Internationale Datenschutzanforderungen und Cookie-Compliance: Häufig gestellte Fragen/Was Sie wissen sollten
UUID-892e4c4f-cd40-c63f-cb8d-46895df6d19d
Article Content
Nachfolgend finden Sie häufig gestellte Fragen zum Cookie-Compliance-Modul von OneTrust und zum Umgang mit personenbezogenen Daten. Darüber hinaus finden Sie Leitlinien zu internationalen Datenschutzanforderungen für Russland, China und andere Länder, die in Europa, Asien und Afrika von Interesse sind.
Häufig gestellte Fragen
1.
Speichert OneTrust gesammelte Informationen?
Die Cookie-Voreinstellung wird in einem Cookie gespeichert, das auf dem Gerät des Websitebesuchers gespeichert wird.
2.
Sendet OneTrust die gesammelten Informationen an seine Datenbanken? Und wenn ja, wo befinden sich diese Datenbanken?
Die Cookie-Voreinstellung wird in einem Cookie gespeichert, das im Browser des Websitebesuchers gespeichert wird. Der Datenbankspeicher kann durch die Aktivierung optionaler Funktionen wie Analysen oder durch eine Integration mit der Einwilligungsfunktion ausgelöst werden.
3.
Verfügt OneTrust über ein konformes Cookie-Compliance-Tool, das in Russland angeboten werden kann?
OneTrust schließt Russland in die
Leitlinien ein, die wir Unternehmen zu Cookie-Anforderungen bereitstellen. Die Compliance hängt von einer Reihe von Faktoren und der Auslegung des Kunden ab, wie die Anforderungen auf unsere Cookie-Infrastruktur anzuwenden sind. Darüber hinaus ergreifen Kunden, die wissen, dass die Anforderung der Datenlokalisierung für Cookies gilt, oft zusätzliche Schritte, um
diese Anforderung zu erfüllen. Beispielsweise können Kunden die an OneTrust gesendeten Daten als Proxy verwenden.
4.
Speichert OneTrust IP-Adressen, die während der Geolokalisierungsdatensuche oder der Erfassung der Einwilligungsbestätigung im CMP verwendet werden?
Nein. Das OneTrust-Skript ruft den Geolokalisierungsdienst auf. Die Netzwerkanforderung enthält wie jede andere Netzwerkanforderung die IP-Adresse, die dann verwendet wird, um die Standortinformationen auf der Grundlage der in der Anwendung konfigurierten Granularität (z. B. Land, Staat) zu ermitteln. Die Antwort enthält die 2-Byte-ISO-Codes, aber es werden keine IP-Adressinformationen in den Speicher geschrieben.
Was Sie wissen sollten
Russland
Roscomnadzor hat bestätigt, dass die grenzüberschreitende Übermittlung personenbezogener Daten nach dem 1. September 2015 weiterhin zulässig ist, vorausgesetzt, dass die entsprechenden Anforderungen für grenzüberschreitende Übermittlungen, die oben in Abschnitt 4 behandelt werden, eingehalten werden, und die primäre Datenbank, die die personenbezogenen Daten enthält, sich in Russland befindet. Daher muss ab dem 1. September 2015 vor der Übermittlung der personenbezogenen Daten russischer Bürger außerhalb Russlands sichergestellt werden, dass sich die primären Datenbanken, die diese personenbezogenen Daten enthalten, in Russland befinden (z. B. in einem russischen Rechenzentrum oder auf einem anderen Computer oder Server). Darüber hinaus sollte immer überprüft werden, dass Aktualisierungen des Inhalts personenbezogener Daten immer zuerst in der russischen Datenbank vorgenommen werden und dass die personenbezogenen Daten russischer Bürger erst danach an die ausländische Datenbank übermittelt werden. Mit anderen Worten: Die ausländische Datenbank kann im Grunde ein Spiegelbild der russischen Datenbank sein, aber sie kann nicht aktueller oder vollständiger sein als die russische Datenbank, was die Anzahl der Datensätze angeht.
Die OneTrust-Implementierung auf russischen Websites sollte Folgendes umfassen:
Alle Daten russischer Kunden (Bürger) werden getrennt von anderen Kunden und nur in Datenbanken in der Russischen Föderation gespeichert. Dies ist nur dann möglich, wenn der Kunde sich dafür entscheidet, die unterstützende Infrastruktur dafür zu schaffen.
Die personenbezogenen Daten russischer Kunden müssen zugänglich sein, und ihre Anfrage darf nur vom MTEast DPO bearbeitet werden. Dies ist die Absicht der Architektur, aber Supportanfragen könnten dazu führen, dass OneTrust Zugriff auf den Mandanten erhält, so dass dies in Betracht gezogen werden sollte.
