Mehr als nur das Kleingedruckte!

Die Datenschutzerklärung nach der DSGVO

Die Umsetzung der Datenschutz-Grundverordnung wirft nach wie vor viele Fragen auf – das gilt auch für die DSGVO-konforme Anpassung der Datenschutzerklärung. Die DSGVO regelt in Artikel 6 die Anforderungen an die Rechtsgrundlage einer Datenverarbeitung. Diese Voraussetzungen müssen zwingend eingehalten werden. Allerdings genügt es nicht nur sich an die Vorgaben der DSGVO zu halten. 

Vielmehr müssen ihre Vorgaben auch transparent gegenüber dem Betroffenen umgesetzt werden, sodass dieser jeder Zeit weiß, was mit seinen Daten passiert. Zum anderen sollten Unternehmen die Einhaltung der DSGVO-Vorgaben dokumentieren. Dies erleichtert in Zweifelsfällen die Beweisführung der Unternehmen und verhindert die hohen Bußgelder der DSGVO. Für beide Zwecke bietet die Datenschutzerklärung (DSE) eine mögliche und in Rechtsprechung und Praxis anerkannte Grundlage.

Anzeige

Checkliste: Das gehört mindestens in eine DSGVO-konforme Datenschutzerklärung

  • Kontaktdaten des Verantwortlichen
  • Falls ein Datenschutzbeauftragter bestellt wurde, die Kontaktdaten des Datenschutzbeauftragten
  • Zweck (für jede einzelne Datenverarbeitung gesondert)
  • Dauer der Speicherung oder falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  • Rechtsgrundlage der Datenverarbeitung, ggf. Ergebnis der Interessenabwägung
  • Wahrung der berechtigten Interessen: sofern die Datenverarbeitung gemäß Art. 6 Abs. (1) lit. f) DSGVO aufgrund berechtigter Interessen erfolgt, eine Spezifizierung der mit der Datenverarbeitung verfolgten berechtigten Interessen
  • Aufklärung über Empfänger oder Kategorien von Empfängern der Daten, v.a. wenn Server außerhalb der EU betroffen sind
  • Information des Betroffenen darüber „ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte“
  • Aufklärung über Auskunftsrecht, Widerspruchsrecht, Recht auf Löschung (Recht auf Vergessenwerden), Recht auf Berichtigung, Recht auf Einschränkung der Datenverarbeitung und über das durch die DSGVO neu geschaffene Recht auf Datenübertragbarkeit, Recht auf jederzeitigen Widerruf der Einwilligung
  • Quelle der Daten, falls diese nicht beim Betroffenen erhoben werden.
  • u.U.: detaillierte Übersicht über die durchgeführte Interessenabwägung (Bsp.: Für die Lieferung von Waren werden Kontakt- und Adressdaten des Kunden benötigt)
  •  Informationen darüber, inwieweit die Entscheidungsfindung ausschließlich auf automatischer Datenverarbeitung (v.a. Profiling) beruht

Dabei müssen Sie folgende Punkte besonders beachten:

Name des Datenschutzbeauftragten? Wurde gemäß Artikel 37 DSGVO ein Datenschutzbeauftragter bestellt, so sind gemäß Artikel 13 Absatz 1 lit. b die Kontaktdaten des Datenschutzbeauftragten anzugeben. Dazu gehört mindestens eine Anschrift und die Angabe von Daten, die eine elektronische Erreichbarkeit ermöglichen (wie die E-Mail-Adresse). Bisher ungeklärt ist, ob auch der Name des Datenschutzbeauftragten zu nennen ist. Da die Artikel 29-Datenschutzgruppe zumindest gegenüber Aufsichtsbehörden und Beschäftigten die Nennung des Namens des Datenschutzbeauftragten empfiehlt, sollte die Nennung des Namens im Sinne der Einheitlichkeit auch innerhalb der Datenschutzerklärung erfolgen.

Genauigkeit bei Angaben zu Empfängern: In der Kommentar-Literatur wird darauf hingewiesen, dass „Empfänger“ oder „Kategorien“ von Empfängern als alternative Merkmale zu verstehen sind, die vor allem je nach Umsetzbarkeit anwendbar sind. So sind alle „Empfänger“ bei einer Veröffentlichung im Internet kaum zu benennen. In solchen Fällen sind Kategorien von Empfängern (User der Website) ausreichend. Ungeklärt ist wie mit Empfängern außerhalb der EU zu verfahren ist. Einerseits besteht besonders hier ein großes Aufklärungsinteresse des Betroffenen. Andererseits ist eine solche Aufklärung zum Teil schwer umzusetzen. Unternehmen ist hier zu raten, die Angaben über die Empfänger so genau wie möglich zu gestalten.

