Schritt für Schritt: Weitersagen

Erstellen Sie Datenschutzhinweise. Damit informieren Sie über Ihre Datenverarbeitungen und haben die Rechte der Betroffenen im Blick.

Worum geht‘s?

Es geht um die Transparenz einer Datenverarbeitung. Sie müssen jede Person darüber informieren, DASS eine Verarbeitung ihrer personenbezogenen Daten stattfindet oder stattfinden soll, WOFÜR die Daten verwendet werden und WER diese erhält. Darüber hinaus gibt es noch weitere mitzuteilende Informationen.

Die betroffenen Personen wissen damit schon einmal grob Bescheid und erhalten einen ersten Überblick über die Datenverarbeitung. Gleichzeitig werden die Betroffenen auch über ihre Rechte in Kenntnis gesetzt. Diese Informationen bereitzustellen, dient dem Grundsatz der Fairness und der Transparenz.

Betreffende Artikel der DSGVO und Erwägungsgründe

Art. 12 DSGVO – Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person
Art. 13 DSGVO – Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person
Art. 14 DSGVO – Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden
Erwägungsgründe 58 und 60-62

Basiswissen

Informationspflichten

Basiswissen

Grundsätze der Datenverarbeitung

Was ist zu tun?

Informieren Sie sich zuerst, um andere zu informieren.

Bevor Sie Informationen zu einer Datenverarbeitung bereitstellen können, müssen Sie diese selbst kennen. In der Regel enthält ein gut geführtes Verzeichnis der Verarbeitungstätigkeiten (VVT) alle Informationen, die Sie benötigen, um die Datenschutzhinweise zu erstellen.

Basiswissen

Verarbeitungsverzeichnis

Schritt für Schritt

Überblicken (Verarbeitungsverzeichnis)

Sinnvolle Vorüberlegungen

Wie soll‘s denn heißen? In der DSGVO findet sich der Begriff „Informationspflicht“. Für die Umsetzung der Pflichten haben sich einige Begriffe etabliert, wie z. B.:

Datenschutzerklärung
Datenschutzhinweise
Informationen zur Datenverarbeitung
Pflichtangaben gemäß Artikel 12–14 DSGVO

… und weitere ähnliche Formulierungen

Treffen Sie eine Entscheidung, wie Sie Ihre Datenschutzhinweise nennen wollen.

Wir verwenden aus Gründen der Einheitlichkeit den Begriff „Datenschutzhinweise“.

Verwenden Sie einen gleichbleibenden einheitlichen Begriff für Ihre „Datenschutzhinweise“.

Für wen oder was sind die Datenschutzhinweise?

Wenn Sie über mehrere verschiedene Datenverarbeitungen informieren müssen und diese nicht in einem Schriftstück bündeln können oder wollen, dann können Sie auch dies in separaten Datenschutzhinweisen berücksichtigen. Zum Beispiel:

Datenschutzhinweise … für unsere Website
Datenschutzhinweise … für unsere Kunden
Datenschutzhinweise … für Gewinnspiele
Datenschutzhinweise … für Bewerbungen
Datenschutzhinweise … für Beschäftigte

Website oder „Sonstiges“? – Noch eine Vor-Entscheidung

Gibt es einen Unterschied zwischen Datenschutzhinweisen auf der Website und anderen Datenschutzhinweisen?

Die Antwort lautet: Nein. Bei beiden handelt es sich um die Erfüllung der Informationspflicht aus der DSGVO.

Die Erfordernisse für Datenschutzhinweise auf einer Website unterscheiden sich nicht von anderen. Jedoch nutzt eine Website verschiedene technische Datenverarbeitungsvoränge (z. B. Log-Files, Cookies) und dient meist als Kontakt zur Außenwelt (insb. Kunden, Bewerbende, Interessierte). Auch um Geschäfte anzubahnen oder abzuschießen, kommt sie zum Einsatz. Das kann bei der Erstellung von Datenschutzhinweisen ziemlich verwirrend sein. Die Website bietet jedoch einen guten Platz, die Datenschutzhinweise zentral zu hinterlegen und zu veröffentlichen.

Allumfassende oder separate Datenschutzhinweise einsetzen?

Wenn Sie Datenschutzhinweise erstellen, sind folgende Unterscheidungen hilfreich:

Sie möchten Datenschutzhinweise nur für Ihre Website erstellen.
Sie möchten Datenschutzhinweise für andere Verarbeitungen erstellen, welche nicht über Ihre Website erfolgen (zum Beispiel Datenschutzhinweise für Bewerbungen).
Sie möchten Datenschutzhinweise kombinieren und sowohl über die Verarbeitungen auf Ihrer Website als auch über andere Verarbeitungen informieren.

Egal, ob Sie die Datenschutzhinweise für die Verarbeitungen auf und durch Ihre Website oder für sonstige Verarbeitungen erstellen wollen – wir empfehlen Ihnen, anhand unserer Checkliste zu erlernen, wie Sie grundsätzlich jede Informationspflicht erfüllen können und was es dabei zu beachten gilt.

Wie und wo Sie diese dann bereitstellen, ist eine andere Überlegung.

So, nun können Sie loslegen…

Einfach die Checkliste und das Ausfüllmuster nutzen

Wenn Sie sich nun ausreichend informiert fühlen, legen Sie einfach los. Nehmen Sie die bereitgestellte Checkliste und das Ausfüllmuster zur Hand und gehen Sie die Punkte nacheinander durch. Vergessen Sie nicht, dass im VVT bereits wertvolle Informationen vorliegen, auf welche Sie nun zurückgreifen können.

Sie müssen nicht alle Punkte aus der Checkliste in Ihren Datenschutzhinweisen erwähnen. Das bedeutet, wenn ein Punkt nicht zutrifft, können Sie ihn einfach weglassen. Sie müssen dann nicht extra schreiben „Es findet kein Profiling bei uns statt.“ oder „Wir haben nicht die Absicht, personenbezogene Daten in ein Drittland zu übermitteln, und tun dies auch nicht.“

Checkliste

zur Erstellung von Datenschutzhinweisen

Ich konnte nicht alles beantworten – und jetzt?

Wichtigste Informationen zuerst

Wichtig ist vor allem, dass Sie

sich als Datenverarbeiter (Verantwortlicher) im Sinne der DSGVO erkennbar geben und
den Zweck sowie die Rechtsgrundlage nennen,
angeben, wie Sie erreichbar sind, wenn jemand ein Anliegen zum Datenschutz hat, und
über die Betroffenenrechte aufklären.

Offene Fragen klären

Natürlich sind auch die anderen Pflichtangaben zu machen. Wenn Sie jetzt noch nicht alle Informationen eintragen konnten, so wissen Sie zumindest aufgrund der Checkliste, welche Fragen noch zu klären sind. Versuchen Sie diese offenen Fragen mit den zuständigen Personen zu beantworten.

Vorsicht mit der Angabe „findet nicht statt“

Wenn Sie eine Frage nicht beantworten können, setzen Sie das nicht gleich mit „findet nicht statt“. Dies gilt insbesondere für Verarbeitungen auf oder durch die Website. Es gibt genügend Möglichkeiten für Laien, Ihre Website auf unerwähnte Datenverarbeitungen hin zu untersuchen und Sie daraufhin mit einer nicht rechtmäßigen Verarbeitung zu konfrontieren. Eventuell erhalten Sie dann sogar Post von der Aufsichtsbehörde.

Wie kann die Rechtsgrundlage bezeichnet werden?

Für die Rechtsgrundlage müssen Sie nicht immer den exakten Artikel aus der DSGVO benennen. Die Rechtsgrundlage ist auch aus der Beschreibung erkennbar.

Wenn Sie zum Beispiel schreiben: „Wir verarbeiten Ihre Daten, weil wir einen Vertrag mit Ihnen abgeschlossen haben und die Daten für die Vertragsdurchführung benötigen.“, dann geht die Rechtsgrundlage (Art. 6 Abs. 1 b DSGVO) aus der Beschreibung eindeutig hervor. Außerdem klingt es nachvollziehbar.

Vollständig können Sie auch schreiben: „Wir verarbeiten Ihre Daten, weil Sie uns eine Einwilligung hierfür erteilt haben.“ (Rechtsgrundlage Art. 6 Abs. 1 a DSGVO). Damit haben Sie sogleich zu erkennen gegeben, dass Sie den passenden Artikel der DSGVO selbstverständlich kennen.

Sie müssen die Informationen übrigens spätestens dann vollständig bereitstellen können, wenn Sie eine Auskunftsanfrage einer betroffenen Person oder eine Anfrage einer Aufsichtsbehörde erhalten.

Stellen Sie die Datenschutzhinweise zur Verfügung

Wichtig ist vor allem, dass die Datenschutzhinweise leicht auffindbar und verfügbar sind.

Wie Sie Ihre Datenschutzhinweise bereitstellen, ist eine konzeptionelle und auf Ihre Bedürfnisse zugeschnittene Überlegung. Allgemeine Angaben können ZENTRAL angegeben werden und müssen sich nicht ständig wiederholen. Vermeiden Sie möglichst doppelte Ablagen Ihrer aktuell gültigen Datenschutzhinweise.

Datenschutzhinweise unterscheiden sich in Gestaltung, Umfang, Ansprache und Bereitstellung stark voneinander. Wie empfehlen Ihnen daher einen Blick auf unsere unterschiedlichen Praxisbeispiele.