Die Frist zur Umsetzung der Vorgaben der DSGVO läuft am 25. Mai 2018 ab. Doch aktuell kursieren noch einige Gerüchte und Halbwissen bezüglich der neuen Datenschutz Grundverordnung. Verlassen Sie sich bei der Umstellung nicht auf Hören-Sagen. In unserem Blog klären wir Sie über einige der gravierendsten Irrtümer auf und stellen die tatsächlichen Gegebenheiten dar.
Irrtum 1: Die DSGVO tritt am 25. Mai 2018 in Kraft
Wer angenommen hat, die Datenschutz Grundverordnung sei eine vollkommen neue Einrichtung, die erst mit dem 25. Mai 2018 in Kraft tritt, liegt falsch. Dieser Termin stellt vielmehr die Deadline für die Umsetzung der Vorgaben dar, die in der DSGVO bereits vor über anderthalb Jahren festgelegt wurden. Es gab also defacto eine Vorlaufzeit und die läuft nun in Kürze ab. Für Unternehmen bedeutet dies vor allem, dass sie das Projekt „Datenschutz“ nun mit deutlich erhöhter Priorität vorantreiben müssen, um kostspielige Verstöße in der Zukunft zu vermeiden.
Irrtum 2: Es drohen Bußgelder von bis zu 20 Mio. EURo
Diese pauschale Angabe trifft nicht den Kern der angedachten Sanktionen, die theoretisch sogar weit höher liegen können als der genannte Betrag. Die häufig genannten 20 Millionen Euro sollen aber nicht das Ausmaß der möglichen Sanktionen herunterspielen, sie sind schlichtweg ein Missverständnis der tatsächlichen Regelung. In Artikel 83 DSGVO, der die allgemeinen Bedingungen für Geldbußen festlegt werden Verstöße in Bezug auf die Sicherheit der Verarbeitung (Art.32 DSGVO) mit Geldbußen von bis zu 10.000.000 Euro gelistet. Erzielt ein Unternehmen allerdings einen enormen weltweiten Jahresumsatz, kann der Bußgeldbetrag auch höher ausfallen, nämlich dann, wenn bereits 2% dieses Umsatzes den eigentlichen Bußgeldbetrag von 10.000.000 Euro übersteigen. In diesem Fall beträgt das Bußgeld eben den Wert dieser 2%.
Zehn Millionen Euro Bußgeld bei Verstößen gegen Artikel 32 DSGVO sind im Vergleich zum alten Bundesdatenschutzgesetz erschreckend hoch, die Spitzenwerte im Bußgeldkatalog der neuen Datenschutz Grundverordnung werden allerdings bei anderen Verstößen erzielt.
Zu diesen Vergehen gehören vor allem Verstöße gegen die Grundsätze der Verarbeitung, also gegen die Rechtmäßigkeit, die Verarbeitung nach Treu und Glauben, gegen die Transparenz, die Zweckbindung, die Datenminimierung, die Richtigkeit, die Speicherbegrenzung, die Integrität und Vertraulichkeit, sowie Verstöße gegen die Rechenschaftspflicht. Auch Verstöße die direkt die Rechte von betroffenen Personen betreffen, wie das neue Recht auf Datenübertragbarkeit, können mit Bußgeldern belegt werden, die tatsächlich die 20 Millionen Euro-Marke knacken.
Generell können aber Verstöße jeder Art zum maximalen Bußgeldsatz führen, am wahrscheinlichsten ist dies bei Verletzungen der Integrität und Vertraulichkeit.
Irrtum 3: Jeder muss jetzt einen Datenschutzbeauftragten haben!
Ob ein Unternehmen einen Datenschutzbeauftragten benötigt, regelt Artikel 37 DSGVO. Eine Ernennung wird demnach fällig, wenn:
- die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht.
Weder das alte Bundesdatenschutzgesetz, noch die DSGVO schreiben die generelle Ernennung eines Datenschutzbeauftragten vor.
Irrtum 4: Die DSGVO verbietet die Datenübermittlung in die USA!
Diese Annahme ist grundsätzlich falsch. Die DSGVO stellt zwar bestimmte Anforderungen beim Datentransfer in Drittstaaten wie die USA, ein generelles Verbot existiert allerdings nicht und wäre auch vollkommen widersinnig. Der Empfänger der Daten muss nachweisen, dass er in der Lage ist, die Richtlinien der DSGVO einzuhalten, also den Datenschutz gewähren.
In den USA kann dieser Nachweis beispielsweise über den sog. Privacy Shield erfolgen, bei dem die Aufsichtsbehörden der EU allerdings noch Nachbesserungsbedarf sehen. Vermutlich ist das Gerücht, die DSGVO würde die Datenübertragung in die USA verbieten diesem Umstand geschuldet. In Zukunft werden Drittstaaten auch in der Lage sein, Datenschutz-Zertifikate nach der DSGVO zu erwerben, von Verboten kann also keine Rede sein.
Irrtum 5: Unternehmen dürfen nur noch per verschlüsselter E-Mail kommunizieren!
Eine solche Vorgabe findet sich an keiner Stelle in der DSGVO, auch wenn verschlüsselte Emails natürlich einen großen Beitrag zur Datensicherheit liefern und in vielen Fällen sinnvoll sind. Die Datenschutz Grundverordnung sieht keinen Zwang zur Verschlüsselung vor.
Die DSGVO formuliert in Artikel 32 deutlich allgemeiner, dass Maßnahmen, die das Schutzniveau der betroffen Personen erhöhen unter Berücksichtigung bestimmter Faktoren zu treffen sind. Zu diesen Maßnahmen zählen eben auch die Pseudonymisierung und die Verschlüsselung personenbezogener Daten.
Inwiefern solche Verschlüsselungen sinnvoll, nötig oder gar verpflichtend sind, entscheiden die Umstände der Datenverarbeitung, die Eintrittswahrscheinlichkeit und Schwere eines bestimmten Risikos beispielsweise. Auch die Art, der Umfang, die Zwecke und Umstände der Datenverarbeitung entscheiden über das mögliche Gefährdungspotential und damit über das entsprechende Schutzniveau. Eine automatisierte Verschlüsselung ist also nicht gefordert, sie bleibt weiterhin eine sinnvolle Maßnahme bei besonders vertraulichen Daten.
Irrtum 6: Wir sind DSGVO-zertifiziert!
Wer den letzten Punkt im Kern erfasst hat, versteht auch, warum eine DSGVO-Zertifizierung zurzeit noch gar nicht möglich ist. Laut Artikel 42 DSGVO müssen zukünftige Zertifizierungsverfahren zunächst durch die zuständige Aufsichtsbehörde genehmigt werden, in weiterer Zukunft auch durch die entsprechenden Zertifizierungsstellen. Bedingung für die Genehmigung eines DSGVO-Zertifizierungsverfahrens sind Kriterien, die von der besagten Aufsichtsbehörde aufgestellt werden. Bisher wurden diese Kriterien allerdings noch gar nicht definiert.
Irrtum 7: Die Meldepflichten nach DSGVO sind ein Novum!
Bereits heute existiert eine Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten, mit der DSGVO kommt es nun allerdings zu einer Verschärfung dieser Pflicht, vor allem mit Blick auf die 72-Stunden-Frist zur Meldung bei der zuständigen Aufsichtsbehörde. Unternehmen, die bereits die Vorgaben des alten BDSG einhalten sollten allerdings bei der Umstellung auf die Anforderungen der DSGVO keine großen Schwierigkeiten haben.
FAZIT:
Mit den richtigen Informationsquellen und der richtigen Vorbereitung ist die Angst vor der DSGVO unbegründet. Sehen Sie die DSGVO als wahre Chance für Ihre Marketingmaßnahmen. Die Inbound Marketing Methode bietet hierfür die optimale Grundlage. Mit der Kombination aus Inbound Marketing und Datenschutz im Kontext der DSGVO wird Ihre Datenbank und Ihr E-Mail Verteiler mit Kontakten gefüllt sein, die einerseits ein wirkliches Interesse an Ihren Produkten beziehungsweise Dienstleistungen haben und andererseits auch damit einverstanden sind, dass Sie ihre personenbezogenen Daten speichern.
Mehr zum Thema DSGVO erfahren Sie auf unserem Blog:
