Iubenda logo
Generator starten

Anleitungen

INHALTSÜBERSICHT

Die richtige Auswahl bei der Datenschutzerklärung treffen

iubenda hat ein System entwickelt, mit dem Sie verschiedenen Nutzergruppen, deren personenbezogene Daten Sie als „Verantwortliche“ (so bezeichnet die DSGVO die Person, die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt) sammeln und verarbeiten können.

Insbesondere:

  • Sie können beschließen, umfassendere Sicherheitsstandards für alle Nutzer anzuwenden. In diesem Fall werden Sie eine Datenschutzerklärung erstellen, die in sämtlichen Bestandteilen für all Ihre Nutzer gilt und die der DSGVO entspricht.
  • Sie können sich dafür entscheiden, eine Reihe von grundlegenden Rechten auf alle Nutzer anzuwenden und umfassendere Datenschutzstandards nur auf einige von ihnen. In diesem Fall gelten solche erweiterten Schutzstandards immer dann, wenn die Verarbeitung personenbezogener Daten der DSGVO unterliegt. In allen anderen Fällen gelten die grundlegenden Rechte.

💡 Wenn Sie auf Nutzer mit Sitz in den USA ausgerichtet sind, könnte auch der California Consumer Privacy Act (CCPA) für Sie gelten. Hier können Sie alles über den CCPA nachlesen und unsere kostenlosen Support für weitere Fragen in Anspruch nehmen.

Wie treffen Sie die richtige Auswahl?

Sie haben die Wahl zwischen der Anwendung „breiterer Sicherheitsstandards der DSGVO auf“

  • Nur EU
  • Alle Nutzer

So können Sie ihre Einstellungen ändern:

  • Loggen Sie sich als Admin Ihrer Datenschutzerklärung ein
  • Geben Sie die Bearbeitung über das
  • Dashboard > [Ihre Richtlinie] > Bearbeiten ein
  • Dort finden Sie einen Button zur Aktivierung des DSGVO-Textes mit der Bezeichnung „DSGVO und EU-Normen“
    GDPR and EU standards
  • Unter der Bezeichnung „Anwenden der umfassenderen Datenschutzstandards der DSGVO auf” können Sie zwischen Anwenden auf alle Nutzer (Standardoption) oder Anwenden nur auf EU-Nutzer wählen
  • Dies ermöglicht Ihnen, auf Ihren spezifischen Fall einzugehen und darauf zu reagieren, in welcher Region Ihre Nutzer/Kunden ansässig sind und entsprechend zu wählen

Sobald Sie sich entschieden haben, welche Rechte Sie wem anbieten wollen, können Sie fortfahren.

In der EU ansässige Verantwortliche

Hier müssen Sie die umfassenderen Datenschutzstandards auf sämtliche Nutzer anwenden, denn alle Datenverarbeitungsaktivitäten, die Sie durchführen, unterliegen der DSGVO – dies gilt sogar für Ihre Nutzer, die nicht in der EU ansässig sind.

Verantwortliche, die außerhalb der EU ansässig sind

Hier haben Sie im Prinzip die Wahl, umfassendere Datenschutzstandards für all Ihre Nutzer anzuwenden oder diese nur in den Fällen zu gewähren, in denen die Verarbeitung personenbezogener Daten der DSGVO unterliegt. Bitte beachten Sie, dass Sie umfassendere Sicherheitsstandards anwenden müssen, wenn bei der Verarbeitung personenbezogene Daten von Nutzern, die sich in der EU aufhalten, benutzt werden:

  • bezogen auf das Angebot bezahlter oder unbezahlter Waren, sowie Dienstleistungen solcher Nutzer;
  • bezogen auf personenbezogene Daten von Nutzern, die sich in der EU aufhalten, die Überwachung über das Verhalten dieser Nutzer in der EU ermöglicht.

Schauen wir uns ein praktisches Beispiel an:

Wenn ein Teil Ihrer Datenverarbeitungsaktivitäten darin bestehen, in der EU ansässigen Nutzern bezahlte, bzw. unbezahlte Waren, sowie Dienstleistungen anzubieten, oder das in der EU stattfindende Nutzerverhalten zu überwachen, sind Sie in diesen Fällen verpflichtet, umfassendere Datenschutzstandards anzuwenden.

