Die Datenschutzerklärung
Eine Vielzahl an personenbezogener Daten werden täglich in Agenturen und Unternehmen erhoben und verarbeitet: E-Mail-Adressen bei Anfragen im Kontaktformular, Kontakt- und Bewerberdaten z. B. aus Online-Formularen oder auch Promoterdaten für den Personalpool. Jeder, der Daten verarbeitet, muss in einer Datenschutzerklärung darüber informieren, was mit den Daten geschieht. Wir möchten Sie in diesem Artikel darüber aufklären, was eine Datenschutzerklärung eigentlich ist, wozu sie benötigt wird und was sie beinhalten sollte. Dabei geht es auch um die neue Datenschutzgrundverordnung.
Was ist eine Datenschutzerklärung?
Datenschutzerklärungen sollen Datenerhebungen transparent machen. Agenturen und Unternehmen müssen ihre Kunden oder Nutzer darüber aufklären, in welchem Umfang und zu welchen Zwecken deren personenbezogene Daten verwendet werden.
Die Datenschutzerklärung erfüllt auch weitere Funktionen: Da jede Datenverarbeitung im Grunde genommen verboten ist, vermittelt die Datenschutzerklärung Informationen, die Nutzer benötigen, um in eine Datenverarbeitung einzuwilligen. Jedoch ist es irrelevant, ob die Datenschutzerklärung überhaupt von jedem einzelnen Nutzer gelesen oder wahrgenommen wird. Sofern die Datenschutzerklärung vollständig vorhanden ist, sind die gesetzlichen Informationspflichten erfüllt. Agenturen und Unternehmen holen sich z. B. bei Promoterbewerbungen die Zustimmung der Privatperson ein, ihre personenbezogenen Daten so zu verwenden, wie in der Erklärung formuliert. Das heißt also, dass die Datenschutzerklärung primär zum Schutz von personenbezogenen Daten und zur Transparenz beitragen soll.
Was genau personenbezogene Daten sind besagen § 3 BDSG und Art. 4 Nr. 1 DSGVO. Hier steht, dass personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer Person sind (mehr zu personenbezogenen Daten finden Sie im Artikel: „Datenschutz: Was sind personenebezogene Daten?“).
Was gehört laut EU-Datenschutzgrundverordnung in eine Datenschutzerklärung?
Das wichtigste Spezialgesetz für das Recht im Internet ist das Telemediengesetz (TMG). Dieses beinhaltet die wesentliche Norm für Datenschutzerklärungen, den § 13 TMG.
Dieser Paragraf bestimmt:
(1) Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten […] in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. Bei einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, ist der Nutzer zu Beginn dieses Verfahrens zu unterrichten. Der Inhalt der Unterrichtung muss für den Nutzer jederzeit abrufbar sein.
Die neue EU-Datenschutzgrundverordnung gilt europaweit und kann durch nationale Gesetze zusätzlich angehoben werden. D. h., die nationalen Gesetze gelten zusätzlich zur EU-DSGVO, nur die Paragrafen, die in der EU-DSGVO auch geregelt sind, fallen weg.
Nach Art. 12 EU-DSGVO soll die Datenschutzerklärung wie folgt beschaffen sein:
(1) Der für die Verarbeitung Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen […] die sich auf die Verarbeitung personenbezogener Daten beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.
Die DSGVO mehr Wert auf eine klare und transparente Formulierung der Datenschutzerklärung. Wichtig ist nach wie vor, dass deutlich hervorgehoben wird, dass mit personenbezogenen Daten sorgsam und verantwortungsvoll umgegangen wird.
Grundlegend muss eine Datenschutzerklärung also Antwort auf folgende Fragestellungen geben können:
- Welche personenbezogene Daten werden erhoben (Name, Adresse, Alter, Krankenversicherung)?
- Zu welchem Zweck werden diese Daten erhoben (z. B. Aufträge durchgeführt, Newsletter versendet, Gewinnspiele, Kommentare im Blog)?
- Was passiert mit diesen Daten (z. B. in Cloud gespeichert)?
- Werden die Daten an Dritte weitergegeben?
- Werden die Daten ins Ausland transferiert (z. B. an Server)?
- Wer bekommt Einsicht in die Daten (z. B. Personalabteilung, Kunden, Buchhaltung)?
