Website erstellt, ein paar Häkchen angeklickt, Zack! Da ist sie schon – die fertige Datenschutzerklärung.
Ellenlange Texte, die sich ja doch kein Schwein durchliest. Hauptsache ich werde nicht abgemahnt.
Aber kann das wirklich so einfach sein?
Die klare Antwort darauf ist Jein!
Hier 5 Gründe warum du die Datenschutzerklärung nicht generieren lassen solltest:
- Häufig zu viele Informationen: Das kann gegen das Transparenzgebot verstoßen (Art. 5 Abs. 1 lit a DSGVO) und kann im schlimmsten Fall zu Bußgeldern führen.
- Falscher Einsatz des jeweils generierten Musters: Stimmen die Bezüge und Überschriften?
- Nicht ausreichende Individualität: Viele Fehler verbergen sich den kleinen Nuancen und zusätzlichen Angaben. Viel lässt sich nicht mit Standardtexten erfassen: Wurden Auftragverarbeitungsverträge geschlossen? Wie sieht dein Löschkonzept aus, in welcher Form nutzt du welchen Dienst genau und ab wann bist du eigentlich mit wem gemeinsam Verantwortlich (u.V.m.)?
- Soziale Medien: In noch keinem Generator habe ich eine vernünftige Logik für die Erstellung von Datenschutzerklärungen für Webseiten in Kombination mit Social-Media-Profilen gefunden.
- Wiegen in falscher Sicherheit?: Eine datenschutzkonforme und abmahnsichere Seite braucht mehr als nur eine Datenschutzerklärung. Datenschutzkonformität erreicht man erst durch ein Zusammenspiel vieler kleiner Komponenten: Datenschutzkonforme Kontaktformulare und CRM-Systeme, Informationspflichten für Online Dienstleistungen oder Fernabsatzmärkte, DSGVO-konformes Newslettermarketing und auch ein funktionierendes Cookie-Consent-Tool, das wirklich alle “optionalen” Cookies bis zur Einwilligung blockiert und letztlich, so banal wie wichtig: ein vollständiges Impressum.
Also Finger weg von Datenschutzgeneratoren?
Keinesfalls! Besser eine Datenschutzerklärung mit einem Generator erstellen, als gar keine! Hier wird das Abmahnrisiko erheblich verringert.
Außerdem bilden die generierten Datenschutzerklärungen oftmals eine gute Basis, durch die man sich viel generischen Text, der in jede Datenschutzerklärung gehört, ersparen kann.
Was sollte ich tun, wenn ich eine generierte Datenschutzerklärung genutzt habe?
- Achtet auf die Überschriften und den logischen Bezug
- Auch wenn es langatmig ist: Liest die Datenschutzerklärung sorgfältig durch und schaut, ob manche Passagen auf euch nicht zutreffen oder falsch sind und löscht diese raus oder korrigiert sie!
- Achtet vor allem auch auf die Einwilligungskästchen bei Kontaktformularen, Newsletteranmeldungen und dem zugehörigen Text. Informiert die Websitenutzer in jedem Fall welche Daten zu welchem zweck verwendet werden, dass die Einwilligung jederzeit widerrufen werden kann und achtet bei Newslettern stets auf das „double-opt-in-Verfahren“. All dies muss sich letztlich auch in der Datenschutzerklärung widerspiegeln.
- Wie werden eure Daten gesichert? Schreibt dazu einen kurzen passus, denn auch dies gehört zu dem „wie“ eurer Datenverarbeitung, über dass ihr Informieren müsst.
- Alle Auftragverarbeitungsverträge mit Dritten abschließen! (das ist leider oft eine Sisiphusaufgabe, aber da kommt man nicht drumherum)
- Welche Cookies werden gesetzt? Wird dies in dem Cookie-Consent-Manager und in der Datenschutzerklärung abgebildet?
- Nutzt ihr Insight-Dienste? Wenn ja, dann schließt Verträge zur Gemeinsamen Verantwortlichkeit ab und ergänzt dies in eurer Datenschutzerklärung
- Vernünftige Gliederung: Ein Modularer Aufbau ermöglicht es Ihnen, Passagen bei Änderungen leichter zu verändern oder hinzuzufügen
- Welcher Landesdatenschutzbeauftragte ist für euch zuständig? Für erhöhte Transparenz führt ihr diesen bestenfalls mit Namen und Anschrift in eurer Datenschutzerklärung auf.
- Bewerberdaten werden oft sehr individuell verarbeitet. Achtet darauf, dass sie nicht länger als 6 Monate (ohne Einwilligung in die Aufnahme in einen sog. „Bewerber- oder Talentpool“) gespeichert werden. Dies sollte sich zwingend in der Datenschutzerklärung widerspiegeln.
Dies ist keine abschließende Liste, aber sollte die Abmahngefahr schon erheblich mindern.
Bei weiteren Fragen geniert euch nicht und fragt einfach euren Lieblings-Datenschutzbeauftragten!