Datenschutzrichtlinien informieren die Menschen darüber, wie eine Organisation personenbezogene Daten sammelt, verarbeitet und nutzt.
Für Unternehmen ist es wichtig zu wissen, was eine Datenschutzrichtlinie ist und wie man sie erstellt, denn diese Richtlinien sind gesetzlich vorgeschrieben.
In diesem Leitfaden erkläre ich, was eine Datenschutzrichtlinie ist und was in einer solchen enthalten sein muss, erörtere die verschiedenen Gesetze, die sich darauf auswirken, und erkläre die möglichen Folgen, wenn keine Datenschutzrichtlinie vorhanden ist.
- Was ist eine Datenschutzerklärung?
- Warum sind Datenschutzrichtlinien wichtig?
- Brauche ich eine Datenschutzrichtlinie?
- Welche Gesetze verlangen eine Datenschutzrichtlinie?
- Welche Plattformen benötigen eine Datenschutzrichtlinie?
- Was sind die Vorteile einer Datenschutzrichtlinie?
- Was beinhalten und decken die Datenschutzrichtlinien ab?
- Was sind die Strafen für das Fehlen einer Datenschutzrichtlinie?
- Wo müssen Sie Ihre Datenschutzrichtlinie anzeigen?
- Wie können Sie Ihre Datenschutzrichtlinie durchsetzen?
- Optionen für die Erstellung einer Datenschutzrichtlinie
- Wie Sie Ihre Datenschutzrichtlinien aufrechterhalten
- Zusätzliche Rechtspolicen, die Sie möglicherweise benötigen
- Zusammenfassung
Was ist eine Datenschutzerklärung?
Einfach ausgedrückt, informiert eine Datenschutzrichtlinie die Nutzer Ihrer Website oder App darüber, wie Sie ihre personenbezogenen Daten erfassen und verarbeiten.
Außerdem werden sie über ihre Rechte in Bezug auf die Verarbeitung ihrer Daten informiert und erhalten Anweisungen, wie sie diese Rechte wahrnehmen können.
Die genauen Einzelheiten Ihrer Datenschutzpolitik hängen von den geltenden Datenschutzgesetzen ab, werden aber in der Regel erläutert:
- Welche persönlichen Informationen Sie sammeln
- Wie Sie diese Informationen sammeln
- Warum Sie sie erheben, auch bekannt als Ihre "Rechtsgrundlage".
- Mit wem Sie die Daten teilen oder an wen Sie sie verkaufen
Sie sind höchstwahrscheinlich gesetzlich verpflichtet, eine konforme Datenschutzrichtlinie zu veröffentlichen:
- Wo Ihr Unternehmen ansässig ist
- Woher Ihre Kunden kommen
- Wie viele Daten Sie sammeln
- Ihre jährlichen Bruttoeinnahmen
Es ist wichtig zu wissen, dass Datenschutzrichtlinien nicht dasselbe sind wie Ihre Allgemeinen Geschäftsbedingungen, die Ihr Unternehmen schützen, indem sie Ihre Nutzungsregeln, Streitbeilegungsverfahren und Zahlungsbedingungen festlegen.
Außerdem sind Datenschutzrichtlinien nicht mit Haftungsausschlüssen vergleichbar, die in der Regel in den Allgemeinen Geschäftsbedingungen enthalten sind und dazu dienen, sich von der Haftung zu befreien.
Wenn Ihr Unternehmen in irgendeiner Form online tätig ist, sollten Sie alle diese notwendigen Website-Richtlinien auf Ihrer Plattform bereitstellen. Dieser Leitfaden konzentriert sich jedoch auf die Datenschutzrichtlinien, daher wollen wir hier nicht zu sehr vom Thema abschweifen.
Rechtliche Definition einer Datenschutzrichtlinie
Die rechtliche Definition einer Datenschutzrichtlinie und was sie im Einzelnen enthalten muss, hängt davon ab, welche Gesetze für Ihr Unternehmen gelten, da sie oft unterschiedliche Anforderungen stellen.
In der nachstehenden Tabelle finden Sie einen Vergleich der rechtlich erforderlichen Informationen, die Sie auf der Grundlage von 12 der wichtigsten Datenschutzgesetze in Ihre Datenschutzrichtlinie aufnehmen müssen.
Datenschutzgesetz | Datenschutzrechtliche Verpflichtungen |
🇪🇺 Allgemeine Datenschutzverordnung (DSGVO) |
|
🇬🇧 Das Datenschutzgesetz(UK DSGVO) |
|
🇺🇸 Geänderter California Consumer Privacy Rights Act(CCPA & CPRA) |
|
🇺🇸 Kalifornisches Gesetz zum Schutz der Privatsphäre im Internet(CalOPPA) |
|
🇺🇸 Virginia Verbraucherdatenschutzgesetz(VCDPA) |
|
🇺🇸 Connecticut-Datenschutzgesetz(CTDPA) |
|
🇺🇸 Colorado Datenschutzgesetz(CPA) |
|
🇺🇸 Gesetz zum Schutz der Privatsphäre von Kindern im Internet(COPPA) |
|
🇨🇦 Gesetz zum Schutz persönlicher Daten und elektronischer Dokumente(PIPEDA) |
|
🇦🇺 Australisches Datenschutzgesetz von 1988 |
|
🇳🇿 Neuseeländisches Datenschutzgesetz von 2020 |
|
🇿🇦 Südafrikas Gesetz zum Schutz persönlicher Informationen(PoPIA) |
|
Andere Bezeichnungen für eine Datenschutzrichtlinie
Sie können verschiedene Bezeichnungen für Ihre Datenschutzpolitik verwenden, wie z. B. Datenschutzhinweis oder Datenschutzinformation.
