Abmahngefahr für Onlinehändler: Bis 25. Mai 2018 sind Datenschutzerklärungen zu überarbeiten
- 2 Minuten Lesezeit
Am 25.05.2018 tritt die neue EU-Datenschutzgrundverordnung (DSGVO) in Kraft. Diese regelt in den Art. 13 und 14 zahlreiche Informationspflichten für Onlinehändler in Bezug auf die Datenverarbeitung. Im Vergleich zu den bisherigen maßgeblichen deutschen Regelungen insbesondere § 13 Telemediengesetz) erfordern die Art. 13 und 14 DSGVO weit aus umfangreichere Informationen über die Datenverarbeitung in Datenschutzerklärungen.
Was ist ab Mai 2018 in einer Datenschutzerklärung anzugeben?
Ab dem 25.05.2018 müssen Onlinehändler in der Datenschutzerklärung folgende Informationen angeben:
- Name und Kontaktdaten des verantwortlichen Onlinehändlers;
- sofern ein Datenschutzbeauftragter bestellt ist, dessen Namen und Kontaktdaten;
- Zwecke der Datenverarbeitung, sowie die Rechtsgrundlage für die Datenverarbeitung;
- ergibt sich die Rechtsgrundlage aus Art. 6 Abs. 1 lit. f DSGVO, ist das berechtigte Interesse des Onlinehändlers bzw. des Dritten an der Datenverarbeitung darzulegen;
- Absicht, die Daten an ein Drittland oder eine internationale Organisation zu übermitteln und auf welche Rechtsgrundlage er sich dabei stützt; ggf. sind Standardvertragsklauseln oder die BCR zugänglich zu machen;
- Dauer der Datenspeicherung oder Kriterien, nach denen sich die Speicherdauer bestimmt;
- Rechte des Betroffenen (Art. 15 bis 21 DSGVO) auf Zugang, Berichtigung, Sperrung, Löschung, Widerspruch und Datenübertragbarkeit;
- Recht des Betroffenen, eine wirksam erteilte Einwilligung jederzeit zu widerrufen, ohne dass die Rechtsmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
- Recht des Betroffenen zur Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO);
- ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte;
- Absicht auf Profiling oder einer automatisierten Entscheidungsfindung nach Art. 22 DSGVO; hierzu muss aussagekräftig über die involvierte Logik sowie über die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung informiert werden.
Sofern die Daten nicht bei dem Betroffenen selbst erhoben werden, müssen noch folgende weitere Informationen erteilt werden:
- Herkunft der Daten, ggf. ob sie aus öffentlich zugänglichen Quellen stammen;
- Kategorien personenbezogener Daten, die verarbeitet werden;
- Empfänger oder Kategorien von Empfängern der personenbezogenen Daten.
Wie müssen die Datenschutzinformationen erteilt werden?
Vorstehende Informationen müssen nach Art. 12 Abs. 7 DSGVO in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form abgebildet und vermittelt werden. Nach Erwägungsgrund 58 der DSGVO können diese Informationen auf einer für die Öffentlichkeit bestimmten Webseite bereitgestellt werden.
Wo müssen sich die Datenschutzinformationen befinden?
Nach Art. 13 Abs. 1 DSGVO sind die Informationen bei der Erhebung der Daten mitzuteilen. Einig ist man sich, dass dies weiterhin durch einen auf der Webseite prominent platzierten mit „Datenschutzerklärung“ bezeichneten Button erfolgen kann. Möglich ist ferner, vor Beginn einer Datenerhebung einen Hinweis auf die Datenschutzerklärung mittels eines anklickbares Kontrollkästchen mit einer Formulierung wie z. B. „Ich habe die Datenschutzerklärung gelesen und bin mit dieser einverstanden“ voranzustellen und dabei auf die Datenschutzerklärung zu verlinken.
Was können wir für Sie im Datenschutzrecht tun?
Sollten auch Sie Fragen rund um das Datenschutzrecht haben oder Sie Datenschutzerklärungen überarbeiten wollen, stehe ich Ihnen selbstverständlich zur Verfügung.
Artikel teilen: