Leider werden im Internet seit der Ankündigung der DSGVO viele Halbwahrheiten verbreitet, die bewusst oder unbewusst von Marktteilnehmern gestreut werden.
Mit nachfolgenden 8 Mythen will ich euch einen kleine Übersicht geben, was für Halbwahrheiten das zum Beispiel sind.
Wichtiger Hinweis: Die Liste ist von verschiedenen Quellen zusammengetragen und auf Richtigkeit kann ich keine Garantie geben. Stand der Informationen ist der 23.07.2018!
Das ist falsch.
Auch seit dem 25. Mai 2018 benötigt ein Webseiten-Betreiber grundsätzlich keine Checkbox, mit der ein User der Datenschutzerklärung zustimmen muss. Denn in der Datenschutzerklärung wird der Kunde „nur“ über die Art und Weise der Datenverarbeitung informiert. Mehr nicht, aber auch nicht weniger.
Etwas anderes gilt ausnahmsweise nur dann, wenn der Betreiber in der Datenschutzerklärung nicht nur reine Informationen platziert, sondern andere Dinge mit abfrühstückt, z.B. eine weitreichende Einwilligung in eine Datenauswertung. In solchen speziellen Ausnahmefällen kann es sein, dass eine ausdrückliche Zustimmung und somit eine Checkbox notwendig sind. Dies ist aber, wie gesagt, nicht der Regelfall.
Das ist falsch.
An der bisherigen Rechtslage hat sich hier durch die DSGVO nichts geändert. Schon bislang durften bei herkömmlichen Newsletter-Anmeldungen neben der reinen E-Mail-Adresse alle weiteren Felder grundsätzlich nur optional sein. Das heißt, solche Felder wie „Name“ oder „Titel“ waren stets freiwillig und nicht als Pflichtfelder auszugestalten.
Falsch.
Eine Einwilligung braucht man nur dann, wenn die Datenverarbeitung nicht durch Gesetze erlaubt ist oder man kein berechtigtes Interesse an der Verarbeitung personenbezogener Daten nachweisen kann. Und ein berechtigtes Interesse kann vieles sein: Wenn die Daten zur Erfüllung eines Vertrages oder zur Vertragsanbahnung notwendig sind, wenn sie benötigt werden, um eine Website wirtschaftlich zu betreiben und sogar wenn sie dazu dienen, Direktmarketing zu ermöglichen.
Wer beispielsweise auf einer Messe eine Visitenkarte bekommt mit der Bitte, ein Angebot zu senden, der benötigt für den Versand eines solchen keine schriftliche Einwilligungserklärung. Und auch für Kontaktformulare auf Websites benötigt man keine Einwilligungserklärung – sie dienen in der Regel nämlich der Vertragsanbahnung.
Falsch.
Die Aufsichtsbehörden haben Spielraum und haben bereits angekündigt, hier mit Augenmaß zu entscheiden. Der Maximalrahmen bei den Strafen wird nur in wirklich krassen Fällen ausgeschöpft. Schon nach dem alten Bundesdatenschutzgesetz konnten die Datenschutzbehörden Strafen von bis zu 300.000 Euro aussprechen – theoretisch. Selbst gegen große Unternehmen betrugen die Bußgelder bisher aber meist nicht mehr als 5000 oder 6000 Euro. In vielen Fällen dürfte es bei einer Rüge bleiben oder man bekommt eine Anweisung, das Problem zu beheben. Die Höchststrafe dient vor allem zur Abschreckung großer Konzerne wie Facebook.
Auch das stimmt nicht.
Will ein Webseiten-Betreiber Tools aus Ländern außerhalb der EU einsetzen (sog. Drittländer), ist dies nicht automatisch verboten. Vielmehr ist die Nutzung durchaus möglich. Das Unternehmen muss nur dafür sorgen, dass ein ausreichendes Datenschutz-Niveau in dem Drittland herrscht.
Für Anwendungen aus den USA ist dies beispielsweise der Fall, wenn diese Unternehmen Mitglied im sogenannten EU-US-Privacy-Shield sind. Ob eine Firma mitmacht, lässt sich über die entsprechenden Webseiten recherchieren (z.B. über https://www.privacyshield.gov).
Falsch.
Personenbezogene Daten dürfen weiterhin in einer Cloud gespeichert werden – allerdings muss man mit dem Cloud-Betreiber einen Vertrag zur Auftragsverarbeitung schließen und für den gelten strengere Vorgaben als bisher. Der Cloud-Anbieter muss hinreichende Garantien dafür bieten, dass er geeignete technische und organisatorische Maßnahmen getroffen hat, die sicherstellen, dass die Datenverarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und dass die Rechte der Betroffenen gewährleistet werden.
Auch das ist falsch.
Wer bisher personenbezogene Daten erfasst hat und sich dabei an die Rechtslage gehalten hat und auch nachweisen kann, dass er eine Einwilligung zur Verarbeitung der Daten hat, der kann alte Adressen weiter nutzen.
Falsch.
Die DSGVO sieht keinen Zwang zur Verschlüsselung vor, auch wenn diese sicher in vielen Fällen sinnvoll ist. Ob der Versender eine E-Mail verschlüsseln muss, hängt vom Schutzbedarf der übertragenen Daten ab. Nur wenn es um Daten geht, die nach Artikel 9 Absatz 1 der DSGVO einen sehr hohen Schutzbedarf haben, ist eine Verschlüsselung notwendig. Dies sind beispielsweise Gesundheitsdaten, Daten zur sexuellen Orientierung oder biometrische Daten.
Quellenangaben: