Neue Anforderungen an Datenschutzerklärung nach der DSGVO ab Mai 2018

Ein Großteil der Unternehmen ist auf die zwingenden Anforderungen der DSGVO noch nicht oder nur unzureichend vorbereitet. Viele Berater im Umfeld des Datenschutzes sind aktuell überlastet, so dass die Umsetzung der Anforderungen der DSGVO zum Stichtag schwierig, wenn nicht gar unmöglich ist. Eine fehlende oder unzureichende Umsetzung birgt jedoch nicht zu unterschätzende Gefahren für Unternehmen.

Abmahngefahr bei fehlender Umsetzung zum Stichtag

Werden die zwingenden Anforderungen der DSGVO nicht fristgerecht umgesetzt, so sollten Unternehmen nicht mehr darauf setzen, dass die Aufsichtsbehörde mangels Kapazität schon nichts mitbekommen wird. Denn zukünftig werden Verbände ein eigenes Klagerecht erhalten Zusätzlich drohen Abmahnungen von Mitbewerbern, da Datenschutzvorschriften als Marktverhaltensregelungen im Sinne des UWG gelten. Diese Gefahren sind naturgemäß dort am größten, wo Unternehmen für jedermann ersichtlich öffentlich werben: im Internet!

Diese Anpassung betrifft insbesondere die Datenschutzerklärung auf der Website. Bereits mit der Bereitstellung simpler Websites ist bei Verarbeitung personenbezogener Daten der Anwendungsbereich der DSGVO eröffnet. Dort werden unter anderem über Kontaktformulare, Newsletter-Anmeldeformulare sowie über die Verwendung von Cookies personenbezogene Daten der Website-Nutzer verarbeitet, beispielsweise Name, Adresse und IP-Adresse.

DSGVO-konforme Datenschutzerklärung

Die Pflichtinformationen nach Art. 13 DSGVO sind deutlich umfangreicher als nach dem alten Bundesdatenschutzgesetz (BDSG).

  • Die verpflichtende Angabe des Namen und der Kontaktdaten des Verantwortlichen bestand auch nach der „alten“ Rechtslage.
    Neu ist jedoch die verpflichtende Angabe von Namen und Kontaktdaten des Vertreters, sollte der Verantwortliche nicht in der Union niedergelassen sind.
  • Neu: Sollte der Verantwortliche einen Datenschutzbeauftragten bestellt haben, sind dessen Kontaktdaten (E-Mail-Adresse) in der Datenschutzerklärung verpflichtend anzugeben.
  • Die Zwecke der Verarbeitung der personenbezogenen Daten müssen - wie auch schon nach der „alten Rechtslage“ - nach der DSGVO angeben werden
  • Neu: Die wohl bedeutsamste Änderung ist die Pflicht zur Benennung der Rechtsgrundlage (gesetzlicher Erlaubnistatbestand oder Einwilligung) der Verarbeitung. Hier ist besonderes Fingerspitzengefühl gefragt, weil unter dem Verbot mit Erlaubnisvorbehalt mit der Rechtsgrundlage die Rechtmäßigkeit der Verarbeitung steht und fällt.
  • Neu: Sollte die Verarbeitung auf den Erlaubnistatbestand des Art. 6 Abs. 1 Buchst. f. DSGVO („Wahrung berechtigter Interessen“) gestützt werden, sind die berechtigten Interessen des Verantwortlichen oder eines Dritten zu bezeichnen. Diesem Erlaubnistatbestand kommt insbesondere bei der Verwendung von Cookies eine große Bedeutung zu. Hierzu werden wir in Kürze einen gesonderten Beitrag veröffentlichen.
  • Werden die personenbezogenen Daten an Dritte übermittelt, sind die Empfänger oder Kategorien von Empfängern in der Datenschutzerklärung anzugeben. Im Rahmen von Datenschutzerklärungen auf Websites wird dies insbesondere relevant, wenn Analyse-Tools wie Google Analytics verwendet werden.
  • Werden personenbezogene Daten ins EU/EWR-Ausland übermittelt, muss darüber informiert werden.
  • Neu: In der Datenschutzerklärung muss nach der DSGVO die Speicherdauer oder die Kriterien für die Festlegung der Speicherdauer angegeben werden. Hierbei kommt der Grundsatz der „Speicherbegrenzung“ (Art. 5 Abs. 1 Buchst. e DSGVO) zum Tragen. Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.
  • Neu: Die Informationspflichten bezüglich der Betroffenenrechte sind merklich umfangreicher geworden. Verantwortliche haben über die jeweils einschlägigen Rechte nach Art. 15 ff. DSGVO zu informieren. Neu sind die Rechte auf „Vergessenwerden“, auf Einschränkung der Verarbeitung, auf Datenübertragbarkeit und Widerspruch sowie das Bestehen eines Beschwerderechts bei der Aufsichtsbehörde. Erfolgt die Verarbeitung der personenbezogenen Daten auf Grundlage einer Einwilligung, muss über das Bestehen eines Widerrufsrechts informiert werden
  • Neu: Schließlich muss darüber informiert werden, ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben ist oder für einen Vertragsabschluss erforderlich ist und welche Folgen es hat, wenn der betroffene Nutzer einer etwaigen Verpflichtung nicht nachkommt.

Information vor Erhebung

Wichtig ist, dass der betroffene Website-Nutzer vor Erhebung über die Verarbeitung seiner Daten informiert werden muss. Bezogen beispielsweise auf das Kontaktformular bedeutet dies, dass er die Möglichkeit zur Kenntnisnahme der Datenschutzerklärung vor Übermittlung der Nachricht an den Verantwortlichen haben muss.

Form der Datenschutzerklärung

Art. 12 Abs. 1 DSGVO schreibt vor, dass die Informationen „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ bereitzustellen sind. „Komplizierte Juristensprache“ sollte daher möglichst vermieden werden. Der Informationspflicht kann auch über visuelle Bildelemente nachgekommen werden.

Die Datenschutzerklärung sollte in Form eines Links über die Startseite der Website sowie über Unterseiten, auf denen die Datenerhebung erfolgt, erreichbar sein.

Praxistipp

Seien Sie bei der Auswahl der Rechtsgrundlage vorsichtig: Einmal daneben gegriffen, bietet sie eine Angriffsfläche für missliebige Wettbewerber. Denn auch bei einer unrichtigen Datenschutzerklärung kann ein Verstoß gegen eine Marktverhaltensregel vorliegen, was die Gefahr einer kostenpflichtigen Abmahnung birgt.

Sie interessiert das Thema und wünschen nähere Informationen?

Sie hätten gern ein persönliches Beratungsgespräch zu diesem Thema?
Wir stehen Ihnen gerne zur Verfügung und freuen uns über Ihre Kontaktaufnahme.
E-Mail: Rechtsanwalt Tröber