Datenschutz Mythen
Vorsicht Ammenmärchen – die größten datenschutzrechtlichen Mythen
Als die DS-GVO am 25.05.2018 in Kraft trat, hatte fast jeder einen schlauen Beitrag dazu zu leisten. Es gab zahlreiche Artikel, Aufrufe, Warnungen und Hysterien im Netz und in der Presse zu lesen sowie etliche mehr oder weniger gut fundierte Fachartikel zu zentralen Fragen und den großen Neuerungen. Aus juristischem Halbwissen wurde dabei leicht ein gefährliches Ammenmärchen. Diese fünf Mythen sollten Sie auf jeden Fall kennen, um nicht einem gefährlichen Irrglauben aufzusitzen:
Mythos 1: Es wird alles heißer gekocht als gegessen – alles nur unnötige Panik!
In der Tat konnte man um den 25.05.2018 denken, die Welt der Unternehmer geht unter und es bricht eine immense Datenschutzbußgeld- und Abmahnwelle herein. Tatsächlich dreht sich die Welt auch im Jahr 2019 weiter und die meisten Unternehmen haben weder eine wettbewerbsrechtliche Abmahnung noch ein Bußgeldverfahren erhalten. Selbst in den Nachrichten wurde erst über zwei Bußgelder berichtet die weit unter der horrenden Summe von 20 Millionen Euro lagen.
Mythos 2: Wir sind zu klein und fliegen unterhalb des Radars der Behörde!
Auf den ersten Blick geraten die kleinen Unternehmen nicht unbedingt in den Fokus der Aufsichtsbehörden. Es gibt aber kein Unternehmen, dass zu klein für den Datenschutz und damit auch die Aufsichtsbehörden ist. Die Vorgaben der DS-GVO muss jedes Unternehmen einhalten – egal wie groß oder klein es ist. Es braucht aber nicht zwangsweise jedes Unternehmen einen Datenschutzbeauftragten. Die Notwendig-keit eines Datenschutzbeauftragten darf daher nicht mit der Einhaltung der DS-GVO gleichgesetzt werden. Im übrigen knüpft sich auch die Erforderlichkeit eines Datenschutzbeauftragten nicht nur an die Betriebsgröße. Sind Sie etwa zur Durchführung einer einzigen Datenschutzfolgenabschätzung verpflichtet, brauchen Sie einen Datenschutzbeauftragten – auch wenn Sie eine One-Man-Show betreiben. Auch wenn sich eine betroffene Person über Ihr Unternehmen beschwert, muss die Aufsichtsbehörde dem nachgehen. Da gibt es keinen Bonus für kleine Unternehmen. Darüber hinaus interessieren sich verärgerte Personen nicht für Ihre Unternehmensgröße, wenn es darum geht, dass Sie Schadenersatz zahlen sollen. Es gibt damit kein zu kleines Unternehmen für den Datenschuzt und die Aufsichtsbehörden!
Mythos 3: Wir verkaufen Maschinen und verarbeiten keine personenbezogenen Daten!
So einfach ist es leider nicht. Es gibt keine Branche, die keine personenbezogenen Daten verarbeitet. Der Datenschutz wird zwar zunächst einmal mit den großen Datenbanken und der gesamten Internetbranche assoziert – schließlich wird der Kunde mit all seinen Daten in sozialen Netzwerken und auf diversen Plattformen schon selbst zum Produkt dieser Firmen. Personenbezogene Daten werden aber dennoch auch im klassichen verarbeitenden Produktionsgwerbe oder beim schlichten Verkauf von Maschinen oder anderen Produkten verarbeitet. Schließlich speichern Sie doch die Daten Ihrer Mitarbeiter, haben eine Kunden-Datenbank, lesen/schreiben Sie E-Mails an Personen, sammeln Visitenkarten auf Messen ein, suchen neue Kollegen und stellen im Internet ein Kontaktformular bereit. Auf dem Betriebshof werden Personen von der Videoüberwachung erfasst und in der Produktion Lieferscheine unterzeichnet. Allein schon diese Beispiele verdeutlichen: Jedes Unternehmen verarbeitet personenbezogene Daten und muss die Vorgaben der DS-GVO erfüllen.
Mythos 4: Unter der DS-GVO dürfen keine Daten mehr verarbeitet werden!
Bei der kuriosen Nachrichtenlage über verbotene Wunschzettel auf dem Weihnachtsmarkt, der Abmontage von Klingelschildern und dem Vebot Kunden mit Namen zu begrüßen, könnte man tatsächlich auf die Idee kommen, dass die DS-GVO jegliche Datenverarbeitung verbietet. Dem ist aber nicht so. Wäre die Verarbeitung personenbezogener Daten verboten, müssten alle Unternehmen Ihre Türen schließen – denn kein Unternehmen kommt ohne aus. Die DS-GVO erkennt dies natürlich an, stellt aber für die Verabreitung von personnebezogenen Daten klare Regeln auf. Halten Sie diese ein, spricht nichts gegen die Verwendung und Verarbeitung von personenbezogenen Daten und es ist nach wie vor fast alles möglich.
Mythos 5: Mit der richtigen Unterstützung und Kapazität ist die DS-GVO leicht umgesetzt!
Richtig ist, dass die Umsetzung der DS-GVO viel Zeit in Anspruch nimmt und Sie mit professioneller und fachkundiger Unterstützung auf dem richtigen Weg sind. Dennoch gibt es bei der Umsetzung der DS-GVO leider einige Hürden, die sich auch mit der meisten Zeit und dem besten Team nur schwer bewältigen lassen, denn vieles in der DSGVO ist noch unklar und es gibt nur eine handvoll Urteile zur neuen Rechtslage.
Die DSGVO ist voller unbestimmter Rechtsbegriffe, deren Auslegung durch die Landesdatenschutzbeauftragten nicht immer hilfreich und in vielen Fällen auch gar nicht vorhanden ist. Es gibt etliche Detailfragen, bei denen man durchaus geteilter Meinung sein kann. Es gibt daher etliche Bereiche, in denen Sie für Ihr Unternehmen eine praxistaugliche Lösung finden und sich über die Risiken Ihrer Variante klar sein müssen. Einen 100% korrekten Datenschutz gibt es aber nicht. Deshalb dürfen Sie die Flinte aber dennoch nicht ins Korn werfen und den Datenschutz ganz ignorieren. Im Gegenteil: Sie müssen sich der Herausforderung stellen und gemeinsam mit Ihrem Datenschutzbeauftragten die datenschutzrechtlichen Probleme erkennen und vertretbare Lösungen dafür finden. Dies wirkt sich dann auch positiv auf etwaige Bußgeldverfahren aus, wenn sich doch eine andere Ansicht durchsetzt. Wir werden Ihnen bei unserer Datenschutzarbeit stets die möglichen Wege und die Risiken aufzeigen, die mit jeder Variante verbunden sind.