Fehlerhafte Datenschutzerklärung: Was sie über die Umsetzung der DSGVO aussagt

PrintMailRate-it

veröffentlicht am 18. Mai 2022 | Lesedauer ca. 3 Minuten


Die Datenschutzerklärung auf einer Webseite ist das „Aushängeschild“ für die rechts­konforme Umsetzung der DSGVO. Anhand der Datenschutzerklärung können Auf­sichts­­behörden, Wettbewerber oder gar die betroffene Person leicht feststellen, wie es um die Umsetzung der DSGVO im Unternehmen steht. Einer mangelhaften bis fahr­lässig falschen Datenschutzerklärung kann ein Indiz dafür sein, dass der Websei­ten­be­treiber noch mehr offene datenschutzrechtliche Flanken hat. Das kann für die Auf­sichtsbehörden Anlass für eine Untersuchung über die Anwendung der DSGVO bieten.


Mit einer Datenschutzerklärung erfüllen Unternehmen ihre Informationspflichten nach Art. 13, 14 DSGVO.  Da­bei kommt es inzwischen immer häufiger vor, dass nicht nur die Datenschutzerklärung der Webseite online ab­rufbar ist, sondern auch die Informationspflichten gegenüber Betroffenen anderer Verarbeitungsvorgänge (z.B. Mitarbeiter, Kunden) mittels online abrufbarer Dokumente erfüllt werden. Die Informationen sind damit öffent­lich zugänglich, auch für die Aufsichtsbehörden. Ungenauigkeiten sowie Fehler können sich schnell zum Ein­falls­tor für Maßnahmen der Aufsichtsbehörde erweisen.

Vor dem Hintergrund, dass Verstöße gegen die Vorschriften der DSGVO mit Bußgeldern von bis zu 20 Mio. Euro geahndet werden können, sollte daher gesteigerter Wert daraufgelegt werden, dass die Datenschutzerklärung korrekt und vollständig ist. Noch schwerwiegender als ein mögliches Bußgeld wiegen oftmals die negative Pu­bli­city und der Vertrauensverlust, die ein solcher Datenschutzverstoß nach sich zieht.

    

Problemaufriss

Werden mit einer Webseite personenbezogene Daten verarbeitet, muss der Webseitenbetreiber seinen Besu­chern gemäß Art. 13 DSGVO (und ggf. Art. 14 DSGVO) Informationen zur Verfügung stellen, dass und wie er ihre personenbezogenen Daten verarbeitet. Die Informationen müssen dabei in präziser, transparenter, verständ­li­cher und leicht zugänglicher Form in einer klaren und einfachen Sprache sowie unentgeltlich zur Verfügung ge­stellt werden.


Unvollständige Datenschutzerklärung

Hieran scheitern regelmäßig bereits die ersten Unternehmen, denn die Datenschutzerklärung muss zu allen Datenverarbeitungsvorgängen auf der Webseite die Angaben enthalten, die nach Art. 13 DSGVO obligatorisch sind. Insbesondere Informationen zu der Verwendung von Plug-ins, Cookies oder anderen Tools stellen dabei eine enorme Fehlerquelle dar, da sie ohne entsprechendes Know-how des Webseitenbetreibers in den selten­sten Fällen vollständig und richtig dargestellt sind.

Um Fehler in der Datenschutzerklärung zu vermeiden, müssen deshalb alle Verarbeitungsvorgänge der Web­seite abgebildet werden. Angefangen beim Kontaktformular über Tracking- und Analysesoftware bis hin zu Social Media Plug-ins.


Veraltete Datenschutzerklärung

Dieser Fehler geht ein Stück weit mit dem vorangegangenen einher, denn eine veraltete Datenschutzerklärung ist in den meisten Fällen auch unvollständig. Wenn die Datenschutzerklärung mit Inkrafttreten der DSGVO auf­gesetzt wurde, weist sie einen Stand vom 25. Mai 2018 auf. Seither hat sich in der Rechtsprechung aber ei­ni­ges getan, dass auch Anlass gegeben hat, die eigene Datenschutzerklärung zu überarbeiten – insbesondere im Hin­blick auf den Einsatz von Drittanbieterdiensten mit einer Datenübermittlung ins Nicht-EU-Ausland. Glei­­­ches gilt, wenn nach der Erstellung der Datenschutzerklärung neue Tools auf der Webseite integriert wur­den, zu de­nen sich aber keine Informationen in der Datenschutzerklärung finden lassen.


Intransparenz

Häufig werden auch allgemeine Informationen in die Datenschutzerklärung aufgenommen, die nicht nach Art. 13 DSGVO gefordert sind. Dabei besteht die Gefahr, dass die Datenschutzerklärung durch das Zuviel an Infor­mationen „überladen“ wirkt und gerade nicht mehr dem Transparenzgebot genügt. Auch das steht einen Ver­stoß gegen die Datenschutzgrundverordnung dar.


Folgeprobleme

Mit der Information der betroffenen Personen geht zugleich die Pflicht einher, vor der Datenerhebung Rechts­grundlage und Zweck der jeweiligen Datenverarbeitung festzulegen. Außerdem muss das Unternehmen die Zu­lässigkeit einer beabsichtigten Datenübermittlung und die Speicherdauer vorab prüfen. Das heißt, die Er­fül­lung der Informationspflichten gibt den Aufsichtsbehörden zugleich einen ersten Einblick, wie es um die Ein­haltung der datenschutzrechtlichen Grundsätze der Rechtsmäßigkeit, Zweckbindung und Speicherbe­grenzung nach Art. 5 DSGVO in ihrem Unternehmen steht.

Soweit als Rechtsgrundlage für die Datenverarbeitung auf die Einwilligung der betroffenen Person abgestellt wird, hat ein Verstoß gegen die Informationspflichten zur Folge, dass diese mangels rechtzeitiger Information nicht wirksam in die Datenverarbeitung eingewilligt hat. Die Verarbeitung der Daten erfolgt in dem Fall ohne Rechtsgrundlage.

Außerdem bildet die Erfüllung der Informationspflichten die Basis für die Ausübung der Betroffenenrechte. Ohne eine korrekte und vollständige Information ist der Betroffene gehindert, seine Rechte auch im Sinne der Verordnung auszuüben.

Diese Liste lässt sich beliebig fortführen.  Werden bspw. Tools von Drittanbietern eingesetzt, kann eine man­gelhafte Datenschutzerklärung auch darauf hindeuten, dass die Zulässigkeit der Datenübermittlung im schlimms­ten Fall gar nicht geprüft wurde, sondern einfach praktiziert wird. Gleiches gilt selbstredend für den (Nicht-)Abschluss der entsprechenden Auftragsverarbeitungsverträge.


Fazit

Fehlen Informationen darüber, wie und zu welchem Zweck personenbezogene Daten erhoben und verarbeitet werden – das betrifft auch die Verarbeitung durch Drittanbieter – verstößt der Webseitenbetreiber gegen die Informationspflichten aus der DSGVO. Es ist nicht unwahrscheinlich, dass ein Verstoß gegen die Informations­pflicht weitere datenschutzrechtliche Verstöße nach sich zieht. Unternehmen ist daher dringend anzuraten, ihre Datenschutzerklärungen zu überprüfen. Bei einem Verstoß gegen die Informationspflichten nach Art.13, 14 DSGVO kommt nicht nur eine Datenschutzkontrolle durch die zuständige Aufsichtsbehörde und in der Folge zu Anordnungen zur Beseitigung der weiteren festgestellten Verstöße in Betracht, sondern auch eine Sanktion in Form von empfindlichen Bußgeldern.

Deutschland Weltweit Search Menu