Wie sieht eine DSGVO-konforme Datenschutzerklärung auf eine Website aus? Bild: MEV-Verlag, Germany

Im Mai tritt die europäische Datenschutzgrundverordnung (DSGVO) in Kraft. Spätestens zum 25.05. müssen ihre Vorgaben umgesetzt sein. Betroffen von den Änderungen sind neben Unternehmen auch Freiberufler, denn schon mit der Bereitstellung einfachster Websites werden personenbezogene Daten verarbeitet, was in den Geltungsbereich der DGSVO fällt. Die obligatorische Datenschutzerklärung muss an die neuen Anforderungen angepasst werden.

DSGVO konforme Datenschutzerklärung für Websites bis 25. Mai

Ausschlaggebend für die Informationspflicht mittels einer Datenschutzerklärung ist nicht die Größe eines Unternehmens, sondern lediglich der Umstand, dass personenbezogene Daten natürlicher Personen verarbeitet werden. Als personenbezogene Daten sind solche Informationen zu verstehen, über die sich die Identität dieser Personen erschließen lässt. Damit gehören etwa Kunden-, aber auch Mitarbeiter- und Nutzerdaten zu diesen personenbezogenen Daten.

Neue Informationspflichten durch die DSGVO:

Über die genauen Pflichtinformationen in der Datenschutzerklärung gibt der Art. 13 der Datenschutzgrundverordnung Auskunft. Diese Pflichten gehen deutlich über die Pflichten der früheren Regelung hinaus.

  • Zu den Neuerungen gehört die Pflicht zur Nennung der Rechtsgrundlage für die Datenverarbeitung, wobei hier nach wie vor der Grundsatz des Verbots mit Erlaubnisvorbehalt gilt. Demnach ist die Verarbeitung personenbezogener Daten generell verboten, es sei denn, das Gesetz gestattet dies ausdrücklich oder der Betroffene willigt explizit ein. 
  • In Art. 6 DSVGO finden sich diese Ausnahmen, bei denen die Verarbeitung der Daten gestattet ist. So ist dies etwa der Fall, wenn die Daten zur Erfüllung eines Vertrags mit dem Betroffenen benötigt werden. Aber auch die „Wahrung der berechtigten Interessen“ des Datenverarbeitenden gehören zu diesen Ausnahmen. Im ersten Fall ist es naheliegend, dass ein Anbieter für die Lieferung von Waren bzw. die Bereitstellung kostenpflichtiger Dienste Daten wie Name und Adresse sowie evtl. Kontendaten benötigt. 
  • Mit der Wahrung der berechtigten eigenen Interessen kann etwa die temporäre Speicherung der IP-Adressen der Website-Besucher begründet werden, sofern dies notwendig ist, um etwa die Sicherheit der Website gegenüber Angriffen zu gewährleisten. Üblicherweise sollte diese Speicherung von IP-Adressen zu diesen Zwecken jedoch nicht länger als 14 Tage dauern. 
  • Besonders umfangreich sind die neuen Informationspflichten im Hinblick auf die Rechte der Betroffenen. So ist etwa darüber zu informieren, dass es ein Recht auf Auskunft über alle von ihm gespeicherten Daten und auch ein Recht auf Löschung und Korrektur dieser Daten gibt. Pflicht ist ebenfalls der Hinweis auf die Widerrufsmöglichkeit. 
  • Neu hinzugekommen ist die Aufklärungspflicht zur Möglichkeit der Einschränkung bei der Datenverarbeitung, zum Widerspruchsrecht und zum Beschwerderecht des Betroffenen bei der Datenschutzaufsichtsbehörde. Ebenso muss künftig ein Hinweis auf das Recht zur Datenübertragbarkeit erfolgen. 
  • Der Hinweis auf die Widerspruchsmöglichkeiten muss dabei in einer besonders hervorgehobenen Form erfolgen, durch die sich dieser Teil von den anderen Elementen der Datenschutzerklärung auch schon optisch abhebt. Beim Hinweis auf die Beschwerdemöglichkeit bei den Aufsichtsbehörden gibt es keine Notwendigkeit, die jeweils zuständige Behörde zu benennen, der einfache Hinweis auf diese Option genügt. 
  • Sofern im Unternehmen ein Datenschutzbeauftragter vorhanden ist, gibt es eine Pflicht zur Nennung der (E-Mail-) Kontaktadresse. 
  • Es reicht jetzt nicht mehr aus,  Empfänger der erhobenen Daten zu nennen, es muss jetzt auch darüber informiert werden, ob die Daten bei der Verarbeitung auch an solche Server weitergeleitet werden, die sich außerhalb der EU befinden und ob in diesen Fällen mit den jeweiligen Ländern entsprechende Datenschutzabkommen bestehen, mit denen ein ähnliches Schutzniveau wie innerhalb der EU gewährleistet werden soll (z.B. Privacy Shield Abkommen mit den USA). 
  • Informiert werden soll schließlich auch über die Speicherfristen, wobei es generell so sein sollte, dass die Daten nur so lange gespeichert bleiben sollen, wie sie für den angegebenen Zweck auch benötigt werden. 
  • Schließlich muss künftig auch über das Bestehen einer automatischen Entscheidungsfindung informiert werden, wenn eine solche genutzt wird. Hierzu zählt etwa die Nutzung einer automatisierten Ermittlung der Kreditwürdigkeit eines Kunden.   

