Name und Kontaktdaten des Verantwortlichen Verantwortlich für die Datenerhebung ist … Bezeichnung, Anschrift, E-Mail-Adresse und Telefonnummer des Verantwortlichen
Kontaktdaten des Datenschutzbeauftragten Dienstliche Anschrift, E-Mail-Adresse und Telefonnummer des Datenschutzbeauftragten einfügen (wenn ein solcher benannt worden ist) (Erläuterung: Eine personalisierte Angabe ist nicht erforderlich.)
Zwecke und Rechtsgrundlagen der Verarbeitung Textvorschlag Ihre Daten werden dafür erhoben, um … (Zwecke aufzählen, ggf. mit Spiegelstrichen). Ihre Daten werden auf Grundlage von Art. 6 Abs. 1 Buchstabe … DSGVO in Verbindung mit (ggf. spezifische Rechtsgrundlage nennen) verarbeitet. (Erläuterung: Bei mehreren Zwecken mit unterschiedlichen Rechtsgrundlagen, sind diese zu nennen. Wenn die Verarbeitung auf Art. Abs. 1 Buchstabe f beruht, sind die berechtigten Interessen zu nennen, die von dem Verantwortlichen oder einem Dritten verfolgt werden. Ein berechtigtes Interesse kann z.B. die Direktwerbung sein.)
(a) Sonderfall: Quelle der Daten (Optional, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden) Ihre Daten haben wir bei … erhoben. (Erläuterung: Anzugeben ist die Quelle, aus der die Daten stammen, ggf. auch, ob sie aus öffentlich zugänglichen Quellen stammen. Zusätzlich müssen die Kategorien von Daten, die erhoben werden, genannt werden, z.B. Name, Vorname, Kontaktdaten etc..)
Empfänger oder Kategorien von Empfängern der personenbezogenen Daten Textvorschlag Ihre personenbezogenen Daten werden weitergegeben an: … (Empfänger innerhalb des Unternehmens) … (Auftragsverarbeiter) … (Dritte) , um … (Zwecke aufzählen, ggf. mit Spiegelstrichen). (Erläuterung: Diese Angabe ist nur zu machen, wenn auch Personen in- oder außerhalb der datenerhebenden Stelle die personenbezogenen Daten erhalten sollen. Als Empfänger gelten:
andere Organisationseinheiten mit anderen Aufgaben innerhalb des Unternehmens (z.B. Buchhaltung, Personalabteilung) 2
Auftragsverarbeiter (z.B. Datenhaltung in der Cloud, Lohn- und Gehaltsabrechnung durch Steuerberater, Newsletter-Versand durch Agentur, Aktenvernichter, Wartung und Fernwartung von ITServices)
Dritte außerhalb des Unternehmens (z.B. Behörden, Dienstleister) Es empfiehlt sich eine kurze Erläuterung, warum die Daten den Empfängern offengelegt werden.)
Übermittlung von personenbezogenen Daten an ein Drittland Es ist geplant, Ihre personenbezogenen Daten an … (ein Drittland/eine internationale Organisation) zu übermitteln. Textvorschlag bei vorliegendem Angemessenheitsbeschluss (Art. 45 DSGVO): Die EU-Kommission hat am … beschlossen, dass die personenbezogenen Daten in … genauso geschützt sind wie in der Europäischen Union. (Erläuterung: Angemessenheitsbeschlüsse der EU-Kommission nach Art. 45 DSGVO sind auf der Website der EU-Kommission abrufbar (unter http://ec.europa.eu/justice/data-protection/internationaltransfers/adequacy/index_en.htm). Eine zulässige Veröffentlichung personenbezogener Daten im Internet ist keine Übermittlung von personenbezogenen Daten an ein Drittland in diesem Sinne).
Dauer der Speicherung der personenbezogenen Daten Textvorschlag Ihre Daten werden nach der Erhebung für/ längstens/ bis … gespeichert. Alternativer Textvorschlag, falls keine Fristen benennbar sind: Ihre Daten werden nach der Erhebung bei uns nur so lange gespeichert, wie dies unter Beachtung der gesetzlichen Aufbewahrungsfristen gemäß (Angabe der Vorschriften) für die jeweilige Aufgabenerfüllung (hier möglichst genaue Umschreibung der zu erfüllenden Aufgabe/n, ggf. auch hinsichtlich Dokumentationspflichten) erforderlich ist. (Erläuterung: Wenn für die Speicherdauer im konkreten Fall allgemein bekannte, gesetzliche Vorgaben bestehen, kann auf diese verwiesen werden. Hier sind möglichst genaue Angaben zu machen. Nur im Ausnahmefall sollte die allgemeine Formulierung (Alternative) verwendet werden.).
