SSL Zertifikat von pixxelweb.de
15. Januar 2018
Kurbeln Sie Ihr Geschäft an, mit CleverReach®
9. April 2020
Ausschlaggebend für die Informationspflicht mittels einer Datenschutzerklärung ist nicht die Größe eines Unternehmens, sondern lediglich der Umstand, dass personenbezogene Daten natürlicher Personen verarbeitet werden. Als personenbezogene Daten sind solche Informationen zu verstehen, über die sich die Identität dieser Personen erschließen lässt. Damit gehören etwa Kunden-, aber auch Mitarbeiter- und Nutzerdaten zu diesen personenbezogenen Daten.
Neue Informationspflichten durch die DSGVO:
Über die genauen Pflichtinformationen in der Datenschutzerklärung gibt der Art. 13 der Datenschutzgrundverordnung Auskunft. Diese Pflichten gehen deutlich über die Pflichten der früheren Regelung hinaus.
- Zu den Neuerungen gehört die Pflicht zur Nennung der Rechtsgrundlage für die Datenverarbeitung, wobei hier nach wie vor der Grundsatz des Verbots mit Erlaubnisvorbehalt gilt. Demnach ist die Verarbeitung personenbezogener Daten generell verboten, es sei denn, das Gesetz gestattet dies ausdrücklich oder der Betroffene willigt explizit ein.
- In Art. 6 DSVGO finden sich diese Ausnahmen, bei denen die Verarbeitung der Daten gestattet ist. So ist dies etwa der Fall, wenn die Daten zur Erfüllung eines Vertrags mit dem Betroffenen benötigt werden. Aber auch die „Wahrung der berechtigten Interessen“ des Datenverarbeitenden gehören zu diesen Ausnahmen. Im ersten Fall ist es naheliegend, dass ein Anbieter für die Lieferung von Waren bzw. die Bereitstellung kostenpflichtiger Dienste Daten wie Name und Adresse sowie evtl. Kontendaten benötigt.
- Mit der Wahrung der berechtigten eigenen Interessen kann etwa die temporäre Speicherung der IP-Adressen der Website-Besucher begründet werden, sofern dies notwendig ist, um etwa die Sicherheit der Website gegenüber Angriffen zu gewährleisten. Üblicherweise sollte diese Speicherung von IP-Adressen zu diesen Zwecken jedoch nicht länger als 14 Tage dauern.
- Besonders umfangreich sind die neuen Informationspflichten im Hinblick auf die Rechte der Betroffenen. So ist etwa darüber zu informieren, dass es ein Recht auf Auskunft über alle von ihm gespeicherten Daten und auch ein Recht auf Löschung und Korrektur dieser Daten gibt. Pflicht ist ebenfalls der Hinweis auf die Widerrufsmöglichkeit.
- Neu hinzugekommen ist die Aufklärungspflicht zur Möglichkeit der Einschränkung bei der Datenverarbeitung, zum Widerspruchsrecht und zum Beschwerderecht des Betroffenen bei der Datenschutzaufsichtsbehörde. Ebenso muss künftig ein Hinweis auf das Recht zur Datenübertragbarkeit erfolgen.
- Der Hinweis auf die Widerspruchsmöglichkeiten muss dabei in einer besonders hervorgehobenen Form erfolgen, durch die sich dieser Teil von den anderen Elementen der Datenschutzerklärung auch schon optisch abhebt. Beim Hinweis auf die Beschwerdemöglichkeit bei den Aufsichtsbehörden gibt es keine Notwendigkeit, die jeweils zuständige Behörde zu benennen, der einfache Hinweis auf diese Option genügt.
- Sofern im Unternehmen ein Datenschutzbeauftragter vorhanden ist, gibt es eine Pflicht zur Nennung der (E-Mail-) Kontaktadresse.
- Es reicht jetzt nicht mehr aus, Empfänger der erhobenen Daten zu nennen, es muss jetzt auch darüber informiert werden, ob die Daten bei der Verarbeitung auch an solche Server weitergeleitet werden, die sich außerhalb der EU befinden und ob in diesen Fällen mit den jeweiligen Ländern entsprechende Datenschutzabkommen bestehen, mit denen ein ähnliches Schutzniveau wie innerhalb der EU gewährleistet werden soll (z.B. Privacy Shield Abkommen mit den USA).
- Informiert werden soll schließlich auch über die Speicherfristen, wobei es generell so sein sollte, dass die Daten nur so lange gespeichert bleiben sollen, wie sie für den angegebenen Zweck auch benötigt werden.
- Schließlich muss künftig auch über das Bestehen einer automatischen Entscheidungsfindung informiert werden, wenn eine solche genutzt wird. Hierzu zählt etwa die Nutzung einer automatisierten Ermittlung der Kreditwürdigkeit eines Kunden.
DSGVO: Datenschutzerklärung muss verständlich sein
Die neuen Vorgaben schreiben nicht nur vor, worüber in der Datenschutzerklärung informiert werden muss, sondern auch in welcher Weise dies zu geschehen hat. So sollen die Informationen präzise, transparent, in leicht zugänglicher Form und einer klaren und einfachen Sprache zur Verfügung gestellt werden. Dabei sollen juristische Fachbegriffe vermieden oder wenn dies nicht möglich ist, zumindest erklärt werden.
Der Link zu Datenschutzerklärung sollte ähnlich wie das Impressum einfach möglichst direkt über die Startseite der Website erreichbar sein. Der Text muss in Deutsch und bei internationaler Ausrichtung des Angebots auch in weiteren Sprachen verfasst sein.
Bei der Erstellung einer DSGVO-konformen Datenschutzerklärung können Sie sich durch Generatoren im Web helfen lassen, die nach Ihren Vorgaben aus Textbausteinen eine individuell angepasste Erklärung zusammensetzen.
Quelle: haufe.de
