Die Allgemeine Datenschutzverordnung(GDPR) tritt am 25. Mai in Kraft. Sie wird die Art und Weise, wie Unternehmen Daten verarbeiten und handhaben, komplett überarbeiten und dem Einzelnen mehr Kontrolle darüber geben, wer seine Daten sammelt und verarbeitet, wofür sie verwendet werden und wie sie geschützt werden.

Obwohl der Termin im Mai immer näher rückt, gibt es immer noch eine Reihe von Mythen rund um die Datenschutzgrundverordnung, die ausgeräumt werden müssen.

TOP GDPR-Mythen

Mythos 1: Jedes Unternehmen muss einen Datenschutzbeauftragten ernennen

Das ist falsch. Nur bestimmte Organisationen müssen gemäß der DSGVO einen Datenschutzbeauftragten (DSB) ernennen.

 Sie müssen einen DSB ernennen, wenn:

  • Sie sind eine öffentliche Behörde
  • Ihre Hauptaktivitäten erfordern eine umfassende, regelmäßige und systematische Überwachung von Personen
  • Ihre Haupttätigkeiten bestehen in der groß angelegten Verarbeitung besonderer Datenkategorien oder von Daten über strafrechtliche Verurteilungen und Straftaten

Der DSB sollte ein Experte für die DSGVO und Datenschutzpraktiken sein, da er für die Überwachung der Einhaltung der DSGVO und die Berichterstattung darüber verantwortlich ist.

Von den DSB wird erwartet, dass sie die für die Datenverarbeitung Verantwortlichen und die Datenverarbeiter anleiten, indem sie die interne Einhaltung der Vorschriften überprüfen und gegebenenfalls geeignete Korrekturmaßnahmen vorschlagen. Von den DSB wird auch erwartet, dass sie innerhalb der Organisation unabhängig handeln.

Mythos 2: GDPR betrifft nur europäische Unternehmen

Das ist falsch. Obwohl die Datenschutz-Grundverordnung eine europäische Verordnung ist, hat sie weiterreichende Auswirkungen. Es spielt keine Rolle, wo auf der Welt Sie sich befinden. Wenn Ihr Unternehmen außerhalb der EU ansässig ist, aber Geschäfte mit einer in Europa ansässigen Person tätigt, dann gilt die DSGVO.

Auch wenn ein Unternehmen seinen Hauptsitz außerhalb der EU hat, aber in Europa tätig ist, muss es die Bestimmungen einhalten. Bei der GDPR geht es um personenbezogene Daten und den Ort, an dem die Person lebt, deren Daten erfasst werden. Dies ist ausschlaggebend für die Anwendbarkeit der Verordnung.

Mythos 3: GDPR wird wegen des Brexit nicht für Großbritannien gelten

Das ist falsch. Die Datenschutz-Grundverordnung wird auch nach dem Brexit gelten. Die GDPR soll regeln, wie Organisationen die personenbezogenen Daten von EU-Bürgern verarbeiten und kontrollieren, unabhängig davon, wo sie sich befinden. Das Vereinigte Königreich wird die Europäische Union erst im April 2019 verlassen, so dass das europäische Recht im Vereinigten Königreich weiterhin gelten wird.

Mythos 4: Bußgelder sind die größte Bedrohung für Ihr Unternehmen

Das ist falsch. Obwohl Unternehmen, die gegen die DSGVO verstoßen, mit Geldbußen von bis zu 4 % des weltweiten Jahresumsatzes oder 20 Millionen Euro rechnen müssen, gibt es noch eine Reihe anderer Probleme für Unternehmen, die die Vorschriften nicht einhalten.

Die Datenschutz-Grundverordnung verlangt, dass Unternehmen Verstöße gegen personenbezogene Daten innerhalb von 72 Stunden nach ihrer Entdeckung der zuständigen Aufsichtsbehörde melden.  Wenn der Verstoß zu einem hohen Risiko der Beeinträchtigung der Rechte und Freiheiten einer Person führt, muss diese Person ebenfalls unverzüglich benachrichtigt werden.

Diese Unsicherheit und der Verlust von Daten könnten dazu führen, dass Kunden das Unternehmen verlassen und zur Konkurrenz wechseln. Der Verlust des Verbrauchervertrauens könnte wiederum den Ruf eines Unternehmens schädigen und zu Umsatzeinbußen führen.

Mythos 5: Die Zustimmung ist die einzige Möglichkeit, Daten zu verarbeiten

Das ist falsch. Viele Organisationen gehen davon aus, dass die Zustimmung die einzige Rechtsgrundlage für die Verarbeitung personenbezogener Daten ist. Die Einwilligung ist nur einer von sechs legitimen Zwecken, die für jede Verarbeitung personenbezogener Daten erforderlich sind.

Gemäß der DSGVO ist eine „rechtmäßige Verarbeitung“ nur möglich, wenn:

  • Die Zustimmung der betroffenen Person liegt vor
  • Die Verarbeitung ist für die Erfüllung eines Vertrags mit der betroffenen Person erforderlich
  • Die Verarbeitung ist erforderlich, um einer rechtlichen Verpflichtung nachzukommen
  • Die Verarbeitung ist notwendig, um die lebenswichtigen Interessen einer betroffenen Person oder einer anderen Person zu schützen
  • Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem für die Verarbeitung Verantwortlichen übertragen wurde
  • Die Verarbeitung ist zur Wahrung der berechtigten Interessen des für die Verarbeitung Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen

Wenn Sie unsicher sind, ob Ihr Unternehmen auf dem richtigen Weg zur Einhaltung der GDPR ist, kontaktieren Sie uns, um herauszufinden, wie wir Ihnen helfen können. MetaPrivacy wurde speziell entwickelt, um den besten Ansatz für die Einhaltung des Datenschutzes zu bieten.