Bedeutungen umfassenderer Sicherheitsstandards

Die Anwendungsmöglichkeit umfassenderer Sicherheitsstandards führt zu weiteren wichtigen Aspekten, die im Folgenden beschrieben werden.

Übertragung von Daten außerhalb der EU

Wenn Sie personenbezogene Daten innerhalb der EU erheben, steht es Ihnen frei, diese in andere EU- oder EWR-Länder zu übertragen. Wenn Sie jedoch planen, diese in andere Länder wie der Schweiz oder den USA zu transferieren, müssen Sie eine gültige Rechtsgrundlage nennen, die einen solchen Transfer erlaubt.

Zusätzliche Serviceleistungen

  • Datentransfer in Länder, die europäische Standards garantieren
  • Datentransfer ins Ausland auf der Grundlage von Standard-Vertragsklauseln
  • Datenübermittlung ins Ausland aufgrund einer Einwilligung
  • Andere rechtliche Grundlagen für den Datentransfer ins Ausland

Einige Beispiele für den Datentransfer

  • Immer dann, wenn Sie mit Partnern außerhalb der EU/EWR zusammenarbeiten oder Dienste mit Sitz außerhalb der EU/EWR hinzufügen (wie z. B. Google Analytics), übertragen Sie personenbezogene Daten in Länder außerhalb der EU. Die in unserem Generator aufgeführten Dienste haben eine Einschätzungen der jeweiligen Herkunftsbasis des Dienstes.

  • Wenn Sie eine benutzerdefinierte Dienstleistung (d. h. eine von Ihnen erstellte Dienstleistung), müssen Sie unbedingt angeben, welche rechtlichen Grundlagen für einen solchen Datentransfer bestehen.

  • Wenn Sie ein Verantwortlicher mit Sitz außerhalb der EU sind, übertragen Sie jedes Mal, wenn Sie Daten von Nutzern mit Sitz innerhalb der EU erfassen, personenbezogene Daten in Länder außerhalb der EU. Bitte stellen Sie sicher, dass Sie sich dabei an eine der Rechtsgrundlagen für die Übertragung halten.

Die Rechtsgrundlage für die Datenübertragung

Die DSGVO sieht eine Reihe von gültigen Rechtsgrundlagen, für den Datentransfer in Länder außerhalb der EU, vor. Die relevantesten sind:

Wann immer die Europäische Kommission der Meinung ist, dass ein bestimmtes Land Datenschutzstandards garantiert, die mit den in der EU geltenden Standards vergleichbar sind, erlässt sie eine Angemessenheitsentscheidung. Wenn Sie planen, Daten in ein solches Land zu transferieren, können Sie dies tun – Sie müssen dies nur Ihren Nutzern über die Datenschutzerklärung mitteilen.

Angemessenheitsentscheidungen wurden bisher für Andorra, Argentinien, Kanada (kommerzielle Organisationen), die Färöer-Inseln, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, die Schweiz, Uruguay und Japan verabschiedet.

In diesem Fall ist der Dienst: “Datentransfer in Länder, die europäische Standards garantieren” hinzuzufügen.

Wenn das Land, in welches Sie Daten exportieren möchten, kein angemessenes Sicherheitsniveau gewährleisten kann, können Sie sicherstellen, dass der spezifische Datenimporteur (d. h. das Unternehmen oder die Einzelperson, in das/die Sie Daten exportieren möchten) strengere Vorschriften einhält. Zu diesem Zweck schließen Sie einen Vertrag mit dem Datenimporteur ab, der von der Europäischen Kommission entworfene Standardvertragsklauseln enthält. In den meisten Fällen werden Sie die Standardvertragsklauseln für in der EU ansässige Verantwortliche verwenden, die Daten an Prozessoren mit Sitz in anderen Ländern exportieren.

Auch hier gilt: Wenn Sie einen solchen Vertrag vorweisen können, dürfen Sie personenbezogene Daten übermitteln – dies müssen Sie jedoch in Ihrer Datenschutzerklärung erwähnen.

In diesem Fall ist der Dienst: “Datentransfer ins Ausland auf der Grundlage von Standardvertragsklauseln” hinzuzufügen.

Wenn Ihnen keine der oben genannten Optionen geeignet erscheint, müssen Sie die Einwilligung Ihrer Nutzer zur Übermittlung ihrer Daten in Länder außerhalb der EU einholen. Dies ist das komplexeste Verfahren, da Sie sicherstellen müssen, dass ihre Einwilligung – neben anderen Aspekten – „in Kenntnis genommen“ wurde. Ist Ihnen bekannt, wie die Nutzerdaten nach dem Export in Länder außerhalb der EU genutzt werden? Können Sie feststellen, welche Art von Sicherheitsmaßnahmen durch die lokale Gesetzgebung vorgesehen sind, oder auf Initiative des Datenimporteurs ergriffen werden, um den Schutz persönlicher Daten zu gewährleisten?

Wenn Sie in der Lage sind, solche Informationen zur Verfügung zu stellen, können Sie Ihre Nutzer um Einwilligung für die Übertragung personenbezogener Daten ersuchen. Sind Sie jedoch nicht in der Lage, diese Informationen zur Verfügung zu stellen, ist Vorsicht geboten: Jede eingeholte Einwilligung würde als nicht „in Kenntnis genommen“ und daher als ungültig betrachtet werden.

In diesem Fall ist der Dienst: “Datenübermittlung ins Ausland aufgrund einer Einwilligung” hinzuzufügen.

Eine weniger bekannte Tatsache ist, dass die DSGVO einige andere (auf Englisch) – wenn auch weniger relevante – Optionen für den Datentransfer in Länder außerhalb der EU enthält. Wenn Sie Ihren Datentransfer auf eine solche Option stützen, sollten Sie die Dienstleistung „Andere rechtliche Grundlage für den Datentransfer ins Ausland“ wählen und alle relevanten Details durch eine benutzerdefinierten Dienstleistung bestimmen oder hinzufügen.

Wie funktioniert der Datentransfer aus der Schweiz?

Wenn Sie personenbezogene Daten aus der Schweiz in ein anderes Land übertragen, müssen Sie sich dabei an eine der, von der Schweizer Gesetzgebung anerkannten Rechtsgrundlagen halten.

Informationen über die Datenschutz-Vorschriften auf Bundesebene in der Schweiz finden Sie hier.

Profiling

Profiling ist jede Form der automatisierten Verarbeitung personenbezogener Daten zur Auswertung bestimmter personenbezogener Aspekte in Bezug auf eine natürliche Person, insbesondere zur Analyse oder Vorhersage von Aspekten hinsichtlich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Standort oder den Bewegungen dieser natürlichen Person.

Wenn Sie ein Profil Ihrer Nutzer erstellen, müssen Sie die Informationen mit ihnen teilen. Daher müssen Sie die entsprechende Klausel aus dem Generator für Datenschutzerklärungen auswählen.

Zusätzliche Serviceleistungen:

  • Auswertungen und Vorhersagen auf der Grundlage der Daten des Nutzers („Profiling“)

Praxisbeispiel

Sofern Sie Produkte verkaufen und die Auswahl der Nutzer zu Marketingzwecken aufzeichnen und sie in sinnvolle Kategorien wie Alter, Geschlecht, geografische Herkunft usw. einteilen, erstellen Sie dadurch ein Profil.

Automatisierte Entscheidungsfindung

Automatisierte Entscheidungsfindung oder ADM (Automated Decision Making) ist ein Prozess, der es Ihnen ermöglicht, Entscheidungen, die rechtliche oder ähnlich bedeutende Auswirkungen auf Nutzer haben können, vollautomatisch und ohne menschliches Zutun zu treffen. Ein solches ADM kann auch auf Profiling basieren (siehe oben).

Falls Sie einen ADM-Prozess implementieren, müssen Sie auch dies Ihren Nutzern mitteilen. Daher sollten Sie die entsprechende Klausel im Generator für Datenschutzerklärungen auswählen. Bitte beachten Sie, dass Nutzer ein spezifisches Einspruchsrecht gegen ADM-Prozesse haben. Dieses Recht ist im Abschnitt zur automatisierten Entscheidungsfindung bezüglich der Datenschutzerklärung, die Sie erstellen werden, angegeben.

