Datenschutzerklärung erstellen: In 12 Schritten den Datenschutz optimieren.

Gemäß den Datenschutzgesetzen muss klar und transparent kommuniziert werden, welche Daten Sie verarbeiten, zu welchem Zweck und mit wem die Daten geteilt werden. Jeder Nutzer muss zudem verstehen, was seine Rechte sind. Deswegen sind Datenschutzerklärungen wichtig. Was genau Sie in Ihrer Datenschutzerklärung schreiben müssen, ist aber nicht immer leicht zu ermitteln. In diesem Artikel erfahren Sie, wie Sie in wenigen Schritten eine datenschutzkonforme und nutzerfreundliche Datenschutzerklärung erstellen können.
Ressourcen / Blog / Datenschutzerklärung erstellen: In 12 Schritten den Datenschutz optimieren.
Veröffentlicht von Usercentrics
Lesedauer: 16 Minuten
Dez 4, 2024

Laut dem Privacy and Consumer Trust Report 2023 der International Association of Privacy Professionals (IAPP) sind 68 Prozent der Nutzer etwas oder auch sehr besorgt über ihre Online-Privatsphäre. In der Studie wurden 5000 Menschen aus 19 Ländern befragt.

Diese Besorgnis teilen auch viele Aufsichts- und Verbraucherschutzbehörden. Daher werden die Auflagen für die Verwendung personenbezogener Daten immer strenger. Besonders wichtig ist dem Gesetzgeber und dem Verbraucherschutz, dass möglichst alles datenschutzrelevante klar kommuniziert wird. Je mehr der Verbraucher weiß, desto besser kann er sich auch schützen.

Aus diesem Grund ist eine umfassende Datenschutzerklärung für jedes Unternehmen mit digitaler Präsenz unverzichtbar. Diese hilft nicht nur dabei, die Anforderungen globaler Datenschutzvorschriften einzuhalten, sondern stärkt auch das Vertrauen der Kunden.

Wir wollen Ihnen einen Weg zeigen, der es Ihnen in 12 einfachen Schritten ermöglicht, eine wirksame Datenschutzerklärung zu verfassen. Diese soll nicht nur die gesetzlichen Anforderungen erfüllen, sondern auch kundenfreundlich sein. Unternehmen, die sich bewusst mit dem Datenschutz ihrer Nutzer auseinandersetzen, schaffen dadurch ein Fundament für eine langfristige Kundenbindung. 

Benötige ich eine Datenschutzerklärung auf meiner Website?

Wenn Ihre Organisation personenbezogene Daten erfasst und verarbeitet, einschließlich Kundennamen und E-Mail-Adressen, benötigen Sie eine Datenschutzerklärung auf Ihrer Website.

Datenschutzhinweise existieren weltweit, haben aber regional unterschiedliche Anforderungen. So unterscheiden sich die rechtlichen Grundlagen für die Datenverarbeitung und die Rechte der Bürger sehr. Fast alle Datenschutzgesetze verlangen allerdings, dass sich Nutzer über die Erfassung, Nutzung, Sicherheit und Rechte in Bezug auf Ihre Daten informieren können. 

So betont beispielsweise das Britische Information Commissioner’s Office: “Datenschutz ist die Verantwortung aller, daher benötigt jedes Unternehmen – egal wie klein – eine Datenschutzerklärung, wenn es personenbezogene Daten verarbeitet.”

Die Anforderungen einer Datenschutzerklärung sind nicht auf gewinnorientierte Unternehmen beschränkt, die mit personenbezogenen Daten arbeiten. Auch andere Organisationstypen, wie gemeinnützige Vereine oder staatliche Einrichtungen, müssen Datenschutzgesetze einhalten. Wenn Sie Daten verarbeiten und eine Website betreiben, lohnt es sich in jedem Fall eine Datenschutzerklärung zu erstellen.

Datenschutzerklärungen sind durch Datenschutzgesetze vorgeschrieben, wie der Datenschutz-Grundverordnung (DSGVO), dem brasilianischen Datenschutzgesetz (LGPD) und bundesstaatlichen Datenschutzgesetzen in den USA, wie dem California Consumer Privacy Act (CCPA). 

Zum Beispiel erfordert das Gesundheitswesen und der Finanzdienstleistungssektor  strenge Richtlinien und Verfahren im Umgang mit Daten und deren Sicherheit, da sie mit sensiblen personenbezogenen Daten arbeiten, die unter zahlreichen Datenschutzgesetzen spezielle Schutzmaßnahmen erfordern. Ein Beispiel dafür ist der Health Insurance Portability and Accountability Act (HIPAA) in den USA.

