5 Mythen über die DSGVO
Datenschutz

5 Mythen, die ihr wahrscheinlich über die DSGVO glaubt

252x252_arthur_heydata_882dfef0fd_c07468184b.webp
Arthur
08.05.2023

Die Datenschutzverordnung (DSGVO) wurde 2018 in dem Bestreben eingeführt, den europäischen Bürger:innen mehr Kontrolle über ihre personenbezogenen Daten zu geben. Die Verordnung gilt für jedes Unternehmen, das die Daten von Personen in der EU verarbeitet, unabhängig davon, ob das Unternehmen innerhalb oder außerhalb der EU ansässig ist.

Obwohl die DSGVO im Allgemeinen gut aufgenommen wurde, gibt es immer noch viele Mythen und Missverständnisse darüber, was sie mit sich bringt. In diesem Blogbeitrag räumen wir mit einigen der häufigsten DSGVO-Mythen auf und helfen euch, die Verordnung noch besser zu verstehen.

Mythos #1: GDPR gilt nur für Unternehmen mit Sitz in der EU

Dies ist ein weit verbreiteter Mythos, der in der Geschäftswelt oft diskutiert wird. Viele glauben fälschlicherweise, dass die Datenschutz-Grundverordnung (GDPR) nur für Unternehmen mit Sitz in der Europäischen Union (EU) gilt. Doch das stimmt nicht. Wie bereits erwähnt, gilt die DSGVO für jedes Unternehmen, das die Daten von Personen in der EU verarbeitet, unabhängig davon, ob das Unternehmen seinen Sitz innerhalb oder außerhalb der EU hat. Wenn euer Unternehmen also Kund:innen in Europa hat, müsst ihr mit der DSGVO konform sein.

Dies gilt auch für Unternehmen, die keine Niederlassung in der EU haben, aber ihre Produkte oder Dienstleistungen EU-Bürgern anbieten. Es ist wichtig, dass Unternehmen weltweit sich dessen bewusst sind und sicherstellen, dass sie die GDPR-Anforderungen erfüllen, um Strafen und Bußgelder zu vermeiden.

Mythos #2: Nur große Unternehmen sind von Geldbußen betroffen

Das ist nicht ganz richtig. Gemäß der Datenschutz-Grundverordnung (DSGVO) müssen alle Organisationen, die personenbezogene Daten erheben, verarbeiten und speichern, bei Nichteinhaltung mit Geldbußen rechnen, unabhängig von ihrer Größe oder Art. Dies gilt auch für kleine und mittlere Unternehmen, Wohltätigkeitsorganisationen, Regierungsbehörden und andere Einrichtungen, die personenbezogene Daten verarbeiten.

Die DSGVO sieht ein abgestuftes System von Bußgeldern vor, das sich nach der Schwere des Verstoßes richtet, und die Größe und die finanziellen Ressourcen der Organisation werden bei der Festlegung der Höhe des Bußgeldes berücksichtigt. Die DSGVO macht jedoch deutlich, dass Bußgelder nicht die einzige Strafe für die Nichteinhaltung der Vorschriften sind. Den Aufsichtsbehörden steht eine Reihe von Durchsetzungsinstrumenten zur Verfügung, wie die Anordnung an Organisationen, die Datenverarbeitung einzustellen oder personenbezogene Daten zu löschen, und die Verhängung eines vorübergehenden oder dauerhaften Verbots von Datenverarbeitungsaktivitäten.

Mythos #3: GDPR bedeutet, dass ich keine Marketing-E-Mails mehr versenden darf, wenn ich nicht die ausdrückliche Zustimmung aller Personen auf meiner Mailingliste habe

Tatsache! Ihr könnt auch nach der DSGVO weiterhin Marketing-E-Mails versenden, müsst dafür aber eine rechtmäßige Grundlage haben. Eine der Rechtsgrundlagen für die Verarbeitung personenbezogener Daten ist das "berechtigte Interesse". Das bedeutet, dass ihr in Deutschland Marketing-E-Mails an Personen senden dürft, die bereits Kund:innen sind, sofern sie die Möglichkeit hatten, sich gegen den Erhalt solcher E-Mails zu entscheiden und andere spezifische Kriterien erfüllt sind, die im deutschen Wettbewerbsrecht festgelegt sind. Ihr müsst auch die ausdrückliche Zustimmung von Einzelpersonen einholen, bevor ihr ihnen Marketing-E-Mails schickt, wenn ihr keine Grundlage für ein berechtigtes Interesse habt. Wenn sich beispielsweise jemand von eurer Mailingliste abgemeldet hat, benötigt ihr seine oder ihre ausdrückliche Zustimmung, bevor ihr ihn oder sie wieder in eure Liste aufnehmt. Auch wenn jemand seine oder ihre Zustimmung zum Erhalt von Marketing-E-Mails gegeben hat, kann er oder sie seine oder ihre Einwilligung jederzeit widerrufen, indem er oder sie den Link "Abmelden" in euren E-Mails benutzt oder sich direkt an euch wendet.

Mythos #4: Die Einhaltung der DSGVO ist teuer und zeitaufwendig

Ein häufiger Mythos über die DSGVO ist, dass die Einhaltung der Vorschriften teuer und zeitaufwendig ist. Es stimmt zwar, dass die Implementierung der notwendigen Maßnahmen einen gewissen Aufwand erfordert, aber die Kosten und der Zeitaufwand sind in der Regel überschaubar und können sogar zu langfristigen Einsparungen führen.

Wie jede größere Compliance-Initiative erfordert auch die Einhaltung der DSGVO im Vorfeld eine gewisse Investition an Zeit und Geld. Sobald ihr jedoch Richtlinien und Verfahren für den Datenschutz eingeführt und eure Mitarbeitenden entsprechend geschult haben - was am leichtesten durch Inanspruchnahme eines externen Datenschutzbeauftragten mit Expertise geschieht - sollte die Einhaltung der DSGVO keine allzu großen Kosten und keinen großen Zeitaufwand mehr verursachen.

Eine gute Möglichkeit, Zeit und Geld zu sparen, besteht darin, auf vorgefertigte Datenschutz-Tools wie heyData zurückzugreifen. Mit heyData kannst du schnell und einfach die notwendigen Datenschutz-Maßnahmen ergreifen und deine DSGVO-Konformität sicherstellen. Die Datenschutzsoftware kann dir beispielsweise helfen, deine Datenschutzerklärung automatisch zu generieren, Datenschutzfolgenabschätzungen durchzuführen, deine Datenverarbeitung zu protokollieren und vieles mehr. So sparst du nicht nur Zeit und Geld, sondern auch Nerven und minimierst das Risiko von Bußgeldern und rechtlichen Konsequenzen. Der Mythos der teuren und zeitaufwendigen DSGVO-Konformität ist also in der Realität nicht unbedingt wahr.

Mythos #5: Alle Verarbeitungen des Unternehmens benötigen die Zustimmung des DSB

Unter der DSGVO müssen Unternehmen sicherstellen, dass sie die personenbezogenen Daten, die sie verarbeiten, schützen und die Einhaltung der Datenschutzgesetze gewährleisten. Die häufigste Frage, die Unternehmen haben, ist, ob sie die Zustimmung des Datenschutzbeauftragten (DSB) benötigen, um alle ihre Verarbeitungen durchzuführen.

Die Antwort ist nein. Wenn ein Unternehmen nicht dazu verpflichtet ist, einen DSB zu ernennen, dann ist es nicht notwendig, die Zustimmung des DSB für alle Verarbeitungen einzuholen. Der DSB ist jedoch dafür verantwortlich, sicherzustellen, dass das Unternehmen in Übereinstimmung mit der DSGVO handelt. Unternehmen müssen auch sicherstellen, dass sie eine geeignete Rechtsgrundlage für die Verarbeitung personenbezogener Daten haben, wie z. B. die Einwilligung der betroffenen Person oder die Erfüllung eines Vertrags. Es gibt auch bestimmte Verarbeitungen, die ohne Einwilligung erfolgen können, wie z. B. die Erfüllung von rechtlichen Verpflichtungen oder die Wahrung berechtigter Interessen.

Insgesamt müssen Unternehmen nicht die Zustimmung des DSB für alle Verarbeitungen einholen. Stattdessen müssen sie sicherstellen, dass sie in Übereinstimmung mit der DSGVO handeln und eine geeignete Rechtsgrundlage für ihre Verarbeitungen haben.

Schlussfolgerung

Auch fünf Jahre nach der Einführung der DSGVO herrscht teilweise immer noch Verwirrung im Zusammenhang mit der DSGVO. Wir hoffen, dass dieser Blogbeitrag dazu beigetragen hat, einige der Mythen rund um die Verordnung auszuräumen. Wenn ihr noch unsicher seid, wie die DSGVO auf euer Unternehmen anzuwenden ist oder welche Schritte ihr unternehmen müssen, um die Vorschriften einzuhalten, wenden euch an heyDatas Datenschutzexpert:innen – wir helfen gerne!