Fragenkataloge

Wie fülle ich einen Fragenkatalog für einen Datenschutzhinweis aus?

Das Ausfüllen eines Fragenkatalogs ist erforderlich, um einen Datenschutzhinweis zu erstellen. Um einen neuen Fragenkatalog zur Erstellung eines Datenschutzhinweises auszufüllen, muss zuerst im Modul “Datenschutz-Assistent” ein verfügbarer Anwendungsfall ausgewählt werden. Will man zum Beispiel einen Datenschutzhinweis für eine Webseite erstellen, wählt man “Webseite hinzufügen“.

Drei Felder mit jeweils einem Button für die Erstellung dieser Datenschutzhinweisen zu den Themen: “Webseite”, “Mobile App”, “B2C Dienstleistung”

In einem Fragenkatalog sind Pflichtfelder mit einem Asterisk (*) gekennzeichnet. Solange nicht alle Pflichtfelder ausgefüllt sind, kann der Fragenkatalog nicht vollständig abgeschlossen werden.

Einige Eingabefelder enthalten ein Informationssymbol (🛈), das bei Bewegung des Mauszeigers zusätzliche Hilfestellungen und Hinweise zur Beantwortung der Frage anzeigt. Darüber hinaus werden bestimmte Felder dynamisch eingeblendet, abhängig von den zuvor getroffenen Auswahlentscheidungen.

Wenn Sie das Ausfüllen des Fragenkatalogs unterbrechen möchten, ohne dass Ihre bisherigen Eingaben verloren gehen, klicken Sie auf die blaue Schaltfläche “Speichern und Schließen” am unteren Bildschirmrand.

Nach Abschluss aller erforderlichen Eingaben klicken Sie auf das grüne Feld “Abschließen” am unteren Bildschirmrand, um den Fragenkatalog zu beenden.

Je nachdem, wie der Fragenkatalog geschlossen wurde, erhält dieser einen entsprechenden Status.

Für die Generierung eines Datenschutzhinweises ist es erforderlich, dass der Fragenkatalog den Status “Fertig” hat. Dieser Status wird durch die Aktion “Abschließen” erreicht. Bei unvollständigen Datenschutzhinweisen, bei denen noch nicht alle Pflichtfragen beantwortet sind, ist der Status “Entwurf“.

Wie kann ich einen Fragenkatalog mit jemand anderem teilen?

Fragebögen können mit anderen Nutzern geteilt werden selbst wenn diese kein Metasoul Konto besitzen. Ein Fragebogen kann über die “Teilen” Schaltfläche im rechten, oberen Bereich des Fragebogens geteilt werden.

Der Fragenkatalog zeigt im oberen rechten Bereich die hervorgehobene Option „↱ Teilen“. Die Optionen „Speichern und Schließen“ sowie „Abschließen“ befinden sich im unteren Bereich.

Es erscheint ein Modal, in dem eine E-Mail-Adresse angegeben und der Einladungs-Link generiert werden kann. Dieser Link wird an die jeweilige E-Mail-Adress versendet.

Ein Fenster mit dem Titel „Mitwirkende verwalten“, das die Option „Einladen“ sowie ein Eingabefeld „E-Mail“ enthält.

Im angezeigten Modal werden ebenfalls alle E-Mails, mit denen der jeweilige Fragebogen geteilt wurde aufgelistet. Der jeweilige Link kann hier noch einmal manuell kopiert und über andere Kommunikationswege übermittelt werden.

Ein Fenster mit dem Titel „Mitwirkende verwalten“, das die Option „Einladen“ sowie ein Eingabefeld „E-Mail“ enthält. Zudem ist unter „Aktive Mitwirkende“ der Eintrag „demo@metasoul.com“ mit den Optionen zum Löschen oder Kopieren aufgeführt.

Nach dem Öffnen der Einladung durch den Mitwirkenden ist eine Bearbeitung ohne Anmeldung möglich. Achtung: Jeder mit dem Link kann diesen öffnen.

Der Metasoul-Fragenkatalog mit den Optionen “Speichern” und “Fertig”

Durchgeführte Änderungen können vom Mitwirkenden über die Option „Speichern“ gesichert werden. Will der Mitwirkende die Beantwortung des Fragebogens beenden, kann die Option „Fertig“ ausgewählt werden. Mit Auswahl von „Fertig“ wird der Einladungs-Link invalidiert und kann nicht erneut verwendet werden.

