Datenschutzgesetze: Was Sie im Jahr 2020 wissen müssen

Die meisten Websites sammeln Informationen über ihre Benutzer, die entweder von den Benutzern eingegeben oder automatisch durch Cookies und andere Technologien gesammelt werden. Unternehmen benötigen Informationen, um ihre Produkte zu liefern, ihre Dienstleistungen zu bewerben, mit Kunden und Interessenten zu kommunizieren und die Funktionalität ihrer Website zu verbessern. Kunden und Besucher Ihrer Website machen sich natürlich Gedanken darüber, was mit ihren persönlichen Daten geschieht – wie sie gespeichert werden, wer Zugriff darauf hat und welche Sicherheitsvorkehrungen zum Schutz ihrer Privatsphäre getroffen werden.

Praktisch jedes Land hat irgendeine Art von Datenschutzgesetzen erlassen, um zu regeln, wie Informationen gesammelt werden, wie Betroffene informiert werden und welche Kontrolle ein Betroffener über seine Informationen hat, sobald sie übertragen wurden. Die Nichteinhaltung der geltenden Datenschutzbestimmungen kann zu Geldstrafen, Gerichtsverfahren und sogar zum Verbot der Nutzung einer Website in bestimmten Ländern führen. Die Navigation durch diese Gesetze und Vorschriften kann entmutigend sein, aber alle Website-Betreiber sollten mit den Datenschutzgesetzen vertraut sein, die ihre Benutzer betreffen. Einige davon sind:

US-Datenschutzgesetze

Es gibt kein einziges umfassendes Bundesgesetz, das den Datenschutz in den Vereinigten Staaten regelt. Es gibt einen komplexen Flickenteppich aus branchen- und medienspezifischen Gesetzen, darunter Gesetze und Verordnungen, die sich auf Telekommunikation, Gesundheitsinformationen, Kreditinformationen, Finanzinstitute und Marketing beziehen.

Der Federal Trade Commission Act (15 USC § 41 et seq.) hat eine weitreichende Zuständigkeit für kommerzielle Unternehmen im Rahmen seiner Befugnis, unfaire oder „trügerische Handelspraktiken“ zu verhindern. Die FTC regelt zwar nicht explizit, welche Informationen in den Datenschutzrichtlinien von Websites enthalten sein sollten, aber sie nutzt ihre Befugnis, um Vorschriften zu erlassen, Datenschutzgesetze durchzusetzen und Durchsetzungsmaßnahmen zum Schutz der Verbraucher zu ergreifen. Die FTC kann z. B. gegen Unternehmen vorgehen, die…

  • Angemessene Datensicherheitsmaßnahmen nicht implementieren und aufrechterhalten.
  • Grundsätze der Selbstregulierung der Branche des Unternehmens nicht einhalten.
  • Eine veröffentlichte Datenschutzrichtlinie nicht einhalten.
  • Weitergabe von personenbezogenen Daten in einer Weise, die nicht in der Datenschutzrichtlinie angegeben ist.
  • Ungenaue Datenschutz- und Sicherheitsdarstellungen (Lügen) gegenüber Verbrauchern und in Datenschutzrichtlinien.
  • Nicht ausreichende Sicherheit für personenbezogene Daten bieten.
  • Die Verletzung der Datenschutzrechte von Verbrauchern durch das Sammeln, Verarbeiten oder Weitergeben von Verbraucherdaten ist ein Verstoß gegen die Datenschutzrichtlinien der FTC oder gegen nationale Datenschutzgesetze und -vorschriften.
  • In irreführende Werbepraktiken verwickelt sein.

Weitere Bundesgesetze, die die Sammlung von Informationen im Internet regeln, sind:

  • Der Children’s Online Privacy Protection Act (15 USC §6501 et seq.), auch bekannt als COPPA, regelt die Sammlung von Informationen über Minderjährige.
  • Der Health Insurance Portability and Accounting Act (HIPAA – P.L.104-191), der die Erfassung von Gesundheitsdaten regelt.
  • Der Gramm Leach Bliley Act (15 USC § 6802 et seq.), der die von Banken und Finanzinstituten gesammelten persönlichen Daten regelt.
  • Der Fair Credit Reporting Act (15 USC § 1681), der die Erfassung und Verwendung von Kreditinformationen regelt.

Bundesstaatliche Datenschutzgesetze

Zusätzlich zu den Bundesgesetzen und -verordnungen gibt es in den USA Hunderte von Datenschutz- und Datensicherheitsgesetzen in den Bundesstaaten, Territorien und Kommunen. Derzeit beaufsichtigen 25 Generalstaatsanwälte der US-Bundesstaaten die Datenschutzgesetze, die das Sammeln, Speichern, Sichern, Entsorgen und die Verwendung der persönlichen Daten ihrer Einwohner regeln, insbesondere in Bezug auf die Benachrichtigung bei Datenschutzverletzungen und die Sicherheit von Sozialversicherungsnummern. Einige gelten nur für staatliche Einrichtungen, einige nur für private Einrichtungen und einige für beide.

