Eine Grundanforderung der DSGVO ist die Transparenz. Betroffene Personen sollen bereits bei der Datenerhebung aufgeklärt werden, was genau mit ihren personenbezogenen Daten geschieht. Ohne diese Informationen könnten Betroffene ihre Datenschutzrechte nur schwer wahrnehmen.
Um also der Informationspflicht gemäß Art. 13 DSGVO nachzukommen, müssen sich Unternehmen erklären – gewöhnlich in einer sogenannten Datenschutzerklärung. Die Erklärung kann aber auch Datenschutzbestimmung, Datenschutzhinweis oder Information zum Datenschutz etc. genannt werden. Lassen Sie sich von den unterschiedlichen Begrifflichkeiten nicht verwirren!
Mit Sicherheit ist Ihnen eine solche Datenschutzerklärung schon einmal im Internet begegnet. Auf Webseiten werden nämlich regelmäßig personenbezogene Daten erhoben. Die Datenschutzerklärung auf einer Webseite dient damit der Information der Webseitenbesucher.
Personenbezogene Daten werden aber nicht ausschließlich auf einer Webseite von Webseitenbesuchern erhoben. Eine Information ist auch bei anderen Datenerhebungen/-verarbeitungen anderer Personen notwendig zum Beispiel für:
- Nutzer einer Smartphone-App
- Mitarbeiter des eigenen Unternehmens
- Mitarbeiter anderer Unternehmen, mit denen eine geschäftliche Zusammenarbeit stattfindet
- Bewerber
- Offline-Kunden (zum Beispiel Patienten, Mandanten, Gäste, Besucher)
Angaben in der Datenschutzerklärung
Die DSGVO zählt in Art. 13 Abs. 1 ganz konkret auf, worüber ein Unternehmen informieren muss. Das wären u. a. folgende Angaben:
- Name und Kontaktmöglichkeit des verantwortlichen Unternehmens
- Kontaktmöglichkeit des Datenschutzbeauftragten, falls bestellt
- Zweck der Datenverarbeitung
- Rechtsgrundlage
- Falls die Rechtsgrundlage berechtigte Interessen nach Art. 6 Abs. 1 lit. f) DSGVO ist, nennen Sie das konkrete berechtigte Interesse.
- Empfänger oder Kategorien von Empfängern, falls die Daten weitergegeben werden
- Drittland oder internationale Organisation, falls die Daten an Empfänger außerhalb der EU weitergegeben werden
- Speicherdauer
- Betroffenenrechte
Medienbruch
Stellen Sie sich vor, Sie erheben personenbezogene Daten im Offline-Geschäft. Um Ihrer Informationspflicht nachzukommen, geben Sie eine Datenschutzerklärung in Papierform aus. Mehrere Blätter Papier, die sich am Ende die wenigsten Kunden durchlesen werden. Könnte man die Datenschutzerklärung nicht in ein anderes Medium (das Internet) übertragen und entsprechend darauf verweisen? Wäre die Information dann für den Kunden immer noch leicht zugänglich, wie es die DSGVO vorschreibt?
Jein. Auf Grund der bisherigen Stellungnahmen der Aufsichtsbehörden sollten nach meiner Ansicht zumindest die spezifischen Angaben (z. B. Zweck der Datenverarbeitung, Dauer der Speicherung, Empfänger der Daten) direkt vorzufinden sein. Lediglich die gleichbleibenden Angaben (z. B. Name des Unternehmens, Kontaktdaten des Datenschutzbeauftragten, Betroffenenrechte) können online in die Datenschutzerklärung auf der Webseite ausgelagert werden.