Der Metasoul-Fragenkatalog mit den Optionen “Speichern” und “Fertig”

Nach Auswahl der Option „Fertig“ erfolgt eine Weiterleitung auf eine Seite, die den erfolgreichen Abschluss des Fragenkatalogs bestätigt. Derjenige, welcher zum Bearbeiten eingeladen hat, erhält nach Abschluss durch den Mitwirkenden einen Hinweis per E-Mail.

Metasoul-Bestätigungsnachricht über die erfolgreiche Speicherung der Änderungen des Fragenkatalogs.

Der Einladungs-Link kann bei Bedarf reaktiviert werden, sofern Antworten aktualisiert werden müssen. Dies erfolgt über die Option „Wiederherstellen“ neben der jeweiligen E-Mail-Adresse im Fenster „Mitwirkende verwalten“.

Über das “Löschen” Symbol neben einer gültigen Einladung können bestehende Zugriffe, entzogen werden.

Wie lege ich neue Attribute wie Produkte, Hersteller , Drittverarbeiter und andere in Metasoul an?

Metasoul bietet bereits eine umfangreiche Datenbank mit Produkten, Herstellern, Drittverarbeitern und weiteren Attributen. Es kann trotzdem vorkommen, dass ein von Ihnen benötigter Eintrag in Metasoul noch nicht verfügbar ist. Falls dies der Fall ist, können Sie beim Ausfüllen eines Fragenkatalogs selbst Einträge in verschiedene Felder hinzufügen. Wir prüfen regelmäßig diese selbst hinzugefügten Informationen, nehmen sie in unsere Datenbank auf und fügen zu diesen Einträgen weitere datenschutzrelevante Attribute hinzu.

Das Hinzufügen von Eingträgen ist in ausgewählten Dropdown-Feldern möglich. Diese lassen sich daran erkennen, dass sich am Ende der Dropdown-Auswahl ein Eintrag namens “[Art des Eintrages] hinzufügen” befindet.

Im folgenden Screenshot ist beispielhaft ein Dropdown-Menü der Art “Webseitenelement“ abgebildet.

Das Drop-Down-Menü des Eingabefelds “Auswahl” unter der Tabelle ist aktiv und einige Optionen des Menü sind: “Chatbot”,“Cookies”,“Webseitenelement hinzufügen”

Wie kann ich eigene Verarbeitungszwecke definieren?

In einem Datenschutzhinweis ist es notwendig, darzulegen, warum personenbezogene Daten verarbeitet werden. Dieses “Warum“ sind die Zwecke der Verarbeitung, oder “Verarbeitungszwecke“.

Metasoul bietet für verschiedenste Arten von Datenschutzhinweisen bereits eine große Anzahl von Verarbeitungszwecken an. Es kann trotzdem vorkommen, dass in gewissen Fällen ein eigener Verarbeitungszweck definiert werden muss. Bei der Definition eigener Verarbeitungszwecke ist üblicherweise die Eingabe weiterer Informationen, wie etwa die durch den Zweck verarbeiteten Kategorien personenbezogener Daten, die involvierten Drittdienstleister oder die Rechtsgrundlage, notwendig.

In den jeweiligen Fragenkatalogen können individuelle Verarbeitungszwecke wie folgt definiert werden.

In Fragenkataloge für Webseiten-Datenschutzhinweise

Im Fragenkatalog für Webseiten können eigene Verarbeitungszwecke definiert werden wenn bei der Frage

Welche anderen allgemeinen Elemente, die personenbezogene Daten von Webseiten-Besuchern erfassen oder übermitteln und bisher nicht genannt wurden, sind im Einsatz?

die Option

Andere Services, welche bisher nicht genannt wurden

gewählt wird.

