Datenschutzerklärungen nach der DSGVO – Tipps zur Umsetzung

Fachbeitrag

Mit Geltung der EU-Datenschutz-Grundverordnung (DSGVO) steigen die Informations- und Transparenzpflichten gegenüber allen Personen, deren Daten verarbeitet werden. Das betrifft auch Datenschutzerklärungen auf Websites, die künftig umgestaltet werden müssen. Für die Umsetzung der neuen Vorgaben geben wir nachfolgend einige Tipps. Dieser Artikel ist Teil unserer Reihe zur EU-Datenschutz-Grundverordnung.

Informationspflichten gemäß Art. 12 und Art. 13 DSGVO

Die e-Privacy-Verordnung enthält in ihrer derzeitigen Form keine Regelung zum Inhalt von Datenschutzerklärungen. Die Verordnung bezieht sich speziell auf die elektronische Kommunikation und geht der DSGVO in ihrem Anwendungsbereich vor. Soweit die e-Privacy-Verordnung keine vorrangige Regelung trifft, bleibt es allerdings bei der Anwendbarkeit der DSGVO. Deshalb macht es Sinn, sich bereits jetzt mit den Anforderungen der DSGVO an künftige Datenschutzerklärungen vertraut zu machen.

Das letzte Wort ist bei diesem Thema zwar noch nicht gesprochen, da die e-Privacy-Verordnung noch nicht wirksam verabschiedet ist. Grundlegende Änderungen sind aber wohl nicht zu erwarten.

In der DSGVO sind für die Gestaltung von Datenschutzerklärungen vor allem die Art. 12 und Art. 13 DSGVO relevant. Insbesondere die gemäß Art. 13 DSGVO erforderlichen Informationen müssen in künftigen Datenschutzerklärungen enthalten sein.

Transparente Information der Nutzer

Den konkreten Inhalt der Informationspflichten des Art. 13 DSGVO haben wir bereits dargestellt. Spannend ist in dem Zusammenhang insbesondere die Zusammenschau mit Art. 12 DSGVO, der fordert, dass die notwendigen Informationen den Nutzern

„[…] in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache […]“

übermittelt werden sollen. Datenschutzerklärungen in ihrer heutzutage meist anzutreffenden Form haben damit wohl weitgehend ausgedient.

Gestaltungstipps für Datenschutzerklärungen

Es besteht künftig also die Herausforderung, dass die Informationen gemäß Art. 13 DSGVO möglichst vollständig bereitgestellt werden sollen, gleichzeitig soll dies aber übersichtlich, klar und verständlich geschehen. Dafür bieten sich folgende Möglichkeiten an:

Aufzählungen, Tabellenform

Welche personenbezogenen Daten werden zu welchem Zweck aufgrund welcher Rechtsgrundlage verarbeitet und wie lange werden diese gespeichert? Diese Informationen lassen sich übersichtlich aufzählen oder in einer Tabelle darstellen. Lange, unverständliche Ausführungen sind hier fehl am Platz.

Oberbegriffe, Schlagworte, Überschriften

Wozu wird die IP-Adresse genutzt? Netzwerkadressierung, Netzwerkkommunikation, Störungs- und Fehlererkennung – finden Sie passende Schlagworte und Oberbegriffe. Dadurch können Sie die Informationen auf das Wesentliche komprimieren. Wählen Sie für einzelne Abschnitte zudem aussagekräftige Überschriften.

Auswahlfelder, Checkboxes

Findet eine Übermittlung personenbezogener Daten in Drittländer statt und wenn ja, welche Garantien wurden zur Sicherstellung eines angemessen Datenschutzniveaus getroffen? Ja/Nein-Fragen und Auswahlmöglichkeiten lassen sich durch Auswahlfelder und Checkboxes darstellen. Dadurch gewinnen Sie Platz und Übersichtlichkeit.

Links zu ausführlichen Informationen

Wenn Sie die knappen Formulierungen als nicht ausreichend erachten, um eine vollständige Information der Nutzer sicherzustellen, setzen Sie Links zu Unterseiten mit ausführlichen Texten. Nutzer, die sich detailliert informieren möchten, erhalten auf diese Weise die Möglichkeit dazu. Und die eigentliche Datenschutzerklärung bleibt schlank und knapp.

Bilder und Symbole

Art. 12 Abs. 7 und 8 DSGVO spricht ausdrücklich davon, dass künftig auch Bildsymbole genutzt werden können, um die Informationen anschaulich darzustellen. Die Bilder und Symbole müssen natürlich verständlich sein. Es bietet sich insbesondere eine Kombination aus Bild und kurzem Erklärungstext an.

Klarheit gewinnt

Die Forderung nach Einfachheit und Klarheit bei der Gestaltung von Datenschutzerklärungen ist zu begrüßen. Texte, die niemand ernsthaft lesen mag, braucht eigentlich auch niemand. Es wird spannend, wie Unternehmen die neuen Anforderungen umsetzen werden. Also liebe Datenschutz- und Marketingabteilungen, auf an einen runden Tisch – jetzt ist eure Kreativität gefragt!

Für etwas Inspiration finden Sie auf der Seite des Institut für Informations-, Telekommunikations- und Medienrecht, Zivilrechtliche Abteilung, eine Musterdatenschutzerklärung von Prof. Dr. Thomas Hoeren.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutz-Grundverordnung (DSGVO)

8 Kommentare zu diesem Beitrag

  1. „…Art. 12 Abs. 7 und 8 DSGVO spricht ausdrücklich davon, dass künftig auch Bildsymbole genutzt werden können, um die Informationen anschaulich darzustellen….“

    Dann wird es zukünftig 3 verschiedene DS-Erkklärungen geben:
    eine Kurzfassung (für alle die lesen können)
    eine mit Emojis (für die Generation Y und die die des Lesens nicht so mächtigen)
    eine Langfassung für die die es ganz genau wissen wollen

    (Ironie Ende)

  2. Hallo,

    wie sieht es mit der Sprache aus? Muss die zielgruppengerecht sein, oder reicht die Landessprache (deutsch)?
    Der Hintergrund: Ich bin Datenschutzbeauftragter in einem deutschen Forschungsinstitut, das jedoch auch viele ausländische Mitarbeiter hat. Dementsprechend kann man davon ausgehen, dass auch unsere Website zu einem großen Teil von nicht deutschsprechenden Interessenten besucht wird. Wir stellen einen Großteil unserer Seiten auch auf Englisch zur Verfügung. Andererseits würde die Formulierung einer rechtssicheren englischen Informationsseite vermutlich einen Übersetzer erfordern, was ich natürlich gerne vermeiden würde.
    Mit freundlichen Grüßen

    • Art. 12 DSGVO fordert, dass das verantwortliche Unternehmen geeignete Maßnahmen trifft, um den betroffenen Personen alle Informationen gemäß den Informationspflichten der Artikel 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Datenverarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.

      Soweit Websites auch auf Englisch bereitgestellt werden, ist es empfehlenswert, die Datenschutzhinweise übersetzen zu lassen, da sie sonst gerade nicht „verständlich und leicht zugänglich“ für die Zielgruppe bereitgestellt werden. Streng genommen lässt sich anderenfalls sogar argumentieren, dass den Betroffenen die Ausübung ihrer Rechte unzulässig erschwert wird, wenn sie die Hinweise nicht in deren Sprache vorfinden – sich die Website aber gleichzeitig sprachlich an sie richtet. Insgesamt sollte daher vorsichtshalber eine Übersetzung erfolgen, um kein Risiko von Beschwerden oder aufsichtsbehördlichen Beanstandungen einzugehen.

  3. Frage: Müssen die DSGVO UND das BDSG auf die Webseite hinterlegt werden?
    Oder reicht die DSGVO?
    Danke für eine Antwort. Gerne auch als mail zusätzlich.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.