Anforderungen an Datenschutz-Hinweise

Verantwortliche müssen Betroffene aktiv darüber informieren, welche Daten sie wozu verarbeiten. Gemäß Artikel 12-14 DSGVO sind die Informationen zu übermitteln, wenn Daten erhoben werden. Die Informationen müssen präzise, verständlich, leicht zugänglich und in einer klaren und einfachen Sprache formuliert sein. Eine Information kann entfallen, sofern Betroffene bereits darüber verfügen.

Dabei ist es sinnvoll, Vorgänge im Kontext und aus Sicht der Betroffenen zu betrachten: Beim Kontaktformular auf einer Webseite geht es weniger darum, wie die Webseite die Daten verarbeitet, sondern eher darum, was typischerweise anschließend mit den eingegebenen Inhalten passiert.

Mehrere Prozesseigner müssen sich absprechen: Ein Bewerber reist zur Vorstellung an und bekommt Reisekosten erstattet. Muss nun die Personalabteilung oder die Buchhaltung über die Speicherung aus steuerlichen Gründen informieren? Sollen gleich am Anfang möglichst alle Informationen gegeben werden oder ist es besser, bei jeder weiteren Erhebung/Verwendung kleine Häppchen zu verabreichen?

In der Praxis hat sich ein zweistufiger Ansatz bewährt, der von den Aufsichtsbehörden toleriert wird: Bei der Erhebung werden die wesentlichen Fakten zur Verarbeitung in einfachen Worten beschrieben. Für die formalen, vollständigen Angaben wird auf eine zentrale Datenschutz-Webseite verwiesen.

Diese Webseite nennen wir Datenschutz-Hinweise. Sie enthält Abschnitte zu allen nach außen gerichteten Geschäftsprozessen – übersichtlich gegliedert. Informationen für Beschäftigte sollten auf einer separaten Seite "Datenschutz-Hinweise für Beschäftigte" bereitgestellt werden, z.B. im Intranet.

Verständlich, nicht juristisch!

Sehen Sie Datenschutz-Hinweise nicht nur als Pflicht an. Sie sind eine weitere Chance, Vertrauen zu gewinnen. Dazu braucht es Klartext: Konkrete Fakten in einer für die Betroffenen verständlichen Sprache. Der Text sollte insgesamt so kurz wie möglich sein und für jedes Verfahren beantworten:

Welche Daten werden zu welchen Zwecken erhoben?
Wozu werden diese an wen weitergegeben?
Wie lange bleiben sie wo gespeichert?

Die DSGVO fordert weitere Angaben, die unabhängig von den Verfahren sind:

Welche Rechte habe ich als Betroffene:r? Wie kann ich diese geltend machen?
Wer ist der Verantwortliche? Wie erreiche ich den Datenschutzbeauftragten?

Welche Angaben genau zu beschreiben sind und wie Sie diese strukturieren können, haben wir im Muster-Rahmen beschrieben. Besonderheiten bei Datenschutz-Hinweisen für Webseiten haben wir separat zusammengestellt. Unsere Beispiel-Hinweise zeigen, was dabei herauskommen kann.

Ableiten aus Verarbeitungstätigkeiten

Wir gehen davon aus, dass Sie ein Verzeichnis der Verarbeitungstätigkeiten erstellt haben, und empfehlen, die Abschnitte der Datenschutz-Hinweise zunächst daraus abzuleiten. Dabei können ähnliche Vorgänge zusammengefasst und komplexe Verfahren aufgeteilt beschrieben werden:

Datenschutz-Hinweise aus dem Verzeichnis der Verarbeitungstätigkeiten, den technischen und organisatorischen Maßnahme und Verträgen ableiten

Ableiten der Datenschutz-Hinweise aus der allgemeinen Datenschutz-Dokumentation

Typischerweise kommt es vor, dass im Verfahren A erhobene Daten in einem Verfahren B weiter genutzt werden. Im Text des Abschnitts zu A verweist man dann auf den Abschnitt B. So werden Datenflüsse sichbar. Genau diese Transparenz ist das Ziel der Informationspflichten.

In besonderen Fällen kann eine Gliederung der Datenschutz-Hinweise nach anderen Gesichtspunkten sinnvoller sein, z.B. bei der Information zu einer App oder einem Internet-Dienst.

Die Webseite ist zwar kein Verfahren, sie verdient aber aufgrund ihrer Komplexität einen Abschnitt in den Datenschutz-Hinweisen. Auch hier ist es sinnvoll, auf andere Verfahren zu verweisen. Beispiel Reklamation: Das Formular nimmt nur die Daten entgegen, die Abwicklung ist separat beschrieben.

Benennung der Informationen zum Datenschutz

Das Datenschutzrecht spricht davon, dass Verantwortlich den Betroffenen Informationen mitteilen müssen. Für Dokumente, die diese Informationen enthalten, werden unterschiedliche Begriffe verwendet. Es gibt keine "juristisch korrekte" Bezeichnung, wohl aber günstigere und ungünstigere Begriffe:

Datenschutz-Hinweise oder -Informationen sind aus unserer Sicht ideal. Diese Begriffe sind neutral. Sie sagen aus, dass es um einseitige Mitteilungen des Verantwortlichen geht. Juristen denken bei -Erklärung möglicherweise an Erklärungen mit Rechtswirkung, Bürger eher daran, dass ihnen etwas erklärt wird.

Vermeiden sollten Sie -Vereinbarung oder -Bedingungen, weil diese einen Vertrag bzw. AGB-Recht suggerieren. Ebenfalls für ungünstig halten wir die Begriffe -Bestimmungen und -Richtlinie. Eine Richtlinie ist etwas, das Betroffene einhalten müssen. Darum geht es aber nicht.

Lizenz: CC BY-SA 4.0 DE = darf kommerziell verwendet werden, wenn Sie auf diese Seite verlinken.
Stand: 24.08.2023. Wir freuen uns aber über fachliche Anmerkungen und Verbesserungsvorschläge.