Datenschutzerklärung

Bei der “Datenschutzerklärung” handelt es sich nicht um einen Vertrag bzw. um AGB, sondern um die (einseitigen) Hinweise eines Datenverarbeiters gegenüber den Betroffenen.

Ein paar Beispiele, wann Sie eine (bzw. mehrere) Datenschutzerklärung(en) brauchen:

• Wenn Sie eine Webseite betreiben,
• wenn Sie Fotos Ihrer Besucher machen,
• wenn Sie Personal einstellen,
• wenn Sie Verträge mit anderen schließen,
• wenn Sie Mitarbeiter und Gäste akkreditieren,
• wenn Sie Referenten beauftragen,
• wenn Sie Veranstaltungen streamen oder aufzeichnen und Menschen darauf erkennbar/hörbar sind,
• und viele mehr.

Sie sehen: Im Regelfall reicht eine Erklärung bspw. auf der Webseite nicht aus, da ein Unternehmen üblicherweise mehrere Datenverarbeitungen gegenüber mehreren Betroffenen vornimmt – die zum richtigen Zeitpunkt am richtigen Ort (nämlich grundsätzlich bei der Erhebung der jeweiligen Daten) zur Verfügung gestellt werden müssen.

Inhalte einer Datenschutzerklärung

Der notwendige Inhalt ergibt sich aus Art. 13 DSGVO:

• den Namen und die Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters;
• ggf. die Kontaktdaten des Datenschutzbeauftragten
• die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung
• wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden
• ggf. die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten
• ggf. die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind
• die Dauer, für die die  Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
• das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit
• wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen
• das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
• ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte
• das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling.

Und das alles in verständlicher Sprache formulieren … 😉

Sinn & Zweck

Der Sinn und Zweck einer Datenschutzerklärung ist die Information an die Betroffenen: Wer verarbeitet was, warum, wo und wie lange?

Das Risiko, wenn eine Erklärung fehlt, liegt auf der Hand: Ein Betroffener könnte dagegen vorgehen und ggf. die Aufsichtsbehörde informieren.

Was man nicht tun sollte

Man sollte Datenschutzerklärungen nicht mit AGB vermischen, d.h. die Erklärungsinhalte mit in die eigenen Allgemeinen Geschäftsbedingungen packen. U.a. deshalb, weil Datenschutzerklärung typischerweise zu einem anderen Zeitpunkt ins Spiel kommen (müssen) als AGB.

Der Betroffene muss nicht in die Datenschutzerklärung einwilligen müssen. Wir sehen oft, dass bspw. bei einer Onlineanmeldung auch eine Checkbox bei der Datenschutzerklärung abgefragt wird. Wenn, wird eine Checkbox nur relevant, wenn man vom Betroffenen eine Einwilligung braucht. Dann aber findet sich bei der Checkbox nur der Einwilligungstext – und im Übrigen wird dann auf die allgemeine Datenschutzerklärung nur hingewiesen.

Weiterführende Links:

ÜBERSICHT DER Vertragstypen Datenschutzrecht Checkliste DSGVO