Von der Informationspflicht ist jede Form von elektronischen Inhalten betroffen.
Darunter fallen unter anderem:
- Websites
- Web-Shops
- Mails
- SMS oder auch
- Social Media Auftritte
Datenschutzerklärung nach EU-Datenschutz-Grundverordnung
(Art.13 und Art.14 EU-DSGVO)
- Jede Verarbeitung (elektronisch als auch auf Papier) von personenbezogenen Daten von natürlichen Personen, einschließlich sensibler Daten, benötigt eine Datenschutzerklärung.
- Eine Datenschutzerklärung (Privacy Policy) beinhaltet jene Maßnahmen, die ergriffen werden, um die Privatsphäre der betroffenen Personen zu gewährleisten.
- Jede betroffene natürliche Person hat das Recht über die entsprechende Verarbeitung vor der Verarbeitung seiner personenbezogenen Daten in Kenntnis gesetzt zu werden.
- Mit der Datenschutzerklärung wird der Informationsverpflichtung, die sich aus den gesetzlichen Bestimmungen, wie Datenschutz-Grundverordnung, Datenschutzgesetz bzw. Datenschutz-Anpassungsgesetz und Telekommunikationsgesetz ergeben, entsprochen.
- Die Datenschutzerklärung muss verständlich formuliert und für alle leicht aufrufbar sein (zum Beispiel auf der Unternehmens-Website).
- Weiters muss diese Datenschutzerklärung auch in lesbarer (gedruckter) Form aufliegen, falls eine natürliche Person darüber Auskunft verlangt.
- Falls sich das Unternehmen auch auf Social Media Plattformen präsentiert, ist dringend anzuraten, dass die Datenschutzerklärung dort auch eingebunden beziehungsweise von dort auf die Erklärung auf der eigenen Website verlinkt wird.
Inhalt:
Ansprechpersonen
- Verantwortlicher
- Vertreter
- Datenschutzbeauftragter
Eckdaten der Verarbeitung
- Verarbeitungstätigkeit und -zweck
- Rechtsgrundlagen
- Datenkategorie
- Personenkategorie
- Datenherkunft
- Speicherdauer
- Empfängerkategorie
- Empfänger in Drittländern
- Betroffenenrechte
Funktionsbereiche und Interaktionen
EU-Datenschutz-Grundverordnung (Art.37 EU-DSGVO) – Datenschutzvorfall
Im Falle eines Datenschutzvorfalles muss unverzüglich und möglichst innerhalb von 72 Stunden, nachdem die Verletzung bekannt wurde, die zuständige Aufsichtsbehörde informiert werden. Sofern ein hohes Risiko für die Rechte und Freiheiten Betroffener besteht, müssen auch die betroffenen Personen entsprechend benachrichtigt werden.
EU-Datenschutz-Grundverordnung (Art.37 EU-DSGVO) – Datenschutzbeauftragte
Sofern es einen Datenschutzbeauftragten im Unternehmen gibt, muss dieser
- der Aufsichtsbehörde bekanntgegeben werden,
- die Kontaktdaten des Datenschutzbeauftragten veröffentlichen.
Mit freundlicher Genehmigung aus dem Handbuch „IT-Praxiswissen für Datenschutz-Verantwortliche“
Harald Straub, MBA
CMC, CDC, CeCE, CDISE, geprüfter Datenschutzexperte, zertifizierter Datenschutzbeauftragter, Dipl. CMS Designer und Unternehmensberater Wien & Niederösterreich