Seit dem 25.05.2018 gilt die DSGVO. Vor und nach diesem Zeitpunkt wurden viele Mythen über ihre Folgen verbreitet. Richtig ist, dass die DSGVO hohe Bußgelder vorsieht. Richtig ist auch, dass es im Vergleich zur vorher geltenden Rechtslage einige Unterschiede zu beachten gilt. Falsch ist aber, dass alle im Zusammenhang mit der DSGVO geäußerten Befürchtungen auch für jedes Unternehmen gelten. In diesem Beitrag wollen wir mit einigen DSGVO-Mythen aufräumen.
Bußgelder:
Verstöße gegen die DSGVO führen immer zu Bußgeldern von 20 Millionen Euro oder 4% des Jahresumsatzes
Das stimmt so nicht! Bei Verstößen gegen die DSGVO kann es je nach Art des Verstoßes auch zu Bußgeldern von bis zu 20 Millionen Euro oder 4% des Jahresumsatzes kommen. Allerdings berücksichtigt die DSGVO die Art des Verstoßes, Vorsatz oder Fahrlässigkeit und das Verhalten des Unternehmens nach Bekanntwerden des Verstoßes. In der Regel werden Bußgelder daher niedriger ausfallen als 20 Millionen Euro oder 4% des Jahresumsatzes. So führt Artikel 83 explizit die wirtschaftlichen Verhältnisse und Verhältnismäßigkeit bei der Verhängung von Bußgeldern als Kriterien an. Richtig ist aber, dass der Bußgeldrahmen im Vergleich zur vorherigen Rechtslage nach dem Bundesdatenschutzgesetz deutlich gestiegen ist.
USA:
Die DSGVO verbietet Datenübertragungen in die USA
Die DSGVO verbietet grundsätzlich alle Datenübertragungen in nicht-sichere Drittländer, also solche Länder deren Datenschutzniveau unterhalb demjenigen der DSGVO liegt. Dazu gehören grundsätzlich auch die USA. Allerdings erlaubt die DSGVO unter anderem dann Datenübertragungen in solche Länder, wenn für sie ein Angemessenheitsbeschluss der Kommission besteht. Auf der Grundlage des sog. US-EU-Privacy-Shield, innerhalb dessen die USA den Schutz der Daten von EU Bürgern zusagten, kam ein solcher Beschluss der Kommission zustande. Damit erlaubt die DSGVO aktuell Datenübertragungen in die USA. Der Beschluss unterliegt einer mindestens einmal jährlich stattfindenden gemeinsamen Überprüfung durch die EU- und US-Behörden. Richtig ist allerdings, dass der EU-US-Privacy-Shield aktuell heftiger Kritik vom Europäischen Parlament und weiteren europäischen Vertretern ausgesetzt ist. Ob er in Zukunft bestehen bleibt, ist aktuell unsicherer denn je. Unter Umständen muss die Grundlage, auf der eine Datenübertragung in die USA gemäß der DSGVO zulässig ist, für die Zukunft neu bewertet werden.
Datenschutzbeauftragter:
Jedes Unternehmen muss einen Datenschutzbeauftragten haben
Das stimmt nicht! Die DSGVO regelt klar in welchen Fällen ein Datenschutzbeauftragter bestellt werden muss. Daraus folgt im Umkehrschluss, dass es auch Fälle gibt, in denen eine solche Bestellung nicht zwingend erforderlich ist. Grundsätzlich gilt, dass Unternehmen, die mehr als 10 Mitarbeiter beschäftigen, deren Kerntätigkeit in der Verarbeitung personenbezogener Daten besteht einen Datenschutzbeauftragten bestellen müssen. Darüber hinaus wird eine Bestellung vor allem dann erforderlich, wenn vom Unternehmen besonders sensible Daten (wie Gesundheitsdaten) verarbeitet, öffentliche Räume beobachtet , und Daten in großem Umfang weiterveräußert werden. Zusätzlich bedarf es eines Datenschutzbeauftragten, wenn allgemein ein großes Risiko für die Verletzung der Rechte und Interessen von Personen an ihren personenbezogenen Daten besteht und daher eine Datenschutzfolgenabschätzung durchgeführt werden muss.
Fotos:
Fotos von Personen bedürfen immer deren vorherige Einwilligung
Das stimmt nicht. Fotos, die zum Privatgebraucht gemacht werden, bedürfen auch dann keiner Einwilligung, wenn sie innerhalb einer geschlossenen Whats-App-Gruppe oder anderweitig durch Passwörter geschützten Bereich des Internets veröffentlicht werden. Zudem sind die Presse-, Kunst- und Meinungsfreiheit als verfassungsrechtlich geschützte Rechte zu beachten, die es unter Umständen ermöglichen können, auch Fotos von Personen ohne deren Einwilligung zu veröffentlichen. Auch Unternehmen können sich grundsätzlich auf diese Grundrechte berufen.
Einwilligung:
Die Einwilligung muss immer schriftlich eingeholt werden
Im Gegensatz zur alten Rechtslage nach dem BDSG muss eine Einwilligung nach der DSGVO gerade nicht schriftlich eingeholt werden. Vielmehr kann sie auch mündlich oder elektronisch bzw. in „sonstiger Form“ erteilt werden. Nach der DSGVO genügt ausdrücklich eine „eindeutig bestätigende Handlung“. Dabei sollten Unternehmen jedoch darauf achten, dass sie nach der DSGVO die Beweispflicht für das Vorliegen einer Einwilligung trifft. Sie sollten also eine Einwilligungsform wählen, die dokumentiert werden kann. Dazu genügt beispielsweise das Anklicken eines Kästchens (Opt-In). Nicht ausreichend ist es dagegen, wenn ein standardmäßig aktiviertes Kästchen erst deaktiviert werden muss. Ein solches Opt-Out stellt einen klaren DSGVO-Verstoß dar und ist bußgeldbewehrt.
Ohne Einwilligung sind Datenverarbeitungen nach der DSGVO unzulässig
Diese Fehlvorstellung gehört zu den häufigsten und trifft nicht zu. Die DSGVO sieht neben der Einwilligung vor allem die Interessenabwägung als Möglichkeit für eine rechtmäßige Datenverarbeitung vor. Dabei werden die Interessen des beteiligten Unternehmens (auch wirtschaftlicher Art) gegen die Rechte und Interessen der betroffenen Person abgewogen. Die DSGVO erkennt dabei die Direktwerbung ausdrücklich als berechtigtes Interesse von Unternehmen an. Zudem besteht die Möglichkeit einer gesetzlichen Erlaubnis für die Datenverarbeitung (z.B. durch Vertrag). Eine Einwilligung ist daher in vielen Fällen nicht zwingend erforderlich.
Auftragsverarbeitung:
Wenn Daten an andere Unternehmen zwecks Verarbeitung weitergegeben werden, liegt eine Auftragsverarbeitung vor
Das stimmt nicht. Eine Auftragsverarbeitung liegt nur vor, wenn Daten an ein Drittunternehmen übertragen werden und dieses die Daten sodann weisungsgebunden für das verantwortliche Unternehmen und in dessen Interesse verarbeitet. Klassische Beispiele sind das Outsourcing von Lohnabrechnungen oder der Newsletterversand durch externe Agenturen, denen Kunden-E-Mail-Adressen übertragen werden. In diesem Fall ist ein Auftragsverarbeitungsvertrag wichtig um den Zweck der Datenverarbeitung festzulegen und Haftungsfragen zu klären. Je genauer diese Regelungen ausfallen, umso eher kann sich das verantwortliche Unternehmen bei Verstößen des Auftragsverarbeiters, etwa gegen den Zweck der Verarbeitung, exkulpieren. Verarbeitet dagegen das empfangende Unternehmen Daten im eigenen Interesse und ohne Weisungen zu unterliegen, liegt keine Auftragsverarbeitung vor und ein Auftragsverarbeitungsvertrag ist nicht notwendig. Bei der Weitergabe als „Offenlegung“ handelt es sich natürlich um eine DSGVO relevante Verarbeitung von persönlichen Daten.
E-Mail-Verschlüsselung:
Unternehmen dürfen nur noch mittels verschlüsselter E-Mails kommunizieren
Das stimmt so nicht. Nur, wenn besonders sensible Daten, wie Gesundheitsdaten übermittelt werden, müssen E-Mails verschlüsselt werden. Eine Verschlüsselung ist auch dann geboten, wenn die übermittelten Daten aus anderen Gründen besonders schutzbedürftig sind.
Handlungsempfehlung
Unternehmen sollten sich nicht von allen Mythen um die DSGVO in Panik versetzen lassen. In Zweifelsfällen kann rechtliche Beratung zu ein paar kleineren Anpassungen führen, die das Risiko von DSGVO-Verstößen erheblich minimieren.
Weitere Artikel zu den DSGVO-Mythen:
Die größten DSGVO-Mythen zum Datenschutzbeauftragten: was stimmt?