Rote Fahnen der Datenschutzpolitik: Wie man eine schlechte Datenschutzrichtlinie erkennt

Ob vage Formulierungen, schlechte Formatierung oder fehlende Informationen - eine schlechte Datenschutzrichtlinie kann Ihrer Glaubwürdigkeit schaden und Ihr Unternehmen in Gefahr bringen.

In diesem Leitfaden stelle ich Ihnen einige Datenschutzrichtlinien vor, die Sie vermeiden sollten, und zeige Ihnen, was gute Richtlinien anders machen.

Inhaltsübersicht

1. Die wichtigsten Warnhinweise zum Datenschutz und wie man sie vermeidet
2. Brauchen Sie Hilfe bei der Beseitigung dieser roten Fahnen? Termly hat Sie abgedeckt

Die wichtigsten Warnhinweise zum Datenschutz und wie man sie vermeidet

Was genau macht also eine Datenschutzrichtlinie "schlecht"?

Es geht nicht immer darum, was in der Richtlinie steht. Manchmal geht es darum, was fehlt, was unklar ist oder wie es präsentiert wird.

Im Folgenden finden Sie sechs der häufigsten roten Fähnchen, die wir heute in Datenschutzrichtlinien finden, zusammen mit Tipps, wie Sie sie ansprechen oder ganz vermeiden können.

Rote Fahne Nr. 1: Er ist zu lang, zu kurz oder schwer zu lesen

Einige Datenschutzerklärungen decken kaum die Grundlagen ab und bestehen nur aus ein paar vagen Sätzen. Andere gehen ins entgegengesetzte Extrem, indem sie Seite für Seite dichten Rechtstext ohne Pausen, klare Struktur oder Rücksicht auf die Erfahrung des Lesers anhäufen.

Ob es nun zu viel, zu wenig oder einfach nur unübersichtlich ist, diese Art von Politik hat eines gemeinsam: Sie schreckt die Leser ab.

Eine zu kurze Richtlinie deutet auf Nachlässigkeit oder einen unvollständigen Ansatz bei den Datenschutzpraktiken hin.

Ein zu langer oder schlecht formatierter Text fühlt sich unzugänglich an und weckt Bedenken, was sich im Kleingedruckten verbergen könnte.

Lange, wortreiche und schwer lesbare Datenschutzrichtlinien gelten auch als Verstoß gegen die Datenschutzgesetze gemäß der Allgemeinen Datenschutzverordnung (DSGVO, dem California Consumer Privacy Act (CCPA) und anderen.

Warum ist das so?

Manche Unternehmen kopieren einfach Vorlagen für Datenschutzrichtlinien, ohne sie auf ihre tatsächlichen Datenerhebungspraktiken abzustimmen.

Andere wiederum formatieren ihre Richtlinien als statische Dokumente, z. B. im PDF-Format, ohne sie für das Internet oder mobile Endgeräte anzupassen, was zu einem beengten Layout, kleinen Schriftarten und unlesbaren Abschnitten führt.

Wenn Sie eine Vorlage verwenden möchten, sollten Sie unbedingt eine finden, die sowohl effektiv als auch anpassbar ist, damit Sie eine auf Ihr Unternehmen zugeschnittene und für die Benutzer verständliche Richtlinie erstellen können.

Die Datenschutzerklärung vorlage zum Beispiel ist kostenlos, vollständig anpassbar und kann in verschiedenen Formaten heruntergeladen werden, um Ihnen die Arbeit zu erleichtern.

Wie eine gute Datenschutzpolitik aussieht

Eine gute Datenschutzrichtlinie bietet ein ausgewogenes Verhältnis zwischen Umfang und Textmenge und bietet klare, strukturierte Inhalte, die lang genug sind, um das Notwendige abzudecken, aber in überschaubare Abschnitte unterteilt sind.

Ein hervorragendes Beispiel für eine Datenschutzrichtlinie, die dies gut umsetzt, stammt von Simple Mills, Inc. Sie bieten detaillierte Informationen, ohne den Leser zu überwältigen.

Ihre Politik ist umfassend genug, um alles abzudecken, was die Nutzer wissen müssen, einschließlich:

• Welche Daten werden gesammelt?
• Wie es verwendet wird
• Mit wem sie geteilt wird
• Welche Rechte die Nutzer haben

Sie vermitteln dies, ohne auf unnötige Wiederholungen oder komplizierte Rechtssprache zurückzugreifen.

Die Richtlinie hat ein klares Layout mit großen, fettgedruckten Abschnittsüberschriften und einer gut lesbaren Schriftgröße, die das Überfliegen erleichtert. Jeder Abschnitt ist in kurze Absätze unterteilt, was eine Ermüdung des Lesers verhindert und ihn dazu anregt, sich mit dem Inhalt zu beschäftigen.

Rote Fahne Nr. 2: Es werden keine Kontaktinformationen angegeben oder die Eigentümerschaft definiert

Wenn aus einer Datenschutzrichtlinie nicht klar hervorgeht, von wem sie stammt oder wie man das dahinter stehende Unternehmen erreichen kann, ist das ein großes Transparenzproblem.

Die Nutzer müssen wissen, wer ihre Daten sammelt, für wen die Richtlinie gilt und wie sie sich bei Fragen oder Bedenken an uns wenden können.

Warum ist das so?

Dies kann darauf zurückzuführen sein, dass Unternehmen Datenschutzrichtlinien als Einheitsdokumente behandeln.

Anstatt den Inhalt an ihre spezifischen Tätigkeiten anzupassen, könnten sie die Kontaktinformationen ganz weglassen.

In anderen Fällen ist den Unternehmen vielleicht nicht bewusst, dass einige Datenschutzgesetze vorschreiben, dass Unternehmen in ihren Datenschutzrichtlinien Kontaktangaben machen müssen:

• Allgemeine Datenschutzverordnung (DSGVO)
• Kalifornisches Gesetz zum Schutz der Privatsphäre der Verbraucher (CCPA)/KalifornischesGesetz zum Schutz der Privatsphäre (CPRA)
• Gesetz zum Schutz persönlicher Daten und elektronischer Dokumente (PIPEDA)
• Andere Gesetze der U.S.-Bundesstaaten

Das Fehlen von Kontaktinformationen kann dazu führen, dass Sie diese Vorschriften nicht einhalten und die Nutzer frustriert oder unfähig sind, ihre Rechte wahrzunehmen.

Wie eine gute Datenschutzpolitik aussieht

Eine wirksame Datenschutzpolitik lässt die Nutzer nicht im Unklaren darüber, wer für ihre Daten verantwortlich ist, sondern ist eindeutig:

• Nennen Sie das Unternehmen,
• den Geltungsbereich der Politik zu definieren, und
• Bieten Sie eine spezielle Kontaktmethode an, wie eine E-Mail-Adresse, eine Telefonnummer oder ein Kontaktformular.

Der United States Postal Service beispielsweise hat in seiner Datenschutzrichtlinie einen eigenen Abschnitt mit dem Titel "Where to Submit Inquiries" (Wo kann ich Anfragen einreichen), der klare Kontaktinformationen für Fragen oder Beschwerden zum Datenschutz enthält.

Die Richtlinie erklärt auch, dass Anfragen geprüft, beantwortet und vertraulich behandelt werden, was das Engagement des USPS für Transparenz und Rechenschaftspflicht unterstreicht.

Rote Flagge Nr. 3: Es werden viele Daten gesammelt (oder sie sind sehr vage)

Es ist ein Warnsignal, wenn Unternehmen in ihren Datenschutzrichtlinien darum bitten, zu viele unnötige Daten zu sammeln.

Eine Datenschutzrichtlinie, die behauptet, eine Liste aller möglichen Datenarten zu sammeln, kann als aufdringlich und übertrieben empfunden werden. Außerdem ist sie potenziell illegal.

Nach der DSGVO und den Datenschutzgesetzen der US-Bundesstaaten dürfen die für die Datenverarbeitung Verantwortlichen nur Informationen erfassen, die für die Erreichung der in der Datenschutzrichtlinie genannten Zwecke erforderlich sind.

Noch schlimmer ist es, wenn in einer Richtlinie etwas Vages steht wie "Wir sammeln Ihre Daten, um unsere Dienste zu verbessern", und die Nutzer sich fragen, was mit ihren Daten geschieht.

Wenn nicht klar ist, warum Sie personenbezogene Daten sammeln, besteht die Gefahr, dass Sie Gesetze wie die DSGVO und das CCPA nicht einhalten, die von Unternehmen verlangen, den Zweck der Datenerfassung so zu erklären, dass die Nutzer sie verstehen können.

Warum ist das so?

In manchen Fällen versuchen die Unternehmen, sich durch lange Listen von Datentypen abzusichern, ohne sie an bestimmte Verwendungszwecke zu binden.

Andere übernehmen vielleicht Formulierungen aus einer allgemeinen Vorlage oder aus den Richtlinien einer anderen Website, ohne zu prüfen, ob sie die eigenen Praktiken korrekt wiedergeben.

Es ist auch möglich, dass Unternehmen nicht wissen, dass sie rechtlich nicht befugt sind, so viele Daten zu sammeln, wie sie wollen, nur um der Daten willen.

In jedem Fall ist die Erhebung von zu vielen Daten oder die vage Angabe von Gründen für die Erhebung von Daten ein wichtiger Hinweis auf die Datenschutzpolitik.

Wie eine gute Datenschutzpolitik aussieht

In aussagekräftigen Datenschutzrichtlinien wird in übersichtlicher Form aufgeführt, welche Daten erfasst werden, und es wird erklärt, warum sie erfasst werden.

Für jede Informationskategorie sollte sie den Zweck klar angeben und, falls erforderlich, auf die Rechtsgrundlage für die Datenverarbeitung verweisen.

Ein gutes Beispiel für eine Datenschutzrichtlinie, in der die Daten gut aufgelistet sind, ist die Global Privacy Notice von Visa, in der Dutzende von Kategorien personenbezogener Daten aufgeführt sind, darunter:

• Einzelheiten der Transaktion
• Geolokalisierung
• Biometrische Identifikatoren
• Abgeleitete Verhaltensdaten

Sie informieren die Nutzer nicht nur über diese Arten der Datenerfassung, sondern erläutern auch jeden Zweck, von der Zahlungsabwicklung und Betrugserkennung bis hin zur Erfüllung rechtlicher Verpflichtungen und der Bereitstellung personalisierter Dienste.

Als globales Zahlungsunternehmen, das mit sensiblen Daten umgeht, hat Visa eine klare Verantwortung, transparent zu sein. Der Grad der Spezifität hilft den Nutzern zu verstehen, was genau gesammelt wird und warum, was für ein Unternehmen in seiner Position besonders wichtig ist.

Rote Flagge Nr. 4: Es widerspricht sich selbst

Eine Datenschutzrichtlinie, die an einer Stelle das eine sagt und an anderer Stelle das Gegenteil, schafft Verwirrung und untergräbt das Vertrauen.

Es ist irreführend, wenn in einem Abschnitt der Datenschutzrichtlinie steht: "Wir verwenden keine personenbezogenen Daten für Marketingzwecke", in einem anderen jedoch Marketing-Cookies aufgeführt werden.

Diese Art von Widersprüchen deutet darauf hin, dass der Ansatz zum Schutz der Privatsphäre ohne sorgfältige Prüfung zusammengestückelt wurde, und könnte sogar darauf hindeuten, dass die Politik gegen die Datenschutzgesetze verstößt

Warum ist das so?

Dafür kann es mehrere Gründe geben. Wenn Unternehmen zum Beispiel einen Teil ihrer Politik aktualisieren, vergessen sie möglicherweise, andere Teile zu aktualisieren, was zu Lücken und Widersprüchen im Text führen kann.

In anderen Fällen sind die Teams in Bezug auf ihre Datenpraktiken nicht aufeinander abgestimmt, was zu unterschiedlichen Aussagen darüber führt, was mit den Nutzerdaten gemacht wird und was nicht.

Hier ist ein Beispiel aus der Praxis für Sie. Eine Studie der UC Berkley aus dem Jahr 2019 untersuchte die Widersprüche in den Datenschutzrichtlinien von Apps:

• Nach der Analyse von 8.030 "Designed For Families"-Anwendungen (DFF),
• Sie fanden heraus, dass 9,1 % behaupteten, ihre Apps seien nicht an Kinder gerichtet.
• 30,6 % gaben hingegen an, nicht zu wissen, dass die Daten von Kindern stammen.

Diese Art von Unklarheit untergräbt das Vertrauen der Nutzer und birgt die Gefahr, dass strenge Vorschriften nicht eingehalten werden, in diesem Fall der Children's Online Privacy Protection Act (COPPA).

Wie eine gute Datenschutzpolitik aussieht

Starke Datenschutzrichtlinien sind intern konsistent.

Sie verwenden in allen Abschnitten eine abgestimmte Terminologie, wie "Cookies", "gemeinsame Nutzung durch Dritte", "Marketing" und "Nutzerrechte", und erläutern deutlich alle Datennutzungsmuster.

Darüber hinaus sollte eine solide Datenschutzpolitik das tatsächliche Datenverarbeitungsverhalten des Unternehmens genau widerspiegeln.

Ein gutes Beispiel für eine Datenschutzrichtlinie, die sich nicht selbst widerspricht, kommt von Figma.

Ihre Richtlinie ist gut strukturiert, verwendet eine einheitliche Sprache und verbindet jede Art von Daten mit ihrem Zweck und ihrer Rechtsgrundlage.

Es mag zwar unauffällig erscheinen, dass eine Politik einfach nur Widersprüche vermeidet, aber was sie von anderen unterscheidet, ist die Art und Weise, wie sie diese Kohärenz erreicht.

Der Inhalt des gesamten Dokuments spiegelt eine sorgfältige Abstimmung zwischen den Praktiken und Zielen von Figma wider, wodurch das Risiko widersprüchlicher Aussagen verringert wird.

Rote Flagge Nr. 5: Sie wurde seit Jahren nicht mehr aktualisiert

Wenn eine Datenschutzrichtlinie seit Jahren nicht mehr aktualisiert wurde, ist es gut möglich, dass sie nicht mehr dem entspricht, was die Website tut. Dies ist ein deutliches Warnsignal.

Die Erwartungen an den Datenschutz und die Gesetze entwickeln sich ständig weiter. Das gilt auch für die Technologie, wie unseren plötzlichen Zugang zur KI. Auch die Datenschutzpraktiken der Unternehmen sollten sich entsprechend weiterentwickeln.

Veraltete Richtlinien erwähnen möglicherweise Tools, die Sie nicht mehr verwenden, oder übersehen neuere Datenpraktiken.

Selbst etwas so Einfaches wie ein fehlendes Datum für die letzte Aktualisierung kann dazu führen, dass sich eine Richtlinie vernachlässigt fühlt, rote Fahnen weckt und auf einen möglichen Rechtsverstoß hindeutet.

Warum ist das so?

Manchmal behandeln Unternehmen Datenschutzrichtlinien als einmalige Dokumente, veröffentlichen sie einmal und vergessen sie dann.

Wenn Sie Ihre Richtlinien nicht auf dem neuesten Stand halten, kann dies zu Misstrauen bei den Benutzern oder zu rechtlichen Problemen führen, wenn sich Ihre Praktiken geändert haben und Ihre Richtlinien nicht mehr mit ihnen übereinstimmen.

Wie eine gute Datenschutzpolitik aussieht

Ein Beispiel für ein Unternehmen, das über seine Datenschutzpraktiken auf dem Laufenden bleibt und ein klares "Datum der letzten Aktualisierung" angibt, ist IKEA, dessen Datenschutzrichtlinie unten abgebildet ist.

IKEA hat das Datum der letzten Aktualisierung oben in der Richtlinie angegeben, um zu verdeutlichen, dass sie kürzlich aktualisiert wurde. Dies unterstreicht ihr Engagement für Transparenz und die Information der Nutzer und zeigt, dass sie ihre Datenpraktiken aktiv überprüfen und pflegen.

Das Entscheidende ist, dass eine Datenschutzrichtlinie kein Dokument ist, das man einfach abhaken kann.

Die ständige Aktualisierung zeigt, dass Sie die Nutzerdaten ernst nehmen, und hilft Ihnen, mit den sich entwickelnden Gesetzen und Industriestandards Schritt zu halten.

Rote Flagge #6: Es ist eindeutig KI-generiert

KI-Tools können beim Brainstorming oder bei der Ausarbeitung von Ideen hilfreich sein, aber wenn Sie sich bei der Erstellung Ihrer gesamten Datenschutzrichtlinie auf sie verlassen, ist das ein deutliches Warnsignal.

Viele KI-generierte Datenschutzrichtlinien enthalten vage, allgemeine Formulierungen, die Ihre Geschäftspraktiken möglicherweise nicht genau widerspiegeln.

