10 neue Datenschutzgesetze weltweit und wie sie Ihr Analytics beeinflussen

10 neue Datenschutzgesetze weltweit und wie sie Ihr Analytics beeinflussen

Der Datenschutz im Web löste vermutlich eine der größten Debatten aus. Die Fülle an Datenleaks und Kontroversen um Big-Tech-Giganten zeigten uns, wie moderne Technologie unsere Privatsphäre untergraben kann. Die Antwort darauf ist die wachsende Zahl neuer Gesetze, die regeln, wie Unternehmen und Organisationen mit Nutzerdaten umgehen sollen.
In unserem Überblick lesen Sie über 10 neue und bevorstehende Datenschutzgesetze weltweit. Wir schlagen auch vor, wie Sie sich darauf vorbereiten.

Kapitel

Kapitel 1

Vorwort: DSGVO – Datenschutz-Grundverordnung

Kapitel 2

California Consumer Privacy Act (CCPA)

Kapitel 3

Vermont Act 171 von 2018 Data Broker Regulation

Kapitel 4

Virginia Consumer Data Protection Act (CDPA)

Kapitel 5

Kanadas Consumer Privacy Protection Act (CPPA)

Kapitel 6

Neuseelands Privacy Bill

Kapitel 7

Das brasilianische Lei Geral de Proteção de Dados (LGPD)

Kapitel 8

Indisches Personal Data Protection Bill

Kapitel 9

Singapurs Personal Data Protection Act (PDPA)

Kapitel 10

Thailands Personal Data Protection Act (PDPA) 2019

Kapitel 11

ePrivacy-Verordnung

Kapitel 12

Wie bereiten Sie sich auf diese Vorschriften weltweit vor?

Kapitel 1

Vorwort: DSGVO – Datenschutz-Grundverordnung

Erfahren Sie mehr, wie sich die Europäische Datenschutz-Grundverordnung (DSGVO) auf den Datenschutz weltweit auswirkt.

Die DSGVO war ein Durchbruch im Datenschutz – der neue, Goldstandard unter den Datenschutzregeln. Hier erinnern wir an die wichtigsten Grundsätze, die im Bericht “Global convergence of data privacy standards and laws” veröffentlicht wurden:

  • Die DSGVO befähigte Datenschutzbehörden, verbindliche Beschlüsse zu treffen und verwaltungsrechtliche Sanktionen einschließlich Geldbußen zu verhängen.
  • Sie führte das Recht auf Widerspruch gegen Datenverarbeitung im Interesse des Verantwortlichen oder im öffentlichen Interesse ein.
  • Der Datenverantwortliche ist verpflichtet, Datenschutzbehörden und betroffene Personen über Datenschutzverstöße zu informieren.
  • Die DSGVO setzt strengere Vorgaben zur Einwilligung ein.
  • Die Verordnung bezieht biometrische und/oder genetische Daten in die Definition sensibler Daten ein.
  • Der Datenschutzbeauftragte (DSB) übernimmt eine obligatorische Rolle in Organisationen, die personenbezogene Daten verarbeiten.

Jetzt beobachten wir eine Art Dominoeffekt. Verschiedene Länder führen nacheinander Datenschutz-Rahmenkonzepte im Stil der DSGVO ein.

Neue Datenschutzgesetze werden sich zweifellos – lokal und global – auf die Wirtschaft auswirken. International handelnde Unternehmen passen sich einer Vielzahl von Rechtsvorschriften an, die oft unterschiedliche Pflichten und Einschränkungen mit sich bringen.

Wir stellten die wichtigsten neuen Datenschutzgesetze weltweit zusammen, um Unternehmen bei dieser Aufgabe unter die Arme zu greifen. Ferner erläutern wir, wie sie sich praktisch auf die Unternehmen auswirken, die Analyse- und Marketingplattformen wie CRM, CDP oder Webanalytics einsetzen.

Kapitel 2

California Consumer Privacy Act (CCPA)

Viele Menschen glauben, dass die DSGVO der geistige Vorläufer des California Consumer Privacy Act (CCPA) ist. Das Gesetz gibt Einwohnern Kaliforniens das Recht zur Information, ob und welche personenbezogenen Daten die Unternehmen über sie sammeln und verkaufen. CCPA berechtigt auch Kalifornier, dem Verkauf ihrer personenbezogenen Daten an andere Parteien zu widersprechen. Im Gegensatz zur europäischen Regulierung befasst sich CCPA jedoch weitgehend mit dem Verkauf von Daten, nicht mit der Erhebung und Verarbeitung von Daten als solche.

Datum des Inkrafttretens: 1. Januar 2020

Der Anwendungsbereich

Das Gesetz gilt für jedes Unternehmen, das personenbezogene Daten von kalifornischen Einwohnern verarbeitet, wenn es:

  • Einen jährlichen Bruttoumsatz von mindestens 25 Millionen US-Dollar erarbeitet
  • Jährlich Informationen von 50.000 oder mehr Einwohnern/Haushalten oder netzwerkfähigen Geräten in Kalifornien sammelt
  • Mindestens 50 % ihres Jahreseinkommens aus dem Verkauf von Informationen über Einwohner Kaliforniens erwirtschaftet

Angesichts der Tatsache, dass Kalifornien inzwischen die fünftgrößte Ökonomie der Welt darstellt, betrifft das Gesetz praktisch jedes mittlere bis große Unternehmen mit globaler Präsenz.

Wie definiert CCPA personenbezogene Daten?

Die Definition von personenbezogenen Daten im CCPA ist recht weit gefasst:

[I]Informationen, die einen bestimmten Verbraucher oder Haushalt identifizieren, sich auf ihn beziehen, ihn beschreiben, diesem direkt oder indirekt nachvollziehbar zugeordnet werden können.
Abschnitt 1798.140. (o) (1)

Die Definition personenbezogener Daten umfasst eindeutige (persönliche) Kennungen – von denen viele der Treibstoff für Marketingaktivitäten sind:

“Eindeutige Kennung” oder “eindeutige persönliche Kennung”: Eine dauerhafte Kennung, die verwendet werden kann, um einen Verbraucher, eine Familie oder ein Gerät, das mit einem Verbraucher oder einer Familie verbunden ist, im Laufe der Zeit und über verschiedene Dienste hinweg zu erkennen, einschließlich, aber nicht beschränkt auf eine Gerätekennung, eine Internetprotokolladresse, Cookies, Beacons, Pixel-Tags, mobilen Werbekennungen oder ähnliche Technologien; Kundennummern, eindeutige Pseudonyme oder Nutzeraliase; Telefonnummern oder andere Formen von dauerhaften oder wahrscheinlichen Identifikatoren, die verwendet werden können, um einen bestimmten Verbraucher oder ein bestimmtes Gerät zu identifizieren […].
Abschnitt 1798.140. Definitions (aj)

Der CCPA, genau wie die DSGVO, betrifft also auch Tracking-Cookies und andere Arten von Online-Identifikatoren!

Die wichtigsten Pflichten

Nach dem neuen kalifornischen Gesetz:

  • Haben Verbraucher das Recht, einen Bericht mit den personenbezogenen Daten zu erhalten, die Unternehmen in den letzten 12 Monaten über sie gesammelt haben.
  • Haben die betroffenen Personen das Recht zu verlangen, dass die Unternehmen ihre personenbezogenen Daten löschen oder den Verkauf dieser Informationen einstellen. Unternehmen sind verpflichtet, auf ihrer Internet-Homepage einen „klaren und gut sichtbaren Link“ mit dem Titel: “Do Not Sell My Personal Information” (Verkaufen Sie nicht meine personenbezogenen Daten) bereitzustellen. Der Link führt die Nutzer zu einer Seite, wo sie den Verkauf oder die Weitergabe ihrer Daten ablehnen können.
  • Haben Einwohner Kaliforniens das Recht, Unternehmen zu verklagen, die ihre Daten verwenden, wenn diese im Rahmen eines Datenschutzverstoßes gestohlen oder offengelegt wurden. Sie können auch Unternehmen verklagen, die die Sicherheit ihrer Daten vernachlässigen (z. B. sie nicht verschlüsseln).
  • Gilt für den Verkauf der personenbezogenen Daten von Minderjährigen (unter 16 Jahren) ein obligatorisches Opt-In.

Umsetzbare Schritte

  • Ordnen Sie Ihre Daten – Stellen Sie sicher, dass Sie wissen, welche Arten von personenbezogenen Daten Sie sammeln und die Daten für Zugriffs-, Lösch- und Übertragbarkeitsanfragen Ihrer Kunden vorbereitet sind.
  • Überprüfen Sie die Quellen Ihrer Third-Party-Daten – Gemäß dem CCPA ist der Umgang mit gestohlenen Daten eine Straftat. Unternehmen, die Kundendaten von Dritten kaufen, sollten immer darauf achten, dass diese aus einer legitimen Quelle stammen.
  • Bereiten Sie ein Verfahren für den Umgang mit Verbraucheranfragen vor – Stellen Sie Nutzern mindestens zwei Optionen für Anfragen bereit. Den Link zu diesen Formularen setzen Sie , zusammen mit dem Text: “Do Not Sell My Personal Information” auf Ihre Homepage.
  • Passen Sie Ihre interne Datenschutzrichtlinie an – Ihre Datenschutzrichtlinie soll auch die Rechte der Einwohner Kaliforniens beschreiben. Stellen Sie sicher, dass Sie dies tun, bevor das Gesetz in Kraft tritt.

Strafen

Das neue kalifornische Gesetz verhängt auch Strafmaßnahmen gegen Unternehmen, die ihren Pflichten nicht nachkommen. Es sieht folgende Bußgelder vor:

  • Im Falle einer Verbraucherklage: 100-750 USD (oder die Kosten des tatsächlichen Schadens, je nachdem, welcher Betrag höher ist) pro Einwohner und Vorfall bei Datenschutzverletzungen oder Datendiebstahl, wenn das Unternehmen die Daten nicht ordnungsgemäß schützte
  • Im Falle einer Klage des Generalstaatsanwalts: 2.500 USD pro Verstoß und bis zu 7.500 USD pro vorsätzliche Verletzung des Datenschutzes.
pro tip

So unterstützt Sie die Piwik PRO Analytics Suite, den Pflichten der CCPA nachzugehen:

  • Sie erhalten die volle Kontrolle über gesammelte Daten
  • Sie richten schnell Banner ein, die die Besucher informieren, dass Sie ihre Daten erheben und dass sie dieser Datenweitergabe widersprechen und Datenanfragen senden können.
  • Sie sammeln und verarbeiten Datenschutzanfragen mit dem Piwik PRO Consent Manager

Kapitel 3

Vermont Act 171 von 2018 Data Broker Regulation

Das neue Gesetz aus Neuengland regelt Geschäftsaktivitäten von Datenbrokern. Datenvermittler sind jetzt verpflichtet, sich jährlich beim Außenminister von Vermont zu registrieren, eine lange Liste von Sicherheitsvorschriften zu erfüllen und Kunden zu ermöglichen, den Verkauf ihrer personenbezogenen Daten zu untersagen. Es ist das erste Gesetz seiner Art in den USA.

