Kategorien
Neueste Beiträge
Häufige Fehler bei der Datenschutzerklärung
Die Datenschutzerklärung (der meistens genutzte Begriff) bzw. der Datenschutzhinweis auf der Webseite ist eine Fehlerquelle, derer sich so manch Webseiten-Betreiber – der Verantwortliche – gar nicht bewusst zu sein scheint. Um Bußgelder zu vermeiden, ist es umso wichtiger, dass ein Webseiten-Betreiber weiß, wie er häufige Fehler bei der Datenschutzerklärung vermeiden kann.
Eine unvollständige Datenschutzerklärung
Es ist nicht selten, dass wir uns Datenschutzerklärungen ansehen, die unvollständig sind. Dabei können Angaben zu beispielsweise den Rechten betroffener Personen, den Rechtsgrundlagen der Verarbeitung oder eventuellen Übermittlungen personenbezogener Daten an Dritte fehlen.
Schwierig auffindbare Datenschutzerklärung
Eine Datenschutzerklärung sollte mit maximal zwei Klicks erreichbar sein. Des Weiteren sollte sie deutlich als solche im Menü gekennzeichnet sein. Es darf auch nicht sein, dass man auf gut Glück unter den AGB oder dem Impressum nachsieht, ob dort eventuell eine Datenschutzerklärung zu finden ist. Es ist empfehlenswert, dafür eine separate Seite auf Ihrer Webseite zu erstellen. So kann ein Webseiten-Betreiber auch gewährleisten, dass die Datenschutzerklärung leicht zugänglich ist und auch auf diese Weise Art. 12 Abs. 1 S. 1 DSGVO entsprochen wird.
Fehlende Datenschutzerklärung
Eine nicht vorhandene Datenschutzerklärung stellt einen Verstoß gegen Art. 12 DSGVO dar. Der Grund hierfür ist, dass der Verantwortliche seinen Pflichten nicht nachkommt, den Besucher der Webseite darüber zu informieren, inwiefern seine Daten verarbeitet werden und wie er von seinen Rechten gemäß Art. 15 – 22 DSGVO Gebrauch machen kann.
Eingliederung in die AGB
So wenig wie die oben aufgeführten Szenarien zulässig sind, sollte ein Verantwortlicher die Datenschutzerklärung auch nicht in die AGB einarbeiten – oder umgekehrt. Dadurch ist es keine Datenschutzerklärung mehr. Des Weiteren dient die Datenschutzerklärung auch nicht dafür, sie dafür zu nutzen, Werbe-E-Mails, -Anrufe o. Ä. abzuwehren. Es geht einzig und allein um die betroffene Person, die über die Verarbeitung ihrer Daten und ihrer Rechte informiert werden soll.
Inkorrekte Rechtsgrundlagen
In einer Datenschutzerklärung ist anzugeben, weshalb ein Webseiten-Betreiber die Daten der betroffenen Person verarbeitet, also auf welcher Rechtsgrundlage die Verarbeitung basiert. Hier sollte er darauf achten, nicht grundsätzlich jede Verarbeitung auf die Einwilligung gemäß Art. 6 Abs. 1 lit. a) DSGVO zu stützen; dies kann arbeits- und geldaufwendige Folgen für das Unternehmen haben. Jedoch kann nicht jede Verarbeitung auf dem berechtigten Interesse gemäß Art. 6 Abs. 1 lit. f) DSGVO beruhen (hier kann auch unser Blog-Beitrag zum BGH-Urteil zu Cookies helfen).
Erwähnung von der Webseite unabhängiger Verarbeitungstätigkeiten
Die Datenschutzerklärung hat die Aufgabe, über die Verarbeitung personenbezogener Daten bei Besuch der Webseite zu unterrichten und auf die Rechte für Betroffene hinzuweisen. Das heißt, der Fokus liegt allein auf der Erläuterung dieser Verarbeitungsvorgänge. Manchmal kommt es aber vor, dass Datenverarbeitungen erläutert werden, die darüber hinausgehen. Diese haben aber im Zusammenhang mit dem Webseiten-Besuch keine Relevanz und müssen somit nicht in der Datenschutzerklärung beschrieben werden.
Formulierung einer Datenschutzerklärung
Im Genaueren sollte ein Verantwortlicher genau bedenken, welche Informationen er erläutert und auf welcher Rechtsgrundlage die Verarbeitung beruht. Aber er sollte auch darauf achten, die Datenschutzerklärung verständlich und dennoch präzise zu formulieren. Damit ist auch gemeint, dass er die Datenschutzerklärung der Sprache der Zielgruppe entsprechend abfasst. Grob gesagt ist davon auszugehen, dass sich eine Datenschutzerklärung einer Webseite, die sich an Kinder richtet, einer anderen Sprache bedient als die einer Seite, die an Pensionäre adressiert ist.
Dokumentation der verarbeiteten Daten
Des Weiteren sollte sich die Information zu den in der Datenschutzerklärung verarbeiteten personenbezogenen Daten auch in Dokumenten wie dem Verzeichnis von Verarbeitungstätigkeiten wiederfinden. Zusätzlich ist darauf zu achten, welche Art von Verträgen mit Dritten abgeschlossen werden müssen. Eventuell ist ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO vonnöten oder es liegt gegebenenfalls eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO vor.
Fazit
Ein Unternehmen könnte denken, es wäre einfach, eine Datenschutzerklärung zu verfassen. Aber wie dieser Artikel zeigt, gibt es viele Details zu bedenken. Ist sie korrekt und der DSGVO entsprechend verfasst, kann man Bußgelder durch die Datenschutzaufsichtsbehörden, Abmahnungen durch Anwälte oder dem Wettbewerb oder Schadensersatzansprüche betroffener Personen vermeiden. Zugleich kann man durch Unwissenheit oder fehlendem Fachwissen genau diese Dinge provozieren. Wir können Ihnen helfen, diese möglichst zu umgehen. Kontaktieren Sie uns für ein unverbindliches Angebot, welches unter anderem Hilfe bei der Umsetzung einer DSGVO-konformen Datenschutzerklärung beinhaltet.