Datenschutzerklärungen sind gesetzlich vorgeschrieben

Datenschutzerklärungen sind weltweit gesetzlich vorgeschrieben, wenn Sie Daten erheben, anhand derer eine Person identifiziert werden kann. Der Grund dafür ist, dass diese Daten weltweit durch eine Reihe wichtiger Gesetze geschützt sind, die in solchen Fällen eine Datenschutzerklärung vorschreiben.

In diesem Artikel werden einige der wichtigsten internationalen Datenschutzgesetze behandelt, die eine Datenschutzerklärung vorschreiben.

Was ist eine Datenschutzerklärung?

In Datenschutzerklärungen legen Sie Ihre Vorgehensweisen bei der Erhebung, Nutzung und Verarbeitung der personenbezogenen Daten Ihrer Nutzer offen. Sie dienen der Information und Transparenz.

Welche Art von personenbezogenen Daten ist so persönlich, dass sie eine Person identifizieren können? Es gibt vieles, das in diese Kategorie fällt, und hier sind nur einige Beispiele:

• E-Mail-Adressen
• Vor- und Nachnamen
• Liefer- oder Rechnungsadressen. Die meisten E-Commerce-Shops benötigen eine Datenschutzerklärung, da jede Transaktionsdaten eines Kaufs personenbezogene Daten von Nutzern beinhalten.
• Sozialversicherungsnummern
• Geburtsdaten
• Social-Media-Nutzernamen und Profilbilder

Anonyme Daten (die keine personenbezogenen Daten enthalten) können ebenfalls als „personenbezogene Daten“ eingestuft werden, wenn sie in Verbindung mit anderen Datenarten verwendet werden, die zur Identifizierung einer Person führen können. Beispielsweise gelten bestimmte Arten von IP-Adressen nach modernen Datenschutzgesetzen als gesetzlich geschützte personenbezogene Daten.

*Anmerkung der Redaktion: Das obige Video enthält veraltete Informationen zu EU-Rechtsvorschriften. Der Artikelinhalt wurde am 16. Juli 2019 aktualisiert. Wir entschuldigen uns für etwaige Unannehmlichkeiten.

Datenschutzgesetze, die eine Datenschutzerklärung vorschreiben

In Ländern auf der ganzen Welt gibt es Datenschutzgesetze. Hier sind einige derjenigen, die die größte Reichweite und die weitreichendsten Auswirkungen auf Unternehmen weltweit haben.

Datenschutzerklärung in den Vereinigten Staaten erforderlich

In den USA gibt es zum Zeitpunkt der Erstellung dieses Artikels keine Bundesgesetze, die von Unternehmen eine Datenschutzerklärung verlangen (mit Ausnahme von COPPA). Es gibt jedoch mehrere Gesetze, darunter Bundes- und Landesgesetze, die Bestimmungen zum Datenschutz enthalten.

Die FTC (Federal Trade Commission) regelt den Datenschutz für alle Verbraucher in den USA, und die folgenden Gesetze haben alle Auswirkungen auf den Datenschutz:

• Der Americans with Disabilities Act
• Der Cable Communications Policy Act von 1984
• Das Gesetz zum Schutz der Privatsphäre von Kindern im Internet (COPPA)
• Das Gesetz gegen Computerbetrug und -missbrauch von 1986
• Das Gesetz zur Computersicherheit von 1997
• Das Gesetz zur Kontrolle der Verbraucherauskunft
• Das kalifornische Gesetz zum Schutz der Privatsphäre im Internet (CalOPPA)
• Das kalifornische Verbraucherdatenschutzgesetz (CCPA), geändert durch das kalifornische Datenschutzrechtsgesetz (CPRA)
• Das Gesetz zum Schutz personenbezogener Daten von Maryland (PIPA)
• Das Verbraucherdatenschutzgesetz von Virginia (VCDPA)
• Das Gesetz über die Meldung von Datenschutzverletzungen in Datenbanken in Louisiana
• New Yorks Gesetz zur Bekämpfung von Hackerangriffen und zur Verbesserung der elektronischen Datensicherheit (SHIELD)

Darüber hinaus gibt es Gesetze zur Biometrie, die den Schutz der Privatsphäre und der Daten von Verbrauchern auf eine neue Ebene heben. Zu diesen Gesetzen gehören unter anderem:

• Utah: Gesetz zum Schutz genetischer Informationen (GIPA)
• Texas: Gesetz über die Erfassung oder Verwendung biometrischer Identifikatoren (CUBI)
• Arizona: HB 2478
• Oregon: Gesetz zum Schutz von Verbraucherinformationen (OCIPA)
• Bundesstaat Washington: HB 1493
• Illinois: Gesetz zum Schutz biometrischer Daten (BIPA)

Die Bildungsstiftung der Consumer Federation of California stellt klar, dass gemäß CalOPPA jeder Betreiber einer kommerziellen Website oder eines Online-Dienstes, der über das Internet personenbezogene Daten über einzelne Verbraucher mit Wohnsitz in Kalifornien erfasst, auf seiner Website eine Datenschutzerklärung bereitstellen muss:

Der CCPA trat am 1. Januar 2020 in Kraft, wobei die CPRA-Änderungen dazu am 1. Januar 2023 in Kraft treten. Er regelt, was bestimmte Unternehmen, die kalifornische Einwohner erreichen, in ihren Datenschutzerklärungen offenlegen müssen. Transparenz ist hier von entscheidender Bedeutung, ebenso wie die Gewährung zusätzlicher Rechte für Nutzer, wenn es darum geht, zu kontrollieren, was mit ihren personenbezogenen Daten geschieht.

Gemäß dem CCPA (CPRA) muss ein Unternehmen offenlegen, welche Arten von personenbezogenen Daten es erhebt und wie es die einzelnen Arten verwendet. Diese Offenlegung muss erfolgen, bevor personenbezogene Daten erhoben werden. Dies kann durch eine informative, CCPA-konforme Datenschutzerklärung geschehen.

Die Rechte, die Verbraucher gemäß dem CCPA (CPRA) haben, müssen ebenfalls in der Datenschutzerklärung jedes Unternehmens offengelegt werden, das in den Geltungsbereich des CCPA (CPRA) fällt.

Ähnlich wie bei CalOPPA spielt es keine Rolle, ob Ihr Unternehmen in Kalifornien eingetragen ist oder seinen Sitz dort hat, wenn es darum geht, ob der CCPA (CPRA) gilt. Wenn Ihr Unternehmen Einwohner Kaliforniens erreicht – was wahrscheinlich der Fall ist –, müssen Sie über eine Datenschutzerklärung verfügen, in der Ihre Datenschutzpraktiken offengelegt werden.

Die CPRA-Ergänzung zum CCPA enthält einige spezifische Anforderungen für Unternehmen, die in ihren Geltungsbereich fallen.

Die CPRA hat die Anforderungen des CCPA erweitert, sodass sie zusätzliche Anforderungen und Verpflichtungen mit sich bringt.

Datenschutzerklärung in Australien erforderlich

In Australien regelt der Privacy Act 1988 den Datenschutz. Der australische Privacy Act von 1988 verpflichtet Unternehmen aus Australien, über eine Datenschutzerklärung zu verfügen.

Dieses Gesetz regelt den Umgang mit personenbezogenen Daten von Einzelpersonen und behandelt die Erhebung, Nutzung, Speicherung und Weitergabe personenbezogener Daten.

Es umfasst 13 Datenschutzgrundsätze, die jedes Unternehmen, das dem Privacy Act unterliegt, befolgen muss.

Der erste Datenschutzgrundsatz besagt, dass eine Datenschutzerklärung vorhanden sein muss und dass diese auf dem neuesten Stand gehalten werden muss.

Um den Anforderungen zu entsprechen, muss die Datenschutzerklärung in einem leicht lesbaren Format vorliegen, kostenlos sein und die folgenden Informationen enthalten:

• Welche Arten von personenbezogenen Daten das Unternehmen erhebt und speichert
• Wie diese Daten erhoben und gespeichert werden
• Warum diese Daten erhoben, gespeichert und (falls zutreffend) an Dritte weitergegeben werden
• Wie betroffene Personen auf die über sie gespeicherten personenbezogenen Daten zugreifen und diese berichtigen können
• Wie Einzelpersonen eine Beschwerde wegen eines Verstoßes gegen die australischen Datenschutzgrundsätze oder andere verbindliche Vorschriften einreichen können und wie Beschwerden bearbeitet werden
• Ob das Unternehmen personenbezogene Daten voraussichtlich an Empfänger im Ausland weitergibt und, falls ja, in welchen Ländern sich diese Empfänger voraussichtlich befinden, sofern dies praktikabel ist

Im Vereinigten Königreich erforderliche Datenschutzerklärung

Der Data Protection Act 1998 (oder DPA) ist das Datenschutzgesetz im Vereinigten Königreich, das eine Datenschutzerklärung vorschreibt.

Unternehmen, die den britischen DPA einhalten müssen, müssen die folgenden 8 Grundsätze befolgen, die hier zusammengefasst sind:

• Jegliche Art von personenbezogenen Daten von Nutzern muss auf eine festgelegte und rechtmäßige Weise erhoben werden. Die Daten dürfen zudem nicht in einer Weise verarbeitet werden, die mit diesem Zweck unvereinbar ist.
• Die von Ihnen erhobenen personenbezogenen Daten sollten im Hinblick auf den Zweck, zu dem Sie die personenbezogenen Daten erheben, angemessen, relevant und nicht übermäßig sein.
• Die personenbezogenen Daten sollten auf dem neuesten Stand und korrekt sein.
• Jegliche Art von personenbezogenen Daten, die von Nutzern erhoben werden, dürfen nicht länger aufbewahrt werden, als es für den Zweck, für den sie erhoben wurden, erforderlich ist.

Eines der wichtigsten Rechte, das das Datenschutzgesetz (DPA) den Einwohnern des Vereinigten Königreichs gewährt, ist das Recht, darüber informiert zu werden, wie ihre Daten verwendet werden. Hier wird eine Datenschutzerklärung zu einer entscheidenden Anforderung. Ohne sie verletzen Sie die Rechte Ihrer Kunden, da Sie nicht informativ und transparent sind.

Wenn Sie im Vereinigten Königreich geschäftlich tätig sind, stellen Sie sicher, dass Sie eine informative Datenschutzerklärung erstellen, die mindestens Folgendes offenlegt:

• Welche personenbezogenen Daten Sie erheben und zu welchem konkreten rechtmäßigen Zweck
• Wie Sie die Daten im Einklang mit diesem Zweck verwenden
• Welche Rechte Nutzer haben und wie sie diese ausüben können
• Wie lange Sie die Daten im Allgemeinen aufbewahren
• Wie Sie die erhobenen Daten sicher und geschützt aufbewahren

In Kanada vorgeschriebene Datenschutzerklärung

PIPEDA, das Gesetz zum Schutz personenbezogener Daten und elektronischer Dokumente (Personal Information Protection and Electronic Documents Act), ist das wichtigste Gesetz Kanadas zum Schutz von Nutzerdaten.

Das PIPEDA-Gesetz verpflichtet Unternehmen in Kanada dazu,
über eine Datenschutzerklärung zu verfügen, die leicht lesbar und verständlich sein muss. Das bedeutet: keine Rechtssprache und keine übermäßig komplizierten Klauseln.

