Die Kunst der einfachen Datenschutzerklärung:
Wie es richtig geht!
Wie verfasse ich eine Datenschutzerklärung? Was muss drin stehen?
Welche Fehler sollte ich vermeiden?
Eine Datenschutzerklärung gehört seit Einführung der europäischen Datenschutzgrundverordnung 2018 zu jeder Website. Sie hat die Funktion NutzerInnen über die Verarbeitung personenbezogener Daten auf einer Website zu informieren. Das wissen inzwischen alle WebsitebetreiberInnen. Für die meisten ist die Datenschutzerklärung einfach eine lästige Pflicht, die eher schlecht als recht erfüllt wird. NutzerInnen können mit den Texten meist nicht viel anfangen, da sie einer unübersichtlichen Informationsflut in Form unendlich scheinender juristischer Texte ausgeliefert sind. Die weitverbreitete Annahme „das liest sich doch sowieso niemand durch“ trifft in diesen Fällen wahrscheinlich zu. Doch das Problem liegt nicht im Umfang der Informationen als viel mehr in deren Darstellung. Zumal sollte man in solch einem Fall auch hoffen, dass sich diese Art der Datenschutzerklärung niemand so genau durchliest. Denn wenn Aufsichtsbehörden einen genaueren Blick darauf werfen, können einige WebsitebetreiberInnen mit unangenehmer Post rechnen.
Doch wie geht es denn richtig? So verfassen Sie Ihre Datenschutzerklärung:
Wer als Unternehmen die Datenschutzgesetze einhalten möchte, sollte bei der Datenschutzerklärung beginnen. Datenschutzaufsichtsbehörden schauen nämlich als Erstes auf die Datenschutzerklärung einer Seite, sollten diese Bedenken / Beschwerden bezüglich Ihrer Datenverarbeitung haben.
1. Schluss mit Fachchinesisch: So informieren Sie auf verständliche Weise!
Datenschutzerklärungen sind bekannt als seitenlange juristische Texte, die ein Normalverbraucher gar nicht versteht und auch niemand hat die nötige Zeit, sich solche Dokumente auf jeder Website durchzulesen. Mit der Einführung der Datenschutzgrundverordnung (DSGVO) mussten Websites nicht nur informieren, sondern dies auch auf eine nutzerfreundliche und verständliche Weise tun. Das bedeutet, die Seite der Datenschutzerklärung muss in weniger als zwei Klicks erreichbar sein und in einfacher Sprache über die Datenverarbeitung auf der Website informieren.
Artikel 12 EU-DSGVO:
„Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen […], die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln;
Das bedeutet, nur wenn die Informationen leicht verdaulich präsentiert und gut verständlich formuliert sind, kann die Datenschutzerklärung ihre eigentliche Funktion erfüllen.
Der Großeltern-Test für Datenschutzerklärungen:
Die potenziell größte Herausforderung für Unternehmen besteht darin, den NutzerInnen in den Datenschutzrichtlinien mitzuteilen, wie ihre Daten behandelt werden, und zwar auf eine Weise, die für die NutzerInnen einfach zu verstehen ist und dennoch weit genug geht, um das Unternehmen vor möglichen Rechtsstreitigkeiten zu schützen.
Um die Datenschutzinhalte nutzerfreundlich zu gestalten, sollte man daher den „Großeltern-Test“ machen. Würden Ihre Großeltern die Informationen aus der Datenschutzerklärung verstehen? Nein. Dann sollten Sie noch einfacher und transparenter werden. Nichtsdestotrotz ist die Datenverarbeitung, besonders über Drittanbieter, manchmal sehr komplex und deren Erklärung wird entsprechend zur Herausforderung. Da bleibt es manchmal nicht aus, auf die juristischen Formulierungen der Anbieter zurückzugreifen.
2. Schluss mit Sintflut: Den User mit dem Inhalt der Datenschutzerklärung nicht überfordern
Datenschutzerklärungen werden nicht selten von anderen Websites kopiert und auf der eigenen Website eingesetzt – eben den Namen austauschen und fertig. Ganz so einfach ist es leider nicht. Jede Website ist anders und nutzt andere Services & Technologien, die Informationen von WebsitebesucherInnen speichern (First-Party Services) und ggf. an Dritte weitergeben (Third-Party-Services). Diese müssen exakt in der Datenschutzerklärung abgebildet werden. So macht es logischerweise keinen Sinn für ein kleines Unternehmen mit geringer Datenverarbeitung die Datenschutzrichtlinien von Google zu kopieren und insbesondere nicht umgekehrt.
„Tun Sie, was Sie sagen, und sagen Sie, was Sie tun.“
Es ist wichtig, dass Sie eine Datenschutzerklärung verfassen, die Ihre Datenverarbeitung korrekt wiedergibt. Das bedeutet jedoch auch, dass Sie ausschließlich über Datenverarbeitung informieren, die Sie auch betreiben. Nicht mehr und nicht weniger. Mehr Informationen als nötig wären irreführend. Die Regel lautet: Tun Sie, was Sie sagen, und sagen Sie, was Sie tun.
