Home/Insights/Fehlerhafte Datenschutzerklärung: Was sie über die Umsetzung der DSGVO aussagt
Veröffentlicht am 18. Mai 2022
Lesedauer ca. 4 Minuten
Rechtsberatung

Fehlerhafte Datenschutzerklärung: Was sie über die Umsetzung der DSGVO aussagt

Sabine Schmitt
Manager
Datenschutzbeauftragte DSB-TÜV, Rechtsanwältin
T +49 911 9193 3710
Anfrage senden Profil
Kontaktieren Sie uns:
Jetzt Kontakt aufnehmen

Die Datenschutzerklärung auf einer Webseite ist das „Aushängeschild“ für die rechts­konforme Umsetzung der DSGVO. Anhand der Datenschutzerklärung können Auf­sichts­­behörden, Wettbewerber oder gar die betroffene Person leicht feststellen, wie es um die Umsetzung der DSGVO im Unternehmen steht. Einer mangelhaften bis fahr­lässig falschen Datenschutzerklärung kann ein Indiz dafür sein, dass der Websei­ten­be­treiber noch mehr offene datenschutzrechtliche Flanken hat. Das kann für die Auf­sichtsbehörden Anlass für eine Untersuchung über die Anwendung der DSGVO bieten.

Mit einer Datenschutzerklärung erfüllen Unternehmen ihre Informationspflichten nach Art. 13, 14 DSGVO.  Da­bei kommt es inzwischen immer häufiger vor, dass nicht nur die Datenschutzerklärung der Webseite online ab­rufbar ist, sondern auch die Informationspflichten gegenüber Betroffenen anderer Verarbeitungsvorgänge (z.B. Mitarbeiter, Kunden) mittels online abrufbarer Dokumente erfüllt werden. Die Informationen sind damit öffent­lich zugänglich, auch für die Aufsichtsbehörden. Ungenauigkeiten sowie Fehler können sich schnell zum Ein­falls­tor für Maßnahmen der Aufsichtsbehörde erweisen.
Vor dem Hintergrund, dass Verstöße gegen die Vorschriften der DSGVO mit Bußgeldern von bis zu 20 Mio. Euro geahndet werden können, sollte daher gesteigerter Wert daraufgelegt werden, dass die Datenschutzerklärung korrekt und vollständig ist. Noch schwerwiegender als ein mögliches Bußgeld wiegen oftmals die negative Pu­bli­city und der Vertrauensverlust, die ein solcher Datenschutzverstoß nach sich zieht.

Problemaufriss

Werden mit einer Webseite personenbezogene Daten verarbeitet, muss der Webseitenbetreiber seinen Besu­chern gemäß Art. 13 DSGVO (und ggf. Art. 14 DSGVO) Informationen zur Verfügung stellen, dass und wie er ihre personenbezogenen Daten verarbeitet. Die Informationen müssen dabei in präziser, transparenter, verständ­li­cher und leicht zugänglicher Form in einer klaren und einfachen Sprache sowie unentgeltlich zur Verfügung ge­stellt werden.

Unvollständige Datenschutzerklärung

Hieran scheitern regelmäßig bereits die ersten Unternehmen, denn die Datenschutzerklärung muss zu allen Datenverarbeitungsvorgängen auf der Webseite die Angaben enthalten, die nach Art. 13 DSGVO obligatorisch sind. Insbesondere Informationen zu der Verwendung von Plug-ins, Cookies oder anderen Tools stellen dabei eine enorme Fehlerquelle dar, da sie ohne entsprechendes Know-how des Webseitenbetreibers in den selten­sten Fällen vollständig und richtig dargestellt sind.
Um Fehler in der Datenschutzerklärung zu vermeiden, müssen deshalb alle Verarbeitungsvorgänge der Web­seite abgebildet werden. Angefangen beim Kontaktformular über Tracking- und Analysesoftware bis hin zu Social Media Plug-ins.

Veraltete Datenschutzerklärung

Dieser Fehler geht ein Stück weit mit dem vorangegangenen einher, denn eine veraltete Datenschutzerklärung ist in den meisten Fällen auch unvollständig. Wenn die Datenschutzerklärung mit Inkrafttreten der DSGVO auf­gesetzt wurde, weist sie einen Stand vom 25. Mai 2018 auf. Seither hat sich in der Rechtsprechung aber ei­ni­ges getan, dass auch Anlass gegeben hat, die eigene Datenschutzerklärung zu überarbeiten – insbesondere im Hin­blick auf den Einsatz von Drittanbieterdiensten mit einer Datenübermittlung ins Nicht-EU-Ausland. Glei­­­ches gilt, wenn nach der Erstellung der Datenschutzerklärung neue Tools auf der Webseite integriert wur­den, zu de­nen sich aber keine Informationen in der Datenschutzerklärung finden lassen.

Intransparenz

Häufig werden auch allgemeine Informationen in die Datenschutzerklärung aufgenommen, die nicht nach Art. 13 DSGVO gefordert sind. Dabei besteht die Gefahr, dass die Datenschutzerklärung durch das Zuviel an Infor­mationen „überladen“ wirkt und gerade nicht mehr dem Transparenzgebot genügt. Auch das steht einen Ver­stoß gegen die Datenschutzgrundverordnung dar.

Folgeprobleme

Mit der Information der betroffenen Personen geht zugleich die Pflicht einher, vor der Datenerhebung Rechts­grundlage und Zweck der jeweiligen Datenverarbeitung festzulegen. Außerdem muss das Unternehmen die Zu­lässigkeit einer beabsichtigten Datenübermittlung und die Speicherdauer vorab prüfen. Das heißt, die Er­fül­lung der Informationspflichten gibt den Aufsichtsbehörden zugleich einen ersten Einblick, wie es um die Ein­haltung der datenschutzrechtlichen Grundsätze der Rechtsmäßigkeit, Zweckbindung und Speicherbe­grenzung nach Art. 5 DSGVO in ihrem Unternehmen steht.

Soweit als Rechtsgrundlage für die Datenverarbeitung auf die Einwilligung der betroffenen Person abgestellt wird, hat ein Verstoß gegen die Informationspflichten zur Folge, dass diese mangels rechtzeitiger Information nicht wirksam in die Datenverarbeitung eingewilligt hat. Die Verarbeitung der Daten erfolgt in dem Fall ohne Rechtsgrundlage.
Außerdem bildet die Erfüllung der Informationspflichten die Basis für die Ausübung der Betroffenenrechte. Ohne eine korrekte und vollständige Information ist der Betroffene gehindert, seine Rechte auch im Sinne der Verordnung auszuüben.
Diese Liste lässt sich beliebig fortführen.  Werden bspw. Tools von Drittanbietern eingesetzt, kann eine man­gelhafte Datenschutzerklärung auch darauf hindeuten, dass die Zulässigkeit der Datenübermittlung im schlimms­ten Fall gar nicht geprüft wurde, sondern einfach praktiziert wird. Gleiches gilt selbstredend für den (Nicht-)Abschluss der entsprechenden Auftragsverarbeitungsverträge.

Fazit

Fehlen Informationen darüber, wie und zu welchem Zweck personenbezogene Daten erhoben und verarbeitet werden – das betrifft auch die Verarbeitung durch Drittanbieter – verstößt der Webseitenbetreiber gegen die Informationspflichten aus der DSGVO. Es ist nicht unwahrscheinlich, dass ein Verstoß gegen die Informations­pflicht weitere datenschutzrechtliche Verstöße nach sich zieht. Unternehmen ist daher dringend anzuraten, ihre Datenschutzerklärungen zu überprüfen. Bei einem Verstoß gegen die Informationspflichten nach Art.13, 14 DSGVO kommt nicht nur eine Datenschutzkontrolle durch die zuständige Aufsichtsbehörde und in der Folge zu Anordnungen zur Beseitigung der weiteren festgestellten Verstöße in Betracht, sondern auch eine Sanktion in Form von empfindlichen Bußgeldern.

Ähnliche Beiträge

Alle Beiträge zu diesem Thema
21.01.2026

Die Haftung des abberufenen Geschäftsführers wegen sittenwidriger Schädigung

Der BGH hat mit Urteil vom 02.12.2025 (Az.: II ZR 114/24) entschieden, dass die Deliktshaftung des Geschäftsführers nach § 826...
Rechtsberatung
21.01.2026

Gesteigerte Überwachungs-, Berichts- und Auskunftspflichten des Aufsichtsrats einer AG in der Krise – keine Entlastung der Verwaltungsorgane bei Verletzung der Berichtspflichten und der Auskunftspflicht gegenüber Aktionären in der Hauptversammlung

Die Entlastung der Verwaltungsorgane (Vorstand und Aufsichtsrat) einer Aktiengesellschaft (die „AG“ oder die „Gesellschaft“) stellt einen wesentlichen und wiederkehrenden Tagesordnungspunkt...
Rechtsberatung
21.01.2026

Registerpflicht ab 01.01.2026: Neues Transparenzregister für De-minimis-Beihilfen

Ab dem 01.01.2026 sind staatliche Stellen verpflichtet, gewährte sogenannte „De-minimis-Beihilfen“ das Transparenzregister der EU-Kommission zu melden (eAidRegister). Damit vollzieht sich...
Rechtsberatung
20.01.2026

Sanktionsverstöße noch härter bestraft – Bundestag stimmt Verschärfung des Sanktionsstrafrechts zu

Der Bundestag hat am vergangenen Donnerstag den Gesetzentwurf der Bundesregierung „zur Anpassung von Straftatbeständen und Sanktionen bei Verstößen gegen restriktive...
Rechtsberatung