Doch eine umfassende Datenschutzerklärung zu erstellen und aktuell zu halten ist nicht nur aus rechtlicher Sicht sinnvoll. Klarheit und Transparenz im Umgang mit Daten und deren Sicherheit zu schaffen stärkt Ihre Marke und fördert das Vertrauen der Verbraucher. Nutzern wird es leicht gemacht, mit einer Organisation in Kontakt zu treten und ihre Rechte auszuüben.

Die regelmäßige Aktualisierung der Datenschutzhinweise erfolgt durch regelmäßige Überprüfungen der Unternehmen hinsichtlich der gespeicherten Daten, verwendeten Technologien und anderen Bedingungen.

Welche Informationen muss eine Datenschutzerklärung enthalten? (H2)

Die Anforderungen an Datenschutzerklärungen sind unter den Datenschutzbestimmungen recht einheitlich. Dabei ist wichtig, dass Organisationen die spezifischen Anforderungen der für sie relevanten Gesetze erkennen.

Grundsätzlich muss Ihre Datenschutzerklärung leicht zugänglich und in verständlicher Sprache verfasst sein. Es sollte Nutzern grundsätzlich einfach gemacht werden, die Inhalte der Datenschutzerklärung zu verstehen.

Allgemein sollte eine Datenschutzerklärung die folgenden Inhalte umfassen:

  • Identität und Kontaktdaten des Verantwortlichen (in der Regel der Website-Betreiber)
  • Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten oder einer vergleichbaren Rolle
  • Verarbeitungstätigkeiten und deren Zwecke, einschließlich Profiling oder zielgerichtete Werbung, sowie jegliche direkt ausgeführte oder von Dritten durchgeführte Verarbeitung, z.B. im Zusammenhang mit Newslettern, Kundeninformationen, Rechnungsdaten, sozialen Medien usw.
  • Rechtsgrundlage der Verarbeitung und deren Begründung (falls erforderlich)
  • Informationen zu speziellen Kategorien personenbezogener Daten, einschließlich Daten von Minderjährigen und sensiblen personenbezogenen Daten
  • Empfänger der Daten (einschließlich Weitergabe, Verkauf oder anderer Nutzung)
  • Informationen zu Datenübertragungen in Drittländer und geeignete Schutzmaßnahmen
  • Dauer der Datenspeicherung
  • Rechte der betroffenen Personen und wie diese auszuüben sind
  • Informationen zur Möglichkeit der Änderung/Widerrufung der Einwilligung
  • Informationen darüber, wie eine Beschwerde oder ein Einspruch bei Aufsichtsbehörden eingelegt werden kann
  • Integration von automatisierten Entscheidungen und deren Nutzung, insbesondere wenn sie für Profiling und/oder zielgerichtete Werbung relevant sind

Mehr zum Thema Datenschutz: Datenschutzregelungen im Jahr 2024: Was wir beobachten

Wir unterstützen Sie dabei, eine rechtskonforme Datenschutzerklärung zu erstellen. Egal ob DSGVO oder CCPA – wir sind Ihr Ansprechpartner.

Experte Kontaktieren

Die 12 konkreten Schritte um eine datenschutzkonforme Datenschutzerklärung zu erstellen

Je nach Art Ihres Unternehmens und den Datenschutzvorschriften, denen Sie unterliegen, muss Ihre Datenschutzerklärung spezifische Kriterien erfüllen.

Wichtig: Unsere Empfehlungen sind keine umfassende Übersicht und kein Ersatz für den rechtlichen Rat eines Anwalts. Melden Sie sich für eine rechtliche Beratung bei einem Anwalt oder bei einer zertifizierten Beratungsstelle für Datenschutz.

1. Machen Sie sich mit den Datenschutzgesetzen vertraut, die Ihre Nutzer betreffen

    Beim Erstellen einer Datenschutzerklärung sollten Sie zunächst ermitteln, welche Datenschutzgesetze für Ihr Unternehmen gelten, wobei Sie sowohl Ihren Standort als auch die Standorte Ihrer Kunden berücksichtigen sollten.

    Machen Sie sich mit relevanten Gesetzen – wie der DSGVO in der EU oder dem CCPA in Kalifornien – vertraut, da sie vorschreiben, was Ihre Datenschutzerklärung enthalten muss. Es ist entscheidend, dass Sie verstehen, welche Anforderungen gelten. Für die DSGVO finden Sie die entsprechenden Anforderungen verständlich formuliert in Art. 13. 

    Es ist auch wichtig, sich mit zusätzlichen Gesetzen vertraut zu machen, die möglicherweise nicht direkt den Datenschutz betreffen, aber wichtige datenschutzrechtliche Komponenten enthalten. Ein Beispiel dafür ist der Digital Markets Act (DMA) in Europa, der Anforderungen an sogenannte Gatekeeper stellt. Diese Anforderungen werden häufig an deren Kunden weitergegeben. Ein gutes Beispiel ist hier der Consent Mode von Google. Weitere relevante Gesetze könnten die bereits erwähnte HIPAA oder der Children’s Online Privacy Protection Act (COPPA) in den USA sein.

    2. Teilen Sie dem Nutzer mit, welche personenbezogenen Daten gesammelt werden

    Ihre Datenschutzerklärung muss alle personenbezogenen Daten listen, die Ihr Unternehmen sammelt. Dazu gehören direkte Identifikatoren wie Namen, Telefonnummern und E-Mail-Adressen sowie Daten, die indirekt zu einer Identifikation führen können. Dazu gehören IP-Adressen, Browserverhalten und Zahlungsdaten. Grundsätzlich sollte jede gesammelte Information, die eine Person identifizieren kann – sei es allein oder in Kombination mit anderen Datenpunkten – berücksichtigt werden.

    Zudem ist es wichtig, sich besonders sensiblen personenbezogenen Daten bewusst zu sein und welche spezifischen Arten von Daten es gibt. Beispielsweise enthält der California Privacy Rights Act (CPRA) eine Kategorie von „Sensitive Personal Information“ (SPI), die stärker reguliert wird. In Europa benennt die DSGVO sensitive Kategorien personenbezogener Daten. Das sind etwa Daten wie die ethnische Herkunft oder die sexuelle Orientierung. Auch wenn diese Daten nur sehr selten erhoben werden, ist es wichtig, diese hervorzuheben, da ein Missbrauch der Daten zu besonders großen Verletzungen der Grundrechte führen kann. Einen genauen Überblick über diese Daten finden Sie in Art. 9 und 10 der DSGVO. 

    3. Erklären Sie Ihren Nutzern, wie ihre personenbezogene Daten erhoben werden

    Ihre Datenschutzerklärung sollte transparente Informationen darüber enthalten, wie Ihre Organisation personenbezogene Daten sammelt.

    Dazu gehören Daten, die direkt von Nutzern erhoben werden – z.B., wenn sie der Datenerhebung ausdrücklich durch das Ausfüllen von Formularen zustimmen –, aber auch Daten, die durch Cookies und Tracker gespeichert werden, die Browsing-Verhalten und Präferenzen erfassen.

    Durch die Darstellung dieser Methoden in Ihrer Datenschutzerklärung sorgen Sie dafür, dass Nutzer über die Datenerhebung und deren Art informiert sind. Sie schaffen auch die Grundlage dafür, dass Nutzer verschiedenen Arten der Erhebung ausdrücklich widersprechen können. Dieses Recht auf Selbstbestimmung über die eigenen Daten ist in fast allen Datenschutzgesetzen, besonders aber in der DSGVO, ungemein wichtig.

    4. Erklären Sie Ihren Nutzern, wie deren Daten verwendet werden

    Ihre Datenschutzerklärung sollte erläutern, warum Sie personenbezogene Daten erfassen und wie diese verwendet werden. Beispiele für häufige Nutzungszwecke sind die Bereitstellung spezifischer Dienstleistungen oder um die Nutzererfahrung speziell auf eine Person abzustimmen. Aber auch gezielte Werbung oder die Optimierung der Webseiteninhalte können in Ihrem Interesse sein. 

    Personenbezogene Daten sollten ausschließlich für die angegebenen Zwecke verwendet werden. Bei einer Änderung des Zwecks oder einer zusätzlichen Nutzung müssen Sie Ihre Nutzer darüber informieren und ggf. auch nochmal die Einwilligung der Person in den geänderten Zweck einholen.

    Aus diesem Grund ist es wichtig, regelmäßig die auf Ihrer Website verwendeten Datenverarbeitungsdienste zu überprüfen. 

    Ihre Datenschutzerklärung sollte auch eine gültige Rechtsgrundlage für die Verarbeitung personenbezogener Daten enthalten, wenn dies erforderlich ist, z.B. durch Gesetze wie die DSGVO. Gemäß dieser Verordnung gibt es in Art. 6 der DSGVO sechs zulässige Rechtsgrundlagen für die Verarbeitung von Nutzerdaten.

    5. Listen Sie auf, mit wem die Daten geteilt werden

    Ihre Datenschutzerklärung sollte die Parteien benennen, mit denen Ihre Organisation gesammelte personenbezogene Daten teilt oder an die sie verkauft werden könnten. Dies schließt Drittanbieter wie Marketingagenturen, Werbeunternehmen, Partner und Dienstleister ein, die auf jegliche Art und Weise mit Ihren Nutzerdaten in Kontakt kommen könnten.

