News
Jeder kennt sie, aber kaum jemand hat jemals wirklich eine gelesen. Die Datenschutzerklärung (gerne auch Datenschutzhinweis, Informationspflichten, etc.) ist eine gesetzliche Verpflichtung, nach der ein Verantwortlicher dem Betroffenem gegenüber offenlegen muss, wie er mit seinen Daten umgeht. Dies entspricht dem Transparenzgebot und soll sicherstellen, dass der Betroffen die Kontrolle über seine Daten nicht verliert und nachvollziehen kann, was mit seinen Daten passiert.
Wann ist eine Datenschutzerklärung erforderlich?
Immer wenn personenbezogenen Daten erhoben werden, muss zum Zeitpunkt der Erhebung dem Betroffenen eine Datenschutzerklärung zur Verfügung gestellt werden (Art. 13 DSGVO). Typische Anwendungsfälle sind:
- Internetseiten
- Beschäftigungsverhältnis
- Apps
- Geschäftliche Social Media Auftritte
- B2B/Geschäftsverhältnisse
- Videoüberwachung
Ausnahmen
Es gibt auch Ausnahmen, wann keine Datenschutzerklärung erforderlich sind. Diese Ausnahmen sind in Art. 23 DSGVO geregelt und betreffen vor allem die nationale Sicherheit, wie der Verfolgung von Straftaten, sodass Unternehmen im Regelfall nicht von diesen Ausnahmen profitieren.
Inhalt
Der Inhalt einer Datenschutzerklärung ist in Art. 13 DSGVO geregelt. Folgende Informationen sind demnach immer erforderlich:
- den Namen und die Kontaktdaten des Verantwortlichen
- die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung.
- die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer.
- der Betroffene muss über seine Rechte aufgeklärt werden.
Außerdem müssen ggf. die Kontaktdaten des Datenschutzbeauftragten, eine mögliche Datenweitergabe und eine Verarbeitung in einem Drittland benannt werden.
Gemäß Art. 12 Abs. 1 DSGVO ist eine Datenschutzerklärung in einer klaren und einfachen Sprache zu verfassen, so dass diese für jeden leicht verständlich ist. Insbesondere bei komplexen technischen Datenverarbeitungen ist dies eine besondere Herausforderung.
Wo und wie muss eine Datenschutzerklärung veröffentlicht werden?
Viel Unklarheit herrscht über die Art der Veröffentlichung. Vereinfacht gesagt, kommt es darauf an, dass der Betroffene ohne großen Aufwand (leicht zugänglich) von der Datenschutzerklärung Kenntnis erlangen kann. So reicht es in der Regel aus, die Datenschutzerklärung auf der Website zu veröffentlichen, wenn bei der Datenerhebung hierüber informiert wurde. Auch eine ausgedruckte Datenschutzerklärung ist eine gute Möglichkeit, die gesetzliche Pflicht umzusetzen.
Zustimmungspflichtig?
Immer wieder sieht man, dass man einer Datenschutzerklärung zustimmen muss. Teilweise lassen sich Unternehmen eine Datenschutzerklärung auch unterschreiben. Beides ist nicht erforderlich, und kann sogar dazu führen, dass eine Datenschutzerklärung nicht mehr einseitig abgeändert werden kann. Grundsätzlich gilt, eine Datenschutzerklärung ist kein Vertrag und ist somit nicht zustimmungspflichtig. Manchmal kann es sinnvoll sein, die Möglichkeit der Kenntnisnahme bestätigen zu lassen.
Sprache
Unklarheit herrscht auch über die Sprachen, in der die Datenschutzerklärung angeboten werden muss. Vereinfacht lässt sich sagen, die Datenschutzerklärung muss in allen Sprachen bereitgestellt werden, in denen die Betroffen angesprochen werden sollen. Das bedeutet, wenn ein Onlineshop in französischer Sprache angeboten wird, um französischer Kunden zu generieren, muss auch eine Datenschutzerklärung in französischer Sprache bereitgestellt werden.
Datenschutzgenerator
Es gibt eine Vielzahl an Datenschutzgeneratoren, die Ihnen helfen, eine Datenschutzerklärung zu erstellen. Diese Generatoren sind gerade für Laien eine tolle Hilfe, um die erforderlichen gesetzlichen Pflichten zu erfüllen. Aber gerade bei komplexen Datenverarbeitungen im technischen Bereich komme diesen Generatoren an Ihre Grenzen und es gelingt Ihnen nur bedingt, auf Einzelfälle und die Besonderheiten eines jedes Unternehmen einzugehen. Die meisten Generatoren haben auch einen Haftungsausschluss integriert, so dass der Einsatz mit Vorsicht zu genießen ist.
Bußgelder und Schadenersatz
Fehlende und fehlerhafte Datenschutzerklärungen können mit einem Bußgeld sanktioniert werden. Besonders wenn Datenschutzerklärungen inhaltlich falsch sind und Daten anders verarbeitet werden als angegeben, ist bei bekannt werden, ein Bußgeld nicht unwahrscheinlich. Darüber hinaus können Betroffene in solchen Fällen einen Schadenersatz einfordern. Hierzu ist aber erforderlich, dass der Betroffene auch wirklich einen benennbaren Schaden erlitten haben. Dies nachzuweisen ist häufig nicht so einfach möglich, sodass es bis jetzt noch nicht zu vielen Schadenersatzzahlungen gekommen ist.
Wir helfen Ihnen gern
Wir sind bei allen Fragen rund um den Datenschutz gern für Sie da. Einfach jetzt klicken und uns eine E-Mail senden: