Die Informationspflichten

Für die einen sind es die Informationspflichten, für die anderen sind es die Datenschutzhinweise. In beiden Fällen soll Transparenz durch Informationen hergestellt werden.

Worum geht‘s?

Personenbezogene Daten können neben einem reinen Informationswert auch einen materiellen Marktwert haben. Eine Person soll daher grundsätzlich darüber informiert werden, DASS eine Verarbeitung ihrer personenbezogenen Daten erfolgt, WER diese Verarbeitung durchführt, WOFÜR die Daten verwendet werden und WER diese erhält.

Die Information muss immer vom verantwortlichen Datenverarbeiter an den betroffenen Personenkreis erfolgen und dient der Transparenz einer Datenverarbeitung.

Die Informationen sollen den betroffenen Personen einen Überblick über die Datenverarbeitung geben und die Möglichkeit eröffnen, ihre Rechte möglichst einfach in Anspruch zu nehmen. Auch versteckten und überraschenden Verarbeitungen, die zu einem Nachteil für eine betroffene Person führen können, soll dadurch ein Riegel vorgeschoben werden.

Bei der Umsetzung dieser Informationspflicht werden verschiedene, gängige Bezeichnungen benutzt wie z. B.

  • Datenschutzhinweise,
  • Datenschutzerklärung,
  • Informationen zur Datenverarbeitung,
  • Pflichtangaben gemäß Art. 12–14 DSGVO, bis hin zur
  • Datenschutz-Richtlinie.

Wir haben uns hier auf die Bezeichnung „Datenschutzhinweise“ verständigt.

Muss das denn sein?

Ja. Die Informationspflichten sind grundsätzlich zu erfüllende Pflichten des Verantwortlichen zur Transparenz bei der Datenverarbeitung. Die Pflicht zur Transparenz und damit der Nachvollziehbarkeit einer Datenverarbeitung findet sich in der DSGVO unter den Grundsätzen für die Verarbeitung personenbezogener Daten im Art. 5 bereits im ersten Satz wieder. Die Pflicht zur Information ist in den Art. 13 und 14 DSGVO konkretisiert.

Die Nicht-Bereitstellung dieser Informationen kann empfindliche Bußgelder nach sich ziehen. Denken Sie bitte auch daran, dass Sie die Informationen spätestens dann bereitstellen müssen, wenn Sie eine Auskunftsanfrage einer betroffenen Person oder eine Anfrage einer Aufsichtsbehörde erhalten.

  • Art. 5 Abs. 1a DSGVO – Grundsätze für die Verarbeitung
  • Art. 12 Abs. 1 DSGVO – Transparente Informationen
  • Art. 13 DSGVO – Informationspflicht bei Datenerhebung
  • Art. 14 DSGVO – Informationspflicht bei Datenerhebung durch Dritte
  • Art. 15 DSGVO – Auskunftsrecht betroffener Personen

Sie wollen mehr wissen?

Datenschutzhinweise erstellen und für gute Erreichbarkeit sorgen

Aus Gründen der Transparenz soll eine Verarbeitung für die betroffene Person nachvollziehbar sein. Das bedeutet, dass Sie über die Datenverarbeitung und deren Rechtmäßigkeit aufklären müssen. Das Gesetz hat diesem Thema die Art. 12 bis 14 DSGVO gewidmet. Die Erfüllung der sich hieraus ergebenden Informationspflichten erfolgt i. d. R. mittels Datenschutzhinweisen oder Datenschutzerklärungen.

Ganz ehrlich … haben Sie sich schon einmal die Datenschutzhinweise auf einer Website bei einem Gewinnspiel durchgelesen? Etwa nicht?

Zugegeben, derzeit interessiert dies nur einen kleinen Teil. So lesen z. B. Datenschutzbeauftragte, Anwälte, Aufsichtsbehörden oder spitzfindige Personen gerne mal Datenschutzhinweise auf Websites durch. Doch dann ist es eigentlich schon zu spät, denn diese Klientel sucht eher gezielt nach Fehlern und Lücken und nicht unbedingt nach Informationen zu Ihrer Datenverarbeitung.

Sorgen Sie also vor und bleiben Sie einen Schritt voraus. Informieren Sie darüber, wer Sie sind, was Sie mit welcher Erlaubnis tun und an wen man sich bei Fragen wenden kann. So können Sie gegebenenfalls Nachfragen vermeiden, welche wiederum zu interner Mehrarbeit führen würden.

Einsatzzwecke identifizieren

Zunächst ist es wichtig, die unterschiedlichen datenrelevanten Prozesse im Unternehmen zu kennen. In der Regel haben Sie bereits ein Verzeichnis der Verarbeitungstätigkeiten, kurz VVT, und können sich dort die nötigen Informationen beschaffen. Ein VVT gibt unter anderem an, zu welchen unterschiedlichen Zwecken personenbezogene Daten verarbeitet werden.

Sie haben noch gar kein VVT? Dann suchen Sie sich eine bestimmte Datenverarbeitung aus. Eine Unterscheidung zwischen Datenverarbeitungen kann erst einmal ganz grob erfolgen, zum Beispiel in „Datenverarbeitung auf der Website“ und „Datenverarbeitungen im Unternehmen“. Auch ist eine Unterscheidung nach Personenkreisen möglich. Zum Beispiel: Kunden, Beschäftigte, Lieferanten/Dienstleister/Geschäftspartner, Website-Besucher …

Stellen Sie sich also zuallererst die Frage, für welche Verarbeitung und für welchen Personenkreis Sie die passenden Datenschutzhinwiese erstellen wollen.

Szenario 1: Sie wollen die Informationspflichten für Ihre Verarbeitungen von personenbezogenen Daten erfüllen, welche auf oder über Ihre Website stattfinden.

Szenario 2: Sie wollen die Informationspflichten für Ihre Vertragskunden erfüllen, wenn diese – unabhängig von Ihrem Website-Angebot – eine Geschäftsbeziehung mit Ihnen eingehen.

Setzen Sie Ihre Informationen in ein gutes Licht

Form der Informationsbereitstellung

Die Form der Informationsbereitstellung ist frei wählbar, das Gesetz macht hierzu keine formellen Vorgaben. Folgende Aspekte sind grundsätzlich zu berücksichtigen:

Die Informationen müssen

  • präzise,
  • transparent,
  • verständlich und
  • leicht zugänglich sein (langes Suchen vermeiden, leichtes Auffinden ermöglichen).
  • Die Sprache soll dabei klar und einfach sein
  • besonders bei Angeboten, die sich an Kinder richten.

Wo und wie bereitstellen?

Jetzt müssen Ihre Datenschutzhinweise nur noch auffindbar sein. Es lohnt sich, sich im Vorfeld Gedanken darüber zu machen, wo und wie die Informationen bereitgestellt werden. So behalten Sie den Überblick und vermeiden doppelte Ablagestellen und am Ende verschiedene Versionen, weil die eine aktualisiert wurde, die andere aber nicht.

Ziehen Sie auch ruhig einen Medienbruch in Betracht. Zum Beispiel können Sie auf einer Karte für ein Gewinnspiel einen Link angeben, welcher auf Ihre Webseite führt und die Datenschutzhinweise zum Gewinnspiel aufführt.

Werden Sie kreativ – aber bleiben Sie simpel

In den Datenschutzhinweisen können Sie die Rechtsgrundlage in Worte fassen, statt einen trockenen DSGVO-Artikel wiederzugeben. Zum Beispiel:

Statt: „Rechtsgrundlage der Verarbeitung ist Art. 6 Abs.1 b DSGVO.“ könnten Sie auch schreiben: „Wir verarbeiten Ihre personenbezogenen Daten zur Erfüllung eines Vertrages mit Ihnen und/oder zur Durchführung von vorvertraglichen Maßnahmen.“

ODER
Statt: „Rechtsgrundlage der Verarbeitung ist Art. 6 Abs.1 a DSGVO.“ könnten Sie auch schreiben: „Wir verarbeiten Ihre personenbezogenen Daten, weil wir eine Einwilligung dafür von Ihnen erhalten haben.“

Mögliche Umsetzung zur Bereitstellung von Datenschutzhinweisen:

Datenschutzhinweise für Kunden
  • zur Vertragsunterzeichnung in Papierform,
  • digital, als Link-Hinweis in einem Formular und Hinterlegung auf der Website,
  • als Aushang im Ladengeschäft

Datenschutzhinweise für Lieferanten/Dienstleister
  • zur Vertragsunterzeichnung in Papierform,
  • digital, als Link-Hinweis in einem Formular und Hinterlegung auf der Website,
  • als Link-Hinweis in Ihrer E-Mail-Signatur

Datenschutzhinweise für Beschäftigte
  • mit dem Arbeitsvertrag und jeweils aktuelle Version im Intranet oder
  • in einem Share-Ordner für Datenschutzthemen bereitstellen

Datenschutzhinweise für Bewerbende
  • digital bei Online-Erfassung der Daten,
  • als Link-Hinweis in einer Bestätigungsmail zum Erhalt der Unterlagen (bei Post-/E-Mail-Bewerbung)

Datenschutzhinweise für Teilnehmende von Veranstaltungen, Gewinnspielen, Newslettern
  • in Einladungen oder auf Karten mit Link-Hinweis und Hinterlegung auf der Website,
  • als Aushang vor Ort

Datenschutzhinweise für Website-Besuche
  • digital auf der Website

Welche Informationen müssen verfügbar sein?

Die Inhalte der Informationspflichten sind gesetzlich vorgegeben. In einer Checkliste haben wir Ihnen die wichtigsten Punkte zusammengestellt und einfach erläutert. Nachfolgend stellen wir die zu erteilenden Informationen vor.

Übersicht der zu erteilenden Informationen

Name und Kontaktdaten des Verantwortlichen
  • Anzugeben sind Name und Kontaktdaten des Verantwortlichen sowie ggf. dessen Vertreter
  • Es sind der korrekte Firmenname (XYZ GmbH, ZXY GbR) oder Vor-/Nachname bei Einzelpersonen anzugeben.

Kontaktdaten eines benannten Datenschutzbeauftragten

Art. 13 Abs. 1b DSGVO

  • Wurde eine Person zum Datenschutzbeauftragten benannt, sind die Kontaktdaten anzugeben.
  • Z. B. Kontakt zum Datenschutzbeauftragtern: E-Mail datenschutz@xyz.de Postalisch: XYZ GmbH, Datenschutzbeauftragter, XYZ-Str.1...

Zweck und Rechtsgrundlage der Verarbeitung

Art. 13 Abs. 1c DSGVO

  • Die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung sind zu bezeichnen.

Bestehen eines berechtigten Interesses

Art. 13 Abs. 1d DSGVO

  • Wenn die Datenerhebung auf einem berechtigten Interesse des Verantwortlichen oder eines Dritten beruht (Art. 6 Abs. 1 lit. f DS-GVO) ist dies anzugeben.

Empfänger oder Kategorien von Empfängern der personenbezogenen Daten

Art. 13 Abs. 1e DSGVO

  • Hier sind aktive Datenübermittlungen als auch passive Zugriffsrechte gemeint. Bei einer Offenlegung an Empfänger muss es sich nicht um eine „aktive“ Übermittlung handeln. Es reichen „passive“ IT-Zugriffsrechte aus. Geben Sie dabei an, ob sich der Empfänger in einem Drittland befindet oder es sich um eine internationale Organisation handelt.

Absicht des Datenexports in ein Drittland

Art. 13 Abs. 1f DSGVO

  • Sofern die Absicht besteht, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, ist dies anzugeben.
  • Es ist dann auch über das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission zu informieren
  • Im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 hat einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind, zu erfolgen.

