test echtdaten datenschutz datenübertragbarkeit portabilität bcr binding corporate rules datenschutzerklärung homepage

Informationspflichten nach der DSGVO

/von

Die Pflicht, eine Datenschutzerklärung auf der Webseite des Unternehmens bereitzuhalten, ist in den meisten Unternehmen bekannt und umgesetzt. In diesem Artikel wird nun ein Blick darauf geworfen, welche Änderungen sich durch die DSGVO ergeben. Bisher war in § 13 TMG festgelegt, dass der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Drittstaaten in allgemein verständlicher Form zu unterrichten hat, sofern eine solche Unterrichtung nicht bereits erfolgt ist.

Informationspflichten gemäß Art. 13 DSGVO gelten auch für die Webseite

Die in diesem Artikel beschriebenen Informationspflichten gelten künftig auch für die Webseite. Das bedeutet, dass die Datenschutzerklärung künftig folgende Angaben enthalten muss:

  • den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters und gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten,
  • die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung,
  • die zugrunde liegenden berechtigten Interessen des Verantwortlichen oder eines Dritten, sofern die Verarbeitung aufgrund dieser Interessen erfolgt,
  • gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten
  • die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  • das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
  • wenn die Verarbeitung auf einer Einwilligung beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird sowie das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
  • ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte.

Die Datenschutzerklärung wird also in den meisten Fällen umfangreicher werden als bisher. Ob unvollständige oder fehlerhafte Datenschutzerklärungen künftig dazu führen werden, dass diesbezüglich mit Abmahnungen zu rechnen sein wird, ist derzeit noch umstritten. Der Umstand, dass mit Art. 80 DSGVO eine Art Verbandsklagerecht eingeführt wurde, lässt dieses Szenario für die Zukunft zumindest als wahrscheinlicher erscheinen.

Wann ist zu informieren?

Die Informationspflicht entsteht gemäß Art. 13 Abs. 1 DSGVO zum Zeitpunkt der Erhebung. Derzeit wird davon ausgegangen, dass es auch künftig genügen wird, auf jeder Unterseite des Webauftritts die Datenschutzerklärung über einen Link erreichbar zu machen. Häufig werden diese verpflichtenden Informationen an zentraler Stelle (beispielsweise im sogenannten Footer) platziert. Eine explizite Nachweispflicht existiert nicht. Eine Bestätigung, dass die Informationen gelesen wurden, ist demnach nicht zwingend erforderlich. Es genügt, wenn die betroffene Person die Informationen auf einfache Weise erhalten kann. An dieser Stelle soll allerdings auch noch einmal auf die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) hingewiesen werden. Im Zweifel muss also der für die Verarbeitung Verantwortliche nachweisen können, dass informiert wurde. Daher empfehlen wir auch zumindest bei der Verarbeitung sensibler Daten (beispielsweise bei der Abfrage personenbezogener Daten in Formularen) zur Absicherung ein Bestätigungsfeld zu implementieren, mit dem die Kenntnisnahme bestätigt wird. Sinnvoll kann es auch sein, Auszüge der Datenschutzerklärung direkt neben der relevanten Stelle zu platzieren und von dort auf die ausführliche Datenschutzerklärung zu verweisen und zu verlinken.

Rechtsgrundlage ist zu ermitteln

Nicht ganz trivial, ist die Anforderung der DSGVO, über die zugrundeliegende Rechtsgrundlage der jeweiligen Verarbeitung zu informieren. Dies wird in der Regel kaum gelingen, ohne jemanden hinzuzuziehen, der über das entsprechende Fachwissen verfügt. Neben den bisherigen Regelungen des TMG, welches zumindest zunächst weiterhin gültig ist, sind die jeweiligen Rechtsgrundlagen der DSGVO in Betracht zu ziehen. Neben der Einwilligung sind daher sind daher Datenverarbeitungen, die zur Durchführung vorvertraglicher Maßnahmen oder zur Erfüllung eines Vertrages erforderlich sind oder die auf berechtigten Interessen des Verantwortlichen beruhen die am häufigsten zugrundeliegenden Rechtsgrundlagen. Darüber hinaus sind insbesondere bei der Angabe der Regelungen zur Löschung der Daten häufig auch weitere gesetzliche Regelungen, wie z. B. § 14b UstG, welcher die Aufbewahrungspflichten für Rechnungen regelt, relevant und damit anzugeben.

Benötigen Sie Beratung bei der Gestaltung der Datenschutzerklärung Ihrer Webseite? Sprechen Sie uns an, gerne unterstützen wir Sie bei der Umsetzung der notwendigen Maßnahmen.

Das könnte Sie auch interessieren
arztpraxis aufruf anonym name betroffenenrecht auskunft 15 ds-gvo einschränkung der verarbeitung sperrung 18 dsgvo schadensersatzRechte betroffener Personen – Allgemeine Regeln
berechtigtes interesse 6 1 f dsgvo bundesgerichtshof bgh eugh europäischer gerichtshof privacyshield gericht bußgeld 1&1 risiko bgh auskunftsrecht lag sachsen olg münchen schadenersatz google fonts eugh löschbegehren sicherheit e-mail auskunft frist unverzüglichEuGH kippt PrivacyShield – was ist jetzt zu tun?
datenschutzerklärung werbung ds-gvo datenpanne automatisierte einzelfallentscheidung schadenersatz meldung des datenschutzbeauftragten auskunft verweigert verschlüsselungAnforderungen an die Datenschutzerklärung einer Website
aufsichtsbehörden dsk datenschutzkonferenz entschließung göttinger erklärung kündigungsschutz datenschutzbeauftragter verzeichnis verarbeitungstätigkeiten vvt vertrag 61bDas Verzeichnis von Verarbeitungstätigkeiten
betriebliches Eingliederungsmanagement bem dienstleisterBEM – das betriebliche Eingliederungsmanagement
vorabkontrolle videoüberwachung beweismittel bundesarbeitsgericht bag 4 bdsg europarechtswidrig bundesarbeitsgericht bag lag landesarbeitsgericht verwertungsverbotBundesarbeitsgericht lässt alte Videoaufzeichnungen als Beweismittel zu
Informationspflichten – Teil 2einwilligung auftragsverarbeitung auftragsdatenverarbeitung accountability rechenschaftspflicht informationspflicht besucherliste 6 1 a dsgvods-gvo datenschutzbeauftragter vorabkontrolle beratung verpflichtung datengeheimnis active sourcing einwilligung gemeinsam verantwortliche verpflichtung datengeheimnis vertraulichkeit rechtsgrundlage foto erhebung auskunft art. 15 dsgvoUpdate zur Einwilligungserklärung nach der DSGVO