… sie von Paragraphen in der DSGVO reden.
Die Datenschutz-Grundverordnung ist – wie der Name schon sagt – kein klassisches Gesetz sondern eine Verordnung. Verordnungen bestehen im Gegensatz zu Gesetzen aus Artikeln (abgekürzt: Art.). Das Paragraphen-Zeichen (§) hat also beim Zitieren von DSGVO-Artikeln nichts verloren.
… sie für alles eine Einwilligung einholen.
Die Einwilligung ist nur eine von vielen möglichen Rechtsgrundlagen. Sie sollte erst in Betracht gezogen werden, wenn keine andere Rechtsgrundlage zutrifft. Einwilligungen haben neben enormen Aufwand den Nachteil, dass Sie vom Betroffenen widerrufen werden können.
… sie Informationspflicht und Rechtsgrundlage vermengen.
Teilweise begegnen mir Dokumente, in denen Betroffene dazu aufgefordert werden, in die Datenschutzerklärung einzuwilligen. Eine Datenschutzerklärung ist aber lediglich eine Information, die ein verantwortliches Unternehmen bei der Datenerhebung geben muss. In dieser steht zum Beispiel, welche Rechte die betroffene Person hat und wer der Datenschutzbeauftragte ist. Diese Informationen soll die betroffene Person zur Kenntnis nehmen, aber Sie muss den Informationen nicht zustimmen.
Eine Zustimmung bzw. Einwilligung ist hingegen eine mögliche Rechtsgrundlage (z. B. Ich willige ein, zukünftig Newsletter zu erhalten.). Diese ist von der eigentlichen Information getrennt zu betrachten.
… ihre Datenschutzerklärung unstrukturiert und ellenlang ist.
Eine Datenschutzerklärung soll für betroffene Personen transparent und verständlich sein. Vielen Datenschutzerklärungen sieht man aber sofort an, dass der Ersteller wenig Ahnung vom Thema hatte. Häufig wurden verschiedene Textblöcke von anderen Datenschutzerklärungen zusammen kopiert. Dabei heraus kommt ein umfangreiches Dokument mit vielen unnützen Angaben, die sich teilweise gegenseitig widersprechen. Besser wäre es gewesen, die in Artikel 13 der DSGVO geforderten Angaben Schritt für Schritt abzuarbeiten oder einen schlanken Generator zu nutzen.
… sie alte Paragraphen aus dem BDSG zitieren.
Wer Paragraphen aus dem alten Bundesdatenschutzgesetz zitiert, ist nicht mehr auf der Höhe der Zeit oder nutzt veraltete Quellen. In beiden Fällen wirkt diese Person nicht wirklich kompetent.
… sie weiterhin Begriffe wie Auftragsdatenverarbeitung verwenden.
Etwas kleinlich, aber auch Begriffe wie Auftragsdatenverarbeitung (ADV), Verfahrensverzeichnis (VV) oder Verpflichtung auf das Datengeheimnis sind nicht mehr aktuell. Heute spricht man von Auftragsverarbeitung (AV), Verzeichnis von Verarbeitungstätigkeiten (VVT) und Verpflichtung auf die Vertraulichkeit.
… etwas wegen Datenschutz nicht geht.
Dem Datenschutz oder der neuen Datenschutz-Grundverordnung wird von Sachbearbeitern gerne der schwarze Peter zugeschoben, um unliebsame Aufgaben zu vermeiden. Es heißt dann Das kann ich leider wegen der neuen Datenschutz-Grundverordnung nicht machen. In vielen Fällen ist dies ein Bluff.