Unter Internetrecht – manchmal auch Onlinerecht genannt – versteht man die Rechtsgrundsätze und Vorschriften, die die Nutzung des Internets regeln. Die Internetgesetzgebung ist nicht immer klar und eindeutig, weil:
Die Europäische Union hat ein übergreifendes Datenschutzgesetz verabschiedet, die so genannte Datenschutz-Grundverordnung (DSGVO). Im Gegensatz dazu gibt es in den USA kein zentrales Online-Datenschutzgesetz auf Bundesebene. Stattdessen gibt es eine Reihe von branchenspezifischen Datenschutzgesetzen auf Bundesebene und einige an den Verbraucherschutz angelehnte Datenschutzgesetze in einzelnen Bundesstaaten. In diesem Artikel geben wir Ihnen einen Überblick über einige der wichtigsten Gesetze zur Internetsicherheit, die Sie kennen sollten.
Auch wenn der Privacy Act von 1974 bereits vor dem Internet verabschiedet wurde, bildet er trotzdem die Grundlage für viele Gesetze zum Datenschutz und zum Schutz der Privatsphäre in den USA. Das Gesetz wurde als Reaktion auf die große Menge an personenbezogenen Daten verabschiedet, die von US-Behörden in Computerdatenbanken gespeichert werden. Das Gesetz regelt Folgendes:
Mit der Erfindung des Internets änderte sich allerdings die Definition des Begriffs „Privatsphäre“, sodass neue Datenschutzgesetze für die elektronische Kommunikation erforderlich wurden.
Mitdem Federal Trade Commission Act von 1914 wurde die US Federal Trade Commission gegründet, deren Aufgabe darin besteht, den Handel vor unlauterem Wettbewerb und unfairen Handelspraktiken zu schützen.
Auch wenn die FTC heute nicht mehr explizit regelt, welche Informationen in den Datenschutzrichtlinien von Webseiten enthalten sein sollten, wacht sie noch immer über die Herausgabe von Vorschriften, die Durchsetzung von Datenschutzgesetzen und den Verbraucherschutz. Die FTC geht beispielsweise gegen Organisationen vor, die:
Die FTC spielt vor allem deswegen eine wichtige Rolle bei der Regulierung des Internets, weil sie Untersuchungen gegen führende Technologieanbieter und Betreiber von sozialen Medien einleitet, deren Angaben zur Privatsphäre der von ihnen erhobenen Verbraucherdaten irreführend sind. So ist die FTC in der Vergangenheit Beschwerden nachgegangen, die bezüglich der Verwendung von Kundendaten gegen Facebook erhoben wurden.
Der Children's Online Privacy Protection Act von 1998 – auch als COPPA bekannt – ist ein US-Bundesgesetz. Laut diesem Gesetz sollen Eltern die Kontrolle darüber haben, welche Informationen über ihre kleinen Kinder im Internet erfasst werden. COPPA richtet sich an die Betreiber kommerzieller Webseiten und Online-Dienste (einschließlich mobiler Apps und Geräte des Internets der Dinge) für unter 13-Jährige, deren personenbezogene Daten auf diesen Seiten erfasst werden.
Wesentliche Vorgaben von COPPA:
Das Gesetz stammt zwar aus den Anfängen des Internets, hat aber im Zeitalter von sozialen Medien und programmatischer Werbung zunehmend an Bedeutung gewonnen. Eine Schlüsselfrage im Zusammenhang mit COPPA ist, inwieweit eine Website an Kinder unter 13 Jahren „gerichtet“ ist. In den USA bewertet die Federal Trade Commission Webseiten anhand verschiedener Kriterien, wie zum Beispiel:
Einige Webseiten oder Dienste legen sich selbst Altersbeschränkungen auf, um die COPPA-Vorschriften nicht einhalten zu müssen. So legen beispielsweise viele soziale Netzwerke, deren Geschäftsmodell auf der Erfassung und Vermarktung von Nutzerdaten beruht, das Mindestalter für die Registrierung auf 13 Jahre fest.
Eine weitere Frage, die im Zusammenhang mit COPPA diskutiert wird, ist, was genau unter die „Erfassung personenbezogener Daten“ fällt. Das Erfassen von Namen, Adressen und Fotos gehört zweifelsohne dazu. Schwieriger wird es allerdings bei verhaltensbezogener Werbung, also Anzeigen, die das Nutzerverhalten auf Webseiten und in Apps nachverfolgen. Auch das stellt laut COPPA eine Erhebung von personenbezogener Daten dar. Selbst wenn diese verhaltensbezogenen Anzeigen von einem Dritten geschaltet werden, bleibt der Eigentümer der Webseite dafür verantwortlich, wenn auf seiner Webseite Inhalte speziell für Kinder bereitstellt werden. Angesichts der Tatsache, dass verhaltensbezogene Werbung einen so großen Teil des Internet-Ökosystems ausmacht, hat diese Interpretation erhebliche Auswirkungen auf kindgerechte Webseiten.
