Uber wurde kürzlich von der niederländischen Datenschutzbehörde (AP) mit einer Geldstrafe von 10 Millionen Euro belegt, weil es in seinen Datenschutzbestimmungen nicht offengelegt hat, wie lange es die persönlichen Daten seiner Fahrer speichert oder welche spezifischen Sicherheitsmaßnahmen es beim Versand dieser Informationen an Stellen in Ländern außerhalb des EWR ergreift, neben anderen DSGVO-Verstößen.

Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union dreht sich um Transparenz – sicherzustellen, dass EU-Bürger wissen, wer ihre persönlichen Daten sammelt und warum. Deshalb sind eine Datenschutzrichtlinie und eine Datenschutzerklärung so wichtige Schritte auf dem Weg zur DSGVO-Konformität.

In diesem Artikel erklären wir, wie man eine effektive Datenschutzrichtlinie schreibt, die Ihrem Team hilft, konform zu bleiben, und eine Datenschutzerklärung, die den DSGVO-Anforderungen entspricht – außerdem erklären wir den Unterschied zwischen diesen beiden Begriffen. Wir teilen auch Beispiele für Datenschutzrichtlinien, um Ihnen beim Schreiben Ihrer eigenen zu helfen.

Was ist eine DSGVO-Datenschutzrichtlinie?

Eine Datenschutzrichtlinie ist ein internes Dokument, das beschreibt, wie persönliche Daten behandelt und geschützt werden, um mit den geltenden Gesetzen konform zu sein. Es hilft den Mitarbeitern zu verstehen, was ihre Rollen und Verantwortlichkeiten im Umgang mit persönlichen Daten sind.

Brauche ich eine DSGVO-Datenschutzrichtlinie?

Die DSGVO verlangt keine formale interne Datenschutzrichtlinie, die vorschreibt, wie Ihr Team mit persönlichen Daten umgeht. Allerdings verlangt das Datenschutzgesetz von Organisationen, Vorkehrungen zum Schutz persönlicher Daten zu treffen.

Aus diesem Grund ist es eine gute Idee, eine Datenschutzrichtlinie zu haben, um Ihren Mitarbeitern genau zu erläutern, was ihre Rollen und Verantwortlichkeiten in Bezug auf persönliche Daten und Datenschutz sind. Eine interne DSGVO-Datenschutzrichtlinie stellt eine schriftliche Aufzeichnung für Dinge wie die rechtmäßige Grundlage der Verarbeitung, wer Ihr Datenschutzbeauftragter (DSB) ist und was seine/ihre Verantwortlichkeiten sind, Ihre Datenverarbeitungsaktivitäten, Prozesse für die Datenaufbewahrung und den Transfer von persönlichen Daten und mehr dar.

Eine Datenschutzrichtlinie kann auch als „Datenschutzerklärung“ bezeichnet werden. Da keiner der Begriffe im Text der DSGVO tatsächlich vorkommt, werden sie von Unternehmen oft synonym verwendet. Technisch gesehen bezieht sich jedoch eine DSGVO-Datenschutzrichtlinie auf ein internes Dokument und eine Datenschutzerklärung auf ein öffentliches Dokument, in dem eine Organisation ihre Datenverarbeitungsaktivitäten beschreibt. Schauen wir uns die Definition einer Datenschutzerklärung unten genauer an.

Was ist eine Datenschutzerklärung in der DSGVO?

Während eine Datenschutzerklärung ein internes Dokument ist, das zum Nutzen Ihrer Mitarbeiter und Ihrer Organisation insgesamt erstellt wird, handelt es sich bei einer Datenschutzhinweise um ein externes Dokument, das Benutzern und Kunden erklärt, wie Ihr Unternehmen deren private persönliche Daten sammelt, wie Sie diese verarbeiten, mit wem Sie sie teilen und zu welchen Zwecken. Es hilft Ihren Kunden, fundierte Entscheidungen darüber zu treffen, ob sie der Datenerhebung zustimmen möchten.

Die DSGVO erfordert, ähnlich wie das CCPA, einen Datenschutzhinweis, der die Datenschutzpraktiken einer Organisation in einfacher Sprache erklärt. Es ist üblich, diese Datenschutzerklärung öffentlich auf Ihrer Website verfügbar zu machen. Sie muss Benutzern auch die Möglichkeit geben, der Verarbeitung personenbezogener Daten zu widersprechen.

Die folgende Tabelle erklärt den wesentlichen Unterschied zwischen einer Datenschutzrichtlinie der DSGVO und einem Datenschutzhinweis der DSGVO.

Was in einer Datenschutzrichtlinie der DSGVO enthalten sein sollte

Auch als Datenschutzrichtlinie bezeichnet, erklärt eine interne Datenschutzerklärung, wie die Organisation personenbezogene Daten in einer Weise verarbeitet und schützt, die den Anforderungen der DSGVO entspricht. Sie erklärt auch den spezifischen Zweck der Erhebung dieser Informationen — zum Beispiel zur Bearbeitung von Kundenbestellungen, zur Erstellung von Benutzerkonten oder -profilen, zum Versenden von Marketingkampagnen oder zur Durchführung von Umfragen. 

Es gibt keine gesetzlichen Anforderungen dafür, wie Sie Ihre interne Datenschutzerklärung strukturieren müssen oder was sie enthalten muss. Eine wirksame Datenschutzerklärung enthält jedoch normalerweise die folgenden Informationen:

• Welche Art von Daten Sie von Benutzern sammeln, sei es Kontaktinformationen, Zahlungsinformationen, demografische Daten usw. 
• Warum Sie personenbezogene Daten sammeln 
• Wo Sie personenbezogene Daten speichern, wie lange und wie Sie sie entsorgen
• Ob Sie personenbezogene Daten mit Dritten teilen, wie z.B. Dienstleistern, Werbepartnern oder Geschäftspartnern
• Wie Sie sicherstellen, dass die von Ihnen gesammelten Daten korrekt und ausreichend geschützt sind
• Wie Ihr Team im Falle einer Datenpanne reagieren soll
• Welche Arten von Rechten Betroffene an ihren personenbezogenen Daten haben und wie Ihr Team erwartet wird, auf Verbraucher Anfragen zu reagieren
• Wie oft die Datenschutzerklärung überprüft und aktualisiert werden sollte und von wem
• Wer innerhalb der Organisation für die Überwachung des Datenschutzes verantwortlich ist 

Es ist eine bewährte Vorgehensweise, Ihre Datenschutzerklärung mindestens jährlich zu überprüfen und sicherzustellen, dass sie für Mitarbeiter leicht zugänglich ist. Erwägen Sie, sie in Ihre interne Wissensdatenbank aufzunehmen und stellen Sie sicher, dass Mitarbeiter benachrichtigt werden, wenn Änderungen vorgenommen werden. 

Welche Informationen sind in einer DSGVO-Datenschutzerklärung enthalten?

Eine typische Datenschutzerklärung enthält einige allgemeine Elemente. Sie umfasst in der Regel:

• Welche Kategorien personenbezogener Daten Sie erfassen
• Warum Sie persönliche Benutzerdaten erfassen (Ihre Rechtsgrundlage oder rechtmäßige Grundlage gemäß DSGVO)
• Wie Sie personenbezogene Daten erfassen, einschließlich der Frage, ob Sie der Datenverantwortliche oder der Datenverarbeiter (oder beides) sind
• Wie Sie die erfassten personenbezogenen Daten verwenden (z. B. für Marketingzwecke), wie lange sie aufbewahrt und wie sie entsorgt werden
• Wie Benutzer die Möglichkeit haben, sich abzumelden und/oder die Löschung ihrer personenbezogenen Daten zu verlangen, einschließlich einer Telefonnummer oder Adresse, die sie verwenden können, um Sie zu kontaktieren
• Welche Rechte die betroffenen Personen haben, einschließlich des Rechts, eine Beschwerde bei einer Aufsichtsbehörde einzureichen
• Ob personenbezogene Daten in ein Drittland übertragen werden und welche Schutzmaßnahmen ergriffen werden
• Ob ein automatisiertes Entscheidungsfindungssystem existiert und Informationen darüber, wie es eingerichtet wurde und welche Bedeutung es hat

Da Sie nun wissen, welche Informationen in einer Datenschutzerklärung enthalten sein sollten, lassen Sie uns darüber sprechen, wie Sie diese Informationen präsentieren sollten.

