VORWORT
Es geht los mit dem ersten Teil unserer Selbsthilfeserie “Wie kriegen wir die Seiten voll?”.
Ziel der Serie ist es über das bloße Teilen von Informationen hinaus zu unterstützen, indem wir Ihnen auch das Werkzeug für die praktische Umsetzung datenschutzrechtlicher Verpflichtungen zur Verfügung stellen. Wissensbibliotheken zum Datenschutz gibt es wirklich schon genug. Auf unseren Social Media Kanälen wird jede Woche ein neuer Teil gepostet.
Teil 1: Datenschutzerklärung
2026 rückt näher und Sie haben alle meinen Beitrag auf anwalt.de über das Thema des Europäischen Datenschutzausschusses gelesen: Kommendes Jahr wird bei Datenschutzerklärungen womöglich genauer hingesehen.
Also erstellen wir eine gemeinsam. Los geht’s!
Disclaimer: Dieser Text stellt keine Rechtsberatung dar. Datenschutzinformationen müssen auf die jeweilige verantwortliche Stelle abgestimmt sein. Hier kann nicht auf jeden Einzelfall eingegangen werden. Es soll lediglich ein erster Überblick über die Pflichten gegeben werden.
Wie bauen wir die Datenschutzerklärung auf?
Die Struktur ist nicht vorgeschrieben. Solange die Informationen drin sind und verständlich transportiert werden, ist einiges erlaubt. Man sieht auch Erklärungen, die nach dem Frage-Antwort-Prinzip aufgebaut sind, etwa so:
„Wozu werden meine personenbezogenen Daten verarbeitet“? – „Wir verarbeiten Ihre Daten zu folgenden Zwecken: …“
Für mich hat sich ein Aufbau entsprechend der untenstehenden Struktur bewährt.
1. Verantwortliche Stelle
2. Ggfs. Kontaktdaten des Datenschutzbeauftragten
3. Aufzählung der Verarbeitungstätigkeiten, jeweils mit
a. Zweck
b. Rechtsgrundlage
c. Empfänger der Daten
d. Speicherdauer
e. Ggfs. Datenkategorien
f. Ggfs. Datenquellen
4. Betroffenenrechte
a. Auskunft
b. Berichtigung
c. Löschung
d. Einschränkung der Verarbeitung
e. Datenübertragbarkeit
f. Widerspruch
g. Widerruf
h. das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden
i. Beschwerde
Was muss rein?
In fast jedem Unternehmen werden personenbezogene Daten verarbeitet. Eine Datenschutzerklärung soll denjenigen, dessen personenbezogene Daten verarbeitet werden, darüber informieren, welche Daten verarbeitet werden und durch wen und wie und warum und bis wann und so weiter (Erfüllung der Informationspflichten der Art. 12, ff DSGVO).
1. Verantwortliche Stelle
Wer verarbeitet die Daten? – Unternehmensname, Anschrift, Kontaktmöglichkeiten müssen hierhin.
2. Ggfs. Kontaktdaten des Datenschutzbeauftragten
Wenn ein Datenschutzbeauftragter bestellt ist, stehen hier seine Kontaktdaten.
3. Verarbeitungstätigkeiten
Dann für jede Verarbeitungstätigkeit die folgenden 4 Spiegelstriche mit Inhalt füllen, und zwar „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ (Art. 12 Abs. 1 S. 1 DSGVO).
- Zweck der Verarbeitung
Wozu werden die Daten überhaupt verarbeitet?
Stammdaten von Beschäftigten benötigen wir u.a. für die Personalakte, Videoüberwachung zur Prävention bzw. zur Verfolgung von Straftaten, die Telefonnummer des Kunden zur Durchführung des Vertrags, etc. - Rechtsgrundlage
Es ist grundsätzlich verboten personenbezogene Daten zu verarbeiten! Nur ausnahmsweise ist es erlaubt: Wenn man eine Rechtsgrundlage dafür hat.
Die Rechtsgrundlagen finden sich in Art. 6 Abs. 1 lit. a bis f DSGVO. Wichtig vor allem:
1. Verarbeitung im Rahmen eines Vertragsverhältnisses (lit. b) und
2. Verarbeitung aufgrund eines berechtigten Interesses (lit. f). In diesem Fall gehören auch Angaben über dieses berechtigte Interesse hierher. - Empfänger der Daten
Wer bekommt sie innerhalb des Unternehmens? Verlassen sie das Unternehmen? Vielleicht sogar ins EU-Ausland? - Speicherdauer
Es gilt das Prinzip: Wir wollen nur die Daten haben, die wir zur Verfolgung der jeweiligen Zwecke unbedingt benötigen. Alles andere macht ohnehin nur Arbeit und stellt ein Risiko dar. Sobald die Daten für den ursprünglich mit ihrer Verarbeitung verfolgten Zweck nicht mehr benötigt werden, müssen sie gelöscht werden. Das gilt allerdings nur, soweit es nicht eine gesetzliche Pflicht gibt, die Daten aufzubewahren, z.B. aus dem Steuer- oder Handelsrecht.
