Sensible personenbezogene Daten, eine rechtliche Kategorie personenbezogener Daten, müssen gemäß Gesetzen wie der Allgemeinen Datenschutzverordnung (DSGVO) und dem California Privacy Rights Act(CPRA) wegen ihrer Anfälligkeit besonders behandelt werden.
Die rechtliche Definition des Begriffs "personenbezogene Daten" ändert sich zwar in den verschiedenen Datenschutzgesetzen, aber er bezieht sich auf alle Daten, die direkt oder indirekt eine Person oder einen Haushalt identifizieren können.
Sensible Informationen können jedoch Dinge wie die Meinungen einer Person, persönliche Vorlieben oder weitere anfällige Details bestimmen, die zu Betrug, Identitätsdiebstahl oder anderen Schäden führen könnten, wenn die Daten durchsickern, verletzt oder kompromittiert werden.
Im Folgenden erfahren Sie, was der Unterschied zwischen persönlichen und sensiblen Daten ist und wie Sie diese Art der Datenerfassung im Rahmen der verschiedenen Datenschutzgesetze, die sich auf Ihr Unternehmen auswirken können, handhaben.
Definition von sensiblen persönlichen Informationen
Sensible personenbezogene Daten, manchmal auch SPI genannt, sind Daten, die nach Gesetzen wie DSGVO und CCPA strengen Schutzrichtlinien unterliegen und sehr intime Details enthalten, wie z. B.:
- Politische Zugehörigkeit
- Religiöse Überzeugungen
- Philosophische Überzeugungen
- Rasse oder ethnische Zugehörigkeit
- Sexuelle Orientierung
- Daten zur Gesundheit
- Biometrische Daten
- Strafrechtliche Vorgeschichte
- Kredit- oder Finanzdaten
- Informationen zu Gewerkschaften und Mitgliedschaft
- Persönliche Identifikationsnummern (ID) - Führerschein, Sozialversicherung, staatliche Ausweise, Reisepässe
Einige Gesetze legen strengere Richtlinien für die Erfassung, Verwendung und sichere Speicherung dieser Art von Informationen fest, da es sich um gefährdete Daten handelt.
Wenn SPI kompromittiert oder verletzt werden, kann dies die Lebensqualität des Einzelnen dauerhaft beeinträchtigen oder seine Fähigkeit, tägliche Aktivitäten auszuführen, einschränken. Daher ist es wichtig, alle relevanten rechtlichen Richtlinien zu befolgen, wenn Sie mit sensiblen Benutzerdaten arbeiten.
Die Unterschiede zwischen persönlichen und sensiblen Informationen
Die Unterschiede zwischen personenbezogenen und sensiblen Daten sind feinsinnig, aber SPI ist technisch gesehen eine eigene Kategorie personenbezogener Daten, die Sie auf der Grundlage der geltenden Datenschutzgesetze anders behandeln, speichern und handhaben müssen.
Allgemein gesagt, sind personenbezogene Daten alle Daten, die direkt oder indirekt eine Person oder einen Haushalt identifizieren können.
Zu den personenbezogenen Daten können alle folgenden Angaben gehören:
- Namen
- E-Mail-Adressen
- Postanschriften
- IP-Adressen
- Telefonnummern
- Geburtsdaten
- Postleitzahlen
- Sensible Informationen
Aber SPI ist von Natur aus anfälliger als andere persönliche Identifikatoren.
Zu den sensiblen personenbezogenen Daten gehören beispielsweise:
- Die Überzeugungen einer Person
- Medizinische und genetische Daten
- Strafrechtliche Vorgeschichten
- Stellungnahmen
- Sexuelle Identität
- Rennen
- Andere, intimere Details
Beide Arten von Daten können den betroffenen Personen Schaden zufügen, aber der unbefugte Zugang zu sensiblen Daten ist besonders schädlich, da er dazu führen kann:
- Diskriminierung
- Belästigung
- Identitätsdiebstahl
- Andere Arten von bleibenden Schäden
Daher schreiben verschiedene Datenschutzgesetze vor, wie Unternehmen solche sensiblen Informationen rechtmäßig erfassen, speichern und verwenden dürfen, und gewähren den Nutzern mehr Rechte an diesen Daten.
Arten und Beispiele von sensiblen persönlichen Informationen
In den Datenschutzgesetzen werden unterschiedliche Definitionen für sensible Daten verwendet. Wir haben daher auf der Grundlage einiger der wichtigsten Rechtsvorschriften, darunter das Datenschutzgesetz, dargelegt, was sensible Daten sind und was nicht:
- Allgemeine Datenschutzverordnung (DSGVO) - offizieller Rechtstext
- Kalifornisches Verbraucherschutzgesetz (CCPA) - offizieller Gesetzestext
- Virginia Consumer Data Protection Act (VCDPA) - offizieller Gesetzestext
- Australisches Datenschutzgesetz von 1988 - offizieller Gesetzestext
Was gilt als sensible persönliche Information?
In der nachstehenden Tabelle finden Sie eine Liste mit Beispielen sensibler personenbezogener Daten und die entsprechenden Datenschutzgesetze, die diese Daten in ihre rechtliche Definition von SPI aufnehmen.
Anwendbare(s) Datenschutzgesetz(e) | Art der sensiblen persönlichen Informationen |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Es ist wichtig zu beachten, dass die oben genannten Informationen in einigen Fällen nur dann als sensible Daten gelten, wenn sie zusammen mit anderen personenbezogenen Daten, wie dem vollständigen Namen einer Person oder den relevanten Informationen für den Login-Zugang zu einem Konto einer Person, verwendet werden.
Außerdem werden in einigen Gesetzen, wie z. B. dem DSGVO, absichtlich weit gefasste Definitionen verwendet, damit der Begriff auch andere Arten von Details umfassen kann, die derzeit nicht aufgeführt sind.
Die obige Tabelle ist zwar ein guter Ausgangspunkt, aber keineswegs erschöpfend - viele andere Datenschutzgesetze auf der ganzen Welt wirken sich darauf aus, wie Unternehmen personenbezogene Daten und SPI erfassen, speichern und verarbeiten.
Was gilt nicht als sensible persönliche Information?
Je nachdem, unter welche Datenschutzgesetze Sie fallen, gelten die folgenden Angaben möglicherweise nicht als sensible persönliche Daten:
- Öffentlich verfügbare Informationen aus Aufzeichnungen von Bundes-, Landes- oder Kommunalbehörden.
- Rechtmäßig erlangte, wahrheitsgemäße Informationen, die von öffentlichem Interesse sind.
- Informationen, von denen ein Unternehmen vernünftigerweise annehmen kann, dass sie der Öffentlichkeit durch den Verbraucher oder durch weit verbreitete Medien rechtmäßig zugänglich gemacht wurden.
- Informationen, die von einer Person zur Verfügung gestellt werden, an die der Verbraucher die Daten weitergegeben hat, sofern der Verbraucher diese Informationen nicht auf einen bestimmten Adressatenkreis beschränkt hat.
Was jedoch als SPI gilt und was nicht, kann sich von einem Gesetz zum anderen ändern.
So stellt die Website DSGVO klar, dass sie bestimmte Arten von Daten immer als personenbezogene Daten betrachtet, aber sechs spezifische Fälle nennt, in denen diese Kategorien von einem für die Verarbeitung Verantwortlichen verarbeitet werden dürfen, darunter:
- Einholung der ausdrücklichen Zustimmung der betroffenen Personen vor Beginn des Trackings
- Erfüllung der vertraglichen Verpflichtungen
- Rechtliche Verpflichtungen zur Einhaltung von Gesetzen
- Um lebenswichtige Interessen wahrzunehmen und das Leben eines Menschen zu schützen oder zu retten
- Für das berechtigte Interesse des für die Datenverarbeitung Verantwortlichen
- Zur Erfüllung wesentlicher Aufgaben im öffentlichen Interesse
Die Nuancen der Datenschutzgesetze sind subtil, aber wichtig zu verstehen, insbesondere bei der Erfassung sensibler Informationen.
Wie Datenschutzgesetze mit sensiblen Informationen umgehen
Im nächsten Abschnitt gehen wir auf die technische Definition sensibler personenbezogener Daten in allen folgenden Gesetzen ein und geben Ihnen Leitlinien an die Hand, wie Sie die einzelnen Gesetze einhalten können:
- Allgemeine Datenschutzverordnung (DSGVO)
- Kalifornisches Verbraucherschutzgesetz(CCPA) in der Fassung des kalifornischen Datenschutzgesetzes(CPRA)
- Kalifornisches Gesetz zum Schutz der Privatsphäre im Internet(CalOPPA)
- Gesetz zum Schutz persönlicher Daten und elektronischer Dokumente(PIPEDA)
- Weitere Gesetze aus aller Welt
DSGVO Definition von sensiblen Informationen
Laut DSGVO handelt es sich bei sensiblen Informationen um eine besondere Kategorie personenbezogener Daten, und um sie rechtmäßig zu erfassen und zu verwenden, müssen Sie eine rechtmäßige Grundlage für die Verarbeitung dieser Art von Informationen nachweisen.
Die nachstehende Abbildung zeigt die rechtliche Definition von sensiblen personenbezogenen Daten gemäß Artikel 9 des Gesetzes.
Unter DSGVO werden die folgenden Angaben als personenbezogene sensible Informationen betrachtet:
- Rasse oder ethnische Zugehörigkeit
- Politische Stellungnahmen
- Religiöse oder philosophische Überzeugungen
- Mitgliedschaft in einer Gewerkschaft
- Genetische Daten
- Biometrische Daten
- Daten zur Gesundheit
- Sexuelle Orientierung und Sexualleben
Um besondere Kategorien personenbezogener Daten rechtmäßig zu verarbeiten, müssen Unternehmen eine der folgenden Rechtsgrundlagen nachweisen:
- Sie haben die ausdrückliche Zustimmung der Nutzer zur Verarbeitung der Daten für einen oder mehrere bestimmte Zwecke erhalten.
- Die Verarbeitung ist für die Erfüllung der Pflichten oder die Ausübung der Rechte des für die Verarbeitung Verantwortlichen oder der betroffenen Person im Rahmen des Arbeits-, Sozialversicherungs- und Sozialschutzrechts erforderlich.
- Die Datenverarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer Person, die rechtlich nicht in der Lage ist, eine eigenständige Einwilligung zu erteilen, zu schützen.
- Die Verarbeitung ist für Stiftungen, Vereine oder andere gemeinnützige Einrichtungen mit politischen, weltanschaulichen, religiösen oder gewerkschaftlichen Zielen erforderlich, sofern sie sich ausschließlich auf Mitglieder oder ehemalige Mitglieder bezieht und die Daten nicht ohne die Zustimmung der betroffenen Personen außerhalb der Einrichtung weitergegeben werden.
- Die Verarbeitung ist erforderlich für die Begründung, Ausübung oder Verteidigung von Rechtsansprüchen oder wenn Gerichte in gerichtlicher Eigenschaft handeln.
- Die Datenverarbeitung ist für ein wichtiges öffentliches Interesse oder auf der Grundlage des Unionsrechts oder des Rechts der Mitgliedstaaten erforderlich, sofern die Grundrechte der betroffenen Person gewahrt bleiben.
- Die Verarbeitung der Daten ist für die arbeitsmedizinische Vorsorge, die Beurteilung der Arbeitsfähigkeit eines Arbeitnehmers, eine medizinische Diagnose oder für die Gesundheits- oder Sozialfürsorge und -behandlung erforderlich.
- Die Datenverarbeitung ist für das öffentliche Interesse an der öffentlichen Gesundheit erforderlich, z. B. für grenzüberschreitende Gesundheitsbedrohungen oder die Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln oder Medizinprodukten.
- Die Verarbeitung der Daten ist für im öffentlichen Interesse liegende Archivierungszwecke, wissenschaftliche oder historische Forschung oder statistische Zwecke erforderlich.
Wenn Sie personenbezogene sensible Daten von Nutzern unter DSGVO erfassen, müssen Sie die Daten auch auf sichere Weise speichern, die mit Artikel 32 des Gesetzes übereinstimmt, der die folgenden technischen Maßnahmen empfiehlt:
- Pseudonymisierung und Verschlüsselung von personenbezogenen Daten.
- Gewährleistung der kontinuierlichen Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste.
- Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten im Falle eines Vorfalls unverzüglich wiederherzustellen.
- Schaffung eines Verfahrens zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Datenverarbeitung.
Legen Sie die Rechtsgrundlage dafür, warum und wie Sie sensible Datenkategorien erfassen, sowie die Sicherheitsmaßnahmen zu deren Schutz in gesonderten Klauseln in einer DSGVO-konformen Datenschutzerklärung dar.
