Die letzte Datenschutzwoche präsentierte die Erkenntnisse von Experten und beleuchtete die Datenschutzprobleme, die Regulierungsbehörden und Datenschutzteams im Jahr 2023 wahrscheinlich am meisten beschäftigen werden.
Zu den dringendsten Problemen im Jahr 2023 zählen unter anderem die folgenden:
1 – Sensible Daten
Strenger und umfassender
Der Einsatz biometrischer Daten (wie Fingerabdrücke und Gesichtserkennung), Gesundheitsdaten und Geolokalisierung zu Identifikations- und Sicherheitszwecken wird in verschiedenen Branchen immer häufiger eingesetzt, darunter Finanzen, Gesundheitswesenund Strafverfolgungsbehörden.
Diese Technologien haben das Potenzial, Sicherheit und Komfort zu verbessern, werfen aber auch erhebliche Datenschutzbedenken auf. Als Reaktion darauf erlassen Regierungen weltweit strengere Vorschriften und Gesetze zur Nutzung von Biometrie, Gesundheitsdaten und Geolokalisierungsdaten.
Wir beobachten strengere Maßnahmen, präzisere Vorschriften und eine größere Anzahl von Gesetzentwürfen. Daher können wir im Jahr 2023 mit verstärkten Bemühungen rechnen, die Erhebung, Speicherung und Nutzung dieser Daten zu kontrollieren und die Datenschutzrechte des Einzelnen zu schützen.
2 – Daten von Kindern
Machen Sie sich mit COPPA vertraut
Das Gesetz zum Schutz der Online-Privatsphäre von Kindern ist ein Bundesgesetz in den Vereinigten Staaten, das die Erfassung personenbezogener Daten von Kindern unter 13 Jahren regelt – und es nimmt immer schneller zu!
Die Durchsetzung von COPPA hat in den letzten Jahren zugenommen, wobei Unternehmen, die gegen das Gesetz verstoßen, hohe Geldstrafen auferlegt werden, wie zum Beispiel die $170 Millionen Geldstrafe von der FTC an Google herausgegeben.
Zusätzlich zu COPPA hat Kalifornien auch das Altersgerechter Designcode, das 2024 in Kraft treten soll. Dieses Gesetz verpflichtet Unternehmen dazu, besondere Datenschutzmaßnahmen zu ergreifen, wenn sie wissen, dass ihre Dienste voraussichtlich von Kindern unter 18 Jahren genutzt werden.
Dazu gehört die Bereitstellung von Datenschutzrichtlinien, die für Kinder leicht verständlich sind, die Einholung einer nachweisbaren elterlichen Zustimmung vor der Erhebung personenbezogener Daten und die Bereitstellung einer Möglichkeit für Eltern, die personenbezogenen Daten ihrer Kinder zu überprüfen und zu löschen. Daher ist damit zu rechnen, dass 2023 weitere Gesetzesentwürfe zum Schutz der Online-Privatsphäre von Kindern eingebracht werden.
Diese Gesetzesentwürfe können Auslöser wie „möglicherweise Zugriff durch ein Kind unter 18 Jahren“ enthalten, um sicherzustellen, dass Unternehmen angemessene Datenschutzmaßnahmen ergreifen, wenn Kinder ihre Dienste nutzen. Die Gesetze sollen auch sicherstellen, dass personenbezogene Daten von Kindern nicht von den Unternehmen, die sie sammeln, missbraucht werden.
3 – Mitarbeiterdaten
Arbeitnehmerdatenrechte gewinnen in der Landesgesetzgebung an Bedeutung
In Kalifornien werden Arbeitnehmern bestimmte Rechte als Verbraucher eingeräumt und andere Bundesstaaten ziehen nach, indem sie Gesetze erlassen, die Arbeitnehmerdaten in verschiedenen Bereichen schützen, beispielsweise beim Einsatz von KI am Arbeitsplatz und beim Zugriff auf persönliche Konten.
Es ist jedoch von entscheidender Bedeutung, sich der möglichen unbeabsichtigten Verwendung von Mitarbeiterdaten bewusst zu sein und die notwendigen Maßnahmen zu ergreifen, um vertrauliche Informationen zu schützen und eine unrechtmäßige Verwendung dieser Daten – wie etwa den Verkauf von Mitarbeiterdaten – zu verhindern.
Unternehmen sollten sicherstellen, dass sie diese Gesetze einhalten und robuste Sicherheitsmaßnahmen zum Schutz der Mitarbeiterdaten implementieren.
Mitarbeiter aktiv informieren
Darüber hinaus sollten die Mitarbeiter über ihre Rechte und die Art und Weise informiert werden, wie ihre Daten vom Unternehmen erhoben, verwendet und gespeichert werden.
Dies beinhaltet Transparenz darüber, welche Daten erfasst werden und warumsowie die Recht der Mitarbeiter auf Zugriff, Korrektur und Löschung ihrer personenbezogenen Daten.
4 – Datenminimierung
Daten minimieren, Privatsphäre maximieren
Die Minimierung von Daten ist für Regulierungsbehörden in den USA und Europa ein wachsendes Anliegen.
