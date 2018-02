Mythos oder Wahrheit? Die 5 größten DSGVO-Irrtümer

Der neue Datenschutz in der EU ließ lange auf sich warten. Ein Kräftemessen zwischen Wirtschaft, Politik und Datenschützern verzögerte einen endgültigen Konsens über Jahre hinweg. Übrig blieb eine Verordnung, die mehrfach geändert (oder anderweitig bis zur Unkenntlichkeit angepasst) wurde. Dass das zwangsläufig zu einer gewissen Verwirrung bei allen Verantwortlichen führte, verwundert nicht. Aus diesem Grund möchten wir fünf der häufigsten Missverständnisse beseitigen.

© Monster Ztudio / Shutterstock.com

Irrtum Eins: Nur große Unternehmen sind von der DSGVO betroffen

Die DSGVO gilt für alle Unternehmen, die eine komplette oder teilweise automatisierte Verarbeitung personenbezogener Daten vornehmen. Was bedeutet das genau? Zur Erinnerung: Personenbezogene Daten sind alle Informationen, die Rückschluss auf eine Person geben oder zulassen (z. B. Name, Anschrift, IP-Adresse, E-Mail-Adresse).

Die DSGVO kommt immer dann und für alle Unternehmen zur Anwendung, wenn eine automatisierte Verarbeitung der Daten (in z. B. Computer, Cloud) stattfindet, aber auch eine nicht automatisierte Verarbeitung vorgenommen wird, die in der Speicherung in einem Dateisystem (Eingabe von Kundendaten in eine Computer-Datenbank) resultiert. Lediglich der kleine stationäre Händler, der ausschließlich eine handschriftliche Kundendatei führt, fällt aus der DSGVO heraus.

Auch wenn die DSGVO kleinere Unternehmen in vielen Aspekten von einem erhöhten bürokratischen Aufwand befreien will, ist die generelle Anwendbarkeit nicht an die Unternehmensgröße oder Umsatzhöhe gekoppelt.

Irrtum Zwei: Jeder trägt selbst die Verantwortung für die Einhaltung der DSGVO

Die DSGVO richtet sich natürlich in erster Linie an die Verantwortlichen, also all diejenigen Personen oder Gesellschaften, Behörden, Einrichtungen oder Stellen, die in den Anwendungsbereich der DSGVO fallen (siehe Irrtum Eins) und allein oder gemeinsam mit anderen über die Verarbeitung von personenbezogenen Daten entscheiden. Ihnen obliegt auch die Pflicht, für die Rechtmäßigkeit der von ihnen verantworteten Datenverarbeitung und damit für die Einhaltung der DSGVO zu sorgen.

Wer die Datenverarbeitung jedoch an andere abgibt, gibt nicht automatisch auch die Verantwortung für den Datenschutz mit ab. Genannt werden muss an dieser Stelle die für Online-Händler relevante Auftragsverarbeitung. Bei der Auftragsverarbeitung erhebt, verarbeitet und/oder nutzt ein externer Dienstleister die personenbezogenen Daten für einen anderen (also den „Auftraggeber“, beispielsweise den Online-Händler). Das relevanteste Beispiel ist Google Analytics, aber auch die Herausgabe der Kundendatei an ein Callcenter zur Bestellannahme stellt ein typisches Beispiel für die Auslagerung der Daten an ein anderes Unternehmen dar.

Der Online-Händler, der die Daten seiner Webseitenbesucher oder andere persönliche Daten von anderen nutzen lässt, behält die volle Verantwortlichkeit, dass der Datenschutz nicht verletzt wird.

Irrtum Drei: Die DSGVO ist eine unfaire Belastung für kleine Unternehmen

Die Stimmen, die DSGVO sei für Händler unmöglich umsetzbar und eine große Belastung, sind nicht wegzudiskutieren. Das zeigen auch die Ergebnisse der letzten Händlerbund-Studie zur DSGVO, nach der sich zwar immer mehr Online-Händler mit dem Thema Datenschutz vertraut gemacht und sich zur DSGVO belesen haben. Mit der zunehmenden Vorbereitung auf den 25. Mai 2018 kam jedoch die Unsicherheit oder gar Geringschätzung. Das Ergebnis zeigt sogar, dass die zunehmende Auseinandersetzung mit dem neuen Datenschutzrecht bei den Befragten den Eindruck geweckt hat, die DSGVO sei überflüssig und eine Belastung.

