GDPR
Die GDPR (General Data Protection Regulation, auf Deutsch Datenschutz-Grundverordnung bzw. DSGVO) ist das umfassende Datenschutzgesetz der Europäischen Union, in Kraft seit Mai 2018, das regelt, wie Organisationen die personenbezogenen Daten von Personen in der EU und im EWR erheben, verarbeiten und speichern.
Wie GDPR funktioniert
Die GDPR ersetzte die Datenschutzrichtlinie von 1995 und gilt für jede Organisation, die personenbezogene Daten von Personen in der Europäischen Union und im Europäischen Wirtschaftsraum verarbeitet, unabhängig davon, wo die Organisation selbst ansässig ist. Diese extraterritoriale Reichweite bedeutet, dass ein Unternehmen an jedem Ort der Welt unter die Verordnung fallen kann, wenn es sich an Einwohner der EU richtet oder deren Verhalten überwacht.
Im Kern verlangt die Verordnung, dass sich jede Verarbeitung personenbezogener Daten auf eine von sechs Rechtsgrundlagen stützt: Einwilligung, Vertrag, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe oder berechtigte Interessen. Sie verankert außerdem Grundsätze wie Zweckbindung, Datenminimierung, Speicherbegrenzung, Richtigkeit und Rechenschaftspflicht und gewährt Personen Rechte wie Auskunft, Berichtigung, Löschung, Datenübertragbarkeit und Widerspruch.
Die Durchsetzung obliegt den nationalen Aufsichtsbehörden (Datenschutzbehörden), koordiniert durch den Europäischen Datenschutzausschuss. Sanktionen für schwere Verstöße können bis zu 20 Millionen Euro oder 4 Prozent des gesamten weltweiten Jahresumsatzes eines Unternehmens erreichen, je nachdem, welcher Betrag höher ist – weshalb die Einhaltung für global tätige Unternehmen zu einem Anliegen auf Vorstandsebene geworden ist.
Für Techniken wie Device-Fingerprinting und Analytics greift die GDPR mit der ePrivacy-Richtlinie (dem sogenannten „Cookie-Gesetz“) ineinander. Das Lesen oder Schreiben von Informationen auf dem Gerät eines Nutzers erfordert in der Regel eine Einwilligung, sofern es nicht für einen vom Nutzer angeforderten Dienst unbedingt erforderlich ist, während die nachgelagerte Verarbeitung der daraus resultierenden personenbezogenen Daten weiterhin die Anforderungen der GDPR an Rechtsgrundlage und Transparenz erfüllen muss.
Warum GDPR für die Betrugsprävention wichtig ist
Die GDPR prägt, wie jedes System zur Betrugsprävention in Europa arbeiten darf. Device Intelligence (Geräteintelligenz) und Fingerprinting können personenbezogene Daten verarbeiten, weshalb Betreiber eine gültige Rechtsgrundlage bestimmen müssen (häufig berechtigte Interessen für Sicherheit und Betrugsprävention, die die Verordnung ausdrücklich als legitimen Zweck anerkennt), eine Abwägungsprüfung dokumentieren und gegenüber den Nutzern transparent sein müssen. Dies richtig umzusetzen schützt sowohl das Unternehmen vor regulatorischen Sanktionen als auch die betroffenen Personen vor unverhältnismäßiger oder verdeckter Überwachung und macht die GDPR zum zentralen Bezugspunkt für einen datenschutzbewussten Umgang mit Daten in der Region.
Wie TRACIO damit umgeht
TRACIO ist für einen GDPR-bewussten Einsatz konzipiert: Es arbeitet als First-Party-Device-Intelligence-Dienst mit Fokus auf Sicherheit und Betrugsprävention, minimiert die von ihm gespeicherten Signale und gibt den Kunden die Kontrollmöglichkeiten, die sie benötigen, um ihre eigene Rechtsgrundlage und ihre Richtlinien zum Umgang mit Daten zu dokumentieren. TRACIO macht jedoch keinen Kunden automatisch rechtskonform. Die Konformität hängt davon ab, wie jeder Kunde Zwecke, Hinweise, Aufbewahrung und Einwilligung in seinem spezifischen Kontext konfiguriert, und die rechtliche Verantwortung für diese Bewertung verbleibt beim Kunden. TRACIO unterstützt diese Arbeit, statt das eigene rechtliche Urteil des Kunden zu ersetzen.
Verwandte Begriffe
Mehr erfahren
Häufig gestellte Fragen
Identifizieren Sie jedes Gerät mit Sicherheit
Starten Sie mit einem kostenlosen Tarif von 2.500 API-Aufrufen pro Monat. Keine Kreditkarte erforderlich.