Datenschutzrichtlinien erklären, wie Organisationen deine persönlichen Informationen sammeln und sichern, aber nur wenige Menschen lesen sie. Hier erfährst du, wie du schnell eine Datenschutzrichtlinie überprüfst und die Kontrolle über deine Daten zurückgewinnst.
Als du das letzte Mal online etwas gekauft hast, hast du vielleicht einen Blick auf die Nutzungsbedingungen geworfen, wenn auch nur, um die Liefer- oder Rückgabebedingungen zu überprüfen. Aber hast du die Datenschutzrichtlinie gelesen? Wenn nicht, bist du nicht allein. Wir erklären dir, warum du das solltest und wie du den Teufel im Detail findest, um deine Privatsphäre und Sicherheit zu schützen.
- Was ist eine Datenschutzrichtlinie?
- Warum Menschen Datenschutzrichtlinien ignorieren
- Warum du eine Datenschutzrichtlinie lesen solltest
- Worauf du in einer Datenschutzrichtlinie achten solltest
- Wie du schnell eine Datenschutzrichtlinie überprüfst
- Zustimmen oder nicht zustimmen, das ist hier deine Frage
Was ist eine Datenschutzrichtlinie?
Eine Datenschutzrichtlinie, auch Datenschutzhinweis genannt, erklärt, wie eine Organisation die von dir bereitgestellten persönlichen Informationen sammelt, speichert und verwendet. Die meisten Websites müssen erklären, was sie mit deinen Daten machen, um rechtlichen Verpflichtungen nachzukommen, wie zum Beispiel der Datenschutz-Grundverordnung (DSGVO)(neues Fenster) der Europäischen Union.
Zusammen mit den Nutzungsbedingungen sind Datenschutzhinweise wichtige rechtliche Dokumente, die dein grundlegendes Recht auf Privatsphäre verteidigen. Warum sagen also nur 9% der Erwachsenen in den USA, dass sie immer die Datenschutzrichtlinie eines Unternehmens lesen(neues Fenster), trotz wachsender Sorge um die Online-Privatsphäre?
Warum Menschen Datenschutzrichtlinien ignorieren
Datenschutzrichtlinien sind in der Regel lang, weitschweifig und berüchtigt schwer zu verstehen, wie ein Datenschutzprojekt der New York Times(neues Fenster) gezeigt hat. Eingeschüchtert von einer Wand aus Juristensprache, versuchen die meisten Menschen es gar nicht erst.
Für viele Unternehmen ist das die Absicht. Sie formulieren ihre Richtlinien absichtlich so, dass sie maximale Freiheit haben, mit deinen Daten zu machen, was sie wollen. Oft möchten sie Kasse machen und deine persönlichen Daten an Drittanbieter-Werbetreibende und Datenhändler verkaufen, während sie es dir schwer machen, dich abzumelden.
Aber was mit deinen Daten passiert, ist deine Entscheidung. Du musst diese Datenschutzhinweise nur genug verstehen, um diese Entscheidung treffen zu können.
Warum du eine Datenschutzrichtlinie lesen solltest
Unsere blind akzeptierten Nutzungsbedingungen und Datenschutzhinweise sind im Kern dessen, was Shoshana Zuboff als Überwachungskapitalismus(neues Fenster) bezeichnet hat. Du gibst dein „Einverständnis“, obwohl du kaum gelesen oder verstanden hast, wofür eigentlich. Unternehmen können dann nach Belieben mit deinen Daten Missbrauch treiben – mit erheblichen Konsequenzen für dich und die Gesellschaft.
Für dich bedeuten psychologische Profilierung(neues Fenster) und zunehmend ausgefeilte zielgerichtete Werbung weit mehr als nur nervige Spam-Mails in deinem Posteingang. Es geht darum, dein Verhalten und die Entscheidungen, die du im Leben triffst, vorherzusagen und möglicherweise zu steuern – was Bruce Schneier als überwachungsbasierte Manipulation(neues Fenster) bezeichnet hat.
Für die Gesellschaft als Ganzes hat der Cambridge-Analytica-Skandal(neues Fenster) gezeigt, wie solch personalisierte Zielgruppenansprache unsere Freiheit und Demokratie untergraben kann. „‚Personalisierung‘ klingt wie eine VIP-Behandlung“, argumentiert Carissa Véliz in Privacy is Power(neues Fenster), „bis du merkst, dass es ein Begriff ist, um Techniken zu beschreiben, die darauf abzielen, deinen einzigartigen Verstand zu manipulieren“.
Eine Datenschutzrichtlinie zu lesen, ist ein kleiner, aber bedeutender Weg, wie du dich wehren kannst. Zuerst musst du herausfinden, welche persönlichen Daten eine Organisation sammelt und was sie damit vorhat.
Zweitens, bieten sie Möglichkeiten, sich von dieser Datensammlung abzumelden? Oder gibt es Optionen, die Weitergabe von Informationen an Dritte, wie Datenhändler und Werbetreibende, zu begrenzen?
Drittens, ist klar, wie sie deine persönlichen Informationen sichern werden? Sind sie überall sicher verschlüsselt? Und wie lange werden sie sie aufbewahren?
Lohnt sich die Anmeldung insgesamt gesehen, trotz des Risikos? Je mehr persönliche Daten du preisgibst, desto wahrscheinlicher wirst du Opfer eines Datenlecks(neues Fenster) oder Identitätsdiebstahls(neues Fenster) werden.
Am wichtigsten ist, dass du die Datenschutzrichtlinie vor dem Klicken auf „Zustimmen“ überprüfst. Und wenn sie keine haben, dann hör an dieser Stelle auf.
Worauf du in einer Datenschutzrichtlinie achten solltest
Seien wir ehrlich: Wenn du kein Jurist bist, hast du wahrscheinlich weder das rechtliche Wissen noch die Zeit, Datenschutzhinweise Wort für Wort zu lesen. Das könnte dich zur Weißglut treiben.
Deshalb konzentrieren wir uns auf 10 Schlüsselfragen und schlagen Wege vor, wie du eine Richtlinie überfliegen kannst, um sie zu beantworten.
1. Welches Gesetz regelt die Verarbeitung meiner persönlichen Daten?
Zuerst musst du wissen, ob die Organisation einer strengen Datenschutzgesetzgebung unterliegt, die dir bestimmte Rechte einräumt, die in der Datenschutzrichtlinie klar dargestellt sein sollten. Wenn die Organisation beispielsweise in einem EU-Staat ansässig ist oder die personenbezogenen Daten von Personen in der EU verarbeitet, gilt in den meisten Fällen die DSGVO.
Gibt die Richtlinie an, welches Gesetz die Datenschutzrichtlinie regelt? (Weitere Informationen zur DSGVO sowie zu US- und UK-Regelungen findest du in den rechtlichen FAQs weiter unten.)
2. Welche persönlichen Daten sammeln sie?
Organisationen können eine Vielzahl persönlicher Informationen sammeln, von deinem Namen und deiner Adresse bis hin zu deinen Bankdaten und deinem physischen Standort.
Listen sie die persönlichen Informationen auf, die sie sammeln? Ist die Art und Menge der gesammelten Daten angemessen für das Produkt oder die Dienstleistung, für die du dich anmeldest?
3. Wie sammeln sie deine persönlichen Daten?
Es gibt zwei Hauptwege, wie Organisationen deine Daten sammeln können:
- Du gibst Details an, wenn du dich anmeldest oder eine Bestellung aufgibst.
- Sie verwenden Cookies oder andere Tracking-Technologien, um deine Käufe und dein Surfverhalten zu verfolgen, was dazu genutzt werden kann, um ein detaillierteres Profil von dir zu erstellen und dieses mit Werbetreibenden oder Datenhändlern zu teilen.
Beschreiben sie klar, wie sie die Informationen sammeln, welche Cookies oder anderen Tracking-Technologien sie verwenden und wie du dich davon abmelden kannst? (Sie können dich zu einem separaten Cookie-Hinweis weiterleiten.)
4. Wie verwenden sie deine persönlichen Daten?
Was sie mit deinen Daten machen, wird manchmal als „Verarbeitung“ oder „Verarbeitungsaktivitäten“ bezeichnet. Sie sollten auflisten, wofür sie deine persönlichen Informationen verwenden, wie zum Beispiel:
- Erfüllung deiner Bestellungen und Verwaltung deines Kontos
- Kontaktaufnahme mit dir über Aktualisierungen ihrer Dienstleistungen
- E-Mail-Benachrichtigungen über Sonderangebote für Produkte oder Dienstleistungen
Legen sie genau dar, wie sie deine Daten verwenden? Unter der DSGVO erfordern Marketingmitteilungen deine Zustimmung, also sollten sie dir eine einfache Möglichkeit bieten, dich für oder gegen Marketing-E-Mails zu entscheiden.
5. Was sind die rechtlichen Grundlagen für die Verwendung deiner persönlichen Daten?
Sie sollten die „rechtliche Grundlage für die Verarbeitung“ deiner Daten erläutern. Unter der DSGVO sind die zwei häufigsten:
- Berechtigtes Interesse: was die meisten Menschen als vernünftig erachten würden, wie zum Beispiel den Schutz von Nutzern oder die Verhinderung von Betrug
- Einwilligung: wenn du ausdrücklich einer Sache zustimmst, zum Beispiel dem Erhalt von Marketing-E-Mails
Nennen sie die rechtliche Grundlage für die verschiedenen Arten, wie sie deine Daten verwenden? Wenn es deine Einwilligung ist, erklären sie, wie du sie zurückziehen kannst, falls du deine Meinung änderst?
6. Mit wem teilen sie deine persönlichen Daten?
Parteien, die Zugang zu deinen Daten haben, werden manchmal als „Verarbeiter“ und „Unterverarbeiter“ bezeichnet. Das können Dienstleister sein, wie Buchhalter oder freie Mitarbeiter; Tochtergesellschaften oder verbundene Unternehmen des Unternehmens; oder Drittanbieter-Werbetreibende oder Datenhändler.
Spezifizieren sie, wer Zugang zu deinen Daten hat? Wenn sie deine Informationen mit Werbetreibenden oder Datenhändlern teilen, um dir „personalisierte“ oder „interessenbasierte“ Anzeigen zu liefern, bieten sie dir eine einfache Möglichkeit, dich davon abzumelden?
7. Wie werden sie deine persönlichen Daten sichern?
Eine Datenschutzerklärung sollte beschreiben, wo deine Daten gespeichert werden, ob sie ins Ausland übertragen werden dürfen und welche Sicherheitsmaßnahmen zum Schutz verwendet werden.
Erklären sie detailliert, wie und wo sie deine Daten speichern werden? Erklären sie, ob und wann deine Daten verschlüsselt werden?
8. Wie lange werden sie deine persönlichen Daten aufbewahren?
Organisationen sollten deine Daten für die kürzestmögliche Zeit aufbewahren. Eine Datenschutzrichtlinie sollte erklären, wie lange sie planen, deine Daten zu behalten, einschließlich aller gesetzlichen Verpflichtungen, die sie zwingen, sie für eine festgelegte Zeit aufzubewahren (zum Beispiel aus steuerlichen Gründen oder zur Betrugsbekämpfung).
Erklären sie, warum und wie lange sie deine Daten aufbewahren werden, bevor sie sie löschen?
9. Kannst du deine Daten korrigieren oder löschen?
Eine grundlegende Anforderung der DSGVO ist das sogenannte „Recht auf Vergessenwerden“: dein Recht, auf deine persönlichen Daten zuzugreifen und diese zu löschen.
Kannst du deine persönlichen Daten von der Organisation anfordern und jederzeit deren Korrektur oder endgültige Löschung verlangen? Erklären sie, wie du das machen kannst?
10. Wie erfährst du, wenn sie die Datenschutzrichtlinie ändern?
Datenschutzrichtlinien sollten regelmäßig aktualisiert werden, da sich Produkte und Umstände ändern.
Sagen sie, wie sie dich über Änderungen an der Richtlinie informieren und wie du dich abmelden kannst, wenn du sie nicht akzeptierst?
Wie man schnell eine Datenschutzrichtlinie überprüft
Versuche nicht, eine Datenschutzrichtlinie Zeile für Zeile zu lesen. Überfliege sie, um die Antworten auf die Hauptfragen oben zu finden, wobei du die Überschriften als Leitfaden verwendest.
