5 Grundprinzipien fairer Informationspraktiken
Der Umfang der Online-Aktivitäten nimmt ständig zu, insbesondere mit der Ausweitung des Internet der Dinge (IoT) . Wir werden ständig mit Datenanfragen bombardiert. Die Anzahl der Betrugswebsites , Phishing-Angriffe , und Fälle von Diebstahl erkennen ist immer auf dem Vormarsch. Es ist wichtiger denn je, auf die Sicherheit Ihrer Daten zu achten. Darüber hinaus ist es ein wesentlicher Aspekt Ihres Rechts auf Privatsphäre, genau zu wissen, wer über Ihre persönlichen Daten verfügt und wie diese diese verwenden.
Egal, ob Sie Ihre E-Mail-Adresse angeben oder Online-Zahlungen durchführen Sie möchten absolut sicher sein, wohin Ihre Informationen gelangen und wie sie verwendet werden. Wenn Sie sich daher mit den Grundsätzen fairer Informationspraktiken vertraut machen, können Sie beim Navigieren in Offline- und Online-Umgebungen die richtigen Entscheidungen treffen. Mit Ihrem besonderen Geschick können Sie auch Unternehmen melden, die Best Practices nicht befolgen, um eine sicherere Umgebung für alle Benutzer zu schaffen.
In diesem Beitrag werfen wir einen kurzen Blick auf die Richtlinien, die für faire Informationspraktiken entwickelt wurden. Anschließend befassen wir uns mit den fünf Grundprinzipien und deren Bedeutung für Sie als Verbraucher.
Einige Hintergrundinformationen zu diesen Prinzipien
Wenn wir über Informationspraktiken sprechen, beziehen wir uns auf die Art und Weise, wie verschiedene Unternehmen Ihre personenbezogenen Daten sammeln und verwenden. Wenn wir davon sprechen, dass diese Praktiken fair sind, müssen wir uns damit befassen, wie wir sicherstellen können, dass Regeln für Informationspraktiken vorhanden sind und den Verbrauchern einen umfassenden Datenschutz bieten.
Das Umfeld verändert sich ständig und im Laufe der Jahre gab es verschiedene Berichte rund um das Thema faire Informationspraktiken. Es wurden auch Richtlinien eingeführt, um Standards festzulegen, an die sich Unternehmen halten können. In den letzten Jahren haben viele Länder konkretere Richtlinien zum Datenschutz entwickelt. In den verschiedenen Berichten und Leitlinien kommen bestimmte Grundprinzipien zum Vorschein.
Diese wurden erstmals vor über einem Jahrzehnt in einem Bericht der Federal Trade Commission (FTC) „Grundsätze der fairen Informationspraxis“ dargelegt, der inzwischen eingestellt wurde. Während dies auf inzwischen veralteten Berichten und Richtlinien basierte, bleiben die zugrunde liegenden Botschaften der Grundsätze auch in aktuelleren Richtlinien sichtbar, darunter:
- Datenschutz-Grundverordnung (DSGVO): Das war von der EU entwickelt das zu ersetzen Datenschutzrichtlinie und wird ab Mai 2018 durchsetzbar sein.
- Gesetz zum Schutz personenbezogener Daten und elektronischer Dokumente (PIPEDA): Dies gilt in Kanada und umfasst die in der Gesetz zum digitalen Datenschutz Und CSA-Modellcode .
- OECD-Datenschutzrichtlinien (ursprünglich 1980 veröffentlicht, aber 2013 aktualisiert): Die Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) legt internationale Standards für eine Vielzahl von Dingen fest, einschließlich des Datenschutzes.
Bedenken Sie, dass nicht alle dieser Dokumente alle unten aufgeführten Grundsätze ausdrücklich enthalten. Darüber hinaus enthalten die meisten, wenn nicht alle, zusätzliche ausführliche Anleitungen. Wenn Sie dies also aus geschäftlicher Sicht betrachten oder als Verbraucher auf der Suche nach tiefergehenden Informationen sind, können Sie das entsprechende Dokument direkt konsultieren. Vielleicht haben Sie auch Interesse an einem Side-by-Side Vergleich der Datenschutzrichtlinien einiger der größten Internetunternehmen.
Möglicherweise stellen Sie fest, dass in der obigen Liste kein US-Dokument aufgeführt ist. Derzeit gibt es in den USA keine generelle Datenschutzgesetzgebung. Es gibt jedoch bestimmte Gesetze, die sich auf faire Informationspraktiken beziehen, wie z Gesetz über die Portabilität und Rechenschaftspflicht von Krankenversicherungen (HIPAA) und die Gesetz über faire und genaue Kredittransaktionen (FACTA). Darüber hinaus werden viele Gesetze, die die Informationspraktiken in den USA regeln, auf staatlicher Ebene erlassen.
Ein letzter Hinweis, bevor wir uns mit den Grundsätzen befassen, ist, dass einige dieser Richtlinien auf der Annahme basieren, dass der Verbraucher über das nötige Urteilsvermögen verfügt, um zu entscheiden, ob er seine Informationen weitergibt oder nicht. Bei Kindern besteht jedoch eine große Wahrscheinlichkeit, dass sie nicht über die gleichen analytischen Fähigkeiten und das gleiche Urteilsvermögen verfügen. In diesem Fall müssen die Grundsätze angepasst werden, um sicherzustellen, dass Eltern ausreichend gerüstet sind, um die Informationen ihrer Kinder zu schützen. Wir werden diese angepassten Prinzipien in einem kommenden Beitrag behandeln.
Die 5 Grundprinzipien fairer Informationspraktiken
Nachdem wir nun etwas mehr darüber wissen, woher diese Grundsätze stammen, werfen wir einen Blick auf die wichtigsten Punkte, die sie im Hinblick auf die Rechte der Verbraucher abdecken.
1. Verbraucher sollten informiert werden
Hinweis bezieht sich darauf, dass die Person, die Informationen bereitstellt, genau darüber informiert werden muss, an wen die Informationen gehen und wofür sie verwendet werden. Dies wird auch als Transparenz bezeichnet und ist von größter Bedeutung, damit der Verbraucher gut gerüstet ist, um zu entscheiden, ob er Informationen weitergibt und welche Informationen er preisgeben möchte.
Einige der Dinge, die ein Unternehmen gegebenenfalls abdecken sollte, sind:
- Wer sammelt die Informationen?
- Wofür es verwendet wird
- Wer könnte die Daten möglicherweise erhalten?
- Welche Informationen werden gesammelt und wie
- Ob die Bereitstellung der Daten optional ist
- Wie der Sammler die Vertraulichkeit, Qualität und Integrität der Informationen gewährleistet
- Ob und wann die Informationen entsorgt werden
Wenn der Anbieter ein physisches Formular ausfüllt, erscheinen diese Informationen wahrscheinlich irgendwo auf dem eigentlichen Formular. Alternativ können die Informationen in einer Online-Umgebung auf dem Formular oder auf einer separaten Webseite dargelegt werden. In jedem Fall muss es offensichtlich und für den Leser leicht zugänglich sein.
Zum Beispiel bei der Anmeldung NerdWallet , stimmt der Benutzer den Nutzungsbedingungen und Datenschutzrichtlinien des Unternehmens zu, die beide in separaten Dokumenten dargelegt sind, die über einen Hyperlink verfügbar sind:
In diesem Fall bedeutet die bloße Anmeldung, dass der Benutzer den bereitgestellten Bedingungen und Richtlinien zustimmt. In anderen Fällen kann es erforderlich sein, dass sie zusätzliche Maßnahmen ergreifen, z. B. ein Kästchen ankreuzen, das bestätigt, dass sie die bereitgestellten Bedingungen und Richtlinien gelesen und verstanden haben.
In vielen Situationen werden diese Dinge übersprungen, insbesondere wenn der Benutzer bereits ein gewisses Maß an Vertrauen in die sammelnde Entität hat. In bestimmten Situationen ist es jedoch wahrscheinlicher, dass Sie die Geschäftsbedingungen und Richtlinien nach relevanten Informationen durchsuchen. Angenommen, Sie nutzen die Dienste eines Unternehmens aus spezifischen Gründen des Datenschutzes. Wenn Sie nach einem VPN-Anbieter oder einem suchen Browser-Datenschutzerweiterung möchten Sie genau wissen, wie die betreffenden Unternehmen mit Ihren Daten umgehen.
