DS-GVO & Die Datenschutzerklärung
Geschrieben von Miriam Towers, veröffentlicht am 20.02.2018Ob Sie eine Firmenwebseite besitzen, Online-Dienstleistungen anbieten oder einen privaten Handarbeitsblog einrichten: Wer eine Website betreibt, ist gesetzlich verpflichtet eine Datenschutzerklärung vorzuhalten.
Die Datenschutzgrundverordnung
Das deutsche Datenschutzrecht wurde gut 20 Jahre durch die Zielvorgaben der Europäischen Datenschutzrichtlinie bestimmt. Diese wurde in den EU-Mitgliedstaaten zum Teil unterschiedlich interpretiert und angewandt. Ihre Umsetzung fand die Datenschutzrichtlinie hierzulande vor allem im Bundesdatenschutzgesetz (BDSG) sowie in verschiedenen bereichsspezifischen Gesetzen, wie bspw. dem Telemediengesetz (TMG). Mit der ab dem 25. Mai 2018 unmittelbar geltenden Datenschutzgrundverordnung (DS-GVO) wird das Datenschutzrecht in der EU nun weitestgehend vereinheitlicht und reformiert. Von diesen Änderungen betroffen sind auch die Vorschriften zu Datenschutzerklärungen auf Webseiten gem. § 13 TMG. Wie diese zukünftig gestaltet werden müssen, um den neuen Vorgaben gerecht zu werden, erfahren Sie in diesem Beitrag.
Formale Ausgestaltung und Platzierung des Links
Die Datenschutzinformation hat zu Beginn des Nutzungsvorgangs – also vor Erhebung jedweder personenbezogener Daten – zu erfolgen. Dazu genügt es aber, wenn die Datenschutzerklärung unmittelbar von der zuerst aufgerufenen Seite erreicht werden kann und gut wahrnehmbar ist. Daran ändert sich auch unter Geltung der DS-GVO nichts. Ebenso kann daran festgehalten werden, dass der Inhalt der Unterrichtung jederzeit abrufbar sein muss. Es empfiehlt sich daher, den Link zur Erklärung separat und dergestalt zu platzieren, dass er von jeder Unterseite erreichbar ist. Es ist nicht zwingend erforderlich, für die Datenschutzerklärung eine eigene Unterseite einzurichten. Ratsam ist es dann aber einen „Anker“/Sprungmarke direkt zu den Datenschutzhinweisen zu setzen.
Formulierung und Sprache
Musste bereits nach § 13 TMG die Datenschutzerklärung in allgemein verständlicher Form erfolgen und von der Webseite jederzeit zu erreichen sein, konkretisiert Art. 12 DS-GVO dahingehend, dass Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln sind. Nutzer dürfen also keinesfalls durch komplizierte Inhalte, juristische Fachbegriffe oder ellenlange Schachtelsätze verwirrt werden, sondern sollten leicht nachvollziehen können, was mit ihren Daten geschieht. Letztlich kann daher auch eine unverhältnismäßig lange Datenschutzerklärung dem Transparenzgebot entgegenstehen. Anstelle der Verwendung juristischer Definitionen bietet es sich daher eher an, Begriffe mit Beispielen zu unterlegen oder verständlich zu umschreiben. Ferner sind die Datenschutzhinweise in der Sprache zu verfassen, in der sich die Webseite dem Markt präsentiert. Das gilt grundsätzlich auch für den entsprechenden Link, so dass hier die, aus dem anglo-amerikanischen Rechtskreis stammende Bezeichnung „Privacy Policy“ eher ungeeignet ist, wenn sich das Angebot der Seite an den deutschsprachigen Raum richtet. Besser sind die Bezeichnungen Datenschutz, Datenschutzhinweise oder -erklärung.
Welche Daten werden wo und wie verarbeitet?
Der Nutzer ist grundsätzlich über den gesamten Umfang der Datenverarbeitung zu informieren. Welchen Inhalt eine Datenschutzerklärung haben muss, ergibt sich aus den auf der Webseite erfolgenden Datenverwendungen. Als erster Schritt ist folglich zu ergründen, inwiefern personenbezogene Daten zur Nutzung Ihrer Seite erhoben werden. Zu den personenbezogenen Daten gehören etwa IP-Adressen aber auch Personenstammdaten wie sie üblicherweise über Kontaktformulare erhoben werden.
Inhalt der Datenschutzhinweise
Die Informationspflichten, die bei einer Datenschutzerklärung zu beachten sind, listet Art. 13 DS-GVO katalogartig auf und geht weit über die allgemeinen Anforderungen des § 13 TMG hinaus. Der § 13 TMG schreibt lediglich pauschal vor, dass über Art, Umfang und Zwecke der Datenverarbeitung zu informieren ist und hat im Laufe der Jahre eine stetige Konkretisierung durch die Rechtsprechung erfahren. Einer solchen Konkretisierung bedarf Art. 13 DS-GVO von vornherein nicht, da er einen detaillierten Pflichtenkatalog beinhaltet, nach welchem Verantwortliche folgende Informationen mitzuteilen haben:
- Name und Kontaktdaten des Verantwortlichen, ggf. seines Vertreters sowie die des Datenschutzbeauftragten, sofern dieser verpflichtend zu bestellen ist
- die Zwecke, für die die personenbezogenen Daten erhoben werden, einschließlich der Rechtsgrundlage für die Verarbeitung (Einwilligung oder gesetzlicher Erlaubnistatbestand)
- gegebenenfalls die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden
- im Falle der Datenweitergabe die Empfänger oder die Kategorien von Empfängern der personenbezogenen Daten (solange dem Verantwortlichen der konkrete Empfänger nicht bekannt ist, kann dieser kategorisch umschrieben werden)
Während diese Angaben der betroffenen Person in jedem Fall mitzuteilen sind, enthält Abs. 2 der Vorschrift nur insoweit obligatorische Angaben, wie diese notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten. Da die Beurteilung, wann dies situationsabhängig erforderlich ist, durchaus nicht immer eindeutig zu treffen ist, empfiehlt es sich, insbesondere im Hinblick auf den enorm erweiterten Bußgeldrahmen der DS-GVO, im Zweifel immer auch die Informationen des Abs. 2 soweit wie möglich bereitzustellen. Dazu zählen:
- wenn möglich die Dauer der Datenspeicherung oder zumindest die Kriterien zur Festlegung dieser Dauer
- der Betroffene ist umfassend auf seine Rechte hinzuweisen, namentlich:
- das Recht auf Auskunft (Art. 15 DS-GVO)
- auf Berichtigung oder Löschung seiner Daten (Art. 16, 17 DS-GVO)
- auf Einschränkung der Verarbeitung (Art. 18 DS-GVO)
- auf Widerspruch (Art. 21 DS-GVO) sowie
- auf Datenübertragbarkeit (Art 20 DS-GVO)
- im Falle der Einwilligung, die Möglichkeit diese jederzeit widerrufen zu können (Art. 7 Abs. 3 DS-GVO)
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde (nicht erforderlich sind die Kontaktdaten der Aufsichtsbehörde)
- ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist
- ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereit zu stellen, und welche Folgen die Nichtbereitstellung hätte
- wenn automatisierte Entscheidungsfindungen einschließlich Profiling stattfinden, aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person
Darüber hinaus sind besondere Hinweise erforderlich, wenn die Daten an einen Empfänger außerhalb der EU/des EWR übermittelt werden oder wenn der Verantwortliche beabsichtigt die Daten für einen anderen Zweck weiterzuverarbeiten.
Transparente Datenschutzhinweise
Den Informationspflichten im Rahmen einer Datenschutzerklärung muss der Verantwortliche in einer ausreichend ausführlichen Weise nachkommen. Dabei muss zugleich gewährleistet sein, dass diese übersichtlich, klar und einfach formuliert ist. Diese beiden Ziele können dem Verantworlichen durchaus einen Spagat abverlangen. Abhilfe kann hier die Gestaltung eines sog. One-Pagers bieten.
Bei diesem One-Pager werden allgemeine Datenschutzhinweise zunächst übersichtlich und vereinfacht auf einer einzelnen Seite zusammengefasst. Gleichzeitig führt ein prominent platzierter Link zur vollständigen Datenschutzerklärung mit sämtlichen Datenschutzhinweisen gem. Art. 13 DS-GVO. Die Transparenz und Übersichtlichkeit lässt sich auch mit einem vorangestellten Inhaltsverzeichnis der datenschutzrechtlichen Erklärung fördern. Zudem sollte erwägt werden, ob jede datenschutzrechtliche Anmerkung zwingend erforderlich ist oder möglicherweise entfallen kann. So stellt beispielsweise der Hinweis, der Verwender nähme den Schutz personenbezogener Daten ernst oder fühle sich diesem Schutz verpflichtet, im Grunde keine Mehrwert steigernde Information dar, sondern kommt der Aussage, der Verwender halte sich an geltende Gesetze gleich. Auch die Aufzählung rechtlich unzulässiger Handlungen, die nicht vorgenommen werden, wie etwa, dass die Daten außerhalb des Nutzungsbereichs nicht an Dritte weitergeleitet werden, ist der Normalfall und kann getrost unterbleiben.
Die ePrivacy Verordnung
Die Regelungen der DS-GVO sind nicht explizit für den Umgang mit Telemedien konzipiert worden und zudem sehr abstrakt. Einzelthemen aus dem digitalen Bereich bleiben weitestgehend ausgeklammert. Für diesen speziellen Bereich wurde ein Entwurf für eine ePrivacy-Verordnung erarbeitet, die – sobald sie verabschiedet wird – spezielle zusätzliche Regelungen für Datenschutzerklärungen auf Websites treffen wird, welche dann der DS-GVO vorgehen. Wann die ePrivacy-Verordnung allerdings in Kraft tritt, kann zu diesem Zeitpunkt nicht beantwortet werden. Damit wird vor 2019 nicht zu rechnen sein.
Fazit
Im Vergleich zur bisherigen Rechtslage sieht die DS-GVO wesentlich detailliertere Informationspflichten vor. Werden Datenschutzerklärung künftig zumeist länger ausfallen, birgt sie für Verwender aber auch die Möglichkeit, alle Informationspflichten anhand des in Art. 13 DS-GVO enthaltenen Katalogs Schritt für Schritt abzuarbeiten. Rechtssicher ist die Erklärung jedoch nur wenn sie dabei zugleich übersichtlich und transparent ist. Um den einhergehenden Konflikt zwischen umfassenden detaillierten Informationen und leicht verständlicher, klarer und einfacher Sprache zu lösen, werden Formulierungen und Aufbau einer Datenschutzerklärung besondere Aufmerksamkeit und Fingerspitzengefühl bedürfen. In diesem Zusammenhang sind auch die Entwicklungen hinsichtlich der ePrivacy Verordnung im Auge zu behalten. Sollten Sie Fragen oder Hilfestellung bei der Erstellung Ihrer Datenschutzerklärung benötigen, kontaktieren Sie uns. Wir beraten Sie gerne!