Nach Ansicht des Beauftragten für den Datenschutz der EKD (BfD EKD) werden Datenschutzerklärungen auf Internetseiten, die gegenwärtig den Vorgaben von § 13 Abs. 1 des Telemediengesetzes (TMG) entsprechen, auch mit Inkrafttreten des neuen EKD-Datenschutzgesetzes am 24.05.2018 rechtskonform bleiben (weitere Informationen hierzu finden Sie auch in folgendem Beitrag aus dem Newsfeed).
Unabhängig von dieser Rechtsfrage empfiehlt der BfD EKD, den Informationspflichten gemäß § 17 Abs. 1, 2 DSG-EKD n.F. auch im Rahmen digitaler Angebote umfassend nachzukommen. Zwar sind die Informationspflichten gemäß § 17 Abs. 1, 2 DSG-EKD n.F. gegenüber der betroffenen Person – anders als die Informationspflichten nach der EU-Datenschutzgrundverordnung – nur „auf Verlangen“ zu erfüllen. Gleichwohl erscheint es zweckmäßig, die insoweit bei digitalen Angeboten erforderlichen Informationen unaufgefordert bereit zu stellen, anstatt jeweils im Einzelfall Anfragen betroffener Personen zu beantworten. Zum einen schaffen transparente Informationen über Verarbeitungstätigkeiten Vertrauen bei Nutzenden. Zum anderen dürfte der Arbeitsaufwand einer einmaligen, umfassenden Information aller Nutzenden geringer sein als die Beantwortung vieler einzelner Anfragen.
Der BfD EKD empfiehlt verantwortlichen Stellen daher, Datenschutzerklärungen über den gemäß § 13 Abs. 1 TMG erforderlichen Pflichtinhalt hinaus um die notwendigen Angaben gemäß § 17 Abs. 1, 2 DSG-EKD n.F. zu ergänzen.
Gemäß § 17 Abs. 1 DSG-EKD n.F. handelt es sich dabei um:
- den Namen und die Kontaktdaten der verantwortlichen Stelle;
- gegebenenfalls die Kontaktdaten der oder des örtlich Beauftragten;
- die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen sowie die Rechtsgrundlage für die Verarbeitung;
- gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten.
Gemäß § 17 Abs. 2 DSG-EKD n.F. sind darüber hinaus folgende Informationen mitzuteilen:
- falls möglich die Dauer, für die die personenbezogenen Daten gespeichert werden, oder falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
- das Bestehen eines Rechts auf Auskunft, auf Berichtigung, auf Löschung, auf Einschränkung der Verarbeitung, auf Datenübertragbarkeit sowie eines Widerspruchsrechts gegen die Verarbeitung;
- das Bestehen eines Beschwerderechts bei der Aufsichtsbehörde;
- ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist und welche möglichen Folgen die Nichtbereitstellung hätte.
Nutzende werden die entsprechenden Angaben am ehesten in der Datenschutzerklärung erwarten. Alternativ könnten die Angaben auf einer separaten Unterseite mit entsprechender Bezeichnung („Informationen gemäß § 17 EKD-Datenschutzgesetz“ o.ä.) veröffentlicht werden.
Bildquellen
- office-1209640_1280: Free Photos by pixabay.com | CC0