test echtdaten datenschutz datenübertragbarkeit portabilität bcr binding corporate rules datenschutzerklärung homepage

Informationspflichten nach der DSGVO

/von

Die Pflicht, eine Datenschutzerklärung auf der Webseite des Unternehmens bereitzuhalten, ist in den meisten Unternehmen bekannt und umgesetzt. In diesem Artikel wird nun ein Blick darauf geworfen, welche Änderungen sich durch die DSGVO ergeben. Bisher war in § 13 TMG festgelegt, dass der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Drittstaaten in allgemein verständlicher Form zu unterrichten hat, sofern eine solche Unterrichtung nicht bereits erfolgt ist.

Informationspflichten gemäß Art. 13 DSGVO gelten auch für die Webseite

Die in diesem Artikel beschriebenen Informationspflichten gelten künftig auch für die Webseite. Das bedeutet, dass die Datenschutzerklärung künftig folgende Angaben enthalten muss:

  • den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters und gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten,
  • die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung,
  • die zugrunde liegenden berechtigten Interessen des Verantwortlichen oder eines Dritten, sofern die Verarbeitung aufgrund dieser Interessen erfolgt,
  • gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten
  • die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  • das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
  • wenn die Verarbeitung auf einer Einwilligung beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird sowie das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
  • ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte.

Die Datenschutzerklärung wird also in den meisten Fällen umfangreicher werden als bisher. Ob unvollständige oder fehlerhafte Datenschutzerklärungen künftig dazu führen werden, dass diesbezüglich mit Abmahnungen zu rechnen sein wird, ist derzeit noch umstritten. Der Umstand, dass mit Art. 80 DSGVO eine Art Verbandsklagerecht eingeführt wurde, lässt dieses Szenario für die Zukunft zumindest als wahrscheinlicher erscheinen.

Wann ist zu informieren?

Die Informationspflicht entsteht gemäß Art. 13 Abs. 1 DSGVO zum Zeitpunkt der Erhebung. Derzeit wird davon ausgegangen, dass es auch künftig genügen wird, auf jeder Unterseite des Webauftritts die Datenschutzerklärung über einen Link erreichbar zu machen. Häufig werden diese verpflichtenden Informationen an zentraler Stelle (beispielsweise im sogenannten Footer) platziert. Eine explizite Nachweispflicht existiert nicht. Eine Bestätigung, dass die Informationen gelesen wurden, ist demnach nicht zwingend erforderlich. Es genügt, wenn die betroffene Person die Informationen auf einfache Weise erhalten kann. An dieser Stelle soll allerdings auch noch einmal auf die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) hingewiesen werden. Im Zweifel muss also der für die Verarbeitung Verantwortliche nachweisen können, dass informiert wurde. Daher empfehlen wir auch zumindest bei der Verarbeitung sensibler Daten (beispielsweise bei der Abfrage personenbezogener Daten in Formularen) zur Absicherung ein Bestätigungsfeld zu implementieren, mit dem die Kenntnisnahme bestätigt wird. Sinnvoll kann es auch sein, Auszüge der Datenschutzerklärung direkt neben der relevanten Stelle zu platzieren und von dort auf die ausführliche Datenschutzerklärung zu verweisen und zu verlinken.

Rechtsgrundlage ist zu ermitteln

Nicht ganz trivial, ist die Anforderung der DSGVO, über die zugrundeliegende Rechtsgrundlage der jeweiligen Verarbeitung zu informieren. Dies wird in der Regel kaum gelingen, ohne jemanden hinzuzuziehen, der über das entsprechende Fachwissen verfügt. Neben den bisherigen Regelungen des TMG, welches zumindest zunächst weiterhin gültig ist, sind die jeweiligen Rechtsgrundlagen der DSGVO in Betracht zu ziehen. Neben der Einwilligung sind daher sind daher Datenverarbeitungen, die zur Durchführung vorvertraglicher Maßnahmen oder zur Erfüllung eines Vertrages erforderlich sind oder die auf berechtigten Interessen des Verantwortlichen beruhen die am häufigsten zugrundeliegenden Rechtsgrundlagen. Darüber hinaus sind insbesondere bei der Angabe der Regelungen zur Löschung der Daten häufig auch weitere gesetzliche Regelungen, wie z. B. § 14b UstG, welcher die Aufbewahrungspflichten für Rechnungen regelt, relevant und damit anzugeben.

Benötigen Sie Beratung bei der Gestaltung der Datenschutzerklärung Ihrer Webseite? Sprechen Sie uns an, gerne unterstützen wir Sie bei der Umsetzung der notwendigen Maßnahmen.


Diesen Beitrag teilen

Das könnte Dich auch interessieren
e-mail verschlüsselung ao bfdi datenschutz schulung sensibilisierung datenschutzhinweiseUnverschlüsselter Versand von E-Mails mit Einwilligung – immer noch ein Thema
datenlöschung löschen schreddern vernichten 17 dsgvoDatenschutz-gerechte Datenlöschung nach BGSG
anonymisierungAbfrage des Geburtsdatums bei Online-Bestellungen – ein Problem?
einwilligung auftragsverarbeitung auftragsdatenverarbeitung accountability rechenschaftspflicht informationspflicht besucherliste 6 1 a dsgvoInformationspflichten – Teil 2
widerruf einwilligung double opt in verzicht auf datenschutz consentmanagerSerie Betroffenenrechte: Das Recht auf Widerruf einer Einwilligung nach Art. 7 Abs. 3 DSGVO
eu-dsgvo europa datenschutz-grundverordnung arbeitnehmerdatenschutz privacy shield safe harbor eprivacy verordnung dsgvo epvo brexit angemessenheitsbeschluss ukPrivacy Shield: Erste Unternehmen zertifiziert