Umfangreichere Datenschutzerklärung und neuartige Dokumentationspflicht – Teil 5 der Serie zur DSGVO
Der fünfte Teil der Serie der IT-Recht Kanzlei zur neuen Datenschutzgrundverordnung (DSGVO) zeigt die Erweiterungen auf, die das bisherige Grundpflichtprogramm eines jeden datenschutzrechtlich Verantwortlichen mit Inkrafttreten des Rechtsakts erfahren wird. Welche zusätzlichen Informationen werden zukünftig in der Datenschutzerklärung bereitzustellen sein? Werden Online-Händler zukünftig gehalten sein, sämtliche Verarbeitungsprozesse akribisch zu dokumentieren? Antworten auf diese Fragen finden sich im folgenden Beitrag.
Inhaltsverzeichnis
- I. Ausgeweitete Datenschutzerklärungspflicht
- 1. Verarbeitungsbezogene Pflichtangaben oder Hinweise in Datenschutzerklärung?
- 2.) Erweiterung der Pflichtinhalte
- II. Neue Dokumentationspflicht, Art. 30 DSGVO
- 1.) Verpflichtende Verzeichnisse
- 2.) Ausnahme: weniger als 250 Mitarbeiter und keine Verarbeitung sensibler Daten
I. Ausgeweitete Datenschutzerklärungspflicht
Die Änderungen des europäischen Datenschutzrechts durch die DSGVO gehen nicht nur mit einer Stärkung und Ausweitung der Betroffenenrechte einher, sondern führen gleichzeitig auch neue und im Vergleich zur geltenden Rechtslage gesteigerte Informationspflichten für Verantwortliche ein.
Diese werden sich im Online-Handel vor allem in Form einer weitreichenden Novellierung der notwendigen Datenschutzerklärungen niederschlagen.
1. Verarbeitungsbezogene Pflichtangaben oder Hinweise in Datenschutzerklärung?
Im Geltungsbereich der neuen DSGVO gibt die Regelung des Art. 13 den Verantwortlichen eine Reihe von Informationspflichten auf, welche nicht nur eine einfache Identifizierung der Personen ermöglichen sollen, die mit den erhobenen Daten in Berührung kommen sollen, sondern vor allem die konkreten Verarbeitungsprozesse fair und für den Betroffenen transparent machen sollen.
Problematisch scheint hierbei zunächst, dass Art. 13 Abs.1 DSGVO die Bereitstellung der zwingenden Pflichtangaben zum jeweiligen Erhebungszeitpunkt verlangt und die Verantwortlichen im Online-Handel somit grundsätzlich dazu anhält, informationstechnische Lösungen einzurichten, die mit Hilfe von Pop-Ups oder anderen elektronischen Informationsmechanismen unmittelbar vor der Datenübermittlung über die Begleitumstände der konkreten Erhebung und Verarbeitung unterrichten. Statuiert wird in anderen Worten eine betroffenenabhängige, individuelle Pflicht zur verarbeitungsbasierten Belehrung.
Allerdings hat der europäische Gesetzgeber berücksichtigt, dass eine derartige situationsbezogene Unterrichtungsobliegenheit vor allem in Bereichen des elektronischen Geschäftsverkehrs mit einem unverhältnismäßigen Umstellungsaufwand für die Verantwortlichen einhergehen kann, der die Betroffeneninteressen an Fairness und Transparenz übersteigt.
Den Belangen der Händler wird hier durch Art. 13 Abs. 4 DSGVO Rechnung getragen, der die Pflicht zur situationsbedingten Belehrung vor jeglicher Datenverarbeitung dann entfallen lässt, wenn der jeweils Betroffene über alle maßgeblichen Informationen bereits verfügt.
Ermöglicht werden sollte durch diese Einschränkung insbesondere, alle relevanten Angaben an einer geeigneten Stelle des für die Datenverarbeitung grundlegenden Kommunikationssystems so zum Abruf bereit zu halten, dass der Betroffene leicht und zu jeder Zeit auf diese zugreifen kann und mithin einer konkreten Unterrichtung vor Beginn der Verarbeitungsprozesse nicht mehr bedarf.
Vor allem in Bereich der Telemediendienste – so auch im Online-Handel – wird es den Verantwortlichen also auch zukünftig erlaubt sein, anstelle einer verarbeitungsabhängigen Information von einer generellen Datenschutzerklärung Gebrauch zu machen, die an zentraler Stelle jederzeit eingesehen werden kann und über alle datenschutzrelevanten Umstände aufklärt.
Hält der Verantwortliche also eine verordnungskonforme Datenschutzerklärung vor, ist er nicht mehr verpflichtet, jeder einzelnen Erhebung personenbezogener Daten eine Belehrung mit allen nach Art. 13 DSGVO maßgeblichen Angaben vorangehen zu lassen.
Zu beachten ist hierbei, dass die Datenschutzerklärung ausweislich des Art. 12 Abs. 1 DSGVO in präziser, transparenter, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache anzuführen ist.
Bezüglich der Formerfordernisse ergeben sich im Vergleich zur derzeitigen Rechtslage keine neuen Voraussetzungen. Auch künftig wird es demnach im Online-Handel ausreichen, die Datenschutzerklärung auf einer Unterseite so einzurichten, dass sie mittels eines sprechenden Links von jeder Stelle der Web-Präsenz erreicht werden kann.
