Die Datenschutz-Grundverordnung setzt verstärkt auf Transparenz zugunsten derjenigen, deren personenbezogene Daten verarbeitet werden. Zu den „betroffenen Personen“ zählen auch die Besucher einer Webseite. Denn wer eine Webseite betreibt, verarbeitet in aller Regel auch personenbezogene Daten, beispielsweise weil die IP-Adresse des Besuchers zu Analysezwecken erfasst wird, Cookies oder Social-Media Plug-Ins verwendet werden oder ein Kontaktformular zur Verfügung steht.
Im Zuge der DSGVO, die seit dem 25. Mai inkraft getreten ist, sind auch die Pflichtangaben für Datenschutzerklärungen erweitert worden.
Nach dem Telemediengesetz besteht schon nach geltendem Recht die Pflicht, eine Datenschutzerklärung auf der Homepage vorzuhalten. Art. 13 der Datenschutz-Grundverordnung erweitert den Katalog der Pflichtangaben.
Zusammengefasst kann eine Datenschutzerklärung, je nach Art und Umfang der Verarbeitung personenbezogener Daten, folgendem modularen Aufbau folgen:
- Allgemeine Bestimmungen einschl. Kontaktdaten
- Datenverarbeitung durch den Besuch der Website
- Social Media
- Einbindung von Karten (Maps)
- Webseitenanalyse
- Verarbeitung personenbezogener Daten
- Newsletter
- Rechte der Betroffenen
Ähnlich wie bei der Einführung der Pflichtangaben im Impressum einer Webseite ist es denkbar und wahrscheinlich, dass Datenschutzvereine oder Wettbewerber mögliche Verstöße abmahnen werden. Mehrere Gerichte haben die fehlende oder fehlerhafte Datenschutzerklärung als Verstoß gegen eine Marktverhaltensregel und damit als einen wettbewerbsrechtlich relevanten Verstoß qualifiziert. Der Anpassung der Datenschutzerklärung an die Datenschutz-Grundverordnung sollte daher eine hohe Priorität eingeräumt werden.
Neue Pflicht: Melden eines Datenschutzbeauftragten an die zuständige Behörde
In diesem Zusammenhang steht auch die Benennung (früher: „Bestellung“) eines Datenschutzbeauftragten. Dieser muss an die zuständige Datenschutzbehörde gemeldet werden. Das Verfahren kann beispielsweise in Nordrhein-Westfalen ausschließlich online erfolgen, wobei das Verfahren noch nicht freigeschaltet ist. Daher bleibt hier noch etwas Zeit.
Verantwortliche Stellen müssen einen Datenschutzbeauftragten benennen, wenn bei ihr entweder besonders schützenswerte Verarbeitungstätigkeiten vorgenommen werden oder in der Regel mindestens zehn Personen „ständig“ personenbezogene Daten verarbeiten. Letzteres Merkmal liegt bereits dann vor, wenn die betreffende Person in Ausübung ihrer Tätigkeit immer wieder mit der automatisierten Verarbeitung personenbezogener Daten befasst ist, ohne dass dies den Schwerpunkt der Tätigkeit ausmachen muss.
Und eben dieser Datenschutzbeauftragte muss auch in die Datenschutzerklärung mit seinen Kontaktdaten aufgenommen und bezeichnet werden. Der gewährte Aufschub der Mitteilung an die Aufsichtsbehörde schlägt hier nicht durch.
Fazit:
Die Datenschutzerklärung für Webseiten sollte dringend an die Vorgaben der Datenschutz-Grundverordnung angepasst werden, denn sie ist Teil der eigenen Außendarstellung und somit angreifbar. Die Datenschutzerklärung muss bestimmte Pflichtinhalte aufweisen, einschließlich der Kontaktdaten des Datenschutzbeauftragten, sofern er zu benennen ist. Wer diese Anpassung versäumt, riskiert eine Abmahnung.
UNVERBINDLICHE KONTAKTAUFNAHME
UNVERBINDLICHE KONTAKTAUFNAHME
Sind Sie unsicher, ob Sie mit Ihrer Angelegenheit bei uns richtig sind?
Nehmen Sie gerne unverbindlich Kontakt mit uns auf und schildern uns Ihr Anliegen.
Wir freuen uns auf Ihren Anruf.
