Informationspflichten auf Webseiten – Risiken bei unvollständigen Datenschutzerklärungen
Die Datenschutzerklärung ist ein wesentlicher Bestandteil jeder Webseite, da sie Webseitenbesuchern transparente Informationen darüber bieten soll, wie ihre personenbezogenen Daten, verarbeitet werden. Gemäß der Datenschutz-Grundverordnung (DSGVO) müssen Webseitenbetreiber sicherstellen, dass ihre Datenschutzerklärung vollständig ist und den Anforderungen gem. Art. 13 DSGVO und Art. 14 DSGVO entspricht.
Eine vollständige Datenschutzerklärung ist nicht nur vor dem Hintergrund wichtig, um das Vertrauen der Nutzer zu gewinnen, sondern muss auch die Einhaltung der Datenschutzgesetze gewährleisten. In der Datenschutzerklärung müssen alle relevanten Informationen enthalten sein, wie z.B. welche Daten erhoben werden, zu welchem Zweck sie verarbeitet werden, wie lange sie gespeichert werden und welche Rechte die Nutzer in Bezug auf ihre Daten haben.
Die Einhaltung der Anforderungen nach Art. 13 DSGVO ist ebenfalls entscheidend, da dieser Artikel spezifische Informationen vorschreibt, die in der Datenschutzerklärung enthalten sein müssen. Dazu gehören Angaben zur Identität des Verantwortlichen, zu den Zwecken der Datenverarbeitung, zu den Rechtsgrundlagen für die Verarbeitung, zu den Empfängern der Daten und zu den Rechten der betroffenen Personen.
Eine Datenschutzerklärung, die nicht den Anforderungen des Art. 13 DSGVO entspricht oder unvollständig ist, kann zu rechtlichen Konsequenzen führen. Diese Erfahrung, musste auch die Restaurantkette KFC Restaurants Spain S.L. machen, als das Unternehmen ein Bußgeld in Höhe von 25 000 Euro erhielt, da es auf seiner Website keine vollständigen Datenschutzinformationen angegeben hatte. Dieser Fall macht deutlich, wie wichtig es ist, eine aktuelle und vollständige Datenschutzerklärung bereitzustellen.
KFC Restaurants Spain S.L. hatte es versäumt, nicht nur wichtige Informationen über die Datenverarbeitung, sondern auch den Namen des Datenschutzbeauftragten (DSB) in der Datenschutzerklärung auf seiner Website aufzunehmen.
KFC Spanien vertrat die Auffassung, dass sein Service vorrangig auf die Gastronomie ausgerichtet sei und aufgrund dessen keine umfangreiche Verarbeitung personenbezogener Daten erfolge. Die Verarbeitung personenbezogener Daten fände lediglich in Falle der Inanspruchnahme des Lieferservices statt.
Ein Betroffener reichte Beschwerde bei der spanischen Datenschutzbehörde AEPD (Agencia Española de Protección de Datos) ein und diese stimmte mit der datenschutzrechtlichen Auslegung von KFC Spanien nicht überein. Die Datenschutzbehörde stellte gleich einen zweifachen Verstoß fest.
Zum einen verstieß das Unternehmen gegen Artikel 13 der Datenschutz-Grundverordnung, indem es in seiner Datenschutzerklärung wichtige Informationen über die spezifische Datenverarbeitung nicht vollständig aufführte. Stattdessen wurden lediglich allgemeine und abstrakte Angaben zu externen Anbietern gemacht und auf deren Datenverarbeitung verwiesen.
Zudem stellte die Aufsichtsbehörde einen Verstoß gegen Art. 37 DSGVO fest, da das Unternehmen keinen Datenschutzbeauftragten bestellt und demnach auch nicht in der Datenschutzerklärung benannt hatte.
Fazit
Daher ist es für jeden Webseitenbetreiber von entscheidender Bedeutung, sicherzustellen, dass die Datenschutzerklärung den gesetzlichen Anforderungen entspricht und transparente Informationen über die Datenverarbeitung bietet, die auch vollständig sind.
Datenschutzerklärungen müssen immer auf dem neusten Stand gehalten werden, d. h, sie sollten regelmäßig überprüft und ggf. angepasst werden, um sicherzustellen, dass Datenverarbeitungsvorgänge der Richtigkeit entsprechen. Dies umfasst auch den Hinweis auf die Betroffenenrechte nach Art. 15 ff. DSGVO.
