Wenn Sie mehr über die Datenschutzpraktiken eines Unternehmens erfahren möchten, ist die Datenschutzrichtlinie ein guter Ausgangspunkt.
Eine Datenschutzrichtlinie ist ein Dokument, das Datenschutzgesetze von Unternehmen verlangen, auf ihren Websites zu veröffentlichen, um Benutzer darüber zu informieren, was sie mit den personenbezogenen Daten, die sie verarbeiten, tun.
Dieser Leitfaden wurde in einfacher Sprache verfasst und richtet sich an alltägliche Leser. Kein kompliziertes Juristendeutsch, also tauchen Sie ein und genießen Sie die Lektüre.
Er gibt Ihnen nicht alle Antworten, zeigt Ihnen aber, warum ein Unternehmen personenbezogene Daten verarbeitet, welche Daten es verarbeitet und mit wem es diese teilt.
Einige Datenschutzgesetze haben eine ausdrückliche Anforderung für eine Datenschutzrichtlinie. Das California Consumer Privacy Act (CCPA) verlangt beispielsweise ausdrücklich eine Datenschutzrichtlinie und listet jedes einzelne obligatorische Element für eine konforme Datenschutzrichtlinie auf.
Die Datenschutz-Grundverordnung (DSGVO) der EU hingegen verlangt keine ausdrückliche Datenschutzrichtlinie. Dennoch fordert sie Unternehmen auf, Benutzern Informationen über ihre Datenoperationen gemäß den Transparenz- und Rechenschaftspflichtgrundsätzen bereitzustellen.
Im Gegensatz zum CCPA ist die DSGVO nicht explizit in Bezug auf die Informationen, die Benutzer bereitstellen sollten. Dennoch enthält sie viele Anforderungen bezüglich der Informationen, die ein Unternehmen den Benutzern über Transparenz und Rechenschaftspflicht liefern muss.
Zusammenfassend verstehen Unternehmen und Website-Betreiber, die personenbezogene Daten erfassen und verarbeiten, dass eine Datenschutzrichtlinie der praktischste Weg ist, um den Transparenzanforderungen gerecht zu werden.
Für Internetnutzer bietet die Datenschutzrichtlinie ein Mittel zur Transparenz, mit dem sie die Datenschutzpraktiken eines bestimmten Online-Unternehmens überprüfen können. Dieser Ratgeber zielt darauf ab, Ihnen beizubringen, wie man Datenschutzrichtlinien liest und Interpretationen daraus ableitet.
Es ist dabei wichtig zu erkennen, dass wir voraussetzen, dass das Unternehmen in Bezug auf seine Datenverarbeitungspraktiken transparent ist, obwohl nicht jede Datenschutzrichtlinie der DSGVO entspricht. Manchmal verstecken Unternehmen bewusst oder unbewusst bestimmte Informationen, die in der Datenschutzrichtlinie aufgeführt sein sollten.
Eine tiefergehende Untersuchung, die über die Anleitung dieses Ratgebers hinausgeht, wäre erforderlich. Für die Zwecke dieses Leitfadens nehmen wir an, dass alle Angaben in der Datenschutzrichtlinie korrekt sind.
Wir werden die essenziellen Bestandteile jeder Datenschutzrichtlinie erläutern und Ihnen zeigen, wie Sie die Verbindungen zwischen diesen Elementen herstellen können, um zu verstehen, was mit Ihren Daten geschieht.
Jede Datenschutzrichtlinie muss zur Einhaltung der DSGVO die folgenden Elemente enthalten:
Sie müssen Ihren Benutzern mitteilen, wer Sie sind – es ist nicht nötig, ins Detail zu gehen oder viel zu schreiben. Die Angabe Ihres Firmennamens, Ihrer Adresse und Ihres Bundeslandes oder Landes, in dem Sie eingetragen sind, ist ausreichend.
Wenn Sie ein Unternehmen oder einen einfachen Blog als Einzelperson betreiben, reicht Ihr Name, Standort oder Ihre E-Mail-Adresse aus.
Kategorien von personenbezogenen Daten können der Name, Alias, Wohnadresse, E-Mail-Adresse, Postleitzahl, Telefonnummer, Ausweisnummer, Passnummer, Sozialversicherungsnummer usw. einer Person sein.
