30.10.2018
Schluss mit den DSGVO-Mythen!
Seit dem 25.05.2018 gilt die DSGVO. Vor und nach diesem Zeitpunkt wurden viele Mythen über ihre Folgen verbreitet. Richtig ist, dass die DSGVO hohe Bußgelder vorsieht. Richtig ist auch, dass es im Vergleich zur vorher geltenden Rechtslage einige Unterschiede zu beachten gilt. Falsch ist aber, dass alle im Zusammenhang mit der DSGVO geäußerten Befürchtungen auch für jedes Unternehmen gelten. In diesem Beitrag wollen wir mit einigen DSGVO-Mythen aufräumen.
Bußgelder:
Verstöße gegen die DSGVO führen immer zu Bußgeldern von 20 Millionen Euro oder 4% des Jahresumsatzes
Das stimmt so nicht! Bei Verstößen gegen die DSGVO kann es je nach Art des Verstoßes auch zu Bußgeldern von bis zu 20 Millionen Euro oder 4% des Jahresumsatzes kommen. Allerdings berücksichtigt die DSGVO die Art des Verstoßes, Vorsatz oder Fahrlässigkeit und das Verhalten des Unternehmens nach Bekanntwerden des Verstoßes. In der Regel werden Bußgelder daher niedriger ausfallen als 20 Millionen Euro oder 4% des Jahresumsatzes. So führt Artikel 83 explizit die wirtschaftlichen Verhältnisse und Verhältnismäßigkeit bei der Verhängung von Bußgeldern als Kriterien an. Richtig ist aber, dass der Bußgeldrahmen im Vergleich zur vorherigen Rechtslage nach dem Bundesdatenschutzgesetz deutlich gestiegen ist.
Kostenfreie Expertise im E-Mail-Postfach
Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.
USA:
Die DSGVO verbietet Datenübertragungen in die USA
Die DSGVO verbietet grundsätzlich alle Datenübertragungen in nicht-sichere Drittländer, also solche Länder deren Datenschutzniveau unterhalb demjenigen der DSGVO liegt. Dazu gehören grundsätzlich auch die USA. Allerdings erlaubt die DSGVO unter anderem dann Datenübertragungen in solche Länder, wenn für sie ein Angemessenheitsbeschluss der Kommission besteht. Auf der Grundlage des sog. US-EU-Privacy-Shield, innerhalb dessen die USA den Schutz der Daten von EU Bürgern zusagten, kam ein solcher Beschluss der Kommission zustande. Damit erlaubt die DSGVO aktuell Datenübertragungen in die USA. Der Beschluss unterliegt einer mindestens einmal jährlich stattfindenden gemeinsamen Überprüfung durch die EU- und US-Behörden. Richtig ist allerdings, dass der EU-US-Privacy-Shield aktuell heftiger Kritik vom Europäischen Parlament und weiteren europäischen Vertretern ausgesetzt ist. Ob er in Zukunft bestehen bleibt, ist aktuell unsicherer denn je. Unter Umständen muss die Grundlage, auf der eine Datenübertragung in die USA gemäß der DSGVO zulässig ist, für die Zukunft neu bewertet werden.
Datenschutzbeauftragter:
Jedes Unternehmen muss einen Datenschutzbeauftragten haben
Das stimmt nicht! Die DSGVO regelt klar in welchen Fällen ein Datenschutzbeauftragter bestellt werden muss. Daraus folgt im Umkehrschluss, dass es auch Fälle gibt, in denen eine solche Bestellung nicht zwingend erforderlich ist. Grundsätzlich gilt, dass Unternehmen, die mehr als 10 Mitarbeiter beschäftigen, deren Kerntätigkeit in der Verarbeitung personenbezogener Daten besteht einen Datenschutzbeauftragten bestellen müssen. Darüber hinaus wird eine Bestellung vor allem dann erforderlich, wenn vom Unternehmen besonders sensible Daten (wie Gesundheitsdaten) verarbeitet, öffentliche Räume beobachtet , und Daten in großem Umfang weiterveräußert werden. Zusätzlich bedarf es eines Datenschutzbeauftragten, wenn allgemein ein großes Risiko für die Verletzung der Rechte und Interessen von Personen an ihren personenbezogenen Daten besteht und daher eine Datenschutz-Folgenabschätzung durchgeführt werden muss.
