Mythen der DSGVO

Auch nach dem 25. Mai 2018 ist die Datenschutzgrundverordnung für Viele noch ein Mysterium. Höchste Zeit, um mit einigen hartnäckigen Mythen abzurechnen.

 

Mythos #1: Vor der DSGVO war alles besser

Falsch. Die Einführung der Datenschutzgrundverordnung per 25. Mai 2018 bedeutet nicht, dass wir davor ohne Datenschutz gelebt haben. Das Gegenteil war der Fall: Deutschland und Österreich setzen schon seitvielen Jahren die höchsten Standards im Datenschutz, was mit dem Bundesdatenschutzgesetz (BDSG) sowie dem Datenschutzgesetz (DSG) und dem Telekommunikationsgesetz (TKG) deutlich zum Ausdruck gebracht wurde.

Fakt ist, dass es mit der Datenschutzgrundverordnung nun einen EU-weiten Standard mit länderspezifischen Ergänzungen gibt, der auch härter exekutiert werden soll.

Mythos #2: strafen betragen 20 Millionen Euro oder 4% des Umsatzes

Falsch. Freilich soll das Strafmaß bei Verstößen gegen die DSGVO wirksam, verhältnismäßig und abschreckend sein. Aber nur weil sich Medien und Datenschützer dieser Tage mit potentiellen Milliardenstrafen für Konzerne wie Facebook und Google überschlagen, müssen sich KMU in Deutschland und Österreich wohl nicht auf Strafen in Millionenhöhe einstellen.

Die Aufsichtsbehörden haben beim Festsetzen von Strafen zwar Spielraum, werden nach Meinung von Experten aber mit Augenmaß entscheiden. Der Maximalrahmen bei den Strafen wird wohl nur in wirklich krassen Fällen ausgeschöpft werden. Ein Blick auf die in Deutschland noch vor dem 25. Mai 2018 unter dem Bundesdatenschutzgesetz (BDSG) ausgesprochenen Strafen zeigt, dass selbst gegen große Unternehmen kaum Strafen über 6.000 Euro verhängt wurden und das Höchstmaß von 300.000 Euro nur in Ausnahmen ausgeschöpft wurde. Es wird erwartet, dass es vor allem beim ersten Verstoß bei einer Verwarnung mit Aufforderung zur Behebung bleibt. Eine Garantie dafür besteht freilich nicht.

Mythos #3: Jedes Unternehmen benötigt einen Datenschutzbeauftragten

Falsch. Einen Datenschutzbeauftragten muss ein Unternehmen in der Regel nur dann bestellen, wenn als Kerntätigkeit persönliche Daten oder eine Kategorie von sensiblen Daten verarbeitet werden. Achtung: Je nach Land gelten für die Bestellung eines Datenschutzbeauftragten unterschiedliche Anforderungen! Halten Sie daher Rücksprache mit Ihrem Rechtsanwalt, wenn Sie in dieser Frage unsicher sind.

Auf jeden Fall sollten Sie für Ihre Organisation einen Ansprechpartner für das Thema Datenschutz festlegen, an den Anfragen gerichtet werden können und der diese auch mit internen wie externen Stakeholdern abwickeln kann. Führen Sie die Kontaktdaten in Ihrer Datenschutzerklärung sowie ggf. im Impressum Ihrer Website an.

Wenn Sie nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet sind, sollten Sie diesen Begriff auch nicht verwenden – denn ein Datenschutzbeauftragter bringt zahlreiche Verpflichtungen mit sich, die Sie sich nicht freiwillig auferlegen müssen. Benutzen Sie stattdessen Bezeichnungen wie „Datenschutzkoordinator“ oder „Ansprechpartner für Datenschutz“.

Mythos #4: Daten dürfen nicht mehr in der Cloud gespeichert werden

Falsch. Personenbezogene Daten dürfen auch unter der DSGVO weiterhin in Cloud-Anwendungen gespeichert werden. Voraussetzung dafür ist aber der Abschluss einer Auftragsverarbeiter-Vereinbarung mit jeweiligen Cloud-Anbieter. Als Verantwortlicher (Auftraggeber bzw. Veranstalter) trifft Sie bei der Auswahl des Anbieters eine hohe Sorgfaltspflicht: der Anbieter muss Ihnen hinreichende Garantien dafür bieten, dass er geeignete technische und organisatorische Maßnahmen getroffen hat, die sicherstellen, dass die Datenverarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und dass die Rechte der Betroffenen gewährleistet werden.

Als cloud-basierter Softwareanbieter fällt auch Invitario in die Kategorie der Auftragsverarbeiter: unseren Kunden bieten wir eine, auf unseren Anwednungsfall abgestimmte, Auftragsverarbeiter-Vereinbarung an, in der alle von uns für eine DSGVO-konforme Verarbeitung von Daten gesetzten Maßnahmen ausführlich beschrieben sind.

Mythos #5: Für alles wird eine Zustimmung benötigt

Falsch. Die Datenschutzgrundverordnung ist zwar ein „Verbotsgesetzt“, dennoch bestehen zahlreiche Ausnahmen, die eine Verarbeitung von Daten auch ohne Zustimmung der betroffenen Personen ermöglichen. Die wichtigste Ausnahme ist die sogenannte „Vertragserfüllung“, für welche Sie grundsätzlich keine Zustimmung benötigen.

