7 DSGVO Mythen - 7 Mythen der Datenschutz Grundverordnung (DSGVO)

Mythen rund um die DSGVO

Es halten sich viele Mythen rund um die DSGVO und gerade bei kleinen Unternehmen macht sich zunehmend Angst breit, welche Konsequenzen die Datenschutz Grundverordnung für sie haben kann. Es kursieren Gerüchte über hohe Strafandrohungen, wenn man die Verordnung nicht bis zum 25. Mai 2018 umgesetzt hat und über Abmahnanwälte die sich im Internet auf die Suche nach „nicht konformen Unternehmen machen“. In Summe herrscht große Verunsicherung, wie man mit Daten in Zukunft umgehen muss.

Dabei ist die DSGVO nicht etwas komplett Neues, vielmehr löst sie das bisherige Bundesdatenschutzgesetz (BDSG alte Fassung) ab. Zeitgleich zur DSGVO tritt das BDSG in neuer Fassung in Kraft, dass die EU Datenschutz Verarbeitung für deutsche Unternehmen und Privatpersonen modifiziert und konkretisiert.

Die DSGVO erweitert also bereits bekannte Pflichten für Unternehmen und erhöht die rechtlichen und organisatorischen Anforderungen an den Datenschutz im Unternehmen. Die Rechte der Betroffenen werden durch neue Transparenz- und Informationspflichten der Unternehmen gestärkt. Weiterhin haben Nutzer einen Anspruch auf Löschung ihrer personenbezogenen Daten, im Volksmund auch das „Recht auf Vergessenwerden“ genannt.

Wir haben uns 7 DSGVO-Mythen genauer angesehen und geben dazu nähere Informationen:

DSGVO Mythos 1: Als Klein-Unternehmer bin ich von der DSGVO nicht betroffen

Die DSGVO betrifft alle Unternehmen, die mit Daten von EU Bürgern zu tun haben. Große Unternehmen genauso wie kleinere Unternehmen, Startups oder Blogger. Auch außereuropäische Unternehmen müssen die neue Datenschutzbestimmung befolgen, wenn es um Daten von EU-Bürgern geht. Ausgenommen sind Privatpersonen, wenn diese Daten für persönliche oder familiäre Zwecke verwenden.

Was Unternehmer genau für die DSGVO tun müssen und welche Änderungen für ihre Webseite gelten, haben wir in 2 Artikeln (Checkliste Online-Auftritt und Wichtigste Punkte der DSGVO) übersichtlich dargestellt.

Geltungsbereich DSGVO - 7 Mythen der Datenschutz Grundverordnung (DSGVO)

DSGVO Mythos 2: Es drohen Riesenstrafen in Höhe von bis zu 20 Mio€

Es stimmt, dass die Datenschutz-Grundverordnung bei einem Verstoß gegen den Datenschutz Bußgelder bis zu 20 Millionen Euro oder aber bis 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens vorsieht. Jedoch muss immer der Angemessenheitsgrundsatz zugrunde liegen. Auch derzeit liegen die Strafen beim Verstoß gegen das in Deutschland gültige Bundesdatenschutzgesetz bei einem Bußgeld bis zu 300.000 Euro.

DSGVO Mythos 3: Unternehmen mit weniger als 250 Mitarbeitern brauchen kein Verfahrensverzeichnis

Dieses Missverständnis kann schnell entstehen, räumt doch die DSGVO Artikel 30, Absatz 5, kleinen und mittleren Unternehmen Ausnahmen bei der Dokumentationspflicht ein. Allerdings nur, wenn sie die personenbezogenen Daten „NICHT nur gelegentlich verarbeiten“. Das ist bei den wenigsten Unternehmen, Start Ups oder Bloggern der Fall. Schon allein die Verwendung von google analytics führt zu einer durchgängigen Nutzung von Userdaten.

Somit sind fast alle Unternehmen verpflichtet, ein Verfahrensverzeichnis zu führen. Positiv daran: das Verfahrensverzeichnis ist in Zeiten der DSGVO mit strengen Datenschutzanforderungen eine gute Übersicht:

  • welche Datenflüsse es im Unternehmen gibt
  • was im Falle einer Verletzung des Schutzes personenbezogener Daten zu tun ist
  • welche Daten betroffen sind.

DSGVO Mythos 4: Jedes Unternehmen (Blogger) muss einen Datenschutzbeauftragten haben

Das stimmt so nicht, es gibt viele Unternehmen, die keinen eigenen Datenschutzbeauftragten brauchen. Artikel 37 der DSGVO listet genaue Vorgaben auf, wann ein Datenschutzbeauftragter einzusetzen ist. Dies gilt z.B. wenn

  • die Datenverarbeitung eine umfangreiche und systematische Überwachung von Personen nötig macht (z.B. bei Banken & Versicherungen) oder besonders sensible Daten (z.B. Gesundheitsdaten) verarbeitet werden.
  • sich mehr als zehn Mitarbeiter mit der Datenverarbeitung beschäftigen.

Kleinunternehmen und Blogs brauchen somit in der Regel keinen spezifischen Datenschutzbeauftragten. Falls ein externer Datenschutzbeauftragter nötig wird, muss dies kein interner Mitarbeiter sein, sondern es kann auf einen externen Berater zurückgegriffen werden, wenn dieser entsprechend qualifiziert ist.

Vorraussetzungen Datenschutzbeauftragter - 7 Mythen der Datenschutz Grundverordnung (DSGVO)

DSGVO Mythos 5: Alle Daten inkl. Mails müssen verschlüsselt sein!

Die Verschlüsselung von Daten ist eine wichtige Maßnahme zur Datensicherheit. Allerdings schreibt die DSGVO keine spezifischen Maßnahmen, wie Mail-Verschlüsselung, etc. vor. Artikel 32 DSGVO sagt vielmehr, dass Unternehmen unter Berücksichtigung

  • des Stands der Technik
  • der Implementierungskosten
  • der Art, des Umfangs, der Umstände und der Zwecke der Datenverarbeitung
  • der Eintrittswahrscheinlichkeit
  • der Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen

entscheiden müssen, welche angemessenen technischen und organisatorischen Maßnahmen sie ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Ob eMails und Daten verschlüsselt werden müssen, hängt also von den o.g. Faktoren ab.

Verschlüsselung ist kein Automatismus, sondern eine wichtige Maßnahmen bei entsprechendem Bedarf an Schutz für die Vertraulichkeit der Daten. Schon jetzt werden häufig Mails mit besonders schützenswerten Daten (z.B. Gesundheitsdaten) verschlüsselt und das wird auch in Zukunft so bleiben.

DSGVO Mythos 6: Die DSGVO kommt total überraschend

Bereits im Frühjahr 2016 hat das europäische Parlament die Verabschiedung der Datenschutz-Grundverordnung (DSGVO) beschlossen. Diese wird nun nach einer Übergangsfrist von zwei Jahren am 25. Mai 2018 gültig. Unternehmen hatten also ausreichend Zeit, sich mit den Bestimmungen der DSGVO vertraut zu machen und Maßnahmen zu ergreifen.

DSGVO Mythos 7: Daten in der Cloud zu speichern ist DSGVO-konform

Viele Cloud-Anbieter verweisen zwar auf ihre Konformität mit der DSGVO, wer aber Cloud-Services nutzt, braucht hinreichende Garantien des Anbieters. Der Cloud-Anbieter muss sicherstellen, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Datenverarbeitung und –speicherung im Einklang mit der DSGVO erfolgen und den Schutz der Rechte der betroffenen Person gewährleistet. Wenn entsprechende Maßnahmen ergriffen wurden, ist gegen die Verwendung einer Datencloud nichts einzusetzen.

Wichtiges zum Schluss

Dieser Artikel stellt keine Rechtsberatung dar und kann auch keine Rechtsberatung ersetzen. Die im Rahmen dieses Artikels zur Verfügung gestellten Informationen wurden bestmöglich recherchiert werden und werden nach Möglichkeit aktuell gehalten. Es wird keine Gewähr für die Richtigkeit, Vollständigkeit oder Aktualität der bereitgestellten Informationen übernommen.

Hier geht’s zur praktischen Online-Checkliste für den DSGVO-konformen Webauftritt von Unternehmen.

Hier geht’s zu den Gesetzestexten der DSGVO.