Liebe Leserinnen und Leser,
unsere Erfahrung ist: Eine Datenschutzerklärung (kurz: DSE) liest außer Datenschützern kaum jemand – bis eine Anfrage, Beschwerde, anwaltliche Abmahnung oder Prüfung kommt. Dann zählt, dass Ihre Erklärung klar, vollständig und – nicht zuletzt – auch auffindbar ist, denn sonst kann es teuer werden. In diesem Newsletter erklären wir, warum Sie eine Datenschutzerklärung benötigen und was die Pflichtangaben sind. Wir geben Ihnen einen Hinweis zum Umfang und eine kurze Checkliste an die Hand.
Warum überhaupt eine DSE? – Informationspflichten verständlich erklärt
Die Datenschutzgrundverordnung (DSGVO) verpflichtet Sie, transparent und verständlich darzustellen, welche personenbezogenen Daten Sie verarbeiten, wofür, auf welcher Rechtsgrundlage, an wen Daten gegebenenfalls weitergegeben werden, wie lange sie gespeichert werden – und welche Rechte Betroffene haben. Das sind die sogenannten Informationspflichten nach Art. 12–14 der DSGVO. Die Datenschutzerklärung ist Ihr Dokument, mit dem Sie diese Pflicht nachweisbar und prüfsicher erfüllen. Aber was heißt das genau?
Wann müssen Sie informieren?
- Wenn Sie die Daten direkt bei der betroffenen Person erheben: spätestens bei der Datenerhebung, also beispielsweise, wenn Sie eine Bewerbung erhalten oder wenn Sie auf Ihrer Homepage ein Kontaktformulareingerichtet haben.
- Bei indirekter Erhebung: spätestens innerhalb eines Monats nach Erhalt der Daten, beim ersten Kontakt oder vor der ersten Weitergabe – je nachdem, was zuerst eintritt (z. B. Daten, die Sie von einer Auskunftei erhalten).
Wie müssen informieren (Art. 12)?
- Klar & auffindbar, keine Fachsprache: Die Datenschutzerklärung muss leicht auffindbar sein (z.B. Zugang zur Datenschutzerklärung auf jeder Unterseite der Homepage mit nur einem Klick) und sie muss so geschrieben sein, dass sie auch für Laien verständlich ist.
- Die Angaben müssen zweckbezogen sein: pro Verarbeitungszweck (Versand Newsletter, Bearbeitung von Bewerbungen etc.) sind die folgenden Angaben zu machen: Welche Daten? Wofür? Rechtsgrundlage? Empfänger? Speicherdauer? Welche Rechte hat der Betroffene?
- Praktisch: Kurzinfo „am Ort des Geschehens” + Link zur Datenschutzerklärung, also z.B. ein kurzer Hinweis zum Datenschutz direkt unter dem Kontaktformular mit Link zur Datenschutzerklärung.
Warum lohnt sich das?
Weniger Rückfragen & Beschwerden, geringeres Bußgeld- oder Abmahnungs-Risiko, Förderung von Vertrauen bei Kunden und Beschäftigten und klare Nachweisbarkeit, dass Sie den Pflichten in Bezug auf Datenschutz nachkommen. Eine fehlende Information, dass Sie personenbezogene Daten verarbeiten, kann zu einem Bußgeld führen. Und leider gibt es Menschen, die gezielt nach nicht vollständigen Datenschutzerklärungen suchen.
Die Pflichtangaben in der Datenschutzerklärung – ohne Juristendeutsch (mit Mini-Beispielen)
Die Basics:
- Verantwortlicher & Kontakt
Beispiel: Muster GmbH, Musterstraße 1, 12345 Musterstadt, datenschutz@muster.de - Datenschutzbeauftragte/r (DSB) – falls benannt: Kontaktdaten angeben. Sie können, müssen aber nicht den Namen der / des Datenschutzbeauftragten angeben. Aber: Es muss eine Kontaktadresse verfügbar sein, auf die in der Regel nur der Datenschutzbeauftragte Zugriff hat, und nicht weitere Beschäftigte.
- Zwecke der Datenverarbeitung
Beispiel: Bearbeitung von Bewerbungen, Vertragsabwicklung, Versand von Newslettern, Durchführung von Schulungen oder Webinaren - Rechtsgrundlagen je Zweck
Zu jeder Datenverarbeitung müssen Sie eine Rechtsgrundlage angeben. Diese ergeben sich aus Art. 6 der DSGVO: Erfüllung eines Vertrags (6 b z.B. Arbeitsvertrag), rechtliche Verpflichtung (6 c – z. B. Pflichten, die sich aus dem HGB ergeben), berechtigtes Interesse des Unternehmens (6 f, beispielsweise das berechtigte Interesse, Marketing zu betreiben), Einwilligung (6 a z.B. die Einwilligung zu einem Newsletter)
Empfänger der Daten & Weitergabe der Daten
- Empfänger der Daten: an wen geben Sie die personenbezogenen Daten weiter?
