1. VERANTWORTLICHER (Art. 4 DSGVO)
| Feld | Wert |
|---|---|
| Verantwortlicher | [Unternehmensname GmbH] |
| Adresse | [Straße, PLZ, Stadt] |
| [datenschutz@domain.de] | |
| Datenschutzbeauftragte | [Name], [E-Mail] |
2. KATEGORIEN VON PERSONENBEZOGENEN DATEN (Art. 13 Abs. 3 (a) DSGVO)
| Kategorie | Beispiele | Rechtliche Basis |
|---|---|---|
| Kontaktdaten | Name, E-Mail, Telefon, Adresse | Art. 6 Abs. 1 (b), (c) |
| Nutzungsdaten | IP-Adresse, Browser-Info, Besuchte Seiten | Art. 6 Abs. 1 (f) |
| Cookies/Tracking | Session-IDs, Google Analytics | Art. 7 (Consent) |
| Zahlungsdaten | Kreditkarte (tokenisiert), Bank-Daten | Art. 6 Abs. 1 (b) |
| Spezielle Kategorien | Gesundheit, Religion (falls erhoben) | Art. 9 (explizites Opt-In) |
3. RECHTSGRUNDLAGEN (Art. 6 DSGVO)
- Art. 6 Abs. 1 (a) - Einwilligung: Für Marketing, Cookies, Newsletter (Opt-In erforderlich)
- Art. 6 Abs. 1 (b) - Vertragserfüllung: Für Kauf, Kontaktformular, Support
- Art. 6 Abs. 1 (c) - Gesetzliche Verpflichtung: Für Rechnungsdata (HGB §239 - 10 Jahre)
- Art. 6 Abs. 1 (f) - Berechtigte Interessen: Website-Performance, Betrugsprävention, Marketing-Analyse
- Art. 9 - Spezielle Kategorien: Explizites Opt-In ERFORDERLICH (Gesundheit, Genetik, Religion)
4. EMPFÄNGER DER DATEN (Art. 13 Abs. 3 (e) DSGVO)
| Empfänger/Service | Zweck | Datentransfer |
|---|---|---|
| Google Analytics | Website-Analyse | USA (SCCs) |
| Hosting-Provider | Website-Hosting | Deutschland/EU |
| Payment-Provider (Stripe) | Zahlungsabwicklung | USA (Privacy Shield/SCCs) |
| E-Mail-Service | Newsletter | EU |
| Buchhaltung/Steuerberater | Rechnungslegung | Deutschland |
5. SPEICHERDAUER (Art. 13 Abs. 3 (d) DSGVO)
| Datentyp | Speicherdauer | Grund |
|---|---|---|
| Kundendaten (aktiv) | Während Kundenbeziehung + 3 Jahre | Gesetzliche Aufbewahrung |
| Rechnungsdaten | 10 Jahre nach Rechnungsdatum | HGB §239, Steuern |
| Marketing-Daten | Bis Abmeldung + 90 Tage | Gewöhnung |
| Cookie-Daten | Session bis 13 Monate | Kundenpräferenz |
| Kontaktformular | 6 Monate nach Anfrage | Kommunikation |
6. BETROFFENENRECHTE (Art. 15-22 DSGVO)
Sie haben folgende Rechte:
- Art. 15 - Auskunftsrecht: Wir müssen Ihre Daten offenlegen (kostenfrei)
- Art. 16 - Berichtigungsrecht: Sie dürfen falsche Daten korrigieren
- Art. 17 - Löschungsrecht ("Recht auf Vergessenwerden"): Wir müssen Daten löschen (außer Aufbewahrungspflichten)
- Art. 18 - Einschränkungsrecht: Sie können Verarbeitung einschränken
- Art. 19 - Unterrichtungspflicht: Wir teilen Änderungen Dritten mit
- Art. 20 - Datenportabilität: Sie können Ihre Daten in maschinenlesbarer Form erhalten
- Art. 21 - Widerspruchsrecht: Sie können gegen Verarbeitung widersprechen
- Art. 22 - Automatisierte Entscheidungen: Sie haben Recht auf Mensch-Review
Ausübung: Kontaktieren Sie: datenschutz@domain.de
7. AUTOMATISIERTE ENTSCHEIDUNGEN & PROFILING (Art. 22 DSGVO)
- KI/Automatisierung: Falls wir automatisierte Entscheidungen treffen (z.B. Kreditvergabe, Job-Screening), haben Sie Recht auf Mensch-Review
- Profiling: Wir erstellen NO Einzelprofile für Marketing (nur aggregiert)
- Opt-In erforderlich: Für automatisierte Entscheidungen mit Rechtswirkung
8. DATENÜBERTRAGUNG IN DRITTLÄNDER (Art. 44+ DSGVO)
Datentransfer in USA/non-EU Länder:
- Rechtsgrundlage: Standard Contractual Clauses (SCCs) ODER Adequacy Decision
- Schutzmaßnahmen: Verschlüsslung, Pseudonymisierung (soweit möglich)
- Besonderheit: Privacy Shield ist seit 2020 NICHT mehr gültig
- Dienste in USA: Google Analytics, Stripe, AWS (alle haben SCCs)
- Monitoring: Wir überprüfen regelmäßig (Schrems II Beschluss)
9. DATENSICHERHEIT (Art. 5 Abs. 1 (f), Art. 32 DSGVO)
- Verschlüsslung: Alle Zahlungs-/sensiblen Daten mit TLS 1.3
- Speicherung: Datenbanken mit Encryption-at-Rest
- Zugriffskontrolle: Nur autorisierte Mitarbeiter Zugang
- Regelmäßige Tests: Security Audits 1x/Jahr
- Incident Response: 24h-Benachrichtigung bei Datenpanne
10. DATENSCHUTZVERLETZUNGEN (Art. 33-34 DSGVO)
- Benachrichtigungsfristen:
- Behörde: 72 Stunden nach Feststellung
- Betroffene: "Ohne unnötige Verzögerung" (wenn Hochrisiko)
- Inhalt Benachrichtigung: Art der Verletzung, Datentypen, Auswirkungen, Abhilfemaßnahmen
- Ausnahme: Keine Benachrichtigung, wenn Daten verschlüsselt ODER Zugriff unmöglich
11. DATENSCHUTZFOLGENABSCHÄTZUNG (Art. 35 DSGVO)
- Wann erforderlich: Bei Hochrisiko-Verarbeitung (z.B. Profiling, KI-Systeme, Biometrie)
- Durchgeführte DPIA: [Liste, falls zutreffend]
12. BESCHWERDERECHT (Art. 77 DSGVO)
- Sie haben Recht, bei einer Datenschutzbehörde Beschwerde einzureichen:
- Zuständige Behörde: Landesdatenschutzbeauftragte [Bundesland]
- Link: [Link zur Behörde]
KONTAKT & ANFRAGEN
- Datenschutzerklärung-Anfragen: datenschutz@domain.de
- Auskunftsanfragen (Art. 15): datenschutz@domain.de
- Löschanfragen (Art. 17): datenschutz@domain.de
- Antwortfrist: 30 Tage (verlängerbar um 60 Tage)
Letzte Aktualisierung: [Januar 2025]