Die Datenschutzerklärung

In der Datenschutzerklärung sollen Unternehmen ihre Kunden darüber aufzuklären, in welchem Umfang und zu welchen Zwecken seine personenbezogenen Daten verwendet werden. Jede Webseite, die solche Daten erhebt, bedarf einer Datenschutzerklärung. Doch was gilt es, zu beachten? Und welche Neuerungen kommen 2018 auf Unternehmen zu, wenn die EU-DSGVO in Kraft tritt? 

I. Hintergrund und allgemeine Informationen

1. Sinn und Zweck von Datenschutzerklärungen

Wer sich im Internet bewegt hinterlässt zwangsläufig eine Datenspur. Viele dieser Daten ermöglichen Rückschlüsse auf die Person vor dem Bildschirm, was zu einem Interessenkonflikt führt. Webseitenbetreiber auf der einen Seite können die anfallenden Daten zu Analysezwecken, zur Verbesserung ihres Angebots, zur Finanzierung oder zur Werbung verwenden. Der Internetnutzer hingegen ist mit einigen dieser Nutzungsmöglichkeiten womöglich nicht einverstanden, möchte anonym bleiben oder zumindest von aufdringlicher Werbung verschont werden.

Datenschutzerklärungen sollen die Datenerhebung für den Webseitenbesucher transparent machen. In einem leicht erreichbaren und möglichst verständlichen Text klärt der Webseitenbetreiber über Art und Umfang der Datenerhebung auf, erläutert ob und welche Daten gespeichert werden und inwiefern Dritte in diese Vorgänge eingebunden sind.

2. Wer benötigt eine Datenschutzerklärung? 

Jeder, der personenbezogene Daten erhebt oder verarbeitet, muss hierüber in einer Datenschutzerklärung aufklären. Das bedeutet, dass grundsätzlich jeder Webseitenbetreiber eine Datenschutzerklärung bereithalten muss. Deren Inhalt kann sich je nach Art der angebotenen Dienste und auf der Webseite aktiven Analyse-Tools stark unterscheiden. Daher reichen pauschale Platzhaltertexte in den meisten Fällen nicht aus.

Eine Datenschutzerklärung ist allerdings dann entbehrlich, wenn die entsprechende Seite lediglich Teil eines anderen Internetangebots ist. So bedarf der Betrieb der firmeneigenen Facebook-Seite keiner separaten Datenschutzerklärung – hier ist die allgemeine Datenschutzerklärung von Facebook einschlägig.

3. Personenbezogene Daten

Wenn im Rahmen der Datenschutzerklärung von Daten gesprochen wird, dann sind meist „personenbezogene“ Daten gemeint. Nach der gesetzlichen Definition sind personenbezogene Daten „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)“. Damit sind solche Daten gemeint, die sich einer bestimmten oder jedenfalls (später) bestimmbaren Person zuordnen lassen. Beispiele hierfür sind Name, Adresse oder Telefonnummer. Auch eine IP-Adresse lässt sich einem Internetanschluss und folglich dem konkreten Anschlussinhaber zuordnen.

In der neuen Datenschutzgrundverordnung findet die gleiche Definition Anwendung, mit dem Unterschied, dass nicht von „bestimmten oder bestimmbaren“, sondern „identifizierten oder identifizierbaren“ Person die Rede ist. Praktische Auswirkungen auf die Datenschutzerklärung hat das jedoch nicht.

4. Verständnis: Unterschied zwischen digitaler und analoger Welt

Die (strengen) datenschutzrechtlichen Anforderungen an Webseitenbetreiber erschließen sich schon aufgrund ihrer Komplexität – verständlicherweise – nicht jedem. Die gesetzlichen Vorschriften sind jedoch nicht einer fanatischen Überregulierung, sondern vielmehr den Besonderheiten der digitalen Welt geschuldet. Wer im Supermarkt um die Ecke einkaufen geht, der ist dabei persönlich anwesend und zeigt auch sein Gesicht, hinterlässt jedoch keinerlei Informationen.