Geplante Speicherdauer

  • die geplante Speicherdauer oder, falls dies nicht möglich ist, die Kriterien für die Festlegung der Speicherdauer

Hinweis auf Betroffenenrechte
  • Die Informationen zu den Betroffenenrechten müssen das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie das Recht auf Datenübertragbarkeit umfassen.

Recht zum jederzeitigen Widerruf einer Einwilligung
  • Es ist über das Recht zum jederzeitigen Widerruf einer Einwilligung und die Tatsache, dass die Rechtmäßigkeit der Verarbeitung auf Grundlage der Einwilligung bis zum Widerruf unberührt bleibt, zu informieren.

Beschwerderecht bei einer Aufsichtsbehörde
  • Informieren Sie die Betroffenen über ihr Recht, sich an eine Aufsichtsbehörde wenden zu können. Dies muss nicht zwingend die Aufsichtbehörde sein, die für Ihr Unternehmen zuständig ist. Grundsätzlich kann eine Beschwerde bei einer Aufsichtsbehörde im Mitgliedstaat des gewöhnlichen Aufenthaltsorts, des Arbeitsplatzes oder am Ort des mutmaßlichen Verstoßes erhoben werden.

Ggf. bestehende Verpflichtung zur Datenbereitstellung
  • Es ist über eine ggf. bestehende gesetzliche oder vertragliche Verpflichtung des Verantwortlichen, personenbezogene Daten Dritten bereitzustellen und die möglichen Folgen der Nichtbereitstellung der personenbezogenen Daten zu informieren.

Ggf. automatisierte Entscheidungsfindung (einschließlich Profiling)

  • Im Falle einer automatisierten Entscheidungsfindung (einschließlich Profiling) sind aussagekräftige Informationen über die verwendete Logik, die Tragweite und angestrebten Auswirkungen einer derartigen Verarbeitung bereitzustellen.

Sie brauchen die Angaben nur dann zu machen, wenn diese auch zutreffen. Das bedeutet, dass Sie nicht angeben müssen, was Sie nicht machen. Bedenken Sie aber, dass dies in gewissen Fällen Nachfragen vorwegnehmen kann. Folgende informative Sätze haben Sie vielleicht in dieser oder anderer Form schon einmal gelesen. Sie können eventuellen Nachfragen entgegenwirken, sind aber nicht zwingend anzugeben:

  • „Wir übermitteln Ihre Daten nicht in ein Drittland außerhalb der EU oder des EWR.“
  • „In keinem Fall geben wir Ihre Daten an andere als die oben Angegeben weiter.“
  • „Auf unserer Website setzen wir nur technisch notwendige Cookies ein, welche wir zur Anzeige unseres Angebotes nutzen. Weitere Cookies werden nicht gesetzt.“

Es versteht sich von allein, dass Sie diese Angaben nur machen, wenn dem tatsächlich so ist!

Checkliste
zur Erstellung von Datenschutzhinweisen

Halten Sie die Informationen aktuell

Datenschutzhinweise sind nicht in Stein gemeißelt. Deswegen sind dies auch grundsätzlich erst einmal nur Informationen oder Hinweise. Gerade zu Beginn ist es gar nicht so einfach, zwischen unterschiedlichen Verarbeitungszwecken zu unterscheiden und über diese korrekt zu informieren – vor allem, wenn noch kein Verzeichnis der Verarbeitungstätigkeiten (VVT) existiert.

Wichtig ist jedoch, dass Sie zumindest eine generelle Information zum Datenschutz bereithalten und diese nach und nach verfeinern und aktualisieren. Besonders bei Websites finden sich immer wieder Datenverarbeitungen, welche übersehen, vergessen oder in den Datenschutzhinweisen nicht aufgeführt sind.

Machen Sie sich erst an Schritt 02 „Überblicken“, denn in einem gut geführten Verzeichnis der Verarbeitungstätigkeiten (VVT) sind idealerweise bereits alle Informationen enthalten, die zur Erstellung von Datenschutzhinweisen erforderlich sind.

Wie geht‘s weiter?

Schritt 04
Weitersagen