Jedes Unternehmen, das eine Internetseite betreibt, wird sich über kurz oder lang fragen, in welchem Rahmen eine Datenschutzerklärung erforderlich ist und was diese enthalte sollte. Auch wenn kein Online-Shop oder eine anderweitige Webseite mit Registrierungsfunktion angeboten wird, werden oftmals allein für die Funktionsweise von Diensten und Angeboten auf der Webseite Daten des Nutzers übertragen. Das heißt auch Internetseiten, die auf den ersten Blick keine Interaktion mit dem Webnutzer bieten, werden aus datenschutzrechtlicher Perspektive aktiv. Zudem verwenden viele Unternehmen Analysetools wie Google Analytics oder binden social share buttons (Facebook, Twitter, LinkedIn etc.) auf ihrer Webseite ein, die ihrerseits Daten erheben und verarbeiten.
Welche Daten erhoben werden und zu welchem Zweck, wie sie verarbeitet und wie lange sie gespeichert werden, sollte in der Datenschutzerklärung erläutert werden.
Eine entsprechende Unterrichtung des Nutzes zu Beginn des Nutzungsvorgangs über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten in allgemein verständlicher Form ist bereits vor Inkrafttreten des EU-DSGVO am 25.Mai 2018 vorgeschrieben, s. § 13 Abs. 1 TMG. An dessen Stelle tritt nun Art. 13 Abs. 1 DSGVO, der sehr viel detailliertere, weitreichendere und umfangreichere Angaben wie z.B. die Dauer der Speicherung, die Absicht, Daten ggf. in ein Drittland zu übermitteln sowie die Information über die Rechte der Betroffenen fordert. Insbesondere muss die Rechtsgrundlage, auf der die Verarbeitung der personenbezogenen Daten beruht, genannt werden. Art und Umfang – wie es noch § 13 Abs. 1 TMG vorschrieb – wird hingegen von der DSGVO nicht mehr explizit erwähnt, jedoch sind diese Informationen notwendig, um die weiteren Anforderungen des Art. 13 Abs. 1 DSGVO überhaupt zu erfüllen.
Viele Unternehmen setzen sich anlässlich der neuen europarechtlichen Bestimmungen erstmals mit dem Thema Datenschutz auseinander. Wie wichtig dies ist, verdeutlicht ein Blick in die möglichen Sanktionen:
Unternehmen, die nicht die Vorgaben der DSGVO rechtzeitig in ihrer Datenschutzerklärung umsetzen, droht ein empfindliches Bußgeld i.H.v. bis zu 20 Mio. EUR oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes, je nachdem, welcher Betrag höher ist, Art. 83 Abs. 5 b) DSGVO.
Im Einzelnen schreibt Art. 13 DSGVO die Angabe folgender Informationen vor:
- Name und Kontaktdaten des Verantwortlichen und ggf. des Vertreters
- falls vorhanden, die Kontaktdaten des Datenschutzbeauftragten
- die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung
- die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden, wenn die Verarbeitung auf Art. 6 Abs. 1 f) DSGVO beruht
- gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten
- gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Art. 46 oder Art. 47 oder Art. 49 Abs. 1 DSGVO einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind
- die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
- das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten gem. Art. 15 DSGVO, sowie auf Berichtigung gem. Art. 16 DSGVO oder Löschung gem. Art. 17 DSGVO oder auf Einschränkung der Verarbeitung gem. Art. 18 DSGVO oder eines Widerspruchsrechts gegen die Verarbeitung gem. Art. 21 DSGVO sowie des Rechts auf Datenübertragbarkeit gem. Art. 20 DSGVO
- wenn die Verarbeitung auf Art. 6 Abs. 1 a oder Art. 9 Abs. 2 a) DSGVO beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
- ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und
- das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person
Wenn Sie sich unsicher sind, ob Ihre Datenschutzerklärung den neuen Anforderungen entspricht oder Sie erstmals eine Datenschutzerklärung erstellen lassen wollen, kontaktieren Sie uns und vereinbarten Sie einen Termin zur Erstberatung!