DSGVO – Die Datenschutzerklärung, Aufzucht und Hege
Wenn Du gerade schon unruhig bist, weil so viel Text folgt: Du kannst Dich auch einfach direkt per eMail an mich wenden.
***
Hinweis: Dieser Artikel stellt keine Rechtsberatung dar! Ich nehme gern sachdienliche Hinweise, um den Artikel auch für das in Deutschland geltende Recht zu optimieren, sollte sich dies durch Eröffnungsklauseln in der DSGVO unterscheiden.
Achtung: geballte Info! Hier geht es um die Details zur Datenschutzerklärung, die jeder mit einer Website, einem Blog, mit Kundenkontakt, etc. braucht, der mit personenbezogenen Daten zu tun hat. Wenn Du noch null Plan hast, was die DSGVO überhaupt ist, schau lieber erst einmal in den groben Überblick im Artikel “DSGVO – an sich ganz easy”!
***
Dass jede ordentliche Website ein Impressum hat, hat sich ja mittlerweile rumgesprochen, auch in Österreich. In Deutschland besteht die Impressumspflicht, da sind die Websitebetreiber schon ein bisschen weiter. Mit der DSGVO kommt jetzt auch noch eine verpflichtende Datenschutzerklärung hinzu. Diese kann auch in den AGB abgebildet sein, muss aber deutlich gekennzeichnet werden. Am besten kanst Du einfach einen eigenen Menüpunkt „Datenschutzerklärung“ einfügen, dann bist Du auf der sicheren Seite.
In eine Datenschutzerklärung gehören grundsätzlich:
- Name & Kontaktdaten des Verantwortlichen
- falls vorhanden: Name & Kontaktdaten des Datenschutzbeauftragten oder gesetzlichen Vertreters
- die mehr oder weniger lange Liste an Verarbeitungen von personenbezogenen Daten, die bei Dir anfällt (siehe Verarbeitungsverzeichnis) inkl. Zweck der Datenverarbeitung und Rechtsgrundlage! Die Rechtsgrundlagen, aufgrund derer man personenbezogene Daten verarbeiten darf, sind Einwilligung der betroffenen Person, Vertragserfüllung, rechtliche Verpflichtung, etc.. Lies Dir am besten Artikel 6 a-f der DSGVO noch einmal durch.
- an wen Du die Daten noch weitergibst, wo Du sie hochlädst, etc.
- wenn Du personenbezogene Daten nach außerhalb der EU (z.B. die USA) übermittelst, und ob es für dieses Land einen Angemessenheitsbeschluss der EU-Kommission gibt
- wenn Du Profiling anwendest, inkl. der Tragweite und Auswirkungen für die betroffenen Personen
- wenn Du vorhast, die Daten zu einem anderen, nicht ursprünglich vereinbarten Zweck, weiterzuverwenden
- Speicherdauer
- Rechtsbelehrung & Hinweis auf das Beschwerderecht bei der Aufsichtsbehörde
Deine Datenschutzerklärung ist – so wie das Verarbeitungsverzeichnis auch – ein lebendes Dokument. Immer wenn sich etwas an Deinem Setup ändert, Du ein neues Tool benutzt, etc., gehören beide, Verarbeitungsverzeichnis UND Datenschutzerklärung, entsprechend angepasst.
Zwei Hinweise: 1. Die Datenschutzerklärung muss in einfacher Sprache zur Verfügung gestellt werden, damit Deine Websitebesucher und Kunden sie auch schnell und einfach lesen und verstehen können. Du kannst auch eine sogenannte „layerd privacy policy“ anbieten, wo Du die Inhalte einmal in einfacher Sprache hast und dann mit einem Klick auf „mehr lesen“ (o.ä.) noch einmal mit Paragraphennennung für die Juristen zeigst. Der wichtige Teil ist allerdings der erste „Layer“ mit der einfachen Sprache, der Rest ist – für mein Verständnis – hübsches Beiwerk.
2. Vorsicht mit den Generatoren, die es im Netz gibt! – Auch der neuerdings von WordPress ausgelieferte! Natürlich ist es einfach, sich eine Datenschutzerklärung einfach zusammenzuklicken, aber so ein Generater kennt nur das, was man ihm vorab einfüttert. Wenn das nicht zu Deinem Setup passt und Du in Deiner Datenschutzerklärung Dinge drinstehen hast, die Du gar nicht in Verwendung hast oder einige Sachen nicht in Deiner Erklärung drin stehen, die Du aber tatsächlich verwendest, dann fällt das auf und könnte zu einer Prüfung Deines Unternehmens führen.
Update vom 21. Mai 2018: Vorsicht auch bei dem in WordPress eingebauten Generator. Der gibt mal alles aus, was WordPress grundsätzlich tut oder tun könnte, ungeachtet, ob Du diese Funktionalitäten überhaupt verwendest.
Außerdem geben die meisten dieser Generatoren Texte aus, die nicht als „einfache Sprache“ zu bewerten sind, wenn sie in Nebensätzen auf Paragraphen verweisen, die sich die User dann erst selbst irgendwo suchen müssen. Und, last not least, schau Dir die AGB der Generatoren genau an, wenn Du überlegst, einen zu benutzen! Üblicherweise steht da sowas wie: Haftungsausschluss – User ist selbst Schuld, der Hersteller des Generators kennt das Business des Users nicht und die herausgekommene Datenschtzerklärung ist nur dann gültig, wenn sie nochmal vom User durch dessen Anwalt hat prüfen und abstempeln lassen. Also Vorsicht, ob Du Dir damit dann wirklich etwas ersparst. Eine Möglichkeit wäre natürlich, wenn Du Dir eine Basis mit einem Generator klickst und von der ausgehend dann selber weitermachst, aber ob Du damit schneller bist, wenn Du selbst noch die ganzen verlinkten Paragraphen nachschlägst, ist auch fraglich. Aber probier es gerne aus.
