Gratis-Download

Bei vielen unternehmensinternen Regelungen mit Datenschutz-Bezug ist der Betriebsrat zu beteiligen. Hierbei kommt Ihnen als Datenschutzbeauftragten...

Jetzt downloaden

Datenschutzerklärung: So haken Sie alle wichtigen Punkte ab – auch für Ihre internationalen Kunden

0 Beurteilungen

Von Wolfram von Gagern,

Datenschutz wird von Kunden, Verbrauchern und Partnern erwartet – auch im Ausland. Um diese Personengruppen über die Datenschutzpolitik Ihres Unternehmens zu informieren, ist die Erarbeitung einer entsprechenden Datenschutzerklärung nicht nur sinnvoll, sondern auch als Bestandteil der Internetpräsenz des Unternehmens notwendig.

Alle gängigen Unternehmensdarstellungen im Internet bieten telekommunikationsgestützte Dienste gemäß § 3 Nr. 25 Telekommunikationsgesetz - TKG in Verbindung mit § 2 Abs. 5 Telemediengesetz - TMG an.

Damit wird § 13 Abs. 1 TMG anwendbar, nachdem der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang, Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb der Europäischen Union in allgemein verständlicher Form zu unterrichten hat.

Dieser Artikel unterstützt Sie bei dieser Kontrolle der Datenschutzerklärung der Internetpräsenz Ihres Unternehmens und gibt Ihnen zusätzliche Hinweise, wie Sie diese Internet-Datenschutzerklärung ergänzen können, um sie so zu einer darüber hinausgehenden Selbstverpflichtung zum Datenschutz – einer Privacy Policy – Ihres Unternehmens zu erweitern. (Zusendung von Werbematerial etc.).

Sofern Sie spezielle Bereiche für einen besonderen Nutzerkreis zur Verfügung stellen (z. B. Händler- oder Partnerbereich) und hierfür besondere Daten notwendig werden (z. B. Gewerbenachweis), sollten Sie hierauf explizit eingehen.

Legen Sie dar und prüfen Sie im Unternehmen auch, dass die gewonnenen Daten nur mit schriftlicher Zustimmung und ausschließlich für die angeforderte Dienstleistung genutzt werden. Gehen Sie in diesem Abschnitt auch auf Cookies ein.

Es ist zwar noch offen, ob Cookies in den Bereich der personenbezogenen Daten fallen oder gar zu den automatisierten Verfahren - gemäß § 13 Abs. 1 TMG - zählen. Sie sollten trotzdem den Benutzer über den Sinn und Zweck von Cookies informieren und dass er über die Konfiguration seines Webbrowsers die Möglichkeit hat, die Nutzung von Cookies zu steuern.

Legen Sie auch dar, dass eine Ablehnung von Cookies eventuell zu einem reduzierten Leistungsangebot führen kann.

Schritt 1: Prüfen Sie die Angaben über die Erhebung persönlicher Daten

Prüfen Sie zunächst, ob die Angabe von persönlichen Daten auf den Internetpräsenzen Ihres Unternehmens oder Konzernverbunds notwendig ist und inwiefern personenbezogene und –beziehbare Daten beispielsweise zu Statistikzwecken gesammelt werden. Differenzieren Sie in der Datenschutzerklärung zwischen personenbezogenen und statistischen Daten.

Es ist schon aus Transparenzgründen ratsam, anzugeben, welche statistischen Daten gesammelt werden und zu welchem Zweck dies geschieht. Möglich sind dabei z. B. die Erhebung der Gesamtzahl der Besucher, der besuchten Seiten oder die Provider-Informationen der Besucher.

Der mit der Datensammlung verbundene Zweck kann beispielsweise die Optimierung des Angebots sein. Weisen Sie in Ihrer Erklärung darauf hin.

Bitten Sie aber auf jeden Fall Ihren Internetdienstleister, Ihren Server so zu konfigurieren, dass die Auswertung tatsächlich nur zu Statistikzwecken geschieht, d. h., personenbezogene Daten für eine Auswertung nicht genutzt werden, sondern der einzelne Benutzer anonym bleibt. Stellen Sie dar, welche personenbezogenen Daten (Name, E-Mail-Adresse etc.) erfragt werden und zu welchem Zweck.

Schritt 2: Prüfen Sie den angegebenen Zweck und die mögliche Weitergabe

Prüfen Sie zunächst in Ihrem Unternehmen, zu welchem Zweck die im Rahmen der Internetpräsenz gewonnenen Daten verwendet werden und inwiefern eine Weitergabe, insbesondere im Konzernverbund, erfolgt. Idealerweise erfolgt die Nutzung der Daten ausschließlich im Rahmen der vom Benutzer gewünschten Dienstleistung.

Stellen Sie dies dann dar und gehen Sie auf die Speicherdauer ein, beispielsweise „nur solange, wie dies für den vorgesehenen Zweck notwendig oder gesetzlich vorgeschrieben ist“.

Zeigen Sie auf, ob und wie eine Weitergabe der Daten erfolgt. Sofern Sie eine Weitergabe der Daten an andere Unternehmen planen, müssen Sie dies dem Benutzer, bevor er Ihnen die Daten zur Verfügung stellt, explizit mitteilen.

Halten Sie sich auch in der Formulierung eine Weitergabe der Daten aufgrund gesetzlicher Verpflichtungen offen.

Tipp: Informieren Sie auch darüber, ob Daten ins EU-Ausland transferiert werden.

Schritt 3: Informieren Sie den Benutzer über Ihre Standards zur Datensicherheit und zum Datenschutz

Datenschutz wird heute von den Kunden, Verbrauchern und Partnern erwartet. So sollten Sie die Datenschutzerklärung als Möglichkeit nutzen, um über Ihre Maßnahmen zur Sicherung von Datenschutz und Datensicherheit zu informieren. Sie schaffen auf diese Art Transparenz und können Datenschutz als eine Möglichkeit nutzen, um Ihr Unternehmen positiv darzustellen.

Gehen Sie detailliert auf die technischen, aber auch auf die organisatorischen Maßnahmen ein. Weisen Sie beispielsweise darauf hin, dass nur besonders geschulte Mitarbeiter Zugriff auf personenbezogene Daten haben und dieser auf die Mitarbeiter beschränkt ist, die die Daten aufgrund ihrer beruflichen Aufgaben benötigen.

Gibt es in Ihrem Unternehmensverbund zusätzliche, über den gesetzlich vorgeschriebenen Standard hinausgehende Maßnahmen oder Compliance-Regelungen? Dann sollten Sie diese an dieser Stelle besonders darstellen und hervorheben, auch um sich vom Mitbewerber zu differenzieren. Falls Sie diese Compliance-Regelungen auch von Ihren Partnern oder Lieferanten verlangen, sollten Sie dies auch erwähnen.

Schritt 4: Informieren Sie Ihre Besucher über ihre Rechte

Weisen Sie die Besucher auf ihre Rechte gemäß §§ 6, 34 BDSG - Auskunft, Berichtigung, Löschung, Sperrung, Empfänger, Zweck der Speicherung oder Kategorien von Empfängern, an die Daten weitergegeben werden - hin.

Achten Sie hierbei – wie auch bei der gesamten Datenschutzerklärung – darauf, dass diese Erläuterung gemäß § 13 Abs. 1 TMG in allgemein verständlicher Form erfolgt. Vermeiden Sie deshalb komplizierte Sätze und zu gesetzeslastige Texte.

Weisen Sie auch auf Widerspruchsrechte bei der Nutzung von Newslettern hin („am Ende jedes Newsletters finden Sie einen Link …“) und auf direkte Möglichkeiten der Kontrolle der gespeicherten Daten („…mit dem per E-Mail mitgeteilten Benutzernamen und Passwort haben Sie die Möglichkeit, sich an Ihrem Benutzerkonto anzumelden.Hier können Sie Ihre Daten jederzeit überprüfen.“).

Schritt 5: Bieten Sie Ihrem Besucher Kontaktmöglichkeiten bei Fragen zum Datenschutz

In Ihrer Datenschutzerklärung sollten sich auch Kontaktdaten (Telefonnummer, Adresse, E-Mail-Adresse etc.) zum Datenschutzbeauftragten Ihres Unternehmens finden. Idealerweise nutzen Sie hierbei keinen anonymen Vertreter („Datenschutzbeauftragter“) und eine anonyme E-Mail- Adresse („bDSB@…“), sondern geben Ihrem Datenschutz ein „Gesicht“ und einen„Namen“ („franz.meier@…“).

Dies sorgt für Vertrauen und senkt die Hemmschwelle zur Kommunikationsaufnahme. Denken Sie hier auch daran, die E-Mail- Adresse nicht im Klartext aufzuführen, sondern entweder als Bilddatei darzustellen oder mit Veränderungen zu versehen (z. B.„franz.meier(@)…“), um Spamversendern ihre Arbeit zu erschweren.

Schritt 6: Ergänzen Sie die Datenschutzerklärung durch eine Selbstverpflichtung zum Datenschutz

Eine sinnvolle Ergänzung ist ein vorangestellter Abschnitt, in dem Sie die Verpflichtung auf den Datenschutz, die sich Ihr Unternehmensverbund selbst auferlegt hat, ausführlich darstellen. Für den jeweiligen Internetauftritt sollten Sie zunächst den Zweck des Internetauftritts („zu Ihrer Information“, „zu Ihrer Unterstützung“) erkennen lassen.

