Mythos oder Wahrheit? Die 5 größten DSGVO-Irrtümer

Der neue Datenschutz in der EU ließ lange auf sich warten. Ein Kräftemessen zwischen Wirtschaft, Politik und Datenschützern verzögerte einen endgültigen Konsens über Jahre hinweg. Übrig blieb eine Verordnung, die mehrfach geändert (oder anderweitig bis zur Unkenntlichkeit angepasst) wurde. Dass das zwangsläufig zu einer gewissen Verwirrung bei allen Verantwortlichen führte, verwundert nicht. Aus diesem Grund möchten wir fünf der häufigsten Missverständnisse beseitigen.

Fake — © Monster Ztudio / Shutterstock.com

Irrtum Eins: Nur große Unternehmen sind von der DSGVO betroffen

Die DSGVO gilt für alle Unternehmen, die eine komplette oder teilweise automatisierte Verarbeitung personenbezogener Daten vornehmen. Was bedeutet das genau? Zur Erinnerung: Personenbezogene Daten sind alle Informationen, die Rückschluss auf eine Person geben oder zulassen (z. B. Name, Anschrift, IP-Adresse, E-Mail-Adresse).

Die DSGVO kommt immer dann und für alle Unternehmen zur Anwendung, wenn eine automatisierte Verarbeitung der Daten (in z. B. Computer, Cloud) stattfindet, aber auch eine nicht automatisierte Verarbeitung vorgenommen wird, die in der Speicherung in einem Dateisystem (Eingabe von Kundendaten in eine Computer-Datenbank) resultiert. Lediglich der kleine stationäre Händler, der ausschließlich eine handschriftliche Kundendatei führt, fällt aus der DSGVO heraus.

Auch wenn die DSGVO kleinere Unternehmen in vielen Aspekten von einem erhöhten bürokratischen Aufwand befreien will, ist die generelle Anwendbarkeit nicht an die Unternehmensgröße oder Umsatzhöhe gekoppelt.

Irrtum Zwei: Jeder trägt selbst die Verantwortung für die Einhaltung der DSGVO

Die DSGVO richtet sich natürlich in erster Linie an die Verantwortlichen, also all diejenigen Personen oder Gesellschaften, Behörden, Einrichtungen oder Stellen, die in den Anwendungsbereich der DSGVO fallen (siehe Irrtum Eins) und allein oder gemeinsam mit anderen über die Verarbeitung von personenbezogenen Daten entscheiden. Ihnen obliegt auch die Pflicht, für die Rechtmäßigkeit der von ihnen verantworteten Datenverarbeitung und damit für die Einhaltung der DSGVO zu sorgen.

Wer die Datenverarbeitung jedoch an andere abgibt, gibt nicht automatisch auch die Verantwortung für den Datenschutz mit ab. Genannt werden muss an dieser Stelle die für Online-Händler relevante Auftragsverarbeitung. Bei der Auftragsverarbeitung erhebt, verarbeitet und/oder nutzt ein externer Dienstleister die personenbezogenen Daten für einen anderen (also den „Auftraggeber“, beispielsweise den Online-Händler). Das relevanteste Beispiel ist Google Analytics, aber auch die Herausgabe der Kundendatei an ein Callcenter zur Bestellannahme stellt ein typisches Beispiel für die Auslagerung der Daten an ein anderes Unternehmen dar.

Der Online-Händler, der die Daten seiner Webseitenbesucher oder andere persönliche Daten von anderen nutzen lässt, behält die volle Verantwortlichkeit, dass der Datenschutz nicht verletzt wird.

Irrtum Drei: Die DSGVO ist eine unfaire Belastung für kleine Unternehmen

Die Stimmen, die DSGVO sei für Händler unmöglich umsetzbar und eine große Belastung, sind nicht wegzudiskutieren. Das zeigen auch die Ergebnisse der letzten Händlerbund-Studie zur DSGVO, nach der sich zwar immer mehr Online-Händler mit dem Thema Datenschutz vertraut gemacht und sich zur DSGVO belesen haben. Mit der zunehmenden Vorbereitung auf den 25. Mai 2018 kam jedoch die Unsicherheit oder gar Geringschätzung. Das Ergebnis zeigt sogar, dass die zunehmende Auseinandersetzung mit dem neuen Datenschutzrecht bei den Befragten den Eindruck geweckt hat, die DSGVO sei überflüssig und eine Belastung.

Cyberkriminalität ist jedoch ein Thema, das nicht unter den Tisch gekehrt werden kann. Täglich werden Tausende von Attacken gegen Unternehmen verübt. Anstatt Unternehmen übermäßig unter Druck zu setzen, kann der neue Datenschutz auch eine Gelegenheit sein, Daten und Cybersicherheitsmaßnahmen auf den Prüfstand zu stellen und sicherzustellen, dass sie auf dem neuesten Stand sind. So wie die Installation einer Alarmanlage am Lager sorgt der Händler eben virtuell gegen Datendiebstahl und -missbrauch vor.

So kann die DSGVO möglicherweise langfristig die Bereitschaft der Menschen erhöhen, ihre Daten aufgrund der neuen Sicherheitsstandards weiterzugeben. Zeigen Sie also Ihren Kunden, dass Sie ihnen beim Datenschutz vertrauen können und fair, sicher und verantwortungsbewusst mit deren Daten umgehen.

Wir haben mit unseren Tipps und Tricks („Der DSGVO-Countdown: Wie plane ich die nächsten 157 Tage? (Teil 1)“ und „Wie plane ich die nächsten 135 Tage? (Teil 2)“ gezeigt, dass die DSGVO kein unlösbares Rätsel ist.

Irrtum Vier: US-Konzerne werden „davonkommen“

Tatsache ist, dass die DSGVO für jeden gelten wird, der mit Daten von EU-Bürgern arbeitet, unabhängig davon, wo er seinen Sitz hat. Selbst wenn Facebook, Google und Co. Nicht-EU-Unternehmen sind und mit Daten von EU-Bürgern arbeiten, müssen sie sich ebenfalls an die DSGVO halten. Allein bei der Durchfechtung der Bußgelder im Falle von Verstößen wird die Zukunft hoffen lassen, dass sich der Irrtum wirklich als unwahr herausstellt.

Irrtum Fünf: Die größte Bedrohung sind Bußgelder in Millionen-Höhe

Obwohl es Tatsache ist, dass Unternehmen, die sich nicht an die neuen Gesetze halten, mit Bußgeldern von bis zu vier Prozent ihrer weltweit erzielten Einnahmen oder maximal 20 Millionen Euro bestraft werden können, werden solche Bußgelder natürlich nicht an der Tagesordnung sein. Sie sind nur das maximal zulässige Höchstmaß.

Auch die deutschen Behörden haben die Macht, Beträge in Millionenhöhe zu verhängen, werden das „das Zuckerbrot“ jedoch gewiss „der Peitsche“ vorziehen. Horrende Geldstrafen werden nur der letzte Ausweg sein. Sanktionen, die die Behörden ergreifen werden, um die Unternehmen zur Einhaltung der Vorschriften zu bewegen, sind vielmehr Verwarnungen oder Anweisungen. Wie sich die Abmahnbranche entwickelt, bleibt abzuwarten.

Die Themenreihe zur Datenschutzgrundverordnung (DSGVO)

Einführung

Teil 1: Newsletterversand

Teil 2: Informationspflichten

Teil 3: Auskunftspflichten

Teil 4: Betroffenenrechte

Teil 5: Umgang mit Datenpannen

Teil 6: Neuerungen beim Umgang mit Kundendaten

Teil 7: Übermittlung von Daten ins Ausland

Teil 8: Auftragsdatenverarbeitung

Teil 9: Der Einsatz von Cookies

Teil 10: Social Plugins

Teil 11: Der Datenschutzbeauftragte

Teil 12: Verfahrensverzeichnis, Vorabkontrolle und Folgenabschätzung

Teil 13: Aufsichtsbehörden

Teil 14: Befugnisse und Sanktionsmaßnahmen

Teil 15: Praxisteil - Maßnahmen zur Vorbereitung (Checkliste)

Teil 16: Glossar

Der DSGVO-Countdown: Wie plane ich die nächsten 157 Tage? (Teil 1)

Der DSGVO-Countdown: Wie plane ich die nächsten 135 Tage? (Teil 2)

Veröffentlicht: 14.02.2018

Letzte Aktualisierung: 05.07.2022

Lesezeit: ca. 6 Min.

Artikel weiterempfehlen

Yvonne Bachmann

Expertin für IT-Recht

KOMMENTARE

8 Kommentare

Kommentar schreiben

DatenschutzMentor

09.03.2018

Antworten

„Irrtum“ Vier ist vermutlich nicht als ein echter Irrtum zu sehen, sondern durchaus als Realität (Wahrheit). Nicht-EU-ansäss ige Unternehmen werden kaum etwas zu befürchten haben. Es ist richtig, dass derartige Unternehmen den gleichen Grundsätzen unterworfen sind, wie in der EU ansässige Verantwortliche . Soweit die Theorie aber wer soll in der Praxis kontrollieren und Sanktionen aussprechen? In dem aktuellen BDSG findet sich ein vergleichbarer Abschnitt und dennoch sind mir von deutschen Behörden bisher keine Sanktionsaktion en gegen nicht EU-ansässige Verantwortliche bekannt (gegenläufige Belegbeispiele gerne willkommen). Die Behörden und die Mitarbeiter werden nach dem 25.05 die gleichen bleiben und die notwendigen Aufstockungen, so wenigstens in Bayern, werden nicht vollumfänglich genehmigt. Interner Mehraufwand, Beratungstätigk eiten, Unklarheiten und zusätzliche Abstimmungsaufg aben mit anderen EU-Behörden treffen auf Personalmangel. Bleiben da noch Ressourcen, nicht-EU-ansäss ige Verantwortliche umfassend, bei Bedarf sogar vor Ort zu kontrollieren? Ich würde mir wirklich wünschen, dass es hier nun zu einem einheitlichen Prüf- und Sanktionsansatz kommen wird und Bußgelder auch von nicht-EU-ansäss igen Verantwortliche n zu zahlen sind. Bis dahin lässt sich nicht wegdiskutieren, dass dem Datenschutz eine latente Wettbewerbsverz errung beiwohnt.

Rita Pröll

08.03.2018

Antworten

Hallo,
ich dachte wir sind hier im Händlerbund damit man uns klar sagt was zu tun ist.
Ohne das man 10 Jahre Studieren muß um zu verstehen was da steht.
Natürlich verkaufen wir kleine Händler keine Kundendaten aber ich muß doch die Rechnungen 10 Jahre aufheben.
Sagt doch bitte klar und verständlich in Kurzen Worten
Was muss ein Händler tun um sich vor Abnahmungen zu schützen.
Auch Eure Mails die wir bekommen was sich geändert hat sind so undurchschaubar das wir schon zwei mal angerufen haben um zu fragen ob wir nun die AGB oder das Impressum oder was auch immer ändern müssen.
Dann heist es nein. Ich frage mich warum schreibt Ihr es dann, nur um zu zeigen das Ihr noch da sein und Euer Geld wert???
In unserer Knappen Freizeit muss ich dann meterweise was lesen das ich nicht verstehe selbst nach dem zweiten mal duch lesen.
Ich würde diese Zeit lieber darauf verwenden zu Zeichnen.
Ich dachte dafür würden wir den Beitrag bei Euch Bezahlen.

Rene

17.02.2018

Antworten

Ich hab mir das sinnlose DSVGO Geschreibsel nun auch schon etliche Male durchgelesen, aber sehe absolut keinen Nutzen darin. Gut, ich setze im Online Shop hier und dort mehr einen Haken, aber Letzlich muss ich meine Daten ja hergeben, wie soll ich sonst beliefert werfen. Im Endeffekt wird es nur wieder die Abmahn Industrie beflügeln. Für den kleinen Online Shop Betreiber bringt dieses Gesetz nur Ärger und Zeitaufwand.

Das ist alles so krank. Wir machen uns das Leben künstlich schwerer. Wir leben nun mal in einer Zeit wo man seine ach so geheimen und persönlichen Daten überall preis gibt. Na und... Ich habe damit kein Problem. Wer es nicht abkann soll in den Wald ziehen und sich vom Rest der Menschheit abschirmen.

MIR GEHT ES LETZLICH AM A**** vorbei.

Heidemann

15.02.2018

Antworten

Sie wollen es einfach nicht verstehen - keiner will einen link zu noch weiteren .......bla,bla - sondern die Abschaffung dieses Monsters.
also ich habe mir das schon mehrfach teilweise bis komplett durchgelesen ,und ebend Ihr Countdown - es bleibt unverständlich ,widersprüchlic h ,sinnlos
warum bin ich hier voriges Jahr gelandet ? - fehlender Satz Vertragstexte (ich speicher sowieso keine und die Rechnungen habe ich auch in 10 Jahren noch (muss) - Abmahnung hier Mitgliedschaft 650,- Euro für was ? (neuer Beitrag noch nicht gerechnet)
und nach meinen ermessen schreiben Sie auch "Schmorkohl" ?
Countdown Teil 2 Schritt 6:
Zitat:In den wenigsten Fällen kommen die Varianten 2 bis 6 zum Tragen. Sie sollten daher überprüfen, wo Sie künftig eine Einwilligung einholen müssen.
-
na im Gegenteil wenn überhaupt zutreffend Punkt 2 und 3 würde ich mal behaupten
denn Punkt 1 - kann absolut nicht sein - da mir persönlich kein Käufer weder bei Ebay noch auf einer anderen Plattform (solange ich keine eigene habe) seine Einwilligung gibt - sondern die wurde Ebay erteilt.
und wer sammelt letztendlich die Daten - genau der Staat - Daten von Ebay erhoben ,von mir , eventuell Transportuntern ehmen , meine ,eine - alle Banken usw.
aber wahrscheinlich sehe ich das alles vollkommen falsch - keine Angst im April seit Ihr mich dann los.
Ein Jahr für nichts ,das ist allemal genug - sorry habe natürlich die herrlischen täglichen Schreckensmeldu ngen vergessen sonst hätte man ja nicht´s zum meckern

Redaktion

15.02.2018

Antworten

Hallo Anja,

der Händlerbund hat gestern einen umfassenden Leitfaden zur DSGVO veröffentlicht. Vielleicht hilft der dir weiter. Hier geht's zum kostenlosen Download:
haendlerbund.de/.../...

Beste Grüße
die Redaktion

anja

15.02.2018

Antworten

ich kapiere überhaupt nichts. erklärt mal jemand, was das eigentlich sein soll ??? ich lese immer nur herumgelabere um das thema, aber nie eine erklärung dazu, was das überhaupt sein soll. ich bekomme meine käuferdaten von ebay, die drucke ich aus und notiere sie mit intern für interne arbeiten, nachbestellung und buchhaltung. klar muß ich bei der buchhaltung angeben, der wann was gekauft hat. und ich notiere mir kundendaten für all die kunden, die mich später wegen nachbestellunge n anrufen oder anschreiben. das war's aber auch schon. diese daten sind nur von meinem pc abrufbar. was soll ich da wem erklären ? ich habe von dem ganzen onlinequatsch jeden monat mehr die nase voll. statt wirklich mal dem kleinen händler zeit und luft zu gönnen, sich um kundenbelange kümmern zu können, muß man ständig für solch einen schrott sein bißhen freizeit opfern, das im endeffekt niemandem was bringt. diejenigen, die daten mißbrauchen, werden es nach wie vor tun, denn sie sitzen ohnehin irgendwo auf dem globus oder sind aus anderen gründen nicht greifbar. wie sonst hat haben sich die belästigen durch callcenter und spammails eher verstärkt als vermindert ? und das wird sich auch nicht ändern. nur die kleinen, die in ihren richtlinien was vergessen, da sie eigentlich ohnehin nicht betrifft, werden garantiert dann wieder mit hohen bußen niedergeknüppel t und diejenigen, die es betrifft, machen weiter wie bisher. offenbar ist es unserer justiz sowieso zu anstrengend, den eigentlichen verbrechern nachzugehen. kleine, unschuldige händler kann man viel leichter fertigmachen.

Andy

14.02.2018

Antworten

Hier kommt der große Bruder des edlen Verbraucherstre itbeilegungsges etzes um die Ecke. Juristischer Dreck bis zum Kotzen.

Heidemann

14.02.2018

Antworten

nur um alles kontrollieren zu können wird hier jeder Händler - praktisch erstmal zum Verbrecher hochstilisiert.
wenn mal wirklich gegen Computerkrimina lität vorgehen würde und gleichzeitig die Strafen für wirklich Kriminelle entsprechend anheben würde - dann bräuchte man nicht solche dikriminierende n Gesetze zu verabschieden.
aber daran besteht ja kein Interesse (die Polizei braucht man um diverse Gipfel zu sichern) ,und so kann man auch schön den Druck auf unliebsame Bürger hochhalten.
mir liegen noch von Diebstahl bzw. bei Ebay von Firmen umgeleitete Kontonummern nach Polen usw. vor. die Ermittlungsverf ahren waren schneller eingestellt - als Ben Johnson selbst mit doppelten Doping hätte laufen können.
ich glaube jetzt zum 3. mal meine Frage wo denn diese ganzen Datenschutzbeau ftragten herkommen sollen ?
wenn man das ""Berufsbild"" mal liest - hat ja schon fast was von Adelsprädikat - angeblich hoch gebildet usw. /extrem verantwortlich (sich selbst gegenüber ?) - kündigungsschut z ! und an welcher UNI macht man dann seine Professur ???
kurse gibt´s dafür - na Bravo - andere Studieren 10 Jahre - und die managen /Digitalisieren dann ein Millionenuntern ehmen ins nichts ?

Mythos oder Wahrheit? Die 5 größten DSGVO-Irrtümer

Irrtum Eins: Nur große Unternehmen sind von der DSGVO betroffen

Irrtum Zwei: Jeder trägt selbst die Verantwortung für die Einhaltung der DSGVO

Irrtum Drei: Die DSGVO ist eine unfaire Belastung für kleine Unternehmen

Irrtum Vier: US-Konzerne werden „davonkommen“

Irrtum Fünf: Die größte Bedrohung sind Bußgelder in Millionen-Höhe

Yvonne Bachmann

Kommentar schreiben

Ihre Antwort schreiben

Ihre Antwort schreiben

Ihre Antwort schreiben

Ihre Antwort schreiben

Ihre Antwort schreiben

Ihre Antwort schreiben

Ihre Antwort schreiben

Ihre Antwort schreiben