Die Datenschutzerklärung
DISCLAIMER: Dieser Podcast stellt keine Rechtsberatung dar.
Links zu dieser Episode:
Vienna Writer’s Blog & Podcast
DSGVO auf EUR-Lex
Notizen:
Warum solltest Du Dich mit dem Thema beschäftigen?
Das ist eine der Dinge, die Du tatsächlich brauchst.
Mach alles, was man nach außen sieht, wasserdicht.
Was ist die Grundlage?
Artikel 13 & 14 DSGVO – Informationspflichten des Verantwortlichen
Wie kannst Du das umsetzen?
Dass jede ordentliche Website ein Impressum hat, hat sich ja mittlerweile rumgesprochen, auch in Österreich. In Deutschland besteht die Impressumspflicht, da sind die Websitebetreiber schon ein bisschen weiter. Mit der DSGVO kommt jetzt auch noch eine verpflichtende Datenschutzerklärung hinzu. Diese kann auch in den AGB abgebildet sein, muss aber deutlich gekennzeichnet werden. Am besten kanst Du einfach einen eigenen Menüpunkt “Datenschutzerklärung” einfügen, dann bist Du auf der sicheren Seite.
In eine Datenschutzerklärung gehören grundsätzlich:
1. Name & Kontaktdaten des Verantwortlichen
2. falls vorhanden: Name & Kontaktdaten des Datenschutzbeauftragten oder gesetzlichen Vertreters
3. die mehr oder weniger lange Liste an Verarbeitungen von personenbezogenen Daten, die bei Dir anfällt (siehe Verarbeitungsverzeichnis) inkl. Zweck der Datenverarbeitung und Rechtsgrundlage! Die Rechtsgrundlagen, aufgrund derer man personenbezogene Daten verarbeiten darf, sind Einwilligung der betroffenen Person, Vertragserfüllung, rechtliche Verpflichtung, etc. nach Artikel 6.1a-f. Falls Du grad unsicher bist, kannst Du die Folge 03 „Sechs gute Gründe, um personenbezogene Daten zu verarbeiten“ noch einmal hören.
4. an wen Du die Daten noch weitergibst, wo Du sie hochlädst, etc.
5. wenn Du personenbezogene Daten nach außerhalb der EU (z.B. die USA) übermittelst, und ob es für dieses Land einen Angemessenheitsbeschluss der EU-Kommission gibt
6. wenn Du Profiling anwendest, inkl. der Tragweite und Auswirkungen für die betroffenen Personen
7. wenn Du vorhast, die Daten zu einem anderen, nicht ursprünglich vereinbarten Zweck, weiterzuverwenden
8. die Speicherdauer
9. last not least: eine Rechtsbelehrung & Hinweis auf das Beschwerderecht bei der Aufsichtsbehörde – Betroffenenrechte in Artikel 15ff DSGVO
Deine Datenschutzerklärung ist – so wie das Verarbeitungsverzeichnis auch – ein lebendes Dokument. Immer wenn sich etwas an Deinem Setup ändert, Du ein neues Tool benutzt, etc., gehören beide, Verarbeitungsverzeichnis UND Datenschutzerklärung, entsprechend angepasst.
Zwei Hinweise:
1. Die Datenschutzerklärung muss in einfacher Sprache zur Verfügung gestellt werden, damit Deine Websitebesucher und Kunden sie auch schnell und einfach lesen und verstehen können. Du kannst auch eine sogenannte “layerd privacy policy” anbieten, wo Du die Inhalte einmal in einfacher Sprache hast und dann mit einem Klick auf “mehr lesen” (o.ä.) noch einmal mit Paragraphennennung für die Juristen zeigst. Der wichtige Teil ist allerdings der erste “Layer” mit der einfachen Sprache, der Rest ist – für mein Verständnis – hübsches Beiwerk.
2. Vorsicht mit den Generatoren, die es im Netz gibt! Natürlich ist es einfach, sich eine Datenschutzerklärung einfach zusammenzuklicken, aber so ein Generater kennt nur das, was man ihm vorab einfüttert. Wenn das nicht zu Deinem Setup passt und Du in Deiner Datenschutzerklärung Dinge drinstehen hast, die Du gar nicht in Verwendung hast oder einige Sachen nicht in Deiner Erklärung drin stehen, die Du aber tatsächlich verwendest, dann fällt das auf und könnte zu einer Prüfung Deines Unternehmens führen. Außerdem geben die meisten dieser Generatoren Texte aus, die nicht als “einfache Sprache” zu bewerten sind, wenn sie in Nebensätzen auf Paragraphen verweisen, die sich die User dann erst selbst irgendwo suchen müssen. Und, last not least, schau Dir die AGB der Generatoren genau an, wenn Du überlegst, einen zu benutzen! Üblicherweise steht da sowas wie: Haftungsausschluss – User ist selbst Schuld, der Hersteller des Generators kennt das Business des Users nicht und die herausgekommene Datenschtzerklärung ist nur dann gültig, wenn sie nochmal vom User durch dessen Anwalt hat prüfen und abstempeln lassen. Also Vorsicht, ob Du Dir damit dann wirklich etwas ersparst. Eine Möglichkeit wäre natürlich, wenn Du Dir eine Basis mit einem Generator klickst und von der ausgehend dann selber weitermachst, aber ob Du damit schneller bist, wenn Du selbst noch die ganzen verlinkten Paragraphen nachschlägst, ist auch fraglich. Aber probier es gerne aus.
Wenn Du Dienstleister bist, solltest Du gleich mit bedenken, dass Du auch für Deine Kunden eine Datenschutzerklärung brauchst, wie Du ihre Daten – auch offline – verarbeitest. Du kannst diese z.B. gleich in Deine Angebotsvorlage einbauen oder in Deine AGB integrieren, dort aber gut sichtbar kennzeichnen. Du kannst eine Datenschutzerklärung für alles zusammen erstellen (so wie ich) oder jeweils eine für die einzelnen Bereiche wie z.B. Website, Kunden, etc.. Wie Du das ggf aufteilst, bleibt Dir überlassen, Hauptsache, es ist übersichtlich und gut verständlich.
Wenn Du Dein Verarbeitungsverzeichnis beisammen hast, kannst Du schon loslegen.
Falls Du noch kein Verarbeitungsverzeichnis hast, findest DU in der Episode 04 „Vom Überblick zum Verarbeitungsverzeichnis“ ein paar hilfreiche Hinweise dazu.
In Deine Datenschutzerklärung gehört alles rein, was Personen auf Deiner Website aber auch sonst im Kontakt mir Dir und auf Deinen Kanälen widerfährt oder widerfahren kann und zwar immer mit der Angabe des Zwecks, warum Du diese oder jene Daten sammelst/auswertest/weitergibst und mit welcher Rechtsgrundlage Du diese Daten verarbeitest, z.B. aufgrund von gesetzlichen Speicherfristen bei der Buchhaltung oder/und weil die betroffenen Personen für die jeweilige Verarbeitung eingewilligt haben. Wenn Du für eine Verarbeitung keine Rechtsgrundlage hast, etwas nicht erklären kannst oder die einzige Erklärung ist: “Das machen doch alle so!”, dann überleg Dir, ob Du diese Auswertung / dieses Tracking oder sonstige Art der Verarbeitung wirklich brauchst.
Bleiben wir für den Moment bei Deiner Website: Kontaktformular, Newsletter, Kommentarfunktion im Blog, welches Tracking Du benutzt, Social Plugins, Webfonts, Cookies (welche und für welchen Zweck!), Drittanbieter-Content wie Werbung, Banner, sonstige Werbenetzwerke, FB-Pixel, Affiliate-Links, Zahlungsanbieter, etc. und an wen die Daten jeweils weitergegeben werden.
Auf meiner Website ist das nicht sehr viel, daher ist meine Datenschutzerklärung auch eher übersichtlich.
Je nachdem, wieviel Du Deinen Usern an Daten abverlangst, kann Deine Datenschutzerklärung durchaus lang werden. Schau Dir einmal z.B. die Datenschutzerklärung von Zalando an, die ist formal für mein Verständnis absolut ok. Inhaltlich kann einem schon schlecht werden, wenn man alles geballt auf einem Haufen sieht, wie die User ausgewertet werden.
Überlege noch einmal, ob Du all das, was Du momentan auf Deiner Website eingebaut hast, auch wirklich brauchst und trenne Dich ggf von Analytics, die Du ohnehin nie anschaust oder von Anbietern, wo Du schon seit einer Weile überlegst, sie loszuwerden. FB-Pixel beispielsweise jetzt nach Cambridge Analytica.
Der oberste Grundsatz der DSGVO ist “Datensparsamkeit”.
Wenn Du jetzt anfängst, Deine Datenschutzerklärung zu erstellen, mach Dir am besten wieder eine Liste und sortiere einmal, in welche Cluster oder Bereiche sich alles am besten aufteilen lässt.
Zum Beispiel:
– Analytics/Tracking
– Social Plugins
– Cookies, Third-Party-Cookies, Pixel, Re-Targeting
– Affiliate Links
– Newsletter
– Blog Kommentare
– Podcast
– Kontaktformular/eMail
– Login Bereich / Kundenkonto / Social Login Funktion (Tu’s nicht!)
– Server Logdaten
– …
Damit hast Du die Zwischenüberschriften für Deine Datenschutzerklärung schon einmal festgesteckt und musst die einzelnen Punkte “nur noch” mit leicht verständlichem Text füllen.
Das Gute daran ist, dass Du am Ende
a) eine Datenschutzerklärung geschrieben und
b) (hoffentlich) wirklich durchschaut hast, was für Tools bei Dir zum Einsatz kommen und was sie genau machen.
Last not least gehört in Deine Datenschutzerklärung auch noch eine Rechtsbelehrung, denn Deine Kunden und User haben mit der DSGVO einige Rechte. Sie dürfen sich jederzeit bei Dir melden, wenn sie Fragen haben oder Auskunft möchten. Du hast ab Eingang der Anfrage dann einen Monat Zeit, darauf zu reagieren. Grundsätzlich haben alle natürlichen Personen das Recht auf Auskunft, Berichtigung ihrer Daten, Löschung (aka Recht auf vergessen werden), Einschränkung der Verarbeitung, Recht auf Übertragbarkeit und ein Recht auf Widerspruch. Außerdem haben sie ein Recht darauf, sich bei der Aufsichtsbehörde in Ihrem oder Deinem Land zu beschweren, wenn sie beispielsweise glauben, dass Du Deinen gesetzlichen Pflichten nicht ausreichend nachkommst, schludrig mit ihren Daten umgehst oder z.B. das Kopplungsverbot missachtest.
Eine Datenschutzerklärung oder zwei?
Du kannst Dir überlegen, eine extra Datenschutzerklärung für Deine Website und eine für Deine Kunden zu machen. Ich hab das bei mir zusammengelegt, es ist aber Dir überlassen, wie Du das angehen magst. Wichtig ist, dass Interessenten Deine Datenschutzerklärung bekommen, bevor Sie ein Auftragsverhältnis mit Dir eingehen.
Anfragen
Wenn jemand Dir eine Anfrage schickt, mach Dir eine kleine Checkliste für Anfragen. Und überleg Dir, wie Du sicherstellst, dass die Person auch wirklich die ist, für die sie sich ausgibt.
Nicht in Panik verfallen, wenn jemand will, dass Du ALLE Daten, die Du von der Person hast, SOFORT löschst. Erst auf die gesetzlichen Aufbewahrungspflichten achten!
Hinweis: Angeblich warten die Abmahnanwälte nur darauf, dass sie ihre Crawler am 25. Mai 2018 um 0:01 Uhr auf das Netz loslassen können und die werden sicher checken, was auf Deiner Seite verbaut ist und was in Deiner Datenschutzerklärung steht. Deswegen solltest Du die wirklich sorgfältig machen.
***
Ich bin für individuelle Beratungen buchbar, kontaktier mich einfach.
eMail: klaudia [at] zotzmann-koch.com
PGP Key: F773 1363 1BCF BA36 646D 6996 6E45 F677 E1EA 1663
Trag Dich unten in meinen Datenschutz-Newsletter ein, wenn ich Dich auf dem Laufenden halten soll, wie es mit der DSGVO weitergeht, was sich durch Rechtsprechungen im Laufe der kommenden Monate ändert und was es mit der kommenden ePrivacy-Verordnung auf sich hat.
Unterstützt den Datenschutz Podcast