Die meisten Datenschutzgesetze definieren personenbezogene Daten als alle Details, mit denen eine Person identifiziert werden kann und die von grundlegenden Informationen, wie dem Namen einer Person, bis hin zu komplizierten Details, wie biometrischen Daten, reichen können.
Das Thema personenbezogene Daten ist jedoch komplex und variiert je nachdem, welche Gesetze für Ihr Unternehmen und Ihre Kunden gelten.
In diesem Leitfaden erläutere ich Ihnen die Definition von personenbezogenen Daten, erkläre, wie die verschiedenen Datenschutzgesetze diese regeln, und gebe Tipps, was Ihr Unternehmen tun kann, um sie zu schützen.
- Was sind personenbezogene Informationen - oder personenbezogene Daten?
- Wie persönliche Informationen durch Datenschutzgesetze definiert werden
- Arten und Beispiele von persönlichen Informationen
- Wie Unternehmen persönliche Daten schützen können
- Wie man Benutzer zum Schutz ihrer persönlichen Daten ermutigt
- Persönliche Informationen FAQ
- Zusammenfassung
Was sind personenbezogene Informationen - oder personenbezogene Daten?
Personenbezogene Informationen (oder personenbezogene Daten) sind alle Informationen, die sich auf eine bestimmte Person beziehen, wie z. B. ihr Name, ihre Adresse, ihre IP-Adresse usw.
Beachten Sie, dass jedes Datenschutzgesetz seine eigene Definition von personenbezogenen Daten hat.
Als Unternehmen können Sie über soziale Medien, Webanwendungen, Server usw. auf personenbezogene Informationen oder Daten zugreifen oder diese speichern.
Sie müssen personenbezogene Daten gemäß den geltenden Gesetzen ordnungsgemäß behandeln.
Was ist mit persönlich identifizierbaren Informationen?
Persönlich identifizierbare Informationen (Personally Identifiable Information, PII) war ein anderer Begriff für persönliche Informationen, der vor allem in den USA verwendet wurde, aber jetzt nicht mehr verwendet wird.
Wie persönliche Informationen durch Datenschutzgesetze definiert werden
Es gibt viele Beispiele für personenbezogene Daten, die oben aufgeführt sind, aber Sie müssen wissen, welche spezifischen Gesetze für Ihr Unternehmen gelten und wie sie personenbezogene Daten definieren.
Die nachstehende Tabelle gibt einen kurzen Überblick über einige rechtliche Definitionen des Begriffs, die wir später näher erläutern werden.
Gesetz oder Verordnung | Region | Definition von persönlichen Informationen |
Australische Datenschutzgrundsätze (Privacy Act 1988) | Australien | Alle Informationen, die eine lebende Person identifizieren können (oder vernünftigerweise könnten). |
Kalifornisches Verbraucherschutzgesetz (CCPA) | Kalifornien | Jede Information, die mit einer unterscheidbaren Person oder einem Haushalt in Verbindung steht. |
Kalifornisches Gesetz zum Schutz der Privatsphäre (CPRA) | Kalifornien | Hinzufügen sensibler Informationen zu den persönlichen Daten der CCPA. |
Kalifornisches Gesetz zum Schutz der Privatsphäre im Internet (CalOPPA) | Kalifornien | Spezifische Liste von Datentypen (siehe unten). |
Virginia Verbraucherdatenschutzgesetz (VCDPA) | Virginia | Informationen, die mit einer identifizierten oder identifizierbaren natürlichen Person verknüpft sind oder vernünftigerweise verknüpft werden können. |
Colorado Datenschutzgesetz (CPA) | Colorado | Jede Information, die mit einer unterscheidbaren Person in Verbindung gebracht werden kann. Dazu gehören nicht de-identifizierte Daten. |
Gesetz zum Schutz persönlicher Daten und zur Online-Überwachung in Connecticut (CTDPA) | Connecticut | alle Informationen, die mit einer identifizierten oder identifizierbaren Person verknüpft sind oder vernünftigerweise verknüpft werden können. Dazu gehören nicht de-identifizierte oder öffentlich verfügbare Informationen. |
Allgemeine Datenschutzverordnung (DSGVO) | Europäische Union | Informationen, die zur Identifizierung einer Person führen können - z. B. Kreditkartennummer, E-Mail-Adresse, Name usw. |
Gesetz zum Schutz persönlicher Daten und elektronischer Dokumente (PIPEDA) | Kanada | Informationen über eine identifizierbare Person. |
US-Bundesdefinition von persönlichen Informationen
In den Vereinigten Staaten gibt es noch kein Bundesgesetz zum Schutz der Privatsphäre, das für das gesamte Land gilt, und ein mögliches nationales Datenschutzgesetz ist derzeit im Kongress nicht in Kraft.
