Irrtum im Datenschutz: das sind die 5 häufigsten

Irrtum 1: „Unternehmen, die keinen Datenschutzbeauftragten bestellen müssen, müssen keinen Datenschutz umsetzen.“

In Deutschland müssen Unternehmen ab einer Größe von 10 Mitarbeitern, die regelmäßig personenbezogenen Daten verabriten, einen Datenschutzbeauftragten bestellen. Dadurch stellen sich insbesondere kleinere Unternehmen, mit einer Mitarbeiterzahl unter 10 Mitarbeitern die Frage, inwieweit diese die DSGVO umsetzen müssen. Grundsätzlich gilt die Datenschutz-Grundverordnung für alle Unternehmen in Europa gleichermaßen. Eine Entlastung von kleinen Unternehmen könnte allerdings künftig möglich sein, da die DSGVO diesbezüglich einen Erwägungsgrund enthält. Allerdings gibt es hierzu noch keine abgestimmte Meinung der deutschen Aufsichtsbehörden. Dadurch muss jedes Unternehmen, dass personenbezogene Daten verarbeitet, unabhängig von der Mitarbeiterzahl, die Richtlinien der DSGVO umsetzen.

Irrtum 2: „Datenschutz-Maßnahmen müssen nur einmal umgesetzt werden und sind dann erledigt.“

Einige Unternehmer sind der Auffassung, dass die Umsetzung des Datenschutzes, durch ein einmaliges Handeln erledigt werden kann. Diese Auffassung ist falsch, denn die Umsetzung des Datenschutzes ist ein kontinuierlicher Prozess. Dieser Prozess zielt darauf ab, durch organisatorische und technische Rahmenbedingungen, ein hohes Maß an Datenschutz und Datensicherheit zu gewährleisten. Änderungen im Gesetz oder Unternehmen machen eine regelmäßige Überprüfung des Datenschutzes notwendig.

Organisatorische Rahmenbedingungen sind beispielsweise der Aufbau einer entsprechenden Datenschutz-Organisation, das Führen eines Verzeichnisses über die Verarbeitungstätigkeiten oder die Sensibilisierung der Mitarbeiter zum Thema Datenschutz. Wichtig ist es auch den Datenschutz unternehmensübergreifend im Blick zu behalten, indem Auftragsverarbeitungsverträge mit Lieferanten und Geschäftspartnern geschlossen werden. Zu den technischen Rahmenbedingungen gehört beispielsweise die Sicherstellung der Verarbeitung von Daten, durch die Erstellung von Backups.

Irrtum 3: „Datenschutz macht nur Arbeit, schafft aber keinen Nutzen für das Unternehmen.“

Einer Umfrage der Bitkom aus dem September 2018 zufolge, sind viele Unternehmen der Auffassung, dass Datenschutz viele Geschäftsprozesse verkompliziert und verlangsamt. Insbesondere da es in den Unternehmen mangelnde Rechtssicherheit zu vielen Detailfragen des Datenschutzes gibt. Allerdings regelt die DSGVO auch viele Themen eindeutig. Optimiert man diese Themen im Unternehmen entsprechend der DSGVO, werden Prozesse wie zum Beispie die Dokumentenverarbeitung beschleunigt. Ein weiteres Beispiel, ist die systematische Vernichtung personenbezogener Daten. Die Reduzierung der Menge gesammelter Daten sowie die vertrauliche Behandlung dieser, bringt Vorteile für Kunden, Mitarbeiter und das Unternehmen selbst.

Irrtum 4: „Ich darf Daten nicht mehr verarbeiten, Kunden und Mitarbeiter müssen in jeden Verarbeitungsvorgang einwilligen.“

Unternehmen verlangen für Standardgeschäftsprozesse immer wieder Einwilligungen ihrer Kunden. Für einen Teil dieser Prozesse ist eine Einwilligung durch den Kunden jedoch nicht erforderlich. In mindestens 95 % der Fälle gibt es eine rechtliche Grundlage, die die Verarbeitung personenbezogener Daten zulässt. Als Grundlage für die Entscheidung, ob eine Einwilligung notwendig ist oder nicht, können sich Unternehmen am Artikel 6 1 b) oder 1 f) der DSGVO orientieren. Treffen die Tatbestände nicht zu, müssen Unternehmen prüfen, ob die betroffene Person eine Einwilligung in die Datenverarbeitung abgeben möchte.

Irrtum 5: „Datenschutz hat mit mir nichts zu tun, ich bin dafür zu klein.“

Immer wieder denken kleine Unternehmen, der Datenschutz sei für sie nicht relevant. Zur Verdeutlichung, inwiefern Datenschutz auch bei kleinen Unternehmensgrößen wichtig ist, ein Beispiel:

Ein Hörgeräteakustiker mit einem kleinen Labor und 5 Mitarbeitern muss laut DSGVO keinen Datenschutzbeauftragten bestellen. Möglicherweise ist er der Meinung „Datenschutz ist für mich nicht relevant“. Anhand folgender Fragen wird deutlich, dass dies ein Irrtum ist:

1. Befinden sich Personen aus der Öffentlichkeit unter seinen Kunden?
2. Sind diese womöglich in einer Altersgruppe, in der es unüblich ist Hörgeräte zu tragen?
3. Inwiefern ist sich der Hörgeräteakustiker sicher und kann garantieren, dass diese Information von seinen Mitarbeitern nicht an Dritte weitergegeben werden?

Sollten solche vertraulichen Informationen an die Öffentlichkeit gelangen, kann der Ruf des Hörgeräteakustikers geschädigt werden. Es ergeben sich Nachteile im direkten Wettbewerb mit anderen Anbietern. Durch die Sensibilisierung seiner Mitarbeiter kann der Hörgeräteakustiker aufklären und sicherstellen, dass seine Mitarbeiter Informationen vertraulich behandeln.