Arbeitshilfe "Muster-Rahmen für Datenschutz-Hinweise" – Datenschutz individuell

Muster-Rahmen für Datenschutz-Hinweise

Wir empfehlen, Datenschutz-Hinweise zu allen Geschäftsprozessen an zentralen Stellen bereitstellen. Da Organisationen viele Prozesse haben, wird es schnell unübersichtlich. Wenn die Abschnitte von verschiedenen Prozess-Eignern geschrieben werden, kommen verschiedene Schreibstile hinzu.

Dieser Muster-Rahmen liefert eine logische Struktur für die Darstellung von Informationen gemäß Artikel 13 (1,2) DSGVO. Ziel ist, dass sich Betroffene leicht zurechtfinden – durch die Möglichkeit, auf ein bestimmtes Thema gezielt zugreifen zu können und durch einen konsistenten Aufbau.

Dargestellt wird die Verarbeitung der personenbezogenen Daten von Personen, die mit Ihrer Firma in irgend einer Weise zu tun haben, z.B. Bewerber:innen, Verbraucher:innen, Webseiten-Nutzer:innen, etc.

Dies ist ein Vorschlag, wie die Informationen in den Datenschutz-Hinweisen gegliedert werden können, sodass ein „roter Faden“ entsteht.

Hierfür werden mögliche Überschriften aufgelistet und darunter ggf. Erklärungen gegeben, wie der Abschnitt gefüllt werden kann. Diese Erklärungen oder auch Platzhalter sollen nicht Teil des fertigen Textes sein, sondern durch eigene Texte ersetzt werden. Die Wörter mit gestrichelter Linie informieren über die Zugehörige Rechtsgrundlagen aus Artikel 13 oder nähere Erläuterungen.

Datenschutz bei FIRMA / Informationen zum Datenschutz

Kurze Einleitung

Die meisten Datenschutz-Hinweise (auf Webseiten) beginnen so: „Der Schutz Ihrer personenbezogenen Daten ist uns sehr wichtig / liegt uns am Herzen …“. Das ist nicht, was mit „Einleitung“ gemeint ist! Vielmehr soll hier kurz erklärt werden, welche Informationen man im folgenden Text findet (Inhalt und Aufbau). Folgende Fragen sollen durch die Einleitung beantwortet werden:

Worum geht es im folgenden Text?
Welche Verarbeitungen werden hier beschrieben?
Wie sind die Datenschutz-Hinweise gegliedert?
Welche allgemeinen Verarbeitungsgrundsätze gelten, d.h. wie gehen wir grundsätzlich mit personenbezogenen Daten um (Datensparsamkeit, Speicherbegrenzung, Zweckbindung)?

Je nach Umfang der Datenschutz-Hinweise ist ein Inhaltsverzeichnis, bzw. ein Menü mit Verlinkung zu den Unterkapiteln, z.B. in Form von Ziehharmonika-Elementen (Klick auf Überschrift/Thema öffnet den Baustein), sinnvoll.

Beispiel

Gegenstand dieser Datenschutz-Hinweise ist nicht nur die Verarbeitung personenbezogener Daten beim Besuch unserer Webseite, sondern auch unser Umgang mit deinen Daten, falls du Interessent:in oder Kunde/Kundin, Ansprechpartner bei einem unserer Partner oder Lieferanten bist oder wenn du dich bei uns bewirbst. Außerdem erläutern wir dir noch deine Rechte bezüglich deiner personenbezogenen Daten und nennen alle hierzu notwendigen Kontaktdaten.

Beschreibung Verarbeitungstätigkeit

Erstelle einen Abschnitt pro Thema, das du beschreiben willst. Die Beschreibung der Verarbeitungen durch die Webseite sollte in der Regel in mehrere Unterabschnitte unterteilt werden. Du musst aber nicht mit der Webseite beginnen. Priorisiere vielmehr danach, was den/die Leser:in am meisten interessieren könnte.

Jeder (Unter-)Abschnitt sollte folgende Struktur haben

Inhaltliche Beschreibung inkl. Zwecke, Speicherdauer und Empfänger
Ggf. die verfolgten Interessen (und Abwägung gegen die Interessen der Betroffenen, falls das den Betroffenen hilft die Entscheidung für die Verarbeitung besser zu verstehen)
Ggf. Information zur Profilbildung und automatisierten Entscheidungsfindung
Ggf. Informationen zur Datenübermittlung ins EU-Ausland: Empfänger, Länder, Garantien (die rechtliche Situation im Empfängerland sollte – z.B. in einer Fußnote oder in einem PopUp-Fenster – verständlich klargestellt werden – weitere Ausführungen hierzu findest du hier; falls die gesamte Verarbeitung im Ausland stattfindet, sollte dies bereits in der Einleitung beschrieben werden)
Ggf. Pflicht zur Bereitstellung und Folgen einer Nichtbereitstellung
Ggf. Abweichungen/Erweiterungen zu den Rechten oder spezielle Kontaktdaten
Zuordnung der o.g. Zwecke zu einer oder mehreren Rechtsgrundlagen – z.B. in einer Liste

"Ggf.“ bedeutet, dass ein Punkt entfallen kann, wenn er nicht auf die beschriebene Verarbeitung zutrifft.

Die Aufsichtsbehörden fordern die konkrete Nennung der Rechtsgrundlagen einschließlich der Angabe der einschlägigen Artikel. Unserer Ansicht nach läuft das der in Artikel 12 Abs. (1) DSGVO geforderten verständlichen Form zuwider. Um der Forderung trotzdem gerecht zu werden, halten wir einen Link auf den passenden Gesetzestext für ausreichend.

