Teil 5/7: DSGVO: Was muss ein Unternehmen noch umsetzen

Datenverarbeitende Unternehmen müssen auf der Homepage, also öffentlich zugänglich, eine Datenschutzerklärung vorhalten. Das war im BDSG bereits geregelt und das hat sich auch mit der DSGVO nicht geändert. Folgende verpflichtende Informationen müssen in der Datenschutzerklärung einfließen:

  • Namen und Kontaktdaten der verantwortlichen Stelle sowie ggf. die der eines Vertreters
  • Die Kontaktdaten des bestellten Datenschutzbeauftragten
  • Die Zwecke für die die personenbezogenen Daten verarbeitet werden sollen
  • Die Rechtsgrundlage für die Datenverarbeitung
  • die berechtigen Interessen, auf die die Datenverarbeitung gestützt wird.
  • Falls vorhanden die Empfänger der personenbezogenen Daten
  • die Weitergabe an ein Drittland oder an eine internationale Organisation
  • Die Dauer der Speicherung
  • Der Nutzer muss darüber informiert werden, dass er ein Recht auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung sowie das Bestehen eines Widerspruchsrechts
  • Das Recht der Benutzer auf eine Datenübertragbarkeit
  • Die Möglichkeit die Einwilligung widerrufen zu können
  • Das Bestehen des Beschwerderechts bei einer Aufsichtsbehörde
  • Auf welche Grundlage die personenbezogenen Daten verarbeitet werden (gesetzlich, vertraglich, oder für einen Vertragsabschluss erforderlich ist)

Die Pflichtangaben müssen in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache erfolgen. Hier gilt der Grundsatz der Prägnanz, sodass ausschweifende Erläuterungen zu vermeiden sind. Bei Informationen an Kinder müssen diese auch in kindgerechter Sprache formuliert werden, unter Umständen muss eine bildliche Aufbereitung der Informationen erfolgen.

 

Über den Autor:
Faraz Afscharian ist IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte. Er beschäftigt sich u.a. mit der Erstellung von Verfahrensdokumentationen gem. GoBD für IT-gestützte Geschäftsprozesse zur digitalen Belegarchivierung und zum Dokumentenmanagement. Darüber hinaus ist er als Datenschutzberater und IT-Prüfer für Wirtschaftsprüfungsgesellschaften tätig. Er verfügt über eine Ausbildung zum Lead Auditor ISO/IEC 27001.