Startseite ' Ressourcen ' Artikel ' EU-konforme Datenschutzrichtlinie

EU-konforme Datenschutzrichtlinie

von: Hanna De La Garza Hanna De La Garza | Aktualisiert am: November 7, 2025

Rezensiert von: Teodor Stanciu, CIPP/E, CIPM Teodor Stanciu, CIPP/E, CIPM

Kostenlose Datenschutzerklärung erstellen
EU-konforme-Datenschutzpolitik-01

Wenn Ihre Website Daten von Personen in der Europäischen Union (EU) sammelt, benötigen Sie eine Datenschutzrichtlinie, die den strengen regionalen Standards entspricht.

Die Rechtslandschaft in Europa besteht hauptsächlich aus der Datenschutz-GrundverordnungDSGVO, der ePrivacy-Richtlinie (manchmal auch als "EU-Cookie-Gesetz" bezeichnet) und neueren Rahmenwerken wie dem EU-KI-Gesetz.

In diesem Leitfaden erkläre ich, was eine EU-konforme Datenschutzrichtlinie ausmacht, wie diese wichtigen Gesetze sie beeinflussen, was sie enthalten sollte und wo sie zu veröffentlichen ist.

Ich zeige Ihnen auch, wie die Tools von Termlydie Erstellung eines solchen Dokuments erleichtern, das alle Kriterien erfüllt.

Inhaltsübersicht
  1. Was ist eine EU-konforme Datenschutzrichtlinie?
  2. EU-Gesetze und -Verordnungen mit Auswirkungen auf den Datenschutz
  3. Was gehört zu einer EU-konformen Datenschutzrichtlinie?
  4. Wo Sie Ihre EU-Datenschutzrichtlinie veröffentlichen können
  5. EU-Datenschutzrichtlinie vs. Cookie-Richtlinie: Warum Sie beides brauchen
  6. Wie Termly Unternehmen dabei hilft, eine EU-konforme Datenschutzrichtlinie zu erstellen

Was ist eine EU-konforme Datenschutzrichtlinie?

Eine EU-konforme Datenschutzrichtlinie erklärt, wie Ihr Unternehmen personenbezogene Daten von Personen in der Europäischen Union erhebt, verwendet, speichert und schützt.

Dies ist eine gesetzliche Vorschrift im Rahmen der DSGVO, die den Menschen Transparenz und Kontrolle über ihre persönlichen Daten geben soll.

Um die DSGVO zu erfüllen, muss Ihre Datenschutzrichtlinie eindeutige Angaben enthalten:

  • Angaben zu Ihrem Unternehmen, z. B. Identität, Kontaktinformationen und (falls zutreffend) die Kontaktinformationen Ihres behördlichen Datenschutzbeauftragten.
  • Welche Daten Sie erheben und zu welchem Zweck sie erhoben werden.
  • Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten (z. B. Einwilligung, vertragliche Notwendigkeit, berechtigtes Interesse) und, falls berechtigte Interessen geltend gemacht werden, das bzw. die verfolgten spezifischen Interessen.
  • An wen Sie Daten weitergeben (Empfänger oder Kategorien von Empfängern).
  • Datenaufbewahrungsfristen oder die Kriterien, nach denen bestimmt wird, wie lange die Daten gespeichert werden.
  • Internationale Übermittlungen, wenn personenbezogene Daten in Länder außerhalb der EU/des EWR übermittelt werden, sowie bestehende Schutzmaßnahmen.
  • Nutzerrechte nach der DSGVO, wie z. B. Zugang, Berichtigung, Löschung, Einschränkung, Übertragbarkeit und Widerspruch.
  • Automatisierte Entscheidungsfindung, einschließlich Profiling, wenn dies auf Ihre Verarbeitung zutrifft, und wenn dies der Fall ist, "aussagekräftige Informationen über die damit verbundene Logik" und die Folgen sowie das Recht des Nutzers, "ein menschliches Eingreifen zu erwirken".
  • Wurden die Daten nicht bei der betroffenen Person erhoben, müssen Sie die Quelle und die Kategorien der Daten angeben.

Außerdem muss die Richtlinie in einfacher, leicht verständlicher Sprache verfasst und überall dort zugänglich sein, wo Daten erhoben werden (z. B. auf Anmeldeseiten oder Cookie-Bannern).

EU-Gesetze und -Verordnungen mit Auswirkungen auf den Datenschutz

Mehrere EU-Verordnungen bestimmen, wie Unternehmen mit personenbezogenen Daten umgehen und was in ihren Datenschutzrichtlinien stehen muss. Im Folgenden finden Sie die wichtigsten Gesetze und Normen, die Sie kennen sollten, wenn Sie eine EU-konforme Datenschutzrichtlinie erstellen.

DSGVO

Die Allgemeine Datenschutzverordnung (DSGVO) ist die Grundlage des EU-Datenschutzrechts. Sie gilt für jede Organisation, die personenbezogene Daten von Menschen in der EU verarbeitet, auch wenn das Unternehmen selbst seinen Sitz außerhalb Europas hat.

Gemäß der DSGVO muss Ihre Datenschutzpolitik klar und deutlich erklärt werden:

  • Welche persönlichen Daten Sie sammeln und warum
  • Ihre rechtmäßige Grundlage für die Verarbeitung dieser Daten (z. B. Einwilligung oder berechtigtes Interesse)
  • wie lange Sie sie aufbewahren und mit wem Sie sie teilen
  • wie die Nutzer ihre Rechte ausüben können, z. B. auf Zugang, Berichtigung oder Löschung ihrer Daten
  • In der Strategie müssen auch die Kontaktdaten des für die Datenverarbeitung Verantwortlichen und gegebenenfalls des Datenschutzbeauftragten angegeben werden.
  • Denken Sie daran, dass die DSGVO sowohl für die direkte als auch für die indirekte Datenerhebung gilt - die für die Verarbeitung Verantwortlichen müssen auch dann eine Mitteilung machen, wenn sie Daten von Dritten erhalten.

Die DSGVO verlangt auch, dass Ihre Richtlinie in klarer und einfacher Sprache verfasst ist, so dass jeder leicht verstehen kann, wie mit seinen Daten umgegangen wird.

EU-Cookie-Gesetz

Das EU-Cookie-Gesetz, formell bekannt als Datenschutzrichtlinie für elektronische Kommunikation, regelt die Verwendung von Cookies und ähnlichen Technologien zur Nachverfolgung auf Websites.

Die Datenschutzrichtlinie für elektronische Kommunikation (ePrivacy) ergänzt die DSGVO , um sicherzustellen, dass die Nutzer eine sinnvolle Kontrolle über das Online-Tracking haben.

Es ist wichtig zu beachten, dass die Datenschutzrichtlinie für elektronische Kommunikation durch nationale Gesetze umgesetzt wird (z. B. das deutsche TTDSG, das belgische Telekommunikationsgesetz usw.), so dass die Einzelheiten der Durchsetzung von Land zu Land unterschiedlich sein können.

Um dem nachzukommen, müssen Sie:

  • Informieren Sie die Nutzer über die von Ihnen verwendeten Online-Tracker (z. B. Cookies) und deren Funktion
  • Einholung einer vorherigen und eindeutigen Zustimmung vor der Platzierung nicht wesentlicher Cookies oder Tracker (wie Analyse- oder Werbetracker)
  • den Nutzern die Möglichkeit geben, Cookies oder Tracker jederzeit zu akzeptieren oder abzulehnen
  • Unwichtige Cookies müssen inaktiv bleiben, bis eine ausdrückliche Zustimmung erteilt wird.

Ihre Datenschutzrichtlinie sollte einen Link zu einem Abschnitt über Cookies enthalten, in dem diese Details erläutert werden, und viele Websites verbinden dies mit einer speziellen Cookie-Richtlinie oder einem Einwilligungsbanner.

EU-KI-Gesetz

Das EU-Gesetz über künstliche Intelligenz (KI) ist eine neuere Verordnung, die sicherstellen soll, dass KI-Systeme verantwortungsvoll entwickelt und genutzt werden. Sie zielt zwar in erster Linie auf risikoreiche KI-Anwendungen ab, hat aber auch Auswirkungen auf die Transparenz der Datenverarbeitung.

Wenn Ihr Unternehmen KI einsetzt, um Entscheidungen zu treffen, Verhalten zu analysieren oder Erfahrungen zu personalisieren, sollten Sie dies in Ihrer Datenschutzrichtlinie offenlegen:

  • Wann und wie KI-Systeme eingesetzt werden
  • Wenn das KI-System zur Erkennung von Emotionen oder zur biometrischen Kategorisierung eingesetzt wird
  • Wenn das KI-System "Deep Fake"-Inhalte erzeugt oder Texte von öffentlichem Interesse manipuliert, müssen Sie offenlegen, dass die Inhalte künstlich erzeugt wurden.
  • Auf welche Daten sie sich stützen
  • Welche Maßnahmen Sie ergreifen, um Fairness und menschliche Kontrolle zu gewährleisten, und welche Mechanismen Sie für die menschliche Überprüfung einsetzen.

Eine kurze Erklärung über den Einsatz von KI hilft, Rechenschaft abzulegen und entspricht den Transparenzgrundsätzen des KI-Gesetzes.

IAB TCF v2.2

Das Transparency and Consent Framework (IAB TCF v2.2) des Interactive Advertising Bureau ist ein freiwilliges Rahmenwerk, das Publishern und Werbetreibenden helfen soll, die Zustimmung der Nutzer in Übereinstimmung mit der DSGVO und der ePrivacy-Richtlinie zu verwalten.

Die Teilnahme an der TCF kann die Arbeitsabläufe bei der Einhaltung von Vorschriften im Bereich der Werbetechnik vereinfachen, ist aber keine Garantie für die Einhaltung der Datenschutzgesetze.

Unternehmen, die Online-Werbung nutzen oder mit Ad-Tech-Partnern zusammenarbeiten, können die TCF nutzen, um zu standardisieren, wie Einwilligungen gesammelt und weitergegeben werden.

Termly unterstützt diesen Rahmen und hilft Websites, Cookie-Banner anzuzeigen und eine gültige Zustimmung gemäß den IAB-Standards zu erfassen.

SOC2

SOC 2 (Service Organization Control 2) ist ein weiterer freiwilliger US-amerikanischer Zertifizierungsstandard und in der EU nicht gesetzlich vorgeschrieben.

Ein solcher Rahmen kann jedoch das Vertrauen stärken und zeigen, wie Unternehmen Kundendaten auf der Grundlage von fünf "Vertrauensprinzipien" verwalten:

  • Sicherheit
  • Verfügbarkeit
  • Integrität der Verarbeitung
  • Vertraulichkeit
  • Datenschutz

Die SOC-2-Zertifizierung ist in der EU zwar nicht gesetzlich vorgeschrieben, zeigt aber, dass die Datenverwaltung gut funktioniert. Die Aufnahme von SOC-2- oder ähnlichen Sicherheitsmaßnahmen in Ihre Datenschutzrichtlinien kann das Vertrauen der Nutzer stärken, insbesondere bei SaaS- und datengesteuerten Unternehmen.

Was gehört zu einer EU-konformen Datenschutzrichtlinie?

Nachstehend sind die wichtigsten Elemente aufgeführt, die jede EU-Datenschutzrichtlinie enthalten sollte.

Einleitung

Die Einführung Ihrer Datenschutzrichtlinie setzt den Ton für Transparenz und hilft den Nutzern zu verstehen, wer Sie sind, was die Richtlinie abdeckt und wie sie Sie bezüglich ihrer Daten kontaktieren können.

Zumindest sollte sie das:

  • Geben Sie den Namen und die Geschäftsadresse Ihrer Organisation an.
  • Erklären Sie den Zweck und den Geltungsbereich der Politik
  • Geben Sie das Datum des Inkrafttretens an
  • Nennen Sie den für die Datenverarbeitung Verantwortlichen und geben Sie eine Kontakt-E-Mail für Fragen zum Datenschutz an.
  • Für nicht in der EU ansässige für die Verarbeitung Verantwortliche, die der DSGVO unterliegen (d. h. Artikel 3 Absatz 2 der DSGVO), geben Sie die Kontaktdaten Ihres EU-Vertreters gemäß Artikel 27 der DSGVO an.

Nachfolgend finden Sie denTermlyDatenschutzhinweis, der zeigt, wie diese Informationen klar und verständlich kommuniziert werden können.

Termly Notice

Diese Art von Einleitung gibt den Nutzern sofort einen wichtigen Kontext. Eine einfache und verständliche Sprache trägt dazu bei, die Transparenzstandards DSGVO zu erfüllen und von der ersten Zeile an Vertrauen zu schaffen.

Rechtsgrundlage für die Erhebung und Verarbeitung von Daten

Unter der DSGVOmuss jede Organisation, die personenbezogene Daten von in der EU ansässigen Personen erhebt oder verarbeitet, eine rechtmäßige Grundlage für diese Tätigkeit angeben.

Die sechs Rechtsgrundlagen der DSGVO sind:

  • Einverständnis: Die Person hat Ihnen eindeutig die Erlaubnis erteilt, ihre Daten für einen bestimmten Zweck zu verarbeiten, z. B. um sich für einen Newsletter anzumelden.
  • Vertrag: Die Datenverarbeitung ist erforderlich, um einen Vertrag zu erfüllen, z. B. die Bereitstellung eines erworbenen Produkts oder einer Dienstleistung.
  • Gesetzliche Verpflichtung: Sie sind gesetzlich verpflichtet, die Daten zu verarbeiten (z. B. zur Aufbewahrung von Steuer- oder Beschäftigungsunterlagen).
  • Berechtigte Interessen: Sie haben einen triftigen geschäftlichen Grund für die Verarbeitung von Daten, der die Rechte des Nutzers nicht überwiegt (z. B. die Verhinderung von Betrug oder die Verbesserung der Funktionalität der Website). Er muss "klar und präzise formuliert" und "real und gegenwärtig, nicht spekulativ" sein.
  • Lebenswichtige Interessen: Die Verarbeitung ist notwendig, um das Leben einer Person zu schützen (selten in den meisten geschäftlichen Zusammenhängen).
  • Öffentliche Aufgabe: Die Verarbeitung ist erforderlich, um eine Aufgabe im öffentlichen Interesse zu erfüllen (gilt in der Regel für staatliche Organisationen).

Geben Sie bei der Ausarbeitung Ihrer Datenschutzpolitik an, welche dieser Grundlagen für jede Art von Daten, die Sie sammeln, gelten und warum.

Die beste Praxis besteht darin, jeden Verarbeitungszweck mit einer spezifischen Rechtsgrundlage zu verknüpfen (z. B. Newsletter-Anmeldung mit Einwilligung, Käufe mit Vertrag usw.).

In der Datenschutzrichtlinie von Spotify sind beispielsweise die Rechtsgrundlagen für die Datenverarbeitung klar aufgeführt. Nachstehend ein Auszug.

Spotify_Datenschutzrichtlinie

Dieses Beispiel zeigt, wie Sie Ihre Verarbeitungstätigkeiten unter verschiedenen Rechtsgrundlagen zusammenfassen und dabei die Sprache kurz und leicht verständlich halten können.

Welche Daten Sie sammeln

Ein Eckpfeiler der DSGVO ist die Transparenz hinsichtlich der von Ihnen erfassten Datenarten.

In Ihrer Datenschutzpolitik sollten Sie die Kategorien personenbezogener Daten, die Sie verarbeiten, klar auflisten und kurz erläutern, wie Sie diese Daten sammeln, sei es direkt von den Nutzern, durch automatisierte Technologien oder von Dritten.

Seien Sie konkret. Vermeiden Sie allgemeine Formulierungen wie "wir können Informationen sammeln".

Gängige Arten von Daten sind:

  • Persönliche Identifikatoren: Namen, E-Mail-Adressen, Telefonnummern, Postanschriften
  • Konto-Informationen: Anmeldedaten, Profildetails und Einstellungen
  • Zahlungsinformationen: Rechnungsadressen, Informationen zur Zahlungsmethode oder Transaktionsaufzeichnungen
  • Technische Daten: IP-Adressen, Browsertyp, Betriebssystem und Gerätekennungen
  • Nutzungsdaten: Wie Nutzer mit Ihrer Website, App oder E-Mails interagieren
  • Cookies und Tracking-Daten: Informationen, die durch Analysen, Werbung oder Social-Media-Integrationen gesammelt werden

Wenn Sie mit sensiblen Daten wie biometrischen, gesundheitlichen oder politischen Informationen umgehen, müssen Sie ausdrücklich darauf hinweisen und die zusätzlichen Sicherheitsvorkehrungen erläutern, die Sie anwenden.

Ihr Ziel ist es, den Nutzern ein klares Bild davon zu vermitteln, welche Daten Sie sammeln und warum. Vermeiden Sie vage Formulierungen wie "wir sammeln möglicherweise Daten". Seien Sie stattdessen so konkret wie möglich.

Im Folgenden finden Sie die Datenschutzrichtlinie von Airbnb, in der die Arten von Daten, die gesammelt werden, in einfachen, übersichtlichen Abschnitten aufgeschlüsselt sind.

Airbnb_Datenschutzrichtlinie

Dieses Beispiel zeigt, wie man Datenkategorien übersichtlich darstellt und zusammengehörige Informationen gruppiert, so dass der Abschnitt leicht zu navigieren und zu verstehen ist.

Richtlinie zur Datenspeicherung und -aufbewahrung

Nach der DSGVO müssen Unternehmen erklären, wie lange sie personenbezogene Daten aufbewahren und was diesen Zeitrahmen bestimmt. Dies hilft den Nutzern zu verstehen, wie der Lebenszyklus ihrer Daten verwaltet wird, von der Erfassung bis zur Löschung.

Ihre Police sollte Folgendes enthalten:

  • Wie und wo die Daten gespeichert werden (z. B. auf sicheren Servern, in der Cloud oder bei Drittanbietern)
  • Wie lange die verschiedenen Datenkategorien gespeichert werden
  • die Kriterien, nach denen die Aufbewahrungsfristen festgelegt werden (z. B. rechtliche Anforderungen, betriebliche Erfordernisse)
  • Was geschieht, wenn die Daten nicht mehr benötigt werden (z. B. Anonymisierung oder Löschung)?

Denken Sie daran, konkrete Beispiele zu nennen, wie z. B. "Rechnungsdaten werden 7 Jahre lang für die Einhaltung der Steuervorschriften aufbewahrt, Marketingdaten werden 12 Monate lang gelöscht, wenn kein Opt-out erfolgt.

Vermeiden Sie die Aussage, dass Daten "so lange wie nötig" aufbewahrt werden, ohne weiteren Kontext.

Stattdessen müssen Sie den konkreten Aufbewahrungszeitraum angeben (z. B. "6 Monate") oder, falls dies nicht möglich ist, die "Kriterien zur Festlegung dieses Zeitraums" (z. B. "die Dauer des Abonnements des Nutzers plus eine einjährige Frist zur Klärung von Rechtsansprüchen").

Die Datenschutzerklärung von Microsoft beispielsweise gibt einen klaren Überblick über die Aufbewahrungspraktiken des Unternehmens. Im Folgenden sehen Sie, wie die Aufbewahrungsfristen je nach Anwendungsfall festgelegt werden.

Microsoft-Datenschutzerklärung

Dieses Beispiel zeigt, wie man über vage Aussagen hinausgeht und den Nutzern einen transparenten Einblick in die Aufbewahrungspraxis gibt.

Indem Sie klar darlegen, wie lange die Daten aufbewahrt werden, und die Gründe dafür nennen, demonstrieren Sie Verantwortlichkeit und schaffen Vertrauen bei Ihrem Publikum.

Datenübertragungsklausel

In einer Datenübertragungsklausel wird erläutert, wie und wann personenbezogene Daten zwischen Parteien ausgetauscht oder übertragen werden können, sei es innerhalb Ihrer Organisation oder zwischen Dienstleistern, insbesondere aber bei der Übertragung über geografische Grenzen hinweg, d. h. außerhalb des Europäischen Wirtschaftsraums (EWR).

Gemäß der DSGVO sind Übermittlungen in ein Drittland durch Kapitel V der DSGVO eingeschränkt. Dieser Abschnitt hilft Ihnen zu zeigen, dass Ihr Unternehmen eine strenge Kontrolle über die Datenübermittlung ausübt, um sicherzustellen, dass die Daten stets sicher und rechtmäßig behandelt werden.

Wenn die Daten den EWR verlassen, müssen Sie den Mechanismus angeben, den Sie verwenden, z. B. Angemessenheitsbeschluss, Standardvertragsklauseln (SCC) oder verbindliche Unternehmensregeln. Beachten Sie auch, dass zusätzliche Garantien gemäß Artikel 46 der DSGVO gelten können.

Darüber hinaus sollte Ihre Police Folgendes beschreiben:

  • Wann und warum dürfen personenbezogene Daten übermittelt werden?
  • An wen die Daten weitergegeben werden können (z. B. an verbundene Unternehmen oder Drittanbieter)
  • die Sicherheitsvorkehrungen zum Schutz dieser Daten während der Übermittlung (z. B. Verschlüsselung, vertragliche Vereinbarungen oder anerkannte rechtliche Mechanismen)
  • Wie die Nutzer Sie für weitere Informationen über diese Überweisungen kontaktieren können

Diese Klausel trägt dazu bei, Risiken wie Datenschutzverletzungen und Nichteinhaltung von Vorschriften zu mindern und gleichzeitig den Nutzern zu versichern, dass ihre persönlichen Daten geschützt bleiben, egal wo sie verarbeitet oder gespeichert werden.

Morgan Lewis liefert mit seiner nachstehenden Datenschutzrichtlinie ein gutes Beispiel dafür, wie dies klar kommuniziert werden kann.

Morgan Lewis_Datenschutzrichtlinie

Dieses Beispiel zeigt, wie man ein Gleichgewicht zwischen Transparenz und Beruhigung schafft, indem man einen Link zur Liste der Standorte bereitstellt und die Gründe für die Datenübermittlung erläutert.

Cookies und andere Tracker

Cookies und ähnliche Tracking-Technologien spielen eine wichtige Rolle bei der Erfassung und Analyse von Nutzerdaten durch Websites.

Sie müssen klar zwischen wesentlichen und nicht wesentlichen Cookies unterscheiden und einen Link zu Ihrer separaten Cookie-Richtlinie und/oder Ihrem Cookie-Präferenzzentrum bereitstellen.

Nach dem EU-Cookie-Gesetz und der DSGVO müssen Sie klar erklären, wie diese Tools verwendet werden, und den Nutzern eine sinnvolle Kontrolle über sie geben.

Ihre Datenschutzrichtlinie (oder verlinkte Cookie-Richtlinie) sollte Folgendes enthalten:

  • Welche Arten von Cookies oder Trackern Sie verwenden (z. B. wesentliche, analytische, Marketing)
  • Warum Sie sie verwenden (z. B. um Präferenzen zu speichern oder die Leistung der Website zu verbessern)
  • ob Dritte über Ihre Website Cookies setzen
  • Wie die Nutzer ihre Zustimmung verwalten oder zurückziehen können, die eingeholt werden muss, bevor nicht unbedingt erforderliche Tracker platziert werden.

Es ist auch eine gute Praxis, einen Link zu Ihrer Cookie-Richtlinie zu erstellen und einzubinden, damit die Benutzer leicht auf detaillierte Informationen zugreifen oder ihre Einstellungen anpassen können.

Shopify ist ein Beispiel dafür, wie man die Verwendung von Cookies klar vorstellt und die Benutzer mit weiteren Informationen in seiner Datenschutzrichtlinie verlinkt, die unten abgebildet ist.

Shopify_Datenschutz-Policy

Dieses Beispiel zeigt, wie man transparent sein kann, ohne die Leser zu überfordern. Durch eine kurze Zusammenfassung der Cookie-Praktiken und den Verweis auf eine detaillierte Cookie-Richtlinie schafft Shopify ein Gleichgewicht zwischen Konformität und Klarheit - eine bewährte Praxis für jede Website mit EU-Bezug.

Rechte der betroffenen Person

Nach der DSGVO haben Personen, die als betroffene Personen bekannt sind, mehrere Rechte, die ihnen die Kontrolle über ihre personenbezogenen Daten geben. Ihre Datenschutzrichtlinie sollte diese Rechte klar auflisten und erklären, wie die Nutzer sie ausüben können.

Zu den wichtigsten Rechten gehören:

  • Recht auf Zugang: Die Nutzer können eine Kopie der personenbezogenen Daten anfordern, die Sie über sie gespeichert haben.
  • Recht auf Berichtigung: Die Nutzer können beantragen, dass ungenaue oder unvollständige Informationen berichtigt werden.
  • Recht auf Löschung (Recht auf Vergessenwerden): Die Nutzer können unter bestimmten Umständen die Löschung ihrer personenbezogenen Daten verlangen.
  • Recht auf Einschränkung der Verarbeitung: Die Nutzer können die Verwendung ihrer Daten einschränken.
  • Recht auf Datenübertragbarkeit: Die Nutzer können eine Kopie ihrer personenbezogenen Daten erhalten, um sie in verschiedenen Diensten zu verwenden.
  • Recht auf Widerspruch: Die Nutzer können bestimmten Arten der Verarbeitung widersprechen, z. B. dem Direktmarketing.
  • Recht auf Widerruf der Einwilligung: Die Nutzer können ihre Einwilligung jederzeit widerrufen, wenn die Verarbeitung auf einer Einwilligung beruht.

In Ihrer Datenschutzerklärung sollte erläutert werden, wie Nutzer einen Antrag auf Zugang zu ihren Daten stellen können, d. h. einen formellen Antrag auf Zugang, Änderung oder Löschung ihrer Daten.

Nach der DSGVO müssen Unternehmen unverzüglich, spätestens jedoch innerhalb eines Monats, klare, vollständige und sichere Antworten geben.

Die manuelle Verwaltung von DSARs kann komplex und langsam sein. Eine DSAR-Lösung hilft bei der Zentralisierung von Anfragen, der Bestätigung der Benutzeridentität und der Nachverfolgung von Antworten, sodass Unternehmen organisiert bleiben und die DSGVO einhalten können.

Apple legt die Rechte der betroffenen Personen klar dar und bietet den Nutzern in seiner Datenschutzrichtlinie eine praktische Möglichkeit, diese auszuüben.

Apple_Datenschutzrichtlinie

Dieses Beispiel zeigt, wie sich Klarheit und Zugänglichkeit verbinden lassen. Apple listet die wichtigsten Rechte in einfacher Sprache auf und bietet den Nutzern sofort eine Anlaufstelle zum Handeln.

Kontaktinformationen für Ihr Unternehmen

Jede EU-Datenschutzrichtlinie sollte mit einem klaren und leicht zugänglichen Kontaktabschnitt enden. In diesem Teil Ihrer Richtlinie erfahren die Nutzer genau, wie sie Sie erreichen können, wenn sie Fragen oder Bedenken haben oder ihre Datenrechte wahrnehmen möchten.

Mindestens enthalten:

  • Vollständiger rechtlicher Name Ihres Unternehmens
  • Ihre Geschäftsadresse
  • Eine Kontakt-E-Mail für Fragen zum Datenschutz
  • Kontaktinformationen des Datenschutzbeauftragten (DSB), falls zutreffend

Sie können auch einen Link zu Ihrem DSAR-Formular einrichten, um den Nutzern die sichere Kontaktaufnahme mit Ihnen zu erleichtern.

Ein gutes Beispiel dafür ist die Datenschutzrichtlinie von Canva, die einen übersichtlichen, gut organisierten Kontaktbereich enthält, wie im folgenden Screenshot zu sehen ist.

Canva_Datenschutzrichtlinie

Dieses Beispiel veranschaulicht bewährte Verfahren für internationale Organisationen.

Canva gibt nicht nur eine direkte E-Mail- und Postanschrift an, sondern nennt auch seine Vertreter in der EU und im Vereinigten Königreich und enthält Links zu Datenanforderungsformularen, so dass es für Nutzer in jeder Region einfach ist, die richtige Stelle zu kontaktieren.

Wo Sie Ihre EU-Datenschutzrichtlinie veröffentlichen können

Selbst die gründlichste Datenschutzrichtlinie hilft Ihrem Unternehmen nicht, wenn die Nutzer sie nicht finden können. Nach der DSGVO müssen Datenschutzrichtlinien überall dort, wo personenbezogene Daten erhoben werden, leicht zugänglich sein. Dadurch wird sichergestellt, dass die Nutzer überprüfen können, wie ihre Daten verwendet werden, bevor sie sie weitergeben.

Ihre Datenschutzrichtlinie sollte an wichtigen Stellen auf Ihrer Website oder App zu finden sein, unter anderem:

  • Fußzeile der Website: Die häufigste und erwartete Platzierung. Die Nutzer sollten in der Lage sein, den Link zu Ihrer Datenschutzrichtlinie am Ende jeder Seite zu finden.
  • Zahlungs- oder Kassenbildschirme: Fügen Sie einen Link in der Nähe eines Formulars ein, in dem Kunden Zahlungs- oder Rechnungsdaten eingeben.
  • Anmelde- oder Kontaktformulare: Zeigen Sie einen kurzen Datenschutzhinweis und einen Link zu Ihrer vollständigen Richtlinie an, wenn Nutzer persönliche Daten eingeben.
  • Cookie-Banner oder Pop-ups: Fügen Sie einen Link ein, über den die Nutzer leicht auf Ihre Datenschutzbestimmungen und Cookie-Details zugreifen können, bevor sie ihre Zustimmung geben.
  • Seiten zur Kontoerstellung oder Anmeldung: Stellen Sie sicher, dass die Nutzer Ihre Richtlinien einsehen können, bevor sie sich registrieren oder anmelden.
  • Datenschutz oder Compliance Center: Wenn Ihr Unternehmen große Datenmengen verarbeitet oder in mehreren Regionen tätig ist, sollten Sie eine spezielle Seite einrichten, auf der die Benutzer an einem Ort auf Ihre Datenschutzrichtlinie, Cookie-Richtlinie und DSAR-Formulare zugreifen können.
  • Mobile Apps: Fügen Sie einen Link zur Datenschutzerklärung in das App-Menü oder die Einstellungsseite ein, um die Transparenzanforderungen des App-Stores und der DSGVO zu erfüllen. Ein "mehrschichtiger" Hinweis ist die beste Praxis. Bieten Sie eine kurze, einfache Zusammenfassung der wichtigsten Punkte (z. B. Zwecke, Rechte, Identität des für die Verarbeitung Verantwortlichen) mit einem eindeutigen Link oder einer Dropdown-Liste für den Zugriff auf die vollständige, detaillierte Richtlinie.

Wenn Sie Ihre Datenschutzrichtlinien an diesen Stellen zugänglich machen, unterstützt dies nicht nur die Einhaltung der Vorschriften, sondern zeigt den Nutzern auch, dass Ihr Unternehmen Wert auf Offenheit und Verantwortlichkeit legt.

Eine Datenschutzrichtlinie und eine Cookie-Richtlinie mögen ähnlich klingen, aber beide dienen unterschiedlichen Zwecken und spielen eine wichtige Rolle für die Transparenz.

Ihre Datenschutzrichtlinie gibt einen umfassenden Überblick darüber, wie Ihr Unternehmen personenbezogene Daten sammelt, nutzt, weitergibt und schützt. Sie gilt für alle Arten von Informationen, die Sie verarbeiten, von Kontodaten bis hin zu Zahlungsdaten.

Eine Cookie-Richtlinie hingegen konzentriert sich speziell auf die auf Ihrer Website verwendeten Tracking-Technologien. Sie erklärt, welche Cookies aktiv sind, was sie tun, wer sie setzt und wie die Nutzer ihre Einstellungen verwalten können.

Beide Dokumente erleichtern es den Nutzern, die gewünschten Informationen zu finden, ohne sich durch dichte Textabschnitte wühlen zu müssen. Es zeigt auch, dass Ihr Unternehmen Wert auf Klarheit und Benutzerkontrolle legt, zwei wesentliche Voraussetzungen für den Aufbau von Vertrauen im Internet.

Wie Termly Unternehmen dabei hilft, eine EU-konforme Datenschutzrichtlinie zu erstellen

Die Erstellung einer Datenschutzrichtlinie, die den EU-Standards entspricht, kann sich kompliziert anfühlen, insbesondere wenn Ihr Unternehmen Daten über mehrere Berührungspunkte hinweg sammelt.

Termly's Datenschutzerklärung Generator hilft Ihnen, indem er Sie durch eine kurze Reihe von Fragen zu Ihrem Unternehmen, Ihrer Branche und Ihren Datenpraktiken führt. Anschließend erstellt er eine maßgeschneiderte Richtlinie, die mit Ihrer Region und den gesetzlichen Anforderungen übereinstimmt.

Außerdem können Sie damit problemlos Aktualisierungen vornehmen, wenn sich die Gesetze ändern, um Ihre Police auf dem neuesten Stand zu halten.

Mit Termly können Unternehmen Zeit sparen, den manuellen Aufwand für die Einhaltung von Vorschriften minimieren und Richtlinien bereitstellen, die das Vertrauen und die Transparenz fördern.

Hanna De La Garza
Mehr über die Autorin

Geschrieben von Hanna De La Garza

Hanna ist Content Writer bei Termly, wo sie ansprechende Ressourcen zu den Themen Datenschutz, Einwilligungsmanagement, regulatorische Updates und mehr erstellt. Sie konzentriert sich darauf, komplexe Themen für Geschäftsinhaber zugänglich zu machen und trägt sowohl zu neuen Inhaltsinitiativen als auch zur Aktualisierung bestehender Materialien bei, um Genauigkeit und Klarheit zu gewährleisten.

Mehr über die Autorin
Teodor Stanciu, CIPP/E, CIPM

Rezensiert von Teodor Stanciu, CIPP/E, CIPM Juristischer Koordinator & DSB

termly-dashboard-add-privacy-policy-screenshot-with-green-checkmark

KOSTENLOSE Datenschutzerklärung erstellen

Beantworten Sie ein paar einfache Fragen und Sie erhalten in wenigen Minuten eine EU-konforme Datenschutzrichtlinie!
Datenschutzerklärung kostenlos generieren

Verwandte Artikel

  1. Datenschutzerklärung für ein SaaS-Unternehmen 01
    Datenschutzerklärung für ein SaaS-Unternehmen: So erstellen Sie eine
    Artikel

    4. Dezember 2025
    Hanna De La Garza
  2. Termly
    Termly vs. PolicyMaker: Funktionen und Vorteile im Vergleich
    Vergleiche

    November 26, 2025
    Ali Talip Pınarbaşı, CIPP/E, & LLM
  3. Termly
    Termly vs. Ketch: Funktionen und Dienstleistungen im Vergleich
    Vergleiche

    14. November 2025
    Ali Talip Pınarbaşı, CIPP/E, & LLM
  4. Rechtliche Anforderungen für E-Commerce-Geschäfte-01
    5 Arten von rechtlichen Anforderungen für E-Commerce-Shops
    Artikel

    5. November 2025
    Natasha Piirainen
  5. Wie-man-AI-Tools-verwendet-ohne-die-Privatsphärengesetze-zu-brechen-01
    Wie man KI-Tools verwendet, ohne gegen Datenschutzgesetze und bewährte Praktiken zu verstoßen
    Artikel

    31. Oktober 2025
    Natasha Piirainen
  6. AI-Datenschutz-Statistiken
    54 Aufschlussreiche KI-Datenschutzstatistiken
    Artikel

    15. Oktober 2025
    Hanna De La Garza
  7. 14 Website-Richtlinien, die Sie brauchen und wie Sie sie erstellen können
    14 Website-Richtlinien, die Sie brauchen und wie Sie sie erstellen
    Artikel

    15. Oktober 2025
    Hanna De La Garza
  8. DSGVO-Legitim-Interesse-01
    DSGVO - Rechtmäßiges Interesse für Unternehmer erklärt
    Artikel

    15. Oktober 2025
    Natasha Piirainen
  9. Was ist der Unterschied zwischen einem Datenschutzhinweis und den Allgemeinen Geschäftsbedingungen
    Was ist der Unterschied zwischen einer Datenschutzrichtlinie, einem Haftungsausschluss und den Allgemeinen Geschäftsbedingungen?
    Artikel

    15. Oktober 2025
    Natasha Piirainen

Weitere Artikel ansehen