Checkliste für Datenschutzanforderungen für Websites und Apps

von: James Ó Nuanáin, CIPP/E, CIPM, CIPT James Ó Nuanáin, CIPP/E, CIPM, CIPT | Aktualisiert am: 7. Oktober 2024

Kostenlose Datenschutzerklärung erstellen
hy-ist-der-Datenschutz-importan

Jedes Unternehmen, das Kundendaten sammelt, braucht eine Datenschutzrichtlinie. Das gilt für Website-Betreiber, App-Besitzer und alle, die dazwischen liegen.

Eine Datenschutzerklärung ist gesetzlich vorgeschrieben und zeigt den Verbrauchern, dass Sie ehrlich über Ihre Datenverarbeitungsaktivitäten sind.

Um die Erstellung einer dieser wichtigen Unternehmensrichtlinien zu vereinfachen, habe ich die ultimative Checkliste für Datenschutzrichtlinien erstellt, in der erklärt wird, was in eine Datenschutzrichtlinie gehört, welche Gesetze sie vorschreiben, wo sie zu veröffentlichen sind und vieles mehr.

Inhaltsübersicht
  1. Checkliste für den Datenschutz
  2. Rechtliche Anforderungen an Datenschutzrichtlinien
  3. Anforderungen an den Datenschutz erklärt
  4. Tipps zur Einhaltung der Datenschutzbestimmungen
  5. Strafen für die Nichteinhaltung der Datenschutzgesetze
  6. Wie Termly Ihrem Unternehmen bei der Erstellung einer Datenschutzrichtlinie hilft
  7. Zusammenfassung

Checkliste für den Datenschutz

Lesen Sie meine Checkliste für Datenschutzrichtlinien durch, die Details zu den gesetzlich vorgeschriebenen Klauseln enthält, die Details, die in diese Klauseln aufgenommen werden müssen, und eine Liste der Datenschutzgesetze, die dies vorschreiben.

Datenschutzklausel To-do Erforderlich für die...
  • Einleitende Klausel
  • Nennen Sie Ihren Firmennamen
  • Erklären Sie, für wen die Richtlinie gilt
  • Definieren Sie die relevanten Begriffe, die in der Politik verwendet werden sollen
  • Link zu anderen relevanten Dokumenten (z. B. Ihren Allgemeinen Geschäftsbedingungen oder Cookie-Richtlinien)
  • Geben Sie das Datum der letzten Aktualisierung und die Versionsnummer in der Nähe des Kopfes Ihrer Police an.
  • Welche persönlichen Daten Sie sammeln
  • Auflistung aller Kategorien von personenbezogenen Informationen
  • Auflistung aller Kategorien von sensiblen persönlichen Informationen
  • Geben Sie an, wenn Sie weder das eine noch das andere sammeln
  • Warum Sie die Daten sammeln 
  • Erläutern Sie den Zweck der Datenerhebung sowie die Rechtsgrundlage, auf die Sie sich stützen (unter DSGVO).

    • Marketing- und Forschungszwecke
    • Geschäftliche Zwecke
    • Gezielte Anzeigen oder Analysen
    • Verbesserung der Benutzerfreundlichkeit
    • So erstellen Sie Logins oder Profile
    • Zum Abschließen von Aufträgen
  • Wie Sie die personenbezogenen Daten sammeln
  • Erläutern Sie, wie Sie die Daten von den Verbrauchern sammeln:

    • Freiwillig von der Person gegeben
    • Über Zahlungsbildschirme oder Kassenseiten
    • Über Online-Formulare
    • Durch Anlegen eines Kontos oder einer Benutzeranmeldung
    • Durch die Platzierung von Cookies in den Browsern der Nutzer
    • Persönliche Aufzeichnungen (oder in Geschäften)
    • Hinweis: Wenn die von Ihnen verarbeiteten personenbezogenen Daten nicht von Ihrem Kunden stammen, gelten für Sie zusätzliche Anforderungen gemäß der DSGVO
  • Wenn Sie die Daten an Dritte weitergeben
  • Auflistung der Kategorien von Dritten, an die Sie personenbezogene Daten weitergeben oder verkaufen
  • Erklären Sie, warum Sie die Informationen weitergeben oder verkaufen
  • Geben Sie an, wie die Informationen weitergegeben werden (z. B. Einloggen über ein Konto in sozialen Medien)
  • Eine Erläuterung der gesetzlichen Rechte Ihrer Nutzer
  • Die Rechte, die die einzelnen Gesetze vorsehen, sind unterschiedlich, aber die meisten geben den Nutzern das Recht auf:
    • Zugang zu ihren persönlichen Daten
    • Antrag auf Änderung oder Berichtigung ihrer Daten
    • Antrag auf Löschung ihrer Daten
    • ihre Zustimmung zur Verarbeitung zu widerrufen
    • der Verwendung ihrer Daten zu widersprechen oder sie einzuschränken
    • eine tragbare Kopie ihrer Daten zu erhalten
    • Zustimmung zu oder Ablehnung von bestimmten Datenverarbeitungsaktivitäten
  • eine Methode oder Erklärung, wie die Nutzer diese Datenschutzrechte wahrnehmen können
  • Ein Link zu einem funktionierenden Formular für den Antrag auf Zugang zu Daten (DSAR oder SAR)
  • Geben Sie an, ob Sie "Do Not Track"-Anfragen und/oder Global Privacy Controls (GPC) akzeptieren
  • Ordnungsgemäße, funktionierende Kontaktinformationen bereitstellen
  • Ein Link "Meine persönlichen Daten nicht verkaufen oder weitergeben" (im Rahmen des CCPA/CPRA)
  • Ein Link "Beschränkung der Verwendung meiner sensiblen persönlichen Daten" (im Rahmen des CCPA/CPRA)
  • Erläutern Sie, ob die Weitergabe der Daten freiwillig oder obligatorisch ist und welche Folgen die Nichtweitergabe hat.
  • eindeutige Information der Nutzer, ob die Weitergabe von Informationen erforderlich oder freiwillig ist
  • Geben Sie an, was passiert, wenn die Nutzer ihre persönlichen Daten nicht weitergeben wollen.
  • Eine Liste der anwendbaren Gesetze, die die Datenerhebung zulassen oder vorschreiben (falls unter PoPIA)
  • Einzelheiten zu finanziellen Anreizen oder Angeboten
  • Erläutern Sie, ob Sie Nutzern, die sich freiwillig für die Weitergabe ihrer Daten entscheiden, einen Anreiz (Werbeaktion, Rabatt oder andere Angebote) bieten.
  • Stellen Sie sicher, dass der Anreiz dem Wert der Daten entspricht, die der Nutzer mit Ihnen teilt
  • Informationen über internationale Datenübertragungen
  • Geben Sie an, ob Sie die Daten international übertragen wollen
  • Erläutern Sie, in welche Länder die Daten möglicherweise übermittelt werden
  • Erforderlichenfalls ist zu erläutern, dass ein Angemessenheitsbeschluss vorliegt (falls unter DSGVO)
  • Falls kein Angemessenheitsbeschluss vorliegt, erläutern Sie, welche Sicherheitsvorkehrungen getroffen wurden, um die Sicherheit der Daten zu gewährleisten, und wie sie eine Kopie dieser Sicherheitsvorkehrungen erhalten können
  • Ihre Politik der Datenaufbewahrung
  • Geben Sie an, wie lange Sie personenbezogene Nutzerdaten speichern
  • OR Geben Sie das Verfahren an, mit dem Sie bestimmen, wie lange Sie die Daten aufbewahren, um die in Ihrer Datenschutzpolitik genannten Zwecke zu erreichen
  • Do NICHT Daten länger als nötig zu speichern
  • Ihre Sicherheitsmaßnahmen zum Schutz der personenbezogenen Daten
  • Pseudonymisierung der Daten
  • Verschlüsselung der Daten
  • Gewährleistung der kontinuierlichen Vertraulichkeit, Integrität, Belastbarkeit und Verfügbarkeit Ihres Verarbeitungssystems und Dienstes
  • über eine Möglichkeit verfügen, die Verfügbarkeit oder den Zugang zu personenbezogenen Daten wiederherzustellen, falls ein Ereignis eintritt
  • ein Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit Ihrer Sicherheitsprotokolle einrichten
  • Einzelheiten darüber, wie Sie Ihre Datenschutzrichtlinien aktualisieren und die Verbraucher informieren
  • Aktualisieren Sie Ihre Datenschutzpolitik, wenn Sie Ihre Datenverarbeitung oder -erfassung ändern.
  • Aktualisieren Sie Ihre Datenschutzrichtlinie mindestens alle 12 Monate (gemäß CCPA/CPRA)
  • Gegebenenfalls erneute Einholung der Zustimmung der Nutzer
  • Erläutern Sie, wie Sie die Nutzer über die Änderungen an Ihrer Richtlinie informieren werden
  • Vermerken Sie das Datum der letzten Aktualisierung deutlich auf Ihrer Police
  • Information der Website-Nutzer über ihr Beschwerderecht
  • Erklären Sie, welche Verbraucher nach welchem Gesetz das Recht haben, eine Beschwerde über Sie einzureichen, wenn sie der Meinung sind, dass Sie ihre Datenschutzrechte verletzen
  • Geben Sie die Kontaktinformationen der zuständigen Person oder Einrichtung an, die diese Beschwerden einreichen kann.
  • Informationen über Folgenabschätzungen der Datenverarbeitung (DPIAs/DPAs/PIAs)
  • Planen Sie die Durchführung einer Datenschutzfolgenabschätzung (DPIA/DPA/PIA) und erläutern Sie den Prozess in Ihrer Datenschutzrichtlinie, wenn Sie:

    • Einsatz neuer Technologien
    • Verfolgen des Standorts oder Verhaltens von Personen
    • Systematische, groß angelegte Überwachung eines öffentlich zugänglichen Ortes
    • Verarbeitung von Daten, die als "sensible persönliche Informationen" gelten
    • Verwendung der Daten, um automatisierte Entscheidungen zu treffen, die rechtliche oder erhebliche Auswirkungen haben könnten
    • Daten von Kindern verarbeiten
    • Daten zu verarbeiten, die bei Bekanntwerden zu körperlichen Schäden führen könnten
  • Kontaktinformationen des Unternehmens
  • Vollständiger Name des Unternehmens oder der Einrichtung
  • Physische Adresse
  • Funktionierende E-Mail Adresse und/oder Telefonnummer
  • Kontaktdaten Ihres Datenschutzbeauftragten, falls Sie einen ernannt haben

In der nächsten Tabelle finden Sie die spezifischen Anforderungen an die Datenschutzpolitik, die in den verschiedenen Datenschutzgesetzen festgelegt sind und sich auf Ihr Unternehmen auswirken können.

Datenschutzgesetz Anforderungen an die Datenschutzpolitik
🇪🇺 Allgemeine Datenschutzverordnung (DSGVO)
  • Name und Kontaktinformationen Ihres Unternehmens
  • Kontaktdaten Ihres Datenschutzbeauftragten, falls Sie einen haben.
  • Welche persönlichen Daten Sie sammeln
  • Wie Sie Daten sammeln
  • Warum Sie die Daten sammeln (auch bekannt als Ihre Rechtsgrundlage)
  • Mit wem Sie die Daten teilen
  • Einzelheiten zu etwaigen Datenübertragungen außerhalb der EU/des EWR
  • Wie lange Sie die Daten speichern werden
  • Erläutern Sie, wie Verbraucher auf ihre Daten zugreifen, deren Löschung oder Berichtigung verlangen und der Verarbeitung widersprechen können.
  • Erklären Sie Ihren Verbrauchern, dass sie das Recht haben, bei ihrer örtlichen Aufsichtsbehörde Beschwerde einzulegen.
  • Erläutern Sie, wie Verbraucher ihre Zustimmung widerrufen können
  • Erläutern Sie, wann die Daten nicht bei der Person selbst erhoben werden
  • Erklären Sie, ob Sie eine automatisierte Entscheidungsfindung oder ein Profiling durchführen
🇬🇧 Das Datenschutzgesetz(UK DSGVO)
  • Name und Kontaktinformationen Ihres Unternehmens
  • Kontaktdaten Ihres Datenschutzbeauftragten, falls Sie einen haben.
  • Welche persönlichen Daten Sie sammeln
  • Wie Sie Daten sammeln
  • Warum Sie die Daten sammeln (auch bekannt als Ihre Rechtsgrundlage)
  • Mit wem Sie die Daten teilen
  • Einzelheiten zu etwaigen Datenübertragungen außerhalb der EU/des EWR
  • Wie lange Sie die Daten speichern werden
  • Erläutern Sie, wie Verbraucher auf ihre Daten zugreifen können, wie sie deren Löschung oder Berichtigung beantragen können und wie sie der Verwendung der Daten widersprechen können
  • Erklären Sie Ihren Verbrauchern, dass sie das Recht haben, bei ihrer örtlichen Aufsichtsbehörde Beschwerde einzulegen.
  • Erläutern Sie, wie Verbraucher ihre Zustimmung widerrufen können
  • Erläutern Sie, wann die Daten nicht bei der Person selbst erhoben werden
  • Erklären Sie, ob Sie eine automatisierte Entscheidungsfindung oder ein Profiling durchführen
🇺🇸 Geändertes kalifornisches Gesetz zum Schutz der Privatsphäre von Verbrauchern(CCPA/CPRA)
  • Eine Beschreibung der Verbraucherrechte
  • Zwei oder mehr Methoden zur Einreichung überprüfbarer Anträge der Verbraucher auf Wahrnehmung ihrer Rechte
  • Kategorien von persönlichen Informationen, die über Verbraucher gesammelt werden
  • Die Quellen, aus denen Sie die personenbezogenen Daten sammeln
  • Ihr geschäftlicher oder kommerzieller Zweck für die Erhebung der Daten
  • Die Kategorien von Personen oder Dritten, denen Sie die Daten mitteilen (oder wenn Sie keine Daten mitteilen)
  • Eine Liste der Kategorien von personenbezogenen Daten, die an Dritte weitergegeben oder verkauft werden
  • Eine separate Liste der Datenkategorien, die zu Geschäftszwecken an Dritte weitergegeben werden
🇺🇸 Kalifornisches Gesetz zum Schutz der Privatsphäre im Internet(CalOPPA)
  • Angabe des Datums des Inkrafttretens
  • Führen Sie die Arten von persönlich identifizierbaren Informationen auf, die Sie sammeln, und erläutern Sie, wie die Nutzer der Datenerfassung widersprechen können.
  • Erläutern Sie, wie Nutzer die Überprüfung oder Löschung ihrer Informationen beantragen können.
  • Erläutern Sie, wie Sie Änderungen und Aktualisierungen der Datenschutzrichtlinie mitteilen werden.
  • Geben Sie an, ob Sie die Informationen an Dritte weitergeben werden
  • Sagen Sie, ob "DNT"-Anfragen (Do Not Track) beachtet werden sollen oder nicht.
🇺🇸 Virginia Verbraucherdatenschutzgesetz(VCDPA)
  • Offenlegung des Zwecks der Verarbeitung personenbezogener Daten
  • Kategorien der verarbeiteten Daten
  • Kategorien von Daten, die mit Dritten geteilt oder an Dritte verkauft werden
  • Offenlegung der Kategorien von Dritten selbst
  • Erklären Sie, wie Verbraucher Anträge stellen können
  • Bereitstellung eines Mechanismus zur Anfechtung von Entscheidungen im Zusammenhang mit Verbraucheranträgen
  • eindeutige Offenlegung der Verarbeitung personenbezogener Daten für gezielte Werbung
  • das Recht, der Datenverarbeitung zu widersprechen
🇺🇸 Connecticut-Datenschutzgesetz(CTDPA)
  • Die Kategorien der verarbeiteten personenbezogenen Daten
  • Der Zweck der Verarbeitung personenbezogener Daten
  • Wie die Verbraucher ihre Rechte wahrnehmen können, einschließlich ihres Rechts auf Widerspruch
  • Die Arten von personenbezogenen Daten, die an Dritte weitergegeben werden
  • Informationen über die Drittparteien
  • Eine Möglichkeit für den Verbraucher, den für die Datenverarbeitung Verantwortlichen online zu kontaktieren
🇺🇸 Colorado Datenschutzgesetz(CPA)
  • Welche personenbezogenen Daten Sie sammeln oder verarbeiten
  • Ihr Zweck für die Erhebung und Verarbeitung der Daten
  • Eine Erläuterung der Rechte der Nutzer und wie sie diese ausüben können
  • Einzelheiten darüber, wie ein Nutzer gegen Ihre Entscheidung bezüglich seiner Anfrage Einspruch erheben kann
  • Kontaktinformationen zu Ihrem Unternehmen
  • Kategorien von Daten, die gegebenenfalls an Dritte weitergegeben werden
  • Die Kategorien von Dritten, an die die Daten weitergegeben werden, falls vorhanden
  • Wenn die persönlichen Daten an Dritte für gezielte Werbung verkauft werden
  • Wie die Nutzer der Verarbeitung ihrer Daten für gezielte Werbung widersprechen können
🇺🇸 Gesetz zum Schutz der Privatsphäre von Kindern im Internet(COPPA)
  • Name, Adresse und Telefonnummer des Unternehmens
  • Die Arten der gesammelten Informationen
  • Wie die Informationen gesammelt werden
  • Wie Sie die gesammelten Informationen verwenden
  • ob Sie die Informationen an Dritte weitergeben und wie diese sie verwenden
  • Eine Beschreibung der Möglichkeit der Erziehungsberechtigten, der Erfassung der Daten ihrer Kinder zuzustimmen, ohne der Weitergabe dieser Daten an Dritte zuzustimmen
  • Erläuterung der Rechte der Eltern, nicht mehr Informationen über Kinder unter 13 Jahren preiszugeben als nötig, die Bereitstellung von Informationen über ein Kind zu verweigern und die dem Betreiber übermittelten Informationen über das betreffende Kind zu überprüfen
🇨🇦 Gesetz zum Schutz persönlicher Daten und elektronischer Dokumente(PIPEDA)
  • Geben Sie den Zweck der Datenerhebung an
  • Erläuterung und Umsetzung von Sicherheitsmaßnahmen zum Schutz personenbezogener Daten
  • Transparente, offene Details über die Datenverarbeitungspraktiken erklären
  • Sagen Sie, wie Sie die zehn Grundsätze der fairen Information erfüllen, die im Gesetz festgelegt sind
🇦🇺 Australisches Datenschutzgesetz von 1988
  • Ihr Firmenname und Ihre Kontaktangaben
  • Welche persönlichen Informationen Sie sammeln und speichern
  • Wie Sie die Informationen sammeln und wo Sie sie speichern
  • Gründe, warum Sie die Informationen sammeln müssen
  • Wie Sie die Informationen verwenden und weitergeben
  • Wie Nutzer auf ihre persönlichen Daten zugreifen oder um eine Korrektur bitten können
  • Wie Nutzer eine Beschwerde einreichen können, wenn sie der Meinung sind, dass ihre Daten falsch behandelt werden, und wie Sie auf diese Beschwerden reagieren
  • Werden Sie voraussichtlich Nutzerdaten außerhalb Australiens weitergeben, und wenn ja, in welche Länder?
🇳🇿 Neuseeländisches Datenschutzgesetz von 2020
  • Erklären Sie, warum die Daten erhoben werden
  • Offenlegen, wer die Daten erhält
  • Angabe, ob die Angabe der Daten obligatorisch oder freiwillig ist
  • Geben Sie an, was passiert, wenn die Nutzer ihre Daten nicht freigeben
  • Erläuterung des Rechts der Nutzer, Zugang zu ihren Daten oder deren Berichtigung zu verlangen
🇿🇦 Südafrikas Gesetz zum Schutz persönlicher Informationen(PoPIA)
  • Vollständiger Name und Anschrift Ihres Unternehmens
  • Die Kategorien der von Ihnen erhobenen oder verarbeiteten Daten
  • Wenn die Daten nicht vom Nutzer erhoben werden, erläutern Sie die Quelle, aus der sie stammen.
  • Der Zweck, zu dem Sie die Daten sammeln und verarbeiten
  • Ist die Angabe der Informationen obligatorisch oder freiwillig?
  • Die Folgen, wenn ein Nutzer seine Daten nicht freigibt
  • Eine Liste anderer einschlägiger Gesetze, die die Erhebung von Daten erlauben (oder vorschreiben)
  • Geben Sie an, ob Sie planen, die Daten außerhalb Südafrikas zu übertragen.
  • Mit wem Sie die Daten teilen
  • Erläuterung der Rechte Ihrer Nutzer auf Zugang und Berichtigung ihrer personenbezogenen Daten
  • Erläutern Sie das Recht Ihrer Nutzer, der Verarbeitung ihrer Daten zu widersprechen
  • Erklären Sie Ihren Nutzern das Recht, eine Beschwerde bei der Informationsregulierungsbehörde einzureichen

Anforderungen an den Datenschutz erklärt

Im Folgenden erkläre ich ausführlicher, was in die erforderlichen Klauseln aufgenommen werden sollte, die ich in der obigen Checkliste für die Datenschutzpolitik aufgeführt habe.

Erhebung persönlicher Daten

Jedes Datenschutzgesetz gibt dem Einzelnen das Recht zu erfahren, welche personenbezogenen Daten über ihn erhoben oder verarbeitet werden, was diese Klausel zu einer der wichtigsten in Ihrer Datenschutzerklärung macht.

Um diese Gesetze einzuhalten, müssen Sie alle Kategorien personenbezogener Daten, die Sie sammeln, klar auflisten, einschließlich sensibler personenbezogener Daten, die nach Gesetzen wie dem DSGVO, dem CCPA und dem VCDPA strengeren Richtlinien unterliegen.

Die genaue Definition des Begriffs "personenbezogene Daten" variiert zwar je nach Gesetzgebung, aber in der Regel handelt es sich um alle Informationen, die direkt oder indirekt mit einer Person oder einem Haushalt in Verbindung gebracht werden können.

Neben den Daten , die Sie sammeln, müssen Sie auch angeben, welche Daten Sie sammeln:

  • Warum Sie die Daten erheben, einschließlich der Rechtsgrundlage, wenn Sie Gesetze wie das EU-Recht einhalten müssen DSGVO
  • Wie Sie die personenbezogenen Daten erheben - Sie können die Informationen beispielsweise freiwillig von den Nutzern erheben, über Webformulare, indem Sie Cookies auf den Browsern der Nutzer platzieren, oder wenn sie sich für Konten anmelden oder Einkäufe tätigen, usw.
  • Was Sie mit den Daten tun, z. B. sie für Marketing- oder Forschungszwecke verwenden, um die Nutzererfahrung auf Ihrer Website zu verbessern oder um Verbrauchern gezielte Werbung und spezifischere Produktempfehlungen zu geben.

Viele Unternehmen stellen diese Informationen in Tabellen oder Aufzählungen in ihren Datenschutzrichtlinien dar, wobei die Überschriften für die einzelnen rechtlichen Anforderungen stehen, wie z. B. der Musik-Streaming-Dienst Spotify, den Sie im folgenden Screenshot sehen können.

Spotify-Personendatenerfassung

Verkauf oder Weitergabe von persönlichen Daten

Wenn Sie die von Ihnen gesammelten personenbezogenen Daten an Dritte weitergeben oder verkaufen, müssen Sie dies in Ihrer Datenschutzrichtlinie angeben, wie es in Gesetzen wie dem DSGVO, dem CCPA und anderen vorgeschrieben ist.

Dazu müssen Sie auch alle Kategorien von Dritten auflisten, mit denen Sie Informationen austauschen oder an die Sie die Daten direkt verkaufen.

Für die Formatierung können Sie eine Tabelle oder eine Aufzählung verwenden, so wie Spotify diese Klausel in seinen Datenschutzrichtlinien schreibt, wie im folgenden Screenshot gezeigt.

Spotify-Verkauf oder Weitergabe von persönlichen Daten

Datenschutzrechte für Verbraucher

Mehrere Datenschutzgesetze verlangen, dass Sie in Ihrer Datenschutzrichtlinie die Rechte von Einzelpersonen aufführen und Anweisungen für die Durchsetzung dieser Rechte geben, was durch spezielle Klauseln für die verschiedenen Gesetze, die für Ihr Unternehmen gelten, erreicht werden kann.

Wenn Sie z. B. sowohl unter das VCDPA als auch unter das geänderte CCPA fallen, sollten Sie eine Klausel über die Rechte der Nutzer in Virginia und eine weitere über die Rechte der Nutzer in Kalifornien aufstellen.

Das Einzelhandelsunternehmen Target tut dies in seiner Datenschutzrichtlinie, wie im folgenden Screenshot zu sehen ist.

Ziel-Privatsphäre-Rechte für Verbraucher

Weiter geht es mit den Rechten der Einwohner von Virginia.

Ziel-Privatsphäre-Rechte-für-Verbraucher-Einwohner-Virginias

Stellen Sie sicher, dass Sie sich an die Vorgaben aller Gesetze halten, die für Ihr Unternehmen gelten, sei es ein "Do Not Sell or Share My Personal Information"-Link, wie er vom CCPA beschrieben wird, oder ein allgemeinesDSAR- oder SAR-Formular (Data Subject Access Request), wie es für DSGVO empfohlen wird.

Internationale Datenübertragungen

Wenn Sie personenbezogene Daten von Nutzern übermitteln, die in einem anderen Land leben als dem, in dem Ihr Unternehmen ansässig ist, können Sie internationalen Übermittlungsanforderungen unterliegen, insbesondere den Anforderungen der DSGVO und der britischen DSGVO.

Wenn ein Angemessenheitsbeschluss vorliegt, kann der internationale Datentransfer aus einem EU-/EWR-Staat ohne weitere Genehmigungen oder Bewertungen erfolgen ( DSGVO).

Liegt jedoch keine Entscheidung vor, wie im Falle der USA, müssen Sie sicherstellen, dass die internationale Übermittlung alle in Kapitel 5, Artikel 44-50 der Verordnung genannten Anforderungen erfüllt.

Sie müssen auch eine Klausel in Ihre Datenschutzrichtlinie aufnehmen, in der Sie erklären, ob und wohin Sie die Daten übermitteln und welche Schutzvorkehrungen getroffen werden, um zu gewährleisten, dass die Daten angemessen geschützt werden und dass die Betroffenen ihre Rechte wahrnehmen können.

Lesen Sie unten, wie die Internetsuchmaschine Google in ihren Datenschutzbestimmungen über internationale Datenübertragungen schreibt.

Google-Internationale-Datenübertragungen

Grenzen der Datenspeicherung

Gesetze wie das DSGVO, das kanadische PIPEDA und andere schreiben vor, dass Sie personenbezogene Daten nur so lange aufbewahren dürfen, wie es für die von Ihnen in Ihrer Datenschutzrichtlinie genannten Zwecke erforderlich ist. Sie müssen aber auch in einer Klausel innerhalb der Richtlinie Ihr Verfahren zur Datenbeschränkung beschreiben.

Wenn der Zweck der Sammlung personenbezogener Daten kein klares Ende oder eine zeitliche Begrenzung hat, erklären Sie, wie Sie feststellen werden, wann Sie Ihr Ziel erreicht haben und die Informationen nicht länger aufbewahren müssen.

Im Folgenden sehen Sie, wie Google die Datenbeschränkungsklausel in seinen Datenschutzbestimmungen formuliert.

Google-Datenvorratsdatenspeicherungen

Sicherheitsmaßnahmen zum Schutz personenbezogener Daten

Datenschutzgesetze wie das DSGVO und das CCPA ziehen Unternehmen zur Verantwortung, wenn personenbezogene Daten verletzt werden oder durchsickern. Sie müssen in einer Klausel in Ihrer Datenschutzrichtlinie erklären, welche Sicherheitsmaßnahmen Sie ergriffen haben, um diese Art von Cyberkriminalität oder Fehler zu verhindern.

Das könnten Sie in Betracht ziehen:

  • Anonymisierung der Daten
  • Verschlüsselung der Daten
  • Pseudonymisierung der Daten

Diese Klausel kann kurz und bündig sein, aber sie ist rechtlich notwendig. Nachstehend finden Sie ein gutes Beispiel dafür, wie die Supermarkt- und Gemischtwarenhandelskette Woolworths den Sicherheitsteil ihrer Datenschutzrichtlinie formuliert.

Woolworths-Sicherheitsmaßnahmen-zum-Schutz-persönlicher-Daten

Aktualisierungen der Datenschutzrichtlinie

Rechtlich gesehen muss Ihre Datenschutzrichtlinie immer auf dem neuesten Stand sein. Fügen Sie daher eine Klausel ein, in der Sie erklären, wann Sie Änderungen an der Richtlinie vornehmen, warum diese Änderungen notwendig sein könnten und wie Sie Ihre Nutzer auf dem Laufenden halten.