Schlimmer noch: KI-Tools sind dafür bekannt, dass sie halluzinieren, d. h. sie könnten rechtliche Anforderungen erfinden, nicht existierende Gesetze zitieren oder Behauptungen aufstellen, die nicht der Wahrheit entsprechen oder nicht durchsetzbar sind.

Warum ist das so?

Die meisten KI-Tools sind nicht speziell auf die aktuellen Datenschutzgesetze geschult. Sie haben auch keine Möglichkeit, die Feinheiten der Art und Weise zu verstehen, wie Ihr Unternehmen personenbezogene Daten sammelt und verarbeitet.

Ohne rechtliche Aufsicht, Überprüfung, mehrere Bearbeitungsrunden und Anleitung können sie leicht irreführende, falsche und ungenaue Inhalte produzieren, die Ihr Unternehmen gefährden.

Wie eine gute Datenschutzpolitik aussieht

Starke Datenschutzrichtlinien sind persönlich auf Ihr Unternehmen zugeschnitten, rechtlich korrekt und stimmen mit Ihren tatsächlichen Datenerfassungspraktiken überein.

Wenn Sie sich nicht sicher sind, welche Anzeichen darauf hindeuten, dass eine Richtlinie von KI erstellt wurde, finden Sie hier einige Hinweise, worauf Sie achten und was Sie vermeiden sollten:

• Sich wiederholende oder vage Formulierungen
• Gefälschte oder falsch zitierte Gesetze
• Widersprüche zwischen den Abschnitten
• Eine Struktur, die sich von Ihrem Unternehmen abgekoppelt fühlt.
• Falsche Informationen (Halluzinationen)

Wenn Sie ein Beispiel für eine klare, vertrauenswürdige Richtlinie suchen, die unter echter rechtlicher Aufsicht erstellt wurde, sollten Sie sich die Datenschutzhinweise vonTermly ansehen.

Sie werden von unserem Rechtsteam und unseren Datenschutzexperten verfasst und regelmäßig überprüft, so dass unsere Nutzer sicher sein können, dass sie den aktuellen Gesetzen und Datenschutzpraktiken entsprechen.

Eine solche von Experten geprüfte Richtlinie vermeidet nicht nur die üblichen roten Fahnen, sondern schafft auch Vertrauen bei Ihren Nutzern und trägt dazu bei, dass Ihre Website mit den sich entwickelnden Datenschutzstandards in Einklang steht.

Brauchen Sie Hilfe bei der Beseitigung dieser roten Fahnen? Termly hat Sie abgedeckt

Das Verfassen einer klaren, vertrauenswürdigen Datenschutzrichtlinie kann überwältigend sein, insbesondere angesichts sich ändernder Gesetze, sich entwickelnder Tools und hoher Erwartungen der Nutzer.

Aber Sie müssen das nicht allein bewältigen.

Termlyist frei PrGenerator für Datenschutzrichtlinien macht es einfacher, eine individuelle Richtlinie zu erstellen, die zu Ihrer Website passt und Ihre Nutzer informiert.

Unser Generator führt Sie durch die wichtigsten Fragen, um sicherzustellen, dass Ihre Police das Wesentliche abdeckt, und ermöglicht es Ihnen, die ausgefüllte Police problemlos auf Ihrer Website zu veröffentlichen.

Sie wird von unserem Rechtsteam und unseren Datenschutzexperten unterstützt und regelmäßig aktualisiert, damit sie mit der sich ständig weiterentwickelnden Rechtslandschaft im Bereich des Datenschutzes in Einklang steht.

Wenn Sie mehr darüber erfahren möchten, bevor Sie sich in die Materie vertiefen, finden Sie in unserem Leitfaden zu den besten Praktiken für den Datenschutz klare Tipps und Beispiele, die Ihnen helfen, alles richtig zu machen.

Mehr über die Autorin

Geschrieben von Hanna De La Garza

Hanna ist Content Writer bei Termly, wo sie ansprechende Ressourcen zu den Themen Datenschutz, Einwilligungsmanagement, regulatorische Updates und mehr erstellt. Sie konzentriert sich darauf, komplexe Themen für Geschäftsinhaber zugänglich zu machen und trägt sowohl zu neuen Inhaltsinitiativen als auch zur Aktualisierung bestehender Materialien bei, um Genauigkeit und Klarheit zu gewährleisten.

Mehr über die Autorin

Rezensiert von Masha Komnenic CIPP/E, CIPM, CIPT, FIP Direktorin für globalen Datenschutz