DSGVO: Datenschutzerklärung muss verständlich sein

Die neuen Vorgaben schreiben nicht nur vor, worüber in der Datenschutzerklärung informiert werden muss, sondern auch in welcher Weise dies zu geschehen hat. So sollen die Informationen präzise, transparent, in leicht zugänglicher Form und einer klaren und einfachen Sprache zur Verfügung gestellt werden. Dabei sollen juristische Fachbegriffe vermieden oder wenn dies nicht möglich ist, zumindest erklärt werden.

Der Link zu Datenschutzerklärung sollte ähnlich wie das Impressum einfach möglichst direkt über die Startseite der Website erreichbar sein. Der Text muss in Deutsch und bei internationaler Ausrichtung des Angebots auch in weiteren Sprachen verfasst sein.

Bei der Erstellung einer DSGVO-konformen Datenschutzerklärung können Sie sich durch Generatoren im Web helfen lassen, die nach Ihren Vorgaben aus Textbausteinen eine individuell angepasste Erklärung zusammensetzen.

DSGVO und Freiberufler

Gerade Freiberufler, die häufig besonderen beruflichen Verschwiegenheitspflichten unterliegen und deren gespeicherte Daten oft hochsensibel sind, sollten, die Anforderungen der DSGVO ernst nehmen, da ihnen neben den Sanktionen der DSGVO (-> Diese Sanktionen drohen nach der EU Datenschutzgrundverordnung) auch berufsrechtliche und, als Geheimnisträger, auch strafrechtliche Sanktionen drohen können, wenn sie ihre Datenschutz- und IT-Sicherheitspflichten massiv vernachlässigen oder verletzten.

Weitere News zum Thema:

Verschärfter Datenschutz am Arbeitsplatz ab Mai 2018

Diese Sanktionen drohen nach der EU Datenschutzgrundverordnung

Pflicht zur Meldung des Datenschutzbeauftragten

Downloads zur Vorbereitung

Der Deutsche Anwaltverein bietet verschiedene Downloads zur Vorbereitung der Kanzlei auf die DSGVO an.

Video-Seminar zum neuen Datenschutzrecht

Ab dem 25.5.2018 gilt die DS-GVO unmittelbar in allen Mitgliedstaaten. Der Referent Prof. Dr. Boris Paal erläutert die Auswirkungen des neuen Datenschutzrechts. Die Seminarinhalte sind:

  •     Überblick über die die DS-GVO und das BDSGneu,
  •     Anwendungsbereiche, Bußgelder und Sanktionen und
  •     Leitfaden Datenschutz 2018/Compliance-Management.

Videogebühr: 98 EUR zzgl. USt.

Hier können Sie das Video herunterladen.

Schlagworte zum Thema:  Datenschutzerklärung, Datenschutz-Grundverordnung, Datenschutz, Compliance

Aktuell
Meistgelesen