Über dieses Dokument

Dieses Dokument bietet einen möglichen Rahmen für Datenschutz-Hinweise – also Informationen (gemäß Artikel 13 Abs. (1) u. (2) DSGVO) über die Verarbeitung der personenbezogenen Daten von Menschen, die mit deiner Firma in irgendeiner Weise zu tun haben, z.B. Bewerber:innen, Verbraucher:innen, Webseiten-Nutzer:innen, etc. (Informationen für eure Beschäftigten gehören nicht ins Internet, sondern eher auf eine interne Plattform, z.B. Intranet). Dies ist ein Vorschlag, wie die Informationen gegliedert werden können, sodass ein „roter Faden“ entsteht.

Hierfür werden mögliche Überschriften aufgelistet und darunter ggf. Erklärungen gegeben, wie der Abschnitt gefüllt werden kann. Diese Erklärungen oder auch Platzhalter (kursiv) sollen nicht Teil des fertigen Textes sein, sondern durch eigene Texte ersetzt werden. Die Angaben in grün geben den Abschnitt aus Artikel 13 an, den der jeweilige Punkt erfüllt.

Und jetzt geht’s los:

Datenschutz bei FIRMA / Informationen zum Datenschutz

Kurze Einleitung:

Die meisten Datenschutz-Hinweise (auf Webseiten) beginnen so: „Der Schutz Ihrer personenbezogenen Daten ist uns sehr wichtig / liegt uns am Herzen …“. Das ist nicht, was mit „Einleitung“ gemeint ist! Vielmehr soll hier kurz erklärt werden, welche Informationen man im folgenden Text findet (Inhalt und Aufbau). Folgende Fragen sollen durch die Einleitung beantwortet werden:

• Worum geht es im folgenden Text?
• Welche Verarbeitungen werden hier beschrieben?
• Wie sind die Datenschutz-Hinweise gegliedert?
• Welche allgemeinen Verarbeitungsgrundsätze gelten, d.h. wie gehen wir grundsätzlich mit personenbezogenen Daten um (Datensparsamkeit, Speicherbegrenzung, Zweckbindung)?

Je nach Umfang der Datenschutz-Hinweise ist ein Inhaltsverzeichnis, bzw. ein Menü mit Verlinkung zu den Unterkapiteln, z.B. in Form von Ziehharmonika-Elementen (Klick auf Überschrift/Thema öffnet den Baustein), sinnvoll.

Beispieltext:

Gegenstand dieser Datenschutz-Hinweise ist nicht nur die Verarbeitung personenbezogener Daten beim Besuch unserer Webseite, sondern auch unser Umgang mit deinen Daten, falls du Interessent:in oder Kunde/Kundin, Ansprechpartner bei einem unserer Partner oder Lieferanten bist oder wenn du dich bei uns bewirbst. Außerdem erläutern wir dir noch deine Rechte bezüglich deiner personenbezogenen Daten und nennen alle hierzu notwendigen Kontaktdaten.

Beschreibung Verarbeitungstätigkeit

Erstelle einen Abschnitt pro Thema, das du beschreiben willst. Die Beschreibung der Verarbeitungen durch die Webseite sollte in der Regel in mehrere Unterabschnitte unterteilt werden. Du musst aber nicht mit der Webseite beginnen. Priorisiere vielmehr danach, was den/die Leser:in am meisten interessieren könnte.

Jeder (Unter-)Abschnitt sollte folgende Struktur haben:

• Inhaltliche Beschreibung inkl. Zwecke 13 (1) c), Speicherdauer 13 (2) a) und Empfänger 13 (1) e)
• Ggf. die verfolgten Interessen 13 (1) d) (und Abwägung gegen die Interessen der Betroffenen, falls das den Betroffenen hilft die Entscheidung für die Verarbeitung besser zu verstehen)
• Ggf. Information zur Profilbildung und automatisierten Entscheidungsfindung 13 (2) f)
• Ggf. Informationen zur Datenübermittlung ins EU-Ausland: Empfänger, Länder, Garantien 13 (1) f) (falls die gesamte Verarbeitung im Ausland stattfindet, sollte dies bereits in der Einleitung beschrieben werden)
• Ggf. Pflicht zur Bereitstellung und Folgen einer Nichtbereitstellung 13 (2) e)
• Ggf. Abweichungen/Erweiterungen zu den Rechten oder spezielle Kontaktdaten 13 (2) b)
• Liste mit Zuordnung der o.g. Zwecke zu einer oder mehreren Rechtsgrundlagen 13 (1) c)

„Ggf.“ bedeutet, dass ein Punkt entfallen kann, wenn er nicht auf die beschriebene Verarbeitung zutrifft.

Beispiele für mögliche zu beschreibende Themen:

• Kontakt(daten)verwaltung, Kundenverwaltung
• Verwaltung unserer Geschäftspartner und Ansprechpartner
• Verkauf/Vermietung und Einkauf
• Finanzierung/Leasing
• Garantie
• Reparatur-/Reklamations-Service
• Kundenzufriedenheitsumfrage
• (personalisierte) Werbung
• Newsletter
• Kommunikation (per E-Mail, Telefon, u.a.)
• Veranstaltungen (Live, online)
• Besuchermanagement
• Fotos auf Veranstaltungen
• Bewerbungen
• Soziale Medien
• Webseite(n)

Beispiele für Unter-Abschnitte von WEBSEITE(N):

• Allgemeines / Logging / Ordnungsgemäßer Betrieb der Webseite
• Social Wall
• Chat
• Kontaktformular
• Newsletter-Bestellung – hier kann der Vorgang der Bestellung (und ggf. der Abbestellung) über die Webseite beschrieben werden. Der Rest kann im allgemeinen Abschnitt über Newsletter (s.o.) beschrieben werden
• Nutzungsanalyse
• Webshop
• Programme Dritter – hierzu gehört alles, was von anderen Anbietern/Webseiten nachgeladen wird (z.B. smartmaps.net als Kartendienst, 3Q für Video-Streaming, Matomo für Nutzungsanalyse – falls nicht lokal gehostet, Friendly Captcha, branchenspezifische Tools wie z.B. Neuwagenkonfigurator), alternativ kann auch ein Unter-Abschnitt pro Programm aufgeführt werden

Deine Rechte

Welche Rechte die betroffenen Personen tatsächlich geltend machen können, hängt von den beschriebenen Verarbeitungen ab. Es sollten nur die Rechte beschrieben werden, die in Bezug auf die beschriebenen Verarbeitungen auch tatsächlich geltend gemacht werden können (z.B. kann der Widerruf einer Einwilligung nur dort geltend gemacht werden, wo die Verarbeitung auf der Einwilligung der betroffenen Person beruht). Alternativ kann darauf hingewiesen werden, dass ein bestimmtes Recht für die beschriebenen Verarbeitungen nichtzutreffend ist.

Über folgende Rechte muss ggf. informiert werden:

• Ggf. Hinweis auf Recht auf Widerruf von Einwilligungen 13 (2) c) (falls nur ein Textbaustein die Einwilligung als Rechtsgrundlage verwendet, sollte dieser Punkt auch nur dort erklärt werden)
• Ggf. Hinweis auf Recht auf Widerspruch gegen eine Verarbeitung, inkl. Widerspruchsfolgen 13 (2) b)
• Hinweis auf Recht auf Auskunft (ggf. inkl. Kopie) und Berichtigung von eigenen Daten 13 (2) b)
• Hinweis auf Recht auf Einschränkung/Sperrung, Löschung: Verfahren, Identitätsnachweis 13 (2) b)
• Ggf. Hinweis auf Recht auf Datenübertragbarkeit 13 (2) b)
• Hinweis auf Recht zur Beschwerde beim Verantwortlichen, Prozesseigner, DSB und Aufsicht 13 (2) d)

Beispieltext:

Bezüglich unserer Verarbeitung deiner personenbezogenen Daten hast du ein Recht auf
• unentgeltliche Auskunft zur Verarbeitung deiner Daten (falls dir diese Seite nicht ausreicht). Bitte grenze ein, zu welcher Verarbeitung oder zu welchen Daten du detailliertere Auskunft wünschst.
• Datenübertragbarkeit; dieses ist gedacht für Daten, die du uns „bereitstellst“. Unserer Auffassung nach trifft dies für unsere Prozesse nicht zu. Dennoch hast du das Recht es zunächst zu fordern.
• Widerruf jeder Einwilligung, z.B. für Umfragen – jederzeit, formlos und ohne Angabe von Gründen.
• Widerspruch gegen Verarbeitungen, die mit „unserem Interesse“ begründet sind, z.B. Fotos.
• Berichtigung deiner Daten. Daran haben auch wir ein großes Interesse.
• Einschränkung der Verarbeitung, z.B. bzgl. Werbung. Dann tragen wir dich aus unseren Verteilern aus.
• Löschung deiner Daten. Wir löschen unverzüglich alle Daten, für die keine Aufbewahrungspflicht besteht.

Beachte, dass wir deine Identität prüfen müssen, um eine Auskunft an eine andere Person oder eine nicht von dir beauftragte Löschung auszuschließen. Der Umfang dieses Nachweises hängt von deiner Anfrage ab. Sprich uns also einfach an!

Kontaktdaten

Folgende Informationen sollten hier gegeben werden:

• (allgemeine Angaben zum Verantwortlichen als -> Impressum) 13 (1) a)
• Ggf. allgemeine Fragen/Aufträge, z.B. Adresskorrekturen -> Kundenservice 13 (1) a)
• Fragen und Beschwerden zum Datenschutz -> DSB 13 (1) b)
• Nennung der zuständigen Aufsichtsbehörde (inkl. Beschwerdeformular) 13 (2) d)

Beispieltext:

Verantwortlich für die Verarbeitung deiner Daten ist FIRMASTRASSE, PLZ ORTKONTAKTDATEN
(alternativ kannst du den Firmennamen auch direkt mit dem Impressum verlinken und den Rest hier weglassen)

Hast du allgemeine Anfragen oder einen Auftrag, wende dich am besten direkt an:
kundenservice@firma.de, +49 (0)815 – 123-4567

Haben wir etwas nicht verständlich erklärt? Dann sprich uns bitte einfach an:
datenschutz@firma.de, +49 (0)815 – 123-8910

Deine E-Mails an diese Adresse gehen an unser Datenschutzteam, dem der/die Datenschutzbeauftragte angehört.
Wir melden uns unverzüglich bei dir.

Du kannst dich auch direkt bei der Aufsicht beschweren. Für uns zuständig ist:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Postfach 102932, D-70025 Stuttgartpoststelle@lfd.bwl.de, +49 (0)711 6155410

Lizenz

CC0. Sie dürfen diese Anleitung beliebig verändern und reproduzieren. Die Angabe der Quelle ist nett, aber nicht gefordert.
Wir freuen uns aber sehr über Anmerkungen und Verbesserungsvorschläge per (verschlüsselter?) E-Mail :-)

---