10 der größten DSGVO-Mythen entlarven

Lassen Sie uns 10 der größten DSGVO-Mythen entlarven, die heute weit verbreitet sind!

Nur noch 2 Wochen bis zur Durchsetzung der Datenschutz-Grundverordnung (DSGVO) und die Panik schlägt um! Und davon angetrieben herrscht Paranoia um das, was getan werden muss. Gerüchte. Behauptungen. Und verrückte Ideen. In diesem Blog werden wir alle lächerlichen DSGVO-Mythen entlarven, die wir bisher gehört haben.

Mythos 1: Die DSGVO ist ein Gesetz der Europäischen Union (EU) und gilt nur für europäische Unternehmen.

Dieser spezifische Mythos stellt die Rahmenbedingungen für die Anwendung der DSGVO in Frage. Sie gilt mit Sicherheit nicht nur für europäische Unternehmen. Sie gilt für ALLE Unternehmen, die in irgendeiner Weise Daten von Personen mit Wohnsitz in der EU erheben, empfangen und verarbeiten. Darüber hinaus muss jedes Unternehmen, das betroffenen Personen innerhalb der EU Waren oder Dienstleistungen anbietet oder deren Verhalten in irgendeiner Weise überwacht, die Vorschriften einhalten, unabhängig vom Standort des Unternehmens. Tatsächlich ist es möglich, dass ein europäisches Unternehmen nur Daten von in Amerika ansässigen Personen verarbeitet. In diesem Fall gilt die DSGVO nicht für das Unternehmen. Grundsätzlich spielt es keine Rolle, wo das Unternehmen seinen Sitz oder seine Wurzeln hat, die Frage, nach der beurteilt werden sollte, ob die DSGVO gilt oder nicht, ist: „Wessen Daten werden angefasst?“

Mythos 2: Die DSGVO wurde geschaffen, um Unternehmen mit Geldbußen zu bestrafen.

Die Grundsätze, auf denen die DSGVO beruht, sind nicht die Bestrafung von Unternehmen, sondern vielmehr die Ermächtigung der Menschen zu mehr Kontrolle über ihre Daten und die Gewährleistung einer verantwortungsvollen Datenerhebung und -verarbeitung. Die möglichen Bußgelder, die verhängt werden könnten, wurden lediglich immer wieder genannt, um die Bedeutung der Compliance für Unternehmen zu untermauern. Zum jetzigen Zeitpunkt kann jedoch niemand vorhersagen, wie streng die Behörden diese Geldbußen verhängen werden, wenn überhaupt. Höchstwahrscheinlich werden sie den Unternehmen Aufschub gewähren und reichlich Spielraum lassen, wenn sie sehen, dass Anstrengungen unternommen werden, um die Anforderungen zu erfüllen. Nicht für jeden kleinen Verstoß werden Geldbußen verhängt. Das liegt daran, dass das Wesen der DSGVO im Kern eher ermächtigend als strafend ist.

Mythos 3: Die DSGVO ist nur für IT-Abteilungen und das obere Management bestimmt.

Die meisten Menschen, die an Datenschutz denken, kommen sofort zu dem Schluss, dass das etwas für die IT-Abteilung ist. Im Falle der DSGVO ist dies jedoch überhaupt nicht der Fall. Die DSGVO soll den Umgang mit Daten in Unternehmen reformieren, weshalb sie für jede Abteilung und jede Person innerhalb eines Unternehmens gilt und Verantwortlichkeiten für alle mit sich bringt. Prozesse müssen geschaffen werden, aber auch die Mitarbeiter müssen über die DSGVO aufgeklärt werden. So werden beispielsweise bei der Erfassung aller Verarbeitungstätigkeiten Vertreter aller Abteilungen eines Unternehmens einbezogen.

Mythos 4: Alle Verstöße, egal wie geringfügig, müssen den Datenschutzbehörden gemeldet werden.

Verstöße müssen den zuständigen Behörden gemeldet werden, dies gilt jedoch nur für solche Verstöße, bei denen eine Gefahr für die Rechte und Freiheiten der Menschen besteht. Es muss also nicht jeder Verstoß gemeldet werden.

Mythos 5: Alle Angaben müssen in dem Moment gemacht werden, in dem ein Verstoß innerhalb eines Unternehmens auftritt.

Wenn es einen Verstoß innerhalb eines Unternehmens gibt, sind Details dazu manchmal nicht sofort verfügbar. Unternehmen müssen selbst nachforschen, bevor sie alle notwendigen Informationen sammeln können. Die DSGVO berücksichtigt dies und räumt einen Zeitraum von 72 Stunden ein, um solche Fälle zu melden, sofern möglich. Einmal gemeldete Daten können bei Bedarf auch nach den vorgesehenen 72 Stunden zur Verfügung gestellt werden.

Mythos 6: Für jede Aktivität muss eine Einwilligung eingeholt werden.

Die allgemeine Auffassung von Unternehmen ist, dass die Einwilligung von Usern im Mittelpunkt der DSGVO steht. Ohne Zustimmung kann keine Datenverarbeitung durchgeführt werden. Diese Auffassung ist äußerst irreführend. Die DSGVO lässt verschiedene Möglichkeiten zu, eine Verarbeitungstätigkeit zu rechtfertigen, von denen die Einwilligung der betroffenen Person nur eine ist. Einige andere sind unten in der ECOMPLY-Anwendung zu sehen, in der Sie einfach eine Möglichkeit auswählen können, um die rechtliche Grundlage für eine Aktivität zu ermitteln.

Mythos 7: Im Rahmen der DSGVO müssen Sie erneut die Zustimmung aller Betroffenen einholen!

Nachdem wir also den ersten der DSGVO-Mythen über die Einwilligung im Rahmen der DSGVO zunichte gemacht haben, geht es im zweiten Fall speziell um die Aufforderung zur Einwilligung im Rahmen der DSGVO. Die meisten Unternehmen sind der Meinung, dass dies von Grund aufgetan werden muss, um DSGVO-konform zu sein. Einwilligungen, die nach der Datenschutzrichtlinie eingeholt wurden, genügen den DSGVO-Standards jedoch. Überprüfen Sie lediglich die Einwilligungen und den Standard, den die DSGVO dafür setzt.

Mythos 8: Die neuen Regeln zur Datenübertragbarkeit gelten für alle Unternehmen.

Datenübertragbarkeitsanforderungen sind nur dann gegeben, wenn die Rechtsgrundlage einer Verarbeitungstätigkeit auf Einwilligung oder vertraglicher Notwendigkeit beruht.  Wenn die Rechtsgrundlage ein berechtigtes Interesse, ein öffentliches Interesse oder eine andere laut DSGVO zulässige Bestimmung ist, gelten die Anforderungen nicht.

Mythos 9: Das Rechenzentrum muss in der EU sein!

Dies ist eine weitere häufige Fehlannahme. Das Rechenzentrum eines Unternehmens muss nicht in der EU liegen. Es kann sich auch in einem der Drittländer befinden, die die DSGVO zulässt. Grundsätzlich darf es nicht in einem Land liegen, in dem es keine Datenschutzbestimmungen gibt. Hier sehen Sie, was wir zu diesem Thema hilfreich fanden.

Mythos 10: Biometrische Daten sind sensible Daten.

Dies ist der verständlichste Irrtum, der sich bezüglich der DSGVO entwickelt hat. Biometrische Daten, die ein Unternehmen sammelt, sind wie alle anderen Daten nur dann sensibel, wenn sie aktiv zu Identifikationszwecken verwendet werden. Sie werden tatsächlich überwiegend zu Identifikationszwecken erhoben, aber wenn das nicht der Fall ist, müssen biometrische Daten nicht als sensible Daten behandelt werden.