Mythen zur Datenschutz-grundverordnung, die sich hartnäckig halten

Wir beleuchten aufgrund eines besonderen Anlasses DSGVO-Mythen: Die DSGVO ist heute seit 4 Jahren in Kraft. Ein sehr junges Gesetz, das für viel Aufregung sorgte bzw. immer noch sorgt. Damit einher gehen auch oft unrichtige Behauptungen. Diese könnten schon fast als DSGVO-Fake News bezeichnet werden. Nicht auch zuletzt wegen der angedrohten Bußgelder bei Verstößen gegen die DSGVO ist es für jedes Unternehmen unerlässlich, sich mit ihr auseinanderzusetzen. Dies kann durch die Bestellung einer externen Datenschutzbeauftragten oder durch die Einholung von datenschutzrechtlichen Beratungsleistungen erfolgen. Heute räumen wir mit gängigen DSGVO-Mythen auf und geben damit Unternehmen in Deutschland und Österreich zum 4. Geburtstag der DSGVO wertvolle Informationen an die Hand.

 

DSGVO-Mythos #1: Für jede Datenübermittlung an ein externes Unternehmen braucht es eine Einwilligung

Nein. Denn die DSGVO kennt auch die Auftragsverarbeitung. Das Konstrukt der Auftragsverarbeitung ist nicht immer glasklar. Deswegen erleben wir es häufig in der Beratung, dass für jedwede Datenübermittlung an Dienstleister eine Einwilligung eingeholt werden will. Wenn wir unsere Mandanten dann beraten und ihnen sagen: Nein, du brauchst keine Einwilligung dafür, dass du deinen IT-Dienstleister des Vertrauens einsetzt, macht sich des Öfteren Verwunderung breit.

Die Auftragsverarbeitung kurz erklärt:

Es gibt zumindest 2 Parteien: Den Auftraggeber & Auftragsverarbeiter

💻Aufgabe des Auftragsverarbeiters ist es, personenbezogene Daten des Auftraggebers zu verarbeiten. Ein Beispiel hierfür ist, der Einsatz eines externen Newsletter-Versanddienstes, IT-Supportleistungen, Anbieten von Servern in einem Rechenzentrum, externes Webhosting, usw.

💻Der Auftragsverarbeiter darf die Daten nur für die Erfüllung des Vertrages verwenden. Also nicht für eigene Zwecke verarbeiten.

Da die Datenweitergabe vertraglich geregelt werden muss, braucht es keine eigene Rechtsgrundlage wie die Einwilligung für die Datenverarbeitung an den Auftragsverarbeiter.

𝗪𝗮𝘀 𝗶𝘀𝘁 𝗯𝗲𝗶 𝗱𝗲𝗿 𝗔𝘂𝗳𝘁𝗿𝗮𝗴𝘀𝘃𝗲𝗿𝗮𝗿𝗯𝗲𝗶𝘁𝘂𝗻𝗴 𝘇𝘂 𝗯𝗲𝗮𝗰𝗵𝘁𝗲𝗻?

🧾 Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO ist abschließen. Wir erstellen für unsere Mandanten passgenaue Auftragsverarbeitungsverträge, wenn hier Unterstützung suchst, melde dich einfach hier.

🧾Betroffene Personen müssen über die Empfänger, darunter fallen auch Auftragsverarbeiter, informiert werden.

 

DSGVO-Mythos #2: Die Einwilligung ist immer die richtige Rechtsgrundlage in der DSGVO

Der Zweck heiligt nicht immer die Mittel. So auch bei der datenschutzrechtlichen Einwilligung. Nicht alle Datenverarbeitungen können RECHTMÄSSIG auf eine Einwilligung gestützt werden. Hintergrund davon ist, dass die DSGVO strenge Voraussetzungen definiert.

𝗪𝗮𝘀 𝗶𝘀𝘁 𝗯𝗲𝗶 𝗱𝗲𝗿 𝗘𝗶𝗻𝘄𝗶𝗹𝗹𝗶𝗴𝘂𝗻𝗴 𝘇𝘂 𝗯𝗲𝗮𝗰𝗵𝘁𝗲𝗻?

🧾Freiwilligkeit

 

🧾Für bestimmte Zwecke

 

🧾In informierter Weise

 

🧾Weitere Informationen bereitstellen

 

🧾Nachweisbarkeit der Einwilligung durch die verantwortliche Stelle

 

Diese Voraussetzungen müssen ausnahmslos beachtet werden. Dies zum Beispiel auf Webseiten, auf denen Trackingmaßnahmen eingesetzt werden. Hier wird die Einwilligung der Betroffenen regelmäßig über den Consent-Banner (Cookie-Banner) eingeholt. Neben den Anforderungen der DSGVO ist bei Unternehmen in Deutschland auch das TTDSG zu beachten.

