30.10.2018

Schluss mit den DSGVO-Mythen!

Seit dem 25.05.2018 gilt die DSGVO. Vor und nach diesem Zeitpunkt wurden viele Mythen über ihre Folgen verbreitet. Richtig ist, dass die DSGVO hohe Bußgelder vorsieht. Richtig ist auch, dass es im Vergleich zur vorher geltenden Rechtslage einige Unterschiede zu beachten gilt. Falsch ist aber, dass alle im Zusammenhang mit der DSGVO geäußerten Befürchtungen auch für jedes Unternehmen gelten. In diesem Beitrag wollen wir mit einigen DSGVO-Mythen aufräumen.

Bußgelder:

Verstöße gegen die DSGVO führen immer zu Bußgeldern von 20 Millionen Euro oder 4% des Jahresumsatzes

Das stimmt so nicht! Bei Verstößen gegen die DSGVO kann es je nach Art des Verstoßes auch zu Bußgeldern von bis zu 20 Millionen Euro oder 4% des Jahresumsatzes kommen. Allerdings berücksichtigt die DSGVO die Art des Verstoßes, Vorsatz oder Fahrlässigkeit und das Verhalten des Unternehmens nach Bekanntwerden des Verstoßes. In der Regel werden Bußgelder daher niedriger ausfallen als 20 Millionen Euro oder 4% des Jahresumsatzes. So führt Artikel 83 explizit die wirtschaftlichen Verhältnisse und Verhältnismäßigkeit bei der Verhängung von Bußgeldern als Kriterien an. Richtig ist aber, dass der Bußgeldrahmen im Vergleich zur vorherigen Rechtslage nach dem Bundesdatenschutzgesetz deutlich gestiegen ist.

Kostenfreie Expertise im E-Mail-Postfach

Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.

Was ist die Summe aus 9 und 4?

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

USA:

Die DSGVO verbietet Datenübertragungen in die USA

Die DSGVO verbietet grundsätzlich alle Datenübertragungen in nicht-sichere Drittländer, also solche Länder deren Datenschutzniveau unterhalb demjenigen der DSGVO liegt. Dazu gehören grundsätzlich auch die USA. Allerdings erlaubt die DSGVO unter anderem dann Datenübertragungen in solche Länder, wenn für sie ein Angemessenheitsbeschluss der Kommission besteht. Auf der Grundlage des sog. US-EU-Privacy-Shield, innerhalb dessen die USA den Schutz der Daten von EU Bürgern zusagten, kam ein solcher Beschluss der Kommission zustande. Damit erlaubt die DSGVO aktuell Datenübertragungen in die USA. Der Beschluss unterliegt einer mindestens einmal jährlich stattfindenden gemeinsamen Überprüfung durch die EU- und US-Behörden. Richtig ist allerdings, dass der EU-US-Privacy-Shield aktuell heftiger Kritik vom Europäischen Parlament und weiteren europäischen Vertretern ausgesetzt ist. Ob er in Zukunft bestehen bleibt, ist aktuell unsicherer denn je. Unter Umständen muss die Grundlage, auf der eine Datenübertragung in die USA gemäß der DSGVO zulässig ist, für die Zukunft neu bewertet werden.

Datenschutzbeauftragter:

Jedes Unternehmen muss einen Datenschutzbeauftragten haben

Das stimmt nicht! Die DSGVO regelt klar in welchen Fällen ein Datenschutzbeauftragter bestellt werden muss. Daraus folgt im Umkehrschluss, dass es auch Fälle gibt, in denen eine solche Bestellung nicht zwingend erforderlich ist. Grundsätzlich gilt, dass Unternehmen, die mehr als 10 Mitarbeiter beschäftigen, deren Kerntätigkeit in der Verarbeitung personenbezogener Daten besteht einen Datenschutzbeauftragten bestellen müssen. Darüber hinaus wird eine Bestellung vor allem dann erforderlich, wenn vom Unternehmen besonders sensible Daten (wie Gesundheitsdaten) verarbeitet, öffentliche Räume beobachtet , und Daten in großem Umfang weiterveräußert werden. Zusätzlich bedarf es eines Datenschutzbeauftragten, wenn allgemein ein großes Risiko für die Verletzung der Rechte und Interessen von Personen an ihren personenbezogenen Daten besteht und daher eine Datenschutz-Folgenabschätzung durchgeführt werden muss.

Fotos:

Fotos von Personen bedürfen immer deren vorherige Einwilligung

Das stimmt nicht. Fotos, die zum Privatgebraucht gemacht werden, bedürfen auch dann keiner Einwilligung, wenn sie innerhalb einer geschlossenen WhatsApp-Gruppe oder anderweitig durch Passwörter geschützten Bereich des Internets veröffentlicht werden. Zudem sind die Presse-, Kunst- und Meinungsfreiheit als verfassungsrechtlich geschützte Rechte zu beachten, die es unter Umständen ermöglichen können, auch Fotos von Personen ohne deren Einwilligung zu veröffentlichen. Auch Unternehmen können sich grundsätzlich auf diese Grundrechte berufen.

Ihre Lösung für den besten Datenschutz

Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.