2. Wahlmöglichkeiten sollten angeboten werden und die Zustimmung erforderlich sein
Grundsätzlich gibt dieser Grundsatz den Verbrauchern das Recht, über die Verwendung ihrer Daten zu entscheiden. Dies bezieht sich eher auf die sekundäre Nutzung, da die primäre Nutzung typischerweise offensichtlich ist, beispielsweise um sich für einen Dienst anzumelden, einen Kauf abzuschließen oder auf einen Inhalt zuzugreifen.
Über den Hauptgrund hinaus möchten Unternehmen Ihre Daten möglicherweise für andere Zwecke aufzeichnen und verwenden, beispielsweise um Sie zu ihren eigenen E-Mail-Listen oder denen anderer Unternehmen hinzuzufügen. Alternativ verkaufen sie möglicherweise Massendaten über Benutzerverhalten oder -präferenzen an Dritte.
Letztlich sollte jede über das Offensichtliche hinausgehende Datennutzung klar dargelegt werden. Darüber hinaus sollte der Verbraucher die Möglichkeit haben, zu entscheiden, ob er der Verwendung seiner Daten in der angegebenen Weise zustimmen möchte. Dies kann auf Opt-in- oder Opt-out-Basis erfolgen, die Hauptsache ist jedoch, dass die Optionen klar und einfach umzusetzen sind.
Das Konzept der Wahl und Einwilligung ist etwas, dem wir bei Online-Aktivitäten regelmäßig begegnen. Anmelde-, Kauf- und Übermittlungsformulare enthalten am Ende häufig ein oder mehrere Kontrollkästchen, und Sie fühlen sich möglicherweise mit Anfragen zur Verwendung Ihrer Informationen auf verschiedene Weise bombardiert.
Ein häufiges Beispiel ist die Option, Werbeinformationen von der Stelle zu erhalten, an die Sie Ihre Daten weitergeben, wie es bei der Fall ist Anmeldeformular für die California Lottery :
Es gibt auch Situationen, in denen Sie möglicherweise mehrere Optionen für die Verwendung Ihrer Daten haben. Im Fall von NerdWallet finden sich Opt-out-Optionen von Drittanbietern in der Datenschutzrichtlinie, die wie oben erwähnt leicht über das Anmeldeformular zu finden ist:
Auch hier liegt der Schlüssel darin, dass die Optionen klar sind und die Ein- oder Ausstiegsmöglichkeit unkompliziert ist. Wie die Beispiele zeigen, ist dies im Online-Umfeld relativ einfach zu erreichen, sodass es keine Ausreden geben sollte.
3. Verbraucher sollten die Möglichkeit haben, auf Daten zuzugreifen und diese zu ändern
Was passiert also mit Ihren Rechten nach der Weitergabe Ihrer Daten? Nun, in den Datenschutzberichten und -richtlinien herrscht allgemeiner Konsens darüber, dass Verbraucher die Möglichkeit haben sollten, auf die von ihnen bereitgestellten Informationen zuzugreifen.
Dieser Grundsatz verleiht ihnen auch das Recht, Informationen anzufechten, die ihrer Meinung nach unrichtig sind, und/oder die Möglichkeit zu haben, diese zu ändern. Einer der Hauptgründe für dieses Prinzip besteht darin, dass es die beste Chance bietet, dass alle Informationen korrekt und vollständig sind – was tatsächlich mit dem nächsten Prinzip zusammenhängt.
Dies funktioniert natürlich nicht, wenn die Informationen aufgrund eines langwierigen oder teuren Prozesses schwer zugänglich sind. Daher ist es wichtig, dass Unternehmen über Mechanismen verfügen, die es den Verbrauchern einfach und unkompliziert machen, auf ihre Daten zuzugreifen und diese zu überprüfen. Ebenso müssen sie die Richtigkeit und Vollständigkeit problemlos bestreiten und/oder Änderungen problemlos vornehmen können.
