Die DSGVO, oder auch Datenschutz-Grundverordnung, kommt ab dem 25.05.2018 zur Anwendung. Für viele kommt dieser Moment überraschend. Dabei ist die Regelung bereits am 24.05.2016 in Kraft getreten. Aber das ist bei weitem nicht alles: Um die DSGVO ranken sich verschiedene Mythen und Irrtümer, die wir in diesem Artikel korrigieren möchten:
1. Mythos - Die DSGVO gilt nicht für kleine und mittlere Unternehmen (KMU): Falsch.
Auch wenn es sich bei Ihrem Unternehmen um ein KMU handelt, gilt für Sie die DSGVO. Allerdings sind diese Aufgaben im Vergleich zu größeren Unternehmen in einigen Fällen weniger aufwendig.
Nehmen wir zum Beispiel die Verpflichtung, Aufzeichnungen über die Verarbeitungstätigkeiten gemäß Artikel 30 zu führen:
Gemäß Artikel 30 Absatz 5 gilt diese Verpflichtung für KMU nur dann, wenn die Verarbeitung personenbezogener Daten durch das Unternehmen in bestimmter Weise erfolgt:
- Die Verarbeitung muss geeignet sein, die Rechte und Freiheiten anderer zu gefährden.
- Die Verarbeitung geschieht nicht nur gelegentlich.
Außerdem gilt die Verpflichtung für bestimmte Datenarten (vergl. Art. 9 I, DSGVO):
- Personenbezogene Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten gemäß Artikel 10.
Wenn Sie also an diesen Mythos glauben, wäre es ratsam, einen zweiten Blick auf Ihre Aufgaben im Rahmen der DSGVO zu werfen. Auch eine frühzeitige Beratung durch einen Fachmann wird dringend empfohlen.
2. Mythos - Bußgelder sind die einzige oder schlimmste Strafe bei Nichteinhaltung: Beide Annahmen sind leider falsch.
Eine Geldstrafe ist nicht die einzige Korrekturmaßnahme, die gegen Sie ergriffen werden kann, wenn Sie sich nicht an die Bestimmungen der DSGVO halten.
Die Behörden können öffentliche Verwarnungen und Abmahnungen aussprechen, permanente und vorübergehende Aussetzungen der Datenverarbeitung sowie hohe Geldbußen gemäß Artikel 58 verhängen. Darüber hinaus können auch von Dritten Schadensersatzansprüche geltend gemacht werden.
Und nicht nur Geldstrafen können schwer wiegen: Öffentliche Verwarnungen können dem Ruf Ihres Unternehmens in grundlegender Weise schaden. Da die Geschäftsmodelle vieler Unternehmen auf die Verarbeitung personenbezogener Daten angewiesen sind, kann jede Unterbrechung dieser Tätigkeit zu erheblichen Umsatzeinbußen und möglicherweise sogar zu einem Geschäftsabschluss führen.
Ein Beispiel für den möglichen Schaden eines ramponierten Images: Während der Fall Cambridge Analytics rechtlich noch nicht vollständig abgewickelt ist,hat der Rückzug bedeutender Kunden bereits zur Insolvenz des Unternehmens geführt.
3. Mythos - Die Verwendung personenbezogener Daten bedarf der Einwilligung: Falsch.
Die Einwilligung ist nur eine der sechs gesetzlichen Grundlagen für die Verarbeitung personenbezogener Daten gemäß Artikel 6 der DSGVO. Die anderen gesetzlichen Grundlagen für die Verarbeitung sind vertragliche Verpflichtung, berechtigte Interessen, gesetzliche Verpflichtung, lebenswichtige Interessen und öffentliche Interessen.
Keine der Grundlagen hat dabei Vorrang vor den anderen. Die Auswahl der am besten geeigneten Grundlage hängt von dem Zweck ab, den Sie für Ihre Verarbeitungstätigkeit haben, sowie von Ihrer Beziehung zu der Person, deren persönliche Daten Sie verarbeiten.
Allerdings sollte man sich der strategischen Implikationen dieser Grundlagen klar sein, da jede Grundlage eigene Rechtsfolgen besitzt, so dass in diesen Fällen manchmal unterschiedliche Rechte für die Betroffenen gelten.
4. Mythos - Sie müssen alle Daten einer Person auf deren Wunsch löschen: Falsch.
Zwar wird in den ersten beiden Absätzen von Artikel 17 der DSGVO erklärt, dass Einzelpersonen das Recht haben, die Löschung ihrer persönlichen Daten zu verlangen, dieses Recht wird jedoch in Absatz 3 desselben Artikels auch wieder eingeschränkt. So heißt es da:
Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist
- zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
- zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
- aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Artikel 9 Absatz 2 Buchstaben h und i sowie Artikel 9 Absatz 3;
- für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89
Absatz 1, soweit das in Absatz 1 genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder - zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Und damit stehen wir thematisch knöcheltief in geltendem Recht. Wir empfehlen Ihnen dringend, sich hierzu Rechtsberatung von qualifizierter Seite zu suchen. Oft bieten hier auch Innungen und andere Verbändeunterstützung. Wenn es dann um die Umsetzung und die konkreten Prozesse geht, kontaktieren Sie uns gerne, - wir helfen, wo wir können.
Haftungsausschluss:
Dieser Blog-Beitrag ist keine Rechtsberatung für Ihr Unternehmen zur Einhaltung von EU-Datenschutzgesetzen wie der DSGVO. Stattdessen liefert es Hintergrundinformationen, die Ihnen helfen, die DSGVO besser zu verstehen. Diese rechtlichen Informationen sind nicht dasselbe wie eine Rechtsberatung, bei der ein Anwalt das Gesetz auf Ihre spezifischen Umstände anwendet, deshalb bestehen wir darauf, dass Sie einen Anwalt konsultieren, wenn Sie eine Beratung zu Ihrer Interpretation dieser Informationen oder deren Richtigkeit wünschen. Kurz gesagt, Sie dürfen sich darauf nicht als Rechtsberatung oder als Empfehlung für ein bestimmtes Rechtsverständnis verlassen.