Wie man die Transparenzanforderungen der DSGVO erfüllt

Artikel 12 der DSGVO besagt, dass die Verantwortlichen Informationen im Zusammenhang mit der Datenverarbeitung “in präziser, transparenter, verständlicher und leicht zugänglicher Form unter Verwendung klarer und einfacher Sprache” bereitstellen müssen.

Um Ihnen zu helfen, eine DSGVO-konforme Datenschutzerklärung zu verfassen, werden wir jeden dieser Begriffe im Folgenden anhand der Richtlinien der Europäischen Kommission zur Erfüllung der Transparenzpflichten gemäß DSGVO erläutern.

“Präzise und transparent”

Diese Anforderung bedeutet, dass Informationen:

• Präzise und leicht verständlich präsentiert werden müssen, um Informationsüberflutung zu vermeiden
• Klar von anderen nicht datenschutzbezogenen Informationen wie allgemeinen Nutzungsbedingungen unterschieden werden müssen
• In einem Online-Kontext leicht zu navigieren sein müssen

Unternehmen bieten beispielsweise oft eine mehrschichtige Datenschutzerklärung online an, die es den betroffenen Personen ermöglicht, zu einem bestimmten Abschnitt zu springen. Auf diese Weise erhalten sie sofort Zugriff auf die Informationen, die sie interessieren, anstatt durch große Mengen an Text scrollen zu müssen.

“Verständlich”

Diese Anforderung bedeutet, dass Informationen von den Mitgliedern der Zielgruppe verstanden werden sollten. Dies variiert je nach Zielgruppe. Organisationen sollten das Wissen über ihre einzigartige Zielgruppe nutzen, um zu bestimmen, was sie wahrscheinlich verstehen würden.

Wenn beispielsweise die Zielgruppe einer Organisation berufstätige Fachleute sind, kann die Organisation davon ausgehen, dass diese ein höheres Verständnisniveau haben als eine Organisation, deren Zielgruppe Kinder sind, und die Informationen entsprechend präsentieren.

Wenn eine Organisation unsicher ist, ob ihr Zielpublikum den Inhalt versteht und ob die Informationen effektiv präsentiert werden, kann sie Benutzerpanels, Lesbarkeitsprüfungen oder Gespräche mit Branchenverbänden, Verbrauchergruppen und Regulierungsbehörden nutzen, um dies herauszufinden.

“Leicht zugänglich”

Diese Anforderung bedeutet, dass betroffene Personen nicht aktiv nach den Informationen suchen müssen. Stattdessen sollte ihnen sofort klar sein, wo und wie diese Informationen zugänglich sind.

Eine übliche Methode, diese Anforderung zu erfüllen, besteht darin, eine Datenschutzerklärung öffentlich auf Ihrer Website verfügbar zu machen. Sie können Ihre Datenschutzerklärung an einer gut sichtbaren Stelle, wie dem Footer Ihrer Website und überall dort, wo Sie persönliche Informationen wie Namen und Kontaktdaten erfassen, verlinken. Andere Möglichkeiten umfassen:

• FAQs
• Kontextbezogene Pop-ups, die aktiviert werden, wenn eine betroffene Person ein Online-Formular ausfüllt
• Interaktive digitale Schnittstellen wie Chatbots

“Klare und einfache Sprache”

