Liebe Leserinnen und Leser,

im Mai des Jahres 2018 wurde die EU-Datenschutz-Grundverordnung (EU-DSGVO) wirksam. Soweit - so bekannt. Zum selben Zeitpunkt haben Sie per Mail, auf den Internetseiten oder bei sonstigen Anlässen Datenschutzhinweise nach Art. 13 EU-DSGVO bereitgestellt bekommen. Und wenn Sie heute im Internet nach Datenschutzhinweisen mit dem Stand 2018 suchen, z. B. durch die Eingabe von "datenschutzerklärung stand 2018" in ihrer bevorzugten Suchmaschine, finden Sie eine Vielzahl von Informationen zum Datenschutz, welche seit fast sieben Jahren nicht mehr verändert wurden. Wozu auch - werden Sie sich fragen. Immerhin hat sich die DSGVO seitdem nicht verändert. Was Sie jedoch beachten sollten ist, dass sich andere Dinge verändert haben, die auf die Datenschutzhinweise einen Einfluss haben.

Sehr wahrscheinlich haben sich seit dem Jahr 2018 der Zweck und die Mittel der Verarbeitung personenbezogener Daten verändert. Oder die Firmenangabe ist neu, vielleicht die Adresse des Verantwortlichen. Auch die Rechtsgrundlage der Verarbeitung kann jetzt eine andere sein als noch im Jahr 2018. Häufiger Fall ist auch, dass neue Verarbeitungstätigkeiten hinzugekommen sind.

Neben diesen eher internen Sachverhalten beeinflussen auch externe Änderungen, dass eine Datenschutzerklärung aus dem Jahr 2018 nicht mehr aktuell sein kann. So gab es etwa in Bezug auf die Auslegung der DSGVO und der nationalen Gesetze seit dem Jahr 2018 zahlreiche gerichtliche Entscheidungen, neue Auslegungen und nationale Anpassungen, insbesondere durch die Datenschutzkonferenz des Bundes und der Länder (DSK) oder durch Urteile des Europäischen Gerichtshofs (EuGH).

Klar ist auch, dass eine Anpassung aufgrund der Einführung des TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz erforderlich sein wird. Das TDDDG ist regelt insbesondere Cookies und Tracking-Technologien strenger. Eine Datenschutzerklärung von 2018 enthält natürlich keine spezifischen Regelungen zu diesen Anforderungen.

Auch beim Widerspruchsrecht gegen Verarbeitungstätigkeiten und beim Einwiligungsmanagement gab es seit dem Jahr 2018 rechtliche Präzisierungen. Eine Datenschutzerklärung muss noch detaillierte und hervorgehobene Angaben zu den Rechten der Nutzer enthalten.

Zu guter Letzt gibt es vielen Namenänderungen, auch wenn sich der Dienst oder die Verarbeitung selbst kaum verändert haben:

• Facebook → Meta (seit 2021)
  Falls in der Datenschutzerklärung noch „Facebook Pixel“ oder „Facebook Login“ steht, müsste das in „Meta Pixel“ und „Meta Login“ geändert werden.
• Google Analytics 3 (Universal Analytics) → Google Analytics 4
  Universal Analytics wurde im Juli 2023 abgeschaltet. Wer nicht auf Google Analytics 4 verweist, hat eine veraltete Datenschutzerklärung.
• Twitter → X (seit 2023)
  Falls Twitter-Plugins oder Login-Optionen genannt sind, müsste das jetzt „X“ heißen.

Zusammengefasst ist eine Datenschutzerklärung aus 2018 ist nicht nur aus rechtlichen Gründen (z. B. DSGVO, TDDDG) problematisch, sondern auch wegen veralteter oder falscher Angaben zu Dienstleistern und Technologien. Unternehmen sollten sie regelmäßig aktualisieren, um Abmahnungen und Datenschutzverstöße zu vermeiden.

Falls Sie Fragen haben, melden Sie sich einfach.

Viele Grüße aus Aachen
Ingo Goblirsch

Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter
Datenschutz | Compliance | Informationssicherheit
52076 Aachen

Foto von Markus Winkler auf Unsplash. Vielen Dank.