DSGVO Datenschutzrichtlinie

von Maria P.
DSGVO Datenschutzrichtlinie

Die Datenschutz-Grundverordnung (DSGVO) ist eine EU-Gesetzgebung, die den EU-Bürgern mehr Kontrolle über ihre Daten geben soll. Nach dieser Verordnung müssen Organisationen, die mit Daten von EU-Bürgern umgehen, Daten- und Datenschutzbestimmungen einhalten.

Eine der wichtigsten Anforderungen und Änderungen besteht darin, dass Ihre Datenschutzrichtlinie (auch Datenschutzerklärung genannt) aktualisiert werden muss, um die DSGVO-Anforderungen zu berücksichtigen. In einigen Fällen kann es erforderlich sein, dass Sie eine Aktualisierungsmitteilung über Änderungen Ihrer Datenschutzrichtlinie versenden bzw. veröffentlichen.

Dieser Beitrag soll Sie besser mit der DSGVO vertraut machen und Ihnen zeigen, wie Ihre Datenschutzrichtlinie im Hinblick auf die DSGVO aussehen sollte.


Was ist die DSGVO und warum sind Sie zu ihrer Einhaltung verpflichtet?

Die DSGVO ist eine neue Daten- und Datenschutzgesetzgebung, die vom Europäischen Parlament und dem Rat zum Schutz der Datenrechte der EU-Bürger entwickelt wurde. Alle Unternehmen (einschließlich Websites, Mobile- und Desktop-Apps usw.), die Geschäfte mit EU-Bürgern tätigen, sind von dieser Verordnung betroffen.

Am 25. Mai 2018 löste die DSGVO das bestehende Datenschutzrecht, nämlich die seit 1995 geltende Datenschutzrichtlinie, ab. Wenn Ihr Unternehmen Daten von EU-Bürgern erhebt oder verarbeitet, sind Sie verpflichtet, diese Verordnung einzuhalten. Bei Nichteinhaltung drohen saftige Geldstrafen von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes, je nachdem, welcher Wert höher ist.

Sinn und Zweck der DSGVO ist es, die EU-Bürger darüber zu informieren, wie Unternehmen ihre personenbezogenen Daten sammeln, nutzen, weitergeben, schützen und verarbeiten.

Gemäß der DSGVO sind Sie verpflichtet, Ihre Kunden darüber zu informieren, warum Sie ihre Daten verarbeiten und wie lange Sie sie speichern werden. Sie müssen sie klar und unmissverständlich darüber aufklären, wie Sie ihre Daten verwenden. All diese Informationen müssen kostenlos zur Verfügung gestellt werden. Handelt es sich bei den Nutzern um Kinder, sind Sie verpflichtet, in Worten zu informieren, die sie verstehen können - nicht in Juristensprache.

DSGVO Info: Vollständiger Text von Erwägungsgrund 58: Grundsatz der Transparenz

Die einfachste Art und Weise, transparent zu bleiben und Ihre Nutzer zu informieren, ist über Ihre Datenschutzrichtlinie.

Ihre DSGVO-konforme Datenschutzrichtlinie

Gemäß DSGVO sind Sie verpflichtet, eine umfassende und dennoch einfache Datenschutzrichtlinie zu erstellen und diese Ihren Nutzern zugänglich zu machen.

Vor der DSGVO war es allgemein üblich und wurde erwartet, dass die meisten Datenschutzrichtlinien die folgenden Informationen enthielten:

  • Welche personenbezogenen Daten Sie erheben
  • Wie Sie sie erheben
  • Wofür Sie sie verwenden
  • Wie Sie sie schützen
  • Ob Sie sie an Dritte weitergeben
  • Etwaige Kontrollen, die der Nutzer über diese Aspekte hat

Nun aber hat die DSGVO die Anforderungen an den Inhalt Ihrer Datenschutzrichtlinie erhöht.

