Die Datenschutzgrundverordnung, kurz DSGVO oder DS-GVO regelt seit dem 24. Mai 2016, wie Unternehmen mit den persönlichen Daten umgehen dürfen, die sie von uns sammeln. Die Regelung gilt in der gesamten Europäischen Union und für alle EU-Bürger:innen.

Die DSGVO verfolgt dabei im Wesentlichen zwei Ziele:

1. Sie soll den Schutz personenbezogener Daten innerhalb der Europäischen Union gewährleisten.
2. Sie soll den freien Datenverkehr innerhalb des europäischen Binnenmarktes sicherstellen.

Mit der DSGVO haben Verbraucher:innen in der EU zahlreiche neue Rechte erhalten, zum Beispiel:

• Das Recht auf Vergessenwerden: Persönliche Daten müssen gelöscht werden, sobald sie für den ursprünglichen Zweck der Speicherung nicht mehr gebraucht werden. Das gilt z.B. für persönliche Informationen nach der Abmeldung von einem Newsletter.
• Das Recht auf Auskunft: Organisationen müssen gespeicherte Daten auf Anfrage herausgeben können. Verbraucher:innen können beispielsweise erfragen, wo und wie oft sie eine Supermarkt-Bonuskarte genutzt haben.
• Das Recht auf Informationen zu Datenschutz-Verstößen: Organisationen müssen die Verbraucher:innen informieren, wenn sie von Cyber-Attacken oder Datenlecks betroffen sind.

Für Unternehmen und Organisationen ist die Umsetzung der DSGVO ein komplexes Unterfangen. Wohl auch wegen des umfassenden Regelwerks halten sich bis heute zahlreiche Mythen um die Verordnung hartnäckig. Neun Irrtümer sind besonders verbreitet.

Mythos 1: Die DSGVO ist ein reines „Internet-Gesetz“

Online-Shops, Online-Banking oder auch digitale Behördengänge – mit voranschreitender Digitalisierung verarbeiten Unternehmen und Organisation persönliche Daten zunehmend im Internet.

Die Datenschutzgrundverordnung betrifft allerdings auch sämtliche Datenverarbeitungen abseits des Netzes – ganz egal, ob die persönlichen Daten via Telefongespräch oder mündlich übermittelt werden und per Karteikarten, Notizzettel, Aktenordner, Video- oder Tonaufnahme dokumentiert sind.

Mythos 2: Datenschutzgesetze gibt es seit 2018

Zwar ist das Thema Datenschutz spätestens mit der Anwendung der DSGVO 2018 in aller Munde. Trotzdem ist die EU-Verordnung nicht das erste Datenschutzgesetz seiner Art. Bereits 1978, also 40 Jahre zuvor, wurde in Deutschland das Bundesdatenschutzgesetz (BDSG) verabschiedet. Es war gewissermaßen Vorbild für die DSGVO und enthielt bereits viele Regelungen, die nun europaweit gelten.

Und: Die DSGVO selbst ist bereits am 24. Mai 2016 in Kraft getreten, wird nach einer „Schonfrist“ von zwei Jahren aber erst seit 2018 angewendet.

Mythos 3: Die DSGVO gilt nur für Europa

Die DSGVO ist ein Gesetz der Europäischen Union, das sich auf die Daten von EU-Bürgern bezieht. Das bedeutet aber nicht, dass die Regelungen nur innerhalt der EU-Grenzen gelten. Ganz im Gegenteil: Die Datenschutz-Grundverordnung gilt prinzipiell weltweit, denn sie betrifft alle Organisationen und Unternehmen, die mit personenbezogenen Daten von EU-Bürgern arbeiten.

Es spielt also keine Rolle, ob Unternehmen in Europa ansässig sind. Auch US-Firmen, wie etwa Facebook, müssen die Regelungen der DSGVO beachten, wenn sie Daten von EU-Bürgern bearbeiten. Die Datenübermittlung ins Nicht-EU-Ausland ist dabei an bestimmte Voraussetzungen geknüpft. US-Firmen müssen beispielsweise eine entsprechende Zertifizierung unter dem EU-US-Privacy-Shield besitzen, das die Einhaltung europäischer Datenschutzstandards garantiert.

Mythos 4: Jede Datenerhebung braucht eine Einwilligung

Eine Einwilligung ist nur dann erforderlich, wenn die Datenerhebung und -verarbeitung nicht ohnehin per Gesetz erlaubt ist und das ist der Fall, wenn etwa ein „berechtigtes Interesse“ besteht.

Ein Beispiel: Die DiFü-Kontaktdaten sind für alle Besucher:innen dieser Website einsehbar – ohne, dass das DiFü-Team einwilligen muss. Denn es besteht ein berechtigtes Interesse seitens der Nutzer:innen, dass sie sich bei Fragen und Anmerkungen jederzeit an das DiFü-Team wenden können.

Auch in anderen Bereichen ist keine Einwilligung erforderlich: etwa wenn es Daten braucht, um einen Vertrag zu erfüllen und bereits eine Beziehung zwischen betroffener Person und Verantwortlichem besteht.

Mythos 5: Werbung ist ohne Einwilligung nicht gestattet

Je nach Auslegung der DSGVO kann es zulässig sein, wenn Firmen ihren Bestandskund:innen E-Mail-Werbung ohne eine vorherige Einwilligung schicken – allerdings nur dann, wenn die Mails auch einen Hinweis auf das Widerspruchsrecht enthalten. Briefwerbung ist für Unternehmen grundsätzlich ohne Einwilligung erlaubt. E-Mail-Werbung an Neukund:innen bedarf immer einer vorherigen Einwilligung.

Mythos 6: Man darf keine Menschen ohne Einwilligung fotografieren

Auch Fotos von Menschen sind personenbezogene bzw. personenbeziehbare Daten. Deshalb gilt auch hier grundsätzlich die DSGVO. Es braucht allerdings keine Einwilligung für das Erstellen und Verarbeiten von Fotos, wenn dies ausschließlich im persönlichen oder familiären Rahmen geschieht. Urlaubsfotos für den „Hausgebrauch“, die fremde Menschen zeigen, sind also nach wie vor erlaubt – eine Veröffentlichung, z.B. bei Facebook oder Instagram, ist ebenfalls rechtens.

Spielraum gibt es auch bei Fotos mit vielen Menschen, etwa von Demonstrationen oder Festivals. Wenn die Erstellung und Veröffentlichung für journalistische, wissenschaftliche, künstlerische oder literarische Zwecken erfolgt, kann das als Ausnahme von den Verarbeitungsgrundsätzen nach DSGVO gewertet und dadurch erlaubt werden.

Mythos 7: DSGVO-Verstöße kosten Unternehmen bis zu 20 Millionen Euro Strafe

Tatsächlich sind für Unternehmen Strafen von bis zu 20 Millionen Euro oder bis zu vier Prozent des Jahresumsatzes vorgesehen, sollten sie gegen die DSGVO verstoßen. Aber die Behörden haben hier in der Regel einen großen Spielraum und gehen mit Augenmaß vor – der Maximalrahmen gilt also eher als Abschreckung. Deutschland verhängt gegen öffentliche Stellen sogar grundsätzlich keine Bußgelder nach DSGVO.

Oftmals umgehen Unternehmen eine Strafe, wenn sie den Verstoß zeitnah beheben. Die Gesamtsumme der verhängten Bußgelder ist 2021 zwar nach oben geschellt. Das liegt aber besonders an zwei einzelnen Strafen, nämlich gegen Amazon und WhatsApp in Höhe von jeweils 746 bzw. 225 Millionen Euro.

Mythos 8: Jedes Unternehmen muss eine:n Datenschutzbeauftragte:n ernennen

Die Ernennung einer datenschutzbeauftragten Person ist abhängig von der Unternehmensgröße. Pflicht ist sie erst dann, wenn mindestens zehn Mitarbeitende in ihrer Kerntätigkeit persönliche Daten verarbeiten – egal, ob in Teil- oder Vollzeit. Auch muss eine datenschutzbeauftragte Person nicht zwingend im Unternehmen arbeiten, externe Dienstleister sind ebenso erlaubt.

Tatsächlich kann die Pflicht aber auch bei kleineren Unternehmen greifen, nämlich dann, wenn die verarbeiteten Daten als besonders sensibel gelten (z.B. Angaben zur Gesundheit, sexuellen Orientierung oder religiösen Überzeugung) oder wenn die Daten an Dritte übermittelt werden, etwa zu Forschungszwecken.

Mythos 9: Cookies dürfen erst nach Zustimmung der Besucher:innen gesetzt werden

Wichtiger Hinweis:

Bei diesem Artikel handelt es sich um keine Rechtsberatung. Die bereitgestellten Informationen wurden nach bestem Wissen und Gewissen zusammengetragen, dennoch kann keine Gewähr für die Richtigkeit, Vollständigkeit oder Aktualität gegeben und übernommen werden.