Zusammenfassung
In einer sogenannten Datenschutzerklärung werden den Betroffenen bzw. dem Publikum bestimmte Informationen über die Verwendung der Personendaten zur Verfügung gestellt.
1 Notwendige Informationen
Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle vorgeschriebenen Informationen, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln (Art. 12 Abs. 1 DSGVO). Dies gilt insbesondere für Informationen, die sich speziell an Kinder richten (Art. 8 DSGVO). Die Übermittlung der Informationen erfolgt schriftlich, das kann man auch in elektronischer Form publizieren. Falls die betroffene Person es verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde. Trotzdem ist aus Beweisgründen die schriftliche Form prinzipiell zu empfehlen.
2 Datenschutzerklärung ist Chefsache
Für eine rechtmäßige Datenschutzerklärung sollte die Unternehmensleitung sorgen, Es ist grundsätzlich zu raten, eher zu viele Informationen zu liefern als zu wenige, vor allem wenn sensible und private Daten verarbeitet werden. Da die Datenverarbeitung bei jedem Unternehmen anders ist, verlässt man sich besser nicht auf generelle Vorlagen, sondern erarbeitet eine individuelle Datenschutzerklärung. Dies müssen nicht unbedingt Juristen erledigen, die Techniker wissen besser, wie die Daten verarbeitet werden. Hat das Unternehmen einen Datenschutzbeauftragten, kann man ihn beauftragen, die Erklärung zu schreiben. Die Gesellschaft für Datenschutz und Datenschutzberater (GDD) hat in der GDD-Praxishilfe DS-GVO VII festgehalten, dass es nicht immer möglich ist, ein langes Dokument über Dateninformationen zur Verfügung zu stellen, z. B. bei Automatenverkäufen, Telefongeschäften usw. Ein Übermaß an Information auf einen Streich kann betroffene Personen zudem überfordern und Wesentliches untergehen lassen.
Natürlich gibt es über das neue Recht noch kaum Gerichtsurteile. Sollten solche erscheinen, informieren wir Sie darüber. Die Datenschutzerklärung sollte man dann entsprechend anpassen und die Betroffenen informieren, dass eine neue Variante erscheinen wird.
Für Formulierungen empfehlen wir unsere Datenschutzerklärung Muster.
Muster für Datenschutzerklärung
Anregungen für Formulierungen können Sie dem Mustertext Datenschutzerklärung: Muster gemäß DSGVO entnehmen.
Fehlende Datenschutzerklärungen können Geldbußen auslösen
Bei Verstößen gegen die Informationspflichten werden Geldbußen von bis zu 20 Millionen Euro oder im Fall eines größeren Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist (Art. 83 Abs. 5 DSGVO)
3 Informationen für Webseitenverantwortliche, Browseranbieter und IT-Dienstleister
Es stellt sich die Frage, ob Webseitenbetreiber Informationen über technische Vorgänge publizieren müssen, denn normalerweise haben sie selber keinen Einfluss auf diese. Dabei stellt sich die alte Grundsatzfrage, wie weit die Haftung im Internet geht. Logischerweise muss sie dort aufhören, wo die Einflussmöglichkeiten eines Nutzers enden, d. h. an der Schnittstelle zu einem anderen Dienstleister. Das ist eine technische Frage. Technische Datenzugriffe sind oft unerlässliche Voraussetzungen dafür, dass das Internet überhaupt für Nutzer zugänglich ist.
Für Internetanbieter gilt das Telemediengesetz (§ 13 TMG). Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb der EU in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. Bei einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, ist der Nutzer zu Beginn dieses Verfahrens zu unterrichten (§ 13 Abs. 1 TMG). Der Inhalt der Unterrichtung muss für den Nutzer jederzeit abrufbar sein.
Die Einwilligung kann elektronisch erklärt werden (§ 13 Abs. 2 TMG), wenn der Diensteanbieter sicherstellt, dass
- der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,
- die Einwilligung protokolliert wird,
- der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und
- der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann, darauf muss man den Nutzer vor der Erklärung hinweisen.
Die Weitervermittlung zu einem anderen Diensteanbieter ist dem Nutzer anzuzeigen (§ 13 Abs. 5 TMG).
Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu fünfzigtausend Euro geahndet werden (§ 16 Abs. 2 TMG).
Für Webseiten werden folgende Formulierungen empfohlen, siehe auch Datenschutzerklärung Muster Ziffer 2.1. IT-Dienstleister und Browserbetrei...