| Blog für Unternehmer
logo_Smarter_mittelstand_dunkel
Nutzen Sie das Potenzial der Digitalisierung für Ihr Unternehmen bestmöglich aus, um langfristig wettbewerbsfähig zu bleiben. Wir helfen Ihnen dabei: mit digitalen Trendthemen, praktischen Problemlösungen und innovativen Ansätzen - wöchentlich auf dieser Seite sowie auf unseren diesjährigen Digitalisierungskonferenzen smarter mittelstand.

DSGVO-Mythen 15 Irrtümer, mit denen Sie sich das Leben unnötig schwer machen

  • Serie
Die Verunsicherung rund um die DSGVO ist groß.  Nicht nur im Internet kursieren zahlreiche Irrtümer.

Die Verunsicherung rund um die DSGVO ist groß. Nicht nur im Internet kursieren zahlreiche Irrtümer. © knallgrün / photocase.de

„Aufgrund der DSGVO geht das nicht/darf ich das nicht/muss ich das ...“ Das hört man häufig, seit die Datenschutz-Grundverordnung in Kraft getreten ist. Aber oft stimmt es nicht. 15 verbreitete Mythen.

Die EU-Datenschutz-Grundverordnung (DSGVO) gilt nun schon seit knapp neun Monaten, aber die Verunsicherung, was denn nun in Sachen Datenschutz gilt, ist in Unternehmen immer noch groß. Die Folge: Viele schießen mit ihrer Interpretation der Datenschutzverordnung übers Ziel hinaus. Wir haben falsche Annahmen über die DSGVO gesammelt und klären auf, was wirklich gilt.

Mythos 1: Jede Datenerfassung bedarf einer Einwilligung.

Falsch. Auch wenn seit Inkrafttreten der DSGVO ein Phänomen um sich greift, das Experten „Einwilligeritis“ nennen: Eine Einwilligung braucht man nur dann, wenn die Datenverarbeitung nicht ohnehin per Gesetz erlaubt ist. Das ist beispielsweise dann der Fall, wenn es ein berechtigtes Interesse an der Verarbeitung personenbezogener Daten gibt. Viele Einwilligungen sind schlicht überflüssig, denn ein berechtigtes Interesse kann vieles sein: der sichere Betrieb einer Website und sogar – in gewissen Grenzen – Direktmarketing. Eine Einwilligung braucht man auch dann nicht, wenn die Daten nötig sind, um einen Vertrag anzubahnen oder zu erfüllen.

Anzeige

Deshalb müssen etwa impulse-Abonnenten uns nicht um die Einwilligung bitten, unsere Firmendaten zu speichern – sie brauchen die Daten, damit sie ihr Abonnement bezahlen können. Wer auf einer Messe eine Visitenkarte bekommt mit der Bitte, ein Angebot zu erstellen, der darf das Angebot ebenfalls ohne schriftliche Einwilligungserklärung rausschicken. Und auch fürs Beantworten von Anfragen über Kontaktformulare auf Websites ist keine Einwilligungserklärung nötig – die Formulare dienen in der Regel der Vertragsanbahnung.

Mythos 2: Kunden und Patienten darf man öffentlich nicht mit Namen ansprechen.

Falsch. Es soll doch tatsächlich Metzger geben, die glauben, sie dürften ihre Stammgäste nicht mehr mit ihrem Namen begrüßen. Doch egal ob Wirt, Kioskbesitzer oder Friseur: Keiner muss sich auf die Lippen beißen, denn das Gedächtnis ist schlicht und einfach kein Dateisystem im Sinne der DSGVO.

Wer die Namen seiner Kunden auswendig kennt, darf sie auch weiterhin in der Öffentlichkeit aussprechen. Auch Patienten dürfen weiterhin namentlich im Wartezimmer aufgerufen werden.

Mythos 3: Rechnungen müssen nach drei Monaten gelöscht werden.

Falsch. Man glaubt es kaum, aber als eine Buchhalterin bei einer großen Fluggesellschaft nachträglich eine Rechnung anfordern wollte für ein Flugticket, erhielt sie die Auskunft, wegen der DSGVO sei das nicht möglich: Die Rechnungen müssten nach drei Monaten gelöscht werden, weil sie personenbezogene Daten enthalten.