Mehrere Bundesstaaten haben jedoch Datenschutzgesetze erlassen oder verabschiedet.
Ansonsten ist die Federal Trade Commission (FTC) zwar für den Schutz der amerikanischen Verbraucher zuständig, hat aber keine einheitliche Definition für die von ihr verwendeten personenbezogenen Daten.
Allerdings schützen die folgenden US-Bundesgesetze bestimmte Bereiche personenbezogener Daten:
- Gesetz zum Schutz der Privatsphäre von Kindern im Internet (COPPA): Persönliche Informationen, die von oder über Minderjährige gesammelt werden
- Health Insurance Portability and Accounting Act (HIPAA): Persönliche Gesundheitsinformationen
- Gramm Leach Bliley Act (GLBA): Persönliche Bankdaten
- Fair Credit Reporting Act (FCRA): Persönliche Kreditinformationen
DSGVO Definition von persönlichen Informationen
Die Allgemeine Datenschutzverordnung (DSGVO) ist das erste große Datenschutzgesetz der Welt, das die Daten der in der EU ansässigen Personen schützt und anderen Ländern als rechtliches Vorbild dienen soll.
Es hat eine strenge Definition von personenbezogenen Daten, einschließlich Informationen, die eine Person identifizieren können, einige pseudonymisierte Informationen und einige Cookie-Identifikatoren.
Die vollständige Definition nach DSGVO können Sie hier nachlesen:
Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
Die DSGVO fügt auch "besondere Kategorien" für sensible Informationen hinzu, die strengeren Anforderungen unterliegen, wenn Sie sie sammeln und verarbeiten wollen.
Zu den besonderen Kategorien sensibler Daten gehören:
- Rasse und ethnische Herkunft
- Religiöse oder philosophische Überzeugungen
- Politische Stellungnahmen
- Mitgliedschaft in einer Gewerkschaft
- Biometrische Daten, die zur Identifizierung einer Person verwendet werden
- Genetische Daten
- Daten zur Gesundheit
- Daten in Bezug auf sexuelle Vorlieben, Sexualleben und/oder sexuelle Orientierung
CCPA-Definition von persönlichen Informationen
Das kalifornische Gesetz zum Schutz der Privatsphäre der Verbraucher(CCPA) gilt für jeden, der Dienstleistungen für Einwohner Kaliforniens erbringt und bestimmte Schwellenwerte erfüllt.
Er definiert persönliche Informationen als:
Informationen, die einen bestimmten Verbraucher oder Haushalt identifizieren, sich auf ihn beziehen, ihn beschreiben, vernünftigerweise mit ihm in Verbindung gebracht werden können oder vernünftigerweise direkt oder indirekt mit ihm verbunden werden könnten.
Die Definition des Begriffs "personenbezogene Daten" im CCPA erweitert den Schutz auf Einzelpersonen und Haushalte.
Einige Angaben sind jedoch nach diesem Gesetz nicht personenbezogen, wenn sie öffentlich zugänglich gemacht werden, wie z. B:
- Informationen aus staatlichen Aufzeichnungen
- Berufliche Lizenzen
- Aufzeichnungen über Immobilien und Grundstücke
CPRA-Definition von persönlichen Informationen
Der California Privacy Rights Act(CPRA) änderte den CCPA und fügte eine Kategorie sensibler Informationen hinzu, die einen stärkeren Schutz erfordern.
Das CPRA definiert sensible Informationen als:
- Sozialversicherungsnummer, Führerschein/Personalausweis, Reisepassnummer
- Geolokalisierung
- Rasse/Ethnie, Religion, Weltanschauung, Gewerkschaftsmitgliedschaft
- Finanzkontonummern, Zugangscodes, Passwörter und mehr
- Inhalt der Nachricht
- Genetische Daten
CalOPPA Definition von persönlichen Informationen
Das kalifornische Gesetz zum Schutz der Online-Privatsphäre (California Online Privacy Protection Act, CalOPPA) war ein frühes kalifornisches Gesetz zum Schutz privater Daten und ist der Ursprung des veralteten Begriffs PII.
CalOPPA führt die folgenden spezifischen Daten als personenbezogene Daten auf:
- Vor- und Nachname
- Adresse
- E-Mail-Adresse
- Jede andere Information, die es ermöglicht, eine bestimmte Person physisch oder online zu kontaktieren
- Geburtsdatum
- Größe, Gewicht, Haarfarbe
- Telefonnummer
- Sozialversicherungsnummer
- Sonstige identifizierende Kontaktangaben
- Cookies oder andere Informationen, die eine Website über ihre Nutzer sammelt, wenn sie so verwendet werden, dass eine Person identifiziert werden kann
Heute ersetzt das CCPA mit den Änderungen des CPRA die Definition des CalOPPA, aber das Gesetz bietet eine gute Kernliste von Dingen, die Gerichte höchstwahrscheinlich als personenbezogene Daten betrachten werden.
Es ist jedoch wahrscheinlich, dass sie auch andere Arten von Daten als personenbezogene Daten einstufen.
Virginia CDPA Definition von persönlichen Informationen
Das Verbraucherdatenschutzgesetz von Virginia(CDPA) definiert den Begriff der personenbezogenen Daten wie folgt:
Alle Informationen, die mit einer identifizierten oder identifizierbaren natürlichen Person verknüpft sind oder vernünftigerweise verknüpft werden können.
Es gibt eine Kategorie von sensiblen Informationen, die durch dieses Gesetz geschützt sind.
Darüber hinaus umfassen personenbezogene Daten nicht "de-identifizierte Daten oder öffentlich zugängliche Informationen", aber das Gesetz enthält keine Beispiele.
Colorado CPA Definition von persönlichen Informationen
Nach dem Verbraucherschutzgesetz von Colorado gelten als persönliche Daten:
(a) Informationen, die mit einer identifizierten oder identifizierbaren Person verknüpft sind oder vernünftigerweise verknüpft werden können, und (b) umfasst keine de-identifizierten Daten oder öffentlich zugänglichen Informationen."
Er beschreibt auch eine Kategorie sensibler Daten, schließt jedoch öffentliche Daten und Informationen, die für die Personalakte aufbewahrt werden, aus.
CTDPA Definition von persönlichen Informationen
Das Datenschutzgesetz von Connecticut, das CTDPA, definiert personenbezogene Daten als alle Informationen, die mit einer identifizierbaren Person verknüpft oder verknüpfbar sind.
Sie beschreibt eine Kategorie sensibler personenbezogener Daten, die strengeren Anforderungen unterliegen, aber die Definition schließt öffentlich zugängliche und de-identifizierte Daten aus.
Wie andere Gesetze der US-Bundesstaaten persönliche Informationen definieren
Mehrere andere US-Bundesstaaten haben Datenschutzgesetze verabschiedet, die in den nächsten Jahren in Kraft treten werden.
In der nachstehenden Tabelle können Sie sehen, wie die Gesetze dieser Staaten personenbezogene Daten definieren.
U.S. Bundesstaatliches Datenschutzgesetz | Definition von persönlichen Informationen |
Delaware-Gesetz zum Schutz persönlicher Daten(DPDPA) | Alle Informationen, die mit einer identifizierten oder identifizierbaren Person verknüpft sind oder vernünftigerweise verknüpft werden können, mit Ausnahme von de-identifizierten Daten und öffentlich verfügbaren Informationen. |
Florida-Datenschutzgesetz(FDBR) | Alle Informationen, einschließlich sensibler Daten, die mit einer identifizierten oder identifizierbaren Person verknüpft sind oder vernünftigerweise verknüpft werden können, einschließlich pseudonymer Daten, wenn die Daten von einem für die Verarbeitung Verantwortlichen oder einem Auftragsverarbeiter in Verbindung mit zusätzlichen Informationen verwendet werden, die die Daten vernünftigerweise mit einer identifizierten oder identifizierbaren Person verbinden. Der Begriff umfasst nicht de-identifizierte Daten oder öffentlich zugängliche Informationen. |
Verbraucherdatenschutzgesetz von Indiana(Indiana CDPA) | Informationen, die mit einer identifizierten oder identifizierbaren Person verknüpft sind oder vernünftigerweise verknüpft werden können, mit Ausnahme von de-identifizierten Daten, aggregierten Daten und öffentlich verfügbaren Informationen. |
Iowa Verbraucherdatenschutzgesetz(Iowa CDPA) | Alle Informationen, die mit einer identifizierten oder identifizierbaren natürlichen Person verknüpft sind oder vernünftigerweise verknüpft werden können, mit Ausnahme von de-identifizierten und aggregierten Daten und öffentlich verfügbaren Informationen. |
Montana Verbraucherdatenschutzgesetz(MCDPA) | Alle Informationen, die mit einer identifizierten oder identifizierbaren Person verknüpft sind oder vernünftigerweise verknüpft werden können, mit Ausnahme de-identifizierter Daten und öffentlich zugänglicher Informationen. |
Oregon-Datenschutzgesetz(ODPA) | Daten, abgeleitete Daten oder eine eindeutige Kennung, die mit einem Verbraucher oder einem Gerät, das einen oder mehrere Verbraucher identifiziert, mit ihm verbunden ist oder mit ihm verbunden werden kann, verknüpft ist oder verknüpft werden kann. |
Tennessee-Informationsschutzgesetz(TIPA) | Informationen, die mit einer identifizierten oder identifizierbaren natürlichen Person verknüpft sind oder vernünftigerweise verknüpft werden können; dazu gehören keine öffentlich zugänglichen Informationen oder de-identifizierte oder aggregierte Verbraucherinformationen. |
Gesetz zum Datenschutz und zur Datensicherheit in Texas(TDPSA) | Alle Informationen, einschließlich sensibler Daten, die mit einer identifizierten oder identifizierbaren Person verknüpft sind oder vernünftigerweise verknüpft werden können, einschließlich pseudonymer Daten, wenn die Daten von einem für die Verarbeitung Verantwortlichen oder einem Auftragsverarbeiter in Verbindung mit zusätzlichen Informationen verwendet werden, die die Daten vernünftigerweise mit einer identifizierten oder identifizierbaren Person verbinden. Der Begriff umfasst nicht de-identifizierte Daten oder öffentlich zugängliche Informationen. |
Gesetz zum Schutz der Privatsphäre der Verbraucher in Utah(UCPA) | Informationen, die mit einer identifizierten oder identifizierbaren Person verknüpft sind oder vernünftigerweise verknüpft werden können, ausgenommen de-identifizierte, aggregierte und öffentlich verfügbare Daten. |
PIPEDA Definition von persönlichen Informationen
Der Personal Information Protection and Electronic Documents Act(PIPEDA) ist die kanadische Version der Datenschutzgesetze, und wenn Sie an Kanadier vermarkten oder verkaufen, müssen Sie sie einhalten.
PIPEDA betrachtet alle faktischen oder subjektiven Details über eine identifizierbare Person als personenbezogene Daten, unabhängig davon, ob sie gespeichert sind oder nicht.
Australische Datenschutzgrundsätze
In Australien definiert das Datenschutzgesetz von 1988 personenbezogene Daten als alle Informationen oder Meinungen über eine vernünftigerweise identifizierbare Person und lehnt sich dabei an das DSGVO an.
Arten und Beispiele von persönlichen Informationen
Es ist wichtig, alle Arten von persönlichen Informationen zu berücksichtigen - die Liste ist lang und wird immer länger, aber man kann sie in die folgenden Gruppen unterteilen.
Grundlegende Details
Selbst wenn man den digitalen Raum außer Acht lässt, wollen oder müssen die meisten Unternehmen die grundlegenden persönlichen Daten eines Verbrauchers erfassen, darunter auch die folgenden:
- Name
- Adresse
- Telefonnummer
- Adresse
- Postleitzahl
- E-Mail-Adresse
Die oben genannten Beispiele gelten als rechtlich geschützte personenbezogene Daten, je nachdem, wie sie erfasst und mit anderen Daten verknüpft werden.
Eine hilfreiche Methode, um festzustellen, ob Informationen personenbezogen sind, ist, sich selbst zu fragen: Kann diese Information eine bestimmte Person identifizieren?
So ist beispielsweise eine Liste von Mittelnamen allein nicht aussagekräftig, aber dieselben Namen in Verbindung mit Vor- und Nachnamen sind ein Beispiel für persönliche Informationen.
ID-Nummern
Viele Identifikationsnummern (ID) kennzeichnen Menschen als Individuen, von der Sozialversicherungsnummer bis zur Kunden-ID.
Denken Sie daran, dass alles, was eine Person identifiziert, als persönliche Information gilt.
Einige der durch Datenschutzgesetze geschützten ID-Nummern sind:
- Kontonummern
- Nummer des Reisepasses
- Nummer des Führerscheins
- Nummer der Versicherungspolice
- Clubnummer des Käufers
- Sozialversicherungsnummern
Computer und technische Nummern
In der digitalen Welt können viele Zahlen Personen identifizieren und kennzeichnen, auch Informationen, die Unternehmen sammeln und nutzen, um mehr über ihre Kunden zu erfahren.
Einige Angaben, die Verbraucher bei der Einrichtung von Benutzerkonten gegenüber Unternehmen machen, fallen ebenfalls in diese Kategorie, zum Beispiel:
- IP-Adresse
- MAC-Adresse
- Benutzername
- Passwort
- Verlauf des Browsing
- Apple-ID
- Cookie-IDs
Sensible Informationen
Sensible Informationen werden manchmal für Daten verwendet, die nach den Datenschutzgesetzen besonders geschützt werden müssen, und umfassen häufig Daten:
- Gesundheit
- Rennen
- Politische Ansichten
- Religion
- Sexualleben
- Sexuelle Orientierung
- Biometrische Daten
- Genetik
- Gewerkschaftszugehörigkeit
Die rechtlichen Anforderungen für die Erfassung und Verarbeitung sensibler Daten variieren von Gesetz zu Gesetz, so dass Sie wissen sollten, welche für Ihr Unternehmen gelten.
Subjektive Daten
Bei den meisten der von uns behandelten Informationen handelt es sich um objektive Daten, d. h. um faktische, nachweisbare Details über eine Person.
Subjektive Daten hingegen beziehen sich auf die Meinungen, Gedanken oder Überzeugungen einer Person und können unter den Schutz der Datenschutzgesetze fallen, in der Regel als sensible persönliche Informationen.
Beispiele für subjektive Daten können sein:
- Während einer Sitzung gemachte Notizen
- Beschwerdeprotokolle
- Politische, philosophische und religiöse Überzeugungen
- Persönliche Meinungen oder Gefühle
Andere Arten von persönlichen Informationen
Diese Listen umfassen nicht alle Arten von identifizierbaren Informationen, da die Datenschutzgesetze in ihren Definitionen Raum lassen, um neue oder sich entwickelnde Datentypen zu berücksichtigen.
Zu den weiteren möglichen persönlichen Informationen gehören:
- Standortbezogene Informationen
- Sprachsteuerung
- Informationen von angeschlossenen Geräten
- Informationen zur Gesundheit
- Bildung
- Strafrechtliche oder gerichtliche Vorgeschichte
- Aufzeichnungen zur Beschäftigung
- Kreditauskünfte
Was sind keine persönlichen Informationen?
Nach den meisten Datenschutzgesetzen gelten öffentlich zugängliche Daten nicht als personenbezogene Daten - eine Ausnahme bildet die DSGVO , die nicht zwischen öffentlichen und personenbezogenen Daten unterscheidet.
Zu den öffentlich zugänglichen Daten gehören alle Daten, von denen man annehmen kann, dass sie der Öffentlichkeit durch staatliche Aufzeichnungen oder weit verbreitete Medien, oft auch soziale Medien, zugänglich gemacht wurden.
Außerdem müssen die Daten an eine Person gebunden sein oder mit ihr in Verbindung gebracht werden können, um als personenbezogene Daten zu gelten.
Eine Telefonnummer allein ist zum Beispiel keine persönliche Information, aber sobald ein Kontext hinzugefügt wird, wie der Name der Person, wird sie zu einer persönlichen Information.
Ein weiteres Beispiel: Eine E-Mail-Adresse muss persönlich sein, um als personenbezogene Information zu gelten. Wenn Sie Termly unter der Basis-E-Mail-Adresse [email protected] kontaktieren, sind das keine persönlichen Daten. Wenn Sie jedoch eine E-Mail an einen einzelnen Mitarbeiter des Unternehmens senden, ist dies eine personenbezogene Information.
Wie Unternehmen persönliche Daten schützen können
Als Unternehmen können Sie personenbezogene Daten für sichere und rechtmäßige Zwecke verwenden und sie auf verschiedene Weise sammeln.
Legitime Gründe für die Erhebung personenbezogener Daten | Wie persönliche Daten gesammelt werden können |
Marketing | Cookies |
Betrugsprävention und Nutzerüberprüfung | Web-Formulare |
Personalisierte Benutzererfahrung | Software von Drittanbietern |
Es ist jedoch wichtig sicherzustellen, dass die von Ihnen verwendete Software keine Nutzerdaten ohne deren ausdrückliche Zustimmung sammelt oder diese Daten an den Softwarehersteller und andere Parteien weitergibt.
Im Folgenden finden Sie einige Tipps zum Schutz der persönlichen Daten Ihrer Nutzer:
Vorrang für den Datenschutz
Vergewissern Sie sich, dass Ihre Kunden und Auftraggeber wissen, dass Sie den Datenschutz ernst nehmen, indem Sie ihn zu einem zentralen Bestandteil Ihres Unternehmens und Ihrer Planung machen.
Alles, was Sie tun, sollte sich um den Schutz der Privatsphäre Ihrer Kunden, Mitarbeiter und anderer Personen, mit denen Sie Geschäfte machen, drehen.
Fragen Sie sich selbst: Gibt es etwas, das auslaufen und Probleme verursachen könnte?
Wenn ja, schützen Sie sie.
Beschränken Sie die gesammelten Daten
Achten Sie darauf, nicht mehr Informationen zu sammeln, als Sie brauchen - das ist nicht nur oft gesetzlich vorgeschrieben, sondern alles, was Sie sammeln, muss auch geschützt werden.
Wenn Sie weniger Daten sammeln, sind Sie auch für weniger Daten verantwortlich.
Sprechen Sie mit Ihrem Webdesigner über die Cookies, die Ihre Website verwendet. Cookies gelten als personenbezogene Daten und sammeln manchmal mehr Informationen, als Sie für die Funktionalität wirklich benötigen.
Beschränken Sie die Daten, die Sie speichern
Die Datenschutzgesetze schreiben vor, dass Sie Daten nur so lange aufbewahren dürfen, wie sie für einen bestimmten Zweck erforderlich sind, also begrenzen Sie die Menge, die Sie speichern.
Durch die Speicherung kleinerer Datenmengen ist die Gefahr einer Verletzung des Datenschutzes geringer, was ein weiterer Vorteil ist.
Erhöhen Sie Ihre Sicherheit
Ein großes Risiko für Ihre Kunden besteht darin, dass die von Ihnen gespeicherten Informationen, zu denen auch private und sensible Daten wie Einkommensverhältnisse und Kreditkartennummern gehören können, durch eine Datenschutzverletzung preisgegeben werden.
Der beste Weg, sich vor einem Verstoß zu schützen, besteht darin, sicherzustellen, dass Sie den neuesten Stand der Sicherheitstechnik verwenden und moderne Sicherheitsverfahren anwenden.
Zugangskontrolle
Die Zugriffskontrolle schränkt ein, wer in Ihrem Team auf die von Ihnen gesammelten Daten zugreifen kann, was dazu beiträgt, unbefugte Datenverletzungen durch persönliche oder Benutzerfehler zu minimieren.
Je weniger Mitarbeiter Zugang zu den von Ihnen gesammelten Daten haben oder diese nutzen, desto weniger Schwachstellen haben Sie.
Faire Informationspraktiken
Unternehmen, die Anweisungen und Hinweise zum bestmöglichen Schutz der Privatsphäre ihrer Kunden suchen, sollten die Umsetzung der Grundsätze der fairen Informationspraxis (Fair Information Practice Principles - FIPP) in Erwägung ziehen.
Diese acht Grundsätze schaffen Ziele für die Datennutzung und den Datenschutz:
- Grundsatz der Beschränkung der Datenerhebung: Die Datenerhebung sollte rechtmäßig sein und mit Zustimmung erfolgen.
- Grundsatz der Datenqualität: Personenbezogene Daten sollten relevant und korrekt sein.
- Grundsatz der Zweckbestimmung: Geben Sie die Zwecke an, für die Sie personenbezogene Daten verwenden.
- Grundsatz der Nutzungsbeschränkung: Keine Weitergabe von personenbezogenen Daten.
- Prinzip der Sicherheitsvorkehrungen: Stets Sicherheitsvorkehrungen treffen.
- Grundsatz der Offenheit: Unternehmen und Einrichtungen sollten ihre Praktiken so offen wie möglich halten.
- Grundsatz der Beteiligung des Einzelnen: Der Einzelne sollte das Recht haben, zu erfahren, welche personenbezogenen Daten verwendet wurden, und die Kontrolle über diese Daten wiederzuerlangen.
- Grundsatz der Rechenschaftspflicht: Verantwortlich ist die Person, die die Kontrolle über die Daten hat.
Verschlüsselte oder pseudonymisierte Daten
Um die persönlichen Daten der Benutzer zu schützen, sollten Sie die Daten verschlüsseln, damit sie nicht von anderen gelesen werden können, und die Informationen so ändern, dass sie nicht mehr zur Identifizierung einer bestimmten Person dienen können.
Beispiele für derartige Daten sind:
- Informationen mit persönlichen Identifikatoren, die durch Dummy-Variablen ersetzt wurden
- Durch Verschlüsselungsverfahren gesendete Informationen
- Informationen geändert, um nicht identifizierbar zu sein
Wie man Benutzer zum Schutz ihrer persönlichen Daten ermutigt
Im Folgenden finden Sie einige Tipps, wie Sie Ihre Nutzer ermutigen können, ihre eigenen persönlichen Daten zu schützen und gute Gewohnheiten zu entwickeln.
Ermutigung zu sicheren Passwörtern
Ein starkes, komplexes Passwort ist weniger leicht zu knacken.
Wenn Sie auf Ihrer Website Passwörter verwenden, verlangen Sie von den Benutzern, dass sie eine Kombination aus Buchstaben, Zahlen und Sonderzeichen verwenden.
Zwei-Faktor-Identifikation anbieten
Es ist eine gute Idee, Ihre Kunden zu ermutigen, eine Zwei-Faktor-Identifikation zu verwenden.
Die Zwei-Faktor-Identifikation sichert Passwörter mit der Erlaubnis aus einer E-Mail, einem Text oder einem Online-Programm und wirkt wie eine zweite Sperre für persönliche Daten und schränkt den Zugriff ein.
Lassen Sie sie entscheiden, Informationen nicht zu teilen
Nach vielen Datenschutzgesetzen wie dem CCPA und DSGVO haben die Nutzer das Recht, bestimmten Arten der Datenerfassung zu widersprechen, daher ist es wichtig, ihnen diese Möglichkeit zu geben.
Cookies-Präferenzzentrum erstellen
Einige Cookies sind notwendig, um den reibungslosen Betrieb von Websites zu gewährleisten, aber andere sind völlig unnötig und sammeln oft persönliche Daten.
Erstellen Sie also ein Cookie-Einstellungszentrum und ermöglichen Sie Ihren Benutzern, die von Ihrer Website verwendeten Cookies zu blockieren, zu akzeptieren und anzupassen.
Ermuntern Sie sie, Ihre Richtlinien zu lesen
Ermutigen Sie die Nutzer, Ihre Allgemeinen Geschäftsbedingungen, Datenschutzrichtlinien, Cookie-Richtlinien und alle anderen rechtlichen Richtlinien zu lesen, die Sie haben.
Sie können dies tun, indem Sie Links zu ihnen an prominenter Stelle platzieren und sie auffordern, eine Aktion durchzuführen, um ihr Einverständnis zu bekunden (z. B. ein nicht markiertes Kästchen anzukreuzen).
Persönliche Informationen FAQ
Im Folgenden finden Sie einige der am häufigsten gestellten Fragen zu persönlichen Daten.
Was ist der Unterschied zwischen persönlichen Informationen (PI) und persönlich identifizierbaren Informationen (PII)?
Es gibt keinen Unterschied zwischen personenbezogenen Daten und PII, aber PII ist ein älterer Begriff, der nicht mehr so häufig verwendet wird.
Was ist der Unterschied zwischen persönlichen Informationen und sensiblen persönlichen Informationen?
Sensible personenbezogene Daten sind anfälliger und unterliegen strengeren Vorschriften als normale personenbezogene Daten:
- Gesundheit
- Rennen
- Politische Ansichten
- Religion
- Sexualleben
- Sexuelle Orientierung
- Biometrische Daten
- Genetik
- Gewerkschaftszugehörigkeit
Wie erkenne ich, ob ich persönliche Daten sammle?
Um festzustellen, ob Ihre Website personenbezogene Daten sammelt, führen Sie eine Datenschutzprüfung durch, sprechen Sie mit Ihren Marketing- und Entwicklungsteams und prüfen Sie, welche Cookies Ihre Website verwendet.
Wie werden personenbezogene Daten verwendet?
Unternehmen verwenden personenbezogene Daten häufig, um ihre Kunden besser bedienen zu können, sowie für Marketing- und Forschungszwecke.
Wenn ein Unternehmen z. B. die E-Mail eines Kunden speichert, kann es ihm in Zukunft wichtige Updates und Angebote schicken.
Wie werden personenbezogene Daten erfasst?
Die Besucher Ihrer Website füllen möglicherweise Formulare aus und geben freiwillig Informationen an, Internet-Cookies können Informationen über die Benutzer sammeln, und einige von Ihnen verwendete Software von Drittanbietern kann Informationen über Ihre Benutzer sammeln.
Warum ist der Schutz personenbezogener Daten so wichtig?
Der Schutz personenbezogener Daten ist eine der wichtigsten Maßnahmen zum Schutz vor Identitätsdiebstahl, um Nutzerdaten vor betrügerischen Handlungen zu bewahren.
Wenn zum Beispiel jemand die Kreditkartennummer einer Person hat, kann er betrügerische Abbuchungen vornehmen. Oder wenn jemand die Zugangsdaten für das Gesundheitswesen eines Patienten hat, kann er Informationen herausfinden, von denen die meisten Menschen nicht wollen, dass sie für den allgemeinen Gebrauch freigegeben werden.
Die Weitergabe dieser Art von Informationen gefährdet den Lebensunterhalt einer Person und kann rechtliche Folgen für Ihr Unternehmen haben.
Wie lege ich offen, dass ich personenbezogene Daten sammle?
Verfügen Sie über eine aktuelle Website mit einer Datenschutz- und Cookie-Richtlinie, die leicht zu lesen ist und es den Nutzern ermöglicht, ihre Datenschutzrechte wahrzunehmen.
Was muss ich in meine Datenschutzrichtlinie aufnehmen?
Eine Datenschutzrichtlinie muss Folgendes enthalten:
- Welche Daten Sie sammeln und welche Art von Daten
- Der Zweck Ihrer Datenerhebung
- Hinweis, wenn Sie Ihre Daten verkaufen oder an andere Personen weitergeben
- Links zu allen anderen Dokumenten, auf die Sie verweisen
Zusammenfassung
Das Wissen um persönliche Daten ist für Unternehmer von entscheidender Bedeutung.
Es sind nützliche Daten, die dazu beitragen können, das Kundenerlebnis zu verbessern und Ihre Beziehung zu den Verbrauchern zu stärken.
Aus diesem Grund sind sie durch neue und bestehende Datenschutzgesetze geschützt, und es ist wahrscheinlich, dass mindestens eines davon auf Ihr Unternehmen zutrifft.
Stellen Sie sicher, dass Sie transparent machen, wie Ihr Unternehmen personenbezogene Daten verwendet, und dass Sie die geltenden Gesetze und Vorschriften einhalten.