iubenda hat ein System entwickelt, mit dem Sie verschiedenen Nutzergruppen, deren personenbezogene Daten Sie als „Verantwortliche“ (so bezeichnet die DSGVO die Person, die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt) sammeln und verarbeiten können.
Insbesondere:
💡 Wenn Sie auf Nutzer mit Sitz in den USA ausgerichtet sind, könnte auch das California Consumer Privacy Act (CCPA) für Sie gelten. Hier können Sie alles über das CCPA nachlesen und unsere kostenlosen Support für weitere Fragen in Anspruch nehmen.
Sie haben die Wahl zwischen der Anwendung „breiterer Sicherheitsstandards der DSGVO auf“
So können Sie ihre Einstellungen ändern:
Sobald Sie sich entschieden haben, welche Rechte Sie wem anbieten wollen, können Sie fortfahren.
Hier müssen Sie die umfassenderen Datenschutzstandards auf sämtliche Nutzer anwenden, denn alle Datenverarbeitungsaktivitäten, die Sie durchführen, unterliegen der DSGVO – dies gilt sogar für Ihre Nutzer, die nicht in der EU ansässig sind.
Hier haben Sie im Prinzip die Wahl, umfassendere Datenschutzstandards für all Ihre Nutzer anzuwenden oder diese nur in den Fällen zu gewähren, in denen die Verarbeitung personenbezogener Daten der DSGVO unterliegt. Bitte beachten Sie, dass Sie umfassendere Sicherheitsstandards anwenden müssen, wenn bei der Verarbeitung personenbezogene Daten von Nutzern, die sich in der EU aufhalten, benutzt werden:
Wenn ein Teil Ihrer Datenverarbeitungsaktivitäten darin bestehen, in der EU ansässigen Nutzern bezahlte, bzw. unbezahlte Waren, sowie Dienstleistungen anzubieten, oder das in der EU stattfindende Nutzerverhalten zu überwachen, sind Sie in diesen Fällen verpflichtet, umfassendere Datenschutzstandards anzuwenden.
Die Anwendungsmöglichkeit umfassenderer Sicherheitsstandards führt zu weiteren wichtigen Aspekten, die im Folgenden beschrieben werden.
Wenn Sie personenbezogene Daten innerhalb der EU erheben, steht es Ihnen frei, diese in andere EU- oder EWR-Länder zu übertragen. Wenn Sie jedoch planen, diese in andere Länder wie der Schweiz oder den USA zu transferieren, müssen Sie eine gültige Rechtsgrundlage nennen, die einen solchen Transfer erlaubt.
Zusätzliche Serviceleistungen
Immer dann, wenn Sie mit Partnern außerhalb der EU/EWR zusammenarbeiten oder Dienste mit Sitz außerhalb der EU/EWR hinzufügen (wie z. B. Google Analytics), übertragen Sie personenbezogene Daten in Länder außerhalb der EU. Die in unserem Generator aufgeführten Dienste haben eine Einschätzungen der jeweiligen Herkunftsbasis des Dienstes.
Wenn Sie eine benutzerdefinierte Dienstleistung (d. h. eine von Ihnen erstellte Dienstleistung), müssen Sie unbedingt angeben, welche rechtlichen Grundlagen für einen solchen Datentransfer bestehen.
Wenn Sie ein Verantwortlicher mit Sitz außerhalb der EU sind, übertragen Sie jedes Mal, wenn Sie Daten von Nutzern mit Sitz innerhalb der EU erfassen, personenbezogene Daten in Länder außerhalb der EU. Bitte stellen Sie sicher, dass Sie sich dabei an eine der Rechtsgrundlagen für die Übertragung halten.
Die DSGVO sieht eine Reihe von gültigen Rechtsgrundlagen, für den Datentransfer in Länder außerhalb der EU, vor. Die relevantesten sind:
Wann immer die Europäische Kommission der Meinung ist, dass ein bestimmtes Land Datenschutzstandards garantiert, die mit den in der EU geltenden Standards vergleichbar sind, erlässt sie eine Angemessenheitsentscheidung. Wenn Sie planen, Daten in ein solches Land zu transferieren, können Sie dies tun – Sie müssen dies nur Ihren Nutzern über die Datenschutzerklärung mitteilen.