In engem Zusammenhang mit der Anforderung der Verständlichkeit bedeutet die Anforderung einer klaren und einfachen Sprache, dass Informationen so einfach wie möglich unter Verwendung konkreter und eindeutiger Sprache bereitgestellt werden sollten. Organisationen sollten vermeiden:

• Komplexe Satz- und Sprachstrukturen
• Abstrakte oder mehrdeutige Begriffe, die Raum für Interpretationen lassen
• Qualifizierende Begriffe wie „kann“, „könnte“, „einige“, „oft“ und „möglich“
• Passivform
• Übermäßig juristische, technische oder Fachsprache

GDPR-Datenschutzhinweis-Vorlage

Verwenden Sie diese anpassbare Datenschutzhinweis-Vorlage, um zu erklären, wie Ihre Organisation personenbezogene Daten verarbeitet und schützt. Sie können es extern auf Ihrer Webseite veröffentlichen. Sie können es auch intern als Datenschutzrichtlinie mit Mitarbeitern teilen, je nachdem, wie Sie es anpassen.

Beispiele für GDPR-Datenschutzhinweise

Wann immer Sie Dokumentation für Ihr Unternehmen erstellen, kann es besonders hilfreich sein, Beispiele dafür zu sehen, wie andere Organisationen dies getan haben. Nachfolgend teilen wir einige Beispiele von Datenschutzhinweisen, die Sie als Inspiration für das Schreiben Ihrer eigenen verwenden können.

Bitte beachten Sie, dass einige der unten aufgeführten Unternehmen diese als Datenschutzerklärungen bezeichnen. Sie sind jedoch alle öffentliche Dokumente, die die Datenverarbeitungsaktivitäten der Organisation beschreiben und daher mit dem Zweck und den typischen Elementen eines Datenschutzhinweises übereinstimmen.

1. Moss Adams

Moss Adams bietet einen klaren, umfassenden Datenschutzhinweis, den andere Organisationen als Inspiration nutzen können, wenn sie mit der Erstellung ihres eigenen beginnen.

Es erklärt klar, wie die Firma personenbezogene Informationen sammelt, verwendet und offenlegt und welche Rechte Benutzer in Bezug auf ihre personenbezogenen Informationen haben. Es erfüllt andere GDPR-Anforderungen, einschließlich der Cookie-Zustimmungsanforderungen, indem es ihre rechtliche Grundlage für die Datenverarbeitung beschreibt, wie sie Cookies verwenden und wann sie Daten offenlegen oder übertragen können und indem eine E-Mail-Adresse angegeben wird, über die Benutzer sie in Bezug auf ihre Datenschutzrichtlinien kontaktieren können.

Diese Informationen sind in Abschnitte und Unterabschnitte unterteilt, die Überschriften und Aufzählungslisten verwenden, um das Lesen zu erleichtern.

2. Amazon.com

Amazon.com strukturiert seine Datenschutzhinweis wie eine FAQ-Seite und bietet Antworten auf häufig gestellte Fragen wie „Für welche Zwecke verwendet Amazon Ihre persönlichen Informationen?“ und

„Was ist mit Cookies und anderen Identifikatoren?“ Jede Frage, die oben in den Hinweisen aufgeführt ist, ist verlinkt, sodass Benutzer zu einem bestimmten Abschnitt springen oder von oben scrollen können.

Da GDPR, wie CCPA, darauf ausgelegt ist, den Verbrauchern mehr Einblick und Kontrolle darüber zu geben, wie Unternehmen ihre persönlichen Informationen sammeln und verwenden, widmet Amazon einen Abschnitt seines Datenschutzhinweises allen Wahlmöglichkeiten, die Verbraucher in Bezug auf ihre Informationen haben. Sie können ihre Kundenkommunikationspräferenzen anpassen, ihre Werbepräferenzen anpassen, ihren Browserverlauf bearbeiten und mehr.

