Was ist eine Datenschutzerklärung?
Eines vorab: Im juristischen Kontext hat eine Erklärung eher die Bedeutung einer Willensbekundung, weshalb einige das Wort „Datenschutzerklärung“ vermeiden und alternativ etwa „Hinweise zum Datenschutz“ verwenden.
Im üblichen Sprachgebrauch versteht man unter Erklärung eher die möglichst verständliche Darlegung von Zusammenhängen, was der Anforderung der Datenschutz- Grundverordnung (DSGVO) auch eher entspricht.
Erfüllung der Informationspflicht
Denn die EU-DSGVO verpflichtet Verantwortliche, klar und verständlich darüber zu informieren, was mit personenbezogenen Daten passiert und welche Rechte die betroffenen Personen haben.
Die grundlegende Informationspflicht ist allgemein in Art. 5 DSGVO („Transparenz“) und in Art. 12 DSGVO, die Details sind in Art. 13 und 14 DSGVO geregelt.
Wann müssen Informationen bereitgestellt werden?
Die DSGVO unterscheidet, ob die Daten direkt bei der betroffenen Person erhoben werden (Art. 13 DSGVO) oder nicht (Art. 14 DSGVO).
Werden personenbezogene Daten direkt bei der betroffenen Person erhoben, müssen die Informationen gemäß Art. 13 DSGVO zum Zeitpunkt der Erhebung mitgeteilt werden.
Bei einer indirekten Erhebung muss die Information gemäß Art. 14 DSGVO in einer angemessenen Frist, spätestens innerhalb eines Monats, erfolgen. Beide Artikel sehen Ausnahmen vor.
Beispiele für die Bereitstellung
Hinweise zum Datenschutz („Datenschutzerklärungen“) finden sich etwa
- auf Webseiten und Onlineportalen,
- in Apps und Onlineanwendungen,
- als Schild an Fassaden (Videoüberwachung) sowie
- als Link/Verweis in Signaturen in E-Mails und Korrespondenz.
Falls Sie häufiger Werbepost von unbekannten Unternehmen erhalten, wird in der Fußzeile meistens die Information aufgeführt, dass der Absender Ihre Adressdaten von einem Adresshändler für den Werbeversand erhalten hat. Dies wäre etwa ein Hinweis nach Art. 14 DSGVO.
Was steht drin?
Die Inhalte der „Datenschutzerklärung“ sind im Detail in Art. 13 und 14 DSGVO geregelt und beinhalten unter anderem
- Namen/Kontaktdaten des Verantwortlichen,
- ggf. die Kontaktdaten des Datenschutzbeauftragten, die Betroffenenrechte und
- welche Daten zu welchem Zweck und aufgrund welcher Rechtsgrundlage wie lange verarbeitet werden sowie ob eine Übermittlung an andere Empfänger, insbesondere im Ausland, erfolgt.
Weshalb gibt es diese Pflicht?
Im Kontakt mit kleinen und mittleren Unternehmen wissen wir meistens, wer unsere Daten bekommt und wofür. Ein Handwerksbetrieb speichert die Adresse und Kontaktdaten, um die gewünschte Leistung zu erbringen und abzurechnen.
Ein Unternehmen, bei dem man sich bewirbt, verarbeitet die Daten aus der Bewerbung, um zu prüfen, welche Bewerberinnen und Bewerber am geeignetsten sind.
Aber im Alltag und in Kontakt mit Behörden und großen Unternehmen gibt es viele Situationen, in denen das nicht mehr so klar ist.
Melden Sie z. B. Ihren Wohnsitz bei einer Gemeinde oder Stadt an, darf die Meldebehörde Ihre Daten etwa an andere öffentliche Stellen, Parteien und Wählergruppen usw. bei entsprechenden Anfragen und Berechtigungen weitergeben.
Bei der Nutzung von Onlinediensten, Apps und „smarten“ Geräten, wie Lautsprechern oder Smart-TVs, erfolgen häufig zahlreiche Verarbeitungen im Hintergrund.
Hier ist zwar oftmals eine Einwilligung, etwa zur Analyse und Weitergabe der Daten, erforderlich, diese wird aber vielfach ebenfalls ohne Lesen der relevanten Inhalte bestätigt.
Information braucht keine Einwilligung
Häufig werden informierte Einwilligungen mit der Informationspflicht nach Art. 13 und 14 DSGVO verwechselt. Wie Sie sicherlich wissen, müssen alle Verarbeitungen auf Basis mindestens einer Rechtsgrundlage nach Art. 6 DSGVO erfolgen.
Häufig verwendete Rechtsgrundlagen sind die Vertragserfüllung bzw. -anbahnung, gesetzliche Verpflichtungen, das berechtigte Interesse und die Einwilligung.
Als Verantwortlicher der Datenverarbeitung müssen Sie betroffene Personen bis auf wenige Ausnahmen über alle Verarbeitungen nachweislich informieren, um die Vorgaben nach Art. 13 oder 14 DSGVO zu erfüllen.
Eine Unterschrift oder Bestätigung der „Datenschutzerklärung“, etwa per Klick, ist regelmäßig nicht erforderlich. Andernfalls müssten betroffene Personen auch die „Datenschutzerklärungen“ von Webseiten oder Datenschutzhinweise zur Videoüberwachung im Unternehmen „bestätigen“.
Wichtig ist aber, dass ein Verantwortlicher nachweisen kann, dass die Informationen zum Datenschutz bereitgehalten werden bzw. wurden.
Dies geschieht in der Praxis häufig durch Verweise auf die Datenschutzinformationen in E-Mail-Signaturen oder auch in kaufmännischen Dokumenten.
Aber keine Einwilligung ohne Information
Basieren Verarbeitungen jedoch auf der Rechtsgrundlage „Einwilligung“ (Art. 6 Abs. 1 lit. a DSGVO), muss der Verantwortliche nachweisen können, dass die betroffene Person eingewilligt hat.
Dies geschieht häufig durch eine Unterschrift oder das Setzen von Häkchen in Onlineformularen. Damit keine „versteckten“ Einwilligungen erlangt werden, müssen Verantwortliche Einwilligungen nach den Vorgaben von Art. 7 DSGVO so einholen, dass dies klar erkennbar ist.
Meistens beinhalten Einwilligungen grundlegende Angaben und es wird dort auf die dazugehörigen Datenschutzinformationen verwiesen, verlinkt bzw. diese als Anhang beigefügt.
Beispiel: Webseite
In der Praxis finden Sie z. B. in den „Datenschutzerklärungen“ (Information nach Art. 13/14 DSGVO)
von Webseiten häufig Verarbeitungen, die auf Basis einer Einwilligung erfolgen, etwa die Zusendung eines Newsletters.
Die Einholung der Einwilligung erfolgt separat mit den relevantesten Angaben, zuzüglich Verweis auf die Informationen zum Datenschutz.
Liest die Datenschutzhinweise überhaupt jemand?
Datenschutzhinweise zu lesen, macht üblicherweise keinen Spaß. Aber die Erklärungen, insbesondere auf Webseiten, werden öfter gelesen oder aufgerufen als gedacht.
So wird etwa automatisiert kontrolliert, ob eine Webseite bestimmte Dienste eingebunden hat, z. B. Google Analytics.
Ist dies der Fall, wird überprüft, ob die entsprechenden Cookies erst nach einer Einwilligung gesetzt werden und der Dienst in der Datenschutzerklärung aufgeführt wird.
Solche Prüfungen nutzen Dienstleister, zeitweise Aufsichtsbehörden, aber auch immer wieder Organisationen und Personen, die auf vermeintlich schnelles Geld aus sind und Abmahnungen versenden.
Was ist meine Aufgabe?
Auch wenn Sie nicht für die Erstellung einer Datenschutzinformation nach Art. 13 oder 14 DSGVO zuständig sind, können Sie mithelfen, dass Ihr Arbeitgeber die DSGVO einhält.
Denn häufig erhalten die Personen, welche die Datenschutzinformationen erstellen, keine Informationen über angepasste oder geänderte Verarbeitungen.
Installieren Sie etwa für die Webseite eine neue Erweiterung, nutzen Sie für Ihre Verarbeitung einen neuen Auftragsverarbeiter oder ergeben sich sonstige Anpassungen an aktuellen Verarbeitungen, helfen Sie der zuständigen Stelle mit Ihrer Information darüber, die Datenschutzinformationen aktuell zu halten.
