So aus dem Kopf vermutlich nicht, oder? Das geht vielen so, doch von Zeit zu Zeit ist es ratsam, den Inhalt zu überprüfen, um sicherzustellen, dass die Datenschutzinformation noch aktuell und korrekt ist. Im Folgenden finden Sie eine Übersicht, welche Pflichtangaben in einer Datenschutzinformation gemäß DSGVO enthalten sein müssen. Dabei handelt es sich um allgemeine Pflichtangaben, deren konkrete Inhalte je nach Verarbeitungszweck variieren. Wir empfehlen daher, für jeden Zweck eine eigenständige Datenschutzinformation anzufertigen.
Diese Angaben sind verpflichtend:
Wer ist für die Datenverarbeitung verantwortlich? Hier ist zum Beispiel das Unternehmen zu nennen, das die Daten verarbeitet.
Kontaktdaten der Ansprechperson bzw. des Datenschutzbeauftragten wie zum Beispiel Anschrift, E-Mail-Adresse oder Telefonnummer.
Aus welchen Datenquellen werden die personenbezogenen Daten erhoben? Zum Beispiel Angaben der betroffenen Person, öffentliche Quellen wie das Internet, eine Schufa-Auskunft, Behörden etc.
Welche Daten werden verarbeitet? Hier geht es um Kategorien wie Adressdaten, Abrechnungsdaten, Vertragsdaten.
Sofern besondere Kategorien personenbezogener Daten verarbeitet werden, sind diese gesondert zu nennen: Dazu gehören: ethnische Herkunft, politische Meinungen, Gesundheitsdaten, genetische Daten, biometrische Daten, Gewerkschaftszugehörigkeit und Daten zur sexuellen Orientierung.
Der Zweck der Datenverarbeitung wie zum Beispiel Vertragserfüllung, Versand von Waren, Begründung und Durchführung eines Beschäftigungsverhältnisses.
Die Rechtsgrundlage, auf derer die Verarbeitung erfolgt. Bei der Verarbeitung von personenbezogenen Daten handelt es sich nämlich um ein sogenanntes „Verbot mit Erlaubnisvorbehalt“. Das heißt, sie ist grundsätzlich verboten, es sei denn, es wird eine Erlaubnis erteilt. Deshalb ist es so wichtig, dass die Rechtsgrundlage korrekt ist! Wenn Sie Daten rechtssicher verarbeiten wollen, sollten Sie eine Datenschutzberatung in Anspruch nehmen.
Erfolgt eine Datenübermittlung an Dritte und wenn ja an wen? Auch hier geht es nicht um konkrete Namen, sondern um Kategorien von Empfängern wie zum Beispiel Banken, Callcentern, Paketzustellern etc.
Ort, an dem die Daten verarbeitet werden? Die Verarbeitung ist gemäß DSGVO nur innerhalb der EU oder EWR-Staaten sowie in sogenannten sicheren Drittländern erlaubt. Sichere Drittländer sind derzeit: Andorra, Argentinien, Kanada, Färöer-Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Schweiz, Uruguay, Vereinigtes Königreich. Eine Datenverarbeitung in den USA ist möglich, sofern die Anforderungen des EU-U.S. Data Privacy Framework erfüllt werden.
Dauer der Datenspeicherung. Entweder ein bestimmter Zeitraum und die Kriterien, die gelten wie zum Beispiel „zwei Jahre nach Vertragsende“.
Rechtsbelehrung – hier geht es um die geltenden Betroffenenrechte.
Pflichten der betroffenen Person. Hier sind die Mindestdaten zu nennen, die bereitgestellt werden müssen, damit zum Beispiel der Vertrag oder der Auftrag zustande kommen kann.
Werden automatisierte Entscheidungsfindungen oder Profiling oder computergesteuerte Auswahlprozesse eingesetzt? Falls ja, muss darüber informiert werden.
Belehrung zum Widerspruchsrecht. Damit ist zum Beispiel die Widerspruchsmöglichkeit zu Direktwerbung oder zum Einsatz von Profiling – sofern es eingesetzt wird – gemeint.
Ganz schön umfangreich, oder? Wenn Sie Unterstützung bei der Erstellung Ihrer Datenschutzinformation benötigen, sprechen Sie uns an!