Die FTC hat Maßnahmen gegen Unternehmen ergriffen wie CafePress und Drizly für die Nichtbefolgung von Datenminimierungspraktiken, die die Auswirkungen der erlittene Verstöße (1) (2).
Jetzt abholen, benachrichtigen und später auswählen?
Denken Sie noch einmal darüber nach.
Sogar 34 Generalstaatsanwälte Die Unternehmen sind sich einig, dass der Ansatz, Informationen jetzt zu sammeln und später Benachrichtigungen und Optionen bereitzustellen, nicht mehr akzeptabel ist. Dies war beispielsweise bei JUUL Labs der Fall – dem Hersteller der beliebten E-Zigarettenmarke wurde vorgeworfen, gegen mehrere Datenschutzgesetze verstoßen zu haben, insbesondere gegen die „Erhebung personenbezogener Daten seiner Kunden, einschließlich Namen, Adressen und Geburtsdaten, ohne deren ordnungsgemäße Einwilligung“.
Darüber hinaus wurde JUUL vorgeworfen, diese Daten für gezielte Marketingkampagnen zu verwenden, die sich an junge Menschen richten, obwohl die Produkte des Unternehmens nur für die Verwendung durch Erwachsene über 21 Jahren bestimmt sind.
5 – Offenlegung und dunkle Muster
Ist Ihre Online-Datenschutzkonformität aufgrund dunkler Muster gefährdet?
Die Regulierungsbehörden auf beiden Seiten des Atlantiks konzentrieren sich darauf, die Transparenz bei Online-Informationen zu verbessern und die Verbraucher vor „dunklen Mustern“ zu schützen.
Moment mal, was genau sind „Dark Patterns“?
Dark Patterns sind Benutzeroberflächen, die darauf ausgelegt sind, Benutzer auszutricksen oder in die Irre zu führen, damit sie bestimmte Entscheidungen treffen oder persönliche Informationen preisgeben, ohne dass diese dies vollständig verstehen oder ihre Zustimmung geben.
Beispiele für Dark Patterns sind etwa die Verwendung von „kann“ statt „wird“, um eine Anfrage weniger eindeutig klingen zu lassen, die Verwendung von Aufzählungslisten, um wichtige Informationen zu verschleiern, und die Schaffung irreführender Benutzererfahrungen, die es Benutzern erschweren, die Auswirkungen ihrer Entscheidungen zu verstehen.
Erfahren Sie, wie Sie diese Fallstricke bei Ihrem Online-Erlebnis erkennen und vermeiden können
Um dunkle Muster im Datenschutz zu vermeiden, ist es wichtig, sich der gängigen Praktiken bewusst zu sein, mit denen Einzelpersonen dazu manipuliert werden, ihre persönlichen Daten preiszugeben oder Bedingungen zuzustimmen, die sie möglicherweise nicht vollständig verstehen.
Einige Beispiele für diese Methoden sind:
- Es ist schwierig, die Opt-out-Option zu finden oder zu verstehen
- Vorauswahl von Optionen, die die Interessen des Unternehmens gegenüber den Interessen des Benutzers bevorzugen
- Verwendung einer schwer verständlichen oder irreführenden Sprache
- Verschleierung des wahren Zwecks einer Anfrage nach persönlichen Informationen
Die Regulierungsbehörden arbeiten daran, sicherzustellen, dass diese Praktiken nicht dazu genutzt werden, Verbraucher in die Irre zu führen und ihnen die Informationen bereitzustellen, die sie benötigen, um fundierte Entscheidungen über ihre persönlichen Daten zu treffen.
6 – Zustimmung
Die Zustimmung im DSGVO-Stil wird bleiben
Die aktuellen Datenschutzgesetze der Bundesstaaten sowie neue Gesetzesvorschläge übernehmen eine Einwilligung im Stil der DSGVO (die eine spezifische, freiwillige, informierte und eindeutige Einwilligung erfordert).
Dies bedeutet, dass Unternehmen die Nutzung ihrer Dienste nicht mehr davon abhängig machen können, dass Daten erhoben und verwendet werden, die für die Erbringung der Dienstleistung nicht erforderlich sind.
Stattdessen müssen Unternehmen nun von Einzelpersonen die ausdrückliche Einwilligung zur Verwendung ihrer personenbezogenen Daten einholen.
Dies stellt einen erheblichen Wandel in der Art und Weise dar, wie Unternehmen mit dem Datenschutz umgehen sollten, und erfordert eine Änderung ihrer Geschäftspraktiken.
7 – Über die „Offenlegung“ hinausgehen
Anpassung an die „Erwartungen der Verbraucher“
Die Erwartungshaltung der Verbraucher und die Zweckbestimmung sind ein wesentlicher Aspekt der Datenschutzbestimmungen und eng mit dem Konzept der Offenlegung verknüpft. Sie gehen jedoch über die bloße Information der Verbraucher über die Verwendung ihrer personenbezogenen Daten hinaus.
Es geht auch darum, sicherzustellen, dass die Weiterverwendung personenbezogener Daten mit den Erwartungen der Verbraucher vereinbar ist. Das bedeutet, dass Unternehmen ihre Verwendung personenbezogener Daten an den vernünftigen Erwartungen der Verbraucher ausrichten müssen.
Missbrauchen Sie keine Zweitverwendung
Die irische Datenschutzkommission hat Maßnahmen ergriffen in der Meta-Fälle, wo festgestellt wurde, dass Unternehmen personenbezogene Daten für Zwecke verwendeten, die nicht den Erwartungen der Verbraucher entsprachen.
Ebenso enthält das kalifornische Datenschutzgesetz eine detaillierte Liste von Bestimmungen, die die Vereinbarkeit der sekundären Verwendung personenbezogener Daten regeln.
Es ist wichtig zu beachten, dass Verbraucher das Recht haben zu erfahren, wie ihre persönlichen Daten verwendet werden, und dass sie erwarten können, dass diese in einer Weise verwendet werden, die ihren Erwartungen entspricht.
Unternehmen sollten hinsichtlich ihrer Richtlinien zur Datenerfassung und -verwendung transparent sein und personenbezogene Daten nicht für unerwartete oder unerwünschte Zwecke verwenden.
8 – KI
Die Durchsetzung von KI nimmt zu
Noch immer in der Vorschlagsphase, KI-Gesetz Es wird erwartet, dass es den Standard für die KI-Regulierung in der EU setzt und einen erheblichen Einfluss darauf haben könnte, wie KI auf dem gesamten Kontinent entwickelt und eingesetzt wird.
Frankreich, Niederlande und Norwegen
In Frankreich und den Niederlanden werden Task Forces gebildet:
- In Frankreich heißt die Task Force „Nationaler KI-Rat“ und soll für die Schaffung eines Rechtsrahmens für die Entwicklung und Nutzung von KI verantwortlich sein.
- In den Niederlanden wird sich die „AI Coalition“ darauf konzentrieren, sicherzustellen, dass KI auf verantwortungsvolle und ethische Weise entwickelt und eingesetzt wird.
- Von beiden Arbeitsgruppen wird erwartet, dass sie eng mit der Industrie, der Wissenschaft und der Regierung zusammenarbeiten, um Vorschriften und Richtlinien für den sicheren und verantwortungsvollen Einsatz von KI zu entwickeln.
Norwegen hat ein Transparenzgesetz zur KI veröffentlicht. Das vorgeschlagene Gesetz verfolgt einen risikobasierten Ansatz für den Einsatz von KI und legt unterschiedliche Anforderungen fest, die sich nach dem mit der spezifischen Nutzung des jeweiligen KI-Systems verbundenen Risiko richten.
New York und New Jersey
Beide Staaten führten Rechnungen KI im Einstellungsprozess zu regulieren. Diese Gesetzesentwürfe zielen darauf ab, Bedenken hinsichtlich möglicher Voreingenommenheit und Diskriminierung bei der Nutzung KI-gestützter Einstellungstools auszuräumen und Transparenz und Rechenschaftspflicht bei der Nutzung dieser Technologien zu gewährleisten – um Bewerber vor Diskriminierung und Voreingenommenheit zu schützen.
9 – Risikobewertungen, Datenschutz-Folgenabschätzungen
Jetzt starten, später iterieren
Es ist wichtig, mit der Durchführung einer Datenschutz-Folgenabschätzung (DSFA) so schnell wie möglich, auch wenn es dafür noch keine Regelungen gibt.
Obwohl die CPRA derzeit keine Regelungen für Datenschutz-Folgenabschätzungen hat, Colorado hat einen Verordnungsentwurf.
Es ist besser, jetzt mit der Arbeit an einer Datenschutz-Folgenabschätzung zu beginnen und Anpassungen vorzunehmen, wenn sich die Vorschriften weiterentwickeln.
10 – Grenzen überschreiten
Noch immer nicht aus dem Schneider
Es ist wichtig, die Grundsätze des EU-US-Datenschutzrahmens um die Einhaltung der Vorschriften sicherzustellen und die notwendigen Schritte für die Zertifizierung oder Rezertifizierung zu verstehen, unabhängig von der Fall Schrems.
Hier bei BigIDWir werden diese anhaltenden Herausforderungen genau beobachten und Unternehmen weiterhin dabei helfen, sich an die sich ständig verändernde Datenschutzlandschaft anzupassen.
In der Zwischenzeit – siehe BigID in Aktionund Vereinbaren Sie eine Demo, um mit unseren Datenschutzexperten zu sprechen Dies wird Ihnen dabei helfen, Datenschutzanforderungen zu erfüllen, hochsensible Informationen zu schützen und weiterhin das Vertrauen der Verbraucher aufzubauen.
Mitwirkende Autoren:
Shiko Genossar, Sr. Produktmanager
Heather Federman, Datenschutzbeauftragte
Tomer Elias, Direktor für Produktmanagement
Autor
