Warum es wichtig ist, deine Datenschutzrichtlinien zu aktualisieren

Wenn du an Datenschutzrichtlinien denkst, graut dir wahrscheinlich vor dem Gedanken, endlose Mengen an "Juristensprache" zu lesen, die der Durchschnittsmensch um jeden Preis zu vermeiden versucht.

Oftmals sind diese Richtlinien unter vielen Schichten von Inhalten auf Websites versteckt. Und das aus gutem Grund: Unternehmen sind nicht geneigt, 100-seitige Richtlinien in Websites einzubauen, die aktuellen und potenziellen Kunden eine verlockende Marke vermitteln sollen. 

Doch in den letzten Jahren hat sich die Art und Weise, wie Websites Datenschutzrichtlinien erstellen und umsetzen, grundlegend verändert. 

In den Nachrichten wurde weithin berichtet, dass Cambridge Analytica die persönlichen Daten von Millionen von Facebook-Nutzern veruntreut hat. 

Dies führte zu einem Aufschrei der Verbraucher, die forderten, dass ihre sensiblen Daten geschützt und für angemessene Zwecke verwendet werden. Und die Regulierungsbehörden reagierten. 

Im Jahr 2018 begann die Europäische Union mit der Umsetzung der Allgemeinen Datenschutzverordnung ("GDPR"), die als das umfassendste Datenschutzgesetz der Welt gilt. 

Das Gesetz sieht eine Reihe von Datenschutzrechten für Verbraucher vor, darunter das Recht, die Löschung gesammelter personenbezogener Daten zu verlangen und das Recht, die Korrektur gesammelter personenbezogener Daten zu fordern. 

Außerdem müssen Unternehmen in ihren Online-Datenschutzrichtlinien bestimmte Angaben zur Verarbeitung und Nutzung personenbezogener Daten machen. 

Ähnlich wie in Europa ist auch in den Vereinigten Staaten die Verabschiedung umfassender Datenschutzgesetze auf bundesstaatlicher Ebene in vollem Gange.

Der California Consumer Privacy Act ("CCPA") ist ein gutes Beispiel dafür. Das Gesetz verlangt von bestimmten Unternehmen, dass sie in ihren Datenschutzrichtlinien die Kategorien von personenbezogenen Daten ("PII"), die das Unternehmen gesammelt und verkauft hat, offenlegen.

Ähnlich wie die DSGVO bietet auch der CCPA den Verbrauchern die Möglichkeit, die Löschung ihrer gesammelten personenbezogenen Daten zu verlangen.

Angesichts der jüngsten Änderungen in der Datenschutzgesetzgebung müssen die Unternehmen entsprechend reagieren.

Gesetze wie die GDPR und CCPA werden nicht verschwinden. Aus diesem Grund müssen Datenschutzrichtlinien als "lebende Dokumente" fungieren, die bei Gesetzesänderungen aktualisiert werden.

Eine aktualisierte Datenschutzrichtlinie schützt dein Unternehmen besser vor möglichen Geldbußen und Klagen. 

In diesem Artikel werden die folgenden drei Themen behandelt:

• Der Zweck einer Datenschutzrichtlinie; 
• Das kalifornische Gesetz zum Schutz der Privatsphäre der Verbraucher; und 
• Wie du deine Datenschutzrichtlinie auf dem neuesten Stand halten kannst. 

Der Zweck einer Datenschutzrichtlinie 

Der allgemeine Zweck einer Datenschutzrichtlinie ist es, die Verbraucher besser über ihre gesetzlichen Datenschutzrechte zu informieren.

Außerdem sollte die Datenschutzrichtlinie dem Unternehmen die Möglichkeit geben, seine Praktiken der Informationsweitergabe vollständig und genau offenzulegen. 

Das ultimative Ziel ist es, ein Vertrauensverhältnis zwischen dem Verbraucher und dem Unternehmen aufzubauen. 

Im Allgemeinen sollten die Datenschutzrichtlinien die folgenden Bestandteile enthalten: 

• Eine Vorstellung deines Unternehmens und wie Verbraucher mit dem Unternehmen in Kontakt treten können, wenn sie Fragen zur Datenschutzrichtlinie haben;
• Eine Beschreibung der Praktiken des Unternehmens zum Informationsaustausch. Dazu gehört eine Beschreibung der PII, die das Unternehmen sammelt und an andere Unternehmen weitergibt;
• Eine Beschreibung, wie das Unternehmen die gesammelten PII verwendet; und 
• Eine Beschreibung, wie Verbraucher ihre Datenschutzrechte nach geltendem Recht ausüben können. 

Das Problem ist, dass es so viele Datenschutzgesetze gibt, wie kann ich da wissen, welche Gesetze für mein Unternehmen gelten? Die Antwort wirkt sich direkt darauf aus, welche Angaben in deiner Datenschutzrichtlinie gemacht werden müssen. 

Aber unabhängig davon, welches Gesetz für dein Unternehmen gilt, sollte das Ziel einer Online-Datenschutzrichtlinie klar sein: das Vertrauen der Verbraucher/innen in den verantwortungsvollen Umgang mit personenbezogenen Daten und deren Schutz zu stärken. 

Das ist wichtig, weil die Verbraucherinnen und Verbraucher heute mehr denn je die Praktiken der Unternehmen bei der Weitergabe von Informationen berücksichtigen, wenn sie entscheiden, ob sie online einkaufen oder einen Dienst abonnieren. 

Bei der Umsetzung von Strategien zur Aktualisierung deiner Datenschutzrichtlinien wirst du die Unterstützung der wichtigsten Interessengruppen für das Projekt benötigen. Es ist eine gute Strategie, zu betonen, dass aktualisierte Datenschutzrichtlinien das Vertrauen der Verbraucher/innen fördern und das Unternehmen vor möglichen Geldbußen und Klagen schützen. 

Das kalifornische Verbraucherschutzgesetz 

Das CCPA, das am 1. Juli 2020 in Kraft treten soll, räumt den Kaliforniern eine Reihe von Datenschutzrechten ein. Diese Rechte ermöglichen es den Verbrauchern, die Löschung ihrer PII zu verlangen, eine Reihe von Informationen darüber anzufordern, welche PII gesammelt wurden und wer auf sie zugegriffen hat, und den Verkauf von PII an Dritte zu untersagen. 

"Unternehmen" im Sinne des CCPA müssen die Anforderungen des Gesetzes erfüllen. Ein "Unternehmen" muss alle der folgenden Kriterien erfüllen: 

• Ein Einzelunternehmen, eine Personengesellschaft, eine Gesellschaft mit beschränkter Haftung, eine Kapitalgesellschaft, ein Verein oder eine andere juristische Person, die mit dem Ziel des Gewinns oder des finanziellen Vorteils ihrer Anteilseigner oder anderer Eigentümer organisiert oder betrieben wird; 
• die personenbezogene Daten von Verbrauchern erhebt oder in deren Namen solche Daten erhoben werden und die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten von Verbrauchern entscheidet; und 
• ist im Bundesstaat Kalifornien tätig 

Wenn eine Organisation als "Unternehmen" gilt und unter eine der folgenden drei Kategorien fällt, muss sie das CCPA einhalten, unabhängig davon, ob das Unternehmen tatsächlich in Kalifornien ansässig ist: 

• einen jährlichen Bruttoumsatz von mehr als fünfundzwanzig Millionen Dollar ($25.000.000) haben;
• allein oder in Kombination jährlich die personenbezogenen Daten von 50.000 oder mehr Verbrauchern, Haushalten oder Geräten kauft, für die kommerziellen Zwecke des Unternehmens empfängt, verkauft oder zu kommerziellen Zwecken mit anderen teilt, allein oder in Kombination; oder 
• 50 % oder mehr seines Jahresumsatzes mit dem Verkauf von persönlichen Daten der Verbraucher erzielt. 

Zu sagen, dass der CCPA bei den Unternehmen Stress verursacht hat, ist eine Untertreibung. Das Gesetz hat die Landschaft der Datenschutzgesetze grundlegend verändert. 

Dabei kommen auf die Unternehmen neue Verpflichtungen in Bezug auf den Inhalt ihrer Online-Datenschutzrichtlinien zu. Das CCPA verlangt, dass die Datenschutzrichtlinien eines Unternehmens die folgenden Bestandteile enthalten müssen: 

