Die Datenschutzgrundverordnung (DSGVO) als europäisches Sekundärrecht geht im selben Anwendungsbereich den nationalen Datenschutzregelungen vor. So auch insbesondere im Falle der §§ 11 ff. TMG, die nach geltender Rechtslage für den Online-Bereich das speziellere Datenschutzrecht darstellen und das BDSG insoweit verdrängen.

Was gilt nach der DSGVO?

Seit Mai 2018 ergeben sich die Informationspflichten des Datenverarbeiters im Online-Bereich nicht mehr aus den § 4 Abs. 3, § 33 BDSG und § 13 Abs. 1 TMG, sondern aus den Art. 13 und 14 DSGVO.

Danach muss im Online-Bereich der Online-Shop-Betreiber künftig folgende Angaben machen:

  • Name und Kontakten des Verantwortlichen;
  • Kontaktdaten des Datenschutzbeauftragten (soweit einer bestellt ist);
  • Zweck der Datenverarbeitung;
  • Rechtsgrundlage, auf die sich die Datenverarbeitung stützt;
  • im Falle des Art. 6 Abs. 1 lit. f DSGVO, ist das berechtigte Interesse darzulegen;
  • Empfänger oder Kategorien von Empfängern von personenbezogenen Daten;
  • soweit beabsichtigt, Datentransfer in Drittstaaten;
  • Speicherdauer;
  • die Betroffenenrechte (Art. 15 bis 21 DSGVO) auf Zugang, Berichtigung, Sperrung, Löschung, Widerspruch und Datenübertragbarkeit;
  • sollte ein Profiling oder eine Art von automatisierter Einzelfallentscheidung nach Art. 22 DSGVO beabsichtigt sein, ist hierauf hinzuweisen;
  • das Beschwerderecht nach Art. 77 DSGVO;
  • Bestehen eines Widerrufsrecht bei Einwilligungen;

Wie müssen die Informationen vorgehalten werden?

Diese Informationen müssen nach Art. 12 Abs. 7 DSGVO in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form abgebildet und vermittelt werden. Der Erwägungsgrund 58 sagt in diesem Zusammenhang, dass diese Informationen im Online-Bereich ebenso in elektronischer Form bereitgestellt werden können, beispielsweise auf einer Website, wenn sie für die Öffentlichkeit bestimmt sind.

Ähnlich wie bereits in § 13 Abs. 1 S. 1 TMG geregelt, bestimmt Art. 13 Abs. 1 DSGVO, dass die Informationen schon bei der Erhebung der Daten mitzuteilen sind. Dies kann aber weiterhin durch einen Link auf die Datenschutzerklärung erfolgen.

Wie ist das Verhältnis zum TMG?

Weitere datenschutzrelevante Änderungen im Wechselspiel zum TMG sind hinsichtlich § 15 Abs. 3 TMG zu verzeichnen. Diese Norm erlaubte die pseudonymisierte Erstellung von Nutzungsprofilen zu Marktforschungszwecken ohne die Einwilligung des Betroffenen einholen zu müssen. In der DSGVO fehlt ein entsprechendes Pendant, so dass sich diese Form der Datenverarbeitung nach den allgemeinen Rechtmäßigkeitsvoraussetzungen der DSGVO richtet.

Was kommt nach der DSGVO?

Zusätzlich wird künftig zu alledem, also nicht nur hinsichtlich der Datenschutzerklärung, sondern auch in Bereichen wie Webtracking oder OTT-Dienste usw. zur der DSGVO die ePrivacy-Verordnung ergänzend und/oder ersetzend heranzuziehen sein, so dass diese noch einige Ansätze vollenden wird. Die genauen Regelungen der ePrivacy-Verordnung sind noch abzuwarten.

Mehr zum Thema „Startups und Recht“: