Die Kunst der einfachen Datenschutzerklärung: Wie es richtig geht!

Wie verfasse ich eine Datenschutzerklärung? Was muss drin stehen?
Welche Fehler sollte ich vermeiden?

Eine Datenschutzerklärung gehört seit Einführung der europäischen Datenschutzgrundverordnung 2018 zu jeder Website. Sie hat die Funktion NutzerInnen über die Verarbeitung personenbezogener Daten auf einer Website zu informieren. Das wissen inzwischen alle WebsitebetreiberInnen. Für die meisten ist die Datenschutzerklärung einfach eine lästige Pflicht, die eher schlecht als recht erfüllt wird. NutzerInnen können mit den Texten meist nicht viel anfangen, da sie einer unübersichtlichen Informationsflut in Form unendlich scheinender juristischer Texte ausgeliefert sind. Die weitverbreitete Annahme „das liest sich doch sowieso niemand durch“ trifft in diesen Fällen wahrscheinlich zu. Doch das Problem liegt nicht im Umfang der Informationen als viel mehr in deren Darstellung. Zumal sollte man in solch einem Fall auch hoffen, dass sich diese Art der Datenschutzerklärung niemand so genau durchliest. Denn wenn Aufsichtsbehörden einen genaueren Blick darauf werfen, können einige WebsitebetreiberInnen mit unangenehmer Post rechnen.

Wer als Unternehmen die Datenschutzgesetze einhalten möchte, sollte bei der Datenschutzerklärung beginnen. Datenschutzaufsichtsbehörden schauen nämlich als Erstes auf die Datenschutzerklärung einer Seite, sollten diese Bedenken / Beschwerden bezüglich Ihrer Datenverarbeitung haben.

1. Schluss mit Fachchinesisch: So informieren Sie auf verständliche Weise!

Datenschutzerklärungen sind bekannt als seitenlange juristische Texte, die ein Normalverbraucher gar nicht versteht und auch niemand hat die nötige Zeit, sich solche Dokumente auf jeder Website durchzulesen. Mit der Einführung der Datenschutzgrundverordnung (DSGVO) mussten Websites nicht nur informieren, sondern dies auch auf eine nutzerfreundliche und verständliche Weise tun. Das bedeutet, die Seite der Datenschutzerklärung muss in weniger als zwei Klicks erreichbar sein und in einfacher Sprache über die Datenverarbeitung auf der Website informieren.

Artikel 12 EU-DSGVO:

„Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen […], die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln;

Das bedeutet, nur wenn die Informationen leicht verdaulich präsentiert und gut verständlich formuliert sind, kann die Datenschutzerklärung ihre eigentliche Funktion erfüllen.

Der Großeltern-Test für Datenschutzerklärungen:

Die potenziell größte Herausforderung für Unternehmen besteht darin, den NutzerInnen in den Datenschutzrichtlinien mitzuteilen, wie ihre Daten behandelt werden, und zwar auf eine Weise, die für die NutzerInnen einfach zu verstehen ist und dennoch weit genug geht, um das Unternehmen vor möglichen Rechtsstreitigkeiten zu schützen.

Um die Datenschutzinhalte nutzerfreundlich zu gestalten, sollte man daher den „Großeltern-Test“ machen. Würden Ihre Großeltern die Informationen aus der Datenschutzerklärung verstehen? Nein. Dann sollten Sie noch einfacher und transparenter werden. Nichtsdestotrotz ist die Datenverarbeitung, besonders über Drittanbieter, manchmal sehr komplex und deren Erklärung wird entsprechend zur Herausforderung. Da bleibt es manchmal nicht aus, auf die juristischen Formulierungen der Anbieter zurückzugreifen.

2. Schluss mit Sintflut: Den User mit dem Inhalt der Datenschutzerklärung nicht überfordern

Datenschutzerklärungen werden nicht selten von anderen Websites kopiert und auf der eigenen Website eingesetzt – eben den Namen austauschen und fertig. Ganz so einfach ist es leider nicht. Jede Website ist anders und nutzt andere Services & Technologien, die Informationen von WebsitebesucherInnen speichern (First-Party Services) und ggf. an Dritte weitergeben (Third-Party-Services). Diese müssen exakt in der Datenschutzerklärung abgebildet werden. So macht es logischerweise keinen Sinn für ein kleines Unternehmen mit geringer Datenverarbeitung die Datenschutzrichtlinien von Google zu kopieren und insbesondere nicht umgekehrt.

„Tun Sie, was Sie sagen, und sagen Sie, was Sie tun.“

Es ist wichtig, dass Sie eine Datenschutzerklärung verfassen, die Ihre Datenverarbeitung korrekt wiedergibt. Das bedeutet jedoch auch, dass Sie ausschließlich über Datenverarbeitung informieren, die Sie auch betreiben. Nicht mehr und nicht weniger. Mehr Informationen als nötig wären irreführend. Die Regel lautet: Tun Sie, was Sie sagen, und sagen Sie, was Sie tun.

Wer sollte die Datenschutzerklärung absegnen?

Die CEOs und der Vorstand eines Unternehmens sollten das letzte Wort haben. Die Inhalte sollten jedoch vorab durch einen Juristen oder Datenschutzbeauftragten erstellt werden. Auch das IT-Team und der Vertrieb kommen irgendwann mit Kundendaten in Berührung und verwenden sie. Daher ist es sinnvoll, dass sie im besten Fall einen Beitrag zu der Richtlinie leisten oder zumindest einen Entwurf überprüfen, um sicherzustellen, dass das, was über die Unternehmenspraktiken vermittelt wird, mit der Datennutzung ihrer Abteilung übereinstimmt.

Beschreiben Sie Ihre Datenverarbeitungspraktiken so genau wie möglich und stellen Sie dann sicher, dass der Rest des Unternehmens in seiner Praxis nicht von diesen Beschreibungen abweicht.

Häppchen statt Eintopf:

Stellen Sie die einzelnen Abschnitte der Datenschutzerklärung in übersichtlicher und strukturierter Form dar. Beispielsweise in einem sogenannten Akkordeon, welches nur Überschriften anzeigt und weitere Informationstexte durch Klicken des Users aufklappt.

3. Schluss mit veralteten Inhalten: So halten Sie Ihre Datenschutzerklärung auf dem neusten Stand – ohne viel Zeit zu investieren

Wenn Sie nun sämtliche Datenverarbeitungsprozesse in Ihrer Datenschutzerklärung den Anforderungen entsprechend dargestellt haben, sind Sie fertig und können sich zurücklehnen. Allerdings nichts allzu lang. Denn heutzutage sind Websites nicht mehr statisch wie eine Visitenkarte, sondern unterliegen einem ständigen Veränderungs- und Entwicklungsprozess. Hier ein neues Formular, da ein Plug-In oder Video und schon müssen Sie Ihre Datenschutzerklärung anpassen. Das stellt selbst für kleine Websites eine große Herausforderung dar.

Die Praxis der Datenschutzerklärung-Vorlage aus dem Internet ist zwar leicht und verlockend, da sie meist kostenlos angeboten wird. Doch ist das Kopieren von Vorlagen keine nachhaltige Praxis, wenn es um Datenschutz geht. Keine Sorge, Sie müssen nun nicht täglich Ihre Website checken und die Datenschutzerklärung aktualisieren. Es gibt inzwischen intelligente Software-Lösungen, die genau das für Sie tun. So können Sie sicher sein, dass die dargestellten Informationen auch morgen noch aktuell sind und können sich nun wirklich zurücklehnen und das Thema Datenschutzerklärung abhaken.

 

Fordern Sie ein Angebot an

Beantworten Sie uns kurz die folgenden 5 Fragen. Wir melden uns so schnell wie möglich bei Ihnen.

An dieser Stelle haben wir eigentlich ein sehr komfortables Typeform-Element für Sie platziert; Typeform ist ein Anbieter für Formulare mit Sitz in Barcelona, Spanien. So weit so datenschutzkonform; leider nutzen die freundlichen Typeformer ein zusätzliches Tracking-Steuer-Element, das wir ohne Ihre Erlaubnis nicht einsetzen möchten: Segment. Wenn Sie das nicht weiter stört, können Sie mit Klick auf “Zustimmen” zu besagtem Formular gelangen. Andernfalls können Sie sich natürlich auch gerne über unsere Kontaktseite mit uns in Verbindung setzen.

Fordern Sie ein Angebot an

DATENSCHUTZERKLÄRUNG ERSTELLEN: SO GEHT'S

Mit der europäischen DSGVO wurde Datenschutzrecht weltweit zum Thema. So sind seit der Verabschiedung der EU-DSGVO weitere Länder wie Brasilien, China, Indien und Kanada mit ähnlichen Datenschutzgesetzen dem europäischen Beispiel gefolgt. Diese Gesetzesänderungen, kombiniert mit einem erhöhten Bewusstsein der VerbraucherInnen für Datenschutzrisiken aufgrund von Nachrichten über Datenschutzverletzungen, haben den Druck auf Unternehmen erhöht, starke Datenschutzprogramme vorzuleben. Um eine Datenschutzerklärung korrekt zu erstellen, ist es wichtig, dass Sie Ihre spezifischen Datenerfassungspraktiken kennen, bevor Sie eine Richtlinie veröffentlichen, in der Sie darlegen, was Sie mit Kundendaten tun. Für Websites gibt es Scanner, die Ihnen zeigen, welche Services Sie auf Ihrer Seite nutzen und in der Datenschutzerklärung bzw. in Ihrem Consent-Management-System aufnehmen müssen. Sie sollten unbedingt beachten, dass Sie laut DSGVO für einige Datenverarbeitungsprozesse (besonders wenn es um Drittanbieter-Services geht) die Einwilligung Ihrer WebsitebesucherInnen einholen müssen.

 

DIESE TIPPS SOLLTEN SIE BEACHTEN:

Datenschutzerklärung in weniger als zwei Klicks erreichbar machen

Keine Vorlagen oder Kopien von anderen Seiten verwenden

Keine überflüssigen Informationen aufnehmen

Kein Fachchinesisch verwenden

Informationen regelmäßig aktualisieren

Bestimmte Services in der Consent-Management-Platform (CMP) aufnehmen

Bildquelle Header: patrick tomasso – unsplash

Haben Sie Fragen an Jörg?

Jörg Ter Beek

Jörg Ter Beek

B2B SALES & PARTNERSHIP MANAGER

Jörg ist unserer Datenschutzexperte mit über 10 Jahren Datenschutzberatung. Weitere Informationen zu Jörg ter Beek finden Sie auf seinem XING-Profil oder LinkedIn-Profil.