In den letzten Monaten hat Kalifornien mehrere neue Datenschutzgesetze verabschiedet, die sich auf Betreiber von Websites, Online-Diensten und mobilen Anwendungen im ganzen Land auswirken, darunter ein Gesetz zur Einrichtung eines „Internet Eraser“ für Minderjährige und Änderungen der Meldepflichten des Bundesstaates bei Datenschutzverletzungen. Der neueste Gesetzentwurf, der das kalifornische Gesetz zum Schutz der Privatsphäre im Internet („CalOPPA“) ändert, gibt Website-Betreibern bis zum 1. Januar 2014 Zeit, ihre Datenschutzrichtlinien zu aktualisieren und offenzulegen, wie sie auf „Do Not Track“-Mechanismen in Webbrowsern reagieren. Sind Sie auf diese neuen „Do Not Track“-Anforderungen vorbereitet?
Was sieht das neue Gesetz vor?
Gemäß CalOPPA waren Website-Betreiber bereits verpflichtet, unter anderem eine Datenschutzerklärung gut sichtbar zu veröffentlichen, in der die Kategorien personenbezogener Daten beschrieben werden, die der Betreiber der Website oder mobilen Anwendung erfasst, und mit wem diese Daten geteilt werden. Gemäß der Änderung durch den Gesetzentwurf 370 sind Betreiber von Websites und mobilen Anwendungen nun verpflichtet, den Nutzern offenzulegen, wie die Website auf sogenannte „Do Not Track”-Mechanismen reagiert. Dabei handelt es sich in der Regel um kleine Code-Schnipsel – ähnlich wie Cookies –, die Websites oder mobilen Anwendungen signalisieren, dass der Nutzer nicht möchte, dass der Websitebetreiber seinen Besuch auf der Website verfolgt, einschließlich durch Analysetools, Werbenetzwerke und andere Arten der Datenerfassung und -verfolgung.
Gelten die Anforderungen für mich?
Das Gesetz gilt für alle Unternehmen, die Tracking-Informationen von Einwohnern Kaliforniens sammeln, und gilt dementsprechend für Unternehmen, die in Kalifornien geschäftlich tätig sind und Einwohner Kaliforniens tracken, auch wenn das Unternehmen keine physische Präsenz in Kalifornien hat.
Muss ich die „Do Not Track“-Einstellungen eines Benutzers respektieren?
Insbesondere hat Kalifornien nicht vorgeschrieben, dass Betreiber von Websites und mobilen Anwendungen die Verwendung von „Do Not Track“-Mechanismen durch den Nutzer respektieren müssen – sondern nur, dass dem Nutzer mitgeteilt werden muss, wie die Website auf einen solchen Mechanismus reagiert.
Wie kann ich die Vorschriften einhalten?
Ein Websitebetreiber kann die neue Anforderung erfüllen, indem er „in seiner Datenschutzerklärung einen klaren und gut sichtbaren Hyperlink zu einer Online-Seite bereitstellt, die eine Beschreibung einschließlich der Auswirkungen aller Programme oder Protokolle enthält, die der Betreiber einsetzt, um Verbrauchern die Möglichkeit zu geben, sich gegen eine Nachverfolgung zu entscheiden“. Das Selbstregulierungsprogramm der Digital Advertising Alliance für verhaltensbasierte Online-Werbung ist ein häufig genutztes Selbstregulierungsprogramm, das Unternehmen dabei unterstützt, Verbrauchern die Möglichkeit zu geben, sich gegen gezielte Werbung auf der Grundlage der Verfolgung ihrer Webaktivitäten zu entscheiden.
Hinweis: Die Frist für die Einhaltung dieser Vorschrift endet am 1. Januar 2014.
Gibt es Strafen, wenn ich meine Datenschutzerklärung nicht aktualisiere?
Die Nichteinhaltung der neuen Anforderungen kann zu Geldstrafen in Höhe von 2.500 US-Dollar pro Verstoß führen. In Bezug auf mobile Anwendungen hat der Generalstaatsanwalt von Kalifornien darauf hingewiesen, dass jeder Download einer mobilen Anwendung, die nicht den neuen Anforderungen entspricht, einen Verstoß darstellt und eine Geldstrafe nach sich ziehen kann.
Bewährte Verfahren für die Einhaltung von Vorschriften
Im Rahmen der Aktualisierung ihrer Datenschutzrichtlinien zur Einhaltung der neuen „Do Not Track“-Anforderungen von CalOPPA sollten Website-Eigentümer und -Betreiber die folgenden bewährten Verfahren anwenden:
- Identifizieren Sie die auf Ihren Websites und Online-Diensten eingesetzten Tracking-Mechanismen, einschließlich (a) der spezifischen Arten von personenbezogenen Daten, die durch den Tracking-Mechanismus erfasst werden, und (b) ob Nutzer die Möglichkeit haben, zu kontrollieren, ob und wie die Mechanismen verwendet werden, und ob der Betreiber die Entscheidung des Nutzers respektiert. Die Liste sollte die vom Betreiber selbst verwendeten Tracking-Mechanismen sowie alle von Dritten, einschließlich Werbetreibenden und Analysediensten, eingesetzten Tracking-Mechanismen enthalten.
- Bei Tracking-Mechanismen, die von Dritten eingesetzt werden, sollte der Betreiber feststellen, ob der Mechanismus personenbezogene Daten über Nutzer erfasst. Selbst wenn die Mechanismen keine personenbezogenen Daten erfassen, kann es für den Betreiber sinnvoll sein, die Mechanismen in seiner Datenschutzerklärung zu nennen, für den Fall, dass der Drittanbieter die Tracking-Daten mit personenbezogenen Daten über Nutzer kombiniert, die er aus einer anderen Quelle erfasst hat.
- Identifizieren Sie alle anderen Mechanismen, die personenbezogene Daten von Benutzern erfassen, einschließlich Social-Media-Plug-ins. Auch wenn die Änderungen an CalOPPA nicht unbedingt auf diese Art von Datenerfassungsmechanismen abzielen, sollten Betreiber in Betracht ziehen, diese in ihren Datenschutzrichtlinien gegenüber den Benutzern offenzulegen.
- Nimm die oben genannten Infos in die Datenschutzerklärung der Website auf, einschließlich der Infos, die von Nutzern im Zusammenhang mit der Nachverfolgung der Website-Aktivitäten gesammelt werden, und wie der Nutzer die Erfassung dieser Infos und/oder den Erhalt gezielter Werbung auf Basis der Nachverfolgungsinfos ablehnen kann.
Eine vollständige Kopie des Gesetzentwurfs 370 ist hier verfügbar.
