Datenschutzinformationen spielen im Internet spätestens seit der europäischen Datenschutz-Grundverordnung eine wichtige Rolle. Das gilt für den B2B- und B2C-Bereich. Doch worauf musst du dabei achten? Wir erläutern dir die zentralen Aspekte.
Das Datenschutzrecht lebt von Transparenz. Betroffene sollen wissen, wer mit ihren Daten umgeht und zu welchem Zweck. Daher gilt zum Beispiel nach Artikel 5 Absatz 1 lit. a DSGVO (Datenschutz-Grundverordnung), dass personenbezogene Daten in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden müssen.
In der Praxis kennen wir das Ergebnis dieser Vorgabe. Es sind die zu beachtenden Datenschutzinformationen (oder auch „Datenschutzerklärung“, „Privacy Policy“ etc.). Aus Sicht von datenverarbeitenden Stellen – mögen es Unternehmen oder Behörden sein – sind bei der Erstellung solcher verpflichtend anzugebenden Informationen einige wichtige Eckpunkte zu beachten.
Du willst nicht abgehängt werden, wenn es um KI, Green Tech und die Tech-Themen von Morgen geht? Über 10.000 Vordenker bekommen jeden Tag die wichtigsten News direkt in die Inbox und sichern sich ihren Vorsprung.
Nur für kurze Zeit: Anmelden und mit etwas Glück Apple AirPods 4 gewinnen!
Mit deiner Anmeldung bestätigst du unsere Datenschutzerklärung. Beim Gewinnspiel gelten die AGB.
Ist eine Datenschutzinformation wirklich immer zwingend erforderlich?
Nur, wenn Unternehmen personenbezogene Daten verarbeiten. Da jedoch der Begriff des „personenbezogenen Datums“ extrem weit auslegbar ist, sollte man im Zweifel davon ausgehen, dass Datenschutzinformationspflichten zu erfüllen sind.
Dies gilt etwa auch dann, wenn Unternehmen IP-Adressen, MAC-Adressen, Unique IDs oder ähnliche Identifikationsmerkmale verarbeiten. Zu beachten ist, dass die DSGVO zwei verschiedene Konstellationen kennt, in denen man Datenschutzinformationen bereithalten muss.
Zum einen, wenn man Daten direkt bei der betroffenen Person erhebt. Das sind zum Beispiel Webseitenbesucher oder App-Nutzer. Zum anderen, wenn man Daten über die Person von einem Dritten erhält. Das betrifft zum Beispiel den Ankauf von Adressen.
In beiden Fällen müssen betroffene Personen eine Information erhalten. Beim Erhalt der Daten von Dritten muss dies jedoch nicht sofort erfolgen, sondern spätestens innerhalb eines Monats oder etwa, wenn man mit Hilfe der Daten Kontakt zu der Person aufnimmt.
Aber das gilt doch nur, wenn ich mit Verbrauchern zu tun habe?
Ganz klar: nein. Das Datenschutzrecht gilt sowohl im B2C- als auch im B2B-Bereich. Das mag aus praktischer Sicht verwundern. Denn wer informiert schon seinen Gesprächspartner bei einem Unternehmen, bei dem man gerade einen Auftrag zur Lieferung von zehn Laptops und 15 Bildschirmen für die Belegschaft platzieren will?
Dennoch gilt die DSGVO. Damit gelten die Informationspflichten auch hier. Das bedeutet aber nicht, dass wir uns nun im geschäftlichen Verkehr seitenweise PDF-Dokumente zusenden müssen, bevor wir miteinander kommunizieren. Um die Umsetzung der Informationspflichten geht es im nächsten Absatz.
Wichtig ist zudem, dass diese Informationspflichten natürlich auch im Innenverhältnis – also gegenüber Mitarbeitern – gelten. So muss der Arbeitgeber darüber informieren, wie er im Arbeitsverhältnis mit den Mitarbeiterdaten umgeht. Dies gilt auch, wenn es im Unternehmen etwa ein Intranet oder betriebsinterne Apps gibt.
