Nicht alle stimmen: 5 Behauptungen zur DSGVO, die wir immer wieder hören.

Wer jedes Jahr aufs neue den Stichtag für die Abgabe der Einkommensteuererklärung vergisst, der könnte zu den Spezialisten gehören die am 25. Mai vom Inkrafttreten der neuesten EU-Verordnung für Datenschutz überrascht wurden. Die General Data Protection Regulation (GDPR) oder in schönstem Beamtendeutsch: Datenschutzgrundverordnung (DSGVO) klingt nicht nur spannend, sie beinhaltet tatsächlich einige interessante Änderungen für bestehende Datenschutzgesetze und alle davon betroffenen Unternehmen. Ein Grund zur Panik? Wir klären auf!

Die letzten Wochen waren stressig? Viel Papierkram und Recherche in Gesetzestexten und Rechtsblogs und -Foren? Dann hatten Sie vermutlich mit der Datenschutzgrundverordnung zu tun. Da die Unsicherheit bei Unternehmen und Privatpersonen in manchen Fällen immer noch groß zu sein scheint, haben wir einige Aussagen über die DSGVO auf ihre Richtigkeit geprüft. Wie immer gilt: Wir sind keine Rechtsanwälte, daher ist dieser Text auch keine Rechtsberatung.

 

Datenschutzgrundverordnung

Die DSGVO-Schonfrist ist vorbei, einige Unternehmen dürften ein paar stressige Tage hinter sich haben.

 

„Hier bedeutet Datenschutz wohl eher Täterschutz! Gesetze wie das GDPR werden nicht, wie geplant, die Rechte der User stärken, sondern zu einer Klagewelle führen, die vor allem kleine und mittelständische Unternehmen hart trifft. Die großen Datenkraken winden sich dagegen weiter aus dem Netz!“

 

Die neuen Regelungen der EU bedeuten eine längst überfällige Aktualisierung all jener Gesetze, die sich mit der Speicherung und Verarbeitung personenbezogener Daten beschäftigen. Sie sind umfassend und gelten für alle 28 Mitgliedsstaaten der EU gleichermaßen bindend. Alle Maßnahmen folgen dabei dem Grundsatz der “Datenminimierung”. Dies bedeutet, dass Unternehmen nur die persönlichen Daten von EU-Bürgern erheben und verarbeiten dürfen, die sie zwingend für ihre Dienstleistung benötigen und auch nur dann, wenn die Betroffenen ausdrücklich zugestimmt haben und die Daten nach ihrer Zweckerfüllung wieder gelöscht werden. Dabei spielt es keine Rolle in welchem Land die Daten erhoben werden oder ob die handelnden Unternehmen in einem EU-Land gemeldet sind.

Die geplanten Strafen bei Nichteinhaltung der Gesetze sind teilweise drastisch und gelten für Kleinstunternehmen genau wie für die Global Player Amazon, Google, Facebook und Co. Wer mit personenbezogenen Daten arbeitet sollte sich also sehr genau mit den neuen Gesetzen beschäftigen.

 

“Die neuen Gesetze kommen ohne jede Vorwarnung und treffen die Unternehmen unvorbereitet. Die angedrohten Strafen sind unverhältnismäßig hoch und nicht zulässig!”

 

Tatsächlich ist das Maßnahmenpaket der EU zum Datenschutz bereits seit zwei Jahren in Kraft. Am 25. Mai 2018 endet nur die zweijährige Übergangsfrist, die geschaffen wurde, damit sich alle Betroffenen auf die neuen Gesetze vorbereiten und die geforderten Maßnahmen umsetzen können. Es ist davon auszugehen, dass sich die zuständigen Behörden auch nach diesem Termin kulant zeigen werden, wenngleich Datenschutzbeauftragte und verantwortliche Gerichte die Umsetzung der neuen Gesetzgebung auch unter Androhung von Strafen konsequent vorantreiben werden.

Die Höhe der angesprochenen Bußgelder, vor allem bei Verstößen gegen die Integrität und Vertraulichkeit im Umgang mit persönlichen Daten, gehen in die Millionen. Sie beinhalten jedoch einen Ermessensspielraum und richten sich mitunter an den jährlichen Umsatz des betroffenen Unternehmens. Damit sollen vor allem große Unternehmen gezwungen werden die neuen Gesetze umzusetzen und sich nicht mehr mit einer Zahlung der fälligen Strafgelder darüber hinwegsetzen können.

 

In Sachen DSGVO sind sich die Betroffenen einig: Die Verordnung lässt viel Platz für Interpretation. Hier müssen in den kommenden Monaten und Jahren die Richter ran. Und dann unter Umständen noch einmal die Unternehmen.

 

“Seit dem 25. Mai benötigt JEDES Unternehmen einen Datenschutzbeauftragten!”

 

Die Notwendigkeit der Bestellung eines Datenschutzbeauftragten wurde in Deutschland bereits im Bundesdatenschutzgesetz klar geregelt. Mit Inkrafttreten der DSGVO werden zwar auch hier die Richtlinien verschärft, sie betreffen jedoch nicht alle Unternehmen gleichermaßen.

Grundsätzlich muss ein Unternehmen immer dann einen Datenschutzbeauftragten beschäftigen, wenn es personenbezogene Daten automatisiert erfasst, speichert und  weiterverarbeitet. Dies umfasst nicht nur Namen und Adressdaten, sondern auch Telefonnummern, E-Mail-Adressen, Fotos, Videos und GPS Daten. Kleine Unternehmen bei denen regelmäßig nur neun oder weniger Mitarbeiter mit persönlichen Daten arbeiten, sind von dieser Regelung ausgenommen. Nicht jedoch wenn die Daten an Dritte weitergegeben werden oder besonders sensible Informationen wie Gesundheit, Religionszugehörigkeit oder sexuelle Orientierung betroffen sind.

Wichtig: ein Datenschutzbeauftragter sollte über die notwendigen Fortbildungen der Industrie- und Handelskammer verfügen.

 

“Wer zukünftig Bilder bei Facebook postet macht sich strafbar!”

 

Dieses und ähnliche Gerüchte treiben gerade ihr Unwesen in den sozialen Netzwerken. In den meisten Fällen handelt es sich bei den pauschalisierten Aussagen über die DSGVO um inhaltlich zweifelhafte Panikmache. Doch wie die meisten Gerüchte, birgt auch dieses einen Funken Wahrheit. Denn tatsächlich hat man im Zuge der neuen EU-Datenschutzrichtlinien festgestellt, dass es sich bei Fotos streng genommen auch um persönliche Daten handelt und diese demnach der neuen Gesetzmäßigkeit unterliegen. Dies gilt für alle Aufnahmen auf denen Personen erkennbar abgebildet sind oder die Rückschlüsse auf einen möglichen Aufenthaltsort zulassen. Wer also Fotos ohne das Einverständnis der abgebildeten Personen im Internet veröffentlicht, macht sich strafbar.

Soweit zumindest die Theorie. Denn in der Praxis gelten die neuen EU-Verordnungen vor allem für eine kommerzielle Nutzung. Die private oder familiäre Verwendung von Fotos und Videos, auch in den sozialen Netzwerken, bleibt davon weitestgehend unberührt. Davon ab wurde das Recht am Bild bisher eindeutig durch das Kunsturhebergesetz, kurz KUG, geregelt. Darin ist festgelegt, dass für jedes zu veröffentlichende Bild eine Einwilligungspflicht des Abgebildeten besteht. Eine wahllose Veröffentlichung von Fotos und Videos im Internet war demnach schon lange vor der Einführung der DSGVO ausgeschlossen. In welchem Verhältnis KUG und DSGVO zueinander stehen ist bisher strittig. Ob die neuen EU-Richtlinien die bestehenden Gesetze langfristig ersetzen werden bleibt abzuwarten. Panik vor Abmahnungen und Verboten ist aber in jedem Fall unangebracht.

 

Großunternehmen haben Rechtsabteilungen, die mit der Umsetzung der DSGVO betraut sind, kleinere Firmen und Blogger haben das nicht. Aus Angst vor Konsequenzen hat schon so mancher Kleinbetrieb seine Seite offline genommen.

 

“Die DSGVO entmündigt und kriminalisiert die Bürger und schwächt die Wirtschaft”

 

Tatsächlich scheinen die neuen Gesetze etwas über das Ziel hinaus zu schießen. Während große Unternehmen im Umgang mit Datenschutz geübt sind und für die Verwaltung personenbezogener Daten ausgebildetes Fachpersonal beschäftigen, stoßen kleine und mittelständische Unternehmen bei diesem Thema schnell an ihre Grenzen. Die Regelungen wirken auf den ersten Blick undurchsichtig, übermäßig bürokratisch und sind ohne juristischen Beistand kaum in Gänze umsetzbar. Die Angst vor Bußgeldern und Prozessen hat schon manchen User zum schließen seiner privaten Website veranlasst.

Wirtschaftsverbände sehen in der Verwendung großer Datenmengen, dem sogenannten “Big Data Management” einen wichtigen Faktor für die Entwicklung eines Landes. Zwar sei Datenschutz wichtig und eine Überarbeitung bestehender Gesetze nach den jüngsten Datenskandalen notwendig, die Arbeit mit persönlichen Daten müsse für die Unternehmen jedoch auch weiterhin praktikabel und wirtschaftlich interessant bleiben. Gerade in Konkurrenz zu nicht europäischen Unternehmen die von lockeren Datenschutzbestimmungen profitieren, dürfe es nicht zu einem Wettbewerbsnachteil kommen.

Kritik die auch die Politik erreicht hat. Kanzlerin Angela Merkel kündigte kurz vor dem Stichtag am 25. Mai an, die Umsetzung der neuen Richtlinien prüfen zu lassen. Eine Handhabung wie beim Nachbarn Österreich, der vor allem Verwarnungen und nur in Härtefällen Prozesse und Strafen vorsieht, wäre denkbar. In jedem Fall sollten Sie dem endgültigen Inkrafttreten des vermeintlichen Schreckgespensts DSGVO vorerst gelassen entgegen sehen. Sofern Sie sich über die gesetzlichen Veränderungen informieren und soweit möglich in ihrem Unternehmen umsetzen, haben Sie nichts zu befürchten. Einen Grund für Panik und Hysterie gibt es jedenfalls nicht.

 

Hinweis: Es handelt sich bei diesem Text nicht um eine Rechtsberatung. Eine adäquate Rechtsberatung im Sinne des Gesetzgebers darf nur durch einen zugelassenen Rechtsanwalt erfolgen.