Bei einem Einkauf in einem Online-Shop hingegen wird bereits bei Aufruf der Webseite die IP-Adresse registriert. Jeder einzelne Klick kann nachvollzogen werden: Welche Produkte wurden angesehen? Wie lange ist der Nutzer auf einer Produktseite verblieben? Wurde etwas in den Warenkorb gelegt und wieder herausgenommen?

Wird tatsächlich ein Kauf getätigt, müssen Personalien und Zahlungsinformationen eingegeben werden und wer möchte kann das Paket auch noch zu einer bestimmten Uhrzeit bestellen, sodass auch jemand zu Hause ist.

Die dadurch in der digitalen Welt anfallenden Datenberge sind immens und ermöglichen vielfältige Nutzungsmöglichkeiten. Ungeachtet der Frage ob und wie diese Daten überhaupt genutzt werden hat derjenige, der die Daten hinterlässt, ein Recht über den Umgang mit den eigenen Daten aufgeklärt zu werden.

Die Datenschutzerklärung ist ein kleiner Schritt hin zur Transparenz und zur Selbstbestimmung der Internetnutzer.

5. Einschlägige Gesetze

Das Datenschutzrecht ist über verschiedene Gesetzeswerke verteilt. Grundlegende Bestimmungen wie Definitionen und allgemeine Regelungen zur Erhebung, Verarbeitung und Weitergabe von personenbezogenen Daten finden sich im Bundesdatenschutzgesetz (BDSG) bzw. den Datenschutzgesetzen der Bundesländer.

Sonderregeln die Telekommunikation betreffend stehen im Telekommunikationsgesetz (TKG). Das wichtigste Spezialgesetz für das Recht im Internet ist das Telemediengesetz (TMG). Dieses Regelwerk beinhaltet damit auch die wesentliche Norm für Datenschutzerklärungen, den § 13 TMG.

Daneben kann für gewerbsmäßige Webseitenbetreiber – insbesondere bei Verstößen gegen datenschutzrechtliche Vorschriften – das Gesetz gegen unlauteren Wettbewerb (UWG) Bedeutung erlangen.

Schließlich ist die Datenschutzgrundverordnung (DSGVO) zu nennen. Diese europäische Verordnung soll das Datenschutzrecht europaweit vereinheitlichen, trat im Mai 2016 in Kraft und findet nach einer zweijährigen Übergangszeit am 25. Mai 2018 Anwendung. Hierdurch werden dann das BDSG und die datenschutzrechtlichen Vorschriften des TMG ersetzt.

6. Wirkung der Datenschutzerklärung

Die Datenschutzerklärung dient primär lediglich der rechtskonformen Information der Webseitenbesucher über den Umgang mit den anfallenden Daten durch den Webseitenbetreiber. Irrelevant ist, ob der Text der Erklärung überhaupt von dem einzelnen Webseitenbesucher gelesen oder wahrgenommen wird. Sofern die Erklärung entsprechend der gesetzlichen Vorschriften auf der Webseite bereitgehalten wird (zu den Formvorschriften weiter unten), hat der Webseitenbetreiber seine gesetzlichen Informationspflichten erfüllt.

Allerdings entfaltet eine Datenschutzerklärung über die bloße Information hinaus keine rechtliche Wirkung! Insbesondere kann eine Datenschutzerklärung nicht als Rechtsgrundlage für eine Datenerhebung herangezogen werden. Das Datenschutzrecht ist um den sogenannten „Erlaubnisvorbehalt“ konstruiert. Das bedeutet, dass der Betroffene in die Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten vorher einwilligen oder ein gesetzlicher Rechtfertigungstatbestand bestehen muss.

Ist also für eine konkrete Datenerhebung oder -nutzung die Einwilligung des Webseitenbesuchers erforderlich, muss dies separat erfolgen. Die Datenschutzerklärung kann lediglich über die Umstände dieser Datennutzung aufklären, aber keine Einwilligung ersetzen.

7. Folgen bei fehlenden oder fehlerhaften Datenschutzerklärungen

Fehlt eine Datenschutzerklärung oder weist sie inhaltliche oder formale Fehler auf, kann das je nach Schwere des Verstoßes weitreichende Folgen haben. Das TMG sieht bei Verstößen gegen § 13 TMG ein Bußgeld von bis zu 50.000 EUR vor. Darüber hinaus kann bei datenschutzrechtlichen Verstößen die jeweilige Aufsichtsbehörde aktiv werden.

Schließlich ist mittlerweile auch eine wettbewerbsrechtliche Haftung möglich. Wer keine oder nur eine fehlerhafte Datenschutzerklärung auf seiner Webseite bereithält muss folglich mit Abmahnungen rechnen.

II. Inhalt

Probleme bei der Erstellung ihrer Datenschutzerklärung? Ihre Datenschutzerklärung können Sie jetzt mit unserem kostenfreien Generator schnell und einfach DS-GVO-konform per Klick umsetzen. Damit auch Sie bis zum 25. Mai 2018 auf die Datenschutz-Grundverordnung (DS-GVO) umgestellt haben.

1. Die grundlegenden Fragen

Eine Datenschutzerklärung muss Antwort auf folgende Fragen geben können:

  • Welche personenbezogenen Daten werden erhoben?
  • Was passiert mit den erhobenen Daten?
  • Warum werden überhaupt Daten erhoben?
  • Werden die erhobenen Daten an Dritte weitergegeben?
  • Findet ein grenzüberschreitender Datenverkehr statt?
  • Welche Maßnahmen werden zur Gewährleistung der Sicherheit der Daten ergriffen

Wir haben die wichtigsten Punkte sowohl unten als auch zum Download als Checkliste für Sie zusammengefasst.

2. Konkrete Arten der Datenerhebung

Abhängig von der Art des erbrachten Dienstes und des Umfangs der erhobenen Daten empfiehlt sich aus Gründen der Verständlichkeit eine Untergliederung der Datenschutzerklärung. In einer kurzen Einleitung kann über Sinn und Zweck der Datenschutzerklärung informiert sowie die datenschutzrechtlich verantwortliche Stelle – grundsätzlich der Webseitenbetreiber – genannt werden. Darüber hinaus bietet sich eine Auflistung der verschiedenen Arten von Datensätzen und eingesetzten Tools an.

a) IP-Adresse

IP-Adressen sind im Internet zur Kommunikation unerlässlich und werden beim Aufruf einer Webseite an deren Server gesendet. Für den Betrieb der meisten Dienste stellt die IP-Adresse die Grundvoraussetzung dar. Das betrifft beispielsweise auch die bei vielen Webseiten im Hintergrund laufenden Nutzerstatistiken. Als personenbezogenes Datum muss über den Umgang mit IP-Adressen in der Datenschutzerklärung informiert werden.              

b) Browser-Daten

Der eigene Browser verrät eine Vielzahl von Dingen über seinen Nutzer. Wer zum Beispiel seine derzeitige IP-Adresse herausfinden möchte, besucht die Seite www.wieistmeineip.de und erhält zudem noch Informationen über Betriebssystem und Browser-Version. Das ist aber nur ein Bruchteil der Informationen, die manche Webseiten mit den entsprechenden Tools über ihre Besucher herausfinden können. Was in diesem Bereich alles möglich ist, zeigt die Webseite www.browserspy.dk sehr anschaulich. Auf welche Weise diese Informationen dem Browser entlockt werden, wird hier erklärt. Werden Daten über den Browser der Webseitenbesucher gesammelt – etwa durch das sogenannte „Canvas-Fingerprinting“ – so sollte hierüber dringend in der Datenschutzerklärung aufgeklärt werden. Während Informationen über Betriebssystem oder Browser-Typ alleine keinen Personenbezug aufweisen, lassen sich aus Informationen wie Hardware-Komponenten, installierten Patches, Treiber und Software detaillierte Nutzerprofile erstellen, die zumindest später den Nutzer bestimmbar machen.

c) Cookies

Cookies sind kleine Datenpakete, die auf dem Endgerät des Webseitenbesuchers gespeichert werden und von der Webseite bzw. ihrem Server beim erneuten Aufruf abgerufen werden können. Das ermöglicht beispielsweise die Speicherung von Login-Informationen, Suchanfragen oder dem Inhalt des Warenkorbs über einen längeren Zeitraum hinweg. Da hierfür auch immer die IP-Adresse des konkreten Nutzers erforderlich ist, bedarf der Einsatz von Cookies einer Aufklärung in der Datenschutzerklärung.

Nicht ausreichend ist jedoch der bloß pauschale Hinweis auf Cookies. Vielmehr sollte der datenschutzrelevante Vorgang beim Einsatz von Cookies kurz skizziert werden. Des Weiteren ist zwischen den verschiedenen Arten von Cookies zu unterscheiden. Speicherdauer und -Kapazität von Cookies unterscheiden sich teils sehr stark, weshalb die Datenschutzerklärung in diesem Bereich durchaus detaillierter sein sollte. 

d) Analyse-Tools

Webseitenbetreiber haben ein nachvollziehbares Interesse an der Erstellung von Nutzerstatistiken. Hierzu werden meist spezielle Tools von Drittanbietern wie Piwik oder Google Analytics eingesetzt. Dem Einsatz dieser Tools sollte ein eigener Bereich in der Datenschutzerklärung gewidmet werden. Mitunter stellen die Anbieter der Tools Textbausteine zur Verwendung in der eigenen Datenschutzerklärung zur Verfügung. Diese können genutzt werden, bedürfen aber teils einer Anpassung.

Informiert werden muss über den konkreten Datenerhebungsvorgang durch das Analyse-Tool und die anschließende Verarbeitung der Daten. Danach ist der Webseitenbesucher über Möglichkeiten der Verhinderung der Datenerhebung durch das Tool und insbesondere sein Widerspruchsrecht zu informieren. Im Falle von Google Analytics beispielsweise ist ein Link auf ein entsprechendes Browser-Plugin zu setzen. Darüber hinaus kann ein Java Script verbaut werden, der dem Webseitenbesucher mit nur einem Klick ein sogenanntes „Opt-Out-Cookie“ ablegt, wodurch eine Datenerfassung verhindert wird. Schließlich sollten die Nutzungsbedingungen sowie die Datenschutzerklärung des eingesetzten Analyse-Dienstes verlinkt werden, sodass sich der Nutzer unmittelbar beim Anbieter informieren kann. 

e) Social Plugins

Auf der Webseite eingebaute Elemente von sozialen Netzwerken wie der „Gefällt mir“-Button von Facebook, der „Tweet“-Button von Twitter und ähnliche „Share“-Buttons werden als „Social Plugins“ bezeichnet. Sie ermöglichen dem Webseitenbesucher eine Verknüpfung von Webseiteninhalten mit seinen Online-Profilen. Diese Verknüpfung erfordert bestimmte personenbezogene Daten des Webseitenbesuchers, worüber in der Datenschutzerklärung aufgeklärt werden muss. Darüber hinaus muss auf die jeweiligen Datenschutzerklärungen der Anbieter der eingesetzten Plugins verlinkt werden, damit sich die Nutzer auch hierüber informieren können.

Problematisch an Social Plugins ist jedoch, dass die für diese Verknüpfung erforderliche Datenerhebung bereits mit dem erstmaligen Aufruf der Webseite erfolgt. Diese Art der Datennutzung, insbesondere die Weitergabe personenbezogener Daten an Dritte, bedarf allerdings einer Einwilligung, die in diesem Fall nicht eingeholt werden kann. Der Webseitenbesucher hat keine Möglichkeit, der Datenerhebung durch die sozialen Netzwerke zu widersprechen. Eine mögliche Lösung könnte die 2-Klick-Variante darstellen: Die Plugins bleiben so lange deaktiviert, bis sie vom Webseitenbesucher selbst per Klick aktiviert werden. Erst dann erfolgt die Datenübermittlung. Auch hier ist die Rechtslage aber nicht abschließend geklärt. 

f) Sonstige Daten

Weitere hinweisbedürftige Datennutzungen können beispielsweise die Profilbildung oder die Erforderlichkeit für bestimmte Dienstleistungen sein. Generell kann als Faustregel dienen, dass in der Datenschutzerklärung über jede Erhebung, Verarbeitung und Nutzung personenbezogener Daten aufgeklärt werden soll. Wie bereits geschrieben wird dadurch die Einwilligung an sich nicht ersetzt. Jedoch soll der Webseitenbesucher auch über den konkreten Vorgang hinter der Datennutzung aufgeklärt werden, um sich ein besseres Bild davon machen zu können. 

3. NEU: Rechtsgrundlage der Datenerhebung

Die Datenschutzgrundverordnung verlangt in Art. 13 Abs. 1 c) neben der Angabe des Zwecks der Datennutzung auch deren Rechtsgrundlage. In Betracht kommende Rechtsgrundlagen finden sich in Art 6 Abs. 1 DSGVO. Von Bedeutung sind insbesondere eine vom Betroffenen erteilte Einwilligung (z.B.: Eintragung in einen Newsletter-Verteiler für Erhebung der E-Mail-Adresse) und die Notwendigkeit der Vertragserfüllung. Für jede einzelne in der Datenschutzerklärung aufgelistete Datenerhebung oder -verarbeitung sollte mithin die entsprechende Rechtsgrundlage genannt werden.

4. Rechte des Nutzers

Damit jeder die bestmögliche Kontrolle über seine eigenen personenbezogenen Daten behält, sieht das Gesetz verschiedene Ansprüche gegen die für die Datenverarbeitung verantwortliche Stelle vor. Hierüber ist der Webseitenbesucher aufzuklären. Ausgangsprunkt dieser Rechte ist der (unentgeltliche) Auskunftsanspruch. Der Webseitenbetreiber ist verpflichtet, seine Besucher auf Anfrage über deren konkret gespeicherten personenbezogenen Daten zu informieren.

Ist der Webseitenbesucher entsprechend über seine Daten informiert worden, stehen ihm drei weitere Ansprüche zur Verfügung: Er kann falsche Daten berichtigen, löschen oder sperren lassen.

Personenbezogene Daten müssen ohne Aufforderung automatisch gelöscht werden, wenn sie entweder nicht mehr genutzt werden oder die für ihre Nutzung erteilte Einwilligung widerrufen wird. Eine Ausnahme besteht bei solchen Daten, für die besondere Fristen – etwa steuer- oder handelsrechtlicher Natur – gelten.

5. NEU: separater Hinweis auf das Widerrufsrecht des Nutzers

Gemäß Art. 21 der neuen Datenschutzgrundverordnung hat der Webseitenbesucher das Recht, „aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung [ihn betreffende personenbezogene Daten], […] Widerspruch einzulegen“. Ein weiteres Widerspruchsrecht existiert gegen Direktwerbung. Hierüber hat der Webseitenbetreiber spätestens im Zeitpunkt der ersten Kommunikation aufzuklären. Inwiefern die Information über dieses Recht Teil der Datenschutzerklärung sein muss, ist zweifelhaft. Zum einen verlangt die Verordnung einen Hinweis in einer „von anderen Informationen getrennten Form“. Zum anderen hält sich die praktische Bedeutung für Webseitenbetreiber zunächst in Grenzen: Das Widerrufsrecht des Art. 21 DSGVO betrifft Datenverarbeitungen, die ohne Einwilligung des Betroffenen zulässig sind, gegen die er jedoch besondere Gründe vorbringen kann, was schließlich zu einer Interessenabwägung führt. Der Betroffene muss hingegen keine Begründung angeben, wenn er einer zulässigen Direktwerbung widerspricht.

Empfehlung: Um sicherzugehen und auch die eng umgrenzten Fälle abzudecken, sollte in einem separaten Absatz der Datenschutzerklärung durch hervorgehobene Schrift auf das Widerrufsrecht und den Art. 21 DSGVO hingewiesen werden.

III. Rechtskonforme Einbindung der Datenschutzerklärung

1. Platzierung und Erreichbarkeit

Das Gesetz schreibt in § 13 TMG sehr genau vor, wo und wie die Datenschutzerklärung in eine Webseite eingebaut werden soll. So verlangt § 13 Abs. 1 Satz 1 TMG, dass der Webseitenbesucher die Datenschutzerklärung zu Beginn des Nutzungsvorgangs wahrnehmen können muss. Ausreichend hierfür ist, dass der Nutzer die Datenschutzerklärung nach erstmaligem Aufruf der Webseite mit nur einem Klick erreichen kann.

Darüber hinaus ist die jederzeitige Abrufbarkeit verpflichtend. Die Erreichbarkeit der Datenschutzerklärung mit nur einem Klick gilt also nicht nur für den erstmaligen Aufruf der Webseite, sondern muss auf jeder einzelnen Unterseite gewährleistet sein. In der Praxis hat es sich etabliert, einen Link auf die Datenschutzerklärung für die gesamte Webseite einheitlich am Ende jeder Seite einzubauen. Daneben findet sich häufig auch ein Link auf das Impressum, weshalb der durchschnittliche Internetnutzer in der Fußzeile der Webseite mittlerweile diese Links zu den allgemeineren Informationen erwartet.

WICHTIG: Die Datenschutzerklärung muss eindeutig als solche gekennzeichnet sein. Daher ist es nicht ausreichend, sie innerhalb des Impressums unterzubringen. Datenschutzerklärung und Impressum sind klar voneinander zu trennen.

Darüber hinaus sollte an die Kompatibilität mit mobilen Endgeräten gedacht werden. Die Datenschutzerklärung darf nicht nur am Desktop-Computer, sondern muss ebenso am kleinen Smartphone-Bildschirm erreichbar und abrufbar sein.

2. Struktur und Verständlichkeit

Eine Datenschutzerklärung soll den Webseitenbesucher über die Nutzung seiner Daten informieren. Das wird erschwert, wenn die Erklärung selbst unnötig kompliziert verfasst und inhaltlich unzusammenhängend aufgebaut wird.

Wie bereits oben angedeutet empfiehlt es sich, die Datenschutzerklärung in mehrere Absätze zu aufzuteilen. Den Anfang macht eine Präambel bzw. eine kurze Einführung in Sinn und Zweck des folgenden Texts. Dann wird die verantwortliche Stelle genannt, also derjenige, der die Datenerhebung durchführt. Hier bedarf es Name und Anschrift sowie einer Kontaktmöglichkeit, ähnlich wie im Impressum. Anschließend wird in einzelnen Absätzen über die unterschiedlichen Arten der Datenerhebung und -nutzung aufgeklärt. Das umfasst die Erläuterung des technischen Vorgangs, des Zwecks und nach der DSGVO auch die Rechtsgrundlage. Dabei sollte möglichst einfaches Deutsch verwendet und auf technische Fachausdrücke weitestgehend verzichtet werden. Zusätzlich kann auf etwaige Maßnahmen zur Gewährleistung der Datensicherheit, wie bspw. besondere Verschlüsselungen hingewiesen werden. Gegen Ende der Datenschutzerklärung wird der Webseitenbesucher über seine Rechte aufgeklärt. Sofern es einen Datenschutzbeauftragten gibt, kann dieser zum Schluss als Kontaktperson genannt werden.

Als Beispiel für eine umfangreiche, aber gut strukturierte Datenschutzerklärung kann hierauf verwiesen werden.

IV. Neuerungen durch die Datenschutzgrundverordnung (DSGVO)

Die europäische Datenschutzgrundverordnung hat die Vereinheitlichung des europäischen Datenschutzrechts zum Ziel. Zwar bedeutet das wieder neue Gesetze und verlangt insbesondere von gewerbsmäßigen Webseitenbetreibern eine verstärkte Auseinandersetzung mit den bußgeldbewehrten Regelungen. Die positiven Folgen sind allerdings nicht außer Acht zu lassen: Einheitliche Regelungen bieten erheblich mehr Rechtssicherheit, der deutsche Flickenteppich aus Gesetzen wird weitestgehend abgelöst oder angepasst und Unternehmer mit deutschlandübergreifenden Adressaten müssen sich nicht mehr um abweichende ausländische Gesetzeslagen sorgen. Die DSGVO trat im Mai 2016 in Kraft und findet ab dem 25. Mai 2018 Anwendung.