Nach dem geänderten CCPA müssen Sie Ihre Datenschutzrichtlinie mindestens einmal alle 12 Monate aktualisieren.

Viele dieser Gesetze, darunter DSGVO und das VCDPA, besagen jedoch, dass Sie personenbezogene Daten nur auf der Grundlage dessen verwenden dürfen, was Sie in Ihrer Datenschutzrichtlinie festgelegt haben. Sie müssen also auch Ihre Richtlinie aktualisieren, Ihre Nutzer informieren und manchmal sogar deren Zustimmung erneut einholen, wenn Sie Ihre Datenerhebungs- und -verarbeitungsaktivitäten ändern wollen.

Ein hervorragendes Beispiel für diese Art von Klausel aus der Datenschutzrichtlinie von Woolworths finden Sie in der nachstehenden Abbildung.

Woolworths-Datenschutz-Policy-Updates

Denken Sie daran, dass dies ein lebendiges Dokument ist. Es sollte sich so oft ändern, wie Sie es brauchen.

Stellen Sie einfach sicher, dass Sie Ihre Kunden jedes Mal ordnungsgemäß informieren, das Datum der letzten Aktualisierung auf Ihrer Police festhalten und Ihren Nutzern mitteilen, was genau an Ihrer Police anders ist.

Einreichen von Reklamationen

Gesetze wie das DSGVO, das PoPIA und andere geben Einzelpersonen das Recht, Beschwerden einzureichen, wenn sie der Meinung sind, dass Sie ihre Datenschutzrechte verletzen.

Sie müssen eine Klausel in Ihre Datenschutzrichtlinie aufnehmen, in der Sie dieses Recht erläutern und die richtigen Kontaktinformationen gemäß dem geltenden Recht angeben.

Wenn Sie unter mehrere Gesetze fallen, sollten Sie in Erwägung ziehen, für jede relevante Regulierungs- oder Aufsichtsbehörde eine eigene Klausel zu verwenden, damit Ihre Nutzer an diesen Standorten leicht die richtigen Kontaktinformationen finden können.

Wie Woolworths das macht, können Sie in der unten stehenden Datenschutzerklärung nachlesen.

Woolworths-Beschwerden-einreichen

Zum Vergleich: Die beliebte südafrikanische Lebensmittelkette Shoprite geht in ihren Datenschutzrichtlinien wie folgt vor, um die Anforderungen von PoPIA zu erfüllen (siehe Screenshot unten).

Shoprite-Beschwerden einreichen

Folgenabschätzungen für die Datenverarbeitung (DPIAs)

Wenn Sie beabsichtigen, bestimmte Arten von Verarbeitungen durchzuführen, die ein "hohes Risiko" für Ihre Verbraucher bergen, sind Sie nach den Datenschutzgesetzen, einschließlich DSGVO und dem CTDPA, verpflichtet, eine Datenschutzfolgenabschätzung durchzuführen, und Sie sollten diesen Prozess in einer Klausel in Ihrer Datenschutzrichtlinie erläutern, um Ihre Verbraucher angemessen zu informieren.

Sie müssen erklären, dass Sie eine angemessene Datenschutzfolgenabschätzung durchgeführt haben, um die mit der Verarbeitung verbundenen Risiken zu bewerten und geeignete Schutzmaßnahmen für Ihre Nutzer zu ermitteln.

Ihre Nutzer haben auch das Recht, die Verwendung ihrer sensiblen persönlichen Daten einzuschränken, also geben Sie ihnen eine Möglichkeit, ihre Rechte in Bezug auf diese Informationen wahrzunehmen.

Unten sehen Sie, wie die Hochschulgruppe Study.Iceland diese Klausel in ihrer Datenschutzrichtlinie handhabt.

Studie-Island-Datenverarbeitung-Folgenabschätzungen-DPIA

Kontaktinformationen des Unternehmens

Mehrere Datenschutzgesetze schreiben vor, dass Sie in Ihren Datenschutzrichtlinien geeignete Kontaktinformationen angeben müssen, damit Ihre Nutzer eine Beschwerde einreichen, Fragen stellen oder die Wahrnehmung ihrer Rechte auf Zugang, Änderung oder Löschung ihrer Daten verlangen können.

Wenn Sie einen Datenschutzbeauftragten ernannt haben, müssen Sie ihn gemäß DSGVO auch benennen und seine Kontaktdaten angeben.

Gemäß Gesetzen wie COPPA, das Minderjährige schützt, müssen Sie in Ihrer Datenschutzrichtlinie korrekte Kontaktinformationen angeben, damit die Erziehungsberechtigten die Datenschutzrechte ihrer Kinder schützen können.

Unten sehen Sie ein Beispiel dafür, wo das Kaufhaus Harrods seine Kontaktdaten in seiner Datenschutzrichtlinie angibt.

Harrods-Firmenkontakt-Informationen

10 Tipps zur Einhaltung der Datenschutzbestimmungen

Da es bei der Erstellung einer Datenschutzrichtlinie darauf ankommt, rechtliche Anforderungen, notwendige Klauseln und vieles mehr zu berücksichtigen, habe ich einige Tipps zusammengestellt, die Ihrem Unternehmen helfen sollen, die Vorschriften einfach einzuhalten.

Tipp 1: Eine Datenschutzrichtlinie unterscheidet sich von den Allgemeinen Geschäftsbedingungen, und Sie brauchen beide, weil sie unterschiedliche Aufgaben erfüllen. Ihre Allgemeinen Geschäftsbedingungen schützen Ihr Unternehmen, und bestimmte Klauseln und Haftungsausschlüsse gehören dort hinein, im Gegensatz zu Ihren Datenschutzbestimmungen.

Tipp 2: Führen Sie ein Datenschutz-Audit Ihrer Website oder App durch, bevor Sie Ihre Datenschutzrichtlinie erstellen, um sicherzustellen, dass Sie alle Daten kennen, die Sie verarbeiten, und wissen, wo diese Datenerfassung stattfindet.

Tipp 3: Verwenden Sie in Ihren Datenschutzrichtlinien nur leicht verständliche Formulierungen, damit sie für möglichst viele Menschen zugänglich sind, und vermeiden Sie Rechtssprache und Fachjargon.

Tipp 4 : Um sicherzustellen, dass Ihre Verbraucher leichten Zugang zu den relevanten rechtlichen Richtlinien haben, sollten Sie in Ihren Datenschutzhinweis Links zu diesen anderen Dokumenten aufnehmen, einschließlich Ihrer Cookie-Richtlinie und Ihrer Nutzungsbedingungen (und umgekehrt).

Tipp 5: Stellen Sie eine Datenschutzrichtlinie auf Ihre Website, auch wenn Sie keine Daten erheben oder unter Datenschutzgesetze fallen. Die Leute erwarten eine solche Erklärung und könnten annehmen, dass Ihre Website nicht vertrauenswürdig ist, wenn sie sie nicht finden können.

Tipp 6: Planen Sie, Ihre Datenschutzrichtlinien an mehreren Stellen zu veröffentlichen, z. B. in der Fußzeile Ihrer Website und an oder vor den Stellen, an denen Daten erfasst werden, wie z. B. auf Zahlungsbildschirmen oder Seiten zur Erstellung neuer Benutzerkonten.

Tipp 7: Sie sollten auch ein Verfahren für die Aktualisierung Ihrer Datenschutzpolitik einrichten. Sie sollten dieses Dokument alle paar Monate überprüfen und es anpassen, wenn sich Ihre Datenschutzprotokolle ändern.

Tipp 8: Sie können zwar eine Datenschutzerklärung selbst verfassen, aber versuchen Sie es mit einem Datenschutzerklärung Generator oder mit einem kostenlosen Datenschutzerklärung vorlage zu beginnen, um sich einen Vorsprung zu verschaffen - wenn Sie einen Generator wie unseren verwenden, übernimmt er natürlich die ganze Arbeit für Sie.

Tipp 9: Lügen Sie nicht über Ihre Datenverarbeitungsaktivitäten und versuchen Sie nicht, diese zu umgehen, denn das ist ein wichtiger Punkt, den Sie in Ihrer Datenschutzrichtlinie vermeiden sollten. Wenn Sie erwischt werden, könnten die schlechte Presse und möglicherweise hohe Geldstrafen für Gesetzesverstöße Ihrem Unternehmen schaden.

Tipp 10: Datenschutzrichtlinien, Datenschutzhinweise und Datenschutzvereinbarungen beziehen sich alle auf dieselbe Sache, also nennen Sie sie, wie Sie wollen. Achten Sie nur darauf, dass für Ihre Kunden klar ersichtlich ist, dass es sich um das Dokument handelt, in dem Ihre Datenverarbeitungsaktivitäten erläutert werden.

Glauben Sie mir, ich habe schon vielen Unternehmen und Marketingagenturen bei der Erstellung von Datenschutzrichtlinien geholfen, und wenn Sie diese Tipps befolgen, wird der gesamte Prozess für Sie einfacher.

Strafen für die Nichteinhaltung der Datenschutzgesetze

Ich habe bereits erwähnt, dass Verstöße gegen die Datenschutzgesetze zu hohen Geldstrafen und einer großen öffentlichen Aufmerksamkeit führen können - hier lasse ich meinen Worten Taten folgen.

Lesen Sie in der nachstehenden Tabelle die finanziellen Folgen von Verstößen gegen die Datenschutzgesetze und -vorschriften, die ich in der Checkliste für den Datenschutz erwähnt habe.

Datenschutzgesetz Strafen für Verstöße gegen das Gesetz
Allgemeine Datenschutzverordnung (DSGVO)
  • Höchststrafe von 20 Millionen Euro (23 Millionen US-Dollar) oder 4 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist)
  • Weniger schwerwiegende Verstöße werden mit bis zu 10 Mio. € (12 Mio. $) oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Wert höher ist) geahndet.
Das Datenschutzgesetz(UK DSGVO)
  • Bis zu 17,5 Millionen Pfund oder 4 % der weltweiten Einnahmen, je nachdem, welcher Betrag höher ist
  • Oder bis zu 8,7 Millionen Pfund oder 2 % des weltweiten Umsatzes, je nachdem, welcher Betrag höher ist
Geändertes kalifornisches Gesetz zum Schutz der Privatsphäre von Verbrauchern(CCPA/CPRA)
  • $2.500 pro nicht vorsätzlichem Verstoß
  • 7.500 Dollar für jeden vorsätzlichen Verstoß oder für Straftaten im Zusammenhang mit persönlichen Daten von Minderjährigen unter 16 Jahren
  • Verbraucher können aus folgenden Gründen privatrechtlich gegen ein Unternehmen vorgehen:
    • Unverschlüsselte und nicht zensierte persönliche Daten werden kompromittiert
    • E-Mail-Adressen in Kombination mit einem Passwort oder anderen Details, die den Zugang zu einem Konto ermöglichen, werden missbraucht
Kalifornisches Gesetz zum Schutz der Privatsphäre im Internet(CalOPPA)
  • 2.500 Dollar pro Verstoß
Virginia Verbraucherdatenschutzgesetz(VCDPA)
  • Bis zu $7.500 pro Verstoß
Connecticut-Datenschutzgesetz(CTDPA)
  • Bis zu $5.000 pro vorsätzlichem Verstoß
  • sowie gerechte Rechtsmittel, einschließlich Rückerstattung, Herausgabe und Unterlassungsanspruch
Colorado Datenschutzgesetz(CPA)
  • Eine Spanne von $2.000 bis $20.000 pro Verstoß plus mögliche strafrechtliche Haftung
Gesetz zum Schutz der Privatsphäre von Kindern im Internet (COPPA)
  • Bis zu $40.654 pro Verstoß
Gesetz zum Schutz persönlicher Daten und elektronischer Dokumente(PIPEDA)
  • Bis zu $100.000 (CAD) pro Verstoß
Australisches Datenschutzgesetz von 1988
  • 50 Millionen Dollar;
  • das Dreifache des Wertes eines durch den Missbrauch von Informationen erzielten Vorteils;
  • 30 % des bereinigten Umsatzes eines Unternehmens in dem betreffenden Zeitraum.
Neuseelands Datenschutzgesetz von 2020
  • Bis zu 10.000 $
Südafrikas Gesetz zum Schutz persönlicher Informationen(PoPIA)
  • Bis zu 10 Millionen R (ca. 549.000 $), bis zu 10 Jahre Gefängnis oder beides.

Je nach Größe Ihres Unternehmens kann eine auch nur versehentliche Nichteinhaltung dieser Vorschriften zu Geldstrafen führen, die so hoch sind, dass Ihr Unternehmen untergehen kann.

Sie würden aber nicht nur Geld verlieren, sondern auch mit öffentlichen Reaktionen rechnen müssen, die für Ihre Marke ebenso schädlich sind wie eine Geldstrafe.

Schauen Sie sich diese Datenschutzstatistiken an, die zeigen, dass Kunden nicht davor zurückschrecken, ihre Beziehung zu Ihnen zu beenden, wenn Sie ihre persönlichen Daten nicht mit Respekt behandeln:

  • 63 % der Internetnutzer sind der Meinung, dass die meisten Unternehmen nicht transparent darüber sind, wie ihre Daten verwendet werden, und 48 % haben aufgrund von Datenschutzbedenken schon einmal bei einem Unternehmen eingekauft.(Tableau)
  • 33 % der Nutzer haben ihre Beziehungen zu Unternehmen wegen ihrer Daten gekündigt. Sie verließen Social-Media-Unternehmen, Internetanbieter, Einzelhändler, Kreditkartenanbieter und Banken oder Finanzinstitute.(Cisco)

Die Konsequenzen sind es einfach nicht wert. Binden Sie mehr Kunden und vermeiden Sie Geldstrafen und schlechte Presse, indem Sie eine ehrliche, konforme Datenschutzrichtlinie auf Ihrer Plattform veröffentlichen.

Wie Termly Ihrem Unternehmen bei der Erstellung einer Datenschutzrichtlinie hilft

Inzwischen habe ich Sie hoffentlich davon überzeugt, wie wichtig Datenschutzrichtlinien für online tätige Unternehmen sind.

Aber keine Sorge, Sie müssen nicht selbst eine erstellen - Termly kann Ihnen die Arbeit abnehmen, wenn Sie unsere Datenschutzerklärung Generator oder unsere kostenlose Vorlage verwenden.

Termly's Datenschutzerklärung Generator

Lassen Sie mich kurz über Termly's prahlen. Datenschutzerklärung Generator - Es ist ziemlich großartig.

Unser Team aktualisiert sie, wenn neue Verordnungen in Kraft treten (oder wenn alte geändert werden).

Wann immer dies geschieht, erhalten unsere Kunden eine E-Mail mit Anweisungen, wenn etwas erforderlich ist, um die Einhaltung der einschlägigen Datenschutzgesetze zu gewährleisten.

Sie beantworten einfach Fragen zu Ihrem Unternehmen, und das Programm erstellt auf der Grundlage Ihrer Antworten eine konforme Richtlinie, die Sie auf Ihrer Website oder App veröffentlichen können.

Unten sehen Sie einen Screenshot davon.

Termly-Datenschutz-Generator

TermlyVorlagen für Datenschutzrichtlinien

Neben unserem Generator bieten wir auch ein Datenschutzerklärung vorlage an, den Sie an jede erdenkliche Geschäftsanforderung anpassen können.

Vorlagen erfordern mehr Arbeit, da Sie die leeren Abschnitte manuell mit Details über Ihr Unternehmen ausfüllen müssen. Aber sie sind bereits für Sie formatiert und enthalten Klauseln, die den Datenschutzgesetzen entsprechen, die ich in diesem Leitfaden behandelt habe.

Unten sehen Sie einen Screenshot, der zeigt, wie es aussieht.

Termly-Vorlagen für Datenschutzrichtlinien

Sehen Sie sich diese umfangreiche Tabelle mit Leitfäden und Vorlagen an, auf die Sie sich je nach Branche, verwendeter Plattform oder den für Ihr Unternehmen relevanten Gesetzen verlassen können.

Vorlagen nach Branche oder Datenschutzgesetz Vorlagen nach Plattform oder Dienst

Zusammenfassung

Datenschutzrichtlinien sind wichtige Dokumente, die Unternehmen dabei helfen, die geltenden Gesetze einzuhalten und Vertrauen zu schaffen, indem sie die Nutzer darüber informieren, was Sie mit ihren persönlichen Daten tun.

Wenn Sie meine Checkliste für Datenschutzrichtlinien und die oben genannten Tipps befolgen, können Sie eine rechtskonforme, umfassende Datenschutzrichtlinie für Ihr Unternehmen erstellen.

Machen Sie es sich einfacher, indem Sie Termly's Datenschutzerklärung Generator nutzen, um Ihre Police in wenigen Minuten fertig zu haben.

James Ó Nuanáin, CIPP/E, CIPM, CIPT
Mehr über die Autorin

Geschrieben von James Ó Nuanáin, CIPP/E, CIPM, CIPT

James ist Fachmann für Datenschutz und verfügt über mehr als sieben Jahre Erfahrung in der Unterstützung großer Unternehmen bei der Einhaltung ihrer Verpflichtungen im Rahmen der GPDR und anderer lokaler Datenschutzvorschriften. Er beschäftigt sich leidenschaftlich mit dem Datenschutz und der Schnittstelle zwischen Recht und Technologie. Mehr über die Autorin

Verwandte Artikel

Weitere Artikel ansehen