Die Datenschutzerklärung – Handlungsbedarf für Unternehmen
Informationsverpflichtet
Die neue europäische Datenschutz-Grundverordnung verändert auch die rechtlichen Anforderungen an die unternehmerische Datenschutzerklärung. Da gerade in diesem Bereich bei Verstößen Abmahnungen drohen, sollte die Anpassung der „Privacy Policy“ weit oben auf der To-do-Liste stehen.
Am 25. Mai 2018 ist Stichtag: Bis dahin müssen Unternehmen ihre Datenschutzerklärung an die neuen Regelungen der europäischen Datenschutz-Grundverordnung (EU-DSGVO) anpassen. Doch was genau ändert sich gegenüber der bisherigen Rechtslage und was sollten Unternehmen beachten?
Wie bisher müssen alle nicht ausschließlich privaten Stellen – und damit nicht nur Unternehmen, sondern auch Freiberufler – unabhängig von ihrer Größe über die bei ihnen stattfindenden Datenverarbeitungen informieren. Die Informationspflichten greifen, wenn personenbezogene Daten über natürliche Personen verarbeitet werden. Im Kern kommt es dabei darauf an, ob die Daten dazu geeignet sind, die Identität der betroffenen Person zu erfahren. Geschützt sind also insbesondere Kunden-, Mitarbeiter- und Nutzerdaten. Um diese Informationspflichten zu erfüllen, ist es gängige Praxis, eine sogenannte Datenschutzerklärung („Privacy Policy“) vorzuhalten, die über einen Link auf der Unternehmenswebsite eingesehen werden kann. Die EU-DSGVO schlägt diese Vorgehensweise in den Erwägungsgründen jetzt auch ausdrücklich vor.
Alte Texte meist unzulänglich
Nach geltender Rechtslage müssen datenverarbeitende Stellen über ihre Identität, die Zwecke der Datenverarbeitung und die Empfänger der Daten aufklären. Bei der Onlinedatenerhebung ist der Nutzer zusätzlich über Art und Umfang der Verarbeitung zu unterrichten sowie darüber, dass er eine dazu erteilte Einwilligung jederzeit widerrufen kann. Viele Anbieter von Websites haben diese eher als lästig empfundenen Pflichten durch das Übernehmen mehr oder weniger angepasster Textvorlagen mehr schlecht als recht erfüllt. Das dürfte zukünftig allerdings nicht mehr ausreichen.
Die bisher in verschiedenen Gesetzen geregelten Informationspflichten werden in Zukunft durch Art. 13 EU-DSGVO ersetzt, der aufführt, welche Informationen dem Betroffenen explizit zur Verfügung stehen müssen. Die neuen Regelungen der EU-DSGVO gehen dabei weit über das bisher Erforderliche hinaus.
Die neue Vorschrift unterscheidet zwischen Pflichtinformationen auf der einen Seite (Abs. 1) und „weiteren Informationen“ auf der anderen (Abs. 2). Letztere sind dem Betroffenen nur dann mitzuteilen, wenn sie „notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten“. Aufgrund des großen Interpretationsspielraums, den diese Formulierung zulässt, wird es jedoch schwierig oder gar unmöglich sein, diese Unterscheidung rechtssicher zu treffen. Es ist daher dringend angeraten, auch die sogenannten weiteren Informationen zu vermitteln, weshalb im Folgenden nicht zwischen den beiden Kategorien unterschieden wird.
Eine wesentliche Neuerung besteht in der Pflicht zur Nennung der Rechtsgrundlage für die Datenverarbeitung. Nach der neuen EU-Verordnung gilt nach wie vor der Grundsatz des „Verbots mit Erlaubnisvorbehalt“. Das bedeutet, dass die Verarbeitung personenbezogener Daten grundsätzlich verboten und nur dann erlaubt ist, wenn das Gesetz es ausdrücklich gestattet oder der Betroffene einwilligt. Die zentrale Rechtsgrundlage, die die Erhebung und Verarbeitung personenbezogener Daten in bestimmten Fällen erlaubt, findet sich in Art. 6 EU-DSGVO. Als wichtigste sind hier zu nennen: die Verarbeitung zur Erfüllung eines Vertrages mit dem Betroffenen, zur Wahrung der berechtigten Interessen des Verarbeitenden sowie nach Einwilligung durch den Betroffenen.
Der erstgenannte Fall ist insbesondere bei kostenpflichtigen Angeboten zutreffend. Bei der Bestellung einer Ware oder Dienstleistung kommt zwischen dem Kunden und dem Unternehmen ein Vertrag zustande, aufgrund dessen der Verkäufer zum Speichern der Kundendaten wie Adresse und Konto berechtigt ist.
Rechtsgrundlage benennen
Beruft sich das Unternehmen zur Nutzung von Informationen auf eigene berechtigte Interessen, hat es nicht nur die entsprechende Rechtsgrundlage anzugeben, sondern auch die Interessen, die es mit der Verarbeitung verfolgt, etwa die Betriebssicherheit seiner Website. Um sich gegen Angriffe wehren zu können, darf der Betreiber eines Internetauftritts die IP-Adressen der Nutzer zumindest für kurze Zeit speichern. Der Gesetzgeber selbst zählt in den Erwägungsgründen der Verordnung auch die Direktwerbung zu den berechtigten Interessen.
Bemerkenswert sind die geradezu ausufernden Informationspflichten in Bezug auf die Rechte des Betroffenen, die umfassend im dritten Kapitel geregelt sind. Wie bisher ist dem Betroffenen mitzuteilen, dass er ein Recht auf Auskunft über die zu seiner Person gespeicherten Daten sowie auf Korrektur oder Löschung dieser Daten hat. Ebenfalls nicht neu ist die Verpflichtung zum Widerrufshinweis.
Hinzugekommen ist die Pflicht, ihn über das Recht auf Einschränkung der Verarbeitung, das Widerspruchs- und das Beschwerderecht bei einer Aufsichtsbehörde sowie das Recht auf sogenannte Datenübertragbarkeit zu informieren. In Bezug auf das Beschwerderecht ist es ausreichend, dass der Betroffene über das Recht als solches informiert wird. Es ist nicht nötig, die zuständige Datenschutzbehörde zu benennen. Beim Widerspruchsrecht gilt die Besonderheit, dass die Information darüber von den anderen getrennt zu erfolgen hat. Eine optische Hervorhebung durch Rahmung oder Fettdruck sollte ausreichend sein.
Neu ist auch die Pflicht zur Nennung der Kontaktdaten eines gegebenenfalls vorhandenen Datenschutzbeauftragten. Das Veröffentlichen einer E-Mail-Adresse wird in der juristischen Fachliteratur dafür als ausreichend erachtet.
Weiterhin ist der Nutzer nicht mehr nur über die Empfänger der erhobenen Daten zu benachrichtigen, sondern auch, ob der Verarbeitende die Daten an Server im Nicht-EU-Ausland übermitteln will. Hinzuweisen ist dabei ebenfalls darauf, ob für dieses Empfängerland ein Datenschutzabkommen existiert – wie das sogenannte Privacy-Shield-Abkommen für die USA.
Darüber hinaus soll der Nutzer erfahren, wie lange Daten über ihn gespeichert werden. Es gilt die Faustregel: Wenn die Daten nicht mehr benötigt werden, sind sie zu löschen. Die aus Sicherheitsgründen nötige Nutzer-IP-Adresse sollte beispielsweise nicht länger als 14 Tage lang gespeichert werden. Kann ein fester Zeitraum nicht angegeben werden, sind die Kriterien für die Speicherdauer zu nennen.
Schließlich ist der Nutzer über das Bestehen einer sogenannten automatisierten Entscheidungsfindung zu informieren. Eine solche kann zum Beispiel bei der Ermittlung der Kreditwürdigkeit einer Person durch vollautomatisierte Datenanalyse vorliegen.
Verständlichkeit wird Pflicht
Für alle vorgenannten Informationspflichten gilt der Grundsatz, dass die Informationen „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln“ sind. Der Link zur Datenschutzerklärung sollte gut sichtbar auf der Startseite des Webauftritts stehen. Im Text sollten juristische Fachbegriffe vermieden oder zumindest erklärt werden. Der Text muss in Deutsch und – je nach Kundenkreis – in weiteren Sprachen abgefasst sein.
Bezüglich des Textumfangs muss die Datenschutzerklärung in der Praxis mitunter einen Spagat zwischen umfassender Information und Verständlichkeit meistern. Je nachdem, welche und wie viele Datenverarbeitungen im Unternehmen stattfinden, kann sie schnell mehrere Seiten lang werden. Der Text sollte bei einer besonders umfangreichen Datenschutzerklärung klar und übersichtlich gegliedert sein. Es bietet sich dann auch an, Details aus dem Haupttext auszugliedern und über Links für interessierte Kunden und Nutzer an separater Stelle vorzuhalten.
Nicht nur die Informationspflichten selbst, sondern auch die Sanktionen bei Nichtbeachtung sind in ihrem Umfang deutlich erweitert worden. Bisher konnte ein Bußgeld wegen Verletzung der Informationspflichten im Onlinebereich lediglich maximal 50 000 Euro betragen. Diese Obergrenze wird nun auf 20 Millionen Euro respektive 4 Prozent des gesamten weltweit erzielten Jahresumsatzes bei Unternehmen angehoben. Weiterhin drohen bei Verstößen unter Umständen Abmahnungen von Konkurrenten oder Abmahnvereinen.
Unternehmen sollten daher genau prüfen, ob und wie sie personenbezogene Daten verarbeiten. Bei der Anpassung der Datenschutzerklärung kann man sich direkt am Gesetzestext orientieren, da Art. 13 der DSGVO die Informationspflichten nunmehr zentral katalogisiert aufführt. Darüber hinaus kann die abgebildete Checkliste dabei helfen, die Datenschutzerklärung zu vervollständigen. Im Zweifelsfall sollte jedoch stets der Rat eines Rechtsanwalts eingeholt werden. (ur)