Die häufigsten 6 Irrtümer rund um die DSGVO

14.11.2018 - Michael Kornfeld

Knapp ein halbes Jahr ist die DSGVO nun in Kraft – und die Welt steht trotzdem noch.

 

Doch es gibt Fragen und Missverständnisse, die in der Praxis immer wieder auftreten. Die wichtigsten Irrtümer haben wir hier übersichtlich zusammengestellt und erklärt.

 

Irrtum #1: Eine Datenverarbeitung ist mit Zustimmung immer zulässig.

Auf den ersten Blick klingt es logisch: Wenn mir ein Betroffener seine Zustimmung (zur Verarbeitung von bestimmten Daten) gegeben hat, dann werde ich diese wohl auch verarbeiten dürfen.

 

Doch das stimmt so nicht. Eine Zustimmung alleine ist nicht immer ausreichend. Eine wichtige Voraussetzung ist zum Beispiel, dass es einen sachlichen Zusammenhang zwischen der Tätigkeit des Unternehmens und den erhobenen Daten geben muss. Sie dürfen also nicht einfach „irgendwelche“ Daten erheben – selbst dann nicht, wenn der Betroffene dem zugestimmt hat.

 

Ein Beispiel: Als Friseurbetrieb dürfen Sie selbstverständlich die Haarfarbe Ihrer Kunden speichern (sachlicher Zusammenhang, z.B. für den Shampoo-Einkauf), aber nicht zum Beispiel die Schuhgröße – auch dann nicht, wenn Ihre Kunden damit einverstanden wären.

 

Irrtum #2: Für jede Datenverarbeitung ist eine Zustimmung des Betroffenen notwendig.

Auch das ist nicht richtig. Denn es kann eine gesetzliche Verpflichtung zur Verarbeitung bestimmter Daten geben (z.B. für die Erstellung einer Rechnung) oder Sie müssen die Daten zur Erfüllung einer vertraglichen Verpflichtung verarbeiten.

 

In all solchen Fällen ist eine Zustimmung durch den Betroffenen weder vorgeschrieben noch notwendig.

 

Praxis-Tipp: Wann immer Sie eine Zustimmung nicht zwingend benötigen, sollten Sie diese auch nicht einholen! Denn diese Zustimmung kann durch den Betroffenen jederzeit widerrufen werden und damit wird auch die Weiterverwendung personenbezogener Daten unter Bezugnahme auf "überwiegende berechtigte Interessen" in der Folge möglicherweise zum Streitfall.

 

Irrtum #3: Für eine Newsletter-Anmeldung wird nur eine Zustimmung benötigt.

Für eine Newsletter-Anmeldung benötigen Sie zwei – voneinander unabhängige – Zustimmungen.

 

Erstens gibt es die Zustimmung zum Erhalt eines Newsletters. Diese ist in Österreich im TKG (Telekommunikations-Gesetz) geregelt, das eine generelle Opt-in Regelung vorschreibt - man benötigt also eine vorherige Zustimmung des Empfängers, um ihm/ihr E-Mailings schicken zu dürfen.

 

Zweitens benötigt man in vielen Fällen zusätzlich eine Zustimmung nach der DSGVO. Denn mit den meisten professionellen E-Mail Marketing Systemen ist es möglich, Verhaltensdaten (z.B. Öffnungs- und Klickverhalten) auf individueller Empfänger-Ebene zu analysieren. Da es sich hierbei um personenbezogene Daten handelt, muss der Betroffene darüber aufgeklärt werden - und er muss in diese Verarbeitung einwilligen. Andernfalls wäre zwar ein Newsletter-Versand legitim, jedoch dürfte man keine individuellen Analysen vornehmen und z.B. Funktionen wie personalisierte Inhalte nicht nutzen.

 

Eine verständliche Erklärung beider Zustimmungen haben die Newsletter-Experten von dialog-Mail in einem Blog-Artikel „Zustimmung ist Zustimmung, oder?“ beschrieben.

 

Irrtum #4: Sobald ich einen Dienstleister beauftrage, ist dieser für den Datenschutz verantwortlich.

Wenn Sie einen Dienstleister (z.B. einen Letter-Shop oder einen E-Mail Marketing Anbieter) beauftragen, enden damit Ihre Verpflichtungen aus der DSGVO nicht. Sie sind und bleiben der Verantwortliche – das bedeutet zum Beispiel auch, dass Sie für die Auswahl eines geeigneten Dienstleisters sowie für die Rahmenbedingungen des Auftrags verantwortlich sind.

 

Selbstverständlich muss auch der Dienstleister sorgsam mit den Daten umgehen und die Bestimmungen der DSGVO einhalten. Doch letzt-verantwortlich für die Einhaltung der Vorschriften bleiben Sie.

 

Deshalb sollten Sie über geeignete vertragliche Vereinbarungen (Stichwort Auftragsdatenverarbeitung) dafür sorgen, dass die Rahmenbedingungen klar geregelt sind (und der Dienstleister die Daten nach Beendigung zum Beispiel vernichten muss).

 

Irrtum #5: Eine fehlerhafte Datenschutz-Erklärung ist ein Kavalierdelikt.

Die Datenschutzerklärung ist der zentrale Punkt der Informationspflichten des Verantwortlichen. Lücken oder Fehler dort können dazu führen, dass eine an und für sich korrekte Verarbeitung der Daten plötzlich eingestellt werden muss, da die informierte Grundlage nicht vorhanden ist.

 

Einer der ganz wenigen Fälle, in denen seit Inkrafttreten der DSGVO von einer Datenschutzbehörde eine (wenn auch geringe) Strafe ausgesprochen wurde, war das Unterbleiben der Informationen zu "Webfonts" in der Datenschutzerklärung (diese schicken, wenn nicht am eigenen Server installiert, Informationen an den Anbieter dieser Fonts, z.B Google).

 

Sie sollten daher unbedingt darauf achten, dass alle Cookies, Plug-Ins und Anwendungen, die personenbezogene Daten verarbeiten, in leicht verständlicher Form erklärt werden.

 

Irrtum #6: Die Behörden dürfen (anfangs) nur verwarnen, nicht strafen.

Nach dem österr. DSG (das die DSGVO ergänzt bzw. konkretisiert) soll die österreichische Datenschutzbehörde "bei erstmaligen Verstößen" nur verwarnen und nicht strafen können. Es braucht also kein Unternehmen bei einem erstmaligen Verstoß Angst vor einer Millionenstrafe zu haben.

 

So machte sich rasch eine Erleichterung unter vielen KMUs breit, doch diese Bestimmung könnte gegen die DSGVO verstoßen und wieder gekippt werden. Außerdem können Betroffene zivilrechtliche Ansprüche (auch auf immateriellen Schadenersatz) geltend machen und Konkurrenten nach dem UWG vorgehen.

 

Die Strafbestimmung der DSGVO ist somit zwar aufgeweicht worden, aber Unternehmen sollten das Thema nach wie vor ernst nehmen! Denn unklar bleibt derzeit auch, wie das neue Gesetz in der Praxis gehandhabt werden soll, da die Datenschutzbehörde ja weisungsfrei ist.

 

Bei schwerwiegenden Datenschutz-Verletzungen sind höchstwahrscheinlich sehr wohl Strafen zu erwarten (und nicht nur Verwarnungen).

 

Gefällt Ihnen dieser Artikel?

Rund 1x/Monat bekommen Sie die besten Artikel kostenlos in Ihre Inbox.

Newsletter abonnieren

 
 
Maus