DSGVO - Teil 4 – Die Datenschutzerklärung

Am 25. Mai 2018 ist Stichtag: Bis dahin müssen Unternehmen ihre Datenschutzerklärung an die neuen Regelungen der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) angepasst haben. Doch was genau ändert sich gegenüber der bisherigen Rechtslage und was sollten Unternehmen beachten? Hier Teil 4 unserer Serie zur neuen Datenschutz-Grundverordnung!

Um die Informationspflichten im Zuge des Datenschutzes zu erfüllen, ist es gängige Praxis, eine sogenannte Datenschutzerklärung („Privacy Policy“) über einen Link auf der Unternehmenswebseite vorzuhalten. Das sieht auch die neue Europäische Datenschutz-Grundverordnung so vor. Informationspflichten entstehen, wenn personenbezogene Daten verarbeitet werden. Geschützt sind also insbesondere Kunden-, Mitarbeiter- und Nutzerdaten.

Datenverarbeitende Stellen müssen über die Zwecke der Datenverarbeitung und die Empfänger der Daten aufklären. Bei der Onlinedatenerhebung ist der Nutzer zusätzlich über Art und Umfang der Verarbeitung und sein Recht zur Widerrufung seiner Einwilligung zu unterrichten.

In Zukunft werden die bestehenden Informationspflichten durch die aus Art. 13 EU-DSGVO ersetzt. Dieser Artikel führt auf, welche Informationen dem Betroffenen zur Verfügung stehen müssen und geht dabei weit über das bisher Erforderliche hinaus.

Unwesentliche Unterscheidung zwischen Pflicht- und weiteren Informationen

Die neue Vorschrift unterscheidet zwischen „Pflichtinformationen“ auf der einen Seite (Abs. 1) und „weiteren Informationen“ auf der anderen (Abs. 2). Letztere sind dem Betroffenen nur dann mitzuteilen, wenn sie „notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten“. Diese Formulierung lässt jedoch einen großen Interpretationsspielraum, der eine rechtssichere Unterscheidung dieser Begriffe praktisch unmöglich macht. Es ist daher dringend geraten, auch die „weiteren Informationen“ zu vermitteln. Im Folgenden wird nicht mehr zwischen den beiden Kategorien unterschieden.

Pflicht zur Nennung der Rechtsgrundlage

Auch nach der neuen EU-Verordnung gilt der Grundsatz, dass die Verarbeitung personenbezogener Daten grundsätzlich verboten und nur dann erlaubt ist, wenn das Gesetz oder der Betroffene es ausdrücklich gestattet (sog. „Verbot mit Erlaubnisvorbehalt“). Die zentralen Rechtsgrundlagen, die die Erhebung und Verarbeitung personenbezogener Daten in bestimmten Fällen erlauben, finden sich in Art. 6 der Europäischen Datenschutz-Grundverordnung. Die wichtigsten lauten: die Verarbeitung zur Erfüllung eines Vertrages mit dem Betroffenen, die Wahrung der berechtigten Interessen des Verarbeitenden sowie die Einwilligung durch den Betroffenen. Die erst genannte ist insbesondere bei der kostenpflichtigen Bestellung einer Ware oder Dienstleistung, bei der ein Vertrag zustande kommt, der den Verkäufer zum Speichern der Kundendaten wie Adresse und Kontoverbindung berechtigt, zutreffend.

Eine wesentliche Neuerung der EU-DSGVO besteht in der Pflicht die Rechtsgrundlage für die Datenverarbeitung zu benennen. Besteht die Rechtsgrundlage in der Wahrung der berechtigten Interessen des verarbeitenden Unternehmens, ist nicht nur die Benennung dieser Rechtsgrundlage Pflicht, sondern auch die der Interessen, mit den die Verarbeitung erfolgt. Dabei kann es sich zum Beispiel um die Betriebssicherheit der eigenen Webseite handeln. Um sich gegen Hacker-Angriffe zu wehren, darf der Betreiber eines Internetauftritts z.B. die IP-Adressen der Nutzer kurzzeitig speichern. Der Gesetzgeber zählt auch die Direktwerbung zu den berechtigten Interessen.

Informationspflichten über Betroffenenrechte

Die Informationspflichten in Bezug auf die Rechte des Betroffenen sind im dritten Kapitel der EU-DSGVO geregelt. Nach wie vor ist dem Betroffenen mitzuteilen, dass er ein Recht auf Auskunft über die zu seiner Person gespeicherten Daten sowie auf Korrektur oder Löschung dieser Daten hat. Ebenfalls nicht neu ist die Verpflichtung zum Widerrufshinweis.
Hinzugekommen ist die Pflicht, ihn über das Recht auf Einschränkung der Verarbeitung, das Widerspruchs- und das Beschwerderecht bei einer Aufsichtsbehörde sowie das Recht auf sogenannte Datenübertragbarkeit zu informieren. In Bezug auf das Beschwerderecht ist es ausreichend, dass der Betroffene über das Recht als solches informiert wird. Es ist nicht nötig, die zuständige Datenschutzbehörde zu benennen. Beim Widerspruchsrecht gilt die
Besonderheit, dass die Information darüber von den anderen getrennt zu erfolgen hat. Eine optische Hervorhebung durch Rahmung oder Fettdruck sollte ausreichend sein.

Neu ist auch die Pflicht zur Nennung der Kontaktdaten eines gegebenenfalls vorhandenen Datenschutzbeauftragten. Das Veröffentlichen einer E-Mail-Adresse wird in der juristischen Fachliteratur dafür als ausreichend erachtet.

Weiterhin ist der Nutzer nicht mehr nur über die Empfänger der erhobenen Daten zu benachrichtigen, sondern auch darüber, ob der Verarbeitende die Daten an Server im Nicht-EU-Ausland übermitteln will. Hinzuweisen ist dabei auch darauf, ob für dieses Empfängerland ein Datenschutzabkommen existiert – wie das sogenannte Privacy-Shield-Abkommen für die USA.

Darüber hinaus soll der Nutzer erfahren, wie lange Daten über ihn gespeichert werden. Es gilt die Faustregel: Wenn die Daten nicht mehr benötigt werden, sind sie zu löschen. Die aus Sicherheitsgründen nötige Nutzer-IP-Adresse sollte beispielsweise nicht länger als 14 Tage lang gespeichert werden. Kann ein fester Zeitraum nicht angegeben werden, sind die Kriterien für die Speicherdauer zu nennen.

Schließlich ist der Nutzer über das Bestehen einer sogenannten automatisierten
Entscheidungsfindung zu informieren. Eine solche kann zum Beispiel bei der Ermittlung der Kreditwürdigkeit einer Person durch vollautomatisierte Datenanalyse vorliegen.

Pflicht zu verständlicher Datenschutzerklärung

Für alle Informationspflichten gilt der Grundsatz, dass die Informationen „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln“ sind. Der Link zur Datenschutzerklärung sollte gut sichtbar auf der Startseite des Webauftritts stehen. Im Text sollten juristische Fachbegriffe vermieden oder zumindest erklärt werden. Der Text muss in Deutsch und – je nach Kundenkreis – in weiteren Sprachen abgefasst sein.

Die Datenschutzerklärung muss einen Spagat zwischen umfassender Information und Verständlichkeit meistern. Je nachdem, welche und wie viele Datenverarbeitungen im Unternehmen stattfinden, kann sie schnell mehrere Seiten lang werden. Der Text sollte bei einer besonders umfangreichen Datenschutzerklärung klar und übersichtlich gegliedert sein. Es bietet sich dann auch an, Details aus dem Haupttext auszugliedern und über Links für interessierte Kunden und Nutzer an separater Stelle vorzuhalten.

Bußgelder bei Nichtbeachtung

Nicht nur die Informationspflichten selbst, sondern auch die Sanktionen bei Nichtbeachtung sind in ihrem Umfang deutlich erweitert worden. Bisher konnte ein Bußgeld wegen Verletzung der Informationspflichten im Onlinebereich lediglich maximal 50 000 Euro betragen. Diese Obergrenze wird nun auf 20 Millionen Euro respektive 4 Prozent des gesamten weltweit erzielten Jahresumsatzes bei Unternehmen angehoben. Weiterhin drohen bei Verstößen unter Umständen Abmahnungen von Konkurrenten oder Abmahnvereinen.

Bei der Anpassung der Datenschutzerklärung kann man sich direkt am
Gesetzestext orientieren, da Art. 13 der DSGVO die Informationspflichten nunmehr zentral katalogisiert aufführt.

Bitte lassen Sie Ihre Datenschutzerklärung durch Ihren Webseiten-Administrator über
beigefügten Link erstellen: https://dg-datenschutz.de/muster-datenschutzerklarung/#loaded

Bitte wenden Sie sich bei Fragen des Datenschutzes an den BVI-Datenschutzbeauftragten:
Reinhold Okon
Rosenstraße 1
85757 Karlsfeld
E-Mail: info@dsb-okon.de