DSGVO: Typische Fehler bei der Datenschutzerklärung - die Berliner Sicht

von Dr. Axel Spies, veröffentlicht am 08.08.2023
Rechtsgebiete: WirtschaftsrechtDatenschutzrecht4|18239 Aufrufe

Die Berliner Datenschutzbeauftragte hat einen Katalog mit „typischen Fehlern“ zusammengestellt.

Beispiele:

  • „Die Kontaktdaten der Datenschutzbeauftragten und der Verantwortlichen sind gleich. Die Kontaktdaten sind unvollständig.“
  • Datenverarbeitungen werden nicht vollständig beschrieben, sondern nur beispielhaft.
  • Zwecke werden unvollständig angegeben und/oder nicht konkreten Datenverarbeitungen zugeordnet. Rechtsgrundlagen werden nur allgemein beschrieben, aber nicht zugeordnet. Rechtsgrundlagen werden unvollständig angegeben, insbesondere ohne die Verpflichtungsnorm, die die Verarbeitung vorschreibt.“
  • Interne Empfänger und Auftragsverarbeiter werden nicht angegeben. Obwohl bereits konkret bekannt, werden Empfänger nur als Kategorien angegeben. Es werden nur die Auftragsverarbeiter auf der ersten Stufe angegeben, nicht die Unterauftragsverarbeiter.“
  • Datenexporte werden überhaupt nicht angegeben, insbesondere bei Nutzung von Cloud- oder US-Dienstleistern. Wenn Datenexporte angegeben werden, werden nur die USA angegeben. Datenexporte durch Unterauftragsverarbeiter werden nicht angegeben. Garantien für den Datenexport werden nicht angegeben.“
  • „Anstatt die Löschfristen anzugeben, wird allgemein auf nicht näher benannte gesetzliche Vorschriften verwiesen, die teilweise Aufbewahrungspflichten vorsehen.“
  • „In der Datenschutzerklärung finden sich versteckte Einwilligungen nach dem Muster „Wenn Sie X machen, willigen Sie ein, dass wir Y mit Ihren Daten machen“.

Sehen Sie das auch so? Wollen Sie der Liste noch etwas hinzufügen?

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

4 Kommentare

Kommentare als Feed abonnieren

Die DSB meint "Empfänger sind nach der Definition in Art. 4 Nr. 9 DSGVO nicht nur Dritte, sondern auch Auftragsverarbeiter und interne Empfänger bei den Verantwortlichen, denen personenbezogene Daten offengelegt werden..."

Damit schießt sie weit über das Ziel hinaus. 

Interne "Empfänger" beim Verantwortlichen sind von Art. 4 N.r. 9 DSGVO NICHT umfasst: vgl. zur Debatte Arning/Rothkegel in Taeger/Gabel, DSGVO (4. Aufl.), Art. 4 Rn. 272. 

Will die DSB wirklich, dass alle Abteilungen und Funktionseinheiten (oder gar alle Mitarbeiter) des Verantwortlichen als "Empfänger" zu nennen sind. Das ist doch völlig lebensfremd!

5

In meinem Grundverständnis sollen Betroffene aus einer Datenschutzerklärung entnehmen können, wie mit ihren pb Daten umgegangen wird. Ein gewisses Maß an Abstraktionsfähigkeit sollte man voraussetzen dürfen.

Es ist nun einmal in der Realität so, dass aus einer Akquise, eine angebahnte Geschäftsbeziehung und evtl. sogar eine Vertragsbeziehung wird. Die verarbeiteten Daten sind jedoch von Vertrag zu Vertrag unterschiedlich, da nicht jegliche Information für jede Art von Vertrag notwendig ist. Für unterschiedliche Informationen greifen wiederum unterschiedliche Aufbewahrungspflichten. Je nach Geschäftsbereich erhalten unterschiedliche "interne Empfänger" Kenntnis von den Daten.

Somit ist es schlichtweg nicht möglich eine Datenschutzerklärung unter Angabe des jeweils einschlägigen Erlaubnisgrundes, unter Verweis auf die jeweils verarbeiteten Daten, Nennung der jeweils geltenden Aufbewahrungsvorschriften und der jeweiligen "internen Empfänger" zu verfassen, die all diesen Situationen gerecht wird, sachlich zutreffend ist und noch immer verständlicht ist. 

Es muss- bereits aus Praktikabilitätsgründen - eine gewisse Verallgemeinerung stattfinden und erlaubt sein. Diese natürlich nicht so abstrakt, dass niemand etwas damit anfangen kann. Es gilt einen Mittelweg zu finden. Die Berliner DSB sieht das meines Erachtens viel zu streng. Diese Informationen können vielleicht Soloselbstständige oder sehr kleine Unternehmen in dieser Detailtiefe geben. Alles darüber wird das nicht leisten können.

0

Kommentar hinzufügen