China
Siehe Anhang (Ende des Artikels). In der Regel besteht in China derzeit keine generelle Datenlokalisierungspflicht. Dies bedeutet, dass es im Allgemeinen keine Verpflichtung zur Speicherung von Daten, einschließlich personenbezogener Daten, innerhalb von China gibt. Im Fall von personenbezogenen Daten besteht die einzige Anforderung gemäß CSL darin, die betroffene Person über eine solche Übermittlung zu informieren.
Der POPIA sieht vor, dass ein Datenverantwortlicher personenbezogene Daten einer betroffenen Person nur dann an einen Dritten in einem anderen Land übermitteln darf, wenn:
der Empfänger einem Gesetz oder Vertrag unterliegt, das/der:
die Grundsätze einer angemessenen Datenverarbeitung einhält, die im Wesentlichen den im POPIA enthaltenen Grundsätzen entsprechen, und
die Bestimmungen enthält, die im Wesentlichen denen des POPIA in Bezug auf die weitere Übermittlung personenbezogener Daten vom Empfänger an Dritte entsprechen,
die betroffene Person der Übermittlung zustimmt,
die Übermittlung für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder für die Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Antrag der betroffenen Person getroffen werden,
die Übermittlung für den Abschluss oder die Erfüllung eines Vertrags erforderlich ist, der im Interesse der betroffenen Person zwischen dem Verantwortlichen und einem Dritten abgeschlossen wird, oder
die Übermittlung zum Nutzen der betroffenen Person erfolgt und:
es nach vernünftigem Ermessen nicht praktikabel ist, dafür die Einwilligung der betroffenen Person einzuholen, und
falls die Einholung einer solchen Einwilligung nach vernünftigem Ermessen möglich wäre, die betroffene Person diese wahrscheinlich erteilen würde.
Die Anforderungen an die Datenlokalisierung nach türkischem Recht sind bislang eher branchenspezifisch. Zu den aktuellen Branchen, für die zusätzliche Beschränkungen gelten können, gehören Banken, Unternehmen der eSIM-Technologie, Finanzen, Gesundheitswesen und Energie.
Es gelten die Anforderungen für die Verarbeitung von Gesundheitsdaten. Dementsprechend dürfen Gesundheitsdaten in der Regel nur dann ins Ausland übertragen werden, wenn die Einwilligung der betroffenen Person vorliegt. Die Übermittlung ins Ausland von Daten über den Gesundheitszustand oder das Sexualleben ohne Zustimmung der betroffenen Person setzt voraus, dass der für die Verarbeitung Verantwortliche zur Vertraulichkeit verpflichtet ist und die Daten nur zum Schutz der öffentlichen Gesundheit, zur Vorbeugung, zur medizinischen Diagnose, zur medizinischen Behandlung und Pflege oder zur Planung, Verwaltung oder Finanzierung von Gesundheitsdienstleistungen übermittelt werden.
Die IT-Regeln von 2011 regeln den Umgang mit personenbezogenen Daten und sensiblen personenbezogenen Daten oder Informationen. Es gibt Anforderungen für die Aufrechterhaltung angemessener Sicherheitspraktiken und -verfahren in Bezug auf sensible personenbezogene Daten oder Informationen (SPDI).
Die SPDI-Regeln sehen vor, dass bei der Übermittlung von SPDI an Dritte (innerhalb oder außerhalb Indiens):
die betroffene Person ihre ausdrückliche Zustimmung zu einer solchen Übermittlung erteilt hat, und
der Übermittler sicherstellen muss, dass der Übermittlungsempfänger das gleiche Datenschutzniveau gemäß den indischen Datenschutzgesetzen einhält wie der Übermittler.
Die Lokalisierung hat gesetzeskonform zu erfolgen.
Südkorea hat derzeit keine generalisierten Anforderungen an die Datenlokalisierung oder Datenspeicherung. Einige Gesundheitsdaten werden jedoch gesondert behandelt.
Ein Cloud-Server, der elektronische Patientenakten speichert, die von einem Krankenhaus erstellt wurden („Vom Krankenhaus generierte elektronische Patientenakten“), muss sich in Südkorea befinden. Die Norm für Einrichtungen und Anlagen zur Verwaltung und Speicherung von vom Krankenhaus generierter elektronischer Patientenakten (hier nur in koreanischer Sprache verfügbar) sieht vor, dass das Ministerium für Gesundheit und Wohlfahrt (MOHW) alle drei Jahre eine offizielle Mitteilung herausgibt, in der die Anforderungen an die Server (einschließlich der Backup-Server), auf denen die elektronischen Patientenakten der Krankenhäuser gespeichert werden, festgelegt werden, z. B. dass sie sich derzeit in Südkorea befinden müssen und dass es nicht zulässig ist, von einem ausländischen Standort aus auf diese Akten zuzugreifen.