Need a Privacy Policy? Our Privacy Policy Generator will help you create a custom policy that you can use on your website and mobile app. Just follow these few easy steps:

  1. Click on "Start creating your Privacy Policy" on our website.
  2. Select the platforms where your Privacy Policy will be used and go to the next step.
  3. PrivacyPolicies.com: Privacy Policy Generator - Select platforms - Step 1

  4. Add information about your business: your website and/or app.
  5. PrivacyPolicies.com: Privacy Policy Generator - Add your business info - Step 2

  6. Select the country:
  7. PrivacyPolicies.com: Privacy Policy Generator - Add your business info - Step 2

  8. Answer the questions from our wizard relating to what type of information you collect from your users.
  9. PrivacyPolicies.com: Privacy Policy Generator - Answer questions from our wizard - Step 3

  10. Enter your email address where you'd like your Privacy Policy sent and click "Generate".

    PrivacyPolicies.com: Privacy Policy Generator - Enter your email address - Step 4

    And you're done! Now you can copy or link to your hosted Privacy Policy.

Wir wollen uns einige DSGVO-spezifische Aktualisierungen und Klauseln ansehen, die Ihre Datenschutzrichtlinie enthalten sollte.

Wer Ihr Datenverantwortlicher ist und Kontaktangaben

Ob Sie die Kontrolle über die personenbezogenen Daten Ihrer Kunden haben oder ob Sie diese für ein anderes Unternehmen verarbeiten, Sie müssen Ihre Kunden darüber informieren. Sagen Sie ihnen, wer Sie sind und was Ihre Funktion in Bezug auf ihre Daten ist.

In diesem Beispiel informiert Slack - ein Cloud-basiertes Unternehmen - seine Nutzer darüber, dass das in Irland ansässige Unternehmen die Daten autorisierter Nutzer von Kunden außerhalb der USA und Kanada kontrolliert und verarbeitet. Es weist auch darauf hin, dass sein in den USA ansässiges Unternehmen die Daten der autorisierten Nutzer von Kunden in den USA und Kanada kontrolliert und verarbeitet.

Slack Datenschutzrichtlinie Datenschutzbeauftragter und Klauseln zur Nennung des Verantwortlichen und Auftragsverarbeiters

Und so sieht der Hinweis über eine angemessene Verarbeitung (Fair Processing Notice) von Towergate aus. Sie können eine entsprechende Klausel in Ihre Datenschutzrichtlinie aufnehmen:

Towergate Hinweis über die angemessene Verarbeitung: Wer wir sind-Klausel: DSGVO Datenverantwortlicher Kontaktangaben

Towergate sagt seinen Nutzern deutlich, dass das Unternehmen ihre Daten kontrolliert. Alle Daten, die Nutzer zur Verfügung stellen, werden bei Towergate gespeichert.

Wer Ihr Datenschutzbeauftragter ist und Kontaktangaben

Nicht jedes Unternehmen ist gemäß der DSGVO verpflichtet, einen Datenschutzbeauftragten (DSB) zu haben.

Wenn dies jedoch der Fall ist, müssen Sie Informationen darüber in Ihre Datenschutzrichtlinie aufnehmen, ebenso wie Kontaktangaben für den Datenschutzbeauftragten.

GitHub hat in seiner Datenschutzerklärung in einem Abschnitt über die Bearbeitung von Beschwerden eine Tabelle, in der die Kontaktdaten des DSB angegeben sind.

GitHub Datenschutzerklärung: Beschwerdebearbeitungsklausel mit DSB-Kontaktangaben

Ob Sie Daten verwenden, um automatisierte Entscheidungen zu treffen

Die DSGVO schreibt vor, dass Sie Ihre Kunden informieren müssen, wenn Sie automatisierte Entscheidungen (z. B. bei Bonitätsprüfungen oder zur Erstellung von Nutzerprofilen) verwenden, um Ihren Nutzern Dienstleistungen bzw. Produkte anzubieten.

So macht Towergate dies:

Towergate Hinweis über die angemessene Verarbeitung: Teil Ihre Rechte: Automatisierte Entscheidungen: DSGVO

Informieren Sie die Benutzer über die 8 Rechte, die sie gemäß der DSGVO haben

Die DSGVO verlangt von Ihnen, dass Sie Ihre Nutzer über ihre 8 Rechte gemäß der DSGVO informieren, nämlich:

  1. Das Recht auf Inkenntnissetzung
  2. Das Recht auf Zugriff
  3. Das Recht auf Berichtigung
  4. Das Recht auf Löschung
  5. Das Recht auf Einschränkung der Verarbeitung
  6. Das Recht auf die Übertragbarkeit der Daten
  7. Das Recht auf Widerspruch
  8. Rechte in Bezug auf die automatisierte Entscheidungsfindung und Profiling

Sie können diese Rechte in einer ausführlichen Klausel innerhalb Ihrer Datenschutzrichtlinie berücksichtigen, wie Direct Travel es hier in seiner Richtlinie tut:

Direct Travel Datenschutzrichtlinie: Klausel Rechte Betroffener: DSGVO

Oder Sie können jedes Recht in einer separaten Klausel mit individuelleren Angaben behandeln.

Hier noch ein Beispiel für eine Klausel von uSwitch die sich mit den Rechten der Nutzer unter der DSGVO befasst:

uSwitch Datenschutzrichtlinie: Ihre Rechte Klausel: DSGVO

Switch informiert seine Kunden über ihr Recht, die Verarbeitung ihrer personenbezogenen Daten zu Marketingzwecken zu unterbinden. Dieses Recht kann der Nutzer durch Aktivieren oder Deaktivieren von Kontrollkästchen in Formularen bei der Erfassung seiner Daten oder später per E-Mail ausüben.

So informiert GameStop seine Nutzer über ihr Datenzugriffsrecht im Rahmen seiner Datenschutzrichtlinie:

GameStop Datenschutzrichtlinie: Klausel über Zugriff, Änderung oder Ergänzung Ihrer personenbezogenen Daten

Achten Sie darauf, dass Sie Datenschutzanfragen angemessen behandeln.

In seiner Datenschutzrichtlinie hat Twitter eine Übertragbarkeitsklausel, in der das Unternehmen erläutert, dass Nutzer einer Reihe von verlinkten Anweisungen folgen können, um die Informationen, die sie über die Website geteilt haben, herunterzuladen.

Twitter Datenschutzrichtlinie: Übertragbarkeitsklausel

Twitter hat außerdem eine separate Klausel für den Zugriff auf und die Berichtigung von personenbezogenen Daten, mit der die Nutzer angewiesen werden, ihre personenbezogenen Daten direkt über die Kontoeinstellungsseite zu berichtigen.

Twitter Datenschutzrichtlinie: Klausel über Zugriff oder Berichtigung Ihrer personenbezogenen Daten

Solange jedes der 8 Rechte irgendwo in Ihrer Datenschutzrichtlinie berücksichtigt wird, steht es Ihnen frei, wie Sie dies tun.

Ob Sie Daten international übermitteln

Wenn Sie Daten international übermitteln, müssen Sie dies in Ihrer Datenschutzrichtlinie erwähnen. Erwähnen Sie außerdem alle "Datenschutzmechanismen", die für Ihr Unternehmen gelten.

Debenhams veranschaulicht dies folgendermaßen:

Debenhams Datenschutzrichtlinie: Klausel über internationale Übertragung von Daten

Debenhams informiert seine Nutzer darüber, dass es Nutzerdaten an einen Dritten übermittelt, der außerhalb des Europäischen Wirtschaftsraums (EWR) ansässig ist. Das Unternehmen teilt seinen Kunden außerdem mit, dass es bei solchen Übermittlungen die Bestimmungen des britischen Data Protection Act 1998 einhalten wird.

Was Ihre Rechtsgrundlage für die Verarbeitung der Daten ist

Laut DSGVO müssen Sie eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten von Kunden angeben. Dabei können Sie die folgenden 6 Rechtsgrundlagen geltend machen:

  1. Die betroffene Person hat ihre Einwilligung in die Verarbeitung gegeben
  2. Die Verarbeitung ist für die Erfüllung eines Vertrags zwischen den beiden Parteien erforderlich
  3. Die Verarbeitung ist für die Erfüllung einer rechtlichen Verpflichtung erforderlich
  4. Die Verarbeitung ist zum Schutz der wesentlichen Interessen des Betroffenen erforderlich
  5. Die Verarbeitung ist erforderlich, um ein öffentliches Interesse zu schützen oder eine öffentliche Gewalt auszuüben
  6. Die Verarbeitung ist zur Wahrung berechtigter Interessen erforderlich, solange dies nicht gegen die Grundrechte und Grundfreiheiten verstößt

Wie Sie sehen können, ist es am einfachsten, die Einwilligung zur Verarbeitung personenbezogener Daten einzuholen, worauf in diesem Artikel gleich noch eingegangen wird.

Nummer 6 ist ebenfalls eine gängige Rechtsgrundlage, da der Begriff des "berechtigten Interesses" sehr weit gefasst ist.

