Neun DSGVO-Mythen enttarnt!

| Autor / Redakteur: Oliver Schonschek / Michael Eckstein

Unsicherheit wächst: Über die Datenschutz-Grundverordnung kursieren vielen Halbwahrheiten. Klar ist: Der Regelungs-Koloss wird von vielen Unternehmen nur schwer zu bewältigen sein.
Unsicherheit wächst: Über die Datenschutz-Grundverordnung kursieren vielen Halbwahrheiten. Klar ist: Der Regelungs-Koloss wird von vielen Unternehmen nur schwer zu bewältigen sein. (Bild: clipdealer)

Mehr Klarheit bei der Datenschutz-Grundverordnung: Aktuell kursieren viele Mythen, Halbwahrheiten und Fehlinformationen zur DSGVO im Netz. Wir klären auf.

Die Vorbereitungen auf die DSGVO / GDPR kommen bei vielen Unternehmen nicht schnell genug voran. Umso wichtiger ist es daher aufzuzeigen, was wirklich hinter der Datenschutz-Grundverordnung steckt.

Im Fokus dieses Artikels stehen tatsächliche Inhalte der DSGVO. Für Verwirrung sorgen oft mögliche Öffnungsklauseln des DSVGO und darauf bezogene nationale Sonderregelungen wie im Bundesdatenschutzgesetz BDSG (neu). Gegenüber der DSGVO haben diesen Richtlinien grundsätzlich nachrangige Gültigkeit.

Daher sollten Unternehmen zuerst und immer in die DSGVO schauen. Erst im Fall einer vorhandenen Öffnungsklausel darf das BDSG (neu) interessieren. Wie Richter in Zukunft darüber urteilen, lässt sich vorab nicht prognostizieren. Darüber zu spekulieren, würde nur weitere Mythen schaffen – worauf wir an dieser Stelle bewusst verzichten.

Mythos 1: DSGVO tritt am 25. Mai 2018 in Kraft.

Realität: Falsch! Es mag übertrieben erscheinen, doch alle Meldungen, die damit einleiten, dass die DSGVO am 25. Mai 2018 in Kraft tritt, machen einen Fehler. Die Datenschutz-Grundverordnung ist bereits in Kraft, die zweijährige Übergangszeit endet am 25. Mai 2018. Warum soll das wichtig sein? Ganz einfach: Man könnte denken, die DSGVO tritt ohne jede Vorwarnzeit in Kraft, plötzlich ist sie da und muss angewendet werden.

In Wirklichkeit aber liegt die DSGVO bereits seit über 1,5 Jahren auf dem Tisch. Die Umsetzung läuft und sollte laufen, mit der Frist 25. Mai 2018. Diese Erkenntnis hilft nicht bei der Bewältigung, wohl aber bei der Argumentation, dass die Schonfrist bald um ist. Es ist Zeit, das Projekt DSGVO mit Vollgas voranzutreiben.

Mythos 2: Es drohen Bußgelder von bis zu 20 Mio. EUR, wenn Artikel 32 (Sicherheit der Verarbeitung) nicht eingehalten wird!

Realität: Stimmt nicht! Es geht nicht darum, die möglichen Sanktionen herunterzuspielen, wenn die bis zu 20 Mio Euro Bußgeld bei Verstoß gegen Artikel 32 (Sicherheit der Verarbeitung) als falsch eingestuft werden. Es geht vielmehr darum, dass man sich genauer mit den möglichen Sanktionen befassen muss. Dann stellt man fest: Art.83 DSGVO (Allgemeine Bedingungen für die Verhängung von Geldbußen) listet den Artikel 32 (Sicherheit der Verarbeitung) dort auf, wo steht: „Bei Verstößen gegen die folgenden Bestimmungen werden Geldbußen von bis zu 10.000.000 EUR oder im Fall eines Unternehmens von bis zu 2 Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist“.

Nun sind bis zu zehn Mio Euro immer noch extrem hoch im Vergleich zu den Bußgeldern, die in dem Bundesdatenschutzgesetz (BDSG) genannt sind. Doch bei den Vorgaben, die bei einem Verstoß tatsächlich zu bis zu 20 Mio Euro Bußgeld führen können, sind insbesondere zu finden die Grundsätze für die Verarbeitung (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit, Rechenschaftspflicht) sowie die Rechte der betroffenen Person (wie das neue Recht auf Datenübertragbarkeit).

Tatsächlich können Verstöße gegen die Integrität und Vertraulichkeit zu den maximalen Bußgeldern führen, aber auch alle anderen Verstöße gegen die Grundsätze und die Betroffenenrechte. Datensicherheit ist also sehr wichtig, aber nicht alles!

Mythos 3: Es drohen Gefängnisstrafen von bis zu 1,5 Jahren!

Realität: Unsinn! Um es kurz machen: Von Haftstrafen ist in der DSGVO nicht die Rede. Anstatt sich über einen Aufenthalt im Gefängnis Sorgen zu machen, sollte man lieber daran denken, dass es neben den Sanktionen und Bußgeldern auch Haftung und Recht auf Schadenersatz gibt. Artikel 82 DSGVO besagt: Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde.

Hier drohen also Haftungsrisiken und Schadensersatzklagen. Ins Gefängnis bringt einen die DSGVO selbst nicht.

Mythos 4: Jeder muss jetzt einen Datenschutzbeauftragten haben!

Realität: Nein! Das ist falsch, das war bisher in dem Bundesdatenschutzgesetz (BDSG) nicht so, es wird auch unter der Datenschutz-Grundverordnung nicht so sein. Ob man einen Datenschutzbeauftragten im Unternehmen benötigt oder nicht, regelt Artikel 37 DSGVO.

Dort steht: Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn:

  • die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht.

Mythos 5: Cloud-Lösung XY ist DSGVO-konform!

Realität: Wer sagt das? Viele Anbieter verweisen gegenwärtig auf ihre Konformität mit der DSGVO. Ob dies nach besten Wissen und Gewissen geschieht oder auf Basis eines bestehenden Datenschutz-Zertifikats: Wer zum Beispiel einen Cloud-Service nutzen möchte, braucht mehr als eine Selbstauskunft des Anbieters, er braucht hinreichende Garantien des Anbieters dafür, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.

Eine Garantie können in Zukunft zum Beispiel ein genehmigtes Zertifizierungsverfahren oder genehmigte Verhaltensregeln bieten. Ein Datenschutz-Zertifikat, das unter dem Bundesdatenschutzgesetz (BDSG) vergeben wurde, reicht dagegen nicht. Zuerst muss das entsprechende Zertifizierungsverfahren umgestellt sein auf die DSGVO.

Mythos 6: Wir sind DSGVO-zertifiziert!

Realität: Noch gar nicht möglich! Artikel 42 DSGVO (Zertifizierung) macht deutlich, dass Zertifizierungsverfahren, die zu einem DSGVO-Zertifikat führen sollen, zuerst genehmigt werden müssen. So fordert die DSGVO: Eine Zertifizierung nach diesem Artikel wird durch die Zertifizierungsstellen oder durch die zuständige Aufsichtsbehörde anhand der von dieser zuständigen Aufsichtsbehörde genehmigten Kriterien erteilt. Erst wenn genehmigte Kriterien vorliegen, kann also mit einer Zertifizierung nach DSGVO begonnen werden. Das ist aber bisher nicht der Fall.

Mythos 7: Die Meldepflichten nach DSGVO sind ein Novum!

Realität: Blödsinn! Die Meldepflichten nach DSGVO sind nicht etwa komplett neu, wie manche Meldungen suggerieren. Vielmehr gibt es Änderungen gegenüber den Informationspflichten nach Bundesdatenschutzgesetz, man kann auch von einer Verschärfung sprechen, insbesondere, wenn man an die 72-Stunden-Frist zur Meldung an die zuständige Aufsichtsbehörde denkt. Trotzdem: Es gibt schon jetzt eine Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten. Unternehmen sollten also keinen komplett neuen Melde-Prozess aufsetzen müssen, wenn sie denn die Vorgaben des BDSG einhalten.

Mythos 8: Die DSGVO verbietet die Datenübermittlung in die USA!

Realität: Stimmt nicht! Die DSGVO verbietet nicht etwa die Datenübermittlung in Drittstaaten wie die USA, sondern sie stellt mehrere Anforderungen an eine solche Datenübermittlung. Dabei geht es um die Garantie, dass das Datenschutzniveau bei dem Empfänger dem der DSGVO entspricht. Für den Nachweis gibt es verschiedene Wege, darunter Privacy Shield, bei dem die Aufsichtsbehörden weiterhin Bedarf für Nachbesserungen sehen. Denkbar ist es aber auch, dass ein Empfänger aus einem Drittstaat ein Datenschutz-Zertifikat nach DSGVO erlangt und so den Nachweis erbringt. Von einem generellen Verbot kann also keine Rede sein.

Mythos 9. Unternehmen dürfen nur noch per verschlüsselter E-Mail kommunizieren!

Realität: Wo soll das stehen? Zweifellos ist die Verschlüsselung eine der zentralen Maßnahmen der Datensicherheit. In vielen Fällen wird auch eine Verschlüsselung von E-Mails sehr sinnvoll sein. Aber die DSGVO sieht keinen Zwang zur Verschlüsselung vor.

Vielmehr besagt Artikel 32 DSGVO: Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein: die Pseudonymisierung und Verschlüsselung personenbezogener Daten.

Ob eine Verschlüsselung zum Einsatz kommen soll oder nicht, hängt somit von dem zu ermittelnden Schutzbedarf der Daten, dem Risiko für die Betroffenen sowie weiteren Faktoren ab wie Stand der Technik, Implementierungskosten und Art, Umfang, Umstände und Zwecke der Verarbeitung. Verschlüsselung ist also kein Automatismus, sondern eine wichtige Maßnahmen bei entsprechendem Bedarf an Schutz für die Vertraulichkeit der Daten.

Dieser Beitrag stammt ursprünglich von unserem Partnerportal Security-Insider.

Bald wird's teuer: Warum Sie sich um Art. 25 und 32 der EU-DSGVO kümmern müssen

Bald wird's teuer: Warum Sie sich um Art. 25 und 32 der EU-DSGVO kümmern müssen

12.10.17 - Im Mai 2018 endet die Übergangsfrist zur neuen EU-Datenschutzverordnung. Insbesondere mit dem „Datenschutz durch Technikgestaltung“ und der „Sicherheit der Datenverarbeitung“ müssen sich Elektronikunternehmen jetzt befassen - sonst drohen drastische Strafen. lesen

EU-DSGVO: So vermeiden Entwickler hohe Strafen

EU-DSGVO: So vermeiden Entwickler hohe Strafen

12.01.18 - Security-Maßnahmen kosten Zeit, Geld und erhöhen den Energieverbrauch. Doch bei verknüpften Geräten ist Security zwingend vorgeschrieben. Diese Tipps und Komponenten helfen weiter. lesen

8 Dinge, die Sie jetzt über die DSGVO wissen müssen

8 Dinge, die Sie jetzt über die DSGVO wissen müssen

20.09.17 - Am 25. Mai 2018 endet die Übergangsfrist für die Europäische Datenschutzgrundverordnung (EU-DSGVO). Damit werden die Datenschutzregeln für Unternehmen und Behörden deutlich strenger. Viele bisherige Datenschutzmaßnahmen müssen hinterfragt, aktualisiert oder erweitert werden. lesen

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45085786 / Safety & Security)