Wenn Du Dienstleister bist, solltest Du gleich mit bedenken, dass Du auch für Deine Kunden eine Datenschutzerklärung brauchst, wie Du ihre Daten – auch offline – verarbeitest. Du kannst diese z.B. gleich in Deine Angebotsvorlage einbauen oder in Deine AGB integrieren, dort aber gut sichtbar kennzeichnen. Du kannst eine Datenschutzerklärung für alles zusammen erstellen (so wie ich) oder jeweils eine für die einzelnen Bereiche wie z.B. Website, Kunden, etc.. Wie Du das ggf aufteilst, bleibt Dir überlassen, Hauptsache, es ist übersichtlich und gut verständlich.
Wenn Du Dein Verarbeitungsverzeichnis beisammen hast, kannst Du schon loslegen.
Falls Du noch kein Verarbeitungsverzeichnis hast, schau in den Artikel „Verschaffe Dir einen Überblick & erstelle ein Verarbeitungsverzeichnis“.
In Deine Datenschutzerklärung gehört alles rein, was Personen auf Deiner Website aber auch sonst im Kontakt mir Dir und auf Deinen Kanälen widerfährt oder widerfahren kann und zwar immer mit der Angabe des Zwecks, warum Du diese oder jene Daten sammelst/auswertest/weitergibst und mit welcher Rechtsgrundlage Du diese Daten verarbeitest, z.B. aufgrund von gesetzlichen Speicherfristen bei der Buchhaltung oder/und weil die betroffenen Personen für die jeweilige Verarbeitung eingewilligt haben. Wenn Du für eine Verarbeitung keine Rechtsgrundlage hast, etwas nicht erklären kannst oder die einzige Erklärung ist: „Das machen doch alle so!“, dann überleg Dir, ob Du diese Auswertung / dieses Tracking oder sonstige Art der Verarbeitung wirklich brauchst.
Bleiben wir für den Moment bei Deiner Website: Kontaktformular, Newsletter, Kommentarfunktion im Blog, welches Tracking Du benutzt, Social Plugins, Webfonts, Cookies (welche und für welchen Zweck!), Drittanbieter-Content wie Werbung, Banner, sonstige Werbenetzwerke, FB-Pixel, Affiliate-Links, Zahlungsanbieter, etc. und an wen die Daten jeweils weitergegeben werden.
Auf meiner Website ist das nicht sehr viel, daher ist meine Datenschutzerklärung auch eher übersichtlich.
Je nachdem, wieviel Du Deinen Usern an Daten abverlangst, kann Deine Datenschutzerklärung durchaus lang werden. Schau Dir einmal z.B. die Datenschutzerklärung von Zalando an, die ist formal für mein Verständnis absolut ok. Inhaltlich kann einem schon schlecht werden, wenn man alles geballt auf einem Haufen sieht, wie die User ausgewertet werden.
Überlege noch einmal, ob Du all das, was Du momentan auf Deiner Website eingebaut hast, auch wirklich brauchst und trenne Dich ggf von Analytics, die Du ohnehin nie anschaust oder von Anbietern, wo Du schon seit einer Weile überlegst, sie loszuwerden. FB-Pixel beispielsweise jetzt nach Cambridge Analytica. Der oberste Grundsatz der DSGVO ist „Datensparsamkeit“.
Wenn Du jetzt anfängst, Deine Datenschutzerklärung zu erstellen, mach Dir am besten wieder eine Liste und sortiere einmal, in welche Bereiche sich alles am besten aufteilen lässt. Zum Beispiel:
Damit hast Du die Zwischenüberschriften für Deine Datenschutzerklärung schon einmal festgesteckt und musst die einzelnen Punkte „nur noch“ mit leicht verständlichem Text füllen. Das Gute daran ist, dass Du am Ende a) eine Datenschutzerklärung geschrieben und b) (hoffentlich) wirklich durchschaut hast, was für Tools bei Dir zum Einsatz kommen udn was sie genau machen.
Last not least gehört in Deine Datenschutzerklärung auch noch eine Rechtsbelehrung, denn Deine Kunden und User haben mit der DSGVO einige Rechte. Sie dürfen sich jederzeit bei Dir melden, wenn sie Fragen haben oder Auskunft möchten. Du hast ab Eingang der Anfrage dann einen Monat Zeit, darauf zu reagieren. Grundsätzlich haben alle natürlichen Personen das Recht auf Auskunft, Berichtigung ihrer Daten, Löschung (aka Recht auf vergessen werden), Einschränkung der Verarbeitung, Recht auf Übertragbarkeit und ein Recht auf Widerspruch. Außerdem haben sie ein Recht darauf, sich bei der Aufsichtsbehörde in Ihrem oder Deinem Land zu beschweren, wenn sie beispielsweise glauben, dass Du Deinen gesetzlichen Pflichten nicht ausreichend nachkommst, schludrig mit ihren Daten umgehst oder z.B. das Kopplungsverbot missachtest.
Hinweis: Nicht in Panik verfallen, wenn jemand will, dass Du ALLE Daten, die Du von der Person hast, SOFORT löschst. Erst auf die gesetzlichen Aufbewahrungspflichten achten!
***
Artikel aus dem Bereich Datenschutz:
Übersichtsartikel „DSGVO – An sich ganz easy“
„Was sind personenbezogene Daten?“
Verschaffe Dir einen Überblick & erstelle ein Verarbeitungsverzeichnis
Die Datenschutzerklärung – Aufzucht und Hege
Auftragsverarbeitungsverträge – sichere Dich rechtlich ab
7 Kommentare