Angebot einholen
Logo Barth Datenschutz
Angebot einholen

So setzen Sie Datenschutzhinweise in verschiedenen Unternehmensbereichen richtig ein

2. August 2021

von Achim Barth

Datenschutzhinweise benötigen Sie immer dann, wenn Sie auf irgendeine Weise Daten Ihrer Kunden, Besucher, Lieferanten, Bewerber oder Beschäftigten verarbeiten. Mit ihr folgen Sie dem Transparenz-Grundsatz aus den Artikeln 12 ff. DSGVO. Jeder kann dann nachvollziehen, wann, warum und auf welche Weise Sie Daten verarbeiten. Eine solche Datenschutzerklärung sollen Sie übrigens sowohl online als auch offline zur Verfügung stellen. Dabei ist ein Medienbruch durchaus möglich – zum Beispiel als QR-Code im Flyer, der zu den Datenschutzhinweisen in einer pdf-Datei weiterleitet.

Grundlegendes zur Datenschutzerklärung

Ganz gleich ob es um Datenschutzhinweise im Online- oder Offlinebereich geht: Drei formale Bedingungen müssen Sie in jedem Fall erfüllen.

  1. Die Erklärung muss für jeden gut verständlich sein. Sie hilft niemandem weiter, wenn sie aufgrund komplizierter Formulierungen, verschachtelter Sätze und zahlreicher Fachkürzel keiner versteht!
  2. Es sollte freien Zugang zur Datenschutzerklärung geben. Auf der Webseite oder auf Facebook heißt das zum Beispiel, dass Sie gut sichtbar verlinkt sein muss.
  3. Sie müssen Ihre Datenschutzhinweise stets auf dem aktuellen Stand halten. Es handelt sich hierbei nicht um einen Selbstläufer, der einmalig erstellt wird. Prüfen Sie regelmäßig, ob alle darin genannten Verfahren, Tools und Dienstleister noch genutzt werden – oder ob es vielleicht sogar neue gibt. Es kann auch vorkommen, dass sich Gesetze verändern, wie zuletzt der vom EuGH gekippte Privacy Shield. Hier gilt: Augen auf!

Was generell in die Datenschutzhinweise hineingehört

Je nach Einsatzbereich brauchen Ihre Datenschutzhinweise die eine oder andere situationsbezogene Ergänzung. Schauen wir uns aber erst einmal an, was ganz allgemein in jeder Datenschutzerklärung stehen muss. Diese Inhalte werden im Artikel 13 der DSVGO geregelt.

  1. Kontaktmöglichkeiten: Name und Kontaktdaten (E-Mail, Telefon) des Datenschutzverantwortlichen und, sofern vorhanden, Ihres Datenschutzbeauftragten.
  2. Zweck und Rechtsgrundlage der Datenverarbeitung: Orientieren Sie sich an den Bedingungen bzw. möglichen Rechtsgrundlagen der Datenverarbeitung aus Artikel 6 DSGVO.
  3. Empfänger: Wer erhält die erhobenen Daten?
  4. Speicherdauer: Erhobene Daten dürfen Sie nicht bis zum Sankt-Nimmerleins-Tag speichern. Geben Sie Speicherfristen klar an oder sagen Sie zumindest, unter welchen Bedingungen Daten gelöscht werden (z.B. nach Vertragende).
  1. Auskunftsrecht: Betroffene dürfen jederzeit eine Auskunft einfordern, welche ihrer personenbezogenen Daten Sie verarbeiten bzw. gespeichert haben.
  2. Widerrufsrecht: Jeder hat das Recht, der weiteren Nutzung der Daten zu widersprechen. Rückwirkend kann der Datenverarbeitung aber nicht widersprochen werden.
  3. Beschwerderecht: Ist ein Nutzer der Ansicht, dass Sie auf irgendeine Weise sorglos mit seinen Daten umgehen, darf er das bei der Aufsichtsbehörde melden. Das sollten Sie in jedem Fall vermeiden!

Spezielle Ergänzungen für die Datenschutzhinweise auf der Webseite

Fast können Sie die Datenschutzhinweise so auch schon auf Ihrer Webseite einbinden. Was hier aber noch ergänzt werden muss, sind sämtliche Tools und PlugIns, die Sie auf Ihrer Webseite nutzen oder eingebunden haben. Wer den Datenschutz ernst nimmt, verlinkt schon im Consent Manager zur Datenschutzerklärung. Dieser muss technisch einwandfrei laufen und die Einwilligung für sämtliche Tracking- und Marketingdienste einholen. Zum Beispiel Google Analytics oder eine YouTube-Integration

Achtung: Prüfen Sie, ob diese Tools Daten in ein Nicht-EU-Land weiterleiten. Hier wird der Datenschutz anders gehandhabt und Betroffene können sich nicht mehr darauf verlassen, dass ihre Daten nach DSGVO-Maßgaben geschützt sind.

