Neueste Beiträge
- „Wir bringen PDFs zum Leben“ – Gespräch mit Matthias Neumayer, Geschäftsführer FragDasPDF / heyqq GmbH
- Entscheidung: Datenübermittlung in die USA verstößt nicht gegen den Datenschutz!
- Große Bedeutung für die Werbebranche – Interview
- Härting Rechtsanwälte erklären „TADPF in a nutshell (& to do’s)“
- Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework in Kraft getreten!
Archive
- Juni 2024
- März 2024
- Juli 2023
- April 2023
- März 2023
- Februar 2023
- Dezember 2022
- November 2022
- September 2022
- August 2022
- Juli 2022
- Juni 2022
- Mai 2022
- März 2022
- Januar 2022
- Dezember 2021
- November 2021
- Oktober 2021
- September 2021
- August 2021
- Juli 2021
- Juni 2021
- Mai 2021
- April 2021
- März 2021
- Februar 2021
- Januar 2021
- Dezember 2020
- November 2020
- Oktober 2020
- September 2020
- August 2020
- Juli 2020
- Juni 2020
- Mai 2020
- April 2020
- März 2020
- Februar 2020
- Januar 2020
- Dezember 2019
- November 2019
- Oktober 2019
- September 2019
- August 2019
- Juli 2019
- Juni 2019
- Mai 2019
- April 2019
- März 2019
- Februar 2019
- Januar 2019
- Dezember 2018
- November 2018
- Oktober 2018
- September 2018
- August 2018
- Juli 2018
- Juni 2018
- Mai 2018
- April 2018
- März 2018
- Februar 2018
- Januar 2018
- Dezember 2017
- November 2017
- Oktober 2017
- September 2017
- August 2017
- Juli 2017
- Juni 2017
- Mai 2017
- April 2017
- März 2017
- Februar 2017
- Januar 2017
- Dezember 2016
- November 2016
- Oktober 2016
- September 2016
- August 2016
- Juli 2016
- Juni 2016
- Mai 2016
- April 2016
- März 2016
- Februar 2016
- Januar 2016
- Dezember 2015
- November 2015
- Oktober 2015
- September 2015
- August 2015
- Juli 2015
- Juni 2015
- Mai 2015
- April 2015
- März 2015
- Februar 2015
- Januar 2015
- Dezember 2014
- November 2014
Am 25. Mai 2018 wird die Datenschutzgrundverordnung (DSGVO) in allen Mitgliedstaaten geltendes Recht. Durch die DSGVO wird das bisher geltende Datenschutzrecht weitgehend reformiert. Shop-Betreiber müssen zu diesem Zeitpunkt auch eine neue Datenschutzerklärung in ihren Shop einstellen. Was sich durch die DSGVO in Bezug auf die Datenschutzerklärung konkret ändert, erfahren Sie im folgenden Gastbeitrag der IT Recht Kanzlei München.
ÄNDERUNGEN DURCH DIE DSGVO
Einige Vorschriften des TMG werden durch die DSGVO ergänzt, andere werden weitgehend bestehen bleiben. Wiederum andere Regelungen des TMG werden durch die DSGVO vollständig ersetzt. Welche Änderungen es konkret bezüglich der Datenschutzerklärung ab dem 25. Mai 2018 geben wird, erläutern wir im Folgenden.
I. Wirkung der DSGVO
Anders als EU-Richtlinien, die durch die einzelnen Mitgliedstaaten erst noch in nationales Recht umgesetzt werden, sind EU-Verordnungen unmittelbar anwendbar. Das bedeutet: Die DSGVO gilt ab dem 25. Mai 2018 in Deutschland wie nationales Recht, Shop-Betreiber müssen die Regelungen ab diesem Zeitpunkt umsetzen.
II. Sachlicher Anwendungsbereich der DSGVO: Informationspflichten nur bei personenbezogenen Daten
Ziel der DSGVO ist es, ein einheitliches Regelwerk in der ganzen EU zum Schutz personenbezogener Daten zu schaffen. Auch die datenschutzrechtlichen Informationen werden nach der DSGVO demnach nur ausgelöst, wenn personenbezogene Daten verarbeitet werden.
Personenbezogene Daten sind nach Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
1. Relative oder absolute Bestimmbarkeit der Person?
Hinter dieser auf den ersten Blick recht eindeutigen Definition von personenbezogenen Daten steckt jedoch folgendes Problem, welches das Datenschutzrecht schon seit geraumer Zeit beschäftigt:
– Kommt es bei der Beurteilung der Identifizierbarkeit einer Person darauf an, ob gerade die datenverarbeitende Stelle die Person identifizieren kann (relative Bestimmbarkeit)?
– Oder genügt die theoretische (technische) Möglichkeit einer Identifizierung der Person unter Berücksichtigung des „gesamten Weltwissens“ (absolute Bestimmbarkeit)?
Praxisrelevant wird dieser Meinungsstreit insbesondere bei der Beurteilung, ob (dynamische) IP-Adressen personenbezogene Daten sind (vgl. dazu https://www.it-recht-kanzlei.de/index.php?_action=%2FPDF%2Fprint&_rid=6258). Fraglich ist, ob die DSGVO diesem Streit nun ein Ende setzt.
Für den Ansatz der „relativen Bestimmbarkeit“ spricht, dass der Erwägungsgrund 26 zur DSGVO darauf abstellt, dass die Identifizierbarkeit einer Person danach zu beurteilen ist, ob sie „der verantwortlichen Stelle […] mit Mitteln möglich ist, die sie nach allgemeinem Ermessen wahrscheinlich nutzen würden.“ Andererseits stellt der Erwägungsgrund 26 alternativ auf eine nicht näher definierte „andere Person“ ab, was dafür spricht, dass eine absolute Bestimmbarkeit genügt. Gegen den absoluten Ansatz spricht jedoch wiederum Erwägungsgrund 30 zur DSGVO, der exemplarisch darstellt, dass IP-Adressen unter Umständen dazu genutzt werden können, natürliche Personen zu identifizieren. IP-Adressen sind nach dem Erwägungsgrund 30 zur DSGVO also nicht für jede Stelle automatisch personenbezogen.
Diese Zweideutigkeit könnte dafür sprechen, dass der europäische Gesetzgeber hier einen Mittelweg gehen wollte. So dürfte es nach der DSGVO genügen, wenn der Webseitenbetreiber über die notwendigen Mittel verfügt, die ihm die Bestimmung der hinter den Daten stehenden Person grundsätzlich ermöglichen. Unerheblich dürfte also sein, ob die hinter den Daten stehende Person tatsächlich im konkreten Fall identifiziert wird. Entscheidend ist vielmehr, ob die Mittel den Webseitenbetreiber grundsätzlich hierzu in die Lage versetzen. Für diese Interpretation spricht auch die Entscheidung des EuGH vom 19.10.2016 (C-582/14) (http://www.it-recht-kanzlei.de/speicherung-dynamische-ip-adressen-eugh.html#abschnitt_7).
2. Grenze: Anonyme Daten
Eine Grenze zieht die DSGVO erst dort, wo die Daten tatsächlich anonym sind, d. h. bei Informationen, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann.
3. Die Folgen für die Praxis
Auch künftig werden nur personenbezogene Daten die datenschutzrechtlichen Informationspflichten auslösen. Dies bezüglich unterscheiden sich BDSG und DSGVO nicht. Auswirkungen hat die DSGVO jedoch auf die Beurteilung, ob eine IP-Adresse personenbezogen ist und demnach den datenschutzrechtlichen Informationspflichten unterliegt. Dies beurteilt sich künftig danach, ob der Webseitenbetreiber über die notwendigen Mittel verfügt, die ihm die Bestimmung der hinter den Daten stehenden Person grundsätzlich ermöglichen.
INHALT EINER DATENSCHUTZERKLÄRUNG NACH DSGVO
Art. 13 Abs. 1 DSGVO zählt durch einen Katalog an Pflichtinformationen genau auf, welche Informationen eine Datenschutzerklärung enthalten muss. Dieser Katalog an Pflichtinformationen ersetzt ab dem 25. Mai 2018 den § 13 Abs. 1 TMG, der lediglich allgemein vorschreibt, über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten zu unterrichten.
Der Katalog in Art. 13 Abs. 1 DSGVO schreibt Online-Händlern vor, ihre Datenschutzerklärung mit Informationen über alle der nachstehenden Punkte zu versehen:
- den Namen und die Kontaktdaten (Anschrift, E-Mail-Adresse, ggf. Telefon und Fax) des Händlers (sowie bei nicht in der Union niedergelassenen Verantwortlichen diejenigen des Vertreters)
- sofern verpflichtend zu bestellen, die Kontaktdaten des Datenschutzbeauftragten
- die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung (Einwilligung oder gesetzlicher Erlaubnistatbestand), wobei zwischen verschiedenen Zwecken deutlich zu differenzieren ist
- wenn die Verarbeitung auf Artikel 6 Abs. 1 Buchstabe f DSGVO beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden
- gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten (bei Weitergabe)
- gegebenenfalls die Absicht des Händlers, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist oder wo sie verfügbar sind
- die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
- das Bestehen der Betroffenenrechte, also des Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten (Art. 15 DSGVO) sowie auf Berichtigung oder Löschung (Art. 16 u. 17 DSGVO) oder auf Einschränkung der Verarbeitung (Art. 18 DSGVO) und eines Widerspruchsrechts gegen die Verarbeitung (Art. 21 DSGVO) sowie des Rechts auf Datenübertragbarkeit (Art. 20 DSGVO)
- wenn die Verarbeitung auf einer wirksamen Einwilligung beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
- ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte
- soweit der Verantwortliche beabsichtigt, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung.
Eine wesentliche Neuerung liegt darin, dass künftig nicht nur die Zwecke der Datenverarbeitung zu nennen sind, sondern auch eine klare Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten.
Zu beachten ist, dass nach dem Wortlaut des Art. 13 DSGVO keine Pflicht besteht, über die Arten und den Umfang der Datenverarbeitungsvorgänge so zu informieren, wie es derzeit noch § 13 Abs. 1 TMG vorsieht.
Weil die Informationspflicht das Schutzniveau für die Betroffenen aber weiter anheben soll (Erwägungsgrund 10 der DSGVO), muss davon ausgegangen werden, dass die Datenschutzerklärung auch weiterhin über sämtliche auf der Webseite ablaufende Datenvorgänge belehren muss. Dies lässt sich zum einen darauf stützen, dass die Belehrung über Art und Umfang der Datenvorgänge im Zusammenhang mit den übrigen Informationen von der DSGVO logisch vorausgesetzt wird. Insofern knüpft nämlich Art. 13 Abs. 1 DSGVO dem Wortlaut nach stets an bestimmte personenbezogene Daten und nicht generell an ein Konvolut derselben an, zumal auch Erwägungsgrund 39 Hinweise auf die Art und den Umfang der Datenvorgänge als Ausprägung des Transparenzgebots in die Informationspflicht einbezieht. Zum gleichen Ergebnis gelangt man im Angesicht der Tatsache, dass der Hinweis auf die Arten und den Umfang der Erhebung und Verarbeitung eine logische Voraussetzung dafür ist, den jeweiligen Verarbeitungszweck nach Art. 13 Abs. 1 lit. c DSGVO zu definieren. Dieser kann nur dann dargestellt werden, wenn die betroffenen Daten im Kontext von Seiten des Händlers gleichermaßen identifiziert werden.
FORM EINER DATENSCHUTZERKLÄRUNG NACH DSGVO
§ 13 Abs. 1 Satz 1 TMG schreibt bezüglich der Form der Datenschutzerklärung vor, dass die Informationen in allgemein verständlicher Form erfolgen müssen. Daraus folgt, dass technische oder juristische Fachbegriffe und Formulierungen nach Möglichkeit vermieden werden sollten. Nach § 13 Abs. 1 Satz 3 TMG müssen die Informationen außerdem jederzeit abrufbar sein. Nach bisheriger Rechtslage ist somit erforderlich, dass die Datenschutzerklärung wie das Impressum von jeder Seite der Webseite zu erreichen ist.
Art. 12 Abs. 1 DSGVO ergänzt § 13 Abs. 1 TMG dahingehend, dass die Informationen „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ zu übermitteln sind. Das kann schriftlich oder in anderer Form, auch elektronisch und mit visuellen Elementen (bspw. standardisierte Bildsymbole), erfolgen.
FAZIT
Die DSGVO enthält im Vergleich zur bisherigen Rechtslage nach § 13 Abs. 1 TMG wesentlich detaillierte Informationspflichten. Dies bietet für Händler den Vorteil, dass sie alle Punkte ihrer Datenschutzerklärung anhand des Katalogs Schritt für Schritt abarbeiten und die Datenschutzerklärung so rechtssicher umstellen können. Passen Händler ihre Datenschutzerklärung nicht bis zum Stichtag an, drohen Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs. Darüber hinaus drohen wettbewerbsrechtliche Abmahnungen von Konkurrenten.
Der komplette, ungekürzte Artikel ist auf den Seiten der IT Recht Kanzlei München zu lesen.
Ähnliche Artikel
Richtige E-Mail...
Im vergangenen Monat überprüfte das Bayerische Landesamt für Datenschutzaufsicht...
- By Martin Henfling
- Datenschutz
Datenschutzerklärung für...
Der Anteil von Nutzern, die heutzutage lieber mit dem Smartphone oder Tablet im Internet...
- By Ingo Kaiser
- Datenschutz
Datenschutz und WhatsApp? Wo...
Der Smartphone-Messenger Anbieter WhatsApp steht immer wieder in der Kritik, es mit dem...
- By Ingo Kaiser
- Datenschutz