Fotos:
Fotos von Personen bedürfen immer deren vorherige Einwilligung
Das stimmt nicht. Fotos, die zum Privatgebraucht gemacht werden, bedürfen auch dann keiner Einwilligung, wenn sie innerhalb einer geschlossenen WhatsApp-Gruppe oder anderweitig durch Passwörter geschützten Bereich des Internets veröffentlicht werden. Zudem sind die Presse-, Kunst- und Meinungsfreiheit als verfassungsrechtlich geschützte Rechte zu beachten, die es unter Umständen ermöglichen können, auch Fotos von Personen ohne deren Einwilligung zu veröffentlichen. Auch Unternehmen können sich grundsätzlich auf diese Grundrechte berufen.
Ihre Lösung für den besten Datenschutz
Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.
Einwilligung:
Die Einwilligung muss immer schriftlich eingeholt werden
Im Gegensatz zur alten Rechtslage nach dem BDSG muss eine Einwilligung nach der DSGVO gerade nicht schriftlich eingeholt werden. Vielmehr kann sie auch mündlich oder elektronisch bzw. in „sonstiger Form“ erteilt werden. Nach der DSGVO genügt ausdrücklich eine „eindeutig bestätigende Handlung“. Dabei sollten Unternehmen jedoch darauf achten, dass sie nach der DSGVO die Beweispflicht für das Vorliegen einer Einwilligung trifft. Sie sollten also eine Einwilligungsform wählen, die dokumentiert werden kann. Dazu genügt beispielsweise das Anklicken eines Kästchens (Opt-In). Nicht ausreichend ist es dagegen, wenn ein standardmäßig aktiviertes Kästchen erst deaktiviert werden muss. Ein solches Opt-Out stellt einen klaren DSGVO-Verstoß dar und ist bußgeldbewehrt.
Ohne Einwilligung sind Datenverarbeitungen nach der DSGVO unzulässig
Diese Fehlvorstellung gehört zu den häufigsten und trifft nicht zu. Die DSGVO sieht neben der Einwilligung vor allem die Interessenabwägung als Möglichkeit für eine rechtmäßige Datenverarbeitung vor. Dabei werden die Interessen des beteiligten Unternehmens (auch wirtschaftlicher Art) gegen die Rechte und Interessen der betroffenen Person abgewogen. Die DSGVO erkennt dabei die Direktwerbung ausdrücklich als berechtigtes Interesse von Unternehmen an. Zudem besteht die Möglichkeit einer gesetzlichen Erlaubnis für die Datenverarbeitung (z.B. durch Vertrag). Eine Einwilligung ist daher in vielen Fällen nicht zwingend erforderlich.
Auftragsverarbeitung:
Wenn Daten an andere Unternehmen zwecks Verarbeitung weitergegeben werden, liegt eine Auftragsverarbeitung vor
Das stimmt nicht. Eine Auftragsverarbeitung liegt nur vor, wenn Daten an ein Drittunternehmen übertragen werden und dieses die Daten sodann weisungsgebunden für das verantwortliche Unternehmen und in dessen Interesse verarbeitet. Klassische Beispiele sind das Outsourcing von Lohnabrechnungen oder der Newsletterversand durch externe Agenturen, denen Kunden-E-Mail-Adressen übertragen werden. In diesem Fall ist ein Auftragsverarbeitungsvertrag wichtig um den Zweck der Datenverarbeitung festzulegen und Haftungsfragen zu klären. Je genauer diese Regelungen ausfallen, umso eher kann sich das verantwortliche Unternehmen bei Verstößen des Auftragsverarbeiters, etwa gegen den Zweck der Verarbeitung, exkulpieren. Verarbeitet dagegen das empfangende Unternehmen Daten im eigenen Interesse und ohne Weisungen zu unterliegen, liegt keine Auftragsverarbeitung vor und ein Auftragsverarbeitungsvertrag ist nicht notwendig. Bei der Weitergabe als „Offenlegung“ handelt es sich natürlich um eine DSGVO relevante Verarbeitung von persönlichen Daten.
