E-Mail: info@weber-legal.com

Telefon: +49 (0) 69 247519990

News & Fachbeiträge

Die Rechtsprechung definiert regelmäßig die einzelnen gesetzlichen Vorschriften. Insbesondere im IT-Recht und Datenschutz, aber auch in anderen Rechtsgebieten, müssen die Gerichte die Gesetze den ständigen Weiterentwicklungen anpassen und zum Teil neu definieren. Wir verfolgen die Rechtsprechung und geben unseren Mandanten praktische Hinweise zur Umsetzung.

 

In unseren News/Rechtstipps stellen wir regelmäßig eine Auswahl von diesen rechtlichen Entwicklungen für Sie zusammen.

Kategorieübersicht

Datenschutzerklärung erstellen: wichtige Anforderungen

Das Erfordernis einer Datenschutzerklärung folgt aus der 2018 in Kraft getretenen Datenschutzgrundverordnung (DSGVO). Sie regelt, dass personenbezogene Daten nur verarbeitet werden dürfen, wenn dies aufgrund einer Rechtsgrundlage erfolgt.

Was sind personenbezogene Daten?

Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Diese Person wird auch als „Betroffener“ bzw. „betroffene Person“ bezeichnet (vgl. Art. 4 Nr. 1 DSGVO). Eine Person ist identifizierbar, wenn sie mit Hilfe von Merkmalen wie dem Namen, einer Kennnummer, aber auch Standortdaten als natürliche Person identifiziert werden kann. 

Was ist rechtlich bei der Datenverarbeitung zu beachten?

Eine Datenverarbeitung im Sinne der DSGVO ist zum Beispiel das Erheben und Erfassen von personenbezogenen Daten, aber auch die Organisation, die Speicherung, Anpassung oder Veränderung der Daten. Außerdem das Auslesen oder Abfragen der Daten sowie ihre Verwendung, die Offenlegung durch Übermittlung, ihre Verbreitung, der Abgleich, die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung der Daten (vgl. Art. 4 Nr. 2 DSGVO). Beispiele hierfür sind die Weitergabe der Daten an Versanddienstleister und die Speicherung oder Verarbeitung der IP-Adresse (Online-Kennung die wie eine „Hausnummer“ im Internet funktioniert) durch Webanalyse-Tools wie Google Analytics.

Wann erhebt man Daten?

Problematisch ist in diesem Zusammenhang vor allem das Merkmal des „Erhebens“ von Daten, das vor allem bei den in Art. 13, 14 DSGVO geregelten Informationspflichten von Bedeutung ist. Erheben setzt aktives Handeln des Verantwortlichen, aber auch Mitwirkung der betroffenen Person voraus. Das aktive Handeln des Verantwortlichen besteht in dem Erfragen gezielter personenbezogener Daten. Dies kann mittels eines Online-Kontaktformulars erfolgen, wenn nach dem Namen, der Rechnungs- oder Lieferanschrift, nach Bezahldaten gefragt wird. Der Verantwortliche erhebt auch Daten, wenn Kontaktdaten zur späteren Kontaktaufnahme erfragt werden, z.B. die Zusendung eines Angebots. Aber auch eingehende Bewerbungsunterlagen fallen unter die Erhebung von Daten, soweit sie sich auf eine Stellenausschreibung des Verantwortlichen beziehen (Stellenausschreibung = aktives Handeln des Verantwortlichen, Bewerbungsunterlagen = Mitwirkung der betroffenen Person).

Wann werden keine Daten erhoben?

Daten werden nicht erhoben, wenn die betroffene Person von sich aus auf den Verantwortlichen zukommt, denn hier fehlt es an der aktiven Handlung des Verantwortlichen. Darunter fallen z.B. Initiativbewerbungen, aber auch Online-Kontaktformulare, in denen von der betroffenen Person ein Anliegen geschildert werden kann, ohne dass konkrete Daten vom Verantwortlichen erfragt werden.

Was sind die Rechtsgrundlagen für die Datenverarbeitung?