Betroffenenrechte Textvorschlag Nach der EU-Datenschutzgrundverordnung stehen Ihnen folgende Rechte zu: Werden Ihre personenbezogenen Daten verarbeitet, so haben Sie das Recht Auskunft über die zu Ihrer Person gespeicherten Daten zu erhalten (Art. 15 DSGVO). Sollten unrichtige personenbezogene Daten verarbeitet werden, steht Ihnen ein Recht auf Berichtigung zu (Art. 16 DSGVO). Liegen die gesetzlichen Voraussetzungen vor, so können Sie die Löschung oder Einschränkung der Verarbeitung verlangen sowie Widerspruch gegen die Verarbeitung einlegen (Art. 17, 18 und 21 DSGVO). Wenn Sie in die Datenverarbeitung eingewilligt haben oder ein Vertrag zur Datenverarbeitung besteht und die Datenverarbeitung mithilfe automatisierter Verfahren durchgeführt wird, steht Ihnen gegebenenfalls ein Recht auf Datenübertragbarkeit zu (Art. 20 DSGVO). Sollten Sie von Ihren oben genannten Rechten Gebrauch machen, prüfen wir …, ob die gesetzlichen Voraussetzungen hierfür erfüllt sind. Weiterhin besteht ein Beschwerderecht beim …. Landesbeauftragten für den Datenschutz. 3
Widerrufsrecht bei Einwilligung Textvorschlag Wenn Sie in die Verarbeitung Ihrer Daten… durch eine entsprechende Erklärung eingewilligt haben, können Sie die Einwilligung jederzeit für die Zukunft widerrufen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Datenverarbeitung wird durch diesen nicht berührt. (Erläuterung: Angabe nur aufnehmen, wenn die Verarbeitung auf einer Einwilligung beruht.)
Pflicht zur Bereitstellung der Daten Textvorschlag Sie sind dazu verpflichtet, Ihre Daten anzugeben. Diese Verpflichtung ergibt sich aus … (Gesetz, Vertrag). Wir benötigen Ihre Daten, um … (z.B. Ihren Antrag auf … zu bearbeiten; den Vertrag mit Ihnen abschließen zu können). Wenn Sie die erforderlichen Daten nicht angeben, …
kann Ihr Antrag nicht bearbeitet werden,
kann der Vertrag mit Ihnen nicht abgeschlossen werden,
kann nach Art. … ein Bußgeld verhängt werden,
können folgende Maßnahmen ergriffen werden … (usw.) (Erläuterung: Diese Information ist nur zu geben, wenn die betroffene Person dazu verpflichtet ist, die personenbezogenen Daten anzugeben. Die Verpflichtung kann sich aus Gesetz oder Vertrag ergeben oder für einen Vertragsabschluss erforderlich sein. Hier die verpflichtende Rechtsgrundlage einfügen und zutreffende Folgen bei Nichtangabe ergänzen.)
Sonderfall: Informationspflicht für den Fall einer späteren Zweckänderung (Optional, wenn eine Zweckänderung vorgenommen wird) Textvorschlag Wir haben personenbezogene Daten von Ihnen erhoben, um … (ursprüngliche Zwecke nennen). Wir beabsichtigen nun, diese Daten zu verarbeiten, um … (neue Zwecke nennen). (Erläuterung: Im Fall einer Zweckänderung ist der Text bei vorstehender Nr. 4 durch obenstehenden Text zu ersetzen. Im Übrigen sind mindestens die Informationen nach Art. 13 Abs. 2 DSGVO im Hinblick auf den geänderten Zweck mitzuteilen).
Sonderfall: Automatisierte Entscheidungen im Einzelfall einschließlich Profiling (Optional, wenn ein solches Verfahren eingesetzt wird) Textvorschlag Wir setzen Verfahren zur automatisierten Entscheidungsfindung / Profiling ein, die Ihnen gegenüber eine rechtliche Wirkung haben oder Sie in ähnlicher Weise erheblich beeinträchtigen: … (Erläuterung: aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen für die betroffene Person ergänzen).