Die aktive CheckBox “Andere Services, welche bisher nicht genannt wurden” über einer Tabelle mit den Spalten “WEBSEITENELEMENT”, “ZWECK DES WEBSEITENELEMENT”, “DATENKATEGORIEN”, “INVOLVIERTE DIENSLEISTER” und “RECHTSGRUNDLAGE”

In Fragenkataloge betreffend Datenschutzhinweise für mobile- und Web-Applikationen

Im Fragenkatalog für mobile- und Web-Applikationen können eigene Verarbeitungszwecke definiert werden wenn bei der Frage

Welche anderen allgemeinen Elemente, die personenbezogene Daten von Applikations-Nutzern erfassen oder übermitteln und bisher nicht genannt wurden, sind im Einsatz?

die Option

Andere Services, welche bisher nicht genannt wurden

gewählt wird.

Die aktive CheckBox “Andere Services, welche bisher nicht genannt wurden” über einer Tabelle mit den Spalten “APPLIKAITONS-ELEMENT”, “ZWECK DES APPLIKAITONS-ELEMENT”, “DATENKATEGORIEN”, “INVOLVIERTE DIENSLEISTER” und “RECHTSGRUNDLAGE”

In Fragenkataloge betreffend Datenschutzhinweise für allgemeine Dienstleistungen gegenüber dem Endkunden

Im Fragenkatalog für allgemeine Dienstleistungen gegenüber dem Endkunden können eigene Verarbeitungszwecke definiert werden wenn bei der Frage

Welche der folgenden Aktivitäten werden im Zuge der Dienstleistungserbringung durchgeführt?

die Option

Andere Aktivitäten, welche bisher nicht genannt wurden

gewählt wird.

Die aktive CheckBox “Andere Aktivitäten, welche bisher nicht genannt wurden” über einer Tabelle mit den Spalten “AKTIVITÄT”, “ZWECK DER AKTIVITÄT”, “DATENKATEGORIEN”, “INVOLVIERTE DIENSLEISTER” und “RECHTSGRUNDLAGE”

Wie bestimme ich die richtige Rechtgrundlage für einen Verarbeitungszweck?

Die richtige Rechtsgrundlage zu wählen, ist nicht immer trivial, muss jedoch für jeden Verarbeitungszweck bestimmt und der betroffenen Person im Datenschutzhinweis transparent erläutert werden. Metasoul bietet hier bereits für viele gängige Verarbeitungszwecke eine passende Rechtsgrundlage an. In bestimmten Fällen, wie zum Beispiel bei der benutzerdefinierten Erstellung eines eigenen Verarbeitungszwecks, muss diese jedoch vom Anwender bestimmt werden. Dies ist unter anderem in den folgenden Fällen notwendig:

Erstellung eines neuen Webseiten-Elements
Falls als Teil der Dienstleistungserbringung personenbezogene Daten mit anderen Privatpersonen, Unternehmen oder Institutionen geteilt werden.

Um die passende Rechtsgrundlage für einen Verarbeitungszweck zu finden, gehe dazu sequenziell durch die folgenden Überlegungen. Sollte eine Überlegung zutrifft, hast du die passende Rechtsgrundlage für den jeweiligen Verarbeitungszweck gefunden.

Überlegung 1: Lebenswichtige Interessen?

Ist die Verarbeitung personenbezogener Daten zum jeweiligen Zweck für das Leben des Betroffenen entscheidend? Dies kann zum Beispiel bei medizinischen Notfällen oder in der Katastrophenhilfe notwendig sein. Wenn ja, ist die Rechtsgrundlage der „Schutz von lebenswichtigen Interessen“.

Überlegung 2: Öffentliches Interesse?

Haben Sie eine Aufgabe „übertragen bekommen“, die im öffentlichen Interesse liegt? Beispiele können statistische Erhebungen für das Statistikamt, die Erfüllung von Bildungsaufgaben (z.B. Schulen) oder die Organisation von Wahlen oder Volksabstimmungen sein. Wenn ja, ist die Rechtsgrundlage „Öffentliches Interesse oder Ausübung öffentlicher Gewalt durch den Verantwortlichen“.

Überlegung 3: Rechtliche Verpflichtung?

Haben Sie eine rechtliche Verpflichtung zur Verarbeitung personenbezogener Daten? Beispiele können zum Beispiel steuerlicher Natur sein, wie z.B. die Erstellung von Lohnabrechnungen oder die Abgabe von Steuererklärungen. Sollte eine rechtliche Verpflichtung die Verarbeitung personenbezogener Daten erforderlich machen, ist die Rechtsgrundlage „Erfüllung einer rechtlichen Verpflichtung“.

Überlegung 4: Vertragsbeziehung?

Besteht eine vertragliche Verpflichtung zur Verarbeitung personenbezogener Daten, oder ist dies nötig, um auf einen Vertragsabschluss hinzuwirken? Eine vertragliche Verpflichtung kann zum Beispiel die Lieferung eines gekauften Produktes (Kaufvertrag) oder die Bereitstellung eines abonnierten Dienstes sein. Auch ein Arbeitsvertrag bringt gewisse Verpflichtungen zur Verarbeitung von Mitarbeiterdaten mit sich. Wichtig: Der Vertrag als Rechtsgrundlage gilt nur, wenn der Vertragspartner eine natürliche Person ist. Vorvertragliche Verpflichtungen ergeben sich zum Beispiel, wenn jemand ein Angebot anfordert oder Informationen zu Vertragsdetails in Klärung stehen. Auch hier gibt es ein „Aber“: Die vorvertragliche Verpflichtung gilt nur, wenn die Initiative von der betroffenen Person ausgeht. Sollte die Verarbeitung personenbezogener Daten der Erfüllung eines Vertrages dienen oder zur Anbahnung eines Vertrages wichtig sein, ist die korrekte Rechtsgrundlage „(Vor-)Vertragliche Verpflichtungen“.

Überlegung 5: Berechtigtes Interesse?

Mit dem „berechtigten Interesse“ besteht die Möglichkeit, sich selbst eine Rechtsgrundlage zu schaffen. Die Grundaussage dieser Rechtsgrundlage ist

wenn die Interessen der betroffenen Person nahe Ihren Interessen des Verantwortlichen liegen, also beide das Gleiche wollen,

oder von einer grundlegenden Erwartungshaltung ausgegangen werden kann,

dann kann man von einem berechtigten Interesse zur Verarbeitung personenbezogener Daten ausgehen.

Hier ein paar Beispiele:

Ein Nutzer, der deine Webseite besucht, kann davon ausgehen, dass personenbezogene Daten, die für die Bereitstellung der Webseite erforderlich sind, verarbeitet werden.

Wenn du eine Pizza bestellst, hat der Pizza-Lieferant ein berechtigtes Interesse an deinen Daten, damit er die Pizza überhaupt liefern kann. Aber er hat auch ein berechtigtes Interesse daran, dir Werbung zu senden, damit er dich als Kunden behalten kann.

Wichtig zu beachten ist, dass neben der Abwägung der Interessen auch die Wahrung der Grundrechte und Freiheiten eine wichtige Rolle spielt.

Wir empfehlen folgendes Vorgehen, um festzustellen, ob die Rechtsgrundlage des berechtigten Interesses passend ist:

Berechtigtes Interesse identifizieren: Überlegen Sie, ob sich ein berechtigtes Interesse von Ihnen oder einem Dritten findet, das die Verarbeitung personenbezogener Daten rechtfertigt. Häufig ergeben sich Gründe, wenn die betroffene Person Kunde ist oder interne Verwaltungsaufgaben oder die Wahrung der Netz- und Informationssicherheit betroffen ist.

Erforderlichkeit der Datenverarbeitung bestimmen: Prüfen Sie im zweiten Schritt, ob für die Wahrung des berechtigten Interesses eine Verarbeitung personenbezogener Daten erforderlich ist. Falls es alternative Wege zur Erreichung des Zieles gibt, ist die Datenverarbeitung nicht zulässig.

Interessen der betroffenen Person abwägen: Überlegen Sie, welches Interesse die betroffene Person an der Datenverarbeitung haben könnte und ob die Datenverarbeitung Grund- oder Freiheitsrechte der betroffenen Person gefährdet. Stellen Sie sich hier die Frage, ob die betroffene Person mit der geplanten Datenverarbeitung rechnen oder diese generell erwarten würde bzw. auch in deren Interesse liegt. Sollten sich hier Gründe ergeben, stellen Sie abschließend sicher, dass das „Minimierungsprinzip“ eingehalten werden kann: Nur die minimal benötigten Daten werden für den minimal nötigen Zeitraum verarbeitet und gespeichert.

Haben Sie alle drei Schritte mit nachvollziehbaren Argumenten positiv beantwortet, wählen Sie „Berechtigtes Interesse“ als Rechtsgrundlage.

Überlegung 6: Einwilligung der betroffenen Person?

Sollte keine der bisher genannten Rechtsgrundlagen gepasst haben, bleibt als letzte Option noch die Einwilligung der betroffenen Person zu der geplanten Datenverarbeitung. Auch hier gibt es einige Überlegungen und Vorgaben zu berücksichtigen:

Geschieht die Einwilligung freiwillig? Freiwilligkeit besteht nur, wenn die betroffene Person die Möglichkeit hat, abzulehnen.

Wird die betroffene Person ausreichend informiert? Hier muss für die betroffene Person ausdrücklich ersichtlich sein, welchen Zweck die Datenverarbeitung verfolgt, und dass die Einwilligung jederzeit widerrufen werden kann.

Besteht die Möglichkeit, die Einwilligung zu widerrufen? Dies sollte nachträglich auf einfache Weise möglich sein.

Kann nachgewiesen werden, dass eine betroffene Person die Einwilligung gegeben hat?

Kann sichergestellt werden, dass die Verarbeitung erst nach Einwilligung erfolgt?

Typische Fälle für eine Einwilligung sind etwa Cookie-Banner oder die Verwendung von Fotos eines Events auf einer Webseite.

Lässt sich eine Einwilligung wie oben beschrieben einholen, kann als Rechtsgrundlage „Einwilligung der betroffenen Person“ gewählt werden.

Üblicherweise ist die Rechtsgrundlage der Einwilligung in der Anwendung komplexer, als es sich anhört. Darum sollte diese nur verwendet werden, wenn keine andere Rechtsgrundlage zutrifft.

Sollten Sie bisher keine Rechtsgrundlage gefunden haben, ist von einer Datenverarbeitung abzusehen. Da das Thema der Rechtsgrundlage komplex ist, kann es bei Unsicherheit auch Sinn ergeben, professionelle Hilfe in Anspruch zu nehmen.

Wie bestimme ich, welche personenbezogenen Daten und welche Dritt-Dienstleister für die direkte Erbringung einer Dienstleistung involviert sind?

In einigen Fragekatalogen werden nach den Kategorien personenbezogener Daten gefragt, die im Zuge einer direkten Dienstleistungserbringung erfasst werden, sowie nach Drittdienstleistern oder Services, die bei dieser direkten Dienstleistungserbringung involviert sind.

Hier ist es wichtig, dass die direkte Dienstleistungserbringung, die Kerndienstleistung, wofür der Kunde bezahlt, einen eigenen Verarbeitungszweck darstellt und nur die personenbezogenen Daten sowie die involvierten Services/Dienstleister, die ebenfalls direkt mit diesem Zweck zusammenhängen, genannt werden müssen.

Ein Beispiel: Eine Kalkulationshilfe-App für den Body-Maß-Index (BMI) benötigt “Körpergröße” und “Gewicht”, die im Zusammenhang mit dem BMI der Kategorie “Gesundheitsdaten” entsprechen. Andere Daten, wie Login-Daten, Tracking-Daten und so weiter, werden nicht zur direkten Erbringung der Dienstleistung benötigt und müssen nicht angegeben werden. Falls zur Kalkulation des BMI ein Drittservice verwendet wird, ist dieser anzugeben. Andere Dienstleister wie Login-Anbieter, Tracking-Tools oder Newsletter-Services sind ebenfalls nicht Teil der Kerndienstleistung und müssen nicht angegeben werden.

Fazit: Wenn Sie in einem Fragenkatalog Kategorien personenbezogener Daten und Drittprodukte oder -dienstleister für die direkte Dienstleistung angeben müssen, überlegen Sie, was die Kerndienstleistung bzw. der Mehrwert ist, wofür der Kunde bezahlt. Alle mit dieser Kerndienstleistung zusammenhängenden Kategorien personenbezogener Daten sowie Drittprodukte oder -dienstleister sind anzugeben. Alle unterstützenden Zwecke und Funktionen (Marketing, Tracking, Nutzermanagement,…), die nur indirekt mit der Dienstleistung zusammenhängen, müssen nicht berücksichtigt werden bzw. sollten bereits in anderen Fragen des Fragenkatalogs abgedeckt sein.