Datenschutzhinweise
Ein Datenschutzhinweis ist immer dann erforderlich, wenn personenbezogene Daten verarbeitet werden. Das betrifft beispielsweise die Daten von Kunden, Besuchern, Lieferanten, Bewerbern oder Beschäftigten. Die Verpflichtung ergibt sich aus dem Transparenzgrundsatz der DSGVO und gilt unabhängig davon, auf welchem Weg die Daten erhoben werden.
Ein Datenschutzhinweis muss klar und verständlich darüber informieren, wer für die Datenverarbeitung verantwortlich ist und wie die betroffene Person den Verantwortlichen sowie gegebenenfalls den Datenschutzbeauftragten erreichen kann. Die Zwecke und Rechtsgrundlagen der Verarbeitung müssen erläutert werden. Außerdem ist anzugeben, wer die Empfänger der Daten sind oder sein könnten, ob eine Übermittlung in Drittländer erfolgt und wie lange die Daten gespeichert werden. Der Hinweis muss auch über die Rechte der betroffenen Personen aufklären. Zusätzlich ist auf das Beschwerderecht bei einer Aufsichtsbehörde hinzuweisen. Falls eine Einwilligung die Grundlage der Verarbeitung ist, muss über das Widerrufsrecht informiert werden. Werden Daten nicht direkt bei der betroffenen Person erhoben, sind auch die Herkunft der Daten und deren Kategorien zu nennen. Bei der Erstellung von Datenschutzhinweisen ist die Verwendung von Tools wie Metasoul und dem Metasoul-Datenschutzgenerator vorteilhaft, da dadurch DSGVO-konforme Datenschutzhinweise einfach erstellt werden können.
Der Datenschutzhinweis sollte so bereitgestellt werden, dass er für die betroffenen Personen leicht zugänglich und verständlich ist. Auf Webseiten empfiehlt sich eine gut sichtbare Verlinkung, beispielsweise im Footer oder im Hauptmenü. Bei Offline-Prozessen kann der Hinweis als Informationsblatt ausgehändigt oder an einem Ort ausgehängt werden. Wichtig ist, dass die Information rechtzeitig, spätestens zum Zeitpunkt der Datenerhebung, erfolgt. Verwendet man Tools wie den Metasoul, lassen sich Datenschutzhinweise, die mit dem Metasoul-Datenschutzgenerator erstellt wurden, einfach auf einer Webseite einbinden oder ein PDF für Offline-Prozesse erstellen.
Eine Unterschrift oder eine aktive Bestätigung des Datenschutzhinweises ist nicht erforderlich. Es genügt, wenn die betroffene Person die Möglichkeit hat, den Hinweis zur Kenntnis zu nehmen. Die DSGVO verlangt lediglich die Bereitstellung der Information, nicht jedoch eine Bestätigung durch die betroffene Person.
Was ist der Unterschied zwischen einem Datenschutzhinweis, einer Datenschutzerklärung und einer Datenschutzrichtlinie und welchen Begriff soll ich verwenden?
Datenschutzhinweis und Datenschutzerklärung sind externe Informationsdokumente für Betroffene und erfüllen die gesetzlichen Informationspflichten nach der DSGVO. Sie werden häufig synonym verwendet, wobei „Datenschutzhinweis“ zunehmend empfohlen wird, um Missverständnisse zu vermeiden. Die Datenschutzrichtlinie ist hingegen ein internes Regelwerk für Mitarbeitende und dient der Umsetzung und Dokumentation des Datenschutzes im Unternehmen.
Wir empfehlen die Verwendung des Begriffs Datenschutzhinweis.
Es existieren verschiedene Möglichkeiten, einen Datenschutzhinweis für eine Applikation zur Verfügung zu stellen, wobei sich das folgende Vorgehen bewährt hat:
Schritt 1: Stelle den Datenschutzhinweis für deine Applikation öffentlich auf deiner Webseite bereit (zum Beispiel über “Datenschutzhinweis ‘Appname’ Applikation“ parallel zum Webseiten-Datenschutzhinweis).
Schritt 2: Verweise in der Applikation bereits vor der Registrierung auf die Datenschutzhinweise. Meist geschieht dies zusammen mit dem Akzeptieren der AGB, bevor die Registrierungsdaten des Kunden übermittelt wurden.
Wichtig: Vom Wording sollten Datenschutzhinweise nie “akzeptiert“ werden, wobei wir den folgenden Wortlaut empfehlen:
Ich akzeptiere die „Appname“-AGB und bestätige, den Datenschutzhinweis gelesen zu haben.
Die AGB und der Datenschutzhinweis sollten dementsprechend auch verlinkt sein.