2.) Erweiterung der Pflichtinhalte
Nach der derzeit geltenden Rechtslage ergibt sich die Pflicht, sich über die konkreten Datenverarbeitungsprozesse im Online-Handel zu erklären, aus §13 Abs. 1 TMG. Diese Vorschrift gibt allerdings nur allgemein auf, über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten zu unterrichten und hat über die Jahre eine stetige Konkretisierung durch die Rechtsprechung erfahren.
Nach Ablauf der Übergangsfristen zum 25.05.2018 wird der Geltungsbereich des derzeitigen §13 Abs. 1 TMG durch den Katalog an Pflichtinformationen nach Art. 13 Abs. 1 DSGVO ersetzt werden, welcher den Umfang an zwingend bereitzustellenden Angaben bedeutsam erweitert.
Zukünftig sind Verantwortliche, die von der Möglichkeit einer Datenschutzerklärung im Sinne des Art. 13 Abs. 4 DSGVO Gebrauch machen wollen, gehalten, diese mit Informationen über alle der nachstehenden Punkte anzureichen:
- den Namen und die Kontaktdaten (Anschrift, E-Mail-Adresse, ggf. Telefon und Fax) des Verantwortlichen (sowie bei nicht in der Union niedergelassenen Verantwortlichen diejenigen des Vertreters)
- sofern verpflichtend zu bestellen, die Kontaktdaten des Datenschutzbeauftragten
- die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung
- wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f DSGVO beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden
- gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten (bei Weitergabe) und
- gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.
- die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
- das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten (Art. 15 DSGVO) sowie auf Berichtigung oder Löschung (Art. 16 u. 17 DSGVO) oder auf Einschränkung der Verarbeitung (Art. 18 DSGVO) oder eines Widerspruchsrechts gegen die Verarbeitung (Art. 21 DSGVO) sowie des Rechts auf Datenübertragbarkeit (Art. 20 DSGVO)
- wenn die Verarbeitung auf einer wirksamen Einwilligung beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
- ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und
- ggf. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person
Hinweis: Werden die Daten nicht beim Betroffenen erhoben, also z.B. bei einer Auskunftei angefragt, ist für die maßgeblichen informationspflichtigen Inhalte nicht auf den Art. 13, sondern auf den noch strengeren Art. 14 DSGVO abzustellen.
Zu beachten ist, dass im Einzelfall in Ansehung der verschiedenen Betroffenenrechte weitere Informationspflichten hinzukommen können, falls diese Rechte ausgeübt werden. Insofern existieren eine generelle Reaktionspflicht (s. dazu Teil 4 der neuen DSGVO-Serie) und rechtsspezifische Auskunftsobliegenheiten.
Für deren rechtskonforme Umsetzung bleibt es bei dem Erfordernis einer individuellen Kontaktaufnahme mit dem jeweils Betroffenen – auf die Datenschutzerklärung darf insofern gerade nicht zurückgegriffen werden.
II. Neue Dokumentationspflicht, Art. 30 DSGVO
Eine zusätzliche Erweiterung des Pflichtprogramm für datenschutzrechtliche Verantwortliche stellt Art. 30 DSGVO auf, der erstmalig zur Dokumentation sämtlicher Datenverarbeitungsprozesse anhält.
1.) Verpflichtende Verzeichnisse
Ab 2018 werden Verantwortliche somit grundsätzlich gehalten sein, schriftlich oder elektronisch (Abs. 3) Verzeichnisse anzulegen und zu führen, in welchen sämtliche der nachstehenden Angaben aufgeführt werden:
- den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten
- die Zwecke der Verarbeitung
- eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
- die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen
- gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien
- wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
- wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.
2.) Ausnahme: weniger als 250 Mitarbeiter und keine Verarbeitung sensibler Daten
Zu beachten ist aber, dass im Angesicht des erheblichen technischen und organisatorischen Aufwandes, welchen die Anlegung und stetige Aktualisierung der Verzeichnisse mit sich bringen wird, ein gesetzlicher Befreiungstatbestand etabliert wurde.
Nach Art. 30 Abs. 5 DSGVO entfalten die Dokumentationspflichten gegenüber Unternehmen keine Wirkung, die weniger als 250 Mitarbeiter beschäftigen und nicht mit der Erhebung und Verarbeitung besonders sensibler Daten im Sinne des Art. 9 DSGVO (etwa über die sexuelle Orientierung, ethnische Herkunft, Religion oder Weltanschauung etc.) befasst sind.
Weil im Online-Handel personenbezogene Daten regelmäßig nur erhoben werden, um die Durchführung von Kausalgeschäften und personen- und interessenbasierte Werbemaßnahmen zu ermöglichen, ohne dass den Betroffenen die Angabe besonders sensibler Daten abverlangt würde, wird der Großteil der kleinen und mittleren Marktakteure im elektronischen Geschäftsverkehr zur Dokumentation von Verarbeitungsvorgängen auch zukünftig nicht verpflichtet sein.
Anders verhält sich dies freilich bei Großunternehmen, welche die maßgebliche Grenze der Beschäftigtenzahl überschreiten.
Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
0 Kommentare