Was gilt es bei der Erstellung der Datenschutzerklärung zu beachten?
Zunächst sollten Sie für sich 2 grundlegende Fragen beantworten, bevor Sie mit den Dokumenten bzw. der Dokumentation (z.B. der Datenschutzerklärung) für den Datenschutz anfangen.
- Wozu brauchen Sie das Dokument?
- An wen ist das Dokument gerichtet?
Nun können Sie sich der Gliederung und den nächsten beiden Fragen widmen:
- Welche Risiken bestehen und wie können diese vermieden werden?
- Welche Anforderungen gelten hinsichtlich Aufbau, Form und Inhalt?
In der Regel will man als Unternehmen Bürokratie und Papierkram möglichst geringhalten. Aus mehreren Gründen: Die Dokumentenerstellung kostet in erster Linie vor allem Zeit. Anschließend müssen diese rechtlich geprüft und auf dem neuesten Stand gehalten werden. Die Dokumentation (Datenschutzerklärung) zum Datenschutz wird aus 3 Gründen von Unternehmen durchgeführt:
- Rechtspflichten, um gesetzliche oder vertragliche Pflichten zu erfüllen oder Vorteile wahrzunehmen, die jeweils eine Dokumentation für den Datenschutz voraussetzen.
- Geschäftszwecke um auf Nachfragen oder Präferenzen von Kunden, Arbeitnehmern und Zulieferer zu reagieren.
- Betriebliche Notwendigkeiten um Regeln, Weisungen und Verbote innerhalb eines Betriebes bekannt zu machen und festzulegen, sodass sich Mitarbeiter an diese halten können.
Grundlegendes zur Datenschutzerklärung
Wenn Sie als Unternehmer oder Datenschutzbeauftragter eine Datenschutzerklärung entwerfen, sollten Sie zunächst klären, wer der Empfänger bzw. an wen das Dokument adressiert ist (mehr zu Adressaten im Artikel weiter unten). Viele Datenschutzerklärungen sind sehr umfangreich, decken ein breites Spektrum an Themen ab und erreichen letzten Endes alle und zugleich niemanden. Unternehmen sind grundsätzlich nicht dazu verpflichtet, in der Datenschutzerklärung zu versprechen, dass sie unter keinen Umständen Kundendaten an Dritte übermitteln werden. Manche Betriebe gehen davon aus, dass sie durch freiwillig abgegebene Versprechen, die über die gesetzlichen Pflichten hinausgehen, mehr Verbraucher dazu bewegen können, Ihre Einwilligung zu erteilen. Andere Unternehmen sind der Meinung, dass die meisten Kunden Datenschutzerklärungen weder lesen noch schätzen.
Verspricht ein Unternehmen Daten nicht an Dritte zu übermitteln, kann es damit den Wert seiner Datenbanken erheblich beeinträchtigen, sowohl im Hinblick auf zukünftige Geschäftsmodelle als auch im Zusammenhang mit Restrukturierungen und Unternehmensverkäufen.
Hinsichtlich der Rechtsquellen, die eine Pflicht zur Belehrung über Datenschutzverarbeitungspraktiken (auch als Datenschutzerklärung bezeichnet) und entsprechende Einwilligungen begründen, sollten Sie nicht nur die Gesetze im Blick haben, sondern auch Verträge mit Betroffenen und Geschäftspartner. Viele Unternehmen orientieren sich bei der Formulierung der eigenen Datenschutzerklärung häufig an der des Konkurrenzunternehmens. Dabei wird nicht hinterfragt, warum diese bestimmten Formulierungen gewählt haben. Auch die Vor- bzw. Nachteile werden nicht abgewägt, denn durch bestimmte Aussagen innerhalb der Datenschutzerklärung können negative Folgen entstehen aber auch Vorteile erreicht werden. Deshalb gilt es genau hinzusehen: Sollten Sie selbst nicht genügend Zeit und Mittel zur Verfügung haben, sollten Sie zumindest auf eine rudimentäre Einschätzung der Vor- und Nachteile bestehen. Auch sollten Sie beim Kopieren der Datenschutzerklärung diese gewissenhaft überprüfen, denn es kann durchaus sein, dass sich das Konkurrenzunternehmen in einer völlig anderen Situation befindet als sie. Man sollte sich weiterhin den Mindestvoraussetzungen, die man einhalten muss und/oder möchte, bewusstmachen und überlegen, ob es sich lohnt, diese zu über- oder unterschreiten.
Wer sind die Adressaten meiner Datenschutzerklärung?