- Welche Maßnahmen werden zur Gewährleistung der Sicherheit der Daten ergriffen?
- Welche Daten werden technisch erhoben (z. B. Browsertyp, Standort, IP-Adresse)?
- Welche Daten können/müssen Nutzer angeben, um Funktionen nutzen zu können (z. B. Name, E-Mail, Adresse, Telefonnummer, Bankdaten bei Registrierung)?
- Welche technischen Hilfsmittel sind auf der Webseite eingebunden (z. B. dauerhafte oder temporäre Cookies)?
- Wird die Webseite durch eine Software analysiert (z. B. durch Google Analytics, Piwik, etracker)?
- Wird mit Werbenetzwerken zusammengearbeitet, die Nutzer nachverfolgen (z. B. Retargeting-Anbieter)?
- Werden Social Plugins genutzt (z. B. Facebook Like-Button, Twitter, Goolge+, Xing)?
- Werden Inhalte Dritter mittels Framing eingebunden (z. B. GoogleMaps, YouTube, Vimeo)?
- An welche Adresse können Nutzer Anfragen oder Widersprüche richten (z. B. datenschutz@agentur.de)?
Die EU-DSGVO-kompatible Datenschutzerklärung
Mit der Datenschutzgrundverordnung (DSGVO – mehr dazu im Artikel „Datenschutz: Die neue EU-Datenschutzgrundverordnung“) wird das Datenschutzrecht europaweit vereinheitlicht werden. Diese Verordnung trat im Mai 2016 in Kraft und findet nach einer zweijährigen Übergangszeit am 25. Mai 2018 Anwendung. Hierdurch werden das Bundesdatenschutzgesetz und die datenschutzrechtlichen Vorschriften des Telemediengesetzes ersetzt.
In Art. 13 DSGVO findet sich eine Liste der Dinge, die nach der neuen Verordnung in einer Datenschutzerklärung stehen müssen. Im Folgenden werden die Neuerungen erwähnt.
Die DSGVO verlangt z. B. in Art. 13 Abs. 1c, dass neben der Erläuterung des Datenerhebungs- bzw. -verarbeitungsvorgangs und der Darlegung des dahinterstehenden Zwecks auch die konkret anwendbare Rechtsgrundlage genannt werden soll. In Art. 6 Abs. 1 DSGVO werden Rechtsgrundlagen aufgelistet. Dabei sollte für jede einzelne in der Datenschutzerklärung aufgelistete Datenerhebung oder -verarbeitung die entsprechende Rechtsgrundlage genannt werden.
Neu ist auch, dass ein separater Hinweis auf das Widerrufsrecht des Nutzers in der Datenschutzerklärung gemacht werden muss. Artikel 21 DSGVO besagt, dass jeder Nutzer oder Webseitenbesucher das Recht hat, gegen Direktwerbung Widerspruch einzulegen. Auf der sicheren Seite wäre man also, wenn man in einem separaten Absatz der Datenschutzerklärung durch hervorgehobene Schrift auf das Widerrufsrecht und den Art. 21 DSGVO hinweist.
Zudem ist es Pflicht, die Kontaktdaten eines gegebenenfalls vorhandenen Datenschutzbeauftragten zu nennen. Hier ist auch die Nennung einer E-Mail-Adresse ausreichend.
Neu hinzugekommen ist auch die Aufklärungspflicht, dass die Datenverarbeitung eingeschränkt werden kann und dass Beschwerde bei der Datenschutzaufsichtsbehörde eingereicht werden kann. Ebenso muss künftig ein Hinweis auf das Recht zur Datenübertragbarkeit erfolgen.
Es reicht jetzt auch nicht mehr aus, in der Datenschutzerklärung Empfänger der erhobenen Daten zu nennen, sondern es muss auch darüber informiert werden, ob die Daten an Server außerhalb der EU weitergeleitet werden und ob mit diesen Ländern ein Datenschutzabkommen besteht.
Zum anderen gibt es mit der DSGVO ein echtes Koppelungsverbot. Einwilligungen dürfen dann nicht mehr an den Download von bestimmten Inhalten wie Whitepaper oder Checklisten gekoppelt werden. Auch dies hat Auswirkungen auf die Neuformulierung der Datenschutzerklärungen.