Persönliche Daten im Sinne der DSGVO umfassen auch Gesundheitsdaten, Informationen über das Privatleben, IP-Adressen, politische Ansichten, religiöse Ansichten oder andere Informationen, die direkt oder indirekt mit einer Person in Verbindung gebracht werden können. Daher kann alles eine Kategorie von personenbezogenen Daten sein, solange es allein oder in Kombination mit anderen Daten eine Person identifizieren kann.
Hier sollten Sie die Methoden der Datenverarbeitung beschreiben. In den meisten Fällen:
Transparenz nach der DSGVO bedeutet, dass Sie den Benutzern mitteilen müssen, warum Sie ihre Daten verarbeiten müssen. Zwecke der Verarbeitung können beispielsweise sein:
Sie verwenden wahrscheinlich Drittanbieter-Tools, um Daten zu sammeln und zu verarbeiten, wie zum Beispiel Google Analytics, Facebook Pixel, Hotjar, Mailchimp und andere. Um die Daten Ihrer Benutzer mit diesen Tools zu verarbeiten, müssen Sie diese personenbezogenen Daten an sie weitergeben.
Ihre Benutzer haben das Recht zu wissen, mit wem Sie ihre Daten teilen, und Sie müssen dies in Ihrer Datenschutzerklärung offenlegen.
Die DSGVO bezeichnet Benutzer als betroffene Personen. Wenn Sie die personenbezogenen Daten eines Benutzers erfassen, wird dieser zu Ihrer betroffenen Person.
Datenverantwortliche, also Unternehmen, die Daten sammeln und in ihrem Auftrag verarbeiten lassen, schulden betroffenen Personen bestimmte Rechte. Zu diesen Rechten gehören das Recht auf Information über die Verarbeitung, das Recht auf Löschung der Daten, der Widerspruch gegen die Verarbeitung usw.
Sie müssen die Rechte Ihrer Benutzer in Ihrer Datenschutzerklärung aufführen.
Wenn Sie gleichzeitig mehreren Datenschutzgesetzen entsprechen müssen, müssen Sie alle Rechte aufführen, die jedes Gesetz den betroffenen Personen gewährt.
Beispielsweise erfordert die Einhaltung des CCPA die Bereitstellung von Informationen über den Verkauf von persönlichen Informationen. Dies ist für den CCPA einzigartig und wird nicht von der DSGVO, LGPD, PIPEDA oder anderen Gesetzen verlangt.
Wenn Sie also den CCPA und alle anderen Elemente einhalten müssen, müssen Sie die spezifischen Bestimmungen dieses Gesetzes hinzufügen.
Unternehmen müssen betroffenen Personen die Mittel zur Verfügung stellen, um ihre Rechte als betroffene Personen auszuüben, die in der Datenschutzerklärung festgelegt werden müssen.
In den meisten Fällen reicht die Angabe einer E-Mail-Adresse aus. Einige Unternehmen bieten möglicherweise auch ein Kontaktformular, eine Telefonnummer oder andere Möglichkeiten zur Ausübung dieser Rechte an.
Datenübermittlungen in Drittländer sind wohl das kniffligste Thema für Unternehmen, die sich an die DSGVO halten müssen. Übermittlungen innerhalb der Union und in ausreichende Länder sind frei, aber jede andere Übermittlung erfordert zusätzliche Übertragungsinstrumente und möglicherweise Schutzmaßnahmen.
Unabhängig davon, wie und wo Sie personenbezogene Daten verarbeiten, haben Benutzer das Recht zu wissen, ob diese in Drittländer übertragen werden und, falls ja, wohin sie gesendet werden.
Wenn Sie wissentlich Daten von Kindern erfassen und verarbeiten, muss dies in diesem Dokument enthalten sein.
Wenn Sie einen Datenschutzbeauftragten oder einen gesetzlichen Vertreter in der EU haben, gehören deren Name und Kontaktinformationen hierher. Andernfalls reichen alle Kontaktmöglichkeiten mit Ihnen aus, um sie in diesem Abschnitt aufzunehmen.
