Datenschutzerklärung: DSGVO-konform gestalten

Seit dem 25.5. greift die europäische Datenschutzgrundverordnung (DSGVO). Nun sollten ihre Vorgaben umgesetzt sein. Betroffen von den Änderungen sind neben Unternehmen auch Freiberufler, denn schon mit der Bereitstellung einfachster Websites werden personenbezogene Daten verarbeitet, was in den Geltungsbereich der DGSVO fällt. Die obligatorische Datenschutzerklärung sollte nun jedenfalls an die neuen Anforderungen angepasst sein.

DSGVO konforme Datenschutzerklärung für Websites bis 25. Mai

Ausschlaggebend für die Informationspflicht mittels einer Datenschutzerklärung ist nicht die Größe eines Unternehmens, sondern lediglich der Umstand, dass personenbezogene Daten natürlicher Personen verarbeitet werden. Als personenbezogene Daten sind solche Informationen zu verstehen, über die sich die Identität dieser Personen erschließen lässt. Damit gehören etwa Kunden-, aber auch Mitarbeiter- und Nutzerdaten zu diesen personenbezogenen Daten.

Neue Informationspflichten durch die DSGVO:

Über die genauen Pflichtinformationen in der Datenschutzerklärung gibt der Art. 13 der Datenschutzgrundverordnung Auskunft. Diese Pflichten gehen deutlich über die Pflichten der früheren Regelung hinaus.

  • Zu den Neuerungen gehört die Pflicht zur Nennung der Rechtsgrundlage für die Datenverarbeitung, wobei hier nach wie vor der Grundsatz des Verbots mit Erlaubnisvorbehalt gilt. Demnach ist die Verarbeitung personenbezogener Daten generell verboten, es sei denn, das Gesetz gestattet dies ausdrücklich oder der Betroffene willigt explizit ein. 
  • In Art. 6 DSVGO finden sich diese Ausnahmen, bei denen die Verarbeitung der Daten gestattet ist. So ist dies etwa der Fall, wenn die Daten zur Erfüllung eines Vertrags mit dem Betroffenen benötigt werden. Aber auch die „Wahrung der berechtigten Interessen“ des Datenverarbeitenden gehören zu diesen Ausnahmen. Im ersten Fall ist es naheliegend, dass ein Anbieter für die Lieferung von Waren bzw. die Bereitstellung kostenpflichtiger Dienste Daten wie Name und Adresse sowie evtl. Kontendaten benötigt. 
  • Mit der Wahrung der berechtigten eigenen Interessen kann etwa die temporäre Speicherung der IP-Adressen der Website-Besucher begründet werden, sofern dies notwendig ist, um etwa die Sicherheit der Website gegenüber Angriffen zu gewährleisten. Üblicherweise sollte diese Speicherung von IP-Adressen zu diesen Zwecken jedoch nicht länger als 14 Tage dauern. 
  • Besonders umfangreich sind die neuen Informationspflichten im Hinblick auf die Rechte der Betroffenen. So ist etwa darüber zu informieren, dass es ein Recht auf Auskunft über alle von ihm gespeicherten Daten und auch ein Recht auf Löschung und Korrektur dieser Daten gibt. Pflicht ist ebenfalls der Hinweis auf die Widerrufsmöglichkeit. 
  • Neu hinzugekommen ist die Aufklärungspflicht zur Möglichkeit der Einschränkung bei der Datenverarbeitung, zum Widerspruchsrecht und zum Beschwerderecht des Betroffenen bei der Datenschutzaufsichtsbehörde. Ebenso muss künftig ein Hinweis auf das Recht zur Datenübertragbarkeit erfolgen. 
  • Der Hinweis auf die Widerspruchsmöglichkeiten muss dabei in einer besonders hervorgehobenen Form erfolgen, durch die sich dieser Teil von den anderen Elementen der Datenschutzerklärung auch schon optisch abhebt. Beim Hinweis auf die Beschwerdemöglichkeit bei den Aufsichtsbehörden gibt es keine Notwendigkeit, die jeweils zuständige Behörde zu benennen, der einfache Hinweis auf diese Option genügt. 
  • Sofern im Unternehmen ein Datenschutzbeauftragter vorhanden ist, gibt es eine Pflicht zur Nennung der (E-Mail-) Kontaktadresse. 
  • Es reicht jetzt nicht mehr aus, Empfänger der erhobenen Daten zu nennen, es muss jetzt auch darüber informiert werden, ob die Daten bei der Verarbeitung auch an solche Server weitergeleitet werden, die sich außerhalb der EU befinden und ob in diesen Fällen mit den jeweiligen Ländern entsprechende Datenschutzabkommen bestehen, mit denen ein ähnliches Schutzniveau wie innerhalb der EU gewährleistet werden soll (z.B. Privacy Shield Abkommen mit den USA). 
  • Informiert werden soll schließlich auch über die Speicherfristen, wobei es generell so sein sollte, dass die Daten nur so lange gespeichert bleiben sollen, wie sie für den angegebenen Zweck auch benötigt werden. 
  • Schließlich muss künftig auch über das Bestehen einer automatischen Entscheidungsfindung informiert werden, wenn eine solche genutzt wird. Hierzu zählt etwa die Nutzung einer automatisierten Ermittlung der Kreditwürdigkeit eines Kunden.   

DSGVO: Datenschutzerklärung muss verständlich sein

Die neuen Vorgaben schreiben nicht nur vor, worüber in der Datenschutzerklärung informiert werden muss, sondern auch in welcher Weise dies zu geschehen hat. So sollen die Informationen präzise, transparent, in leicht zugänglicher Form und einer klaren und einfachen Sprache zur Verfügung gestellt werden. Dabei sollen juristische Fachbegriffe vermieden oder wenn dies nicht möglich ist, zumindest erklärt werden.

Der Link zu Datenschutzerklärung sollte ähnlich wie das Impressum einfach möglichst direkt über die Startseite der Website erreichbar sein. Der Text muss in Deutsch und bei internationaler Ausrichtung des Angebots auch in weiteren Sprachen verfasst sein.

Bei der Erstellung einer DSGVO-konformen Datenschutzerklärung können Sie sich durch Generatoren im Web helfen lassen, die nach Ihren Vorgaben aus Textbausteinen eine individuell angepasste Erklärung zusammensetzen.

DSGVO und Freiberufler

Gerade Freiberufler, die häufig besonderen beruflichen Verschwiegenheitspflichten unterliegen und deren gespeicherte Daten oft hochsensibel sind, sollten, die Anforderungen der DSGVO ernst nehmen, da ihnen neben den Sanktionen der DSGVO (Diese Sanktionen drohen nach der EU Datenschutzgrundverordnung) auch berufsrechtliche und, als Geheimnisträger, auch strafrechtliche Sanktionen drohen können, wenn sie ihre Datenschutz- und IT-Sicherheitspflichten massiv vernachlässigen oder verletzten.

Sind DSGVO-Abmahnwellen zu erwarten?

Schon bei früheren Veränderungen von Verpflichtungen, speziell solchen von Gewerbetreibenden im Internet, gab es nach dem In Kraft treten gesetzlichen Neuregelungen, etwa zum Impressum oder zum Benennen von OS-Schlichtungsstellen häufig ein ausgeprägtes Abmahnverhalten, etwa von Konkurrenten oder auch als anwaltliches Geschäftsmodell.

  • Dies ist auf die Schnelle noch nicht in hoher Zahl wahrscheinlich,
  • da auch für Abmahnwillige erst klar werden muss, wie genau die Behörden reagieren und welche Versäumnisse von den Gerichten sanktioniert werden. Außerdem geht auch der Abmahnende das Risiko ein, auf den Kosten, den eigenen und denen des sich wehrenden Abgemahnten, sitzen zu bleiben.

Hier ist vor Massenabmahnungen zumindest mit einer Orientierungsphase zu rechnen, zumal nicht klar ist, wie Verstöße gegen die DSGVO aus UWG-Sicht zu betrachten sind.

Schon ist von Nachbesserung des Gesetzes die Rede

Da gerade Kleinstunternehmer, Handwerker und Vereine sich überfordert fühlen und auf die Barrikaden gehen, erklärte sich Bundeskanzlerin Merkel auf einer Kreisvorsitzendenkonferenz bereit, mit Innenminister Seehofer über ein Nachbesserungsgesetz zu sprechen, das verhindern soll, "dass der Umgang mit Daten nicht mehr praktikabel" ist.

Fraglich ist, ob sie das in der GroKo und im Parlament durchsetzen kann, denn Bundesjustizministerin Barley lobt die DSGVO als "Meilenstein für den Schutz der persönlichen Daten".

Kommen doch Ausnahme für Privatleute, Handwerker und Freiberufler?

Ansatzpunkt für eine „Entschärfung“ liefert das von dem Nachbar-EU-Land Österreich für die Umsetzung der Datenschutzgrundverordnung gewählte Einschränkung.

  • Dort gilt eine  Ausnahmen für Privatleute, Handwerker und Freiberufler.
  • Sie müssen erst bei systematischen Verstößen mit den gefürchteten hohen Strafen rechnen.

Allerdings bestreitet die stellvertretende SPD-Digitalpolitiksprecherin Esken, die DSGVO böte, anders als in der österreichischen Umsetzung umgesetzt, keine Öffnungsklauseln für kleine Handwerker oder Vereine. Besser als gesetzlich nachzubessern sei es, Vertrauen in das Augenmaß der Datenschutz-Aufsichtsbehörden vermitteln.

Weitere News zum Thema:

Diese Sanktionen drohen nach der EU Datenschutzgrundverordnung

Pflicht zur Meldung des Datenschutzbeauftragten

Downloads zur Vorbereitung

Der Deutsche Anwaltverein bietet verschiedene Downloads zur Vorbereitung der Kanzlei auf die DSGVO an.