Datenschutzerklärung

Zusammenfassung

 

Begriff

In einer Datenschutzerklärung wird beschrieben, wie eine Stelle mit personenbezogenen Daten umgeht und wie sie die Einhaltung der Datenschutzregeln gewährleistet.

Oft versteht man unter dem Begriff die Erklärung eines Webseitenbetreibers im Internet, die darlegt, welche Daten der Seitenbesucher zu welchen Zwecken erhoben und verarbeitet werden. Es kann sich aber auch um Erklärungen in anderen Kontexten handeln.

 

Gesetze, Vorschriften und Rechtsprechung

Der Begriff der Datenschutzerklärung ist gesetzlich nicht definiert. Neben dem Begriff Datenschutzerklärung finden sich in der Praxis auch alternative Bezeichnungen wie Privacy Policy oder Datenschutzrichtlinie. Die Rechtsgrundlage ergibt sich je nach dem Kontext aus unterschiedlichen Gesetzen.

Die Rechtsgrundlage ergibt sich je nach dem Kontext aus unterschiedlichen Gesetzen und – ab dem 25.05.2018 – der EU-Datenschutzgrundverordnung.

  • Art. 7 DSGVO, Art. 8 DSGVO, Art. 13 DSGVO und Art. 14 DSGVO.
  • § 32 BDSG [ab 25.05.2018] und § 33 BDSG [ab 25.05.2018].
  • Für öffentliche Stellen gilt § 55 BDSG [ab 25.05.2018].
  • Für das Internet ist auch § 13 TMG zu beachten.

1 Datenschutzerklärung für Internetauftritte

Mit der Datenschutzerklärung (bzw. Privacy Policy oder Datenschutzrichtlinie) wird der Leser unterrichtet (d. h. informiert), wie mit seinen personenbezogenen Daten umgegangen wird. Zusätzlich gibt es auch andere Formen von Datenschutzerklärungen, die beispielsweise eine vertragliche Zusicherung über einen bestimmten Umgang mit den Daten enthalten.

Jeder, der eine Präsenz im Internet betreibt (egal ob eine klassische Homepage oder zum Beispiel eine Facebook-Präsenz), muss seine Nutzer unterrichten, wenn er personenbezogene Daten erhebt, verarbeitet oder nutzt. Ob darunter auch die Erhebung von IP-Adressen fällt, ist umstritten. Zur Sicherheit informiert man am besten auch darüber. In jedem Fall liegt ein Personenbezug vor, wenn beispielsweise ein Kontaktformular vorhanden ist, in dem Namen und Adresse erfasst werden können.

Soweit personenbezogene Daten verarbeitet werden, muss der Anbieter § 13 Abs. 1 TMG beachten:

Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb der EU in allgemein verständlicher Form zu unterrichten. Bei einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, ist der Nutzer zu Beginn dieses Verfahrens zu unterrichten. Der Inhalt der Unterrichtung muss für den Nutzer jederzeit abrufbar sein (§ 13 Abs. 1 TMG).

Diese Informationen betreffen z. B.

  • die Tatsache, dass die Daten übermittelt werden an Stellen mit Sitz außerhalb von EU/EWR (das trifft beispielsweise zu, wenn Dienste von Google oder Facebook eingebunden sind) oder
  • die Verwendung von Cookies oder anderen automatisierten Verfahren, die eine spätere Identifizierung des Nutzers ermöglichen und eine Erhebung oder Verwendung personenbezogener Daten vorbereiten.

Die Einwilligung kann elektronisch erklärt werden, wenn der Diensteanbieter sicherstellt, dass

  • der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat (§ 13 Abs. 2 TMG),
  • die Einwilligung protokolliert wird,
  • der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und
  • der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann (Darauf muss der Anbieter ihn hinweisen).

Ordnungswidrigkeiten können mit einer Geldbuße bis zu 50.000 EUR geahndet werden (§ 16 Abs. 5 TMG).

2 Andere Datenschutzerklärungen

Als Datenschutzerklärung können auch verstanden werden

  • die schriftliche Vereinbarung zur Auftragsdatenverarbeitung. Dafür ist nach Art. 28 Abs. 3 DSGVO ein Vertrag vorgeschrieben, in dem bestimmte Punkte zu regeln sind.  
  • eine gegenseitige, vertragliche Verpflichtung zwischen Vertragspartnern (soweit keine Auftragsdatenverarbeitung vorliegt), mit Daten nur in einer definierten Weise und vertraulich umzugehen, was auch als Geheimhaltungsklausel bezeichnet werden kann.
  • die Verpflichtung von Mitarbeitern auf das Datengeheimnis, die nach dem neuen Recht für öffentliche Stellen vorgeschrieben ist (§ 53 BDSG [ab 25.05.2018]).

Die Inhalte der Erklärungen müssen mindestens die jeweiligen gesetzlichen Vorgaben erfüllen, können aber auch darüber hinausgehen. Sie dürfen jedoch nicht hinter die gesetzlichen Mindeststandards zurückfallen.

Das ist nur ein Ausschnitt aus dem Produkt Haufe Compliance Office Online. Sie wollen mehr? Dann testen Sie hier live & unverbindlich Haufe Compliance Office Online 30 Minuten lang und lesen Sie den gesamten Artikel.



Meistgelesen