Ihr Premium Partner für Informationssicherheits-, Datenschutz- und Risikomanagementberatung
NEWS 01.06.2018
Die DSGVO - eine Welt von Fehlinterpretationen
01. Juni 2018
Die Datenschutzgrundverordnung (DSGVO) ist seit 25. Mai 2018 gültig. Es wurden bereits einige Unwahrheiten basierend auf falschen Interpretationen in Umlauf gebracht.
Dieser Artikel klärt Sie über fünf große Irrtümer auf:
Der erste Trugschluss: „Die Behörde ist erst nach einer Verwarnung dazu berechtigt, Strafen zu verhängen.“
Hierbei handelt es sich um einen klaren Irrtum. Die falsche Interpretation entstand aus dem Datenschutz-Deregulierungsgesetz §11 „…bei erstmaligen Verstößen wird die Datenschutzbehörde im Einklang mit Art. 58 DSGVO von ihren Abhilfebefugnissen insbesondere durch Verwarnen Gebrauch machen.“ Dies jedoch bedeutet nicht, dass bei
erstmaligem Verstoß keine Strafe erfolgen darf. Es bedeutet lediglich, dass es sich bei der Verwarnung um eine mögliche Option handelt. Geldstrafen von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes können somit aber auch schon bei erstmaligen Verstoß drohen.
Um eine weitere Fehlinterpretation handelt es sich bei der Zusendung von Newslettern.
Viele Unternehmen sind derzeit sehr bemüht, bereits bestehende Kunden um ihre erneute Zustimmung zum zukünftigen Erhalt von Newslettern zu bitten. Dies ist jedoch nicht vonnöten. Ist ein Kunde schon im System erfasst und es besteht eine aufrechte Kundenbeziehung, muss ein Unternehmen auch keine neue Zustimmung des Kunden einholen. Dasselbe gilt auch für Empfänger von Organisationen und Vereinen, die schon einmal ihre Zustimmung abgegeben haben. Anders hingegen bei neuen Empfängern, die noch in keiner Kundenrelation stehen. Diese müssen eine
Zustimmung zum Erhalt von Newslettern abgeben. Wichtig hierbei ist es, dass Empfänger den Newsletter jederzeit auf einfache Weise abmelden können.
Eine weitere Aussage, die nicht korrekt ist: „Schweigen bedeutet automatische Zustimmung“.
Datenschutzrechtlich darf Schweigen nicht als Zustimmung gedeutet werden. Diese Annahme ist sogar strafbar. So zum Beispiel bei E-Mails – oft wird geschrieben, dass der weitere Erhalt von Newslettern explizit mittels Klick auf einen Link widersprochen werden muss, ansonsten bedeutet dies automatische Zustimmung. Schweigen oder auch Ignoranz gilt hier allerdings in
keinem Fall als Bejahung. Laut Art. 4 Z 11 DSGVO muss eine Zustimmung in einer „eindeutigen bestätigenden Handlung“ bestehen. Ein ausdrücklicher Opt-In ist erforderlich. Das Unterlassen, Widerspruch zu leisten, gilt somit nicht als Zustimmung eines Empfängers.
Eine weitere falsche Information: „Personenbezogene Daten dürfen nur verarbeitet werden, wenn eine Einwilligung des Betroffenen vorliegt“.
Auch hier handelt es sich um ein Missverständnis.
Korrekt hingegen ist, dass jede Datenverarbeitung auf einer Rechtsgrundlage basieren muss.
Die Einwilligung des Betroffenen wäre eine mögliche Rechtsgrundlage, allerdings mit der kleinen Barriere, dass sie jederzeit widerrufbar ist. Es gibt noch fünf weitere Rechtsgrundlagen: 1. Erfüllung eines Vertrages, z.B. bei Bestellungen, 2. Erfüllung einer rechtlichen Verpflichtung, z.B. die Pflicht Dokumente für eine bestimmte Dauer aufzubewahren, 3. Für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt, 4. Zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich. Ist keine dieser Rechtsgrundlagen zutreffend, ist die Datenverarbeitung nicht erlaubt.
„Daten müssen nach Abschluss der Verarbeitung sofort gelöscht werden, oder vielleicht doch nicht?“
Bei der Speicherung von Daten handelt es sich um eine bestimmte Form der Datenverarbeitung. Diese ist genau dann zulässig, wenn sie explizit erlaubt wurde oder eine gesetzliche Aufbewahrungspflicht besteht. Auch wenn ein Verarbeiter berechtigtes Interesse daran hat, welches das Datenschutzinteresse des Betroffenen an der Löschung übersteigt, ist eine Speicherung erlaubt (dafür muss jedoch eine begründete Mitteilung an die betroffene Person gerichtet werden). Die Löschung personenbezogener Daten ist erst dann zwingend erforderlich, wenn die Verarbeitung dieser Daten nicht mehr zu rechtmäßigen Zwecken vonnöten ist.