    Ihre Richtlinie sollte zudem beschreiben, wie und ob personenbezogene Daten über geografische Grenzen hinweg übertragen werden. Nicht alle Länder haben gleichwertige und ausreichende Datenschutzstandards. In der Regel bestehen Vereinbarungen zur Angemessenheit solcher Maßnahmen, bevor Daten international übertragen werden. Ein gutes Beispiel hierfür waren die Unsicherheiten bezüglich der Übertragung der Daten von EU-Bürgern in die USA durch Unternehmen wie Google oder Meta. Inzwischen gibt es hierfür ein geeignetes Abkommen.

    Aufgrund der Einschränkungen bei internationalen Datenübertragungen müssen Sie die Nutzer darüber informieren, wenn Daten in eine andere Region als die, in der sie erhoben wurden, übertragen werden. Das gilt insbesonders, wenn es sich um sogenannte „Drittländer“ mit möglicherweise minderwertigen Datenschutzbestimmungen handelt.

    Die EU stellt im Rahmen der DSGVO strenge Anforderungen an solche Übertragungen, um sicherzustellen, dass Daten nur in Regionen mit akzeptablen Datenschutzstandards übermittelt werden. 

    6. Erklären Sie Ihren Nutzern, wie Sie deren personenbezogene Daten schützen

    Beschreiben Sie, welche Maßnahmen Ihr Unternehmen zum Schutz der Kundendaten ergreift. Nutzen Sie diesen Abschnitt für Prozesse, die den unbefugten Zugriff, die Offenlegung, die Änderung oder die Löschung personenbezogener Daten verhindern.

    Übliche Sicherheitsmaßnahmen umfassen Datenverschlüsselung, Multi-Faktor-Authentifizierung und den Einsatz seriöser Drittanbieter für Daten-Sicherheitsdienste. Es ist auch wichtig, anzugeben, wie lange die gesammelten Daten gespeichert werden und warum dieser Zeitraum gewählt wird. 

    Ihre Datenschutzerklärung sollte auch beschreiben, wie Ihr Unternehmen sich auf eine Datenschutzverletzung oder ein Datenleck vorbereitet. Dazu gehört, wie Sie betroffene Personen und Aufsichtsbehörden gemäß den geltenden Gesetzen benachrichtigen und welche Schritte zur Minimierung der Auswirkungen unternommen werden.

    7. Erklären Sie, wie Nutzer Kontrolle über ihre Daten ausüben können

    Ihre Datenschutzerklärung sollte klar erläutern, wie Nutzer bereits erteilte Einwilligungen widerrufen können. Die Einzelheiten dieses Rechts variieren je nach Gesetz, aber betroffene Personen haben in der Regel das Recht, ihre Einwilligung zu verweigern, zu widerrufen oder sich zumindest von bestimmten Datentypen und Verarbeitungsfunktionen abzumelden.

    Dies kann die Abmeldung von Datenerhebungs-, Verarbeitungs- oder Weitergabeaktivitäten umfassen, selbst wenn sie ursprünglich zugestimmt haben. Es kann auch spezifische Verarbeitungen betreffen, wie zielgerichtete Werbung oder Profiling, oder die Nutzung von Daten in automatisierten Entscheidungsprozessen (z.B. durch KI-Tools). Stellen Sie sicher, dass Sie detaillierte Anweisungen geben, wie Nutzer dies tun können – ob über Kontoeinstellungen, ein Consent-Banner, den Kundensupport oder spezifische Tools wie Abmeldelinks in E-Mails.

    8. Geben Sie einen spezifischen Zeitraum für die Datenspeicherung an

    In Ihrer Datenschutzerklärung sollten Sie klar angeben, wie lange die Nutzerdaten gespeichert werden. Dies hängt vom Zweck der Datenerhebung sowie von den relevanten Datenschutzgesetzen ab.

    Obwohl die DSGVO keine spezifischen Aufbewahrungsfristen für unterschiedliche Datentypen vorschreibt, verlangt sie, dass Daten nur so lange aufbewahrt werden, wie es zur Erfüllung des Verarbeitungszwecks notwendig ist. Ihre Datenschutzerklärung sollte daher klarstellen, dass Ihr Unternehmen Nutzerdaten nur für den Zeitraum speichert, der zur Erfüllung des Zwecks erforderlich ist.

    Nach Ablauf dieser Frist müssen die gespeicherten Verbraucherdaten sicher gelöscht oder anonymisiert werden. Diese Löschung muss unwiderruflich geschehen. Die Daten müssen also geschreddert und nicht nur entsorgt werden. 

    9. Legen Sie ein Verfahren zur Streitbeilegung fest

    Ihre Datenschutzerklärung sollte einen Teil enthalten, der erläutert, wie Nutzer Bedenken bezüglich des Umgangs mit ihren personenbezogenen Daten äußern können.

    Geben Sie die Kontaktdaten Ihres Datenschutzbeauftragten (in einigen Fällen gesetzlich vorgeschrieben und in anderen empfohlen) oder der zuständigen Abteilung sowie ein Feedback-Formular an, über das Nutzer Anfragen direkt übermitteln können.

    Geben Sie auch die Schritte zur Einreichung einer Beschwerde oder zur Anfechtung einer Entscheidung des Unternehmens an, z.B. bei der Ablehnung eines Antrags einer betroffenen Person, sowie eine kurze Erklärung, wie solche Streitigkeiten typischerweise gelöst werden.

    Beispielsweise könnte Ihr Verfahren zur Streitbeilegung damit beginnen, dass ein Verbraucher den Datenschutzbeauftragten per E-Mail kontaktiert. Das Unternehmen prüft die Beschwerde und bemüht sich, das Problem innerhalb eines bestimmten Zeitraums, z.B. 30 Tagen, zu lösen. Wenn der Streitfall innerhalb dieser Zeit intern nicht gelöst wird, können Nutzer ihre Beschwerde an eine relevante Datenschutzbehörde eskalieren.

    10. Erklären Sie Ihren Nutzern, wie Sie die Datenschutzanforderungen für Kinder umsetzen

    Ein Abschnitt zum Datenschutz von Kindern ist in Gesetzen wie dem Children’s Online Privacy Protection Act (COPPA) in den USA und ähnlichen Gesetzen in anderen Regionen erforderlich. Eine einheitliche europäische Regelung gibt es nicht. 

    Sie sollten darstellen, wie Sie sicherstellen, dass die Einwilligung in die Verwendung der personenbezogenen Daten nur von denjenigen akzeptiert wird, denen dieses Recht zusteht. Bei Kindern kann es sein, dass die Einwilligung unrechtmäßig ist und von einem Erziehungsberechtigten abgegeben werden muss.  Beachten Sie, dass personenbezogene Daten von Kindern nach vielen Gesetzen automatisch als sensibel gelten und daher denselben strengen Zugangsanforderungen und Schutzmaßnahmen unterliegen.

    Sie sollten auch auf die Rechte der Eltern hinweisen, einschließlich der Möglichkeit, die Informationen ihres Kindes einzusehen, die Löschung zu beantragen und jede weitere Erhebung oder Nutzung zu verweigern.

    Nach einigen Gesetzen, wie dem indischen Digital Personal Data Protection Act (DPDP Act), gelten die Rechte und Funktionen von gesetzlichen Vertretern auch im Namen von Menschen mit Behinderungen, die eine Vertretung benötigen.

    11. Kommunizieren Sie die Rechte Ihrer Nutzer in Bezug auf personenbezogene Daten

    Stellen Sie sicher, dass Ihre Datenschutzerklärung die Rechte der Nutzer in Bezug auf ihre personenbezogenen Daten klar beschreibt, die je nach Rechtsprechung variieren und sich ändern können.

    Nach der DSGVO beispielsweise muss die Einwilligung vor der Datenerhebung ausdrücklich eingeholt werden, wenn die Einwilligung die Rechtsgrundlage für die Verarbeitung der Daten darstellt. Im Gegensatz dazu verlangen die bundesstaatlichen Datenschutzgesetze in den USA, wie der CCPA, keine vorherige Einwilligung. Stattdessen haben die Nutzer die Möglichkeit, sich jederzeit abzumelden, obwohl sie möglicherweise nur bestimmte Nutzungen und nicht alle Verarbeitungen ablehnen können.

    Die Rechte der Nutzer umfassen häufig das Recht auf Datenzugriff, auf Berichtigung oder Löschung, auf Datenübertragbarkeit und auf den Widerspruch gegen Datenverarbeitungsaktivitäten. Datenschutzgesetze verlangen auch, dass Nutzer, die ihre Datenschutzrechte ausüben, in keiner Weise diskriminiert werden.

    12. Geben Sie administrative Informationen an

    Schließlich sollte Ihre Datenschutzerklärung wichtige administrative Details wie Kontaktinformationen und die Versionshistorie enthalten.

    Ihre Kontaktdaten und das Kontaktverfahren sollten für die durchschnittliche Person zugänglich sein. Idealerweise bieten Sie eine Mischung aus digitalen und physischen Kontaktmöglichkeiten an, die für den Betrieb Ihres Unternehmens relevant sind, wie E-Mail-Adresse, Webformular, Telefonnummer, Postanschrift usw. Es gibt auch eine Software zur Automatisierung von Kontakten betroffener Personen, insbesondere für Datenzugriffsanfragen. Solche Dienste sind meistens in sogenannten CMPs (Consent Management Platforms) integriert, wie Usercentrics sie anbietet. 

    Ihre administrativen Informationen sollten auch beschreiben, wann die Datenschutzerklärung zuletzt überprüft und aktualisiert wurde und welche Änderungen wann vorgenommen wurden.

    Um Transparenz zu gewährleisten, ist es eine gute Idee, alte Versionen der Datenschutzerklärung abrufbar zu machen. Das ist nicht nur manchmal gesetzlich vorgeschrieben, sondern gibt Nutzern auch die Möglichkeit, zu sehen, wie sich diese im Laufe der Zeit auf Ihrer Website entwickelt hat.

    Nutzen Sie einen Datenschutzerklärungs-Generator, um konform zu bleiben

    Wenn Sie beim Erstellen Ihrer Datenschutzerklärung die 12 beschriebenen Schritte beachten, sollten Sie eine gute Grundlage für eine datenschutzkonforme Formulierung geschaffen haben. Das Verfassen und die Aktualisierung erfordert jedoch Zeit und Mühe, insbesondere da sich globale Vorschriften ändern, neue Gesetze erlassen werden und sich die von Unternehmen genutzten Technologien und Dienstleister weiterentwickeln.

    Um dies besser zu handhaben, verwenden viele Unternehmen Vorlagen und Generatoren für Datenschutzerklärungen, um viele Teile des Erstellungsprozesses zu optimieren und zu automatisieren.

    Zusätzlich zur Zeitersparnis ermöglichen es diese Generatoren, Datenschutzerklärungen zu erstellen, die den wichtigsten Datenschutzgesetzen wie der DSGVO, dem CCPA und anderen entsprechen, wenn sich Änderungen und neue Vorschriften ergeben.

    Es gibt einige Anbieter, die diese Dienste in ein erweitertes Angebot integrieren. Wie schon ein paar Mal erwähnt, sind Datenschutzerklärungen nur die Spitze des Eisbergs. Neben der Informationspflicht müssen Einwilligungen in die Verarbeitung personenbezogener Daten datenschutzkonform eingeholt und gespeichert werden. Hierfür bietet sich eine Consent Management Platform (CMP) an. Diese Plattformen vereinen die Generierung einer Datenschutzerklärung mit der Integration eines Consent Management Systems, das Ihre Nutzer und Ihr Unternehmen effizient schützt. 

    Wir zeigen Ihnen, wie Sie mit einer CMP neben Ihrer Datenschutzerklärung erfolgreich Kundendaten schützen

    Live Demo Buchen

    Datenschutzerklärungen für verschiedene Plattformen

    Verschiedene Organisationen und Plattformen fordern personenbezogene Daten zu unterschiedlichen Zwecken an. Beispielsweise hat eine E-Commerce-Website andere Tools und Datenerfassungs-Zwecke als ein gemeinnütziger Newsletter. Auch die Art, wie Nutzer in einer App verfolgt werden, kann sich von der Nutzung von Cookies und Trackern in einem Webbrowser unterscheiden.

    Diese Plattformen, einschließlich smarter Geräte wie vernetzte Fernseher, müssen den Nutzern ihre Datenerhebung und -nutzung kommunizieren. Es gibt Tools, die das geräteübergreifende Einwilligungsmanagement vereinfachen.

    Datenschutzhinweise für Websites

    Websites verfügen über einzigartige Datenerhebungsmethoden wie Cookies und andere Tracking-Technologien, die zusätzlich zu den oben genannten allgemeinen Informationen in einer Datenschutzerklärung kommuniziert werden müssen. Website-spezifische Datenschutzerklärungs-Informationen umfassen:

    • Cookies oder andere verwendete Tracking-Technologien
    • Analysen und Logdateien
    • Werbung
    • Drittanbieter-Dienste
    • Marketingkommunikation
    • Von Nutzern erstellte Inhalte und deren Nutzung
    • Datenschutz und Einwilligungsmanagement für Kinder
    • Externe Website-Links

    Es ist auch wichtig, regelmäßige Datenschutzaudits durchzuführen, um zu klären, welche Daten Ihre Website erfasst. So können Sie sicherstellen, dass Ihre Datenschutzerklärung aktuell und datenschutzkonform ist. 

    Datenschutzerklärung für Apps

    Datenschutzbehörden nehmen zunehmend mobile Anwendungen ins Visier, da viele von ihnen nur unzureichend den Datenschutzvorgaben entsprechen.

    Zusätzlich zu den oben genannten Anforderungen sollten in der Datenschutzerklärung spezifische Informationen für Apps enthalten sein, wie:

    • Berechtigungen für mobile Geräte
    • Geolokalisierungs-Daten
    • Mobile Werbung
    • In-App-Käufe und Zahlungsinformationen
    • Integration mit sozialen Plattformen
    • Vom Nutzer generierte Inhalte und deren Nutzung
    • Push-Benachrichtigungen
    • Daten-Backup und Synchronisation
    • Datenschutz- und Einwilligungsmanagement für Kinder
    • App-spezifische Sicherheitsmaßnahmen

    Wo sollte eine Datenschutzerklärung platziert werden?

    Datenschutzerklärungen sind in der Regel lange Dokumente und befinden sich daher oft auf einer eigenen URL oder einem speziellen Bereich innerhalb einer App. Links zu dieser Seite sollte von fast allen anderen Stellen aus möglich sein. Das lässt sich durch eine Platzierung des Links im Header oder Footer der Website oder in den Einstellungen der mobilen Apps einfach umsetzen.

    Datenschutzinformationen sind oft gesetzlich vorgeschrieben und müssen an bestimmten Stellen auf einer Website oder in einer App erscheinen. So sollte beispielsweise eine Datenschutzerklärung an der Stelle der Datenerhebung angezeigt werden, etwa wenn die Website oder App zum ersten Mal geladen wird oder wenn der Nutzer eine bestimmte Aktion ausführen möchte. Das Consent Banner enthält in der Regel einen sichtbaren Link zur Datenschutzerklärung.

    Andere Stellen, an denen Datenschutzinformationen normalerweise präsent oder zugänglich sein sollten, sind:

    • Startseite und Landingpages
    • Erste Oberfläche beim Laden der App
    • Konto-Registrierungs- oder Anmeldeseite
    • Bestellvorgang
    • App-Store-Eintrag
    • E-Mail-Kommunikation

    Weitere Hinweise zur Umsetzung einer datenschutzkonformen Datenschutzerklärung

    Beim Erstellen und Aktualisieren einer Datenschutzerklärung und/oder Datenschutz-Benachrichtigungen sollte ein qualifizierter rechtlicher Rat oder ein interner Datenschutzexperte, wie ein Datenschutzbeauftragter (falls erforderlich), konsultiert werden.

    Organisationen müssen klar und präzise angeben, welche Daten sie erfassen, wie sie diese speichern, verwenden und teilen. Nur so ist eine vertrauensvolle Kommunikation mit den Betroffenen gewährleistet und es wird sichergestellt, dass sie ihre Rechte ausüben können. Dies trägt auch dazu bei, die Einhaltung relevanter Datenschutzbestimmungen zu gewährleisten.

    Es kann herausfordernd sein, die Datenschutzerklärung hinreichend detailliert, konform und aktuell zu halten. Glücklicherweise gibt es Tools, die nicht nur die Erstellung, sondern auch die Wartung von Datenschutzerklärungen automatisieren können.

    Um den bestmöglichen Nutzen zu erzielen, suchen Sie nach einem Tool, das mit einer Consent Management Platform (CMP) integriert ist, um sicherzustellen, dass die Datenschutzerklärung stets präzise und aktuell bleibt. Eine CMP, wie von Usercentrics, ermöglicht außerdem die Einholung und Verwaltung von Einwilligungen direkt an der Stelle der Datenerhebung, was für die umfassende Einhaltung von Datenschutzvorschriften unerlässlich ist.

    Es spart zudem Zeit und Ressourcen, wenn die CMP regelmäßige, automatisierte Scans der Website oder App durchführt, um alle aktuell verwendeten Cookies und andere Tracker zu erfassen und die Datenschutzerklärung sowie andere relevante Informationsquellen entsprechend zu aktualisieren.

    Mit einem Datenschutz Audit erkennen Sie, ob aktuell alle Cookies auf Ihrer Webseite datenschutzkonform installiert sind.

    Scan Starten

    Wenn Sie Fragen haben, wenden Sie sich gerne jederzeit an einen unserer Experten. Egal ob Sie eine konforme Datenschutzerklärung für Ihre Website oder App umsetzen möchten, oder eine Consent Management Platform benötigen, um die Einhaltung von Datenschutzgesetzen weltweit sicherzustellen. 

    Frequently asked questions

    Wenn im Consent-Banner schon alle wichtigen Informationen enthalten sind, brauche ich dann noch eine Datenschutzerklärung?

    Ja, eine Datenschutzerklärung wird auch dann benötigt, wenn Sie am Punkt der Einwilligung in die Datenverarbeitung bereits Informationen bereitstellen. Datenschutzerklärungen enthalten grundsätzlich mehr Informationen als ein Banner. Im Banner wird häufig spezifisch auf die einzelnen Cookies und Technologien verwiesen, für die eine Einwilligung nötig ist. Einige Informationen finden sich aber nur in der Datenschutzerklärung. Dazu gehören administrative Informationen wie etwa Kontaktmöglichkeiten oder das Vorgehen einer Streitschlichtung.

    Ersetzt die Datenschutzerklärung das Sammeln einer Einwilligung zur Verwendung personenbezogener Daten?

    Nein, auf keinen Fall ersetzt eine Datenschutzerklärung eine explizite Einwilligung in die Verwendung personenbezogener Daten. Besonders in der DSGVO ist der Prozess der freiwilligen Einwilligung besonders wichtig. Durch die Einwilligung wird explizit danach gefragt, ob der Nutzer in die Verwendung seiner personenbezogenen Daten zu jedem einzelnen Zweck einverstanden ist. Eine Datenschutzerklärung kann diese Vorgabe nicht erfüllen. Der Zweck einer Datenschutzerklärung ist es, Informationen zu übermitteln. Sie soll den Nutzer mit Wissen darüber versorgen, wie seine Daten genutzt werden und wer für diese Nutzung verantwortlich ist. Eine Datenschutzerklärung ist ein Schritt auf dem Weg, Nutzerdaten datenschutzkonform zu verarbeiten. Sie ist aber allein dazu nicht in der Lage.

    Brauche ich eine Datenschutzerklärung, wenn ich keine Nutzerdaten erhebe?

    Diese Frage ist nicht so einfach zu beantworten. Es geht beim Datenschutz nicht unbedingt um die Erhebung von Nutzerdaten, sondern vielmehr um die Datenverwendung jeglicher Art. Daten fallen bereits unter die DSGVO, wenn Sie einen Newsletter versenden wollen oder nach einer E-Mail-Adresse auf Ihrer Website fragen. Prüfen Sie genau, ob Sie auf Ihrer Website wirklich keine Nutzerdaten verwenden oder sammeln. Sollte dies wirklich der Fall sein, kann es sein, dass Sie nur eine eingeschränkte Version einer Datenschutzerklärung benötigen. Wir empfehlen Ihnen einen Austausch mit einem Datenschutzbeauftragten oder Anwalt, wenn Sie sich nicht sicher sind.

    Wie häufig sollte eine Datenschutzerklärung überarbeitet werden?

    Hierfür gibt es keine empfohlenen Intervalle. Wichtig ist: Ihre Datenschutzerklärung sollte immer auf dem neuesten Stand sein. Falls der Gesetzgeber neue Regularien erlässt, sollten diese umgehend umgesetzt werden. Aber auch wenn Sie neue Tracking Technologien oder Cookies auf Ihrer Webseite verwenden, müssen Sie Ihre Datenschutzerklärung aktualisieren.

    Wichtig ist: Eine Datenschutzerklärung ist das primäre Informationsportal zum Thema Datenschutz auf Ihrer Seite. Eine aktuelle Datenschutzerklärung macht es Nutzern möglich, sich umfassend mit Ihrem Vorgehen zum Thema Datenschutz auseinanderzusetzen. Sollte in der Datenschutzerklärung etwas fehlen, kann das von Kunden als Vertrauensbruch gewertet werden. Für ein vertrauensvolles Verhältnis zwischen Ihnen und Ihren Kunden, sollte die Datenschutzerklärung also immer auf dem neuesten Stand gehalten werden.

    Was muss ich bei der Erstellung einer Datenschutzerklärung beachten?

    Die spezifischen Anforderungen an Ihre Datenschutzpolitik hängen von Ihrem Unternehmen und dem Standort der betroffenen Personen ab. Im Großen und Ganzen können Sie jedoch diese 12 Schritte befolgen.

    1. Prüfen Sie, welche Datenschutzgesetze für Sie gelten.
    2. Legen Sie dar, welche personenbezogenen Daten gesammelt werden.
    3. Erläutern Sie, wie Sie personenbezogene Daten erhalten.
    4. Erläutern Sie, wie die Daten verwendet werden.
    5. Legen Sie dar, wer Zugang zu den Daten hat, einschließlich Dritter.
    6. Erläutern Sie, wie Sie die Datensicherheit und den Datenschutz gewährleisten.
    7. Erläutern Sie, wie die Nutzer sich abmelden und die Datenberechtigungen ändern können.
    8. Geben Sie an, wie lange die Daten verwendet und gespeichert werden.
    9. Erläutern Sie, wie mit Datenstreitigkeiten umgegangen wird.
    10. Legen Sie die Datenschutzverfahren für Kinder dar.
    11. Informieren Sie über die Rechte der Nutzer im Zusammenhang mit personenbezogenen Daten.
    12. Geben Sie Verwaltungs- und Kontaktinformationen weiter.

    Es wird auch dringend empfohlen, einen internen oder externen Rechtsexperten zu konsultieren oder ein Tool zur Erstellung Ihrer eigenen Datenschutzrichtlinie zu verwenden. Denken Sie zuletzt immer daran, dass es genauso wichtig ist, Ihre Erklärung auf dem neuesten Stand zu halten, wie diese überhaupt zu erstellen.