Datenschutzerklärung und Informationspflichten gegenüber Betroffenen

Mit der am 25.05.2018 endgültig in Kraft getretenen Datenschutzgrundverordnung (DSGVO) wurden die bislang bestehenden Informationspflichten des Verantwortlichen von Datenverarbeitungen gegenüber dem Betroffenen erweitert und verschärft.

Diese Informationspflichten gelten für einen äußerst großen Personenkreis, denn die treffen jeden, der personenbezogene Daten verarbeitet. Dieses Kriterium dürfte schon bei jedem Betreiber einer Webseite erfüllt sein, auf der eine Verarbeitung von Nutzerdaten erfolgt.

Durch die nun weitergehenden Informationspflichten ist die inhaltliche Überarbeitung bestehender Datenschutzerklärungen zur Anpassung an das neue Datenschutzrecht unerlässlich geworden.

I. Grundsätzliches und Überblick zu bestehenden Informationspflichten

Das Erfordernis von Informationspflichten konkretisiert das in Art. 5 Abs. 1 lit. a) DSGVO zum Ausdruck gekommene allgemeine Transparenzgebot bei der Datenverarbeitung. Der Betroffene soll stets Gelegenheit erhalten, Datenverabeitungsprozesse nachvollziehen und prüfen zu können.

Daher verpflichtet Art. 12 DSGVO den Verantwortlichen, dem Betroffenen umfassende Informationen über die Datenverarbeitung mitzuteilen. Die einzelnen zu übermittelnden Informationen legt Art. 13 DSGVO fest; bzw. Art. 14 DSGVO, sofern die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden.

Besteht bei einer Person Ungewissheit darüber, ob eine verantwortliche Stelle sie betreffende personenbezogene Daten verarbeitet, räumt Art. 15 DSGVO ihr ein entsprechendes Auskunftsrecht darüber ein.

Art. 34 DSGVO enthält die Pflicht, bei bereits eingetretenen Datenschutzverletzungen mit hohem Risiko für die persönlichen Rechte und Freiheiten des Betroffenen diesen darüber zu informieren.

Nachfolgend soll näher aufgezeigt werden, welche Anforderungen insbesondere an Datenschutzerklärungen nunmehr zu beachten sind:

II. Anforderungen an Datenschutzerklärungen

Grundlegend ist zunächst darauf zu achten, dass die Informationen einer Datenschutzerklärung präzise, transparent, in leicht zugänglicher Form und einer klaren und einfachen Sprache zur Verfügung gestellt werden (Art. 12 Abs. 1 DSGVO). Es ist deshalb etwa bei Webseiten empfehlenswert, den Link zur Datenschutzerklärung ähnlich wie das Impressum direkt über die Startseite zu setzen.

Durch Art. 13 DSGVO werden die inhaltlichen Anforderungen an Datenschutzerklärungen nun deutlich erweitert. Sämtliche der folgenden Mitteilungen haben zum Zeitpunkt der Datenerhebung zu erfolgen.

1. Person des Verantwortlichen

Nicht überraschend erscheint es, über die Person des Verantwortlichen und dessen Kontaktdaten zu informieren. Wichtig ist nunmehr im Hinblick auf Art. 27 DSGVO aber auch die Benennung eines Vertreters des Verantwortlichen innerhalb der EU, sofern letzterer nicht in einem EU-Mitgliedsstaat niedergelassen ist.

Sofern bei dem Verantwortlichen ein Datenschutzbeauftragter vorhanden ist, was bei Unternehmen verpflichtend der Fall sein kann (dazu Art. 35 ff. DSGVO), sind auch dessen Kontaktdaten anzugeben.

2. Zwecke und Rechtsgrundlage der Verarbeitung

 

Daneben sind die Zwecke und die Rechtsgrundlage der Verarbeitung klar zu benennen. Die Rechtgrundlage richtet sich nach Art. 6 DSGVO. In Betracht kommen hierbei in erster Linie die Einwilligung des Betroffenen sowie die Verarbeitung bei Wahrnehmung berechtigter Interessen. Letzteres ist z.B. zur Vertragserfüllung, etwa dem Kauf von Waren oder der Buchung von Dienstleistungen notwendigerweise der Fall. Die berechtigten Interessen sind immer in der Datenschutzerklärung anzugeben.

Es ist außerdem klarzustellen, in wie weit die Bereitstellung der Daten für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte.

Wichtig in diesem Zusammenhang ist es, im Bezug auf Einwilligungen das Koppelungsverbot aus  Art. 7 Abs. 4 DSGVO zu beachten. Einwilligungen etwa in zur Vertragserfüllung notwendige dürfen nicht an freiwillige Datenerhebungen wie das Versenden von Werbung gekoppelt werden.

Möchte der Verantwortliche die zu einem bestimmten Zweck, etwa einer Vertragserfüllung, erhobenen personenbezogenen Daten für einen gänzlich anderen Zweck wie z.B. der Marktforschung weiterverarbeiten, so hat er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen zur Verfügung zu stellen.

3. Speicherungsdauer

 

Konkret angegeben werden muss auch, wie lange personenbezogene Daten gespeichert werden. Ist die Angabe einer konkreten Zeitspanne für den Verantwortlichen nicht möglich, genügen ausnahmsweise auch Kriterien für die Festlegung der endgültigen Dauer der Speicherung.

4. Hinweis auf die Rechte des Betroffenen

Erforderlich ist zudem, den Betroffenen auf sämtliche seiner Rechte hinzuweisen. Diese sind in den Art. 15 – 21 DSGVO aufgeführt.

Dazu gehören das bereits erwähnte Auskunftsrecht darüber, ob überhaupt personenbezogene Daten verarbeitet werden (Art. 15 DSGVO), ferner die Rechte hinsichtlich Berichtigung (Art. 16 DSGVO) und Löschung (Art. 17 DSGVO). Der Betroffene ist ebenso über sein Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO), sein Widerspruchsrecht (Art. 21 DSGVO) gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit (Art. 20 DSGVO) und das Beschwerderechts bei einer Aufsichtsbehörde hinzuweisen.

III. Fazit

Offenkundig sind die bestehenden Informationspflichten umfangreich und teilweise unübersichtlich. Gleichzeitig sollen Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermittelt werden. Für die rechtssichere Formulierung von Datenschutzerklärungen bedeutet dies, dass eine fachkundige Beratung in vielen Fällen zu sehr empfehlen ist.