Datenschutzerklärung (Datenschutz-Grundverordnung)

Die Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person und nicht bei der betroffenen Person ergibt sich aus den Artikeln 13 und 14 der Datenschutz-Grundverordnung. Verantwortliche Stellen kommen dieser Pflicht meist in Form einer Datenschutzerklärung nach. Die Pflicht die betroffene Person zu informieren ergibt sich bei jeder Datenerhebung unabhängig von der Form, also beispielsweise sowohl auf einer Website als auch auf einem Papierformular.[1]

Zweck

Die Datenschutzerklärung dient der Information der betroffenen Person. Sie soll Transparenz darüber herstellen, dass und in welchem Umfang personenbezogene Daten verarbeitet werden oder künftig noch verarbeitet werden sollen.[2] Insofern schaffen diese Informationen die Grundlage, dass die betroffene Person von ihren Rechten Gebrauch machen kann.[3]

Zeitpunkt

Werden Daten der betroffenen Person erhoben, also gibt die Person die Daten beispielsweise selbst in ein Formular ein oder gibt diese mündlich bekannt sind die Informationen zum Zeitpunkt der Erhebung mitzuteilen.[4]

Werden die Daten nicht bei der betroffenen Person erhoben, also beispielsweise durch ein automatisches Auslesen von Identifikatoren im Browser oder durch Erhebung bei einer Wirtschaftsauskunftei, so muss eine entsprechende Information

  • spätestens einen Monat nach der Erlangung der Daten,
  • spätestens bei der ersten Kommunikation mit betroffenen Person oder
  • spätestens bei der Offenlegung an einen weiteren Empfänger

erfolgen, je nach dem welcher Zeitpunkt oder Fall zu erst eintritt. In bestimmten eng gesteckten Fällen kann von der Benachrichtigung abgesehen werden, insbesondere wenn die betroffene Person bereits über die Informationen verfügt oder eine Geheimhaltungspflicht gegen die Bekanntgabe spricht.

Form

Die Datenschutz-Grundverordnung verpflichtet die verantwortlichen Stellen alle Informationen „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ zur Verfügung zu stellen.[5] Die Datenschutzhinweise müssen daher „auf eine einfache Formel gebracht und griffig formuliert“ werden.[6] Wesentlich ist, dass die Informationen für das Zielpublikum – also juristische Laien – verständlich sind. Sofern sich ein Angebot an Kinder richtet müssen die Informationen im Speziellen auch für diese verständlich sein.

Die Informationen zur Verarbeitung personenbezogener Daten kann schriftlich, elektronisch oder in einer anderen Form – auch mündlich – zur Verfügung gestellt werden.

Inhalt

Nach Artikel 13 DSGVO muss eine Datenschutzerklärung, wenn die Erhebung der Daten bei einer betroffenen Person erfolgt, folgende Informationen enthalten:

  • Name und Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters in der Europäischen Union
  • gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten
  • der Zweck der Datenverarbeitung und die Rechtsgrundlage (nach Art. 6 und gegebenenfalls nach Art. 9 oder Art. 10)
  • die mit der Datenverarbeitung verfolgten berechtigten Interessen, wenn die Verarbeitung auf Art. 6 Abs. 1 lit. f) beruht
  • gegebenenfalls die Empfänger oder Kategorien von Empfängern der Daten
  • gegebenenfalls die Absicht, die Daten ins Nicht-EU-Ausland zu übertragen und die Rechtsgrundlage dafür (nach den Art. 44 ff.)
  • die beabsichtigte Speicherdauer
  • die Angabe der Betroffenenrechte nach den Art. 15 ff. (Bestehen eines Rechts auf Auskunft, Bestehen eines Rechts auf Berichtigung, Bestehen eines Rechts auf Löschung, Bestehen eines Rechts auf Einschränkung der Verarbeitung (Sperrung), Bestehen eines Widerspruchsrechts gegen die Verarbeitung, Bestehen eines Rechts auf Datenübertragbarkeit, Bestehen eines Rechts auf Widerruf der Einwilligung (soweit die Verarbeitung auf Art. 6 Abs. 1 lit. a) beruht), Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde)
  • die Angabe, ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben ist und gegebenenfalls die Folgen einer Nichtbereitstellung
  • gegebenenfalls das Bestehen einer automatisierten Entscheidungsfindung oder Profiling (Art. 22)

Werden die Daten nicht bei einer betroffenen Person erhoben, muss gemäß Art. 14 Abs. 2 lit. f. zusätzlich angeführt werden, aus welcher Quelle die personenbezogenen Daten stammen und gegebenenfalls ob sie aus einer öffentlich zugänglichen Quelle stammen.

Einzelnachweise

  1. Matthias Lachenmann: Formularhandbuch Datenschutzrecht. Hrsg.: Ansgar Koreng, Matthias Lachenmann. 2. Auflage. Beck, München 2018, ISBN 978-3-406-69542-1, F. I.
  2. Datenschutz-Grundverordnung. Erwäggrund 39. In: EUR-Lex. 27. April 2016, abgerufen am 25. Juni 2021: „Jede Verarbeitung personenbezogener Daten sollte rechtmäßig und nach Treu und Glauben erfolgen. Für natürliche Personen sollte Transparenz dahingehend bestehen, dass sie betreffende personenbezogene Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden und in welchem Umfang die personenbezogenen Daten verarbeitet werden und künftig noch verarbeitet werden. Der Grundsatz der Transparenz setzt voraus, dass alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten leicht zugänglich und verständlich und in klarer und einfacher Sprache abgefasst sind. Dieser Grundsatz betrifft insbesondere die Informationen über die Identität des Verantwortlichen und die Zwecke der Verarbeitung und sonstige Informationen, die eine faire und transparente Verarbeitung im Hinblick auf die betroffenen natürlichen Personen gewährleisten, sowie deren Recht, eine Bestätigung und Auskunft darüber zu erhalten, welche sie betreffende personenbezogene Daten verarbeitet werden. Natürliche Personen sollten über die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten informiert und darüber aufgeklärt werden, wie sie ihre diesbezüglichen Rechte geltend machen können. Insbesondere sollten die bestimmten Zwecke, zu denen die personenbezogenen Daten verarbeitet werden, eindeutig und rechtmäßig sein und zum Zeitpunkt der Erhebung der personenbezogenen Daten feststehen. Die personenbezogenen Daten sollten für die Zwecke, zu denen sie verarbeitet werden, angemessen und erheblich sowie auf das für die Zwecke ihrer Verarbeitung notwendige Maß beschränkt sein. Dies erfordert insbesondere, dass die Speicherfrist für personenbezogene Daten auf das unbedingt erforderliche Mindestmaß beschränkt bleibt. Personenbezogene Daten sollten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann. Um sicherzustellen, dass die personenbezogenen Daten nicht länger als nötig gespeichert werden, sollte der Verantwortliche Fristen für ihre Löschung oder regelmäßige Überprüfung vorsehen. Es sollten alle vertretbaren Schritte unternommen werden, damit unrichtige personenbezogene Daten gelöscht oder berichtigt werden. Personenbezogene Daten sollten so verarbeitet werden, dass ihre Sicherheit und Vertraulichkeit hinreichend gewährleistet ist, wozu auch gehört, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können.“
  3. EuGH, Schlussanträge des Generalanwalts vom 9. Juli 2015, Smaranda Bara u. a. gegen Președintele Casei Naționale de Asigurări de Sănătate, Casa Naţională de Asigurări de Sănătate, Agenţia Naţională de Administrare Fiscală (ANAF), C‑201/14, EU:C:2015:461, Rn. 74. „Insoweit ist hervorzuheben, dass – wie die Kommission in der mündlichen Verhandlung ausgeführt hat – dieses Erfordernis einer Unterrichtung der von der Verarbeitung ihrer personenbezogenen Daten betroffenen Personen, das bei jeder Verarbeitung Transparenz gewährleistet, umso wichtiger ist, als es die Voraussetzung dafür schafft, dass die Betroffenen ihr in Art. 12 der Richtlinie 95/46 geregeltes Auskunftsrecht in Bezug auf die verarbeiteten Daten und ihr in Art. 14 der Richtlinie festgelegtes Recht, der Verarbeitung der Daten zu widersprechen, ausüben können.“
  4. Datenschutz-Grundverordnung. Artikel 13 Absatz 1. In: EUR-Lex. 3. April 2021, abgerufen am 25. Juni 2021.
  5. Datenschutz-Grundverordnung. Artikel 12 Absatz 1. In: EUR-Lex. 3. April 2021, abgerufen am 25. Juni 2021: „Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.“
  6. Artikel-29-Datenschutzgruppe: Leitlinien für Transparenz gemäß der Verordnung 2016/679. In: Working Paper. WP 260 rev.01, 11. April 2018, S. 7 ff. (nrw.de [PDF]).