Die Umsetzung: seitenweise Informationen und Pflicht zur Zustimmung?
Es gibt auch eine gute Nachricht: Es ist nicht immer zwingend erforderlich, dass betroffene Personen seitenlange Datenschutzinformationen erhalten. Dies sehen sogar die sonst oft strengen Datenschutzbehörden so.
Hierbei ist zunächst wichtig, dass die DSGVO für die Erteilung der Informationen grundsätzlich keine Formvorgabe macht. Das bedeutet, dass Datenschutzinformationen auch elektronisch (über eine Webseite) oder sogar mündlich (etwa bei einer Hotline) erteilt werden können.
Da es in der täglichen Arbeitswelt keinen Sinn ergibt, zunächst seitenlange Informationstexte zu übersenden, halten die Datenschutzbehörden eine stufenweise Erfüllung der Informationen nach der DSGVO für angemessen. (Hier gibt es zum Beispiel Hinweise der Behörde aus Niedersachsen).
Zudem können Unternehmen die Informationen auch mithilfe verschiedener Medien erteilen. Das heißt: Datenschutzbehörden akzeptieren einen Medienbruch.
Konkret umsetzen können Unternehmen dies etwa, indem sie auf der ersten Stufe nur Basisinformationen wie Name und Kontaktdaten des Verantwortlichen sowie Zwecke und Hinweise auf weitere Informationen erteilen.
Zudem akzeptieren es die Behörden, wenn Unternehmen zum Beispiel bei E-Mails im Footer einen kurzen (Ab)Satz zum Datenschutz aufnehmen, der auf die im Internet abrufbaren Datenschutzhinweise verlinkt.
Noch ein wichtiger Punkt. Die Datenschutzinformationen sind genau das: Informationen! Personen müssen ihnen nicht zustimmen oder sich mit ihnen einverstanden erklären.
Sollte ein Unternehmen dies dennoch so umsetzen, besteht die rechtliche Gefahr, dass das gesamte Dokument als Allgemeine Geschäftsbedingungen (AGB) gilt. Dann wirken die strengen Prüfkriterien an die Transparenz solcher AGB.
Der Inhalt: Worüber ist zu informieren?
Über was Unternehmen die Betroffenen informieren müssen, ergibt sich aus den beiden Normen in den Artikeln 13 und 14 DSGVO. Die beiden Regelungen bilden die oben beschriebenen unterschiedlichen Situationen ab, in denen man als Unternehmen Daten erhält – diese also entweder selbst erhebt oder von Dritten bekommt.
So müssen Unternehmen unter anderem über den Namen und die Kontaktdaten des Verantwortlichen, gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten, die Zwecke, für die die Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung informieren. Auch die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten müssen mitgeteilt werden.
Rechtlich durchaus diskutiert wird, ob denn nur die jeweiligen Pflichtinformationen in den Absätzen 1 der Artikel 13 und 14 DSGVO zu erfüllen sind oder auch die zusätzlichen Informationen aus den Absätzen 2.
Um auf der sicheren Seite zu sein, sollten Unternehmen in ihren Datenschutzinformationen auch die Vorgaben aus den Absätzen 2 beachten. Hierzu gehören zum Beispiel Hinweise zur Dauer, für die die personenbezogenen Daten gespeichert werden oder – falls dies nicht möglich ist – die Kriterien für die Festlegung dieser Dauer.
Auch über Hinweise zum Bestehen eines Rechts auf Auskunft sowie auf Berichtigung oder Löschung sowie auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit sollten Unternehmen informieren.
Auch interessant:
- Erhebliche Datenschutzmängel: Stiftung Warentest kritisiert Clubhouse scharf
- Streit um Datenschutz: Warum Facebook so große Angst vor einem Pop-up auf iPhones hat
- Einwilligung im Datenschutzrecht: Die 4 wichtigsten Do’s and Don’ts
- Bildergalerie: So sieht das neue Google-Datenschutzzentrum in München aus