Aus Gründen der Rechtssicherheit sollten Sie jedoch darauf achten, keinen irreführenden oder abstrakten Titel zu verwenden, damit für die Nutzer klar ist, worum es sich bei dem Dokument handelt.
Hier sind die gebräuchlichsten Bezeichnungen für eine Datenschutzrichtlinie (außer natürlich " Datenschutzrichtlinie"):
- Hinweis zum Datenschutz
- Datenschutzvereinbarung
- Offenlegung der Privatsphäre
- Erklärung zum Datenschutz
Warum sind Datenschutzrichtlinien wichtig?
Datenschutzrichtlinien sind wichtig, denn sie tragen dazu bei, dass Sie die einschlägigen Datenschutzgesetze einhalten, Ihr Unternehmen vor Ärger bewahren und potenziell hohe Geldstrafen vermeiden können.
Darüber hinaus trägt eine gute Datenschutzrichtlinie dazu bei, das Vertrauen Ihrer Nutzer aufzubauen und aufrechtzuerhalten, da sie ihnen erklärt, was Sie mit ihren persönlichen Daten machen, wenn sie Ihre Website oder App nutzen.
Verschiedene Verbraucher- und Datenschutzstatistiken deuten darauf hin, dass Kunden ihre Warenkörbe abbrechen oder Ihren Dienst nicht in Anspruch nehmen, wenn sie glauben, dass Sie unehrlich mit ihren Daten umgehen:
- 60 % der Nutzer sagen, dass sie mehr Geld für eine Marke ausgeben würden, der sie vertrauen , dass sie verantwortungsvoll mit ihren persönlichen Daten umgeht.(Global Consumer State of Mind Report 2021)
- 84 % der Nutzer sind Unternehmen mit starken Sicherheitskontrollen gegenüber loyaler.(Salesforce)
- 48 % der Nutzer haben aufgrund von Datenschutzbedenkenschon einmal bei einem Unternehmen gekauft.(Tableau)
Stellen Sie also eine Datenschutzrichtlinie auf Ihre Website oder App, um mehr Kunden zu binden, neue Kunden anzuziehen und zu verhindern, dass Sie mit rechtlichen Strafen belegt werden.
Brauche ich eine Datenschutzrichtlinie?
Ja, wenn Ihr Unternehmen in irgendeiner Form online tätig ist, brauchen Sie eine Datenschutzrichtlinie. Die Veröffentlichung einer solchen ist eine Frage der Einhaltung von Rechtsvorschriften und eine bewährte Geschäftspraxis.
Sie können aber auch verpflichtet sein, einen zu haben, wenn Sie:
- Sie besitzen eine Website: Websites sammeln häufig personenbezogene Daten von Besuchern und benötigen daher Datenschutzrichtlinien, sei es für ein Online-Kleidungsgeschäft, eine einfache Fotografie-Website oder andere E-Commerce-Unternehmen.
- Apps entwickeln: Entwickler vonAndroid-, iOS- und Facebook-Apps müssen über eine Datenschutzrichtlinie verfügen, damit die App den abschließenden Prüfungsprozess bestehen kann.
- Sie führen ein kleines Unternehmen: Die Größe spielt bei der Einhaltung von Datenschutzbestimmungen keine große Rolle, so dass auch kleine Unternehmen Datenschutzrichtlinien benötigen. Die meisten fallen unter Gesetze mit breiten Schwellenwerten, wie DSGVO und CalOPPA.
- Verwendung von Software oder Diensten Dritter: Viele Dienste von Drittanbietern, darunter Google Analytics und Shopify, verlangen von Ihnen, dass Sie eine Datenschutzrichtlinie veröffentlichen und alle geltenden Datenschutzgesetze als Teil ihrer Nutzungsbedingungen befolgen.
- Sammeln Sie Informationen über Ihre Mitarbeiter: In einer so genannten "Employee Monitoring Policy" müssen Sie Ihren Mitarbeitern Einzelheiten zu den Daten mitteilen, die Sie über sie sammeln, und zwar sowohl für die persönliche Arbeit als auch für die Arbeit von zu Hause aus.
- Besitzen Sie einen einfachen Blog: Selbst einfache Blogs sollten eine Datenschutzrichtlinie haben, denn Internetnutzer erwarten eine solche und könnten annehmen, dass Sie unehrlich oder hinterhältig sind, wenn sie keine auf Ihrer Website finden.
- Sie besitzen eine Marketing-Agentur: Ja, auch Marketing-Agenturen brauchen Datenschutzrichtlinien, da diese Gruppen in der Regel mit großen Mengen personenbezogener Daten arbeiten und alle geltenden Datenschutzgesetze befolgen müssen.
- Sie haben einen Dropshipping-Shop: Auch Dropshipping-Shops benötigen Datenschutzrichtlinien, insbesondere wenn sie unter Datenschutzgesetze fallen oder an internationalen Datentransfers beteiligt sind, die besonderen rechtlichen Richtlinien unterliegen.
Welche Gesetze verlangen eine Datenschutzrichtlinie?
Mehrere Datenschutzgesetze aus der ganzen Welt verlangen entweder direkt oder indirekt eine Datenschutzerklärung, darunter die folgenden:
- Allgemeine Datenschutzverordnung (DSGVO)
- Datenschutzgesetz(UK DSGVO)
- Geändertes kalifornisches Verbraucherschutzgesetz(CCPA/CPRA)
- Kalifornisches Gesetz zum Schutz der Privatsphäre im Internet(CalOPPA)
- Virginia Verbraucherdatenschutzgesetz(VCDPA)
- Connecticut-Datenschutzgesetz(CTDPA)
- Colorado Datenschutzgesetz(CPA)
- Gesetz zum Schutz der Privatsphäre von Kindern im Internet (COPPA)
- Gesetz zum Schutz persönlicher Daten und elektronischer Dokumente(PIPEDA)
- Australisches Datenschutzgesetz von 1988
- Neuseelands Datenschutzgesetz von 2020
- Südafrikas Gesetz zum Schutz persönlicher Informationen(PoPIA)
Einige dieser Gesetze, wie das CTDPA und das VCDPA, besagen eindeutig, dass Sie den Nutzern einen Datenschutzhinweis geben müssen. (Dies ist nur ein anderer Name für eine Datenschutzrichtlinie, wie ich oben erläutert habe).
Andere bieten Richtlinien, die Sie mit Hilfe einer Datenschutzrichtlinie schnell erfüllen können, wie die zehn fairen Grundsätze, die in der PIPEDA beschrieben sind.
Welche Plattformen benötigen eine Datenschutzrichtlinie?
Neben der Einhaltung gesetzlicher Vorschriften schreiben mehrere Drittanbieter-Plattformen vor, dass Sie eine Datenschutzrichtlinie veröffentlichen müssen, um ihre Dienste nutzen zu können. Dies wird in der Regel in den Nutzungsbedingungen festgelegt.
Im nächsten Abschnitt gehe ich auf einige Verpflichtungen ein, die von den wichtigsten Drittanbieterdiensten für Websites und Anwendungen festgelegt wurden.
Webseiten
Wenn Sie eine Website besitzen, sind Sie möglicherweise verpflichtet, gemäß den Nutzungsbedingungen des von Ihnen verwendeten Content-Management-Systems oder -Dienstes eine Datenschutzrichtlinie zu veröffentlichen.
Sie sollten zum Beispiel eine Datenschutzrichtlinie erstellen, wenn Sie:
- Sie besitzen eine WordPress-Website: Ihre WordPress-Website braucht eine Datenschutzrichtlinie. In Abschnitt 7 der WordPress-Nutzungsbedingungen ist festgelegt, dass Sie auf Ihrer Website eine Datenschutzrichtlinie veröffentlichen, die den geltenden Datenschutzgesetzen entspricht.
- Betreiben Sie eine Squarespace-Website: Gemäß Abschnitt 7 der Squarespace-Nutzungsbedingungen müssen Sie auf Ihrer Squarespace-Website eine Datenschutzrichtlinie einrichten, die den einschlägigen Datenschutzgesetzen entspricht.
- Verwenden Sie Blogger (Blogspot), um Ihre Website zu hosten: Da Google Eigentümer von Blogger ist, unterliegt die Nutzung dieses Dienstes den Datenschutzbestimmungen von Google, und Sie müssen die geltenden Datenschutzgesetze befolgen und bei Bedarf eine Blogger-Datenschutzerklärung veröffentlichen. Gemäß der Blogger-Inhaltsrichtlinie kann Ihr Konto gekündigt oder den Strafverfolgungsbehörden gemeldet werden, wenn Sie dies nicht tun.
- Verwenden Sie Wix für Ihre Website: In den Nutzungsbedingungen von Wix wird verlangt, dass Du alle geltenden Datenschutzgesetze einhältst, und Du wirst zur Verantwortung gezogen, wenn Du dies nicht tust.
- Betreiben Sie einen Shopify-Shop: Gemäß der Shopify-Datenschutzrichtlinie und dem Zusatz zur Datenverarbeitung sollten Sie eine Shopify-Datenschutzrichtlinie veröffentlichen und sicherstellen, dass Sie alle relevanten Datenschutzgesetze korrekt einhalten. Andernfalls kann Ihnen die Nutzung des Dienstes gekündigt werden.
- Verwendung von Software oder Diensten Dritter: Wenn Sie Dienste von Drittanbietern wie Google Analytics nutzen möchten, müssen Sie gemäß deren Nutzungsbedingungen auf jeder Website, die Google Analytics nutzt, eine Datenschutzrichtlinie veröffentlichen.
Apps
Meta, Google und Apple verlangen von den Entwicklern, dass sie im Rahmen des abschließenden App-Überprüfungsprozesses eine konforme Datenschutzrichtlinie veröffentlichen, bevor sie in ihren jeweiligen App-Stores veröffentlicht werden können.
Sie sollten zum Beispiel eine Datenschutzrichtlinie erstellen, wenn Sie:
- Entwickeln Sie Android-Anwendungen für den Google Play Store: Android-Apps benötigen eine Datenschutzrichtlinie. Ihre Richtlinie muss die Anforderungen des Google Play Store für Datenschutzhinweise erfüllen. Das Google Developer Distribution Agreement verlangt, dass alle Apps eine Datenschutzrichtlinie haben müssen, bevor die App im Play Store veröffentlicht wird. Weitere Informationen dazu finden Sie im Play Console Help Center.
- Entwickeln Sie mobile Anwendungen für den Apple App Store: Auch andere mobile Anwendungen benötigen Datenschutzrichtlinien. Die App Store Review Guidelines von Apple verlangen zum Beispiel, dass alle Apps, die im App Store veröffentlicht werden, vor der Veröffentlichung eine solche haben müssen.
- Entwickeln Sie Facebook-Apps: Meta, die Eigentümer von Facebook, verlangen von jedem, der Apps entwickelt, die Daten verarbeiten, dass er eine Facebook-Datenschutzrichtlinie veröffentlicht, die den Anforderungen in den Meta-Plattformbedingungen entspricht - dies gilt auch, wenn Sie die Instagram-API verwenden.
Was sind die Vorteile einer Datenschutzrichtlinie?
Datenschutzrichtlinien kommen sowohl Ihrem Unternehmen als auch den Verbrauchern zugute und sind somit ein Gewinn für alle Beteiligten. Sie helfen vor allem:
- Schützen Sie Ihr Unternehmen vor Verstößen gegen Datenschutzgesetze: Ich habe es schon ein paar Mal erwähnt, aber Datenschutzrichtlinien sind notwendig, wenn Sie Datenschutzgesetze einhalten müssen, und die Veröffentlichung einer solchen Richtlinie kann Ihnen helfen, Geldstrafen zu vermeiden.
- Schaffen Sie Vertrauen bei Ihren Nutzern: Die Menschen wollen wissen, wer Zugang zu ihren persönlichen Daten hat und was mit ihnen geschieht. Die Veröffentlichung einer Datenschutzerklärung zeigt neuen und wiederkehrenden Kunden, dass Sie ehrlich und transparent über Ihre Datenverarbeitungsaktivitäten sind.
- Schaffen Sie Bewusstsein und helfen Sie bei der Aufklärung Ihrer Mitarbeiter: Die Cyberkriminalität nimmt rapide zu, und personenbezogene Daten sind häufig das Ziel dieser Angriffe. Wenn Sie Ihr Bewusstsein für den Datenschutz schärfen und eine umfassende Datenschutzrichtlinie auf Ihrer Website veröffentlichen, können Sie Ihr Team leichter über Datenschutzfragen aufklären und verhindern, dass Ihr Unternehmen (und Ihre Kunden) Opfer einer Datenschutzverletzung oder eines Datenlecks werden.
- Förderung eines sichereren, benutzerfreundlicheren Internets: Wir alle nutzen das Internet, Unternehmer und Verbraucher gleichermaßen. Möchten Sie nicht wissen, was mit Ihren Daten passiert, wenn Sie in Geschäften oder Apps online surfen? Die Veröffentlichung einer durchdachten Datenschutzerklärung zeigt, dass Sie den Datenschutz ernst nehmen, was zu einem benutzerfreundlicheren und sichereren Internet für uns alle führt.
Was beinhalten und decken die Datenschutzrichtlinien ab?
Die Datenschutzrichtlinien enthalten fast alle Details über Ihre Datenverarbeitungsaktivitäten, die Sie sich vorstellen können, und sie umfassen auch die Rechte, die Ihre Nutzer haben, und erklären, wie sie diese ausüben können.
Lesen Sie im nächsten Abschnitt fast alle anwendbaren Klauseln, die eine Datenschutzrichtlinie enthalten sollte, und denken Sie daran, dass nicht alle davon auf Ihr Unternehmen zutreffen müssen.
Einleitende Klausel
Ihre Datenschutzrichtlinie sollte eine klare, leicht zu lesende Einleitungsklausel enthalten, die den Namen Ihres Unternehmens angibt, erklärt, für wen die Richtlinie gilt, und die relevanten Begriffe definiert, die in der Richtlinie verwendet werden.
Dieser Abschnitt ist auch ein guter Ort, um auf andere relevante Dokumente zu verlinken, auf die Ihre Nutzer Zugriff haben sollen, wie z. B. Ihre Allgemeinen Geschäftsbedingungen oder Cookie-Richtlinien.
Ich empfehle Ihnen, in diesem ersten Abschnitt Ihrer Police auch das Datum der letzten Aktualisierung anzugeben.
Unten sehen Sie ein gutes Beispiel für eine Einleitungsklausel aus der Datenschutzerklärung des Sprachlernprogramms Duolingo.
Welche persönlichen Daten Sie sammeln
Alle Datenschutzrichtlinien müssen offenlegen, welche personenbezogenen Daten Sie von Ihren Nutzern erheben.
Halten Sie es einfach und übersichtlich, indem Sie alle Kategorien personenbezogener Daten auflisten, die Sie verarbeiten, einschließlich sensibler personenbezogener Daten.
Nachstehend finden Sie ein gutes Beispiel für die einfache Formatierung dieser Klausel aus der Datenschutzerklärung des Video-Streaming-Dienstes Netflix.
Wie Sie die Daten verwenden
Sie müssen die Gründe für die Erhebung von Nutzerdaten, die auch als Rechtsgrundlage bezeichnet werden, irgendwo in Ihrer Datenschutzpolitik erläutern.
Verordnungen wie die DSGVO, das VCDPA und andere schreiben dies vor, und Ihre Argumentation unterliegt bestimmten Rechtsgrundlagen.
Im Folgenden erfahren Sie, wie die Social-Media-Videoplattform TikTok diese Klausel in ihrer Datenschutzrichtlinie handhabt.
Wie Sie persönliche Daten sammeln
Aus Gründen der Rechtssicherheit müssen Sie in einer Klausel in unserer Datenschutzrichtlinie offenlegen, wie Sie personenbezogene Daten von Ihren Nutzern sammeln.
Zu den üblichen Methoden der Datenerhebung gehören:
- Freiwillig von der Person zur Verfügung gestellt
- Über Zahlungsbildschirme oder Kassenseiten
- Ausfüllen eines Online-Formulars
- Platzierung von Cookies in den Browsern der Nutzer
- Persönliche Aufnahmen oder Aufnahmen im Ladengeschäft
Unten sehen Sie, wie prägnant TikTok dies in seinen Datenschutzrichtlinien schreibt (die Informationen werden dann in den Richtlinien weiter ausgeführt).
Wenn Sie die Daten an Dritte weitergeben
Wenn Sie beabsichtigen, die von Ihnen gesammelten personenbezogenen Daten an Dritte weiterzugeben, müssen Sie dies in Ihrer Datenschutzrichtlinie angeben.
Führen Sie auf, an welche Kategorien von Dritten Sie personenbezogene Daten weitergeben oder verkaufen, erläutern Sie, warum Sie die Daten weitergeben oder verkaufen, und geben Sie an, wie die Daten an die anderen Stellen weitergegeben werden.
Ein gutes Beispiel für die Formulierung dieser Klausel finden Sie in der folgenden Abbildung aus der Datenschutzerklärung der Videokonferenzplattform Zoom.
Eine Erläuterung der gesetzlichen Rechte Ihrer Nutzer
Sie müssen irgendwo in Ihrer Datenschutzpolitik erklären, welche Rechte Ihre Nutzer über ihre persönlichen Daten haben.
Die in den einzelnen Gesetzen verankerten Rechte variieren leicht, aber die meisten gewähren das Recht auf:
- Zugang zu ihren persönlichen Daten
- Antrag auf Änderung oder Berichtigung ihrer Daten
- Antrag auf Löschung ihrer Daten
- die Verwendung ihrer Daten einschränken
- eine tragbare Kopie ihrer Daten zu erhalten
- Zustimmung zu oder Ablehnung von bestimmten Datenverarbeitungsaktivitäten
Unten sehen Sie, wie TikTok diese Klausel in seiner Datenschutzrichtlinie formuliert.
Eine Methode zur Durchsetzung von Datenschutzrechten
Die meisten Datenschutzgesetze verlangen auch, dass Sie in Ihren Datenschutzrichtlinien erläutern, wie Ihre Nutzer ihre geltenden Datenschutzrechte wahrnehmen können.
Sie können dies erreichen, indem Sie:
- Einen Link zu einem funktionierenden Formular für den Antrag auf Zugang zu Daten(DSAR oder SAR) setzen
- Angabe, ob Sie "Do Not Track"-Anfragen und Global Privacy Controls (GPC) beachten
- Angemessene, funktionierende Kontaktinformationen bereitstellen
- Ein Link "Meine persönlichen Daten nicht verkaufen oder weitergeben" (gemäß CCPA/CPRA)
- Verwendung eines Links "Verwendung meiner sensiblen persönlichen Daten einschränken" (gemäß CCPA/CPRA)
Die nachstehende Abbildung zeigt ein Beispiel für diese Klausel aus der Datenschutzrichtlinie von Zoom.
Details zu internationalen Datenübertragungen
Sie müssen in einer Klausel in Ihrer Datenschutzrichtlinie erklären, ob Sie die Übermittlung personenbezogener Daten ins Ausland planen, und auflisten, in welche Länder die Daten möglicherweise übermittelt werden.
So müssen Sie beispielsweise gemäß DSGVO mitteilen, ob ein Angemessenheitsbeschluss für die Datenübermittlung vorliegt oder ob Sie einen anderen Übermittlungsmechanismus verwenden.
Unten sehen Sie, wie Duolingo diese Klausel in seiner Datenschutzrichtlinie handhabt.
Politik der Datenaufbewahrung
Verordnungen wie die DSGVO verlangen von Ihnen, dass Sie in einer Klausel in Ihrer Datenschutzrichtlinie den Zeitplan und die Protokolle für die Datenspeicherung erläutern.
Sie müssen angeben, wie lange Sie die Daten zu speichern gedenken oder nach welchem Verfahren Sie bestimmen, wann Sie Ihre rechtmäßigen Ziele für die Nutzung der Daten erreicht haben.
Um rechtliche Probleme zu vermeiden, sollten Sie die Daten nicht länger als nötig aufbewahren.
Unten sehen Sie, wie Zoom diese Klausel in ihrer Datenschutzrichtlinie formuliert.
Sicherheit und Sicherheitsmaßnahmen
Gesetze wie das DSGVO und das CCPA nehmen Unternehmen in die Pflicht, Sicherheitsmaßnahmen zu ergreifen, um personenbezogene Daten vor Datenschutzverletzungen, Datenlecks oder anderen Cyberkriminalität zu schützen.
Es wird empfohlen, die folgenden Vorsichtsmaßnahmen zu ergreifen:
- Pseudonymisierung der Daten
- Verschlüsseln Sie die Daten
- Gewährleistung der kontinuierlichen Vertraulichkeit, Integrität, Belastbarkeit und Verfügbarkeit Ihres Verarbeitungssystems
- Einführung einer Methode zur Wiederherstellung der Verfügbarkeit oder des Zugangs zu personenbezogenen Daten im Falle eines Verstoßes
- ein Verfahren für die routinemäßige Prüfung, Bewertung und Evaluierung der Wirksamkeit Ihrer Sicherheitsprotokolle haben
Nachstehend finden Sie ein Beispiel für diese Klausel aus der Datenschutzrichtlinie von TikTok.
Aktualisierungen Ihrer Datenschutzrichtlinie
Sie sollten eine Klausel in Ihre Datenschutzrichtlinien aufnehmen, in der Sie erklären, wann Sie Aktualisierungen vornehmen und wie Sie Ihre Kunden über diese Änderungen informieren werden.
Nach dem CCPA müssen Sie sie mindestens alle 12 Monate aktualisieren. Außerdem erwarten einige Gesetze, wie das DSGVO, dass Sie die Zustimmung der Nutzer erneut einholen, wenn Sie die Daten, die Sie verarbeiten, oder die Zwecke und die Verwendung der Informationen ändern.
Unten sehen Sie ein Beispiel für diese Klausel aus der Datenschutzerklärung von Duolingo.
Das Recht, eine Beschwerde einzureichen
Gemäß Gesetzen wie DSGVO und PoPIA müssen Sie in Ihren Datenschutzrichtlinien erklären, dass Verbraucher eine Beschwerde über Sie einreichen können, wenn sie glauben, dass Sie ihre Datenschutzrechte verletzen.
Wenn möglich, geben Sie die korrekten Kontaktinformationen für die zuständige Person oder Stelle in der Region an, bei der die Beschwerden eingereicht werden können.
Nachstehend finden Sie ein Beispiel für diese Klausel in der Datenschutzrichtlinie von Netflix.
Daten für Kinder
Wenn sich Ihre Website oder App an Kinder richtet, müssen Sie spezielle Informationen angeben, um die einschlägigen Gesetze wie COPPA einzuhalten, die dem Schutz von Minderjährigen und jungen Menschen dienen.
So müssen Sie beispielsweise die Eltern oder Erziehungsberechtigten über ihr Recht informieren, ihre Kinder in die Datenverarbeitung einzubeziehen.
Sehen Sie sich an, wie Duolingo diese Klausel in seinen Datenschutzbestimmungen schreibt.
Kontaktinformationen des Unternehmens
Viele Datenschutzgesetze verlangen, dass Sie die Kontaktdaten Ihres Unternehmens direkt in Ihre Datenschutzrichtlinie aufnehmen. Dadurch wird sichergestellt, dass die Nutzer wissen, an wen sie sich wenden können, wenn sie Fragen zu den Einzelheiten Ihrer Richtlinie haben.
Unten sehen Sie ein Beispiel dafür, wie Duolingo diese Klausel in seinen Datenschutzbestimmungen formuliert.
Was sind die Strafen für das Fehlen einer Datenschutzrichtlinie?
Die Strafen für das Nichtvorhandensein einer Datenschutzrichtlinie hängen davon ab, gegen welches Gesetz Sie verstoßen haben.
In der nachstehenden Tabelle werden die Strafen für die Nichteinhaltung der 12 in diesem Leitfaden behandelten Datenschutzgesetze verglichen.
Datenschutzgesetz | Strafen für Verstöße gegen das Gesetz |
Allgemeine Datenschutzverordnung (DSGVO) |
|
Das Datenschutzgesetz(UK DSGVO) |
|
Geändertes kalifornisches Verbraucherschutzgesetz(CCPA/CPRA) |
|
Kalifornisches Gesetz zum Schutz der Privatsphäre im Internet(CalOPPA) |
|
Virginia Verbraucherdatenschutzgesetz(VCDPA) |
|
Connecticut-Datenschutzgesetz(CTDPA) |
|
Colorado Datenschutzgesetz(CPA) |
|
Gesetz zum Schutz der Privatsphäre von Kindern im Internet (COPPA) |
|
Gesetz zum Schutz persönlicher Daten und elektronischer Dokumente(PIPEDA) |
|
Australisches Datenschutzgesetz von 1988 |
|
Neuseelands Datenschutzgesetz von 2020 |
|
Südafrikas Gesetz zum Schutz persönlicher Informationen(PoPIA) |
|
Wie Sie sehen, geben einige dieser Gesetze, wie z. B. das geänderte CCPA, einzelnen Nutzern das Recht, Datenschutzklagen gegen Sie zu erheben.
Andere, wie PoPIA, könnten zu strafrechtlichen Konsequenzen führen.
Außerdem müssten Sie mit öffentlichen Reaktionen Ihrer Kunden rechnen, was zu Umsatzeinbußen führen könnte.
Wo müssen Sie Ihre Datenschutzrichtlinie anzeigen?
Wo Sie Ihre Datenschutzrichtlinie veröffentlichen, hängt auch davon ab, welche Datenschutzgesetze für Ihr Unternehmen gelten, und Sie sollten sie an mehreren Stellen veröffentlichen.
Verordnungen wie die DSGVO und die CCPA verlangen, dass Sie Ihren Verbrauchern an oder vor den Stellen, an denen Daten erhoben werden, bestimmte Informationen zur Verfügung stellen.
Ich empfehle daher, Ihre Datenschutzbestimmungen an allen folgenden Stellen zu platzieren:
- Die Fußzeile Ihrer Website: Hier suchen die meisten Menschen nach Ihren Richtlinien, und da sie immer gleich bleiben, egal, wo die Nutzer auf Ihrer Website landen, ist sichergestellt, dass sie immer Zugang zu ihnen haben.
- Ein statisches Menü in Ihrer App: Wenn Sie eine App besitzen, verknüpfen Sie Ihre Datenschutzrichtlinie in einem festen Menü, damit Ihre Nutzer die Informationen immer finden können.
- Zahlungsbildschirme oder Kassenseiten: Auf Zahlungsbildschirmen werden in der Regel personenbezogene Daten von Nutzern erfasst, so dass es rechtlich notwendig ist, an dieser Stelle auf Ihre Datenschutzrichtlinie zu verweisen.
- Seiten zur Erstellung von Profilen oder neuen Benutzerkonten: Um die Erwartungen der Nutzer zu erfüllen, sollten Sie ihnen einen Link zu Ihrer Datenschutzrichtlinie geben, bevor sie ein Profil oder ein Nutzerkonto erstellen. Dies ist ein weiterer Bereich, in dem typischerweise Daten gesammelt werden.
- Verknüpft mit Ihrem Einwilligungsbanner: Ziehen Sie in Erwägung, neben einer Cookie-Richtlinie auch Ihre Datenschutzrichtlinie auf Ihrem cookie banner und fordern Sie Ihre Nutzer auf, sie zu lesen und zu wählen, ob sie damit einverstanden sind. Dies beweist, dass sie vollständig informiert sind, bevor sie weiter auf Ihre Dienste zugreifen.
- App-Store-Auflistungen: Setzen Sie einen Link zu Ihren Datenschutzrichtlinien auf alle App-Listenseiten, damit die Nutzer die Vereinbarung lesen können, bevor sie Ihre Plattform herunterladen. Viele App-Stores verlangen dies, bevor sie Ihre App zur Veröffentlichung freigeben.
- In Ihren Marketing-E-Mails: Ein Link zu Ihrer Datenschutzrichtlinie in Ihren Marketing -E-Mails hilft Ihren Nutzern, informiert zu bleiben und ermöglicht ihnen, bei Bedarf darauf zuzugreifen.
Wie können Sie Ihre Datenschutzrichtlinie durchsetzen?
Ihre Datenschutzrichtlinie ist kein Dokument, das Sie durchsetzen müssen. Stattdessen werden darin Ihre Datenverarbeitungsaktivitäten erläutert, um die Personen zu informieren, die Ihre Website oder App nutzen könnten.
Tatsächlich ist Ihr Unternehmen dafür verantwortlich, dass alles, was Sie in Ihrer Datenschutzrichtlinie schreiben, befolgt wird, nicht Ihre Verbraucher. Es liegt auch in Ihrer Verantwortung, dafür zu sorgen, dass alle Verpflichtungen aus den Datenschutzgesetzen, die Ihr Unternehmen betreffen, eingehalten werden.
Eine bessere Frage, die Sie sich stellen sollten, ist: Ist Ihre Datenschutzpolitik konform?
Denn wenn die Antwort nein lautet, fällt die gesamte Haftung auf Ihr Unternehmen zurück.
Optionen für die Erstellung einer Datenschutzrichtlinie
Wenn es darum geht, eine Datenschutzrichtlinie für Ihre Website oder App zu erstellen, haben Sie mehrere Möglichkeiten:
- Verwenden Sie eine verwaltete Lösung wie einen Generator
- Verwenden Sie eine kostenlose Vorlage
- Schreiben Sie es selbst
Entgegen der landläufigen Meinung brauchen Sie in der Regel keinen Anwalt für Ihre Datenschutzrichtlinien, es sei denn, Sie erheben hochsensible personenbezogene Daten oder verarbeiten große Datenmengen.
Lassen Sie uns diese Lösungen für den Datenschutz besprechen, damit Sie die beste Methode für Ihre geschäftlichen Anforderungen wählen können.
Verwaltungslösung
Der einfachste Weg, eine Datenschutzrichtlinie für Ihre Plattform zu erstellen, die den Datenschutzgesetzen gerecht wird, ist die Verwendung einer verwalteten Lösung wie die kostenlose TermlyDatenschutzerklärung Generator.
Um den Generator zu nutzen, beantworten Sie einfache Fragen zu Ihrem Unternehmen, und er erstellt auf der Grundlage Ihrer Antworten eine vorschriftsmäßige Richtlinie. Wenn Sie Hilfe benötigen, gibt Ihnen unser Rechtsteam Tipps zu den meisten Abschnitten, und unsere großartigen Kundendienstmitarbeiter stehen Ihnen im Chat zur Verfügung.
Unsere Datenschutzerklärung Generator enthält Klauseln, die mit mehreren Datenschutzgesetzen übereinstimmen, und wir aktualisieren sie regelmäßig, um mit neuen oder sich ändernden Gesetzen Schritt zu halten.
Wie das aussieht, sehen Sie auf dem folgenden Screenshot.
Kostenlose Vorlage
Eine weitere gute Möglichkeit ist unser kostenloses Datenschutzerklärung vorlage, das zwar etwas mehr Arbeit erfordert, aber dennoch relativ schnell und einfach ist.
Bei einer Vorlage füllen Sie die leeren Abschnitte manuell mit Angaben zu Ihrem Unternehmen aus. Unsere Vorlage enthält alle notwendigen Klauseln, um mehrere der in diesem Leitfaden genannten Datenschutzgesetze einzuhalten.
Unten sehen Sie ein Beispiel dafür, wie es aussieht.
Termly bietet Leitfäden und Vorlagen für Datenschutzrichtlinien für jeden Bedarf.
Do-It-Yourself
Sie können auch eine eigene Datenschutzerklärung verfassen, aber das empfehle ich nur, wenn Sie über umfassende Datenschutz- und Rechtskenntnisse verfügen oder Zugang zu einem Anwalt haben.
Wenn Sie dies versuchen, verwenden Sie eine leicht verständliche Sprache und lassen Sie nichts aus. Verstöße gegen diese Datenschutzgesetze - auch wenn sie aus Versehen geschehen - können mit Geldstrafen geahndet werden.
Sie sollten auch planen, Ihre Richtlinie regelmäßig zu überprüfen und zu aktualisieren und ein Verfahren entwickeln, um mit neuen oder sich ändernden Datenschutzgesetzen Schritt zu halten.
Wie Sie Ihre Datenschutzrichtlinien aufrechterhalten
Die Pflege Ihrer Datenschutzrichtlinie ist ein wesentlicher Bestandteil der Einhaltung von Rechtsvorschriften. Sie sollten planen, sie regelmäßig zu überprüfen und zu aktualisieren, und über ein Verfahren verfügen, mit dem Sie Ihre Nutzer über alle Änderungen informieren können.
Gründe für die Aktualisierung Ihrer Datenschutzpolitik sind unter anderem:
- Sie haben eine allgemeine Aktualisierung oder Änderung in Bezug auf Ihre Datenerhebungs- und -verarbeitungsaktivitäten vorgenommen.
- Sie müssen das CCPA einhalten, das besagt, dass Sie Ihre Richtlinie mindestens einmal alle 12 Monate aktualisieren müssen.
- Sie möchten neue Arten von personenbezogenen Daten von Nutzern erfassen, die bisher nicht in Ihrer Datenschutzrichtlinie aufgeführt waren.
- Sie nutzen einen neuen Dienst eines Drittanbieters oder geben die von Ihnen erfassten Daten an eine neue Einrichtung weiter.
- Sie haben die Art und Weise, wie Sie die von Ihnen gesammelten personenbezogenen Daten verwenden wollen, geändert, was vorher nicht in Ihrer Datenschutzrichtlinie stand.
Sie können Ihre Nutzer über Ihre aktualisierte Datenschutzrichtlinie informieren:
- Versenden Sie eine E-Mail mit einem Link zu der neuen Richtlinie und einer Erklärung der Änderungen
- Verwenden Sie eine Pop-up-Benachrichtigung auf Ihrer Website oder App, damit jeder Besucher über die Änderungen informiert wird.
- Veröffentlichen Sie einen Blog-Beitrag, in dem Sie den Nutzern erklären, dass Sie Ihre Datenschutzrichtlinie geändert haben.
- Geben Sie das Datum der letzten Aktualisierung deutlich in Ihrer Datenschutzerklärung an - am besten im Abschnitt "Einleitung".
Ich empfehle, alle oben genannten Lösungen zu implementieren, damit möglichst viele Ihrer Nutzer die von Ihnen vorgenommenen Änderungen an der Vereinbarung sehen können.
Es ist auch eine gute Idee, ein Archiv früherer Versionen Ihrer Richtlinie irgendwo auf Ihrer App oder Website bereitzustellen. Auf diese Weise können Sie nachweisen, dass Sie mit den entsprechenden Änderungen auf der Grundlage von Gesetzen, die sich auf Ihr Unternehmen auswirken könnten, Schritt gehalten haben.
Zusätzliche Rechtspolicen, die Sie möglicherweise benötigen
Eine Datenschutzrichtlinie ist nur eines von vielen verschiedenen rechtlichen Dokumenten, die Sie für Ihre Website, App oder Plattform benötigen könnten.
Je nachdem, in welcher Branche Sie tätig sind und welche Dienstleistungen Sie anbieten, benötigen Sie möglicherweise eine:
- Consent Management Platform (CMP): Um Ihre Website oder App so einzurichten, dass sie den meisten Datenschutzgesetzen entspricht, benötigen Sie möglicherweise eine Consent Management Platform verwenden und ein cookie consent einrichten, das es Ihren Nutzern ermöglicht, sich für oder gegen bestimmte Datenerfassungspraktiken zu entscheiden, die auf den geltenden Gesetzen basieren.
- Cookie-Richtlinie: Cookies gelten in den meisten der in diesem Leitfaden genannten Datenschutzgesetze als personenbezogene Daten. Sie sollten eine konforme Cookie-Richtlinie erstellen, die die Nutzer darüber informiert, welche Cookies Ihre Website in ihren Browsern hinterlässt und wie sie diese kontrollieren können.
- Vereinbarung über allgemeine Geschäftsbedingungen: Wenn Sie eine Website betreiben, hilft die Erstellung einer Vereinbarung über die Allgemeinen Geschäftsbedingungen, Ihr Unternehmen zu schützen, indem sie die Nutzungsregeln erläutert und einige Ihrer Verpflichtungen einschränkt. Sie können Klauseln zur Beilegung von Streitigkeiten und zum geltenden Recht aufnehmen und Verfahren wie Ihre Zahlungsbedingungen erläutern.
- Richtlinien für die akzeptable Nutzung (AUP ): Wenn Ihr Unternehmen den Nutzern erlaubt, miteinander zu interagieren, eigene Inhalte zu posten oder eine interaktive Community zu fördern, sollten Sie eine Richtlinie für die akzeptable Nutzung erstellen, die alle akzeptablen und verbotenen Nutzungen, Verhaltensweisen und Aktivitäten auf Ihrer Plattform erläutert.
- Rückgabe und Rückerstattungsrichtlinie: Wenn Sie ein E-Commerce-Geschäft betreiben, erstellen Sie eine Rückgabebedingungen, um häufige Kundenfragen darüber zu beantworten, ob Sie Rückgaben, Rückerstattungen oder Umtausch anbieten und wie lange Kunden Zeit haben, dies zu beantragen.
- Versandrichtlinien: Wenn Sie Waren mit der Post verschicken, sollten Sie eine Versandrichtlinie aufstellen, damit die Kunden alle Einzelheiten zu Ihren Versand- und Bearbeitungspraktiken kennen, z. B. wohin Sie versenden, wie viel das kostet und wie lange es normalerweise dauert, bis die Kunden ihre Pakete erhalten.
- Endbenutzer-Lizenzvertrag (EULA): Für Entwickler von Anwendungen oder Software hilft die Erstellung einer EULA, Ihre Technologie zu schützen, die für die öffentliche Nutzung zur Verfügung steht.
- Haftungsausschlüsse: Die meisten Unternehmen müssen mindestens einen Haftungsausschluss auf ihrer Website einrichten, um die Haftung von ihren Schildern zu entfernen (aka: abzulehnen).
Zusammenfassung
Unabhängig davon, welche Art von Unternehmen Sie besitzen, hilft Ihnen eine Datenschutzrichtlinie dabei, die Datenschutzgesetze einzuhalten und den Verbrauchern zu zeigen, dass Sie ihre persönlichen Daten respektieren.
Denken Sie daran, Ihre Datenschutzrichtlinien häufig zu aktualisieren, um sicherzustellen, dass sie immer korrekt sind, und veröffentlichen Sie sie an mehreren Stellen auf Ihrer Plattform, damit die Nutzer sie immer finden und lesen können.
Sie können ganz einfach eine Datenschutzrichtlinie für Ihre Website oder App erstellen, indem Sie Tools wie unsere Datenschutzerklärung Generator.