Datenschutz: Jahresrückblick 2015

Wenn wir auf das neue Jahr blicken, ist eines klar: Im Jahr 2016 müssen Werbetreibende und Vermarkter ihr Spiel verbessern, wenn es darum geht, mit dem Endbenutzer in Kontakt zu treten. Die Herausforderung? Erstellen von Erlebnissen, die die individuellen Datenschutzrechte respektieren und den Endbenutzer bei der Stange halten.

Es ist also ein guter Zeitpunkt, einen Schritt zurückzutreten und darüber nachzudenken, ob Ihre bestehenden Datenpraktiken das Vertrauen Ihrer Benutzer vertiefen oder verletzen. Und denken Sie daran – Sie müssen all dies zu einem Zeitpunkt herausfinden, an dem sich Einzelpersonen in Rekordzahlen von Online-Werbung abmelden, da sich die Spielregeln weiterhin drastisch ändern.

Hier sind die wichtigsten Erkenntnisse zum Thema Datenschutz aus dem Jahr 2015:

Verbraucher, Datenschutzeinstellungen und Werbeblocker

Im Jahr 2015 entwickelten sich Bedenken hinsichtlich des Datenschutzes der Verbraucher – von einer allgemeinen Angst vor staatlicher Überwachung und kommerzieller Verfolgung bis hin zu spezifischen Bedenken darüber, ob personenbezogene Daten erfasst, verwendet und gespeichert werden.

In einer Pew Trust-Umfrage vom März 2015 gaben die Teilnehmer an, dass sie sich zwar immer noch Sorgen um die staatliche Überwachung in der Post-Snowden-Ära machten, aber ebenso besorgt über die Datenerfassung und -nutzung durch private, kommerzielle Akteure. Genauer gesagt zeigten Pew-Teilnehmer ein ausgeprägtes Misstrauen gegenüber Online-Werbung – 76 % der befragten Erwachsenen gaben an, dass sie nicht „völlig zuversichtlich“ seien, dass „Aufzeichnungen ihrer Aktivitäten, die von den Online-Werbetreibenden geführt werden, die Anzeigen auf den von ihnen besuchten Websites schalten, privat und sicher bleiben “.

Gibt es einen Zusammenhang zwischen den in der Pew-Umfrage geäußerten Einstellungen und der größten Sorge, mit der digitale Medien 2015 konfrontiert waren – nämlich dem kometenhaften Aufstieg und der Einführung von Werbeblocker-Technologie?

Foto von Spoon Agency

Die Zahlen scheinen darauf hinzudeuten. Der Handelsverband für Online-Publisher, Digital Content Next (DCN), veröffentlichte Ergebnisse einer Umfrage , die ergab, dass über ein Drittel der US-Verbraucher in den nächsten drei Monaten Werbeblocker ausprobieren werden, und etwa die Hälfte dieser Zahl wird sich schließlich abmelden von interessenbezogener Werbung insgesamt.

Und diese Zahlen werden wahrscheinlich weiter steigen, da Apple eine Funktion in iOS 9 veröffentlicht, mit der Benutzer mobile Werbeblocker aktivieren können – eine etwas umständliche Benutzererfahrung, da Sie eine Werbeblocker-App herunterladen müssen, um diese Blockierung zu nutzen Feature (und wahrscheinlich einer der Gründe für die Rekordzahlen von Adblocker-App-Downloads nach der Veröffentlichung von iOS 9).

Wegbringen?

Sehen Sie sich Ihre Datenschutzerklärungen und Hinweise genau an. Glauben Sie, dass sie einen klaren Überblick darüber geben, warum und wie Sie Daten vom Endbenutzer sammeln und verwenden? Vielleicht ist es an der Zeit, mit Ihrer Datenschutzrichtlinie kreativ zu werden und über eine nachzudenken, die Sound, Grafiken oder sogar Animationen in das Format integriert. Eine Datenschutzrichtlinie, die Ihren Benutzern Ihren Wert in verständlicher Form erklärt und die Erwartungen an die Datennutzung und -weitergabe regelt, sollte dazu beitragen, Rekordzahlen für Opt-outs abzuwehren. Und natürlich möchten Sie Ihre Datenschutzrichtlinie kontinuierlich aktualisieren und die Benutzer über wichtige Änderungen auf dem Laufenden halten.

