Informationspflichten externer Datenschutzbeauftragter

Unternehmen oder andere Einrichtungen (Verantwortliche), die personenbezogene Daten verarbeiten, müssen bei Vorliegen der gesetzlichen Voraussetzungen einen Datenschutzbeauftragten zu benennen. Dabei kann die Wahl auch auf einen externen Datenschutzbeauftragten fallen. Ein Dienstleistungsvertrag wird dann zwischen dem Unternehmen und dem externen Datenschutzbeauftragten geschlossen, alternativ auch mit einem Unternehmen, welches den externen Datenschutzbeauftragten aus den Reihen seiner Beschäftigten stellt.

Verantwortliche können aus einer Vielzahl von Angeboten auswählen: Von der AG bis zum spezialisierten Einzelkämpfer ist am Markt alles vertreten. Um sich zu informieren, wer der potentielle Vertragspartner sein wird, gibt es verschiedene Möglichkeiten. Häufig wird es auch der Besuch der Webseite des zukünftigen externen Datenschutzbeauftragten sein.

RECHTLICHE INFORMATIONEN AUF EINER WEBSEITE

Informationen nach dem TMG

Neben der Datenschutzerklärung muss jede Webseite ein Impressum enthalten, damit der Anbieter der Webseiten die allgemeinen Informationspflichten nach dem Telemdiengesetz (TMG) erfüllt. Entsprechend enthalten heut zu Tage fast alle Webseiten die „Allgemeinen Informationen“ nach § 5 Abs. 1 TMG, wie z.B. den Namen, die Firma, das Register sowie die Adress- und Kontaktdaten.

„SPEZIELLE INFORMATIONEN“

Informationen bei bestimmten Berufe

z.BEs gibt Berufsgruppen, die „spezielle Informationen“ zu geben haben

  • soweit der Dienst im Rahmen einer Tätigkeit angeboten oder erbracht wird, die der behördlichen Zulassung bedarf, Angaben zur zuständigen Aufsichtsbehörde,
  • soweit der Dienst in Ausübung eines Berufes nach bestimmten EU-Richtlinien angeboten oder erbracht wird.

Die Pflicht zu Angaben zur zuständigen Aufsichtsbehörde gilt z.B. für Versicherungsunternehmen, Steuerberater, Rechtsanwälte oder Makler. Die Angabe der zuständigen Aufsichtsbehörde sollen es ermöglichen, sich über einen Anbieter zu erkundigen und ggf. Beschwerden über Verstöße gegen Berufspflichten anzubringen (vgl. RegE BT-Drs. 14/6098, 21). Gilt dies aber auch für „externe Datenschutzbeauftragte“? Externe Datenschutzbeauftragte erbringen keine Tätigkeit, die der behördlichen Zulassung bedarf. Sie unterliegen auch nicht der Aufsicht der für ihren Geschäftssitz zuständigen Aufsichtsbehörde für den Datenschutz. Von daher werden Leser des Impressums keine Angaben zu einer zuständigen Aufsichtsbehörde finden. Würden externe Datenschutzbeauftragte mit einer nicht vorhandenen Aufsichtsbehörde werben, so würde dies eine unzulässige Irreführung darstellen.

Auch hinsichtlich des zweiten Punktes, der für „reglementierte Berufe“ im Sinne der EU-Diplomanerkennungsrichtlinien gilt, bestehen besondere Informationspflichten, um für den jeweiligen Nutzer die Qualifikation, Befugnisse und ggf. besondere Pflichtenstellung des Diensteanbieters transparent zu machen. Die Vorschrift betrifft typische freie Berufe wie z.B. Ärzte, Apotheker, Rechtsanwälte, Steuerberater, Psychotherapeuten oder bestimmte Gesundheitshandwerke, wie z.B. Augenoptiker, Hörgeräteakustiker. Ebenfalls werden Berufe erfasst, die zwar nicht reguliert sind, bei denen aber die Führung eines bestimmten Titels von Voraussetzungen abhängig gemacht wird, z.B. Architekten, (beratende) Ingenieure und nahezu alle Heilhilfsberufe, z.B. Physiotherapeuten, Ergotherapeuten und Logopäden (RegE BT-Drs. 14/6098, 21). Auch hierzu wird man keine Angaben bei externen Datenschutzbeauftragten finden, weil es sich nicht um einen „reglementierten“ Beruf handelt.

WEITERGEHENDE INFORMATIONSPFLICHTEN

Informationspflichten nach DL-InfoV

Im Falle von Telemedien, also auch Webseiten, stellt das TMG klar, dass neben den Anforderungen der „Allgemeinen Informationspflichten“ nach § 5 Abs. 1 TMG auch die „Weitergehenden Infomationspflichten“ zu erfüllen sind. So z.B. die Informationspflichten nach §§ 312d oder 312e BGB. Die weitergehenden Informationspflichten sind auch zu erfüllen, wenn es sich um identische oder ähnliche Angaben handelt. Das bedeutet allerdings nicht, dass eine doppelte Aufzählung erfolgen muss.

„Weitergehende Informationspflichten die externe Datenschutzbeauftragte zu erfüllen haben, sind die Informationspflichten nach der DL-InfoV. Sie sind vom Anwendungsbereich nicht ausgenommen. Die erforderlichen Informationen sind vor Abschluss eines schriftlichen Vertrages oder, sofern kein schriftlicher Vertrag geschlossen wird, vor Erbringung seiner Dienstleistung zu erfüllen.

FORMFREIHEIT

Formfreiheit bei der Erfüllung

Die Informationen sind wahlweise

  • dem Dienstleistungsempfänger von sich aus mitzuteilen,
  • am Ort der Leistungserbringung oder des Vertragsschlusses so vorzuhalten, dass sie dem Dienstleistungsempfänger leicht zugänglich sind,
  • dem Dienstleistungsempfänger über eine von ihm angegebene Adresse elektronisch leicht zugänglich zu machen oder
  • in alle von ihm dem Dienstleistungsempfänger zur Verfügung gestellten ausführlichen Informationsunterlagen über die angebotene Dienstleistung aufzunehmen.

Aufgrund der Möglichkeiten findet man vielfache Gestaltungen, wie die Pflichten erfüllt werden. Manche erfüllen sie bereits vollumfänglich auf der Webseite unter dem Begriff  „Impressum“, manche Dienstleister händigen sie bei der ersten Kontaktaufnahme aus oder vor Unterzeichnung des Vertrages. Die Wahl der Form bedeutet aber nicht, dass die vorgeschriebenen Informationen „stückweise“ gegeben werden können. Ebenso sollte für dem Leser des Impressums erkennbar sein, aufgrund welcher Rechtsgrundlage die Information aufgeführt ist.

Inhalt der Information

Die DL-InfoV unterscheidet zwischen

  • Stets zur Verfügung zu stellenden Informationen
  • Auf Anfrage zur Verfügung zu stellende Informationen und
  • Erforderlichen Preisangaben.

Die beiden letzten Punkte sollen hier nicht näher betrachtet werden, weil sie entweder nicht auf externe Datenschutzbeauftragte zutreffen oder vor Vertragsunterzeichnung dem Verantwortlichen als Empfänger der Dienstleistung bekannt sein werden.

Der Inhalt der Informationspflichten, die stets zur Verfügung zu stellen sind, ist zum Teil inhaltsgleich mit denen nach § 5 Abs. 1 TMG, so dass auf diesen verwiesen wird. Zusätzlich  sind folgende Informationen stets zur Verfügung zu stellen: 

  • die gegebenenfalls verwendeten allgemeinen Geschäftsbedingungen,
  • von ihm gegebenenfalls verwendete Vertragsklauseln über das auf den Vertrag anwendbare Recht oder über den Gerichtsstand,
  • gegebenenfalls bestehende Garantien, die über die gesetzlichen Gewährleistungsrechte hinausgehen,
  • die wesentlichen Merkmale der Dienstleistung, soweit sich diese nicht bereits aus dem Zusammenhang ergeben,
  • falls eine Berufshaftpflichtversicherung besteht, Angaben zu dieser, insbesondere den Namen und die Anschrift des Versicherers und den räumlichen Geltungsbereich.

 

Sollten Sie weitergehende Fragen zu den Informationspflichten eines externer Datenschutzbeauftragter haben, berate ich Sie gern.