Bei der Verarbeitung personenbezogener Daten müssen verschiedene Informationspflichten beachtet werden, Art. 12 ff. DSGVO. Diese Informationen können in einer sog. Datenschutzerklärung zusammengefasst werden, welche den Betroffenen dann über sämtliche datenschutzrechtlich relevanten Vorgänge informiert. Wird der Betroffene nicht, nicht richtig oder nicht vollständig informiert, so kann dies gem. Art. 83 Abs. 5 lit. b. DSGVO zu einem Bußgeld von bis zu 20 Mio. EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes führen. Auch insoweit sollte auf die Datenschutzerklärung größtmögliche Sorgfalt verwendet werden.
Begriff der Datenschutzerklärung
Die Datenschutzerklärung ist ein zentraler Bestandteil des Datenschutzrechts. Der Begriff als slocher findet sich allerdings nicht im Gesetz. Er ist aus der Praxis hervorgegangen. Mit Datenschutzerklärung werden regelmäßig eine Zusammenfassung derjenigen Informationen bezeichnet, die eine datenverarbeitende Stelle aufgrund gesetzlicher Vorschriften den Betroffenen übermitteln muss. Entsprechende gesetzliche Regeln finden sich z.B. in Art. 12 ff. der Datenschutz-Grundverordnung (DSGVO).
Neben der Bezeichnung als "Datenschutzerklärung" finden sich in der Praxis auch noch Bezeichnungen wie "Datenschutzrichtlinien" oder schlicht "Datenschutz".
Teilweise beinhalten Datenschutzerklärungen auch zusätzlich Einwilligungen in die Datenverarbeitung gem. Art. 7 DSGVO. Derartige Kombinationen sind problematisch, da unklar ist, ob und ggf. in welchem Umfang Betroffene in dieser Weise überhaupt in die Datenverarbeitung einwilligen können. Es besteht somit die Gefahr, dass die Einwilligung unwirksam ist. Beide Vorgänge sollten besser voneinander getrennt werden: Die Datenschutzerklärung gibt ausschließlich Informationen des verantwortlichen Datenverarbeiters wieder. Mit der Einwilligung gibt der Betroffene eine Erklärung ab, ob und in welchem Umfang seine Daten verwendet werden dürfen.
Pflicht zur Datenschutzerklärung
Datenschutzerklärungen müssen zunächst nur dann bereit gehalten werden, wenn personenbezogene Daten verarbeitet werden. Angesichts der weiten Begriffsdefinition ist diese Voraussetzung allerdings in den meisten Fällen erfüllt. Es reicht insbesondere bereits aus, dass Namen oder Anschriften erfasst werden.
Anbieter von Telemedien, also insbesondere Websitebetreiber, sind zur Erstellung von Datenschutzerklärungen (bzw. vergleichbarer Informationen) gem. § 13 Abs. 1 TMG verpflichtet: "Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs [...] in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist".
Neben der Speicherung von online erhobenen Daten, sind Datenschutzerklärungen auch für alle anderen (offline verarbeitete) Daten, die z.B. im allgemeinen Geschäftsverkehr anfallen, zu erstellen. Die DSGV differenziert hier zwischen der Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person nach Art. 13 DSGVO und einer Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden nach Art. 14 DSGVO.
Inhalt von Datenschutzerklärungen
Der Diensteanbieter hat den Nutzer nach § 13 TMG zu Beginn des Nutzungsvorgangs über die folgenden Punkte zu unterrichten:
- dass Daten gespeichert werden
- Art, Umfang und Zwecke der Erhebung, Verarbeitung oder Nutzung/Verwendung personenbezogener Daten
- über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG vom 24. Oktober 1995 (ABl. EG Nr. L 281 S. 31)
- Identität der verantwortlichen Stelle
- ggf. von der erstmaligen Übermittlung und der Art der übermittelten Daten
- ggf. über die Kategorien von Empfängern
Die Benachrichtigung muss in allgemein verständlicher Form erfolgen. Ebenso wie das Impressum sollte die Datenschutzerklärung von jeder Seite des Internetauftritts verlinkt sein.
Weitere Inhalte von Datenschutzerklärungen sind in Art. 13 und 14 DSGVO genannt.
Sanktionen bei Verstößen
Bei Verstößen gegen die Informationspflichten (Betroffenen werden z.B. nicht, nicht richtig oder nicht vollständig informiert) können empfindliche Geldbußen verhängt werden. Diese betragen gem. Art. 83 Abs. 5 lit. b. DSGVO bis zu 20 Mio. EUR oder im Fall eines Unternehmens bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes. Zu beachten ist, dass die Sanktionen bereits bei einer falschen oder unvollständigen Datenschutzerklärung greifen können.
