| Blog für Unternehmer
logo_Smarter_mittelstand_dunkel
Nutzen Sie das Potenzial der Digitalisierung für Ihr Unternehmen bestmöglich aus, um langfristig wettbewerbsfähig zu bleiben. Wir helfen Ihnen dabei: mit digitalen Trendthemen, praktischen Problemlösungen und innovativen Ansätzen - wöchentlich auf dieser Seite sowie auf unseren diesjährigen Digitalisierungskonferenzen smarter mittelstand.

DSGVO Mythen 9 Mythen rund um die Datenschutz-Grundverordnung

  • Serie
Die Verunsicherung rund um die DSGVO ist groß. Und im Internet kursieren zahlreiche Mythen, die schlicht falsch sind.

Die Verunsicherung rund um die DSGVO ist groß. Und im Internet kursieren zahlreiche Mythen, die schlicht falsch sind. © knallgrün / photocase.de

Wahrheit oder Mythos? Vieles, was zur neuen Datenschutz-Grundverordnung (DSGVO) durchs Internet geistert, sind Halbwahrheiten. Hier die Fakten zu neun verbreiteten Mythen.

Die Verunsicherung, welche Änderungen die Datenschutz-Grundverordnung (DSGVO) mit sich bringt, ist groß. Und im Internet wird sie noch weiter befeuert. In Blogs und Foren verbreiten sich Gerüchte und Halbwahrheiten, von der Angst profitieren Anwälte, Berater und selbsternannte Datenschutz-Experten, die kostenpflichtige E-Books oder Seminare verkaufen. Wir klären neun Mythen rund um die DSGVO auf.

Mythos Nr. 1: Der 25. Mai 2018 ist noch nicht relevant, weil dann erst die einzelnen Landesgesetze verhandelt werden

Falsch. In der Vergangenheit wurden zwar häufig in Brüssel Empfehlungen oder Richtlinien verabschiedet, die von den Mitgliedsstaaten erst in Landesgesetze umgesetzt werden mussten. Bei der Datenschutz-Grundverordnung ist das allerdings anders. Es handelt sich um eine Verordnung, die bereits seit zwei Jahren in Kraft ist. Am 25. Mai 2018 endete die zweijährige Übergangszeit und damit gilt die DSGVO ab diesem Datum direkt und unmittelbar.

Anzeige

Mythos Nr. 2: Für jeden Verstoß gegen die DSGVO müssen 20 Millionen Euro oder vier Prozent des Jahresumsatzes Strafe bezahlt werden

Falsch. Die Aufsichtsbehörden haben Spielraum und haben bereits angekündigt, hier mit Augenmaß zu entscheiden. Der Maximalrahmen bei den Strafen wird nur in wirklich krassen Fällen ausgeschöpft. Schon nach dem alten Bundesdatenschutzgesetz konnten die Datenschutzbehörden Strafen von bis zu 300.000 Euro aussprechen – theoretisch. Selbst gegen große Unternehmen betrugen die Bußgelder bisher aber meist nicht mehr als 5000 oder 6000 Euro. In vielen Fällen dürfte es bei einer Rüge bleiben oder man bekommt eine Anweisung, das Problem zu beheben. Die Höchststrafe dient vor allem zur Abschreckung großer Konzerne wie Facebook.

Mythos Nr. 3: Jeder muss jetzt einen Datenschutzbeauftragten haben

Falsch. Einen Datenschutzbeauftragten muss ein Unternehmen nur bestellen, wenn mindestens zehn Mitarbeiter als Kerntätigkeit persönliche Daten verarbeiten. Allerdings zählt hierbei jeder Mitarbeiter mit – auch wenn er nur einmal pro Woche personenbezogene Daten bearbeitet oder in Teilzeit angestellt ist.

Unabhängig von der Mitarbeiterzahl braucht ein Unternehmen auch dann einen Datenschutzbeauftragten, wenn besonders sensible Daten verarbeitet werden, für die eine Datenschutz-Folgeabschätzung notwendig ist. Besonders sensibel sind beispielsweise Angaben über die sexuelle Orientierung, die religiöse Überzeugung oder alles, was die Gesundheit betrifft. Und auch für Unternehmen, die personenbezogene Daten an Dritte übermitteln – wie beim klassischen Adresshandel – oder sie zu Markt- und Meinungsforschungszwecken verarbeiten, ist ein Datenschutzbeauftragter Pflicht. Allerdings muss man einen Datenschutzbeauftragten nicht in Vollzeit beschäftigen, es kann sich dabei auch um einen externen Dienstleister handeln.

Mythos Nr. 4: Jede Datenerfassung bedarf einer Einwilligung

Falsch. Eine Einwilligung braucht man nur dann, wenn die Datenverarbeitung nicht durch Gesetze erlaubt ist oder man kein berechtigtes Interesse an der Verarbeitung personenbezogener Daten nachweisen kann. Und ein berechtigtes Interesse kann vieles sein: Wenn die Daten zur Erfüllung eines Vertrages oder zur Vertragsanbahnung notwendig sind, wenn sie benötigt werden, um eine Website wirtschaftlich zu betreiben und sogar wenn sie dazu dienen, Direktmarketing  zu ermöglichen.

Wer beispielsweise auf einer Messe eine Visitenkarte bekommt mit der Bitte, ein Angebot zu senden, der benötigt für den Versand eines solchen keine schriftliche Einwilligungserklärung. Und auch für Kontaktformulare auf Websites benötigt man keine Einwilligungserklärung – sie dienen in der Regel nämlich der Vertragsanbahnung.

Mythos Nr. 5: Die DSGVO verbietet die Datenübermittlung in die USA

Falsch. Was die Auftragsverarbeitung betrifft, erlaubt die DSGVO nun sogar, dass diese auch außerhalb der EU stattfinden darf. Das war zuvor nicht der Fall. Zudem stellt die DSGVO verschiedene Anforderungen an eine Datenübermittlung ins Nicht-EU-Ausland wie die USA. Dabei geht es um die Garantie, dass das Datenschutzniveau dort dem der Europäischen Union entspricht. Um das nachzuweisen, gibt es verschiedene Möglichkeiten: eine Zertifizierung unter dem EU-US-Privacy-Shield (zertifizierte Firmen finden sich auf der Privacy-Shield Liste) oder ein Datenschutz-Zertifikat nach DSGVO, das Firmen künftig erwerben können. Von einem Verbot kann also keine Rede sein.

Mythos Nr. 6: Unternehmen dürfen nur noch per verschlüsselter E-Mail kommunizieren

Falsch. Die DSGVO sieht keinen Zwang zur Verschlüsselung vor, auch wenn diese sicher in vielen Fällen sinnvoll ist. Ob der Versender eine E-Mail verschlüsseln muss, hängt vom Schutzbedarf der übertragenen Daten ab. Nur wenn es um Daten geht, die nach Artikel 9 Absatz 1 der DSGVO einen sehr hohen Schutzbedarf haben, ist eine Verschlüsselung notwendig. Dies sind beispielsweise Gesundheitsdaten, Daten zur sexuellen Orientierung oder biometrische Daten.

Mythos Nr. 7: Wer Menschen fotografiert, muss immer eine schriftliche Genehmigung von allen einholen

Falsch. Digital erstellte Foto- und Videoaufnahmen zählen zwar tatsächlich als Verarbeitung von personenbezogenen Daten und die derzeitige Rechtslage ist unsicher. Experten sind allerdings der Meinung, dass wer das Kunsturhebergesetz und die recht strenge Rechtsprechung beachtet, in der Regel davon ausgehen kann, dass damit auch die Vorgaben der DSGVO erfüllt werden. Politiker, Juristen und Datenschützer sind sich einig: Wichtige Grundrechte wie Kunst- und Pressefreiheit sollen durch die Datenschutz-Grundverordnung nicht ausgehebelt werden.

Mythos Nr. 8: Alle alten Adresslisten müssen gelöscht werden

Falsch. Wer bisher personenbezogene Daten erfasst hat und sich dabei an die Rechtslage gehalten hat und auch nachweisen kann, dass er eine Einwilligung zur Verarbeitung der Daten hat, der kann alte Adressen weiter nutzen.

Mythos Nr. 9: Die DSGVO verbietet es, personenbezogene Daten in einer Cloud zu speichern

Falsch. Personenbezogene Daten dürfen weiterhin in einer Cloud gespeichert werden – allerdings muss man mit dem Cloud-Betreiber einen Vertrag zur Auftragsverarbeitung schließen und für den gelten strengere Vorgaben als bisher. Der Cloud-Anbieter muss hinreichende Garantien dafür bieten, dass er geeignete technische und organisatorische Maßnahmen getroffen hat, die sicherstellen, dass die Datenverarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und dass die Rechte der Betroffenen gewährleistet werden.

Der Newsletter für Unternehmer

Sie wollen mit Ihrem Business durchstarten? Dann abonnieren Sie unseren Newsletter mit genialen Tipps, Denkanstößen und erprobten Strategien, die Unternehmer und Selbstständige nach vorn bringen.

Unsere Themen:
Mitarbeiterführung ✩ Produktivität ✩ Recht + Steuern
Kundengewinnung ✩ Selbstmanagement ✩ Motivation

Jeden Morgen in Ihrem Postfach – jetzt kostenlos anmelden! Unternehmer-Newsletter
Hinterlassen Sie einen Kommentar

(Die Redaktion schaltet Kommentare montags bis freitags von 10 bis 18 Uhr frei. Die Angabe von Name und E-Mail-Adresse ist freiwillig. IP-Adressen werden nicht gespeichert. Mit der Abgabe eines Kommentars stimmen Sie unseren Datenschutzbestimmungen zu.)