Die DSGVO liefert die entsprechenden Rechtsgrundlagen für die Datenverarbeitung. Für Webseiten-Betreiber dürften vor allem die in Art. 6 DSGVO normierten erlaubten Datenverarbeitungszwecke von Bedeutung sein. Das sind

– Einwilligung (Buchstabe a)

– Erfüllung eines Vertrages (Buchstabe b)

– Erfüllung einer rechtlichen Verpflichtung (Buchstabe c)

– zur Wahrung berechtigter Interessen (Buchstabe f)

Auszug Art. 6 DSGVO:

 

Art. 6 DSGVO – Rechtsmäßigkeit der Verarbeitung

 

(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist

  1. a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
  2. b) Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

 

  1. c) Die Verarbeitung ist in Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verarbeitende unterliegt;

 

  1. f) Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Wann liegt ein berechtigtes Interesse nach der DSGVO vor?

Gerade bei Buchstabe f – berechtigte Interessen – stellt sich jedoch die Frage, welche Interessen hiermit gemeint sind. Zunächst ist festzustellen, dass es sich um eine Abwägungsnorm handelt, also die berechtigten Interessen des Datenverarbeiters gegen die berechtigten Interessen des Betroffenen abgewogen werden. Während sich die berechtigten Interessen des Betroffenen u.a. aus der Grundrechtecharte der Europäischen Union (GrCh) herleiten lassen (insbesondere Art. 7 GrCh – Achtung des Privat- und Familienlebens sowie Art. 8 GrCh – Schutz personenbezogener Daten), ist von Bedeutung, auf welche Interessen sich der Datenverarbeiter stützen kann.

Ein berechtigtes Interesse an der Datenverarbeitung kann bestehen, wenn

  • eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, der Betroffen z.B. Kunde des Verantwortlichen ist oder in seinen Diensten steht, z.B. als Arbeitnehmer. Es geht vor allem um Fälle, in denen ein Vertragsverhältnis besteht, jedoch nicht nach Art. 6 Absatz 1 Buchstabe a DSGVO in die Datenverarbeitung eingewilligt wurde.
  • Auch ein Interesse an einer Datenverarbeitung außerhalb der Erfüllung eines Vertrages (Buchstabe b) ist anerkannt. Ein Beispiel hierfür könnte eine Vertragsanbahnung sein, also der Weg hin zu einem Vertragsschluss.
  • Betrugsprävention stellt ein weiteres berechtigtes Interesse dar. 
  • Ebenso die Gewährleistung der Informations- und Netzsicherheit, insbesondere die Zugangshinderung von Unbefugten zu einem Kommunikationsnetz. 
  • Auch Marketing, Werbung und Direktwerbung können berechtigte Interessen des Verantwortlichen sein.
  • Außerdem stellt die Weitergabe von Daten innerhalb einer Unternehmensgruppe (oder einer Gruppe von Einrichtungen, die einer zentralen Stelle zugeordnet sind) – z.B. Kunden- und Beschäftigtendaten – zu internen Verwaltungszwecken ein berechtigtes Interesse dar.
  • Zuletzt besteht auch an der Datenverarbeitung und -übermittelung an eine zuständige Behörde ein berechtigtes Interesse, wenn Verdachtsmomente des Vorliegens von Straftaten oder Bedrohungen der öffentlichen Sicherheit nahelegen.

Ob darüber hinaus Gründe als berechtigtes Interesse angesehen werden können, muss durch eine Abwägung im Einzelfall ermittelt werden. Naheliegend ist eine solche Annahme aufgrund ihrer Funktionsweise für Big-Data-Anwendungen und – Analyseverfahren. 

Welche Informationspflichten gelten für die Webseite?

Neben einer konkreten Rechtsgrundlage für die Verarbeitung von Daten gibt es auch Informations- und Transparenzanforderungen, die es zu beachten gilt. Art. 12 Abs. 1 S. 1 DSGVO verpflichtet den Diensteanbieter (Betreiber der Webseite) die betroffene Person (deren Daten verarbeitet werden) „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ zu informieren, in welcher Weise ihre Daten verarbeitet werden.

Aus diesem Grund muss auch die Datenschutzerklärung von jeder Seite der Webseite in wenigstens zwei Klicks erreichbar sein. Es empfiehlt sich daher, sie ähnlich dem Impressum als gesonderten Punkt, z.B. am Seitenende, einzubinden. Um die Datenschutzerklärung übersichtlich zu gestalten, sollte sie nicht ins Impressum eingebunden werden.

 

Außerdem müssen die erforderlichen Informationen unbedingt spätestens mit Beginn der Datenverarbeitung bereitgestellt werden, also in unmittelbarem zeitlichem Zusammenhang zu der Handlung, die zur Erlangung der Daten führt.

 

Dies ergibt sich aus Art. 4 Nr. 11 DSGVO, der für eine wirksame Einwilligung verlangt, dass der oder die Einwilligende in „informierter Weise“ handelt.

 

Auszug Art. 4 DSGVO

 

Art. 4 DSGVO – Begriffsbestimmungen

Im Sinne dieser Verordnung bezeichnet der Ausdruck

Nr. 11

„Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;“

 

Welche Informationen genau gegeben werden müssen, regeln die Art. 13 und 14 DSGVO. Insbesondere müssen Name und Kontaktdaten des für die Datenverarbeitung verantwortlichen benannt werden. Hier kommt es insbesondere auf das oben beschriebene Erheben der Daten an, also auf die Kombination eines aktiven Erfragens des Verantwortlichen  und einer Antwort der betroffenen Person an.

 

Außerdem müssen die Zwecke der Datenverarbeitung und soweit diese als Grundlage dienen, die berechtigten Interessen ausgeführt werden. Auch etwaige Dritte müssen benannt werden, wenn die erhobenen Daten an sie weitergegeben werden (z.B. Zahlungs-, Versanddienstleister, Analyse-Dienstleister). Daneben muss darüber informiert werden, für welche Dauer die erhobenen Daten gespeichert werden, welche Rechte die betroffenen Personen haben und an wen sie sich wenden können.

 

Artikel 13 DSGVO – Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person

(1) Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:

 

  1. a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
  2. b) gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
  3. c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
  4. d) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
  5. e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
  6. f) gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

(2) Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:

  1. a) die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  2. b) das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
  3. c) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
  4. d) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  5. e) ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte und
  6. f) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

(3) Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung.

Es kann jedoch auch Fälle geben, in denen der Verantwortliche die personenbezogenen Daten nicht bei der betroffenen Person selbst erhebt. Hierzu gibt es in Art. 14 DSGVO einen Auffangtatbestand für Fälle, die nicht unter Art. 13 DSGVO fallen. Das ist der Fall, wenn der Verantwortliche die Daten bei einem Dritten erhebt oder von Dritten übermittelt bekommt. Der Begriff des Dritten ist dabei weit zu verstehen: Es geht um alle Fälle, in denen der Verantwortliche die Daten nicht vom Betroffenen selbst erlangt und der Betroffene von der Übermittlung bzw. Erhebung seiner Daten weder Kenntnis hat noch daran in irgendeiner Weise mitwirkt. Auch hier sind die Informationen über die Datenerhebung bzw. Datenerlangung dem Betroffenen aktiv mitzuteilen. In der Regel gilt dafür eine Monatsfrist (Art. 14 Absatz 3 DSGVO), in Sonderfällen kann diese jedoch auch kürzer sein. Insbesondere ist nach Absatz 2 auch die Quelle zu nennen, von der der Verantwortliche die Daten erhalten hat.

Artikel 14 DSGVO – Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden

(1) Werden personenbezogene Daten nicht bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person Folgendes mit:

  1. a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
  2. b) zusätzlich die Kontaktdaten des Datenschutzbeauftragten;
  3. c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
  4. d) die Kategorien personenbezogener Daten, die verarbeitet werden;
  5. e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten;
  6. f) gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an einen Empfänger in einem Drittland oder einer internationalen Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, eine Kopie von ihnen zu erhalten, oder wo sie verfügbar sind.

(2) Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person die folgenden Informationen zur Verfügung, die erforderlich sind, um der betroffenen Person gegenüber eine faire und transparente Verarbeitung zu gewährleisten:

  1. a) die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  2. b) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
  3. c) das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung und eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
  4. d) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
  5. e) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  6. f) aus welcher Quelle die personenbezogenen Daten stammen und gegebenenfalls ob sie aus öffentlich zugänglichen Quellen stammen;
  7. g) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

(3) Der Verantwortliche erteilt die Informationen gemäß den Absätzen 1 und 2

  1. a) unter Berücksichtigung der spezifischen Umstände der Verarbeitung der personenbezogenen Daten innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats,
  2. b) falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an sie, oder,
  3. c) falls die Offenlegung an einen anderen Empfänger beabsichtigt ist, spätestens zum Zeitpunkt der ersten Offenlegung.

