Kurz gefragt – Kurz geantwortet – Fragen, die sich Unternehmer stellen sollten
Welche Reichweite hat Ihre Datenschutzerklärung und an wen ist diese gerichtet (Zielgruppe)?
Sie sollten klären, welche Arten von Tätigkeiten Sie in Ihrer Datenschutzerklärung abdecken möchten. Legen Sie die Zielgruppe genau fest, da Sie sonst verklagt werden können. Mehr zum Thema Datenschutzerklärung finden Sie hier.
Welche Daten erheben Sie?
Sie benötigen eine Liste mit Details, wie Sie Daten in Ihrem Unternehmen erheben. Vor allem, wenn dies ohne aktive Beteiligung der Betroffenen geschieht (z.B. durch den Einsatz von Cookies, Aufzeichnung von Telefonaten oder Beobachtung von Online-Nutzerverhalten).
Für welchen Zweck erheben Sie Daten?
Erheben Sie ausschließlich Daten, um gesetzliche Pflichten zu erfüllen (z.B. Datenerhebung zur Vertragserfüllung), dann können Sie dies auch so in Ihre Datenschutzerklärung schreiben. Wollen Sie aber weiterführend die Daten für z.B. Werbung, die Erstellung von Nutzerprofilen, das Versenden von Newslettern oder zur Überwachung verwenden, so müssen Sie einen entsprechenden Hinweis (am Besten zum Zeitpunkt der Erhebung) zum Beispiel im Formular oder Onlinefragebogen anfügen. Ein Hinweis könnte z.B. lauten: „Darum benötigen wir diese Daten“. Dieser Hinweis ist direkt mit einer Unterseite oder einem Popup-Fenster verlinkt.
Manche Unternehmen benutzen schwammige Formulierungen wie „gesetzlich vorgeschrieben“ oder „für berechtigte Geschäftszwecke“, um die Daten für eventuell zukünftige Erfordernisse und Möglichkeiten weiterhin benutzen zu können. Solche Formulierungen sollten Sie vermeiden, da sie beim Betroffenen den Eindruck entstehen lassen, dass Sie als Unternehmen entweder aktuelle Zwecke nicht in angemessener Weise offenlegen, oder vorhaben, in Zukunft weitere Zwecke hinzuzufügen, ohne darüber detailliert Aufschluss geben zu wollen.
An wen übermitteln Sie Daten?
Sollten Sie als Unternehmen personenbezogene Daten an andere Verantwortliche übermitteln, die diese Datensätze für ihre eigenen Zwecke verwenden, müssen Sie (ähnliche Vorgehensweise wie beim Formular bzw. Onlinefragebogen) die entsprechende Einwilligung der Betroffenen dazu einholen. Links zu umfangreichen Datenschutzerklärungen Dritter reichen nach europäischem Recht nicht aus. Wenn Sie also in Erwägung ziehen, die Kundendaten an Diensteanbieter zu übermitteln, sollten Sie diesen Umstand offenlegen und überlegen, ob Sie nicht die wesentlichen Diensteanbieter benennen, wenn dies für die Betroffenen wichtig ist.
Wo werden die Daten physisch gespeichert?
EU-Datenschutzbehörden vertreten die Ansicht, dass Firmen dazu verpflichtet sind, offenzulegen, ob personenbezogene Daten in Länder außerhalb des europäischen Wirtschaftsraumes (EWR) übermittelt und dort gespeichert werden. Jedoch besagen solche Behörden nicht explizit, dass Betroffene über alle relevanten Details hinsichtlich der Verarbeitung ihrer Daten informiert werden müssen. Sie als Unternehmen sollten selbst entscheiden, ob solche Informationen für Ihre Anwender von Interesse sind. Man kann nämlich davon ausgehen, dass Internetuser wissen, dass Daten, aufgrund der weltweiten Infrastruktur des Internet, diverse Länder durchlaufen können.
Wie lange werden Daten gespeichert?
Für Betroffene kann es durchaus wichtig sein, wann ihre Daten wieder gelöscht werden und haben deshalb Bedenken hinsichtlich des Datenvorhaltungszeitraums. Z.B. können Nutzer von Onlinediensten nur solange auf Daten zugreifen und diese verwenden – und Daten können auch nur so lange gegen sie verwendet werden -, bis der Diensteanbieter dies Daten löscht, z.B. Backup-Kopien, SMS-Nachrichten oder Blogeinträgen. Datenvorhaltungszeiträume sind daher so wesentlich, dass ein Unternehmen diese offenlegen muss. Erstellen Sie also einen geeigneten Plan zur Datenvorhaltung und definieren Sie Speicherfristen bzw. miximale und minimale Zeitspannen. Mehr Informationen zum Thema Datenvorhaltung, Fristen, ein gratis Markblatt zur Datenvorhaltung, etc. finden Sie in unserem Artikel „Datenvorhaltung“. Weiterhin geben wir Ihnen 4 hilfreiche Tipps für Sie als Unternehmer zur Datenvorhaltung und was Sie auf jeden Fall beachten sollten.
Wie können Betroffene auf Daten, die sie betreffen, zugreifen, berichtigen oder löschen?
Die EU-DSGVO schreibt vor, dass Betroffene jederzeit die Möglichkeit haben, auf Daten, die sie selbst betreffen, zugreifen sowie einen Berichtigungs- oder Löschungsantrag stellen können. Die Umsetzung im Einzelnen ist den Unternehmen selbst überlassen, ob sie z.B. zu solchen Anfragen explizit auffordern.
In vielen Länder ist es gestattet für solche Leistungen Gebühren zu erheben. Die EU-DSGVO lässt dies nur eingeschränkt zu. Stellen Sie für Berichtigungs- bzw. Löschungsanträge entsprechende Formulare auf Ihrer Website bereit.