Informationen müssen verpflichtend mitgeteilt werden

Die Datenschutz-Grundverordnung sieht umfassende Betroffenenrechte für bei der Verarbeitung personenbezogener Daten vor. Hierzu gehört allem voran das Recht, transparent über eine Verarbeitung und deren Zwecke informiert zu werden. Hierbei fängt die Verarbeitung bereits mit der Erhebung der Daten an – bei der betroffenen Person oder ohne ihr Zutun.

Bei dem Besuch von Webseiten beginnt die Datenerhebung bereits mit dem Aufruf der URL. Hierbei wird über Logfiles die IP des Besuchers zusammen mit weiteren Daten angelegt, wobei die IP als eine eindeutige Kennung des Besuchers angesehen werden kann. Für die DS-GVO ist es unerheblich, ob der Betreiber einer Webseite solche Logfiles anlegt oder sein Hoster (über den das in aller Regel geschieht). Bei dem Besuch praktisch jeder Webseite wird man daher dazu aufgefordert, in die Datenschutzerklärung einzuwilligen.

Die Datenschutzerklärung und ihre Inhalte

Die Inhalte richten sich nach verbindlichen Vorgaben der DS-GVO

Wir haben bereits umfassend über Datenschutzklärungen auf Webseiten in unserem Themenfokus: DS-GVO berichtet. Die Einwilligung in eine solche Erklärung, bzw. die Informationen über die Inhalte und Zwecke einer Verarbeitung, sind bei jeder Form der Datenerhebung, Speicherung, Organisation etc. notwendig. Praktisch jede Kundenbeziehung führt zu einer Verarbeitung personenbezogener Daten – dabei ist es unerheblich, ob diese digital oder schriftlich z.B. in einer Papierakte abgelegt werden.

Häufig geschieht diese Information gemäß Art. 13 und 14 DS-GVO über eine sogenannte Datenschutzerklärung bzw. einen Anhang mit Informationen zum Datenschutz. In jedem Fall müssen vor allem folgende Punkte enthalten sein.

  • Name und Kontaktdaten des Verantwortlichen
  • Kontaktdaten des Datenschutzbeauftragten (sofern bestellt)
  • Die rechtliche Grundlage für die Verarbeitung
  • Den Zweck der Verarbeitung
  • Empfänger der Daten, falls diese übermittelt werden, sowie ob diese sich in einem Nicht-EU-Mitgliedsstaat befinden (und entsprechende Garantien, etc.)

Darüber hinaus sind weitere Punkte zur Verarbeitung der Daten und zu den Rechten betroffener Person relevant und müssen mitgeteilt werden. So muss gegenüber dem Einwilligenden unter anderem bereits vor der Datenerhebung festgelegt werden, wie lange dessen Daten gespeichert bleiben. Alle übermittelten Informationen müssen gemäß Art. 12 DS-GVO auf nachvollziehbare und transparente Weise vermittelt werden.

Weitere verpflichtende Informationen zur Verarbeitung und den Rechten betroffener Personen sind wie folgt:

  • Die Speicherdauer bzw. Kriterien für deren Festlegung
  • Das berechtigte Interesse des Verantwortlichen, sofern die Verarbeitung gemäß Art. 6 Absatz 1 lit. b erfolgt
  • Die Betroffenenrechte auf Auskunft, Berichtigung, Löschung sowie Einschränkung der Verarbeitung, Widerspruch und Datenübertragbarkeit
  • Sofern in die Verarbeitung nach Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2 lit. a DS-GVO eingewilligt wurde, das Recht diese zu widerufen
  • Beschwerderecht gegenüber Aufsichtsbehörden
  • Umfassende Informationen zu einer ggf. vorzunehmenden automatisierten Entscheidungsfindung bzw. Profiling

Informationen bei Dritterhebung

Bei einer Erhebung bei Dritten bzw. einer geplanten Offenlegung der Daten gegenüber Dritten können zusätzliche Informationen nach Art. 14 DS-GVO nötig sein. Diese Abgrenzung ist nicht pauschal zu treffen – auch ein Verantwortlicher, der die Daten direkt bei der betroffenen Person erhebt, kann zur Mitteilung diesen zusätzlichen Informationen verpflichtet sein.


Weitere lesenswerte Artikel finden sie im übergeordneten Bereich DS-GVO Basics