Die IT-Recht Kanzlei München hat sich mit dem Thema befasst, welche Änderungen die EU-Datenschutzgrundverordnung für den Online-Handel mit sich bringen wird. Phil Salewski zeigt auf, was zukünftig in Sachen Datenschutzerklärung zu beachten sein wird.
PFLICHTANGABEN ODER HINWEISE IN DER DATENSCHUTZERKLÄRUNG?
Im Geltungsbereich der neuen DSGVO gibt die Regelung des Art. 13 den Verantwortlichen eine Reihe von Informationspflichten auf, welche nicht nur eine einfache Identifizierung der Personen ermöglichen sollen, die mit den erhobenen Daten in Berührung kommen sollen, sondern vor allem die konkreten Verarbeitungsprozesse fair und für den Betroffenen transparent machen sollen.
Problematisch scheint hierbei zunächst, dass gemäß Art. 13 Abs.1 DSGVO die Bereitstellung der zwingenden Pflichtangaben zum jeweiligen Erhebungszeitpunkt verlangt und die Verantwortlichen im Online-Handel somit grundsätzlich dazu anhält, informationstechnische Lösungen einzurichten, die mit Hilfe von Pop-Ups oder anderen elektronischen Informationsmechanismen unmittelbar vor der Datenübermittlung über die Begleitumstände der konkreten Erhebung und Verarbeitung unterrichten. Statuiert wird in anderen Worten eine betroffenenabhängige, individuelle Pflicht zur verarbeitungsbasierten Belehrung. Allerdings hat der europäische Gesetzgeber berücksichtigt, dass eine derartige situationsbezogene Unterrichtungsobliegenheit vor allem in Bereichen des elektronischen Geschäftsverkehrs mit einem unverhältnismäßigen Umstellungsaufwand für die Verantwortlichen einhergehen kann, der die Betroffeneninteressen an Fairness und Transparenz übersteigt.
Den Belangen der Händler wird hier durch Art. 13 Abs. 4 DSGVO Rechnung getragen, der die Pflicht zur situationsbedingten Belehrung vor jeglicher Datenverarbeitung dann entfallen lässt, wenn der jeweils Betroffene über alle maßgeblichen Informationen bereits verfügt. Ermöglicht werden sollte durch diese Einschränkung insbesondere, alle relevanten Angaben an einer geeigneten Stelle des für die Datenverarbeitung grundlegenden Kommunikationssystems so zum Abruf bereit zu halten, dass der Betroffene leicht und zu jeder Zeit auf diese zugreifen kann und mithin einer konkreten Unterrichtung vor Beginn der Verarbeitungsprozesse nicht mehr bedarf.
Vor allem in Bereich der Telemediendienste – so auch im Online-Handel – wird es den Verantwortlichen also auch zukünftig erlaubt sein, anstelle einer verarbeitungsabhängigen Information von einer generellen Datenschutzerklärung Gebrauch zu machen, die an zentraler Stelle jederzeit eingesehen werden kann und über alle datenschutzrelevanten Umstände aufklärt. Hält der Verantwortliche also eine verordnungskonforme Datenschutzerklärung vor, ist er nicht mehr verpflichtet, jeder einzelnen Erhebung personenbezogener Daten eine Belehrung mit allen nach Art. 13 DSGVO maßgeblichen Angaben vorangehen zu lassen.
Zu beachten ist hierbei, dass die Datenschutzerklärung ausweislich des Art. 12 Abs. 1 DSGVO in präziser, transparenter, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache anzuführen ist.
Bezüglich der Formerfordernisse ergeben sich im Vergleich zur derzeitigen Rechtslage keine neuen Voraussetzungen. Auch künftig wird es demnach im Online-Handel ausreichen, die Datenschutzerklärung auf einer Unterseite so einzurichten, dass sie mittels eines sprechenden Links von jeder Stelle der Web-Präsenz erreicht werden kann.
ERWEITERUNG DER PFLICHTINHALTE
Nach der derzeit geltenden Rechtslage ergibt sich die Pflicht, sich über die konkreten Datenverarbeitungsprozesse im Online-Handel zu erklären, aus § 13 Abs. 1 TMG. Diese Vorschrift gibt allerdings nur allgemein auf, über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten zu unterrichten und hat über die Jahre eine stetige Konkretisierung durch die Rechtsprechung erfahren.
Nach Ablauf der Übergangsfristen zum 25.05.2018 wird der Geltungsbereich des derzeitigen §13 Abs. 1 TMG durch den Katalog an Pflichtinformationen nach Art. 13 Abs. 1 DSGVO ersetzt werden, welcher den Umfang an zwingend bereitzustellenden Angaben bedeutsam erweitert.
Zukünftig sind Verantwortliche, die von der Möglichkeit einer Datenschutzerklärung im Sinne des Art. 13 Abs. 4 DSGVO Gebrauch machen wollen, gehalten, diese mit Informationen über alle der nachstehenden Punkte anzureichen:
- den Namen und die Kontaktdaten (Anschrift, E-Mail-Adresse, ggf. Telefon und Fax) des Verantwortlichen (sowie bei nicht in der Union niedergelassenen Verantwortlichen diejenigen des Vertreters)
- sofern verpflichtend zu bestellen, die Kontaktdaten des Datenschutzbeauftragten
- die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung
- wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f DSGVO beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden
- gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten (bei Weitergabe) und
- gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind
- die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
- das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten (Art. 15 DSGVO) sowie auf Berichtigung oder Löschung (Art. 16 u. 17 DSGVO) oder auf Einschränkung der Verarbeitung (Art. 18 DSGVO) oder eines Widerspruchsrechts gegen die Verarbeitung (Art. 21 DSGVO) sowie des Rechts auf Datenübertragbarkeit (Art. 20 DSGVO)
- wenn die Verarbeitung auf einer wirksamen Einwilligung beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
- ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und
- ggf. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person
Zu beachten ist, dass im Einzelfall in Ansehung der verschiedenen Betroffenenrechte weitere Informationspflichten hinzukommen können, falls diese Rechte ausgeübt werden. Insofern existieren eine generelle Reaktionspflicht und rechtsspezifische Auskunftsobliegenheiten. Für deren rechtskonforme Umsetzung bleibt es bei dem Erfordernis einer individuellen Kontaktaufnahme mit dem jeweils Betroffenen – auf die Datenschutzerklärung darf insofern gerade nicht zurückgegriffen werden.