Bei der Bestandsaufnahme zur DSGVO Umsetzung ist eine wichtige Frage, wie in der Organisation die Informationspflichten umgesetzt werden.
Schnell stellt man fest: Datenschutz-Hinweise gibt es. Für die Webseite. Irgendwann 2018/2019 schnell mal durch einen Generator gejagt, auf der Webseite platziert und dann vergessen.
Und nein - ich möchte hier gar nicht mehr auf die vielen Datenschutz-Hinweise auf Webseiten eingehen, in denen Privacy Shield noch ganz selbstverständlich als Garantie bei der US-Übermittlung für Google, YouTube & Co. angegeben wird.
Auch nicht auf die vielen davon, bei denen einfach mal alles im Generator angekreuzt wurde, ob es auf der Webseite genutzt wird oder nicht.
Es geht nicht um Webseiten - nicht nur...
Eigentlich möchte ich auf Transparenz eingehen. Datenschutz-Hinweise sind für Betroffene die Grundlage, um überhaupt ihre Rechte ausüben zu können. Informiert man eine Person nicht bei (oder relativ zügig nach) der Erhebung ihrer Daten darüber, wie man diese verarbeitet, hat sie keinen "Hebel". Sie weiß nicht, was man an Daten wie und für welche Zwecke nutzt. Und wenn der Betroffene das nicht weiß, kann er auch - sofern er nicht damit einverstanden ist - nicht dagegen vorgehen.
"Ist doch super!" wird da der ein oder andere sagen.
Und deshalb gibt es die Art. 5 Abs. 1 sowie 12 - 14 DSGVO.
Zum einen wird dort festgelegt, dass personenbezogene Daten "in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden" müssen. Und zum anderen wird dort (z.B. Art. 13) recht detailliert angegeben, welche Informationen geliefert werden müssen.
Abgesehen davon - Transparenz und Fairness ist gut für's Image! Wer möchte nicht lieber mit jemandem zusammenarbeiten, der ihm wichtige Dinge eben nicht verheimlicht?
So gut, so einfach. Oder auch nicht.
In der DSGVO steht also, dass man transparent informieren muss und im Prinzip auch, was alles in einem Datenschutz-Hinweis stehen muss.
Nur ist jede Organisation anders. Die eingangs erwähnten Generatoren für Datenschutz-Hinweise machen in vielen Fällen einen guten Job, was den Detailgrad und auch die juristisch korrekte Formulierung zu Verarbeitungen (typischerweise auf Webseiten) angeht.
Aber eine "typische" mittlere Organisation hat so viele Bereiche, die mit individuellen Texten abgedeckt werden sollten, dass eine automatisierte Erstellung oft an ihre Grenzen stößt. Wobei es eigentlich weniger von der Größe der Organisation als von den Verarbeitungen abhängt.
Wo erheben Sie denn Daten?
Betrachten Sie doch einfach mal die verschiedenen Bereiche Ihrer Organisation und wo dort überall im Erstkontakt mit Menschen Daten erhoben und verarbeitet werden.
Webseiten-Besucher, Bewerber, Interessenten/Leads, Kunden, Veranstaltungs-Teilnehmer, Abgebildete auf Fotografien und Videos, neue Beschäftigte, Facebook-Fans, von Videoüberwachung aufgezeichnete Personen, Webkonferenz-Teilnehmer, Newletter-Abonnenten, etc..
Und welche Kontakte bekommen Sie nicht direkt von den Betroffenen (z.B. über Business-Netzwerke, über Empfehlungen, von Vertriebspartnern, über Direktmarketing-Adressen etc.)?
Sie werden schnell feststellen, dass es mehr als einen Erhebungspunkt und viele unterschiedliche Zwecke für die Verarbeitung personenbezogener Daten gibt. Und auch, dass sich Zwecke und Verarbeitungen oft überschneiden.
Dann mach ich halt einen für alles
Nun könnte man natürlich sagen, man macht einen Hinweis für die Webseite (und ja, hier bin ich ein absoluter Freund von Generatoren, weil hier die Inhalte und Verarbeitungen etwas anders gestaltet sind) und einen großen, umfassenden für alle anderen Verarbeitungen.
Den "einen großen Hinweis für alles außer Webseite" finde ich ... sagen wir mal " nicht optimal".
Warum? Weil damit die Transparenz flöten geht und zu viel an nicht benötigter Information fließt. Zudem ist es für Betroffene nicht mehr nachvollziehbar, innerhalb welcher Verarbeitungen denn nun ihre Daten tatsächlich verarbeitet werden.
Mal so eine Idee für den "Eigenbau" von Datenschutz-Hinweisen
Jeder Verantwortliche hat ja inzwischen (hoffentlich) für alle seine Verarbeitungen ein Verzeichnis (VVT) angelegt. Und natürlich hat jeder Verantwortliche auch den vollständigen Überblick über seine Organisation und weiß, wo und an welchen Schnittstellen personenbezogene Daten erhoben werden.
Warum also nicht individuelle, auf die tatsächlichen Gegebenheiten der Organisation und Verarbeitungs-Bereiche zugeschnittene Datenschutz-Hinweise selbst erstellen?
Wenn man das VVT richtig gestaltet, kann man Datenschutz-Hinweise modular anlegen und die für den jeweiligen Verarbeitungsbereich (wie z.B. Einstellung von Beschäftigten) relevanten Informationen in den Verarbeitungsteil der Hinweise per copy/paste übernehmen.
So vermeidet man doppelte Arbeit, doppelte Pflege von Dokumenten, ist flexibel und man hat wirklich nützliche und transparente Datenschutz-Hinweise erstellt.
Aber ist nur so eine Idee...
Werbung in eigener Sache:
Wenn Sie wissen wollen, was ich im Detail damit meine und wie entsprechend gestaltete Vorlagen aussehen könnten, schauen Sie doch mal auf www.datenschutzdocs.de vorbei.