Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union ist darauf ausgelegt, den Einwohnern der EU zu helfen, fundierte Entscheidungen darüber zu treffen, wie ihre personenbezogenen Daten gesammelt und verwendet werden.
Deshalb ist ein Datenschutzhinweis ein wichtiger Weg, um Kunden darüber zu informieren, wie Ihre Organisation deren Daten sammelt und verwendet, und ein wichtiger Schritt, um DSGVO-konform zu werden.
Was ist ein Datenschutz-Hinweis gemäß DSGVO?
Ihr Datenschutzhinweis ist ein externes Dokument, das Nutzern und Kunden erklärt, wie Ihr Unternehmen deren private personenbezogene Daten sammelt, wie Sie diese verarbeiten, mit wem Sie sie teilen und zu welchen Zwecken.
Ein Datenschutzhinweis oder eine Art Erklärung, die die Datenschutzpraktiken einer Organisation in klarer Sprache erläutert, ist nach der DSGVO erforderlich. Dieser Hinweis muss den Nutzern auch die Möglichkeit geben, der Verarbeitung personenbezogener Daten zu widersprechen.
Da die DSGVO in erster Linie darauf abzielt, den Verbrauchern mehr Einblicke und Kontrolle darüber zu geben, wer ihre Daten sammelt und warum, muss dieser Hinweis "leicht zugänglich" sein. Viele Organisationen stellen ihn auf ihre Website, um diese Anforderung zu erfüllen.
Es ist wichtig zu beachten, dass ein Datenschutzhinweis anders ist als eine Datenschutzrichtlinie, obwohl diese Begriffe oft synonym verwendet werden.
Die DSGVO erfordert keine formale interne Datenschutzrichtlinie, die regelt, wie Ihr Team mit personenbezogenen Daten umgeht. Es ist jedoch eine gute Idee, diese Art von Richtlinie zu erstellen und sie den Mitarbeitern zur Verfügung zu stellen, um zu erläutern, wie personenbezogene Daten gehandhabt und geschützt werden sollten, um DSGVO-konform zu sein.
Anforderungen an Datenschutz-Hinweise gemäß DSGVO
Laut den Anforderungen der DSGVO muss ein Datenschutzhinweis knapp, transparent, verständlich und leicht zugänglich sowie in klarer und einfacher Sprache verfasst sein.
Eine gängige Praxis ist es, den Datenschutzhinweis an einer gut sichtbaren Stelle auf Ihrer Website zu verlinken, z. B. im Footer - und überall dort, wo Sie persönliche Informationen wie Namen und Kontaktdaten sammeln.
Die DSGVO enthält auch Anforderungen an die Informationen, die in einem Datenschutzhinweis enthalten sein müssen. Obwohl diese geringfügig variieren können, je nachdem, ob eine Organisation ihre Daten direkt von einer Person sammelt oder sie als Dritte erhält, behandelt ein Datenschutzhinweis in der Regel:
- Genau welche Kategorien von personenbezogenen Daten Sie sammeln
- Warum Sie personenbezogene Nutzerdaten sammeln (Ihre Rechtsgrundlage oder rechtliche Grundlage gemäß DSGVO)
- Wie Sie personenbezogene Daten sammeln, einschließlich ob Sie der Datenverantwortliche oder Datenverarbeiter (oder beides) sind
- Wie Sie die gesammelten personenbezogenen Daten verwenden werden (z. B. zu Marketingzwecken), wie lange sie gespeichert werden und wie Sie sie entsorgen werden
- Wie Nutzer der Verarbeitung widersprechen und/oder die Löschung ihrer personenbezogenen Daten verlangen können, einschließlich einer Telefonnummer oder Adresse, die sie zur Kontaktaufnahme nutzen können.
Richtlinien für Datenschutz-Hinweise gemäß DSGVO
Die Europäische Kommission (EK) hat einige Richtlinien veröffentlicht, um Organisationen bei der Erstellung DSGVO-konformer Datenschutzhinweise zu unterstützen. Im Folgenden sind einige dieser Tipps aufgeführt:
- Vermeiden Sie die Verwendung von Qualifikatoren wie „kann“, „könnte“, „einige“ und „oft“
- Verwenden Sie die aktive Form
- Verwenden Sie Aufzählungspunkte, um wichtige Inhalte hervorzuheben
- Vermeiden Sie komplexe Satzstrukturen
- Vermeiden Sie juristischen und technischen Jargon
Die EK hat einige Beispiele für klare Sprache aufgenommen, die in einem Datenschutzhinweis verwendet werden sollte, sowie unklare Sprache, die vermieden werden sollte.
- Klar: „Wir werden Ihre Einkaufshistorie speichern und Details zu den von Ihnen zuvor gekauften Produkten verwenden, um Ihnen Vorschläge für andere Produkte zu machen, von denen wir glauben, dass Sie auch daran interessiert sein werden.“
- Unklar: „Wir können Ihre personenbezogenen Daten verwenden, um neue Dienste zu entwickeln.“
Schauen wir uns nun einige tatsächliche Datenschutzhinweise an, die heute auf Websites zu finden sind.
Beispiele für DSGVO-Datenschutzhinweise
Wann immer Sie eine neue Richtlinie für Ihr Unternehmen erstellen, kann es besonders hilfreich sein, Beispiele dafür zu sehen, wie andere Organisationen es gemacht haben. Im Folgenden teilen wir einige Beispiele für Datenschutzhinweise, die Ihnen als Inspiration für das Schreiben Ihrer eigenen dienen können.
The Walt Disney Company
The Walt Disney Company ist bekannt für ihr Maß an Personalisierung – egal, ob Sie eine ihrer Websites ansehen, ihre Streaming-Plattform durchsuchen oder ihre Themenparks besuchen. Disneys Fähigkeit, solche detaillierten Benutzererlebnisse zu schaffen, basiert zu einem großen Teil auf ihrer Fähigkeit, relevante Daten zu sammeln und Ihr Erlebnis basierend auf Ihren Vorlieben und vergangenen Verhaltensweisen anzupassen.
Dies wird in einfacher Sprache in Disneys umfassendem Datenschutzhinweis erklärt, der Abschnitte über die Arten von personenbezogenen Daten, die sie sammeln, und mit wem sie diese teilen, enthält. Der Datenschutzhinweis enthält auch einen spezifischen Abschnitt, der Datenschutzmaßnahmen für Kinder und die Rechte der Eltern erklärt.
Disney geht auch noch einen Schritt weiter, um seinen Datenschutzhinweis für ein allgemeines Publikum zugänglich zu machen, indem es juristische Begriffe wie „Datenverantwortlicher“ und „personenbezogene Daten“ verlinkt und eine einfache Definition bereitstellt.
Egal, ob Sie die Google-Suche nur ab und zu verwenden oder eine ganze Reihe von Google-Apps und -Geräten zu Hause haben, Googles Datenschutzhinweis soll allen Nutzern helfen, zu verstehen, wie ihre personenbezogenen Daten gesammelt und verarbeitet werden.
Datenschutzrichtlinien können für unbedarfte Leser abschreckend sein, und es ist klar, dass Google sorgfältig darüber nachgedacht hat, den Nutzern zu helfen, ihren Datenschutzhinweis zu navigieren und zu verstehen. Er enthält ein Inhaltsverzeichnis, damit die Leser leicht zwischen den Abschnitten springen können, sowie Links zu anderen wichtigen Richtlinien, einschließlich der Google-Nutzungsbedingungen.
Google enthält auch hilfreiche Videoausschnitte in seinem Datenschutzhinweis, die schnell wichtige Konzepte erklären, wie was der Datenschutzhinweis ist, warum Google Nutzerdaten sammelt und welche Rechte Nutzer in Bezug auf ihre personenbezogenen Daten haben.
Meta
Metas Datenschutzzentrum ähnelt dem von Google, mit einem Inhaltsverzeichnis zur einfachen Navigation und erklärenden Videos, die über die Seite verteilt sind. Wie Disney enthält es auch Pop-up-Links, die wichtige Fragen beantworten und zentrale Datenschutzkonzepte in Laiensprache erklären.
Dieses Layout erleichtert es den Nutzern, Metas gesamten Ansatz zum Datenschutz zu verstehen und schnell Antworten auf spezifische Fragen zu finden, während „Mehr erfahren“-Links interessierten Lesern ermöglichen, tiefer in die Einzelheiten von Metas Datenschutzpraktiken einzutauchen.
Etwas, das Meta besonders gut macht, ist die Aufnahme spezifischer „Kontrollmöglichkeiten“-Hinweise, die es den Nutzern erleichtern, ihre Datenschutzrechte auszuüben.
FAQs
Wann müssen Sie die Datenschutzerklärung bereitstellen?
Wenn Ihre Organisation in den Anwendungsbereich der DSGVO fällt, müssen Sie eine Datenschutzerklärung oder eine andere Art von Erklärung bereitstellen, die die Datenschutzpraktiken Ihrer Organisation in klarer Sprache erklärt und den Benutzern die Möglichkeit gibt, der Verarbeitung personenbezogener Daten zu widersprechen. Diese Informationen sind schriftlich oder auf andere Weise bereitzustellen, einschließlich auf elektronischem Wege oder mündlich, wenn sie von der betroffenen Person gewünscht werden.
Wer muss eine Datenschutzerklärung erhalten?
Laut DSGVO sollte eine Datenschutzerklärung für jede betroffene Person "leicht zugänglich" sein. Um dies zu gewährleisten, veröffentlichen viele Organisationen sie auf ihrer Website.
Was gibt eine Datenschutzerklärung bekannt?
Eine Datenschutzerklärung gibt bekannt, wie Ihr Unternehmen private persönliche Daten sammelt, wie Sie sie verarbeiten, mit wem Sie sie teilen und zu welchen Zwecken. Genauer gesagt, wenn eine Organisation Informationen direkt von Einzelpersonen sammelt, muss ihre Erklärung Folgendes offenlegen:
- Die Identität und die Kontaktdaten der Organisation und gegebenenfalls ihres Vertreters und Datenschutzbeauftragten
- Die Rechtsgrundlage und die beabsichtigten Zwecke der Datenverarbeitung
- Die berechtigten Interessen der Organisation (oder eines Dritten, falls zutreffend)
- Jegliche Empfänger oder Kategorien von Empfängern der Daten einer Person
- Die Einzelheiten zur Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation
- Die Aufbewahrungsdauer der Daten, falls möglich
- Das Bestehen von Rechten der betroffenen Person
- Das Recht, die Einwilligung jederzeit zu widerrufen (falls relevant)
- Das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen
- Ob die Bereitstellung personenbezogener Daten Teil einer gesetzlichen oder vertraglichen Anforderung oder Verpflichtung ist und die möglichen Folgen der Nichtbereitstellung der personenbezogenen Daten in diesem Fall
- Das Bestehen eines automatisierten Entscheidungssystems
Wenn eine Organisation personenbezogene Daten indirekt erhebt, muss ihre Datenschutzerklärung dieselben Informationen offenlegen, mit Ausnahme der Frage, ob die Bereitstellung personenbezogener Daten Teil einer gesetzlichen oder vertraglichen Anforderung oder Verpflichtung ist. Stattdessen muss sie die Kategorien der erhobenen personenbezogenen Daten hinzufügen.