Die Allgemeine Erklärung der Menschenrechte (AEMR), ein Meilenstein in der Geschichte der menschlichen Zivilisation, wurde 1948 in Paris von Vertretern verschiedener nationaler, kultureller und rechtlicher Hintergründe verfasst. Sie wurde in über 500 Sprachen übersetzt und beschreibt die grundlegenden Menschenrechte, die universell geschützt werden sollten. Die AEMR ist eine lange und faszinierende Lektüre, aber wir werden einen bestimmten Artikel der AEMR hervorheben, der sich auf das Recht des Einzelnen auf Privatsphäre bezieht:
Artikel 12 der Allgemeinen Erklärung der Menschenrechte heißt es:
Niemand darf willkürlichen Eingriffen in sein Privatleben, seine Familie, seine Wohnung oder seinen Schriftverkehr sowie Angriffen auf seine Ehre und seinen Ruf ausgesetzt werden. Jeder hat Anspruch auf den Schutz des Gesetzes gegen solche Eingriffe oder Angriffe".
Glücklicherweise beginnen die Regierungen weltweit, den Datenschutz sehr ernst zu nehmen. Die oft öffentlichkeitswirksame Reihe verheerender Datenschutzverletzungen in den letzten Jahren hat zur Einführung neuer, strengerer Vorschriften darüber geführt, wie Unternehmen Verbraucherdaten erfassen, speichern und verarbeiten. In der EU trat 2018 die Allgemeine Datenschutzgrundverordnung (DSGVO) in Kraft und stellte damit einen Meilenstein dar, der die Praktiken in allen Branchen in ihren Grundfesten erschütterte. Sie verbesserte die alten Datenschutzvorschriften, indem sie strengere Anforderungen an die IT-Verfahrensdokumentation stellte, die Durchführung von Risikobewertungen unter bestimmten Bedingungen vorschrieb, Verbraucher und Behörden bei Datenschutzverletzungen benachrichtigte und die Unternehmen generell dazu zwang, ihren Bedarf an Verbraucherdaten zu minimieren.
Zwei Jahre später, im Jahr 2020, trat der California Consumer Privacy Act (CCPA) in Kraft. Es ist der DSGVO sehr ähnlich und hat eine ähnlich große positive Auswirkung auf den Verbraucherdatenschutz - nicht nur im Bundesstaat Kalifornien (wo viele Tech-Unternehmen wie Facebook und Google ihren Sitz haben), sondern in den gesamten Vereinigten Staaten.
Die Allgemeine Datenschutzgrundverordnung (DSGVO) ist eine Verordnung des EU-Rechts zum Datenschutz und zum Schutz der Privatsphäre in der Europäischen Union (EU) und dem Europäischen Wirtschaftsraum (EWR). Sie regelt auch die Übermittlung personenbezogener Daten außerhalb der EU und des EWR. Ihr Ziel ist es, die Kontrolle und die Rechte von Einzelpersonen (in der DSGVO formell als betroffene Personen bezeichnet), die im EWR ansässig sind, über ihre personenbezogenen Daten zu stärken. Sie umfasst Bestimmungen und Anforderungen im Zusammenhang mit der Verarbeitung personenbezogener Daten dieser Personen (d. h. der betroffenen Personen) und gilt für jedes Unternehmen, das Daten von EWR-Bürgern verarbeitet - unabhängig von seinem Standort und der Staatsangehörigkeit oder dem Wohnsitz der betroffenen Personen.
Die Allgemeine Datenschutzgrundverordnung (GDPR) dient als umfassende Überarbeitung der zuvor geltenden Datenschutzvorschriften und zwang europäische Unternehmen, ihre Abläufe zu aktualisieren (und in einigen Fällen komplett zu überarbeiten). Viele Unternehmen mussten ihr Produktdesign, ihre Dienstleistungen und ihr Branding ändern. Heute vermitteln diese sieben zentralen DSGVO-Grundsätze den Geist und den Denkprozess hinter den besten Praktiken der Datenverarbeitung:
Unternehmen, die personenbezogene Daten verarbeiten, müssen einen guten Grund dafür haben. Die DSGVO nennt diesen Grundsatz "Rechtmäßigkeit". Gültige Gründe für die Verarbeitung von Daten sind unter anderem:
Das Konzept der Fairness bedeutet, dass Unternehmen nicht absichtlich Informationen darüber zurückhalten sollten, was oder warum sie Daten sammeln. Mit anderen Worten: Die Nutzer sollten nicht überrascht sein, wenn sie erfahren, wie ihre Daten verwendet werden. Fairness bedeutet, dass das Unternehmen die gesammelten Daten nicht falsch handhabt oder missbraucht.
Transparenz bedeutet, dass die betroffenen Personen klar, offen und ehrlich darüber informiert werden, warum und wie sie die personenbezogenen Daten der Verbraucher verarbeiten.
Der zweite Grundsatz besagt, dass private Daten "nur für festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden". Mit anderen Worten: Der Zweck (der Grund) für die Verarbeitung von Verbraucherdaten durch ein Unternehmen muss in einem Datenschutzhinweis, der auf dem Bildschirm erscheint, klar angegeben werden. Wenn das Unternehmen irgendwann in der Zukunft Daten, die es gesammelt hat, für einen neuen Zweck verwenden will, der mit dem ursprünglich angegebenen Zweck nicht vereinbar ist, muss es ausdrücklich um Zustimmung bitten.
Unternehmen dürfen nur die geringste Menge an Daten erheben, die sie zur Erfüllung ihrer Geschäftszwecke benötigen. Wenn ein Unternehmen beispielsweise Abonnenten für seinen E-Mail-Newsletter gewinnen möchte, sollte es nur Daten erfragen, die für den Versand des Newsletters erforderlich sind. Das Anfordern anderer personenbezogener Daten (z. B. Telefonnummern oder Privatadressen), die nicht direkt mit dem Versand von E-Mails zusammenhängen, ist verboten.
Es ist Aufgabe des Unternehmens, die Richtigkeit der erhobenen und gespeicherten Daten zu gewährleisten. Das Unternehmen muss für die Korrektur, Aktualisierung oder Löschung eingehender falscher Daten sorgen.
Das Unternehmen muss rechtfertigen, wie lange es die einzelnen Daten auf seinen Servern aufbewahrt. Dies geschieht in der Regel über vorher festgelegte Datenaufbewahrungsfristen. Nach der DSGVO müssen Unternehmen einen Standardzeitraum einführen, nach dem sie alle Daten, die nicht aktiv genutzt werden, anonymisieren.
Die Unternehmen sollten die Integrität und Vertraulichkeit der von ihnen erhobenen Daten wahren. Daraus wird abgeleitet, dass diese Praxis die Daten vor internen oder externen Bedrohungen schützt und sie effektiv vor unbefugter oder unrechtmäßiger Verarbeitung, versehentlichem Verlust oder Schaden bewahrt.
Natürlich kann jede Organisation den DSGVO-Regulierungsbehörden versichern, dass sie all diese neuen Regeln strikt befolgt, selbst wenn sie es nicht tut. Deshalb ist ein gewisses Maß an Rechenschaftspflicht erforderlich. Die Unternehmen müssen Protokolle und Unterlagen aufbewahren, um zu beweisen, dass sie die Vorschriften einhalten.Den Aufsichtsbehörden steht es frei, jederzeit die Vorlage dieser Nachweise zu verlangen.
Das kalifornische Gesetz zum Schutz der Privatsphäre von Verbrauchern (California Consumer Privacy Act, CCPA) gilt für in Kalifornien ansässige, gewinnorientierte Unternehmen, die personenbezogene Verbraucherdaten erheben, d. h. für alle großen Technologieunternehmen in und um das Silicon Valley, die Online-Produkte oder -Dienstleistungen anbieten. Das Gesetz, das sich stark an die europäischen DSGVO-Grundsätze anlehnt, ist Teil eines weltweiten Trends, der Unternehmen zu mehr Verantwortlichkeit bei der Erfassung, Speicherung und Handhabung von Verbraucherdaten drängt. Es gibt zwar feine Unterschiede zwischen dem CCPA und der DSGVO, aber die Ähnlichkeiten sind weitaus größer. Beide räumen den einzelnen Nutzern bestimmte Rechte in Bezug auf die Art und Weise der Erhebung und Verwendung ihrer personenbezogenen Daten ein. Beide fördern die Transparenz und verpflichten die Unternehmen, ihre Kunden über Datenschutzverletzungen zu informieren.
Das CCPA ermutigt die in Kalifornien ansässigen Unternehmen, ihre Dienstleistungen und die von ihnen erhobenen Daten besser zu schützen und transparenter zu gestalten. Außerdem gibt der CCPA den Kaliforniern das Recht auf:
Darüber hinaus verbietet der CCPA den Unternehmen den Verkauf personenbezogener Daten von Verbrauchern im Alter von 13 bis 16 Jahren (es sei denn, der Verbraucher stimmt dem zu). Für Verbraucher unter 13 Jahren ist die Zustimmung eines Elternteils oder Erziehungsberechtigten erforderlich.
