7. April 2025
Die DSGVO führte zur umfassendsten Umgestaltung des Schutzes personenbezogener Daten seit Jahrzehnten. Von Beginn an nährte das Regelwerk Paranoia, Verwirrung und Besorgnis hinsichtlich seiner Funktionsweise, der erforderlichen Maßnahmen und der Verpflichtungen, denen Organisationen nunmehr unterliegen würden (oder auch nicht). Fast fünf Jahre später bestehen weiterhin zahlreiche gängige Fehlinterpretationen bezüglich der Verordnung. Lassen Sie uns zehn der am weitesten verbreiteten DSGVO-Mythen betrachten – und erläutern, weshalb es sich dabei lediglich um Mythen handelt.
Mythos Nr. 1: Die DSGVO gilt ausschließlich für europäische Unternehmen
Die DSGVO findet Anwendung auf jegliches Unternehmen, welches Daten von EU-Bürgern und -Einwohnern erhebt, empfängt und verarbeitet. Ferner betrifft sie jedes Unternehmen, das Waren oder Dienstleistungen für EU-Datensubjekte anbietet, sowie jedes, das deren Verhalten überwacht – UNABHÄNGIG vom Sitz des Unternehmens. Im Gegensatz dazu müsste ein europäisches Unternehmen, welches ausschließlich Daten von US-amerikanischen oder australischen Einwohnern verarbeitet, die DSGVO nicht einhalten. Es ist somit unerheblich, wo das Unternehmen ansässig ist. Die entscheidende Frage lautet: ‚Wessen Daten verwenden Sie?‘
Mythos Nr. 2: Die DSGVO wurde konzipiert, um alle EU-Bürger zu schützen, nicht wahr?
Die Annahme, die DSGVO sei verabschiedet worden, um EU-Bürger zu schützen, gehört zu den DSGVO-Mythen. Die DSGVO wurde speziell entwickelt, um die personenbezogenen Informationen von EU-Bürgern und -Einwohnern zu schützen – jedoch gilt sie für EU-Bürger und -Einwohner ausschließlich innerhalb der EU. Die entscheidende Frage ist somit, ob sich die Person in der EU befindet, nicht ob sie EU-Bürger ist.
Mythos Nr. 3: Nun gut – aber ist es nicht zutreffend, dass Rechenzentren sich in der EU befinden müssen?
Auch dies ist unzutreffend. Die DSGVO schreibt vor, dass alle über Bürger erhobenen Daten in der EU oder innerhalb einer Jurisdiktion, die ein vergleichbares Schutzniveau gewährleistet.
Mythos Nr. 4: Ich habe vernommen, die DSGVO sei darauf ausgelegt, durch die Verhängung von Bußgeldern gegen Unternehmen Einnahmen zu generieren.
Hierbei handelt es sich eher um eine Verschwörungstheorie als um einen der DSGVO-Mythen. Die DSGVO wurde entwickelt, um ‚die Datenschutzgesetze in allen Mitgliedstaaten zu harmonisieren sowie Einzelpersonen einen umfassenderen Schutz und erweiterte Rechte zu gewähren.‘ Gewiss wurden im Laufe der Jahre beträchtliche Bußgelder verhängt, jedoch in der Regel nur bei schwerwiegenden Verstößen gegen Datenschutzstandards. Es bleibt eine Tatsache, dass die DSGVO darauf abzielt, die betroffene Person in den Mittelpunkt zu stellen.
Mythos Nr. 5: Sie verpflichtet Organisationen jedoch zur Ernennung eines Datenschutzbeauftragten.
Organisationen müssen lediglich dann einen Datenschutzbeauftragten bestellen, wenn sie eine Behörde sind, eine umfangreiche systematische Überwachung durchführen oder eine umfangreiche Verarbeitung personenbezogener oder sensibler Daten vornehmen. Fallen Sie nicht in eine dieser Kategorien, sind Sie kategorisch NICHT verpflichtet, einen Datenschutzbeauftragten zu bestellen. Gleichwohl wird diese Praxis im Interesse einer bestmöglichen Vorgehensweise empfohlen.
Mythos Nr. 6: Keine Sorge: Ich betreibe ein Kleinunternehmen, daher bin ich ausgenommen
Überdenken Sie diese Annahme. Die DSGVO gilt für Unternehmen jeglicher Größe, unabhängig von der Mitarbeiterzahl. Erwägungsgrund 13 besagt ausdrücklich: ‚ Um ein gleichmäßiges Schutzniveau für natürliche Personen unionsweit zu gewährleisten und Unterschiede zu verhindern, die den freien Verkehr personenbezogener Daten im Binnenmarkt behindern, ist eine Verordnung erforderlich, die für die Wirtschaftsteilnehmer einschließlich Kleinstunternehmen sowie kleiner und mittlerer Unternehmen Rechtssicherheit und Transparenz schafft.“
Es gibt eine gute Nachricht: Kleine Unternehmen entrichten eine wesentlich geringere Registrierungsgebühr.
Mythos Nr. 7: Benötige ich tatsächlich eine Einwilligung für jede Aktivität?
Nein. Viele Unternehmen betrachten die Einwilligung als Kernstück der DSGVO und gehen davon aus, dass ohne Einwilligung keine Datenverarbeitung möglich ist. Besteht jedoch ein eindeutiger konkludenter Vertrag, benötigen Sie keine ausdrückliche Einwilligung, mit Ausnahme einiger weniger Bereiche, die eine offene Zustimmung erfordern.
Tatsächlich sieht die DSGVO sechs Rechtsgrundlagen für die Verarbeitung vor, von denen die Einwilligung nur eine ist. Die anderen umfassen Vertrag (wenn die Datenverarbeitung zur Erfüllung eines Vertrags erforderlich ist); rechtliche Verpflichtung (wenn die Datenverarbeitung zur Einhaltung des Gesetzes erforderlich ist); lebenswichtige Interessen (die Verarbeitung ist zum Schutz des Lebens einer Person erforderlich); Aufgabe im öffentlichen Interesse (die Verarbeitung ist zur Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt); und berechtigte Interessen (die Verarbeitung ist für Ihre berechtigten Interessen oder die berechtigten Interessen eines Dritten erforderlich).
Sollten Sie sich auf die Einwilligung als primäre Rechtsgrundlage stützen, stellen Sie sicher, dass diese den DSGVO-Standards entspricht: spezifisch, detailliert, ordnungsgemäß dokumentiert und leicht widerrufbar.
Mythos Nr. 8: Ich denke, es genügt, eine Datenschutzerklärung auf unserer Website zu veröffentlichen.
Es ist ein Anfang, aber bei weitem nicht ausreichend. Man kann auf zahlreichen Websites eine anpassbare ‚DSGVO-konforme‘ Vorlage für Datenschutzerklärungen herunterladen. Dennoch ist die Erstellung einer Datenschutzerklärung lediglich ein Schritt zur DSGVO-Konformität. Möglicherweise müssen Sie zusätzlich ein Cookie-Pop-up-Banner installieren, Daten-Mapping durchführen, einen Datenschutzbeauftragten ernennen, einen Prozess zur Benachrichtigung von Datenschutzbehörden im Falle einer Datenschutzverletzung etablieren, Datenverarbeitungsvereinbarungen mit Auftragsverarbeitern implementieren und sicherstellen, dass Auftragsverarbeiter in Nicht-EU-Ländern ein angemessenes Datenschutzniveau bieten.
Mythos #9: Die DSGVO setzt alle anderen Verordnungen außer Kraft.
Eines der Ziele der DSGVO war es, einen harmonisierten EU-Rechtsrahmen zu schaffen, der in allen EU-Ländern direkt anwendbar ist. Trotz ihres Umfangs und ihrer Komplexität bedeutet die Einhaltung der DSGVO jedoch nicht automatisch, dass Ihre Organisation allen EU-Datenschutzgesetzen entspricht. . Sie müssen auch ergänzende Gesetze wie die ePrivacy-Richtlinie und die Richtlinie über Netz- und Informationssysteme berücksichtigen. Beachten Sie zudem, dass die DSGVO von jedem EU-Mitgliedstaat modifiziert wird oder werden kann. Daher müssen Sie auch alle zusätzlichen Regeln berücksichtigen, die von einzelnen Ländern verabschiedet wurden.
Mythos #10: Als britisches Unternehmen müssen wir uns aufgrund des Brexit nicht mehr mit der DSGVO befassen.
Ja und nein. Die DSGVO wird als UK GDPR in nationales Recht übernommen, obwohl das Vereinigte Königreich die Unabhängigkeit behält, den Rahmen zu überprüfen. Der DPA (Data Protection Act) 2018 und die UK GDPR (General Data Protection Regulation) gelten, wenn sie ausschließlich inländische personenbezogene Daten verarbeiten. Die EU-DSGVO gilt weiterhin, wenn britische Unternehmen personenbezogene Daten von EU-Bürgern verarbeiten und Waren und Dienstleistungen anbieten oder das Verhalten von EU-Bürgern überwachen.
Trennen Sie Fakten von Fiktion
Dies sind nur einige der zahlreichen Mythen und Halbwahrheiten, die die DSGVO umgeben. Beachten Sie jedoch, dass sich die Verordnung im Laufe der Zeit weiterentwickelt und verändert. Es ist daher unerlässlich, Fakten von Fiktion zu trennen und stets über die notwendigen Schritte zur Gewährleistung der Compliance informiert zu bleiben.
Wenn Sie mehr über die DSGVO und Datenschutzbestimmungen weltweit erfahren möchten, finden Sie weitere Informationen in diesem Whitepaper.