Das ist natürlich Quatsch: Das Steuerrecht sieht für steuerlich relevante Unterlagen – und dazu gehören selbstverständlich Rechnungen – eine Aufbewahrungsfrist von bis zu zehn Jahren vor. Wer Rechnungen nach drei Monaten vernichtet, der bekommt ganz bestimmt Ärger mit dem Finanzamt. Und die grundsätzliche Löschpflicht, die die DSGVO vorsieht, gilt nicht, wenn man personenbezogene Daten verarbeiten muss, um Verpflichtungen nach deutschem oder EU-Recht zu erfüllen. Das steht übrigens in Artikel 17 Abs. 3 lit. b) DSGVO.

Mythos 4: E-Mails dürfen in Firmen nicht weitergeleitet werden.

Falsch. Ein Unternehmen wunderte sich, dass seine Rechnung an einen Dienstleister nicht bezahlt wurde. Auf Nachfrage erfuhr das Unternehmen, dass die Mail wegen der DSGVO nicht an die Buchhaltung weitergeleitet wurde – man hatte sie nicht direkt an die Buchhaltung des Dienstleisters geschickt, sondern an eine allgemeine E-Mail-Adresse. Die Buchhaltung hätte sonst die E-Mail-Adresse des Rechnungsversenders erfahren, argumentierte der Dienstleister.

Diese Argumentation ist schlicht absurd. Zur Vertragserfüllung erforderliche Daten weiterzugeben, ist immer zulässig – und zwar nicht nur unternehmensintern, sondern auch an Dritte, wie an eine Bank oder den Paketzusteller.

Mythos 5: Wer Menschen fotografiert, muss immer eine schriftliche Genehmigung von allen einholen.

Falsch. Digital erstellte Foto- und Videoaufnahmen sind für den Gesetzgeber zwar tatsächlich eine Verarbeitung von personenbezogenen Daten. Gerichte haben inzwischen aber bestätigt, dass das Kunsturhebergesetz neben der DSGVO weiterhin gilt. Das heißt, journalistische Fotos aus dem Bereich der Zeitgeschichte, Bilder von Versammlungen oder solche, auf denen Personen nur als sogenanntes Beiwerk erscheinen, darf man auch weiterhin ohne Einwilligung des Abgelichteten veröffentlichen.

Zudem können sich Fotografen auch auf Art. 6 Abs. 1 lit. f DSGVO stützen: Ihre Tätigkeit wird im Regelfall als Kunst eingestuft und sie können sich somit auf ein berechtigtes Interesse berufen. Lesen Sie hier, was Sie beachten müssen, wenn Sie auf Veranstaltungen fotografieren.

Mythos 6: Auf der Betriebsfeier darf man keine Fotos machen und veröffentlichen.

Falsch. Zwar gilt die DSGVO grundsätzlich, sobald Fotos im Büro, bei einem Betriebsausflug oder zum Beispiel bei der betrieblichen Weihnachtsfeier gemacht werden. Grundsätzlich ist es aber auch da kein Problem, Fotos zu machen und auch innerhalb des Unternehmens zu verbreiten, schließlich ist das gelebte Praxis und jeder Mitarbeiter muss damit rechnen, dass die Fotos auch für das Team einsehbar sind – zum Beispiel im Intranet.

Die Mitarbeiter sollten aber an geeigneter Stelle (zum Beispiel am Eingang) darüber informiert werden, dass Fotos gemacht werden, und die Fotos dürfen die Personen nicht in diskreditierenden Situationen zeigen. Das Foto vom Abteilungsleiter, wie er betrunken auf dem Tisch tanzt, ist also eher ein No-Go. Nur wenn die Fotos noch weiterverbreitet werden sollen – auf Twitter oder Facebook beispielsweise – müssen die Mitarbeiter um ihre Einwilligung gebeten werden.

Mythos 7: Handwerksbetriebe, die für eine Hausverwaltung arbeiten oder als Subunternehmer tätig sind, müssen einen Auftragsverarbeitungsvertrag unterschreiben.

Falsch. Wenn Handwerksbetriebe für eine Hausverwaltung oder als Subunternehmer für einen Generalunternehmer tätig werden, handelt es sich in aller Regel nicht um eine Auftragsverarbeitung. Darunter versteht man die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Dienstleister im Auftrag des Verantwortlichen. Zwar bekommen die Handwerksbetriebe in diesen Fällen Kundendaten. Aber anders als beispielsweise bei Anbietern von Cloudlösungen sind die Daten der Kunden nicht wesentlicher Gegenstand des Vertrags – sie sind lediglich nötig, um den handwerklichen Auftrag erfüllen zu können. Und deshalb ist ein Vertrag zur Auftragsverarbeitung unnötig.

Mythos 8: Klingelschilder mit Namen an Mietwohnungen verstoßen gegen die DSGVO.

Falsch. Vermieter dürfen die Namen ihrer Mieter auch ohne deren Einwilligung auf dem Klingelschild anbringen. Denn „das Ausstatten der Klingelschilder mit Namen für sich genommen stellt weder eine automatisierte Verarbeitung noch eine tatsächliche oder beabsichtigte Speicherung in Dateisystemen dar“, so die Begründung der Bundesdatenschutzbeauftragten Andrea Voßhoff. Daher kann man die DSGVO in diesem Fall nicht angewenden.

Mythos 9: Unternehmen dürfen nur noch per verschlüsselter E-Mail kommunizieren.

Falsch. Die DSGVO sieht keinen Zwang zur Verschlüsselung vor, auch wenn diese sicher in vielen Fällen sinnvoll ist. Ob der Versender eine E-Mail verschlüsseln muss, hängt von den übertragenen Daten ab: Nur wenn es um Daten geht, die nach Artikel 9 Absatz 1 der DSGVO einen sehr hohen Schutzbedarf haben, ist eine Verschlüsselung notwendig. Dies betrifft beispielsweise Gesundheitsdaten, Daten zur sexuellen Orientierung oder biometrische Daten. Wie man solche sensiblen Daten DSGVO-konform verschicken kann, lesen Sie in unserem Artikel zur E-Mail-Verschlüsselung.

Mythos 10: Alle alten Adresslisten müssen gelöscht werden.

Falsch. Wer bisher personenbezogene Daten erfasst hat und sich dabei an die Rechtslage gehalten hat und nachweisen kann, dass er eine Einwilligung zur Verarbeitung der Daten hat, der kann vorhandene Adressen weiter nutzen.

Mythos 11: Die DSGVO verbietet die Datenübermittlung in die USA.

Falsch. Was die Auftragsverarbeitung, also das Verarbeiten personenbezogener Daten durch Dienstleister, betrifft, erlaubt die DSGVO nun sogar, dass diese auch außerhalb der EU stattfinden darf. Das war zuvor nicht der Fall.

Die DSGVO knüpft eine Datenübermittlung ins Nicht-EU-Ausland wie die USA allerdings an verschiedene Anforderungen. Dabei geht es darum, dass der Dienstleister, beispielsweise ein amerikanischer Cloud-Service, garantiert, dass das Datenschutzniveau dort dem der Europäischen Union entspricht. Nachweisen lässt sich das etwa durch eine Zertifizierung unter dem EU-US-Privacy-Shield (zertifizierte Firmen finden sich auf der Privacy-Shield Liste) oder durch ein Datenschutz-Zertifikat nach DSGVO, das Firmen künftig erwerben können.

Mythos 12: Jedes Unternehmen muss einen Datenschutzbeauftragten haben.

Falsch. Einen Datenschutzbeauftragten muss ein Unternehmen nur bestellen, wenn mindestens zehn Mitarbeiter als Kerntätigkeit persönliche Daten verarbeiten. Allerdings zählt hierbei jeder Mitarbeiter mit – auch wenn er nur einmal pro Woche personenbezogene Daten bearbeitet oder in Teilzeit angestellt ist.

Unabhängig von der Mitarbeiterzahl braucht ein Unternehmen auch dann einen Datenschutzbeauftragten, wenn es besonders sensible Daten verarbeitet, für die eine Datenschutz-Folgeabschätzung notwendig ist. Besonders sensibel sind beispielsweise Angaben über die sexuelle Orientierung, die religiöse Überzeugung oder alles, was die Gesundheit betrifft. Und auch für Unternehmen, die personenbezogene Daten an Dritte übermitteln – wie beim klassischen Adresshandel – oder die Daten zu Markt- und Meinungsforschungszwecken verarbeiten, ist ein Datenschutzbeauftragter Pflicht.

Allerdings muss man einen Datenschutzbeauftragten nicht in Vollzeit beschäftigen, es kann sich dabei auch um einen externen Dienstleister handeln.

Mythos 13: Die DSGVO verbietet es, personenbezogene Daten in einer Cloud zu speichern.

Falsch. Personenbezogene Daten dürfen weiterhin in einer Cloud gespeichert werden – allerdings muss man mit dem Cloud-Betreiber einen Vertrag zur Auftragsverarbeitung schließen und für den gelten strengere Vorgaben als bisher. Der Cloud-Anbieter muss hinreichende Garantien dafür bieten, dass er geeignete technische und organisatorische Maßnahmen getroffen hat, die sicherstellen, dass die Datenverarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und dass die Rechte der Betroffenen gewahrt werden.

Mythos 14: Werbung ist ohne Einwilligung nicht gestattet.

Falsch. Briefwerbung ist für Unternehmen grundsätzlich ohne Einwilligung erlaubt – auch nach der DSGVO. Ob E-Mail-Werbung zulässig ist, hängt von den Vorgaben eines anderen Gesetzes ab: vom Gesetz gegen den unlauteren Wettbewerb. E-Mail-Werbung kann bei Bestandskunden auch ohne Einwilligung erlaubt sein – allerdings muss man sie auf ihr Recht zum Widerspruch gegen eine werbliche Nutzung ihrer Kontaktdaten hinweisen, wenn man ihre E-Mail-Adresse abfragt.

Wer neuen Kunden E-Mail-Werbung schicken will, der braucht eine vorherige Einwilligung.  Auch für Telefonwerbung ist bei Verbrauchern eine vorherige Einwilligung erforderlich. Telefonwerbung bei Geschäftskunden kann je nach Einzelfall auf eine „mutmaßliche“ Einwilligung gestützt werden.

Mythos Nr. 15: Für jeden Verstoß gegen die DSGVO werden 20 Millionen Euro Strafe oder vier Prozent des Jahresumsatzes fällig.

Falsch. Die Aufsichtsbehörden haben Spielraum und haben bereits angekündigt, hier mit Augenmaß zu entscheiden. Der Maximalrahmen bei den Strafen wird nur in wirklich krassen Fällen ausgeschöpft. Schon nach dem alten Bundesdatenschutzgesetz konnten die Datenschutzbehörden Strafen von bis zu 300.000 Euro aussprechen – theoretisch. Selbst gegen große Unternehmen betrugen die Bußgelder bisher aber meist nicht mehr als 5000 oder 6000 Euro.

In vielen Fällen dürfte es bei einer Rüge bleiben oder das Unternehmen bekommt eine Anweisung, das Problem zu beheben. Die Höchststrafe dient vor allem zur Abschreckung großer Konzerne wie Facebook.

25 unternehmerische Ideen für Ihren Erfolg

Melden Sie sich für unseren kostenlosen Newsletter für Unternehmer an und Sie bekommen von uns das E-Book „25 Ideen, mit denen Sie Ihr Unternehmen besser machen können“ als Begrüßungsgeschenk. Jetzt E-Book sichern! Unternehmer-Newsletter
7 Kommentare
  • Hamid Omari 19. Februar 2019 16:35

    Mythos 7: Handwerksbetriebe, die für eine Hausverwaltung arbeiten oder als Subunternehmer tätig sind, müssen einen Auftragsverarbeitungsvertrag unterschreiben. Falsch!

    Das ist so nicht ganz richtig.

    Der Kundenname + Adresse somit p.b.D. iSd Art.2 sind wesentlicher Vertragsgegenstand ist, essentialia negotii: die Namen der Vertragsparteien (Verantwortlicher der Hausverwaltung+Verantwortlicher Handwerker), die DL und der Preis. Sie sagen ja selber, dass der Handwerker die Daten benötigt um seinen Auftrag zu erledigen, folglich ist es zwingender Vertragsbestandteil mit der Hausverwaltung und dem Handwerker. Vielleicht nicht aus dem Hauptvertrag heraus, wohl aber aus dem Vertrag aus dem die Dienstleistung hervorgeht – möge diese auch nur konkludent telefonisch erfolgt sein. Der Handwerker muss seine getätigte Arbeit auch protokollieren, diese auch ggf. vom Kunden unterzeichnen lassen. Dieses Dokument landet beim Chef auf dem Schreibtisch und wird sicher bspw. in einem Ordner „Vorort Besuch Hausverwaltung XY“ abgelegt. Es ist hier noch zu erwähnen, dass vom Handwerker die Daten nach Art. 14 DSGVO nicht direkt beim Kunden erhoben wurden, sondern diese vom Hausverwalter kamen – dennoch werden Daten vom Handwerker genutzt und gespeichert, was wiederum heißt dass eine klassische Verarbeitung gem. Art. 4 Nr. 2 DSGVO statt findet. Weiterhin erstellt der Handwerker eine Rechnung in dem auch der Name des Kunden auftauchen kann. Diese wiederum kommt zurück zum Auftraggeber. Auch dieser legt das in seinem Ordner „Handwerker XY“ ab. Daher ist m.E. eine AVV mit dem Handwerker zwingend notwendig.

    • Dorothée Schmid
      Dorothée Schmid 20. Februar 2019 09:14

      Hallo Herr Omari,

      sind Sie Rechtsanwalt und spezialisiert auf Datenschutz? Unser Artikel wurde von einem auf Datenschutzrecht spezialisierten Rechtsanwalt überprüft und er teilt unsere Auffassung.
      Herzliche Grüße aus der impulse-Redaktion,
      Dorothée Schmid

  • Sabine 8. Februar 2019 10:48

    Sehr geehrte Frau Schmid,

    eine Frage zu 12:
    Gibt es bereits Urteile oder rechtskräftige Aussagen dazu, welche Mitarbeiter zu denen gehören, die „Kerntätigkeiten mit persönlichen Daten“ verarbeiten? Wir sind ein Handwerksbetrieb mit 20 Mitarbeitern, von denen 6 im Büro mit Zugang zu personenbezogenen Daten (am Rechner) arbeiten. Die Anderen im Kundendienst oder auf der Baustelle, die morgens lediglich die Adress- und Baustellendaten der Kunden erhalten.
    Zählen diese dazu oder nicht?

    • Dorothée Schmid
      Dorothée Schmid 8. Februar 2019 11:37

      Hallo Sabine,

      leider können und dürfen wir keine Rechtsberatung in Einzelfällen geben. Ich würde Ihnen raten, sich an den Datenschutzbeauftragten in Ihrem Bundesland zu wenden, der kann bei der Klärung der Frage sicher weiterhelfen.
      Herzliche Grüße aus der impulse-Redaktion
      Dorothée Schmid

    • Hamid Omari 19. Februar 2019 16:47

      Nach § 38 BDSG iVm. Art. 37 DSGVO müssen die Unternehmen einen DSB bestellen/ ernennen, wenn mind. 10 Personen sich mit der automatisierten Verfahren arbeiten.

  • Pascal 6. Februar 2019 12:32

    Hallo,

    eine Nachfrage zu 8.
    Der sachliche Anwendungsbereich der DSGVO ist gem. Art. 2 Abs. 1 folgender:

    „Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“

    Damit gilt sie ausdrücklich auch für die nichtautomatisierte Verarbeitung. Daneben ist ein Klingelschild eine geordnete Sammlung von Namen (die sind nämlich den Wohnungsklingeln zugeordnet). Ein Dateisystem ist nun laut Art. 4 Abs. 6 DSGVO:

    „„Dateisystem“ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;“

    Das trifft m. E. auf ein Klingelschild ebenfalls zu – in dem die Namen ja nun gespeichert werden. Die Struktur ist nach den Wohnungen geordnet (also wohl funktional oder geographisch).

    Die Frage nun also: Wie lässt sich das mit der Aussage der Datenschutzbeauftragten vereinbaren?

Hinterlassen Sie einen Kommentar

(Die Redaktion schaltet Kommentare montags bis freitags von 10 bis 18 Uhr frei. Die Angabe von Name und E-Mail-Adresse ist freiwillig. IP-Adressen werden nicht gespeichert. Mit der Abgabe eines Kommentars stimmen Sie unseren Datenschutzbestimmungen zu.)