Datum des Inkrafttretens: 1. Januar 2019

Wie definiert der Vermont Act personenbezogene Daten?

Nach dem neuen Gesetz verarbeiten Datenbroker die sogenannten “vermittelten personenbezogenen Daten” (brokered personal information). Dies umfasst einen oder mehrere Datentypen wie: Name, Adresse, Geburtsdatum, Geburtsort, Mädchenname der Mutter, eindeutige biometrische Daten, Name oder Adresse eines Mitglieds der unmittelbaren Familie oder des Verbraucherhaushalts, Sozialversicherungsnummer oder staatlich ausgestellter Ausweis oder andere Informationen, die allein oder in Kombination mit anderen verkauften oder lizenzierten Informationen es einer vernünftigen Person ermöglichen würden, den Verbraucher mit hinreichender Sicherheit zu identifizieren.

Vermittelte personenbezogene Daten (VPD) decken ein breites Datenspektrum ab, ähnlich wie in der DSGVO. Aber es hat Grenzen:

  • Vermittelte personenbezogene Daten kommen nur in der digitalisierten Form vor – Informationen in Papierform sind keine VPD.
  • Die Informationen müssen für die Nutzung durch Dritte organisiert, kategorisiert oder aufbereitet werden.
  • VPD umfassen keine öffentlich zugänglichen Informationen nur so weit, als sie sich auf ein Unternehmen oder einen Beruf beziehen.

Wer gilt als die betroffene Person im Vermont Act 171?

Die Vorschriften für Datenbroker definieren einen Verbraucher als eine natürliche Person mit Wohnsitz im US-Bundesstaat Vermont.

Hauptpflichten

Das Gesetz führt mehrere Regeln zum Schutz der Verbraucher ein:

  • Es verbietet, Daten zu betrügerischen Zwecken zu erheben und zu verwenden.
  • Es erhöht die Transparenz, indem es Datenbroker verpflichtet, Daten zu registrieren und offenzulegen.
  • Es stellt Mindestanforderungen an die Informationssicherheit.

Ferner muss ein Datenbroker den Verbrauchern bei der Anmeldung Folgendes vorlegen:

  • Name, E-Mail- und Internetadresse des Datenbrokers.
  • Informationen zum Opt-out gegen Erhebung der First-Party- und Third-Party-Daten.
  • Information, ob der Datenbroker einen Anmeldeprozess für Käufer umsetzt und ob in seinem Unternehmen im letzten Jahr Sicherheitsverstöße auftraten, sowie die Anzahl der Personen, die von den Verstößen betroffen sind.

Daten von Minderjährigen unterliegen zusätzlichen Vorbehalten.

Umsetzbare Punkte

Für Datenbroker:

  • Beurteilen Sie, ob das Gesetz in Ihrem Fall zutrifft. Prüfen Sie, ob Sie Daten über die Einwohner von Vermont sammeln und verkaufen.
  • Registrieren Sie sich beim Staatssekretär von Vermont. Die jährliche Registrierung findet zwischen dem 1. und 31. Januar statt. Sie können es hier tun.
  • Entwerfen Sie ein Opt-out-Verfahren für Verbraucher. Das neue Gesetz verlangt, dass Sie den Verbraucher eine Wahl bieten, ob sie Ihnen erlauben, ihre Daten zu verarbeiten. Sie sind verpflichtet, einen Mechanismus zu entwickeln oder zu erwerben, um Personen zu identifizieren und aus allen Ihren Datenbanken zu löschen.
  • Gestalten Sie einen Prozess, um Verbraucher zu informieren, welche Daten Sie über sie sammeln. Schließlich ist dies gesetzliche Pflicht!

Dieses Gesetz sieht für Unternehmen, die Daten von Drittanbietern über das Internet verkaufen, bestimmte Pflichten vor. Es geht hier vor allem um Unternehmen, die Daten in Data Management Plattformen (DMP) sammeln und speichern. Fragen Sie bei der Auswahl eines Anbieters zuerst nach der Compliance, wenn Sie Kunden mit Sitz in Vermont ansprechen möchten.

Wichtig ist, dass das Vermont-Gesetz nicht verlangt, dass Sie aktiv Einwilligungen von Nutzern einholen, deren Daten die Broker gesammelt haben (wie es die EU-DSGVO oder der kalifornische CCPA vorsehen).

Strafen

Ein Datenbroker, der sich nicht registriert, unterliegt einer Strafe von 50 USD pro für jeden unregistrierten Tag (maximal bis zu 10.000 USD pro Jahr). Der Datenbroker bezahlt ebenfalls die Registrierungsgebühr von 100 USD.

Die gleiche Strafe gilt für ausländische Unternehmen, die sich nicht registrieren lassen, um in Vermont Geschäfte zu tätigen.

pro tip

So unterstützt Sie die Piwik PRO Analytics Suite, Pflichten der Vermont Data Broker Regulation nachzugehen:

Mit dem Consent Manager platzieren Sie Datenschutzhinweise auf Ihrer Website, bearbeiten Anfragen von betroffenen Personen und passen Ihre Tracking-Methoden an deren Auswahl an.

Kapitel 4

Virginia Consumer Data Protection Act (CDPA)

Der US-Bundesstaat Virginia verabschiedete den Consumer Data Protection Act (CDPA) am 2. März 2021. Es ist der zweitgrößte Wechsel des US-Datenschutzrahmens nach dem kalifornischen CCPA. Das Gesetz gibt den Einwohnern von Virginia mehr Kontrolle darüber, wie Unternehmen ihre Daten verwenden und verkaufen. CDPA ist ein sogenanntes „Opt-Out-Gesetz”. Verbraucher sind gezwungen aktiv zu handeln, um dem Sammeln ihrer Daten zu widersprechen.

Datum des Inkrafttretens: 1. Januar 2023

Wen betrifft das Gesetz?

Das Gesetz gilt für jedes Unternehmen, das in Virginia tätig ist, Produkte oder Dienstleistungen für Einwohner aus Virginia anbietet und die personenbezogenen Daten von mindestens:

  • 100.000 Verbrauchern pro Kalenderjahr kontrolliert oder verarbeitet
  • 25.000 Verbrauchern kontrolliert oder verarbeitet und mindestens 50 % seines Bruttoumsatzes aus dem Verkauf dieser Daten erzielt

Interessant ist, dass selbst große Unternehmen dem Gesetz nicht unterliegen, wenn sie nicht in eine dieser beiden Kategorien fallen.

Das Gesetz betrifft auch nicht:

Diese Schlüsselbegriffe des CDPA wirken sich auch auf den Geltungsbereich des Gesetzes aus (Kapitel 52, § 59.1-571.):

  • „Verbraucher“ ist eine natürliche Person, mit Wohnsitz im Commonwealth, die nur im Rahmen einer Einzelperson oder eines Haushalts handelt, was bedeutet, dass das Gesetz beispielsweise keine Arbeitnehmerdaten umfasst.
  • Verkauf personenbezogener Daten“ ist ein Austausch personenbezogener Daten gegen Entgelt durch den Verantwortlichen an einen Dritten, was bedeutet, dass der Austausch von Nutzerdaten gegen nicht monetäre Güter nicht als Verkauf von Daten gilt.

Wie definiert CDPA personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die mit einer identifizierten oder identifizierbaren natürlichen Person verknüpft oder vernünftigerweise mit dieser verknüpfbar sind (Kapitel 52, § 59.1-571). Das Gesetz enthält keine weiteren Richtlinien zu „vernünftigerweise verknüpfbaren“ Daten. Dies weist darauf hin, dass das Gesetz alle Arten von identifizierbaren Daten über eine Person abdeckt, einschließlich Online-Identifikatoren wie Cookies oder Nutzer-IDs.

Der CDPA schließt jedoch Folgendes von der Definition personenbezogener Daten aus:

  • Arbeitnehmerdaten
  • Anonymisierte Daten
  • Öffentlich verfügbare Informationen

Was sind öffentlich verfügbare Informationen gemäß CDPA?

CDPA definiert öffentlich verfügbare Informationen als alle Daten, die ein Verbraucher oder eine Person, an die diese Informationen weitergegeben wurden, rechtmäßig über Medien veröffentlicht. Dies könnte bedeuten, dass CDPA z. B. die über Social-Media-Profile offengelegten Informationen als öffentlich verfügbar betrachtet.

Was sind sensible Daten?

CDPA legt eine besondere Kategorie personenbezogener Daten fest, die als sensible Daten gelten. Sie umfasst, ist aber nicht beschränkt auf:

  • Daten über rassische oder ethnische Herkunft, religiöse Überzeugungen, psychische oder körperliche Gesundheitsdiagnosen, sexuelle Orientierung, Staatsbürgerschaft oder Einwanderungsstatus.
  • Genetische oder biometrische Daten, die es ermöglichen, eine Person zu identifizieren.
  • Personenbezogene Daten eines Kindes.
  • Präzise Geolokalisierungsdaten.

Die Verarbeitung dieser Art von Informationen bringt verschiedene Datenschutzverpflichtungen mit sich, darunter die aktive Zustimmung des Nutzers. Wir werden später darüber sprechen.

Ihre Hauptpflichten unter CDPA

✓ Respektieren Sie Verbraucherrechte

Das CDPA gibt Verbrauchern sechs wichtige Rechte:

  • Auskunftsrecht – Auf Anfrage von Verbrauchern legen Sie offen, welche Informationen Sie über sie gesammelt haben.
  • Recht auf Berichtigung – Auf Anfrage von Verbrauchern berichtigen Sie die über sie gesammelten Informationen.
  • Recht auf Löschung – Auf Anfrage von Verbrauchern löschen Sie alle über sie gesammelten Informationen.
  • Recht auf Datenübertragbarkeit – Auf Anfrage von Verbrauchern stellen Sie ihnen eine Kopie der von ihnen gesammelten Daten bereit. Die Kopie sollte in einem tragbaren und leicht verwendbaren Format vorliegen. Dies ermöglicht Verbrauchern, z. B. ihre Daten einfach an verschiedene Institutionen und Unternehmen zu übermitteln.
  • Beschwerderecht – Die CDPA gibt Ihnen 45 Tage Zeit Verbraucheranfragen zu bearbeiten. Bei Bedarf verlängern Sie die First um weitere 45 Tage. Vorausgesetzt, Sie informieren die Verbraucher darüber innerhalb des ersten Antwortfensters. Verbraucher legen eine Beschwerde ein, sobald das Unternehmen diese Fristen nicht einhält. Der Generalstaatsanwalt überprüft die Beschwerde der Fahrlässigkeit.
  • Widerspruchsrecht – Die Verbraucher haben das Recht, dem Sammeln ihrer Daten, z. B. zur gezielten Werbung, dem Verkauf ihrer Daten oder dem Profiling zu widersprechen und Sie sind verpflichtet die Auswahl zu respektieren. Sie bieten ihnen Hilfsmittel, damit sie dieses Recht ausüben können, z.B. indem Sie ein Opt-Out-Widget auf Ihrer Website platzieren

Diese Regel hat eine wichtige Ausnahme. Wenn Sie mit Informationen arbeiten, die in die Kategorie der sensiblen Daten fallen, benötigen Sie dafür eine aktive Einwilligung des Nutzers. In diesem Fall wenden Sie ein DSGVO- oder LGPD-ähnliches Einwilligungsverfahren an. Lesen Sie diesen Leitfaden, um mehr über bewährte Methoden zum Einholen von Einwilligungen zu erfahren.

✓ Beschreiben Sie in Ihrer Datenschutzerklärung die Methoden, mit denen Sie Daten verarbeiten

Das Gesetz verlangt von Ihnen, Verbraucherdaten transparent zu erheben, zu verarbeiten und weiterzugeben. Erläutern Sie Ihren Website-Besuchern in Ihrer Datenschutzerklärung:

  • Welche Kategorien personenbezogener Daten Sie verarbeiten
  • Welche Kategorien personenbezogener Daten Sie an Dritte weitergeben
  • Mit welchen Drittparteien Sie personenbezogene Daten teilen
  • Zu welchen Zwecken Sie personenbezogene Daten verarbeiten
  • Wie Sie Verbrauchern verhelfen, ihre Rechte auszuüben (z. B. Recht auf Löschung oder Berichtigung ihrer Daten, Auskunftsrecht)

✓ Verwenden und sammeln Sie Daten nur in begrenztem Umfang

Beschränken Sie den Umfang der gesammelten Daten auf das, was angemessen, relevant und vernünftigerweise notwendig in Bezug auf die Zwecke ist, für die die Daten verarbeitet werden. Verwenden Sie Verbraucherdaten nur auf jene Art und Weise, die Sie in Ihrer Datenschutzrichtlinie beschreiben, es sei denn, Sie haben eine aktive Einwilligung des Nutzers für neue Zwecke des Datengebrauchs.

✓ Wenden Sie technische Schutzmaßnahmen für Ihre Daten an

Führen Sie einen Prozess ein, der gewährleistet, dass personenbezogene Daten vertraulich, unversehrt und zugänglich bleiben. Das Gesetz enthält jedoch keine spezifischen Angaben zu den bevorzugten Methoden.

✓ Führen Sie Datenschutzbewertungen durch

Führen Sie Datenschutzkontrollen durch, die Ihnen helfen, potenzielle Risiken der Datenverarbeitung abzuschätzen. Eine umfassende Liste der Aktivitäten finden Sie hier.

✓ Unterzeichnen Sie Auftragsverarbeitungsverträge mit jeder Partei, die Daten in Ihrem Namen verarbeitet

Schließen Sie mit jeder Partei, die Zugriff auf die von Ihnen erfassten Verbraucherdaten hat, einen Auftragsverarbeitungsvertrag ab (auch Data Processing Agreement genannt). Die wichtigsten Informationen in diesem Dokument sind: 

  • Klare Vorgaben zur Verarbeitung der Daten
  • Art und Zweck des Prozesses
  • Die Art der verarbeiteten Daten
  • Die Dauer der Verarbeitung
  • Rechte und Pflichten beider Parteien
pro tip

So unterstützt Sie die Piwik PRO Analytics Suite, den Pflichten des CDPA nachzugehen:

  • Sie erhalten volle Kontrolle über die gesammelten Daten und verlassen sich darauf, dass wir sie nicht für unsere eigenen Zwecke verwenden.
  • Sie richten schnell Banner ein, die die Besucher informieren, dass Sie ihre Daten sammeln und dass sie diese Datenweitergabe widersprechen und Datenanfragen senden können.
  • Dank des integrierten Consent und Tag Managers passen Sie ihre Tracking-Methoden an die Wünsche der Besucher an

Strafen bei fehlender Compliance

Der CDPA befugt Verbraucher nicht, eine private Klage einzureichen. Bußgelder verhängt der Generalstaatsanwalt und belegt sie mit einer 30-tägigen Behebungsfrist. Wenn die Organisation nach dieser Zeit immer noch gegen das Gesetz verstößt, kann sie mit Geldstrafen von bis zu 7.500 USD pro Verstoß rechnen.

Kapitel 5

Kanadas Consumer Privacy Protection Act (CPPA)

Der Gesetzentwurf C-11, der Consumer Privacy Protection Act (CPPA), wurde am 17. November 2020 vorgestellt. Das Gesetz wird den Personal Information Protection and Electronic Documents Act (PIPEDA) ändern und den Einwohnern Kanadas mehr Kontrolle darüber geben, wie Unternehmen mit ihren persönlichen Daten umgehen, einschließlich des Rechts auf Privatklage. Es sieht auch schwerwiegendere Konsequenzen bei Nichteinhaltung vor.

Datum des Inkrafttretens: Unbekannt. Das Gesetz befindet sich derzeit im Entwurfsstadium.

Was sind personenbezogene Daten gemäß CPPA?

Das neue Gesetz behält die in PIPEDA festgelegte Definition von personenbezogenen Daten bei. Unter dem CPPA sind personenbezogene Daten alle Informationen über eine identifizierbare natürliche Person, lebend oder verstorben zusammengefasst. Sie umfassen:

  • Alter, Name, ID-Nummern, Einkommen, ethnische Herkunft oder Blutgruppe
  • Meinungen, Bewertungen, Kommentare, sozialer Status oder Disziplinarmaßnahmen
  • Personalakten, Kreditunterlagen, Darlehensunterlagen, Krankenakten, Bestehen einer Streitigkeit zwischen einem Verbraucher und einem Händler, Absichten (z. B. zum Erwerb von Waren oder Dienstleistungen oder zum Arbeitsplatzwechsel)

[Quelle]

Wer ist vom CPPA betroffen?

CPPA-Vorgaben gelten für jede Organisation, die:

  • Personenbezogene Daten für kommerzielle Zwecke sammelt, verarbeitet und weitergibt.
  • Personenbezogene Daten von Mitarbeitern und Stellenbewerbern sammelt, verarbeitet und weitergibt.

CPPA gilt nicht für:

  • Staatliche Organisationen, die unter den Privacy Act fallen.
  • Personenbezogene Daten, die für journalistische, künstlerische und literarische Zwecke verwendet werden.
  • Personenbezogene Daten, die für persönliche Zwecke verwendet werden.
  • Personenbezogene Daten, die in Bezug auf Beschäftigung, Geschäftsaktivität oder Beruf verwendet werden.

Ihre Hauptaufgaben unter CPPA

Übernehmen Sie die Verantwortung für die gesammelten Daten

Der CPPA macht Ihre Organisation verantwortlich für die Sicherheit der personenbezogenen Daten, unabhängig davon, ob Sie oder andere Personen in Ihrem Namen die Daten sammeln, verwalten oder weitergeben. Sie sind auch verpflichtet, eine Person zu beauftragen, die die Erfüllung der Datenschutzpflichten verantwortet und deren Kontaktdaten Sie offenlegen, z.B. in Ihrer Datenschutzerklärung oder auf Anfrage eines Besuchers.

Holen Sie Einwilligungen ein

Holen Sie sinnvole Einwilligungen ein, um personenbezogene Daten der Nutzer zu erheben, zu verwalten und weiterzugeben. Informieren Sie mit der Aufforderung Ihre Besucher ordnungsgemäß über deren Optionen in einfacher Sprache. 

Die Einwilligungsaufforderung kommt in zwei Formen vor:

  • Implizite Form – Sie informieren die Nutzer, dass Sie ihre personenbezogenen Daten erheben und ermöglichen ihnen ein Opt-out-Verfahren
  • Explizite Form – Sie holen eine aktive Einwilligung der Nutzer ein, bevor Sie anfangen Daten zu tracken

Ihre Wahl der impliziten oder expliziten Einwilligung hängt von der Art der personenbezogenen Daten ab. Während sensiblere Daten eine aktive Einwilligung erfordern, können Sie sich bei weniger sensiblen Daten auf die stillschweigende Einwilligung verlassen. Denken Sie daran, dass das Dokumentieren von Einwilligungen (eine Pflicht gemäß CPPA) bei expliziten Einwilligungen viel einfacher ist als bei solchen, die auf Untätigkeit der Nutzer beruhen.

Unabhängig davon, für welche Art der Einwilligung Sie sich entscheiden, stellen Sie sicher, dass Ihre Nachricht an Besucher folgende Informationen enthält:

  • Wege und Zwecke, für die Sie personenbezogene Daten erheben, verwalten und weitergeben.
  • Konsequenzen der Erhebung, Verwendung oder Weitergabe der personenbezogenen Daten.
  • Arten von personenbezogenen Daten, die Sie sammeln, verwalten und weitergeben.
  • Die Namen von Drittparteien, mit denen Sie die personenbezogenen Daten der Nutzer teilen.

Denken Sie ebenfalls an das Recht der Nutzer, die Einwilligung zu widerrufen. Sie sollten ihnen auf einfache Art und Weise ermöglichen, ihre Meinung zu ändern, z.B. über ein Kontaktformular oder eine E-Mail-Adresse auf Ihrer Datenschutzseite.

Beachten Sie Rechte der Nutzer auf Datenübertragbarkeit und Löschung

Unter dem CPPA haben Nutzer das Recht:

  • Ihre personenbezogenen Daten zwischen Organisationen, z. B. Banken oder Versicherungsanbietern zu übertragen
  • Die Löschung ihrer personenbezogenen Daten anzufordern

Denken Sie an Datenschutz-Managementprogramme und Transparenz

Unternehmen sind verpflichtet, transparente Prozesse für den Umgang mit personenbezogenen Daten zu haben. Jede Organisation bereitet Materialien vor, in denen sie beschreibt:

  • Wie sie personenbezogene Daten schützt
  • Wie sie mit Informationsanfragen und Beschwerden umgeht
  • Wie sie andere durch das Gesetz bestimmte Pflichten erfüllt
  • Welche Schulungen und Informationen sie ihren Mitarbeitern bereitstellt

Aktualisieren Sie auch Ihre interne Datenschutzrichtlinie, damit sie klar beschreibt, welche Arten von personenbezogenen Daten Sie sammeln und wie Sie diese verarbeiten. Verfassen Sie die Datenschutzerklärung in einfacher und verständlicher Sprache.

Dokumentieren Sie das Einholen von Einwilligungen

Ihre Organisation ist verpflichtet, Einwilligungen und die Zwecke, für die sie Daten sammeln, verwalten und weitergeben, zu dokumentieren. Wenn Sie sich entscheiden, Daten für einen neuen Zweck zu nutzen, holen Sie eine separate Einwilligung ein, dokumentieren Sie sie und fügen diese den Unterlagen hinzu.

Diese Daten bewahren Sie in leicht zugänglicher Form auf. Im Falle einer Kontrolle durch Datenschutzbehörden teilen Sie Ihre Unterlagen mit dem Datenschutzbeauftragten.

Erwägen Sie, mit anonymisierten Daten zu arbeiten

Der CPPA legt keine Definition von anonymisierten Informationen fest. Stattdessen beschreibt er den Prozess der Datenanonymisierung:

Anonymisierung bedeutet, personenbezogene Daten zu modifizieren – oder Informationen aus personenbezogenen Daten zu erstellen – indem technische Verfahren eingesetzt werden, um sicherzustellen, dass die Informationen keine Person identifizieren oder unter vernünftigerweise vorhersehbaren Umständen allein oder in Kombination mit anderen Informationen nicht zur Identifizierung eines Individuums verwendet werden können.

Laut Gesetz benötigen Sie keine Einwilligung der Besucher, um anonymisierte Daten zu sammeln.

CPPA: Welche Strafen gibt es bei Verstößen?

Die Geldbußen für die fehlende Compliance betragen bis zu 10 Millionen US-Dollar oder bis zu 3 % des weltweiten Umsatzes. Das Gesetz sieht auch höhere Strafen für schwerwiegende und vorsätzliche Verstöße vor, bis zu 25 Millionen US-Dollar oder 5 % des weltweiten Umsatzes.

Wichtig ist, dass Verbraucher dem CPPA nach ein privates Klagerecht erhalten. Sie können Unternehmen verklagen, die ihre Daten in einer gegen das Gesetz verstoßender Weise verwenden.

pro tip

So unterstützt Sie die Piwik PRO Analytics Suite, Pflichten des CPPA nachzugehen:

Zusätzliche Lektüre:
Volltext des Gesetzes

Kapitel 6

Neuseelands Privacy Bill

Neuseelands neue Privacy Bill ersetzte den veralteten Privacy Act. Das Gesetz setzt Vorschläge der Law Commission aus dem Jahr 2011 um. Es stellt unter anderem klar, wie Unternehmen, die Daten von Einwohnern Neuseelands verarbeiten, mit Offshore-Datenübertragungen umgehen und Datenschutzverstöße melden.

Datum des Inkrafttretens: 1. Dezember 2020

Der Anwendungsbereich

Das Gesetz gilt für jedes Unternehmen, das Daten von Einwohnern Neuseelands verwaltet, auch wenn es nicht physisch im Land ansässig ist. Fast jede Person oder Organisation, die Kontrolle über personenbezogene Daten behält, ist laut Gesetz eine „Agentur“ (agency). Der Rechtsakt betrifft also alle Regierungsabteilungen, Unternehmen sowie religiöse Gruppen, Schulen und Vereine

Wie es personenbezogene Daten definiert?

Personenbezogene Daten sind Informationen über eine identifizierbare, lebende Person. Dazu gehören Namen, E-Mail-Adressen und biometrische Daten, sowie:

  • IP-Adressen
  • Eindeutige IDs
  • Such- und Browserverlauf
  • Daten zu Geräten, Betriebssystemen, Updates etc.
  • Standortdaten
  • Kauf- und Online-Shopping-Historie
  • Einstellungen und Website-Präferenzen
  • Verhaltensdaten, wie Scrollgeschwindigkeit, Bewegen der Maus und des Mauszeigers

Dies bedeutet, dass das Gesetz auch Marketingtools betrifft, die mit eindeutigen Identifikatoren und Cookies arbeiten (z. B. Analyticsplattformen, Customer Data Plattformen oder CRM).

Wesentliche Pflichten und Vorschriften

  • Informieren Sie betroffene Personen über die Erhebung ihrer Daten. Sie sind verpflichtet, die Nutzer zu benachrichtigen und zu informieren, dass Sie ihre Daten sammeln, verwalten und weitergeben. Die Anzeige kann viele Formen annehmen, z. B. ein Datenschutzhinweis mittels Banner an der Unterseite Ihrer Website.
  • Beachten Sie die Rechte betroffener Personen. Gemäß dem neuseeländischen Datenschutzgesetz haben betroffene Personen ein Recht auf Zugang und Berichtigung von Daten, die Unternehmen über sie sammeln.
  • Benachrichtigen Sie die Behörden über Datenschutzverletzungen. Wenn ein Verstoß gegen das Datenschutzrecht eine definierte Schwelle erreicht, musseine “Agentur” darüber sowohl die betroffene Person als auch den Datenschutzbeauftragten informieren.
  • Seien Sie vorsichtig bei grenzüberschreitenden Datenübertragungen. Das Gesetz verbietet, personenbezogenen Daten ins Ausland (an ein Unternehmen außerhalb Neuseelands, das dem lokalen Rechtssystem nicht unterliegt) weiterzugeben, es sei denn:
    • Die Person stimmt der Weitergabe zu
    • Die ausländische Filiale befindet sich in einem Land mit vergleichbarem Datenschutzrecht wie Neuseeland
    • Die Agentur glaubt, dass die ausländische Filiale die Informationen auf ähnliche Weise schützt
    • Es gibt eine Ausnahme

Wie Sie sehen, zielt das Gesetz zwar darauf ab, den Informationsfluss über Nutzer zwischen Ländern und Unternehmen zu regeln. Es ist aber nicht so stark wie die DSGVO und andere moderne Datenschutzgesetze. Zum einen schafft es keinen Rahmen, der Internetnutzern die Möglichkeit gibt, dem Tracken ihrer Daten zuzustimmen oder zu widersprechen. Außerdem gibt das Gesetz betroffenen Personen nicht das Recht, vergessen zu werden oder das Recht auf Datenübertragbarkeit. Und schließlich gibt es dem Datenschutzbeauftragten nicht die Möglichkeit, Verstöße gegen den Datenschutz mit Geldstrafen zu belegen, wie dies bei der DSGVO oder der CCPA der Fall ist.

Strafen

Der Gesetzentwurf führt neue Straftatbestände ein. Eine Person macht sich strafbar, wenn sie:

  • Falsche oder irreführende Aussagen macht
  • Fälschlich angibt, dass eine Person gemäß dem Privacy Act befugt ist
  • Sich als eine Privatperson ausgibt oder fälschlich vorgibt, eine Privatperson zu sein, um Zugang zu personenbezogenen Daten einer betroffenen Person zu erhalten
  • Wissentliche Dokumente mit personenbezogenen Daten vernichtet, die Gegenstand einer Anfrage sind

Jede Person, die eine der oben genannten Straftaten begeht, unterliegt einer Geldstrafe von bis zu 10.000 US-Dollar.

pro tip

So unterstützt Sie die Piwik PRO Analytics Suite, Pflichten des Neuseelands Privacy Bill nachzugehen:

  • Sammeln und verarbeiten Sie Nutzeranfragen für Datenzugriff und Berichtigung mit dem integrierten Consent Manager
  • Speichern Sie die gesammelten Daten in einer sicheren Public Cloud, Private Cloud oder On-Premises

Zusätzliche Lektüre:

Kapitel 7

Das brasilianische Lei Geral de Proteção de Dados (LGPD)

Lei Geral de Proteção de Dados (LGPD) schafft einen neuen Rechtsrahmen für die Verarbeitung personenbezogener Daten in Brasilien, online und offline, im privaten und öffentlichen Sektor. Viele Datenschutzexperten vergleichen es mit der DSGVO, da beide auf verwandten Konzepten basieren, einschließlich Einwilligung und robusten Rechten betroffener Personen.

Datum des Inkrafttretens: 18. September 2020

Der Anwendungsbereich

Wie die DSGVO in der EU hat die LGPD extraterritoriale Anwendung. Es bedeutet, dass das Gesetz jedes ausländische Unternehmen betrifft, das personenbezogenen Daten brasilianischer Einwohner verarbeitet.

Wie es personenbezogene Daten definiert?

Ähnlich wie bei der DSGVO umfasst die Definition der personenbezogenen Daten:

[Alle] Daten, isoliert oder aggregiert, die eine natürliche Person identifizieren oder sie einer bestimmten Handlung ausüben lassen (diese Interpretation scheint sich nach einer umfassender Lektüre des Textes aufzudrängen). In Zeiten von Big Data, die eine schnelle Korrelation von großen, strukturierten und unstrukturierten Datenbanken ermöglichen, können praktisch alle Daten irgendwann als personenbezogen gelten und unterliegen somit dem Gesetz.

Hauptpflichten

Das LGPD teilt viele Merkmale mit der DSGVO, ist aber nicht identisch. Sehen wir uns die wichtigsten Prinzipien an:

  • Wählen Sie zwischen 10 rechtmäßigen Gründen für die Verarbeitung von Daten. Abgesehen von den sechs Grundlagen der DSGVO für die rechtmäßige Verarbeitung legt das LGPD einige zusätzliche, spezifische Grundlagen fest. Das brasilianische Gesetz führt vier neue Optionen ein, darunter die Durchführung von Forschungsstudien, medizinische Verfahren, Kreditschutz und Gerichtsverfahren.
  • Holen Sie Einwilligungen ein. LGPD behandelt die Einwilligung als freiwillig erteilte, informierte und eindeutige Angabe der Zustimmung der betroffenen Personen zur Datenverarbeitung.
  • Beachten Sie die Rechte der betroffenen Personen. Die LGPD führt neue Rechte für betroffene Personen ein, wie z. B. das Recht auf Auskunft, das Recht auf Berichtigung, Löschung oder Ausschluss von Daten, das Recht, der Verarbeitung zu widersprechen, das Recht, eine zuvor erteilte Einwilligung zu widerrufen, das Recht auf Information und Erklärung bezüglich der Verwendung von Daten sowie das Recht auf Datenübertragbarkeit. Außerdem wird ein relativ kurzer Zeitrahmen für die Bearbeitung von Anträgen betroffener Personen, die sich aus diesen Rechten ergeben, festgelegt (15 Tage gegenüber einem Monat gemäß der Datenschutz-Grundverordnung).
  • Benachrichtigen Sie die Behörden über Datenschutzverstöße. Meldungen über Datenschutzverstöße an die Datenschutzbehörde werden obligatorisch, müssen aber innerhalb eines „angemessenen Zeitrahmens“ erfolgen, nicht innerhalb von 72 Stunden wie nach der DSGVO.
  • Weisen Sie einen Datenschutzbeauftragten zu. Ähnlich wie die DSGVO führt LGPD die Pflicht ein, einen Datenschutzbeauftragten (DSB) zu benennen. Ein Unternehmen oder eine Organisation, die Daten verarbeitet und unter die LGDP fällt, ernennt einen Beauftragten, der die Kommunikation zwischen Gesetzgebern und betroffenen Personen durchführt.
  •  Folgen Sie die Grundsätze des Datenschutzes mit Privacy by Design und Privacy by Default. Gestalten Sie Dienstleistungen, Produkte und Geschäftsmodelle im Hinblick auf die Privatsphäre und Datenschutzrechte. Berücksichtigen Sie die allgemeinen Prinzipien der LGPD und Sicherheitsstandards von der Idee bis zur Umsetzung eines Produkts oder einer Dienstleistung.
  • Beachten Sie die 10 Grundsätze der Verarbeitung personenbezogener Daten, darunter:
    • Zweckbindung
    • Angemessenheit
    • Notwendigkeit
    • Datenqualität
    • Transparenz
    • Sicherheit
    • Gleichbehandlung
    • Genauigkeit
    • Vorsorge
    • Grundsatz der Rechenschaftspflicht

Umsetzbare Schritte

Wenn Sie bereits DSGVO-konform agieren, erfüllen Sie den Löwenanteil der Vorschriften der LGPD. Es gibt jedoch wichtige Unterschiede, die Sie beachten sollten. Sie betreffen einen kürzeren Zeitraum, in dem Sie Anfragen betroffener Personen verarbeiten und zusätzliche Rechtsgrundlagen für die Datenverarbeitung. Dennoch scheint auch im Fall von LGDP die Einwilligung als die beste Grundlage für Marketing- und Vertriebsaktivitäten.

Strafen

Die Strafen umfassen Mahnungen und Geldbußen. Sie machen nicht mehr als zwei Prozent des Umsatzes des Unternehmens in Brasilien im letzten Geschäftsjahr aus, insgesamt sind jedoch auf 50 Millionen Real (ca. 13.305.657 USD) pro Verstoß begrenzt. Das LGDP sieht auch eine tägliche Geldstrafe vor, um diejenigen zu zwingen, die gegen das Gesetz verstoßen, das Verhalten einzustellen.

pro tip

So unterstützt Sie die Piwik PRO Analytics Suite, Pflichten des LGDP nachzugehen:

Zusätzliche Lektüre:

Kapitel 8

Indisches Personal Data Protection Bill

Indiens neues Datenschutzgesetz ist eines der umstrittensten. Experten werfen dem Entwurf viele Mängel und fragwürdige Klauseln vor. Der Gesetzentwurf erlaubt unter anderem die Verarbeitung personenbezogener Daten im Interesse der Sicherheit des Staates. Es lässt auch die Verarbeitung der personenbezogenen Daten zu, um Straftaten oder sonstige Gesetzesverstöße vorzubeugen, zu ermitteln, zu untersuchen und zu verfolgen.

Datum des Inkrafttretens: Noch nicht festgelegt.

Der Anwendungsbereich

Das vorgeschlagene Gesetz gilt sowohl für staatliche als auch für private Stellen, die:

  • Geschäfte in Indien betreiben
  • Waren und Dienstleistungen den sogenannten data principals (auch allgemein als betroffene Personen bezeichnet) in Indien anbieten
  • Aktivitäten wie Profilerstellung betroffener Personen innerhalb des Hoheitsgebiets Indiens ausführen

Wie es personenbezogene Daten definiert?

Das Gesetz definiert personenbezogene Daten als:

[Daten] über oder in Bezug auf eine natürliche, direkt oder indirekt identifizierbare Person, unter Hinweis auf jegliche Merkmale […] der Identität dieser Person.

Die wichtigsten Pflichten & umsetzbaren Schritte

  • Schränken Sie die Datensammelung ein. Organisationen sind verpflichtet, die Datenerhebung auf das für die Verarbeitung erforderliche Minimum zu beschränken.
  • Holen Sie die Einwilligungen der Nutzer ein. Unternehmen benötigen die Einwilligung der betroffenen Personen, bevor sie anfangen, personenbezogene Daten zu verarbeiten. Sie bedürfen eine ausdrückliche Einwilligung, bevor sie sensible personenbezogene Daten verarbeiten (z. B. Finanzdaten, Gesundheitsdaten, biometrische Daten, Passwörter). Eine gültige Einwilligung ist freiwillig erteilt, detailliert, spezifisch, klar und einfach zu widerrufen.
  • Beachten Sie Rechte der betroffenen Personen. Das Gesetz gewährt den betroffenen Personen das Recht auf Bestätigung und Auskunft, Recht auf Berichtigung, Recht auf Datenübertragbarkeit und Recht auf Vergessenwerden.
  • Weisen Sie einen Datenschutzbeauftragten (DSB) zu. Organisationen, die „Hochrisiko-Verarbeitungsaktivitäten“ ausüben, sind verpflichtet, einen Datenschutzbeauftragten zu ernennen. Ferner berufen Organisationen, die sich nicht in Indien befinden, aber in den Geltungsbereich des Gesetzes fallen, einen DSB mit Sitz in Indien.
  • Achten Sie auf Datenübertragungen. Eine Organisation ist verpflichtet, mindestens eine Kopie der personenbezogenen Daten auf einem Server oder in einem Rechenzentrum in Indien zu speichern. Außerdem verbietet der Gesetzentwurf Organisationen, sensible personenbezogene Daten und kritische personenbezogene Daten ins Ausland zu übertragen oder im Ausland zu speichern.

Sensible/kritische Informationen müssen in Indien gespeichert werden! Es sind personenbezogene Daten, die Passwörter, Finanzdaten, Gesundheitsdaten, amtliche Identifikatoren, Geschlechtsdaten, sexuelle Orientierung, biometrische Daten, genetische Daten, Transgender-Status, Intersexuellenstatus, Kaste/Stamm, religiöse oder politische Überzeugung oder Zugehörigkeit offenbaren, sich darauf beziehen oder diese darstellen.

Für die Übermittlung personenbezogener Daten (mit Ausnahme sensibler personenbezogener Daten oder kritischer personenbezogener Daten) außerhalb Indiens muss eine Organisation Standardvertragsklauseln vereinbaren, die von der Behörde genehmigt werden.

Strafen

Der Gesetzentwurf sieht sowohl zivil- als auch strafrechtliche Maßnahmen vor. Es legt zwei Kategorien von zivilrechtlichen Sanktionen fest:

  • Die erste Kategorie erlaubt Strafen bis zu fünf Millionen Rupien (ca. 730.000 USD) oder zwei Prozent des Bruttoumsatzes des Unternehmens aus dem letzten Geschäftsjahr, je nachdem, welcher Betrag höher ist.
  • Die zweite Kategorie umfasst Strafen bis zu fünfzehn Millionen Rupien (ca. 2,2 Millionen US-Dollar) oder vier Prozent des gesamten Bruttoumsatzes des Unternehmens aus dem letzten Geschäftsjahr, je nachdem, welcher Betrag höher ist.
pro tip

So unterstützt Sie die Piwik PRO Analytics Suite, Pflichten des indischen Gesetzes zum Schutz personenbezogener Daten nachzugehen:

Kapitel 9

Singapurs Personal Data Protection Act (PDPA)

Singapurs Gesetz zum Schutz personenbezogener Daten trat 2014 in Kraft. Im Jahr 2020 verabschiedete das Parlament in Singapur einen Entwurf zur Überarbeitung des Gesetzes, um einen robusteren Einwilligungsrahmen und genauere Regeln für Offshore-Datenübertragungen aufzusetzen. Diese Korrekturen machten es zu einem der strengsten Datenschutzgesetze in Südostasien.

Datum des Inkrafttretens: 1. Februar 2021

Der Anwendungsbereich

PDPA regelt, wie Unternehmen und Organisationen personenbezogene Daten in Singapur sammeln, nutzen und weitergeben. Es macht Website-Besitzer, Unternehmen und Organisationen für den Aufbau eines rechtmäßigen Datenerhebungsprozesses verantwortlich.

Das Gesetz wirkt extraterritorial, d. h. es gilt für jedes Unternehmen, das mit Daten von Einwohnern Singapurs umgeht. 

Der PDPA betrifft private Organisationen, die personenbezogene Daten erheben, verwalten und/oder weitergeben. Aber es gibt einige Ausnahmen, wie zum Beispiel:

  • Personen, die Daten für ihre persönlichen Zwecke verwenden
  • Arbeitnehmer im Rahmen ihrer Beschäftigung bei einer Organisation
  • Öffentliche und staatliche Stellen, da sie ihre eigenen Datenschutzregeln haben

Wie PDPA personenbezogene Daten definiert?


