Die Datenschutzpolicy - Viele fragen sich wozu und warum?
Art. 12 DSGVO legt fest, dass der Verantwortliche geeignete Maßnahme trifft, um der betroffenen Person alle Informationen gem. Art 13 (Informationspflicht bei der Erhebung von personenbezogenen Daten bei der betroffenen Person) und 14 (Erhebung bei anderen Personen) und alle Mitteilungen gem. den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.
Die Übermittlung der Information hat schriftlich oder in anderer Form (gegebenenfalls auch elektronisch) erfolgen.
Um diese Anforderung zu erfüllen, ist das Unternehmen verpflichtet, sich mit den Verarbeitungstätigkeiten, den personenbezogenen Daten und etwaigen Empfängerkreisen etc... auseinander zu setzen. Es muss festlegen, in welcher Art und Weise und in welchem Umfang es diese Verpflichtung zur Information erfüllt.
Eine Möglichkeit ist z.B. bei Websiten eine "Datenschutzerklärung" in Form einer "Layered Privacy Notice". Es wird ein Kurzhinweis zur Verfügung gestellt, und die betroffene Person kann sich bei Interesse auch weitergehende Informationen einholen bzw. sich auf die vollständige Datenschutzerklärung "durchklicken". Diese Form hat auch die Art-29-Datenschutzgruppe als angemessen erachtet und auch in einem Working-Paper (Stellungnahme 10/2004 zu einheitlicheren Bestimmungen zur Informationspflicht) verarbeitet.
Es ist notwendig, die verwendeten personenbezogenen Daten zu kategorisieren (z.B. Arbeitnehmerdaten, Kundendaten, Lieferantendaten, ...) und dann darauf aufbauend die entsprechenden Schritte zu setzen.
Im Rahmen der Erstellung wird dokumentiert, weshalb an bestimmte Personenkreise Informationen bei der Datenerhebung in welcher Form übermittelt werden, z.B. weil Kinder betroffen sind, und daher eine wesentlich einfacher Sprache zu wählen ist, oder weil ausschließlich Arbeitnehmer betroffen sind, es nicht notwendig ist, die Datenschutzpolicy öffentlich verfügbar zu machen.
In periodischen Abständen sollte die Datenschutzpolicy auf Aktualität geprüft und gegebenfalls auch angepasst werden.
Die Anforderungen und auch die personenbezogenen Daten ändern sich im Laufe der Zeit.
So änder sich auch die Datenschutzpolicy.