Angemessenheitsentscheidungen wurden bisher für Andorra, Argentinien, Kanada (kommerzielle Organisationen), die Färöer-Inseln, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, die Schweiz, Uruguay und Japan verabschiedet.
In diesem Fall ist der Dienst: “Datentransfer in Länder, die europäische Standards garantieren” hinzuzufügen.
Wenn das Land, in welches Sie Daten exportieren möchten, kein angemessenes Sicherheitsniveau gewährleisten kann, können Sie sicherstellen, dass der spezifische Datenimporteur (d. h. das Unternehmen oder die Einzelperson, in das/die Sie Daten exportieren möchten) strengere Vorschriften einhält. Zu diesem Zweck schließen Sie einen Vertrag mit dem Datenimporteur ab, der von der Europäischen Kommission entworfene Standardvertragsklauseln enthält. In den meisten Fällen werden Sie die Standardvertragsklauseln für in der EU ansässige Verantwortliche verwenden, die Daten an Prozessoren mit Sitz in anderen Ländern exportieren.
Auch hier gilt: Wenn Sie einen solchen Vertrag vorweisen können, dürfen Sie personenbezogene Daten übermitteln – dies müssen Sie jedoch in Ihrer Datenschutzerklärung erwähnen.
In diesem Fall ist der Dienst: “Datentransfer ins Ausland auf der Grundlage von Standardvertragsklauseln” hinzuzufügen.
Wenn Ihnen keine der oben genannten Optionen geeignet erscheint, müssen Sie die Einwilligung Ihrer Nutzer zur Übermittlung ihrer Daten in Länder außerhalb der EU einholen. Dies ist das komplexeste Verfahren, da Sie sicherstellen müssen, dass ihre Einwilligung – neben anderen Aspekten – „in Kenntnis genommen“ wurde. Ist Ihnen bekannt, wie die Nutzerdaten nach dem Export in Länder außerhalb der EU genutzt werden? Können Sie feststellen, welche Art von Sicherheitsmaßnahmen durch die lokale Gesetzgebung vorgesehen sind, oder auf Initiative des Datenimporteurs ergriffen werden, um den Schutz persönlicher Daten zu gewährleisten?
Wenn Sie in der Lage sind, solche Informationen zur Verfügung zu stellen, können Sie Ihre Nutzer um Einwilligung für die Übertragung personenbezogener Daten ersuchen. Sind Sie jedoch nicht in der Lage, diese Informationen zur Verfügung zu stellen, ist Vorsicht geboten: Jede eingeholte Einwilligung würde als nicht „in Kenntnis genommen“ und daher als ungültig betrachtet werden.
In diesem Fall ist der Dienst: “Datenübermittlung ins Ausland aufgrund einer Einwilligung” hinzuzufügen.
Eine weniger bekannte Tatsache ist, dass die DSGVO einige andere (auf Englisch) – wenn auch weniger relevante – Optionen für den Datentransfer in Länder außerhalb der EU enthält. Wenn Sie Ihren Datentransfer auf eine solche Option stützen, sollten Sie die Dienstleistung „Andere rechtliche Grundlage für den Datentransfer ins Ausland“ wählen und alle relevanten Details durch eine benutzerdefinierten Dienstleistung bestimmen oder hinzufügen.
Wenn Sie personenbezogene Daten aus der Schweiz in ein anderes Land übertragen, müssen Sie sich dabei an eine der, von der Schweizer Gesetzgebung anerkannten Rechtsgrundlagen halten.
Informationen über die Datenschutz-Vorschriften auf Bundesebene in der Schweiz finden Sie hier.
Profiling ist jede Form der automatisierten Verarbeitung personenbezogener Daten zur Auswertung bestimmter personenbezogener Aspekte in Bezug auf eine natürliche Person, insbesondere zur Analyse oder Vorhersage von Aspekten hinsichtlich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Standort oder den Bewegungen dieser natürlichen Person.
Wenn Sie ein Profil Ihrer Nutzer erstellen, müssen Sie die Informationen mit ihnen teilen. Daher müssen Sie die entsprechende Klausel aus dem Generator für Datenschutzerklärungen auswählen.
Zusätzliche Serviceleistungen:
Sofern Sie Produkte verkaufen und die Auswahl der Nutzer zu Marketingzwecken aufzeichnen und sie in sinnvolle Kategorien wie Alter, Geschlecht, geografische Herkunft usw. einteilen, erstellen Sie dadurch ein Profil.
Automatisierte Entscheidungsfindung oder ADM (Automated Decision Making) ist ein Prozess, der es Ihnen ermöglicht, Entscheidungen, die rechtliche oder ähnlich bedeutende Auswirkungen auf Nutzer haben können, vollautomatisch und ohne menschliches Zutun zu treffen. Ein solches ADM kann auch auf Profiling basieren (siehe oben).
Falls Sie einen ADM-Prozess implementieren, müssen Sie auch dies Ihren Nutzern mitteilen. Daher sollten Sie die entsprechende Klausel im Generator für Datenschutzerklärungen auswählen. Bitte beachten Sie, dass Nutzer ein spezifisches Einspruchsrecht gegen ADM-Prozesse haben. Dieses Recht ist im Abschnitt zur automatisierten Entscheidungsfindung bezüglich der Datenschutzerklärung, die Sie erstellen werden, angegeben.
Zusätzliche Dienstleistungen:
Sie sind eine Bank. Um zu entscheiden, ob Nutzer für eine Kreditvergabe infrage kommen, lassen Sie die persönlichen Daten in ein Formular eintragen. Mit Hilfe eines Algorithmus werden diese Daten vollautomatisch ausgewertet und die Entscheidung getroffen.
Wenn Sie personenbezogene Daten nicht direkt vom Nutzer selbst erfassen, auf den sie sich beziehen, sondern stattdessen von einer dritten Partei, müssen Sie den betreffenden Nutzer zusätzlich zu allen anderen Informationspflichten über diese dritte Partei in Kenntnis setzten. Bitte wählen Sie die entsprechende Klausel aus dem Generator für Datenschutzerklärungen aus.
Diese Informationen müssen dem Nutzer spätestens einen Monat nach der Erfassung der Daten mitgeteilt werden, insbesondere:
Zusätzliche Serviceleistungen:
Sie sind ein Headhunter. Sie finden ein interessantes Profil auf LinkedIn. Sobald Sie mit dem betreffenden Kandidaten Kontakt aufnehmen oder seine Daten an den potenziellen Arbeitgeber übermitteln, müssen Sie dem Kandidaten, spätestens nach einem Monat, alle obligatorischen Informationen zur Verfügung stellen, einschließlich der Nennung von LinkedIn als Quelle seiner Daten.
Wenn Sie ein Controller mit Sitz außerhalb der EU sind, müssen Sie jede natürliche oder juristische Person mit Sitz in einem der EU-Länder, in denen Ihre Nutzer ansässig sind, als Vertreter in der EU, ernennen. Dieses muss schriftlich erfolgen und der ernannte Vertreter muss in Ihrer Datenschutzerklärung erwähnt werden.
Tragen Sie daher die Angaben des Vertreters (Name und Kontaktdaten Ihres Vertreters) in das Feld ein, in dem Sie Ihre eigenen Firmeninformationen haben.
Unter bestimmten Bedingungen müssen Sie eine natürliche oder juristische Person zum Datenschutzbeauftragten (oder DSB) ernennen und dies in Ihrer Datenschutzerklärung erwähnen.
Insbesondere müssen Sie immer einen DSB ernennen, wenn:
Wenn eine der oben genannten Bedingungen auf Sie zutrifft, tragen Sie bitte die Angaben des DSB (Kontaktdaten Ihres Datenschutzbeauftragten) in das Feld ein, in dem Sie Ihre eigenen Firmeninformationen haben.
Bitte beachten Sie in diesem Zusammenhang, dass nach der DSGVO die EU-Mitgliedstaaten weitere Bedingungen festlegen können, unter denen die Ernennung eines DSB obligatorisch ist. Prüfen Sie daher, ob Sie zusätzlich zu der DSGVO nationaler Bestimmungen eines EU-Mitgliedstaates unterliegen und ob diese Bestimmungen die Ernennung eines DSB erfordern.
Weitere Informationen über den Datenschutzbeauftragten und andere Einzelthemen erhalten Sie in unserem DSGVO-Leitfaden.