Bereits 2016 wurde die EU-Datenschutzgrundverordnung (DSGVO) verabschiedet. Die Verordnung wird im Mai 2018 voll anwendbar. Für Unternehmen, die in Europa tätig sind, ist es entscheidend, ihren Geschäftsbetrieb an der neuen Regelung auszurichten. Allerdings begegnen wir regelmäßig Missverständnissen über die DSGVO. Die acht wichtigsten davon hat unser Brüsseler Kollege Edwin Jacobs, mit dem wir im Rahmen des Kanzleinetzwerks World IT Lawyers zusammen arbeiten, hier aufgeführt.
Missverständnis 1: Die DSGVO gilt nicht für kleine Unternehmen.
Obwohl einige Zugeständnisse an kleine Unternehmer und KMU gemacht wurden, gilt die DSGVO für alle Organisationen, die personenbezogene Daten verarbeiten. Die Auswirkungen der DSGVO auf Ihr Unternehmen hängen von der Art und Weise ab, wie Daten verarbeitet werden und nicht von der Anzahl der Datensätze oder der Größe der Organisation.
Missverständnis 2: Jede Firma, auf die die DSGVO anwendbar ist, muss einen Datenschutzbeauftragten einsetzen.
Ob die DSGVO auf ein Unternehmen anwendbar ist oder nicht, bedeutet nicht zwangsläufig, dass das Unternehmen einen Datenschutzbeauftragten (DSB) benennen muss. Dies gilt nur für öffentliche Institutionen, die Daten verarbeiten, Unternehmen, die personenbezogene Daten systematisch verarbeiten und Organisationen, die besonders sensible Daten (wie zum Beispiel Gesundheitsdaten) verarbeiten.
Auch wenn Ihr Unternehmen nicht in eine dieser Kategorien fällt, ist es dennoch empfehlenswert, einen DSB zu ernennen. Dies bietet zusätzliche Aufsicht und mehr Sicherheit im Fall von Streitigkeiten.
Missverständnis 3: Die Ernennung eines Datenschutzbeauftragten ist eine reine Formalität.
Die DSGVO verlangt, dass ein Datenschutzbeauftragter nachweislich Expertenwissen über Datenschutz und Datensicherheit hat. Eine einfache Ernennung einer Ihrer aktuellen Mitarbeiter als DSB reicht nicht aus. Darüber hinaus muss der ernannte DSB über die unternehmensspezifischen Datenprozesse hinreichend informiert werden.
Missverständnis 4: Unsere Firma verschlüsselt Daten, so dass wir DSGVO-konform sind.
Es ist ein Missverständnis, dass durch die bloße Verschlüsselung von Daten die DSGVO-Anforderungen erfüllt sind. Die Datenverschlüsselung sollte eher als Mindeststandard interpretiert werden und erfordert daher zusätzliche Maßnahmen. Unternehmen müssen zusätzliche Optionen zum Schutz personenbezogener Daten anbieten, wie zum Beispiel die Verwendung von zweistufigen Verifizierungen und das endgültige Löschen von Daten, die nicht mehr verwendet werden.
Missverständnis 5: Unsere Daten werden in der Cloud gespeichert, daher liegt die Verantwortung für die Datensicherheit beim Cloud-Provider und beim Security-Provider.
Die DSGVO gilt nicht nur für Unternehmen, die Daten speichern, sondern auch für Unternehmen, die diese Daten verarbeiten. Das bedeutet, dass die DSGVO auch gilt, wenn ein Unternehmen Drittanbieter für die Datenspeicherung bei der Verarbeitung von Daten einsetzt.
Missverständnis 6: Meine Firma hält das nationale Datenschutzgesetz ein, daher entsprechen wir der DSGVO.
Die DSGVO ersetzt die Datenschutzrichtlinie, die von allen Mitgliedsstaaten der Europäischen Union in nationales Recht umgesetzt wurde. Die DSGVO und die derzeitigen nationalen Datenschutzgesetze sind jedoch in vielerlei Hinsicht unterschiedlich. Es gibt zum Beispiel Unterschiede bei der Einwilligung, die Betroffene für die Verarbeitung ihrer Daten erteilen müssen oder dass der Betroffene bei einem Datenleck informiert werden muss. Es stimmt jedoch, dass die Einhaltung Ihres nationalen Datenschutzgesetzes einen einfacheren Übergang zur Erfüllung der DSGVO-Anforderungen ermöglicht.
Missverständnis 7: Meine Firma ist mit dem Privacy Shield konform, daher entsprechen wir der DSGVO.
Obwohl es viele Ähnlichkeiten zwischen den Vorschriften des Privacy Shield und den Bestimmungen der DSGVO gibt, ist es nicht wahr, dass diese beiden Systeme gleich sind. Das Privacy Shield bezieht sich nur auf eines der vielen DSGVO-Themen, nämlich internationale Datenübertragungen. Das Privacy Shield erwähnt beispielsweise keine Benutzerberechtigungen oder einen Datenschutzbeauftragten.
Missverständnis 8: Die DSGVO ist eine All-in-One-Lösung für die Datenverarbeitung in Europa.
Die DSGVO wurde als universelle Regulierung veröffentlicht, die die Gesetzgebung in Europa vereinfacht und vereinheitlicht. In der Praxis ist dies jedoch nicht der Fall. Für multinationale Konzerne ist die DSGVO nur die nächste Regulierung, die einer Reihe von bestehenden Regelungen hinzufügt wird. Zum Beispiel gibt es im Fall eines Datenlecks unterschiedliche gesetzliche Regelungen für die Meldepflicht. Darüber hinaus müssen Unternehmen die nationalen Datenschutzbestimmungen einhalten, die je nach Land variieren. Es wird noch komplizierter, wenn die DSGVO mit nationalen oder branchenspezifischen Richtlinien nicht übereinstimmt.
Ist ihr Unternehmen fit für die Datenschutzgrundverordnung? Falls Sie dazu Fragen haben, sprechen Sie uns an.