Nach Maßgabe von Art. 13, 14 DSGVO müssen verantwortliche Stellen bestimmte Informationspflichten erfüllen, und zwar nicht erst auf Nachfrage, sondern pro-aktiv und so frühzeitig wie möglich. Die einzelnen Pflichtangaben von Art. 13, 14 DSGVO laufen weitgehend parallel und unterscheiden sich nur im Detail. Art. 13 DSVGO gilt für den Fall, dass die personenbezogenen Daten direkt beim Betroffenen erhoben werden, Art. 14 DSGVO hingegen dann, wenn die Datenerhebung bei Dritten erfolgt (z.B. Auskunfteien).
Die nachfolgenden Angaben sind i.R.d. Pflichtinformationen zu leisten:
- Name und Kontaktdaten des Verantwortlichen,
- ggf. Kontaktdaten des Datenschutzbeauftragten,
- Zwecke & Rechtsgrundlage der Datenverarbeitung,
- ggf. Angabe der berechtigten Interessen nach Art. 6 Abs. 1 lit. f) DSGVO,
- ggf. Empfänger oder Kategorien von Empfängern der personenbezogenen Daten,
- ggf. Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln,
- Dauer, für die die personenbezogenen Daten gespeichert werden (oder jedenfalls Kriterien für die Festlegung der Dauer),
- Hinweis auf Betroffenenrechte (Auskunft, Berichtigung, Löschung, Widerruf einer erteilten Einwilligung, Einschränkung der Verarbeitung, Widerspruch, Datenübertragbarkeit und Beschwerde),
- Hinweis, ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte,
- Bestehen einer automatisierten Entscheidungsfindung (einschließlich Profiling) und ggf. aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person,
- ggf. Hinweis auf Zweckänderung.
Ergänzend sieht Art. 14 DSGVO für die Fälle der Datenerhebung bei Dritten vor, dass auch über die Datenkategorien sowie darüber informiert werden muss, aus welcher Quelle die personenbezogenen Daten und ggf., ob sie aus öffentlich zugänglichen Quellen stammen.
Im Rahmen einer Online-Datenschutzerklärung kommt noch hinzu, dass jede Technologie, die z.B. auf der eigenen Website eingebunden ist und mit der personenbezogene Daten verarbeitet werden (insb. IP-Adressen), ebenfalls beschrieben werden muss. Dabei handelt es sich typischerweise um folgende Technologien:
- Analyse-Tools (Google/Universal Analytics, Matomo, Etracker, Facebook Pixel)
- Kontaktformulare
- Newsletter
- Online-Werbung (Google Ads)
- Cookies
- Social Plugins von Facebook, Twitter, LinkedIn, Instagram, YouTube
- Schriften von Drittanbietern (Google WebFonts, FontAwesome)
- Eingebettete Fremdinhalte (z.B. YouTube, Vimeo, Google Maps)
- Verschlüsselungsmethoden (SSL-/TLS-Zertifikat)
- Partnerprogramme (Amazon, eBay)
- Stellenausschreibungen/Online-Bewerberverfahren
- Gewinnspiele
- Meinungsumfragen
- Chat-Tools/-Bots
- Login/Kundenbereich
Die Pflichtinformationen sind online unter einem klar benannten und leicht auffindbaren Menüpunkt bereitzustellen (z.B. "Datenschutz", "Datenschutzerklärung" oder "Datenschutzhinweise"). Sie müssen jedoch nicht zwingend selbst erstellt, sondern können mit Hilfe von Datenschutz-Generatoren erstellt werden. Solche Angebote stehen online i.d.R. kostenfrei zur Verfügung stehen, beispielsweise von folgenden Anbietern:
Die Vorgaben aus Art. 13, 14 DSGVO gelten sowohl für den Online- wie auch für den Offline-Bereich, d.h. sie sind nicht nur in der Datenschutzerklärung auf der eigenen Website oder des eigenen Social-Media-Auftritts anzugeben, sondern auch in Bezug auf die eigentliche Kerntätigkeit, die offline stattfindet.
Praxistipp:
Auf der Website des Deutschen AnwaltVereins findet sich u.a. eine Vorlage sowohl für eine Online-Datenschutzerklärung als auch für allgemeine (Offline-) Datenschutzhinweise inklusive weiterführender Informationen ( www.anwaltverein.de/de/praxis/datenschutz ).
Werden Daten Dritter im Zuge der Aufnahme oder im Rahmen eines Mandatsverhältnisses an einen Berufsgeheimnisträger übermittelt, so besteht die Pflicht der übermittelnden Stelle zur Information der betroffenen Person gem. Art. 13 Abs. 3 DSGVO ...