- DSGVO Die Artikel 13 und 14 geben verbindliche Inhalte an, die jeder Datenschutzhinweis enthalten muss
- Artikel 13 gilt, wenn Sie Daten direkt von der Person erheben; Artikel 14 bei der Erhebung von einem Dritten
- Die Mitteilung muss zum Zeitpunkt der Erhebung vorgelegt werden — nicht unter Bedingungen begraben
- Sprache muss prägnant, transparent, verständlich und in einfacher Sprache — nicht legal
Eine Datenschutzerklärung ist nicht nur eine Rechtsformalität – sie ist das primäre Instrument, durch das Sie das Transparenzprinzip der DSGVO erfüllen. Die betroffenen Personen haben das Recht, zu wissen, was Sie mit ihren Daten tun, und Sie haben die Pflicht, ihnen zum Zeitpunkt der Erhebung in klarer Sprache proaktiv zu sagen. Generische Kesselplatte aus einer Vorlage kopiert nicht diese Anforderung erfüllen.
Verwandter HubSecure-Kaufpfad
Leitfaden zur Dokumentensammlung und zum Tresor Sichere Dokumentensammlung Secure Vault Modul Dropbox-Vergleich Leitfaden zur Dokumentensammlungssoftware Leitfaden Bibliothek Buchen Sie eine Workflow-Demo
Zugehörige Ressourcen zu Sicherheit, Datenschutz und Governance
Weiter mit HubSecure Sicherheits- und Trustcenter, Datenverarbeitungsvereinbarung, Unterauftragsverarbeiter, Compliance-Workflows, geregelter KI-Betreiber.
Verwandter Anwendungsfall
Dieses Handbuch gehört zum Cluster „Secure Document Collection Guides“. Fahren Sie mit dem Produkthub für sichere Dokumentensammlung fort.
Artikel 13: wenn Sie Daten direkt erheben
Artikel 13 gilt, wenn Sie personenbezogene Daten direkt von der Person erheben – über ein Formular, in einem Aufnahmegespräch oder über Ihre Website. Die Datenschutzinformationen müssen zum Zeitpunkt der Erfassung angegeben werden. Zu den Pflichtinhalten gehören:
- ✓ Identität und Kontaktdaten des Verantwortlichen
- ✓ Kontaktdaten des Datenschutzbeauftragten (falls zutreffend)
- ✓ Zwecke und Rechtsgrundlage für jede Verarbeitungstätigkeit
- ✓ Die verfolgten berechtigten Interessen (sofern berechtigte Interessen zugrunde liegen)
- ✓ Beliebige Empfänger oder Kategorien von Empfängern der Daten
- ✓ Ob Daten außerhalb des EWR übertragen werden und welche Sicherheitsvorkehrungen getroffen werden
- ✓ Aufbewahrungsfristen bzw. die Kriterien für deren Festlegung
- ✓ Die Rechte des Einzelnen: Zugang, Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch
- ✓ Recht auf Widerruf der Einwilligung (sofern die Einwilligung die Rechtsgrundlage darstellt)
- ✓ Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen
- ✓ Ob die Bereitstellung von Daten gesetzlich oder vertraglich vorgeschrieben ist und welche Folgen die Nichtbereitstellung hat
- ✓ Ob eine automatisierte Entscheidungsfindung (einschließlich Profiling) stattfindet, und wenn ja, die Logik und Bedeutung
Artikel 14: wenn Sie Daten von einem Dritten erhalten
Artikel 14 gilt, wenn Sie personenbezogene Daten über eine Person aus einer anderen Quelle als der Person selbst sammeln – durch den Kauf von Daten potenzieller Kunden, den Erhalt von Empfehlungen oder die Beschaffung von Informationen aus öffentlichen Registern. Es müssen die gleichen Informationen bereitgestellt werden, außerdem:
- Die Kategorien der betroffenen personenbezogenen Daten (da die Person diese nicht direkt bereitgestellt hat)
- Die Quelle, aus der die Daten stammen, und ob sie aus öffentlich zugänglichen Quellen stammen
Dies muss innerhalb einer angemessenen Frist – höchstens eines Monats – oder zum Zeitpunkt der ersten Kommunikation oder bei der Offenlegung der Daten an einen Dritten erfolgen, je nachdem, was zuerst eintritt.
