DSGVO-Mythen
15 Irrtümer, mit denen Sie sich das Leben unnötig schwer machen

„Aufgrund der DSGVO geht das nicht/darf ich das nicht/muss ich das ...“ Das hört man häufig, seit die Datenschutz-Grundverordnung in Kraft getreten ist. Aber oft stimmt es nicht. 15 verbreitete Mythen.

, von

Die Verunsicherung rund um die DSGVO ist groß.  Nicht nur im Internet kursieren zahlreiche Irrtümer.
Die Verunsicherung rund um die DSGVO ist groß. Nicht nur im Internet kursieren zahlreiche Irrtümer.

Die EU-Datenschutz-Grundverordnung (DSGVO) gilt nun schon seit knapp neun Monaten, aber die Verunsicherung, was denn nun in Sachen Datenschutz gilt, ist in Unternehmen immer noch groß. Die Folge: Viele schießen mit ihrer Interpretation der Datenschutzverordnung übers Ziel hinaus. Wir haben falsche Annahmen über die DSGVO gesammelt und klären auf, was wirklich gilt.

Mythos 1: Jede Datenerfassung bedarf einer Einwilligung.

Falsch. Auch wenn seit Inkrafttreten der DSGVO ein Phänomen um sich greift, das Experten „Einwilligeritis“ nennen: Eine Einwilligung braucht man nur dann, wenn die Datenverarbeitung nicht ohnehin per Gesetz erlaubt ist. Das ist beispielsweise dann der Fall, wenn es ein berechtigtes Interesse an der Verarbeitung personenbezogener Daten gibt. Viele Einwilligungen sind schlicht überflüssig, denn ein berechtigtes Interesse kann vieles sein: der sichere Betrieb einer Website und sogar – in gewissen Grenzen – Direktmarketing. Eine Einwilligung braucht man auch dann nicht, wenn die Daten nötig sind, um einen Vertrag anzubahnen oder zu erfüllen.

Deshalb müssen etwa impulse-Abonnenten uns nicht um die Einwilligung bitten, unsere Firmendaten zu speichern – sie brauchen die Daten, damit sie ihr Abonnement bezahlen können. Wer auf einer Messe eine Visitenkarte bekommt mit der Bitte, ein Angebot zu erstellen, der darf das Angebot ebenfalls ohne schriftliche Einwilligungserklärung rausschicken. Und auch fürs Beantworten von Anfragen über Kontaktformulare auf Websites ist keine Einwilligungserklärung nötig – die Formulare dienen in der Regel der Vertragsanbahnung. Lesen Sie hier mehr zum Thema Cookie-Hinweis.

Mythos 2: Kunden und Patienten darf man öffentlich nicht mit Namen ansprechen.

Falsch. Es soll doch tatsächlich Metzger geben, die glauben, sie dürften ihre Stammgäste nicht mehr mit ihrem Namen begrüßen. Doch egal ob Wirt, Kioskbesitzer oder Friseur: Keiner muss sich auf die Lippen beißen, denn das Gedächtnis ist schlicht und einfach kein Dateisystem im Sinne der DSGVO.

Wer die Namen seiner Kunden auswendig kennt, darf sie auch weiterhin in der Öffentlichkeit aussprechen. Auch Patienten dürfen weiterhin namentlich im Wartezimmer aufgerufen werden.

Mythos 3: Rechnungen müssen nach drei Monaten gelöscht werden.

Falsch. Man glaubt es kaum, aber als eine Buchhalterin bei einer großen Fluggesellschaft nachträglich eine Rechnung anfordern wollte für ein Flugticket, erhielt sie die Auskunft, wegen der DSGVO sei das nicht möglich: Die Rechnungen müssten nach drei Monaten gelöscht werden, weil sie personenbezogene Daten enthalten.

Das ist natürlich Quatsch: Das Steuerrecht sieht für steuerlich relevante Unterlagen – und dazu gehören selbstverständlich Rechnungen – eine Aufbewahrungsfrist von bis zu zehn Jahren vor. Wer Rechnungen nach drei Monaten vernichtet, der bekommt ganz bestimmt Ärger mit dem Finanzamt. Und die grundsätzliche Löschpflicht, die die DSGVO vorsieht, gilt nicht, wenn man personenbezogene Daten verarbeiten muss, um Verpflichtungen nach deutschem oder EU-Recht zu erfüllen. Das steht übrigens in Artikel 17 Abs. 3 lit. b) DSGVO.

Mythos 4: E-Mails dürfen in Firmen nicht weitergeleitet werden.

Falsch. Ein Unternehmen wunderte sich, dass seine Rechnung an einen Dienstleister nicht bezahlt wurde. Auf Nachfrage erfuhr das Unternehmen, dass die Mail wegen der DSGVO nicht an die Buchhaltung weitergeleitet wurde – man hatte sie nicht direkt an die Buchhaltung des Dienstleisters geschickt, sondern an eine allgemeine E-Mail-Adresse. Die Buchhaltung hätte sonst die E-Mail-Adresse des Rechnungsversenders erfahren, argumentierte der Dienstleister.

Diese Argumentation ist schlicht absurd. Zur Vertragserfüllung erforderliche Daten weiterzugeben, ist immer zulässig – und zwar nicht nur unternehmensintern, sondern auch an Dritte, wie an eine Bank oder den Paketzusteller.

Mythos 5: Wer Menschen fotografiert, muss immer eine schriftliche Genehmigung von allen einholen.

Falsch. Digital erstellte Foto- und Videoaufnahmen sind für den Gesetzgeber zwar tatsächlich eine Verarbeitung von personenbezogenen Daten. Gerichte haben inzwischen aber bestätigt, dass das Kunsturhebergesetz neben der DSGVO weiterhin gilt. Das heißt, journalistische Fotos aus dem Bereich der Zeitgeschichte, Bilder von Versammlungen oder solche, auf denen Personen nur als sogenanntes Beiwerk erscheinen, darf man auch weiterhin ohne Einwilligung des Abgelichteten veröffentlichen.

Zudem können sich Fotografen auch auf Art. 6 Abs. 1 lit. f DSGVO stützen: Ihre Tätigkeit wird im Regelfall als Kunst eingestuft und sie können sich somit auf ein berechtigtes Interesse berufen. Lesen Sie hier, was Sie beachten müssen, wenn Sie auf Veranstaltungen fotografieren.

In eigener Sache
Machen ist wie wollen, nur krasser
Machen ist wie wollen, nur krasser
Die impulse-Mitgliedschaft - Rückenwind für Unternehmerinnen und Unternehmer

Mythos 6: Auf der Betriebsfeier darf man keine Fotos machen und veröffentlichen.

Falsch. Zwar gilt die DSGVO grundsätzlich, sobald Fotos im Büro, bei einem Betriebsausflug oder zum Beispiel bei der betrieblichen Weihnachtsfeier gemacht werden. Grundsätzlich ist es aber auch da kein Problem, Fotos zu machen und auch innerhalb des Unternehmens zu verbreiten, schließlich ist das gelebte Praxis und jeder Mitarbeiter muss damit rechnen, dass die Fotos auch für das Team einsehbar sind – zum Beispiel im Intranet.

Die Mitarbeiter sollten aber an geeigneter Stelle (zum Beispiel am Eingang) darüber informiert werden, dass Fotos gemacht werden, und die Fotos dürfen die Personen nicht in diskreditierenden Situationen zeigen. Das Foto vom Abteilungsleiter, wie er betrunken auf dem Tisch tanzt, ist also eher ein No-Go. Nur wenn die Fotos noch weiterverbreitet werden sollen – auf Twitter oder Facebook beispielsweise – müssen die Mitarbeiter um ihre Einwilligung gebeten werden.

Mehr zum Thema Mitarbeiterfotos: Mitarbeiterfotos und DSGVO: Das sollten Arbeitgeber beachten

Mythos 7: Handwerksbetriebe, die für eine Hausverwaltung arbeiten oder als Subunternehmer tätig sind, müssen einen Auftragsverarbeitungsvertrag unterschreiben.

Falsch. Wenn Handwerksbetriebe für eine Hausverwaltung oder als Subunternehmer für einen Generalunternehmer tätig werden, handelt es sich in aller Regel nicht um eine Auftragsverarbeitung. Darunter versteht man die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Dienstleister im Auftrag des Verantwortlichen. Zwar bekommen die Handwerksbetriebe in diesen Fällen Kundendaten. Aber anders als beispielsweise bei Anbietern von Cloudlösungen sind die Daten der Kunden nicht wesentlicher Gegenstand des Vertrags – sie sind lediglich nötig, um den handwerklichen Auftrag erfüllen zu können. Und deshalb ist ein Vertrag zur Auftragsverarbeitung unnötig.

Mythos 8: Klingelschilder mit Namen an Mietwohnungen verstoßen gegen die DSGVO.

Falsch. Vermieter dürfen die Namen ihrer Mieter auch ohne deren Einwilligung auf dem Klingelschild anbringen. Denn „das Ausstatten der Klingelschilder mit Namen für sich genommen stellt weder eine automatisierte Verarbeitung noch eine tatsächliche oder beabsichtigte Speicherung in Dateisystemen dar“, so die Begründung der Bundesdatenschutzbeauftragten Andrea Voßhoff. Daher kann man die DSGVO in diesem Fall nicht angewenden.

Mythos 9: Unternehmen dürfen nur noch per verschlüsselter E-Mail kommunizieren.

Falsch. Die DSGVO sieht keinen Zwang zur Verschlüsselung vor, auch wenn diese sicher in vielen Fällen sinnvoll ist. Ob der Versender eine E-Mail verschlüsseln muss, hängt von den übertragenen Daten ab: Nur wenn es um Daten geht, die nach Artikel 9 Absatz 1 der DSGVO einen sehr hohen Schutzbedarf haben, ist eine Verschlüsselung notwendig. Dies betrifft beispielsweise Gesundheitsdaten, Daten zur sexuellen Orientierung oder biometrische Daten. Wie man solche sensiblen Daten DSGVO-konform verschicken kann, lesen Sie in unserem Artikel zur E-Mail-Verschlüsselung.

Mythos 10: Alle alten Adresslisten müssen gelöscht werden.

Falsch. Wer bisher personenbezogene Daten erfasst hat und sich dabei an die Rechtslage gehalten hat und nachweisen kann, dass er eine Einwilligung zur Verarbeitung der Daten hat, der kann vorhandene Adressen weiter nutzen.

In eigener Sache
Heben Sie sich bereits von Ihrer Konkurrenz ab?
Online-Workshop für Unternehmer
Heben Sie sich bereits von Ihrer Konkurrenz ab?
Im Online Workshop "Zukunft sichern: So entwickeln Sie Ihr Geschäftsmodell weiter" gehen Sie dieses Ziel an.

Mythos 11: Die DSGVO verbietet die Datenübermittlung in die USA.

Falsch. Was die Auftragsverarbeitung, also das Verarbeiten personenbezogener Daten durch Dienstleister, betrifft, erlaubt die DSGVO nun sogar, dass diese auch außerhalb der EU stattfinden darf. Das war zuvor nicht der Fall.

Die DSGVO knüpft eine Datenübermittlung ins Nicht-EU-Ausland wie die USA allerdings an verschiedene Anforderungen. Dabei geht es darum, dass der Dienstleister, beispielsweise ein amerikanischer Cloud-Service, garantiert, dass das Datenschutzniveau dort dem der Europäischen Union entspricht. Nachweisen lässt sich das etwa durch eine Zertifizierung unter dem EU-US-Privacy-Shield (zertifizierte Firmen finden sich auf der Privacy-Shield Liste) oder durch ein Datenschutz-Zertifikat nach DSGVO, das Firmen künftig erwerben können.

Mythos 12: Jedes Unternehmen muss einen Datenschutzbeauftragten haben.

Falsch. Einen Datenschutzbeauftragten muss ein Unternehmen nur bestellen, wenn mindestens zehn Mitarbeiter als Kerntätigkeit persönliche Daten verarbeiten. Allerdings zählt hierbei jeder Mitarbeiter mit – auch wenn er nur einmal pro Woche personenbezogene Daten bearbeitet oder in Teilzeit angestellt ist.

Unabhängig von der Mitarbeiterzahl braucht ein Unternehmen auch dann einen Datenschutzbeauftragten, wenn es besonders sensible Daten verarbeitet, für die eine Datenschutz-Folgeabschätzung notwendig ist. Besonders sensibel sind beispielsweise Angaben über die sexuelle Orientierung, die religiöse Überzeugung oder alles, was die Gesundheit betrifft. Und auch für Unternehmen, die personenbezogene Daten an Dritte übermitteln – wie beim klassischen Adresshandel – oder die Daten zu Markt- und Meinungsforschungszwecken verarbeiten, ist ein Datenschutzbeauftragter Pflicht.

Allerdings muss man einen Datenschutzbeauftragten nicht in Vollzeit beschäftigen, es kann sich dabei auch um einen externen Dienstleister handeln.

Mythos 13: Die DSGVO verbietet es, personenbezogene Daten in einer Cloud zu speichern.

Falsch. Personenbezogene Daten dürfen weiterhin in einer Cloud gespeichert werden – allerdings muss man mit dem Cloud-Betreiber einen Vertrag zur Auftragsverarbeitung schließen und für den gelten strengere Vorgaben als bisher. Der Cloud-Anbieter muss hinreichende Garantien dafür bieten, dass er geeignete technische und organisatorische Maßnahmen getroffen hat, die sicherstellen, dass die Datenverarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und dass die Rechte der Betroffenen gewahrt werden.

Mythos 14: Werbung ist ohne Einwilligung nicht gestattet.

Falsch. Briefwerbung ist für Unternehmen grundsätzlich ohne Einwilligung erlaubt – auch nach der DSGVO. Ob E-Mail-Werbung zulässig ist, hängt von den Vorgaben eines anderen Gesetzes ab: vom Gesetz gegen den unlauteren Wettbewerb. E-Mail-Werbung kann bei Bestandskunden auch ohne Einwilligung erlaubt sein – allerdings muss man sie auf ihr Recht zum Widerspruch gegen eine werbliche Nutzung ihrer Kontaktdaten hinweisen, wenn man ihre E-Mail-Adresse abfragt.

Wer neuen Kunden E-Mail-Werbung schicken will, der braucht eine vorherige Einwilligung.  Auch für Telefonwerbung ist bei Verbrauchern eine vorherige Einwilligung erforderlich. Telefonwerbung bei Geschäftskunden kann je nach Einzelfall auf eine „mutmaßliche“ Einwilligung gestützt werden.

Mythos Nr. 15: Für jeden Verstoß gegen die DSGVO werden 20 Millionen Euro Strafe oder vier Prozent des Jahresumsatzes fällig.

Falsch. Die Aufsichtsbehörden haben Spielraum und haben bereits angekündigt, hier mit Augenmaß zu entscheiden. Der Maximalrahmen bei den Strafen wird nur in wirklich krassen Fällen ausgeschöpft. Schon nach dem alten Bundesdatenschutzgesetz konnten die Datenschutzbehörden Strafen von bis zu 300.000 Euro aussprechen – theoretisch. Selbst gegen große Unternehmen betrugen die Bußgelder bisher aber meist nicht mehr als 5000 oder 6000 Euro.

In vielen Fällen dürfte es bei einer Rüge bleiben oder das Unternehmen bekommt eine Anweisung, das Problem zu beheben. Die Höchststrafe dient vor allem zur Abschreckung großer Konzerne wie Facebook.

In eigener Sache
Heben Sie sich bereits von Ihrer Konkurrenz ab?
Online-Workshop für Unternehmer
Heben Sie sich bereits von Ihrer Konkurrenz ab?
Im Online Workshop "Zukunft sichern: So entwickeln Sie Ihr Geschäftsmodell weiter" gehen Sie dieses Ziel an.
Die EU-Datenschutz-Grundverordnung (DSGVO) gilt nun schon seit knapp neun Monaten, aber die Verunsicherung, was denn nun in Sachen Datenschutz gilt, ist in Unternehmen immer noch groß. Die Folge: Viele schießen mit ihrer Interpretation der Datenschutzverordnung übers Ziel hinaus. Wir haben falsche Annahmen über die DSGVO gesammelt und klären auf, was wirklich gilt. Mythos 1: Jede Datenerfassung bedarf einer Einwilligung. Falsch. Auch wenn seit Inkrafttreten der DSGVO ein Phänomen um sich greift, das Experten "Einwilligeritis" nennen: Eine Einwilligung braucht man nur dann, wenn die Datenverarbeitung nicht ohnehin per Gesetz erlaubt ist. Das ist beispielsweise dann der Fall, wenn es ein berechtigtes Interesse an der Verarbeitung personenbezogener Daten gibt. Viele Einwilligungen sind schlicht überflüssig, denn ein berechtigtes Interesse kann vieles sein: der sichere Betrieb einer Website und sogar - in gewissen Grenzen - Direktmarketing. Eine Einwilligung braucht man auch dann nicht, wenn die Daten nötig sind, um einen Vertrag anzubahnen oder zu erfüllen. Deshalb müssen etwa impulse-Abonnenten uns nicht um die Einwilligung bitten, unsere Firmendaten zu speichern – sie brauchen die Daten, damit sie ihr Abonnement bezahlen können. Wer auf einer Messe eine Visitenkarte bekommt mit der Bitte, ein Angebot zu erstellen, der darf das Angebot ebenfalls ohne schriftliche Einwilligungserklärung rausschicken. Und auch fürs Beantworten von Anfragen über Kontaktformulare auf Websites ist keine Einwilligungserklärung nötig – die Formulare dienen in der Regel der Vertragsanbahnung. Lesen Sie hier mehr zum Thema Cookie-Hinweis. Mythos 2: Kunden und Patienten darf man öffentlich nicht mit Namen ansprechen. Falsch. Es soll doch tatsächlich Metzger geben, die glauben, sie dürften ihre Stammgäste nicht mehr mit ihrem Namen begrüßen. Doch egal ob Wirt, Kioskbesitzer oder Friseur: Keiner muss sich auf die Lippen beißen, denn das Gedächtnis ist schlicht und einfach kein Dateisystem im Sinne der DSGVO. Wer die Namen seiner Kunden auswendig kennt, darf sie auch weiterhin in der Öffentlichkeit aussprechen. Auch Patienten dürfen weiterhin namentlich im Wartezimmer aufgerufen werden. Mythos 3: Rechnungen müssen nach drei Monaten gelöscht werden. Falsch. Man glaubt es kaum, aber als eine Buchhalterin bei einer großen Fluggesellschaft nachträglich eine Rechnung anfordern wollte für ein Flugticket, erhielt sie die Auskunft, wegen der DSGVO sei das nicht möglich: Die Rechnungen müssten nach drei Monaten gelöscht werden, weil sie personenbezogene Daten enthalten. Das ist natürlich Quatsch: Das Steuerrecht sieht für steuerlich relevante Unterlagen – und dazu gehören selbstverständlich Rechnungen – eine Aufbewahrungsfrist von bis zu zehn Jahren vor. Wer Rechnungen nach drei Monaten vernichtet, der bekommt ganz bestimmt Ärger mit dem Finanzamt. Und die grundsätzliche Löschpflicht, die die DSGVO vorsieht, gilt nicht, wenn man personenbezogene Daten verarbeiten muss, um Verpflichtungen nach deutschem oder EU-Recht zu erfüllen. Das steht übrigens in Artikel 17 Abs. 3 lit. b) DSGVO. Mythos 4: E-Mails dürfen in Firmen nicht weitergeleitet werden. Falsch. Ein Unternehmen wunderte sich, dass seine Rechnung an einen Dienstleister nicht bezahlt wurde. Auf Nachfrage erfuhr das Unternehmen, dass die Mail wegen der DSGVO nicht an die Buchhaltung weitergeleitet wurde – man hatte sie nicht direkt an die Buchhaltung des Dienstleisters geschickt, sondern an eine allgemeine E-Mail-Adresse. Die Buchhaltung hätte sonst die E-Mail-Adresse des Rechnungsversenders erfahren, argumentierte der Dienstleister. Diese Argumentation ist schlicht absurd. Zur Vertragserfüllung erforderliche Daten weiterzugeben, ist immer zulässig – und zwar nicht nur unternehmensintern, sondern auch an Dritte, wie an eine Bank oder den Paketzusteller. Mythos 5: Wer Menschen fotografiert, muss immer eine schriftliche Genehmigung von allen einholen. Falsch. Digital erstellte Foto- und Videoaufnahmen sind für den Gesetzgeber zwar tatsächlich eine Verarbeitung von personenbezogenen Daten. Gerichte haben inzwischen aber bestätigt, dass das Kunsturhebergesetz neben der DSGVO weiterhin gilt. Das heißt, journalistische Fotos aus dem Bereich der Zeitgeschichte, Bilder von Versammlungen oder solche, auf denen Personen nur als sogenanntes Beiwerk erscheinen, darf man auch weiterhin ohne Einwilligung des Abgelichteten veröffentlichen. Zudem können sich Fotografen auch auf Art. 6 Abs. 1 lit. f DSGVO stützen: Ihre Tätigkeit wird im Regelfall als Kunst eingestuft und sie können sich somit auf ein berechtigtes Interesse berufen. Lesen Sie hier, was Sie beachten müssen, wenn Sie auf Veranstaltungen fotografieren. Mythos 6: Auf der Betriebsfeier darf man keine Fotos machen und veröffentlichen. Falsch. Zwar gilt die DSGVO grundsätzlich, sobald Fotos im Büro, bei einem Betriebsausflug oder zum Beispiel bei der betrieblichen Weihnachtsfeier gemacht werden. Grundsätzlich ist es aber auch da kein Problem, Fotos zu machen und auch innerhalb des Unternehmens zu verbreiten, schließlich ist das gelebte Praxis und jeder Mitarbeiter muss damit rechnen, dass die Fotos auch für das Team einsehbar sind – zum Beispiel im Intranet. Die Mitarbeiter sollten aber an geeigneter Stelle (zum Beispiel am Eingang) darüber informiert werden, dass Fotos gemacht werden, und die Fotos dürfen die Personen nicht in diskreditierenden Situationen zeigen. Das Foto vom Abteilungsleiter, wie er betrunken auf dem Tisch tanzt, ist also eher ein No-Go. Nur wenn die Fotos noch weiterverbreitet werden sollen – auf Twitter oder Facebook beispielsweise – müssen die Mitarbeiter um ihre Einwilligung gebeten werden. Mehr zum Thema Mitarbeiterfotos: Mitarbeiterfotos und DSGVO: Das sollten Arbeitgeber beachten Mythos 7: Handwerksbetriebe, die für eine Hausverwaltung arbeiten oder als Subunternehmer tätig sind, müssen einen Auftragsverarbeitungsvertrag unterschreiben. Falsch. Wenn Handwerksbetriebe für eine Hausverwaltung oder als Subunternehmer für einen Generalunternehmer tätig werden, handelt es sich in aller Regel nicht um eine Auftragsverarbeitung. Darunter versteht man die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Dienstleister im Auftrag des Verantwortlichen. Zwar bekommen die Handwerksbetriebe in diesen Fällen Kundendaten. Aber anders als beispielsweise bei Anbietern von Cloudlösungen sind die Daten der Kunden nicht wesentlicher Gegenstand des Vertrags - sie sind lediglich nötig, um den handwerklichen Auftrag erfüllen zu können. Und deshalb ist ein Vertrag zur Auftragsverarbeitung unnötig. Mythos 8: Klingelschilder mit Namen an Mietwohnungen verstoßen gegen die DSGVO. Falsch. Vermieter dürfen die Namen ihrer Mieter auch ohne deren Einwilligung auf dem Klingelschild anbringen. Denn „das Ausstatten der Klingelschilder mit Namen für sich genommen stellt weder eine automatisierte Verarbeitung noch eine tatsächliche oder beabsichtigte Speicherung in Dateisystemen dar“, so die Begründung der Bundesdatenschutzbeauftragten Andrea Voßhoff. Daher kann man die DSGVO in diesem Fall nicht angewenden. Mythos 9: Unternehmen dürfen nur noch per verschlüsselter E-Mail kommunizieren. Falsch. Die DSGVO sieht keinen Zwang zur Verschlüsselung vor, auch wenn diese sicher in vielen Fällen sinnvoll ist. Ob der Versender eine E-Mail verschlüsseln muss, hängt von den übertragenen Daten ab: Nur wenn es um Daten geht, die nach Artikel 9 Absatz 1 der DSGVO einen sehr hohen Schutzbedarf haben, ist eine Verschlüsselung notwendig. Dies betrifft beispielsweise Gesundheitsdaten, Daten zur sexuellen Orientierung oder biometrische Daten. Wie man solche sensiblen Daten DSGVO-konform verschicken kann, lesen Sie in unserem Artikel zur E-Mail-Verschlüsselung. Mythos 10: Alle alten Adresslisten müssen gelöscht werden. Falsch. Wer bisher personenbezogene Daten erfasst hat und sich dabei an die Rechtslage gehalten hat und nachweisen kann, dass er eine Einwilligung zur Verarbeitung der Daten hat, der kann vorhandene Adressen weiter nutzen. Mythos 11: Die DSGVO verbietet die Datenübermittlung in die USA. Falsch. Was die Auftragsverarbeitung, also das Verarbeiten personenbezogener Daten durch Dienstleister, betrifft, erlaubt die DSGVO nun sogar, dass diese auch außerhalb der EU stattfinden darf. Das war zuvor nicht der Fall. Die DSGVO knüpft eine Datenübermittlung ins Nicht-EU-Ausland wie die USA allerdings an verschiedene Anforderungen. Dabei geht es darum, dass der Dienstleister, beispielsweise ein amerikanischer Cloud-Service, garantiert, dass das Datenschutzniveau dort dem der Europäischen Union entspricht. Nachweisen lässt sich das etwa durch eine Zertifizierung unter dem EU-US-Privacy-Shield (zertifizierte Firmen finden sich auf der Privacy-Shield Liste) oder durch ein Datenschutz-Zertifikat nach DSGVO, das Firmen künftig erwerben können. Mythos 12: Jedes Unternehmen muss einen Datenschutzbeauftragten haben. Falsch. Einen Datenschutzbeauftragten muss ein Unternehmen nur bestellen, wenn mindestens zehn Mitarbeiter als Kerntätigkeit persönliche Daten verarbeiten. Allerdings zählt hierbei jeder Mitarbeiter mit – auch wenn er nur einmal pro Woche personenbezogene Daten bearbeitet oder in Teilzeit angestellt ist. Unabhängig von der Mitarbeiterzahl braucht ein Unternehmen auch dann einen Datenschutzbeauftragten, wenn es besonders sensible Daten verarbeitet, für die eine Datenschutz-Folgeabschätzung notwendig ist. Besonders sensibel sind beispielsweise Angaben über die sexuelle Orientierung, die religiöse Überzeugung oder alles, was die Gesundheit betrifft. Und auch für Unternehmen, die personenbezogene Daten an Dritte übermitteln – wie beim klassischen Adresshandel – oder die Daten zu Markt- und Meinungsforschungszwecken verarbeiten, ist ein Datenschutzbeauftragter Pflicht. Allerdings muss man einen Datenschutzbeauftragten nicht in Vollzeit beschäftigen, es kann sich dabei auch um einen externen Dienstleister handeln. Mythos 13: Die DSGVO verbietet es, personenbezogene Daten in einer Cloud zu speichern. Falsch. Personenbezogene Daten dürfen weiterhin in einer Cloud gespeichert werden – allerdings muss man mit dem Cloud-Betreiber einen Vertrag zur Auftragsverarbeitung schließen und für den gelten strengere Vorgaben als bisher. Der Cloud-Anbieter muss hinreichende Garantien dafür bieten, dass er geeignete technische und organisatorische Maßnahmen getroffen hat, die sicherstellen, dass die Datenverarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und dass die Rechte der Betroffenen gewahrt werden. Mythos 14: Werbung ist ohne Einwilligung nicht gestattet. Falsch. Briefwerbung ist für Unternehmen grundsätzlich ohne Einwilligung erlaubt – auch nach der DSGVO. Ob E-Mail-Werbung zulässig ist, hängt von den Vorgaben eines anderen Gesetzes ab: vom Gesetz gegen den unlauteren Wettbewerb. E-Mail-Werbung kann bei Bestandskunden auch ohne Einwilligung erlaubt sein – allerdings muss man sie auf ihr Recht zum Widerspruch gegen eine werbliche Nutzung ihrer Kontaktdaten hinweisen, wenn man ihre E-Mail-Adresse abfragt. Wer neuen Kunden E-Mail-Werbung schicken will, der braucht eine vorherige Einwilligung.  Auch für Telefonwerbung ist bei Verbrauchern eine vorherige Einwilligung erforderlich. Telefonwerbung bei Geschäftskunden kann je nach Einzelfall auf eine "mutmaßliche" Einwilligung gestützt werden. Mythos Nr. 15: Für jeden Verstoß gegen die DSGVO werden 20 Millionen Euro Strafe oder vier Prozent des Jahresumsatzes fällig. Falsch. Die Aufsichtsbehörden haben Spielraum und haben bereits angekündigt, hier mit Augenmaß zu entscheiden. Der Maximalrahmen bei den Strafen wird nur in wirklich krassen Fällen ausgeschöpft. Schon nach dem alten Bundesdatenschutzgesetz konnten die Datenschutzbehörden Strafen von bis zu 300.000 Euro aussprechen – theoretisch. Selbst gegen große Unternehmen betrugen die Bußgelder bisher aber meist nicht mehr als 5000 oder 6000 Euro. In vielen Fällen dürfte es bei einer Rüge bleiben oder das Unternehmen bekommt eine Anweisung, das Problem zu beheben. Die Höchststrafe dient vor allem zur Abschreckung großer Konzerne wie Facebook.