Jetzt kostenlos registrieren für Ihren DSGVO Check!

Kostenlos. Abmeldung jederzeit möglich. Mehr Info

Mythen zur DSGVO

Die Datenschutz-Grundverordnung (DSGVO) hat bei vielen Unternehmern für Verunsicherung gesorgt. Es sind datenschutzrechtliche Halbwahrheiten aufgetaucht und viele Unternehmen sind sich nicht sicher, was sich durch die DSGVO für sie verändert hat.

Wir haben die häufigsten Mythen für Sie enttarnt.

  • Als Kleinunternehmer bin ich nicht betroffen.

DAS IST FALSCH.

Die DSGVO ist von jedem, der personenbezogene Daten von EU-Bürgern verarbeitet, verbindlich umzusetzen. Sie betrifft also Unternehmen jeder Größenordnung, die ihre Produkte in der EU vermarkten oder verkaufen wollen und hierbei personenbezogene Daten verarbeiten. Bei Nichteinhaltung drohen Bußgelder in Höhe von 20 Mio. Euro oder 4 Prozent des Jahresumsatzes.

  • Für jede Datenverarbeitung muss eine Einwilligung eingeholt werden.

DAS IST FALSCH.

Für jede Datenverarbeitung muss eine gesetzliche Grundlage vorliegen. Die Erlaubnistatbestände sind in Art. 6 geregelt. Nur sofern kein anderer Erlaubnistatbestand (für die Verarbeitung der Daten etwa auf Basis eines Vertrages) gegeben ist, muss der Betroffene in die Verarbeitung seiner Daten einwilligen. Darüber hinaus erfordert die Verarbeitung von besonders geschützten Daten (z.B. Gesundheitsdaten) unter Umständen eine zusätzliche Einwilligung. Entweder ist ein Erlaubnistatbestand für die Verarbeitung der Daten gegeben oder der Betroffene muss in die Verarbeitung seiner Daten einwilligen. Unternehmen müssen nachweisen, dass der Betroffene seine Zustimmung durch eine aktive Handlung wie etwa das Anklicken einer Checkbox gegeben hat. Daraufhin muss eine Bestätigungsmail validiert werden (Double-Opt-In-Verfahren).

 

  • Jedes Unternehmen, das Daten verarbeitet, braucht einen Datenschutzbeauftragten.

DAS IST FALSCH.

Ein Datenschutzbeauftragter muss bestellt werden, wenn mindestens 10 Mitarbeiter im Unternehmen regelmäßig mit der Verarbeitung personenbezogener Daten beschäftigt sind. Dazu zählen auch Aushilfen und Teilzeitkräfte. Es gibt aber auch Konstellationen, bei denen unabhängig von der Beschäftigtenzahl ein Datenschutzbeauftragter bestellt werden muss.  Diese sind in Art. 37 geregelt.

 

  • Wo kein Kläger, da kein Richter.

DAS IST FALSCH.

Um in das Visier der Aufsichtsbehörde zu geraten, muss kein Verdachtsfall vorliegen. Auch ohne einen „Kläger“ kann die zuständige Aufsichtsbehörde Bußgelder verhängen, wenn eine datenschutzrechtliche Pflichtverletzung festgestellt wird.

 

  • Die DSGVO verbietet die Datenübermittlung in die USA.

DAS IST FALSCH.

Die DSGVO verbietet nicht die Datenübermittlung in die USA, sondern stellt die rechtlichen Anforderungen an eine solche Datenübermittlung. Es muss sichergestellt sein, dass das Datenschutzniveau bei dem Empfänger dem der DSGVO entspricht. Dieser Nachweis kann beispielsweise vom Empfänger erbracht werden, indem das Abkommen Privacy Shield angewendet wird.

  • Es dürfen nur noch verschlüsselte E-Mails versendet werden.

DAS IST FALSCH.

Die Verschlüsselung von E-Mails kann zwar sinnvoll sein, aber die DSGVO enthält keine Regelung, die die Verschlüsselung explizit vorschreibt. Vielmehr heißt es in Art. 32: „Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein: die Pseudonomysierung und Verschlüsselung personenbezogener Daten (…) Ob eine Verschlüsselung zum Einsatz kommen sollte oder nicht, hängt also u.a. von dem zu ermittelnden Schutzbedarf der Daten und dem Risiko für die Betroffenen ab. Verschlüsselung ist daher kein Automatismus, sondern eine wichtige Maßnahme bei entsprechendem Bedarf an Schutz für die Vertraulichkeit der Daten.

 

Fazit

Die DSGVO gilt keinesfalls nur für große Unternehmen. Unabhängig von der Größe und Branche muss jedes Unternehmen, das personenbezogene Daten von EU-Bürgern verarbeitet, die neuen datenschutzrechtlichen Regelungen beachten. Bei Nichtbeachtung drohen empfindlich hohe Strafen. Da Aussitzen keine Option ist, besteht jetzt Handlungsbedarf. Alle, die regelmäßig personenbezogene Daten verarbeiten, müssen darauf achten, dass sie die Vorgaben der DSGVO im Unternehmen umgesetzt haben.


Über den Autor

Bernadette Mohme ist Volljuristin und berät die rechtlichen Entwicklungen in allen für den eCommerce und dem Datenschutz relevanten Bereichen. Dabei übersetzt sie gerichtliche Entscheidungen ebenso wie neue gesetzliche Vorgaben in eine verständliche Sprache und gibt Handlungsanleitungen zur rechtskonformen Umsetzung von Vorschriften.

Ihre Nachricht an Bernadette Mohme



Themen:

DSGVO
Die Datenschutz Grundverordnung kommt
Stichtag 25. Mai 2018

92% haben die DSGVO noch nicht umgesetzt. Ihnen drohen teure Abmahnungen, Bußgelder bis zu 20 Mio. Euro und Ärger mit Ihren Kunden.

Handeln Sie jetzt!

Fragen? Ihr Ansprechpartner

Bernadette Mohme

Volljuristin

Tel.: 0800 600 40 50
info@protected-compliance.com