Ab dem 25. Mai 2018 gilt die neue EU-Datenschutzgrundverordnung (DSGVO), und damit treten auch neue Regelungen in puncto Datenschutzerklärung in Kraft. Lesen Sie hier, was es dabei zu berücksichtigen gibt.
Schon am 25. Mai 2016 trat die neue EU-Datenschutzgrundverordnung eigentlich in Kraft, doch nach zwei Jahren endet nun auch die Übergangsfrist. Ab dem 25. Mai 2018 ist sie somit für Unternehmen verpflichtend. Bei Verstößen drohen erhebliche Sanktionen. Umso wichtiger ist es daher, dass man weiß, was die neue DSGVO eigentlich für das eigene Unternehmen bedeutet. Unter anderem gilt ab Ende Mai die erweiterte Informationspflicht in Datenschutzerklärungen.
Die vielen notwendigen Informationen präzise zu vermitteln und diese gleichzeitig möglichst übersichtlich und verständlich darzustellen, ist allerdings ein ziemlicher Balanceakt. Um diesen Ansprüchen gerecht zu werden, helfen grafische Abbildungen (siehe hierzu Art. 12 Abs. 7 DS-GVO). Doch auch eine gute Gliederung der Datenschutzerklärung ist unabdingbar. Aus dem Grund stellen wir Ihnen einen exemplarischen Aufbau vor:
Vorwort
Eine Einleitung ist nicht zwingend erforderlich. Viele Firmen nutzen diese jedoch dazu, den Wert des Datenschutzes in ihrem Unternehmen hervorzuheben, um so das Vertrauen des (potentiellen) Nutzers zu gewinnen.
Begriffsdefinitionen
„Personenbezogene Daten“, „Cookies und Zählpixel“ sowie „Log-Files“ – die Datenschutzerklärung enthält Begrifflichkeiten, die für den Laien zunächst einmal erklärungsbedürftig sind. Mit diesem Teil wird sichergestellt, dass der Nutzer die folgenden Ausführungen überhaupt versteht. Bei Datenschutzerklärungen für Apps ist es zudem ratsam, Begriffe wie Software Development Kit (SDK), Werbe-ID oder Unique User Identifier zu erläutern.
Nutzung der User-Daten
Gemäß der DSGVO ist es verpflichtend, dem Nutzer eindeutig darzulegen, welche Daten zu welchen Zwecken verarbeitet werden. Dies gilt als zentraler Bestandteil der Datenschutzerklärung. Mitunter auch deswegen, weil personenbezogene Daten zweckgebunden sind. Eine nachträgliche Änderung des Zwecks seitens des Unternehmens erfordert die ausdrückliche Zustimmung des Nutzers. Auch fordert Art. 13 Abs. 1 lit. c DS-GVO Sie dazu auf, die jeweilige Rechtsgrundlage der Datenerhebung zu nennen. Ob die Norm lediglich zitiert oder komplett erläutert werden muss, ist bislang strittig. Ist die Datenerhebung auf berechtigte Interessen gestützt, so muss auch das gemäß Art. 13 Abs. 1 lit. d DS-GVO erläutert werden. Sicherheitshalber sollte auch geklärt werden, wo und wie lange die entsprechenden Daten gespeichert werden (Art. 13 Abs. 2 DS-GVO).
Einsicht in die Userdaten
Art. 13 Abs. 1 lit. e DS-GVO verlangt, dass Sie darlegen, welche Empfänger oder Kategorien von Empfängern Einsicht in die Userdaten erhalten. Gemäß der neuen DSGVO sollten Sie dabei sogar auf eigene Auftragsdatenverarbeiter hinweisen.
Datentransfer ins Ausland
Findet Datentransfer in ein sogenanntes Drittland (außerhalb der Europäischen Union) statt, so muss der Nutzer darüber explizit informiert werden. Ziel dabei ist es, so ins Detail zu gehen, dass der Nutzer das bestehende Übermittlungsrisiko anschließend einschätzen kann.
Zugriffsrechte
In diesem Teil müssen Sie erläutern, welche Zugriffsrechte der Nutzer der App durch seine Zustimmung erteilt, warum diese erforderlich sind und wie diese genutzt werden.
Drittanbieter
Dieser Teil ist vor allem für App-Entwickler relevant, denn hier werden alle eingebundenen Tools von Drittanbietern gelistet. Beispielsweise Dienste von Google und Facebook, die den Nutzer analysieren und effektives Retargeting ermöglichen. Für die Verwendung solcher Tools ist häufiger als erwartet eine sogenannte informierte Einwilligung nötig. Mindestens muss die Datenschutzerklärung jedoch detaillierte Informationen zu den verwendeten Tools sowie Optionen zum Opt-Out bereitstellen.
Nutzerrechte
Der Betroffene sollte in der Datenschutzerklärung über seine Rechte informiert werden, wie beispielsweise über das Recht auf Löschung (Art. 17) oder das Widerspruchsrecht gegen die Verarbeitung (Art. 21) der Daten. Neu ist Art. 77 DS-GVO, der dazu verpflichtet, über das bestehende Beschwerderecht bei der Aufsichtsbehörde zu informieren.
Schluss
Nicht zu vergessen und zwingend erforderlich ist es, die Kontaktdaten des Verantwortlichen (inklusive Namen) sowie die des Datenschutzbeauftragten anzugeben.
Fakt ist: Eine ordentliche Datenschutzerklärung wird mit der neuen DSGVO noch wichtiger. Doch hat man sich erstmal tiefer in die Thematik eingearbeitet, zeigt sich, dass sich auch die neuen Anforderungen strukturiert umsetzen lassen.
Dieser Beitrag basiert auf einem Artikel von Georg Fechner und Jann Cornels.
Bildquellen: iStock/Warchi