Verbesserung Ihrer fairen Informationspraktiken

Letzte Woche veranstaltete Facebook [email protected], eine Datenschutzkonferenz mit einem einzigartigen Fokus – dem Endnutzer.

Heutzutage konzentriert sich die Agenda der meisten Datenschutzveranstaltungen fast immer auf rechtliche oder regulatorische Unsicherheiten – werden wir in den Vereinigten Staaten ein Datenschutzgesetz bekommen? Wird die vorgeschlagene EU-Verordnung jemals verabschiedet?

Zu Ehren von Facebook konzentrierte sich [email protected] darauf, was Unternehmen jetzt zum Schutz der Privatsphäre der Endnutzer tun können oder sollten, ungeachtet all dieser regulatorischen Ungewissheit. Und während der Konferenz bekamen wir einen Einblick, wie Unternehmen weiterhin Innovationen rund um die fairen Informationspraktiken oder „FIPs“ – Benachrichtigung, Einwilligung, Zugriff, Sicherheit und Durchsetzung – vorantreiben.

Beispielsweise diskutieren Unternehmen, die vernetzte Autos herstellen, nicht darüber, ob sie eine Datenschutzrichtlinie haben sollen oder nicht; Vielmehr hat sich die Diskussion darauf verlagert, wie die Datenschutzhinweise aussehen sollten, ob Töne oder Symbole eine Rolle bei der Belebung textbasierter Richtlinien spielen können und was passiert, wenn der Bildschirm des Geräts entweder sehr klein oder nicht vorhanden ist.

Was sind die FIPs?

Die FIPs sind die wichtigen Bausteine ​​jedes Datenschutzprogramms. Sie wurden erstmals 1973 in einem Bericht der US-Regierung mit dem Titel „Records, Computers and the Rights of Citizens“ artikuliert. Es war das erste Mal, dass sich ein Regierungsbericht auf die Auswirkungen der „automatisierten Datenverarbeitung“ auf US-Bürger konzentrierte. Jetzt, in der Post-Snowden-Ära, erscheint Caspar Weinbergers Einführung unglaublich vorausschauend und sogar ein bisschen finster:

„Computer, die durch Hochgeschwindigkeits-Telekommunikationsnetze miteinander verbunden sind, sind dazu bestimmt, das Hauptmedium für die Erstellung, Speicherung und Verwendung von Aufzeichnungen über Personen zu werden …“

Die FIPs wurden nie zur Grundlage eines kommerziellen Datenerhebungsgesetzes in den USA (in den USA gibt es noch heute kein solches Gesetz), aber sie bildeten die Grundlage für die Anforderungen mehrerer sektorspezifischer US-Gesetze, einschließlich des Datenschutzgesetzes von 1974, das den Bund verpflichtet Regierung zum Schutz personenbezogener Daten, die von US-Bürgern erhoben werden. Und interessanterweise integrieren und erweitern die meisten der heutigen globalen und Datenschutz-Frameworks die FIPs, z. B. erweitert das Datenschutzgesetz der Europäischen Union den „Hinweis“ um zwei zusätzliche Anforderungen – Zweckspezifikation und Nutzungsbeschränkung.

Erhöhen Sie Ihre FIPs!

Sollten Sie vor diesem Hintergrund „Ihre FIPs verstärken“? Unbedingt. Die FTC nahm die FIPs offiziell in einem Bericht aus dem Jahr 2000 an, und die Behörde entwickelt diese Implementierung weiter, um zu entscheiden, wie die Verletzung der Privatsphäre von Endbenutzern bewertet werden soll. Daher sollten App-Werbetreibende und -Vermarkter sich jeder FIP bewusst sein und wissen, wie sie in der Erfahrung des Produkts oder der App sowie in den Backend-Prozessen implementiert werden.

Hinweis – Seien Sie transparent und stellen Sie sicher, dass die Datenschutzrichtlinien „aussagekräftige“ Hinweise zur Datenerfassung und -nutzung enthalten. Machen Sie keine Versprechungen, die Sie nicht halten. Die FTC verklagte Snapchat auf der Grundlage der Datenschutzhinweise und anderer Erklärungen des Unternehmens, in denen behauptet wurde, dass Benutzernachrichten nach einer bestimmten Zeit „verschwinden“ würden. In Wirklichkeit wurden die Nachrichten in den Protokollen von Snapchat gespeichert und konnten von Drittanbieter-Apps abgerufen werden.

Zustimmung – Auch bekannt als Wahl und Kontrolle. Das Einholen der Zustimmung des Endbenutzers zur Datenerfassung und -nutzung ist ein Muss – einschließlich der ausdrücklichen Zustimmung zur Erfassung „sensibler“ Datenkategorien wie dem genauen Standort des Geräts des Endbenutzers.

Zugriff – Bieten Sie eine Möglichkeit, die Daten, die Sie über Endbenutzer gespeichert haben, zu ändern oder möglicherweise sogar zu löschen. Dazu gehört auch, Endbenutzer-Opt-out-Anfragen zu berücksichtigen, wie uns die FTC in ihrer jüngsten Aktion gegen Nomi Technologies gezeigt hat, ein Einzelhandels-Tracking-Unternehmen, das Endbenutzer auf Anfrage nicht abgelehnt hat.

Sicherheit – Schützen Sie alle wertvollen personenbezogenen Daten mit den richtigen organisatorischen und technischen Maßnahmen, um unbefugten Zugriff oder Offenlegung zu verhindern. Die FTC hat Klagen gegen Credit Karma und Fandango erhoben, weil sie Sicherheitspraktiken falsch dargestellt und sensible persönliche Daten von Verbrauchern nicht gesichert haben.

Durchsetzung – Dies umfasst sowohl staatliche Regulierung als auch Selbst- und Co-Regulierungsrahmen wie die Mobile-Richtlinien der Digital Advertising Alliance (DAA) oder den Kodex der Network Advertising Alliance (NAI). Außerdem ist es wichtig, dass Sie Ihre Mitgliedschaft in einem Regulierungsrahmen oder Safe Harbor nicht falsch darstellen oder angeben. Dieser Punkt wurde zuletzt von der FTC betont, die gerade zwei Klagen gegen Unternehmen wegen falscher Angabe ihres EU-US-Safe-Harbor-Teilnahmestatus abgeschlossen hat.

Achten Sie auf DAA, NAI und andere Selbstregulierungsanforderungen

Über diesen letzten Punkt lohnt es sich besonders nachzudenken. In den letzten zwei Monaten haben wir zwei wichtige Ankündigungen zur Selbstregulierung gesehen:

• Die DAA wird im September 2015 mit der Durchsetzung ihrer DAA-Mobilfunkrichtlinien für alle Unternehmen beginnen, die sich mit interessenbasierter Werbung und App-übergreifender Datenerfassung befassen. Diese Richtlinien bauen auf den Self-Regulatory Principles for Online Behavioral Advertising oder „OBA“ der DAA auf. Die DAA-Prinzipien sind ein wichtiges Selbstregulierungsprogramm und basieren teilweise auf den OBA-Prinzipien von FTC Staff aus dem Jahr 2009.

• Die NAI hat Richtlinien für die Verwendung von nicht auf Cookies basierenden Technologien (z. B. digitaler Fingerabdruck) herausgegeben, die auf dem NAI-Code aufbauen. Die NAI kategorisiert Unternehmen entweder in Erstparteien (die Daten im eigenen Namen sammeln und verwenden) oder in Dritte (Unternehmen, die entweder „datenübergreifende Werbung“ oder „Anzeigenlieferung und -berichterstattung“ im Auftrag anderer Unternehmen betreiben).

Es ist wichtig festzustellen, ob Sie in den Anwendungsbereich eines dieser Selbstregulierungsprogramme fallen. Beispielsweise hat die DAA erklärt, dass ihre Grundsätze „ alle Unternehmen abdecken, die sich mit [interessenbezogener Werbung] und Datenerfassungsaktivitäten für mehrere Standorte und mehrere Apps für die zulässige Nutzung befassen“, unabhängig davon, ob Sie DAA-Mitglied sind oder nicht.

Abschließend…

Es ist ein guter Zeitpunkt, um noch einmal darüber nachzudenken, wie Sie die FIPs in Ihr Datenschutzprogramm und die App-Erfahrung integrieren. Wie uns zahlreiche FTC-Maßnahmen gezeigt haben, ist die Einbeziehung dieser Anforderungen ein wichtiger Schritt, um Ihre Compliance- und gesetzlichen Anforderungen zu erfüllen. Aber die FIPs sind auch ein entscheidender Faktor, um Vertrauen zu schaffen – weil sie den Endbenutzern zeigen, dass Sie ihre Datenschutzrechte respektieren und ein vertrauenswürdiger Verwalter ihrer persönlichen Daten sind.

Und da immer mehr Unternehmen diesem Modell der Übernahme von Praktiken auf der Grundlage eines gemeinsamen Rahmens folgen, wird die Selbstregulierung zu einer praktikableren Alternative zur Verabschiedung gesetzlicher Anforderungen. Im Gegensatz zu einem Gesetz kann die Selbstregulierung mit der sich entwickelnden Technologie Schritt halten. Dies ist also ein Ansatz, den innovative Unternehmen prüfen sollten, um konform zu bleiben, aber auch innovativ zu bleiben.

Möchten Sie mehr über die Steigerung Ihrer FIPs erfahren? Dann vergessen Sie nicht, dieses Jahr am Postback-Workshop „FIPs for Apps“ von TUNE teilzunehmen.

Gefällt Ihnen dieser Artikel? Melden Sie sich für unsere Blog-Digest-E-Mails an.