06.07.2018 | Datenschutz

Datenschutzerklärung nach der DSGVO – Was gilt es zu beachten?

Die neue Datenschutz-Grundverordnung verfolgt vor allem das Ziel größtmöglicher Transparenz bei der Verarbeitung personenbezogener Daten. Der Betroffene einer Datenverarbeitung soll immer leicht verständlich nachvollziehen können, was mit seinen Daten passiert. Eine Möglichkeit, dieses Transparenzgebot bei der Verarbeitung personenbezogener Daten umzusetzen, ist die Datenschutzerklärung. Seit dem 25. Mai 2018 hat diese dabei besonderen Anforderungen zu genügen, die auch der Umsetzung einiger Neuerungen durch die DSGVO dienen. Je nachdem auf welcher Rechtsgrundlage die Datenverarbeitung erfolgt (Einwilligung, Interessenabwägung etc.) sind entsprechende Anpassungen in der Datenschutzerklärung erforderlich.

Datenschutzerklärung: Was muss sie enthalten?

Unternehmen sollten zunächst prüfen, ob ihre Datenschutzerklärung mindestens die folgenden Inhalte enthält:

Name und Kontaktdaten des Verantwortlichen

– falls ein Datenschutzbeauftragter bestellt wurde, die Kontaktdaten des Datenschutzbeauftragten

Zweck der jeweiligen Datenverarbeitung (für jede einzelne Datenverarbeitung gesondert)

Dauer der Speicherung oder falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer

Rechtsgrundlage der Datenverarbeitung, ggf. Ergebnis der Interessenabwägung

– sofern die Datenverarbeitung gemäß Art. 6 Abs. (1) lit. f) DSGVO aufgrund berechtigter Interessen erfolgt, eine Spezifizierung der mit der Datenverarbeitung verfolgten berechtigten Interessen;

– Aufklärung über Empfänger oder Kategorien von Empfängern der Daten, v.a. wenn Server außerhalb der EU betroffen sind

–  Information des Betroffenen darüber ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte

– Aufklärung über Auskunftsrecht, Widerspruchsrecht, Recht auf Löschung (Recht auf Vergessenwerden), Recht auf Berichtigung, Recht auf Einschränkung der Datenverarbeitung und über das durch die DSGVO neu geschaffene Recht auf Datenübertragbarkeit, Recht auf jederzeitigen Widerruf der Einwilligung sowie das Recht zur Beschwerde bei der zuständigen Aufsichtsbehörde

– Quelle der Daten, falls diese nicht beim Betroffenen erhoben werden

– Unter Umständen: Detaillierte Übersicht über die durchgeführte Interessenabwägung (Bsp.: Für die Lieferung von Waren werden Kontakt- und Adressdaten des Kunden benötigt)

– eine ggf. bestehende Absicht des Verantwortlichen, die Daten an ein Drittland oder eine internationale Organisation zu übermitteln sowie in einem solchen Fall eine Information über das Bestehen eines Angemessenheitsbeschlusses der Kommission oder von geeigneten bzw. angemessenen Garantien sowie einer Information dazu, wo eine Kopie von diesen zu erhalten ist

– Informationen darüber, ob und inwieweit die Entscheidungsfindung ausschließlich auf automatischer Datenverarbeitung (v.a. Profiling) beruht

Folgende Besonderheiten sind dabei zu berücksichtigen:

Kontaktdaten des Datenschutzbeauftragten: Wurde gemäß Artikel 37 DSGVO ein Datenschutzbeauftragter bestellt, so sind gemäß Artikel 13 Absatz (1) lit. b) sowie Artikel 37 Absatz (7) DSGVO die Kontaktdaten des Datenschutzbeauftragten anzugeben. Dazu gehört mindestens eine Anschrift und die Angabe von Daten, die eine elektronische Erreichbarkeit ermöglichen (wie die E-Mail-Adresse). Der Name des Datenschutzbeauftragten muss allerdings – anders als bei der Meldung eines Datenschutzvorfalls an die zuständige Aufsichtsbehörde gemäß Artikel 33 Absatz (3) lit. b) DSGVO sowie an die betroffenen Personen gemäß Artikel 34 Absatz (2) DSGVO – nicht genannt werden.

„Empfänger oder Kategorien von Empfängern“: In der Kommentar-Literatur wird darauf hingewiesen, dass „Empfänger“ oder „Kategorien“ von Empfängern als alternative Merkmale zu verstehen sind, die vor allem je nach Umsetzbarkeit anwendbar sind. So sind alle „Empfänger“ bei einer Veröffentlichung im Internet kaum zu benennen. In solchen Fällen sind Kategorien von Empfängern (User der Website) ausreichend. Ungeklärt ist wie mit Empfängern außerhalb der EU zu verfahren ist. Einerseits besteht besonders hier ein großes Aufklärungsinteresse des Betroffenen. Andererseits ist eine solche Aufklärung zum Teil schwer umzusetzen. Unternehmen ist hier zu raten, die Angaben über die Empfänger so genau wie möglich zu gestalten.

Interessenabwägung und Einwilligung: Wird die Verarbeitung von personenbezogenen Daten auf der Grundlage einer Abwägung zwischen den berechtigten Interessen von Unternehmen und den Rechten und Interessen des Betroffenen durchgeführt (Art. 6 Abs.(1) lit. f) DSGVO), so ist auch diese Abwägung in der Datenschutzerklärung darzustellen. Dabei genügt es nicht, wenn nur das berechtigte Interesse des Unternehmens (etwa Direktwerbung) genannt wird. Vielmehr ist auch die Abwägung selbst transparent dergestalt zu erklären, dass der Betroffene nachvollziehen kann, warum sein Interesse nachrangig und die Datenverarbeitung damit zulässig ist. Ist die Datenverarbeitung dagegen auf eine Einwilligung gestützt, so hat die Datenschutzerklärung einen deutlichen Verweis darauf zu enthalten, dass die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufbar ist.

Quelle und Kategorien der Daten: Werden die Daten nicht beim Betroffenen selbst erhoben, so ist ihm zusätzlich zu den o.g. Informationen noch die Quelle der Daten und die Kategorien der verarbeiteten Daten zu benennen.

Wie muss die Datenschutzerklärung ausgestaltet sein?

Wichtigster Unterschied zur bisherigen Rechtslage sind die erhöhten Transparenz- und Informationsvorschriften nach der DSGVO.

Demgemäß sind die erforderlichen Informationen der betroffenen Person in „transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ zugänglich zu machen.

Dabei lässt die DSGVO eine mündliche, schriftliche oder auch elektronische Übermittlung der Informationen genügen. Besonders gegenüber Kindern ist auf die Verständlichkeit der Informationen zu achten. Die Informationspflicht besteht nur dann nicht, wenn der Betroffene im Falle einer Datenverarbeitung bereits über die erforderlichen Informationen verfügt. Hierfür tragen Unternehmen die Beweislast.

Entsprechend der neuen Beweislastregeln der DSGVO ist Unternehmen jedoch dringend anzuraten die entsprechenden Informationen schriftlich bzw. in Textform zu übermitteln (Dokumentationszweck).

Dabei ist zu berücksichtigen, dass der betroffenen Personen die Informationen sofort bei Datenerhebung übermittelt werden, also z.B. bei Bestellung eines Newsletters oder dem Abschluss eines Kaufs im Rahmen des E-Commerce, ggf. aber auch schon vor Abschluss des Kaufvertrages, z.B. bei Registrierung oder der vorherigen Einholung von Produktinformationen.

Insbesondere bezüglich der Betroffenenrechte verlangt die DSGVO, dass Unternehmen  Betroffene nicht nur über Ihre Datenschutzrechte aufklären, sondern auch intern Prozesse schaffen, die dem Betroffenen die Ausübung seiner Rechte (z.B. Datenlöschung) ermöglichen bzw. weitestgehend erleichtern.

MERKE:

  • einfache, verständliche Sprache
  • mündliche, schriftliche oder elektronische Mitteilung
  • Dokumentation
  • vor oder spätestens zu Beginn der Datenverarbeitung
  • Prozesse zur Wahrung der Betroffenenrechte intern etablieren


Fazit: 
Unternehmen sollten auf eine transparente Einarbeitung der Mindestinhalte für Datenschutzerklärungen nach der DSGVO achten. Andernfalls riskieren sie hohe Bußgelder von bis zu 4% des weltweiten Jahresumsatzes oder 20 Millionen Euro.


Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.


Weitere Artikel

Anwälte der Kanzlei empfohlen durch: