Datenschutz-Grundverordnung: Die eigene Datenschutzerklärung anpassen

Mit der Datenschutz-Grundverordnung werden die Vorgaben für Datenschutzerklärungen verschärft. Viele Websites brauchen eine bessere Privacy Policy.

Viele Unternehmen haben die Datenschutzreform nicht auf dem Schirm, meldet der Digitalverband BITKOM. 32 Prozent...

kennen die Reform zwar, haben sich aber noch nicht damit beschäftigt, weitere zwölf Prozent haben davon noch nicht einmal gehört. Dies ist keine gute Basis für die anstehende Umstellung von dem Bundesdatenschutzgesetz (BDSG) hin zur Datenschutz-Grundverordnung (DSGVO) der EU. Dabei gibt es viele Bereiche, die in den nächsten Monaten überarbeitet und angepasst werden müssen, bevor ab dem 25. Mai 2018 die DSGVO anzuwenden ist. „Nach dem Ende der Übergangsfrist im Mai 2018 drohen empfindliche Strafen, wenn sich die Unternehmen nicht an die Bestimmungen halten“, so der Hinweis vom BITKOM.

Eine Studie von IDC („The State of the Art Paradox“) besagt, dass 40 Prozent bereit für die DSGVO sind, 45 Prozent glauben, bis zum Start 2018 bereit zu sein und nur ein Prozent glaubt demnach, es vielleicht nicht zu schaffen. Fraglich ist jedoch, ob sich alle Unternehmen wirklich bewusst sind, was alles zur Umstellung auf die DSGVO gehört. Ein wichtiges Beispiel ist die Datenschutzerklärung oder Privacy Policy. Für Webseiten und andere Telemedien regelt gegenwärtig das Telemediengesetz (TMG): „Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten (…) in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist.“ An der bisherigen Form der entsprechenden Datenschutzerklärung werden jedoch viele Unternehmen Änderungen vornehmen müssen, um die DSGVO zu erfüllen.

Datenschutzerklärungen müssen verständlicher werden

Umfragen zeigen immer wieder, dass Nutzer die Datenschutzerklärungen zum Beispiel bei Webseiten nicht oder nicht genau genug lesen. Dies ist natürlich kein Grund für Anbieter, auf eine Datenschutzerklärung verzichten zu können oder diese nicht mehr zu aktualisieren, im Gegenteil. Vielmehr sollten die Gründe dafür analysiert werden, warum Datenschutzerklärungen nicht gelesen werden: Zum einen fehlt so manchem Nutzer die Sensibilisierung für die Bedeutung des Datenschutzes, zum anderen aber sind viele Datenschutzerklärungen eben nicht „allgemein verständlich“ formuliert, wie dies bereits heute vom TMG gefordert wird.

In Zukunft verlangt die Datenschutz-Grundverordnung noch viel mehr von einer Datenschutzerklärung. Unter anderem besagt Artikel 12 DSGVO: „Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen (…), die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln“. Was alles zu der Information der betroffenen Nutzer gehört, führt Artikel 13 DSGVO „Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person“ auf.

Bei der Fülle der erforderlichen Angaben mag es erstaunen, dass auf dem Nationalen IT-Gipfel 2015 ein „One-Pager“ als Muster für transparente Datenschutzhinweise vorgestellt wurde. Das Ziel des „One-Pager“ (PDF) lautet: „Informationen zur Datenverarbeitung sollen bei digitalen Angeboten so aufbereitet werden, dass Verbraucherinnen und Verbraucher schnell, einfach und umfassend alle wesentlichen Informationen zu Datenverarbeitung bekommen.“ Wichtig ist aber die Feststellung: Der One-Pager ersetzt die Datenschutzerklärung nicht (!), vielmehr soll der One-Pager auf die Datenschutzerklärung verweisen (PDF).

Datenschutzkommunikation muss verbessert und organisiert werden

Die gegenwärtigen Probleme mit den Datenschutzerklärungen und der anstehende Anpassungsbedarf bei der Umsetzung der DSGVO sind Anzeichen dafür, dass die Datenschutzkommunikation in vielen Unternehmen optimiert und besser organisiert werden muss. Leider sind sich viele Unternehmen dem nicht bewusst, deshalb bleibt zu befürchten, dass die notwendigen Arbeiten an den Datenschutzerklärungen (zu) spät angegangen werden.

So besagt die Studie von EY „Bereit für die Datenschutz-Grundverordnung?“, dass 88 Prozent der befragten Unternahmen glauben, dass ihr Datenschutz umfassende Informationen bereitstellt. Doch nur 52 Prozent sagen, sie hätten einen entsprechenden Prozess für die Datenschutzkommunikation. Ohne solche Prozesse aber werden Pflege und Überarbeitung der Datenschutzerklärung beinahe dem Zufall überlassen. In Hinblick auf die DSGVO und die möglichen Sanktionen (PDF) sollte kein Unternehmen dieses Risiko eingehen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

EU-Datenschutz: Betroffenenrechte nach EU-DSGVO rechtzeitig umsetzen.

EU-Datenschutzverordnung: Deutsche Unternehmen sind schlecht vorbereitet.

EU-Datenschutz-Grundverordnung– Checklisten müssen überarbeitet werden.

EU-Datenschutz-Grundverordnung – was Unternehmen beachten sollten.

 

Artikel wurde zuletzt im Oktober 2016 aktualisiert

Erfahren Sie mehr über Datenschutz und Compliance

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close