Oh mein Gott. Wir haben es überlebt. Der 25.5.2018 ist vorbeigegangen und die Welt dreht sich weiterhin noch. Trotz viel Hektik in vielen Unternehmen in den letzten Tagen und Wochen. Zeit sich die größten 7 Mythen rund um die EU-DSGVO (Datenschutz Grundverordnung) anzusehen.
Jeder von uns war wohl irgendwie von der Inkrafttretung der EU-DSGVO betroffen. Als Unternehmer, der Verfahrensverzeichnisse erstellen musste. Als Fachexperte, der den Rechtsexperten im Unternehmen Fragen beantworten musste. Als Dienstleister, der neue Auftragsverarbeitungserklärungen unterzeichnen musste. Als Mitarbeiter, der neu geschult wurde. Oder als Konsument, der Dutzende Einverständniserklärungen per Email erhalten hat (die übrigens nerven wie Fußpilz!).
Rund um die EU-DSGVO herrscht aus meiner Sicht eine so große „PaniK“, da die meisten Menschen mit Halbwissen agieren und dieses weitergeben. Und Halbwissen ist landläufig ja nicht die Vorstufe von Wissen, sondern das Gegenteil davon. Zeit sich die 7 größten Mythen rund um die DSGVO kurz anzusehen:
Mythos: Die DSGVO tritt am 25.5.2018 in Kraft.
Das ist falsch!
Es mag pingelig erscheinen, doch alle Meldungen, die damit einleiten, dass die DSGVO am 25. Mai 2018 in Kraft tritt, machen einen Fehler (der vermutlich sogar mir selbst schon ab und an passiert ist). Die Datenschutz-Grundverordnung ist schon lange davor in Kraft getreten, die zweijährige Übergangszeit endete jedoch am 25. Mai 2018. Die DSGVO tritt also nicht plötzlich in Kraft. Die meisten waren einfach nur spät dran!
Mythos: die DSGVO geht nur große Konzerne an.
Das ist falsch!
Die EU-Datenschutz-Grundverordnung unterscheidet bis auf wenige Ausnahmen nicht nach der Unternehmensgröße, sondern es gelten alle Regeln unmittelbar für Unternehmen jeglicher Größe. Gerade kleinere Unternehmen oder Einzelunternehmer glauben häufig, dass das Thema Datenschutz-Grundverordnung sie gar nicht betrifft. Dies ist jedoch meistens der Fall. Spätestens wenn Sie ein Personalverwaltungssystem benutzen, ein Online-CRM oder einen Web-Shop, speichern oder verarbeiten Sie in irgendeiner Form personenbezogene Daten.
Mythos: Man braucht für JEDE Datenverarbeitung eine Einwilligung der Betroffenen.
Das ist falsch!
Nach dem Verbotsprinzip der DSGVO braucht man für jede Verarbeitung personenbezogener Daten einen sogenannten Legitimationstatbestand. Neben der informierten Einwilligung ist die Datenverarbeitung auch zulässig, wenn einer der nachfolgenden Tatbestände greift:
- Wenn die Datenverarbeitung zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist.
- Wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung der verarbeitenden Stelle erforderlich ist.
- Wenn die Verarbeitung zur Wahrung berechtigter Interessen der verarbeitenden Stelle oder Dritter erforderlich ist und die Interessen des Betroffen nicht überwiegen.
Nein – Sie brauchen keine schriftliche Einverständniserklärung, wenn Ihnen jemand eine Visitenkarte auf einer Messe gibt und Sie bittet ihm ein Angebot zuzusenden. Für eine darüber hinausgehende Newsletter-Beschickung gegen sein Interesse vermutlich schon. Wiederum nicht, wenn die Zusendung von Informationen berechtigte Interessen verfolgt oder sogar im Interesse des Kunden ist. Es ist immer eine Interessensabwägung!
Mythos: Bei der Weitergabe personenbezogener Daten braucht es IMMER eine Auftrags(daten)verarbeitungserklärung
Das ist falsch!
Eine Auftragsverarbeitung liegt in den Fällen vor, in denen ein Dienstleister beauftragt wird, die Daten nach Weisung des Auftraggebers zu verarbeiten oder personenbezogene Daten im Rahmen einer entsprechenden Beauftragung offengelegt werden (z.B. bei Wartung einer Datenbank mit sensiblen Daten). Sie brauchen keine Auftragsverarbeitungserklärung mit der Post abzuschließen, nur weil diese Adressen für den Briefversand erhält. Auch braucht es bspw. bei Steuerberatern keine klassische Auftragsverarbeitungserklärung, da andere Grundlagen gelten.
Mythos: Jeder Verstoß führt zu Millionenstrafen.
Das ist falsch.
Richtig ist, dass die DSGVO maximale Bußgelder von 20 Millionen Euro bzw. 4 % des Jahresumsatzes vorsieht. Damit will man aber vor allem Großkonzerne empfindlich treffen können. Solche Bußgelddrohungen sind wohl das einzige was Google, Amazon und Co. treffen kann. Das heißt gleichwohl nicht, dass Kleinunternehmer oder Mittelständler bei kleineren Verstößen gegen die Datenschutzgrundverordnung existenzgefährdende Bußgelder befürchten müssten. Vor allem bei Formalfehlern ohne große Folgen.
Mythos: Schweigen ist Zustimmung.
Das ist falsch.
Häufig findet sich in E-Mails die Formulierung: „Wenn Sie dem Erhalt des Newsletters nicht durch Klick auf den untenstehenden Link widersprechen, gehen wir davon aus, dass Sie den Newsletter weiter erhalten wollen“. Dies ist rechtswidrig. Das bloße Unterbleiben eines Widerspruches stellt keine Zustimmung dar. Es braucht eine eindeutige bestätigende Handlung, ein Opt-In.
Gleichzeitig braucht es aber auch nicht für jeden Kontakt auf ihrer Kontaktliste eine erneute Zustimmung. Wenn Ihre Kontaktaufnahme (siehe vorab) auf anderen Tatbeständen beruht (was bei aktiven Bestandskunden oft argumentierbar ist) ist eine Zustimmung nicht zwingend nötig. Auch nicht bei Zustimmungen die Sie lange vor der DSGVO-Zeit jedoch DSGVO-konform eingeholt haben.
Mythos: Man darf nur noch mit verschlüsselten Emails kommunizieren.
Das ist falsch!
Die DSGVO sieht keinen Zwang zur Verschlüsselung vor, auch wenn diese sicher in vielen Fällen sinnvoll ist. Ob der Versender eine E-Mail verschlüsseln muss, hängt vom Schutzbedarf der übertragenen Daten ab. Nur wenn es um Daten geht, die einen sehr hohen Schutzbedarf haben, ist eine Verschlüsselung notwendig.
Mythos: Jeder braucht einen Datenschutzbeauftragten
Das ist falsch!
Eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten ist für Unternehmen dann vorgesehen, wenn die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfanges und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (z.B. Banken, Versicherungen, Kreditauskunfteien und Berufsdetektive). Oder wenn die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung sensibler Daten oder von Daten über strafrechtliche Verurteilungen oder Straftaten besteht (z.B. Krankenanstalten). Im Zweifelsfall: Lassen Sie sich beraten.
Disclaimer
Dieser Text wurde von Mag. Gerd Beidernikl nach bestem Wissen und Gewissen und unter Anwendung gründlicher Recherche verfasst. Nichtsdestotrotz stellt dieser Text keine Rechtsberatung dar. Er spiegelt in dieser Hinsicht lediglich die persönliche Meinung des Autors wider.
Linktipp
https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung.html
7 Mythen rund um die EU-DSGVO (Datenschutzgrundverordnung)
