Die europäische Verordnung enthält mehrere Anforderungen an die Sicherheit personenbezogener Daten, von denen eine darin besteht, dass die Personen, deren Daten erhoben werden, über die entsprechenden Hinweise informiert werden müssen. Wir sprechen von „rechtlichen Hinweisen zur DSGVO“, um Dinge zu klären, die bei der Erhebung personenbezogener Daten angezeigt werden müssen.
Schritt 1: Definieren Sie den Umfang Ihrer Behandlung
Der erste Schritt besteht darin, den Zweck der Verarbeitung Ihrer Daten zu bestimmen, oder mit anderen Worten, warum Sie sie sammeln. Artikel 13.1.c.
In der Regel sind dies einige grundlegende Beispiele für die Verarbeitung personenbezogener Daten:
Das Wichtigste ist die Entscheidung über den Umfang der Verarbeitung, was keine einfache Frage ist und erhebliche rechtliche Auswirkungen haben kann. Wollen Sie zum Beispiel Daten für einen Newsletter sammeln oder in einem CRM mit Newsletter?
Sobald der Umfang der Verarbeitung abgegrenzt ist, müssen die Ziele vollständig festgelegt werden, denn es muss sichergestellt werden, dass diese Daten nicht in einer Weise verarbeitet werden, die mit der ursprünglich angegebenen Verwendung unvereinbar ist.
Schritt 2: Festlegung der Rechtsgrundlage (Einwilligung, gesetzliche Verpflichtung usw.)
Die Definition der Rechtsgrundlage ist der zweite Schritt. In Artikel 13 wird darauf verwiesen, dass dies nach dem Zweck der Verarbeitung erfolgt. Sie müssen also eine der sechs Rechtsgrundlagen angeben, auf die sich die Verarbeitung stützt, wie in Artikel 6 beschrieben:
Unsere Rechtsgrundlage ist z. B. die Einwilligung in meinen Newsletter. Wenn Sie die Verarbeitung personenbezogener Daten im Rahmen einer E-Commerce-Plattform einrichten, z. B. für die Verwaltung von Bestellungen und Transaktionen, wäre die Rechtsgrundlage die Vertragsausführung.
Schritt 3: Angabe der Datenempfänger
Der nächste Schritt ist die Festlegung der Empfänger der personenbezogenen Daten. Hier stellt die DSGVO eine erhebliche Verbesserung gegenüber den früheren Vorschriften dar, indem sie verlangt, dass alle Personen, die Zugang zu den gesammelten personenbezogenen Daten haben werden, sehr genau beschrieben werden.
Um dies zu verstehen, ist es unerlässlich, sich auf Artikel 4 zu beziehen, der den Begriff des Empfängers definiert: ein Empfänger ist eine natürliche oder juristische Person, eine Behörde, eine Dienststelle oder jede andere Einrichtung, die personenbezogene Daten erhält, unabhängig davon, ob es sich um einen Dritten handelt oder nicht.
Behörden, die gemäß dem Unionsrecht oder dem Recht eines Mitgliedstaates wahrscheinlich eine Korrespondenz mit personenbezogenen Daten in Form eines besonderen Ermittlungsauftrags erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung solcher Daten durch die betreffenden Behörden steht im Einklang mit den einschlägigen Datenschutzvorschriften entsprechend dem Zweck der Verarbeitung.
Empfänger der Daten sind der für die Verarbeitung Verantwortliche, die für die Bearbeitung der Mailingliste zuständigen internen Dienststellen, der Unterauftragnehmer, der den Webserver betreibt, sowie alle Personen, die rechtlich befugt sind, auf die Daten zuzugreifen (ggf. die Justizbehörden).
Schritt 4: Bestimmen Sie, wie lange die Daten aufbewahrt werden sollen.
Dies ist eine der neuesten Richtlinien, die durch die DSGVO eingeführt wurden: Die Aufbewahrungsfrist für personenbezogene Daten muss den betroffenen Personen nun mitgeteilt werden, wenn die Daten erhalten werden.
Das Gesetz wird durch Artikel 13 Absatz 2 Buchstabe a durchgesetzt, in dem festgelegt ist, dass der für die Verarbeitung Verantwortliche die Aufbewahrungsfrist festlegt oder die Parameter für die Festlegung der Aufbewahrungsfrist präzisiert, wenn diese Frist nicht bestimmt werden kann.
Schritt 5: Geben Sie an, ob die Daten zwingend erforderlich sind.
Die Verpflichtung ist in Artikel 13 Absatz 2 Buchstabe e festgelegt, wonach der für die Verarbeitung Verantwortliche folgende Angaben machen muss: ob die Verpflichtung zur Bereitstellung personenbezogener Daten gesetzlich oder vertraglich vorgeschrieben ist oder ob der Vertrag geschlossen wurde und ob die betroffene Person zur Bereitstellung der personenbezogenen Daten verpflichtet ist, sowie die möglichen Folgen einer Nichtbereitstellung der personenbezogenen Daten.
Im Allgemeinen sollten die Redakteure mit der ursprünglich gewählten Rechtsgrundlage in Verbindung gebracht werden – und wenn der für die Verarbeitung Verantwortliche Daten aufgrund einer rechtlichen Verpflichtung erhebt, müsste dies der betroffenen Person zu diesem Zeitpunkt ebenfalls mitgeteilt werden.
Schritt 6: Schließen Sie die verbleibenden Pflichtangaben mit
Wenn alle diese Komponenten festgelegt sind, müssen Sie nur noch alle obligatorischen Elemente hinzufügen, d. h. die restlichen Anforderungen von Artikel 13:
Sie haben das Recht, von dem für die Verarbeitung Verantwortlichen Zugang zu den die betroffene Person betreffenden personenbezogenen Daten, deren Berichtigung oder Löschung oder die Einschränkung der Verarbeitung dieser Daten zu verlangen oder der Verarbeitung personenbezogener Daten zu widersprechen. Und das Recht auf Übertragbarkeit von Daten. Sie haben auch das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen.
Schlussfolgerung
Stellen Sie sicher, dass Sie für jede von der Agentur durchgeführte Behandlung rechtliche Hinweise erstellen. Idealerweise können Sie eine typische Vorlage erstellen oder eine Software wie Legiscope verwenden, die diese Vorlagen für Sie erstellt, was in dieser Hinsicht sehr nützlich ist.