Was sind faire Informationspraktiken? | Fair Information Practices oder FIPPs

Die Fair Information Practices Principles oder FIPPs sind eine Reihe von Datenschutzgrundsätzen, die heute von vielen Organisationen befolgt werden.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Alle Fair Information Practices auflisten
  • Die Entwickung der FIPP beschreiben
  • Erklären, warum so häufig auf die FIPPs verwiesen wird

Link zum Artikel kopieren

Was sind die Grundsätze der fairen Informationspraxis (FIPP)?

Die Fair Information Practices, auch bekannt als die Fair Information Practice Principles (FIPPs), sind acht Grundsätzen zur Datennutzung, Datenerfassung und zum Datenschutz. Sie wurden 1980 von der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) veröffentlicht und eine Reihe von Ländern hat ihnen im Wesentlichen zugestimmt.

Obwohl sie nicht formell Teil der Datenschutzgesetze sind, sind diese Grundsätze auch heute noch relevant und einflussreich. Viele Organisationen nutzen sie als Leitfaden für den Umgang mit persönlichen Daten. Mehrere der in den FIPPs aufgeführten Grundsätze sind in wichtigen Datenschutzregelungen wie der Datenschutz-Grundverordnung (DSGVO) und dem California Consumer Privacy Act (CCPA) enthalten.

Die acht Grundsätze der Fair Information Practices sind:

  1. Grundsatz der Begrenzung der Datenerfassung. Die Erfassung von persönlichen Daten sollte begrenzt werden; und diese Daten sollten auf rechtmäßige und faire Weise und gegebenenfalls mit Wissen oder Zustimmung der betroffenen Person erhoben werden.
  2. Grundsatz der Datenqualität. Persönliche Daten sollten für die Zwecke, für die sie verwendet werden sollen, relevant sein und, soweit für diese Zwecke erforderlich, richtig, vollständig und auf dem neuesten Stand sein.
  3. Grundsatz der Zweckbestimmung. Die Ziele, für die persönliche Daten erhoben werden, sollten spätestens zum Zeitpunkt der Datenerhebung festgelegt werden, und die anschließende Verwendung sollte auf die Erfüllung dieser Ziele oder anderer Ziele beschränkt werden, die mit diesen Zielen nicht unvereinbar sind und für jede Änderung des Ziels angegeben werden.
  4. Grundsatz der Nutzungsbeschränkung. Persönliche Daten dürfen nicht für andere als die in [Grundsatz der Zweckbestimmung] genannten Zwecke offengelegt, zur Verfügung gestellt oder anderweitig verwendet werden, es sei denn: a) mit Zustimmung der betroffenen Person; oder b) aufgrund gesetzlicher Bestimmungen.
  5. Grundsatz der Sicherheitsvorkehrungen. Persönliche Daten sollten durch angemessene Sicherheitsvorkehrungen gegen Risiken wie Verlust oder unbefugten Zugriff, Zerstörung, Verwendung, Änderung oder Offenlegung von Daten geschützt werden.
  6. Grundsatz der Transparenz. Es sollte eine allgemeine Politik der Transparenz über Entwicklungen, Praktiken und Strategien in Bezug auf persönliche Daten geben. Es sollte ohne weiteres möglich sein, das Vorhandensein und die Art der persönlichen Daten sowie die Hauptzwecke ihrer Verwendung und die Identität und den gewöhnlichen Aufenthaltsort des Verantwortlichen festzustellen.
  7. Grundsatz der individuellen Beteiligung. Ein Individuum sollte das Recht haben:
    1. von einem Verantwortlichen oder auf andere Weise eine Bestätigung darüber zu erhalten, ob der Verantwortliche über ihn betreffende Daten verfügt oder nicht;
    2. die ihn betreffenden Daten innerhalb eines angemessenen Zeitraums, zu einem gegebenenfalls nicht überhöhten Preis, in angemessener Weise und in einer für ihn verständlichen Form zu erhalten;
    3. eine Begründung zu erhalten, wenn ein gemäß den Unterabschnitten (a) und (b) gestellter Antrag abgelehnt wird, und die Möglichkeit zu haben, eine solche Ablehnung anzufechten; und
    4. die ihn betreffenden Daten anzufechten und, falls die Anfechtung erfolgreich ist, die Löschung, Berichtigung, Ergänzung oder Änderung der Daten zu erwirken.
  8. Grundsatz der Rechenschaftspflicht. Ein Verantwortlicher sollte für die Einhaltung von Maßnahmen verantwortlich sein, die den oben genannten Grundsätzen Wirkung verleihen.

