Die Datenschutzerklärung auf Ihrer Webseite ist nicht die einzige Erklärungen, die Sie brauchen. Jeder Vertrag, den man mit einem Kunden oder einem Mitarbeiter eingeht, benötigt eine Datenschutzerklärung. Die Datenschutzerklärung auf Ihrer Webseite ist leider kein Sammelbecken für alle Datenschutzerklärungen. So viel Ordnung muss sein.
Und was ist das?
Datenschutzerklärungen erfüllen die Informationspflicht, die entsteht, sobald man personenbezogene Daten über eine Person erhebt.
Datenschutzerklärungen kommen beispielsweise zum Einsatz als Anlage an einen Dienstleistungs- oder Kaufvertrag mit einer natürlichen Person als Kunden.
Wieso ist das sinnvoll?
Datenschutzerklärungen sollen der Transparenz gegenüber Kunden dienen. Wer Waren kauft oder Dienstleistungen empfängt, soll auf einfache und verständliche Weise darüber informiert werden, welche seiner Daten zu welchen Zwecken verarbeitet werden. Aber liest irgendjemand diese Datenschutzerklärungen? Und ist das nicht immer der gleiche dröge Block an gestelzten Formulierungen?
Vermutlich lesen nur wenige Menschen Datenschutzerklärungen, es sei denn, man interessiert sich sehr dafür, welche Daten über die Apps auf dem Smartphone des eigenen Kindes an x-beliebige Unternehmen in fremde Länder fließen. Und hier kommen wir zu unserem Zielpublikum für Datenschutzerklärungen: diejenigen Kunden, die es aus einem konkreten Grund genau wissen wollen oder ein konkretes Anliegen zu ihren eigenen Daten haben, mit dem sie sich bei Ihnen melden wollen.
Ihre Datenschutzerklärung ist also das Aushängeschild Ihres Unternehmens bezüglich des Datenschutzes. Und die Datenschutzerklärung braucht nicht in unverständlichem Kanzleistil verfasst sein. Die DS‑GVO gibt im Gegenteil sogar vor, dass Datenschutzerklärungen „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ geschrieben sein sollen.
Was braucht man?
Der Datenschutz stellt verschiedene Anforderungen an Datenschutzerklärungen, je nachdem
Fall 1: ob personenbezogene Daten bei der betroffenen Person selbst erhoben werden („direkte Erhebung“),
Fall 2: ob solche Daten aus anderen Quellen erhoben werden („indirekte Erhebung“), oder
Fall 3: ob man Daten über die betroffene Person auf beide Weisen erhebt.
Zu Fall 1, „direkte Erhebung“: Die betroffene Person muss sofort informiert werden. Im Normalfall geschieht eine solche direkte Erhebung, wenn Interessenten oder Kunden die Webseite eines Unternehmens besuchen oder wenn sie mit einem Dienstleister einen Kauf- oder Dienstleistungsvertrags abschließen. Bei Datenschutzerklärungen für Webseiten gelten besondere Anforderungen, die unter Pflicht 6 erläutert werden. An Kauf- und Dienstleistungsverträge sind entsprechend Datenschutzerklärungen als Anlage anzufügen. Das Gleiche gilt übrigens auch für Arbeitsverträge. Auch hier sind die Informationspflichten zu erfüllen.
Zu Fall 3, „indirekte Erhebung“: Die betroffene Person muss bei der ersten Kontaktaufnahme mit ihr informiert werden oder wenn ihre Daten einem Geschäftspartner offengelegt werden, spätestens jedoch innerhalb eines Monats nach der Erlangung der Daten.
Für direkte und indirekte Erhebungen gelten unterschiedliche Vorgaben zum Inhalt der Datenschutzerklärung, die unten jeweils gesondert hervorgehoben werden.
Zu Fall 2, beide Erhebungsformen: Werden die Daten sowohl bei der betroffenen Person selbst erhoben als auch aus anderen Quellen, kann man zwei separate Erklärungen an die betroffene Person schicken oder eine zusammengefasste Erklärung, die die unterschiedlichen Vorgaben zu Datenschutzerklärungen bei indirekter und direkter Erhebung erfüllt. Eine zusammengefasste Erklärung ist normalerweise praktikabler und wirkt weniger belästigend.
Die Form
Adressat einer Datenschutzerklärung ist immer die konkrete, natürliche Person, deren Daten man verarbeitet. Absender ist immer der Verantwortliche, also die Geschäftsführung des Unternehmens, das die Daten verarbeitet.
Der Datenschutzerklärung soll wie erwähnt präzise, transparent und verständlich geschrieben sein. Sie soll den Betroffenen leicht zugänglich gemacht werden. Am besten ist also, dass die Datenschutzerklärung in dem Medium vorliegt, in dem ein Vertrag abgeschlossen wird: Liegt der Vertrag in einem PDF vor, sollte die Datenschutzerklärung Teil dieses PDF-Dokuments sein oder zumindest in der gleichen E-Mail versendet werden. Wird der Vertrag über einen Browser in einem Online-Shop geschlossen, sollte ein Link zu einer Datenschutzerklärung führen, so wie man es auch tagtäglich sieht.
Der Gegenstand
Eine Datenschutzerklärung soll gewährleisten, dass mit Kundendaten und Daten anderer natürlicher Personen transparent umgegangen wird und ihnen so die Möglichkeit erleichtert wird, Kontrolle über ihre eigenen Daten zu behalten, wohin diese fließen und was mit ihnen gemacht wird.
Der Inhalt
Folgende Informationen müssen in einer Datenschutzerklärung enthalten sein, egal ob die Erhebung der Daten direkt oder indirekt stattfindet:
- der Name und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
- die Kontaktdaten des Datenschutzbeauftragten, wenn es einen gibt;
- die Zwecke, für die die personenbezogenen Daten verarbeitet werden. Hier sei an die Verständlichkeit erinnert. Man sollte sich nicht in unverständlichen Fachjargon oder Businness-Sprech flüchten, den kein normaler Mensch versteht;
- die Rechtsgrundlage für die Verarbeitung (hier sollte man einen Experten zurate ziehen, um diese einmal abzuklären);
- die Speicherdauer der Daten oder, falls es nicht möglich ist, die vorherzusehen, die Kriterien für die Festlegung der Speicherdauer;
- welche Betroffenenrechte die Person hat, deren Daten verarbeitet werden (Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch gegen die Verarbeitung, Datenübertragbarkeit, Beschwerde bei einer Aufsichtsbehörde, und wenn die Verarbeitung auf einer Einwilligung beruht, das Recht auf Wiederruf dieser Einwilligung);
- wenn man die Daten an Geschäftspartner weiterleitet, in einer Cloud lagert oder in irgendeiner Weise weiteren Unternehmen oder Personen außerhalb des Unternehmens offenlegt, müssen die Kategorien von Empfängern genannt werden. Das heißt, benutzt man in seinem Unternehmen eine Cloud, muss dieser Umstand genannt werden. Es muss allerdings nicht die konkrete Cloud genannt werden;
- wenn man die Daten an Empfänger in Ländern außerhalb der EU übermitteln möchte, muss in der Datenschutzerklärung stehen, ob ein Angemessenheitsbeschlusses der EU-Kommission zum Datenschutzniveau in diesem Land besteht oder nicht. Falls kein Angemessenheitsbeschluss besteht, müssen vom Empfänger im Ausland angemessenen Garantien gegeben worden sein und es muss in der Datenschutzerklärung angegeben werden, wo und wie diese Garantien eingesehen werden können. Auch in diesem Fall lohnt es sich, einen Experten hinzuzuziehen, um die Rechtmäßigkeit der Übermittlung der Daten zu prüfen, auf welcher Grundlage sie stattfinden kann und wie diese in einer Datenschutzerklärung kommuniziert werden kann);
- wenn man automatisierte Entscheidungsfindung oder Profiling vornimmt, welche Logik dabei involvierte ist und welche Tragweite und angestrebte Auswirkung diese Verarbeitung für die betroffene Person hat.
Bei direkter Erhebung müssen zusätzlich noch folgende Informationen enthalten sein:
- ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist;
- ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen;
- welche mögliche Folgen die Nichtbereitstellung der Daten für die betroffene Person haben würde.
Bei indirekter Erhebung müssen zusätzlich noch folgende Informationen enthalten sein:
- welche Kategorien personenbezogener Daten verarbeitet werden;
- aus welchen Quellen die Daten stammen und ob diese öffentlich zugänglich sind.
Wie sieht das zum Beispiel aus?
Muster für Datenschutzerklärungen, die keine Datenschutzerklärungen für Webseiten sind, sind rar. Grundsätzlich reicht ein formloser Text, der die oben genannten Informationen durchgeht. Es gibt keine Vorgaben außer der Präzision, Transparenz und Verständlichkeit.
Wer kann einem das machen?
Eine Datenschutzerklärung zu schreiben ist nicht allzu aufwändig. Wenn aber Daten in Länder außerhalb der EU übermittelt werden, wird es knifflig und man sollte einen Experten hinzuziehen. Solche Übermittlungen finden häufig statt, wenn Cloud-Dienste oder Newsletter-Services genutzt werden. Auch viele kleine, oft in einer Basis-Version kostenfreie Dienste zum Projektmanagement sind außerhalb der EU, meist in den USA, angesiedelt. Man steht also nicht selten vor der Situation, zumindest für diese konkreten Verarbeitungstätigkeiten die Beratung eines Experten in Anspruch zu nehmen.
-
Datenschutzerklärung für Apps519,00 € exkl. USt.
exkl. MwSt.
-
Datenschutz-Paket für Ärzte, Psychotherapeuten und Zahnärzte499,00 € exkl. USt.
exkl. 19 % MwSt.
-
Erstellung Ihrer Datenschutzerklärung519,00 € exkl. USt.
exkl. 19 % MwSt.
-
Datenschutz-Check für Ihre Website (Webseiten-Check)519,00 € exkl. USt.
exkl. 19 % MwSt.
-
Datenschutzerklärung für Beschäftigte149,00 € exkl. USt.
exkl. MwSt.
-
Datenschutzerklärung für Websites149,00 € exkl. USt.
exkl. MwSt.
Nochmal in trocken!
- Art. 12–14 DS‑GVO,
- Erwägungsgründe 60–62 DS‑GVO.
Wo erfahre ich mehr darüber?
- Die deutsche Datenschutzkonferenz geht noch mehr ins Detail in ihrem Kurzpapier Nr. 10, Informationspflichten bei Dritt- und Direkterhebung.
- Die Gesellschaft für Datenschutz und Datensicherheit e.V. informiert etwas allgemeiner nicht nur über die Informationspflichten, sondern über Transparenzpflichten im Allgemeinen in ihrer GDD-Praxishilfe DS-GVO VII, Transparenzpflichten bei der Datenverarbeitung. Transparenzpflichten bezieht hier Betroffenenrechte mit ein (Pflicht 4).