Der CEO von TUNE, Peter Hamilton, glaubt tatsächlich, dass das Blockieren von Anzeigen einen Vorteil hat – da die Verbraucher Ihnen im Wesentlichen sagen, was für sie nicht funktioniert, indem sie Ihre Anzeigen blockieren. Werfen Sie einen Blick auf seine Tipps zum Überdenken des digitalen Anzeigenerlebnisses in diesem Mediapost-Artikel vom Dezember .

Die FTC signalisiert auch 2015 eine starke Durchsetzung

2015 war ein arbeitsreiches und bedeutendes Jahr für die FTC.

Die Agentur hatte einen großen Erfolg, als ihre Datensicherheitsbehörde vom Third Circuit bestätigt wurde – ein hochkarätiger Fall, an dem Wyndham-Hotels beteiligt waren ( weitere Informationen zum Wyndham - Fall und seinen möglichen Auswirkungen finden Sie hier in meinem Blogbeitrag vom September ). Aber es erlitt auch einen Rückschlag, als ein Verwaltungsrichter seinen Datenschutzfall gegen LabMD abwies – mit der Begründung, dass die Behörde ein wichtiges Element eines FTC-Unfairness-Falls nicht beweisen konnte – dass das Fehlen von Sicherheitspraktiken „erhebliche Schäden“ verursachte oder wahrscheinlich verursachen würde an die Verbraucher“.

Die FTC setzte ihren Rekord als weltweit aktivste Datenschutzbehörde fort und erhob Klagen auf der Grundlage von Gesetzen wie dem Children's Online Privacy Protection Act (COPPA) und dem Fair Credit Reporting Act (FCRA) sowie unter den „täuschenden“ und „ Unfairness“-Behörde gemäß Abschnitt 5 des FTC-Gesetzes. Die FTC verfolgte auch mehrere politische Initiativen, darunter einen Workshop zum Cross-Device-Tracking (siehe die TUNE-Zusammenfassung hier ) und die Veröffentlichung von Agenturleitlinien zu nativer Werbung .

Einer der bedeutenderen Fälle im Zusammenhang mit dem App-Ökosystem waren die Klagen der FTC im Dezember 2015 gegen zwei Entwickler mobiler Apps wegen Verstößen gegen das COPPA. Dies sind einige der ersten Durchsetzungsmaßnahmen, die auf dem Austausch technischer oder „dauerhafter Kennungen“ – wie einer IDFA oder einer IP-Adresse – zwischen einem App-Entwickler und einem Werbenetzwerk basieren. Mit diesen Maßnahmen hat die FTC festgestellt, dass dauerhafte Kennungen wie eine Werbe-ID oder IP-Adresse „personenbezogene Daten“ darstellen – deren Erfassung, Verwendung oder Weitergabe eine Haftung von COPPA auslöst.

Wegbringen?

Diese FTC-Fälle erinnern uns daran, dass unabhängig davon, ob die Daten als persönlich oder materiell angesehen werden, es wichtig ist, die Datenerhebung, -verwendung und Verbraucherkontrollen (z Aktion. Darüber hinaus müssen Sie über Best Practices für den Datenschutz hinausdenken und sicherstellen, dass Sie alle Regeln befolgen, insbesondere wenn Sie Daten für Zwecke sammeln, die unter die bestehenden US-Gesetze fallen, z. B. Daten, die für Kredit-, Versicherungs- und Beschäftigungszwecke gemäß dem FCRA verwendet werden, und Daten, die von Kindern unter 13 Jahren für Marketingzwecke im Rahmen von COPPA erhoben wurden.

Änderungen der EU-Datenschutzvorschriften

2015 wurden einige wichtige Datenschutzanforderungen in Europa grundlegend überarbeitet.

Im Oktober hat der Europäische Gerichtshof das US-EU-Safe-Harbor-Abkommen für ungültig erklärt, das wichtigste Mittel, mit dem Unternehmen personenbezogene Daten für kommerzielle Zwecke aus der EU in die USA übertragen (mehr in diesem Update des Datenschutzteams von Hogan Lovells). Die Regulierungsbehörden der USA und der EU haben bis Ende Januar Zeit, um über ein neues US-EU-Safe-Harbor-Rahmenwerk zu entscheiden, das den Anforderungen des Gutachtens des Gerichtshofs entspricht.

Im Dezember einigten sich die Europäische Kommission, der Rat und das Parlament nach fast vierjährigen Verhandlungen auf ein überarbeitetes EU-Datenschutzgesetz oder die „DSGVO “ , das Unternehmen , die Daten von EU-Endnutzern sammeln, erhebliche Verpflichtungen auferlegen würde . Anders als das derzeitige EU-Recht gemäß den Richtlinien von 1995 und der ePrivacy-Richtlinie ist die DSGVO eine Verordnung, die in Kraft tritt, ohne dass zusätzliche Rechtsvorschriften zur Umsetzung durch die EU-Mitgliedstaaten erforderlich sind. Irgendwann im Jahr 2018 wird sie als EU-Recht durchsetzbar sein. Das bedeutet, dass Sie noch Zeit haben, die potenziellen Auswirkungen der DSGVO-Anforderungen auf Ihr Unternehmen einzuschätzen.

Hier sind vier der wichtigsten Entwicklungen, über die Sie nachdenken sollten:

1. Pseudonymisierte Daten sind jetzt für immer personenbezogene Daten.

Unter der DSGVO wurde die Definition von personenbezogenen Daten um technische Kennungen wie Anzeigen-IDs und IP-Adressen erweitert. Dies bringt das EU-Recht in Einklang mit der aktuellen FTC-Denkweise (wie zuvor in diesem Update besprochen). Das neue Gesetz stellt auch spezifische Anforderungen an Unternehmen, die Daten in „Profilen“ speichern. Darüber hinaus behandelt die DSGVO personenbezogene Daten immer so, als würden sie ihren personenbezogenen Charakter behalten – auch nachdem sie gehasht oder „pseudonymisiert“ wurden. Infolgedessen gelten die Verbraucherdatenschutzrechte, die traditionell nach EU-Recht für personenbezogene Daten galten (z. B. Benachrichtigung, Opt-out, Löschung, Aufbewahrung), nun auch für gehashte Daten.

Die Anforderung, dass Daten gehasht werden müssen, ist bereits eine aufkommende Best Practice für die Speicherung oder Übertragung von Daten, die für Marketingzwecke verwendet werden. Daher sollte die Branche zusammenarbeiten, um einen gemeinsamen Standard für die Sicherung pseudonymer Daten zu artikulieren und zu entwickeln, insbesondere da die DSGVO „Verhaltenskodizes“ der Branche vorsieht, um diese Art von Problemen anzugehen. Wir sehen in dieser Hinsicht bereits einige großartige Arbeit von Organisationen wie IAB UK und dem Future of Privacy Forum und freuen uns auf noch mehr Diskussionen im Jahr 2016 (Hinweis: TUNE arbeitet mit beiden Organisationen zusammen; wir sind auch Mitglied der FPF und nehmen an ihrem Beirat teil Tafel).

2. Erhöhte Haftung für Datenverarbeiter

Nach geltendem EU-Recht tragen Datenverantwortliche, die bestimmen, wie Daten verarbeitet werden, die primäre Haftung für Datenschutzverletzungen. Datenverarbeiter wie TUNE, die Daten auf Anfrage von Datenverantwortlichen verarbeiten, sind nicht primär haftbar, sofern sie bestimmte Anforderungen erfüllen (normalerweise festgehalten in einem „Datenverarbeitungszusatz“ zwischen dem Verantwortlichen und dem Auftragsverarbeiter).

Die DSGVO wird jedoch die Haftung für Datenverarbeiter erhöhen. Es besteht die Möglichkeit einer gesamtschuldnerischen Haftung für Datenverletzungen wie unbefugter Zugriff oder eine Datenschutzverletzung. In einigen Fällen könnte sich ein Datenverarbeiter in erster Linie für Datenverstöße haftbar machen – insbesondere wenn festgestellt wird, dass Mängel bei der Verarbeitung zu dem betreffenden Verstoß geführt haben oder wenn festgestellt wird, dass der Verarbeiter in einem bestimmten Fall eher wie ein Datenverantwortlicher gehandelt hat. Darüber hinaus müssen Datenverarbeiter „ Rechenschaftspflicht “ nachweisen. Und all dies wird noch bedeutsamer, wenn man bedenkt, dass die Aufsichtsbehörden gemäß der DSGVO Strafen von bis zu 4 % des weltweiten Jahresumsatzes eines Unternehmens verhängen können.

3. Für die meisten Arten von „Profiling“ ist eine Einwilligung erforderlich

Das neue EU-Gesetz verlangt, dass Sie die Zustimmung einer Person einholen, bevor Sie irgendein Profil für diesen Benutzer (oder seine Geräte) erstellen. Die einzigen Ausnahmen von dieser Regel sind die Verbrechensverhütung und -aufdeckung. Obwohl in früheren Entwürfen ein sehr unpraktikabler Standard der ausdrücklichen Zustimmung diskutiert wurde, sieht die endgültige Fassung des Gesetzes einen Standard der „eindeutigen“ Zustimmung vor. Es bleibt abzuwarten, wie hoch dieses Zustimmungsniveau tatsächlich sein wird, wenn es um Analysen oder andere Arten von Big-Data-Aktivitäten geht. Dies ist jedoch eine weitere Frage, die die Industrie hoffentlich durch einen Verhaltenskodex oder einen ähnlichen Stakeholder-Prozess beantworten kann.

4. KOPPA

Die DSGVO wird ein Datenschutzgesetz für Kinder enthalten, das dem US-amerikanischen COPPA-Gesetz ähnelt, obwohl unklar ist, wie die spezifischen Anforderungen aussehen werden. Die DSGVO legt das Einwilligungsalter auf 16 Jahre fest, aber einzelne EU-Datenschutzbehörden können dieses Alter auf 13 Jahre senken (das derzeit das Einwilligungsalter gemäß US COPPA ist).

Wegbringen?

Die DSGVO wird großen Einfluss darauf haben, wie Unternehmen mit EU-Bürgern Geschäfte machen . Viele der Anforderungen – rund um die Einwilligung, den Umgang mit pseudonymen Daten und Daten von Kindern – müssen noch festgelegt werden. Das neue Gesetz sieht jedoch auch vor, dass die Industrie durch Verhaltenskodizes, Zertifizierungen und andere Mechanismen eine Rolle spielen wird. Dies bedeutet, dass der Datenschutz-Think-Tank und die Branchenverbände eine wichtige Rolle spielen müssen, da sie Unternehmen dabei helfen, die neuen Anforderungen zu bewältigen und praktikable Standards zur Einhaltung des neuen Gesetzes vorzuschlagen. TUNE freut sich auf die Zusammenarbeit mit unseren bestehenden Verbandspartnern – dem Future of Privacy Forum , dem eDAA und dem Privacy Law Salon – bei einigen dieser Bemühungen im neuen Jahr.

Was ist Ihr Spielplan für 2016?

Vor diesem Hintergrund ist es ein guter Zeitpunkt, darüber nachzudenken, wie Sie Ihr Spiel im Jahr 2016 verbessern möchten. Ein neues Jahr bietet die Gelegenheit, die Benutzer erneut einzubeziehen und die Compliance neu zu gestalten, insbesondere angesichts der neuen DSGVO-Anforderungen, die sich am Horizont abzeichnen .

Bei TUNE werden wir unsere Aufklärungs- und Informationsarbeit im Jahr 2016 durch unsere Newsletter, Blogbeiträge und andere daten- und datenschutzbezogene Veranstaltungen fortsetzen. Wir werden uns auch mit Ihnen in Verbindung setzen, um zu sehen, ob gleichgesinnte Unternehmen daran interessiert sind, mit uns an einer Bildungskampagne über das werbefinanzierte Internet, seine Funktionsweise und die Vorteile, die es bietet (insbesondere Zugang zu Diensten wie Gmail oder Facebook). Wir glauben, dass viele der Datenschutzbedenken in Bezug auf die Online-Datenerfassung durch gezielte Bemühungen angegangen werden können, die sich auf diese Art der Aufklärung von Endbenutzern und Interessengruppen konzentrieren.

Sind Sie daran interessiert, bei diesen Bemühungen mit uns zusammenzuarbeiten? Bitte schreiben Sie uns eine E-Mail , wir würden uns freuen, von Ihnen zu hören.

Alles Gute für ein sehr glückliches und erfolgreiches Jahr 2016!

Hinweis: Dieser Artikel soll meine Ansichten zu bestimmten Datenschutzereignissen im Jahr 2015 darstellen; sie ist nicht als Rechtsberatung gedacht und sollte in keiner Weise als Rechtsberatung ausgelegt werden. Vielen Dank, dass Sie die Anzeige gelesen haben :-).

Gefällt Ihnen dieser Artikel? Melden Sie sich für unsere Blog-Digest-E-Mails an.