Zum Inhalt Zum Hauptmenü

Suchformular

8 Mythen Rund um die DSGVO

Autoren: Axel Anderl, Felix Hörlsberger, Nino Tlapak, Dominik Schelling 

        

Der Stichtag 25.5.2018 liegt hinter uns und die DSGVO sowie das österreichische Datenschutzgesetz sind nun anwendbar. Gleich zu Beginn der neuen Datenschutzära räumen die DORDA Datenschutzexperten ist weit verbreiteten Datenschutz-Mythen, gefährlichem Halbwissen und Verwirrung rund um die DSGVO auf.

Nach einer zweijährigen Übergangsfrist ist die DSGVO seit 25.5.2018 anwendbar. Viele Unternehmen haben die Vorbereitungszeit genutzt, um ihre Systeme und Prozesse sowie ihre interne Datenschutzdokumentation DSGVO-konforum umzustellen. Manche stehen aber noch immer am Beginn dieser Reise oder sind mittendrin.

Die Adaption an die neuen Rahmenbedingungen der DSGVO ist ein komplexes Unterfangen und bringt neben erhöhter Verantwortung auch jede Menge Herausforderungen für Unternehmen mit sich. Einer rechtskonformen Umsetzung stehen aber auch einige Mythen und Missverständnisse im Weg, ide mit diesem Beitrag ausgeräumt werden sollen.

Mythos 1: Kleinunternehmer sind nicht von der DSGVO betroffen und müssen nichts tun.

Nein! Die DSGVO ist auf alle Unternehmen anwendbar, die in irgendeiner Art und Weise personenbezogene Daten verarbeiten. Unter Verarbeiten versteht man dabei jeden möglichen Umgang mit Daten. Dazu zählt etwa das Zugreifen, Erheben, Speichern, Verändern, Auslesen und Abfragen. Auch der Begriff der personenbezogenen Daten wird sehr weit ausgelegt und umfasst alle Informationen, die sich auf eine zumindest identifizierbare natürliche Person beziehen (z.B. Name, E-Mail Adresse, Geburtsdatum, Anschrift, IP Adresse, Interessen und Vorlieben, ...)

Die Unternemensgröße oder Mitarbeitrzahl spielen für die Anwendbarkeit der DSGVO keine Rolle. Die neuen Pflichten gelten daher nicht nur für Großkonzerne, sondern auch für Einzelunternehmer, Start-Ups sowie für KMUs und Vereine.

Mythos 2: Jede Datenverarbeitung erfordert die vorherige Einwilligung des Betroffenen.

Nein! Die Einwilligung des Betroffenen ist nur eine von mehreren möglichen Rechtsgrundlagen für die Verarbeitung personenbezogener Daten. In der Regel gibt es für die Verarbeitung nichtsensibler Daten folgende vier alternative Rechtfertigungsgründe:

1. Gesetzliche Verpflichtung:

    Die Datenverarbeitung ist gesetzlich vorgeschrieben; oder

2. Vertragserfüllung:

    Die Datenverarbeitung ist zur Erfüllung des Vertrages mit dem Betroffenen erforderlich; oder

3. Berechtigte Interessen:

    Die Datenverarbeitung ist zur Wahrung berechtigter Interessen des Datenverarbeiters erforderlich (Interessenabwägung im Einzelfall erforderlich); oder

4. Einwilligung:

    Der Betroffene hat seine freiwillige, informierte und jederzeit widerrufliche Einwilligung zur Verarbeitung der ihn betreffenden Daten gegeben (insbesondere bei der Verabeitung von
    Daten zu Marketingzwecken wie Newsletterversand relevant).

Nur wenn die ersten drei Zulässigkeitsvoraussetzungen nicht vorliegen, muss oder soll eine Einwilligungserklärung eingeholt werden. Vor allem da die Einwilligung freiwillig erteilt werden muss und jederzeit widerrufbar ist, raten wir dringend davon ab, Datenverarbeitungen pauschal darauf zu stützen. Schließlich muss die Verarbeitung im Fall eines Widerrufs gestoppt und die Daten gelöscht werden. Es darf diesfalls nämlich auch keine andere Rechtsgrundlage "Aus dem Hut gezaubert" werden- das wäre intransparent und ist daher unzulässig.