Schließlich sollen in der Datenschutzerklärung auch die Speicherfristen genannt werden. Generell gilt jedoch, dass Daten nur so lange gespeichert werden sollten, wie sie für den angegeben Zweck benötigt werden.
Somit steigen die Anforderungen an die Information und Belehrung in Datenschutzerklärungen durch die DSGVO. Die Datenschutzbestimmungen mit allen notwendigen Informationen müssen deswegen zukünftig:
- präzise
- transparent
- verständlich
- leicht zugänglich
- in klarer und einfacher Sprache verfasst sein
- die Rechtsgrundlage für die Datenverarbeitung benennen.
Mögliche Bausteine für den Aufbau einer Datenschutzerklärung
Aufgrund von Verständlichkeit und Übersicht empfiehlt es sich, die Datenschutzerklärung zu untergliedern. Mögliche Bausteine könnten wie folgt aussehen:
| Kurze Einleitung | z. B. Informationen über Sinn und Zweck Datenschutzerklärung sowie Kontaktdaten der Agentur bzw. des Unternehmens als Verantwortlicher |
|---|---|
| Hinweise zum Umgang mit Social Plugins | Auf der Webseite eingebaute Elemente von sozialen Netzwerken, wie z. B. der „Gefällt mir“-Button von Facebook, werden als „Social Plugins“ bezeichnet. Diese ermöglichen dem Webseitenbesucher eine Verknüpfung von Webseiteninhalten mit seinen Online-Profilen. |
| Hinweise zum Umgang mit Webformularen | z. B. Kontaktformulare, Kommentarfunktion, Newsletterabonnement |
| Hinweise zur Nutzung von Cookies | Das sind Datenpakete, die auf dem Endgerät des Nutzers gespeichert werden und vom Server der Webseite beim erneuten Aufruf abgerufen werden können. Das ermöglicht z. B. die Speicherung von LogIn-Informationen oder Suchanfragen über einen längeren Zeitraum. |
| Hinweise zum Einsatz von Analyse-Tools | Spezielle Tools von Drittanbietern werden hier meist zur Erstellung von Nutzerstatistiken verwendet, wie z. B. etracker oder Google Analytics |
| Hinweise zum Umgang mit Server-Log-Dateien | z. B. Browsertyp und Browserversion, verwendetes Betriebssystem, Referrer URL,Hostname des zugreifenden Rechners,Uhrzeit der Serveranfrage, IP-Adresse |
| Eventuelle Empfänger | (oder Kategorien von Empfängern) der personengebundenen Daten, z. B. Datenverarbeiter |
| Datenschutz bei Bewerbungen | z. B. welche personenbezogene Daten erhoben werden |
| Speicherzeitraum | oder die Kriterien, anhand deren der Speicherzeitraum von personenbezogenen Daten bestimmt wird |
| Rechtsgrundlage der Datenerhebung | Art. 13 Abs. 1 c) DSGVO verlangt die Rechtsgrundlage der Datennutzung. In Betracht kommende Rechtsgrundlagen finden sich in Art 6 Abs. 1 DSGVO |
| Rechte des Nutzers | Der Webseitenbetreiber ist verpflichtet, seine Besucher auf Anfrage über deren konkret gespeicherte personenbezogene Daten zu informieren, diese zu berichtigen oder zu löschen.
|
| Hinweis auf Datentransfer ins Ausland | Diese Aufklärung muss so umfangreich sein, dass der Nutzer das jeweilige Übermittlungsrisiko einschätzen kann. |
| Kontaktdaten des Datenschutzbeauftragten | eine E-Mail-Adresse reicht aus |
Welchen Datenschutzbestimmungen sollte ein Promoter bei einer Zusammenarbeit mit einer Promotionagentur zustimmen?
Bei einer Zusammenarbeit mit einer Promotionagentur müssen sich Promoter in der Regel auf ausgeschriebene Jobs bewerben. Die Bewerbung geschieht meist online. Somit werden auch hier personenbezogene Daten hinterlegt, die von der Promotionagentur erhoben und verarbeitet werden müssen, um Jobs besetzen zu können. Da eine Datenschutzerklärung keine rechtliche Wirkung hat, muss in eine Datenerhebung eingewilligt werden. Dies muss separat erfolgen. Die Datenschutzerklärung kann also nur über die Umstände dieser Datennutzung aufklären, aber keine Einwilligung ersetzen.
Beispiel 1) Ein Promoter bewirbt sich auf ein Jobangebot.
Bereits zu Beginn des Bewerbungsprozesses ist eine konkrete Einwilligung der Promoter nötig. Der Promoter hat mit seiner eigenen Bewerbung noch keine Einwilligung gegeben. Auch ein Text wie beispielsweise „Mit dem Abschicken Ihrer Bewerbung haben Sie automatisch Ihre Einwilligung zur Verarbeitung Ihrer Bewerberdaten gegeben.“ reicht nicht mehr aus. Denn der Promoter muss konkret und aktiv zustimmen, beispielsweise durch Anklicken eines Buttons oder einer Checkbox auf dem Online-Bewerbungsformular. Die Promotionagentur muss die Promoter z. B. in der Datenschutzerklärung bezüglich der Bewerbung über folgende Punkte informieren (vgl. Art. 13 Abs. 1 und Abs. 2 DSGVO):
- Name und Kontaktadresse jener Person, die für die Datenerhebung verantwortlich ist
- Kontaktadresse des zuständigen Datenschutzbeauftragten
- Zweck und Rechtsgrundlage für die Datenverarbeitung
- Personen, die die personenbezogenen Daten empfangen haben
- Dauer des Zeitraumes, innerhalb dessen die personenbezogenen Bewerberdaten aufbewahrt werden sollen
Ebenfalls muss in der Datenschutzerklärung wie bereits oben erwähnt über das Recht auf Auskunft, Berichtigung, Löschung und Übertragbarkeit ihrer personenbezogenen Bewerberdaten informiert werden. Zudem sind die Jobinteressenten berechtigt, die Datenverarbeitung einzuschränken oder ihr zu widersprechen sowie eine Beschwerde bei der Aufsichtsbehörde einzureichen.
Die personenbezogenen Bewerberdaten dürfen nur zu einem bestimmten Zweck (hier die Bewerbung auf einen Job) gespeichert werden. Sobald der Job vergeben ist, müssen die Daten der abgelehnten Bewerber gelöscht werden. Im Hinblick auf eine mögliche Klage durch einen abgewiesenen Kandidaten ist allerdings eine Speicherung für einen Zeitraum von zwei bis sechs Monaten zulässig.
Beispiel 2) Ein Promoter wird in den Personalpool der Agentur eingetragen, um an ihn Jobangebote zu schicken.
Agenturen und Unternehmen benötigen einen Personalpool, um geeignetes Personal für ihre Jobs anzufragen. Fakt ist: Sowohl die Suche nach potentiellen Kandidaten als auch die anschließende Erstellung eines Personalpools ist mit der Verarbeitung personenbezogener Daten verbunden. Für die Aufnahme eines Promoters in einen Personalpool muss jedoch eine dokumentierte Einwilligung vorliegen. Dem Promoter muss hierbei mitgeteilt werden, für welchen Zeitraum seine Daten gespeichert werden und wie mit den Daten nach Ablauf der Speicherdauer verfahren wird.
Es stellt sich die Frage, ob ein Personalpool, der aus Promotern zusammengestellt wurde, die auf speziellen Plattformen wie z. B. promotionbasis angemeldet sind, unter der Datenschutzgrundverordnung überhaupt zulässig ist. Hier gibt es gesonderte Regelungen (vgl. allgemeine Abwägungsklausel des Art. 6 Abs. 1 lit. f) DSGVO & Erwägungsgrundes 47 zur DSGVO). Denn die Daten werden unter berechtigten Interesse der Beteiligten erworben, verwahrt und verarbeitet. Die Promotionagentur hat in diesem Fall das berechtigte Interesse, einen Job mit einem passenden Promoter zu besetzen. Gegenüber steht der Promoter, der das berechtigte Interesse hat, ein attraktives Jobangebot zu bekommen. Und wer auf Plattformen, wie z. B. promotionbasis, angemeldet ist oder sich auch speziell auf Jobs bewirbt, zeigt automatisch berechtigtes Interesse mit einsehbaren Daten für Jobs infrage zu kommen. Näheres zur Datenübernahme von promotionbasis erfahren Sie einem unserer nächsten Artikel: „Datenschutz: Ist die Datenübernahme von Promotionbasis konform zur DSGVO?“.