Wer sollte die Datenschutzerklärung absegnen?
Die CEOs und der Vorstand eines Unternehmens sollten das letzte Wort haben. Die Inhalte sollten jedoch vorab durch einen Juristen oder Datenschutzbeauftragten erstellt werden. Auch das IT-Team und der Vertrieb kommen irgendwann mit Kundendaten in Berührung und verwenden sie. Daher ist es sinnvoll, dass sie im besten Fall einen Beitrag zu der Richtlinie leisten oder zumindest einen Entwurf überprüfen, um sicherzustellen, dass das, was über die Unternehmenspraktiken vermittelt wird, mit der Datennutzung ihrer Abteilung übereinstimmt.
Beschreiben Sie Ihre Datenverarbeitungspraktiken so genau wie möglich und stellen Sie dann sicher, dass der Rest des Unternehmens in seiner Praxis nicht von diesen Beschreibungen abweicht.
Häppchen statt Eintopf:
Stellen Sie die einzelnen Abschnitte der Datenschutzerklärung in übersichtlicher und strukturierter Form dar. Beispielsweise in einem sogenannten Akkordeon, welches nur Überschriften anzeigt und weitere Informationstexte durch Klicken des Users aufklappt.
3. Schluss mit veralteten Inhalten: So halten Sie Ihre Datenschutzerklärung auf dem neusten Stand – ohne viel Zeit zu investieren
Wenn Sie nun sämtliche Datenverarbeitungsprozesse in Ihrer Datenschutzerklärung den Anforderungen entsprechend dargestellt haben, sind Sie fertig und können sich zurücklehnen. Allerdings nichts allzu lang. Denn heutzutage sind Websites nicht mehr statisch wie eine Visitenkarte, sondern unterliegen einem ständigen Veränderungs- und Entwicklungsprozess. Hier ein neues Formular, da ein Plug-In oder Video und schon müssen Sie Ihre Datenschutzerklärung anpassen. Das stellt selbst für kleine Websites eine große Herausforderung dar.
Die Praxis der Datenschutzerklärung-Vorlage aus dem Internet ist zwar leicht und verlockend, da sie meist kostenlos angeboten wird. Doch ist das Kopieren von Vorlagen keine nachhaltige Praxis, wenn es um Datenschutz geht. Keine Sorge, Sie müssen nun nicht täglich Ihre Website checken und die Datenschutzerklärung aktualisieren. Es gibt inzwischen intelligente Software-Lösungen, die genau das für Sie tun. So können Sie sicher sein, dass die dargestellten Informationen auch morgen noch aktuell sind und können sich nun wirklich zurücklehnen und das Thema Datenschutzerklärung abhaken.
Check your Website Compliance
Mach den Test mit unserem kostenlosen Quickscanner!
DATENSCHUTZERKLÄRUNG ERSTELLEN: SO GEHT’S
Mit der europäischen DSGVO wurde Datenschutzrecht weltweit zum Thema. So sind seit der Verabschiedung der EU-DSGVO weitere Länder wie Brasilien, China, Indien und Kanada mit ähnlichen Datenschutzgesetzen dem europäischen Beispiel gefolgt. Diese Gesetzesänderungen, kombiniert mit einem erhöhten Bewusstsein der VerbraucherInnen für Datenschutzrisiken aufgrund von Nachrichten über Datenschutzverletzungen, haben den Druck auf Unternehmen erhöht, starke Datenschutzprogramme vorzuleben. Um eine Datenschutzerklärung korrekt zu erstellen, ist es wichtig, dass Sie Ihre spezifischen Datenerfassungspraktiken kennen, bevor Sie eine Richtlinie veröffentlichen, in der Sie darlegen, was Sie mit Kundendaten tun. Für Websites gibt es Scanner, die Ihnen zeigen, welche Services Sie auf Ihrer Seite nutzen und in der Datenschutzerklärung bzw. in Ihrem Consent-Management-System aufnehmen müssen. Sie sollten unbedingt beachten, dass Sie laut DSGVO für einige Datenverarbeitungsprozesse (besonders wenn es um Drittanbieter-Services geht) die Einwilligung Ihrer WebsitebesucherInnen einholen müssen.
DIESE TIPPS SOLLTEN SIE BEACHTEN:
- Datenschutzerklärung in weniger als zwei Klicks erreichbar machen
- Keine Vorlagen oder Kopien von anderen Seiten verwenden
- Keine überflüssigen Informationen aufnehmen
- Kein Fachchinesisch verwenden
- Informationen regelmäßig aktualisieren
- Bestimmte Services in der Consent-Management-Platform (CMP) aufnehmen
Du hast Fragen?
Dann ruf uns gerne an. Wir helfen dir bei Fragen zu unserem Produkt und Features oder generell zu allen Datenschutz-Themen: