In unserem ultimativen Guide zur CCPA-Compliance haben wir Ihnen bereits von den verschiedenen Subjektrechten unter CCPA erzählt. In diesem Artikel möchten wir Ihnen zeigen, wie Sie konkret das Recht auf Offenlegung (oder auch Information) nach Abschnitt 1798.100 des CCPA in Ihrem Unternehmen mit Jira einfach erfüllen.
Jetzt testen: Data Protection and Security Toolkit
CCPA steht für: California Consumer Privacy Act und bezeichnet ein Datenschutzgesetz, welches die Rechte von kalifornischen Verbraucher*innen vereinheitlicht. Wenn Sie ein gewinnorientiertes Unternehmen leiten, das die Daten von Bürger*innen Kaliforniens verarbeitet, müssen Sie die Richtlinien des CCPA einhalten. Weitere Informationen, wann CCPA auf Ihr Unternehmen zutrifft, welche verschiedenen Rechte ein Subjekt unter CCPA/CPRA hat und was Sie sonst noch beachten müssen, erfahren Sie in unserem CCPA-Compliance Guide.
Heute wollen wir uns genauer dem CCPA Recht auf Offenlegung/Auskunft widmen und klären, wie Cookie-Banner und Datenschutzrichtlinien in Jira der Game-Changer sein können.
In Abschnitt 1798.100 des CCPA wird das Recht auf Offenlegung erklärt. Hier geht es darum, den Kalifornischen Verbraucher*innen volle Transparenz darüber zu geben, welche Daten genau von Ihrem Unternehmen verarbeitet werden.
Dazu kann ein Subjekt, das unter CCPA fällt, jederzeit verlangen, dass ein Unternehmen folgende Informationen offenlegt:
Die Kategorien der gespeicherten personenbezogenen Daten
Die Kategorien von Quellen, aus denen das Unternehmen personenbezogene Daten gesammelt hat (Internetdienstanbieter, Regierungsbehörde, Verbraucher direkt)
Die Zwecke, für welche das Unternehmen die personenbezogenen Daten verwendet (Marketing, Verbesserung der Nutzungserfahrung, Betrugsprävention)
Die Kategorien von Dritten, mit denen das Unternehmen die personenbezogenen Daten teilt (soziale Netzwerke, Internetdienstanbieter, Regierungen)
Die Kategorien von Informationen, die das Unternehmen verkauft oder an Dritte weitergibt
Im Grunde können Sie sich als Unternehmen also darauf einstellen, dass Sie die bekannten W-Fragen jederzeit beantworten können sollten. Also:
Wann werden Daten gespeichert?
Wo?
Warum?
Ein wichtiger Schritt der CCPA Compliance und der Einhaltung des Rechts auf Offenlegung ist es, Verbraucher*innen über die Datenverarbeitung VOR deren Eintreten zu informieren. Das kann beispielsweise durch ein Cookie-Banner umgesetzt werden, das auf Ihrer Website erscheint, sobald man sie zum ersten Mal aufruft. Und wenn man die Nachricht nicht wegklickt, also akzeptiert, kann man den Content nicht sichten – es werden also auch noch keine Daten gesammelt.
ACHTUNG!
Viele Menschen bezeichnen CCPA/CPRA als reines Opt-out Datenschutzgesetz. Also, dass es beispielsweise genügt, ein Cookie-Banner zu erstellen und Verbraucher*innen auf die nachfolgende Datenverarbeitung hinzuweisen. Das Recht auf Opt-out der Datenverarbeitung ist in CCPA festgehalten, doch erwachsene kalifornische Bürger*innen müssen der Datenverarbeitung nicht erst zustimmen. Allerdings gibt es eine Besonderheit: Wenn Daten von Personen gesammelt und verkauft werden, die unter 16 Jahren alt sind, muss eine Opt-in Einwilligung eingeholt werden! Hier wäre ein Cookie-Banner ideal, bei dem Sie den gesehenen Text nicht nur akzeptieren, sondern auch ablehnen können.