Kostenfreien Kennenlerntermin vereinbaren

Einwilligung:

Die Einwilligung muss immer schriftlich eingeholt werden

Im Gegensatz zur alten Rechtslage nach dem BDSG muss eine Einwilligung nach der DSGVO gerade nicht schriftlich eingeholt werden. Vielmehr kann sie auch mündlich oder elektronisch bzw. in „sonstiger Form“ erteilt werden. Nach der DSGVO genügt ausdrücklich eine „eindeutig bestätigende Handlung“. Dabei sollten Unternehmen jedoch darauf achten, dass sie nach der DSGVO die Beweispflicht für das Vorliegen einer Einwilligung trifft. Sie sollten also eine Einwilligungsform wählen, die dokumentiert werden kann. Dazu genügt beispielsweise das Anklicken eines Kästchens (Opt-In). Nicht ausreichend ist es dagegen, wenn ein standardmäßig aktiviertes Kästchen erst deaktiviert werden muss. Ein solches Opt-Out stellt einen klaren DSGVO-Verstoß dar und ist bußgeldbewehrt.

Ohne Einwilligung sind Datenverarbeitungen nach der DSGVO unzulässig

Diese Fehlvorstellung gehört zu den häufigsten und trifft nicht zu. Die DSGVO sieht neben der Einwilligung vor allem die Interessenabwägung als Möglichkeit für eine rechtmäßige Datenverarbeitung vor. Dabei werden die Interessen des beteiligten Unternehmens (auch wirtschaftlicher Art) gegen die Rechte und Interessen der betroffenen Person abgewogen. Die DSGVO erkennt dabei die Direktwerbung ausdrücklich als berechtigtes Interesse von Unternehmen an. Zudem besteht die Möglichkeit einer gesetzlichen Erlaubnis für die Datenverarbeitung (z.B. durch Vertrag). Eine Einwilligung ist daher in vielen Fällen nicht zwingend erforderlich.

Auftragsverarbeitung:

Wenn Daten an andere Unternehmen zwecks Verarbeitung weitergegeben werden, liegt eine Auftragsverarbeitung vor

Das stimmt nicht. Eine Auftragsverarbeitung liegt nur vor, wenn Daten an ein Drittunternehmen übertragen werden und dieses die Daten sodann weisungsgebunden für das verantwortliche Unternehmen und in dessen Interesse verarbeitet. Klassische Beispiele sind das Outsourcing von Lohnabrechnungen oder der Newsletterversand durch externe Agenturen, denen Kunden-E-Mail-Adressen übertragen werden. In diesem Fall ist ein Auftragsverarbeitungsvertrag wichtig um den Zweck der Datenverarbeitung festzulegen und Haftungsfragen zu klären. Je genauer diese Regelungen ausfallen, umso eher kann sich das verantwortliche Unternehmen bei Verstößen des Auftragsverarbeiters, etwa gegen den Zweck der Verarbeitung, exkulpieren. Verarbeitet dagegen das empfangende Unternehmen Daten im eigenen Interesse und ohne Weisungen zu unterliegen, liegt keine Auftragsverarbeitung vor und ein Auftragsverarbeitungsvertrag ist nicht notwendig. Bei der Weitergabe als „Offenlegung“ handelt es sich natürlich um eine DSGVO relevante Verarbeitung von persönlichen Daten.

E-Mail-Verschlüsselung:

Unternehmen dürfen nur noch mittels verschlüsselter E-Mails kommunizieren

Das stimmt so nicht. Nur, wenn besonders sensible Daten, wie Gesundheitsdaten übermittelt werden, müssen E-Mails verschlüsselt werden. Eine Verschlüsselung ist auch dann geboten, wenn die übermittelten Daten aus anderen Gründen besonders schutzbedürftig sind.

Handlungsempfehlung

Unternehmen sollten sich nicht von allen Mythen um die DSGVO in Panik versetzen lassen. In Zweifelsfällen kann rechtliche Beratung zu ein paar kleineren Anpassungen führen, die das Risiko von DSGVO-Verstößen erheblich minimieren.

Weitere Neuigkeiten

17.07.2024

Neue Regelungen für Ihr ISMS: Diese gesetzlichen Anforderungen muss Ihre IT-Sicherheit erfüllen

In den letzten Jahren haben zahlreiche neue gesetzliche Regelungen zur IT-Sicherheit Unternehmen vor erhebliche Herausforderungen gestellt. Diese Gesetze fordern von Unternehmen umfassende Maßnahmen zur Sicherung ihrer IT-Infrastruktur und Daten. Angesichts dieser wachsenden Anforderungen bietet sich die Einführung eines Informationssicherheits-Managementsystems (ISMS) an. Ein ISMS hilft nicht nur dabei, die gesetzlichen Anforderungen zu erfüllen, sondern trägt auch zur Verbesserung der allgemeinen Sicherheitslage eines Unternehmens bei.

Weiterlesen …

09.07.2024

NIS2-Richtlinie: Machen Sie Ihr Unternehmen fit für Oktober 2024 – mit unserem Leitfaden zum Download

Mit der nahenden Deadline im Oktober 2024 für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS2) stehen schätzungsweise 30.000 deutsche Unternehmen vor der Herausforderung, gesetzliche Vorgaben zu erfüllen und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern. In diesem Zusammenhang bieten wir umfassende Lösungen an, die darauf ausgerichtet sind, Ihr Unternehmen durch maßgeschneiderte Risikoanalysen, die Implementierung fortschrittlicher Cyber-Risikomanagementpraktiken und robuste Geschäftskontinuitätspläne auf den neuesten Stand der Technik zu bringen.

Weiterlesen …