Datenschutzerklärung (Datenschutz-Grundverordnung)

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen

Nach den Art. 13 und 14 der Datenschutz-Grundverordnung (DSGVO) sind Verantwortliche in ihrem Anwendungsbereich verpflichtet, den Betroffenen in einer Datenschutzerklärung mitzuteilen, wie deren personenbezogenen Daten verarbeitet werden.

Diese Informationspflicht gilt nicht nur für Telemedien wie Websites, sondern für alle Situationen, in denen personenbezogene Daten verarbeitet werden.[1]

Zweck[Bearbeiten | Quelltext bearbeiten]

Die Datenschutzerklärung dient der Information des Betroffenen, insbesondere damit dieser die Betroffenenrechte zum Schutz seiner Privatsphäre wirksam gegen den Verantwortlichen geltend machen kann. Sie dient nicht dazu, Einwilligungen einzuholen.

Inhalt[Bearbeiten | Quelltext bearbeiten]

Nach Artikel 13 DSGVO muss eine Datenschutzerklärung, wenn die Erhebung der Daten bei einer betroffenen Person erfolgt, folgende Informationen enthalten:

  • Name und Kontaktdaten des Verantwortlichen, sowie gegebenenfalls seines Vertreters in der Europäischen Union
  • gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten
  • der Zweck der Datenverarbeitung und die Rechtsgrundlage (nach Art. 6 und gegebenenfalls nach Art. 9 oder Art. 10)
  • die mit der Datenverarbeitung verfolgten berechtigten Interessen, wenn die Verarbeitung auf Art. 6 Abs. 1 lit. f) beruht
  • gegebenenfalls die Empfänger oder Kategorien von Empfängern der Daten
  • gegebenenfalls die Absicht, die Daten ins Nicht-EU-Ausland zu übertragen und die Rechtsgrundlage dafür (nach den Art. 44 ff.)
  • die beabsichtigte Speicherdauer
  • die Angabe der Betroffenenrechte nach den Art. 15 ff. (Bestehen eines Rechts auf Auskunft, Bestehen eines Rechts auf Berichtigung, Bestehen eines Rechts auf Löschung, Bestehen eines Rechts auf Einschränkung der Verarbeitung (Sperrung), Bestehen eines Widerspruchsrechts gegen die Verarbeitung, Bestehen eines Rechts auf Datenübertragbarkeit, Bestehen eines Rechts auf Widerruf der Einwilligung (soweit die Verarbeitung auf Art. 6 Abs. 1 lit. a) beruht), Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde)
  • die Angabe, ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben ist und gegebenenfalls die Folgen einer Nichtbereitstellung
  • gegebenenfalls das Bestehen einer automatisierten Entscheidungsfindung oder Profiling (Art. 22)

Werden die Daten nicht bei einer betroffenen Person erhoben, muss gemäß Art. 14 Abs. 2 lit. f. zusätzlich angeführt werden, aus welcher Quelle die personenbezogenen Daten stammen und gegebenenfalls ob sie aus einer öffentlich zugänglichen Quelle stammen.

Form[Bearbeiten | Quelltext bearbeiten]

Nach Art. 12 müssen die genannten Informationen „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ übermittelt werden. Sie können schriftlich, elektronisch oder in einer anderen Form erteilt werden.

Zeitpunkt der Informationserteilung[Bearbeiten | Quelltext bearbeiten]

Werden Daten beim Betroffenen erhoben, muss die Information gemäß Art. 13 Abs. 1 zum Zeitpunkt der Erhebung erfolgen. Ansonsten muss die Information nach Artikel 14 Abs. 3 DSGVO erfolgen

  • unter Berücksichtigung der spezifischen Umstände der Verarbeitung der personenbezogenen Daten innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats,
  • falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an sie, oder,
  • falls die Offenlegung an einen anderen Empfänger beabsichtigt ist, spätestens zum Zeitpunkt der ersten Offenlegung.

Zugang[Bearbeiten | Quelltext bearbeiten]

Es besteht nur die Verpflichtung, die Datenschutzerklärung bereit zu halten. Es ist nicht notwendig, dass die Betroffenen diese auch lesen oder überhaupt zur Kenntnis nehmen. Insbesondere gibt es keinen rechtlichen Grund, sich vom Betroffenen bestätigen zu lassen, dass er die Information erhalten (oder sogar "gelesen und verstanden") hat. Auf Webseiten ist das Pflichtfeld "Ich habe die Datenschutzerklärung erhalten" o. ä. unzulässig und abmahnfähig § 309 Nr. 12 b BGB.

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. Matthias Lachenmann: Formularhandbuch Datenschutzrecht. Hrsg.: Ansgar Koreng, Matthias Lachenmann. 2. Auflage. Beck, München 2018, ISBN 978-3-406-69542-1, F. I.