Diese Angaben stehen üblicherweise in einer Klausel dazu "Wie wir die von uns erhobenen Daten verwenden", wie in diesem Beispiel von Trello:

Trello Datenschutzrichtlinie: Auszug aus Klausel über erhobene Daten in Bezug auf rechtmäßige Interessen, Sicherheit und Einwilligung

Trello hat auch eine Klausel, die sich ausdrücklich mit den Rechtsgrundlagen für die Verarbeitung befasst (für Nutzer im EWR):

Trello Datenschutzrichtlinie: Klausel über Rechtsgrundlagen für die Verarbeitung für EWR-Nutzer

Zu Ihren Rechtsgrundlagen werden voraussichtlich berechtigte Interessen wie die Bereitstellung von Kundensupport, Marketing und andere allgemeine Geschäftsinteressen gehören. Erwähnen Sie dies in Ihrer Datenschutzrichtlinie, damit die Nutzer wissen, warum Sie ihre Daten erheben müssen.

Und, wie bereits erwähnt, ist es am besten, vor der Erhebung oder Verwendung personenbezogener Daten immer eine Einwilligung einzuholen.

So holen Sie eine Einwilligung ein

Die DSGVO schreibt vor, dass Sie, bevor Sie die personenbezogenen Daten Ihrer Endnutzer (wie Namen, Telefonnummern usw.) erfassen, deren eindeutige Einwilligung erfragen und einholen müssen. Falls die erhobenen Daten von sehr sensibler Natur sind (wie Kreditkartennummer, Sozialversicherungsnummer usw.), ist eine solche Einwilligung ausdrücklich einzuholen.

Außerdem müssen Sie die Nutzer zur Zustimmung zu den Bedingungen Ihrer Datenschutzrichtlinie bewegen.

Um die Zustimmung des Nutzers zu erhalten, wird empfohlen, Checkboxen (Kontrollkästchen) und Clickwrap zu verwenden. Im Folgenden finden Sie einige Beispiele, die zeigen, wie Sie die Einwilligung des Nutzers einholen können.

Sainsbury's verwendet eine Checkbox, um die Einwilligung der Nutzer zu erfragen, und stellt einen Link zur Seite mit den Allgemeinen Geschäftsbedingungen zur Verfügung. Das Unternehmen holt auch die Erlaubnis ein, andere Informationen an den Nutzer zu senden, und zwar mit einer einfachen Ja/Nein-Optionsschaltfläche.

Anmeldeformular von Sainsbury's mit Clickwrap-Einwilligung für AGB und Kontakterlaubnis

The Data Protection Network zeigt die Allgemeinen Geschäftsbedingungen der Website in einer Scroll-Down-Seite mit einem direkt darunter platzierten Kontrollkästchen zur Einholung der Einwilligung des Nutzers an. Das Netzwerk verwendet eine intuitive Schaltfläche mit einem Häkchen/Kreuz, um die Einwilligung des Nutzers zum Senden von E-Mails einzuholen. Auf der gleichen Seite befindet sich auch ein Link zur Datenschutzrichtlinie.

The Data Protection Network: Anmeldeformular mit Clickwrap-Einwilligung für ABG und Beitritt zur Mailingliste

Dies funktioniert auch für Apps. So verwendet die Adobe ID-App Clickwrap, um Nutzer dazu zu bringen, der Datenschutzrichtlinie bei der Anmeldung zuzustimmen:

Adobe ID Anmeldebildschirm: Clickwrap-Beispiel mit Zustimmung zu AGB

Schluss

Auch wenn Sie wahrscheinlich bereits eine Datenschutzrichtlinie für Ihr Unternehmen, Ihre Website oder App haben, fordert die DSGVO Sie auf, diese zu überarbeiten und zu aktualisieren, um sie informativer und prägnanter zu gestalten und einige zusätzliche Angaben zu machen, die vorher nicht erforderlich waren.

Außerdem müssen Sie Ihre Einwilligungsanforderungen robuster gestalten, indem Sie Kontrollkästchen, Einverständnis-Schaltflächen und klaren Text um diese Funktionen herum verwenden, der die Nutzer darüber informiert, womit genau sie sich einverstanden erklären.

Letzte Aktualisierung am 24 June 2021

Maria P.