Datenschutzerklärung auf der Website nach der DSGVO

Von: RAin Sabine Sobola

1. Was ändert sich?

Am 25.05.2018 tritt die Datenschutzgrundverordnung (DSGVO) in Kraft. Diese enthält zahlreiche Neuerungen im Bereich des Datenschutzrechts, die die bisherigen Anforderungen an eine rechtmäßige Datenschutzerklärung nach dem Bundesdatenschutzgesetz und dem Telemediengesetz weit übertreffen. Eine rechtmäßige Datenschutzerklärung, die die gesetzlich vorgeschriebenen Hinweise enthält, ist Voraussetzung einer ordnungsgemäßen Datenerhebung. Wird gegen die gesetzlichen Vorgaben verstoßen, sieht die DSGVO die Verhängung einer Geldbuße vor (Art. 83 Abs. 5 lit. b DSGVO).  Die neu aufgestellten Anforderungen sind daher ernst zu nehmen.

Der folgende Beitrag widmet sich den einzelnen Neuerungen und möchte aufzeigen, an welchen Stellen Änderungen erfolgt sind und daher Anpassungsbedarf bei der Abfassung von Datenschutzerklärungen besteht.

2. Wer braucht eine Datenschutzerklärung?

Eine Datenschutzerklärung ist immer dann erforderlich, wenn personenbezogene Daten erhoben werden. Da bereits die Erhebung einer IP-Adresse Rückschlüsse auf eine Person ermöglicht, ist grundsätzlich jeder, der eine Website betreibt, zur Bereitstellung einer Datenschutzerklärung verpflichtet.

3. Notwendiger Inhalt der Datenschutzerklärung nach der DSGVO

1. Angabe des Verantwortlichen und des Datenschutzbeauftragten

Im Gegensatz zur bisherigen Regelung in § 13 TMG (Telemediengesetz) ist in Art. 13 DSGVO explizit geregelt, dass die Kontaktdaten des Verantwortlichen in die Datenschutzerklärung gehören.

Betroffene Personen müssen darüber aufgeklärt werden, wer die/der Verantwortliche für die Datenverar-beitung ist. Die/Der Verantwortliche ist die Person oder das Unternehmen, die oder das die Daten erhebt.

Der Zweck dieser Neuregelung ist die Förderung der Transparenz der Datenverarbeitung. Weil die betroffene Person immer wissen muss, an wen sie sich wenden kann, wenn sie mit einer Datenverarbei-tung nicht einverstanden ist und deshalb ihre Rechte geltend machen will, sieht die Datenschutzgrundver-ordnung vor, dass in der Datenschutzerklärung (gleich zu Beginn) der Name oder die Firma (= der Name des Unternehmens) und die Kontaktdaten (zustellungsfähige Anschrift, Telefonnummer, Fax, E-Mail, Website) des/der Verantwortlichen aufgeführt werden müssen.

Sofern ein Datenschutzbeauftragte(r) existiert, müssen auch ihre/seine Kontaktdaten angegeben werden.

Empfehlenswert ist daher eine Kontaktaufnahmemöglichkeit durch das Bereitstellen eines Kontaktformu-lars oder einer E-Mail-Adresse.

2. Beschreibung der Zwecke der Datenverarbeitung

Wie auch nach dem bisherigen Recht muss in der Datenschutzerklärung genauestens erläutert werden, zu welchem Zweck personenbezogene Daten verarbeitet werden. Diese Angabe ist notwendig, damit die betroffene Person die Motivation hinter der Datenerhebung erkennen kann. Nur wenn ihr das „Warum?“ konkret erklärt wird, kann sie sich auch auf bestimmte Datenerhebungen einstellen und ist ausreichend informiert. Indem der Zweck angegeben wird, wird er für diese Datenverarbeitung verbindlich festgelegt.  Geregelt ist das in Art. 13 Abs. 1 lit. c DSGVO.

Im Grundsatz ist das keine Neuigkeit. Auch in § 13 TMG ist zum Beispiel geregelt, dass der Zweck der Erhebung von personenbezogenen Daten angegeben werden muss. Trotzdem verdient dieser Punkt eine Erwähnung, weil die Ersteller der Verordnung durchweg gewissermaßen von einem Grundsatz der Zweckbindung der Datenerhebung ausgehen. Damit ist gemeint, dass jede Datenerhebung nur zu einem bestimmten legitimen Zweck erfolgen darf.  In zwei anderen Stellen der Verordnung wird besonders auf diesen Umstand hingewiesen, nämlich in Art. 5 Abs. 1 lit. b und in Art. 6 Abs. 4 DSGVO. Daran lässt sich erkennen, dass die Zweckbindung der Datenverarbeitung dem europäischen Verordnungsgeber besonders wichtig war.

3. Beschreibung der Dauer der Speicherung

In der Datenschutzerklärung ist zwingend über die Dauer der Speicherung von personenbezogenen Daten zu informieren. Die Dauer der Speicherung ist an den Zweck der Erhebung gebunden. Fällt der Zweck weg, sind die personenbezogenen Daten zu löschen. Darauf ist jeweils (für jede Form der Datenerhebung oder Datenverarbeitung) hinzuweisen.

Wenn sich eine exakte Dauer der Speicherung nicht unzweifelhaft voraussagen lässt, so genügt es, die Kriterien für die Speicherdauer anzugeben, sodass die Dauer wenigstens von vorneherein bestimmbar ist.

4. Angabe der Rechtsgrundlage

Eine Neuerung besteht darin, dass nun in der Datenschutzerklärung für jede Form der Datenverarbeitung und Datenerhebung gesondert die Rechtsgrundlage für die Verarbeitung und Erhebung genannt werden muss. Dies erklärt sich aus einem Grundsatz, der dem Datenschutzrecht untrennbar anhaftet, nämlich dem sog. „Verbot mit Erlaubnisvorbehalt“. Darunter ist zu verstehen, dass eine Erhebung und Verwendung personenbezogener Daten verboten ist, es sei denn, es liegt eine ausdrückliche Erlaubnis vor. Diese Erlaubnis kann sich entweder aus einer Einwilligung des Betroffenen oder aus dem Gesetz ergeben.

In der Datenschutzerklärung wird man also auf bestimmte Normen (= einzelne Paragrafen oder im Fall der DSGVO: „Artikel“ eines Gesetzes, zum Beispiel Art. 5 DSGVO) hinweisen müssen. Im Regelfall befindet sich die Rechtsgrundlage der Datenverarbeitung in Art. 6 Abs. 1 lit. a bis f DSGVO.

Auf die wichtigsten Fälle von Art. 6 Abs. 1 DSGVO soll kurz eingegangen werden:

– Art. 6 Abs. 1 lit. a DSGVO

Diese Norm ist dann die Rechtsgrundlage, wenn die betroffene Person ihre Einwilligung zu der Verarbei-tung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat.

Erforderlich ist das Vorliegen einer ausdrücklichen Einwilligung. Art. 6 Abs. 1 lit. a DSGVO kommt also zum Tragen, wenn die Website vor der Erhebung der Daten das Einverständnis des Nutzers einholt, z. B mittels eines „Opt-In-Häkchens“.

Beispiele: Verwendung eines Kontaktformulars, Anmeldung zu einem Newsletter, Registrierung auf einer Website, Anmeldung zu einer Veranstaltung, Verwendung von Cookies, wenn eine vorherige Einwilligung und ein Hinweis beim Aufrufen der Seite erfolgt, etc.

– Art. 6 Abs. 1 lit. b DSGVO

Diese Norm kommt zum Tragen, wenn  die Verarbeitung für die Erfüllung eines Vertrags, dessen Vertrags-partei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgen.

Gemeint sind also z. B Fälle, in denen online Verträge abgeschlossen werden (z.B. Webshops). Auf dieser Grundlage dürfen aber nur solche Daten erhoben werden, die für die Erfüllung des Vertrags notwendig sind.

– Art. 6 Abs. 1 lit. f DSGVO

Die Datenverarbeitung ist nach dieser Norm zulässig, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Diese Norm ist sehr offen formuliert. Wenn keine andere Norm vorliegt, die den Grund der Datenverarbei-tung genauer als diese Norm beschreibt, bleibt „nur noch“ Art. 6 Abs. 1 lit. f DSGVO als „letzte Rettungs-möglichkeit“. Allerdings stellt die Norm hohe Anforderungen an die Datenverarbeitung. Eine Interessenab-wägung muss ergeben, dass das berechtigte Interesse des Verantwortlichen an der Datenverarbeitung höher zu gewichten ist als das Interesse der betroffenen Person am Schutz seiner Daten.

Immer, wenn Art. 6 Abs. 1 lit. f DSGVO für eine bestimmte Datenverarbeitung die richtige Rechtsgrundlage ist (das ist oft der Fall, weil es in der Praxis viele Fälle gibt, in denen weder eine ausdrückliche Einwilligung der betroffenen Person, noch ein Vertragsschluss vorliegen),  muss der Zweck der Datenverarbeitung besonderes detailliert und transparent beschrieben werden. Außerdem muss das „berechtigte Interesse“ an der Datenverarbeitung besonders dargelegt werden, siehe Art. 13 Abs. 1 lit. d DSGVO. Zweck und „berechtigtes Interesse“ werden dabei meist identisch sein, in der Datenschutzerklärung müssen aber beide Begriffe erwähnt und begründet werden.

Beispiele: Cookies, bei denen keine ausdrückliche Einwilligung des Website-Nutzers eingeholt wird, Cookies von Drittanbietern sowie der Einsatz von Analysediensten (z. B Google Analytics) und die Erstellung von Logfiles, aber auch die automatisierte Erfassung von IP-Adresse, Browsertyp, etc., die notwendigerweise beim Betreiben einer Website erfolgt.

Die Zuordnung einer Rechtsgrundlage zu einer vorzunehmenden Verwendung personenbezogener Daten kann häufig komplex und für die Festlegung auf eine bestimmte Norm nicht eindeutig sein. In diesem Fall ist die Rechtslage in der Datenschutzerklärung für den konkreten Einzelfall darzulegen und die Festlegung der Rechtsgrundlage zu begründen. In einem solchen Fall genügt es nicht, einfach den Gesetzestext zu zitieren oder den Artikel der DSGVO zu nennen.

5. Angabe der Empfänger/Kategorien von Empfängern

In der Datenschutzerklärung muss angegeben werden, wer Empfänger der personenbezogenen Daten ist. Empfänger ist, wem die personenbezogenen Daten offengelegt werden. Darunter fallen auch Auftragsverarbeiter . Möchte der Verantwortliche die erhobenen Daten an ein Drittland oder eine internationale Organisation übermitteln, muss darauf ausdrücklich hingewiesen werden (Art. 13 Abs. 1 lit. f DSGVO).

6. Hinweis auf die Möglichkeit der Verhinderung der Datenerhebung/-verarbeitung

Immer muss ein Hinweis erfolgen, ob die Erhebung und Verarbeitung der Daten verhindert werden kann, oder ob Daten gelöscht werden können, wenn sie bereits erhoben sind. Bei einer Erhebung nach Art. 6 Abs. 1 lit. a DSGVO, also nach Einwilligung des Nutzers, kann dies durch einen Widerruf der Einwilligung gegenüber dem Verantwortlichen erfolgen.

7. Belehrung über die Betroffenenrechte

Die Personen, von denen personenbezogene Daten erhoben oder verarbeitet werden, sind in der Datenschutzerklärung über folgende Rechte zu belehren:

a) Die betroffene Person, kann von dem Verantwortlichen Auskunft darüber verlangen, zu welchem Zweck die Daten erhoben werden, welche Art von Daten erhoben werden, wer Empfänger der Daten ist, wie lange die geplante Dauer der Speicherung ist und welche Rechte ihr zustehen. Dieses Auskunftsrecht ergibt sich aus Art. 15 DSGVO.

Die Pflicht zum Hinweis auf das Auskunftsrecht betrifft nun auch die Hinweise auf die weitergehenden Betroffenenrechte nach der DSGVO.

b) Eine Berichtigung nach Art. 16 DSGVO kommt in Betracht, wenn die erhobenen Daten unrichtig oder unvollständig sind.

c) Unter den Voraussetzungen des Art. 18 DSGVO kann eine Einschränkung der Verarbeitung verlangt werden kann.

d) Art. 17 DSGVO (sog. „Recht auf Vergessenwerden“) regelt die Voraussetzungen, unter denen die betroffene Person vom Verantwortlichen die unverzügliche Löschung der personenbezogenen Daten zu verlangen. Die Norm regelt auch, dass der Verantwortliche auch ohne Antrag der betroffenen Person zur Löschung verpflichtet ist, wenn die angegebenen Voraussetzungen vorliegen.

e) Im Fall, dass ein Recht aus a) bis d) geltend gemacht wird, ist Verantwortliche dazu verpflichtet ist, dies den Empfängern der personenbezogenen Daten mitzuteilen (Recht auf Unterrichtung).

f) Das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO.

g) Das Widerspruchsrecht, Art. 21 DSGVO.

h) Aus Art. 13 Abs. 2 lit. c DSGVO ergibt sich, dass auf das Recht, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird, hinzuweisen ist (Recht auf Widerruf der datenschutzrechtlichen Eiwilligungserklärung).

i) Das Recht, nicht einer automatisierten Entscheidung im Einzelfall einschließlich Profiling unterworfen zu werden, Art. 22 DSGVO.

j) Das Recht auf Beschwerde bei einer Aufsichtsbehörde, Art. 77 DSGVO.

Außerdem ist die betroffene Person darüber zu informieren, ob sie verpflichtet ist, an der Datenerhebung mitzuwirken, und welche Folgen es haben kann, wenn sie die personenbezogenen Daten nicht bereitstellt (Art. 13 Abs. 2 lit. e DSGVO) .

4. Einzelfragen

1. Zur Verwendung von Analysecookies, die Rückschlüsse auf personenbezogene Informationen ermöglichen

Nach bisherigem Recht war die Verwendung von Cookies, die eine Analyse des Surfverhaltens ermöglichen, über die Verwendung eines Pseudonyms bei der Erstellung des Nutzerprofils möglich, wenn der Nutzer dem nicht widersprach und auf sein Widerspruchsrecht hingewiesen worden war. Die Informationen auf dem Nutzerprofil durften nicht mit personenbezogenen Daten zusammengeführt werden (§ 15 TMG).

Die DSGVO löst die bisherige Regelung in § 15 TMG ab. Bei der Verwendung von Analysecookies sollte auf der Website die Möglichkeit zur ausdrücklichen Einwilligung vorhanden sein und im gleichen Zusammen-hang auf die Datenschutzerklärung hingewiesen werden. Außerdem ist es ratsam, weiterhin eine Pseudonymisierung der Nutzungsprofile vorzunehmen und eine Zusammenführung mit personenbezogenen Daten zu unterlassen. In diesem Fall ist Art. 6 Abs. 1 lit. a DSGVO die Rechtsgrundlage für die Datenerhebung. Sollte von der bisherigen Praxis abgewichen werden, kann höchstens Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage herangezogen werden. Es kann aber nicht sicher gesagt werden, ob diese Vorgehensweise rechtlich haltbar sein wird.

Auf diese Gesichtspunkte ist in der Datenschutzerklärung hinzuweisen.

2. Zur Verwendung von Webanalysediensten

Die Verwendung von sog. Webanalysediensten wie z. B Google Analytics oder Matomo stellen einen Fall der Weitergabe von personenbezogenen Daten an Dritte dar.

Wird auf der Website ein Webanalysedienst verwendet, so empfiehlt es sich, auf der Website die Möglichkeit einer ausdrücklichen Einwilligung durch ein „Opt-In-Häkchen“ bereit zu stellen. In diesem Fall kann wieder Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage dienen. Eine Weitergabe der Daten sollte nur in pseudonymisierter Weise erfolgen.

Gleiches gilt, wenn Cookies von Drittanbietern verwendet werden.

Auf diese Gesichtspunkte ist wieder in der Datenschutzerklärung hinzuweisen.

5. Fazit

Nachdem für jedes deutsche Unternehmen die Verpflichtung besteht, bis zum 25.05.2018 die Anforderungen der DSGVO umzusetzen, sollte unbedingt auch an die Datenschutzerklärung des Webauftritts gedacht werden. Dabei ist ein besonderes Augenmerk auf die Darlegung des Zwecks der Datenerhebung und die Belehrung über die Betroffenenrechte zu richten.

 

Webinare zur DSGVO

Die Kanzlei Paluka Sobola Loibl & Partner Rechtsanwälte und der Bayerische IT-Sicherheitscluster e.V. haben in Kooperation drei Webinare konzipiert, die Ihnen dabei helfen, sich Schritt für Schritt die notwendigen Unterlagen für die DSGVO selbst zu erstellen. Rechtsanwältin Sabine Sobola führt Sie in den Webinaren an dieses komplexe Themengebiet heran und zeigt zielorientiert wichtige Handlungsempfehlungen auf.

Inhalte der Webinare:

  • Erläuterung der DSGVO anhand von Best-Practice-Fällen und anschaulichen Beispielen
  • Vorlagen und konkrete Formulierungsbeispiele für Ihr Verfahrensverzeichnis und Ihr Datenschutzkonzept
  • Erfahren Sie, ob Sie einen Datenschutzbeauftragten für Ihr Unternehmen benötigen oder nicht
  • IT-Sicherheit: Das sind die technischen und organisatorischen Maßnahmen in Ihrem Unternehmen, die Sie prüfen und in ein Konzept aufnehmen müssten
  • Achten Sie auf Besonderheiten in Ihrem Unternehmen (z.B. sensible Daten)

Jede Woche finden folgende Termine statt:

  • dienstags, 10:00 Uhr
  • mittwochs, 14:00 Uhr
  • donnerstags, 19:00 Uhr
  • samstags, 14:00 Uhr

Melden Sie sich am besten gleich an! Bei Fragen sind wir selbstverständlich jederzeit gerne für Sie da!

Bayerischer IT-Sicherheitscluster e.V.

Franz-Mayer-Str. 1
93053 Regensburg

Telefon: +49.(0)941.604889-33
Fax: +49.(0)941.604889-35

E-Mail: hello[ -/ @ -/ ]it-sicherheitscluster.de