Wie oben bereits erwähnt, sollten Sie auf jeden Fall die Zielgruppe definieren, an die Ihre Datenschutzerklärung gerichtet sein soll. Dementsprechend wählen Sie auch eine angemessene Sprache und Ausdrucksweise. Richtet man sich an Anwälte oder Behörden, sollte man eine präzise Ausdrucksweise und die Gesetzesterminologie verwenden. Bei der Dokumentenerstellung haben Sie im Idealfall den oder die entsprechenden Gesetzestext(e) vor sich liegen, um inhaltliche und formelle Mindestanforderungen feststellen und befolgen zu können. Entwerfen Sie Ihr Dokument für den Endverbraucher oder Ihre Arbeitnehmer, sollten Sie eher eine verständliche Alltagssprache verwenden. In den Nutzungsbedingungen einer Website dürfen Sie auch den Leser direkt ansprechen und „Sie“ und „wir“ verwenden.
Es kann hilfreich für den Zweck des Dokuments sein, wenn Sie bereits im Titel klarstellen, an wen sich dieses richtet. Lassen sich weder Zweck noch Zielgruppe des Dokuments seinem Inhalt nach ermitteln, dann benötigen Sie es aller Voraussicht nach auch nicht.
Grundsätzlich müssen Unternehmen die Betroffenen darüber informieren, wie Ihre personenbezogenen Daten verarbeitet werden. Dies ist in der Datenschutzerklärung genau zu beschreiben und zu veröffentlichen. Dabei richtet sich die Erklärung an drei bis vier verschiedene Gruppen (je nach Unternehmen):
- Arbeitnehmer (in Bezug auf firmeninterne Datenübermittlung)
- Website-Besucher
- Einzelne Vertreter von Geschäftspartnern, Zulieferer oder Wiederverkäufer
- Einzelne Kunden, in Bezug auf Rechnungen, Bestellungen und andere Daten, die im Rahmen der Kundenbeziehung bekannt werden.
Legen Sie Ihre Adressaten in Ihrer Datenschutzerklärung nicht genau fest, kann dies zu Missverständnissen führen. Unter Umständen könnte sich die falsche Zielgruppe angesprochen fühlen und Kunden bzw. Arbeitnehmer verklagen Sie wegen Irreführung oder unlauteren Wettbewerbs.
Warum sollte man mit der Datenschutzerklärung (im Rahmen des Datenschutzprogramms) beginnen?
Sie beginnen also mit den Dokumenten für Ihr Datenschutzprogramm. Dabei ist die Datenschutzerklärung als erstes zu erstellendes Dokument ein guter Ausgangspunkt. Dies hat mehrere Gründe:
- Auf der ganzen Welt ist die Datenschutzerklärung der Mindeststandard, den die meisten Datenschutzgesetze vorschreiben.
- Ob eine Datenschutzerklärung vorliegt oder nicht können Betroffene und Behörden schnell feststellen. Sollte eine Datenschutzerklärung nicht vorliegen oder mangelhaft sein, können Sie mit hoher Wahrscheinlichkeit mit Beschwerden seitens der Betroffenen oder Behörden rechnen.
- Datenschutzerklärungen decken die meisten Datenverarbeitungs- und Geschäftsaktivitäten eines Unternehmens ab. So kann schnell nachvollzogen werden, was das Unternehmen eigentlich macht. Dies ist ein hilfreicher Ausgangspunkt für alle weiteren sich daraus ergebenen Aufgaben.
- So dient eine Datenschutzerklärung oft als Voraussetzung und Grundbaustein für andere Dokumente, wie z.B. Verträge, Einwilligungserklärungen, Datenschutzanweisungen, Datenerhebungsformulare, allgemeinen Beschreibungen und Meldungen an Datenschutzbehörden.
Wer ist für den Datenschutz verantwortlich?
Sie müssen in der Regel den vollständigen Namen der juristischen Person (einschließlich Rechtsform) angeben, die verantwortliche Stelle ist. Es empfiehlt sich weiterhin die Anschrift anzugeben, auch wenn diese Information nicht immer zwingend erforderlich ist.
Bedenken Sie, dass Sie oft Ihre Datenschutzerklärung in der jeweiligen Landessprache veröffentlichen müssen, damit diese überhaupt rechtswirksam wird.
Wozu brauche ich ein Impressum und was ist dessen Inhalt?
In der EU besteht die Pflicht, ein Impressum zu erstellen. Dies ist in Deutschland mit §5 TMG (Impressumspflicht) geregelt. §5 TMG (Telemediengesetz) zählt die Informationen auf, die Diensteanbieter für geschäftsmäßige Telemedien leicht erkennbar, unmittelbar erreichbar und ständig verfügbar zu halten haben. Folgende Informationen sind auf der Website zu veröffentlichen:
- Name und Anschrift, unter der der Diensteanbieter niedergelassen ist. Bei juristischen Personen zusätzlich die Rechtsform und den Vertretungsberechtigten.
- Angaben, die eine schnelle elektronische Kontaktaufnahme und unmittelbare Kommunikation mit dem Diensteanbieter ermöglichen, einschließlich der Adresse der elektronischen Post (z.B. E-Mail-Adresse).
- Angaben zur zuständigen Aufsichtsbehörde, soweit der Dienst im Rahmen einer Tätigkeit angeboten oder erbracht wird, und die der behördlichen Zulassung bedarf.
- Handelsregister, Vereinsregister, Partnerschaftsregister oder Genossenschaftsregister, in das der Diensteanbieter eingetragen ist, und die entsprechende Registernummer.
- Angabe der Umsatzsteuernummer nach §27a Umsatzsteuergesetz oder der Wirtschafts-Identifikationsnummer nach §139c der Abgabeordnung.
- Bei Aktiengesellschaften, Kommanditgesellschaften auf Aktien und Gesellschaften mit beschränkter Haftung, die sich in Abwicklung oder Liquidation befinden, die Angabe hierüber.
- Soweit der Dienst in Ausübung eines sog. reglementierten Berufs im Sinne der EU-Berufsanerkennungsrichtlinien (Berufe wie beispielsweise Ärzte, Steuerberater, Ingenieure, Physiotherapeuten, Architekten, Rechtsanwälte oder Apotheker) angeboten oder erbracht wird, Angaben über
- die Kammer, der der Dienstanbieter angehört,
- die Bezeichnung der berufsrechtlichen Regelungen und dazu, wie diese zugänglich sind,
- die gesetzliche Berufsbezeichnung und den Staat, in dem die Berufsbezeichnung verliehen worden ist.
- Weiterhin ist §55 Rundfunkstaatsvertrag (RStV) in Deutschland anwendbar. Im Anwendungsbereich des §55 Abs. RStV sind Name und Anschrift sowie bei juristischen Personen auch Name und Anschrift des Vertetungsberechtigten anzugeben.
- Anbieter von Telemedien mit journalistisch-redaktionellen Angeboten müssen gemäß §55 Abs.2 RStV einen für den Dienst Verantwortlichen, sowie dessen Name und Anschrift angeben. Gibt es mehrere Verantwortliche, ist kenntlich zu machen, wer im Detail für welchen Teil des Dienstes verantwortlich ist.
Nicht genau geklärt ist, ob gemäß §55 Abs. 2 RStV ein Webblog oder Onlineforum über ein journalistisch-redaktionelles Angebot verfügt. Aufgrund der nicht genauen Rechtslage ist zu empfehlen ein Impressum mit besser zu viel, als zu wenigen Inhalten für die entsprechende Website anzufertigen.
Was sollten Sie in Ihrer Datenschutzerklärung vermeiden?
- Vermeiden Sie Floskeln wie „wir nehmen Datenschutz ernst“, „wir verwenden hochmoderne Datensicherheitstechnologien“ oder „der Schutz Ihrer Daten liegt uns am Herzen“. Sie bieten den Betroffenen keinen Mehrwert und bieten zudem zusätzliche Angriffsfläche für Behörden und Privatkläger.
- Wiederholung der gesetzlichen Pflichten, wie z.B. Ausführungen dazu, dass die Datenschutzgesetze Anwendung finden und was sie vorschreiben. Unternehmen müssen Betroffene im seltensten Fall über einschlägige Gesetze unterrichten. Derartige Ausführungen erhöhen den Umfang Ihrer Datenschutzerklärung und macht es für Betroffene schwieriger den Inhalt zu erfassen.
Welche Form und Überbringungsvoraussetzungen für die Datenschutzerklärung gibt es?
Die Datenschutzerklärung muss in schriftlicher Form vorliegen. Dies kann lediglich durch ein Blatt Papier geschehen, aber auch dann, wenn sie per Email verschickt oder auf der Website abgelegt ist. Unternehmen sind nicht dazu verpflichtet, eine ausdrückliche Empfangsbestätigung von den Betroffenen einzuholen. Dennoch macht eine entsprechende Bestätigung durch den Betroffenen Sinn, um im Falle eines Rechtsstreit nachweisen zu können, dass dieser über die Belehrung angemessen unterrichtet wurde.