Wenn die Daten nicht bei der betroffenen Person direkt erhoben wurden, sondern über Dritte, dann werden es 6 Spiegelstriche. Denn in diesem Fall muss außerdem informiert werden über
- die Kategorien der verarbeiteten Daten und darüber,
- aus welcher Quelle die personenbezogenen Daten stammen.
4. Betroffenenrechte
Jeder, dessen personenbezogene Daten von einer verantwortlichen Stelle verarbeitet werden, hat bestimmte Rechte. Darauf müssen die Betroffenen in der Datenschutzerklärung hingewiesen werden.
Das Gesetz schreibt vor, dass über das Bestehen der Rechte informiert werden muss. Dieser Teil ist daher besonders einfach, weil er immer gleich ist. Deshalb findet man in vielen Datenschutzerklärungen wortgleich die untenstehende Auflistung. Ob das in der Knappheit ausreicht, ist nicht geklärt. Im Sinne der Transparenz könnte man das auch etwas ausführlicher und detaillierter machen, die entsprechenden Vorschriften angeben, etc.
- Recht auf Auskunft,
- Recht auf Berichtigung,
- Recht auf Löschung,
- Recht auf Einschränkung der Verarbeitung,
- Recht auf Datenübertragbarkeit,
- Widerspruchsrecht,
- Widerrufsrecht,
- das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden,
- das Recht, sich bei der Aufsichtsbehörde zu beschweren.
Wie und wann stellt man die Informationen zur Verfügung?
Die Informationen müssen den betroffenen Personen zum Zeitpunkt der Erhebung der Daten bereitgestellt werden.
Informationen, die die Verarbeitung auf einer Internetseite betreffen, gehören also auf die Internetseite, und zwar so, dass sie von überall auf der Seite mit einem Klick erreichbar ist. Die meisten Seiten haben einen Link im Footer.
Informationen über die Verarbeitung von Mitarbeiterdaten müssen dem Beschäftigten mit dem Arbeitsvertrag bereitgestellt werden. Wenn es um die Verarbeitung im Rahmen eines Vertragsverhältnisses geht, dann zu Beginn der Vertragsverhandlungen, etc.
Fertig!
Das ist natürlich stark verkürzt aber hilft hoffentlich beim ersten Entwurf einer Datenschutzerklärung.
Auch die folgenden Muster können eine Unterstützung sein:
- Landesbeauftragte für Datenschutz und Informationsfreiheit: https://www.ldi.nrw.de/datenschutz/medien-und-technik/websites-muster-fuer-datenschutzhinweise
- IHK Frankfurt am Main: https://www.frankfurt-main.ihk.de/recht/uebersicht-alle-rechtsthemen/datenschutzrecht/datenschutzerklaerung-muster-5193008
Zum Schluss noch ein Hinweis, der uns wichtig ist:
Ob die Betroffenen zu dieser Datenschutzerklärung ihr „Einverständnis erklären“, „zustimmen“, „einwilligen“, oder sich sonst bejahend äußern, ist völlig irrelevant. Es genügt, dass sie Kenntnis nehmen konnten, wenn sie wollten.
Das ist ein großes Missverständnis, auf das wir sehr häufig stoßen. Eine Einwilligung im Sinne des Datenschutzrechts ist nicht erforderlich, sondern u.U. sogar schädlich. Mehr dazu in einem späteren Teil der Serie.
Alle Beiträge der Reihe:
Teil 1 Datenschutzerklärung
Teil 2 Verzeichnis der Verarbeitungstätigkeiten (VVT)
Teil 3 Videoüberwachung
Sonderbeitrag 1: KI-generierte Datenschutzunterlagen
Teil 4 Vorgehen bei Datenpannen
Teil 5 Einwilligung bietet keine ultimative Sicherheit
Teil 6 Cookie-Banner
Teil 7 Auftragsverarbeitungsvertrag (AVV)
Teil 8 Vorgehen bei Betroffenenanfragen
Teil 9 Datenschutzbeauftragter (DSB)