Die Datenschutzerklärung findet man heutzutage zwingend auf jeder Website. Sie erfüllt die zentralen und abschließend in der DSGVO geregelten Informationspflichten gegenüber dem Betroffenen. Ein Betroffener ist jeder dessen personenbezogene Daten von der Verarbeitung erfasst werden.
Die Grundsätze der DSGVO sind dabei klar: Der Betroffene soll vor der Verarbeitung wissen, wie und aus welchem Grund seine Daten verarbeitet werden. Dazu müssen ihm verständlich alle Informationen bereitgestellt werden, Art. 13 DSGVO. Da die DSGVO nach dem Prinzip „Verbot mit Erlaubnisvorbehalt“ arbeitet, muss auch klar definiert sein, in welcher Regelungsbestimmung die Erlaubnis zur Verarbeitung liegt. Das heißt nicht, dass nun für jede Verarbeitung eine ausdrückliche Erklärung vom Betroffenen verlangt werden muss. Die Erlaubnis kann sich auch aus der DSGVO selbst zusammen mit dem Zweck der Datenverarbeitung ergeben. Dazu gibt es in der DSGVO einen umfangreichen Katalog, wann eine Verarbeitung erlaubt ist. Passt keiner der genannten Tatbestände, muss eine ausdrückliche Einwilligung des Betroffenen her (Art. 6 Abs. 1 lit a), Art. 7 DSGVO).
Darüber hinaus muss der Betroffene auch verstehen, worum es geht. Eine Datenschutzerklären in reinem „Juristendeutsch“ oder gespickt mit IT-Fachbegriffen mag das Verständnis stark einschränken. Die DSGVO bestimmt jedoch, dass der Betroffene so zu unterrichten ist, dass er das Ganze auch durchblickt. So sagt Art. 12 Abs. 1 DSGVO, dass die Informationen
„die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln“
sind.
Deshalb sollte auch auf die Qualität der Datenschutzklärung, die jetzt im Datenschutzrecht eine zentrale Rolle hat, besonderen Wert gelegt werden. Insbesondere Widersprüche und aus mehreren Quellen zusammengesetzte Erklärung hinterlassen bei Datenschutzbehörden keinen guten Eindruck. Bei Fehlern mag das auch zu Abmahnungen durch Verbraucherschutzverbände oder Mitbewerbern führen.
Wichtig ist also, dass die Erklärung alle relevanten Verarbeitungen individuell erfasst und verständlich schildert.
Wichtig ist hier, dass unterschiedliche Verarbeitungen auch unterschiedliche Grundlagen benötigen. So sind Newsletter-Zusendungen anders zu behandeln als die technisch notwendigen Daten, die der Browser des Besuchers verschickt. Bei Cookies muss sogar noch feiner differenziert werden. Hier ist es hilfreiche einen Web-Dienstleister zu haben, der genaue technisch Auskunft darüber geben kann was die eigene Website (oder die App) verarbeitet. Fehlen in der Erklärung Verarbeitungen, geschieht die Verarbeitung ohne rechtliche Grundlage, sodass Maßnahmen der Aufsichtsbehörden drohen.
Außerdem wichtig ist, dass neben den Grundinformationen die Rechtsgrundlagen zu den einzelnen Verarbeitungen genannt werden und die Betroffenen über Ihre Rechte aufgeklärt werden.