Werfen Sie einen Blick auf unseren Leitfaden, der alle DSGVO-Bußgelder auflistet, um einen Eindruck von den Folgen der Nichteinhaltung der DSGVO zu bekommen.
Wenn Sie wissen möchten, wie Sie die Datenschutzpraktiken eines Unternehmens anhand ihrer Datenschutzerklärung nachvollziehen können, müssen Sie zunächst lernen, wie man sie liest.
Wir gehen davon aus, dass Sie sich normalerweise nicht die Mühe machen, Datenschutzerklärungen zu lesen und immer Cookies akzeptieren.
Wenn Sie sich jetzt die Mühe machen, werden wir Ihnen erklären, wie Sie eine Datenschutzerklärung navigieren und verstehen, was die DSGVO damit aussagen wollte.
Um Ihnen eine Vorstellung davon zu geben, wovon wir sprechen, werden wir die wichtigsten Elemente der Datenschutzerklärung von Shopify gemeinsam durchgehen. Es handelt sich um ein kanadisches Unternehmen, das die DSGVO einhält. Außerdem ähnelt das kanadische PIPEDA (Bundesdatenschutzgesetz) der DSGVO.
Unternehmen, die die DSGVO und andere Datenschutzgesetze ernst nehmen, haben umfassende Datenschutzerklärungen.
Einige sammeln nicht allzu viele personenbezogene Daten, sodass sie eine kurze und einfache Datenschutzerklärung haben. Das bedeutet nicht unbedingt, dass sie nicht konform sind. Sie beschäftigen sich nicht mit personenbezogenen Daten und haben nicht viel darüber mit Ihnen zu kommunizieren.
Solche Websites sind jedoch selten. Die meisten Online-Unternehmen sammeln viele Daten, einschließlich solcher, von denen sie nicht wissen, dass sie sie sammeln und verarbeiten.
Wenn Sie eine Reihe von Social-Media-Widgets auf einer Website bemerken, ist das normalerweise ein Zeichen für die Datenerfassung.
Wenn Sie sich nicht Der Scanbericht teilt Ihnen auch mit, mit wem sie Ihre Daten teilen. Ein Online-Unternehmen kann nicht alles alleine erledigen, daher lagern sie viele Prozesse an Drittanbieter aus, d.h. SAAS-Unternehmen, die einige Vorgänge in ihrem Auftrag verwalten. sind, was die von Ihnen besuchte Website mit Ihren persönlichen Informationen anstellt, scannen Sie sie kostenlos auf WebCookies.org und erhalten Sie die Antworten, die Sie benötigen.
Der Scanbericht teilt Ihnen auch mit, mit wem sie Ihre Daten teilen. Ein Online-Unternehmen kann nicht alles alleine erledigen, daher lagern sie viele Prozesse an Drittanbieter aus, d.h. SAAS-Unternehmen, die einige Vorgänge in ihrem Auftrag verwalten.
In vielen Fällen beinhaltet das Outsourcing die Weitergabe von Benutzerdaten. Zum Beispiel die Weitergabe der IP-Adresse an Google Analytics, E-Mail-Adressen an Mailchimp usw.
Wenn wir über die Datenschutzerklärung von Shopify sprechen, haben sie eine wunderbar gestaltete Datenschutzerklärung mit allen wesentlichen Elementen.
In diesem Bild können Sie die Abschnitte ihrer Datenschutzerklärung sehen. Die Anzahl der Abschnitte ist kleiner als in diesem Artikel beschrieben, aber der Rest der erforderlichen Informationen ist über die anderen Abschnitte der Richtlinie verteilt.
Sie ist in einfacher Sprache verfasst, leicht zu navigieren und leicht verständlich. Es zeigt, dass das Unternehmen seinen Benutzern gegenüber transparent sein möchte.
Außerdem haben sie für jede Benutzergruppe, die die Website oder die Dienste in irgendeiner Weise nutzt, eine separate Datenschutzerklärung.
Der Abschnitt über die Zwecke der Datenverarbeitung gibt Aufschluss über die Motive hinter der Verarbeitung personenbezogener Daten. Unternehmen müssen den Nutzern mitteilen, was sie dazu veranlasst, Daten zu sammeln und zu verarbeiten.
Die häufigsten Zwecke der Datenverarbeitung umfassen, sind aber nicht beschränkt auf:
Bereitstellung von Produkten oder Dienstleistungen. Sie verkaufen etwas, und Sie müssen Ihre Daten angeben, wie z.B. Namen, E-Mail-Adresse, Wohnadresse, Postleitzahl oder andere Daten, die sie benötigen, um das Produkt oder die Dienstleistung zu liefern. Die Vertragserfüllung ist eine rechtmäßige Grundlage für die Datenverarbeitung nach der DSGVO und erfordert keine zusätzliche Zustimmung.
Marketing-/Werbezwecke. Wenn ein Unternehmen personenbezogene Daten für Marketingzwecke sammelt und verarbeitet, wählen sie Kunden aufgrund der Daten aus, die sie mit Drittanbieterdiensten teilen.
Beispiele für solche Dienste sind soziale Netzwerke. Sie stellen Werbetreibenden Tracking-Pixel zur Verfügung. Diese Pixel verfolgen die von Ihnen besuchten Webseiten, gleichen diese Aktivitäten mit den Daten ab, die Sie über Ihr Social-Media-Profil mit ihnen geteilt haben, und präsentieren Ihr Profil als potenziellen Käufer für das Unternehmen.
Die Verwendung von Cookies oder eines Pixels, das Sie mit weiteren Datenpunkten verknüpfen könnte, ist Teil der Verarbeitung von Daten für Marketingzwecke, da die Informationen für die Vermarktung von Produkten und Dienstleistungen verwendet werden.
Analysezwecke. Fast jede Website im Internet verwendet ein Analyse-Tool wie Google Analytics, Plausible, Mixpanel und andere. Einige davon erfassen personenbezogene Daten; andere nicht.
Schauen Sie nach, mit welchem Analyse-Tool sie Daten teilen, im Abschnitt, in dem sie die von ihnen verwendeten Drittanbieter-Tools offenlegen.
Einstellungen. Unternehmen können Ihre persönlichen Informationen erfassen, um die Website an Ihre Vorlieben anzupassen und Ihr Benutzererlebnis zu verbessern. Dies kann Anpassungen der Zugänglichkeit, Sprache und anderem beinhalten.
Dies sind normalerweise nützliche Cookies, die das Leben des Benutzers erleichtern, aber sie erfassen dennoch personenbezogene Daten, sodass eine Zustimmung erforderlich ist, bevor sie verwendet werden.
Dies sind die häufigsten Verarbeitungszwecke, aber nicht die einzigen. Unterschiedliche Geschäftsaktivitäten führen zu zusätzlichen Verarbeitungszwecken, sodass es unmöglich ist, sie hier aufzunehmen. Die meisten von ihnen gehören jedoch zu diesen Kategorien.
Shopify verwendet beispielsweise eine genauere Sprache, um seine Zwecke zu beschreiben.
Anstelle von Analysen sagen sie „Berichterstattung und Analyse bereitstellen“ und „Funktionen und zusätzliche Dienste testen“.
Anstelle der Vertragserfüllung sprechen sie von „Fragen beantworten oder andere Arten von Unterstützung bieten“ (was Teil der Ausführung einer Vereinbarung ist).
Zu den Marketingzwecken gehört auch die „Unterstützung bei Marketing, Werbung und anderen Kommunikationsmaßnahmen“.
Nachdem Sie dies gelesen haben, können Sie verstehen, dass sie die Nutzung ihrer Website überwachen, denn wie viele andere große Unternehmen nehmen sie das Benutzererlebnis ernst und zögern nicht, personenbezogene Daten zu verwenden, um herauszufinden, was ein bestimmter Benutzer von der Website möchte.
Außerdem könnten Sie erkennen, dass sie Tracking-Tools verwenden, um Ihnen Anzeigen mit maßgeschneiderten Nachrichten zu präsentieren, die Sie wahrscheinlich interessieren.
Schließlich haben sie einen Zweck, der ihrem berechtigten Interesse dient (Betrugsprävention) und einige, die spezifisch für ihr Geschäft sind (Händlern helfen, Apps im App Store zu finden und zu nutzen).
Als Nächstes sollten Sie sich ansehen, was das Unternehmen benötigt, um diese Verarbeitungszwecke zu erfüllen.
Die Erfüllung jedes Zwecks erfordert die Verarbeitung einer bestimmten Kategorie personenbezogener Daten. Sie müssen nun also herausfinden, wie sich die Datenverarbeitungsarten auf die Zwecke beziehen.
Wenn das Unternehmen Ihre E-Mail-Adresse sammelt, um Ihnen einen Newsletter zu senden, dann steht diese Kategorie von Daten im Zusammenhang mit dem Zweck. Ohne die E-Mail-Adresse könnte das Unternehmen Ihnen den Newsletter nicht zusenden.
Wenn eine App Zugriff auf Ihre Fotos auf Ihrem Smartphone benötigt, um Ihnen Bildbearbeitungsdienste anzubieten, dann ist das für die Verarbeitung angemessen. Wenn sie jedoch Ihre Geolokalisierungsdaten anfordern, um Ihnen eine App zum Hinzufügen von Filterfotos zur Verfügung zu stellen, ist das ein offensichtliches Warnsignal. Diese App muss nicht wissen, wo Sie sich zu einem bestimmten Zeitpunkt befinden. Sie könnten die Daten für etwas anderes verwenden oder sie gegen Geld verkaufen.
Sehen Sie, wie Shopify die Transparenzanforderung in Bezug auf die Datenkategorien löst:
Diese Tabelle erklärt, welche Kategorien personenbezogener Daten sie erfassen und wie sie diese verwenden.
Einige Unternehmen sind nicht so transparent wie Shopify, aber das bedeutet nicht, dass sie nicht konform sind. Wenn Sie an ihren Datenschutzpraktiken zweifeln, können Sie eine Anfrage als betroffene Person stellen und Ihre Fragen beantwortet bekommen.
Die DSGVO verbietet Unternehmen, personenbezogene Daten in Länder zu exportieren, in denen der Datenschutz unterhalb des EU-Schutzniveaus liegt, es sei denn, sie haben eine rechtmäßige Grundlage dafür oder setzen letztendlich zusätzliche Datensicherheitsmaßnahmen um.
Die Datenschutzerklärung kann die rechtmäßige Grundlage und ergänzende Maßnahmen erwähnen, aber das ist nicht verpflichtend. Möglicherweise können Sie die Datenübertragungspraktiken des Unternehmens und die Datenschutzerklärung, die Sie lesen, nicht verstehen.
Allerdings können Sie herausfinden, ob die Daten außerhalb der Europäischen Union übertragen werden oder nicht, indem Sie sich die Drittanbieter ansehen, an die sie Informationen weitergeben.
Dieses Bild zeigt einige der Drittanbieter, die sie für die Datenverarbeitung verwenden. Viele von ihnen (und alle auf dem Bild) haben ihren Hauptsitz in den Vereinigten Staaten, was sie den US-Gesetzen unterstellt und bedeuten kann, dass die Daten in die USA übertragen werden. Das macht die Sache im Hinblick auf die DSGVO schwierig, da eine solche Übertragung zusätzliche Schutzmaßnahmen erfordert.
Obwohl die Wahrscheinlichkeit, dass die US-Regierung Ihre persönlichen Daten durchsucht, weil sie vermutet, dass Sie in Terrorismus oder Geldwäsche verwickelt sind, gering ist, sollten Sie, wenn Sie mit der Übertragung Ihrer Daten in die USA nicht einverstanden sind, dies bei dem Unternehmen ansprechen, dessen Datenschutzerklärung Sie interessiert.
Um die Datenschutzpraktiken eines Unternehmens zu verstehen, müssen Sie auch seine rechtlichen Grundlagen für die Datenverarbeitung kennen. Dies ist jedoch nicht aus der Datenschutzerklärung ersichtlich. Einige Unternehmen geben die rechtskonforme Grundlage in der Datenschutzerklärung an, aber das ist nicht verpflichtend und nur sehr wenige tun das.
Die DSGVO erlaubt Unternehmen die Verarbeitung von Daten nur, wenn sie eine rechtmäßige Grundlage dafür haben. Die in Artikel 6 der DSGVO aufgeführten rechtmäßigen Grundlagen sind:
Die beiden häufigsten rechtskonformen Grundlagen sind die ausdrückliche Zustimmung und die Ausführung (Durchführung) eines Vertrages.
Unternehmen erhalten in der Regel die Zustimmung, indem sie ein Cookie-Banner verwenden, das beim Betreten der Website erscheint und es dem Benutzer ermöglicht, die Cookies durch Klicken auf einen Button zu akzeptieren oder abzulehnen.
Die Durchführung eines Vertrages ist eine rechtliche Grundlage für die Verarbeitung, wenn das Unternehmen Ihre Daten benötigt, um einen Vertrag mit Ihnen auszuführen, wie zum Beispiel die Bereitstellung eines SAAS, die Lieferung eines physischen Produkts usw. Häufig sind die Allgemeinen Geschäftsbedingungen (auch Nutzungsbedingungen oder Dienstleistungsbedingungen genannt) die Verträge, die ausgeführt werden.
Um die Datenschutzpraktiken anhand der Datenschutzerklärung eines Unternehmens zu verstehen, müssen Sie eine Verbindung zwischen den Verarbeitungszwecken, den Kategorien der verarbeiteten Daten und den beteiligten Dritten herstellen. Darüber hinaus benötigt das Unternehmen eine rechtmäßige Grundlage für die Datenverarbeitung.
Sie müssen sicherstellen, dass:
Stellen Sie sich vor, ein Online-Unternehmen hat Ihre E-Mail-Adresse gesammelt, um Ihnen ein PDF zu einem Thema zuzusenden, das Sie interessiert. Sie haben ihnen Ihre E-Mail gegeben; sie haben Ihnen das PDF geschickt. Sie haben auch gefragt, ob sie Ihnen ihren wöchentlichen Newsletter mit Marketingangeboten zusenden dürfen. Sie haben das Kästchen angekreuzt.
Jetzt haben sie Ihre E-Mail-Adresse. Sie haben das PDF und ihre Marketingmaterialien.
Sie haben Ihre Daten für die Erfüllung eines Vertrags (Versand des PDFs) und für Marketingzwecke (Versand des Werbenewsletters) gesammelt und verarbeitet. Sie verwenden die E-Mail-Adresse nicht für etwas anderes. Sie nutzen Mailerlite, ein litauisches Unternehmen mit Servern in der EU.
Das bedeutet, dass sie einen guten Grund für die Verarbeitung der E-Mail-Adresse haben, eine rechtmäßige Grundlage dafür haben und keine Daten außerhalb Europas übertragen. Das entspricht der DSGVO und ist eine gute Datenschutzpraxis.
Wenn sie Ihre E-Mail-Adresse im Facebook Lookalike Audience-Tool hochladen und Ihre Daten in die USA übertragen… nun, das würde gegen die DSGVO und viele andere ähnliche Datenschutzgesetze verstoßen.
Wenn Sie sich bei Shopify anmelden, überwachen sie Ihr Verhalten mit Hotjar, um zu sehen, wie Sie die Website nutzen und Verbesserungen vornehmen, wenn sie genügend Informationen darüber gesammelt haben. Sie haben einen nützlichen Zweck, ein Drittanbieter-Tool, um den Zweck auszuführen und Informationen über Ihr Verhalten zu sammeln – das ist alles aufeinander abgestimmt und eine gültige Datenschutzpraxis, solange sie Ihre Zustimmung zur Erhebung personenbezogener Daten einholen.
Am Ende liegt es an Ihnen zu entscheiden, ob Sie mit bestimmten Datenschutzpraktiken von Online-Unternehmen zufrieden sind oder nicht. Dieser Artikel hat erklärt, wie man die wesentlichen Punkte einer Datenschutzerklärung ermittelt, um zu verstehen, warum und wie Ihre Daten von einem Server zum anderen fließen und einigen Unternehmen Einblick in Ihre Daten geben. Aber Sie sind es, der entscheidet, ob Sie mit der Art und Weise zufrieden sind, wie sie mit Daten umgehen.
Wenn Sie es selbst nicht beurteilen können, wenden Sie sich an einen Fachmann.