Der einfachste Weg, die Passagen zu finden, die du genauer lesen musst, ist die Suche nach den folgenden Schlüsselwörtern (drücke Strg+F auf einem Windows- oder Linux-Computer oder Befehl+F auf einem Mac):
- teilen: Mit wem teilen sie deine persönlichen Daten und warum?
- Drittanbieter: Welche Drittanbieter – Subunternehmer, verbundene Unternehmen, Werbepartner und Datenbroker – haben Zugang zu deinen Daten?
- Kontrolle: Welche Kontrolle hast du über die geteilten Daten?
- Einwilligung: Spezifizieren sie, welche Weitergabe deine Zustimmung erfordert?
- Wahlmöglichkeit, abmelden: Welche Optionen hast du? Wie kannst du dich von Marketing-E-Mails und Telefonanrufen abmelden oder die Weitergabe deiner Daten an Drittanbieter stoppen?
- Cookies: Welche Cookies oder andere Tracking-Technologien verwenden sie? Kannst du verhindern, dass Drittanbieter Cookies auf deinen Geräten platzieren?
- aufbewahren, korrigieren, löschen (oder entfernen): Hast du das Recht, deine persönlichen Informationen anzufordern und sie löschen zu lassen?
- speichern, Speicherung, verschlüsseln: Wie sicher werden sie deine Daten speichern und wie lange?
- Recht: Welche Rechte hast du, insbesondere in Bezug auf Datenteilung und Löschung?
- Kontakt: An wen kannst du dich wenden, um dich über die Handhabung deiner Daten zu beschweren?
Um dir bei der Entscheidung zu helfen, kannst du einen allgemeinen Überblick über die Datenschutzpraktiken vieler Unternehmen erhalten, indem du auf Terms of Service; Didn’t Read (ToS;DR)(neues Fenster) suchst.
Zustimmen oder nicht zustimmen, das ist hier deine Frage
Nachdem du nun die Datenschutzrichtlinie gelesen oder überflogen hast, hier einige abschließende Gedanken, bevor du entscheidest, ob du sie akzeptieren möchtest.
Erstens, lass dich nicht von falschen Behauptungen täuschen, dass „wir verkaufen deine Daten nicht“(neues Fenster). Auch wenn eine Organisation deine Daten vielleicht nicht direkt verkauft, können andere Unternehmen für personalisierte Werbung bezahlen und im Gegenzug deine persönlichen Informationen erhalten.
Zweitens, sei vorsichtig bei unklarer Formulierung. Wenn ein Unternehmen ständig davon spricht, was es mit deinen Daten „möglicherweise“ oder „vielleicht“ tun „könnte“, denke zweimal nach, bevor du dich einer Organisation verpflichtest, die so sorglos mit deiner Privatsphäre umgeht.
Zuletzt ein Tipp von Marc Løebekken, dem Leiter der Rechtsabteilung hier bei Proton, der eine goldene Regel hat, wenn es um das Lesen (oder Schreiben) einer Datenschutzrichtlinie geht: „Sage, was du tust. Tue, was du sagst.“
Bemüht sich die Organisation wirklich darum, zu erklären, was sie tut, aktualisiert sie regelmäßig ihre Datenschutzrichtlinie und hält sie sich daran? Oder hat sie eine alte, undurchsichtige Datenschutzerklärung und eine Geschichte von zweifelhaftem Datenaustausch und Sicherheitsverletzungen? Wenn ja, denke noch einmal nach.
Wenn du dich dafür einsetzt, die Kontrolle über deine persönlichen Daten zurückzugewinnen, kannst du auch deine E-Mails mit unserem kostenlosen verschlüsselten Proton Mail sichern. Bei Proton ist es unsere Mission, Möglichkeiten für jeden zu schaffen, um online sicher zu sein und jederzeit die Kontrolle über seine Informationen zu behalten, also schließ dich uns an. Gemeinsam können wir ein Internet aufbauen, in dem Privatsphäre der Standard ist.
Häufig gestellte rechtliche Fragen zur Datenschutzrichtlinie
Was ist die DSGVO und wie beeinflusst sie Datenschutzrichtlinien?
