Datenschutzerklärung
Bei der Verarbeitung personenbezogener Daten müssen verschiedene Informationspflichten beachtet werden, z.B. gem. § 33 BDSG und § 13 TMG. Diese Informationen können in einer sog. Datenschutzerklärung zusammengefasst werden, welche den Betroffenen dann über sämtliche datenschutzrechtlich relevanten Vorgänge informiert. Wird der Betroffene nicht, nicht richtig oder nicht vollständig informiert, so kann dies gem. § 43 Abs. 1 Nr. 8 BDSG zu einem Bußgeld von bis zu 50.000 EUR führen. Auch insoweit sollte auf die Datenschutzerklärung größtmögliche Sorgfalt verwendet werden.
Begriff der Datenschutzerklärung
Der Begriff der Datenschutzerklärung findet sich nicht im Gesetz. Er ist aus der Praxis hervorgegangen. Mit Datenschutzerklärung werden regelmäßig eine Zusammenfassung derjenigen Informationen bezeichnet, die eine datenverarbeitende Stelle aufgrund gesetzlicher Vorschriften den Betroffenen übermitteln muss. Entsprechende gesetzliche Regeln finden sich z.B. in § 33 BDSG und § 13 TMG.
Neben der Bezeichnung als "Datenschutzerklärung" finden sich in der Praxis auch noch Bezeichnungen wie "Datenschutzrichtlinien" oder schlicht "Datenschutz".
Teilweise beinhalten Datenschutzerklärungen auch zusätzlich Einwilligungen in die Datenverarbeitung gem. § 4a BDSG. Derartige Kombinationen sind problematisch, da unklar ist, ob und ggf. in welchem Umfang Betroffene in dieser Weise überhaupt in die Datenverarbeitung einwilligen können. Es besteht somit die Gefahr, dass die Einwilligung unwirksam ist. Beide Vorgänge sollten besser voneinander getrennt werden: Die Datenschutzerklärung gibt ausschließlich Informationen des verantwortlichen Datenverarbeiters wieder. Mit der Einwilligung gibt der Betroffene eine Erklärung ab, ob und in welchem Umfang seine Daten verwendet werden dürfen.
Pflicht zur Datenschutzerklärung
Eine Datenschutzerklärung muss zunächst nur dann bereit gehalten werden, wenn personenbezogene Daten verarbeitet werden. Angesichts der weiten Begriffsdefinition ist diese Voraussetzung allerdings in den meisten Fällen erfüllt. Es reicht insbesondere bereits aus, dass Namen oder Anschriften erfasst werden.
Anbieter von Telemedien, also insbesondere Websitebetreiber, sind zur Erstellung einer Datenschutzerklärung (bzw. vergleichbarer Informationen) gem. § 13 Abs. 1 TMG verpflichtet: "Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs [...] in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist".
Neben der Speicherung von online erhobenen Daten, ist eine Datenschutzerklärung auch für alle anderen (offline verarbeitete) Daten, die z.B. im allgemeinen Geschäftsverkehr anfallen, zu erstellen. § 33 Abs. 1 BDSG bestimmt insoweit: "Werden erstmals personenbezogene Daten für eigene Zwecke ohne Kenntnis des Betroffenen gespeichert, ist der Betroffene [...] zu benachrichtigen".
Ausnahmen von der Pflicht zur Information des Betroffenen sind in § 33 Abs. 2 BDSG geregelt. Eine Pflicht zur Benachrichtigung besteht insbesindere dann nicht, wenn "der Betroffene auf andere Weise Kenntnis von der Speicherung oder der Übermittlung erlangt hat".
Inhalt der Datenschutzerklärung
Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über die folgenden Punkte zu unterrichten:
- dass Daten gespeichert werden
- Art, Umfang und Zwecke der Erhebung, Verarbeitung oder Nutzung/Verwendung personenbezogener Daten
- über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG vom 24. Oktober 1995 (ABl. EG Nr. L 281 S. 31)
- Identität der verantwortlichen Stelle
- ggf. von der erstmaligen Übermittlung und der Art der übermittelten Daten
- ggf. über die Kategorien von Empfängern
Die Benachrichtigung ist erforderlich, sofern eine solche Unterrichtung nicht bereits erfolgt ist. Sie muss in allgemein verständlicher Form erfolgen. Ebenso wie das Impressum sollte die Datenschutzerklärung von jeder Seite des Internetauftritts verlinkt sein.
Sanktionen bei Verstößen
Wer den Betroffenen nicht, nicht richtig oder nicht vollständig benachrichtigt, handelt gem. § 43 Abs. 1 Nr. 8 BDSG ordnungswidrig. Diese Ordnungswirdigkeit kann gem. § 43 Abs. 3 Nr. 1 BDSG mit einem Bußgeld von bis zu 50.000 EUR geahndet werden. Zu beachten ist, dass die Sanktionen bereits bei einer falschen oder unvollständigen Datenschutzerklärung greifen können.
Anwälte für Datenschutzrecht und anwaltliche Datenschutzerklärung
Benötigen Sie individuelle Rechtsberatung zum Datenschutzrecht oder wünschen Sie eine individuelle Datenschutzerklärung? Gerne beraten wir Sie kurzfristig und auf höchstem fachlichen Niveau. Kontaktieren Sie uns unverbindlich für ein Angebot, weitere Details oder eine zeitnahe Beratung. Unsere Antwort und einen eventuellen Beratungstermin erhalten Sie kurzfristig. Unseren Mandanten bieten wir zudem einen verschlüsselten Online-Zugang zu ihren Akten an.
Informationen zum Bundesdatenschutzgesetz (BDSG), den Pflichten als Unternehmen, Aufgaben eines Datenschutzbeauftragten, Hintergründen einer Datenschutzerklärung etc. Ihre speziellen datenschutzrechtlichen Fragen beantwortet ein Anwalt am Tefefon oder in einem persönlichen Gespräch. Die Beratungszeit ist nicht beschränkt. Einen Beratungstermin erhalten Sie kurzfristig.