Erstellung einer Datenschutzerklärung

Datenschutzerklärung für mehr Transparenz im Umgang mit Kundendaten

Die zunehmende technologische Entwicklung und die Globalisierung führen auch dazu, dass die Anforderungen an den Datenschutz weiter steigen. Eine der vielen sich für Unternehmen daraus ergebenden Herausforderungen liegt in der richtigen Gestaltung einer DSGVO-konformen Datenschutzerklärung. In der Praxis hat sich hierbei bereits ein umfangreiches Angebot für standardisierte Datenschutzerklärungen und Muster herausgebildet. Schwierig ist die Nutzung solcher automatisiert generierten Datenschutzerklärungen jedoch für Unternehmen mit komplexen Geschäftsmodellen, die ein erhöhtes Aufkommen von Datenverarbeitungsprozessen aufweisen. Besonders betrifft dies FinTech Unternehmen und generell digital agierende Finanzunternehmen. Hier müssen individuelle Datenschutzkonzepte entwickelt werden. Die Datenschutzerklärung stellt hierbei nur die nach außen sichtbare Spitze des Eisbergs dar. Auch die BaFin fordert in vielen Bereichen von Finanzunternehmen die Einhaltung der auf sie anwendbaren datenschutzrechtlichen Vorgaben. Auch das geschriebene Recht stellt für Finanzunternehmen entsprechende Pflichten auf. So finden sich in der als Digital Operational Resilience Act (DORA) bekannten Verordnung (EU) 2022/2554 zahlreiche Regelungen, die Finanzunternehmen zur Einhaltung der Datenschutzvorschriften verpflichten. Datenschutz Compliance erlangt somit auch für die Finanzbranche immer größere Bedeutung.

Rechtliche Grundlagen für die Verarbeitung von personenbezogenen Daten

Einer der Grundsätze der DSGVO ist der Grundsatz der Rechtmäßigkeit. Aus diesem folgt, dass personenbezogene Daten nur verarbeitet werden dürfen, wenn hierfür eine Rechtsgrundlage besteht. Folglich steht jede Verarbeitung unter einem Erlaubnisvorbehalt. Eine Verarbeitung liegt unter anderem bei jedem Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen oder Verändern, Auslesen, Abfragen, Verwendung, Offenlegung durch Übermittlung von personenbezogenen Daten vor. Als Rechtsgrundlage kann beispielsweise eine Einwilligung des Betroffenen aber auch ein Vertragsverhältnis oder eine Interessenabwägung dienen. Von der Einwilligungserklärung, die eine Ermächtigungsgrundlage für die Verarbeitung personenbezogener Daten sein kann, ist die Datenschutzerklärung abzugrenzen. Die Datenschutzerklärung dient dazu, die Verarbeitung personenbezogener Daten gegenüber den Betroffenen transparent zu machen. Daher muss diese den Betroffenen auf einfache und verständliche Weise über die Datenerhebung- und Datenverarbeitung sowie die zugrundeliegenden Rechtsgrundlagen informieren.

Inhalt einer ordnungsgemäßen Datenschutzerklärung

Die Datenschutzerklärung muss vollständig und richtig sein. Werden die vorgeschriebenen Informationen nicht oder nicht rechtzeitig erteilt, liegt ein Verstoß gegen die DSGVO vor. Zudem stellt die DSGVO eine Reihe inhaltlicher Anforderungen auf, die eine Datenschutzerklärung erfüllen muss, um dem Transparenzgrundsatz zu genügen. Der Betroffene soll durch die Lektüre der Datenschutzerklärung eines Unternehmens in die Lage versetzt werden, die Tragweite der Datenverarbeitung in Bezug auf die ihn betreffenden personenbezogenen Daten zu verstehen. Außerdem soll ihm durch die Datenschutzerklärung ermöglicht werden, seine rechtlichen Möglichkeiten im Zusammenhang mit der Datenverarbeitung durch das betreffende Unternehmen abzuschätzen. Der Verantwortliche muss unter anderem über die Kategorien der verarbeiteten Daten, die Dauer der Speicherung, bei Übermittlung über die Empfänger und die jeweils zugrunde liegenden Rechtsgrundlagen aufklären. Sollte eine Übermittlung in ein Drittland erfolgen, sind Angaben zu bestehenden Angemessenheitsbeschlüssen oder sonstigen Garantien zu machen. Schließlich ist der Betroffene genaustens über die ihm zustehenden Betroffenenrechte aufzuklären.

Zuständiger Anwalt für die Beratung zur Erstellung einer Datenschutzerklärung in unserer Kanzlei ist Rechtsanwalt Anton Schröder.