Ab dem 25. Mai 2018 gelten sowohl die EU Datenschutz Grundverordnung (DS-GVO) als auch die neue Fassung des Bundesdatenschutzgesetzes (BDSG neu). Ziel der neuen Gesetzgebung ist Schutz personenbezogener Daten sowie der freie Verkehr personenbezogener Daten. Gleichzeitig soll der Datenschutz in der EU vereinheitlicht werden, was die Einhaltung des Datenschutzes insbesondere für international tätige Startups vereinfacht.
In unserem „Q&A zur neuen EU Datenschutz Grundverordnung – Was Startups jetzt beachten müssen“ haben wir bereits beantwortet was Startups beachten müssen, um im Mai 2018 fit für die DS-GVO zu sein.
Mit Geltung der DS-GVO ab Mai 2018 ergeben sich auch Änderungen in Bezug auf den Inhalt einer Datenschutzerklärung, die alle Startups im Online-Bereich vorhalten müssen. In unserem Update geben wir einen vertieften Einblick in die Änderungen, die Startups in ihrer Datenschutzerklärung vornehmen müssen, um künftig konform mit den neuen Regelungen zum Datenschutz zu sein.
Neue Rechtsgrundlage mit erweiterten Pflichtangaben
Gemäß den ab Mai geltenden Bestimmungen der Art. 13 und 14 DS-GVO müssen Startups folgende Inhalte in Ihrer Datenschutzerklärung bereithalten:
- Angabe der Rechtsgrundlage
- Angabe des Zwecks der Datenverarbeitung
- Info über Widerrufsrecht
- Angabe des Empfängers/ Kategorien von Empfängern
- Datentransfer in Drittländer
- Angabe der Speicherdauer
- Kontaktdaten von Startup und Datenschutzbeauftragten
- Angabe neue Betroffenenrechte
- Info über Beschwerderecht
- Profiling oder automatisierte Einzelfallentscheidung
- Externe Datenquellen
Angabe der Rechtsgrundlage
Wie auch bisher gibt es bestimmte Rechtsgrundlagen, die die Erhebung, Nutzung und Verarbeitung von personenbezogenen Daten erlauben. Nach der DS-GVO ist für jede Datenverarbeitung anzugeben, auf welche Rechtsgrundlage (z.B. Datenerhebung zur Vertragsabwicklung, im überwiegenden Interesse des Startups, aufgrund Einwilligung, etc.) sie sich stützt. Für den Fall, dass die Datenverarbeitung auf das überwiegende Interesse des Startups gestützt wird, ist dieses Interesse ebenfalls zu benennen.
Angabe des Zwecks der Datenverarbeitung
Neben der Rechtsgrundlage ist auch der Zweck der Datenverarbeitung anzugeben (z.B. Adressdaten zur Zusendung von bestellten Waren). Die für den angegebenen Zweck erhobenen Daten dürfen in der Regel auch für keinen anderen Zweck verarbeitet werden. So dürfen die für die Warenzusendung erhobenen Adressdaten z.B. nicht zum Abgleich mit anderen Adressdatenbanken verwendet werden oder an Dritte verkauft werden. Die betroffenen Nutzer sollen so einen Überblick darüber erhalten, welche Daten zu welchen Zwecken verarbeitet werden.
Info über Widerrufsrecht
Erhebt das Startup Daten des Nutzers nachdem dieser in die Verarbeitung eingewilligt hat (z.B. bei einem Newsletter), so ist der Nutzer auch auf sein Widerrufsrecht hinzuweisen. Konkret muss ihm mitgeteilt werden, dass er jederzeit das Recht hat, seine Einwilligung zu widerrufen. Er muss zudem darauf hingewiesen werden, dass der Widerruf nur eine Wirkung für die Zukunft entfaltet. Die bisherigen mit seiner Einwilligung erhobenen Daten können weiterhin genutzt werden.
Angabe des Empfängers/ Kategorien von Empfängern
Der Nutzer muss zudem darüber informiert werden, an wen seine Daten weitergeleitet werden. Eine solche Weiterleitung erfolgt z.B. bei der Nutzung von Newsletteranbietern wie z.B. MailChimp oder externen Dienstleistern für Kundensupport wie z.B. Zendesk oder Helpscout. Alternativ kann er auch auf die Kategorien von Empfängern hingewiesen werden, wenn diese bestimmbar sind.