Die Vertragserfüllung ermöglicht Ihnen die Verarbeitung von Daten (inklusive die Kommunikation via E-Mail), um die vereinbarte Leistung auf Ihrer Seite erfüllen zu können. Ist die Leistung erfüllt und ist Ihre Leistungserbringung von keinen gesetzlichen Aufbewahrungspflichten oder möglichen Gewährleistungen betroffen, müssen die Daten nach Abschluss der Leistung gelöscht werden.

Eine Zustimmung ist nur dann erforderlich, wenn Sie die Daten der Betroffenen über den eigentlichen Geschäftszweck hinaus verarbeiten möchten – also wenn Sie zum Beispiel zusätzlich einen Newsletter übermitteln wollen oder die Daten für einen längeren Zeitraum speichern möchten.

Mythos #6: Schweigen gilt als Zustimmung

Falsch. Schweigen ist zwar Silber, aber im Fall der DSGVO nicht einmal das. Eine Zustimmung zu Ihrer Datenschutzerklärung sowie zu einer über die reine Vertragserfüllung hinausgehenden Verarbeitung von Daten, etwa für das Übermitteln von weiteren Einladungen oder Newslettern per E-Mail, macht immer eine aktive Zustimmung durch den Betroffenen erforderlich.

Sowohl die DSGVO und das Telekommunikationsgesetz (Österreich) schreiben vor, dass der Versand von Werbezusendungen und anderen unaufgeforderten Nachrichten (z.B. Einladungen zu Veranstaltungen) an Nichtkunden via E-Mail die Zustimmung des Empfängers benötigen. Nicht genug, denn diese muss laut DSGVO in einer „eindeutigen bestätigenden Handlung“, einem sogenannten „Opt-in“, erfolgen. Eine bereits vorausgefüllte Checkbox ist damit ebenfalls nicht rechtsgültig. Das Unterbleiben eines Widerspruches stellt also keine Zustimmung dar!

Mythos #7: Alle alten Adresslisten müssen gelöscht werden

Falsch. Wer sich schon bisher an die gültige Rechtslage gehalten hat und nachweisen kann, dass eine Zustimmung zur Verarbeitung der Daten besteht, der kann alte E-Mail-Adressen auch ohne neuerliche Zustimmung weiterhin nutzen. Achten Sie darauf, dass Sie den Empfängern bei jeder Nachricht die Möglichkeit geben, die Zustimmung zu widerrufen!

Mythos #8: Ohne Geschäftsbeziehung darf niemand kontaktiert werden

Falsch. Wenn Sie sich unsicher sind, ob Sie einen Kontakt per E-Mail anschreiben dürfen oder nicht, dann können Sie in der Regel auf einen Brief ausweichen. Prüfen Sie am besten im Einzelfall, wie Sie Ihre Kontakte anschreiben dürfen. Vielleicht Anlass für ein Revival der klassischen Printeinladung?

Mythos #9: Foto- und Videoaufnahmen sind verboten

Falsch. Foto- und Videoaufnahmen zählen laut DSGVO zwar zu den personenbezogenen Daten, können aber bei Berücksichtigung einiger Regeln bedenkenlos erstellt und in gedruckten Publikationen, im Intranet und Internet sowie auf Social Media Plattformen veröffentlicht werden. Dazu müssen Sie lediglich Ihrer Informationspflicht nachkommen und über die mündliche Zustimmung der abgebildeten Personen verfügen. Informieren Sie Ihre Teilnehmer also bereits vor der Veranstaltung, spätestens jedoch mit Schildern im Eingangsbereich der Veranstaltung, über die geplanten Aufnahmen und deren Verwendungszweck. Zusätzlich sollten Sie Ihre Fotografen und Kamerateams anweisen, vor dem Anfertigen von Aufnahmen die mündliche Zustimmung der abgebildeten Personen einzuholen. Dann können Sie die Aufnahmen bedenkenlos veröffentlichen.

Bonus-Mythos für Leser in Österreich: ES wird noch nicht abgestraft

Falsch. Das unlängst beschlossene „Datenschutz-Deregulierungsgesetz“ fügt als § 11 DSG eine zusätzliche Regelung ein, wonach die Datenschutzbehörde bei Bestrafungen nach der DSGVO „bei erstmaligen Verstößen im Einklang mit Art. 58 DSGVO von ihren Abhilfebefugnissen insbesondere durch Verwarnen Gebrauch machen“ wird. Die Verwarnung durch die Datenschutzbehörde ist nur eine Option, doch steht nirgendwo, dass nicht auch bei erstmaligen Verstößen Geldstrafen verhängt werden können. Schließlich hat die DSGVO Vorrang vor nationalem Recht. Nehmen Sie die bereits abgelaufene Frist des 25. Mai 2018 daher ernst und passen Sie Ihre Prozesse an die Anforderungen der Datenschutzgrundverordnung an.


Mehr über das Thema „Datenschutz und Events“ erfahre Sie in unserem ausführlichen Guide und Webinar.