Wir haben eine Frage bezüglich unserer Datenschutzerklärung für eine Unterwebseite.
Die Webseite dient als Landingpage zur Anmeldung für eine Online-Veranstaltung (ähnlich Newsletter Anmeldung).
Diese Veranstaltung wird mit einem Kooperationspartner veranstaltet und ist von einer dritten Partei gestaltet/programmiert worden.
Nun stellt sich für uns diese Frage: Inwiefern muss die Datenschutzerklärung angepasst werden?
Wir haben alle technischen Aspekte vom Programmierer Unternehmen in die Erklärung aufgenommen (verwendete Cookies, Third Partys, etc.)
Wie sieht es mit unserem Kooperationspartner der Veranstaltung aus? Muss dieser ebenfalls in der Datenschutzerklärung erwähnt werden? Falls dieser bspw. Texte oder Bilder von der Veranstaltung für seinen Content verwenden wird?
Ich würde einfach einmal den enstprechenden DSGVO-Artikel durchgehen und nachschauen, ob alles dabei ist. Wer da was für Inhalte auf eine Website packt, ist völlig irrelevant. Es kommt nur darauf, wer die Daten wie verarbeitet.
Edit: Aber ihr lasst die Unterwebsite schon genauso durch euren Hoster ausliefern, wie die Hauptseite? Oder kommt die von woanders, bspw. von dem Partner?
Im Grunde müsst ihr dann wahrscheinlich nur die technischen Aspekte in eurer Datenschutzerklärung aktualisieren. Oder ihr schreibt eine eigene für die Unterwebsite – in dem Fall würde ich es aber wenigstens durch eine eigene Subdomain trennen.
Ich vermute, die Daten von einer Anmeldung gehen auch an den Kooperationspartner. Also sollte er dann entsprechend als Empfänger der personenbezogenen Daten mit in die Datenschutzerklärung aufgenommen werden.
Ad primam: Es heißt nicht Datenschutzerklärung. Es heißt Datenschutzinformation. Guggsdu Art. 12 DSGVO. Ad secundam: Die technischen Aspekte sind das Eine. Zu erklären*, warum das, was technisch stattfindet, rechtlich zulässig ist, ist das Andere. Und wer alles dafür verantwortlich ist, was da geschieht, das ist das eigentlich Spannende. Ad tertiam: Richtig spannend wird es, wenn jemand, der die Website nutzt, behauptet, er sei angepisst. Spätestens dann sollten die Beteiligten sich zurücklehen können, weil sie sich von Anfang an von Datenschutzprofis beraten lassen haben, die für Datenschutzkonformität ihre Hand ins Feuer legen – und sich den Feuerschutzhandschuh haben vom Kunden bezahlen lassen.
*) Und ja, mir ist schon bewusst, dass die Datenschutzinformationen Erklärungen enthalten.
Also ich habe das Konstrukt noch nicht ganz durchdrungen.
Auf der Unternehmensseite gibt eine Landingpage für die Anmeldung zu einer Online-Veranstaltung. Kann man sich direkt auf dieser Unterseite durch Eingabe seiner Daten anmelden, oder verlinkt diese Unterseite nur auf ein externes Formular was auf den Servern des Kooperationspartners liegt und die Daten werden dort eingegeben?
Der Kooperationspartner ist (zumindest so wie ich es verstehe) ein Auftragsverarbeiter. (Er verarbeitet Eure Daten in Eurem Auftrag. Daher wäre zum einen schon mal wichtig dass Ihr mit diesem einen AV-Vertrag mit inkl. TOMs abschließt.
Ein Auftragsverarbeiter ist meiner Kenntnis nach, als Empfänger von personenbezogenen Daten im Sinne von Artikel 13 anzusehen. Daher muss er auch in der Datenschutzerklärung angegeben werden.
Ich denke, Vatolin hat Recht, Onlinegast braucht eine professionelle Beratung. Da sind zuviele Details, die man in einem Forum nicht erörtern kann - was man ja auch daran sieht, dass konkrete Details im Eröffnungspost fehlen. Wir sollten das auch nicht versuchen, weil wir nicht genug wissen und Onlinegast bei einer Fehlberatung in Schwierigkeiten kommen kann.
Provokant gesagt: Wir sollten hier keine Rechtsberatung versuchen. :duck und weg