Die 9 Irrtümer des Datenschutzes
Leider werden immer wieder Unternehmer und Datenschutzbeauftragte mit Dienstleistungsangeboten in die Irre geführt und ein komplett falscher Eindruck erzeugt. Wir räumen mit den 9 grössten Irrtümern auf.
Ich habe den Datenschutz mit der Datenschutzrichtlinie gelöst
Ein in der Praxis auftauchendes Phänomen ist die Aussage, das man mit der Erstellung der Datenschutzrichtlinie über einen Datenschutzgenerator – wir beschreiben in unserer Community und im Video die Hintergründe – das Datenschutzthema erledigt hat. Hier werden leider immer wieder Angebote offeriert, die diesen Eindruck erwecken.
Das stimmt allerdings nicht!
Die Erstellung Deines Impressums auf der Webseite und der zugehörigen Datenschutzrichtlinie sind nur Basisbausteine der DSGVO und dienen zur Aufklärung der Webseitenbesucher. Die DSGVO fordert viele weitere Unterlagen und Regelungen, die Ihr in unserer smart DSGVO Profi Plattform und unserem Wiki nachlesen könnt.
Wer dies vergisst oder nicht umsetzt, muss mit empfindlichen Strafen rechnen, die die Datenschutzbehörden nach freier Einschätzung verhängen.
Ich brauche den Datenschutz erst ab 10/20 Mitarbeiter
Warum auch immer werden Firmen mit der Aussage konfrontiert, das der Datenschutz für ein Unternehmen erst ab 10 oder 20 Mitarbeiter verbindlich ist. Das ist leider eine Falschinformation. Der Datenschutz gilt schon ab einer Person – sprich dem Einzelunternehmer oder Gewerbetreibenden. Es ist in der Definition des DSGVO festgelegt, das man ab einer bestimmten Menge von Personendaten verarbeitenden Mitarbeitern einen Datenschutzbeauftragten bestellen muss. In der Regel gilt dies ab 10 Personen die vollautomatisch (z.B. Mailinglisten, CRM Systeme) bzw. 20 die teilautomatisch (z.B. Adressbücher in Smartphones) Personen bezogene Daten verarbeiten. Werden z.B. kritische Gesundheitsdaten verarbeitet, kann dies schon ab einem Mitarbeiter notwendig sein.
Datenschutz ist nur etwas für große Unternehmen
Wie bereits zuvor beschrieben gilt der Datenschutz für jede gewerblich, freiberuflich oder unternehmerisch tätige Person. Es wird in der Gesetzgebung kein grundlegender Unterschied zwischen kleinen und großen Unternehmen getroffen. Alle müssen den Datenschutz mit inhaltlich definierten Umfängen umsetzen.
Datenschutz geht nur den Chef etwas an
Datenschutz ist ein unternehmensweit definiertes Thema und geht jeden etwas an. Mitarbeiter müssen außerdem vom Unternehmen im Datenschutz ausgebildet werden. Hier kann man generell zwischen den Mitarbeitern unterscheiden die Daten verarbeiten und denen, die keine verarbeiten. Wenn man allerdings genauer hinschaut, dann verarbeitet fast jeder irgendwie Daten oder kann mit ihnen in Berührung kommen. Gerade Smartphones sind hier ein prädestiniertes Umfeld. Wir empfehlen daher, das alle Mitarbeiter im Datenschutz unterwiesen und sensibilisiert sind.
Datenschutz ist ein IT Thema
Ihr denkt vielleicht, der Datenschutz ist auf Grund seines Begriffes mit Daten in IT Systemen gleich zu setzen und hier hat die Informationstechnologie kurz IT den Hut auf. Das ist dem Grunde nach erst einmal nicht falsch. Allerdings dienen Informationstechnologie, Computer und Softwarelösungen der Unterstützung von Prozessen in Unternehmen. Am Ende des Tages sind daher in Eurem Unternehmen ein Großteil wenn nicht sogar alle Mitarbeiter irgendwie mit IT Systemen konfrontiert. Daher ist Datenschutz generell immer unternehmensweit zu sehen und sollte so auch gelebt werden.
Der Datenschutz ist mit dem Schreiben der Dokumente erledigt
In den letzten Jahrzehnten ist es leider zur gängigen Praxis in Unternehmen geworden, das man z.B. Dokumentationen zum Arbeitsschutz oder zur Qualitätssicherung erstellt und man dann seine Pflicht erfüllt. Immer dann, wenn etwas passiert bzw. schief geht, kommt die Frage auf ob und wie die Prozesse gelebt werden. Es ist daher nicht selten, das die Dokumentationen von vor 5 Jahren nichts mehr mit der aktuellen Situation zu tun haben und komplett abweichen.
Gerade im Datenschutz ist dieses Risiko nicht gering und der Gesetzgeber schreibt daher eine jährliche Überprüfung vor, die zu dokumentieren ist. Datenschutzbeauftragte erstellen daher im Minimum jährlich eine Datenschutzbeurteilung.
Ich schreibe die DSGVO Dokumentation, wenn danach gefragt wird
Auch dies ist ein gefährlicher Irrtum. Der Gesetzgeber sieht ein lebendiges Datenschutzmanagement vor. Diesbezüglich wird gerade auch auf die Historie des Datenschutzes geachtet und wann was von wem wie erstellt, durchgeführt oder geregelt wurde. Es ist daher empfehlenswert jetzt mit dem Thema anzufangen, wenn noch keine vollständige Dokumentation erstellt wurde. Wir gehen davon aus, das die Unternehmen oder Unternehmer stärker bestraft werden, die das Thema aus zu sitzen versuchen. Des Weiteren ist es leichter ein nicht ganz vollständiges evtl. noch mit Fehlern behaftetes Datenschutzmanagement nach zu arbeiten als bei Null anzufangen. Wir rechnen daher auch damit, das Unternehmen mit nicht vollständiger aber 90% Datenschutzdokumentation wenige Probleme bekommen werden gegenüber denen, die es einfach links liegen lassen.
Ich habe doch gar keine Daten von Personen
Es gibt Fälle, in denen denkt Ihr, das man keine Personen bezogenen Daten hat. Dies ist sehr unwahrscheinlich, da Ihr im Minimum Mitarbeiter oder Rechnungsanschriften haben werdet, da dies allein durch die Steuergesetzgebung vorgeschrieben ist. Es wird daher im unternehmerischen Kontext nahezu unmöglich sein, keine Personen bezogenen Daten zu haben.
Datenschutzstrafen treffen nur das Unternehmen
Im Internet und der allgemeinen Presse wird immer wieder mit den Strafen von bis zu 20 Millionen Euro oder 4% vom weltweiten Jahresumsatz um sich geworfen. Man könnte daher den Eindruck bekommen, das nur Unternehmen bestraft werden, wenn etwas schief geht.
Das ist leider eine absolute Fehlannahme. Die DSGVO ist wie eine Straßenverkehrsordnung im Datendschungel und diese gilt für alle. Fährt der Mitarbeiter zu schnell, bekommt er ein Bussgeld. Ordnet der Chef dies an, in dem er die Sicherheit ignoriert, wird auch er bestraft.
Mit der DSGVO verhält es sich genauso – regelt das Unternehmen den Datenschutz nicht und es kommt zu Datenschutzverletzungen, dann haftet zuerst das Unternehmen. Kommt allerdings raus, das der Mitarbeiter entsprechend im Datenschutz unterwiesen wurde und das es entsprechende Datenschutzdokumentationen gibt, dann wird auch er mit einem Bussgeld belegt werden. Und als erstes einmalig in der Geschichte der Gesetzgebung muss vor allen Dingen das Unternehmen und auch der Mitarbeiter seine Unschuld beweisen. Das dies mitunter sehr heikel sein kann, könnt Ihr Euch vorstellen.