Häufige Datenschutzerklärung Fehler
Vage Absichten
„Wir nutzen Ihre Daten zur Verbesserung unserer Dienstleistungen und zu Marketingzwecken“ genügt nicht dem Spezifitätserfordernis. Jeder einzelne Zweck muss klar angegeben werden: „Wir verarbeiten Ihre Kontaktdaten, um Ihnen unseren monatlichen Newsletter über Compliance-Entwicklungen zuzusenden (Artikel 6(1)(a) – Einwilligung).“
Keine Aufbewahrungsfristen
Die Aussage „Wir bewahren Ihre Daten so lange wie nötig auf“ ohne weitere Angabe erfüllt nicht die Anforderung von Artikel 13 Absatz 2 Buchstabe a. Geben Sie tatsächliche Zeiträume oder die Kriterien an, nach denen sie ermittelt wurden.
Standardbeschreibungen der Rechte
Es reicht nicht aus, die Rechte der betroffenen Personen aufzulisten, ohne zu erläutern, wie sie diese ausüben können. Ihre Benachrichtigung sollte Einzelpersonen darüber informieren, wie sie eine Anfrage einreichen können – zum Beispiel per E-Mail an [email protected] – und was sie in Bezug auf die Antwortzeit zu erwarten haben.
Kontaktdaten des Datenschutzbeauftragten fehlen
Wenn Sie einen Datenschutzbeauftragten haben (für bestimmte Organisationen gemäß Artikel 37 obligatorisch), müssen dessen Kontaktdaten in der Datenschutzerklärung aufgeführt sein. Viele Firmen verzichten darauf.
Format und Zugänglichkeit
Die DSGVO verlangt, dass Datenschutzhinweise in prägnanter, transparenter, verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache bereitgestellt werden. Das ICO und andere Datenschutzbehörden empfehlen einen mehrstufigen Ansatz: eine kurze Mitteilung zum Zeitpunkt der Datenerhebung mit den wichtigsten Punkten und einen Link zu einer ausführlichen Mitteilung mit Einzelheiten.
Muss unsere Datenschutzerklärung regelmäßig überprüft werden?
Ja. Wenn sich Ihre Verarbeitungsaktivitäten ändern – neue Systeme, neue Zwecke, neue Drittverarbeiter, neue Übermittlungen – muss Ihre Datenschutzerklärung aktualisiert werden. Wenn Sie es aktualisieren, benachrichtigen Sie die betroffenen Personen, deren Daten von den Änderungen betroffen sind, wenn die Aktualisierungen wesentlich sind.
Ist eine Cookie-Richtlinie dasselbe wie eine Datenschutzerklärung?
Nein. Eine Cookie-Richtlinie regelt die Einwilligungs- und Informationspflichten gemäß der Datenschutzrichtlinie für elektronische Kommunikation (für die EU) und den nationalen Umsetzungsvorschriften. Eine Datenschutzerklärung befasst sich mit den DSGVO-Transparenzpflichten für die gesamte Verarbeitung personenbezogener Daten. Beides ist erforderlich; Viele Organisationen kombinieren sie in einem mehrschichtigen Dokument.
Integrierte Datenschutzdokumentation
HubSecure enthält Vorlagen für Datenschutzhinweise, die vorab den regulierten Geschäftstypen zugeordnet sind – und umfassen Kundendaten, Mitarbeiterdaten und AML-Verarbeitungsaktivitäten.
Buchen Sie eine DemoOffizielle Quellen und weiterführende Literatur
Nutzen Sie diese öffentlichen Quellen, um den regulatorischen Hintergrund und die Terminologie zu überprüfen. Bei den Inhalten von HubSecure handelt es sich um Produkthinweise, nicht um Rechtsberatung.
Hinweise zur Glaubwürdigkeit
Dieser Leitfaden dient der Produkt- und Betriebsbewertung und stellt keine Rechtsberatung dar. Bestätigen Sie bei Compliance-Verpflichtungen die Anforderungen mit einem qualifizierten Berater oder der zuständigen Aufsichtsbehörde.
Verwandte HubSecure-Referenzen: Sicherheit · DPA · Unterauftragsverarbeiter · AML/KYC-Glossar · RBAC-Glossar
Überprüft für regulierte Teams
Vorbereitet vom HubSecure-Redaktionsteam für Betreiber, Compliance-Verantwortliche und IT-Prüfer, die sichere Client-Betriebssoftware bewerten.
Autoren · Rezensenten · Redaktionelle Richtlinien