Erstellung einer Datenschutzrichtlinie in Übereinstimmung mit der DSGVO: Wichtige Punkte erklärt
Wenn Sie personenbezogene Daten von Nutzern innerhalb des EU-Raums verarbeiten, müssen Sie die Anforderungen der DSGVO (Datenschutz-Grundverordnung) erfüllen und eine Datenschutzrichtlinie erstellen, die mit der DSGVO übereinstimmt. Es gibt jedoch viele, die die DSGVO nicht genau verstehen und sich unsicher sind, ob ihre eigene Website angepasst werden muss und wie sie dies umsetzen sollen.
In diesem Artikel erläutern wir die Grundlagen der DSGVO und geben wichtige Hinweise zur Erstellung einer DSGVO-konformen Datenschutzrichtlinie. Wir werden auch die Situation in Japan und Beispiele bekannter Unternehmen vorstellen, die als Referenz dienen können.
Über die DSGVO und Datenschutzrichtlinien
Was genau sind Datenschutzrichtlinien, die der DSGVO entsprechen? Hier erläutern wir die Grundlagen der DSGVO und die Verpflichtungen, die sich aus den Datenschutzrichtlinien der DSGVO ergeben.
Die DSGVO und Datenschutzrichtlinien
Die DSGVO ist eine Verordnung der EU, die den Schutz personenbezogener Daten und deren Verarbeitung detailliert regelt. Die DSGVO gilt im Europäischen Wirtschaftsraum (EWR: EU-Mitgliedstaaten sowie die EFTA-Staaten Island, Liechtenstein und Norwegen, mit Ausnahme der Schweiz). In den folgenden Fällen kann die DSGVO auch für japanische Unternehmen gelten:
- Wenn sie Waren oder Dienstleistungen an Dateninhaber innerhalb der EU anbieten
- Wenn sie das Verhalten von Dateninhabern innerhalb der EU überwachen
Der Begriff “Dateninhaber” bezieht sich auf eine identifizierte oder identifizierbare natürliche Person, also die Person, auf die sich die personenbezogenen Daten beziehen.
Unternehmen, auf die das oben Genannte zutrifft, müssen ihre Datenschutzrichtlinien (Datenschutzhinweise) überprüfen und gegebenenfalls überarbeiten. Im Falle eines Verstoßes gegen die DSGVO können Strafen von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes verhängt werden.
Referenz: Japan External Trade Organization | “Die Allgemeine Datenschutzverordnung (DSGVO)”[ja]
Um den Handel mit den EU-Ländern sicher zu gestalten, ist die Überprüfung der Datenschutzrichtlinien unerlässlich.
Die von der DSGVO vorgeschriebene “Informationsbereitstellung” bei der Erhebung personenbezogener Daten
Die DSGVO schreibt vor, dass der Verantwortliche beim Erheben personenbezogener Daten bestimmte Informationen an den Dateninhaber bereitstellen muss. Artikel 12 Absatz 1 der DSGVO beschreibt die Art und Weise, wie diese Informationen bereitgestellt werden sollen.
Die Anforderungen sind wie folgt:
- Kurz, transparent, verständlich und leicht zugänglich
- Klare und einfache Sprache verwenden
- Angemessene Maßnahmen bei der Bereitstellung von Informationen an Kinder ergreifen
- Informationen sollen schriftlich, gegebenenfalls elektronisch oder durch andere Mittel bereitgestellt werden
- Wenn vom Dateninhaber verlangt, sollen Informationen auch mündlich bereitgestellt werden können
Des Weiteren ist in Artikel 12 Absatz 5 der DSGVO festgelegt, dass die Bereitstellung von Informationen kostenlos erfolgen muss. Überprüfen Sie, ob Ihre Datenschutzrichtlinien diesen Anforderungen entsprechen, und nehmen Sie bei Bedarf Änderungen vor.
Wichtige Punkte bei der Überarbeitung einer Datenschutzrichtlinie gemäß der DSGVO
Die DSGVO (Datenschutz-Grundverordnung) legt fest, dass der Verantwortliche für die Datenverarbeitung dem Betroffenen mehrere Punkte explizit offenlegen muss, sowohl wenn die personenbezogenen Daten direkt vom Betroffenen erhoben werden (Artikel 13 DSGVO) als auch wenn sie von anderen Quellen stammen (Artikel 14 DSGVO).
Zu den vom Verantwortlichen offenzulegenden Punkten gehören unter anderem:
- Identität und Kontaktdetails des Verantwortlichen
- Falls vorhanden, Identität und Kontaktdetails des Vertreters
- Die Rechte des Betroffenen auf Zugang, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch
- Zweck und rechtliche Grundlage der Datenverarbeitung
- Speicherdauer der personenbezogenen Daten oder die Kriterien für die Festlegung dieser Dauer
- Arten der betroffenen personenbezogenen Daten
Da einige der zu offenlegenden Punkte in japanischen Datenschutzrichtlinien nicht enthalten sind, ist es besonders wichtig, diese Aspekte bei der Überarbeitung zu berücksichtigen. Für Informationen zu Datenschutzrichtlinien, die auf dem japanischen Gesetz zum Schutz personenbezogener Daten basieren, lesen Sie bitte den folgenden Artikel.
Verwandter Artikel: Was sind die Schlüsselpunkte bei der Erstellung einer Datenschutzrichtlinie unter Berücksichtigung des japanischen Gesetzes zum Schutz personenbezogener Daten?[ja]
In diesem Artikel werden wir uns auf die Punkte konzentrieren, die in einer auf dem japanischen Gesetz zum Schutz personenbezogener Daten basierenden Datenschutzrichtlinie nicht enthalten sind, und die Schlüsselaspekte der Überarbeitung erläutern.
Rechtsgrundlagen für die Datenverarbeitung
Unter der DSGVO (Datenschutz-Grundverordnung) ist die explizite Angabe der “Rechtsgrundlagen für die Datenverarbeitung” verpflichtend, was im japanischen Datenschutzgesetz nicht vorgesehen war. Es gibt sechs Rechtsgrundlagen, die die Verarbeitung personenbezogener Daten rechtmäßig machen (Artikel 6 DSGVO):
- Einwilligung der betroffenen Person
- Vertragserfüllung
- Rechtliche Verpflichtung
- Lebenswichtige Interessen
- Öffentliches Interesse
- Berechtigtes Interesse
Wenn eine dieser sechs Grundlagen zutrifft, wird die Verarbeitung als rechtmäßig angesehen. Daher sollten Sie dies in Ihrer Datenschutzrichtlinie klarstellen. Für Personen, die zum ersten Mal Informationen bereitstellen, kann dies durch Einholen der Zustimmung über eine neue Datenschutzrichtlinie erfolgen.
Jedoch ist hier Vorsicht geboten, insbesondere im Umgang mit Nutzern, die bereits ihre Zustimmung gegeben haben. Für Personen, die ihre Zustimmung vor der Überarbeitung der Datenschutzrichtlinie erteilt haben, könnte es notwendig sein, die Zustimmung erneut einzuholen.
In diesem Fall kann man vorgehen, indem man eine der sechs rechtmäßigen Grundlagen in der Datenschutzrichtlinie angibt und die Nutzer um ihre Zustimmung zur Überarbeitung bittet.
Kategorien erfasster Informationen und deren Verwendungszwecke
In herkömmlichen Datenschutzrichtlinien ist es üblich, die erfassten Informationen, deren Verwendungszwecke und die Nutzungsbedingungen auf derselben Seite aufzuführen und eine pauschale Zustimmung einzuholen. Die DSGVO (Datenschutz-Grundverordnung) verlangt jedoch, dass für die Nutzer klar sein muss, worin sie einwilligen, und dass der Gegenstand der Zustimmung präzise definiert wird.
Es ist ratsam, für jede Art von erfassten Informationen den jeweiligen Verwendungszweck anzugeben und eine separate Zustimmung für jede Kategorie einzuholen.
Klärung des Verwendungszwecks
Die DSGVO (Datenschutz-Grundverordnung) verlangt, dass der Verwendungszweck der erhobenen Informationen klar dargelegt wird. Ein Verwendungszweck wie “zur Verbesserung des Services” könnte beispielsweise als zu vage angesehen werden und daher als unangemessen gelten.
Zudem ist jede zusätzliche Verarbeitung, die nicht dem ursprünglichen Zweck entspricht, nicht gestattet. Dies sollte ebenfalls beim Überarbeiten der Datenschutzrichtlinie beachtet werden.
Recht auf Löschung und Datenportabilität
Viele Unternehmen haben in ihren Datenschutzrichtlinien bereits das Recht auf Zugang und Berichtigung aufgeführt. Die DSGVO (Datenschutz-Grundverordnung) verlangt jedoch auch die Aufnahme des ‘Rechts auf Löschung und Datenportabilität’.
Das Recht auf Löschung ermöglicht es Nutzern, die Löschung ihrer personenbezogenen Daten durch den Verantwortlichen zu verlangen. Das Recht auf Datenportabilität bezeichnet das Recht, eigene personenbezogene Daten zu einem anderen Dienstleister übertragen zu können.
Ein Beispiel hierfür wäre der Transfer von Kundendaten und Verlaufsinformationen von Mobilfunkanbieter A zu Mobilfunkanbieter B. Um der DSGVO zu entsprechen, müssen diese Rechte in der Datenschutzrichtlinie aufgeführt werden.
Offenlegung der Speicherfristen für Daten
Unter der DSGVO (Datenschutz-Grundverordnung) ist es erforderlich, die “Speicherfristen für personenbezogene Daten” anzugeben, was in herkömmlichen Datenschutzrichtlinien oft nicht enthalten war. Falls eine genaue Frist nicht festgelegt werden kann, ist es auch möglich, die Kriterien für die Bestimmung der Speicherfrist offenzulegen.
Die GDPR-Umsetzung bei japanischen Unternehmen
Wir möchten Ihnen die Umfrageinformationen der “Unternehmens-IT-Nutzungstrendumfrage 2021” (detaillierte Version) vorstellen, die von der Japan Information Economy Society Promotion Association, einer allgemeinen Stiftung, und der ITR Corporation durchgeführt wurde. Sie finden diese unter folgendem Link: 「企業IT利活⽤動向調査2021」集計結果(詳細版)[ja].
Laut der Umfrageergebnisse haben nur wenige Unternehmen Maßnahmen zur Einhaltung der GDPR getroffen, und die meisten Unternehmen, nämlich 26,1 %, befinden sich noch in der Phase der Anpassung (bzw. in der Überlegung). Zum Zeitpunkt der Erhebung im Jahr 2021 gab es auch eine Tendenz, dass viele Unternehmen keinen Datentransfer zwischen der EU und sich selbst hatten.
Die Umfrageergebnisse zum Austausch personenbezogener Daten mit der EU sind wie folgt:
Wie aus der obigen Grafik hervorgeht, gaben 44,4 % der Unternehmen an, dass sie “derzeit keinen Austausch haben und auch in Zukunft nicht planen, einen solchen zu haben”. 12 % der Unternehmen gaben an, dass sie “vorher einen Austausch hatten, aber seit der Einführung der GDPR die Datenverarbeitung jeweils innerhalb der EU und Japans durchführen”.
25,9 % der Unternehmen gaben an, “derzeit keinen Austausch zu haben, aber in Zukunft einen solchen zu planen”, und 17,6 % sind “derzeit im Austausch”. Obwohl es möglich ist, dass die Anzahl der Unternehmen, die in Zukunft mit der EU interagieren werden, zunehmen könnte, zeigt die Umfrage von 2021, dass diese Zahl derzeit noch gering ist.
Quelle: JIPDEC/ITR「Unternehmens-IT-Nutzungstrendumfrage 2021」[ja]
Die GDPR-Umsetzung bekannter Unternehmen
Viele sind unsicher, wie sie ihre Datenschutzrichtlinien GDPR-konform überarbeiten sollen. In diesem Artikel erläutern wir detailliert, wie bekannte Unternehmen wie Google und Facebook ihre Datenschutzrichtlinien an die GDPR angepasst haben, um Ihnen als Beispiel für die GDPR-Umsetzung zu dienen.
Googles Anpassungen an die DSGVO
Google hat zur Einhaltung der DSGVO (Datenschutz-Grundverordnung) folgende Maßnahmen bekannt gegeben:
- Verbesserung der Transparenz gegenüber den Nutzern
- Verbesserte Kontrollmöglichkeiten für die Nutzer
- Erhöhung der Datenportabilität
- Verbesserung der Tools für die Zustimmung der Eltern und die angemessene Internetnutzung durch Kinder
- Unterstützung für Geschäftskunden und Partner
- Verstärkung des Datenschutz-Compliance-Programms
Hier erläutern wir die Details.
Referenz: Google „Unsere Vorbereitungen auf die neue Datenschutz-Grundverordnung (DSGVO) der EU[ja]“
Verbesserung der Transparenz gegenüber Nutzern
Um zu verdeutlichen, welche Informationen Google sammelt und warum, verbessern und aktualisieren wir unsere Datenschutzrichtlinien, um sie verständlicher zu machen und die Informationen leichter auffindbar zu gestalten. Weitere hinzugefügte Inhalte sind wie folgt:
- Detaillierte Angaben zum Verwalten, Exportieren und Löschen von Informationen
- Hinzufügen von Videos und Diagrammen neben Text
Zudem haben wir die Einstellungen geändert, damit die Seite für die Datenschutzeinstellungen leichter zu öffnen ist.
Verbesserung der Nutzerverwaltung
Um die DSGVO (Datenschutz-Grundverordnung) zu erfüllen, verbessern wir die Verwaltungsmethoden für Nutzerdaten. Die vorgenommenen Änderungen sind wie folgt:
- Möglichkeit zur Anzeige und Löschung von Daten in “Meine Aktivitäten”
- Eine Funktion, die die Suche nach Themen, Datum und Produkten ermöglicht
- Überprüfung der Datenschutzeinstellungen, die zu einem passen
- Verwaltung und Ausblendung der angezeigten Werbung
- Erfassung von Daten im Google-Dashboard möglich
Zudem wurden bereits vor dem Inkrafttreten der DSGVO Änderungen vorgenommen, um die Verwaltung von Nutzerinformationen und Werbung zu erleichtern.
Verbesserung der Datenportabilität
Google bietet verschiedene Dienste wie Google Fotos, Drive, Kalender und Gmail an. Die Maßnahmen, die Google zur Unterstützung der Datenportabilität im Einklang mit der DSGVO (Datenschutz-Grundverordnung) durchführt, umfassen Folgendes:
- Erweiterung der Dienste und Verwaltungsoptionen, die das Herunterladen von Daten ermöglichen
- Einführung einer Funktion zum Planen regelmäßiger Daten-Downloads
Verbesserung von Tools zur Einwilligung der Eltern und zur angemessenen Internetnutzung durch Kinder
Google bietet die Family Link-App an, um Eltern und Kindern eine angemessene Nutzung des Internets zu ermöglichen. Mit Family Link können Eltern ein Konto für ihre Kinder erstellen.
Die App ermöglicht es, häusliche Regeln wie “Verwaltung der Nutzungszeit” und “Temporäre Pausierung des Geräts” zu setzen und zu verwalten.
Unterstützung für Business-Nutzer und Partner
Um die Anforderungen der DSGVO (Datenschutz-Grundverordnung) zu erfüllen, haben wir unsere Richtlinien für Google-Partner (wie Werbetreibende und Website-Betreiber) aktualisiert, die auf ihren Websites und in ihren Apps die Zustimmung der Nutzer einholen. Weitere Maßnahmen umfassen:
- Bereitstellung von Tools zur Unterstützung der DSGVO-Konformität
- Verschärfung des Zertifizierungsprozesses für Unternehmen, die Googles Werbedienste nutzen
- Aktualisierung der Bedingungen für die Datenverarbeitung
- Bereitstellung detaillierter Informationen zu Datenportabilität und Benachrichtigungen bei Datenpannen
Stärkung des Datenschutz-Compliance-Programms
Um der DSGVO (Datenschutz-Grundverordnung) gerecht zu werden, stärken wir unser Datenschutz-Compliance-Programm. Die Maßnahmen umfassen Folgendes:
- Verbesserung des Datenschutzprogramms
- Verstärkung des Produktprüfungsprozesses
Zudem dokumentieren wir die Datenverarbeitung umfassender.
Facebooks Anpassungen an die DSGVO
Facebook hat als Reaktion auf die DSGVO (Datenschutz-Grundverordnung) folgende Maßnahmen angekündigt:
- Überprüfung der Datenerfassung aus angezeigten Werbeanzeigen
- Auswahlmöglichkeiten für Profilinformationen
- Überprüfung der Gesichtserkennungstechnologie (EU & Kanada)
- Aktualisierte Nutzungsbedingungen und Zustimmungen bezüglich Daten
- Einführung von Funktionen, die den Zugriff auf, das Löschen und Herunterladen von Informationen erleichtern
- Informationen für jüngere Nutzer
Hier erläutern wir die Details.
Referenz: Facebook „Einhaltung der Datenschutz-Grundverordnung (DSGVO) und Bereitstellung neuer Datenschutzmaßnahmen[ja]“
Überprüfung der Datenerfassung aus angezeigten Werbeanzeigen
Facebook-Partner nutzen Informationen, die sie durch Klicks auf den „Gefällt mir“-Button oder durch von Facebook bereitgestellte Tools erhalten, um Werbeanzeigen zu schalten. Nutzer erhalten Informationen über die Werbung und können auswählen, ob sie die von Partnern erhaltenen Informationen für Werbeanzeigen verwenden möchten.
Auswahlmöglichkeiten für Profilinformationen
In Facebook-Profilen werden Informationen über politische Ansichten, Religion/Glauben und Beziehungen veröffentlicht. Nutzer können wählen, ob sie diese Informationen weiterhin veröffentlichen und ob sie für Werbung verwendet werden dürfen.
Profilinformationen können jederzeit frei gewählt und bei Wunsch einfach gelöscht werden.
Überprüfung der Gesichtserkennungstechnologie (EU & Kanada)
Facebook ermöglicht es Nutzern in EU-Mitgliedstaaten und Kanada zu wählen, ob sie die Gesichtserkennungstechnologie nutzen möchten. Auch Nutzer in anderen Regionen haben diese Wahlmöglichkeit.
Aktualisierte Nutzungsbedingungen und Zustimmungen bezüglich Daten
Es werden Hinweise zur Zustimmung zu den „Nutzungsbedingungen“ und der „Datenschutzrichtlinie“ angezeigt, die detaillierte Informationen über die Funktionsweise des Dienstes enthalten.
Einführung von Funktionen, die den Zugriff auf, das Löschen und Herunterladen von Informationen erleichtern
Mit dem „Persönlichen Datenverwaltungstool“ können Nutzer ihre Daten überprüfen und löschen. Zudem ist es einfach, Daten herunterzuladen und zu exportieren.
Die Log-Funktion für Aktivitäten auf mobilen Geräten wurde aktualisiert, um es Nutzern zu erleichtern, zu überprüfen, welche Informationen sie in der Vergangenheit geteilt haben.
Informationen für jüngere Nutzer
Facebook hat bereits Einschränkungen für jugendliche Nutzer eingeführt, die folgendes umfassen:
- Beschränkungen bei Werbekategorien
- Keine Nutzung der Gesichtserkennung (unter 18 Jahren)
- Beschränkungen bei der Ansicht und Suche von Informationen, die von Jugendlichen geteilt werden
Zudem sind die Standardeinstellungen so konfiguriert, dass Informationen nicht öffentlich gemacht werden.
Um der DSGVO zu entsprechen, hat Facebook zusätzliche Bestimmungen eingeführt. Für Nutzer in EU-Mitgliedstaaten ist die Zustimmung eines Erziehungsberechtigten erforderlich, um Werbung anzusehen oder persönliche Informationen im Profil (wie Religion/Glauben, politische Ansichten etc.) zu veröffentlichen.
In anderen Regionen können Nutzer wählen, ob sie Daten, die von Partnern erhalten wurden, für Werbeanzeigen verwenden und ob sie persönliche Informationen in ihrem Profil veröffentlichen möchten.
Zusammenfassung: Die DSGVO umfasst mehr persönliche Daten als das japanische Recht und erfordert entsprechende Maßnahmen
Die Datenschutz-Grundverordnung (DSGVO) enthält verschiedene Bestimmungen, wie die klare Definition der Verwendungszwecke für erhobene Informationen, die explizite Darstellung des Rechts auf Löschung und Datenportabilität sowie die Angabe von Speicherfristen. Dadurch wird der Umfang der Rechte der Nutzer im Vergleich zum traditionellen japanischen Recht erweitert.
Bei Verstößen gegen die DSGVO können hohe Bußgelder anfallen, und Unternehmen, die personenbezogene Daten innerhalb der EU verarbeiten, müssen sich an die DSGVO anpassen. Unternehmen, die in der EU tätig sind oder eine Expansion in die EU in Betracht ziehen, sollten eine Datenschutzrichtlinie erstellen, die der DSGVO entspricht.
Maßnahmen unserer Kanzlei
Die Monolith Rechtsanwaltskanzlei verfügt über umfangreiche Erfahrungen in IT, insbesondere im Bereich Internet und Recht. In den letzten Jahren hat sich das globale Geschäft zunehmend ausgeweitet, und die Notwendigkeit einer rechtlichen Überprüfung durch Experten ist stetig gestiegen. Unsere Kanzlei bietet Lösungen im Bereich des internationalen Rechts an.
Bereiche, die von der Monolith Rechtsanwaltskanzlei abgedeckt werden: Internationales Recht & Auslandsgeschäfte[ja]