Häufig gestellte Fragen zu Datenschutzbestimmungen

Dieses Dokument beantwortet häufig gestellte Fragen zu unterstützten Datenschutzbestimmungen und deren Umsetzung in Adobe Experience Cloud.

HINWEIS

Definitionen zu den verschiedenen in diesem Dokument verwendeten Begriffen finden Sie im Handbuch Terminologie der Datenschutzverordnung.

Allgemeine Fragen

Die folgenden Fragen beziehen sich auf alle Datenschutzbestimmungen, die von Experience Cloud unterstützt werden.

Auf welche Aspekte wirken sich die unterstützten Datenschutzbestimmungen aus?

Die Datenschutzbestimmungen, die von Experience Cloud unterstützt werden, gelten für alle Organisationen, die personenbezogene Daten von Bürgern innerhalb der jeweiligen Rechtsordnungen speichern und verarbeiten, unabhängig vom geografischen Standort der Organisation.

Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die eine natürliche Person (das „Datensubjekt“) betreffen und die zur direkten oder indirekten Identifikation dieser Person verwendet werden können. Dabei kann es sich um einen beliebigen Namen, ein Foto, eine E-Mail-Adresse, Bankdaten, Beiträge auf Social-Networking-Websites, medizinische Informationen oder eine Computer-IP-Adresse handeln.

Die folgenden Bezeichner werden in Experience Cloud-Anwendungen häufig verwendet und können den Datenschutzbestimmungen unterliegen:

  • Name
  • Postadresse
  • Eindeutige personenbezogene Kennung
  • Online-Kennung
  • IP-Adresse
  • E-Mail Adresse
  • Kontoname

Personenbezogene Daten können auch Informationen über Aktivitäten im Internet oder in anderen elektronischen Netzwerken umfassen. Dazu gehören unter anderem:

  • Browser-Verlauf
  • Suchverlauf
  • Informationen zur Interaktion eines Verbrauchers mit einer Website, Anwendung oder Werbung

Obwohl die Datenschutzbestimmungen eine Vielzahl von personenbezogenen Daten abdecken, schreiben die Vertragsbedingungen der Adobe vor, dass vertrauliche persönliche Daten (wie SSN, Führerscheininformationen, Finanzkonteninformationen und biometrische Daten) generell nicht in Experience Cloud-Anwendungen importiert und verwendet werden dürfen.

Was ist der Unterschied zwischen einem Datenverantwortlichen und einem Datenverarbeiter?

Ein Datenverantwortlicher ist die Stelle, die die Ziele, Bedingungen und Wege der Verarbeitung personenbezogener Daten bestimmt, während der Datenverarbeiter eine Stelle ist, die personenbezogene Daten im Auftrag des Datenverantwortlichen verarbeitet.

Eine für die Verarbeitung Verantwortliche ist die Person oder Organisation, die befugt und dafür verantwortlich ist, Entscheidungen über die Erhebung, Verwendung oder Weitergabe personenbezogener Daten zu treffen. Ein Datenverarbeiter ist die Person oder Organisation, die im Zusammenhang mit der Erhebung, Verwendung oder Offenlegung der personenbezogenen Daten und der Anweisung des für die Verarbeitung Verantwortlichen tätig ist.

Was ist der Unterschied zwischen der ausdrücklichen und eindeutigen Zustimmung der betroffenen Person?

Die ausdrückliche Zustimmung bezieht sich auf eine Zustimmungsnorm, die eine spezifische, informierte und eindeutige Angabe der Wünsche der betroffenen Person in mündlicher oder schriftlicher Form umfasst. Einfach ausgedrückt, muss die betroffene Person buchstäblich und explizit "Ich stimme zu"oder "Ich stimme zu" sagen, damit die Einwilligung als explizit gilt. Darüber hinaus muss es genauso einfach sein, die Zustimmung zurückzuziehen, wie sie zu geben ist.

Eindeutige (implizite) Zustimmung bezieht sich auf eine Einwilligung, die nicht ausdrücklich von der betroffenen Person erteilt wurde, aber dennoch eindeutig ist. Beispielsweise wird während des Anmeldeprozesses für eine Website der Firma darauf hingewiesen, dass die betroffene Person durch Angabe einer E-Mail-Adresse dem Empfang von E-Mails zu bestimmten Angeboten zustimmt. Wenn die betroffene Person die Mitteilung liest, reicht die positive Handlung der Eingabe ihrer E-Mail aus, um als eindeutige Zustimmung zu gelten.

Für viele Vorschriften wie den GDPR ist eine ausdrückliche Zustimmung zur Verarbeitung sensibler personenbezogener Daten erforderlich, wobei nur "Opt-in"ausreicht. Bei nicht sensiblen Daten ist jedoch eine eindeutige (implizite) Einwilligung akzeptabel.

Können Personen unter einem bestimmten Alter ihre Einwilligung geben?

Viele Datenschutzbestimmungen sehen vor, dass eine betroffene Person, die jünger als ein bestimmtes Alter ist, keine Einwilligung zur Erhebung ihrer personenbezogenen Daten geben kann. In einigen Vorschriften ist es zulässig, dass der Träger der elterlichen Verantwortung für die betroffene Person in diesen Fällen die Einwilligung erteilt, nicht jedoch in allen Fällen. In der folgenden Tabelle wird das Mindestalter für die Einwilligung der betroffenen Personen zu jeder Verordnung mit Hinweisen für weitere Informationen Liste:

Verordnung Alter der Zustimmung Anmerkungen
CCPA (Kalifornien) 16
  • Die elterliche Zustimmung kann nur für Personen ab 13 Jahren erteilt werden.
  • Die Erhebung personenbezogener Daten von Personen unter 13 Jahren ist streng verboten.
GDPR (Europäische Vereinigung) 16
  • Einige EU-Mitgliedstaaten könnten zu diesem Zweck ein Gesetz für ein niedrigeres Alter vorsehen, jedoch nicht unter 13 Jahren.
  • Die elterliche Zustimmung muss für alle betroffenen Personen unter der Altersgrenze erteilt werden.
LGPD (Brasilien) 13
  • Die elterliche Zustimmung muss für alle betroffenen Personen unter der Altersgrenze erteilt werden.
  • Eine 13- bis 18-jährige natürliche Person kann ihre Einwilligung geben, solange die Verarbeitung ihrer personenbezogenen Daten in ihrem besten Interesse erfolgt.
PDPA (Thailand) 10
  • Die elterliche Zustimmung muss für alle betroffenen Personen unter der Altersgrenze erteilt werden.

Wie viele Tage hat ein Unternehmen Zeit, um auf die Anfrage eines Verbrauchers hinsichtlich Zugriff auf oder Löschung personenbezogener Daten zu reagieren?

Unter der Annahme, dass das Unternehmen persönliche Daten gesammelt hat und die Identität eines bestimmten Verbrauchers authentifiziert oder überprüft werden kann, erlauben die Datenschutzbestimmungen eine bestimmte Frist für die Erfüllung eines Verbraucherantrags. In der folgenden Tabelle sind die für jede Verordnung geltenden Zeitfenster mit Anmerkungen zu einigen Ausnahmen aufgeschlüsselt:

Verordnung Kompatibilitätsfenster Anmerkungen
CCPA (Kalifornien) 45 Tage
GDPR (Europäische Vereinigung) 30 Tage Wenn die Anforderung komplex ist oder mehrere Anfragen von derselben betroffenen Person gestellt wurden, kann die Anforderung auf 60 Tage verlängert werden.
LGPD (Brasilien) 15 Tage
PDPA (Thailand) 30 Tage Kann eine Firma nicht innerhalb des Erfüllungsfensters auf die Anfrage einer betroffenen Person reagieren, so verfügt die Firma über zusätzliche 30 Tage ab dem Zeitpunkt, zu dem sie die Anfrage zur schriftlichen Beantwortung an die betroffene Person nicht erfüllen konnte.

Muss mein Unternehmen einen Datenschutzbeauftragten ernennen?

Wenn die Datenoperationen Ihres Unternehmens unter die rechtlichen Zuständigkeitsbereiche von GDPR, LGPD oder PDPA fallen, müssen Sie in den folgenden Fällen einen Datenschutzbeauftragten (DPO) benennen:

  • Ihre Einrichtung ist eine Behörde
  • Ihre Organisation führt eine umfassende systematische Überwachung durch
  • Ihr Unternehmen verarbeitet sensible personenbezogene Daten in großem Umfang.
WICHTIG

Im Gegensatz zu anderen Verordnungen sieht der CCPA dies als eine Anforderung vor. Es wird jedoch generell empfohlen, dass eine Firma zur Wahrung der Datenschutzbestimmungen über eine qualifizierte individuelle Überwachung der Daten, die Aktivitäten und die Datenspeicherung von Verbraucherdaten sowie die Beantwortung von Kundenanfragen verfügen muss.

Wie kann ich Datenschutzanforderungen für Verbraucher unterstützen, wenn ich Daten unterhalte, die unter die Datenschutzbestimmungen fallen?

Sobald Sie die erforderlichen Schritte zur Authentifizierung von Verbrauchern unternommen haben, die in die entsprechenden Rechtsordnungen fallen, können Sie mit Adobe Experience Platform Privacy Service Anfragen zum Schutz der Privatsphäre von Verbrauchern an kompatible Experience Cloud-Anwendungen senden. Weitere Informationen finden Sie in der Privacy Service Übersicht über . Informationen dazu, wie Ihre jeweiligen Experience Cloud-Anwendungen Datenschutzanfragen gerecht werden können, finden Sie im Handbuch zu Privacy Service- und Experience Cloud-Anwendungen.

HINWEIS

Die kalifornische Regulierungsbehörde wird weitere Bestimmungen dazu vorlegen, welche Arten von Daten für Datenschutzanfragen von Verbrauchern infrage kommen.

CCPA-Fragen

Die folgenden Fragen beziehen sich speziell auf das CCPA.

Wie gelten die verschiedenen Rollen und Verantwortlichkeiten des CCPA für Experience Cloud?

Gemäß der Definition des CCPA gelten für Adobe und seine Kunden folgende Rollen:

  • Adobe-Kunden (die Parteien, die die Erfassung und Verwendung personenbezogener Daten von kalifornischen Einwohnern beantragen) würden als Unternehmen betrachtet.
  • Adobe würde in seiner Rolle als Anbieter des Diensts als Dienstleister angesehen.

Als Dienstleister sammelt und verarbeitet Adobe personenbezogene Daten im Auftrag des Unternehmens und ist vertraglich dazu verpflichtet, diese Daten nur für die in der Vereinbarung festgelegten Zwecke zu verwenden.

Angesichts dieser Beziehung und der Vertragssprache der Adobe würden Angaben zur Adobe wahrscheinlich nicht als "Verkauf"angesehen, für den die Unternehmen eine Bekanntmachung vorlegen und eine Zustimmung beantragen müssten.

Adobe-Dienste können jedoch verwendet werden, um bestimmte Daten auszutauschen und Übertragungen an Dritte zu ermöglichen. Diese Übertragungen von Dritten könnten als "Verkauf"betrachtet werden und erfordern rechtlich die Offenlegung und Zustimmung. Kunden sollten mit ihrem Rechtsbeistand zusammenarbeiten, um einzelne Anwendungsfälle hinsichtlich der geltenden Anforderungen zu evaluieren.

Bietet Adobe weitere Tools, die bei der Erfüllung von CCPA-Anforderungen hilfreich sein können?

Adobe Experience Cloud-Anwendungen verfügen über Daten-Management- und Data-Governance-Funktionen, die den Datenschutzbedarf von Unternehmen unterstützen können. Zu diesen Tools gehören die Kennzeichnung der Datennutzung, rollenbasierte Zugriffskontrollen, IP-Verschleierung und Hashing-Funktionen.

Adobe hat für seine Datenschutz- und Sicherheitsmaßnahmen verschiedene Zertifizierungen erhalten, z. B. eine ISO 27001-Zertifizierung und eine DSGVO-Validierung von TrustArc.

GDPR-Fragen

Die folgenden Fragen beziehen sich speziell auf den GDPR.

Was ist der Unterschied zwischen einer Verordnung und einer Richtlinie?

Eine Verordnung ist ein bindender legislativer Rechtsakt, der in der gesamten EU durchgesetzt wird. Eine Richtlinie ist ein Rechtsakt, der ein Ziel festlegt, das alle EU-Länder erreichen müssen. Es ist jedoch Sache der einzelnen Länder, darüber zu entscheiden, wie dies erfolgt.

Es ist wichtig festzustellen, dass es sich bei der DSGVO um eine Verordnung handelt, während es sich bei den früheren Rechtsvorschriften (Datenschutzrichtlinie) um eine Richtlinie handelte.

Wie wirkt sich die DSGVO auf die Richtlinie zu Datenverletzungen aus?

Vorgeschlagene Vorschriften zu Datenverstößen beziehen sich in erster Linie auf die Meldepflicht für Unternehmen, die nicht erfüllt wurde. Datenverstöße, die eine Gefahr für Einzelpersonen darstellen können, sind der Datenschutzbehörde innerhalb von 72 Stunden und betroffenen Personen unverzüglich mitzuteilen.

Fragen zu PDPA

Die folgenden Fragen beziehen sich speziell auf die PDPA.

Was sind sensible personenbezogene Daten?

Der PDPA enthält strenge Anforderungen an die Erhebung und Datenspeicherung sensibler personenbezogener Daten, einschließlich personenbezogener Daten, die sich auf Folgendes beziehen: rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Strafregister, Mitgliedschaft in der Vereinigung, genetische Daten, biometrische Daten, Gesundheitsdaten und sexuelle Ausrichtung oder Präferenzen.

Auf dieser Seite