Die sechs häufigsten DSGVO Mythen: Wir stellen sie richtig!

Mythos #1 – Die neue DSGVO tritt ab 25. Mai 2018 in Kraft!

Dem ist leider nicht so! Alle Behauptungen in Medien und sozialen Netzwerken sind zum Teil nicht richtig: Die DSGVO ist schon seit langem in Kraft und am 25. Mai 2018 endet die 2-jährige Übergangsfrist für UnternehmerInnen. Die DSGVO tritt nicht ohne jede Vorwarnzeit unverzüglich in Kraft: Die 2-jährige Übergangslösung war und ist eine Schonfrist, um die Umstellungen innerhalb des Unternehmens zu bewältigen.

Es ist allerhöchste Zeit, die eigenen Strukturen an die Datenschutz-Grundverordnung noch Rasch anzupassen, um künftig Sanktionen und Strafen zu entgehen.

Mythos #2 – Bussgelder von bis zu 20 Million Euro, wenn der Artikel 30 „Sicherheit der Verarbeitung“ nicht eingehalten wird

Es stimmt zwar, dass die Strafen viel höher sind, als nach dem Datenschutzgesetz 2000 (DSG2000). Die getroffene Aussage stimmt dennoch nur zum Teil! Bei Verstoß gegen Artikel 30 „Sicherheit in der Verarbeitung“ geht es um die Erstellung eines Verarbeitungsverzeichnisses von personenbezogenen Daten und auch um die interne Aufklärung: Man muss der Verpflichtung nachkommen auch MitarbeiterInnen über die DSGVO und deren Richtlinien zu informieren. Was passiert mit den gesammelten Daten? Wie werden sie verarbeitet? Über welchem Zeitraum stehen sie zur Verfügung?

Kommt man diesen Verpflichtungen nicht nach, werden diese Vergehen mit bis zu 20 Millionen Euro Bußgeldern sanktioniert! Zudem umfasst die neue DSGVO einen Artikel – Art. 83 – Allgemeine Bedingungen für die Verhängung von Geldbußen – der die höhe der Geldbußen festgelegt werden: Bei Verstöße gegen die Sicherheit in der Verarbeitung drohen Geldbußen von bis zu 10 Millionen Euro oder 2 Prozent des gesamten, weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres. Je nachdem, welcher der Beträge höher ausfällt!

Das sind die Vorgaben, die zu Strafen von bis zu 20 Millionen Euro führen. Diese betreffen vor allem die Grundsätze für die Verarbeitung:

  • Rechtmäßigkeit
  • Verarbeitung nach Treu und Glauben
  • Transparenz
  • Zweckwidmung
  • Datenminimierung
  • Integrität und Vertraulichkeit
  • Rechenschaftspflicht
  • sowie Rechte der betroffenen Person (z.B. das neue Recht auf Datenübertragbarkeit)

Verstöße gegen die Integrität und Vertraulichkeit, aber auch der generelle Verstoß gegen die Grundsätze oder Betroffenenrechte, können zu maximalen Strafhöhen führen.

Mythos #3 – Jedes Unternehmen braucht nun einen Datenschutzbeauftragten

Das stimmt nur zum Teil! Im Datenschutzgesetz (DSG2000) war zwar bisher schon empfohlen einen Datenschutzverantwortlichen zu haben. Unter der neuen DSGVO wird jedoch in Art. 37 ff. genau beschrieben, welches Unternehmen einen Datenschutzbeauftragten verpflichtend benötigt.

Ein weiterer Irrglaube ist, wenn man keinen Datenschutzbeauftragten benötigt, dass gewisse Vorschriften nicht für das Unternehmen gelten. Es gibt zum Teil Befreiungen für die Darstellung von Verarbeitungsverzeichnissen – das heißt aber noch lange nicht, dass diese nicht dennoch bewiesen werden müssen! Der Beweis erfordert im Grunde dieselben Tätigkeiten, die zur Erstellung des Verarbeitungsverzeichnis notwendig sind.

Mythos #4 – „Unsere Cloud-Lösung ist eh DSGVO-konform“

Zahlreiche Anbieter von Cloud-Lösungen verweisen gerne auf die gegenwärtige Konformität mit der DSGVO. Die Frage die sich dabei stellt, ist: Geschieht die Konformität nach bestem Wissen und Gewissen oder nur auf Basis eines bestehenden Datenschutz Zertifikats?

Wer Cloud-Services gesetzeskonform nutzen möchte, benötigt mehr als nur eine Selbstauskunft des Anbieters! Es werden Garantien, geeignete technische & organisatorische Maßnahmen (TOM) verlangt, damit die Verarbeitung laut der DSGVO Verordnung erfolgt und der Schutz der betroffenen Person gewährleistet wird.

Eine Garantie könnte in Zukunft ein genehmigtes Zertifizierungsverfahren oder genehmigte Verhaltensregeln bieten. Ein Datenschutz-Zertifikat, das unter dem Datenschutzgesetz (DSG2000) vergeben wurde, ist nicht mehr ausreichend. Auch sonstige derzeitig gültige Zertifikate sind unzureichend, da aktuelle Zertifizierungsverfahren noch nicht auf die DSGVO umgestellt wurden.

Mythos #5 – „Wir sind DSGVO-zertifiziert!“

Das ist bisher noch NICHT MÖGLICH! Der Artikel 42 der DSGVO, in dem es um die Zertifizierung geht, zeigt es eindeutig: Zertifizierungsverfahren, die zu einem DSGVO-Zertifikat führen sollen, müssen zuerst genehmigt werden. Die Verordnung gibt vor, das Zertifizierungen nur über akkreditierte Stellen oder durch die zuständige Aufsichtsbehörde erteilt werden können. Zudem stehen noch nicht alle Kriterien fest: Diese müssen erst genau festgelegt werden. Erst wenn die genehmigten Kriterien vorliegen, kann also mit einer Zertifizierung nach DSGVO begonnen werden. Dies ist aber bisher noch nicht der Fall!

Mythos #6 – Die Meldepflichten nach DSGVO sind neu!

Nein, es ist NICHT NEU – die Regeln werden nur verschärft: Ja, es gibt Änderungen gegenüber den Informationspflichten im neuen Datenschutzgesetz. Als Unternehmen ist es also nicht notwendig neue Prozesse zu entwickeln und aufzusetzen. Wenn sie sich bereits an die DSG2000 Vorgaben halten, sind lediglich weitere Ergänzungen zu machen. Es sollte alles machbar sein – bei Unsicherheiten, kontaktiere uns einfach gerne:

Speziell für Datenschutz gibt es kostengünstige bzw. auch kostenlose Beratungs- und Schulungseinheiten.

Die neue DSGVO tritt ab 25. Mai 2018 in Kraft!

Hier gibt es eine kostenlose Beratung oder Schulung zur Vorbereitung

Jetzt anfragen
By | 2018-01-30T17:56:05+00:00 Januar 31st, 2018|Allgemein, Datenschutz, IT, Service, Sicherheit, Tipps & Tricks|0 Comments

About the Author:

Leave A Comment

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen