Gemeinnützige Organisationen unterliegen verschiedenen Gesetzen, von denen einige eine genaue und aktualisierte Datenschutzrichtlinie vorschreiben.
Während einige Datenschutzgesetze direkt auf gemeinnützige Organisationen anwendbar sind, die die gesetzlichen Schwellenwerte erfüllen, wirken sich andere auf sie aus, wenn sie mit Drittparteien als Datenverarbeiter unter Vertrag stehen.
Im Folgenden erkläre ich Ihnen, was Sie über die Erstellung einer Datenschutzrichtlinie für eine gemeinnützige Organisation wissen müssen, was in eine solche Richtlinie gehört, welche Gesetze zu beachten sind und vieles mehr.
- Erstellung einer Datenschutzrichtlinie für gemeinnützige Organisationen
- Brauchen gemeinnützige Organisationen eine Datenschutzrichtlinie?
- Gesetze, die sich auf die Datenschutzrichtlinien von gemeinnützigen Organisationen auswirken
- Informationen, die in eine gemeinnützige Datenschutzrichtlinie aufgenommen werden sollten
- Wo Sie Ihre gemeinnützige Datenschutzrichtlinie anzeigen können
- Zusammenfassung
Erstellung einer Datenschutzrichtlinie für gemeinnützige Organisationen
Sie können eine Datenschutzrichtlinie für Ihre gemeinnützige Organisation mithilfe einer automatisierten Lösung oder einer Vorlage erstellen oder sie selbst verfassen.
Verwaltungslösung
Der einfachste Weg, eine Datenschutzrichtlinie zu erstellen, ist die Verwendung einer verwalteten Lösung wie dem Datenschutzerklärung Generator von Termly .
Die Verwendung eines Generators nimmt Ihnen das Rätselraten ab, was in Ihre Datenschutzrichtlinie aufgenommen werden soll, da er diese Informationen automatisch auf der Grundlage Ihrer Antworten auf grundlegende Fragen einfügt.
Die Richtlinie wird automatisch für Sie aktualisiert, wenn Sie Änderungen über das Termly Dashboard vornehmen.
Non-Profit-Organisationen unterliegen jedoch zusätzlichen Gesetzen, die für gewinnorientierte Unternehmen möglicherweise nicht gelten. Es können auch branchenspezifische Gesetze und Vorschriften gelten.
Gemeinnützige Organisationen sollten in Erwägung ziehen, einen Anwalt oder Datenschutzexperten zu konsultieren, um weitere Hinweise zur Einhaltung der gesetzlichen Bestimmungen zu erhalten.
Vorlage
Gemeinnützige Organisationen können auch eine Datenschutzerklärung vorlage verwenden, um mit der Erstellung ihrer Richtlinien zu beginnen.
Die Vorlagen sind für Sie bereits richtig formatiert und enthalten gängige Klauseln.
Sie füllen die leeren Abschnitte einfach manuell mit Informationen über Ihr Unternehmen aus, entfernen nicht benötigte Klauseln und fügen bei Bedarf Informationen hinzu, um die Einhaltung der Vorschriften zu gewährleisten.
Sehen Sie unten, wie es aussieht.
Achten Sie darauf, dass Sie nichts auslassen, und denken Sie daran, sie manuell zu aktualisieren, wenn sich Ihre Datenverarbeitungstätigkeiten ändern, damit sie korrekt und ehrlich bleibt.
Selber schreiben
Sie können Ihre eigenen Datenschutzrichtlinien für eine gemeinnützige Organisation verfassen; dies erfordert umfassende rechtliche Kenntnisse.
Wenn Sie etwas auslassen, könnten Sie aufgrund von Datenschutzgesetzen zur Rechenschaft gezogen werden, seien Sie also vorsichtig.
Um Ihnen den Prozess zu erleichtern, habe ich einige Tipps und bewährte Verfahren zusammengestellt, die Sie befolgen können, wenn Sie sich entschließen, Ihre Police zu schreiben:
- Tipp 1: Vergewissern Sie sich, dass Sie alle für Ihre gemeinnützige Organisation geltenden Gesetze kennen und wissen, was diese von Ihrer Datenschutzpolitik verlangen.
- Tipp 2: Formatieren Sie Ihre Richtlinie mit klar beschrifteten Klauseln und einem Inhaltsverzeichnis, damit die Benutzer die benötigten Informationen bei Bedarf finden können.
- Tipp 3: Verwenden Sie eine einfache Sprache und vermeiden Sie juristische Fachausdrücke oder unnötigen Jargon, damit die Informationen für alle Nutzer lesbar und verständlich sind.
- Tipp 4: Verwenden Sie Aufzählungslisten oder Tabellen, um Ihren Nutzern komplexe Informationen auf einfachere Weise zu präsentieren, z. B. eine Liste aller Daten, die Sie sammeln, und den Zweck, zu dem Sie dies tun.
- Tipp 5: Planen Sie eine regelmäßige Überprüfung Ihrer Datenschutzpolitik ein und aktualisieren Sie sie bei Bedarf, wenn sich Gesetze oder Ihre Verarbeitungstätigkeiten ändern.
- Tipp 6: Lassen Sie Ihre Datenschutzpolitik von einem Anwalt oder Experten für Datenschutz prüfen, um sicherzustellen, dass sie allen geltenden Gesetzen entspricht.
Brauchen gemeinnützige Organisationen eine Datenschutzrichtlinie?
Einige gemeinnützige Organisationen benötigen Datenschutzrichtlinien, aber nicht alle sind dazu verpflichtet.
So benötigen beispielsweise gemeinnützige Organisationen, die personenbezogene Daten sammeln und unter bestimmte Gesetze fallen, konforme Datenschutzrichtlinien.
Andernfalls könnten Sie eine Geldstrafe wegen Verstoßes gegen das Gesetz erhalten.
Die Veröffentlichung einer Datenschutzrichtlinie hilft Ihrem Unternehmen auch, Vertrauen bei den Nutzern aufzubauen, indem Sie ihnen Ihre Datenverarbeitungsaktivitäten transparent darlegen.
Dies gibt Ihren Nutzern die Möglichkeit, sich über Ihre Protokolle zu informieren und in Kenntnis der Sachlage zu entscheiden, ob sie damit einverstanden sind, dass ihre persönlichen Daten von Ihnen erfasst und verwendet werden.
Aber auch wenn Ihre gemeinnützige Organisation keine personenbezogenen Daten erhebt, verarbeitet oder nutzt, kann eine Datenschutzrichtlinie Ihr Engagement für einen offenen und ehrlichen Umgang mit dem Datenschutz zeigen.bei Impact Nonprofit Datenschutzrichtlinien
Gesetze, die sich auf die Datenschutzrichtlinien von gemeinnützigen Organisationen auswirken
Gemeinnützige Organisationen unterliegen bestimmten Gesetzen, die sich auf den Datenschutz auswirken, und sind von anderen ausgenommen.
Die Gesetze, von denen sie ausgenommen sind, können jedoch immer noch Auswirkungen auf gemeinnützige Organisationen haben, wenn sie einen Vertrag mit einem für die Datenverarbeitung Verantwortlichen haben, der in ihrem Namen als Datenverarbeiter handelt.
In diesen Fällen muss die gemeinnützige Organisation die Daten nach dem für den für die Datenverarbeitung Verantwortlichen geltenden Datenschutzrecht behandeln.
In der nachstehenden Tabelle habe ich eine Liste von Gesetzen zum Schutz der Privatsphäre von Verbrauchern zusammengestellt, die direkt oder indirekt für gemeinnützige Organisationen gelten.
| Verbraucherschutzgesetz | Auswirkungen auf gemeinnützige Organisationen |
| Colorado Datenschutzgesetz (CPA) | Das CPA gilt für gemeinnützige Organisationen, die einen der folgenden Schwellenwerte erfüllen:
|
| Kalifornisches Verbraucherschutzgesetz (CCPA) | Im Allgemeinen gilt das CCPA nicht für gemeinnützige Organisationen.
Gemeinnützige Organisationen können jedoch indirekt betroffen sein, wenn sie als Datenverarbeiter im Auftrag eines für die Datenverarbeitung Verantwortlichen tätig sind. |
| Virginia Verbraucherdatenschutzgesetz (VCDPA) | Nach dem VCDPA sind gemeinnützige Organisationen ausgenommen.
Non-Profit-Organisationen, die mit Unternehmen zusammenarbeiten, die dem VCDPA unterliegen, könnten jedoch betroffen sein, insbesondere wenn sie als Datenverarbeiter im Auftrag eines für die Datenverarbeitung Verantwortlichen tätig sind. |
| Connecticut-Datenschutzgesetz (CTDPA) | Das CTDPA gilt im Allgemeinen nicht für gemeinnützige Organisationen.
Es kann jedoch Ausnahmen für bestimmte Arten der Datenverarbeitung oder Partnerschaften mit gewinnorientierten Unternehmen geben. |
| Oregon Consumer Privacy Act (OCPA) | Der endgültige Wortlaut des Gesetzes und seine Anwendbarkeit auf gemeinnützige Organisationen können variieren, daher sollten Sie alle Ausnahmen und Schwellenwerte prüfen, die gemeinnützige Organisationen betreffen könnten. |
| Gesetz zum Schutz der Privatsphäre der Verbraucher in Utah (UCPA) | Gemeinnützige Organisationen sind vom UCPA ausgenommen.
Wie bei anderen Ausnahmeregelungen können gemeinnützige Organisationen jedoch immer noch Datenschutzverpflichtungen unterliegen, wenn sie Verträge mit gewinnorientierten Unternehmen abschließen. |
In der folgenden Tabelle sind Gesetze aufgeführt, die keine umfassenden Gesetze zum Schutz der Privatsphäre von Verbrauchern sind, aber dennoch häufig für gemeinnützige Organisationen gelten und sich auf deren Datenschutzrichtlinien oder Datenverarbeitungsaktivitäten auswirken können.
| Recht | Auswirkungen auf gemeinnützige Organisationen |
| Colorado-Gesetz zum Schutz von Verbrauchern in der Wohlfahrtspflege | Obwohl es sich nicht um ein umfassendes Datenschutzgesetz handelt, ist dieses Gesetz von Colorado für gemeinnützige Einrichtungen im Gesundheitswesen von Bedeutung. Es regelt, wie Krankenhäuser (einschließlich gemeinnütziger Krankenhäuser) Verbraucherdaten und Wohltätigkeitsleistungen verwalten. |
| Nevada Datenschutzgesetz | Das Datenschutzgesetz von Nevada ist in seinem Geltungsbereich eingeschränkter und gilt im Allgemeinen nicht für gemeinnützige Organisationen.
Der Schwerpunkt liegt jedoch auf dem Online-Datenverkauf, so dass gemeinnützige Organisationen möglicherweise Tätigkeiten ausüben, die unter das Gesetz fallen, wenn sie personenbezogene Daten online verkaufen. |
| Gesetz zur Benachrichtigung über Datenschutzverletzungen in Massachusetts | Massachusetts verlangt von allen Organisationen, einschließlich gemeinnütziger Organisationen, dass sie die betroffenen Personen und den Generalstaatsanwalt benachrichtigen, wenn es zu einer Datenverletzung kommt.
Es handelt sich zwar nicht um ein umfassendes Datenschutzgesetz, aber es gilt für jede Organisation, die mit personenbezogenen Daten umgeht. |
| New Yorker SHIELD-Gesetz | Das SHIELD-Gesetz gilt für alle Einrichtungen, die mit den privaten Daten von Einwohnern New Yorks umgehen, einschließlich gemeinnütziger Organisationen.
Es schreibt eher Anforderungen an die Datensicherheit vor als spezielle Rechte für den Schutz der Privatsphäre der Verbraucher, aber gemeinnützige Organisationen müssen den Datenschutz nach diesem Gesetz einhalten. |
| Illinois Biometric Information Privacy Act (BIPA) | Obwohl sich das BIPA auf biometrische Daten konzentriert, gilt es für jede private Einrichtung, was auch bestimmte gemeinnützige Organisationen einschließen könnte, insbesondere für diejenigen, die biometrische Daten wie Fingerabdrücke oder Gesichtserkennungsdaten sammeln.
Sie verlangt eine informierte Zustimmung vor der Erhebung biometrischer Daten und schränkt deren Verwendung und Weitergabe ein. |
Auch wenn viele Datenschutzgesetze der US-Bundesstaaten gemeinnützige Organisationen ausdrücklich ausnehmen, sollten sie dennoch Vorsicht walten lassen.
Gemeinnützige Organisationen können indirekt von diesen Gesetzen betroffen sein, wenn sie Verträge mit Unternehmen unterzeichnen, die diese Gesetze einhalten müssen.
Für gemeinnützige Organisationen ist es außerdem unerlässlich, die sektorspezifischen Vorschriften zu überprüfen:
- Health Insurance Portability and Accountability Act (HIPAA ) für das Gesundheitswesen.
- Children's Online Privacy Protection Act (COPPA ) für Organisationen, die mit Kindern unter 13 Jahren arbeiten.
- Family Education Rights and Privacy Act (FERPA ) für das Bildungswesen.
Aufgrund der zusätzlichen Komplexität empfehle ich gemeinnützigen Organisationen, einen Anwalt oder Datenschutzexperten zu konsultieren, um sicherzustellen, dass ihre Verarbeitungstätigkeiten rechtskonform sind.
Informationen, die in eine gemeinnützige Datenschutzrichtlinie aufgenommen werden sollten
Obwohl die genauen Details Ihrer Datenschutzrichtlinie von Ihrer gemeinnützigen Organisation und den geltenden Gesetzen abhängen, habe ich im Folgenden eine Liste der gängigsten Klauseln zusammengestellt, die Sie berücksichtigen sollten.
Welche persönlichen Daten Sie sammeln
Sie sollten in einer Klausel in der Datenschutzrichtlinie Ihrer gemeinnützigen Organisation auflisten, welche personenbezogenen Daten Sie sammeln. Formatieren Sie sie in Form einer Aufzählung oder Tabelle, damit sie für die Nutzer leicht zu lesen und zu verstehen ist.
Wie Sie die Daten sammeln
Datenschutzgesetze wie das Colorado Privacy Act verlangen, dass Sie in Ihren Datenschutzrichtlinien erklären, wie Sie personenbezogene Daten sammeln.
So können Sie beispielsweise Daten über Online-Formulare sammeln, indem Sie Internet-Cookies in Browsern einsetzen oder wenn Nutzer Spendenformulare ausfüllen.
Warum Sie die Daten sammeln
Sie müssen den Zweck der Erhebung personenbezogener Daten in Ihrer Datenschutzpolitik erläutern.
So können Sie beispielsweise Daten für Marketing- und Forschungszwecke, zur Verbesserung der Benutzerfreundlichkeit oder zur Erfüllung vertraglicher Verpflichtungen gegenüber Verbrauchern erfassen.
Nach den meisten Gesetzen dürfen Sie Daten nicht zu anderen Zwecken verarbeiten, ohne den Verbraucher darüber zu informieren und seine ausdrückliche Zustimmung einzuholen.
Wenn Sie persönliche Daten verkaufen oder weitergeben
Sie müssen in Ihrer Datenschutzrichtlinie angeben, ob Sie personenbezogene Daten verkaufen oder an Dritte weitergeben.
Sie sollten eine Liste der Datenkategorien, die Sie an Dritte weitergeben, und die Kategorien der Dritten selbst enthalten.
Sie sollten dies nicht alleine tun müssen; gemeinnützige Organisationen können und sollten erwarten, dass ihre digitalen Fundraising-Plattformen robuste Sicherheitsmaßnahmen zum Schutz der Spender ergreifen, beispielsweise zur Verhinderung von Spam-Spenden und Carding-Angriffen , um die Sicherheit der Spenderdaten zu gewährleisten. Während des Überprüfungsprozesses sollten gemeinnützige Organisationen Folgendes erfragen:
- Compliance-Zertifizierungen wie PCI DSS Level 1, die die Einhaltung strenger Sicherheitsstandards für den Umgang mit Kreditkartendaten belegen.
- Regelmäßige Sicherheitsaudits, Penetrationstests und Schwachstellenbewertungen, die für die Aufrechterhaltung einer sicheren Umgebung entscheidend sind.
- Transparente Datenverarbeitungsvereinbarungen, aus denen klar hervorgeht, wie Spenderdaten erhoben, verwendet, gespeichert und geschützt werden.
- Ein solider Notfallplan für den Fall einer Datenschutzverletzung.
Justin Wheeler, CEO und Mitbegründer der digitalen Fundraising-Plattform Funraise, betont: "Der Schutz der Spenderdaten hat höchste Priorität. Unsere stärksten Unterstützer vertrauen uns ihre sensibelsten Informationen an, daher haben wir die Verantwortung, ein Höchstmaß an Sicherheit und Transparenz zu bieten."
Informationen über Verbraucherrechte
Die Datenschutzgesetze verlangen, dass Sie in Ihren Datenschutzrichtlinien erklären, welche Rechte Ihre Nutzer über ihre Daten haben.
Sie müssen auch erklären, wie sie diese Rechte wahrnehmen können.
Wenn Ihre gemeinnützige Organisation mehr als einem Gesetz unterliegt, sollten Sie eine Klausel für jedes einzelne Gesetz hinzufügen, damit Ihre Kunden aus diesen Regionen die für sie geltenden Rechte leicht finden können.
Gemeinnützige Kontaktinformationen
Sie sollten die Kontaktinformationen Ihrer gemeinnützigen Organisation in Ihre Datenschutzrichtlinie aufnehmen, damit die Verbraucher wissen, wie sie Sie erreichen können, wenn sie Fragen, Kommentare oder Bedenken haben.
Wo Sie Ihre gemeinnützige Datenschutzrichtlinie anzeigen können
Die Datenschutzrichtlinien Ihrer gemeinnützigen Organisation sollten für die Nutzer immer leicht auffindbar sein, daher sollten Sie sie an den folgenden zugänglichen Stellen platzieren:
- Fußzeile der Website: Die meisten Websites verlinken ihre Datenschutzrichtlinien in der Fußzeile, da dies ein statischer Ort ist, auf den die Nutzer von jeder Seite aus zugreifen können, während sie durch Ihre Website navigieren.
- Pop-up-Einwilligungsbanner: Die Verknüpfung mit Ihrer Cookie- und Datenschutzrichtlinie auf einem Einwilligungsbanner stellt sicher, dass Ihre Nutzer das Dokument automatisch sehen, wenn sie Ihre Website betreten.
- Datenschutz-Center: Wenn Ihre gemeinnützige Organisation viele rechtliche Richtlinien hat und Sie möchten, dass Ihre Nutzer diese schnell finden können, fügen Sie Ihrer Website ein Datenschutzzentrum hinzu, das alle anwendbaren Dokumente, einschließlich Ihrer Datenschutzrichtlinie, enthält.
- Überall, wo Daten erhoben werden: Verweisen Sie überall dort auf Ihre Datenschutzrichtlinie, wo Sie Daten von Nutzern erheben, z. B. in Bestellformularen, Portalen zur Erstellung von Konten und bei Newsletter-Anmeldungen.
Zusammenfassung
Gemeinnützige Organisationen, die personenbezogene Daten erheben, verarbeiten oder nutzen, sollten über eine umfassende Datenschutzrichtlinie verfügen.
Es ist möglich, dass die Datenschutzgesetze Sie direkt oder indirekt dazu verpflichten, aber Ihre Nutzer erwarten auch, dass sie eine solche auf Ihrer Website oder in Ihrer App finden.
Wenn es um den Datenschutz geht, müssen gemeinnützige Organisationen neben den umfassenden Gesetzen zum Verbraucherschutz noch weitere Gesetze und Vorschriften beachten.
Denken Sie daran, wenn Sie Ihr eigenes Produkt herstellen wollen.
Geschrieben von Natasha Piirainen
Natasha Piirainen ist Autorin zum Thema Datenschutz. Sie hat einen Bachelor-Abschluss in Englisch und Philosophie vom Wheaton College und verfügt über mehr als 10 Jahre Berufserfahrung in der forschungsorientierten Entwicklung von Inhalten.
Alle Beiträge von Natasha Piirainen lesen
Überprüft von Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Masha Komnenic ist Rechtsberaterin und Director of Global Privacy Termly. Sie hat einen Abschluss in Rechtswissenschaften der Universität Belgrad. Sie ist spezialisiert auf die Umsetzung, Überwachung und Prüfung der Einhaltung von Datenschutzbestimmungen (HIPAA, PIPEDA, ePrivacy-Richtlinie, DSGVO, CCPA, POPIA, LGPD) durch Unternehmen.
Alle Beiträge lesen, die von Masha Komnenic CIPP/E, CIPM, CIPT, FIP geprüft wurden