Mögliche Gliederungspunkte für GESCHÄFTSPROZESSE

Kontakt(daten)verwaltung, Kundenverwaltung
Verwaltung unserer Geschäftspartner und Ansprechpartner
Verkauf/Vermietung und Einkauf
Finanzierung/Leasing
Garantie
Reparatur-/Reklamations-Service
Kundenzufriedenheitsumfrage
(personalisierte) Werbung
Newsletter
Kommunikation (per E-Mail, Telefon, u.a.)
Veranstaltungen (Live, online)
Besuchermanagement
Fotos auf Veranstaltungen
Bewerbungen
Soziale Medien
Webseite(n)

Mögliche Unterabschnitte bei WEBSEITEN

Allgemeines / Logging / Ordnungsgemäßer Betrieb der Webseite
Social Wall
Chat
Kontaktformular
Newsletter-Bestellung
Nutzungsanalyse
Webshop
Programme Dritter

Beispiel für eine Zusatzinformation zur Datenübermittlung in ein EU-Ausland

Die EU-Kommission hat mit den USA das „EU-U.S. Data Privacy Framework“ (DPF) vereinbart. Die hier genannte Firma hat sich dazu verpflichtet, die Prinzipien des DPF einzuhalten und dadurch die Ihnen nach EU-Recht zustehenden Rechte aus der DSGVO einzuhalten.

Deine Rechte

Welche Rechte die betroffenen Personen tatsächlich geltend machen können, hängt von den beschriebenen Verarbeitungen ab. Es sollten nur die Rechte beschrieben werden, die in Bezug auf die beschriebenen Verarbeitungen auch tatsächlich geltend gemacht werden können (z.B. kann der Widerruf einer Einwilligung nur dort geltend gemacht werden, wo die Verarbeitung auf der Einwilligung der betroffenen Person beruht). Alternativ kann darauf hingewiesen werden, dass ein bestimmtes Recht für die beschriebenen Verarbeitungen nichtzutreffend ist.

Über folgende Rechte muss ggf. informiert werden

Ggf. Hinweis auf Recht auf Widerruf von Einwilligungen (falls nur ein Textbaustein die Einwilligung als Rechtsgrundlage verwendet, sollte dieser Punkt auch nur dort erklärt werden)
Ggf. Hinweis auf Recht auf Widerspruch gegen eine Verarbeitung, inkl. Widerspruchsfolgen
Hinweis auf das Recht auf Auskunft (ggf. inkl. Kopie) und Berichtigung von eigenen Daten
Hinweis auf Recht auf Einschränkung/Sperrung, Löschung: Verfahren, Identitätsnachweis
Ggf. Hinweis auf Recht auf Datenübertragbarkeit
Hinweis auf Recht zur Beschwerde beim Verantwortlichen, Prozesseigner, DSB und Aufsicht

Beispiel

Bezüglich unserer Verarbeitung deiner personenbezogenen Daten hast du ein Recht auf:

Unentgeltliche Auskunft zur Verarbeitung deiner Daten (falls dir diese Seite nicht ausreicht). Bitte grenze ein, zu welcher Verarbeitung oder zu welchen Daten du detailliertere Auskunft wünschst.
Datenübertragbarkeit; dieses ist gedacht für Daten, die du uns „bereitstellst“. Unserer Auffassung nach trifft dies für unsere Prozesse nicht zu. Dennoch hast du das Recht es zunächst zu fordern.
Widerruf jeder Einwilligung, z.B. für Umfragen – jederzeit, formlos und ohne Angabe von Gründen.
Widerspruch gegen Verarbeitungen, die mit „unserem Interesse“ begründet sind, z.B. Fotos.
Berichtigung deiner Daten. Daran haben auch wir ein großes Interesse.
Einschränkung der Verarbeitung, z.B. bzgl. Werbung. Dann tragen wir dich aus unseren Verteilern aus.
Löschung deiner Daten. Wir löschen unverzüglich alle Daten, für die keine Aufbewahrungspflicht besteht.

Beachte, dass wir deine Identität prüfen müssen, um eine Auskunft an eine andere Person oder eine nicht von dir beauftragte Löschung auszuschließen. Der Umfang dieses Nachweises hängt von deiner Anfrage ab. Sprich uns also einfach an!

Kontaktdaten

Folgende Informationen sollten hier gegeben werden

Allgemeine Angaben zum Verantwortlichen
Kontaktdaten des DSB für Fragen und Beschwerden zum Datenschutz
Nennung der zuständigen Aufsichtsbehörde (evtl. inkl. Beschwerdeformular)

Beispiel

Verantwortlich für die Verarbeitung deiner Daten ist FIRMA, STRASSE, PLZ ORT, KONTAKTDATEN

Haben wir etwas nicht verständlich erklärt? Dann sprich uns bitte einfach an:
datenschutz@firma.de, +49 (0) 1234 56789 10
(E-Mails an diese Adresse gehen direkt an unser Datenschutzteam, dem der/die Datenschutzbeauftragte angehört. Wir melden uns unverzüglich bei dir.)

Du kannst dich auch direkt bei der Aufsicht beschweren. Für uns zuständig ist:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Postfach 102932, D-70025 Stuttgartpoststelle@lfd.bwl.de, +49 (0)711 6155410

zurück zur Übersichtseite

Lizenz: CC BY-SA 4.0 DE = darf kommerziell verwendet werden, wenn Sie auf diese Seite verlinken.
Stand: 24.08.2023. Wir freuen uns aber über fachliche Anmerkungen und Verbesserungsvorschläge.