Erwartungen an die Datenschutzerklärung auf der Website sind oft zu hoch gesteckt

​​veröffentlicht am 31. Mai 2022​

Die Datenschutzerklärung auf der Website wird auch in Unternehmen der Sozial- und Gesundheitswirtschaft oftmals zu arglos als die Erfüllung aller Informationspflichten angesehen, obwohl sie dies oft nicht ist und oft auch nicht sein kann. Verantwortliche müssen prüfen, aus welchen Sachverhalten heraus auf diese Erklärung verwiesen wird und ob die Datenschutzerklärung auf der Website diese Sachverhalte auch tatsächlich abdeckt. Wenn nein, liegt ein Datenschutzverstoß vor.

Zum Thema Datenschutz ist den meisten bewusst, dass es dazu „eine Datenschutzerklärung auf der Website” gibt, vermutlich auch geben muss. Tatsächlich wird mit dieser Erklärung die Rechtspflicht erfüllt, die sich bzgl. der Webseitenutzung aus Art. 13 DSGVO ergibt. Demnach muss der Verantwortliche dem Betroffenen, dessen Daten er verarbeitet, zum Zeitpunkt der Erhebung der Daten wichtige Informationen zur Datenverarbeitung geben. Dazu gehört die Identität des Betroffenen und die Kontaktinformationen des Datenschutzbeauftragten, die Zwecke und die Rechtsgrundlagen der Datenverarbeitung, interne und externe Empfänger der personenbezogenen Daten, gegebenenfalls Datenübertragungen in ein Drittland außerhalb der EU sowie einige weitere Informationen. 

Aus der Tatsache, dass in der Erklärung Zweck und Rechtsgrundlagen der Datenverarbeitung genannt werden müssen, ergibt sich notwendigerweise, dass diese Datenschutzerklärung Bezug nehmen muss auf eine konkrete Verarbeitungstätigkeit. Da die Website von jedermann eingesehen werden kann und somit eine der transparentesten Verarbeitungstätigkeiten überhaupt ist, besteht eine hohe Motivation für eine rechtskonforme Datenschutzerklärung auf der Website.

Das Bewusstsein um die große Sorgfalt, die in die Datenschutzerklärung der Website investiert wurde, führt jedoch leicht zu einem trügerischen Missverständnis: Diese Erklärung wird für „besonders gut” eingeschätzt, und in der Folge wird bei vielen anderen Datenverarbeitungsvorgängen der Einfachheit halber nur mehr verwiesen auf die „Datenschutzerklärung auf unserer Website”. Die Einsatzbereiche in den Unternehmen der Gesundheits- und Sozialwirtschaft reichen dabei von der Fanpage auf Facebook über die Verwendung von Mitarbeiterfotos in Werbematerialien bis hin zum Bewohner- oder Behandlungsvertrag.

Dabei handelt es sich deswegen um ein gefährliches Missverständnis, weil die für diese Verarbeitungsvorgänge notwendigen Datenschutzinformationen in aller Regel genau nicht Inhalt der Datenschutzerklärung auf der Website sind und auch nicht sein sollen. Schließlich sollte es – auch dem Grundsatz der Transparenz folgend – nur um die Datenverarbeitungen im Rahmen des Webauftritts gehen ​Es sollte auf die Erhebung personenbezogener Daten beim Besuch der Website referenziert werden, auf die Funktionalitäten der Website sowie auf Cookies und Newsletter-Verarbeitungen.

Eine andere Verarbeitungstätigkeit als die auf der Website umfasste benötigt an vielen Stellen andere Informationen als die originäre Datenschutzerklärung für die Webseitennutzung. Wenn die Erklärung auf der Website also nicht um die für diese anderen Verarbeitungstätigkeiten notwendigen Informationen ergänzt wird, wird die Pflicht zur Betroffeneninformation in den Verarbeitungstätigkeiten, bei denen lediglich Querverweise gemacht werden, nicht erfüllt.

Aber auch eine sukzessive Ergänzung der Erklärung auf der Website um immer mehr und andere Verarbeitungstätigkeiten ist nicht zu empfehlen. Zum Einen besteht die Gefahr, dass man als Verantwortlicher selbst bald den Überblick verliert, welche Information sich worauf bezieht. Zum Anderen setzt man sich - wie oben bereits angerissen - bald dem Vorwurf der Intransparenz und damit eines wenn auch unbeabsichtigten Verstoßes gegen Art. 12 Abs. 1 DSGVO aus. Denn dort wird für jede Art der Betroffeneninformation gefordert, dass sie „in präziser, transparenter, verständlicher und leicht zugänglicher Form” sowie „in einer klaren und einfachen Sprache” gehalten sein muss.

Als Faustregel sollte daher besser gelten: Je Verarbeitungstätigkeit eine eigene Betroffeneninformation. Für erfahrene Teams mit Branchenwissen wie die Datenschutzexperten im Bereich Gesundheitswirtschaft bei Rödl & Partner ist die Erstellung passender Datenschutzerklärungen zu unterschiedlichen Verarbeitungstätigkeiten eine schnell gelöste Aufgabenstellung.

Hier finden Sie mehr Artikel aus der Rubrik „Datenschutzthema des Monats” »