Unternehmen verarbeiten personenbezogene Daten von Nutzern aus verschiedenen Gründen, z. B. zur Verbesserung des Kundenerlebnisses, zur Produktentwicklung und zur Marktforschung.
Um Daten nachhaltig zu nutzen, müssen Unternehmen jedoch dem Datenschutz Vorrang einräumen, d. h. der Kontrolle, die Menschen über ihre Daten haben, und den Verarbeitungs- und Sicherheitssystemen, die Unternehmen einsetzen.
In diesem Leitfaden erkläre ich, was Unternehmer über den Datenschutz wissen müssen, welche Schritte sie unternehmen müssen, um ein datenschutzbewusstes Unternehmen zu werden, und wir hören von einem Datenschutzexperten, der uns erklärt, warum dies wichtig ist.
- Was ist Datenschutz?
- Welche Gesetze regeln den Datenschutz und wie?
- Was sind die Vorteile der Einhaltung von Datenschutzgesetzen?
- Was sind einige Beispiele für Datenschutzrisiken?
- Wie können Unternehmen die Privatsphäre der Nutzer schützen?
- Wie hilft Termly Unternehmen, die Privatsphäre der Nutzer zu schützen?
- Wie können Nutzer ihre Online-Privatsphäre schützen?
- Zusammenfassung
Was ist Datenschutz?
Datenschutz ist per Definition die Beziehung zwischen Einrichtungen, die personenbezogene Daten erheben, verarbeiten und nutzen, und der Kontrolle und Wahlmöglichkeit des Einzelnen über die Verwendung dieser Informationen.
Unternehmen, die dem Datenschutz Priorität einräumen, sind typischerweise:
- alle für ihr Unternehmen geltenden Datenschutzgesetze kennen, mit ihnen vertraut sind und sie in angemessener Weise befolgen.
- Veröffentlichung notwendiger rechtlicher Maßnahmen wie Datenschutz- und Cookie-Richtlinien, um die Besucher der Website angemessen über ihre Datenverarbeitungsaktivitäten zu informieren.
- Verwenden Sie Einwilligungsbanner und DSAR-Formulare (Data Subject Access Request), um ihren Nutzern die Wahl zu lassen, wie ihre Daten verarbeitet werden.
- Einführung eines Datenmappings (Dateninventars), damit sie wissen, wo alle von ihnen erfassten personenbezogenen Daten gespeichert werden und wer Zugang zu ihnen hat.
- ihre Mitarbeiter auf allen Ebenen, einschließlich der Verwaltungsangestellten, in bewährten Verfahren zum Datenschutz und zur Cybersicherheit schulen.
- Verfügen Sie über ein spezielles Team oder einen Mitarbeiter, der für die Umsetzung bewährter Verfahren im Bereich des Datenschutzes verantwortlich ist.
Der Datenschutz trägt dazu bei, dass Unternehmen personenbezogene Daten sicher, transparent und ehrlich erfassen, speichern und verarbeiten.
Sie ermutigt die Unternehmen, über bewährte Praktiken für den Datenschutz nachzudenken und diese von Anfang an in alle Aspekte ihrer internen Verfahren einzubeziehen.
Was ist der Unterschied zwischen Datenschutz und Datensicherheit?
Technisch gesehen sind Datenschutz und Datensicherheit zwei unterschiedliche Vorgänge, die zusammenwirken, um ein erfolgreiches und effizientes System zu schaffen.
Während es beim Datenschutz um die persönlichen Informationen geht, die über Einzelpersonen gesammelt und verarbeitet werden, geht es bei der Datensicherheit darum, diese Informationen vor Cyberangriffen und unbefugtem Zugriff zu schützen.
Beim Datenschutz müssen Sie beispielsweise sicherstellen, dass Sie alle Datenschutzgesetze angemessen einhalten und Kontrollmechanismen einrichten, damit Ihre Kunden ihre Rechte wahrnehmen können.
Ihre Datensicherheitspraktiken sollten sich jedoch darauf konzentrieren, die Informationen sicher zu speichern, ein Daten-Mapping oder ein Dateninventar zu erstellen, ein Verfahren zur Erkennung von und Reaktion auf eine Datenverletzung zu haben und einen Plan zur Datensicherung oder Datenwiederherstellung zu implementieren.
Sie können keine angemessenen Datenschutztechniken einführen, ohne sich darauf zu konzentrieren, dass die Informationen und die Verarbeitungstätigkeiten sicher und geschützt sind.
Ihr Unternehmen muss Zeit und Energie für beides aufwenden.
Warum ist Datenschutz wichtig?
Der Datenschutz ist wichtig, weil er den Unternehmen hilft:
- Einhaltung der geltenden Datenschutzgesetze
- Das Vertrauen der Verbraucher gewinnen und bewahren
- Aufbau effektiver, effizienter Datenverwaltungspraktiken
- Minimierung der mit Datenschutzverletzungen verbundenen Risiken und Kosten
- Anpassung an das sich ständig ändernde Klima im Internet
- Mit der sich ändernden und fortschreitenden Technologie Schritt halten
Aber der Hauptgrund , warum der Datenschutz für Unternehmen so wichtig ist, ist, dass er jeden betrifft - Unternehmer und Verbraucher gleichermaßen.
Als wir mit Andrew Folks, CIPP/US und Westin Fellow für die IAPP sprachen, sagte er: "Viele Geschäftsinhaber sehen den Datenschutz nur als Kosten für die Einhaltung von Vorschriften, obwohl er eigentlich einen Wettbewerbsvorteil darstellt."
Die Unternehmen müssen die Bedeutung der Datenerfassung und -verarbeitung respektieren, um die Vorteile zu nutzen und das Kundenerlebnis zu verbessern.
"Fast 68 % der Verbraucher geben an, dass sie sich Sorgen um ihre Online-Privatsphäre machen, so der IAPP Privacy and Consumer Trust Report 2023". - Andrew Folks, CIPP/US und Westin Fellow für die IAPP
Er fügt hinzu: "Infolgedessen verzeichnen datenschutzbewusste Unternehmen eine höhere Kundentreue und eine höhere Rentabilität ihrer Investitionen in Datenschutzprogramme."
Eine Möglichkeit, diese Kundenbeziehung aufzubauen und zu pflegen, besteht darin, den Personen, von denen die Daten stammen, Transparenz, Wahlmöglichkeiten und Kontrolle zu bieten.
Welchen Einfluss haben die Grundsätze der fairen Information auf den Datenschutz?
Die Grundsätze der fairen Informationspraxis (Fair Information Practice Principles), manchmal auch FIPPS genannt, haben unser modernes Verständnis des Datenschutzes entscheidend weiterentwickelt.
Die Grundsätze wurden erstmals 1973 vom US-Ministerium für Gesundheit, Bildung und Wohlfahrt vorgeschlagen und von der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) übernommen.
Die OECD ist eine internationale Gruppe, die den wirtschaftlichen Fortschritt und den Welthandel fördert.
Sie verweisen auf diese Grundsätze in ihren "Leitlinien für den Schutz der Privatsphäre und den grenzüberschreitenden Verkehr personenbezogener Daten".
Die Grundsätze bildeten auch die Grundlage für viele aktuelle Datenschutzgesetze, darunter das:
- Kalifornisches Verbraucherschutzgesetz(CCPA)
- Allgemeine Datenschutzverordnung (DSGVO)
- Gesetz zum Schutz persönlicher Daten und elektronischer Dokumente(PIPEDA)
Die neun Grundsätze der fairen Informationspraxis sind:
- Zugang und Änderung: Die Einrichtungen sollten Einzelpersonen Zugang zu den von ihnen erfassten personenbezogenen Daten gewähren und ihnen die Möglichkeit geben, die Daten zu korrigieren oder zu ändern.
- Rechenschaftspflicht: Die Einrichtungen sollten für die Einhaltung und Anwendung der Grundsätze und anderer anwendbarer datenschutzbezogener Verfahren verantwortlich sein.
- Befugnis: Einrichtungen sollten personenbezogene Daten nur dann erheben, verwenden, verarbeiten oder speichern, wenn sie dazu befugt sind, und diese Befugnis sollte den Verbrauchern klar mitgeteilt und erläutert werden.
- Minimierung: Einrichtungen sollten nur Informationen sammeln, verwenden und verarbeiten, die für ihre Bedürfnisse direkt relevant sind, um rechtlich zulässige Zwecke zu erfüllen, und die Daten nur so lange aufbewahren, wie es zur Erreichung dieser Ziele erforderlich ist.
- Qualität und Integrität: Die Einrichtungen sollten personenbezogene Daten mit der erforderlichen Genauigkeit, Relevanz, Aktualität und Vollständigkeit erheben, verwenden und speichern, um die Fairness gegenüber dem Einzelnen zu gewährleisten.
- Beteiligung des Einzelnen: Die Einrichtungen sollten den Einzelnen in die Verarbeitung und Verwendung personenbezogener Daten einbeziehen und seine Zustimmung zur Verwendung, Verarbeitung und Speicherung seiner Daten einholen. Die Einrichtungen sollten auch ein Verfahren für den Umgang mit datenschutzbezogenen Bedenken einrichten.
- Zweckbestimmung und Nutzungsbeschränkung: Die Einrichtungen sollten die spezifischen Zwecke angeben, für die sie personenbezogene Daten erheben und verwenden, und dies in einer Mitteilung an die betroffene Person erläutern.
- Sicherheit: Die Einrichtungen sollten technische, verwaltungstechnische und physische Sicherheitsvorkehrungen zum Schutz personenbezogener Daten treffen, die dem Risiko des Schadens angemessen sind, der durch unbefugten Zugriff, Verwendung, Änderung, Verlust oder Zerstörung entstehen könnte.
- Transparenz: Die Einrichtungen sollten ehrlich über die Informationen, Strategien und Praktiken im Zusammenhang mit personenbezogenen Daten sein.
Welche Gesetze regeln den Datenschutz und wie?
Weltweit gibt es mehrere Gesetze, die den Datenschutz regeln, und obwohl sie alle einige Ähnlichkeiten aufweisen, gibt es auch bemerkenswerte Unterschiede.
In diesem Abschnitt werde ich kurz auf verschiedene Gesetze zum Datenschutz eingehen und erläutern, wie sie sich auf Unternehmen und Verbraucher auswirken.
Allgemeine Datenschutzverordnung (DSGVO)
Für Personen in der Europäischen Union (EU) und dem Europäischen Wirtschaftsraum (EWR) regelt die DSGVO regelt, wie Einrichtungen weltweit ihre personenbezogenen Daten erfassen, verarbeiten und nutzen dürfen.
Konkret verpflichtet sie die betroffenen Einrichtungen dazu:
- Stellen Sie Einzelpersonen einen Datenschutzhinweis zur Verfügung, aus dem hervorgeht, welche Daten Sie sammeln, warum, wie sie gesammelt werden, ob Sie sie an Dritte verkaufen und ob Sie sie international weitergeben.
- Bereitstellung einer Methode, mit der die Verbraucher ihre Rechte auf Zugang, Berichtigung, Änderung oder Löschung ihrer personenbezogenen Daten wahrnehmen können.
- Den Verbrauchern muss die Möglichkeit gegeben werden, ihre Rechte in Bezug auf bestimmte Arten der Datenverarbeitung wahrzunehmen.
Sie schreibt auch vor, dass Unternehmen den Grundsatz des "Privacy by Design" (PbD) befolgen müssen, d. h., dass der Datenschutz in alle technischen Systeme eines Unternehmens integriert werden muss.
Die Website DSGVO stützt sich ebenfalls auf die bereits in diesem Leitfaden erwähnten FIPP, die damit zu einer rechtlichen Voraussetzung werden.
Darüber hinaus ist das Vereinigte Königreich durch den Data Protection Act geschützt, der mit dem DSGVO identisch ist, aber die Trennung des Landes vom Rest Europas berücksichtigt.
Kalifornische Datenschutzgesetze
Kalifornien hat einige Gesetze verabschiedet, die den Umfang des Datenschutzes weltweit verändert haben, darunter das:
- Kalifornisches Verbraucherschutzgesetz(CCPA)
- California Privacy Rights Act(CPRA) - Ändert Teile des CCPA
- Kalifornisches Gesetz zum Schutz der Privatsphäre im Internet(CalOPPA)
Das CCPA in seiner durch das CPRA geänderten Fassung ähnelt dem DSGVO. Es räumt den kalifornischen Verbrauchern ebenfalls das Recht ein, auf ihre persönlichen Daten zuzugreifen, sie zu korrigieren oder zu löschen.
Sie sieht bestimmte Widerspruchsrechte in Bezug auf die Datenverarbeitung vor, z. B. für gezielte Werbung, den Verkauf ihrer Daten und die Profilerstellung, und enthält spezifische Leitlinien für Datenschutzhinweise.
CalOPPA hingegen konzentriert sich ausdrücklich auf Details, die in einer Datenschutzerklärung enthalten sein müssen, wenn Sie online tätig sind und Daten von kalifornischen Besuchern sammeln.
Andere Datenschutzgesetze der US-Bundesstaaten
Mehrere andere US-Bundesstaaten haben Datenschutzgesetze erlassen, die dem kalifornischen CCPA ähneln, darunter die folgenden:
- Colorado Datenschutzgesetz(CPA)
- Connecticut-Datenschutzgesetz(CTDPA)
- Delaware-Gesetz zum Schutz persönlicher Daten(DPDPA)
- Florida-Datenschutzgesetz(FDPR)
- Verbraucherdatenschutzgesetz von Indiana(Indiana CDPA)
- Iowa Verbraucherdatenschutzgesetz(Iowa CDPA)
- Montana Verbraucherdatenschutzgesetz(MCDPA)
- Oregon Consumer Privacy Act(OCPA)
- Tennessee-Informationsschutzgesetz(TIPA)
- Gesetz zum Datenschutz und zur Datensicherheit in Texas(TDPSA)
- Gesetz zum Schutz der Privatsphäre der Verbraucher in Utah(UCPA)
- Virginia Verbraucherdatenschutzgesetz(VCDPA)
Diese Gesetze ermöglichen es den Verbrauchern, auf ihre persönlichen Daten zuzugreifen, sie zu löschen, zu korrigieren und zu ändern.
Sie enthalten auch unterschiedliche Anforderungen an die Datenschutzpolitik.
Wie die DSGVO und die CCPA schreiben diese Gesetze vor, dass Unternehmen nur solche personenbezogenen Daten sammeln dürfen, die für die den Verbrauchern dargelegten Zwecke vernünftigerweise erforderlich sind.
US-Bundesgesetze
Andere Gesetze in den USA haben Auswirkungen auf den Datenschutz, je nachdem, wer die Zielgruppe ist und in welcher Branche Sie tätig sind. Dazu gehören die:
- Das Gesetz zum Schutz der Online-Privatsphäre von Kindern (Children's Online Privacy Protection Act , COPPA) schreibt die Erfassung persönlicher Daten von bekannten Kindern und Minderjährigen vor.
- Der Health Insurance Portability and Accountability Act(HIPAA) gilt für Krankenversicherungsdaten und gewährleistet deren Vertraulichkeit.
- Das Gesetz zum Schutz der Privatsphäre in der elektronischen Kommunikation (Electronic Communications Privacy Act , ECPA) erläutert die staatlichen Beschränkungen des Abhörens.
- Der Gramm Leach-Bliley Act (GLBA) schreibt den Finanzinstituten den Umgang mit privaten Informationen vor.
- Das Gesetz über faire Kreditauskünfte(Fair Credit Reporting Act, FCRA) legt fest, wie Unternehmen Kreditinformationen sammeln und verwenden dürfen.
Kanadische Datenschutzgesetze
In Kanada gibt es zwei wichtige Datenschutzgesetze, die vorschreiben, wie Unternehmen personenbezogene Daten erfassen, verarbeiten und nutzen:
PIPEDA deckt bestimmte Teile Kanadas ab, wobei Bereiche ausgenommen sind, in denen die Gesetze der Provinzen Vorrang haben, und es verwendet die FIPPs als Grundlage für seine zehn Grundsätze für faire Informationen.
Das Gesetz Lawe 25 von Québec regelt den Schutz der persönlichen Daten von Personen in Québec und gewährt ihnen das Recht auf Zugang und Berichtigung ihrer Daten.
Was sind die Vorteile der Einhaltung von Datenschutzgesetzen?
Die Einhaltung der Datenschutzgesetze ist für Unternehmen in mehrfacher Hinsicht von Vorteil.
Sie vermeiden Bußgelder oder Strafen für Verstöße gegen das Gesetz und sehen sich nicht mit den öffentlichen Reaktionen und der schlechten Presse konfrontiert, die in der Regel auf eine hohe Datenschutzstrafe folgen.
Die Beachtung des Datenschutzes hilft Ihrem Unternehmen auch, das Vertrauen der Kunden zu gewinnen und zu erhalten. Wenn Sie beweisen, dass Sie ein ehrliches und datenschutzbewusstes Unternehmen sind, werden die Kunden Ihnen eher vertrauen, wenn es um den Umgang mit ihren persönlichen Daten geht.
Sie begrenzen die Risiken im Bereich der Cybersicherheit, denn durch die Schulung Ihres Teams und die Einführung von Verfahren, die die besten Praktiken im Bereich des Datenschutzes nutzen, sind Sie besser auf die Verhinderung von und die Reaktion auf Cyberangriffe vorbereitet.
Und schließlich hilft es Ihrem Unternehmen, sich leichter an neue Technologien anzupassen.
Die Förderung eines unternehmensweiten Bewusstseins für den bestmöglichen Schutz der personenbezogenen Daten der Benutzer bedeutet, dass Ihr Unternehmen neue Technologien einführen kann, ohne die Benutzerdaten zu gefährden.
Was sind einige Beispiele für Datenschutzrisiken?
Zu den häufigsten Datenschutzproblemen und -risiken, mit denen Unternehmen und Verbraucher konfrontiert sind, gehören Vorfälle im Bereich der Cybersicherheit, unbefugte Zugriffe oder Datenschutzverletzungen sowie die Löschung oder der Verlust von Informationen.
Einige Beispiele für potenzielle Datenschutzrisiken sind:
Wie können Unternehmen die Privatsphäre der Nutzer schützen?
Zu den besten Methoden, mit denen Unternehmen die Privatsphäre ihrer Nutzer schützen können, gehören die Schulung ihrer Mitarbeiter, die Einführung geeigneter interner Verfahren und die Bereitstellung eines angemessenen Budgets für Sicherheit und Schutz.
Wir empfehlen, die folgenden Sicherheitsmaßnahmen zu ergreifen, wenn dies für Ihr Unternehmen angemessen ist:
- Implementieren Sie eine Multifaktor-Authentifizierung für die Anmeldung bei wichtigen Konten, z. B. bei Profilen, die Kategorien sensibler Daten enthalten.
- Verwenden Sie starke, komplexe Passwörter für interne Mitarbeiter und für externe Benutzer, die Konten auf Ihrer Plattform erstellen können.
- Erstellen Sie eine Übersicht über die von Ihnen erfassten Daten, damit Sie wissen, wo sie gespeichert werden, welche Sicherheitsmaßnahmen getroffen wurden, wer darauf zugreifen kann und warum Ihr Unternehmen sie verwendet.
- Erfassen und verarbeiten Sie nur personenbezogene Daten, die für die Zwecke, die Sie Ihren Nutzern genannt haben, erforderlich sind, und bewahren Sie sie nicht länger als nötig auf.
- Verpflichten Sie Dritte, mit denen Sie zusammenarbeiten, dazu, das gleiche Datenschutzniveau einzuhalten wie Ihr Unternehmen.
