Informationspflichten
Informieren ist wichtig
Eine Datenverarbeitung ist nicht immer ohne Weiteres für die betroffene Person sichtbar. Dies trifft vor allem für Datenverarbeitungen auf Webseiten zu oder wenn die Daten ohne Wissen der betroffenen Person einfach weitergegeben oder verkauft werden. Die DSGVO sieht vor, dass eine betroffene Person über die Verarbeitung Ihrer Daten eine Information erhält. Diese Information ist vom Verein zum Zeitpunkt der Datenerhebung bereitzustellen, sofern die betroffene Person nicht bereits über diese Information verfügt.
Diese Information ist erst einmal nichts weiter als eine Mitteilung an die betroffene Person und soll grundsätzlich vor einer Verarbeitung darüber aufklären, dass überhaupt eine Datenverarbeitung durch jemanden stattfindet und zu welchem Zweck. Die Mitteilung der puren Existenz einer Verarbeitung von personenbezogenen Daten dient hierbei dem Grundsatz der Transparenz. Die Mitteilung der Zwecke dient dem Grundsatz der Fairness.
Ohne diese Information kann eine betroffene Person ihre Rechte aus der DSGVO nicht oder nur erschwert wahrnehmen, weshalb sie sind ein Pflichtbestandteil der DSGVO sind.
Die gängigen Bezeichnungen für diese Informationen sind Datenschutzhinweise, Datenschutzerklärungen, Informationen zur Datenverarbeitung, Pflichtangaben gemäß Artikel 12-14 DSGVO bis hin zur, leider nicht ganz korrekten Bezeichnung, Datenschutz-Richtlinie. Wir verwenden die Bezeichnung „Datenschutzhinweise“, da sie kurz ist und den informativen Charakter zum Ausdruck bringt.
In einem Satz zusammengefasst könnte man die Inhalte solcher Datenschutzhinweise wie folgt zusammenfassen: Informiert darüber wer ihr seid, was ihr mit welcher Erlaubnis tut und welche Rechte die betroffene Person hat. Im Detail ist es natürlich etwas komplizierter, wie wir im Folgenden erläutern.
Grundsatz der Transparenz
Die Datenschutzhinweise richten sich an jede betroffene Person, deren Daten verarbeitet werden. Sie sollen dabei:
- Präzise,
- transparent,
- verständlich formuliert
- und leicht zugänglich sein.
Die Sprache soll dabei klar und einfach sein.
Bei einem Angebot an Kinder, sind die Datenschutzhinweise besonders leicht wahrnehmbar und verständlich zu vermitteln. Dabei können zusätzlich auch Bildelemente (Icons) verwendet werden, welche zu den sprachlichen Informationen passen und einen aussagekräftigen Überblick über die Verarbeitung unterstützen. Die DSGVO lässt eine individuelle und kreative Umsetzung zu, solange alle notwendigen Informationen enthalten sind.
Datenschutzhinweise sind weder transparent noch verständlich, wenn ein 30-seitiger Text über alle möglichen Datenverarbeitungen informieren soll und die betroffene Person erst nach der richtigen Stelle im Text suchen muss. Daher sollte man umfangreiche Datenschutzhinweise nach Verarbeitungstätigkeiten gliedern und mit passenden Überschriften versehen.
Datenschutzhinweise sind auch nicht leicht zugänglich, wenn man diese auf der Webseite gar nicht findet, weil sie sich in einem Untermenü verstecken, wo ein Nutzer sie nicht vermuten würde. Hier gilt, dass Datenschutzhinweise nach maximal 2 Klicks auf der Webseite zu finden sein müssen.
Werden personenbezogene Daten vor Ort erhoben, müssen die Datenschutzhinweise dort ebenfalls zu finden sein. Zum Beispiel beim Ausfüllen eines Mitgliedschaftsantrags in der Geschäftsstelle oder beim Fotografieren auf Veranstaltungen.
Gut gemachte Datenschutzhinweise als Mehrwert für den Verein
Die korrekte Bereitstellung der Informationen kann einen echten Mehrwert für den Verein bieten. Datenschutzhinweise zu erstellen setzt voraus, dass die Verarbeitungen dem Verein überhaupt bekannt sind. Über unbekannte, intransparente Datenverarbeitungen können Sie auch nicht oder nur ungenügend informieren. Indem ihr die relevanten Datenverarbeitungen identifiziert, habt ihr bereits einen ersten großen Schritt für den Datenschutz geleistet.
Mit dem entsprechenden Wissen, lassen sich dann passgenaue Texte erstellen, die eine echte Information der betroffenen Personen ermöglich. Im Gegensatz hierzu bleiben viele allgemeinere Muster und Vorlagen zu abstrakt und bieten aus Informationssicht keinen echten Mehrwert.
Außerdem sind die Datenschutzhinweise im engen Zusammenhang mit den Betroffenenrechten zu sehen. Vereinfacht kann man auch sagen, die Informationen, welche durch Datenschutzhinweise bereitgestellt werden, müsst ihr spätestens dann konkreter bereitstellen, wenn eine betroffene Person ihr Auskunftsrecht geltend macht oder wenn die Aufsichtsbehörde bei euch nachfragt.
Bereitstellung über einen „Medienbruch“
Von einem Medienbruch spricht man, wenn die Informationen über verschiedene Medien (zum Beispiel auf Papier und elektronisch auf der Webseite) zur Verfügung gestellt werden. Dies ist grundsätzlich möglich und widerspricht dem Grundsatz der Transparenz nicht.
Beispiel: Der Mitgliedsantrag wird über ein Papierdokument gestellt. Im Papierdokument kann ein Verweis auf die Vereins-Website erfolgen. Auf dieser sind dann die Datenschutzhinweise leicht auffindbar und vollständig bereitgestellt. Doch nicht immer ist ein Zugang zur Internetseite möglich. Grundsätzlich solltet ihr in der Lage sein, eure Datenschutzhinweise auszudrucken und in Papierform zur Verfügung stellen zu können oder bereit zu halten.
Bereitstellung im „Mehr-Ebenen-Ansatz“
Neben einem Medienbruch ist auch ein Mehr-Ebenen-Ansatz möglich. Ein Mehr-Ebenen-Ansatz besagt, dass „auf erster Ebene“ eine generelle Information zur Verarbeitung zur Verfügung gestellt wird und auf weitergehende Informationen verweist.
Dies kommt zum Beispiel bei Gewinnspielen vor oder wenn ein Verein in einer Ankündigung oder Einladung darauf hinweist, dass bei einer kommenden Veranstaltung Fotos gemacht werden. Allein die Ankündigung von Fotos auf Veranstaltungen gibt einer Person bereits eine faire Wahl zu ihrer Datenverarbeitung, beziehungsweise die Möglichkeit, weitere Handlungsoptionen zu prüfen.
Die relevanten Datenschutzhinweise können dann zentral auf der Webseite bereitgestellt und auf der Gewinnspielteilnahme oder in der Einladung verlinkt werden. Zusätzlich zum Mehr-Ebenen-Ansatz kommt hier also ein Medienbruch zum Einsatz.
Ein bekannter Mehr-Ebenen-Ansatz sind die typischen Hinweisschilder, welche auf Videoüberwachung hinweisen. In der Regel ist die verantwortliche Stelle aufgeführt, der Zweck und die Rechtsgrundlage werden angegeben und es erfolgt ein Hinweis darauf, wo weitere Informationen verfügbar sind.
Häufige Fragen
Muss über jede Datenverarbeitung informiert werden?
Tatsächlich muss nicht immer über jede Datenverarbeitung informiert werden.
Ihr braucht nicht zu informieren, wenn die Person offensichtlich bereits über die Information verfügt.
Auch wenn ihr die Daten nicht selbst bei der Person erhoben, sondern aus einer anderen Quelle erhalten habt, braucht ihr nicht nochmal neu zu informieren. Aber nur dann, wenn die Person bereits über die Information verfügt. Das ist zum Beispiel der Fall, wenn ein Dachverband euch die Daten zu bestimmten Zwecken weiterleitet und dies der betroffenen Person in den eigenen Datenschutzhinweisen bereits mitgeteilt hat. Bevor ihr euch darauf verlassen wollt, solltet ihr jedoch gründlich prüfen, ob das für euch zutrifft und ob alle Informationsinhalte tatsächlich abgedeckt sind.
Ihr müsst auch keine Berge versetzen, wenn ihr Daten über Personen erhalten habt, diese aber nicht persönlich kennt oder erreichen könnt. Wenn ihr zum Beispiel den Namen eines Spenders nur über die eingehende Überweisung auf euer Bankkonto sehen könnt, habt ihr keine Möglichkeit aktiv zu informieren. In solchen Fällen solltet ihr allgemeine Datenschutzhinweise für spendende Personen bereithalten. Dies kann zum Beispiel über eure Webseite erfolgen.
Wie können Datenschutzhinweise erstellt werden?
Um Datenschutzhinweise zu erstellen, kommen grundsätzlich drei verschiedene Ansätze in Betracht: die Datenschutzhinweise können von Grund auf neu erstellt werden, es können Muster verwendet werden oder ein interaktiver Generator hilft beim Ausfüllen und Zusammenstellen von Mustertexten.
In Fällen in denen es passende Muster, zum Beispiel vom eigenen Dachverband gibt, können diese eine gute Wahl sein. Diese sollten jedoch auch die relevanten Verarbeitungstätigkeiten eures Vereins enthalten und ihr müsst diese gegebenenfalls weiter anpassen und ergänzen. Auf vielen Webseiten findet man leider Datenschutzhinweise, bei denen offensichtlich unpassende Muster verwendet wurden, wodurch falsche Aussagen getätigt werden und wichtige Informationen fehlen.
Falls es keine für euren Bereich passenden Muster gibt, ist ein Generator ein guter Ausgangspunkt. In einem solchen Werkzeug sind allgemeinere Mustertexte hinterlegt und ihr erhaltet Hilfestellung bei der Auswahl und dem Ausfüllen der Texte. Aber auch bei einem Generator ist in der Regel eine Ergänzung weiterer Angaben oder ganzer Verarbeitungstätigkeiten notwendig. Denn nur ihr kennt euren Verein. Ein Generator kann schließlich nicht alle relevanten Details eurer Vereinsarbeit kennen.
Wir stellen euch einen Generator für Datenschutzhinweise zur Verfügung und erläutern dort weitere Details zur Nutzung.
Welche Angaben müssen in Datenschutzhinweisen enthalten sein?
Die Pflichtangaben welche in Datenschutzhinweisen gemacht werden müssen, finden sich in Art. 13 und 14 DSGVO. Artikel 13 gilt für Fälle in denen ihr Daten direkt bei der betroffenen Person erhebt und Art 14 für Fälle in denen ihr Daten von Dritten bekommt. Die grundsätzlich zu machenden Angaben sind jedoch weitestgehend identisch und unterscheiden sich nur im Detail.
Die zu tätigenden Angaben lassen sich in zwei Arten unterscheiden. Zum einen müssen allgemeine Pflichtangaben, unabhängig von der konkreten Verarbeitungstätigkeit, gemacht werden. Diese kann man gut am Anfang und Ende der Datenschutzhinweise unterbringen, da sie sich auf alle Verarbeitungstätigkeiten gleichermaßen beziehen.
Zum anderen müssen eine Reihe von Angaben pro Verarbeitungstätigkeit gemacht werden. Daher bietet es sich an, den Hauptteil der Datenschutzhinweise mit Überschriften gemäß den Verarbeitungstätigkeiten oder verschiedenen Zielgruppen zu strukturieren. So sollte zum Beispiel unterschieden werden, ob es um die Datenverarbeitung beim Abrufen eurer Website oder um Datenverarbeitung im Rahmen der Mitgliederverwaltung geht.
Eine typische Struktur lässt sich wie folgt darstellen:
- Blau bedeutet: Diese Information muss nur einmal aufgeführt werden.
- Organe bedeutet: Diese Informationen müssen für alle Verarbeitungstätigkeiten, voneinander abgegrenzt, zur Verfügung gestellt werden.
- Grau bedeutet: Diese Information muss dann aufgeführt werden, wenn sie zutreffend ist.
- Gelb bedeutet: Hier unterscheiden sich die Angaben, je nachdem ob ihr die Daten direkt erhoben oder von Dritten erhalten habt.
Weitere Details hierzu gibt es in unserer Webinaraufzeichnung.
VIDEO WEBINAR-AUFZEICHNUNG "DATENSCHUTZHINWEISE"
Autor:innen: Kirstin Vedder und Hendrik vom Lehn
…oder in verwandten Einträgen
