Schon vor der DSGVO hat das Telekommunikationsgesetz gefordert, dass Webseitenbenutzer über die Verwendung von personenbezogenen Daten in einer Datenschutzerklärung informiert werden müssen. Die DSGVO fordert in Artikel 13, dass Betroffene bei der Erhebung von personenbezogener Daten über die Verwendung der Daten informiert werden müssen. Artikel 14 fordert, dass wenn die Daten von Dritten erhalten werden, der Betroffene binnen 30 Tagen informiert werden muss.
Eine Datenschutzerklärung auf der Website ist für die auf der Website verarbeiteten Daten durch das Telekommunikationsgesetz vorgeschrieben. Darüber hinaus ist die Datenschutzerklärung ein effektiver Weg, um die Informationspflichten aus Artikel 13 und 14 zu erfüllen.
Informationspflicht
Bei der Erhebung von personenbezogenen Daten muss die betroffene Person folgende Informationen erhalten:
- Den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters
- Die Kontaktdaten des Datenschutzbeauftragten, wenn vorhanden
- Den Zweck der Verarbeitung
- Den Rechtsgrund (Artikel 6).
- Wenn der Rechtsgrund „berechtigtes Interesse“ ist, müssen diese Interessen angegeben werden. Es sollte auch dokumentiert sein, warum diese Interessen gewichtiger sind als das Interesse des Betroffenen, der keine Verarbeitung der Daten möchte.
- Ggf. Empfänger bzw. Kategorien von Empfängern (zB Lieferanten, Steuerberater, …)
- Ggf. ob die Daten in ein Drittland ohne gleichwertigen Datenschutz übermittelt werden und wie der Datenschutz trotzdem sichergestellt wird (siehe US-EU Privacy Shield)
- Die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
- Information über das Recht auf Auskunft über die personenbezogenen Daten sowie das Recht auf Löschung bzw. Einschränkung und Widerspruch sowie das Recht auf Datenübertragbarkeit.
- Wenn die Verarbeitung auf einer Einwilligung des Betroffenen beruht, muss er auf das Recht die Einwilligung widerrufen zu können, hingewiesen werden.
- Es muss auf das Recht auf Beschwerde bei der Aufsichtsbehörde hingewiesen werden.
- Wenn die Daten für die Vertragserfüllung benötigt werden, muss angegeben werden, was die möglichen Folgen einer Nichtbereitstellung sind.
- Wenn automatisiert Entscheidungen getroffen bzw. Profiling betrieben wird, müssen aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen angegeben werden. Artikel 22 Absätze 1 und 4
- Wenn die Daten nicht direkt vom Betroffenen erhoben wurden, muss zusätzlich angegeben werden, woher die Daten stammen und ggf. ob sie aus einer öffentlich zugänglichen Quelle stammen. weitere Details und Einschränkungen in Artikel 14 DSGVO
Wenn ein Betroffener diese Informationen bereits hat, müssen diese nicht nochmals übermittelt werden.
Datenschutzerklärung
Die Datenschutzerklärung ist der ideale Platz, um diese Informationspflicht mit minimalem Aufwand zu erfüllen. Wenn die Datenschutzerklärung nicht nur die für die Website relevanten Informationen, sondern alle Informationen der Kunden, Interessenten, … betreffen könnten, können Sie Ihren Informationspflichten mit einem Link auf die Datenschutzerklärung nachkommen.
Wir empfehlen überall da, wo sie Daten von Personen erfassen (Webformular, Papier Bestellung, …), auf die Datenschutzerklärung zu verweisen.
Die Informationspflicht über Daten, die von Dritten erhalten wurden, ist oft schwierig korrekt umzusetzen. Daten von Dritten sind zB Aufträge, die über einen Vermittler kommen oder Daten, die aus dem Internet recherchiert wurden. Wie erwähnt, müssen Betroffene laut Artikel 14 DSGVO binnen 30 Tagen über die Verarbeitung informiert werden.
Ein pragmatischer Ansatz zur Umsetzung ist auch bei allen Dokumenten (Angebot, Rechnung, Briefen, …) sowie in allen E-Mails auf die Datenschutzerklärung zu verweisen. Damit wird beim nächsten Kundenkontakt automatisch die erforderliche Information übermittelt.
Die Europäische Datenschutzbehörde (früher Artikel-29-Datenschutzgruppe) hat im Working Paper 260 ausdrücklich empfohlen, die Betroffenen nicht mit der Information zu „erschlagen“. Es wird empfohlen, nur die Kerninformationen (zB für den Betroffenen kritische/unerwartete Details) direkt zu geben und den Rest über einen Link zB zur Datenschutzerklärung zur Verfügung zu stellen.
Artikel 14 fordert, dass der Betroffene spätestens nach 30 Tagen informiert werden muss, dass seine Daten verarbeitet werden, wenn diese an Dritte weitergegeben werden.
Zustimmung
Es ist nicht notwendig einer Datenschutzerklärung zuzustimmen. Es reicht, wenn der Link zur Datenschutzerklärung dem Betroffenen zur Verfügung steht.
Aus unserer Sicht ist eine Zustimmung kontraproduktiv. Jeder Zustimmung kann widersprochen werden. Aber was passiert, wenn der Zustimmung zur Datenschutzerklärung widersprochen wird? Wir würden trotzdem die Daten, wie in der Datenschutzerklärung angegeben, verarbeiten.
Umsetzung
Wir empfehlen zuerst ein Verarbeitungsverzeichnis zu erstellen. Achten Sie darauf, auch die für die Website relevanten Verarbeitungen zu dokumentieren (Google Analytics, Formulare, Like Buttons, …). Daraus kann dann die Datenschutzerklärung abgeleitet werden.
easyGDPR lite hilft Ihnen dabei, diese Aufgabe schnell und effizient umzusetzen.