Personenbezogene Daten in PDPA sind ein sehr weit gefasster Begriff. Er umfasst Daten, ob wahr oder nicht, über eine Person, die anhand dieser Daten oder anhand dieser Daten und anderer Informationen, auf die die Organisation Zugriff hat oder vermutlich haben könnte, identifiziert werden kann. Zu personenbezogenen Daten gehören:

  • Namen, Adressen, E-Mail-Adressen, Telefonnummern
  • IP-Adressen, Cookie-Kennungen, eindeutige IDs, Suchverlauf, Browserverlauf, Gerätedaten, Standortdaten
  • Angaben zu Alter, Geschlecht, Rasse, Gesundheitszustand, sexueller Orientierung, Aussehen, politischen und religiösen Überzeugungen

Auch Marketingtools, die mit eindeutigen IDs und Cookies arbeiten (wie Analyticsplattformen), unterliegen dem Gesetz. Ihr Gebrauch zum Tracken der Aktivitäten von Einwohnern Singapurs erfordert eine vorherige Einwilligung, mit Ausnahme von Cookies, die für das ordnungsgemäße Funktionieren der Website erforderlich sind.

Ihre wichtigsten Pflichten gemäß PDPA

✓ Holen Sie Einwilligung der betroffenen Personen ein, um ihre personenbezogenen Daten zu verarbeiten

Eine der wesentlichen Pflichten im Rahmen von PDPA besteht darin, dass Sie Einwilligung des Besuchers benötigen, um seine Daten zu erheben. Die Zustimmung kann einen bejahenden oder stillschweigenden Charakter haben. Die stillschweigende Einwilligung (deemed consent, Art. 15 PDPA) bedeutet, dass Sie die Nutzer über die Datensammlung informieren und ihnen ermöglichen, es abzulehnen, aber die Nutzer tun es nicht. Die bejahende Einwilligung ähnelt der DSGVO – sie erfordert eine aktive Einwilligung der Besucher.

Die stillschweigende Einwilligung kann als praktischerer Weg erscheinen, um mit den von der PDPA auferlegten Pflichten umzugehen. Gemäß den Beratungsleitfäden zu Schlüsselbegriffen im PDPA birgt dieser Ansatz jedoch mehr Risiken und Verbindlichkeiten:

Die Kommission empfiehlt, dass Organisationen die Einwilligung einer betroffenen
Person durch eine positive Aktion der Person einholen, indem sie zustimmt, dass ihre personenbezogenen Daten zu den genannten Zwecken gesammelt und weitergegeben werden. Wenn eine Organisation beabsichtigt, den Opt-out-Ansatz bei der Suche nach der Einwilligung zu übernehmen, sollte die Organisation die Risiken berücksichtigen, dass sie der Mitteilungspflicht und Einwilligungspflicht nicht nachkommen könnte.

Die neue Version von PDPA hat den Rahmen der stillschweigenden Einwilligung präzisiert. Jetzt enthält es eine Pflicht, Nutzer über neue Erhebungszwecke zu informieren und ihnen ermöglichen, die Einwilligung abzulehnen.

Zu den anderen Regeln zum Einholen rechtmäßiger Einwilligungen gehört das Informieren der Nutzer über:

  • Ihre Absicht, ihre Daten zu verarbeiten, bevor Sie anfangen, die Daten zu sammeln
  • Die Zwecke der Verarbeitung
  • Ihr Recht, die Einwilligung jederzeit zu widerrufen

Schließlich ist es Ihnen nicht erlaubt, Nutzer zur Einwilligung zu zwingen, indem Sie den Zugriff auf ein Produkt oder eine Dienstleistung einschränken.

Einige Organisationen, die personenbezogene Daten verarbeiten, können sich auf die Ausnahme aufgrund berechtigter Interessen berufen. Erfahren Sie mehr darüber in den Beratungsleitfäden der Datenschutzkommission von Singapur.

✓ Respektieren Sie Besucherrechte

Auf Wunsch eines Nutzers:

  • Informieren Sie Nutzer, welche personenbezogenen Daten gesammelt werden
  • Geben Sie an, wie Sie seine personenbezogenen Daten innerhalb eines Jahres vor der Anfrage verwendeten
  • Stellen Sie eine tragbare und übertragbare Kopie der personenbezogenen Daten bereit
  • Berichtigen Sie Fehler oder Lücken in den personenbezogenen Daten

Gemäß PDPA, wenn Sie nicht vermögen, die Zugangsanfrage eines Kunden innerhalb von 30 Tagen zu beantworten, erhalten Sie weitere 30 Tage, um diese Pflicht zu erfüllen. Danach drohen Ihnen Geldbußen wegen PDPA-Verstößen.

Begrenzen Sie Ihre Datensammlung

Ihre Organisation darf personenbezogene Daten nur für die Zwecke erheben, verwalten und weitergeben, denen die Besucher zustimmen. Außerdem bewahren Sie die Daten nur so lange auf, wie Sie sie für einen bestimmten Zweck verwenden, und danach sofort löschen.

Begrenzen Sie Datenübertragungen

Unter PDPA dürfen Sie die personenbezogenen Daten der Nutzer ins Ausland übertragen. Aber das Land, in dem Sie sie behalten, muss einen Schutzstandard bieten, der mit dem von Singapur vergleichbar ist. Dies macht es praktisch unmöglich, die Daten in Länder wie die USA zu senden, wo nationale Sicherheitsbehörden Nutzerdaten überwachen dürfen. Dies unterminiert die Rechtmäßigkeit des Gebrauchs von solchen Plattformen wie Google Analytics, das Benutzerdaten an vielen Orten speichert, einschließlich der USA.

Seien Sie transparent

Benennen Sie einen Datenschutzbeauftragten und denken Sie daran, dessen Kontaktdaten auf Ihrer Website zu veröffentlichen. Aktualisieren Sie Ihre Datenschutzerklärung, damit sie richtig beschreibt, wie Sie personenbezogene Daten sammeln, verarbeiten und weitergeben.

Respektieren Sie die Do-not-call-Anforderung

Respektieren Sie Entschlüsse der in dem singapurischen Do-Not-Call-Register eingetragenen Personen. Kontaktieren Sie sich nicht mit ihnen zu Marketingzwecken, es sei denn, Sie haben deren klare und eindeutige Einwilligung oder führen eine laufende Geschäftsbeziehung mit ihnen.

Was ist das nationale Do-Not-Call-Register?

Das nationale Do-Not-Call-Register ist eine Liste, dank der Sie auf Marketingnachrichten und Anrufe verzichten, die an Ihr Telefon in Singapur gerichtet sind.

Halten Sie Ihre Datenbank relevant und aktuell

Stellen Sie sicher, dass die personenbezogenen Daten, mit denen Sie arbeiten, richtig und vollständig sind.

Schützen Sie die Sicherheit der gesammelten Daten

Bewahren Sie personenbezogene Daten sicher auf und schützen Sie sie vor unbefugtem Zugriff, Veränderung oder Verwendung.

Benachrichtigen Sie immer die Behörden über Datenschutzverletzungen

Benachrichtigen Sie Nutzer und die Kommission zum Schutz personenbezogener Daten von Singapur (Personal Data Protection Commission, PDPC) über Datenschutzverstöße innerhalb von drei Tagen nach dessen Entdeckung.

Strafen

Die Geldbußen für fehlende PDPA-Konformität betragen 10 % des Jahresumsatzes einer Organisation mit einem Jahresumsatz von mehr als 10 Millionen US-Dollar oder 1 Million US-Dollar, je nachdem, welcher Betrag höher ist.

pro tip

So unterstützt Sie die Piwik PRO Analytics Suite, Pflichten des PDPA nachzugehen:

Kapitel 10

Thailands Personal Data Protection Act (PDPA) 2019

Das thailändische Datenschutzgesetz (Personal Data Protection Act) aus dem Jahr 2019, nahm sich die europäische DSGVO als Vorbild. Es ist auch das allererste Gesetz in Thailand, das sich speziell dem Datenschutz widmet. Sehen wir uns die wichtigsten Vorschriften des PDPA an.

Datum des Inkrafttretens: 1. Juni 2021

Der Anwendungsbereich

PDPA hat einen extraterritorialen Geltungsbereich. Seine Regeln gelten für alle Personen, Websites und Unternehmen, die personenbezogene Daten von Einwohnern Thailands sammeln, verwenden oder weitergeben.

Wie werden personenbezogene Daten definiert?

Das Gesetz deutet personenbezogene Daten als alle Daten, die eine Person direkt oder indirekt identifizieren können. Die Definition listet nicht viele konkrete Beispiele auf, sagt aber, dass:

„Personenbezogene Daten“ alle Informationen sind, die sich auf eine Person beziehen und eine direkte oder indirekte Identifizierung dieser Person ermöglichen, insbesondere jedoch nicht die Angaben zu verstorbenen Personen.

Da Nutzerkennungen und Cookies auch eine Nutzeridentifikation ermöglichen, unterliegen Marketingtools wie Customer-Relationship-Management-Systeme (CRM), Customer Data Plattformen (CDP) oder Analyticssoftware dem Gesetz.

Ausnahmen vom Anwendungsbereich der personenbezogenen Daten sind:

  • Zu privaten Zwecken erhobene Daten
  • Von Regierungsbehörden gesammelte Daten in Bezug auf nationale Sicherheit, Kampf gegen Geldwäsche und Cybersicherheit 
  • Medien, die ethischen Standards und Zwecken von öffentlichem Interesse unterliegen
  • Von Mitgliedern des Parlaments und der Justiz erhobene Daten
  • Von Kreditbüros gesammelte Daten

Hauptpflichten

Holen Sie eine Einwilligung des Nutzers ein, um seine Daten zu verarbeiten


Das Gesetz verlangt, dass Sie eine Einwilligung des Nutzers für Cookies und andere Tracking-Methoden, die auf eindeutigen Kennungen basieren, einholen. Sie sind außerdem verpflichtet, die folgenden Grundsätze einzuhalten:

  • Die Nutzer erteilen Einwilligungen freiwillig in schriftlicher Form (z.  B. durch Ankreuzen eines Kästchens in einem Einwilligungs-Pop-up)
  • Sie informieren die Nutzer über den Zweck der Datenerhebung (z.B. Remarketing, A/B-Testing oder Analytics)
  • Sie formulieren die Anfrage in klarer und einfacher Sprache
  • Sie bewahren Einwilligungserklärungen für einen Zeitraum von fünf Jahren

Sie dürfen die vor dem 1. Juni 2021 gesammelten personenbezogenen Daten verarbeiten, wenn Sie sie für denselben Zweck verwenden, für den Sie sie ursprünglich erhoben haben. Sie sind jedoch verpflichtet, den Nutzern zu ermöglichen, ihre Einwilligung zu widerrufen. Und wenn Sie sich entscheiden, die gesammelten Daten über den ursprünglichen Zweck hinaus zu verwenden oder weiterzugeben, benötigen Sie eine neue gültige Zustimmung des Nutzers.

PDPA erlaubt auch, angenommene (stillschweigende) Einwilligungen einzuholen. Es ist jedoch nur in bestimmten Situationen vertretbar, sich auf sie zu verlassen. Dieses Vorgehen können Sie beispielsweise anwenden, wenn ein Nutzer Ihnen seine Daten freiwillig beim Anmelden zu einem Newsletter oder einem Online-Event mitteilt. In diesem Fall sind Sie dennoch verpflichtet, den Nutzern eine Opt-out-Option zu bieten und verwenden ihre Daten nur für den Zweck, dem sie zustimmten.

Dies gilt jedoch nicht für sensible Daten. Die Verarbeitung dieser Art von Informationen erfordert eine ausdrückliche Einwilligung, außer wenn Sie sie für wissenschaftliche, historische oder statistische Zwecke verwenden.

Verhindern Sie den unbefugten Zugriff auf personenbezogene Daten der Nutzer

Laut PDPA sollten Sie für die gesammelten Daten die höchsten Sicherheits- und Datenschutzstandards gewährleisten. Das Gesetz schlägt keine spezifischen Datenschutzmethoden vor, sodass es Ihnen überlassen ist, ausreichende Maßnahmen zu definieren, um den unbefugten Zugriff, die Weitergabe oder das Kopieren personenbezogener Daten in Ihrem Unternehmen zu verhindern.

Beachten Sie die Nutzerrechte

PDPA führt die folgenden Nutzerrechte ein:

  • Das Recht auf Auskunft über den Zweck der Datenerhebung und -verarbeitung
  • Das Recht auf Widerruf der erteilten Einwilligung
  • Das Recht auf Gleichberechtigung bei Verweigerung der Einwilligung – was bedeutet, dass Sie den Zugang zu Produkten oder Dienstleistungen für Besucher, die das Tracking ablehnen, nicht einschränken dürfen
  • Das Recht Recht auf Zugang zu den von den Personen gesammelten Daten und deren Erhalt
  • Das Recht auf Widerspruch gegen die Erhebung, Nutzung und Weitergabe ihrer Daten
  • Das Recht, die Verwendung seiner Daten einzuschränken – das bedeutet, dass der Nutzer in der Lage sein sollte, die Zwecke festzulegen, für die er Ihnen die Verwendung seiner Daten erlaubt
  • Das Recht auf Berichtigung ihrer Daten
  • Das Recht, seine Daten an einen anderen für die Datenverarbeitung Verantwortlichen zu übermitteln
  • Das Recht auf Löschung, Vernichtung oder Anonymisierung der Daten

Übertragen Sie Daten nur in Länder mit hohen Datenschutzstandards

Der PDPA erlaubt das Senden von Daten nur an Rechtsgebiete mit gleichen oder höheren Sicherheitsstandards wie Thailand. Es ist noch nicht klar, welche Länder die Pflichten von PDPA erfüllen. Das Gesetz sieht jedoch andere Gründe für die Datenübertragung vor, wie zum Beispiel:

  • Einhaltung gesetzlicher Verpflichtungen
  • Vertrag
  • Erfüllung vertraglicher Pflichten des Verantwortlichen gegenüber einem Dritten zugunsten der betroffenen Person
  • Vitales Interesse
  • Erfüllung einer wichtigen Aufgabe von öffentlichem Interesse

Es ist schwer vorherzusagen, ob einer dieser Gründe auf die Datenverarbeitung zutrifft, die mit Analytics und Marketing durchgeführt wird.

Strafen

Für Verstöße gegen die Regeln sieht PDPA folgende Strafen von:

  • Bußgelder bis zu 5 Millionen THB (Thai Baht, $159.591) oder bis zu 4 % des weltweiten Umsatzes der Organisation
  • Strafrechtliche Sanktionen bis zu einem Jahr Freiheitsstrafe
pro tip

So unterstützt Sie die Piwik PRO Analytics Suite, Pflichten des thailändischen PDPA nachzugehen:

Kapitel 11

ePrivacy-Verordnung

Die ePrivacy-Verordnung ist ein Gesetz, das die Datenschutz-Grundverordnung, auch bekannt als DSGVO, ergänzt und weiterentwickelt. Es gibt detaillierte Vorgaben zum Umgang mit Cookies, IoT-Geräten, E-Mail-Marketing und anderen digitalen Kommunikationskanälen. Gleichzeitig ersetzt sie die Richtlinie 2002/58/EG (auch bekannt als ePrivacy-Direktive).

Vollständiger Name: Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (Verordnung über Privatsphäre und elektronische Kommunikation).

Datum des Inkrafttretens: Noch unbekannt, aber nicht vor 2023. Der Rat und das Europäische Parlament verhandeln nun über den endgültigen Wortlaut. Es ist noch nicht sicher, ob das Gesetz in seiner jetzigen Form durchgesetzt wird, da es von EU-Behörden, darunter der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), stark kritisierten. 

Das Gesetz tritt 20 Tage nach seiner Veröffentlichung in Kraft und ist zwei Jahre später anwendbar.

Wen betrifft die ePrivacy-Verordnung?

Falls angenommen, gilt der neueste Entwurf für die Verarbeitung personenbezogener Daten unter Verwendung der elektronischen Kommunikation. Es wird folgende Subjekte betreffen:

  • Betreiber elektronischer Kommunikationsdienste
  • Betreiber öffentlich zugänglicher Verzeichnisse
  • Diejenigen, die mithilfe elektronischer Kommunikationsdienste an Endnutzer gerichtete gewerbliche Direktwerbung betreiben
  • Diejenigen, die Daten in den Endeinrichtungen der Nutzer verarbeiten und speichern
  • Diejenigen, die Informationen sammeln, die die Endeinrichtungen der Endnutzer verarbeiten, aussenden oder speichern

Was ist die Endeinrichtung der Endnutzer?

Dies bedeutet ein Gerät, das man als Übertragungsquelle oder Ziel der Daten verwendet (z. B. ein Computer, Server oder IoT-Gerät). Zu den Aktivitäten, an denen Endeinrichtungen der Nutzer beteiligt sind, gehören zum Beispiel:

  • Platzieren von Cookies oder Verwenden von “Device Fingerprinting”, um interessenbezogene Werbung zu schalten oder Website-Inhalte zu personalisieren
  • Sammeln von Daten von IoT-Geräten zu Marketingzwecken
  • Gebrauch von First Party-Cookies, um Informationen über die Seitennutzung zu erhalten und deren ordnungsgemäße Funktion sicherzustellen

Das Gesetz betrifft also die meisten Organisationen, die elektronisch erhobenen Nutzerdaten verwalten.

Die Verordnung wirkt extraterritorial. Sie schützt die Daten von EU-Bürgern unabhängig davon, wo sie erhoben und verarbeitet werden.

Welche Hauptpflichten legt der aktuelle ePrivacy-Entwurf auf?

Im Vergleich zu früheren Entwürfen der ePrivacy-Verordnung ist der neueste weniger streng und detailliert. Es deckt jedoch immer noch mehrere Arten der elektronischen Datenverarbeitung ab. In diesem Artikel konzentrieren wir uns auf die Teile, die mit Marketing und Analytics zusammenhängen.

Cookies und Einwilligung

Die neue Version des Gesetzes hält die Einwilligung als eine der Säulen des Datenschutzes im Internet aufrecht. Im Vergleich zu früheren Gesetzesnovellen werden jedoch die Vorbehalte beim Einholen der Zustimmung gelockert.

Die wichtigsten Regeln zu Einwilligung und Cookies:

1. Zugriff auf personenbezogene Daten auf Nutzergeräten ohne Einwilligung

In der aktuellen Fassung erlaubt das Gesetz den Dienstanbietern, zum Zweck der Vertragserfüllung, den Zugriff auf personenbezogene Daten auf Nutzergeräten. In der vorherigen Fassung war ein solcher Zugriff nur erlaubt, wenn er technisch notwendig war. Auf diese Weise wird die Klausel unklarer und lässt Raum für die Auslegung dessen, was zur Vertragserfüllung erforderlich ist.

2. Ausnahmeregelung für analytische Cookies

Nach dem neuen Entwurf ist für die Verwendung von Cookies zur einfachen Messung der Nutzerzahlen keine Einwilligung mehr erforderlich, sofern”sie für den alleinigen Zweck der Messung der Nutzerzahlen erforderlich sind, solange diese Messung vom Anbieter des angeforderten Dienstes oder von einem Dritten durchgeführt wird”. Solche Cookies, die in der Regel als Analyse-Cookies bezeichnet werden, könnten ohne vorherige Einwilligung verwendet werden.

3. Unklare Leitlinien für die Erhebung personenbezogener Daten zur Verbesserung der Effizienz des angebotenen Dienstes

Der vorgeschlagene Entwurf weist darauf hin, dass das Sammeln von statistischen Daten zur Messung der Leistung einer Website keine Einwilligung erfordert. Auch der Gebrauch von Trackingpixeln zur Messung von Werbekampagnen erfordert keine Einwilligung des Nutzers, sofern Sie die Cookies nicht zum Sammeln von personenbezogenen Daten, sondern von aggregierten statistischen Daten verwenden.

Diese Regel gilt nicht für jegliche Art von Remarketing oder Datenaktivierung, die mit personenbezogenen Daten durchgeführt werden.

Der aktuelle Entwurf führt weniger strenge Regeln für den Zugang zu Informationen oder Dienstleistungen ein, die auf einer Einwilligung der Nutzer beruhen. Es ermöglicht Unternehmen, dem Nutzer unterschiedliche Angebote zu machen, je nachdem, wie sie sich für den Datenschutz entscheiden:

[…] Eine Einwilligung zu erfordern, würde normalerweise nicht als Entzug einer wirklichen Wahlmöglichkeit des Endnutzers angesehen werden, falls der Endnutzer auf der Grundlage klarer, präziser und benutzerfreundlicher Informationen über den Zweck von Cookies und ähnlichen Techniken zwischen Diensten wählen kann […]

5. Keine Lösung für globale, durch Browsereinstellungen ausgedrückte, Datenschutzpräferenzen

In der neuen Fassung des Entwurfs stimmen Endnutzer der Verwendung bestimmter Arten von Cookies nur auf die Weise zu, wenn sie einen oder mehrere Anbieter in ihren Browsereinstellungen auf die Whitelist setzen:

Sofern verfügbar und  technisch machbar, kann ein Endnutzer daher durch Softwareeinstellungen einem bestimmten Anbieter die Einwilligung zur Nutzung der Verarbeitungs- und Speichermöglichkeiten von Endgeräten für einen oder mehrere bestimmte Zwecke über einen oder mehrere bestimmte Dienste dieses Anbieters erteilen.

Die vorherige Fassung legte, in den nun gestrichenen Artikeln 9 und 10, einige benutzerfreundlichere Lösungen vor – daher, Einwilligungsformulare und Pop-ups durch rechtsverbindliche, vom Nutzer konfigurierte Signale zu ersetzen.

6.  Metadaten ohne Einwilligung der Nutzer verwenden

Der Verordnungsentwurf eröffnet den Weg, Metadaten der Nutzer auch ohne deren Einwilligung zu verarbeiten. Der Anwendungsbereich von Metadaten in der aktuellen Fassung der Datenschutzverordnung für elektronische Kommunikation legt sich wie folgt aus:

„Elektronische Kommunikationsmetadaten“: Daten, die in einem elektronischen Kommunikationsnetz zu Zwecken der Übermittlung, der Verbreitung oder des Austauschs elektronischer Kommunikationsinhalte verarbeitet werden; dazu zählen die zur Verfolgung und Identifizierung des Ausgangs- und Zielpunkts einer Kommunikation verwendeten Daten, die im Zusammenhang mit der Bereitstellung elektronischer Kommunikationsdienste erzeugten Daten über den Standort des Geräts sowie Datum, Uhrzeit, Dauer und Art der Kommunikation.
(Kapitel I, Art. 4, Pkt. 3c)

Laut dem Text dürfen Sie diese Daten für statistische und andere Zwecke, für die Sie sie ursprünglich nicht erhoben haben, verwenden, wenn Sie sie verschlüsseln oder pseudonymisieren. Im Gegensatz dazu sagt die DSGVO zu den Pflichten bei der Verarbeitung pseudonymisierter Daten:

Die Grundsätze des Datenschutzes sollten für alle Informationen gelten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden.
Quelle: Erwägungsgrund 26 EU DS-GVO

Die eingeführten Änderungen weckten Bedenken bei Datenschutzbehörden und Aktivisten, darunter die Stiftung Panoptykon, eine polnische NGO, deren Hauptziel der Schutz der Grundfreiheiten und der Menschenrechte ist. In einem offenen Brief kritisierte Panoptykon den Entwurf dafür, dass er die Nutzer nicht vor Tracking schützt, Nutzer zur Einwilligung zwingen und ihnen die Verantwortung für Datenschutzkontrollen auferlegen könnte. Es forderte das Europäische Parlament auf, die Gesetzeslücken und Grauzonen zu schließen und an die Schutzstandards der DSGVO anzugleichen.

Den ganzen Brief können Sie hier lesen.

pro tip

Der beste Weg, sich auf die neue ePrivacy-Verordnung vorzubereiten, besteht darin, sich auf dem Laufenden über mögliche Änderungen im Text zu informieren. Die zuverlässigste Informationsquelle ist der Nachrichtenbereich auf der Webseite des Europäischen Rates.

Strafen bei Verstößen

ePrivacy behält die gleichen Bußgelder wie die in der DSGVO beschriebenen – von 10 Mio. € oder 2 % des Jahresumsatzes bis zu 20 Mio. € oder 4 % des Jahresumsatzes, je nach Schwere des Verstoßes. Details zu den Sanktionen finden Sie in Artikel 23 des Entwurfs.

Kapitel 12

Wie bereiten Sie sich auf diese Vorschriften weltweit vor?

Die neuen Datenschutzgesetze sind eine komplexe Sammlung von Leitlinien. Es ist schwierig, einen Rahmen zu bestimmen, mit dem Sie sich auf alle vorbereiten. Es gibt jedoch einige Herausforderungen, die in mehreren dieser Gesetze auftauchen. Nachfolgend listen wir die wichtigsten gemeinsamen Punkte auf:

1. Beseitigen Sie Schwachstellen in Ihrem System

Nach vielen dieser Gesetze werden Datenschutzverstöße teuer. Dennoch haben Websites heute Dutzende, wenn nicht Hunderte von Elementen von Drittanbietern in ihren Code eingebettet. Da die Drittanbieter diese Komponenten auf externen Servern hosten, haben Sie keine Kontrolle darüber. Sie verfügen über begrenzte Optionen, potenzielle Sicherheitsverstöße von bösartigen Codeänderungen zu erkennen.

Wenn Sie mit SaaS-Anbietern zusammenarbeiten, die Skripte von Drittanbietern verwenden, wird die Sicherheit Ihrer Website nur so stark wie das schwächste Glied im Ökosystem Ihres Anbieters. Um diese potenzielle Schwachstelle zu beseitigen, ist es besser, auf Produkte mit geschützter Infrastruktur umzusteigen – mit einer sicheren öffentlichen Cloud, einer privaten Cloud oder sogar On-Premises-Hosting.

Um mehr über die Unterschiede zwischen diesen Hosting-Optionen zu erfahren, lesen Sie dies: So hosten Sie Ihr Analytics: Public Cloud, Private Cloud oder On-Premises

2. Einwilligungs- oder Opt-out-Mechanismen anwenden

Eine der am häufigsten wiederkehrenden Forderungen der neuen Gesetze ist, dass jeder Website-Besitzer aktive Einwilligungen einholt oder den Nutzern zumindest ermöglicht, dem Tracking zu widersprechen.

In dieser Situation sollten Sie darüber nachdenken, einen Mechanismus einzusetzen, der Einträge über Einwilligungen oder Opt-outs sammelt, speichert und verwaltet. Dies bezieht sich auch auf alle möglichen Datenschutzanfragen, die sich aus der Tatsache ergeben, dass Sie personenbezogene Daten/Informationen verarbeiten. 

Eine der beliebtesten Methoden, diese Art von Problemen anzugehen, sind Consent Manager.

Wenn Sie wissen möchten, wie der Piwik PRO Consent Manager die Anforderung erfüllt, starke Einwilligungen zu sammeln, empfehlen wir Ihnen diese Seite.

3. Prüfen Sie, wohin Sie Ihre Daten senden

Viele der vorgestellten Gesetze stellen besondere Ansprüche an internationale Datenübermittlungen. Das bedeutet nicht, dass Sie keine Daten mehr im Ausland aufbewahren dürfen. Sie müssen aber bei der Auswahl der Plattformen, die Sie in Ihrer täglichen Arbeit verwenden, auf jeden Fall achtsamer sein.

Singapurs PDPA beispielsweise dürfen Sie keine Nutzerdaten an Länder mit niedrigen Datenschutzstandards senden. Dies wirkt sich möglicherweise auf Ihr Marketing- und Datenanalyse-Toolset, da viele Softwareanbieter Daten an Standorten weltweit, einschließlich der USA, speichern.

4. Finden Sie heraus, ob Ihr Softwareanbieter Sie dabei unterstützt, Ihren Pflichten nachzukommen

Stellen Sie sicher, dass Ihr Softwareanbieter Ihre technischen Anforderungen erfüllt. Er sollte die Daten Ihrer Nutzer so speichern, dass sie voll zugänglich und übertragbar bleiben. So können Sie problemlos auf alle relevanten Informationen, die von Ihren Marketing-Tools erfasst wurden, zugreifen, sie löschen, berichtigen und übermitteln. Bei dieser Art von Anfragen besteht die größte Herausforderung darin, die Nutzerdaten aus Backups zu entfernen.

Prüfen Sie ebenfalls, ob Ihr Softwareanbieter die besten Datenschutzpraktiken anwendet, z. B. keine personenbezogenen Daten für eigene Zwecke verwendet oder an Dritte weitergibt.

Unterzeichnen Sie mit Ihren Softwareanbietern einen Datenverarbeitungsvertrag (Data Processing Agreement, DPA), um sicherzustellen, dass jede Partei seine Pflichte kennt und respektiert.

Wenn Sie nicht wissen, wie Sie einen ordnungsgemäßen DPA aufsetzen, lesen Sie unbedingt diesen Artikel: Die 7 wichtigsten Bestandteile eines Data Processing Agreement

5. Erwägen Sie die Möglichkeit der Datenanonymisierung

Wenn Sie Daten über Ihre Besucher verwenden, ohne eine Einwilligung einzuholen, müssen Sie sicherstellen, dass Sie die Daten ordnungsgemäß anonymisieren. Analytics-Plattformen, die anonyme Daten sammeln, wie Piwik PRO bieten einen dritten Weg anstelle von einem Alles-oder-Nichts-Ansatz, der auf Einwilligungen basiert.

Vergessen Sie auch nicht, dass diese Regulierungen nur ein Teil des größeren Ökosystems des Datenschutzes sind. In einigen Ländern – wie etwa Australien – gelten die Vorschriften seit mehr als 30 Jahren!

Datenschutzgesetze in aller Welt: Fazit

Wir hoffen, dass Ihnen dieser Beitrag einen besseren Überblick darüber verschafft, was in der Welt der Datenschutzrechte passiert. Als datenschutzfreundlicher Analyticsanbieter stellen wir sicher, dass unsere Plattform unseren Kunden hilft, sich an Gesetze auf der ganzen Welt anzupassen. Wenn Sie erfahren möchten, wie unser Produkt Sie dabei unterstützen kann, die neuen Vorschriften einzuhalten, kontaktieren Sie uns. Unser Team beantwortet gerne alle Ihre Fragen.

Hier finden Sie eine Auswahl an Blogbeiträgen, um noch tiefer in die Themen Datenschutz und Analytics einzusteigen:

Vereinbaren Sie eine Demo einer Piwik PRO Enterprise Konfiguration – Fortgeschrittene Analytics Features mit Datenschutz und Sicherheit.

Wir beantworten alle Ihre Anfragen.

Individuelle Piwik PRO Demo