Rechtsgrundlage der Datenverarbeitung: Wird die Verarbeitung von personenbezogenen Daten auf der Grundlage einer Abwägung zwischen den berechtigten Interessen von Unternehmen und den Rechten und Interessen des Betroffenen durchgeführt (Art. 6 Abs.1 lit.f DSGVO), so hat auch diese Abwägung in der Datenschutzerklärung dargestellt zu werden. Dabei genügt es nicht, wenn nur das berechtigte Interesse des Unternehmens (etwa Direktwerbung) genannt wird. Vielmehr ist auch die Abwägung selbst transparent dergestalt zu erklären, dass der Betroffene nachvollziehen kann, warum sein Interesse nachrangig und die Datenverarbeitung damit zulässig ist. Ist die Datenverarbeitung dagegen auf eine Einwilligung gestützt, so hat die Datenschutzerklärung einen deutlichen Verweis darauf zu enthalten, dass die Einwilligung jederzeit widerrufbar ist.

Datenerhebung ohne den Betroffenen: Werden die Daten nicht beim Betroffenen selbst erhoben, so ist ihm zusätzlich zu den o.g. Informationen noch die Quelle der Daten zu benennen.

Format der Datenschutzerklärung

Die Datenschutzerklärung muss zwingend die erhöhten Vorgaben des Transparenzgebotes der DSGVO berücksichtigen. Verstöße gegen das Transparenzgebot in der Datenschutzerklärung können hohe Bußgelder nach sich ziehen.

Wichtig: Die DSE muss leicht verständlich sein!

Demgemäß sind die erforderlichen Informationen der betroffenen Person in transparenter, präziser und leicht verständlicher Sprache sowie in einer leicht zugänglichen und übersichtlichen Form zugänglich zu machen.

Dabei lässt die DSGVO eine mündliche, schriftliche oder auch elektronische Übermittlung der Informationen genügen. Besonders gegenüber Kindern ist auf die Verständlichkeit der Informationen zu achten. Die Informationspflicht besteht nur dann nicht, wenn der Betroffene im Falle einer Datenverarbeitung bereits über die erforderlichen Informationen verfügt. Hierfür tragen Unternehmen die Beweislast.

Achtung, Dokumentationszweck! Entsprechend der neuen Beweislastregeln der DSGVO ist Unternehmen jedoch dringend anzuraten die entsprechenden Informationen schriftlich bzw. in Textform zu übermitteln.

Dabei ist zu berücksichtigen, dass der betroffenen Personen die Informationen sofort bei Datenerhebung übermittelt werden, also z.B. bei Bestellung eines Newsletters oder dem Abschluss eines Kaufs im Rahmen des E-Commerce, ggf. aber auch schon vor Abschluss des Kaufvertrages, z.B. bei Registrierung oder der vorherigen Einholung von Produktinformationen.

Insbesondere bezüglich der Betroffenenrechte verlangt die DSGVO, dass Unternehmen Betroffene nicht nur über Ihre Datenschutzrechte aufklären, sondern auch intern Prozesse schaffen, die dem Betroffenen die Ausübung seiner Rechte (z.B. Datenlöschung) ermöglichen bzw. weitestgehend erleichtern.

Fazit

Können Unternehmen ein Häkchen hinter jeden der Punkte der folgenden Checkliste setzen, senken sie das Risiko der hohen Bußgelder der DSGVO erheblich. Diese können zu 4% des weltweiten Jahresumsatzes oder 20 Millionen Euro betragen.

  • Kotaktdaten des Datenschutzbeauftragen
  • Zweck und Dauer der Datenverarbeitung
  • Rechtsgrundlage der Datenverarbeitung
  • Empfänger und Betroffenenrechte
  • Einfache und verständliche Sprache, mündlich, schriftlich oder elektronisch
  • Spätestens zu Beginn der Datenverarbeitung

Simone RosenthalSimone Rosenthal, Rechtsanwältin und Expertin für Datenschutz und IT-Recht ist Geschäftsführerin der ISiCO Datenschutz GmbH und Cofounder von lawpilots, einem E-Learninganbieter für IT-Sicherheit und Datenschutz.

 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.