Gewöhnliche Erstanbieter-Cookies enthalten in der Regel lediglich anonyme Daten. Drittanbieter-Cookies jedoch speichern verschiedenste Arten von persönlich identifizierbaren Informationen (PII), beispielsweise IP-Adressen. Also ja, auch die von Cookies gesammelten Informationen gelten nach dem CCPA als personenbezogene Daten. Daher verlangen CCPA und CPRA von Webseitenbetreibern mitzuteilen, welche Daten in Cookies gesammelt werden – bevor die Datenerhebung eintritt.
Laut CCPA Gesetzestext ist eine ausdrückliche Cookie-Zustimmung und ein Cookie-Banner zwar nicht erforderlich. Allerdings müssen Sie auf eine Weise Ihre Verbraucher*innen vor dem Zeitpunkt der Datenerhebung informieren. Darüber hinaus kann es sein, dass Sie Kund*innen haben, die jünger als 16 sind, was ebenfalls tiefere Vorsicht walten lässt.
Zusätzlich müssen Sie, um die CCPA einzuhalten, die Möglichkeit des Opt-out in Form einer Website mit dem Titel: „Meine persönlichen Daten nicht verkaufen“ bereitstellen. Ein Cookie-Banner ist die ideale Möglichkeit, einen Link zur obligatorischen Seite hinzuzufügen.
Um das Recht auf Offenlegung in Ihrem Unternehmen nach CCPA einzuhalten, müssen Sie einen Link zu einer aktualisierten Datenschutzrichtlinie bereitstellen. Das kann über einen auffälligen Link mit dem Wort „Datenschutz” im Footer oder Header Ihrer Website geschehen. Oder durch ein Pop-up.
Die Datenschutzrichtlinie muss alle 12 Monate überprüft und aktualisiert werden – vor allem, wenn Sie es dieses Jahr noch nicht getan haben. Denn seit Inkrafttretens des CPRA am 01. Januar 2023 gelten neue Bestimmungen.
Damit Subjekte die wichtigen Informationen offengelegt bekommen, sollten Sie in den CCPA-Datenschutzrichtlinien beschreiben, wie Sie personenbezogene Daten erfassen, verwenden, an Dritte weitergeben und verkaufen. Halten Sie sich am besten wieder an die beschriebenen W-Fragen.
Sobald Sie Ihre Datenschutzrichtlinien wesentlich ändern, müssen Sie Ihren Verbraucher*innen auch eine Aktualisierungsmitteilung zukommen lassen.
Um das CCPA Recht auf Offenlegung zu gewährleisten, müssen Sie unter anderem folgende Dinge tun:
Ein vielsagendes Cookie-Banner erstellen (mit dem Hinweis “Meine persönlichen Daten nicht verkaufen”)
Die aktualisierte Datenschutzrichtlinie veröffentlichen
Für diese beiden Fälle haben wir ein hervorragendes Toolkit, wenn Sie in Jira oder Confluence arbeiten.
Sobald Sie Jira als Kundensupportplattform verwenden oder gar einfach Ihre Mitarbeitenden es täglich nutzen, müssen Sie hier CCPA konform arbeiten, sprich: Cookie-Banner und aktualisierte Datenschutzrichtlinien hinzufügen. Schließlich gelten laut dem CCPA auch Mitarbeitende als „Verbraucher”.
Wenn Sie Jira in der Cloud Variante nutzen, fungiert Atlassian als Datenverarbeiter und hat sich verpflichtet, die CCPA einzuhalten, wie Sie in Atlassians CCPA-Verpflichtungserklärung nachlesen können. Wenn Sie jedoch Jira (oder Confluence) on-prem in Server oder Data Center selbst hosten, müssen SIE sich um die Einhaltung der CCPA in Jira selbst kümmern.
Wir haben da aber ein Goodie für Sie, damit Sie Datenschutzeinhaltungen einfach meistern, nämlich das Data Protection and Security Toolkit für Jira.