Beispiel: Steuerberater, Hosting-Anbieter - Drittlandübermittlungen
Werden die Daten in ein sogenanntes Drittland übermittelt. Ein Drittland ist ein Land außerhalb des Geltungsbereichs der DSGVO. Das ist zum Beispiel der Fall, wenn Sie Microsoft-Produkte einsetzen, denn in diesem Fall können Sie nicht ausschließen, dass Daten auch an Microsoft in den USA übermittelt werden. Wenn Daten in ein Drittland übermittelt werden, müssen Sie nachweisen, wie garantiert wird, dass die Daten im Drittland genauso gut geschützt sind, wie innerhalb des Geltungsbereichs der Datenschutzgrundverordnung. Im Falle von Microsoft ist das aktuell die Zertifizierung nach dem EU-US Data Privacy Abkommen. - Speicherdauer/Löschfristen
Die Datenschutzerklärung muss auch eine Information dazu enthalten, wie lange Sie personenbezogene Daten speichern.
Betroffenenrechte & Besonderheiten
- Die Betroffenenrechte sind anzugeben, ebenso wie das Recht auf Widerruf:
Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit. Geben Sie auch an, wo Betroffene ihre Rechte geltend macht können, z.B. in dem Sie eine E-Mail-Adresse angeben, oder auf die Postadresse verweisen. - Beschwerde bei einer Aufsichtsbehörde
Geben Sie die zuständige Aufsichtsbehörde an, gerne auch mit den vollständigen Kontaktdaten der Behörde. Sie müssen die Behörde jenes Bundeslandes angeben, in dem Ihre Firma Ihren Hauptsitz hat. - Automatisierte Entscheidungen/Profiling (falls vorhanden) – sollten Sie automatisierte Entscheidungsfindung einsetzen oder Profiling betreiben, so sind Sie verpflichtet, das anzugeben und zu erklären, wie und warum das erfolgt.
Unsere Empfehlung: Eine DSE für alles – nicht nur für die Website
Rein rechtlich gibt es keine Vorgaben, wo und wie Sie die betroffenen Personen über die Verarbeitung Ihrer Daten informieren. Rechtlich ist es also völlig in Ordnung, auf der Webseite eine Datenschutzerklärung zu haben, in der Sie nur über die Verarbeitungen informieren, die im Zusammenhang der Webseite stattfinden (z.B. Kontaktformular, Cookies) und für alle anderen Verarbeitungstätigkeiten jeweils eine eigene Dateninformation erstellen (Beschäftigte, Kunden, Lieferanten, Bewerber, …..). Das bedeutet aber einen sehr hohen Pflegeaufwand und es passiert schnell, dass in einem der vielen Dokumente eine nötige Aktualisierung vergessen wird. Daher unsere Empfehlung: eine zentrale, modulare Datenschutzerklärung für alle relevanten Datenverarbeitungen.
Ihre Vorteile: Änderungen einmal pflegen, keine Widersprüche, klare Nutzerführung. Kurztexte bleiben sinnvoll (Cookie-Banner, Schild Video, Formular-Fußnoten) – verlinken aber auf die zentrale Datenschutzerklärung.
Umsetzung in 3 Schritten
- Bereiche festlegen: Zu welchen Zwecken verarbeiten Sie personenbezogene Daten?
- Pro Bereich die Kernfragen beantworten: Welche Daten? Wofür? Rechtsgrundlage? Empfänger? Dauer der Verarbeitung?
- Verlinken statt verdoppeln – arbeiten Sie mit Links:
unter dem Kontaktformular, bei der Anmeldung zum Newsletter, in Ihrem Bewerbungstool, in Ihrer E-Mailsignatur: Weisen Sie in einem kurzen Satz darauf hin, dass Sie personenbezogene Daten verarbeiten und verweisen Sie (mit Link) zu den Details auf die Datenschutzerklärung.
Zu guter Letzt: Geben Sie in der Datenschutzerklärung den Stand an (Datum der letzten Überarbeitung) und die Version. So ist sofort sichtbar, dass Sie die Erklärung regelmäßig prüfen. Und legen Sie sich die Prüfung der Datenschutzerklärung alle 6 – 12 Monate auf Wiedervorlage.
Wenn wir bei Ihnen DSB oder Sie Kunde unseres Basispaketes sind, übernehmen wir diese Prüfung für Sie einmal im Jahr.
Sie merken schon: Eine vollständige Datenschutzerklärung ist kein „Mal eben”. Falls Sie Unterstützung brauchen: Wir prüfen Ihre DSE und erstellen eine verständliche, modulare und vollständige Datenschutzerklärung.
Herzlichen Dank fürs Lesen
Ihr Dapro Serv-Team
Klingt kompliziert? Wir unterstützen Sie gerne. Sprechen Sie uns an. Datenschutz kann einfach sein.
Sie haben Anmerkungen zu unseren Newslettern? Wir freuen uns sehr über jedes Feedback.
Bitte beachten Sie, dass dieser Newsletter der Information dient und keine Rechtsberatung darstellt!
