitrag einen besseren Überblick darüber verschafft, was in der Welt der Datenschutzrechte passiert. Als datenschutzfreundlicher Analyticsanbieter stellen wir sicher, dass unsere Plattform unseren Kunden hilft, sich an Gesetze auf der ganzen Welt anzupassen. Wenn Sie erfahren möchten, wie unser Produkt Sie dabei unterstützen kann, die neuen Vorschriften einzuhalten, kontaktieren Sie uns. Unser Team beantwortet gerne alle Ihre Fragen.