Was ist eine Datenschutzerklärung und warum geht es nicht ohne?

Wozu dient eine Datenschutzerklärung? Die meisten Websites und Apps erheben über Cookies und andere Tracking-Technologien Daten von Benutzern. Diese Technologien haben viele Funktionen: Sie tragen u.a. dazu bei, dass die Websites korrekt funktionieren, sie ermöglichen E-Commerce und mit ihnen werden Besucherstatistiken und Informationen zum Nutzerverhalten erhoben. (Hier erfahren Sie mehr über Cookies.) Einige dieser Informationen können erhoben werden, ohne dass die Nutzer darüber in Kenntnis gesetzt werden müssen. In den meisten Fällen ist allerdings eine Information durch eine klare und einfach zugängliche Datenschutzerklärung erforderlich.

Datenschutzgesetze auf der ganzen Welt schreiben vor, dass Unternehmen bzw. Organisationen klar kommunizieren müssen, welche Daten sie zu welchem Zweck erheben, an wen diese möglicherweise weitergegeben und wie sie gesichert werden. Genau diesen Zweck erfüllt die Datenschutzerklärung und wird so zu einem entscheidenden Puzzleteil der Daten-Compliance-Strategie eines jeden Unternehmens – beispielsweise zur Einhaltung der DSGVO, CCPA, oder LGPD.

Die meisten Websites und Apps erheben statistische, Funktions- oder Marketingdaten über Cookies und andere Tracking-Technologien. In Datenschutzgesetzen sind diese Informationen in der Regel als “personenbezogene Daten” der Nutzer definiert, bei deren Online-Aktivitäten sie erhoben werden. Diese Daten können zur Identifizierung einer Person verwendet werden und sind daher rechtlich geschützt. Zu personenbezogenen Daten zählen beispielsweise folgende Informationen:

• Vor- und Nachname
• E-Mail-Adresse
• Benutzername für das Benutzerkonto
• Telefonnummer
• Browserverlauf
• Kreditkartennummer
• IP-Adresse

Manche personenbezogene Daten werden als besonders „sensibel“ eingestuft. Das ist der Fall wenn sie z.B. verwendet werden könnten, um einer Person Schaden zuzufügen. Zu diesen Daten zählen etwa Gesundheitsinformationen, Religionszugehörigkeit, sexuelle Orientierung oder ethnische Zugehörigkeit.

Websites und Apps nutzen Cookies und andere Tracking-Technologien für zahlreiche Zwecke: von der Gewährleistung der ordnungsgemäßen Funktionsweise der Website über die Ermöglichung von E-Commerce bis hin zur Erhebung von Marketingdaten.

Ein Audit der Cookies auf Ihrer Website mithilfe eines Scans ist ein guter erster Schritt, um zu verstehen, welche personenbezogenen Daten Sie erheben und wie Informationen über diese Daten und die Verwendung von Cookies in Ihrer Datenschutzerklärung kommuniziert werden müssen.

Datenschutzgesetze wie die DSGVO, CCPA oder POPIA verlangen, dass Nutzer darüber informiert werden müssen, wenn ihre personenbezogenen Daten erhoben werden (zum Beispiel gemäß Artikel 13 der DSGVO):

• Wer erhebt die Informationen und wie lauten die Kontaktdaten?
• Zweck(e) und Methode(n) bei der Erhebung von Informationen
• Die Kategorien und genauen Informationen, die erhoben werden
• Rechtsgrundlage bzw. berechtigtes Interesse für die Erhebung der Daten
• Alle Dritten, auf die bei der Erhebung der Informationen zurückgegriffen wird oder an die diese Informationen möglicherweise weitergeleitet werden
• Die Verträge oder Angemessenheitsvereinbarungen mit allen Dritten, die auf die Daten zugreifen
• Die Sicherheitsvorkehrungen zum Schutz der Daten

All diese Informationen müssen in einer Datenschutzerklärung enthalten und je nach Geschäftstätigkeit, den erhobenen Daten und der geltenden Jurisdiktion für das jeweilige Unternehmen spezifisch aufgelistet werden. In vielen Fällen muss den Nutzern auch die Möglichkeit geboten werden, der Erhebung oder dem Verkauf ihrer personenbezogenen Daten zuzustimmen oder zu widersprechen (z.B. per Link oder Ablehnen-Button).

Datenschutzgesetze bewahren Verbraucher zudem vor Diskriminierung, sollten Sie der Erhebung und Verarbeitung ihrer personenbezogenen Daten nicht zustimmen. Denn Unternehmen dürfen Nutzern in diesem Fall nicht den Zugriff auf bestimmte Services oder Dienstleistungen verweigern oder sie auf andere Weise benachteiligen.

Oftmals hängen die rechtlichen Anforderungen an die Datenschutzerklärung und ihre inhaltliche Ausgestaltung davon ab, wo sich die Nutzer befinden. Art, Größe und Umsatz des Unternehmens spielen dabei keine Rolle. Auch, ob die Website für E-Commerce-Zwecke verwendet wird, oder zur Nutzung ein Konto erstellt werden muss, ist irrelevant. Betreiber mit Kunden aus der EU, benötigt etwa eine DSGVO-konforme Datenschutzerklärung.

Es ist wichtig, im Detail zu wissen, welche Daten von Ihrer Website oder App erhoben werden, wie sie verwendet werden und welche Gesetze für Ihr Unternehmen gelten. Nur so kann sichergestellt sein, dass Ihre Datenschutzerklärung vollständig und korrekt ist. Zudem sollte sie regelmäßig überprüft und aktualisiert werden, sollten sich die eingesetzten Technologien oder die regulatorischen Rahmenbedingungen ändern. Wichtig zu wissen: Eine Datenschutzerklärung ist ein Rechtsdokument. Deshalb empfiehlt sich bei ihrer Erstellung auf jeden Fall die Zusammenarbeit mit einem qualifizierten Rechtsbeistand und dem betrieblichen Datenschutzbeauftragten.

Die Nichteinhaltung der Datenschutzvorgaben kann zu Gesetzesverstößen und Strafen wie hohen Bußgeldern, strafrechtlicher Verfolgung, dem Verlust von Geschäftslizenzen, die Löschung von Daten und einer Rufschädigung des Unternehmens führen.

Es ist gesetzlich vorgegeben, dass eine Datenschutzerklärung Dritte benennen muss, die Zugang zu den von Ihnen erfassten Daten haben oder diese verarbeiten. Diese Regelung greift aber in beiden Richtungen. Viele Drittanbieter verlangen von Website- und App-Betreibern, dass eine Datenschutzerklärung auf ihren Angeboten veröffentlicht wird, wenn sie die Dienste des Drittanbieters nutzen.

Dies kann In-Page- oder In-App-Werbung, Analysedienste, E-Commerce oder die Nutzung eines App-Stores und weitere Elemente umfassen. Auch Dienste von großen Unternehmen wie Apple, Google, Facebook und Amazon sind hier im Fokus, und machen es erforderlich, dass Unternehmen, die diese Dienste nutzen, ihren Nutzern mitteilen, welche Daten sie zu welchen Zwecken erheben und was mit ihnen geschieht.

Eine gute Datenschutzerklärung ist nicht nur gesetzlich vorgeschrieben, sondern auch wichtig für das Image eines Unternehmens und für den Aufbau einer vertrauensvollen Kundenbeziehung. Klar ist, Verbraucher sind sich ihrer Privatsphäre im Internet und der massenhaften Erfassung ihrer Daten zunehmend bewusst. Deshalb sollten sie den Websites und Apps, die sie nutzen, vertrauen können – genauso wie allen Unternehmen, mit denen sie eine Geschäftsbeziehung eingehen.

