Zum Datenschutz kursieren viele gefährliche Halbwahrheiten, Irrtümer und Missverständnisse. Mit den Größten möchte ich in diesem Beitrag aufräumen.
#1 Datenschutz existiert seit der DSGVO.
Die Datenschutz-Grundverordnung wurde am 25. Mai 2018 anwendbar. Der Schutz personenbezogener Daten in Deutschland wurde aber auch zuvor in dem Bundesdatenschutzgesetz geregelt. Richtig ist, dass das Thema Datenschutz erst mit der DSGVO in breiter Öffentlichkeit wahrgenommen wurde.
#2 Datenschutzgesetze interessieren sich für Privates.
Einige Personen fühlen sich von der DSGVO auch im Privaten gemaßregelt. Vom sachlichen Anwendungsbereich sind Verarbeitungen durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten explizit ausgenommen. Sie haben also keine Bußgelder zu erwarten, wenn Sie Fotos der Familienfeier auf Ihrer privaten Facebook-Seite veröffentlichen.
#3 Datenschutz müssen nur Unternehmen mit einem Datenschutzbeauftragten machen.
Die Datenschutzgesetze gelten für jedes Unternehmen – ganz gleich ob das jeweilige Unternehmen zur Bestellung eines Datenschutzbeauftragten verpflichtet ist. So müssen selbst Einzelunternehmer ohne Mitarbeiter ein Verzeichnis von Verarbeitungstätigkeiten führen.
#4 Unser Unternehmen verarbeitet keine personenbezogenen Daten.
Einige Unternehmen behaupten schlichtweg, dass Sie bei bestimmten Prozessen oder auch gänzlich keine personenbezogene Daten verarbeiten und damit der Datenschutz hinfällig ist. Häufig wurden hier die Begriffe personenbezogene Daten oder Verarbeitung missverstanden.
- Personenbezogene Daten sind nicht nur Namen oder E-Mail-Adressen von Personen, sondern eben auch weniger aussagenkräftige Angaben wie IP-Adressen oder Standortdaten.
- Mit dem Begriff Verarbeitung wird von einigen Personen nur das Speichern von Daten in einem System in Verbindung gebracht. Verarbeitung ist aber viel mehr und viel weiter gefasst. Verarbeitung kann zum Beispiel auch das Löschen von Daten sein.
Am Ende verarbeitet wohl jedes Unternehmen bei fast jedem Unternehmensprozess auch personenbezogene Daten.
#5 Mit dem Datenschutz wird man irgendwann fertig.
Datenschutz ist kein Projekt, das man innerhalb einer Woche umsetzt und damit abgeschlossen ist – so sehr ich mir das auch wünschen würde. Datenschutz ist fortlaufend und insbesondere bei der Einführung neuer Unternehmensprozesse (Verarbeitungstätigkeiten) zu berücksichtigen.
#6 In die Datenschutzerklärung muss eingewilligt werden.
Eine Datenschutzerklärung informiert betroffene Personen, wer ihre Daten wie verarbeitet (Informationspflicht gem. Art. 13 DSGVO) und welche Betroffenenrechte es gibt. Diese Informationen kann eine Person zur Kenntnis nehmen. Sie kann die Kenntnisnahme per Unterschrift oder Klick dokumentieren. Deswegen ist die Kenntnisnahme aber noch lange keine abgegebene Einwilligung gem. Art. 7 DSGVO. Der Satz Ich willige in die Datenschutzerklärung ein. vermengt also die Informationspflicht und die Einwilligung.
#7 Was soll schon ohne Datenschutz passieren?
Die Einhaltung datenschutzrechtlicher Vorschriften – so unnütz sie auch erscheinen mögen – sind gesetzliche Pflichten. Werden diese missachtet, kann die Aufsichtsbehörde empfindliche Bußgelder verhängen. Bisher waren die Aufsichtsbehörden überlastet und Kontrollen damit eher rar. Gemäß den Tätigkeitsberichten der Aufsichtsbehörden zeichnet sich aber hier eine Trendwende bezüglich stattfindender Überprüfungen ab.
Neben diesen finanziellen Einbußen droht Unternehmen mit unzureichendem Datenschutz auch ein Imageschaden. So ist der Unternehmenswert von Facebook nach Bekanntwerden des sogenannten Datenskandals merklich eingebrochen.
#8 Bei jeder Beauftragung eines Dienstleisters muss ein Auftragsverarbeitungsvertrag geschlossen werden.
Unternehmen beauftragen die unterschiedlichsten Dienstleister: Steuerberater, Sicherheitsdienstleister, IT-Dienstleister… All diese Dienstleister verarbeiten in irgendeiner Form auch personenbezogene Daten. Deswegen sind sie aber noch längst keine Auftragsverarbeiter im Sinne der DSGVO. Ein Auftragsverarbeitungsvertrag ist nicht immer notwendig.
#9 Datenschutz gilt nur gegenüber Kunden.
Unternehmen konzentrieren sich häufig und in erster Linie auf die Einhaltung von Datenschutz gegenüber Kunden. Zu schützen sind nach der DSGVO allerdings alle natürlichen Personen – also auch andere Betroffenengruppen wie Mitarbeiter oder Bewerber.
#10 Datenschutz schützt Daten
Genau genommen schützen die Datenschutzgesetze keine Daten. Schutzgegenstand des Datenschutzes ist der Mensch hinter den Daten. Es geht um dessen Privatsphäre, um dessen Persönlichkeitsrecht und um dessen informationelle Selbstbestimmung. Macht man sich diesen Umstand bewusst, bekommt man ein besseres Verständnis, warum es Datenschutz braucht.