Zusätzliche Dienstleistungen:

  • Automatisierte Entscheidungsfindung
  • Analyse und Vorhersagen auf der Grundlage der Daten des Nutzers („Profiling“)

Praxisbeispiel

Sie sind eine Bank. Um zu entscheiden, ob Nutzer für eine Kreditvergabe infrage kommen, lassen Sie die persönlichen Daten in ein Formular eintragen. Mit Hilfe eines Algorithmus werden diese Daten vollautomatisch ausgewertet und die Entscheidung getroffen.

Beschaffung von Daten Dritter

Wenn Sie personenbezogene Daten nicht direkt vom Nutzer selbst erfassen, auf den sie sich beziehen, sondern stattdessen von einer dritten Partei, müssen Sie den betreffenden Nutzer zusätzlich zu allen anderen Informationspflichten über diese dritte Partei in Kenntnis setzten. Bitte wählen Sie die entsprechende Klausel aus dem Generator für Datenschutzerklärungen aus.

Diese Informationen müssen dem Nutzer spätestens einen Monat nach der Erfassung der Daten mitgeteilt werden, insbesondere:

  • wenn die persönlichen Daten, die für die Kommunikation mit dem Nutzer verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an diesen Nutzer; oder
  • wenn eine Weitergabe an einen anderen Empfänger vorgesehen ist. Dies muss spätestens bei der erstmaligen Bekanntgabe der persönlichen Daten bekannt gemacht werden.

Zusätzliche Serviceleistungen:

  • Personenbezogene Daten, die durch andere Quellen als den Nutzer gesammelt wurden

Praxisbeispiel

Sie sind ein Headhunter. Sie finden ein interessantes Profil auf LinkedIn. Sobald Sie mit dem betreffenden Kandidaten Kontakt aufnehmen oder seine Daten an den potenziellen Arbeitgeber übermitteln, müssen Sie dem Kandidaten, spätestens nach einem Monat, alle obligatorischen Informationen zur Verfügung stellen, einschließlich der Nennung von LinkedIn als Quelle seiner Daten.

Vertreter in der EU

Wenn Sie ein Controller mit Sitz außerhalb der EU sind, müssen Sie jede natürliche oder juristische Person mit Sitz in einem der EU-Länder, in denen Ihre Nutzer ansässig sind, als Vertreter in der EU, ernennen. Dieses muss schriftlich erfolgen und der ernannte Vertreter muss in Ihrer Datenschutzerklärung erwähnt werden.

Tragen Sie daher die Angaben des Vertreters (Name und Kontaktdaten Ihres Vertreters) in das Feld ein, in dem Sie Ihre eigenen Firmeninformationen haben.

Datenschutzbeauftragte

Unter bestimmten Bedingungen müssen Sie eine natürliche oder juristische Person zum Datenschutzbeauftragten (oder DSB) ernennen und dies in Ihrer Datenschutzerklärung erwähnen.

Insbesondere müssen Sie immer einen DSB ernennen, wenn:

  • Sie eine öffentliche Behörde oder Einrichtung sind; oder
  • Ihre Kerntätigkeiten in Bereichen besteht, die eine regelmäßige und systematische Überwachung von Nutzern in großem Maßstab erfordern; oder
  • Ihre Kerntätigkeiten in der Verarbeitung sensibler Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten in großem Umfang besteht.

Wenn eine der oben genannten Bedingungen auf Sie zutrifft, tragen Sie bitte die Angaben des DSB (Kontaktdaten Ihres Datenschutzbeauftragten) in das Feld ein, in dem Sie Ihre eigenen Firmeninformationen haben.

Bitte beachten Sie in diesem Zusammenhang, dass nach der DSGVO die EU-Mitgliedstaaten weitere Bedingungen festlegen können, unter denen die Ernennung eines DSB obligatorisch ist. Prüfen Sie daher, ob Sie zusätzlich zu der DSGVO nationaler Bestimmungen eines EU-Mitgliedstaates unterliegen und ob diese Bestimmungen die Ernennung eines DSB erfordern.

Weitere Informationen über den Datenschutzbeauftragten und andere Einzelthemen erhalten Sie in unserem DSGVO-Leitfaden.