Mit einer Datenschutzerklärung erfüllen Sie als Unternehmer und Verantwortlicher die Informationspflichten gemäß Artikel 13 und gegebenenfalls Artikel 14 der DSGVO. Während es sich beim Verzeichnis der Verarbeitungstätigkeiten um ein internes Dokument handelt, ist die Datenschutzerklärung ein öffentliches und weit verbreitetes Dokument. Daher sollte man ihr erhöhte Aufmerksamkeit widmen. Sie kann sich als Einfallstor für die Datenschutzbehörde erweisen. Wie ein aktueller Fall zeigt von dem die Tageszeitung Die Presse berichtet.
Viele Unternehmer und Unternehmen stellen die Datenschutzerklärung auf ihrer Internetseite online. In Verträgen, Dokumenten und im Schriftverkehr wird dann mittels abgedruckter Link-Adresse auf die online abrufbaren Informationen zur Datenverarbeitung verwiesen. Das ist ein legitimer und einfacher Weg, um die Informationspflichten zu erfüllen. Jedenfalls müssen Sie Betroffenen*, deren personenbezogene Daten Sie verarbeiten, die Informationen zur Datenverarbeitung in geeigneter Form beim ersten Kontakt aushändigen.
Damit ist Ihre Datenschutzerklärung öffentlich. Auch für die Datenschutzbehörde.
Im Zuge der Meldung einer Datenschutzverletzung warf die Datenschutzbehörde einen Blick in die online abrufbare Datenschutzerklärung des betreffenden Unternehmens. In dieser stand, dass ein Datenschutzbeauftragter benannt ist. Dass dem anscheinend nicht so war, konnte die Behörde schnell feststellen. Denn Datenschutzbeauftragte müssen der Datenschutzbehörde bekannt gegeben werden. Sie fand aber bei sich keinen entsprechenden Eintrag.
Achten Sie auf die Begriffe, die Sie verwenden!
Ein Datenschutzbeauftragter ist eine gesetzlich definierte Funktion mit genau festgelegten Kontroll- und Beratungspflichten, der in bestimmten Fällen verpflichtend bestellt werden muss. Haben Sie keinen Datenschutzbeauftragten benannt, sondern zum Beispiel einen internen Mitarbeiter, der sich um den Datenschutz kümmert und zentraler Ansprechpartner ist, dann nennen Sie diesen Mitarbeiter Datenschutz-Koordinator oder Datenschutz-Ansprechpartner. Aber nicht Datenschutzbeauftragter!
Erst einmal aufmerksam geworden schaute sich die Datenschutzbehörde die Datenschutzerklärung auf der Internetseite genauer an. Daraufhin stellte die Behörde Fragen zu erteilten Einwilligungen der Kunden, ließ sich diese Einwilligungserklärungen vorlegen sowie das Verzeichnis der Verarbeitungstätigkeiten schicken. Der Ball kam ins Rollen.
Aus einer Mücke wurde ein Elefant
Letztendlich listet die Datenschutzbehörde in einem Bescheid sage und schreibe vierzehn Mängel auf. Unter anderem wird dem betreffenden Unternehmen aufgetragen, binnen acht Wochen einen Datenschutzbeauftragten zu bestellen, auch die Einwilligungserklärungen werden bemängelt. Auf das Unternehmen kommen nach dem Bescheid acht intensive Wochen zu, die die Behörde als Frist für die rechtskonforme Umsetzung setzte.
Wir weisen bei unseren Klienten sowie in unseren Fachvorträgen stets darauf hin, dass die Datenschutzerklärung ein zentrales Dokument ist, das korrekt und vollständig sein sollte. Insbesondere auch deshalb, weil sie ein öffentlich zugängliches Dokument ist – auch für die Behörde. Der Bescheid der Datenschutzbehörde sollte jedem Unternehmen, auch kleinen mit nur wenigen Mitarbeitern, bewusst machen, dass es sich im Detail mit den datenschutzrechtlichen Pflichten der DSGVO auseinandersetzen muss und nicht auf die leichte Schulter nehmen darf.
Der geschilderte Fall zeigt, dass schon kleine Unachtsamkeiten gefährlich werden können. Und gerade das ist ärgerlich, weil solche Fehler entbehrlich und einfach zu vermeiden sind. Ein paar Stunden Zeit in das Studium der geltenden Vorschriften oder ein paar Stunden Beratung durch einen Experten sind gut investiert.
* Zur Erinnerung: Betroffene Personen, deren Daten Sie verarbeiten sind nicht nur Ihre Kunden, zur Gruppe der Betroffenen zählen auch Ihre Mitarbeiter, Interessenten, Ansprechpartner bei Lieferanten, externe Dienstleister, usw.
Nur ein Klick zur Newsletter-Anmeldung!
Nach Klick auf den Button können Sie mir eine Nachricht an meine Adresse jaichwillnews@andreasdolezal.at mit Ihren Kontaktdaten in der Signatur senden. Diese Nachricht verstehe ich als Ihre Zustimmung für das Zusenden von Informationen an Ihre Absender-Mailadresse sowie das Akzeptieren der Datenschutzerklärung.
Weitere interessante Beiträge:
DSGVO: Darf WhatsApp weiterhin genutzt werden?
Einfacher Datenschutz im beruflichen und privaten Alltag
Datenschutz: Muss HTTPS-Verschlüsselung für Internetseiten sein?