Was ist Datenschutz und Privatsphäre?
Das Konzept des Rechts auf Privatsphäre entstand 1948, als die Allgemeine Erklärung der Menschenrechte von den Vereinten Nationen verabschiedet wurde. Darin heißt es: „Niemand darf willkürlichen Eingriffen in sein Privatleben, seine Familie, seine Wohnung oder seinen Schriftverkehr ausgesetzt werden“. Bis 1978 wurde die erste Marketing-E-Mail an 400 Empfänger verschickt, und 1994 erschien das erste Banner-Ad im Internet. Um das Jahr 2000 begannen viele Banken, Online-Banking-Dienste anzubieten. Im Jahr 2006 wurde Facebook gegründet, und Social Media erlebte ein exponentielles Wachstum und wurde zu einem festen Bestandteil unseres Alltags.
Derzeit haben 137 von 197 Ländern Gesetze zum Schutz von Daten und Privatsphäre erlassen. Einige der größten Unternehmen der Welt, wie Google, WhatsApp und Facebook, wurden aufgrund von Verstößen mit Geldstrafen belegt. Eine der höchsten jemals verhängten Datenschutzstrafen belief sich 2021 auf 877 Millionen US-Dollar gegen Amazon.
In diesem Blogbeitrag untersuchen wir drei der wichtigsten Datenschutzgesetze der Welt: die GDPR, den CCPA und das LGPD. Wir geben Ihnen eine kurze Zusammenfassung der Gesetze, erläutern die Folgen bei Nichteinhaltung und zeigen auf, wie die Purple Platform es Ihnen ermöglicht, Daten von Besuchern an Ihrem Standort rechtskonform zu erfassen.
Europa: Datenschutz-Grundverordnung (GDPR)
Was ist die GDPR?
Die GDPR ist das vielleicht bekannteste Datenschutzgesetz der Welt. Sie wurde von der Europäischen Union ausgearbeitet und trat am 25. Mai 2018 in Kraft. Die Gesetzgebung erlegt jeder Organisation, die Daten von Personen in der EU und von EU-Bürgern erfasst und speichert, rechtliche Verpflichtungen auf, selbst wenn die Organisation ihren Sitz nicht in der EU hat.
Die GDPR bietet einen Rahmen für Verantwortliche (und Auftragsverarbeiter) durch sieben Prinzipien, zu denen die Minimierung der erfassten Datenmengen und Speicherfristen gehören. Sie schreibt zudem spezifische Regeln vor, wie etwa die 72-Stunden-Meldepflicht bei Datenschutzverletzungen.
Die GDPR räumt betroffenen Personen (Individuen) zudem klare Rechte in Bezug auf die Informationen ein, die eine Organisation über sie sammelt, wie beispielsweise das Recht auf Auskunft über die verarbeiteten Daten. Unter bestimmten Umständen muss die betroffene Person eine unmissverständliche Einwilligung zur Datenverarbeitung erteilen, etwa beim Opt-in für Ihre Marketing-E-Mail-Liste. In anderen Situationen können Daten jedoch auch ohne Einwilligung verarbeitet werden (z. B. in lebensbedrohlichen Situationen oder aus Gründen des öffentlichen Interesses).
Was passiert bei Nichteinhaltung der GDPR?
Geldstrafen bei Nichteinhaltung sind erheblich. Weniger schwere Verstöße können zu einer Geldstrafe von bis zu 10 Millionen Euro (9,8 Mio. USD) oder 2 % des weltweiten Jahresumsatzes des Unternehmens aus dem vorangegangenen Geschäftsjahr führen. Bei schwerwiegenderen Verstößen, einschließlich Verstößen gegen die Grundsätze des Rechts auf Privatsphäre und des Rechts auf Vergessenwerden, können die Geldstrafen bis zu 20 Millionen Euro (19,7 Mio. USD) oder 4 % des weltweiten Jahresumsatzes des Unternehmens aus dem vorangegangenen Geschäftsjahr betragen, je nachdem, welcher Betrag höher ist.
Nordamerika: California Consumer Privacy Act (CCPA)
Was ist der CCPA?
Der California Consumer Privacy Act von 2018 (CCPA) zielt darauf ab, Verbrauchern mehr Kontrolle über die Daten zu geben, die Unternehmen über sie sammeln, und umfasst neue Datenschutzrechte für kalifornische Verbraucher. Zu diesen Rechten gehören das Recht zu erfahren, welche Daten über sie gesammelt werden, das Recht auf Löschung, das Recht auf Opt-out beim Verkauf ihrer personenbezogenen Daten sowie das Recht auf Nichtdiskriminierung bei der Ausübung ihrer CCPA-Rechte .
Um den CCPA einzuhalten, müssen Websites ihre Nutzer zum Zeitpunkt der Datenerfassung darüber informieren, welche personenbezogenen Daten gesammelt werden und zu welchen Zwecken. Websites sollten einen Link „Meine personenbezogenen Daten nicht verkaufen“ enthalten, um dem Verkauf von Daten an Dritte zu widersprechen. Fordert der Verbraucher die über ihn gespeicherten Daten an, müssen diese kostenlos zur Verfügung gestellt werden.
Was passiert bei Nichteinhaltung des CCPA?
Wenn Ihr Unternehmen den CCPA nicht einhält, können Verbraucher eine private Klage einreichen, die dem Unternehmen 30 Tage Zeit gibt, den Verstoß zu beheben. Das Unternehmen muss dann nachweisen, dass der „ Verstoß behoben wurde und keine weiteren Verstöße auftreten werden “. Gelingt dies dem Unternehmen nicht, hat der Verbraucher das Recht, die Klage beim Generalstaatsanwalt einzureichen. Dieser kann zivilrechtliche Schritte einleiten und eine einstweilige Verfügung sowie eine Strafe von 2.500 USD pro Verstoß verhängen. Wird der Verstoß als vorsätzlich eingestuft, kann sich dieser Betrag auf 7.500 USD pro Verstoß erhöhen. Dies gilt pro Verbraucher – wenn also 1.000 Ihrer Kunden betroffen wären, müsste Ihr Unternehmen eine Strafe von 7,5 Millionen USD zahlen!
Südamerika: Brasiliens Lei Geral de Proteção de Dados (LGPD)
Was ist das LGPD?
Das Lei Geral de Proteção de Dados (LGPD) trat 2020 in Kraft und betrifft jedes Unternehmen und jede Organisation, die personenbezogene Daten von Personen in Brasilien verarbeitet, unabhängig davon, wo sich das Unternehmen oder die Organisation befindet.
Das LGPD legt fest, dass Sie personenbezogene Daten nur für legitime, spezifische und klar kommunizierte Zwecke verarbeiten dürfen. Ähnlich wie bei der GDPR umfassen die LGPD-Prinzipien Transparenz und Datenminimierung. Mit anderen Worten: Teilen Sie Ihren Kunden mit, welche Daten Sie erfassen und wofür Sie diese verwenden, und erfassen Sie nur die Daten, die Sie benötigen. Unternehmen sind verpflichtet, einen Datenschutzbeauftragten (DPO) zu benennen, um das Gesetz einzuhalten.
Was passiert bei Nichteinhaltung des LGPD?
Wenn Sie das LGPD nicht einhalten, drohen Ihnen Geldstrafen von bis zu 2 % des Jahresumsatzes Ihres Unternehmens, bis zu einem Höchstbetrag von 50 Millionen brasilianischen Reais (etwa 8 Millionen Euro oder 9 Millionen USD). Es gibt weitere Korrekturmaßnahmen für Zuwiderhandelnde, einschließlich der Veröffentlichung des Verstoßes sowie der Sperrung oder Löschung der Verarbeitungsaktivitäten oder personenbezogenen Daten, die das Problem verursacht haben. Dies bedeutet, dass der verantwortliche Datenverarbeiter die gesamte zugehörige E-Mail-Liste verlieren könnte und die mit dem Vorfall verbundene Datenbank für bis zu 6 Monate gesperrt werden könnte.
Wie die Purple Platform Unternehmen dabei hilft, Daten im Einklang mit den wichtigsten Datenschutzgesetzen zu erfassen und zu verwalten
Captive Portal für die Einwilligung von Besuchern
Die anpassbaren Splash-Pages von Purple ermöglichen Links zu den Allgemeinen Geschäftsbedingungen beim Login sowie optionale Opt-in-Kontrollkästchen für Marketingmaterialien und -kommunikation oder ein Opt-out-Feld für den Verkauf personenbezogener Daten für diejenigen, die den CCPA einhalten müssen.
Darüber hinaus kann das Captive Portal von Purple sicherstellen, dass Kunden, die sich anmelden, den Allgemeinen Geschäftsbedingungen sowie der Datenschutzrichtlinie zugestimmt haben.
MyData-Portal für vollständige Datentransparenz
Über das My Data Portal von Purple, das auf der Purple-Website zu finden ist, können betroffene Personen die Daten, die das Unternehmen über das Purple-Portal über sie gesammelt hat, völlig kostenlos einsehen und auf Wunsch ihre Einwilligung widerrufen.
Automatisiertes WiFi-Marketing
Wenn Sie Kundenkontaktdaten über die Purple Platform erfassen und ein Kunde sich von Marketingkommunikation abmeldet, verhindert dies, dass Sie ihm über unsere automatisierten WiFi-Marketing-Tools E-Mails senden. Selbst wenn Sie auf der Purple Platform eine Integration zu einem externen CRM-System haben, können Sie die Daten dort mithilfe der integrierten Software von Purple zuordnen, um Ihre Datenbank mit diesen Informationen zu aktualisieren und so die Compliance Ihrer Datenbank sicherzustellen.