Jedes Unternehmen muss somit vorab die Zulässigkeit der Datenverarbeitung prüfen, die korrekte Rechtsgrundlage indentifizieren und diese Überlegungen im zwingend zu führenden Verzeichnis der Verarbeitungstätigkeiten dokumentieren.

Mythos 3: Jedem Vertrag muss eine Datenschutzerklärung angeschlossen werden.

Nen! Mit Datenschutzerklärungen werden üblicherweise die umfangreichen Informationspflichten nach Art 13 und 14 DSGVO erfüllt. Diese Informationen, die bei Erhebung der Daten zu erteilen sind, müssen allerdings nicht vertraglich vereinbart, sondern lediglich dem Betroffenen zum Zeitpunkt der Erhebung der Daten zur Verfügung gestellt werden. Datenschutzerklärungen dienen daher bloßen Informationszwecken, werden aber nicht Vertragsinhalt und müssen auch nicht unterschrieben oder über eine Checkbox bestätigt werden.

Außerdem greifen die Informationspflichten dann nicht, wenn die betroffene Person bereits über die Informationen verfügt oder die Informationserteilung unmöglich wäre bzw einen unverhältnismäßigen Aufwand erfordern würde. Auch aus diesem Grund muss nicht jedem Vertrag eine Datenschutzerklärung angeschlossen werden.

In der Praxis ist es allerdings sinnvoll, Datenschutzerklärungen für bestimmte standardisierte Geschäftsbereiche zu erstellen (zB eine Erklärung für Kunden, eine für Mitarbeiter und eine für Lieferanten) und an passender Stelle auf diese Dokumente zu verweisen (z.B. im Angebot an Kunden bzw Lieferanten und im Intranet für Mitarbeiter).

Mythos 4: Mit allen Geschäftspartnern muss eine Auftragsverarbeitervereinbarung abgeschlossen werden.

Nein! Eine Auftragsverarbeitervereinbarung nach Art 28 DSGVO muss nur bei Weitergabe personenbezogener Daten an einen Auftragsverarbeiter abgeschlossen werden.

Die Abgrenzung zwischen den datenschutzrechtlichen Rollen des Verantwortlichen und des Auftragsverarbeiters ist in der Praxis schwierig. Schließlich definiert die DSGVO beide Positionen nur sehr generisch: demnach ist Verantwortlicher, wer "über die Zwecke und Mittel der Verarbeitung entscheidet". Auftragsverarbeiter ist, wer personenbezogene Daten "im Auftrag" und auf Weisung des Verantwortlichen verarbeitet. Wesentliches Abgrenzungsmerkmal ist die faktische Entscheidungsbefugnis. Es kommt daher darauf an, wer bestimmen und entscheiden kann, welche Daten zu welchen Zwecken verwendet werden.

Auftragsverarbeiter sind etwa IT Service Provider; Anbieter von Cloud Lösungen; Softwarehersteller, die zu Wartungszwecken Zugriff auf die mit dem Tool verarbeiteten Daten haben; externe Lohnverrechnung und externe Buchhaltung. Mit diesen Drittanbiertern muss- auch wenn es sich um Konzerngesellschaften handelt- eine DSGVO-konforme Auftragsverarbeitervereinbarung abgeschlossen werden.

Mythos 5: Jedes Unternehmen braucht einen Datenschutzbeauftragten.

Nein! Nach Art 37 DSGVO muss ein Datenschutzbeauftragter zwingend nur (i) von Behördern und öffentlichen Stellen bestellt werden sowie wenn (ii) die Kerntätigkeit des Unternehmens in der umfangreichen systematischen Überwachung von betroffenen Personen besteht oder (iii) die Kerntätigkeit des Unternehmens sensible oder strafrechtlich relevante Daten betrifft.

Es kommt daher maßgeblich auf die Kerntätigkeit des Unternehmens an. Dazu gehören nach bisher herrschender Auslegung schlüsseltätigkeiten, die untrennbar mit der Erreichung des Unternehmensziels verknüpft sind. Bloße Nebentätigkeiten (wie etwa Personalverwaltung) und untergeordnete Hilfstätigkeiten zählen nicht dazu. Eine umfangreiche regelmäßige und systematische Überwachung liegt insbesondere beim Einsatz von Tracking, Scoring und Profiling vor (etwa durch Banken oder Versicherungen). Umfangreiche sensible Daten werden etwa durch ein Krankenhaus oder die Pharmaindustrie verarbeitet.

Sollte man zu dem Ergebnis kommen, dass kein Datenschutzbeauftragter erforderlich ist, sind diese Überlegungen für den Anlassfall einer Prüfung durch die Datenschutzbehörde sorgfältig zu dokumentieren.

Mythos 6: Die Datenschutzbehörde darf erst nach einer Verwarnung Strafen verhängen.

Nein! Die Datenschutzbehörde hat bei der Verhängung von Geldbußen die Verhältnismäßigkeit zu wahren. Bei erstmaligen Verstößen hat sie im Einklang mit der DSGVO von ihren Abhilfebefugnissen insbesondere durch Verwarnen Gebrauch zu machen (§11 DSG). Diese kürzlich im österreichischen DSG nachgeschobene Klarstellung des Telos der DSGVO hat zuletzt für einen medialen Aufschrei gesorgt. Es wurde sogar behauptet, dass Österreich der DSGVO unionsrechtswidrig die Zähne ziehen würde. Das ist freilich nicht der Fall. So entspricht es schon bisher dem österreichischen Verwaltungsstrafprinzip, dass insbesondere bei Ersttätern unter Beachtung der gesamten Umstände des Einzelfalls auch eine bloße Ermahnung in Betracht zu ziehen ist. Das ist somit nichts Neues und wurde so auch schon bei anderen Unionsrechtsakten gelebt. Zudem sieht auch die DSGVO schon vor, dass die Behörde abmahnen und anleiten soll und kann. Auch hier besteht daher keine Abweichung. Ernste und schwerwiegende Verstöße können und werden aber sofort bestraft werden. Somit ist wieder die in den vergangenen Monaten oft übertriebene Hysterie vor übermäßigen Strafen angebracht, noch die nunmehr medial verbreitete Verharmlosung. Tatsächlich werden sich die zu verhängenden Strafen europaweit einpendeln.

Mythos 7: Wegen der DSGVO darf kein Newsletter ohne Einwilligung versendet werden.

Nein! Der Versand von E-Mail-Newslettern war schon vor der DSGVO einwilligungspflichtig (§107 Telekommunikationsgesetz, "TKG").

Die einzige wesentliche Neuerung hinsichtlich datenschutzrechtlicher Einwilligungserklärungen ist die Nachweispflicht. Nach Art 7 DSGVO müssen Einwilligungen nämlich nachweisbar dokumentiert sein. Das ist der Hauptgrund für die in letzter Zeit massenhaft versendeten E-Mails mit der Bitte um die Bestätigung der Einwilligung zum Erhalt des Newsletters. Dabei geht es aber rein um Beweisthemen, nicht um die Einwilligung per se.

Mythos 8: Cookies dürfen generell erst nach Zustimmung des Webseiten-Besuchers gesetzt werden.

Nein! Technisch und funktional für den Betrieb der Website und die Zuverfügungstellung der damit verbundenen Dienste unbedingt notwendige Cookies erfordern keine Einwilligung des Besuchers der Seite. Dazu zählen nach herrschender Ansicht sowohl Authentifizierungscookies, Sicherheitscookies, User-Input-Cookies sowie Cookies zur Anpassung der Benutzeroberfläche.

Alle nicht erforderlichen Cookies, d.h. insbesondere Tracking-, Analyse-  und Marketing- Cookies, erfordern die vorherigen Einwilligung des Websitenusers. Diese EInwilligung wird in der Praxis gewöhnlich über einen Cookie-Banner eingeholt. Nach herrschender Ansicht dürfen die einwilligungspflichten Cookies auch erst nach einem aktiven Klick auf einen Einwilligungs-Button gesetzt werden. Die bloße Nutzung der Website reicht daher nicht als Einwilligung.