Wenn Sie deutlich machen, welche Daten Sie erheben, wie sie verwendet werden, wer Zugang zu ihnen hat und wie Sie sie schützen, zeigen Sie Ihren Nutzern, dass Ihr Unternehmen über ausgereifte Prozesse verfügt, die ihre Privatsphäre achten und schützen. Eine klare, aktuelle und leicht zugängliche Datenschutzerklärung ist ein weiteres Instrument, um die Transparenz Ihres Unternehmens zu demonstrieren und so ein Vertrauensverhältnis zu den Nutzern aufzubauen.

Unternehmen müssen ihre Datenerhebung und -verarbeitung bis ins Detail kennen, um genau zu wissen, wie sie gesichert werden und wer Zugang zu ihnen hat. Diese Informationen sind der Schlüssel zu einer korrekten Datenschutzerklärung. Außerdem müssen Sie wissen, wer im Unternehmen verantwortlich ist, sicherzustellen, dass die Informationen korrekt und jederzeit verfügbar sind.

Sie können Ihre Datenschutzrichtlinie von Grund auf selbst erstellen, eine Vorlage für Datenschutzerklärungen verwenden, oder sie online mit Hilfe eines Datenschutzerklärungsgenerators erstellen. Einmal fertiggestellt, kann die Datenschutzerklärung direkt auf der Website veröffentlicht oder von einem Datenschutzerklärungsdienst gehostet werden. Auf diese muss wiederum auf der Homepage oder in der Fußzeile verlinkt werden. Es gilt: Sie muss für die Besucher leicht zugänglich und leicht verständlich sein, sowie stets auf dem neuesten Stand gehalten werden.

Die Datenschutzerklärung einer anderen Website zu kopieren, ist keine gute Idee, da diese speziell für dieses Unternehmen verfasst wurde. Notwendige Änderungen um die Datenschutzerklärung an die spezifischen Vorgänge des eigenen Unternehmens anzupassen, könnten leicht übersehen werden – und so die Einhaltung der DSGVO anderer gesetzlicher Vorgaben nicht mehr gewährleistet sein.

Es gibt tausende Datenverarbeitungsdienste (Webtechnologien), die auf Websites verwendet werden können und die Nutzerdaten erheben und verarbeiten. Gar nicht so einfach, hier den Überblick zu behalten und sie in Ihrer Datenschutzerklärung aufzulisten. Aber genau das ist es, was die aktuellen Datenschutzgesetze fordern.

Usercentrics verwaltet eine Textdatenbank mit mehr als 1.000 Datenverarbeitungsdiensten, die als Vorlage in die Datenschutzerklärung eingebettet werden können. So sparen Sie Zeit und Ressourcen, denn diese Liste muss weder manuell verwaltet noch gepflegt werden.

Zudem wird die Datenbank regelmäßig überarbeitet, so dass die Technologien und sämtlichen Informationen jederzeit auf dem neuesten Stand sind, um die Einhaltung der Datenschutzbestimmungen und den reibungslosen Zugriff auf relevante Informationen für Nutzer zu gewährleisten. Unternehmen können und sollen diese Vorlagen an ihre betrieblichen Bedürfnisse anpassen.

Erfahren Sie mehr über die Funktionsweise der dynamischen Datenschutzerklärung.

Eine Cookie-Richtlinie unterscheidet sich von einer Datenschutzerklärung dadurch, dass sie nur Informationen zur Cookie-Nutzung beinhaltet, während eine Datenschutzerklärung viele weitere Informationen zur Datenverarbeitung, Betroffenenrechten, Verantwortlichkeiten des Datenverarbeiters und weitere Themen umfasst. Manchmal sind Informationen aus der Cookie-Richtlinie auch als Teil der Datenschutzerklärung aufgeführt.

Sie möchten mehr über die dynamische Datenschutzerklärung erfahren? Dann setzen Sie sich gerne mit uns in Verbindung.