Ort und Inhalt der Datenschutzerklärung

Gem. Art. 13 Abs. 1 DSGVO ist der Nutzer zu Beginn der Datenverarbeitung (und das ist bei Speicherung der IP Adresse bereits der Aufruf der Website, spätestens aber die Eingabe von Daten) über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten zu unterrichten. Anzugeben ist an leicht auffindbarer Stelle der Webseite, wie und wozu welche Daten gespeichert werden und wie sie verwendet werden.

1. Informationspflichten

Art. 13 DSGVO erfordert dabei folgende Informationen:

    1. den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
    2. gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
    3. die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
    4. wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
    5. gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
    6. gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen aufgrund interner Garantien einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind
    7. die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
    8. das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
    9. wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
    10. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
    11. ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und
    12. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
    13. Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung.“

2. Ergebnis

Es gibt also eine umfangreiche Liste von Anforderungen an die Datenschutzerklärung, die alle eingehalten werden müssen. Du musst sie nicht auswendig lernen, anhand der Muster wird sich das von allein ergeben. Dennoch kann es nicht schaden, die Checkliste noch mal im einznen durchzugehen.

Insgesamt ist für die Datenschutzerklärung mit allen Informationen gem. Art. 13 DSGVO der tatsächliche Datenflusses auf der Webseite abzubilden. Damit sind Informationen zu den selbst erhobenen Daten ebenso erforderlich wie zu Cookies und Daten, die von Dritten erhoben oder an diese weitergegeben werden.

Anders als nach dem BDSG ist nicht mehr erforderlich, dass die Angabe von jedem Ort der Website aus erreichbar sein muss. Art. 12 Abs. 1 DSGVO stellt jedoch sogar weiter gehende Anforderungen an die Transparenz der Informationen als das BDSG. Danach sind alle Informationen gemäß Art. 13 DSGVO „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln“. Von daher ist voraussichtlich weiter erforderlich, dass die Datenschutzerklärung von jedem Ort der Website aus erreichbar ist.

3. Sprache

Ob eine einfache Sprache noch möglich ist, wenn derart viele juristische Informationen zu jeder einzelnen Datenverarbeitung erforderlich sind, kann man sicher bezweifeln. Man könnte an einfache Darstellung, die man den Detail-Informationen voranstellt. Etwa auf dieser Website ist das versucht worden. Ob das zulässig ist, wenn gar nicht alle Informationen auf einer Seite zusammengestellt sind und der Nutzer am Ende sogar zwei Seiten benötigt, ist wieder zweifelhaft.

Man kann daher nur versuchen, alle Informationen in einer möglichst einfachen Sprache wieder zu geben, wobei Fach- und Rechtsausdrücke kaum zu vermeiden sind. Es wird abzuwarten bleiben, wie diese Anforderung künftig interpretiert werden, ich gehe derzeit davon aus, dass eine Datenschutzerklärung ausreicht, wenn sie nicht zu technisch oder rechtlich ist und sich wenigstens um einen einfachen Ausdruck bemüht.

 

Checkliste Informationspflichten
1Name des Verantwortlichen (Betreiber der Website) ggf. seines Vertreters (also bei Gesellschaften Geschäftsführer oder Vorstand)
2Kontaktdaten des Verantwortlichen
3Datenschutzbeauftragter (soweit zu bestellen) - mit Kontaktdaten
4Zweck der Datenverarbeitung
5Rechtsgrundlage jeder Datenverarbeitung (also jeweils speziell zugeordnet)
6bei Verarbeitung wg. berechtigter Interessen (zB Gefahrenabwehr) dieses Interesse
7Empfänger der Daten (nicht bei Auftragsverarbeitung - denn das ist Verarbeitung des Betreibers selbst)
8Übermittlung in ein Drittland und Bestehen eines Angemessenheitsbeschlusses oder der sonstigen Grundlage für den Export der Daten
9Speicherdauer wenigstens bestimmbar
10Hinweis auf Auskunftsrecht
11Hinweis auf das Recht auf Berichtigung
12Hinweis auf Recht auf Löschung oder Einschränkung
13Hinweis auf Recht auf Widerspruch
14Hinweis auf Recht auf Datenübertragung
15Hinweis auf Recht, die Einwilligung zu widerrufen
16Hinweis auf Beschwerderecht bei einer Aufsichtsbehörde
17Aufklärung, ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben ist und ggf. Konsequenzen der Nichtbereitstellung der Daten
18ob eine automatisierte Entscheidungsfindung oder Profiling erfolgt und wenn ja, die involvierte Logik
19in klarer Form und einfacher Sprache
20von jedem Ort der Webseite ohne weiteres zugänglich
21mit Abbildung des tatsächlichen Datenflusses auf der Seite

 Verstanden 🙂 Dann geht es jetzt zu den Mustern.