Ein weiterer Klassiker für Datenschutz im Online-Business: Das Veröffentlichen von Fotos, Videos, (Video)Kundenreferenzen auf der Webseite, in Social-Media oder in Newslettern. Wir empfehlen zur Erfüllung der Rechenschaftspflichten nach der DSGVO, dass schriftliche Einwilligungen eingeholt werden. Wir haben für Datenverarbeitungen in diesem Zusammenhang ein Bundle für DSGVO-Einwilligungen erstellt.

Dein Online-Business kannst du mit SCALELINE einfach, zu fairen Konditionen und schnell DSGVO-fit machen. Du beweist damit deinen Geschäftspartner:innen und Kund:innen ein hohes Maß Professionalität. Bei Fragen zum Einwilligungs-Bundle oder zum DSGVO-Check deiner Webseite kontaktiere uns am besten hier.

 

DSGVO-Mythos #3: Ich bin zu klein, um DSGVO-Strafen zu erhalten

DSGVO-Glaubenssätze, die wir im Zusammenhang mit diesem Mythos oft hören:

➡️ Ich habe nur X Mitarbeitende, ich bin unterhalb vom Radar der Datenschutzbehörde.

➡️Ich habe keine Mitarbeitenden und kenne all meine Kunden persönlich, da passt schon alles und passiert schon nix.

➡️ Wir haben intern keine Probleme. Wir brauchen keine schriftlichen Einwilligungen von unseren Mitarbeitenden einholen.

 

𝗙ü𝗿 𝘄𝗲𝗻 𝗴𝗶𝗹𝘁 𝗱𝗶𝗲 𝗗𝗦𝗚𝗩𝗢?

Die DSGVO gilt unabhängig von der Unternehmensgröße (Mitarbeiteranzahl etc.) und vom Jahresumsatz. Sie kann auch für Privatpersonen gelten – und auch gegen Privatpersonen gab es schon Strafen.

 

Sinn und Zweck von Compliance-Disziplinen wie der DSGVO

Compliance ist ursprünglich kein deutscher Ausdruck, er stammt aus dem Amerikanischen und bedeutet „Rechtstreue/Regelkonformität“. Es wird darunter die Pflicht von Entscheiungsträger:innen innerhalb eines Unternehmens verstanden, für die Einhaltung bindender Bestimmungen und Gesetze in ihrem Unternehmen Sorge zu tragen. Das gilt auch für die DSGVO, denn es gibt keine Ausnahmen für „kleine“ Unternehmen.

„Die DSGVO muss von jedem Unternehmen unabhängig der Größe beachtet und umgesetzt werden.“

Die einleitenden DSGVO-Glaubenssätze zeigen aus meiner Sicht auf, dass die Risiken der Nicht-Umsetzung der DSGVO immer noch unterschätzt werden. Gerade auch im Bereich von Kündigungsklagen oder bei Zwistigkeiten zwischen Geschäftspartnern, (ehemaligen) Mitarbeitenden oder auch Mitbewerberden wird die Nicht-Einhaltung und Nicht-Umsetzung der DSGVO oft gegen Unternehmen verwendet, die eine gering DSGVO-Compliance aufweisen. Betroffen haben die Möglichkeit eine Beschwerde bei der Datenschutzaufsichtsbehörde einzubringen, Schadenersatz nach Art. 82 DSGVO einzuklagen aber auch Betroffenenrechte wie das Auskunftsrecht geltend zu machen.

Um hier gewappnet zu sein, rechtzeitig und richtig reagieren zu können und ein Bußgeldrisiko zu minimieren, gilt es auch für „kleine“ Unternehmen, die DSGVO einzuhalten.

 

 

DSGVO-Mythos #4: Es bestehen keine Informationspflichten bei der Nutzung von Social-Media

Im Rahmen des Onboardings von Mandaten erkundigen wir uns immer, über welche Social-Media-Präsenzen sie verfügen und welche Maßnahmen dort gesetzt werden. Die Informationspflichten aus der DSGVO gelten auch für LinkedIn, Instagram & Co. Du musst die Besucher:innen deines gewerblich genutzten Profils informieren, welche Daten du zu welchem Zweck verarbeitest.

Zum Beispiel wenn du ein Gewinnspiel veranstaltest. Neben der DSGVO sind auch Regelungen des UWG zu beachten.

Es gibt noch eine weitere Pflicht: Die Einbindung deines Impressums.

„Unternehmen aus Österreich müssen zusätzlich neben den Informationspflichten die Pflichtangaben des § 5 E-Commerce-Gesetz beachten. Unternehmen aus Deutschland § 5 TMG (Telemediengesetz).“

Wenn du dir jetzt denkst:

Was auch bei meinen Social-Media-Präsenzen muss ich an die DSGVO denken, dann haben wir eine gute Nachricht: Wir haben ein Social-Media-Bundle für dich erstellt. Damit Du schnell und kompliziert deine DSGVO- und weiteren rechtlichen Pflichten erfüllen. Bei Fragen zum Social-Media-Bundle kontaktiere uns am besten hier und gib uns auch Bescheid, auf welchen Plattformen du vertreten bist und ob dein Unternehmen seinen Sitz in Deutschland oder Österreich hat.

 

 

DSGVO-Mythos #5: Betroffenenanfragen und die Frist zur Beantwortung

Alarm. 🆘 Ich finde es wunderbar, unsere Mandanten DSGVO-fit zu machen und dann einen kühlen Kopf zu bewahren, wenn bei den Mandanten des Öfteren alle Alarmglocken schrillen: Bei Eingang einer Betroffenenanfrage etwa beim Auskunftsersuchen.

Ein Klassiker ist, dass Betroffene „beantragen“, dass dem Auskunftsersuchen binnen 7 Tagen nachzukommen ist.

Hier sag ich dann immer: Erstmals durchatmen. Wir haben Zeit. Einen ganzen Monat ab Eingang der Betroffenenanfrage und Klärung der Identität.

 

𝗪𝗶𝗲 𝘄𝗶𝗿 𝗱𝗶𝗿 𝗵𝗲𝗹𝗳𝗲𝗻 𝗥𝗨𝗛𝗘 𝘇𝘂 𝗯𝗲𝘄𝗮𝗵𝗿𝗲𝗻

Wenn Du in deinem Unternehmen bisher keinen Prozess zu der Beantwortung von Betroffenenanfragen implementiert hast, du dir unsicher bist wie die Identitätsprüfung bei Betroffenenanfrage stattfinden darf, einen Leitfaden und Musterantworten in petto haben möchtest, dann kontaktiere uns am besten hier. Wir stimmen den Prozess mit dir und angepasst auf deine Organisation mit dir ab. Denn Prozesse zur Einhaltung der DSGVO sind individuell. Wie jedes Unternehmen.

 

DSGVO-Mythos #6: Datenschutzhinweise liest niemand

Jetzt ist mein persönlicher Lieblings-Mythos an der Reihe. Ja, ich gebe es zu: Datenschutztexte werden nicht auf der Spiegel-Bestseller-Liste landen. Müssen sie auch nicht. Denn es besteht keine Pflicht sie zu lesen.

 

Was jedoch eine Pflicht ist: Untenehmen müssen informieren und die Hinweise bereitstellen. Bei der Einwilligung gelten noch strengere Anforderungen. Egal, ob behauptet wird, dass die DSGVO-Texte kein:r liest, ein jedes Unternehmen braucht sie.

 

DSGVO-Mythos #7: Die DSGVO gilt nur innerhalb der Mitgliedsstaaten der EU

Die DSGVO gilt bekanntlich in der EU und im EWR. Aufgrund des Marktortprinzip aber auch sogar europaweit und unter Umständen weltweit.

Das bedeutet, dass auch Unternehmen mit Sitz außerhalb der EU unter Umständen die DSGVO erfüllen müssen.

Das betrifft unter anderem unsere Nachbarn in der Schweiz. Neben den allgemeinen Pflichten der DSGVO wie den Informationspflichten und den Abschluss von Verträgen zur Auftragsverarbeitung müssen Unternehmen mit Sitz in Drittländern noch eine weitere Verpflichtung nach der DSGVO erfüllen:

Die Benennung eines EU-Vertreters.

Wir überprüfen kostenlos für Unternehmen mit Sitz im Drittland, ob ein EU-Vertreter bestellt werden muss – und übernehmen diese Funktion natürlich auch. Damit Du DSGVO-compliant bist. Nicht zögern und heute noch DSGVO-compliant werden, indem du uns hier eine Nachricht schickst.

 

7 Mythen – eine gute Nachricht

Die Umsetzung der DSGVO in Unternehmen ist eine verpflichtende Aufgabe. Sie ist ein Marathon, kein Sprint – so ehrlich will ich sein. Mit zunehmender Digitalisierung werden die Anforderungen der DSGVO immer mehr Unternehmen treffen. Und unser Versprechen: Mit einer Datenschutzberatung durch SCALELINE macht die Umsetzung der DSGVO sogar Spaß. Denn bewahrt dein Unternehmen vor unangenehmen Folgen – und wir transportieren das Datenschutzrecht auf eine menschliche und nahbare Weise. Weil Datenschutz uns alle angeht.

 

 

 

 

 

Weitere Blog Artikel

Sport ist …

Sport ist für viele Mord. Sie plagen sich ins Fitnessstudio und strampeln sich ab. Der Gedanke dabei, von einer Videokamera

Weiterlesen »

SCALELINE

Scroll to Top