DSGVO Datenschutzrichtlinie
Die Datenschutz-Grundverordnung (DSGVO) ist eine EU-Gesetzgebung, die den EU-Bürgern mehr Kontrolle über ihre Daten geben soll. Nach dieser Verordnung müssen Organisationen, die mit Daten von EU-Bürgern umgehen, Daten- und Datenschutzbestimmungen einhalten.
Eine der wichtigsten Anforderungen und Änderungen besteht darin, dass Ihre Datenschutzrichtlinie (auch Datenschutzerklärung genannt) aktualisiert werden muss, um die DSGVO-Anforderungen zu berücksichtigen. In einigen Fällen kann es erforderlich sein, dass Sie eine Aktualisierungsmitteilung über Änderungen Ihrer Datenschutzrichtlinie versenden bzw. veröffentlichen.
Dieser Beitrag soll Sie besser mit der DSGVO vertraut machen und Ihnen zeigen, wie Ihre Datenschutzrichtlinie im Hinblick auf die DSGVO aussehen sollte.
- 1. Was ist die DSGVO und warum sind Sie zu ihrer Einhaltung verpflichtet?
- 2. Ihre DSGVO-konforme Datenschutzrichtlinie
- 2.1. Wer Ihr Datenverantwortlicher ist und Kontaktangaben
- 2.2. Wer Ihr Datenschutzbeauftragter ist und Kontaktangaben
- 2.3. Ob Sie Daten verwenden, um automatisierte Entscheidungen zu treffen
- 2.4. Informieren Sie die Benutzer über die 8 Rechte, die sie gemäß der DSGVO haben
- 2.5. Ob Sie Daten international übermitteln
- 2.6. Was Ihre Rechtsgrundlage für die Verarbeitung der Daten ist
- 3. So holen Sie eine Einwilligung ein
- 4. Schluss
Was ist die DSGVO und warum sind Sie zu ihrer Einhaltung verpflichtet?
Die DSGVO ist eine neue Daten- und Datenschutzgesetzgebung, die vom Europäischen Parlament und dem Rat zum Schutz der Datenrechte der EU-Bürger entwickelt wurde. Alle Unternehmen (einschließlich Websites, Mobile- und Desktop-Apps usw.), die Geschäfte mit EU-Bürgern tätigen, sind von dieser Verordnung betroffen.
Am 25. Mai 2018 löste die DSGVO das bestehende Datenschutzrecht, nämlich die seit 1995 geltende Datenschutzrichtlinie, ab. Wenn Ihr Unternehmen Daten von EU-Bürgern erhebt oder verarbeitet, sind Sie verpflichtet, diese Verordnung einzuhalten. Bei Nichteinhaltung drohen saftige Geldstrafen von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes, je nachdem, welcher Wert höher ist.
Sinn und Zweck der DSGVO ist es, die EU-Bürger darüber zu informieren, wie Unternehmen ihre personenbezogenen Daten sammeln, nutzen, weitergeben, schützen und verarbeiten.
Gemäß der DSGVO sind Sie verpflichtet, Ihre Kunden darüber zu informieren, warum Sie ihre Daten verarbeiten und wie lange Sie sie speichern werden. Sie müssen sie klar und unmissverständlich darüber aufklären, wie Sie ihre Daten verwenden. All diese Informationen müssen kostenlos zur Verfügung gestellt werden. Handelt es sich bei den Nutzern um Kinder, sind Sie verpflichtet, in Worten zu informieren, die sie verstehen können - nicht in Juristensprache.
Die einfachste Art und Weise, transparent zu bleiben und Ihre Nutzer zu informieren, ist über Ihre Datenschutzrichtlinie.
Ihre DSGVO-konforme Datenschutzrichtlinie
Gemäß DSGVO sind Sie verpflichtet, eine umfassende und dennoch einfache Datenschutzrichtlinie zu erstellen und diese Ihren Nutzern zugänglich zu machen.
Vor der DSGVO war es allgemein üblich und wurde erwartet, dass die meisten Datenschutzrichtlinien die folgenden Informationen enthielten:
- Welche personenbezogenen Daten Sie erheben
- Wie Sie sie erheben
- Wofür Sie sie verwenden
- Wie Sie sie schützen
- Ob Sie sie an Dritte weitergeben
- Etwaige Kontrollen, die der Nutzer über diese Aspekte hat
Nun aber hat die DSGVO die Anforderungen an den Inhalt Ihrer Datenschutzrichtlinie erhöht.
Need a Privacy Policy? Our Privacy Policy Generator will help you create a custom policy that you can use on your website and mobile app. Just follow these few easy steps:
- Click on "Start creating your Privacy Policy" on our website.
- Select the platforms where your Privacy Policy will be used and go to the next step.
- Add information about your business: your website and/or app.
- Select the country:
- Answer the questions from our wizard relating to what type of information you collect from your users.
-
Enter your email address where you'd like your Privacy Policy sent and click "Generate".
And you're done! Now you can copy or link to your hosted Privacy Policy.
Wir wollen uns einige DSGVO-spezifische Aktualisierungen und Klauseln ansehen, die Ihre Datenschutzrichtlinie enthalten sollte.
Wer Ihr Datenverantwortlicher ist und Kontaktangaben
Ob Sie die Kontrolle über die personenbezogenen Daten Ihrer Kunden haben oder ob Sie diese für ein anderes Unternehmen verarbeiten, Sie müssen Ihre Kunden darüber informieren. Sagen Sie ihnen, wer Sie sind und was Ihre Funktion in Bezug auf ihre Daten ist.
In diesem Beispiel informiert Slack - ein Cloud-basiertes Unternehmen - seine Nutzer darüber, dass das in Irland ansässige Unternehmen die Daten autorisierter Nutzer von Kunden außerhalb der USA und Kanada kontrolliert und verarbeitet. Es weist auch darauf hin, dass sein in den USA ansässiges Unternehmen die Daten der autorisierten Nutzer von Kunden in den USA und Kanada kontrolliert und verarbeitet.
Und so sieht der Hinweis über eine angemessene Verarbeitung (Fair Processing Notice) von Towergate aus. Sie können eine entsprechende Klausel in Ihre Datenschutzrichtlinie aufnehmen:
Towergate sagt seinen Nutzern deutlich, dass das Unternehmen ihre Daten kontrolliert. Alle Daten, die Nutzer zur Verfügung stellen, werden bei Towergate gespeichert.
Wer Ihr Datenschutzbeauftragter ist und Kontaktangaben
Nicht jedes Unternehmen ist gemäß der DSGVO verpflichtet, einen Datenschutzbeauftragten (DSB) zu haben.
Wenn dies jedoch der Fall ist, müssen Sie Informationen darüber in Ihre Datenschutzrichtlinie aufnehmen, ebenso wie Kontaktangaben für den Datenschutzbeauftragten.
GitHub hat in seiner Datenschutzerklärung in einem Abschnitt über die Bearbeitung von Beschwerden eine Tabelle, in der die Kontaktdaten des DSB angegeben sind.
Ob Sie Daten verwenden, um automatisierte Entscheidungen zu treffen
Die DSGVO schreibt vor, dass Sie Ihre Kunden informieren müssen, wenn Sie automatisierte Entscheidungen (z. B. bei Bonitätsprüfungen oder zur Erstellung von Nutzerprofilen) verwenden, um Ihren Nutzern Dienstleistungen bzw. Produkte anzubieten.
So macht Towergate dies:
Informieren Sie die Benutzer über die 8 Rechte, die sie gemäß der DSGVO haben
Die DSGVO verlangt von Ihnen, dass Sie Ihre Nutzer über ihre 8 Rechte gemäß der DSGVO informieren, nämlich:
- Das Recht auf Inkenntnissetzung
- Das Recht auf Zugriff
- Das Recht auf Berichtigung
- Das Recht auf Löschung
- Das Recht auf Einschränkung der Verarbeitung
- Das Recht auf die Übertragbarkeit der Daten
- Das Recht auf Widerspruch
- Rechte in Bezug auf die automatisierte Entscheidungsfindung und Profiling
Sie können diese Rechte in einer ausführlichen Klausel innerhalb Ihrer Datenschutzrichtlinie berücksichtigen, wie Direct Travel es hier in seiner Richtlinie tut:
Oder Sie können jedes Recht in einer separaten Klausel mit individuelleren Angaben behandeln.
Hier noch ein Beispiel für eine Klausel von uSwitch die sich mit den Rechten der Nutzer unter der DSGVO befasst:
Switch informiert seine Kunden über ihr Recht, die Verarbeitung ihrer personenbezogenen Daten zu Marketingzwecken zu unterbinden. Dieses Recht kann der Nutzer durch Aktivieren oder Deaktivieren von Kontrollkästchen in Formularen bei der Erfassung seiner Daten oder später per E-Mail ausüben.
So informiert GameStop seine Nutzer über ihr Datenzugriffsrecht im Rahmen seiner Datenschutzrichtlinie:
Achten Sie darauf, dass Sie Datenschutzanfragen angemessen behandeln.
In seiner Datenschutzrichtlinie hat Twitter eine Übertragbarkeitsklausel, in der das Unternehmen erläutert, dass Nutzer einer Reihe von verlinkten Anweisungen folgen können, um die Informationen, die sie über die Website geteilt haben, herunterzuladen.
Twitter hat außerdem eine separate Klausel für den Zugriff auf und die Berichtigung von personenbezogenen Daten, mit der die Nutzer angewiesen werden, ihre personenbezogenen Daten direkt über die Kontoeinstellungsseite zu berichtigen.
Solange jedes der 8 Rechte irgendwo in Ihrer Datenschutzrichtlinie berücksichtigt wird, steht es Ihnen frei, wie Sie dies tun.
Ob Sie Daten international übermitteln
Wenn Sie Daten international übermitteln, müssen Sie dies in Ihrer Datenschutzrichtlinie erwähnen. Erwähnen Sie außerdem alle "Datenschutzmechanismen", die für Ihr Unternehmen gelten.