Mit Data Protection and Security Toolkit für Jira können Sie sowohl schnell und einfach Cookie-Banner als auch Datenschutzrichtlinien erstellen, um das CCPA Recht auf Offenlegung spielend leicht einzuhalten.
Öffnen Sie in Jira die Registerkarte Apps verwalten und navigieren Sie zum Abschnitt Data Protection and Security Toolkit/Home. Suchen Sie die Schaltfläche Benachrichtigungen und Ankündigungen, klicken Sie darauf und Sie sehen das Benachrichtigungs- und Ankündigungs-Dashboard. Es ist die Hauptseite, auf der Administrator*innen alle Ankündigungen verwalten können.
Sie können eine Ankündigung für CCPA mit einer Vorlage erstellen. Wählen Sie dazu eine von zwei vordefinierten Vorlagen (Private Policy oder Cookie Policy). Alternativ können Sie eine neue Ankündigung erstellen, indem Sie auf die Schaltfläche Erstellen klicken.
Machen wir es uns doch einfach und wählen eine Vorlage.
Bitte beachten Sie: Derzeit sind beide Vorlagen auf die DSGVO ausgerichtet, können Ihnen aber in jedem anderen Datenschutzanliegen eine perfekte Hilfe und Orientierung sein.
Jetzt sehen Sie die Konfigurationsseite. Die Konfiguration einer neuen Ankündigung besteht aus zwei Registerkarten: Allgemeine und Zusätzliche Konfiguration.
Schauen wir es uns das im Detail an.
Beim Status wählen Sie, ob Sie das Cookie-Banner für CCPA jetzt oder erst später aktivieren wollen. Wählen Sie Namen und Beschreibung und entscheiden Sie, ob das Banner optional oder obligatorisch sein soll. Obligatorisch wäre eine reine Information mit einer einzigen Schaltfläche à la:
Text mit: „Wir sammeln Ihre Daten. Hiermit nehmen Sie dies zur Kenntnis.“
Button: „Ah, okay.“
Es gibt also nur eine Schaltfläche und keine weiteren Optionen. Der Button muss geklickt werden, sonst verschwindet das Banner nicht.
Wenn Sie jedoch annehmen müssen, dass Kinder unter Ihren Verbrauchern sind, müssen Sie auch die Opt-in Funktion berücksichtigen. Hier empfiehlt sich dann die Variante optional.
Text mit: „Wir sammeln Ihre Daten. Sind Sie damit einverstanden?“
Button 1: „Ah, okay. Klar!“
Button 2. „Nein.“
Im Textfeld können Sie nun Ihre Datenschutzrichtlinie oder auch die Seite „Meine persönlichen Daten nicht verkaufen“ zusätzlich verlinken.
Bei den zusätzlichen Konfigurationen Ihres Cookie-Banners in Data Protection and Security Toolkit können Sie auswählen, wo die Ankündigung platziert sein soll und wie groß.
In unserem Fall zur Einhaltung des Rechts auf Offenlegung in einem Cookie-Banner empfiehlt sich natürlich, die Ankündigung an den Footer zu pinnen. Andere Varianten können jedoch für Datenschutzrichtlinien geeignet sein.
Ein besonderes Highlight dieser App: Sie definieren, wer genau das Banner sehen soll. Das Auswählen verschiedener Jira Gruppen ermöglicht Ihnen volle Flexibilität bei der Verwaltung der CCPA-Richtlinien. Auch Start- und Endzeitpunkte lassen sich hier individuell festlegen.
Profitipp: Legen Sie fest, wer die Ankündigung sehen soll: nur authentifizierte Jira User oder noch nicht authentifizierte Jira User. Beim Data Protection Toolkit können Sie einstellen, dass man das Cookie-Banner sieht, BEVOR man eingeloggt ist, also bevor man Daten sieht und diese gesammelt werden. Also perfekt, um das Recht auf Offenlegung nach CCPA einzuhalten.
Klicken Sie oben auf der Seite auf die Schaltfläche Speichern, wenn alle Parameter eingestellt sind, und Ihr Cookie-Banner ist erfolgreich erstellt!
Nach dem Speichern sieht ein mögliches Jira Cookie-Banner wie folgt aus:
Wenn Sie das Opt-in Recht stärker machen wollen, weil Sie beispielsweise Daten von unter 16-Jährigen sammeln, wählen Sie in den Einstellungen einfach optional:
Das Ergebnis sieht dann wie folgt aus aus:
CCPA wird nicht vollständig eingehalten, wenn Sie die Website „Meine persönlichen Daten nicht verkaufen“ nicht implementieren. Fügen Sie den Link zur Seite einfach dem Cookie-Banner hinzu und Sie sind auf der sicheren Seite:
Auf der strukturierten Übersichtsseite von Data Protection and Security Toolkit für Jira sehen Sie alle Ankündigungen, Cookie-Banner oder Datenschutzrichtlinien, die Sie erstellt haben. Sie können auf einen Blick nachvollziehen, wie viele User etwas abgelehnt oder akzeptiert haben.
Mit einem Klick gelangen Sie in detailliertere Statistiken. Das ist ideal zur Einhaltung des Auskunftsrechts, da Sie jederzeit auf Anfrage erklären müssen, welche Daten wo gesammelt sind. Ein Blick in die Statistiken ist hier ein guter Startpunkt.
Die eben gezeigten Schritte lassen sich auch auf Datenschutzrichtlinien anwenden. Wieder können Sie von einer richtungsweisenden Vorlage profitieren. Einfach aus dem Drop-down-Menü die passende Vorlage wählen und schon dient ein Text zur Inspiration.
Wie bereits erklärt, kann hier ausgewählt werden, wie groß das Pop-up sein soll und wo in Jira es platziert sein soll. Wie bei dem Cookie-Banner kann hier zwischen obligatorisch und optional gewählt werden. Eine Datenschutzrichtlinie in einem Pop-up kann mit dem Data Protection Toolkit so aussehen:
Diese Funktion des Datenschutztools können Sie auch für andere Arten der Ankündigungen verwenden. Hier ein paar Beispiele:
Weitere Inspirationen, wie Sie visuell ansprechende Jira Ankündigungen erstellen können, finden Sie in unserem Artikel: Jira Ankündigungsbanner: kreative Beispiele.
Den CCPA-Datenschutz einzuhalten, kann sehr aufwendig sein. Muss es aber nicht. Wenn Sie für Jira dieses Toolbenutzen, erhalten Sie immense Vorteile:
Einfache Erstellung von Cookie-Bannern
Möglichkeit, diese mit Opt-in Funktionen auszustatten (für Minderjährige)
Verlinkung der Seite “Meine persönlichen Daten nicht verkaufen”
Weitere Ankündigungen, bspw. wenn sich die Datenschutzerklärung geändert hat
Datenschutzerklärung aus Vorlage wählen und individuell anpassen
Bestimmte Zielgruppen für Ankündigungen definieren
Start- und Enddaten festlegen
Übersichtliche Statistik zum Einblick der gesammelten Daten
Mit diesen Tipps ist die Einhaltung des Rechts auf Offenlegung in CCPA keine Sisyphusarbeit mehr! Im Gegenteil liefert die Nutzung des Data Protection and Security Toolkits für Jira weitere Vorteile über Datenschutzrichtlinien hinaus, wie die kreative Nutzung von Ankündigungen. Cookie-Banner und Datenschutzrichtlinien in Jira waren noch nie so schnell und einfach erstellt, verwaltet und gleichzeitig so visuell einladend. Das Beste? Unser Tool gibt es nicht nur für Jira, sondern auch für Confluence!
Also zögern Sie nicht lange, sondern überzeugen Sie sich selbst, wie ein einziges Tool Sie bei der Einhaltung von CCPA einfach wie nie unterstützen kann!