Die DSGVO, kurz für Allgemeine Datenschutzverordnung(neues Fenster), ist das Datenschutzgesetz der Europäischen Union, das 2018 in Kraft trat. Sie legt fest, wie Unternehmen persönliche Daten schützen und sichern sollen, einschließlich Anforderungen an Datenschutzrichtlinien (siehe Tabelle unten). Jede Organisation, die persönliche Daten von Personen in der EU verarbeitet, muss die DSGVO einhalten, egal wo sich die Organisation befindet. Für weitere Details siehe unseren Kompletten Leitfaden zur DSGVO-Konformität(neues Fenster).
Gibt es in den USA ein Datenschutzgesetz, das der DSGVO entspricht?
Die USA haben kein bundesweites Gesetz, das der DSGVO entspricht, aber einzelne Bundesstaaten haben ähnliche Datenschutzgesetze verabschiedet, wie den California Consumer Privacy Act(neues Fenster). Weitere Informationen zu US-Vorschriften findest du im Kompletten Leitfaden zu Datenschutzgesetzen in den USA(neues Fenster).
Wendet das Vereinigte Königreich die DSGVO nach dem Brexit weiterhin an?
Ja, das Vereinigte Königreich hat die DSGVO nach dem Brexit in einem nationalen Gesetz beibehalten, das als Das UK-DSGVO(neues Fenster) bekannt ist.
Überprüfe deine Rechte: Hauptartikel der DSGVO, die Datenschutzrichtlinien regeln
DSGVO-Artikel | Titel | Behandelte Themen |
---|---|---|
Art. 5 | Grundsätze zur Verarbeitung personenbezogener Daten(neues Fenster) | Legt die allgemeinen Grundsätze fest: wie deine personenbezogenen Daten transparent für spezifische, legitime Zwecke verarbeitet und sicher für eine begrenzte Zeit gespeichert werden sollten. |
Art. 6 | Rechtmäßigkeit der Verarbeitung(neues Fenster) | Erläutert die sechs Bedingungen für die legale Verarbeitung deiner Daten, einschließlich „berechtigtes Interesse“ und „Zustimmung“. |
Art. 12 | Transparente Informationen, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person(neues Fenster) [du] | Stellt die Anforderungen an Datenschutzrichtlinien dar, auch wenn der Begriff nicht explizit verwendet wird: wie eine Organisation ihre Datenschutzpraktiken „in einer knappen, transparenten, verständlichen und leicht zugänglichen Form“ erklären muss. |
Art. 13 | Informationen, die bereitgestellt werden müssen, wenn personenbezogene Daten vom Betroffenen erhoben werden(neues Fenster) [du] | Beschreibt, welche Informationen eine Organisation dir geben sollte, wenn du persönliche Daten direkt übermittelst, zum Beispiel durch das Ausfüllen eines Formulars oder das Aufgeben einer Bestellung. |
Art. 14 | Informationen, die bereitgestellt werden müssen, wenn personenbezogene Daten nicht vom Betroffenen erhoben wurden(neues Fenster) [du] | Beschreibt, welche Informationen eine Organisation dir geben sollte, wenn sie Details über dich sammelt, die du nicht direkt übermittelt hast, zum Beispiel durch das Verfolgen deiner Kaufhistorie oder Browsing-Aktivität. |
Art. 15 | Recht auf Zugang durch die betroffene Person(neues Fenster) [du] | Dein Recht auf Zugang zu personenbezogenen Daten über dich, die von einer Organisation gehalten werden, und das Recht, eine Kopie zu erhalten. |
Art. 16 | Recht auf Berichtigung(neues Fenster) | Dein Recht, eine Organisation dazu zu bringen, die über dich gehaltenen personenbezogenen Daten zu korrigieren. |
Art. 17 | Recht auf Löschung („Recht auf Vergessenwerden“)(neues Fenster) | Dein Recht, eine Organisation dazu zu bringen, die über dich gehaltenen personenbezogenen Daten dauerhaft zu löschen. |
Art. 18 | Recht auf Einschränkung der Verarbeitung(neues Fenster) | Dein Recht, zu beschränken, was eine Organisation mit deinen personenbezogenen Daten macht. |