Mit den umfassenden Informationspflichten der DSGVO wurde ein Ungetüm geschaffen, welches in so manchem Unternehmen bereits für Kopfschmerzen gesorgt hat. Ziel der Informationspflichten ist jedoch vor allem der Schutz der Rechte und Freiheiten von Betroffenen. Durch eine gute Darstellung der Datenverarbeitungen erfüllen Unternehmen nicht nur ihre Pflichten und mindern Bußgeldrisiken, sondern können auch das Vertrauen ihrer Kunden stärken.
Der Inhalt im Überblick
Vermeidung von Bußgeldern und juristischen Konsequenzen
Nicht zuletzt seit dem 600.000 EUR-Bußgeld der CNIL gegen Accor ist bekannt, dass die Einhaltung der Informationspflichten für Unternehmen von ganz erheblicher Bedeutung ist. Das Unternehmen verstieß gegen die Informationspflichten aus Art. 12, 13 DSGVO. Der Verstoß lag in der mangelhaften Darstellung der Datenverarbeitung in Bezug auf den Prozess rund um die Versendung eines Newsletters. Es war für die Betroffenen nicht ausreichend ersichtlich, dass als Rechtsgrundlage für die Datenverarbeitung die Einwilligung des Betroffenen dienen sollte. An diesem Beispiel lässt sich deutlich erkennen, von welcher Relevanz die transparente Darstellung der erforderlichen Informationen ist und welche weitreichenden Folgen Fehler und Nachlässigkeiten an dieser Stelle für Unternehmen haben können.
Wird nicht ausreichend oder fehlerhaft informiert, sind nicht nur Bußgelder (Art. 83 DSGVO) denkbar, sondern ebenfalls auch Schadensersatzansprüche (Art. 82 DSGVO), wenn den Betroffenen aufgrund von mangelnden Informationen Schäden entstehen.
Aufbau von Vertrauen bei Kunden und Geschäftspartnern
Immer mehr Menschen haben Angst um ihre Daten. Die Informationspflichten sollten daher auch als gute Chance gesehen werden, das Vertrauen dieser Menschen zu stärken. Damit wird eine bloße Datenschutzerklärung viel mehr, als eine lästige Pflicht, die erfüllt werden muss, um Bußgelder zu vermeiden. Vielmehr bietet eine gute Datenschutzerklärung die Chance, sich von der Konkurrenz abzuheben und Vertrauen bei seinen Kunden zu schaffen.
Bei dem Wust an Datenschutzerklärungen, die man im Netz finden kann, muss es mittlerweile jedoch heißen: Weniger ist mehr. Viele der Datenschutzerklärungen bestehen aus zusammenkopiertem Kauderwelsch, bei dem auch der begeistertste Datenschützer nicht durchsteigen kann oder möchte. Andere Datenschutzerklärung sind länger als die Werke von J.R.R. Tolkien. Unabhängig davon, wie transparent eine solche Erklärung dadurch sein soll, lädt das nicht unbedingt zum Lesen ein. Entsprechend kann man mit einer übersichtlichen und informativen Datenschutzerklärung auch bei Kunden punkten und Ängsten vorbeugen.
Mit der Datenschutzerklärung zu mehr Überblick?
Nicht nur für Kunden können die Informationspflichten einen Mehrwert liefern. Auch für Unternehmen sind gute Datenschutzerklärungen unerlässlich. Dabei ist nicht nur die Außenwirkung von Bedeutung. Vielmehr sollten bei der Erstellung einer Datenschutzerklärung die Datenverarbeitungsprozesse kritisch hinterfragt werden. Gegebenenfalls werden an der ein oder anderen Stelle sogar Daten gesammelt, die unmittelbar zu Karteileichen werden, weil sie überhaupt nicht genutzt werden. Ist man sich nicht mehr sicher, ob man nun von einem „Herr der Ringe“- Roman oder der eigenen Datenschutzerklärung sitzt, sollte einem schnell klar werden, dass hinsichtlich der Datenverarbeitungen an der ein oder anderen Stelle vermutlich der Rotstift angesetzt werden sollte.
Wie mache ich es richtig?
Beim Schreiben einer Datenschutzerklärung sollte man in jedem Fall folgende Punkte berücksichtigen:
- Eine kurze Einleitung, in welcher der Zweck der Datenschutzerklärung erläutert wird.
- Die Kontaktdaten des Verantwortlichen für die Datenverarbeitung und die des Datenschutzbeauftragten (falls vorhanden) sollten aufgeführt werden.
- Die Rechtsgrundlage für die Datenverarbeitung sollte dargestellt werden. Zum Beispiel, ob eine Einwilligung eingeholt oder das berechtigte Interesse herangezogen wird.
- Der Zweck der Datenverarbeitung sollte dargestellt werden, z.B. ob die Daten für Marketingzwecke oder zur Vertragserfüllung genutzt werden.
- Die Datenempfänger sollten dargestellt werden (Dienstleister, Behörden etc.).
- Die Speicherdauer sollte, wenn möglich, angegeben werden. Falls keine feste Speicherdauer bestimmbar ist, sollten die Kriterien zur Löschung angegeben werden.
- Zu guter Letzt dürfen die Betroffenenrechte sowie die Möglichkeit einer Beschwerde bei der Aufsichtsbehörde nicht fehlen.
Informationspflichten leicht gemacht
Im besten Fall sollte es also niemanden vor eine große Herausforderung stellen, die Informationspflichten gut zu erfüllen. Wichtig ist, dass die aufgeführten Schritte beachtet werden und man sich als Unternehmen darüber im Klaren ist, welche Daten in welchen Fällen überhaupt verarbeitet werden. Findet man dann noch einen individuellen und komprimierten Weg, die Informationen über die Datenverarbeitung zu teilen, können alle Beteiligten nur profitieren.
Webinar zum Thema
Wenn Sie Ihr Fachwissen für den Unternehmensalltag weiter vertiefen möchten, besuchen Sie doch unser Webinar „Informationspflichten nach DSGVO“. Dort wird Ihnen gezeigt, welche wesentlichen Punkte beachtet werden müssen. Wir freuen uns, Sie begrüßen zu dürfen!
Dienstag, den 05.12.2023
von 14:30 bis 16:30 Uhr
Mittwoch, den 10.04.2024
von 10:00 bis 12:00 Uhr
Das Kleingruppenformat ist sehr praxisbezogen gestaltet und bietet anhand eines fiktiven Szenarios viele Best-Practice-Beispiele für die Umsetzung in Ihrem Unternehmen.