In Art. 13 der Datenschutzgrundverordnung findet sich eine Liste der Dinge, die nach der neuen Verordnung in einer Datenschutzerklärung stehen müssen. Ergänzend zu den obigen Ausführungen werden die wichtigsten Änderungen im Folgenden überblicksartig zusammengefasst:

1. Nennung der Rechtsgrundlage

Neben der Erläuterung des Datenerhebungs- bzw. -verarbeitungsvorgangs und der Darlegung des dahinterstehenden Zwecks, muss nun auch die konkret anwendbare Rechtsgrundlage genannt werden.

2. Information über Art und Umfang der Datenerhebung

Während § 13 TMG die Information über Art, Umfang und Zweck verlangt, konzentriert sich die DSGVO auf Zweck und Rechtsgrundlage der Datenerhebung bzw. -verarbeitung. Es ist trotzdem zu empfehlen, Erläuterungen zu Art und Umfang in alten Datenschutzerklärungen zu belassen bzw. auch in neue aufzunehmen. Zwar ist das nun europarechtlich nicht mehr zwingend vorausgesetzt. Es schadet jedoch nicht, die Datenschutzerklärung ausführlich und detailliert zu halten, zumal die Datenschutzgrundverordnung an anderer Stelle eine „präzise“, „transparente“ und „verständliche“ Information vorschreibt.

3. Gesondertes Widerrufsrecht 

Art. 21 DSGVO sieht ein gesondertes Widerrufsrecht gegen zulässige Direktwerbung und – in besonders schutzwürdigen Fällen – auch gegen sonstige zulässige Datenverarbeitungen vor. Da die Information hierüber laut Gesetz separat zu erfolgen hat, ist noch unklar, ob dies überhaupt Teil der Datenschutzerklärung sein soll.

V. DSGVO-Checkliste zur Datenschutzerklärung (nach Art. 13 DSGVO) 

Zwingend:

  • Name und Kontaktdaten des Verantwortlichen (ggf. auch Vertreter)
  • Zweck und Rechtsgrundlage der Verarbeitung
  • Falls Rechtsgrundlage der Art. 6 I f DSGVO ist: Angabe der berechtigten Interessen des Verantwortlichen oder Dritten
  • Aufklärung über Rechte des Betroffenen (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragung)
  • Hinweis auf Beschwerderecht bei einer Aufsichtsbehörde
  • Speicherdauer der Daten (jedenfalls die Kriterien für die Festlegung dieser Dauer)

Optional bzw. situationsabhängig:

  • Falls eine Einwilligung Rechtsgrundlage ist: Hinweis auf die Möglichkeit des jederzeitigen Widerrufs
  • Sofern vorhanden: Kontaktdaten des Datenschutzbeauftragten
  • Bei gesetzlicher oder vertraglicher Pflicht zur Datenerhebung: Aufklärung des Betroffenen über diese Pflicht und die möglichen Folgen einer Nichtbereitstellung
  • Beim Einsatz automatisierter Entscheidungsfindungen (einschl. Profiling): Aufklärung hierüber, insbesondere die zugrundeliegende Logik, die Tragweite und die angestrebten Auswirkungen für den Betroffenen

Im Falle der Beteiligung Dritter:

  • Bei einer Weitergabe an Dritte: Angabe der Empfänger/ Kategorie von Empfängern
  • Angabe der Absicht zur Datenübermittlung ins Ausland (dann auch Angabe des von der Kommission festgelegten Datenschutzniveaus des jeweiligen Drittlandes)
  • Im Falle von Übermittlungen nach Art. 46, 47 oder 49 DSGVO: Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind

Christian Solmecke ist Partner der Kanzlei WILDE BEUGER SOLMECKE und inbesondere in den Bereichen des IT-, des Medien- und des Internetrechts tätig. Darüber hinaus ist er Autor zahlreicher juristischer Fachveröffentlichungen in diesen Bereichen.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (11 Bewertungen, Durchschnitt: 4,64 von 5)