• Eine Beschreibung der Rechte, die der Verbraucher nach dem CCPA hat. Zu diesen Rechten gehören die folgenden: 
  • Das Recht zu erfahren, welche personenbezogenen Daten das Unternehmen gesammelt hat;
  • Das Recht zu erfahren, ob personenbezogene Daten verkauft wurden und wer die Daten gekauft hat;
  • Das Recht, den Verkauf der PII an Dritte abzulehnen;
  • Das Recht auf Zugang zu den gesammelten PII; und 
  • Das Recht auf gleiche Dienstleistungen und Preise, obwohl der Verbraucher ein CCPA-Recht ausübt 
• Eine Liste der Kategorien von personenbezogenen Daten, die das Unternehmen in den letzten 12 Monaten gesammelt hat, unter Bezugnahme auf zwei Listen: 
  • Eine Liste der Kategorien von PII, die das Unternehmen in den letzten 12 Monaten verkauft hat; und
  • Eine Liste der Kategorien von PII, die das Unternehmen in den letzten 12 Monaten offengelegt hat
• Sofern das Unternehmen personenbezogene Daten von Verbrauchern weder verkauft noch weitergegeben hat, muss dies in der Datenschutzrichtlinie angegeben werden. 
• Sofern das Unternehmen personenbezogene Daten an Dritte verkauft hat, muss die Datenschutzrichtlinie einen Link "Meine persönlichen Daten nicht verkaufen" enthalten, über den Verbraucher den Verkauf ihrer personenbezogenen Daten ablehnen können.

Wenn dein Unternehmen zur Einhaltung des CCPA verpflichtet ist, brauchst du eine Strategie, um sicherzustellen, dass deine Online-Datenschutzrichtlinien auf dem neuesten Stand sind und mit dem Gesetz übereinstimmen. Wenn du das nicht tust, kann das zu erheblichen Bußgeldern und Strafen führen. 

Wie du deine Datenschutzrichtlinie auf dem neuesten Stand halten kannst 

Wenn dein Unternehmen das CCPA oder ein anderes staatliches Datenschutzgesetz einhalten muss, musst du eine Strategie entwickeln und umsetzen, um die Datenschutzrichtlinien deiner Website auf dem neuesten Stand zu halten. Wie du am besten vorgehst, um die Datenschutzrichtlinien zu aktualisieren, hängt von einer Reihe von Faktoren ab, darunter 

Größe deines Unternehmens, wer am Umgang mit den Informationen beteiligt ist und welche Informationen du sammelst. 

Zu den Strategien für die Aktualisierung deiner Datenschutzrichtlinie gehören die folgenden: 

• Beauftrage einen externen Berater, der auf Datenschutzrecht spezialisiert ist und Erfahrung mit dem Verfassen von Datenschutzrichtlinien hat; 
• Recherchiere online verschiedene Vorlagen für Datenschutzrichtlinien; oder 
• Arbeite mit den internen Datenschutz- und Informationssicherheitsteams des Unternehmens zusammen, um eine Datenschutzrichtlinie zu erstellen. 

Außerdem können Unternehmen mit dem Datenschutzrichtlinien-Generator von Termageddon eine konforme Datenschutzerklärung erstellen. 

Dieses Tool aktualisiert deine Datenschutzrichtlinie automatisch, um sicherzustellen, dass sie mit Gesetzen wie dem CCPA übereinstimmt. Dadurch verringerst du die Chancen deines Unternehmens, von einem gesetzlich geschützten Verbraucher zu einer Geldstrafe verurteilt oder direkt verklagt zu werden, erheblich. 

Unabhängig von der gewählten Strategie erfordert die Aktualisierung der Datenschutzrichtlinie ein umfassendes Verständnis des Lebenszyklus der Daten, die in deinem Unternehmen verarbeitet werden. 

Zu diesem Zweck müssen die wichtigsten Interessengruppen, die am Lebenszyklus der Daten beteiligt sind, befragt und in den Prozess einbezogen werden. 

Zu diesen Stakeholdern gehören die Personalabteilung, die für die Mitarbeiterdaten zuständig ist, das Informationstechnologie-Team, die Rechtsabteilung und die wichtigsten Führungskräfte im Unternehmen. 

Im Rahmen der Untersuchung des Datenlebenszyklus ist es wichtig, dass deine Datenerhebungsmethoden untersucht werden. Meistens verwendest du eine Art von Formular, um Informationen zu sammeln, und die Formularstruktur und das Plugin selbst sollten bewertet werden. Wir empfehlen weForms als das beste Kontaktformular-Plugin für die Erstellung von Formularen auf deiner WordPress und bieten einen Sonderrabatt auf Termageddon an, wenn du den Code WEFORMS an der Kasse verwendest.

Sobald ein umfassendes Verständnis des Lebenszyklus von Daten erreicht ist, kann dein Unternehmen mit Zuversicht eine Strategie und einen Prozess für die Aktualisierung deiner Online-Datenschutzrichtlinie entwickeln. Letztlich geht es darum, die Praktiken des Unternehmens bei der Weitergabe von Daten vollständig und genau offenzulegen und die Verbraucher/innen über ihre gesetzlichen Datenschutzrechte zu informieren.