Sofern im Rahmen des Internetauftritts Daten erfragt werden, dann zählen Sie diese kurz auf, um anschließend gleich auf die Ihnen wichtigen Rahmenbedingungen einzugehen: _ Freiwilligkeit der Angaben _ sorgsamer Umgang _ vertrauliche Behandlung _ Wahrung der Rechte des Betroffenen („Ihrer Rechte“)

Tipp: Ein ausführliches Muster für eine Datenschutzerklärung finden Sie im Premiumbereich für Abonnenten von Datenschutz aktuell unter www.bwr-media.de/abonnenten zum Download.

Schritt 7: Erweitern Sie die Datenschutzerklärung für Ihre Internetpräsenz zu einer darüber hinausgehenden Privacy Policy Ihres Unternehmens

Wenn Sie die Datenschutzpolitik Ihres Unternehmens besonders herausstellen möchten, sollten Sie die Erstellung einer unternehmensweiten Privacy Policy oder eines Verhaltenscodex in Erwägung ziehen.

Dies ist dann ausgesprochen sinnvoll, wenn Ihr Unternehmen mehr als den gesetzlichen Datenschutz umsetzt, und lässt sich im Rahmen von Marketingmaßnahmen oder bei der Pressearbeit sehr gut einsetzen.

Hierzu können Sie die Datenschutzerklärung um weitere, besondere Verpflichtungen oder Auszeichnungen Ihres Unternehmens(- verbunds) ergänzen, beispielsweise dass Ihr Unternehmen sich an internationale Standards hinsichtlich des Datenschutzes hält, den Datenschutz regelmäßig extern auditieren lässt, auf welche besonderen Richtlinien sich Ihre Mitarbeiter verpflichten etc.

Andere Erweiterungen dieser Datenschutzerklärung könnten beispielsweise aus folgenden Punkten bestehen:

  • Organisation des Datenschutzes innerhalb des Unternehmens/des Konzernverbunds _ Datenaustausch innerhalb des Konzerns
  • Datenaustausch an Dritte (besondere Verpflichtung dieser Unternehmen durch Ihr Unternehmen)
  • Grundsätze der Datensicherheit (kurze Darstellung der Sicherheitsmaßnahmen Ihrer IT-Infrastruktur wie Firewall,Virenschutz, differenziertes Berechtigungskonzept etc.)
  • (besonderes, sorgsames) Vorgehen Ihres Unternehmens bei der Auswahl von Auftragsdatenverarbeitern (strenger als das in § 11 BDSG vorgeschriebene Verfahren)
  • Verantwortlichkeiten von Konzerngesellschaften und deren Bindung an diese Datenschutzerklärung
  • Sanktionen (wie bei Verstoß gegen diese Datenschutzerklärung vorgegangen wird)
  • allgemeine Definitionen

Übersetzungen: So geht nichts schief

Möglicherweise sollen Sie zusätzlich beispielsweise eine englische Version einer Datenschutzerklärung erstellen. Kann beispielsweise aus Kostengründen kein Übersetzungsbüro beauftragt werden, können Sie sich bei Unsicherheiten auch mit einem einschränkenden Hinweis behelfen:

„Die vorliegende englische Version haben wir mit großer Sorgfalt übersetzt. Dennoch kann für die Richtigkeit der Übersetzung keine Haftung übernommen werden. Im Zweifel gilt der ursprüngliche deutsche Text.“

Tipp: Ein englischsprachiges Muster für eine Erklärung finden Sie im Premiumbereich für Abonnenten von Datenschutz aktuell unter www.bwr-media.de/abonnenten.

 

Datenschutz-Ticker

Mit jeder Ausgabe neue Tipps, Anregungen, Hinweise auf aktuelle Urteile und Gesetzesänderungen, aber auch auf so manche vorteilhafte Gestaltungsmöglichkeit, die sich Ihnen als Datenschutzbeauftragten bietet.

Datenschutz

Anzeige

Produktempfehlungen

Ihr starker Berater für ein rechtssicheres Online-Marketing

Praxisnahes Wissen zur Verbesserung und Erleichterung Ihrer Arbeit als betrieblicher Datenschutzbeauftragter!

Schnelle und einfache Mitarbeiterschulung

Umfassender Überblick für Datenschutzbeauftragte

Damit Sie auch die neuen Herausforderungen des betrieblichen Datenschutzes erfolgreich meistern!