Wenn Sie eine automatisierte Entscheidungsfindung eingebaut haben, müssen Sie diese natürlich auch erwähnen. Automatisierte Entscheidungsfindungen sind etwa eine Bonitätsprüfung im Hintergrund oder eine Profilerstellung vom Nutzer.

Datenschutzrichtlinien auf Facebook/Instagram

Social Media ist heutzutage fester und auch wichtiger Bestandteil einer Unternehmensstrategie. Doch es ist bekannt, dass hier eine große Menge Daten über den User eingesammelt, verarbeitet und weitergeleitet wird. Näheres dazu lesen Sie in meinem Beitrag „Darum gehört Ihre Datenschutzerklärung auf Ihre Facebook-Unternehmensseite“.

Bitte gehen Sie nicht davon aus, dass allein Facebook – oder Instagram, wenn Sie auch das Tochterunternehmen nutzen – sich um den Datenschutz seiner User kümmern muss. Sobald Sie ein Unternehmensprofil anlegen, nimmt das soziale Netzwerk Sie ebenfalls in die Pflicht. Konkret müssen Sie neben Facebooks Rechtsgrundlagen zur Datenverarbeitung auch Ihr eigenes berechtigtes Interesse an der Datenverarbeitung begründen. Das ergänzen Sie am besten in einer gesonderten Passage in Ihren Datenschutzhinweisen auf der Webseite. Außerdem gehört dort ein allgemeiner Hinweis zur Datenverarbeitung durch Facebook/Instagram hinein sowie eine Erklärung, um welche Daten es sich handelt.

Als letzten Schritt müssen Sie Ihre Datenschutzerklärung nun noch auf der Plattform selbst einbinden.

  • Facebook: Die Erklärung können Sie direkt in der Infobox unter „Datenrichtlinie“ verlinken. Oder Sie posten den Link separat und pinnen diesen Post an Ihrer Seite.
  • Instagram: In der „Bio“, d.h. der Profilbeschreibung, erlaubt Instagram nur einen einzigen Link. Nutzen Sie deshalb am besten einen Linktree, in dem Sie die URL Ihrer Datenschutzhinweise einbinden.

Wichtig ist hier: Nutzer sollen Ihre Datenschutzerklärung mit maximal zwei Klicks erreichen können.

Datenschutzhinweise im Offline-Bereich

Werfen wir zu guter Letzt einen Blick auf die Regeln, die für den Datenschutz abseits von Webseite, Facebook und Co. gelten. Artikel 13 der DSGVO, der Betroffenenrechte regelt, fordert, dass über Datenerhebung „zum Zeitpunkt der Erhebung dieser Daten“ informiert werden muss. In der Praxis leichter gesagt als getan. Schließlich können Sie zu Beginn eines Kundentelefonats wohl kaum Ihre gesamten Datenschutzhinweise herunterbeten.

Was also nun? Am besten weisen Sie kurz auf die Datenverarbeitung hin und sagen Ihrem Gesprächspartner, wo er weitere Informationen finden kann. Hier eignet sich eine kurze URL, die man sich leicht merken kann. Wo Sie außerdem offline Hinweise zur Datenverarbeitung und dem Datenschutz bereitstellen sollten:

  • Im E-Mail-Verkehr: In die E-Mail gehört neben dem Impressum auch ein Link zur Datenschutzerklärung.
  • Im Ladenlokal/Gastronomiebereich: Hängen Sie die Datenschutzhinweise aus oder halten Sie sie bereit, um sie auf Wunsch vorlegen zu können. Nutzen Sie Videoüberwachung, müssen Sie klar und deutlich darauf aufmerksam machen. Datenschutzinformationen müssen Sie außerdem bereitstellen, wenn sich ein Kunde für ein Kundenprogramm anmeldet oder Sie ein Reservierungstool nutzen. Hier bietet sich ein QR-Code an!

Fazit: Datenschutzinformationen müssen immer und überall erfolgen

Mit einer kurzen Erklärung auf der Webseite ist es längst nicht mehr getan. Um allen Betroffenen (und Datenschutzbehörden) zu verdeutlichen, dass Sie das Thema Datenschutz ernst nehmen und verantwortungsbewusst umsetzen, sollten Sie sowohl online als auch offline darauf aufmerksam machen.

Diese Blogbeiträge dürften Sie ebenfalls interessieren