DSGVO Basics, Teil 2: Die Datenschutzerklärung(en)

Nach unserer Einführung ins Thema setzen wir unsere Reihe dazu fort, wie Sie Ihr kleineres IT-Unternehmen fit für die am 25. Mai 2018 in Kraft tretende EU-Datenschutzgrundverordnung (DSGVO) machen. Hier geht es um einen recht leicht umsetzbaren Schritt, die sog. Datenschutzerklärung(en) bzw. Datenschutzhinweise.

Datenschutzerklärungen nach „altem“ Recht (BDSG, TMG)

Wie für das gesamte „neue“ Datenschutzrecht gilt auch für Datenschutzerklärungen: Das „Datenschutz-Rad“ ist mit ihr nicht neu erfunden worden, zumindest nicht aus deutscher Sicht. Das meiste, was an Anforderungen in der DSGVO steht, ist auch schon nach geltendem Recht, also vor allem nach dem BDSG, erforderlich. Nur ist es dort nicht so klar und ausführlich geregelt, und die Sanktionen bei Verstößen sind nicht so hoch.

Dass man den Betroffenen (so nennt man die Person, deren personenbezogene Daten verarbeitet werden) über eine Verarbeitung seiner Daten informieren muss, ergibt sich aus § 4 Abs. 3 BDSG und (speziell für Online-Angebote, sog. Telemedien) aus § 13 Abs. 1 TMG. Die Information erfolgt in der Praxis in der Regel über eine sogenannte Datenschutzerklärung. Der Betroffene muss diese zu Beginn einer Verarbeitung akzeptieren, und dann muss sie im Rahmen der Nutzung ständig abrufbar sein. So kommt es, dass die meisten Websites einen Link auf eine Datenschutzerklärung haben – unsere natürlich auch.

Die gesetzlichen Anforderungen an die Datenschutzerklärung waren bisher eher knapp gehalten. Gesetzlich gefordert ist insbesondere die Information über alle bestehenden Verarbeitungsvorgänge bezogen auf personenbezogene Daten sowie über die Rechte des Betroffenen. Aus diesen Vorgaben hat sich eine Art „Marktstandard“ entwickelt, der zum Teil auch weiter gehende Informationen umfasst.

Datenschutzerklärungen nach der DSGVO

Im Vergleich zu den relativ knapp formulierten Anforderungen der oben genannten Vorschriften regeln die Art. 13 und 14 der DSGVO nun ziemlich detailliert, was in einer Datenschutzerklärung stehen muss (auch wenn der Begriff der Datenschutzerklärung auch hier nicht fällt).

Für Betreiber von Webseiten und Onlinediensten ist normalerweise nur Art. 13 DSGVO von Bedeutung, der die Erhebung von Daten direkt beim Betroffenen regelt. Der von Art. 14 DSGVO geregelte Fall, die Verarbeitung von Daten, die nicht beim Betroffenen selbst erhoben wurden, ist hier kaum relevant. (Zu den weiteren Fällen, in denen Sie separate Datenschutzerklärungen brauchen, kommen wir weiter unten.)

Aus diesen Vorschriften ergibt sich nun einigermaßen genau, welche Angaben in der Datenschutzerklärung enthalten sein müssen.

Die Anforderungen im Einzelnen

Aus Art. 13 DSGVO ergeben sich im Vergleich zur aktuellen Rechtslage die folgenden Änderungsschritte bezogen auf die Datenschutzerklärung:

• Während bisher in der Datenschutzerklärung nur das verantwortliche Unternehmen selbst mit Kontaktdaten anzugeben war, ist nun auch der Datenschutzbeauftragte mit seinen Kontaktdaten zu nennen, falls das Unternehmen einen bestellen muss (dazu mehr in einem späteren Beitrag). Falls Ihr Unternehmen einen internen Datenschutzbeauftragten hat, muss dieser also namentlich genannt sein.
• Die wichtigste (und nervigste) Änderung: Bisher mussten Sie in der Datenschutzerklärung die einzelnen Verarbeitungsschritte nennen und dazu den Zweck, zu dem die Verarbeitung stattfinden muss. Klassisches Beispiel ist die Erhebung von Nutzerdaten (z.B. Name, Anschrift und E-Mail-Adresse) zum Zwecke der Vertragsabwicklung. Nun ist zu jedem Schritt die zugehörige Rechtsgrundlage zu nennen. Im Beispiel wäre das übrigens Art. 6 (1) b) DSGVO. (Ob diese Anforderung außer uns Anwälten jemandem nützt, bezweifle ich stark.)
• Hinzu kommt: Besteht der Rechtfertigungsgrund für einen Verarbeitungsschritt in einem berechtigten Interesse, das die Rechte des Betroffenen überwiegt (Art. 6 (1) f) DSGVO), ist das berechtigte Interesse konkret zu benennen. Dieser Fall ist sehr relevant, wenn Daten verarbeitet werden, die für das Vertragsverhältnis an sich nicht unbedingt nötig sind. Beispiele sind die Protokollierung von Nutzungsdaten.
• Sie müssen die Empfänger oder Kategorien von Empfängern personenbezogener Daten nennen.
• Sie müssen angeben, ob personenbezogene Daten in Drittstaaten übermittelt werden, also z.B. in Staaten außerhalb der EU, und wenn ja, wie diese Übermittlung rechtlich abgesichert ist. Relevant ist dies z.B., wenn Sie Ihren Onlinedienst oder Ihre bei einem Anbieter aus den USA hosten.

Sie müssen außerdem die folgenden Informationen für Ihre Nutzer liefern:

• Sie müssen – differenziert nach Arten der verarbeiteten Daten – angeben, wie lange Sie diese Daten speichern und wann bzw. nach welchen Grundsätzen Sie diese löschen. Diese Anforderung ist neu und alleine die Ausarbeitung eines entsprechenden Konzepts stellt Anbieter häufig vor größere Probleme.
• Sie müssen Nutzer über Ihre Rechte aufklären. Diese Pflicht gab es schon vorher, aber da die Betroffenenrechte erweitert wurden, wächst auch der Umfang dieser Belehrung.
• Nutzer sind auch darüber zu belehren, dass sie ein Beschwerderecht bei einer Aufsichtsbehörde haben. Wir empfehlen in diesem Zusammenhang, die Kontaktdaten der für das Unternehmen zuständigen Behörde zu nennen.
• Wenn die Verarbeitung personenbezogener Daten eine Einwilligung des Nutzers erfordert (nach Art. 6 (1) a) DSGVO), ist der Nutzer darauf hinzuweisen, dass er diese Einwilligung jederzeit widerrufen kann und welche Auswirkungen das hat.

Hinzu kommen ein paar weitere Informationspflichten, die für Sie normalerweise nicht relevant sind und die wir hier deshalb aus Platzgründen nicht weiter erläutern.

Noch Fragen? Tun Sie mir einen Gefallen: Versetzen Sie sich kurz in die Lage einen normalen Menschen, der keine zehn Semester Jura studiert hat und der Ihren Onlinedienst nutzen möchte. Angenommen, dieser Mensch möchte wissen, was auf Ihrem Onlinedienst mit „seinen“ Daten geschieht: Ist ihm mit diesem Katalog an Pflichtangaben geholfen? Braucht er vor allem Angaben zu relevanten Vorschriften der DSGVO? Gibt es keine einfacheren Wege, seinen Anliegen gerecht zu werden?

Hilft Ihnen ein Online-Generator für Datenschutzerklärungen?

Die meisten „einfachen“ Websites verarbeiten personenbezogene Daten, wenn überhaupt, dann mit Standard-Verarbeitungsschritten. Zu diesen Standards zählen wir zum Beispiel:

• Verarbeitung von Angaben für die Nutzerregistrierung
• Nutzung von Daten für Newsletter-Anmeldung, Blog-Kommentare etc.
• Nutzung von IP-Adressen für Analyse-Tools wie Google-Analytics
• Tracking durch Cookies und Social-Media-Buttons (z.B. den Like-Button von Facebook)
• Nutzung von Daten durch Zahlungsdienstleister

Wenn sich die Verarbeitungsschritte auf Ihrer Website auf diese Standards beschränken, müssen Sie mit Ihrer Datenschutzerklärung aus unserer Sicht nicht zum Anwalt gehen.

Wie schon zur BDSG/TMG-konformen Datenschutzerklärung gibt es jetzt schon Online-Generatoren für Datenschutzerklärungen, die alle Standards abdecken und durchaus brauchbare Ergebnisse liefern. Beispiele hierfür:

• Generator von Dr. Thomas Schwenke
• Generator von Trusted Shops (besonders für Onlineshops geeignet)

Wir empfehlen die Nutzung dieser Generatoren gerade bei kleineren Websites ohne größere Besonderheiten.

Sie sollten Ihre Datenschutzerklärung vor allem dann von einem Anwalt entwerfen bzw. überarbeiten lassen, wenn das, was Sie mit personenbezogenen Daten Ihrer Nutzer tun, von den Standards abweicht. Das ist vermutlich dann der Fall, wenn Ihr Webangebot weniger eine Website als eher ein „ausgewachsener“ Onlinedienst ist, d.h. Sie mit Ihren Nutzern in einer komplexeren Leistungsbeziehung stehen. Dies hat normalerweise auch Auswirkungen auf die Verarbeitung personenbezogener Daten, die sich nicht mehr so leicht in bestimmte Schemata pressen lässt.

Weitere Datenschutzerklärung(en)

Die Datenschutzerklärung für Ihre Website bzw. für Ihren Onlinedienst ist in der Praxis die wohl wichtigste (da sie veröffentlicht ist), aber sie ist nicht alles. Auch alle übrigen Verarbeitungen personenbezogener Daten müssen Sie in dieser Form dokumentieren und Ihre Geschäftspartner informieren.

Dies betrifft zusätzlich die folgenden Fälle:

• Vertragsbeziehungen mit Ihren Kunden (in diesem Fall können Sie die Datenschutzhinweise z.B. Ihren AGB beifügen – wie Sie das in laufenden Vertragsbeziehungen wirksam vollziehen, erfahren Sie hier.),
• Vertragsbeziehungen mit Lieferanten, Dienstleistern und sonstigen Geschäftspartnern
• Vertragsbeziehungen mit Ihren Mitarbeitern (in diesem Fall sollten Sie die Datenschutzhinweise z.B. Ihren Arbeitsverträgen beifügen).

Der Entwurf dieser Dokumente ist üblicherweise gerade für kleinere Unternehmen wenig komplex, wird aber häufig übersehen.

Alles OK mit Ihren Datenschutzerklärungen?

Die meisten Schritte auf dem Weg zur Einhaltung datenschutzrechtlicher Vorgaben spielen sich im Unternehmen „hinter verschlossenen Türen“ ab. So muss z.B. das Verarbeitungsverzeichnis (auf das wir hier später eingehen) nur für den Fall bereitgehalten werden, dass eine Aufsichtsbehörde die Einsicht verlangt.

Die Datenschutzerklärung – zumindest die für Ihre Website bzw. Ihren Onlinedienst – dagegen ist in der Regel öffentlich einsehbar, Verstöße gegen Rechtsvorschriften sind damit für Außenstehende leicht zu erkennen. Abmahnungen von Konkurrenten und Verbraucherverbänden sind schon nach geltendem Recht möglich. Auch kleinere IT-Unternehmen sollten sich hier also keine Blöße geben!

Wir helfen Ihren und Ihrem IT-Unternehmen gerne beim Update oder auch beim Neuentwurf Ihrer Datenschutzerklärung(en). Auf unserer Produktseite erfahren Sie, welche Leistungen wir im Zusammenhang mit Datenschutzerklärungen / Datenschutzhinweisen für Sie erbringen und was Sie das kostet.

Redaktionelle Anmerkung: Dieser Artikel wurde erstmals am 26. Februar 2018 veröffentlicht und zuletzt am 6. März 2019 inhaltlich überarbeitet.