Im letzten Beitrag haben wir beleuchtet, was PIPEDA und CPPA eigentlich sind. Nun wollen wir uns hier genauer anschauen was ein Webseitenbetreiber in Sachen Cookie Zustimmung, Datenschutzrichtlinien und sonstigen Dingen zu beachten hat.
Cookie Consent in der PIPEDA
Einverständnis zur Erfassung personenbezogener Daten in PIPEDA
Informationen über die Erhebung, Verwendung und Weitergabe von personenbezogenen Daten müssen in vollständiger Form zur Verfügung gestellt werden. Um das Verständnis für Cookie Consent in der Pipeda zu erleichtern, sollten einige Elemente stärker betont werden.
Der Personal Information Protection and Electronic Documents Act verlangt, dass der Verbraucher die Art und den Zweck dessen, wozu er seine Zustimmung per Cookie Consent in der PIPEDA gibt, schnell versteht. Damit eine Einwilligung als gültig und sinnvoll angesehen werden kann, müssen Organisationen auf umfassende und verständliche Weise über ihre Datenschutzpraktiken informieren. Das bedeutet wiederum, dass Unternehmen Informationen über ihre Datenschutzpraktiken in einer Form zur Verfügung stellen müssen, die für interessierte Personen leicht zugänglich ist.
Leider sieht die Realität oft so aus, dass wichtige Informationen zu Datenschutzrichtlinien in den Geschäftsbedingungen vergraben sind. Wer nur wenig Zeit und Energie für die Überprüfung der Datenschutzinformationen aufwenden kann, zieht aus der Informationsflut, keinen praktischen Nutzen. Um eine sinnvolle Zustimmung zu erhalten, müssen Organisationen es dem Besucher einer Webseite ermöglichen, die Schlüsselelemente von Datenschutzentscheidungen schnell und direkt zu überprüfen. Dies ist zum Beispiel von Bedeutung, wenn die Nutzung des angebotenen Dienstes oder Produkts den Kauf oder das Herunterladen einer App oder einer anderen Anwendung voraussetzt.
Verbraucher und Kunden erwarten, dass ihre persönlichen Daten auch bei einem Cookie Consent in der PIPEDA nicht ohne ihr Wissen und ihre Zustimmung an eine andere Organisation weitergegeben werden. Auch dieser Aspekt ist beim Cookie Consent in der PIPEDA zu beachten. Aus diesem Grund muss die Weitergabe an Dritte klar angezeigt werden. Besonderes Augenmerk sollte auf die Weitergabe an Dritte gelegt werden, die die Informationen für ihre eigenen Zwecke verwenden können, im Gegensatz zur einfachen Bereitstellung von Dienstleistungen.
Für welche Zwecke werden personenbezogene Daten gesammelt, verwendet oder weitergegeben? Kunden und Verbraucher sind über alle Zwecke, für die Informationen gesammelt und verwendet werden, zu informieren. Sie müssen verstehen können, wozu sie um ihre Zustimmung gebeten werden. Dieser Zweck sollte in einer einfachen Sprache beschrieben werden. Vage Absichten und Formulierungen wie „Service-Optimierung“ sind zu vermeiden. Was für die Erbringung eines Dienstes wesentlich ist, sollte unterschieden werden von Daten, die es nicht sind. Alle verfügbaren Optionen sollten eindeutig und offen erklärt werden.
Schäden und Folgen
Risiken bei Datenmissbrauch und Datenverlust
Wenn ein Unternehmen oder eine Organisation potenzielle Szenarien für Nachteile entwirft, die aus der Sammlung, Verwendung oder Offenlegung von persönlichen Daten entstehen können, verlangt es der Personal Information Protection and Electronic Documents Act, dass dieses Risiko verantwortlich zu minimieren ist. In einigen Fällen können proaktive Anstrengungen zur Risikominderung das Risiko erheblich reduzieren. In anderen Fällen wird das Risiko jedoch fast unverändert bleiben.
Über bedeutsame Restrisiken mit signifikantem Schaden ist der Verbraucher immer zu informieren. Unter einem bedeutsamen Risiko versteht man im Sinne des Personal Information Protection and Electronic Documents Act ein Risiko, das mehr als eine minimale Wahrscheinlichkeit besitzt. Zu bedeutenden Schäden gehören körperliche Schäden, Demütigungen, Rufschädigung, Verlust von Arbeitsplätzen, Geschäfts- oder Berufschancen und finanzielle Verluste.
Auch Identitätsdiebstahl und negative Auswirkungen auf die Bonität sind zu diesen Risiken zu zählen. Das Risiko eines Schadens sollte daher weit gefasst werden. Neben Schäden, die sich direkt einstellen, sind vernünftigerweise auch absehbare Schäden einzuschließen, die durch böswillige Akteure oder andere verursacht werden können.
Bieten Sie Einzelpersonen klare Möglichkeiten, „Ja“ oder „Nein“ zu sagen.
Vor der Nutzung eines Produkts oder einer Dienstleistung muss der Verbraucher eine Wahlmöglichkeit haben. Diese Wahlmöglichkeit muss klar erklärt und leicht zugänglich gemacht werden. Ob jede Wahlmöglichkeit am besten als „Opt-in“ oder „Opt-out“ zu bezeichnen ist, hängt von den Faktoren ab, die mit dem Cookie Consent in Pipeda gegeben sind.
