Noch
bis zum neuen Datenschutzrecht nach der DS-GVO

Die Datenschutzerklärung auf der Internetseite

Auch hier greifen die Informationspflichten der DS-GVO

Die Pflicht, eine Datenschutzerklärung auf der Webseite des Unternehmens bereitzuhalten, ist in den meisten Unternehmen bekannt und umgesetzt. In diesem Artikel wird nun ein Blick darauf geworfen, welche Änderungen sich durch die DS-GVO ergeben. Bisher war in § 13 TMG festgelegt, dass der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Drittstaaten in allgemein verständlicher Form zu unterrichten hat, sofern eine solche Unterrichtung nicht bereits erfolgt ist.

Informationspflichten gemäß Art. 13 DS-GVO gelten auch für die Webseite

Die in diesem Artikel beschriebenen Informationspflichten gelten künftig auch für die Webseite. Das bedeutet, dass die Datenschutzerklärung künftig folgende Angaben enthalten muss:

  • den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters und gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten,
  • die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung,
  • die zugrunde liegenden berechtigten Interessen des Verantwortlichen oder eines Dritten, sofern die Verarbeitung aufgrund dieser Interessen erfolgt,
  • gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten
  • die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  • das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
  • wenn die Verarbeitung auf einer Einwilligung beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird sowie das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
  • ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte.

Die Datenschutzerklärung wird also in den meisten Fällen umfangreicher werden als bisher. Ob unvollständige oder fehlerhafte Datenschutzerklärungen künftig dazu führen werden, dass diesbezüglich mit Abmahnungen zu rechnen sein wird, ist derzeit noch umstritten. Der Umstand, dass mit Art. 80 DS-GVO eine Art Verbandsklagerecht eingeführt wurde, lässt dieses Szenario für die Zukunft zumindest als wahrscheinlicher erscheinen.

Wann ist zu informieren?

Die Informationspflicht entsteht gemäß Art. 13 Abs. 1 DS-GVO zum Zeitpunkt der Erhebung. Derzeit wird davon ausgegangen, dass es auch künftig genügen wird, auf jeder Unterseite des Webauftritts die Datenschutzerklärung über einen Link erreichbar zu machen. Häufig werden diese verpflichtenden Informationen an zentraler Stelle (beispielsweise im sogenannten Footer) platziert. Eine explizite Nachweispflicht existiert nicht. Eine Bestätigung, dass die Informationen gelesen wurden, ist demnach nicht zwingend erforderlich. Es genügt, wenn die betroffene Person die Informationen auf einfache Weise erhalten kann. Bei der Verarbeitung sensibler Daten (beispielsweise bei der Abfrage personenbezogener Daten in Formularen) kann es jedoch empfehlenswert sein, zur Absicherung ein Bestätigungsfeld zu implementieren, mit dem die Kenntnisnahme bestätigt wird. Sinnvoll kann es auch sein, Auszüge aus der Datenschutzerklärung direkt neben der relevanten Stelle zu platzieren und von dort auf die ausführliche Datenschutzerklärung zu verweisen und zu verlinken.

Rechtsgrundlage ist zu ermitteln

Nicht ganz trivial, ist die Anforderung der DS-GVO, über die zugrundeliegende Rechtsgrundlage der jeweiligen Verarbeitung zu informieren. Dies wird in der Regel kaum gelingen, ohne jemanden hinzuzuziehen, der über das entsprechende Fachwissen verfügt. Neben den bisherigen Regelungen des TMG, das zumindest zunächst weiterhin gültig ist, sind die jeweiligen Rechtsgrundlagen der DS-GVO in Betracht zu ziehen. Neben der Einwilligung sind daher sind daher Datenverarbeitungen, die zur Durchführung vorvertraglicher Maßnahmen oder zur Erfüllung eines Vertrages erforderlich sind oder die auf berechtigten Interessen des Verantwortlichen beruhen die am häufigsten zugrundeliegenden Rechtsgrundlagen.

Benötigen Sie Beratung bei der Gestaltung der Datenschutzerklärung Ihrer Webseite? Sprechen Sie uns an, gerne unterstützen wir Sie bei der Umsetzung der notwendigen Maßnahmen.