Die DSGVO – 10 Mythen rund um die Datenschutzgrundverordnung

Seit einiger Zeit sorgt ein kleines Kürzel für große Unsicherheit: Gemeint ist die DSGVO. Die seit dem 25. Mai 2018 europaweit geltende Datenschutzgrundverordnung soll sicherstellen, dass erhobene Daten etwa im Rahmen von Kaufverträgen oder Bestellvorgängen so behandelt werden, dass sie von unbefugten Dritten nicht missbraucht werden können. Um die Verordnung selbst ranken sich jedoch zahlreiche Mythen, die widerlegt werden müssen.

1. Die DSGVO tritt jetzt in Kraft

In vielen Unternehmen beginnt nun die Hektik. Wie sollen die neuen Bestimmungen bloß umgesetzt werden, die ja ab Mai zu gelten scheinen? Allerdings wäre diese Frage zu spät gestellt. Seit zwei Jahren gilt das Gesetz bereits. Seither lief lediglich eine Übergangsfrist, die vorsieht, dass mit dem 25. Mai 2018 alle Grundlagen der DSGVO einzuhalten sind. Dieses Datum war also bereits der letzte Stichtag der Frist – und nicht der Auftakt dazu, sich endlich um die Einhaltung der Vorgaben zum Datenschutz zu bemühen.

2. Der Datenschutzbeauftragte ist die wichtigste Person im Unternehmen

Immer mehr Konzerne engagieren einen eigenen Beauftragten, der die Umsetzung der Verordnung gewährleisten soll. Weder im bislang gültigen Bundesdatenschutzgesetz noch in der neuen Datenschutzgrundverordnung ist aber die Pflicht zum Einstellen eines Datenschutzbeauftragten zu finden. Lediglich Artikel 37 DSGVO nennt Kriterien, bei deren Vorhandensein ein solcher Mitarbeiter bestimmt werden muss. Das ist dann der Fall, wenn Daten zur Personenüberwachung oder nach strafrechtlichen Verurteilungen von öffentlichen Behörden oder darauf spezialisierten Unternehmen verarbeitet werden.

2. Der Datenschutzbeauftragte ist die wichtigste Person im Unternehmen

Immer mehr Konzerne engagieren einen eigenen Beauftragten, der die Umsetzung der Verordnung gewährleisten soll. Weder im bislang gültigen Bundesdatenschutzgesetz noch in der neuen Datenschutzgrundverordnung ist aber die Pflicht zum Einstellen eines Datenschutzbeauftragten zu finden. Lediglich Artikel 37 DSGVO nennt Kriterien, bei deren Vorhandensein ein solcher Mitarbeiter bestimmt werden muss. Das ist dann der Fall, wenn Daten zur Personenüberwachung oder nach strafrechtlichen Verurteilungen von öffentlichen Behörden oder darauf spezialisierten Unternehmen verarbeitet werden.

3. Kleine Unternehmen sind von sämtlichen Verpflichtungen befreit

Aus dem zuvor Gesagten lässt sich der Eindruck gewinnen, die Datenschutzgrundverordnung richte sich ausnahmslos an Behörden und größere Unternehmen. Das ist allerdings falsch. Müssen kleinere Betriebe auch keinen Datenschutzbeauftragen einstellen, so sind sie dennoch zum Führen eines Verfahrensverzeichnisses verpflichtet (Artikel 30 Absatz 5 DSGVO). Darin werden alle personenbezogenen Daten gespeichert – auch durch Unternehmen, die weniger als 250 Mitarbeiter aufweisen. Entscheidend ist einzig, dass die Hauptleistung des Gewerbes mit dem regelmäßigen Erfassen und Verarbeiten solcher Daten verbunden ist.

4. Wer Daten von einem Partner verarbeiten lässt, steht nicht in der Verantwortung

Wie sieht es allerdings bei solchen Unternehmen aus, die die Daten nicht selbst verarbeiten? Kleinere Betriebe legen diesen Aufwand gerne in die Hände darauf spezialisierter Agenturen. Hier gilt der Grundsatz, dass jedes Gewerbe selbst dafür haftet, dass alle in seinem Namen erhobenen Daten sensibel behandelt werden. Begeht das Partnerunternehmen also einen Fehler, haftet das beauftragende Gewerbe. Ausnahmen gelten lediglich dann, wenn der beauftragten Agentur grobe Mängel bei der Verarbeitung nachgewiesen werden können.

5. Daten dürfen nicht in der Cloud gespeichert werden

Wer die gesammelten Daten seiner Kunden nicht auf dem heimischen Rechner oder im Aktenordner speichern, sie aber ebenso wenig einem Drittanbieter überlassen möchte, greift gerne auf die Cloud zurück. Auf externen Servern werden die Daten nunmehr sicher hinterlegt. Doch steht dieses Vorgehen überhaupt in Einklang mit der DSGVO? Die Antwort lautet: Ja, denn die Datenschutzgrundverordnung gilt auch für die Provider einer Cloud. Sie müssen gleichfalls den sorgsamen Umgang mit personenbezogenen Daten nachweisen können, ehe sie ihren Service anbieten.

6. Die Cloud ist absolut sicher

Allerdings dürfen Unternehmer bei der Auswahl eines Cloud-Providers nicht unvorsichtig agieren. Die bloße Nachfrage beim Anbieter, ob er alle Bestimmungen der DSGVO einhält, genügt nicht. Vielmehr muss von diesem der schriftliche Nachweis – und damit eine rechtssichere Garantie – erbracht werden, dass die von ihm getroffenen technischen Maßnahmen geeignet sind, den Zugriff durch Dritte zu verhindern. Kommt der Unternehmer nicht seiner Pflicht nach, diese Informationen in Erfahrung zu bringen, so kann darin bereits ein Verstoß gegen die Datenschutzgrundverordnung liegen.

7. Das DSGVO-Zertifikat zeigt den sorgsamen Umgang mit den Daten an

Natürlich wurde im Zuge der Erstellung der Datenschutzgrundverordnung auch die Frage aufgeworfen, ob sich die Unternehmen in Zukunft nicht zertifizieren lassen können, wenn sie im Umgang mit personenbezogenen Daten im Sinne des Gesetzes handeln. Tatsächlich sieht Artikel 42 DSGVO eine solche Bewertung durch dafür zuständige Behörden vor. Allerdings ist bislang nicht eindeutig festgelegt worden, wie ein solches Zertifizierungsverfahren aussehen könnte, welche Kriterien dafür erfüllt sein müssten oder wie lange das ausgestellte Zeugnis gültig wäre.

8. Alle alten Daten werden gelöscht

Die neue Grundverordnung wirkt für alle in Zukunft erhobenen Daten. Wie ist jedoch mit Anschriften, Bestellhistorien oder Zimmerreservierungen umzugehen, die noch aus den letzten Jahren vorliegen? Wurden diese rechtmäßig – durch die Einwilligung des Vertragspartners – aufgenommen und im Sinne des bisher gültigen Bundesdatenschutzgesetzes abgespeichert, so besteht keine Pflicht zum Löschen. Alte Adressen können somit weiterhin für den Newsletter per Email oder per Post verwendet werden. Allerdings sind die Daten so zu behandeln, dass Unbefugten ein Zugang dazu verwehrt ist.

9. Die Meldepflichten in der DSGVO sind neu

Wie ist aber zu verfahren, wenn tatsächlich ein solcher unerlaubter Zugriff auf die Daten erkannt wird? Die Datenschutzgrundverordnung sieht dafür eine Frist von 72 Stunden vor, um diesen Vorgang den dafür zuständigen Behörden zu melden. Die nunmehr geltende dreitägige Dauer stellt zwar eine Verschärfung gegenüber den Grundsätzen des alten Bundesdatenschutzgesetzes dar – gänzlich neu ist eine solche Vorschrift aber nicht. Unzulässige Verwendungen der Daten mussten auch vor Inkrafttreten der DSGVO gemeldet werden.

10. Bei Verstoß drohen Bußgelder in Millionenhöhe und Haftstrafen

Was passiert, wenn die Datenschutzgrundverordnung tatsächlich missachtet wird? Immer wieder ist von Geldstrafen im Bereich zwischen 10 und 20 Millionen Euro die Rede. Zumindest erstgenannte Zahl lässt sich aus der Verordnung tatsächlich herleiten (Artikel 32 DSGVO) – würde aber lediglich in extremen Fällen in Betracht kommen. Welche Voraussetzungen dafür konkret vorliegen müssten, lässt das Gesetz offen. Die Rechtsprechung wird in den kommenden Jahren für Klarheit sorgen. Die zuweilen kolportierten Haftstrafen sieht die Datenschutzgrundverordnung dagegen gar nicht erst vor.