Inzwischen hat wohl auch die letzte Verantwortliche Stelle mitbekommen, dass gemäß Artikel 13 Absatz 1 DS-GVO die betroffene Person zum Zeitpunkt der Datenerhebung umfassend über sämtliche Details der geplanten Datenverarbeitung zu informieren ist. Dies gilt sowohl für analoge, als auch für digitale Datenerhebungen. Somit ist auch für jeden Internetauftritt die Datenschutzerklärung zwingend erforderlich. Für den Betreiber der Webseite bedeutet dies regelmäßig einen hohen Aufwand, da dieser z.B. wissen muss, was auf der Webseite konkret passiert und wie bzw. wann er welche Daten der Besucher verarbeitet und nutzt. Zu guter Letzt muss er die zum Teil komplexen technischen Vorgänge auch noch klar, transparent und verständlich beschreiben. Diese Anforderungen zu erfüllen ist nicht immer trivial.
In der Realität entsteht anstelle der gewünschten Datenschutzerklärung häufig eine „DatenschutzVERklärung“: Intransparente, unvollständige, irreführende oder gar falsche Informationen verunsichern die Webseitenbesucher häufig und irritieren darüber hinaus. Dies ist sicherlich einer der Gründe dafür, dass kaum ein Webseitenbesucher auch tatsächlich die dort angebotenen Informationen im Detail liest. Das geht am eigentlich sehr sinnvollen Zweck der Forderungen aus Artikel 13 – der auch auf das aus Deutschland bekannte Recht auf informationelle Selbstbestimmung hinwirkt – vorbei. Der Verantwortlichen Stelle ausschließlich Kalkül zu unterstellen wäre aber zu weit gegriffen. Die Anforderungen an eine rechtskonforme Datenschutzerklärung sind hoch und werden im Folgenden – so transparent und verständlich – wie eben möglich dargestellt. Wenn Sie diese Hinweise berücksichtigen, wird aus der „DatenschutzVERklärung“ im Handumdrehen die Datenschutzerklärung.
Sinn der Datenschutzerklärung
Der Sinn und Zweck einer jeden Datenschutzerklärung ist es, die Betroffenen ausführlich darüber zu informieren, zu welchen Zwecken und unter welchen Rahmenbedingungen die Verarbeitung stattfindet. Die betroffene Person soll in der Lage sein eine gut fundierte Entscheidung zu treffen, ob die geplante Datenverarbeitung auf Basis der bereitgestellten Informationen akzeptabel ist oder nicht.
Wer muss eine Datenschutzerklärung bereitstellen?
Grundsätzlich müssen sowohl Unternehmen, als auch öffentliche Einrichtungen innerhalb der Europäischen Union und des Europäischen Währungsraumes, die einen Internetauftritt betreiben die Anforderungen des Artikel 12, 13 und ggf. 14 Datenschutz-Grundverordnung (DS-GVO) erfüllen und somit eine Datenschutzerklärung bereitstellen. Darüber hinaus gilt diese Anforderung ebenso für Unternehmen außerhalb der Union, die im Rahmen von Waren oder Dienstleistungen die Daten von Personen verarbeiten, die sich innerhalb der Union befinden. Diese Anforderungen ergeben sich aus Artikel 3 Absatz 1 und 2 DS-GVO. Darüber hinaus gilt in Deutschland nach wie vor das Telemediengesetz (TMG), welches in § 13 „Diensteanbieter“ dazu verpflichtet, den Nutzer „zu Beginn des Nutzungsvorganges über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten […] zu unterrichten“. Gemäß § 2 Nr. 1 TMG ist jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt, ein Diensteanbieter.
Aus diesem Grund ist auf jeder Internetseite – egal ob privat oder geschäftlich – eine Datenschutzerklärung verpflichtend bereitzustellen.
Welche Anforderungen muss die Erklärung erfüllen?
Die Anforderungen ergeben sich aus Artikel 12 Absatz 1 DS-GVO. Demnach sind bei der Bereitstellung der Informationen einige Aspekte zu berücksichtigen. Die Informationen müssen präzise formuliert sein. Eine umschweifende (V)Erklärung der Datenverarbeitung ist nicht erwünscht. Anstelle dessen ist wichtig, kurz, knapp und möglichst transparent zu beschreiben, was genau mit den Daten passiert. Die Transparenz zielt dabei auch auf eine Vollständigkeit und Aktualität der Informationen ab. Zudem sollen die Informationen verständlich und in einer klaren und einfachen Sprache bereitgestellt werden. Von technischem „Kauderwelsch“ ist also – so gut wie eben möglich – Abstand zu nehmen. Die Erklärung muss von jeder Person verstanden werden können, an die das Angebot der Webseite gerichtet ist.
Darüber hinaus muss die Datenschutzerklärung leicht zugänglich sein. Diese Anforderung können Sie erfüllen, indem die Datenschutzerklärung stets nur „einen Klick entfernt“ ist. Hier ein Hinweis: Cookie-Banner, die den Link der Datenschutzerklärung in der Fußzeile verdecken, verhindern häufig, dass Sie die diese Anforderung erfüllen.
Wann müssen Sie die Anforderung erfüllen?
Gemäß Artikel 13 Absatz 1 DS-GVO „teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung“ die erforderlichen Informationen mit. Dementsprechend sind grundsätzlich sämtliche Informationspflichten spätestens zum Zeitpunkt der Datenerhebung zu erfüllen.
Welche Inhalte muss eine Datenschutzerklärung beinhalten?
Die Pflichtinhalte ergeben sich aus Artikel 13 Absatz 1 und 2 DS-GVO und decken auch die Anforderungen aus dem TMG ab. Folgende Informationen müssen Sie bereitstellen:
- Die Nennung der verantwortlichen Stelle inkl. Name, Anschrift und Kontaktdaten wie einer E-Mail-Adresse.
- Sofern ein Datenschutzbeauftragter bestellt ist, Kontaktdaten unter denen der DSB – auch vertraulich und ohne Kenntnisnahme der Verantwortlichen Stelle – kontaktiert werden kann.
- Die Zwecke und Ziele der Datenverarbeitung sowie die zugrundeliegenden Rechtsgrundlagen.
- Sofern die Rechtsgrundlage Artikel 6 Absatz 1 Buchstabe f (Interessensabwägung) herangezogen wird, muss die verantwortliche Stelle transparent und verständlich beschreiben, welche Interessen (und ggf. von wem) dahinter stehen.
- Sofern die Daten an weitere Parteien weitergeleitet werden oder diesen zur Verfügung gestellt werden, sind eben diese Empfänger oder zumindest die Kategorien von Empfängern der personenbezogenen Daten zu nennen.
- Gleiches gilt, sofern die Absicht besteht, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln. In diesem Fall sind auch Hinweise zum angemessenem Schutzniveau des Ziellandes zu benennen.
- Die Speicherdauer oder sofern nicht möglich zumindest die Kriterien, die die Speicherdauer bestimmen sind aufzuführen.
- Sämtliche Rechte, die der betroffenen Person gemäß Artikel 15-22 DS-GVO zustehen sind aufzuführen.
- Wenn die Verarbeitung auf Basis einer freiwilligen Einwilligung als Rechtsgrundlage beruht, ist die betroffene Person auf die entsprechenden Widerrufsmöglichkeiten hinzuweisen.
- Der Hinweis, dass sich die betroffene Person jederzeit bei einer Datenschutzaufsichtsbehörde beschweren kann.
- Inwiefern eine Nichtbereitstellung der Daten Folgen entfaltet, z.B. dass eine Dienstleistung nicht erbracht werden kann. Falls die Bereitstellung der Daten gesetzlich vorgeschrieben ist, muss auch darüber informiert werden.
- Falls zutreffend, ob das Verfahren einer automatisierten Entscheidungsfindung einschließlich Profiling unterliegt inkl. detaillierter Informationen zu Vorgehensweise und Tragweite.
Unterschiede zwischen der Offline & der Online Welt?
Die Datenerfassung! Wenn Sie in einem Ladengeschäft einen Einkauf tätigen, müssen Sie in aller Regel keine personenbezogenen Daten angeben. Die Details zum Besuch und ggf. der Kauf von Waren oder Dienstleistungen ist – zumindest sofern Sie sich für Barzahlung entscheiden – halbwegs anonym. Ganz im Gegensatz dazu stehen Online-Aktivitäten: Ähnlich einer Nacktschnecke ziehen die Nutzer eine Spur von Daten hinter sich her, durch die Sie – mehr oder weniger freiwillig – diverse Informationen preisgeben. So wird zum Beispiel bei einem Einkauf in einem Online-Shop oder dem Besuch einer beliebigen Webseite die IP-Adresse des Nutzers gespeichert, die ebenfalls als personenbezogenes Datum gewertet wird. Darüber hinaus sind mit Tracking- und Analyse-Tools diverse weitere Auswertungen möglich, wie beispielsweise
- welche Produkte angesehen wurden,
- wie lange bestimmte Seiten geöffnet waren,
- welche Produkte im Warenkorb landen.
Ungeachtet der Frage, ob und wie diese Daten überhaupt genutzt werden: Die Person, die diese Daten betreffen, hat ein Recht auf detaillierte Information über den Umgang mit ebendiesen Daten. Das gleiche Prinzip gilt jedoch auch, wenn Daten analog erfasst werden und im Nachgang eine entsprechende Datenverarbeitung stattfindet.
Mythen und Sagen aus der Welt der Datenschutz(v)erklärung
Hin und wieder passieren auch im Bereich des Datenschutzes „wundersame Dinge“. So stolpern Webseiten-Besucher von Zeit zu Zeit über eine Zustimmung zur Datenschutzerklärung frei nach dem Motto: „Ich akzeptiere die Datenschutzerklärung“ oder noch besser „Ich akzeptiere die Datenschutzerklärung und bestätige, dass ich diese gelesen und verstanden habe“. In besonders kuriosen Fällen bestätigen Nutzer auch, dass „Sie die Datenschutz-Grundverordnung gelesen und verstanden haben“. Hier ein kurzer Hinweis an alle Verantwortlichen Stellen: Die Datenschutzerklärung entfaltet keinerlei Rechtswirkung und etwaige darin beschriebene Verarbeitungsvorgänge erhalten rein durch die Bestätigung der Datenschutzerklärung keinerlei rechtliche Wirkung. Auf diese Weise entsteht also keine Rechtsgrundlage für bestimmte Verarbeitungen. Im Klartext: Ein Opt-In auf diesem Weg, sozusagen durch die Hintertür, ist nicht möglich. Die Abfrage der Akzeptanz einer Datenschutzerklärung bewirkt lediglich eins: Die Verunsicherung und ggf. Verärgerung der Webseitennutzer. Darüber hinaus ist es durchaus denkbar, dass diese Praxis die Aufmerksamkeit von Datenschutzaufsichtsbehörden auf sich zieht.
Folgen einer fehlenden oder fehlerhaften Erklärung
Wie bei sämtlichen datenschutzrechtlichen Themen steht stets die Datenschutzaufsichtsbehörde bereit, um „harte aber angemessene“ Bußgelder zu verhängen. Insbesondere die Datenschutzerklärung ist der erste Eindruck, den sich eine Aufsichtsbehörde von Ihrem Unternehmen verschaffen kann. Insofern ist es durchaus empfehlenswert, sämtliche an eine Datenschutzerklärung gestellten Anforderungen (inklusive der Verständlichkeit) zu erfüllen. Neben den Aufsichtsbehörden gibt es weitere Parteien, die einen Einfluss nehmen könnten. Mitbewerber könnten zum Beispiel wettbewerbsrechtliche Abmahnungen gegen ihr Unternehmen erwirken. Zu guter Letzt sind auch noch die betroffenen Personen selbst zu berücksichtigen. Je intransparenter, unverständlicher und unvollständiger eine Datenschutzerklärung ist, desto höher ist die Wahrscheinlichkeit für detaillierte Auskunftsanfragen der Betroffenen. Dies kann einen hohen Arbeitsaufwand auslösen.
Fazit zur Datenschutzerklärung
In Anbetracht der hohen Anforderungen an eine Datenschutzerklärung sowie dem sehr hohen Informationsgehalt, lässt sich der Grundsatz der Verständlichkeit und einfachen Sprache in vielen Fällen nur mit hohem Aufwand gewährleisten. Dazu kommen in einigen Fällen die unterschiedlichsten Technologien, wie Statistik-Tools, Analysen, Tracking, plattformübergreifende Werbung etc., die eine Verständlichkeit der Datenschutzerklärung weiter reduzieren können.
Die Verantwortlichen Stellen sind gut damit beraten, entsprechend viel Zeit und Know-how in die Erstellung der Datenschutzerklärung zu investieren, um sämtliche Anforderungen zu erfüllen. Dann bieten sie wenig Angriffsfläche für Behörden, Mitbewerber und Betroffene.
Das Team der ENSECUR GmbH unterstützt Sie gerne bei der Erstellung einer individuellen und verständlichen Datenschutzerklärung. Kontaktieren Sie uns!
Autor: Steven Bösel, 18.11.2021