In der Beratungs- und Prüfungspraxis wird immer wieder festgestellt, dass in Datenschutzerklärungen nicht immer die in Art. 13 und 14 DSGVO geforderten Informationspflichten eingehalten werden. Die folgenden Hinweise sollen Verantwortlichen helfen, ihre Datenschutzerklärungen den rechtlichen Vorgaben getreu zu erstellen und die Vollständigkeit ihrer Angaben zu überprüfen.
Die Informationspflichten nach Art. 13 und 14 DSGVO beruhen auf dem Grundsatz der Transparenz: Betroffene Personen sollen wissen, welche ihrer Daten von wem, wie, warum, auf welcher Rechtsgrundlage und wie lange verarbeitet und an wen sie weitergegeben werden. Dies soll die betroffenen Personen in die Lage versetzen, selbst überprüfen zu können, ob ihre Daten rechtmäßig verarbeitet werden.
Um die Rechtmäßigkeit der erfolgenden Datenverarbeitungen überprüfen zu können, ist die Angabe der Zwecke und Rechtsgrundlagen sowie ggf. der verfolgten berechtigten Interessen notwendig. Dies erfordert, dass diese vollständig – und nicht nur beispielhaft – angegeben und den konkreten Datenverarbeitungen zugeordnet werden. Eine allgemeine Darstellung, welche Rechtsgrundlagen existieren, ohne Zuordnung zu den konkreten Verarbeitungen, genügt nicht. Bei Datenverarbeitungen auf Grundlage einer rechtlichen Verpflichtung oder Wahrnehmung öffentlicher Aufgaben muss zudem auch die Verpflichtungs- oder Aufgabennorm angegeben werden, denn nur diese legt letztlich die Rechtsgrundlage fest. Ebenso müssen berechtigte Interessen hinreichend konkret benannt werden. Verantwortliche sollten hier besondere Sorgfalt walten lassen, weil nur die angegebenen Interessen bei der Rechtmäßigkeitsprüfung berücksichtigt werden können und sie zudem nachweisen müssen, dass die in Rede stehenden Verarbeitungen zur Wahrung der angegebenen Interessen erforderlich sind.
Zudem müssen etwaige Empfänger oder Kategorien von Empfängern der personenbezogenen Daten aufgeführt werden: Ist den Verantwortlichen bekannt, an welche Empfänger oder Kategorien von Empfängern personenbezogene weitergegeben werden, müssen diese konkret benannt werden. Dazu gehören sämtliche Auftragsverarbeiter und auch Unterauftragsverarbeiter. Kommt es dabei zu Datenexporten, zu denen auch Fernzugriffe aus Drittländern und die technisch gegebene Möglichkeit hierzu etwa zu Administrations- oder Supportzwecken gehören, sind diese ebenso in der Datenschutzerklärung anzugeben. Dies gilt insbesondere bei der Nutzung von Cloud- oder US-Diensten und beim Einsatz von Unterauftragsverarbeitern. Sämtliche betroffenen Drittländer müssen dementsprechend zusammen mit den von den Verantwortlichen vorgesehenen geeigneten Garantien der Rechtmäßigkeit der Datenverarbeitung genannt werden. Auch die konkreten Aufbewahrungs- und Löschfristen der erhobenen Daten inklusive Fristbeginn und Fristdauer sind anzugeben. Ein pauschaler Verweis auf nicht näher benannte gesetzliche Vorschriften zur Aufbewahrungspflicht ist nicht ausreichend. Es sind die Aufbewahrungs- und Löschfristen für sämtliche Datenverarbeitungen, die sich in Art und Zweck unterscheiden, differenziert zu benennen.
Datenschutzerklärungen sind ein wichtiges Mittel, um Transparenz über beabsichtigte oder erfolgende Datenverarbeitungen herzustellen und nachvollziehbar zu machen. Insbesondere bei der Angabe der Zwecke und Rechtsgrundlagen sowie ggf. der verfolgten berechtigten Interessen ist es notwendig, dass diese vollständig – und nicht nur beispielhaft – angegeben und den konkreten Datenverarbeitungen zugeordnet werden. Auch müssen die konkreten Aufbewahrungs- und Löschfristen für die jeweiligen Datenverarbeitungen benannt werden. Darüber hinaus sind die konkreten Empfänger (und nicht nur die Kategorien) aufzuführen, wenn diese bekannt sind.
Quelle: Berliner Beauftragte für Datenschutz und Informationsfreiheit
Sind Sie sicher, dass Ihr Unternehmen im Hinblick auf Datenschutz und Datensicherheit optimal aufgestellt ist?
Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
Dieser Absatz enthält Affiliatelinks/Werbelinks