California Consumer Privacy Act (CCPA)

Das bisher umfassendste staatliche Datenschutzgesetz ist der California Consumer Privacy Act (CCPA), der am 28. Juni 2018 unterzeichnet wurde und am 1. Januar 2020 in Kraft getreten ist. Der CCPA ist ein branchenübergreifendes Gesetz, das wichtige Definitionen und weitreichende individuelle Verbraucherrechte einführt und Unternehmen oder Personen, die personenbezogene Daten über oder von einem Einwohner Kaliforniens erheben, erhebliche Pflichten auferlegt. Zu diesen Pflichten gehört es, die Betroffenen darüber zu informieren, wann und wie Daten gesammelt werden, und ihnen die Möglichkeit zu geben, auf diese Daten zuzugreifen, sie zu korrigieren und zu löschen. Diese Informationen müssen in einer Datenschutzrichtlinie offengelegt werden, die auf der Website des Unternehmens, das die Daten sammelt, angezeigt wird.

New York SHIELD Act

Im Juli 2019 hat New York den Stop Hacks and Improve Electronic Data Security (SHIELD) Act verabschiedet. Dieses Gesetz ändert das bestehende New Yorker Gesetz zur Benachrichtigung bei Datenschutzverletzungen und schafft mehr Anforderungen an die Datensicherheit für Unternehmen, die Informationen über New Yorker Einwohner sammeln. Ab März 2020 ist das Gesetz vollständig durchsetzbar. Dieses Gesetz erweitert den Anwendungsbereich des Verbraucherschutzes und bietet den Einwohnern von New York einen besseren Schutz vor Datenverletzungen ihrer persönlichen Daten.

Andere Datenschutzgesetze auf Staatsebene

Kalifornien und New York sind die ersten Bundesstaaten, die umfassende Gesetze mit nationaler Wirkung erlassen haben, aber auch viele andere US-Bundesstaaten erwägen Datenschutzgesetze. Sie werden nicht so aussehen wie der CCPA oder der SHIELD Act, aber sie werden wahrscheinlich ähnliche Anforderungen für die spezifischen Bedürfnisse des jeweiligen Staates enthalten.

Wie Sie sich vorstellen können, ist der Bienenstock der staatlichen und bundesstaatlichen Datenschutzgesetze in den USA zu komplex, um ihn vollständig zusammenzufassen. Es ist unwahrscheinlich, dass wir bald ein übergreifendes Bundesgesetz sehen werden (auch wenn die Unterstützung für ein solches wächst). Als Unternehmen, das personenbezogene Daten sammelt und verarbeitet, ist es daher unerlässlich, mit einem Service wie Osano zusammenzuarbeiten, um in diesem herausfordernden Umfeld konform zu bleiben.

Internationales Datenschutzrecht: die GDPR

Das wichtigste Datenschutzgesetz, das bisher erlassen wurde, ist die General Data Protection Regulation (GDPR). Sie regelt die Erhebung, Nutzung, Übermittlung und Sicherheit von Daten, die von Einwohnern eines der 28 Mitgliedsländer der Europäischen Union erhoben werden. Das Gesetz gilt für alle Einwohner der EU, unabhängig vom Standort des Unternehmens, das die personenbezogenen Daten erhebt. Gegen Unternehmen, die die GDPR nicht einhalten, können Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweiten Gesamtumsatzes verhängt werden. Einige wichtige Anforderungen der GDPR sind:

Einwilligung

Die betroffenen Personen müssen die Möglichkeit haben, vor der Erhebung personenbezogener Daten eine ausdrückliche, eindeutige Einwilligung zu erteilen. Zu den personenbezogenen Daten gehören auch Informationen, die durch die Verwendung von Cookies gesammelt werden. Einige Informationen, die in den USA üblicherweise nicht als „personenbezogene Daten“ gelten, wie z. B. die IP-Adresse des Computers des Nutzers, werden nach der GDPR als „personenbezogene Daten“ betrachtet.

Benachrichtigung bei Datenschutzverletzungen

Organisationen sind verpflichtet, Aufsichtsbehörden und betroffene Personen innerhalb von 72 Stunden zu benachrichtigen, wenn eine Datenschutzverletzung vorliegt, die in den meisten Fällen personenbezogene Daten von Nutzern betrifft.

Rechte der betroffenen Personen

Betroffene Personen (Personen, deren Daten gesammelt und verarbeitet werden) haben bestimmte Rechte in Bezug auf ihre personenbezogenen Daten. Diese Rechte sollten den betroffenen Personen in einer klaren, leicht zugänglichen Datenschutzerklärung auf der Website des Unternehmens mitgeteilt werden.

  1. Das Recht, informiert zu werden. Betroffene Personen müssen über die Erhebung und Verwendung ihrer personenbezogenen Daten informiert werden, wenn die Daten erhoben werden.
  2. Das Recht auf Zugang zu ihren Daten. Eine betroffene Person kann eine Kopie ihrer personenbezogenen Daten über eine Datenanfrage anfordern. Datenverantwortliche müssen erklären, wie die Daten erhoben werden, was verarbeitet wird und mit wem sie geteilt werden.
  3. Das Recht auf Berichtigung. Wenn die Daten einer betroffenen Person unrichtig oder unvollständig sind, hat sie das Recht, von Ihnen die Berichtigung zu verlangen.
  4. Das Recht auf Löschung. Betroffene Personen haben das Recht, die Löschung der sie betreffenden personenbezogenen Daten aus bestimmten Gründen innerhalb von 30 Tagen zu verlangen.
  5. Das Recht auf Einschränkung der Verarbeitung. Betroffene Personen haben das Recht, die Einschränkung oder Löschung ihrer personenbezogenen Daten zu verlangen (Sie können diese jedoch weiterhin speichern).
  6. Das Recht auf Datenübertragbarkeit. Betroffene Personen können ihre Daten jederzeit sicher von einem elektronischen System in ein anderes übertragen lassen, ohne dass die Nutzbarkeit beeinträchtigt wird.
  7. Das Recht auf Widerspruch. Betroffene Personen können der Verwendung ihrer Daten zu Marketing-, Vertriebs- oder nicht dienstleistungsbezogenen Zwecken widersprechen. Das Widerspruchsrecht gilt nicht, wenn eine gesetzliche oder behördliche Befugnis vorliegt, eine Aufgabe im öffentlichen Interesse ausgeführt wird oder wenn die Organisation Daten verarbeiten muss, um Ihnen einen Dienst zur Verfügung zu stellen, für den Sie sich angemeldet haben.

Bedeutung von Datenschutzrichtlinien in Datenschutzgesetzen

Jede Website sollte über eine Datenschutzrichtlinie verfügen, die ihren Nutzern erklärt, welche Daten gesammelt werden, wie sie verwendet werden, wie sie weitergegeben werden können und wie sie gesichert werden. Um die amerikanischen und europäischen Datenschutzgesetze vollständig zu erfüllen, sollten alle Betroffenen die Möglichkeit haben, der Sammlung von persönlichen Informationen zuzustimmen. Während viele Informationen über Benutzer freiwillig zur Verfügung gestellt werden, wenn sie sich für Newsletter anmelden, Formulare ausfüllen oder E-Mail-Anfragen senden, sollten Informationen, die von Dritten und durch die Verwendung von Cookies gesammelt werden, ebenfalls offengelegt werden, und Benutzer sollten die Möglichkeit haben, Cookies zuzulassen, zu blockieren oder zu deaktivieren.

Making Your Company Compliant With Data Privacy Laws

Selbst wenn Ihr Unternehmen in einer Jurisdiktion angesiedelt ist, die keine umfassende Datenschutzgesetzgebung eingeführt hat, ist es wichtig, sich Gedanken darüber zu machen, wo Ihre potenziellen Benutzer ansässig sein könnten und welche Bestimmungen gelten. Wenn Sie beabsichtigen, Geschäfte in Kalifornien, New York oder der Europäischen Union zu tätigen, sollten Sie mit den Anforderungen des CCPA, des SHIELD Act und der GDPR vertraut sein. In den meisten Fällen ist es für Ihr Unternehmen einfacher und kostengünstiger, diese Standards für alle Ihre Kunden einzuhalten, als unterschiedliche Regeln je nach Standort anzuwenden.

Datenschutz wird immer wichtiger und beeinflusst die Entscheidungen der Nutzer, wo sie online surfen und einkaufen. Der Ruf eines Unternehmens für den verantwortungsvollen Umgang mit persönlichen Daten wird zunehmend ein Pluspunkt sein, der zu mehr Website-Traffic, Konversionen und einem positiven Einfluss auf den Gewinn führen kann.

Wenn Sie bereit sind, Ihre Datenschutzgesetze ernst zu nehmen, melden Sie sich bei Osano an. Osano ist eine einfach zu bedienende Datenschutzplattform, die Ihre Website sofort konform mit dem CCPA, SHIELD Act, GDPR und anderen Datenschutzgesetzen macht. Osano ist „Compliance in a Box“ und hilft Ihrer Website sofort bei der Einhaltung von Datenschutzgesetzen. Werden Sie jetzt compliant.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.