Anzeige
Anzeige
Anzeige
Anzeige
DSGVO Datenschutz Serie

Wie ist eine Datenschutzerklärung aufgebaut?

Im Mai soll die EU-Datenschutzgrundverordnung in Kraft treten. Doch was bedeuten die Veränderungen? In Teil 2 unserer Serie erklären die Rechtsanwälte Georg Fechner und Jann Cornels, wie ihr eine Datenschutzerklärung aufbaut.

Bild: Fotolia
Anzeige
Anzeige
Anzeige

Eine Datenschutzerklärung muss leicht verständlich sein. Das ist auf den ersten Blick einleuchtend. Der Nutzer muss schließlich die ihm mitgeteilten Informationen verstehen. Nur dann hat er irgendetwas von der Datenschutzerklärung. Wer sich allerdings einmal näher mit Allgemeinen Geschäftsbedingungen auseinandergesetzt hat, weiß, dass dieser Anspruch gar nicht so selbstverständlich ist. Schließlich führt die reine Menge der Informationen, die mitgeteilt werden müssen dazu, dass eine Datenschutzerklärung schnell eine ganz anständige Länge erreicht. Und der Nutzer mag keine langen Texte, schon gar nicht auf einem kleinen Display.

Die Datenschutzerklärung muss also das Spannungsverhältnis zwischen einer umfangreichen (und komplexen) Aufklärung und einer einfach verständlichen Darstellung auflösen. Leider ist nicht jedem Datenschützer bewusst, wie schwierig das ist. Grafische Gestaltungen können helfen, vgl. auch Art. 12 Abs. 7 DS-GVO. Auch eine Darstellung in mehreren Schichten ("layered") bietet sich an. Dies zu Grunde gelegt, bietet sich zum Beispiel folgender Aufbau der Datenschutzerklärung an.

Einleitung

Es hat sich eingebürgert, eingangs ebenso sachlich wie kurz zu versichern, wie wichtig das jeweilige Unternehmen den Datenschutz nimmt. Streng genommen ist das nicht erforderlich. Die Unternehmen erkennen jedoch mehr und mehr, dass auch dieser sperrige Text gut geeignet ist, die Nutzer direkt anzusprechen und zu zeigen, dass man einer von den „Guten“ ist. Da können ein paar freundliche Worte nicht schaden.

Anzeige

Definition von Begriffen

Danach sollte dem Nutzer erklärt werden, was es eigentlich mit Begriffen wie "personenbezogene Daten", "Log-Files" und "Cookies und Zählpixel" auf sich hat. Geht es um die Datenschutzerklärung für eine App, schadet es auch nicht, dem Nutzer zu erklären, was ein Software Development Kit (SDK), eine Werbe-ID oder ein Unique User Identifier ist. Ihr müsst den Nutzern aber zum Beispiel nicht genau erklären, wo der Unterschied zwischen Web Apps, nativen Apps oder HTML5 (Hybrid) Apps liegt. Wichtig ist nur, dass der Nutzer am Ende dieses Abschnittes den Rest der Datenschutzerklärung überhaupt verstehen kann.

Wofür werden die Userdaten gesammelt?

Sodann wird dem Nutzer mitgeteilt, welche Daten zu welchen Zwecken verarbeitet werden. Dies ist ein zentraler Bestandteil der Datenschutzerklärung. Jedenfalls unter DS-GVO muss für den Nutzer eindeutig erkennbar werden, welche Daten konkret zu welchen Zwecken verarbeitet werden. Das ist wichtig, weil die personenbezogenen Daten zweckgebunden sind und eine nachträgliche Änderung des Zweckes einwilligungsbedürftig ist. Außerdem zwingt Art. 13 Abs. 1 lit. c DS-GVO nunmehr dazu, auch die jeweilige Rechtsgrundlage der Datenerhebung zu nennen. Hier wird darüber gestritten, ob das bedeutet, dass die jeweilige Norm zitiert werden muss oder die Rechtsgrundlage zu umschreiben ist (etwa "zur Vertragserfüllung"). Die allermeisten Nutzer dürften mit der jeweiligen Norm herzlich wenig anfangen können.

Sollte die Datenerhebung auf berechtigte Interessen gestützt werden, muss auch dies erläutert werden. Letztlich geht es um eine kurze Zusammenfassung der Abwägung und Begründung. Auch diese Vorgabe nach Art. 13 Abs. 1 lit. d DS-GVO ist in dieser Form neu.

Wer bekommt Einsicht in die Userdaten?

Nun weiß der Nutzer, welche Daten zu welchem Zweck auf welcher Grundlage verarbeitet werden. Jetzt ist es an der Zeit, ihn darüber aufzuklären, wem diese Daten noch mitgeteilt werden. Art. 13 Abs. 1 lit. e DS-GVO sieht vor, dass die (absehbaren) Empfänger oder Kategorien von Empfängern mitzuteilen sind. Will ein Unternehmen etwa zur Prüfung eines Kreditantrages einen Scorewert einholen, muss die Datenweitergabe an die Auskunftei in der Datenschutzerklärung erwähnt werden. Diese Pflicht schließt jedenfalls nach Inkrafttreten der DS-GVO sehr wahrscheinlich auch die eigenen Auftragsdatenverarbeiter ein.

Hinweis auf Datentransfer ins Ausland

Etwas komplizierter wird die Sache, wenn ein Datentransfer in ein Drittland (also außerhalb der Europäischen Union) geplant ist. Über einen solchen Datentransfer muss der Nutzer ausdrücklich informiert werden. Diese Aufklärung muss so umfangreich sein, dass der Nutzer das jeweilige Übermittlungsrisiko einschätzen kann. Was das konkret bedeutet, werden wir im nächsten Artikel näher beleuchten.

Auf was hat die App Zugriff?

Danach lohnt sich ein kleiner Einschub zu den Zugriffsrechten, die der jeweiligen App erteilt werden. Denn dem Nutzer muss nach der Lektüre der Datenschutzerklärung klar sein, zu welchen Zwecken bestimmte Berechtigungen eingeholt und genutzt werden.

Drittanbieter: Was sehen Google, Facebook & Co.?

Schon bis zu dieser Stelle mussten dem Nutzer viele Informationen gegeben werden. Meistens geht es für den App-Entwickler jetzt allerdings erst richtig los. Nun folgen die Informationen über die eingebundenen Tools von Drittanbietern. Damit sind all die schönen Tools von Google, Facebook, Snapchat, Pinterest usw. gemeint, mit denen der Nutzer zum Beispiel analysiert werden kann oder die ein effektives Retargeting überhaupt erst ermöglichen. Die Liste ließe sich noch lange fortsetzen. Das ist ein heikler Punkt in der Datenschutzerklärung. Weil für diese Tools (häufiger als gedacht) eine informierte Einwilligung nötig ist (die E-Privacy-Verordnung wird das wahrscheinlich weiter verschärfen) oder mindestens umfangreiche Informationen und die Möglichkeit zu einem einfachen Opt-out, sind hier detaillierte Informationen zu dem jeweiligen Tool notwendig und eben auch angemessene Opt-out-Optionen bereitzustellen. Es gibt viele schöne Tools und ihre Einbindung ist datenschutzrechtlich teilweise schwierig. Dem widmen wir uns im hinteren Teil der Artikelserie noch genauer.

Abschließend gibt es noch einige weitere Informationspflichten, die nach Art. 13 Abs. 2 DS-GVO eben theoretisch nicht immer erfüllt werden müssen, praktisch aber wohl in den meisten Fällen einfach adressiert werden sollten.

Zum einen sollte dem Nutzer mitgeteilt werden, wo und wie lange seine Daten gespeichert werden sollen. Geht das nicht, dann teilt ihm die Kriterien für die Festlegung der Speicherdauer mit.

Welche Rechte haben User?

Der Betroffene hat Rechte. Die solltet ihr ihm auch erklären. Das sind:

  • Recht auf Auskunft (Art. 15)
  • Recht auf Berichtigung (Art. 16)
  • Recht auf Löschung (Art. 17)
  • Recht auf Einschränkung der Verarbeitung (Art. 18)
  • Widerspruchsrecht gegen die Verarbeitung (Art. 21)
  • Recht auf Datenübertragbarkeit (Art. 20).

Legt euch hier eine Standardformulierung zurecht.

Der Betroffene hat außerdem das Recht, seine Einwilligung zur Datenverarbeitung jederzeit zu widerrufen. Das müsst ihr ihm mitteilen. Das war allerdings in Deutschland auch bislang so.

Neu ist die Pflicht, über das bestehende Beschwerderecht bei der Aufsichtsbehörde nach Art. 77 DS-GVO zu informieren. Auch hier genügt eine Standardformulierung.

Sollte eine automatisierte Entscheidungsfindung inklusive Profiling stattfinden: Teilt das dem Nutzer mit (Art. 13 Abs. 2 lit. f DS-GVO). Zum Schluss folgen die zwingend anzugebenden Kontaktdaten des Verantwortlichen (mit Name) und des Datenschutzbeauftragten (auch ohne Name möglich).

Wer wie üblich in der globalen arbeitsteiligen Wirtschaft aktiv ist und darüber hinaus gerne viel über seine Nutzer weiß, wird nicht um eine ausführliche und mit viel Liebe gestaltete – lesbare - Datenschutzerklärung herumkommen. Die ist schnell wesentlich länger als dieser Artikel und häufig ein echtes Kunstwerk, auf das ein Unternehmen dann auch ein bisschen stolz sein kann.

Georg Fechner und Jann Cornels sind Anwälte der Kanzlei Fechner. Das Team setzt seine inhaltlichen Schwerpunkte vor allem im Medienrecht, Werberecht und im Schutz geistigen Eigentums, sowie im Datenschutz- und App-Recht. 

Anzeige
Anzeige
Verlagsangebot
Anzeige
Anzeige
Aktuelle Stellenangebote
Alle Stellenangebote