Cyberkriminalität ist jedoch ein Thema, das nicht unter den Tisch gekehrt werden kann. Täglich werden Tausende von Attacken gegen Unternehmen verübt. Anstatt Unternehmen übermäßig unter Druck zu setzen, kann der neue Datenschutz auch eine Gelegenheit sein, Daten und Cybersicherheitsmaßnahmen auf den Prüfstand zu stellen und sicherzustellen, dass sie auf dem neuesten Stand sind. So wie die Installation einer Alarmanlage am Lager sorgt der Händler eben virtuell gegen Datendiebstahl und -missbrauch vor.

So kann die DSGVO möglicherweise langfristig die Bereitschaft der Menschen erhöhen, ihre Daten aufgrund der neuen Sicherheitsstandards weiterzugeben. Zeigen Sie also Ihren Kunden, dass Sie ihnen beim Datenschutz vertrauen können und fair, sicher und verantwortungsbewusst mit deren Daten umgehen.

Wir haben mit unseren Tipps und Tricks („Der DSGVO-Countdown: Wie plane ich die nächsten 157 Tage? (Teil 1)“ und „Wie plane ich die nächsten 135 Tage? (Teil 2)“ gezeigt, dass die DSGVO kein unlösbares Rätsel ist.

Irrtum Vier: US-Konzerne werden „davonkommen“

Tatsache ist, dass die DSGVO für jeden gelten wird, der mit Daten von EU-Bürgern arbeitet, unabhängig davon, wo er seinen Sitz hat. Selbst wenn Facebook, Google und Co. Nicht-EU-Unternehmen sind und mit Daten von EU-Bürgern arbeiten, müssen sie sich ebenfalls an die DSGVO halten. Allein bei der Durchfechtung der Bußgelder im Falle von Verstößen wird die Zukunft hoffen lassen, dass sich der Irrtum wirklich als unwahr herausstellt.

Irrtum Fünf: Die größte Bedrohung sind Bußgelder in Millionen-Höhe

Obwohl es Tatsache ist, dass Unternehmen, die sich nicht an die neuen Gesetze halten, mit Bußgeldern von bis zu vier Prozent ihrer weltweit erzielten Einnahmen oder maximal 20 Millionen Euro bestraft werden können, werden solche Bußgelder natürlich nicht an der Tagesordnung sein. Sie sind nur das maximal zulässige Höchstmaß.

Auch die deutschen Behörden haben die Macht, Beträge in Millionenhöhe zu verhängen, werden das „das Zuckerbrot“ jedoch gewiss „der Peitsche“ vorziehen. Horrende Geldstrafen werden nur der letzte Ausweg sein. Sanktionen, die die Behörden ergreifen werden, um die Unternehmen zur Einhaltung der Vorschriften zu bewegen, sind vielmehr Verwarnungen oder Anweisungen. Wie sich die Abmahnbranche entwickelt, bleibt abzuwarten.

Die Themenreihe zur Datenschutzgrundverordnung (DSGVO)

Einführung

Teil 1: Newsletterversand

Teil 2: Informationspflichten

Teil 3: Auskunftspflichten

Teil 4: Betroffenenrechte

Teil 5: Umgang mit Datenpannen

Teil 6: Neuerungen beim Umgang mit Kundendaten

Teil 7: Übermittlung von Daten ins Ausland

Teil 8: Auftragsdatenverarbeitung

Teil 9: Der Einsatz von Cookies

Teil 10: Social Plugins

Teil 11: Der Datenschutzbeauftragte

Teil 12: Verfahrensverzeichnis, Vorabkontrolle und Folgenabschätzung

Teil 13: Aufsichtsbehörden

Teil 14: Befugnisse und Sanktionsmaßnahmen

Teil 15: Praxisteil - Maßnahmen zur Vorbereitung (Checkliste)

Teil 16: Glossar

Der DSGVO-Countdown: Wie plane ich die nächsten 157 Tage? (Teil 1)

Der DSGVO-Countdown: Wie plane ich die nächsten 135 Tage? (Teil 2)