Seien Sie innovativ und kreativ
Organisationen sollten innovative Einwilligungsprozesse für den Cookie Consent in der PIPEDA entwerfen und/oder einführen, die just-in-time implementiert werden können, kontextspezifisch sind und zur Art der verwendeten Schnittstelle passen.
Cookie Consent in der PIPEDA
Eine informierte Einwilligung in Form eines Cookie Consent in der PIPEDA ist ein fortlaufender Prozess, der sich mit den sich ändernden Umständen verändert; Organisationen sollten sich nicht auf einen statischen Zeitpunkt verlassen, sondern die Einwilligung als einen dynamischen und interaktiven Prozess behandeln.
Änderungen in der Datenschutzverordnung
Wenn eine Organisation plant, wesentliche Änderungen an ihren Datenschutzpraktiken nach der DSGVO für Kanada vorzunehmen, muss sie die Nutzer benachrichtigen und ihre Zustimmung einholen, bevor die Änderungen in Kraft treten. Wesentliche Änderungen umfassen die Verwendung personenbezogener Daten für einen neuen Zweck, der ursprünglich nicht vorgesehen war, oder eine neue Weitergabe personenbezogener Daten an Dritte für einen anderen Zweck als die Verarbeitung, die für die Erbringung einer Dienstleistung erforderlich ist.
An Datenschutz erinnern
Unternehmen sollten in Betracht ziehen, Einzelpersonen regelmäßig gemäß der DSGVO für Kanada an ihre Datenschutzoptionen zu erinnern und sie aufzufordern, diese zu überprüfen. Schließlich sollten Organisationen als bewährte Praxis ihre Informationsmanagement-Praktiken regelmäßig überprüfen, um sicherzustellen, dass personenbezogene Daten weiterhin so gehandhabt werden, wie es dem Einzelnen beschrieben wurde.
Compliance demonstrieren
Organisationen sollten, wenn sie gefragt werden, in der Lage sein, die Einhaltung der Vorschriften nachzuweisen, und insbesondere, dass der von ihnen implementierte Einwilligungsprozess aus der allgemeinen Perspektive ihrer Zielgruppe(n) ausreichend verständlich ist, um eine gültige und sinnvolle Einwilligung zu ermöglichen.
Um eine aussagekräftige Einwilligung zu erhalten und ihre damit verbundenen Verpflichtungen gemäß dem kanadischen Datenschutzgesetz zu erfüllen, müssen Organisationen:
- Informationen zum Datenschutz in vollständiger Form bereitstellen und dabei vier Schlüsselelemente hervorheben bzw. darauf aufmerksam machen:
- Welche personenbezogenen Daten sollen gesammelt werden?
- Mit welchen Parteien werden personenbezogene Daten gemäß geteilt?
- Zu welchen Zwecken werden personenbezogene Daten gesammelt, verwendet oder weitergegeben?
- Was sind die Risiken für Schäden und anderen Konsequenzen?
- Form der Zustimmung – Cookie Consent in der PIPEDA
- Holen Sie die ausdrückliche Zustimmung für Sammlungen, Verwendungen oder Offenlegungen ein.
FAQ: PIPEDA
Die Datenschutzgesetze für den privaten Sektor verlangen von Unternehmen, dass sie leicht zugängliche Datenschutzrichtlinien erstellen und veröffentlichen. Hier ist darzulegen, wie persönliche Daten von Kunden gesammelt, verwendet und weitergegeben werden. Dies bedeutet weiterhin, dass die Datenschutzrichtlinien im Web zu veröffentlichen werden müssen, wenn das Unternehmen einen Onlineauftritt betreibt.
Der Personal Information Protection and Electronic Documents Act (PIPEDA) ist das Bundesgesetz zum Datenschutz für privatwirtschaftliche Organisationen. Es legt die Grundregeln dafür fest, wie Unternehmen mit persönlichen Informationen im Rahmen ihrer Geschäftstätigkeit umgehen müssen.
Der Personal Information Protection and Electronic Documents Act (PIPEDA) ist das Bundesgesetz zum Datenschutz für kommerziell tätige Organisationen in Kanada. PIPEDA dient dazu, Kanadas Meldepflichten mit den Handelspartnern des Landes, namentlich der EU, in Einklang zu bringen.
- Rechenschaftspflicht
- Zweckbindung
- Zustimmung
- Datenvermeidung und Datensparsamkeit
- Speicherung, Nutzung und Verarbeitung
- Richtigkeit
- Integrität und Vertraulichkeit
- Transparenz
- Auskunftsrecht
- Beschwerderecht
Die Gesetzesgrundlage für PIPEDA ist am 1. Januar 2004 in Kraft getreten. Der Personal Information Protection and Electronic Documents Act wurde erlassen, um den berechtigten Bedenken der Verbraucher beim Datenschutz zu begegnen und es der kanadischen Geschäftswelt zu ermöglichen, in der globalen digitalen Wirtschaft zu konkurrieren. Das politische Ziel der Reform ist es, Vertrauen in den elektronischen Handel aufzubauen.
Übersetzt bedeutet PIPEDA soviel wie Gesetz zum Schutz persönlicher Informationen und elektronischer Dokumente.
PIPEDA kommt für Organisationen und Unternehmen jeder Größe zur Anwendung. Die DSGVO für Kanada regelt hier die Erhebung, Nutzung und Weitergabe personenbezogener Daten – und das auch grenzüberschreitend.