Jeder kennt Sie: Die Datenschutzerklärung auf einer Internetseite – aber kennen Sie auch den Ursprung und die Bedeutung dieser „Erklärung“? In unserem Blogbeitrag gehen wir darauf ein, warum Informationen und Hinweise zum Datenschutz unerlässlich sind und warum die Bezeichnung „Erklärung“ nicht die beste Wahl ist.
Zu Beginn einer Datenverarbeitung werden i.d.R. personenbezogenen Daten durch den Verantwortlichen erhoben, was dazu führt, dass dieser für eine rechtskonforme Verarbeitung verantwortlich ist. Demnach muss er bei der Erhebung und Verarbeitung von personenbezogenen Daten die gesetzlichen Anforderungen der Datenschutzgrundverordnung (DSGVO) erfüllen, um den Betroffenen transparent über die geplante Verarbeitung sowie über seine Betroffenenrechte zu informieren. Diese Anforderungen ergeben sich aus Artikel 13 bzw. Art. 14 DSGVO und verweisen auf die sogenannte Informationspflicht.
Der nachfolgende Blogbeitrag befasst sich damit, wie diese Pflicht ausgestaltet sein muss, gibt Empfehlungen zur Umsetzung und bezieht sich zur Vereinfachung insbesondere auf die Vorgaben des Art. 13 DSGVO.
Pflicht zur Bereitstellung von Informationen
Die Anforderungen an die Informationspflicht ergeben sich überwiegend aus Art. 13 DSGVO. In diesem Artikel wird bereits im ersten Satz darauf verwiesen, dass die Pflicht zur Information zum Zeitpunkt der Erhebung gilt. Dadurch wird verdeutlicht, dass keine Erhebung von personenbezogenen Daten und damit i.d.R. auch keine andere Verarbeitung von personenbezogenen Daten erfolgen darf, wenn keine entsprechende Information bereitgestellt wurde. Somit ergibt sich eine große Relevanz für die datenschutzrechtliche Praxis.
Zur Einhaltung der Informationspflicht bietet es sich an, ein entsprechendes Dokument zu erstellen, welches die Vorgaben aus Art. 13 Abs. 1 und 2 DSGVO beinhaltet. Damit soll die betroffene Person transparent über die Erhebung und über die folgende Verarbeitung Ihrer Daten informiert werden. Somit soll vermieden werden, dass die Datenverarbeitung unverhältnismäßig ist, ohne Kenntnis der betroffenen Person erfolgt, die Umstände der Datenverarbeitung für die betroffene Person nicht nachvollziehbar sind und das die betroffene Person Verstöße gegen diese Angaben erkennt und sich rechtlich dagegen wehren kann.
Bezeichnung und Verwendung von Informationspflichten
Die Bezeichnung der Informationen oder des Dokuments zur Informationspflicht sorgt häufig für Unsicherheit, da es keine rechtlich vorgegebene und somit einheitliche Bezeichnung gibt. Die häufigsten Bezeichnungen lauten: Datenschutzhinweise, Datenschutzinformationen, Pflichtinformationen, Datenschutzerklärung oder Datenschutzrichtlinie. All diese Bezeichnungen meinen i. d. R. das gleiche Dokument, welches nachfolgend zur Vereinfachung als „Datenschutzhinweise“ bezeichnet wird. Die Begriffe Datenschutzerklärung und Datenschutzrichtlinie sollten vermieden werden, da diese den Eindruck erwecken, dass eine Zustimmung nötig ist bzw. ein verbindlicher Charakter der Datenschutzhinweise besteht. Dies entspricht aber nicht dem eigentlichen Zweck der Hinweise, da es sich bei Datenschutzhinweisen nach Art. 13 bzw. Art. 14 DSGVO um eine reine Information handelt.
Diese Informationen haben keinen verbindlichen Charakter, sondern sollen lediglich für eine transparente Datenverarbeitung sorgen. Daraus folgt, dass entgegen der weit verbreiteten Meinung keine Zustimmung zu den Datenschutzhinweisen (z.B. durch eine Checkbox) notwendig ist. Datenschutzhinweise müssen lediglich zur Kenntnis genommen werden können und dafür entsprechend bereitgestellt werden.
Anwendungsszenarien
Die Bereitstellung von Datenschutzhinweisen ist in verschiedenen Situationen und zu verschiedenen Anlässen notwendig. Die Bereitstellung sollte der Regelfall bei der Verarbeitung von personenbezogenen Daten sein und stets unmittelbar vor oder bei der Datenerhebung erfolgen. Folgende Beispiele sind exemplarisch zu nennen:
- Datenschutzhinweise für Kunden und Lieferanten
- Datenschutzhinweise für Bewerber
- Datenschutzhinweise bei der Einwilligung für Fotoaufnahmen oder in einem Consent-Management
- Datenschutzhinweise für die Internetseite (oftmals bekannt als „Datenschutzerklärung“)
- Datenschutzhinweise zur Nutzung eines Tools, wie z.B. Zoom
Ausgestaltung der Datenschutzhinweise
Die Ausgestaltung der Datenschutzhinweise ergibt sich, wie erwähnt, durch die gesetzlichen Vorgaben. Dabei kann grob in allgemeine Angaben und in spezifische Angaben zur Verarbeitung unterschieden werden.
Die allgemeinen Angaben variieren selten und sind grundsätzlich wie folgt anzugeben:
- Name und Kontaktdaten des Verantwortlichen
- Kontaktdaten des Datenschutzbeauftragten (sofern vorhanden)
- Hinweise zu den bestehenden Betroffenenrechten und zum Beschwerderecht bei einer Aufsichtsbehörde
Die spezifischen Angaben ergeben sich je nach Anwendungsfall und sorgen daher dafür, dass diese häufig variieren. Demnach sind folgende Angaben i.d.R. anhand der jeweiligen Verarbeitung auszugestalten:
- Zweck und Rechtgrundlage der Verarbeitung (Beschreibung aufgrund der Transparenzpflicht),
- Empfänger der Daten bzw. Kategorien der Empfänger
- Speicherdauer der verarbeiteten personenbezogenen Daten (hier sind die jeweiligen Aufbewahrungsfristen zu berücksichtigen)
- Information dazu, ob die Bereitstellung der Daten gesetzlich/vertraglich vorgeschrieben ist, ob dies verpflichtend ist und was die Folge bei einer Nichtbereitstellung ist
Je nach Verarbeitung können darüber hinaus noch gesonderte Angaben notwendig werden:
- Das berechtigte Interesse, wenn eine Verarbeitung auf dieser Rechtsgrundlage beruht
- Hinweise auf eine Drittlandsübermittlung und die Maßnahmen, die in diesem Fall für den Schutz der Daten ergriffen werden, wenn eine Drittlandsübermittlung stattfindet.
- Die Möglichkeit eine Einwilligung zu widerrufen, wenn eine Einwilligung durch die betroffene Person gegeben wurde
- Hinweis auf eine automatisierte Entscheidungsfindung bzw. auf ein Profiling, wenn eine solche Verarbeitung besteht
- Ergänzungen bei einer Informationspflicht nach Art. 14 DSGVO
Die allgemeinen Angaben als Grundgerüst sowie die notwendigen Ergänzungen der spezifischen Angaben und die ggf. notwendige Ergänzung von gesonderten Angaben ergeben am Ende die vollständigen Datenschutzhinweise.
Bei der Ausgestaltung der Datenschutzhinweise sind noch die Vorgaben aus Art. 12 Abs. 1 und Abs. 5 DSGVO zu beachten. Die Datenschutzhinweise müssen demnach in einer klaren und einfachen Sprache gestaltet sein und in präziser, transparenter, verständlicher und zugänglicher Form verfügbar sein. Außerdem müssen Datenschutzhinweise immer unentgeltlich zur Verfügung gestellt werden. Im Sinne der Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO ist eine Versionierung und Speicherung (alter) Versionen im Sinne der Verteidigung bei Rechtsangelegenheiten empfehlenswert.
Praxistipps
Aus der Erfahrung heraus vereinfachen diese Praxistipps die Umsetzung der gesetzlichen Anforderungen und verbessern somit die Rechtskonformität:
- Checkboxen oder ähnliche Zustimmungsverfahren entfernen
- Darstellung der Datenschutzhinweise wird vereinfacht
- Gestaltung ist nutzer- und anwenderfreundlicher
- Datenschutzhinweise zentral bereitstellen
- Aktualisierung der Datenschutzhinweise sorgt für geringeren Aufwand
- Einfacherer Verweis auf die Datenschutzhinweise (Link/QR-Code/Aushang)
- Datenschutzhinweise leicht erreichbar und verständlich machen
- Vermeidung von störenden Pop-Ups z.B. auf der Webseite
- Deutlicher Hinweis auf Bereitstellungsort
- Bei Bedarf barrierefreie und mehrsprachige Version erstellen
Kurz gelesen
Im Bereich „Kurz gelesen“ fassen wir die wichtigsten Inhalte dieses Blogbeitrags für Sie zusammen.
Drei wesentliche Erkenntnisse sollten Sie aus diesem Beitrag mitnehmen:
- Datenschutzhinweise sind i.d.R. bei Beginn einer Datenverarbeitung notwendig
- Die Ausgestaltung und Darstellungsform ergeben sich aus dem Gesetz und anhand der jeweiligen Verarbeitung
- Begriffe wie Datenschutzerklärung und Datenschutzrichtlinie sollten vermieden werden
Bildquelle: Foto von Marcel Eberle auf Unsplash