Ordner mit DSGVO-Test und Textmarkern

Was ändert sich 2018?

Am 25. Mai 2018 tritt die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. Damit gehen neue Anforderungen an die Datenschutzerklärung einher, welche Pflichtbestandteil von Webseiten wird, die personenbezogene Daten verarbeiten. Das ist bereits der Fall, wenn ein Kontaktformular auf der Website eingebunden ist.

Eine Datenschutzerklärung zu verfassen ist eigentlich Aufgabe von spezialisierten Anwaltskanzleien oder Datenschutzbeauftragten. Wir unterstützen bei der Erläuterung der Verarbeitungsprozesse, da wir diese am besten kennen. Das kann über Fragebögen geschehen, oder indem wir Textbausteine vorschlagen, die Datenschutzexperten dann prüfen und ergänzen.

Dabei beobachten wir eine große Unsicherheit der Experten. Manche Datenschutzerklärungen versuchen alles richtig zu machen, indem sie in langen Textwüsten alles haarklein erläutern und den Gesetzestext passagenweise zitieren. Daher hier der Versuch einer Einordnung.

Datenschutzhinweise, Datenschutzrichtlinien, Datenschutzkonzept? Wie heißt das gleich?

Es heißt "Datenschutzerklärung". "Datenschutzrichtlinien" geht vielleicht auch, aber es geht ja darum, den Nutzer*innen etwas zu erklären. "Datenschutzhinweise" wird eher für zusätzliche Informationen, etwa unter Formularen verwendet. Ein "Datenschutzkonzept" ist das nicht – dazu gehört mehr: Schulungen, Einbruchschutz oder Backups zum Beispiel. Auch nicht zu verwechseln ist die Datenschutzerklärung mit dem externen Verfahrensverzeichnis, auch wenn einige Inhalte deckungsgleich sind. Das externe Verfahrensverzeichnis muss laut DSGVO nicht mehr veröffentlicht werden, dafür muss nun umso mehr in der Datenschutzerklärung stehen. 

Was muss laut DSGVO in einer Datenschutzerklärung enthalten sein?

Das ergibt sich aus einem einzelnen Paragrafen, dem §13 der DSGVO. Die für die meisten unserer Kunden relevanten Elemente sind:

  • Name und Kontaktdaten der Verantwortlichen
  • Name und Kontaktdaten des Datenschutzbeauftragten
  • Eine Information über das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch gegen die Verarbeitung, Datenübertragbarkeit und Widerruf einer Einwilligung und auf Beschwerde bei einer Aufsichtsbehörde

sowie zu jedem einzelnen Verarbeitungsprozess typischerweise: 

  • Erläuterung des Zwecks und der Rechtsgrundlage der Datenerhebung und -verarbeitung
  • Erläuterung der Folgen einer Nichtbereitstellung, sofern vorhanden
  • Erläuterung der Empfänger bzw. des Empfängerkreises der Daten
  • Eine Aussage zur Übermittlung der Daten an Dritte oder in Drittstaaten
  • Eine Aussage zur Dauer der Speicherung

und im Bedarfsfall:

  • (bei Daten-Aggregations-Verfahren wie Profiling, Scoring oder KI:) Erläuterung des Verfahrens
  • (bei Zweckerweiterung über den Ursprungszweck:) Hintergrund der Zweckerweiterung

Wie sind die Rechtsgrundlagen zu erläutern?

Die möglichen Rechtsgrundlagen definiert ebenfalls ein eigener kurzer Paragraf, der §6 der DSGVO. Das sind typischerweise:

  • eine Einwilligung der Person
  • Vertragsdurchführung oder darauf abzielende Maßnahmen auf Anfrage der Person
  • Berechtigte Interessen, also eine höhere Gewichtung des Interesses des Erhebers an der Datenverarbeitung gegenüber dem Interesse der Person am Schutz ihrer Privatsphäre

Neben der Einwilligung, die durch den Erheber nachgewiesen werden muss und ihm jederzeit entzogen werden kann, gibt es also noch andere Rechtsgrundlagen.

Wie ist die Rechtsgrundlage anzugeben?

Einige verweisen in einem allgemeinen Absatz auf die Grundlagen, andere geben für jede Verarbeitung den infrage kommenden Paragrafen an. Wir lesen die DSGVO so, dass die Rechtsgrundlage für jede Verarbeitung angegeben werden muss, finden aber keinen Zwang, dies mit einem Paragrafen zu belegen. Allein der Paragraf reicht sicherlich nicht: "Gem. DSGVO §6 Abs. 1 lit. i)" erst im Internet recherchieren zu müssen, dürfte nicht als "verständliche Erläuterung" durchgehen. Wir empfehlen daher, die Grundlage in einer mit der DSGVO wiedererkennbaren Form zu formulieren, z.B. so:

  • "auf Basis Ihrer Einwilligung"
  • "zur Vorbereitung eines Vertrages mit Ihnen"
  • "Wir gehen davon aus, dass unser Interesse am Erhalt der technischen Wartbarkeit die Speicherung ihrer ohnehin pseudonymisierten IP-Adresse rechtfertigt"

Wird der entsprechende Paragraf zusätzlich angegeben, erhöht das ggf. die Rechtssicherheit, die Lesbarkeit jedoch nicht unbedingt. 

Wie muss das Recht auf Berichtigung, Löschung und Sperrung erläutert werden?

So wie wir die DSGVO lesen, reicht es, darauf in einem allgemeinen Absatz hinzuweisen. Wir empfehlen allerdings dort, wo sich Besonderheiten je Verarbeitungsprozess ergeben, diese auch zu erläutern. Zum Beispiel weil beim Newsletter die Anforderung ist, dass das Austragen aus dem Verteiler so einfach sein sollte wie das Eintragen. Oder dort, wo Ihnen zum Beispiel durch eine Anonymisierung die Löschung einzelner Datensätze nicht möglich ist. 

Wie ausführlich muss das Recht erläutert werden? 

Auch hierzu finden wir keine konkrete Forderung in der DSGVO. Manche formulieren daher halbe Gutachten zu jedem einzelnen Recht. Da dieser Passus künftig in jeder Datenschutzerklärung stehen wird, halten wir es nicht für zielführend, die Energien in eigene verständliche Erläuterungen dieser Rechte zu verschwenden. Das kann im Zweifel im Internet besser gefunden werden. Stattdessen empfehlen wir, die Zeit besser in eine verständliche und um Verständnis werbende Erläuterung der notwendigen Datenverarbeitungsprozesse auf der eigenen Seite zu investieren. Wir raten, diesen Abschnitt knapp zu halten.

Gibt es gute Beispiele? Wie sieht sowas aus?

Schauen Sie sich vielleicht am besten unsere eigene Datenschutzerklärung an. Diese entstand auf Basis einer Sammlung von Best Practices verschiedener Formulierungen. Der Text ist inzwischen mehr oder weniger ganz unser Werk und kann unter aktuellen CC-BY-SA Konditionen gerne weitergenutzt werden. 

Was passiert, wenn ich keine perfekte Datenschutzerklärung habe? 

Wenn Sie noch keine Datenschutzerklärung auf der Seite haben, aber

  • eine Statistiklösung einsetzen, die Cookies erfordert,
  • IFRAMEs einsetzen, die Daten zu Dritten übertragen,
  • Formulare auf der Seite einsetzen, die personenbezogene Daten speichern (z.B. eine E-Mail-Adresse)

sollten Sie sich schnellstens eine Datenschutzerklärung erstellen. Dafür gibt es diverse (auch kostenlose) Dienste wie z.B. www.e-recht24.de. Dort "bezahlen" Sie allerdings mit einem Newsletter Abo. Eine nicht ganz vollständige Datenschutzerklärung ist besser als keine.

Momentan ist die Sorge groß, auch bei kleinen Fehlern mit Abmahnwellen oder gar saftigen Strafen rechnen zu müssen. Es gibt Datenschutz-Beratungsunternehmen, die bei Website-Tests bei jedem gefundenen Fehler gleich eine Geldbuße von bis zu 20.000.000,00 € oder 4 % des Jahresumsatzes in Aussicht stellen. Das ist laut §83 der DSGVO die Höchststrafe bei schweren Verstößen gegen die Informationspflicht. Da die Strafhöhe angemessen sein muss, wird das Höchstmaß wohl kaum für nicht vorsätzliche Mängel in einer Datenschutzerklärung (zumal kurz nach Inkrafttreten eines Gesetzes) gelten. Wie soll das Strafmaß sonst bei mutwilliger Täuschung noch getoppt werden?

Wir finden es gut, dass die EU den Datenschutz mit einem wirksamen Sanktionsmechanismus nun erstmals zu einem ernstzunehmenden Thema macht. Es ist allerdings schwer vorstellbar, dass die Aufsichtsbehörden mit drakonischen Strafen für geringe Verstöße aus Unkenntnis oder Unklarheit der Rechtslage dem Thema gleich wieder die Akzeptanz nehmen werden. Nicht auszuschließen ist allerdings, dass Abmahnkanzleien den neuen "Markt" bald für sich entdecken. Mehr Rechtssicherheit wird es - wie bei allen neuen Gesetzen - erst mit zunehmender Rechtsprechung geben. Die ist nun ab dem 25.05.2018 möglich. Wir bleiben am Thema. 

Muss ich sonst noch etwas ändern?

Über die Notwendigkeit, künftig die Zustimmung zum Setzen von Cookies bereits vor dem Setzen eines Cookies zu erhalten, haben wir hier bereits geschrieben. Außerdem sollten Sie auf Websites, die personenbezogene Daten verarbeiten, mit jedem Dienstleister, der theoretisch personenbezogene Daten mitlesen kann, einen speziellen Auftrags(daten)verarbeitungs-Vertrag abschließen. Prüfen Sie außerdem, ob die Datenübertragungswege angemessen verschlüsselt sind. 

Gerne schauen wir gemeinsam mit Ihnen, was sich ändern müsste und wie die neuen Anforderungen schnell und effektiv umgesetzt werden können. Kontaktieren Sie uns, um einen Beratungstermin zu vereinbaren!

TERMIN VEREINBAREN