(4) Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erlangt wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung.

 

In aller Kürze:

 

  • Betroffener ist eine natürliche Person, die durch die erhobenen personenbezogenen Daten identifiziert oder identifizierbar ist.
  • Datenverarbeitung beschreibt eine Vielzahl von Handlungen im Umgang mit personenbezogenen Daten, insb. Erfassung und Speicherung, aber auch Weitergabe an Dritte. Beispiele hierfür sind IP- und E-Mail-Adresse, Anschrift oder Bezahldaten von Nutzern sowie die Weitergabe an Versand-, Zahlungs- oder Analysedienstleister.
  • Grundsätzlich bedarf es einer aktiven Einwilligung in die Datenverarbeitung.
  • Eine Ausnahme gilt, wenn ein berechtigtes Interesse besteht. Hierzu zählt z.B. Betrugsprävention oder die Gewährleistung der Netzsicherheit.
  • Informationspflichten nach Art. 13, 14 DSGVO gelten im Fall der Datenerhebung. Für die Erhebung ist eine aktive Handlung des Verantwortlichen (z.B. Stellenausschreibung, Frage nach konkreten Daten im Kontaktformular) nötig und die aktive Bereitstellung der Daten durch den Betroffenen selbst oder einen Dritten.
  • Art. 14 DSGVO gilt für alle Fälle, in denen die Daten nicht vom Betroffenen selbst preisgegeben werden, d.h. nicht bei ihm erhoben werden.

Erforderliche Angaben für die Datenschutzerklärung

Insgesamt sollten sich folgende Informationen in der Datenschutzerklärung wiederfinden:

 

  • Name und Kontaktdaten des Verantwortlichen (des Datenverarbeiters)
  • die Rechtsgrundlage für die Datenverarbeitung, z.B. Art. 6 DSGVO
  • die Zwecke, zu denen die Daten erhoben werden, in welchem Umfang und auf welche Art dies geschieht
  • für welchen Zeitraum die Daten gespeichert und wann sie gelöscht werden
  • Widerspruchs- und Widerrufsmöglichkeiten
  • Auskunfts-, Berichtigungs- und Löschungsrechte
  • Beschwerdemöglichkeiten unter Hinweis auf die zuständige Aufsichtsbehörde
  • Benennung eines Datenschutzbeauftragten und dessen Kontaktdaten, soweit die Kerntätigkeit eine regelmäßige, umfangreiche und systematische Überwachung von betroffenen Personen erfordert oder besonders sensible Daten verarbeitet werden, Art. 37 DSGVO
  • Beachten Sie, dass Sie auch einen Datenschutzbeauftragten benennen und dessen Kontakt in jedem Fall angeben müssen, wenn in Ihrem Unternehmen mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, § 38 I 1 BDSG. Der Personenkreis für die 20 Personen ist weit, es zählen Voll- und Teilzeitkräfte, freie Mitarbeiter, Leiharbeitnehmer, Praktikanten, Volontäre und Auszubildende gleichermaßen. Maßgeblich ist, dass 20 Personen ständig mit der automatisierten Verarbeitung befasst sind, wobei es sich nicht immer um die gleichen Personen handeln muss.

Wann ist eine Datenschutzerklärung mit entsprechendem Inhalt unbedingt erforderlich? Wenn Sie:

 

  • eine Webseite betreiben
  • Cookies nutzen
  • Newsletter versenden
  • ein Kontaktformular anbieten
  • eine Registrierung auf Ihrer Webseite anbieten
  • Bonitätsprüfungen durchführen und Auskunfteien nutzen
  • Web-Analyse betreiben, um die Performance ihrer Webseite zu messen oder das Verhalten Ihrer Nutzer zu beobachten
  • Social Media Plug-Ins installieren
Unverbindliches Erstgespräch vereinbaren
© 2024 Alle Rechte vorbehalten.