Debenhams veranschaulicht dies folgendermaßen:
Debenhams informiert seine Nutzer darüber, dass es Nutzerdaten an einen Dritten übermittelt, der außerhalb des Europäischen Wirtschaftsraums (EWR) ansässig ist. Das Unternehmen teilt seinen Kunden außerdem mit, dass es bei solchen Übermittlungen die Bestimmungen des britischen Data Protection Act 1998 einhalten wird.
Was Ihre Rechtsgrundlage für die Verarbeitung der Daten ist
Laut DSGVO müssen Sie eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten von Kunden angeben. Dabei können Sie die folgenden 6 Rechtsgrundlagen geltend machen:
- Die betroffene Person hat ihre Einwilligung in die Verarbeitung gegeben
- Die Verarbeitung ist für die Erfüllung eines Vertrags zwischen den beiden Parteien erforderlich
- Die Verarbeitung ist für die Erfüllung einer rechtlichen Verpflichtung erforderlich
- Die Verarbeitung ist zum Schutz der wesentlichen Interessen des Betroffenen erforderlich
- Die Verarbeitung ist erforderlich, um ein öffentliches Interesse zu schützen oder eine öffentliche Gewalt auszuüben
- Die Verarbeitung ist zur Wahrung berechtigter Interessen erforderlich, solange dies nicht gegen die Grundrechte und Grundfreiheiten verstößt
Wie Sie sehen können, ist es am einfachsten, die Einwilligung zur Verarbeitung personenbezogener Daten einzuholen, worauf in diesem Artikel gleich noch eingegangen wird.
Nummer 6 ist ebenfalls eine gängige Rechtsgrundlage, da der Begriff des "berechtigten Interesses" sehr weit gefasst ist.
Diese Angaben stehen üblicherweise in einer Klausel dazu "Wie wir die von uns erhobenen Daten verwenden", wie in diesem Beispiel von Trello:
Trello hat auch eine Klausel, die sich ausdrücklich mit den Rechtsgrundlagen für die Verarbeitung befasst (für Nutzer im EWR):
Zu Ihren Rechtsgrundlagen werden voraussichtlich berechtigte Interessen wie die Bereitstellung von Kundensupport, Marketing und andere allgemeine Geschäftsinteressen gehören. Erwähnen Sie dies in Ihrer Datenschutzrichtlinie, damit die Nutzer wissen, warum Sie ihre Daten erheben müssen.
Und, wie bereits erwähnt, ist es am besten, vor der Erhebung oder Verwendung personenbezogener Daten immer eine Einwilligung einzuholen.
So holen Sie eine Einwilligung ein
Die DSGVO schreibt vor, dass Sie, bevor Sie die personenbezogenen Daten Ihrer Endnutzer (wie Namen, Telefonnummern usw.) erfassen, deren eindeutige Einwilligung erfragen und einholen müssen. Falls die erhobenen Daten von sehr sensibler Natur sind (wie Kreditkartennummer, Sozialversicherungsnummer usw.), ist eine solche Einwilligung ausdrücklich einzuholen.
Außerdem müssen Sie die Nutzer zur Zustimmung zu den Bedingungen Ihrer Datenschutzrichtlinie bewegen.
Um die Zustimmung des Nutzers zu erhalten, wird empfohlen, Checkboxen (Kontrollkästchen) und Clickwrap zu verwenden. Im Folgenden finden Sie einige Beispiele, die zeigen, wie Sie die Einwilligung des Nutzers einholen können.
Sainsbury's verwendet eine Checkbox, um die Einwilligung der Nutzer zu erfragen, und stellt einen Link zur Seite mit den Allgemeinen Geschäftsbedingungen zur Verfügung. Das Unternehmen holt auch die Erlaubnis ein, andere Informationen an den Nutzer zu senden, und zwar mit einer einfachen Ja/Nein-Optionsschaltfläche.
The Data Protection Network zeigt die Allgemeinen Geschäftsbedingungen der Website in einer Scroll-Down-Seite mit einem direkt darunter platzierten Kontrollkästchen zur Einholung der Einwilligung des Nutzers an. Das Netzwerk verwendet eine intuitive Schaltfläche mit einem Häkchen/Kreuz, um die Einwilligung des Nutzers zum Senden von E-Mails einzuholen. Auf der gleichen Seite befindet sich auch ein Link zur Datenschutzrichtlinie.
Dies funktioniert auch für Apps. So verwendet die Adobe ID-App Clickwrap, um Nutzer dazu zu bringen, der Datenschutzrichtlinie bei der Anmeldung zuzustimmen:
Schluss
Auch wenn Sie wahrscheinlich bereits eine Datenschutzrichtlinie für Ihr Unternehmen, Ihre Website oder App haben, fordert die DSGVO Sie auf, diese zu überarbeiten und zu aktualisieren, um sie informativer und prägnanter zu gestalten und einige zusätzliche Angaben zu machen, die vorher nicht erforderlich waren.
Außerdem müssen Sie Ihre Einwilligungsanforderungen robuster gestalten, indem Sie Kontrollkästchen, Einverständnis-Schaltflächen und klaren Text um diese Funktionen herum verwenden, der die Nutzer darüber informiert, womit genau sie sich einverstanden erklären.