CCPA/CPRA Definition von sensiblen Informationen
Mit dem Inkrafttreten des CPRA wurde das CCPA geändert und eine spezifische rechtliche Definition für sensible personenbezogene Daten geschaffen, die unsere Auslegung des CCPA dauerhaft verändert.
Außerdem wurden neue Verbraucherrechte und -pflichten für Unternehmen geschaffen, die diese Art von Daten erfassen, speichern und nutzen.
Gemäß Abschnitt 1798.40 der Novelle sind sensible personenbezogene Daten Angaben, die Aufschluss geben:
- Sozialversicherungsnummer, Führerschein, staatlicher Personalausweis oder Reisepassnummer des Verbrauchers
- Die Anmelde-, Finanzkonto-, Debit- oder Kreditkartennummer eines Verbrauchers in Kombination mit einem erforderlichen Sicherheits- oder Zugangscode, einem Passwort oder anderen Zugangsdaten, die den Zugang zu einem Konto ermöglichen
- Präzise Geolokalisierung
- Rasse oder ethnische Herkunft, religiöse oder philosophische Überzeugungen oder die Mitgliedschaft in einer Gewerkschaft
- Inhalt der Post, E-Mails und Textnachrichten des Verbrauchers, es sei denn, das Unternehmen ist der beabsichtigte Empfänger der Mitteilungen
- Genetische Daten
- Verarbeitung biometrischer Daten zum Zweck der Identifizierung einer Person
- Daten zur Gesundheit
- Sexuelle Orientierung
Nach diesem geänderten Gesetz haben die Verbraucher das Recht, den Verkauf oder die Weitergabe ihrer sensiblen persönlichen Daten zu untersagen, wie in Abschnitt 1798.121 beschrieben.
Um sicherzustellen, dass die Nutzer dieses Recht auf Datenschutz wahrnehmen können, müssen die Unternehmen einen klaren, auffälligen Hinweis "Meine persönlichen Daten nicht verkaufen oder weitergeben" auf der Startseite ihrer Website oder App platzieren.
Wenn Sie sensible personenbezogene Daten verarbeiten, benötigen Sie auch einen Link "Beschränkung der Verwendung meiner sensiblen personenbezogenen Daten", da Verbraucher gemäß dem CCPA in der durch das CPRA geänderten Fassung ebenfalls das Recht haben, die Verarbeitung von personenbezogenen Daten einzuschränken.
Das Gesetz stellt jedoch klar, dass Unternehmen keine Links einfügen müssen, wenn Opt-out-Präferenzsignale von Verbrauchern, die mit ihrer Zustimmung von einer Plattform, einer Technologie oder einem Mechanismus gesendet werden, verwendet und befolgt werden, wie im Screenshot unten dargestellt.
Die Plattformen, Technologien und Mechanismen, auf die in diesem Teil des Gesetzes Bezug genommen wird, beziehen sich auf Browsereinstellungen wie Global Privacy Control(GPC), die Websites über die Einwilligungspräferenzen eines Nutzers informieren, sobald dieser die Website betritt.
Alle personenbezogenen Daten, die Sie von Nutzern erheben, einschließlich SPI, müssen in einer CCPA-konformen Datenschutzrichtlinie beschrieben werden, die spezifischen Richtlinien folgt.
CCPA-Definition von sensiblen Informationen vor den CPRA-Änderungen
Bevor das CPRA das CCPA änderte, gab es keine Unterscheidung zwischen normalen personenbezogenen Daten und sensiblen Informationen.
Die Originaldefinition des Begriffs " personenbezogene Daten" in Abschnitt 1798.140 des CCPA finden Sie im nachstehenden Screenshot.
In der ursprünglichen Fassung des Gesetzes wurden die folgenden Angaben als Beispiele für personenbezogene Daten aufgeführt:
- Echte Namen, Pseudonyme, Postadressen, eindeutige persönliche Identifikatoren, Online-Identifikatoren, Internetprotokolladressen, E-Mail-Adressen, Kontonamen, Sozialversicherungsnummern, Führerscheinnummern, Reisepassnummern oder andere ähnliche Identifikatoren
- Kommerzielle Informationen, Aufzeichnungen über gekaufte, erworbene oder in Erwägung gezogene persönliche Gegenstände, Produkte oder Dienstleistungen oder andere Kauf- und Verbrauchsverhaltensweisen und -tendenzen
- Biometrische Informationen
- Aktivitäten im Internet und in elektronischen Netzen, Informationen, Browserverlauf, Suchverlauf, Informationen über die Interaktion des Verbrauchers mit einer Website, Anwendung oder Werbung
- Geolokalisierungsdaten
- Akustische, elektronische, visuelle, thermische, olfaktorische oder ähnliche Informationen
- Berufliche oder beschäftigungsbezogene Informationen
- Bildungsinformationen, die nicht öffentlich zugänglich sind
Jetzt gibt es eine Kategorie sensibler Informationen, die vollständig definiert ist und strengeren Anforderungen unterliegt als normale personenbezogene Daten.
CalOPPA Definition von sensiblen Informationen
Das 2003 eingeführte CalOPPA ist das ursprüngliche Gesetz, das Websites mit Besuchern aus Kalifornien verpflichtet, Datenschutzrichtlinien zu veröffentlichen, aber es enthält keine Kategorie für sensible Daten.
CalOPPA definierte ursprünglich persönlich identifizierbare Informationen (PII) in den USA als jede der folgenden Angaben:
- Vor- und Nachname
- Wohnsitz oder andere physische Adresse
- E-Mail-Adresse
- Rufnummer
- Sozialversicherungsnummer
- Jede andere Kennung, die die physische oder Online-Kontaktaufnahme mit einer bestimmten Person ermöglicht
- Informationen über einen Nutzer, die von der Website oder dem Online-Dienst erfasst werden und die in Kombination mit einem der oben beschriebenen Identifikatoren eine Person identifizieren können
Nach diesem Gesetz müssen Einrichtungen, die personenbezogene Daten erheben, deutlich sichtbar eine Datenschutzrichtlinie veröffentlichen:
- Die Kategorien der gesammelten PII und an wen sie weitergegeben werden
- ob es ein Verfahren gibt, mit dem die Verbraucher ihre Daten überprüfen oder Änderungen beantragen können
- Wie Sie die Verbraucher über Änderungen an der Datenschutzrichtlinie informieren
- Ein klar ausgewiesenes Datum des Inkrafttretens
- Offenlegen, wie Sie auf "Do not track"-Signale oder andere Mechanismen reagieren
- Geben Sie an, ob andere Parteien personenbezogene Daten über die Online-Aktivitäten einer Person im Laufe der Zeit oder über verschiedene Websites hinweg sammeln können
- Bereitstellung eines klaren und auffälligen Hyperlinks in der Datenschutzrichtlinie zur Erläuterung der von Ihnen befolgten Protokolle für "Do Not Track"-Anfragen
Das CCPA in seiner durch das CPRA geänderten Fassung erweitert jedoch die ursprünglich im CalOPPA dargelegten Verpflichtungen für Unternehmen, Verbraucherrechte und technischen Protokolle, so dass Sie sich darüber im Klaren sein sollten, wie sich alle drei Gesetze auf die Erfassung und Verarbeitung Ihrer sensiblen personenbezogenen Daten auswirken können.
Virginia CDPA Definition von sensiblen Informationen
Eines der neueren Datenschutzgesetze des US-Bundesstaates Virginia, das Virginia Consumer Data Protection Act (VCDPA), legt gesetzlich zwei Kategorien von Informationen fest: personenbezogene Daten und sensible personenbezogene Daten.
Personenbezogene Daten sind gemäß Abschnitt 59.1-571 des CDPA definiert als:
... alle Informationen, die mit einer identifizierten oder identifizierbaren natürlichen Person verknüpft sind oder vernünftigerweise verknüpft werden können.
Ausgeschlossen sind jedoch alle de-identifizierten oder öffentlich zugänglichen Informationen.
Das Gesetz definiert auch eine gesonderte Kategorie von Informationen, die als sensible Daten bezeichnet werden und zu denen jede Kategorie von Informationen gehört:
- Rasse oder ethnische Herkunft
- Religiöse Überzeugungen
- Psychische oder physische Gesundheitsdiagnose
- Sexuelle Orientierung
- Staatsangehörigkeit oder Einwanderungsstatus
- Verarbeitung von biometrischen oder genetischen Daten
- Alle Daten, die von einem bekannten Kind gesammelt wurden
- Präzise Geolokalisierung
Nach dem VCDPA benötigen die für die Datenverarbeitung Verantwortlichen die ausdrückliche Zustimmung der Verbraucher zur Verarbeitung sensibler Daten, die vom Verbraucher freiwillig, in Kenntnis der Sachlage und unmissverständlich erteilt werden muss, wie in der nachstehenden Abbildung dargestellt.
PIPEDA Definition von sensiblen Informationen
In Kanada ist das Gesetz zum Schutz persönlicher Informationen und elektronischer Dokumente (Personal Information Protection and Electronic Documents Act, PIPEDA) ein Bundesgesetz zum Datenschutz, das die Erfassung und Verwendung persönlicher Daten, einschließlich sensibler Informationen, durch Unternehmen einschränkt.
Im Jahr 2022 gab das Office of the Privacy Commissioner of Canada (OPC) ein Interpretation Bulletin heraus, das sich mit sensiblen Informationen befasst. Darin heißt es, dass im Rahmen von PIPEDA alle Daten je nach Kontext als sensibel angesehen werden können, wie im folgenden Screenshot hervorgehoben wird.
Sie stellt klar, dass die folgenden Angaben im Allgemeinen als sensibel gelten und ein höheres Maß an Sicherheit und Schutz erfordern:
- Daten zur Gesundheit
- Finanzielle Daten
- Ethnische oder rassische Zugehörigkeit
- Politische Stellungnahmen
- Genetische Daten
- Biometrische Daten
- Sexuelle Orientierung
- Religiöse Überzeugungen
- Philosophische Überzeugungen
Wenn Sie SPI sammeln und unter PIPEDA fallen, müssen Sie die zehn im Gesetz festgelegten Grundsätze der fairen Information befolgen und zusätzliche Maßnahmen ergreifen, um die Daten sicher und angemessen zu speichern.
Wie andere Gesetze sensible persönliche Daten definieren
Weltweit gibt es weitere Gesetze, die sich auf die Erhebung und Verwendung sensibler personenbezogener Daten auswirken. Wir haben daher in der folgenden Tabelle einige Definitionen für Sie zusammengestellt.
Gesetzgebung zum Datenschutz | Definition von sensiblen persönlichen Informationen |
Allgemeine Datenschutzverordnung (DSGVO) |
|
Kalifornisches Gesetz zum Schutz der Privatsphäre (CPRA) |
|
Kalifornisches Verbraucherschutzgesetz (CCPA) |
|
Virginia Verbraucherdatenschutzgesetz (VCDPA) |
|
Gesetz zum Schutz persönlicher Daten und elektronischer Dokumente (PIPEDA) |
|
Australisches Datenschutzgesetz von 1988 |
|
Neuseeländisches Datenschutzgesetz von 2020 |
|
Chinesisches Gesetz zum Schutz persönlicher Daten (PIPL) |
|
Mexikanisches Bundesgesetz über den Schutz personenbezogener Daten im Besitz von Privatpersonen |
|
Es gibt zwar Überschneidungen bei der Definition von sensiblen Daten in den Gesetzen, aber jedes Gesetz führt eindeutige Kennzeichnungen, Richtlinien und Anforderungen ein, die Unternehmen bei der Nachverfolgung, Speicherung und Verwendung dieser Daten beachten müssen.
Das alles kann sich überwältigend anfühlen, aber wir halten Ihnen den Rücken frei.
Sensible persönliche Informationen FAQ
Erfahren Sie noch mehr über sensible persönliche Daten, indem Sie sich einige der am häufigsten gestellten Fragen zu diesem Thema ansehen.
Wie erkenne ich, ob ich sensible persönliche Daten sammle?
Sie können feststellen, ob Sie sensible personenbezogene Daten sammeln, indem Sie die Art der von Ihnen erfassten personenbezogenen Nutzerdaten mit den verschiedenen rechtlichen Definitionen von sensiblen personenbezogenen Daten vergleichen.
Zu den sensiblen persönlichen Informationen gehören beispielsweise die folgenden:
- Rasse oder ethnische Zugehörigkeit
- Politische Zugehörigkeit
- Religiöse oder philosophische Überzeugungen
- Mitgliedschaft in einer Gewerkschaft oder einem Verband
- Gesundheits- oder genetische Daten
- Biometrische Daten
- Sexuelle Orientierung
Wie werden sensible persönliche Daten verwendet?
Unternehmen nutzen sensible personenbezogene Daten, um das Online-Erlebnis für die Nutzer zu verbessern oder persönlicher zu gestalten, Einblicke in die Interaktion der Nutzer mit einer Website zu gewinnen oder gezielte Werbung zu versenden.
Wie werden sensible persönliche Daten gesammelt?
Websites oder Apps sammeln sensible Informationen durch Tracker von Drittanbietern, Cookies, Datenerfassungsmethoden von Erstanbietern oder wenn ein Nutzer Daten über ein Anmeldeformular, ein Zahlungsformular oder ein neues Nutzerprofil angibt.
Warum ist der Schutz sensibler persönlicher Daten so wichtig?
Der Schutz sensibler personenbezogener Daten vor Datenschutzverletzungen ist aufgrund der Art der Daten wichtig - wenn sie in böswillige Hände geraten, könnten sie zu Betrug, Identitätsdiebstahl, Rufschädigung oder anderen Arten von Schaden führen.
Wie lege ich offen, dass ich sensible persönliche Daten sammle?
Sie können Ihre Sammlung sensibler personenbezogener Daten gegenüber den Nutzern offenlegen, indem Sie eine ausführliche Datenschutzrichtlinie erstellen und sie an einer auffälligen Stelle verlinken, z. B. in einem Pop-up-Banner oder in der Fußzeile Ihrer Website, so dass die Nutzer sie lesen und sich für oder gegen eine Zustimmung entscheiden können.
Um diese Daten zu erfassen und zu verwenden, aber dennoch Gesetze wie DSGVO, CalOPPA und CPRA einzuhalten, muss Ihre Datenschutzrichtlinie eine Erklärung enthalten:
- Ob Sie sensible Informationen sammeln oder nicht
- Wenn Sie die sensiblen Informationen an andere weitergeben oder verkaufen
- Wie Sie die von Ihnen erfassten sensiblen Daten sicher speichern oder schützen
- Rechte der Nutzer über ihre sensiblen persönlichen Daten
Wie können die Verbraucher ihre sensiblen persönlichen Daten kontrollieren?
Je nach den für den Einzelnen geltenden Gesetzen können die Verbraucher ihre sensiblen persönlichen Daten kontrollieren:
- Sie greifen auf Tools zur Einwilligung auf Websites oder in Browsern zu und entscheiden sich gegen (oder für) die Erfassung ihrer Daten.
- Einreichung von Formularen für den Antrag auf Zugang zu Daten (DSAR).
- Verwenden Sie die Links "Meine persönlichen Daten nicht verkaufen oder weitergeben" und "Die Verwendung meiner sensiblen persönlichen Daten einschränken" und reichen Sie die entsprechenden Formulare ein.
Zusammenfassung
Nach Datenschutzgesetzen wie dem CCPA und DSGVO sind sensible personenbezogene Daten eine besondere Kategorie von Daten, die von den Unternehmen mit zusätzlichen Sicherheitsvorkehrungen behandelt werden müssen.
Je nach geltendem Datenschutzgesetz haben die Nutzer unterschiedliche Rechte in Bezug auf ihre SPI im Vergleich zu normalen Kategorien personenbezogener Daten.
Da zu den sensiblen Daten auch verletzliche Details wie die Überzeugungen, die sexuelle Orientierung, die politische Zugehörigkeit oder die Rasse einer Person gehören, könnte die Offenlegung dieser Daten dem Nutzer Schaden zufügen:
- Diskriminierung
- Demütigung
- Identitätsdiebstahl
- Betrug
- Diffamierung des Charakters
Wenn Sie Daten von Nutzern erheben, die unter die Kategorie SPI fallen, ergreifen Sie zusätzliche Maßnahmen, um sicherzustellen, dass die Daten sicher gespeichert werden und vor potenziellen Cyberkriminalität geschützt sind.
Stellen Sie auf Ihrer Website oder App deutlich sichtbar eine Datenschutzrichtlinie auf, in der Sie darlegen, welche sensiblen Daten Sie erfassen, die Rechtsgrundlage dafür nennen und die Rechte erläutern, die Nutzer in Bezug auf diese Daten haben.