Wie haben sich die Fair Information Practices entwickelt?

Die FIPPs in ihrer jetzigen Form beruhen auf den Empfehlungen eines beratenden Ausschusses des US-Ministeriums für Gesundheit, Bildung und Soziales aus dem Jahr 1973. Der Bericht des Ausschusses stellte fest: „Der Schutz der persönlichen Privatsphäre auf der Grundlage unseres Konzepts der Gegenseitigkeit bei der Aufbewahrung von Daten würde voraussetzen, dass die Organisationen, die Daten aufbewahren, sich an bestimmte Grundprinzipien der fairen Informationspraxis halten.“ Der Bericht beschrieb dann mehrere Grundsätze für den Datenschutz.

Im Jahr 1980 erweiterte die OECD diese Empfehlungen und unterteilte sie in die acht oben aufgeführten FIPPs. Seitdem wurde immer wieder auf die FIPPs verwiesen, insbesondere in den USA. Sie sind nach wie vor ein wichtiger Bestandteil der Richtlinien für den Datenschutz und die Datensicherheit.

Sind die Fair Information Practices Teil eines Datenschutzgesetzes?

Die FIPPs sind kein Bestandteil offizieller oder gesetzlicher Anforderungen. Sie waren jedoch die Grundlage für mehrere verschiedene Datenschutzrichtlinien. Sie spiegeln auch viele weithin akzeptierte Datenschutzprinzipien wider, die in anderen offiziellen Rahmenwerken zum Datenschutz enthalten sind.

Der Grundsatz der individuellen Beteiligung (Nr. 7) führt beispielsweise eine Reihe von Rechten auf, die der Einzelne haben sollte. Das CCPA hat einige dieser Rechte gesetzlich verankert: Es enthält ein „Recht auf Auskunft“, ähnlich wie in den Teilen a) und b) des Grundsatzes der individuellen Beteiligung beschrieben. Die DSGVO enthält auch ein „Recht auf Löschung“, ähnlich dem Recht auf „Löschung von Daten“, das in Teil d) des Grundsatzes der individuellen Beteiligung beschrieben wird.

Ein weiteres Beispiel ist der Grundsatz der Datenqualität der FIPPs, der in der DSGVO seine Entsprechung findet: Laut Artikel 5 müssen personenbezogenen Daten: „sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden“.

Es ist wichtig zu beachten, dass diese Datenschutzregelungen in ihren Beschreibungen und Anforderungen nicht genau mit den FIPPs übereinstimmen. Unternehmen, die die DSGVO, den CCPA oder andere Datenschutzgesetze einhalten möchten, müssen sicherstellen, dass sie die Anforderungen dieser spezifischen Gesetze befolgen, nicht nur die FIPPs.

Befolgt Cloudflare die Fair Information Practices?

Alle Cloudflare-Mitarbeiter müssen an einer Datenschutzschulung teilnehmen, die sie in die Fair Information Practices einführt, zusätzlich zur DSGVO und anderen wichtigen Datenschutzgesetzen. Außerdem hat Cloudflare eine Reihe von Produkten (einige davon sind kostenlos) herausgebracht, um den Datenschutz der Nutzer zu erhöhen. Zu diesen Produkten gehören:

Wenn Sie mehr darüber erfahren möchten, wie Cloudflare sich für Datenschutz einsetzt, lesen Sie die neuesten Updates im Cloudflare-Blog.