Seo

Warum brauche ich eine Datenschutzerklärung?

Dieser bearbeitete Auszug stammt aus „How to Use Customer Data“ von Sachiko Scheuing ©2024 und wird mit Genehmigung von Kogan Page Ltd. reproduziert.

Nutzen Sie personenbezogene Daten?

Ich wette, das tun Sie, denn sonst würden Sie dieses Buch nicht lesen. Wenn Ihr Unternehmen personenbezogene Daten für Marketing, Buchhaltung, Personalwesen oder andere Zwecke verwendet, benötigen Sie eine Datenschutzrichtlinie.

Der traditionelle Ansatz zum Datenschutz und zur informationellen Selbstbestimmung geht davon aus, dass eine sinnvolle Kontrolle über die eigenen Daten nur möglich sei, wenn man über die Verwendung dieser Daten informiert sei.

Eine der ersten Regeln, die die DSGVO in ihrem Text festlegt, nachdem sie den Geltungsbereich des Gesetzes und die verschiedenen Definitionen geklärt hat, ist Artikel 5 (legislation.gov.uk, 2016):

(1) Personenbezogene Daten sind

a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person transparenten Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“)

Allein diese Anforderung macht eine Datenschutzerklärung erforderlich.

Unternehmen, insbesondere wenn sie für die Datenverarbeitung verantwortlich sind, müssen Rechenschaft über die Verwendung ihrer Daten ablegen und eine Datenschutzerklärung vorlegen. Diese Anforderung ist auch in Artikel 24(2) der DSGVO festgelegt (legislation.gov.uk, 2016).

In diesem Artikel geht es um die automatisierte Entscheidungsfindung im Einzelfall, einschließlich Profiling. Dabei handelt es sich nicht um Profiling für Marketingzwecke, bei dem die Auswahl der anzuzeigenden Anzeigen usw. automatisiert wird, sondern um Profiling, das schwerwiegende Auswirkungen auf Menschen haben kann.

Artikel 24(2) besagt, dass ein solches Profiling nur dann gesetzeskonform sein kann, wenn eine entsprechende Datenschutzpolitik, die eine Datenschutzerklärung umfasst, umgesetzt wird (legislation.gov.uk, 2016).

In jedem Fall ist eine Datenschutzerklärung ein wichtiges Dokument. Die DSGVO widmet zwei Artikeln die genauen Informationen, die Sie in Ihrer Datenschutzerklärung veröffentlichen müssen. Artikel 13 legt die Anforderungen fest, wenn Sie Daten direkt von Verbrauchern erfassen, und Artikel 14 diejenigen für Situationen, in denen Daten indirekt erfasst werden (legislation.gov.uk, 2016).

Wer liest Ihre Datenschutzerklärung?

Bei der Lebensmittelkennzeichnung war es ich als Kunde, der nach einer bestimmten Zutat suchte und dies las. Haben Sie sich schon einmal gefragt, wer Ihre Datenschutzerklärung liest?

Kunden und Interessenten sind eine offensichtliche Interessengruppe, die sich Gedanken darüber macht, was mit ihren Daten geschieht, sobald sie in Ihren Händen sind. Datenschutzaktivisten und Verbraucherschutzorganisationen lesen möglicherweise auch Ihre Datenschutzerklärung.

Autoren und akademische Forscher im Bereich Datenschutz finden darin eine großartige Informationsquelle, um zu erfahren, wie Unternehmen personenbezogene Daten verwenden. Regulierungsbehörden, Richter und Anwälte, die an einem Fall arbeiten, in den Ihr Unternehmen verwickelt ist, sind ebenfalls sehr an Ihrem Datenschutzhinweis interessiert.

Ihr Unternehmensimage wird durch den Inhalt Ihrer Datenschutzrichtlinie geprägt. Kunden, sowohl im Business-to-Business- als auch im Business-to-Consumer-Markt, legen großen Wert auf Ihre Datenschutzpraxis.

Geschäftspartner und Lieferanten Ihres Unternehmens formalisieren die Überprüfung der Datenschutzkonformität Ihres Unternehmens häufig, indem sie in ihren Due-Diligence-Fragebögen Fragen zu Ihrer Datenschutzerklärung stellen.

Wer auch immer die Leser sind, es ist ein weiterer „Kontaktpunkt“ für eine Vielzahl von Interessengruppen, einschließlich umsatzgenerierender Parteien wie Kunden und Partner.

Sie möchten, dass sie einen guten Eindruck von Ihren Datenschutzpraktiken bekommen, und die erste Gelegenheit, dies zu zeigen, ist möglicherweise Ihre Datenschutzerklärung. Um es mit den Worten des ICO auszudrücken: Eine gute Datenschutzerklärung „hilft, Vertrauen aufzubauen, vermeidet Verwirrung und lässt alle wissen, was sie zu erwarten haben.“ (ICO, 2023)

Wie lang sollte meine Datenschutzerklärung sein?

Die DSGVO verlangt von Ihnen, dass Sie eine Datenschutzerklärung verfassen, die lang genug ist, um klar zu erklären, welche Daten erhoben, verwendet und gespeichert werden. Dadurch wird Ihre Datenschutzerklärung transparent.

Gleichzeitig muss Ihre Datenschutzerklärung gemäß Artikel 12(1) der DSGVO (legislation.gov.uk, 2016) prägnant sein. Diese beiden Anforderungen scheinen sich auf den ersten Blick zu widersprechen. Die EU-Regulierungsbehörden geben daher in ihren Leitlinien zur Transparenz (Art. 29 WP, 2018) einige Erläuterungen.

Während eine Datenschutzerklärung darauf abzielt, Verbrauchern die notwendigen Informationen zu geben, damit sie Entscheidungen über ihre persönlichen Daten treffen können, sind sich Regulierungsbehörden auch der Phänomene bewusst, die als „Informationsmüdigkeit“ oder „Informationsüberflutung“ bekannt sind. Die Hypothese ist, dass der Mensch nur eine begrenzte Kapazität hat, Informationen zu verarbeiten.

Wenn den Menschen zu viele Informationen präsentiert werden, fühlen sie sich überfordert und ignorieren diese entweder oder treffen unlogische Entscheidungen, um mit dem psychischen Stress, den sie erleben, fertig zu werden (Simmel, 1950; Milgram, 1969).

Um dies zu vermeiden, gibt es zwei Strategien, die gleichzeitig alle erforderlichen Details liefern können.

Sorgen Sie für eine klare Struktur

Bevor Sie mit dem Verfassen einer Datenschutzerklärung beginnen, listen Sie alle Informationen auf, die Sie darin bereitstellen müssen. Überlegen Sie dann, wie Sie die Erklärung Ihren Kunden und anderen betroffenen Personen auf logische Weise präsentieren möchten.

In diesem Zusammenhang möchten Sie möglicherweise die Datenschutzbestimmungen großer Verbrauchermarken und staatlicher Organisationen lesen und herausfinden, wie deren Datenschutzbestimmungen aufgebaut sind.

Die Wahrscheinlichkeit ist groß, dass die Datenschutzhinweise von erfahrenen Unternehmensjuristen oder auf Datenschutz spezialisierten Anwaltskanzleien erstellt werden. Ziel ist es, ein Gespür dafür zu bekommen, wie gute Datenschutzhinweise aussehen.

Informieren Sie sich außerdem über die Datenschutzbestimmungen Ihrer Wettbewerber und Ihrer Partner in Ihrem Geschäftsfeld.

Fragen Sie Ihren Datenschutzbeauftragten, welche Wettbewerber hinsichtlich ihrer Datenschutzpraktiken einen guten Ruf haben, oder vielleicht wissen Sie bereits, wer sie sind. Schauen Sie sich einfach an, wie ihre Datenschutzhinweise strukturiert sind. Sie können auch einfach die Struktur der Datenschutzrichtlinienvorlage von ICO übernehmen.

Was auch immer Sie tun, der Schlüssel liegt darin, die Lesbarkeit Ihrer Datenschutzerklärung zu verbessern, indem Sie ihr eine logische Struktur geben.

Datenschutzhinweise in mehreren Schichten vorbereiten

Ein weiterer, von den Regulierungsbehörden befürworteter Ansatz ist der sogenannte Schichtenansatz (Art. 29 WP, 2018).

Vorausgesetzt, der Datenschutzhinweis wird online bereitgestellt, können Sie Ihre Datenschutzrichtlinie durch die Verwendung von Links interaktiv gestalten, sodass die Benutzer diese anklicken können, wenn sie weitere Informationen wünschen, oder sie überspringen und bei der Zusammenfassung der ersten Ebene bleiben können, wenn sie dies wünschen – genau wie bei der Verwendung einer Online-Enzyklopädie.

Auf diese Weise werden die Kernaussagen vereinfacht und die Leser Ihrer Datenschutzerklärung erhalten einen guten Überblick über die erste Ebene der Erklärung.

Die Regulierungsbehörden empfehlen, dass die folgenden Informationen auf den ersten Ebenen der Datenschutzerklärung sichtbar sein sollten (Art. 29 WP, 2018, S. 19, Abs. 36):

  1. Einzelheiten zu den Verarbeitungszwecken
  2. Die Identität des Verantwortlichen
  3. Beschreibung der Rechte der betroffenen Personen
  4. Informationen über die Verarbeitung, die für die betroffene Person die größten Auswirkungen hat
  5. Informationen zur Verarbeitung, die Sie überraschen könnten.

Wann muss ich die Datenschutzerklärung vorlegen?

Verbraucher müssen möglichst frühzeitig darüber informiert werden, welche Daten – etwa zu Marketingzwecken – erhoben werden.

Wenn Sie Daten direkt von Ihren Kunden erheben, müssen Sie Ihren Datenschutzhinweis zum Zeitpunkt der Datenerhebung vorlegen (siehe Artikel 13(1) DSGVO; legislation.gov.uk, 2016).

In einem Szenario, in dem Sie die Daten von anderen Organisationen lizenzieren, z. B. aus öffentlichen Quellen oder von Marketingdatenanbietern, verlangen Artikel 14(3)a und b, dass die Datenschutzinformationen in der folgenden Weise bereitgestellt werden (legislation.gov.uk, 2016):

  • innerhalb einer angemessenen Frist nach Erhalt der personenbezogenen Daten, spätestens jedoch innerhalb eines Monats, unter Berücksichtigung der spezifischen Umstände, unter denen die personenbezogenen Daten verarbeitet werden;
  • wenn die personenbezogenen Daten für die Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an diese betroffene Person; oder
  • wenn eine Weitergabe an einen anderen Empfänger vorgesehen ist, spätestens zum Zeitpunkt der ersten Weitergabe der personenbezogenen Daten.

Kurz gesagt: Bei lizenzierten Daten, bei denen es sich nicht um Kontaktdaten handelt, muss der Datenschutzhinweis innerhalb eines Monats übermittelt werden.

Wenn Sie Kontaktdaten wie Namen, Telefonnummern, E-Mail-Adressen und Postanschriften verwenden, müssen Sie die Datenschutzrichtlinie beim ersten Senden einer kommerziellen Nachricht an diese Personen kommunizieren.

In der Praxis betten Unternehmen einen Link zur Datenschutzerklärung in E-Mail-Nachrichten ein oder drucken diesen Link auf Werbebriefe, um dieser Anforderung nachzukommen.

Verweise:

  • Art 29 WP (2018) Artikel 29-Datenschutzgruppe, WP260 rev.01 Leitlinien zur Transparenz gemäß Verordnung 2016/679, angenommen am 29. November 2017, zuletzt überarbeitet und angenommen am 11. April 2018, https://ec.europa.eu/newsroom/article29/items/622227 (archiviert unter https://perma.cc/4HWYURKL)
  • ICO (2023) UK Information Commissioner’s Office: Ausführliche Richtlinien zur Transparenz im Direktmarketing, https://ico.org.uk/for-organisations/advice-for-smallorganisations/frequently-asked-questions/transparency-cookies-and-privacynotices/ (archiviert unter https://perma.cc/K3ZR-T7E5)
  • legislative.gov.uk (2016) „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates, 27. April 2016, www.legislation.gov.uk/eur/2016/679/contents (archiviert unter https://perma.cc/NVG6-PXBQ)
  • Milgram, S (1969) Die Erfahrung des Lebens in Städten, Wissenschaft 167, 1461–1468
  • Simmel, G (1950) Die Großstadt und das Geistesleben, in KH Wolff (Hrsg.), Die Soziologie Georg SimmelsFree Press, New York, USA.


Um das ganze Buch zu lesen, erhalten SEJ-Leser einen exklusiven Rabattcode von 25 % und kostenlosen Versand in die USA und nach Großbritannien. Verwenden Sie den Promocode SEJ25 bei koganpage.com hier.

Mehr Ressourcen:

  • Google Analytics 4 Funktionen zur Vorbereitung auf die Abschreibung von Drittanbieter-Cookies
  • Was sind First-Party-Daten und wie werden sie verwendet?
  • Warum First-Party-Daten Ihre organische Suchstrategie bestimmen sollten

Vorgestelltes Bild: Rawpixel.com/Search Engine Journal

Leave a Reply