Die neue EU-DSGVO - Datenschutzerklärungen sind anzupassen.

Zum 25.05.2018 tritt die Datenschutz-Grundverordnung (DSGVO) in Kraft. Aus dieser ergibt sich selbst für Unternehmen, die nach altem Recht im Datenschutz sehr gut aufgestellt waren, einen hohen Anpassungsbedarf.

Ein wichtiger Aspekt sollte dabei nicht vergessen werden - die Datenschutzerklärung der Webseite. Auch Datenschutzerklärungen, die die bisherigen Anforderungen vollumfänglich erfüllt haben, müssen an das neue Recht angepasst werden. Die Inhalte werden um einiges komplexer sein.

Einige entscheidende Punkte sind:


I. Zwecke und Rechtsgrundlagen der Datenverarbeitung

Nach Art. 13 Abs. 1 c) DSGVO muss der Verantwortliche der betroffenen Personen künftig die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung, mitteilen.

Die Nennung des Zwecks bzw. der Zwecke der Verarbeitung ist notwendig, da nach der DSGVO eine strenge Zweckbindung der Datenverarbeitung gilt (Art. 5 Abs. 1 b) DSGVO). Die Nennung der Rechtsgrundlage dient dazu, dass die betroffene Person ihre eigenen Rechte im Hinblick auf die Datenverarbeitung zutreffend einschätzen kann. Der bloße Verweis auf die Norm oder die bloße Wiederholung des Gesetzeswortlauts wird hierzu in den seltensten Fällen ausreichen. Dann ist es erforderlich, durch entsprechende Ausführungen auch einen konkreten Bezug zu den erfolgenden Verarbeitungen herzustellen.

Es bietet sich an, die Angaben nach Rechtsgrundlagen zu trennen, wobei regelmäßig zumindest die Einwilligung gem. Art. 6 Abs. 1 a) DSGVO sowie die Verarbeitung zu Vertragszwecken gem. Art. 6 Abs. 1 b) DSGVO eine Rolle spielen dürfte.


II. Berechtigte Interessen für die Datenverarbeitung

Art. 13 Abs. 1 d) DSGVO verlangt, dass bei einer Verarbeitung, die auf einer Einwilligung gem. Art. 6 Abs. 1 f) DSGVO beruht, die berechtigten Interessen angegeben werden müssen.

Dies spielt insbesondere bei der Verwendung von Cookies eine erhebliche Rolle. Künftig wird es also erforderlich sein, bei einem Einsatz von Cookies, neben den weiteren rechtlichen Anforderungen, auch darüber zu informieren, welche berechtigten Interessen durch den Cookie-Einsatz verfolgt werden.


III. Dauer der Speicherung der Daten

Nach Art. 13 Abs. 2 a) DSGVO muss über die Dauer der Speicherung oder, sofern dies nicht möglich ist, über die Kriterien für die Festlegung dieser Dauer informiert werden.

Es empfiehlt sich, Angaben zur Dauer der Speicherung in der Datenschutzerklärung im Zusammenhang mit der Rechtsgrundlage zu geben. Typischerweise werden sich große Unterschiede der Speicherdauer von auf Einwilligungen und zu vertraglichen Zwecken verarbeiteten Daten ergeben. Weiterhin dürfte in diesem Zusammenhang im Allgemeinen nur eine Angabe der Kriterien möglich sein.

Im Sinne der Transparenz kann es sich zudem anbieten, in einem gesonderten Abschnitt die in Betracht kommenden Speicherfristen nochmals zusammengefasst darzustellen.


IV. Bestehen von Betroffenenrechten

Informieren muss der Verantwortliche gem.Art. 13 Abs. 2 b) DSGVOauch über das Bestehen eines Rechts zur Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten (Art. 15 DSGVO) sowie auf Berichtigung (Art. 16 DSGVO) oder Löschung (Art. 17 DSGVO) oder auf Einschränkung der Verarbeitung (Art. 18 DSGVO) oder eines Widerspruchsrechts gegen die Verarbeitung (Art. 21 DSGVO) sowie des Rechts auf Datenübertragbarkeit (Art. 20 DSGVO).

Neben der Nennung der einzelnen Rechte sowie der Rechtsgrundlagen kann eine kurze Erläuterung der betreffenden Rechte sinnvoll sein, was jedoch angesichts der insoweit eindeutigen Normtexte nicht zwingend erforderlich erscheint. Hierbei ist auch zu berücksichtigen, dass die Datenschutzerklärung nicht überfrachtet werden sollte. Um betroffenen Personen zu ermöglichen, Rückfragen zu klären, sollte jedoch an dieser Stelle ein Ansprechpartner benannt werden oder auf den zu Beginn der Datenschutzerklärung zu nennenden Datenschutzbeauftragten verwiesen werden, sofern ein solcher benannt ist.

V. Hinweis auf Beschwerderecht

Weiterhin verlangt Art. 13 Abs. 2 d) DSGVO eine Information über das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde. Diese Recht ergibt sich aus Art. 77 Abs. 1 DSGVO. Der Gesetzestext stellt keine weitergehenden Anforderung, wie etwa Erläuterungen zum Inhalt des Hinweises. Zumindest sollte jedoch die für etwaige Beschwerden über den Verantwortlichen zuständige Aufsichtsbehörde konkret benannt werden.


VI. Fazit

Die beschriebenen Punkte stellen die aus Sicht des Erstellers wichtigsten aufgrund der DSGVO erforderlichen Anpassungen der Datenschutzerklärung dar. Die Aufzählung ist dementsprechend keinesfalls als „Checkliste" zu verstehen, da nicht alle notwendigen Änderungen angesprochen werden können. Da die Rechtslage mangels entsprechender Urteil häufig auch nicht zweifelsfrei geklärt ist, sind die Ausführungen als erste Einschätzung des Erstellers zu verstehen, für die keine Haftung übernommen werden kann und die eine konkrete Rechtsberatung im Einzelfall auch nicht ersetzen können.


Für eine konkrete Rechtsberatung zu Ihren Fragen stehen wir Ihnen jedoch jederzeit gerne zur Verfügung. Kontaktieren Sie uns gerne in den unten stehenden Standorten.