3. The Walt Disney Company

The Walt Disney Company ist berühmt für ihr Maß an Personalisierung – egal ob Sie eine ihrer Websites besuchen, ihre Streaming-Plattform durchsuchen oder ihre Themenparks besuchen. Disneys Fähigkeit, solch detaillierte Benutzererlebnisse zu schaffen, basiert zu einem großen Teil auf ihrer Fähigkeit, relevante Daten zu sammeln und Ihr Erlebnis basierend auf Ihren Vorlieben und vergangenen Verhaltensweisen zu gestalten.

Dies wird alles in verständlicher Sprache in Disneys umfassender Datenschutzerklärung erklärt, die Abschnitte zu den Arten von persönlichen Daten, die sie sammeln, und mit wem sie diese teilen, enthält. Die Datenschutzerklärung enthält auch einen speziellen Abschnitt, der den Datenschutz für Kinder und die Rechte der Eltern erklärt.

Disney geht auch noch einen Schritt weiter, um seine Datenschutzerklärung einer allgemeinen Öffentlichkeit zugänglich zu machen, indem sie rechtliche Begriffe wie „Datenverantwortlicher“ und „persönliche Informationen“ verlinken und eine einfache Definition bereitstellen.

4. Google

Egal ob Sie die Google-Suche nur gelegentlich nutzen oder eine ganze Suite von Google-Apps und -Geräten in Ihrem Zuhause haben, ist Googles Datenschutzerklärung so gestaltet, dass sie Benutzern aller Niveaus hilft, zu verstehen, wie ihre persönlichen Daten gesammelt und verarbeitet werden.

Datenschutzerklärungen können für unerfahrene Leser entmutigend sein, und es ist klar, dass Google sich einige Gedanken gemacht hat, um Benutzern zu helfen, ihre Datenschutzerklärung zu navigieren und zu verstehen. Sie enthält ein Inhaltsverzeichnis, damit Leser leicht zwischen den Abschnitten springen können, sowie Links zu anderen wichtigen Richtlinien, einschließlich der Nutzungsbedingungen von Google.

Google enthält auch hilfreiche Videoausschnitte in ihrer Datenschutzerklärung, die schnell Schlüsselkonzepte erklären, wie was die Datenschutzerklärung ist, warum Google Benutzerdaten sammelt und welche Rechte Benutzer über ihre persönlichen Daten haben.

5. Meta

Metas Datenschutzerklärung ist ähnlich wie die von Google, mit einem Inhaltsverzeichnis zur einfachen Navigation und erklärenden Videos über die gesamte Seite verteilt. Wie Disney enthält sie auch Popup-Links, die wichtige Fragen beantworten und grundlegende Datenschutzkonzepte in Laienbegriffen erklären.

Dieses Layout erleichtert es Benutzern, Metas generellen Ansatz auf Datenschutz zu verstehen und schnell Antworten auf spezifische Fragen zu finden, während „Mehr erfahren“-Links interessierte Leser tiefer in die Details von Metas Datenschutzpraktiken eintauchen lassen.

Eine Sache, die Meta besonders gut macht, sind spezifische „Übernehmen Sie die Kontrolle“-Hinweise, die es Benutzern leicht machen, ihre Datenschutzrechte auszuüben.

Hilfe erhalten bei der Überprüfung und Aufrechterhaltung der DSGVO-Konformität

Zu wissen, dass Ihre Richtlinien und Verfahren den DSGVO-Anforderungen entsprechen, kann schwierig sein, insbesondere wenn Sie versuchen, sie von Grund auf neu zu erstellen.

Mit Secureframe erhalten Sie Zugang zu einer Bibliothek von Richtlinienschablonen, die von ehemaligen Prüfern und Compliance-Experten überprüft wurden. Sie erhalten DSGVO-Schulungen für Mitarbeiter, sparen Zeit durch automatisierte Beweiserhebung und bleiben mit den neuesten DSGVO-Anforderungen auf dem Laufenden. Unser Expertenteam informiert Sie auch über Änderungen in den Vorschriften, damit Sie konform bleiben können.

Um mehr zu erfahren, vereinbaren Sie eine Demo unserer Sicherheits- und Compliance-Automatisierungsplattform.