Im Sinne des PIPEDA-Gesetzes bezeichnet der Begriff „personenbezogene Daten“:

alle identifizierbaren Informationen über eine Person, unabhängig davon, ob sie aufgezeichnet sind oder nicht, und es gilt für die Erhebung, Verwendung und Weitergabe personenbezogener Daten durch Organisationen im Rahmen ihrer geschäftlichen Aktivitäten.

Jedes Unternehmen, das in den Geltungsbereich von PIPEDA fällt, ist verpflichtet, der Öffentlichkeit Informationen darüber zur Verfügung zu stellen, wie es mit personenbezogenen Daten umgeht.

Laut dem Amt des Datenschutzbeauftragten von Kanada ist eine gute Datenschutzerklärung eine der wichtigsten Maßnahmen, mit denen ein Unternehmen dieser Verpflichtung nachkommen und damit das Vertrauen der Öffentlichkeit stärken sowie die Kundentreue gewinnen kann.

Zu den vom Datenschutzbeauftragten angebotenen Tipps für Datenschutzerklärungen gehören unter anderem die folgenden:

• Formulieren Sie sehr klar und konkret, was Ihr Unternehmen tatsächlich tut. Stellen Sie sicher, dass Ihre Leser verstehen, was Sie offenlegen, und dass Sie nicht nur allgemeine Aussagen machen. Verwenden Sie keine Rechtssprache und halten Sie den Text einfach.
• Legen Sie alle Optionen offen, die Sie anbieten, wenn es darum geht, dass Nutzer die Verwendung ihrer personenbezogenen Daten kontrollieren können. Wenn Sie beispielsweise die Abmeldung von personalisierten Marketingmaßnahmen ermöglichen, machen Sie deutlich, dass Sie diese Option anbieten und wie ein Nutzer sich tatsächlich abmelden kann.
• Machen Sie deutlich, wie Nutzer auf die personenbezogenen Daten zugreifen können, die Sie über sie gespeichert haben, und wie sie die Berichtigung oder Löschung dieser Daten beantragen können.
• Halten Sie Ihre Richtlinie auf dem neuesten Stand, damit sie stets Ihre tatsächlichen Praktiken genau widerspiegelt.
• Machen Sie es einfach, Sie bei Fragen zu kontaktieren.
• Machen Sie Ihre Datenschutzerklärung leicht auffindbar und zugänglich.

Es gibt auch die Digital Charter, die Einzelpersonen dabei hilft, in einer zunehmend digitalen Welt die Kontrolle über ihre personenbezogenen Daten zu behalten.

Datenschutzerklärung in der Europäischen Union (EU) erforderlich

Die Datenschutz-Grundverordnung (DSGVO) regelt die Verarbeitung personenbezogener Daten innerhalb der Europäischen Union. Diese Verordnung stellt strenge, globale Anforderungen an Unternehmen, deren Nutzer ihren Sitz in der EU haben.

Eine der Hauptanforderungen der DSGVO ist, dass Sie über eine Datenschutzerklärung verfügen, die leicht zugänglich und verständlich ist.

Eine der wichtigsten Anforderungen der DSGVO ist, dass Sie über eine Datenschutzerklärung verfügen, die leicht zugänglich und verständlich ist.

Ihre DSGVO-konforme Datenschutzerklärung muss mindestens die folgenden Informationen enthalten:

• Welche Arten von personenbezogenen Daten Sie verarbeiten
• Wie Sie diese verarbeiten
• Ihre Rechtsgrundlage für die Verarbeitung
• Wie lange Sie diese speichern und was nach Ablauf der Speicherfrist geschieht
• Ob Sie personenbezogene Daten an Dritte weitergeben
• Ob Sie personenbezogene Daten ins Ausland übermitteln und, falls ja, welche Sicherheitsvorkehrungen Sie getroffen haben
• Die 8 Nutzerrechte, die Ihre Nutzer haben, und wie sie diese ausüben können
• Kontaktdaten zumindest Ihres Unternehmens sowie gegebenenfalls IhresDatenschutzbeauftragten (DSB) oder EU-Vertreters

Die Einwilligung spielt unter der DSGVO eine große Rolle. Wenn diese Verordnung für Sie gilt, sollten Sie sich daher damit vertraut machen, wie sich Ihre Anforderungen an die Einwilligung ändern werden.

In Brasilien ist eine Datenschutzerklärung erforderlich

Das wichtigste Datenschutzgesetz Brasiliens ist das brasilianische Datenschutzgesetz (LGPD). Das LGPD betrifft Unternehmen weltweit, wenn diese personenbezogene Daten von Personen mit Wohnsitz in Brasilien erheben.

Das LGPD schreibt die Offenlegung der folgenden Informationen in einer Datenschutzerklärung vor:

• Warum die personenbezogenen Daten verarbeitet werden
• Warum die Verarbeitung stattfindet und wie lange sie dauert
• Die Identität und Kontaktdaten des für die Datenverarbeitung Verantwortlichen
• Ob die personenbezogenen Daten weitergegeben werden und, falls ja, zu welchen Zwecken
• Welche Verantwortlichkeiten die für die Datenverarbeitung Verantwortlichen und Auftragsverarbeiter haben, die die personenbezogenen Daten verarbeiten
• Informationen über die Rechte der betroffenen Person in Bezug auf ihre personenbezogenen Daten

In China vorgeschriebene Datenschutzrichtlinie

Chinas Gesetz zum Schutz personenbezogener Daten (PIPL) trat am 1. November 2021 in Kraft. Einer der wichtigsten Aspekte dieses Gesetzes sind die Datenschutzrechte, die es Einzelpersonen in China gewährt.

Wenn Sie in den Anwendungsbereich des PIPL fallen, müssen Sie in einer Datenschutzerklärung eine Reihe von Informationen offenlegen, darunter die folgenden:

• Name und Kontaktdaten des für die Verarbeitung personenbezogener Daten in Ihrem Unternehmen Verantwortlichen
• Informationen über Dritte, an die Daten übermittelt werden können
• Welche Rechte Einzelpersonen gemäß dem PIPL haben und wie sie diese ausüben können
• Welche Arten von personenbezogenen Daten Sie erheben, warum Sie diese erheben, wie Sie sie speichern und wie lange

Datenschutzerklärung erforderlich in Singapur, Malaysia, Südkorea und Vietnam

In Südostasien verlangen verschiedene nationale Gesetze von Unternehmen eine Datenschutzerklärung. Zu diesen Gesetzen gehören unter anderem die folgenden:

• In Singapur ist dies das Gesetz zum Schutz personenbezogener Daten von 2012 (PDPA).
• Auch in Malaysia wird das Gesetz als „Personal Data Protection Act“ (PDPA) bezeichnet. Das malaysische PDPA-Gesetz trat im November 2013 in Kraft.
• In Südkorea heißt das Gesetz „Personal Information Protection Act“ und trat 2012 in Kraft.
• In Vietnam ist es Artikel 21 des Gesetzes über Informationstechnologie

Da diese Gesetze derzeit nicht ganz so streng sind wie einige aus der EU und den Vereinigten Staaten, können Sie ziemlich sicher sein, dass Sie sie einhalten, wenn Sie sicherstellen, dass Sie die Anforderungen der DSGVO oder des CalOPPA erfüllen.

Anforderungen an Datenschutzerklärungen in anderen Ländern

Es gibt eine Reihe weiterer Länder weltweit, deren Datenschutzgesetze eine Datenschutzerklärung vorschreiben. In unserem Artikel „Datenschutzgesetze nach Ländern“ finden Sie Informationen zu einigen dieser Gesetze sowie einen umfassenderen Überblick über die oben genannten Vorschriften.

Anforderungen an Datenschutzerklärungen durch Dritte

Drittanbieter verlangen oft eine Datenschutzerklärung, wenn Sie deren Dienste nutzen.

Wenn Ihre App beispielsweise personenbezogene Daten erfasst, gelten die folgenden Datenschutzanforderungen von Drittanbietern:

Alle iOS-Apps benötigen eine Datenschutzerklärung. Dies wird in den Richtlinien für die Überprüfung im Apple App Store ausdrücklich festgelegt:

Für Android-Apps gilt dieselbe Anforderung hinsichtlich einer Datenschutzerklärung. Die Entwickler-Vertriebsvereinbarung des Google Play Stores verlangt, dass Sie über Datenschutzverfahren und -hinweise verfügen:

Selbst wenn Sie eine einfache Website betreiben und nur Google Analytics nutzen, benötigen Sie dennoch eine Datenschutzerklärung. Die Nutzungsbedingungen von Google Analytics verlangen von allen Nutzern von Analytics, dass sie über eine Datenschutzerklärung verfügen:

Die Plattformrichtlinien für Entwickler von Facebook verlangen, dass Sie über eine Datenschutzerklärung für Facebook-Apps verfügen, die Sie möglicherweise entwickeln:

Wenn Sie „Login with Amazon“ nutzen, verlangt der Amazon-Entwicklerleitfaden für Websites, dass Sie über eine Datenschutzerklärung verfügen, bevor Sie die Anmeldefunktion nutzen können:

Wenn ein Drittanbieter nicht ausdrücklich verlangt, dass Sie über eine Datenschutzerklärung verfügen, um den Dienst nutzen zu können, können Sie davon ausgehen, dass die Nutzungsbedingungen eine Klausel enthalten, die Sie verpflichtet, bei der Nutzung des Dienstes alle geltenden Gesetze einzuhalten.

Wenn Ihre Website oder App personenbezogene Daten erfasst und damit eines der geltenden Datenschutzgesetze auslöst, das eine Datenschutzerklärung vorschreibt, verpflichtet Sie diese Klausel zur Einhaltung dieses Gesetzes, um den Dienst nutzen zu können. Dies ist ein etwas umständlicher, aber wirksamer Weg, um die Einhaltung der Vorschriften zu erzwingen.

In einigen Fällen kann ein Drittanbieter-Dienst von Ihnen verlangen, eine Datenschutzerklärung einzufügen, in der dies angegeben wird, auch wenn Sie keine personenbezogenen Daten erfassen – allein aus Gründen der Transparenz.

Sie müssen sich über die Gesetze informieren, die Ihre Nutzer schützen, unabhängig davon, wo diese sich befinden. Lesen und prüfen Sie unbedingt alle Allgemeinen Geschäftsbedingungen oder Nutzungsbedingungen, um sich über die Anforderungen von Drittanbietern für die Dienste zu informieren, die Ihre Website oder App möglicherweise nutzt.

Zusammenfassung

*Anmerkung der Redaktion: Die obige Darstellung enthält veraltete Informationen zu EU-Gesetzen. Der Artikelinhalt wurde am 16. Juli 2019 aktualisiert. Wir entschuldigen uns für etwaige Unannehmlichkeiten.

Wenn Sie personenbezogene Daten von überall auf der Welt und von Personen mit Wohnsitz weltweit erheben, ist es so gut wie sicher, dass Sie über eine Datenschutzerklärung verfügen und diese veröffentlichen müssen. Wenn Sie unter ein Gesetz fallen, das dies vorschreibt, müssen Sie eine konforme Datenschutzerklärung erstellen und anzeigen.

Viele Gesetze haben sich überschneidende Anforderungen, was bedeutet, dass die Einhaltung eines Gesetzes oft auch die Einhaltung eines anderen bedeutet. Sie müssen sich jedoch dennoch über alle geltenden Gesetze informieren, die Sie einhalten müssen, um die vollständige Konformität zu gewährleisten.