E-Mail-Verschlüsselung:
Unternehmen dürfen nur noch mittels verschlüsselter E-Mails kommunizieren
Das stimmt so nicht. Nur, wenn besonders sensible Daten, wie Gesundheitsdaten übermittelt werden, müssen E-Mails verschlüsselt werden. Eine Verschlüsselung ist auch dann geboten, wenn die übermittelten Daten aus anderen Gründen besonders schutzbedürftig sind.
Handlungsempfehlung
Unternehmen sollten sich nicht von allen Mythen um die DSGVO in Panik versetzen lassen. In Zweifelsfällen kann rechtliche Beratung zu ein paar kleineren Anpassungen führen, die das Risiko von DSGVO-Verstößen erheblich minimieren.
Weitere Neuigkeiten
23.09.2024
NIS2-Richtlinie: Anwendungsbereich, Anforderungen & notwendige Maßnahmen
Am 16.01.2023 trat die NIS2-Richtlinie EU-weit in Kraft. Nachdem des zugehörige Umsetzungsgesetz mehrfach geändert wurde, liegt mittlerweile der wohl finale Entwurf vor und das Inkrafttreten der NIS2-Anforderungen rückt immer näher. Eine Vielzahl von Unternehmen steht nun vor der Frage, ob sie dem Anwendungsbereich der NIS2-Richtlinie unterfallen, welche Pflichten sie treffen und wie sie diese Pflichten durch geeignete Maßnahmen erfüllen können. Wir haben die Anforderungen und notwendigen Maßnahmen für Sie aufbereitet.
Weiterlesen … NIS2-Richtlinie: Anwendungsbereich, Anforderungen & notwendige Maßnahmen
10.09.2024
Konzerndatenschutz: Anforderungen & Rechtsgrundlagen für die Datenübermittlung im Konzern
Wenn Konzerne nach außen wie innen als eine geschlossene Einheit auftreten, sollten Datenübermittlungen zwischen ihren einzelnen Unternehmen auf den ersten Blick kein besonderes Problem darstellen. Doch den Konzern als eigenen datenschutzrechtlich Verantwortlichen, kennt die Datenschutz-Grundverordnung nicht. Und damit sind auch Datenübermittlungen im Konzern nicht automatisch rechtlich zulässig. Wir geben in diesem Beitrag einen Überblick über die wichtigsten Fragestellungen, Anforderungen und Lösungsmöglichkeiten im Bereich Datenübermittlung in Konzernen.
26.08.2024
Datenschutzmanagementsystem (DSMS): Ihr Schlüssel zur DSGVO-Compliance
Um den Anforderungen der Datenschutz-Grundverordnung (DSGVO) gerecht zu werden, empfiehlt sich ein Datenschutzmanagementsystem (DSMS). Denn damit lassen sich die datenschutzrechtlichen Anforderungen regeln, planen, umsetzen und kontrollieren. Das vereinfacht die Compliance für Unternehmen und deren Mitarbeiter:innen wesentlich. Lesen Sie hier, wie der DSGVO-konforme Aufbau eines DSMS gelingt, wer im Unternehmen dafür Verantwortlich ist und welche Software Ihnen helfen kann.
Weiterlesen … Datenschutzmanagementsystem (DSMS): Ihr Schlüssel zur DSGVO-Compliance