Beispielsweise machen es E-Mail-Anbieter, Social-Media-Plattformen und E-Commerce-Websites – wie Amazon – Benutzern einfach, ihre Informationen zu ändern. Es ist sowohl für die Unternehmen als auch für die Verbraucher sinnvoll.
4. Daten sollten korrekt und sicher sein
Dieser Grundsatz bezieht sich auf die Integrität und Sicherheit aller Daten. Die Integritätskomponente knüpft an den letzten Grundsatz an, wobei es bei den Unternehmen liegt, ihr Möglichstes zu tun, um sicherzustellen, dass alle Informationen korrekt und korrekt sind. Wir haben gerade über die Zugänglichkeit von Daten gesprochen, und darauf kommt es zurück. Unternehmen müssen sicherstellen, dass Verbraucher auf Daten zugreifen und diese anfechten oder ändern können, damit diese tatsächlich korrekt sind.
Allerdings liegt es auch in der Verantwortung derjenigen, die Informationen sammeln, andere Maßnahmen als die Zugänglichkeit zu ergreifen, um die Integrität der von ihnen gespeicherten Daten sicherzustellen. Dies kann einen Querverweis auf andere Quellen erfordern, um sicherzustellen, dass die Datenanbieter korrekte Informationen eingeben. Es könnte auch bedeuten, dass Unternehmen möglicherweise veraltete Daten entsorgen oder sie nach einer bestimmten Zeit anonymisieren müssen.
Neben der Integrität müssen Unternehmen auch die Sicherheit der Verbraucherdaten äußerst ernst nehmen. Dies bedeutet, dass Maßnahmen ergriffen werden müssen, um sicherzustellen, dass Daten nicht verloren gehen und nicht unbefugt auf sie zugegriffen, sie verwendet, verändert, zerstört oder weitergegeben werden können. Das Versäumnis, Informationen zu schützen, kann einen hohen Preis haben Unternehmen wie Morgan Stanley .
Natürlich auch bei hoher Sicherheit, Es kommt immer noch zu Datenschutzverletzungen . Um dies sicherzustellen, gibt es immer strengere Maßnahmen Unternehmen melden tatsächlich Datenschutzverletzungen . Jedoch, Yahoos relativ neues Eingeständnis Ein großer Datenverstoß, der mehrere Jahre zuvor stattgefunden hat, zeigt, dass wir niemals absolut sicher sein können, dass unsere Informationen sicher sind. Aus diesem Grund ist es fast unmöglich zu sagen, dass ein bestimmtes Unternehmen in puncto Sicherheit besser ist als andere, einfach weil bei ihnen keine Verstöße in die Schlagzeilen geraten sind.
Daher sollten Sie immer alles tun, was Sie können, um sich zu schützen. Sie können damit beginnen, sicherzustellen, dass Sie das nicht verwenden selbe Passwort auf mehreren Konten. Stellen Sie außerdem sicher, dass Sie dies tun alte Konten löschen , damit Ihre Daten nicht unnötig irgendwo gespeichert werden. Idealerweise sollten Ihre Daten zu diesem Zeitpunkt entsorgt werden. Wenn nicht, sollten zumindest alle personenbezogenen Daten nach einer bestimmten Zeit gelöscht, aggregiert oder anonymisiert werden.
Abgesehen vom Hacken könnten Sie sich natürlich auch aus staatlicher Sicht Sorgen um den Datenschutz Ihrer Daten machen. Die Electronic Frontier Foundation (EFF) leistet durch ihre Arbeit gute Arbeit bei der Identifizierung „Wer steht hinter dir?“ Liste , worauf Unternehmen beim Thema Datenschutz achten sollten.
5. Mechanismen zur Durchsetzung und Wiedergutmachung sind erforderlich
Natürlich ist es schön und gut, Regeln für faire Informationspraktiken zu haben, aber wenn es keine Mechanismen gibt, um diese durchzusetzen, sind sie sinnlos. Darüber hinaus gibt es kaum oder gar keinen Anreiz für Unternehmen, sich an irgendwelche Regeln zu halten, wenn es keine Form der Wiedergutmachung gibt.
Wie bei vielen Vorschriften gibt es auch bei der Durchsetzung der Vorschriften im Zusammenhang mit fairen Informationspraktiken verschiedene Ansätze. Hier werfen wir einen Blick auf die drei wichtigsten:
Selbstregulierungssysteme
Diese Art der Regulierung könnte im Ermessen des Unternehmens selbst erfolgen. Eine Möglichkeit dazu bieten Ihnen beispielsweise Social-Media-Seiten wie YouTube eine Beschwerde einreichen . Wenn es um Wiedergutmachung geht, sollten Prozesse vorhanden sein, damit Kunden problemlos auf ein Beschwerdesystem zugreifen und ihre Beschwerden untersuchen können.
Alternativ könnte die Durchsetzung durch eine externe Regulierungsbehörde erfolgen. Dazu kann die Zustimmung zu fairen Informationspraktiken gehören, um einem Branchenverband beizutreten. Ein Unternehmen könnte auch externe Prüfer einladen, um zu überprüfen, ob die Richtlinien befolgt werden, möglicherweise mit einer am Ende erteilten Zertifizierung.
Privatrecht
Das Privatrecht würde dem Verbraucher in der Regel das Recht auf Schadensersatz einräumen, wenn er Opfer unlauterer Informationspraktiken wird. Sie könnten beispielsweise einen Klagegrund haben, wenn der Missbrauch von Informationen zu Schäden führt. Elektronisches Datenschutz-Informationszentrum (EPIC) ist eine unabhängige Organisation, die sich mit dieser Art von Bürgerrechten befasst. Auch, Datenschutz International ist eine in Großbritannien ansässige Menschenrechtsorganisation, die sich für den Schutz des Rechts der Menschen auf Privatsphäre einsetzt.
Regierungsgesetzgebung
In bestimmten Fällen werden staatliche Regulierungen innerhalb bestimmter Branchen ausgeübt. Wenn Sie beispielsweise in der US-Gesundheitsbranche der Meinung sind, dass gegen Sie von einer HIPAA-Behörde verstoßen wurde, können Sie dies tun eine Beschwerde einreichen mit dem Büro für Bürgerrechte (OCR). In vielen Ländern gibt es auch branchenunabhängige Methoden zur Meldung von Verstößen (mehr dazu im nächsten Abschnitt).
Meldung von Informationsverstößen
Da sich die Online-Umgebung ständig verändert, werden sich auch die Vorschriften für faire Informationspraktiken kontinuierlich weiterentwickeln. Der evolutionäre Charakter dieser Landschaft bietet Verbrauchern, die ständig aufgefordert werden, allen möglichen Unternehmen personenbezogene Daten zur Verfügung zu stellen, nicht gerade Sicherheit.
Da Sie sich jedoch nun der Grundprinzipien fairer Informationspraktiken bewusst sind, sind Sie besser darauf vorbereitet, bei der Bereitstellung von Informationen an Unternehmen auf bestimmte Warnzeichen zu achten. Auch wenn die Regeln je nach Land und Branche unterschiedlich sein können, können Sie darüber hinaus besser erkennen, wenn ein Unternehmen keine fairen Informationspraktiken befolgt.
Wie bereits erwähnt, gibt es verschiedene Stellen, an denen Sie Fälle melden können, bei denen Ihrer Meinung nach Verstöße vorliegen. Wir haben oben über einige gesprochen, und es gibt auch länderspezifische Formen, von denen einige hier aufgeführt sind:
- VEREINIGTES KÖNIGREICH: Büro des Informationskommissars (ICO)
- UNS: Federal Trade Commission (FTC)
- Kanada: Büro der Datenschutzkommission von Kanada (OPC)
- Australien: Büro des australischen Informationskommissars (OAIC)
Im Allgemeinen ist der beste Rat, den wir geben können, Ihre Daten sorgfältig zu schützen und zu versuchen, nur mit Unternehmen zusammenzuarbeiten, denen Sie vertrauen, dass sie dasselbe tun. Denken Sie daran, die Allgemeinen Geschäftsbedingungen und Datenschutzrichtlinien sorgfältig zu lesen und im Zweifelsfall Fragen zu stellen!