Datentransfer in Drittländer
Besondere Informationspflichten treffen Startups, die personenbezogene Daten, in sog. Drittländer weiterleiten. Der Begriff Drittland umfasst keine EU-Länder, da diese die DS-GVO ebenfalls anwenden. Aus diesem Grund, betrifft diese Regelung in der Praxis vor allem die Datenübertragung in die USA. Bei einer solchen Datenübertragung an Anbieter wie z.B. Shopify, Mailchimp oder DISQUS hat das Startup in der Datenschutzerklärung auf die Tatsache hinzuweisen, dass ein Datentransfer in ein Drittland stattfindet und auf welche Rechtsgrundlage sich der Datentransfer stützt (in den USA z.B. auf das Privacy Shield Abkommen). GGf. sind vorhandene Verträge, wie Standardvertragsklauseln, den Nutzern zugänglich zu machen.
Angabe der Speicherdauer
Neu ist auch die Angabe der Speicherdauer. Für jede Datenverarbeitung muss das Startup angeben wie lange die Daten gespeichert werden. Ist dies nicht möglich (z.B. bei fortlaufenden Nutzungsverträgen), müssen zumindest die Kriterien benannt werden, nach denen sich die Speicherdauer bestimmt.
Kontaktdaten von Startup und Datenschutzbeauftragten
Künftig ist die Stelle, die für die Datenverarbeitung verantwortlich ist, in der Regel also das Startup selbst, mit seinem vollständigen Namen und den dazugehörigen Kontaktdaten in der Datenschutzerklärung anzugeben. Sollte ein Datenschutzbeauftragter bestellt worden sein, so sind auch dessen Name und seine Kontaktdaten innerhalb der Datenschutzerklärung anzugeben.
Angabe neue Betroffenenrechte
Neben den bisherigen Rechten von betroffenen Nutzern, wie der Anspruch auf Berichtigung und Löschung, ist nun das Recht auf Datenübertragbarkeit hinzugekommen. Nähere Infos zu diesem Recht findet ihr in unserem „Q&A zur neuen EU Datenschutz Grundverordnung – Was Startups jetzt beachten müssen“. Alle Betroffenenrechte müssen in der Datenschutzerklärung aufgeführt werden, sodass der Nutzer vollständig über die ihm zustehenden Rechte informiert wird. Zu den Betroffenenrechten zählen: Das Recht auf Zugang, Berichtigung, Sperrung, Löschung, Widerspruch und Datenübertragbarkeit.
Info über Beschwerderecht
Ferner ist der Nutzer auch über sein Beschwerderecht nach Art. 77 DSGVO zu informieren.
Profiling oder automatisierte Einzelfallentscheidung
Besonderheiten ergeben sich für Startups, die Profiling oder eine andere Art der automatisierten Einzelfallentscheidung vornehmen. Ein bekanntes Beispiel für Scoring ist z.B. die Arbeitsweise der Schufa. In einem solchen Fall hat das Startup den Nutzer auf das Profiling, die dahinterstehende Logik, die Tragweite des Profiling und dessen Folgen/Auswirkungen hinzuweisen.
Externe Datenquellen
Erhebt das Startup personenbezogene Daten nicht beim Nutzer selbst, sondern bezieht diese aus externen Quellen (z.B. Adresshandel oder öffentliche Register) so hat das Startup über die Herkunft der Daten zu informieren. Dies gilt nicht nur für öffentlich zugängliche Quellen (z.B. Handelsregister), sondern auch für privatwirtschaftliche Quellen (z.B. Adresskauf).
EU-DSGVO – Das bleibt
Einiges ändert sich jedoch auch nicht. So kann die Datenschutzerklärung auch weiterhin auf der Website über einen Link bereitgehalten werden. Dieser sollte wie gewohnt eindeutig mit der Bezeichnung „Datenschutz“ oder „Datenschutzerklärung“ gekennzeichnet sein und von jeder (Unter-)Seite aus mit maximal 2 Klicks erreichbar sein.
Achtung!
Startups sollten ihre Datenschutzerklärung dringend bis Mai nächsten Jahres aktualisieren und fehlende Angaben ergänzen. Erfolgt die Anpassung nicht, drohen ab Mai nicht nur Bußgelder bis € 20 Mio. sondern auch Abmahnungen von Wettbewerbern und Schadensersatzansprüche betroffener Nutzer.
Du hast Interesse an detaillierten Informationen oder weitere Fragen zur neuen EU-DSGVO?
Kontaktiere gerne unsere Expertin: hier klicken.
#StartupTrend beleuchtet kurz und knapp aktuelle Entwicklungen im Startup und Venture Capital Markt und ergänzt sie um einen Überblick zu wesentlichen rechtlichen Fragestellungen.
Mehr #StartupTrends: hier klicken.