- Verfügen Sie über eine Methode zur Sicherung und Wiederherstellung von Daten und testen Sie diese regelmäßig.
- Verwenden Sie Sicherheitstechniken wie Datenverschlüsselung und Anonymisierung.
Wie hilft Termly Unternehmen, die Privatsphäre der Nutzer zu schützen?
Termly bietet Richtliniengeneratoren, eine Consent Management Platform (CMP) und andere Tools und Ressourcen, die Unternehmen dabei helfen, den Datenschutz einfach, effizient und kostengünstig zu priorisieren.
Unser juristisches Team und unsere Datenschutzexperten prüfen alle unsere Lösungen, die wir so entwickelt haben, dass sie den Datenschutzgesetzen wie DSGVO, CCPA, PIPEDA und anderen entsprechen.
Außerdem aktualisieren wir unsere Tools regelmäßig, um neuen und sich ändernden Datenschutzgesetzen Rechnung zu tragen.
Sie können unsere CMP so konfigurieren, dass den Nutzern ein Zustimmungsbanner mit den entsprechenden Opt-in- oder Opt-out-Einstellungen auf der Grundlage der geltenden regionalen Gesetze angezeigt wird.
Wir speichern ein sicheres Protokoll der Einwilligungsentscheidungen Ihrer Nutzer, auf das Sie direkt in Ihrem Termly Dashboard zugreifen können.
Nachstehend finden Sie ein Beispiel dafür.
Sie können auch unsere Datenschutzerklärung Generator verwenden, um eine Richtlinie zu erstellen, die mit verschiedenen Datenschutzgesetzen übereinstimmt.
Es werden einfache, grundlegende Fragen zu den Datenverarbeitungsaktivitäten Ihres Unternehmens gestellt, so dass alle Schwierigkeiten und Vermutungen wegfallen.
Wie das aussieht, sehen Sie auf dem folgenden Screenshot.
Wie können Nutzer ihre Online-Privatsphäre schützen?
Informierte Verbraucher sind besser in der Lage, ihre persönlichen Daten beim Surfen im Internet zu schützen.
Die Nutzer können ihre Privatsphäre online durch folgende Maßnahmen schützen:
- Verwenden Sie komplexe, unterschiedliche Passwörter für Ihre verschiedenen Konten und ändern Sie diese regelmäßig.
- Richten Sie in Ihrem bevorzugten Browser die globalen Datenschutzeinstellungen ein.
- Verwenden Sie Malware-Tools, führen Sie häufig Scans durch, und halten Sie diese Tools auf dem neuesten Stand.
- Machen Sie sich mit gängigen Cybersecurity-Kriminalität und Techniken zur Vermeidung von Betrug vertraut.
- Klicken Sie nicht auf unsichere E-Mail- oder Text-Links.
- Nutzen Sie die Multifaktor-Authentifizierung und biometrische Anmeldungen, sofern verfügbar.
- Geben Sie nicht mehr persönliche Informationen als nötig an.
- Verwenden Sie nur zuverlässige, vertrauenswürdige Websites, Anwendungen und Plattformen.
- Informieren Sie sich über Ihre Datenschutzrechte und die Gesetze, die sie schützen.
Zusammenfassung
Der Datenschutz sollte für jedes Unternehmen, das personenbezogene Daten von Verbrauchern sammelt, verarbeitet und nutzt, oberste Priorität haben.
Unternehmen profitieren von der Erhebung personenbezogener Nutzerdaten, und um diese nachhaltig nutzen zu können, müssen Sie sie vor den Händen böswilliger Akteure schützen und sie nur auf verantwortungsvolle, sichere und rechtskonforme Weise verwenden.
Setzen Sie den Datenschutz mit Leichtigkeit in den Vordergrund, indem Sie die von Termly angebotenen Compliance-Lösungen, Richtliniengeneratoren und Ressourcen nutzen und sich den Millionen von Unternehmen anschließen, die das Internet zu einem sichereren Ort für uns alle machen.
