In den letzten zwei Jahren haben wir die Wende gegen das System der Benachrichtigung und Wahl beobachtet, das den Online-Datenschutz seit den Tagen des America Online (AOL) Werbegeschenk-Discs .
Im April 2018 teilte Senator John Kennedy (R-LA) Mark Zuckerberg mit, dass die Nutzungsvereinbarung von Facebook ist scheiße . Im Februar 2019 bezeichneten Rep. Frank Pallone, Jr. (D-NJ), Sen. Roger Wicker (R-MS) und Sen. Maria Cantwell (D-WA) die Datenschutzrichtlinien jeweils als unrealistisch und unfair , langatmig und verwirrend , und einfach nicht mehr genug . Dann, im vergangenen Oktober, wiederholte FTC-Kommissarin Rebecca Kelly Slaughter diese Bedenken bei einem Kamingespräch in Brookings und sagte, ich sei wirklich über die Ankündigung und Zustimmung hinaus.
Astronaut in der Raumstation
Eine von uns (Kerry) beschreibt das aktuelle Datenschutzregime als verlorenes Spiel. hat einen Brookings-Bericht 2018 geschrieben Hervorhebung der wichtigsten Probleme, die anschließend auf beiden Seiten des Ganges ausgestrahlt wurden. Ein Problem ist, dass Datenschutzrichtlinien zu Überbenachrichtigungen oder Klickermüdung führen können. Ein anderer ist, dass der Online-Marktplatz asymmetrisch ist; Unternehmen wissen viel mehr darüber, wie sie Daten sammeln und verarbeiten, als selbst der anspruchsvollste und wachsamste Mensch. Ein drittes Problem besteht darin, dass Einzelpersonen in der Regel, wenn überhaupt, nur wenige echte Wahlmöglichkeiten haben, wie Unternehmen personenbezogene Daten verarbeiten, speichern und weitergeben, nachdem sie diese gesammelt haben. Als Professor der Northeastern University Woody Hartzog sagte dem Kongress vor einem Jahr : [D]ie Kontrollunternehmen versprechen den Leuten, ist eine Illusion…. Unternehmen entscheiden, welche Kästchen die Leute ankreuzen, welche Tasten sie drücken, welche Schalter sie aktivieren und deaktivieren und an anderen Einstellungen, an denen sie herumfummeln.
Was Hartzog beschreibt – eine unvermeidliche Kaskade von Click-Through-Zustimmungen, zusammen mit einigen eingeschränkten Datenschutzeinstellungen, die den Benutzern zur Verfügung stehen – ist, wie das aktuelle System den einzelnen Personen die Verantwortung überträgt, personenbezogene Daten zu verstehen und zu verwalten. Im November haben die Senatsdemokraten eine Reihe von Datenschutzgrundsätzen veröffentlicht die vorschlagen, diese Last auf die Unternehmen abzuwälzen, die Daten erheben und verwenden. Dies ist ein wichtiger Schritt in Richtung einer Gesetzgebung, die Verantwortlichkeiten und Grenzen für Unternehmen festlegt, die unabhängig davon gelten, welche Offenlegungen ihre Benutzer lesen oder welche Kästchen sie ankreuzen.
Trotzdem stützen sich die meisten aktuellen Gesetzentwürfe und Gesetzesvorschläge in unterschiedlichem Maße auf die Bekanntmachung und Wahl. Kurz nachdem die Demokraten im Senat ihre Datenschutzgrundsätze veröffentlicht hatten, führte Cantwell die Gesetz über Online-Datenschutzrechte für Verbraucher und Wicker verteilt die Entwurf des Verbraucherdatenschutzgesetzes die jeweils verlangen, dass Unternehmen eine ausdrückliche Zustimmung einholen, bevor sie definierte Kategorien sensibler Daten sammeln. Ihre Definitionen sensibler Daten reichen von weit verbreiteten Datenpunkten (wie Telefonnummern oder E-Mail-Adressen) bis hin zu eng verwahrten Informationen (wie medizinische oder finanzielle Kontodaten). Darüber hinaus betrachtet der Cantwell-Gesetzentwurf Informationen zu Online-Aktivitäten als sensibel, was – wie ausgearbeitet – das Surfen im Internet, E-Commerce-Transaktionen und die Nutzung mobiler Apps umfassen könnte. In jedem Fall würden diese Vorschläge Einzelpersonen immer noch mit vielen Hinweisen zum Anzeigen und Kästchen zum Klicken versehen.
Wir haben gesehen, dass mehrere Hausentwürfe bis heute genauso stark auf Ankündigung und Zustimmung angewiesen sind. Mitte Dezember zirkulierten Mitarbeiter des House Energy & Commerce Committee a überparteiliche Diskussion über Gesetzesentwurf die von Unternehmen im Allgemeinen verlangt, dass sie eine klare und prägnante Mitteilung machen und eine ausdrückliche, bestätigende Zustimmung einholen, bevor sie Informationen verarbeiten, die den vernünftigen Verbrauchererwartungen nicht entsprechen. Insgesamt verwendet der Diskussionsentwurf den Begriff Einwilligung 37-mal. California Reps. Anna Eshoo und Zoe Lofgrens November 2019 Online-Datenschutzgesetz – die sich auch auf einen vernünftigen Erwartungsstandard stützt – verwendet den Begriff Zustimmung 58 Mal.
Viele aktuelle Gesetzesentwürfe zielen darauf ab, Datenschutzhinweise kürzer und benutzerfreundlicher zu gestalten, während andere sie um detaillierte Offenlegungspflichten erweitern würden. Manche versuchen sogar beides gleichzeitig – zum Beispiel Sen. Ed Markeys (D-MA) Gesetz zum Datenschutzgesetz fordert kurze Mitteilungen, die nicht nur klar, prägnant, übersichtlich, verständlich geschrieben und vollständig sind, sondern gleichzeitig detailliert darlegen, welche Daten erhoben, welchem Zweck sie dienen, an welche Dritten sie weitergegeben werden und mehr. Der Diskussionsentwurf von House Energy & Commerce macht ein ähnliches Prokrustes-Bett.
Es scheint also, dass die Kündigungsfrist noch eine gewisse Lebensdauer hat und wahrscheinlich eine Rolle in der Datenschutzgesetzgebung spielen wird. Transparenz ist zwar weitgehend von Bedeutung, aber in jedem Gesetzentwurf müsste berücksichtigt werden, dass Informationen über die Datenerhebung und -verarbeitung für verschiedene Zielgruppen und Kontexte separate Funktionen haben und dass jede Funktion einen anderen Grad der Offenlegung erfordert. Um ein Recht auf Benachrichtigung und Transparenz zu erhalten, sollten die Gesetze zwei unterschiedliche Arten von Benachrichtigungen vorsehen: a) vollständige Datenschutzerklärungen für Aufsichtsbehörden und andere spezialisierte Parteien und b) eine Vielzahl kontextbezogener Benachrichtigungen für Verbraucher.
Viele der Informationen, die in den typischen Datenschutzrichtlinien enthalten sind, sind für den Durchschnittsbürger nutzlos. Die bereitgestellten Beschreibungen der Datenverarbeitung sind nicht nur in der Regel rechtmäßig und undurchsichtig; selbst wenn sie klar und einfach ausgedrückt werden, sind viele der informationen nicht sofort umsetzbar oder vielleicht sogar relevant.
Im Gegensatz dazu haben vollständige und detaillierte Beschreibungen der Datenverarbeitungs- und Datenschutzpraktiken einen erheblichen Wert für Aufsichtsbehörden, Journalisten und Organisationen von öffentlichem Interesse. Insbesondere die Federal Trade Commission (FTC) verwendet derzeit Datenschutzrichtlinien und andere Unternehmenserklärungen als Benchmarks, um unlautere oder irreführende Handlungen oder Praktiken gemäß Abschnitt 5 des FTC-Gesetzes zu identifizieren. Bei der Anerkennung der Bedeutung von Rechenschafts-Benchmarks würde der Kongress dieses spezialisierte Publikum von Wachhunden weiter unterstützen, indem er gründliche Offenlegungspflichten in die Gesetzgebung einbezieht.
Die Vorschläge von Cantwell und Wicker erkennen beide an, dass umfassende Datenschutzerklärungen dem öffentlichen Wohl dienen können, und fordern umfassendere Offenlegungen des Unternehmens für die Öffentlichkeit. Ein wichtiger und damit zusammenhängender Hinweis ist, dass Unternehmenserklärungen über allgemeine Allgemeingültigkeiten hinausgehen und konkrete Angaben zu einer ganzen Reihe von Datenschutzpraktiken machen müssen, um echte Rechenschaftspflicht-Benchmarks zu erfüllen. Wie die Gesetzentwürfe von Cantwell, Wicker und House Energy & Commerce (unter anderem) vorschlagen, sollten diese Offenlegungen beinhalten, welche Daten gesammelt, wie sie verwendet und aufbewahrt werden, wie und mit wem sie geteilt werden, welche Sicherheitsmaßnahmen getroffen wurden und durch welche Mechanismen Verbraucher ihre Datenschutzrechte ausüben können.
Schließlich können schriftliche Richtlinien Unternehmen dabei helfen, ihre Denkweise intern zu klären und die Unternehmensbeauftragten, die Data Governance und Datenschutzrisikobewertungen beaufsichtigen, zur Rechenschaft zu ziehen. Der Cantwell-Gesetzentwurf formalisiert diese Rechenschaftspflicht, indem er die Datenschutzaufsicht auf CEOs ausweitet und Offenlegungs- und Zertifizierungsanforderungen aus Wertpapiervorschriften importiert. Gemäß diesem Gesetzentwurf müssten qualifizierte Unternehmen der FTC jährliche Datenschutzberichte vorlegen, die von Unternehmensbeauftragten zertifiziert wurden, in denen die Einhaltung der vorgeschlagenen Vorschriften durch jedes Unternehmen beschrieben wird.
Die Ausrichtung von Nachrichten auf Einzelpersonen kann ein ganz anderes Spiel sein. Die detaillierteste und ehrlichste Offenlegung des Datenschutzes könnte für die Aufsichtsbehörden ein Allheilmittel der Transparenz sein, aber für die Mehrheit der Verbraucher völlig nutzlos.
Trotzdem verdienen Einzelpersonen Transparenz. Transparenz ist ein grundlegender Wert – aber für die meisten Menschen bedeutet sie wenig, wenn sie nicht zielgerichtet und umsetzbar ist. Unternehmen können diesen Wert verkörpern, indem sie relevante Informationen in mehreren Formaten und Kontexten bereitstellen. Apple bietet beispielsweise Popup-Benachrichtigungen, wenn iOS-Apps iPhone-Standortdaten anfordern, die den Verbrauchern sowohl aktuelle als auch spezifische Informationen anzeigen.
In anderen Zusammenhängen, beispielsweise vor der Erhebung von Gesundheitsinformationen oder Informationen über Kinder unter 13 Jahren, können Personen von Mitteilungen in unterschiedlichen Formaten profitieren. Im Zusammenhang mit medizinischen Daten oder Daten von Kindern können zusätzliche Anforderungen für Vorabmeldungen erforderlich sein, um eine Opt-in-Kontrolle zu ermöglichen (gemäß dem, was HIPAA und TASSE derzeit Mandat). Unter solchen Umständen sollten neue Rechtsvorschriften klare und umsetzbare Informationen in einem Format vorschreiben, das sicherstellt, dass Benutzer unter den (begrenzten) Umständen, in denen Unternehmen sie noch verwenden können, eine sinnvolle Einwilligung geben. Eine einheitliche Offenlegungspflicht kann die kontextuelle Relevanz untergraben, die die Einwilligung sinnvoll macht.
Durch die Bereitstellung von Informationen in mehreren Formen kann sich das Konzept der Benachrichtigung ändern, um aussagekräftigere und echte Transparenz zu ermöglichen. Eine letzte Anmerkung: Während die meisten Personen realistischerweise nicht dafür verantwortlich sein sollten, eingehende Hinweise zu lesen, sollte jeder, der Datenverarbeitungspraktiken, Datenschutzrechte und Rechtsbehelfe befolgen möchte, auf den vollen Umfang dieser Informationen zugreifen können. Hier verfolgen die Vorschläge von Cantwell, Wicker und Markey den richtigen Ansatz, indem sie vorschreiben, dass detaillierte Informationen für alle öffentlich zugänglich sind.
Transparenz kann einen Wert haben, aber in der Praxis reicht Wissen allein nicht immer aus, um die Privatsphäre der Verbraucher zu gewährleisten. Darüber hinaus sollte es nicht erforderlich sein, dass jemand die Datenverarbeitungspraktiken eines Unternehmens vollständig versteht, um dem Unternehmen beim Schutz personenbezogener Daten zu vertrauen – ein Punkt, den David Medine und Gayatri Murthy, beide von der Consultative Group to Assist the Poor (CGAP), kürzlich hervorgehoben in TechTank .
Aus diesen Gründen ergänzen die Vorschläge von Cantwell und Wicker sowie zahlreiche andere die Datenschutzhinweise um individuelle Rechte, die nicht geändert oder unterschrieben werden können. Viele dieser vorgeschlagenen Rechte umfassen den individuellen Zugang, die Berichtigung, das Löschen und die Übertragbarkeit personenbezogener Online-Daten, parallel zu den Rechten der Europäischen Union Datenschutz-Grundverordnung (DSGVO) und das California Consumer Privacy Act insofern. Diese vier Rechte würden faktisch vorschreiben, dass alle anwendbaren Unternehmen Einzelpersonen sowohl Zugriff als auch Kontrolle über personenbezogene Daten gewähren – wie zum Beispiel die Funktionen, die derzeit in Facebooks integriert sind Greifen Sie auf Ihre Informationen zu Portal und Googles Google-Dashboard . Sie würden Einzelpersonen konkrete Beispiele für die zuvor beschriebenen Praktiken zur Offenlegung bieten, und diese Beispiele können auf den einzelnen Benutzer zugeschnitten werden.
Ein individueller Zugang kann als leistungsstarkes Instrument für Transparenz und Rechenschaftspflicht dienen. Denken Sie daran, dass der österreichische Jurastudent Max Schrems 2013 das Facebook-Portal „Access Your Information“ nutzte und dazu aufforderte laufendes Verfahren vor dem Gerichtshof der Europäischen Union das wirft EU-USA Datenübertragungen bis heute in Frage gestellt. Sowohl die Rechte vor als auch nach der Erhebung würden somit einen Weg zu mehr individueller Handlungsfähigkeit gegenüber personenbezogenen Online-Informationen bieten, unabhängig davon, welche Dienstleistung oder welches Produkt die Leute nutzen, was uns effektiv zur Transparenz führt. Durch die Bereitstellung grundlegender Kontrollmechanismen würde der Kongress eine dritte Sichtbarkeitsebene schaffen – zusätzlich zu vollständigen Datenschutzoffenlegungen für Aufsichtsbehörden und kontextbezogenen Hinweisen für Einzelpersonen –, um ein öffentliches Engagement für die Datenverarbeitung und Datenschutzpraktiken zu ermöglichen.