Die Datenschutz-Grundverordnung(GDPR) tritt am 25. Mai in Kraft und wird die Art und Weise, wie Unternehmen Daten verarbeiten und handhaben, völlig umgestalten und dem Einzelnen mehr Kontrolle darüber geben, wer seine Daten sammelt und verarbeitet, wofür sie verwendet werden und wie sie geschützt werden.
Obwohl die Frist im Mai immer näher rückt, gibt es immer noch eine Reihe von Mythen über die Datenschutz-Grundverordnung, die ausgeräumt werden müssen.
TOP GDPR-Mythen
Mythos 1: Jedes Unternehmen muss einen DSB ernennen
Das ist falsch. Nur bestimmte Organisationen müssen nach der DSGVO einen Datenschutzbeauftragten (DSB ) ernennen.
Sie müssen einen DSB bestellen, wenn:
- Sie sind eine öffentliche Behörde
- Ihre Kerntätigkeiten erfordern eine umfassende, regelmäßige und systematische Überwachung von Personen
- Ihre Haupttätigkeit besteht in der umfangreichen Verarbeitung besonderer Datenkategorien oder von Daten über strafrechtliche Verurteilungen und Straftaten
Der DSB sollte ein Experte für die DSGVO und Datenschutzpraktiken sein, da er für die Überwachung der Einhaltung der DSGVO und die Berichterstattung darüber verantwortlich ist.
Von den behördlichen Datenschutzbeauftragten wird erwartet, dass sie die für die Verarbeitung Verantwortlichen und die Auftragsverarbeiter anleiten, indem sie die interne Einhaltung der Vorschriften überprüfen und gegebenenfalls geeignete Empfehlungen zur Korrektur vorschlagen. Von den behördlichen Datenschutzbeauftragten wird auch erwartet, dass sie innerhalb der Organisation unabhängig handeln.
Mythos 2: GDPR betrifft nur europäische Unternehmen
Das ist falsch. Obwohl die Datenschutz-Grundverordnung eine europäische Verordnung ist, hat sie weiterreichende Auswirkungen. Es spielt keine Rolle, wo auf der Welt Sie sich befinden. Wenn Ihr Unternehmen außerhalb der EU ansässig ist, aber Geschäfte mit einer in Europa ansässigen Person tätigt, gilt die DSGVO.
Auch wenn ein Unternehmen seinen Hauptsitz außerhalb der EU hat, aber in Europa tätig ist, muss es die Bestimmungen einhalten. Bei der DSGVO geht es um personenbezogene Daten und den Aufenthaltsort der Person, deren Daten erhoben werden. Dies ist ausschlaggebend für die Anwendbarkeit der Verordnung.
Mythos 3: GDPR wird wegen des Brexit nicht für das Vereinigte Königreich gelten
Das ist falsch. Die Datenschutz-Grundverordnung wird auch nach dem Brexit gelten. Die Datenschutz-Grundverordnung soll regeln, wie Organisationen die personenbezogenen Daten von EU-Bürgern verarbeiten und kontrollieren, unabhängig davon, wo sie sich befinden. Das Vereinigte Königreich wird die Europäische Union erst im April 2019 verlassen, so dass das europäische Recht im Vereinigten Königreich weiterhin gelten wird.
Mythos 4: Bußgelder sind die größte Bedrohung für Ihr Unternehmen
Das ist falsch. Obwohl Unternehmen, die gegen die DSGVO verstoßen, mit Geldbußen von bis zu 4 % des weltweiten Jahresumsatzes oder 20 Millionen Euro rechnen müssen, gibt es noch eine Reihe anderer Probleme, mit denen nicht konforme Unternehmen konfrontiert werden.
Die Datenschutz-Grundverordnung verlangt, dass Organisationen Verstöße gegen personenbezogene Daten innerhalb von 72 Stunden nach ihrer Aufdeckung der zuständigen Aufsichtsbehörde melden. Besteht aufgrund der Verletzung ein hohes Risiko, dass die Rechte und Freiheiten einer Person beeinträchtigt werden, muss diese Person ebenfalls unverzüglich benachrichtigt werden.
Diese Unsicherheit und der Verlust von Daten könnten dazu führen, dass Kunden abwandern und zur Konkurrenz wechseln. Der Verlust des Verbrauchervertrauens könnte wiederum den Ruf eines Unternehmens schädigen und zu Umsatzeinbußen führen.
Mythos 5: Die Einwilligung ist die einzige Möglichkeit, Daten zu verarbeiten
Das ist falsch. Viele Organisationen gehen davon aus, dass die Einwilligung die einzige Rechtsgrundlage für die Verarbeitung personenbezogener Daten ist. Die Einwilligung ist nur einer von sechs rechtmäßigen Zwecken, die für jede Verarbeitung personenbezogener Daten erforderlich sind.
Nach der DSGVO ist eine "rechtmäßige Verarbeitung" nur möglich, wenn:
- Die Zustimmung der betroffenen Person liegt vor.
- Die Verarbeitung ist für die Erfüllung eines Vertrags mit der betroffenen Person erforderlich
- Die Verarbeitung ist erforderlich, um einer rechtlichen Verpflichtung nachzukommen.
- Die Verarbeitung ist erforderlich, um die lebenswichtigen Interessen einer betroffenen oder einer anderen Person zu schützen.
- Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem für die Verarbeitung Verantwortlichen übertragen wurde.
- Die Verarbeitung ist zur Wahrung der berechtigten Interessen des für die Verarbeitung Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen
Wenn Sie sich nicht sicher sind, ob Ihr Unternehmen auf dem richtigen Weg zur Einhaltung der GDPR ist, kontaktieren Sie uns, um herauszufinden, wie wir Ihnen helfen können. MetaPrivacy wurde speziell entwickelt, um einen Best-Practice-Ansatz für die Einhaltung des Datenschutzes zu bieten.
