Datenschutzerklärungen zu erstellen, gehört für Unternehmen quasi zum Tagesgeschäft. Die damit verbundene Erfüllung der Informationspflichten aus Art. 12, 13 und 14 DSGVO müsste, nach fast zwei Jahren der Anwendbarkeit der DSGVO, quasi ein Selbstläufer sein und ohne Interpretationsschwierigkeiten auskommen. Mag man meinen.
Doch steigt man erst einmal in die einzelnen Anforderungen der „Checklisten“ in Art. 13 und 14 DSGVO ein, wird schnell klar, dass die Vorgaben zum Teil so unbestimmt sind, dass eine eindeutige Aussage dazu, über was und wie informiert werden muss, nicht trivial ist.
Vor diesem Hintergrund habe ich mir die Datenschutzerklärungen der deutschen Datenschutzbehörden auf deren Webseiten angeschaut. Denn ich meinte, dass bei den Aufsichtsbehörden doch wohl eine einheitliche Linie bei der Umsetzung der DSGVO-Vorgaben zu erkennen sei. Meine Ergebnisse habe ich in der Tabelle unten zusammengefasst. Zum Teil sind die Angaben in den Datenschutzerklärungen tatsächlich so unklar, dass ich meine eigenen Mutmaßungen in die Tabelle eingefügt habe.
Es zeigt sich, dass auch die Datenschutzbehörden die Anforderungen an die Informationspflichten sehr unterschiedlich interpretieren und umsetzen. Dass es hier Abweichungen und wohl auch unterschiedliche Interpretation der gesetzlichen Vorgabem gibt, mag zunächst verweunden. Andererseits ist es meines Erachtens auch nicht sehr überraschend und es zeigt, dass aktuell wirklich jede datenverarbeitende Stelle, auch die Aufsichtsbehörden, die Anforderungen der DSGVO verschieden versstehen.
Hinweis: ich habe mir in den Datenschutzerklärungen jeweils nur die Informationen angeschaut, die einfache Webseitenbesucher betreffen. Also wirklich nur den Besuch, ohne zusätzliche Funktionen (zB Meldungen) oder Angebote (zB Newsletter) zu nutzen.
Zudem habe ich mich auf zwei Informationspflichten beschränkt. Zum einen Art. 13 Abs. 1 a) DSGVO. Empfänger oder Kategorien. Hier stellt sich nämlich oft die (umstrittene) Frage, ob ein Unternehmen zwingend die Empfänger benennen muss (meines Erachtens nicht). Und Art. 13 Abs. 2 a) DSGVO, Dauer der Speicherung. Bei dieser Vorschrift wird etwa diskutiert, wann die konkrete Angabe der Dauer nicht möglich ist und man auf die Kriterien abstellen kann.
Datenschutzbehörde | Art. 13 Abs. 1 e) (Empfänger oder Kategorien) | Art. 13 Abs. 2 a) (Dauer der Speicherung oder die Kriterien) |
BfDI | Kategorien | Allgemeine Kriterien |
LfDI BaWÜ | Kategorien | Allgemeine Kriterien |
LfD Bayern | Kategorien | 7 Tage |
BayLDA | Kategorien | 7 Tage |
Berliner LDI | Keine Weitergabe an „Dritte“ | Dauer der Nutzung |
LDA Brandenburg | Keine Weitergabe an „Dritte“ | Keine Angabe (da keine IP Adressen gespeichert) |
LfDI Bremen | Kategorien | Dauer der Nutzung |
HmbBfDI | Keine Weitergabe an „Dritte“ | Erhebung anonymisierter IP Adressen |
LfDI Mecklenburg-Vorpommern | Konkret benannt und Kategorien | 1 Tag |
LfD Niedersachsen | Konkret benannt | Keine Angabe |
LDI NRW | Konkret benannt | 4 Wochen |
LfDI RLP | Kategorien | 30 Tage |
Unabhängiges Datenschutzzentrum Saarland | Keine Weitergabe (da keine pb Daten gespeichert) | Keine Angabe (da keine IP Adressen gespeichert) |
LfD Sachsen-Anhalt | Konkret benannt und Kategorien | 7 Tage |
ULD Schleswig-Holstein | Kategorien | Keine Angabe (da keine IP Adressen gespeichert) |
Sächsischer DSB | Konkret benannt | Keine Angabe (da keine IP Adressen gespeichert) |
TLfDI | Konkret benannt und Kategorien | 21 Tage |