Kontakt

Datenschutz

10 Mythen & Irrtümer zum Datenschutz und zur DSGVO

Lesedauer 6 Minuten

Mythos / Irrtum 1: Wir verarbeiten gar keine relevanten Daten

Viele Unternehmen, die sich bisher nicht intensiv mit dem Datenschutz beschäftigt haben, gehen davon aus, dass sie gar keine relevanten Daten verarbeiten. Häufig werden die Begriffe „personenbezogene Daten“ und „Verarbeitung“ auch missverstanden. Die Datenschutzgesetze erfassen jegliche Verarbeitung von Informationen, die irgendeinen Bezug zu natürlichen Personen haben. Dazu gehören zum Beispiel:

  • Name, Anschrift und Geburtsdatum
  • E-Mails, Briefe, SMS, Text- und Sprachnachrichten
  • Lohabrechnung, Einstellungsbogen, Gesprächsnotiz
  • IP-Adressen, Standortdaten

Mit dem Begriff „Verarbeitung“ wird von vielen Unternehmen nur das Speichern von Daten in einem System in Verbindung gebracht. Eine Verarbeitung umfasst zum Beispiel auch

  • das Erheben,
  • das Erfassen,
  • die Organisation,
  • das Ordnen,
  • die Speicherung,
  • die Anpassung oder Veränderung,
  • das Auslesen,
  • das Abfragen,
  • die Verwendung,
  • die Offenlegung durch Übermittlung,
  • Verbreitung oder eine andere Form der Bereitstellung,
  • den Abgleich oder die Verknüpfung,
  • die Einschränkung,
  • das Löschen oder die Vernichtung personenbezogener Daten.

Dabei spielt es keine Rolle, ob diese Daten mit dem Computer, dem Handy oder handschriftlich in Akten oder Notizbüchern erfasst werden.

Am Ende verarbeitet wohl jedes Unternehmen bei fast jedem Unternehmensprozess auch personenbezogene Daten.

Mythos / Irrtum 2: Wir brauchen keine/n Datenschutzbeauftragte/n, daher müssen wir auch keinen Datenschutz umsetzen

Ein/e Datenschutzbeauftragte/r muss von jedem Unternehmen benannt werden, das mindestens 20 Mitarbeiter:innen hat, die mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Deshalb denken Unternehmen immer wieder, der Datenschutz sei für sie nicht relevant. Grundsätzlich gilt die Datenschutz-Grundverordnung für alle Unternehmen in Europa gleichermaßen. Dadurch muss jedes Unternehmen, dass personenbezogene Daten verarbeitet, unabhängig von der Mitarbeiterzahl, die Richtlinien der DSGVO umsetzen.

Mythos / Irrtum 3: Wir setzen Datenschutz einmal um und sind dann fertig

Einige Unternehmen sind der Auffassung, dass die Umsetzung des Datenschutzes, durch ein einmaliges Handeln erledigt werden kann. Diese Auffassung ist leider nicht richtig, denn die Umsetzung des Datenschutzes ist ein kontinuierlicher Prozess und zielt darauf ab, durch organisatorische und technische Rahmenbedingungen, ein hohes Maß an Datenschutz zu gewährleisten. Änderungen im Unternehmen oder aktuelle Rechtsprechungen machen eine regelmäßige Überprüfung des Datenschutzes notwendig.

Mythos / Irrtum 4: Was soll uns schon ohne Datenschutz passieren?

Die Einhaltung datenschutzrechtlicher Vorschriften der DSGVO sind für alle Unternehmen verpflichtend. Werden diese missachtet, kann die Aufsichtsbehörde empfindliche Bußgelder verhängen. Bisher waren Kontrollen und die Verhängung von Bußgeldern eher rar. Gemäß den Tätigkeitsberichten der Aufsichtsbehörden ist aber mit stetig steigenden Überprüfungen zu rechnen. Neben diesen finanziellen Einbußen droht Unternehmen mit unzureichendem Datenschutz auch ein Imageschaden.

Mythos / Irrtum 5: Datenschutz macht uns nur Arbeit, schafft aber keinen Mehrwert

Umfragen zufolge sind viele Unternehmen der Auffassung, dass der Datenschutz viele Geschäftsprozesse verkompliziert und verlangsamt. Insbesondere da es viele Unsicherheiten im Unternehmen zum Thema Datenschutz gibt. Allerdings regelt die DSGVO auch viele Themen eindeutig. Durch systematische Umsetzung der Anforderungen können Prozesse in der Verarbeitung optimiert werden. Die Reduzierung der Menge gesammelter Daten sowie die vertrauliche Behandlung dieser, können ebenfalls Vorteile für das Unternehmen selbst bringen und sowohl die Mitarbeiter*innen- wie auch die Kund*innenzufriedenheit erhöhen.

Mythos / Irrtum 6: Für uns reicht eine Datenschutzerklärung auf der Website

Einige Unternehmen denken, es reicht eine Datenschutzerklärung auf der Webseite einzufügen, um den Anforderungen der DSGVO zu entsprechen. So einfach ist es dann leider doch nicht. Denn eine Datenschutzerklärung ist weder das einzige Dokument, das individuell für das Unternehmen erstellen werden muss – noch ist die Website mit einer Datenschutzerklärung DSGVO-konform.

Folgende Datenschutz-Dokumente benötigt ein Unternehmen neben der Datenschutzerklärung:

  • Verfahrensdokumentationen
  • Auftragsverarbeitungsverträge (AVVs)
  • Dokumentation der technischen und organisatorischen Maßnahmen (TOM)
  • Schulungs- und Awarenesskonzept
  • Löschkonzept
  • Datenschutzkonzept (empfohlen)
  • Folgende Datenschutz-Maßnahmen sollten ebenfalls auf der Website vorhanden sein:
  • Datenschutzerklärungen für die Social-Media-Kanäle
  • Datenschutzkonformer Cookie-Hinweis
  • Datenschutzkonforme Analytics Tools
  • Datenschutzkonforme Kontaktformulare
  • SSL/HTTPS Verschlüsselung

Mythos / Irrtum 7: In die Datenschutzerklärung muss eingewilligt werden

Eine Datenschutzerklärung informiert betroffene Personen, wer ihre Daten wie verarbeitet (Informationspflicht gem. Art. 13 DSGVO) und welche Betroffenenrechte es gibt. Diese Informationen kann eine Person zur Kenntnis nehmen. Sie kann die Kenntnisnahme per Unterschrift oder Klick dokumentieren. Deswegen ist die Kenntnisnahme aber noch lange keine abgegebene Einwilligung gem. Art. 7 DSGVO. Der Satz „Ich willige in die Datenschutzerklärung ein“ vermengt also die Informationspflicht und die Einwilligung.

Mythos / Irrtum 8: Für jeden Dienstleister müssen wir ein Auftragsverarbeitungsvertrag abschließen

Unternehmen beauftragen die unterschiedlichsten Dienstleister: Steuerberater, Sicherheitsdienstleister, Logistikunternehmen, Reinigungsfirmen, IT-Dienstleister und und und. All diese Dienstleister können in irgendeiner Form auch personenbezogene Daten verarbeiten. Deswegen sind sie aber noch längst keine Auftragsverarbeiter im Sinne der DSGVO. Von einer Datenverarbeitung im Auftrag spricht das Gesetz, wenn ein Unternehmen ein anderes Unternehmen mit der weisungsgebundenen Verarbeitung von personenbezogenen Daten beauftragt. Ein Auftragsverarbeitungsvertrag ist nur dann notwendig, wenn diese Kriterien erfüllt sind.

Mythos / Irrtum 9: Wir dürfen keine Daten mehr in die USA übermitteln

Das ist nicht korrekt. Eine Auftragsverarbeitung, also das Verarbeiten personenbezogener Daten durch einen Dienstleister, darf laut DSGVO auch außerhalb der EU stattfinden.

Die DSGVO knüpft eine Datenübermittlung ins Nicht-EU-Ausland wie die USA allerdings an verschiedene Anforderungen. Dabei muss der Dienstleister, beispielsweise ein amerikanischer Cloud-Service, eine Datenschutzgarantie erbringen, dass deren Datenschutzniveau, dem der Europäischen Union entspricht. Eine Möglichkeit hierfür können die von der EU-Kommission bereitgestellten Standardvertragsklauseln bieten.

Mythos / Irrtum 10: Wir dürfen keine personenbezogene Daten in der Cloud speichern

Auch das ist nicht korrekt. Personenbezogene Daten dürfen weiterhin in einer Cloud gespeichert werden. Es muss allerdings ein sogenannter Auftragsverarbeitungsvertrag (AVV) mit dem Cloud-Betreiber abgeschlossen werden. Für diesen Vertrag gelten konkrete Vorgaben aus der DSGVO. Der Cloud-Anbieter muss unteranderem in dem Vertrag sicherstellen, dass er geeignete technische und organisatorische Maßnahmen getroffen hat, um sicher zu stellen, dass die Datenverarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und dass die Rechte der Betroffenen gewahrt werden.

Weitere Beiträge

Alle Artikel ansehen

NIS-2

19 Februar 2024

NIS-2-Anforderungen: Was Sie als Unternehmen wissen müssen 
Die NIS-2-Anforderungen beschäftigen derzeit viele Unternehmen aus verschiedenen Branchen. Die NIS-2-Richtlinie, kurz für die EU-Richtlinie über Netz- und Informationssicherheit 2 (im englischen Original: „The Network and Information...
Weiterlesen

11 Juli 2023

Haben Sie das Hinweisgeberschutzgesetz schon umgesetzt?
Das Hinweisgeberschutzgesetz (HinSchG) ist in aller Munde. Doch haben Sie sich als Unternehmer schon damit auseinandergesetzt? Mit dem HinSchG setzt der deutsche Gesetzgeber die „Whistleblower-Richtlinie“ der EU um. Das Gesetz regelt den...
Weiterlesen

ISO 27001

28 Oktober 2022

ISO 27001:2022 - Endecken Sie, was sich jetzt ändert.
Am 25.10.2022 hat die International Organization for Standardization zusammen mit dem International Electrotechnical Commission die neue Version des wichtigsten europäischen Standards für Informationssicherheit veröffentlicht. Nach den...
Weiterlesen