Datenschutz

Welche Neuerungen die DSGVO bringt

Die Artikel 12 bis 15 der DSGVO regeln, welche Informationen Websitebetreiber den Nutzern einer Website explizit zur Verfügung stellen müssen. Die Regelungen darin gehen über das hinaus, was bisher erforderlich war. „Sie müssen weit detaillierter auf die Rechte der Betroffenen und deren Wahrnehmungsmöglichkeiten hinweisen“, sagt Neuber.

Folgende Neuerungen müssen Websitebetreiber beachten, seit die DSGVO im Mai Kraft getreten ist:

  1. Die Rechtsgrundlage für die Datenverarbeitung muss immer genannt werden. Die zentrale Rechtsgrundlage, die die Erhebung und Verarbeitung personenbezogener Daten in bestimmten Fällen erlaubt, findet sich in Art. 6 der DSGVO. Schreiben Sie jeweils den Paragraphen mit in die Datenschutzerklärung.
  2. Nutzer müssen sehr umfassend über ihre Rechte informiert werden. Zu den Nutzerrechten zählen:
    • Widerspruchsrecht/ Widerrufsrecht: Beim Widerspruchsrecht gilt die Besonderheit, dass die Information darüber getrennt von den anderen Informationen erfolgen muss. „Das darf im Text nicht untergehen“, sagt Neuber. Man kann diese Information beispielsweise durch Rahmung oder Fettung optisch hervorheben.
    • Recht auf Auskunft: Auf Nachfrage muss man Nutzern eine umfassende Auskunft über die Daten, die man von ihnen gespeichert hat, geben.
    • das Recht, dass ihre Daten berichtigt oder gelöscht werden oder die Verarbeitung eingeschränkt wird.
    • Beschwerderecht bei einer Aufsichtsbehörde: In Bezug auf das Beschwerderecht nach Art. 77 DSGVO ist es ausreichend, dass der Betroffene über das Recht als solches informiert wird. Es ist nicht nötig, die zuständige Datenschutzbehörde zu nennen.
    • Recht auf Datenübertragbarkeit: Dies bedeutet, dass beispielsweise Profile von einem Dienst auf den anderen übertragen werden, das ist vor allem auf soziale Netzwerke gemünzt. Wer darunter noch fällt, sei noch nicht geklärt, sagt Neuber.
  3. Ist ein Datenschutzbeauftragter vorhanden, dann muss man dessen Kontaktdaten angeben. Die Angabe der E-Mail-Adresse reicht.
  4. Der Nutzer muss nicht nur darüber informiert werden, wer die erhobenen persönlichen Daten bekommt, sondern auch darüber, ob die Daten an Server im Nicht-EU-Ausland übermittelt werden. Dabei muss man auch darauf hinweisen, ob für dieses Empfängerland ein Datenschutzabkommen existiert – wie beispielsweise das sogenannte Privacy-Shield-Abkommen für die USA.
  5. Der Nutzer muss erfahren, wie lange seine Daten gespeichert werden. Dabei gilt: Wenn die Daten nicht mehr benötigt werden, muss man sie löschen. Die aus Sicherheitsgründen nötige Nutzer-IP-Adresse sollte beispielsweise nicht länger als 14 Tage lang gespeichert werden. Wenn man keinen festen Zeitraum angeben kann, dann muss man seine Kriterien für die Speicherdauer darstellen.
  6. Der Nutzer muss darüber informiert werden, wenn eine sogenannte automatisierte Entscheidungsfindung besteht. Das kann beispielsweise der Fall sein, wenn die Kreditwürdigkeit einer Person durch vollautomatisierte Datenanalyse geprüft wird.

Verständlichkeit der Datenschutzerklärung ist Pflicht

Die DSGVO schreibt nicht nur vor, worüber in der Datenschutzerklärung informiert werden muss, sondern auch, wie das geschehen muss: präzise, transparent, verständlich und leicht zugänglich in einer klaren und einfachen Sprache. Juristische Fachbegriffe sollten Sie vermeiden oder zumindest erklären. Der Text muss auf Deutsch und je nach Kundenkreis auch in weiteren Sprachen verfasst sein.

Da die Informationspflichten oft sehr umfangreich sind, ist es gar nicht so einfach, die Datenschutzerklärung übersichtlich und verständlich zu gestalten. Es empfiehlt sich, auf Aufzählungen oder Tabellen zurückzugreifen, um dazustellen, welche personenbezogenen Daten zu welchem Zweck und aufgrund welcher Rechtsgrundlage verarbeitet werden. Eventuell bieten sich auch Unterseiten mit ausführlicheren Texten an.

Checkliste: Mindestangaben für die Datenschutzerklärung

Zusammengefasst bedeutet dies: Laut DSGVO muss die Datenschutzerklärung ausnahmslos alle Informationen über die eigene Datenerhebung transparent machen und diese verständlich vermitteln.

Folgende Angaben müssen in jedem Fall in die Datenschutzerklärung:

  • Kontaktdaten des Unternehmens bzw. des Verantwortlichen, der über die Verarbeitung von personenbezogenen Daten entscheidet. Das kann je nach Geschäftsmodell die IT sein, die Personalabteilung, einzelne Sachbearbeiter oder der Geschäftsführer selbst
  • alle Zwecke, zu denen personenbezogene Daten verarbeitet werden
  • Rechtsgrundlagen für die Datenverarbeitung
  • Speicherdauer der Daten
  • Rechte der Betroffenen

Zusätzlich zu diesen Mindestangaben müssen Sie gegebenenfalls noch über folgende Punkte informieren:

  • E-Mail-Adresse des Datenschutzbeauftragten
  • Ihre berechtigte Interessen, die Sie mit der Datenverarbeitung verfolgen
  • Dritte, an die die erhobenen personenbezogenen Daten übermittelt werden
  • Ihre Absicht, die Daten ins Nicht-EU-Ausland zu übertragen. In diesem Fall müssen Sie erwähnen, ob es mit dem Zielland ein Datenschutzabkommen gibt oder nicht
  • Ob der Nutzer verpflichtet ist, seine Daten anzugeben und welche Folgen es hat, wenn er das nicht tun möchte
  • Wenn eine automatisierte Entscheidungsfindung (zum Beispiel eine automatische Bonitätsprüfung im Hintergrund) besteht, müssen Sie das angeben

Was passiert, wenn man keine DSGVO-konforme Datenschutzerklärung hat?

Wer seinen Informationspflichten nicht nachkommt, der muss künftig mit höheren Bußgeldern rechnen. Bisher drohte im Onlinebereich ein Bußgeld von maximal 50.000 Euro. Die Obergrenze steigt mit der DSGVO auf 20 Millionen Euro beziehungsweise 4 Prozent des gesamten weltweit erzielten Jahresumsatzes bei Unternehmen. Weiterhin drohen bei Verstößen unter Umständen Abmahnungen von Konkurrenten oder Abmahnvereinen. Hier lesen Sie,wie wahrscheinlich die in der DSGVO aufgeführten Strafen sind.

Wo muss die Datenschutzerklärung platziert sein?

Auf vielen Seiten versteckt sich die Datenschutzerklärung im Impressum. Das ist nicht ausreichend, denn die Datenschutzerklärung muss von jeder Unterseite Ihrer Website erreichbar sein. Sie muss auch in verschiedenen Browsern oder auf verschiedenen Endgeräten sichtbar sein. Besser ist es, wenn der Link zur Datenschutzerklärung gut sichtbar auf der Startseite des Webauftritts steht – etwa im Fuß- oder Kopfbereich der Seite. Oft fehlt der Link zur Datenschutzerklärung zum Beispiel in Bestellprozessen bei Onlineshops. Oder er wird von dem Banner verdeckt, das über die Nutzung von Cookies informiert, wenn ein Nutzer die Website betritt. In diesem Fall riskiert man eine Abmahnung.

Was Websitebetreiber durch die DSGVO sonst noch beachten müssen, steht in unserer DSGVO-Checkliste für Websitebetreiber.

Wie Sie am besten reagieren, wenn Ihnen eine Abmahnung ins Haus flattert lesen Sie in unserem Artikel: „Was tun, wenn eine Abmahnung für den Onlineshop ins Haus flattert?“