Die Übermittlung personenbezogener Daten an Länder außerhalb von Südkorea unterliegt den Anforderungen der Bekanntmachung und der Einwilligung. Wie oben in Abschnitt 4.1 erwähnt, müssen die betroffenen Personen vor einer solchen Datenübermittlung über Folgendes informiert werden und dazu ihre Einwilligung erteilen:
die zu übermittelnden personenbezogenen Daten,
das Land, in das die Daten übermittelt werden,
Datum, Uhrzeit und Übermittlungsmethode(n),
Name des Empfängers,
Zweck(e) der Übermittlung, und
Dauer der Aufbewahrung der Daten und deren Verwendung.
Diese Einwilligung ist unabhängig von der Einwilligung, die für die Erfassung und Verarbeitung personenbezogener Daten erforderlich ist, die an anderer Stelle nach dem Gesetz erforderlich ist. Ungeachtet der obigen Einschränkung kann der für die Verarbeitung Verantwortliche personenbezogene Daten ohne Zustimmung der betroffenen Person/des Benutzers ins Ausland übermitteln, wenn die personenbezogenen Daten für die „Erbringung von Dienstleistungen oder zur Förderung des Nutzerkomforts“ erforderlich sind, vorausgesetzt, die betroffene Person wurde gemäß Artikel 25 des ICNA über die oben genannten Punkte informiert.
Scannt die Domain und sendet das Website-Cookie und die Website-URLs an die Hauptanwendung.
Überträgt die Konfigurationsdaten des gewünschten Cookie-Banners vom OneTrust Admin-Benutzer und speichert sie in der Datenbank.
Websiteeinstellungen (Text, Layoutauswahl, Branding), die für den Veröffentlichungsservice freigegeben werden, um HTML zu generieren.
HTML, CSS und JavaScript der Website zum Hosting in statischen BLOB-Speicher übertragen.
Websitebesucher geht zur Client-Website (HTTPS).
OneTrust Cookie-Compliance-Banner wird aus dem globalen CDN (HTML, JS, CSS) geladen.
Die Geolokalisierung des Websitebesuchers erfolgt, indem die IP-Adresse des Besuchers an einen Suchdienst gesendet wird. Die IP-Adresse wird von Cloudflare verarbeitet, um den Standort zu bestimmen, und wird nicht gespeichert.
Nachdem der Websitebesucher die Präferenzen für die Einwilligung auf der Website angegeben hat, werden diese für die Einwilligung zur Speicherung und Aufbewahrung an OneTrust gesendet.
(A) – Website-Scanner-Dienst (überwacht die Website auf Einwilligungsbedarf).
(B) – OneTrust MSSQL-Daten-Repository. Verschlüsselung mit TDE-verwalteten Azure-Verschlüsselungsschlüsseln.
(C) – OneTrust-Admin-Konsole: Die Webanwendung, in der das Cookie-Banner und die Regeln konfiguriert sind.
(D) – OneTrust-Publishing Service – generiert HTML, CSS und JS, die auf die Client-Website gestellt werden.
(E) – Azure-Speicher-BLOB: Statischer Speicher für Website-Dateien, die auf die Website geladen werden.
(F) – Content Delivery Network: Verteilt Skripte, die vom Azure-Speicher-BLOB abgerufen wurden.
(G) – Geolokalisierungsdienst – bestimmt den Standort der Websitebesucher und wendet das korrekte Einwilligungsbanner und die richtige Logik für deren Browsersitzung an.
(H) – WAF/Empfangsdienst: (Optionaler Dienst). Erhält Einwilligungsdatensätze von Websitebesuchern.
* Daten werden auf unbestimmte Zeit aufbewahrt, wenn das OneTrust-Konto aktiv ist. Nach der Kündigung des OneTrust-Kontos werden die Daten nach 45 Tagen entfernt.
** Alle Daten im Ruhezustand A-E werden im Ruhezustand mit Azure AES 256-Bit-Managed-Verschlüsselungsdiensten verschlüsselt. Zugriffskontrolle und Governance werden gemäß dem OneTrust-Whitepaper zum Sicherheits- und Datenschutzprogramm implementiert und in den Audits nach ISO 27701 und SOC2 Typ 2 angegeben.