Das kalifornische Gesetz zum Schutz der Privatsphäre von Verbrauchern (CCPA) trat 2018 in Kraft. Gegenstand dieses Gesetzes war es, den Schutz der Privatsphäre für Verbraucher in US-Staat Kalifornien auf das Internet auszuweiten. Das CCPA gilt als das umfassendste Online-Datenschutzgesetz in den USA, das auch keine Entsprechung auf Bundesebene hat.
Ebenso wie die DSGVO in der EU gibt es Verbrauchern ein Recht auf Auskunft und Löschung sowie das Recht, der Datenverarbeitung zu widersprechen. Im Gegensatz zum CCPA räumt die DSGVO den Verbrauchern außerdem das Recht auf Berichtigung unrichtiger oder unvollständiger personenbezogener Daten ein. Im Rahmen der DSGVO muss der Verbraucher darüber hinaus der Nutzung seiner Daten zum Zeitpunkt der Übergabe explizit zustimmen. Im Gegensatz dazu schreibt das CCPA lediglich vor, dass auf jeder Webseite darauf hingewiesen werden muss, dass Verbraucher der Erhebung bestimmter Daten widersprechen können. Weitere Besonderheiten des CCPA:
Im CCPA ist die Definition von personenbezogenen Daten sehr breit gefasst: „Informationen, die einen bestimmten Verbraucher oder Haushalt identifizieren, sich auf ihn beziehen, ihn beschreiben, vernünftigerweise mit ihm in Verbindung gebracht werden können oder vernünftigerweise direkt oder indirekt mit ihm in Verbindung gebracht werden könnten“. Diese Sichtweise von personenbezogenen Daten ist damit ähnlich weitreichend wie die der DSGVO.
Die Datenschutz-Grundverordnung der EU – GDPR – ist seit 2018 in Kraft. Sie bildet den Rechtsrahmen, in dem die Richtlinien zur Erhebung und Verarbeitung personenbezogener Daten von Personen mit Wohnsitz in der Europäischen Union festgelegt sind. Die DSGVO gilt unabhängig vom Standort des Webservers oder des Webseiten-Anbieters, was bedeutet, dass sie auf allen Webseiten gilt, die EU-Bürger ansprechen. Die Datenschutz-Grundverordnung gilt als eines der weltweit strengsten Datenschutzgesetze.
In der DSGVO ist festgelegt, dass Webseiten-Nutzer informiert werden müssen, welche Daten von der Webseite erfasst werden, und dass Nutzer dieser Erhebung ihrer Daten ausdrücklich zustimmen müssen. Aus diesem Grund erscheinen auf vielen Websites Popups, in denen die Nutzer aufgefordert werden, der Speicherung von Cookies – das sind kleine Dateien, die persönliche Informationen wie Webseiten-Einstellungen und Präferenzen enthalten – zuzustimmen.
Wesentliche Eckpunkte der DSGVO:
Auf der offiziellen Webseite der Europäischen Kommission gibt es eine ausführliche Erläuterung der DSGVO. Es gab eine Reihe von aufsehenerregenden Fällen, in denen große Unternehmen wegen Verstößen gegen die DSGVO mit hohen Strafen belegt wurden. So wurde Google zu einer Geldstrafe in Höhe von 57 Millionen Dollar verurteilt, weil bei der Einrichtung neuer Android-Telefone wichtige Informationen ausgeblendet wurden, so dass die Nutzer nicht wussten, welchen Datenerfassungsrichtlinien sie zustimmten. Und British Airways musste eine Geldbuße in Höhe von 28 Millionen Dollar zahlen, nachdem 500.000 Buchungsdaten von Kunden bei einem Hackerangriff gestohlen wurden.
Der Health Insurance Portability and Accountability Act von 1996 (HIPAA) ist ein US-amerikanisches Bundesgesetz, das unter anderem die Bereiche Datenschutz und Datensicherheit im Gesundheitswesen regelt. Es verhindert, dass Leistungserbringer bzw. Unternehmen im Gesundheitswesen oder deren Mitarbeiter Gesundheitsdaten von Verbrauchern ohne deren Zustimmung weitergeben.
Wenn von der HIPAA die Rede ist, geht es meist um die darin enthaltene und 2003 eingeführte Regel zum Datenschutz. Die Einführung dieser Vorschrift war teilweise auch der Erkenntnis des US-Kongresses geschuldet, dass das Internet Datenschutzverletzungen im Gesundheitswesen in besonderem Maße Vorschub leistet. Die Datenschutzbestimmungen des HIPAA geben den Verbrauchern das Recht, gegenüber einem Gesundheitsdienstleister der Weitergabe ihrer Gesundheitsdaten ganz oder teilweise zu widersprechen.
Allerdings unterliegen nur bestimmte Bereiche der Gesundheitsversorgung dem HIPAA. Die Gesundheitsdaten auf Ihrem Fitness-Tracker sind zum Beispiel nicht davon abgedeckt. Genetische Daten, die Sie auf Webseiten wie Ancestry.com eingeben, fallen ebenfalls nicht unter den HIPAA. Diese Informationen sind durch andere Datenschutzgesetze oder -vereinbarungen, wie sie z. B. in vielen Apps vorgeschrieben sind, geschützt, nicht aber durch den HIPAA.
Der Gramm-Leach-Bliley Act (GLBA) – auch bekannt als Financial Services Modernization Act von 1999 – ist ein Gesetz, das die Finanzdienstleistungsbranche regelt und gewisse Datenschutzelemente und Regelungen zur Datensicherheit enthält. Der in diesem Gesetz verankerte Schutz personenbezogener Daten baut auf früheren Gesetzen zu Finanzdaten von Verbrauchern wie dem Fair Credit Reporting Act (FCRA) auf.
Im Wesentlichen schützt der GLBA nicht-öffentliche personenbezogene Daten, die definiert sind als „Informationen, die über eine Person in Verbindung mit der Bereitstellung eines Finanzprodukts oder einer Finanzdienstleistung erhoben werden, sofern diese Informationen nicht anderweitig öffentlich zugänglich sind“. Der Verweis auf „öffentlich zugänglich“ bezieht sich auf Eintragungen im Kataster oder Hypothekeneinträge, die öffentlich zugänglich sein können.
Die GLBA Safeguards Rule macht zur Auflage, dass Firmen die von ihnen erhobenen Daten schützen und für angemessen ausgelegte Datensicherungssysteme sorgen. Mit anderen Worten: Große Nationalbanken benötigen weitaus höhere Schutzmaßnahmen als beispielsweise die Volksbank um die Ecke.
Die Unternehmen sind außerdem zu regelmäßigen Sicherheitstests verpflichtet. Darüber hinaus müssen sie innerbetriebliche Sicherheitsmaßnahmen ergreifen, indem sie z. B. Mitarbeiter einer Hintergrundüberprüfung unterziehen und Aktionspläne für den Angriffsfall aufstellen.
Die Vorspiegelung falscher Tatsachen ist laut GLBA strafbar. Von Vorspiegelung falscher Tatsachen spricht man, wenn sich jemand unrechtmäßig Zugang zu nicht öffentlichen Informationen verschafft. Der Ausdruck wird oft im Zusammenhang mit Social-Engineering-Hacks verwendet, wenn sich beispielsweise jemand als Vorgesetzter oder Polizist ausgibt, um an Informationen zu gelangen. Ein weiteres Beispiel für die Vorspiegelung falscher Tatsachen sind Phishing-Betrügereien, bei denen Menschen auf gefälschten Webseiten dazu verleitet werden sollen, private Informationen preiszugeben. Laut GLBA sind Finanzinstitute verpflichtet, im Rahmen ihrer Sicherheitspläne angemessene Maßnahmen zur Verhinderung solcher Betrügereien zu ergreifen.
Jedes Land hat seine eigenen Gesetze zum Schutz der Online-Privatsphäre und Datensicherheit. So gibt es beispielsweise in Brasilien das Lei Geral de Proteção de Dados (LGPD) und in Kanada den Consumer Privacy Protection Act (CPPA), die beide weitgehend der europäischen DSGVO und dem kalifornischen CCPA entsprechen.
In den USA ist der Datenschutz nicht über ein einheitliches Bundesgesetz geregelt. Die Regulierung des Internets ist ein komplexer Flickenteppich aus branchen- und medienspezifischen Gesetzen, wie den Gesetzen und Vorschriften zu Telekommunikation, Gesundheitsdaten, Kreditinformationen, Finanzinstituten und Marketing.
Den besten Schutz für Ihre Online-Privatsphäre und die Sicherheit Ihrer Daten bietet eine umfassenden Antiviren-Lösung. Ein Produkt wie Kaspersky Total Security blockiert zum Beispiel gängige und komplexe Bedrohungen wie Viren, Malware, Ransomware, Spionage-Apps und die neuesten Hacker-Aktivitäten.
Ähnliche Artikel: