In diesem Abschnitt möchten wir mit einigen – jüngst kursierenden – „Mythen“ aus der Welt der DSGVO aufräumen, die gerade in KMU häufig für Unsicherheit sorgen.
Darf ich im Geschäft/beim Arzt noch mit meinem Namen begrüßt/aufgerufen werden oder wird jetzt dazu eine Einwilligung benötigt?
Selbstverständlich dürfen Sie auch weiterhin mit Ihrem Namen angesprochen bzw. aufgerufen werden. Art. 4 Ziff. 1 DSGVO führt den Namen zutreffenderweise als personenbezogenes Datum auf. Personenbezogene Daten unterliegen jedoch unterschiedlichen Vertraulichkeitsanforderungen/Schutzstufen. Dabei wird der Name als frei zugängliches personenbezogenes Datum (z.B. aus Telefon- oder Wahlvorschlagsverzeichnis) der geringsten Schutzstufe A zugeordnet, bei der im Falle eines Datenschutzverstoßes nur ein geringfügiger Schaden gesehen würde.
Sämtliche deutschen Datenschutzaufsichtsbehörden bewerten eine namentliche Begrüßung oder einen namentlichen Aufruf eines Patienten beim Arzt NICHT als einen Datenschutzverstoß. Dementsprechend ist selbstverständlich auch keine Einwilligung erforderlich.
Dürfen Unternehmen die Daten ihrer Kunden jetzt nur noch mit deren Einwilligung erfassen/verarbeiten?
Nein, natürlich nicht. Die Einwilligung gemäß Art. 6 Abs. 1 Buchst. a) DSGVO ist nur EINE von fünf erforderlichen Rechtsgrundlagen zur Verarbeitung personenbezogener Daten. Im Falle der Bestellung/des Kaufes einer Ware (per Kaufvertrag) ist die Datenverarbeitung zur Erfüllung eines Vertrages bzw. zur Durchführung vorvertraglicher Maßnahmen erforderlich (Art. 6 Abs. 1 Buchst. b) DSGVO). Eine separate Einwilligung des Kunden ist nicht notwendig.
Etwas anders ist der Sachverhalt gelagert, wenn dem Kunden Werbung zugesendet werden soll. Für den elektronischen Versand von Newslettern oder sonstiger digitaler Werbung ist eine schriftliche Einwilligung des Kunden erforderlich. Erfolgt diese Werbung wiederum auf dem Postweg oder als Briefwurfsendung, ist eine Einwilligung wiederum entbehrlich. Aber das war noch nicht alles. Es gibt noch mehr Detailregelungen dazu. Ganz schön kompliziert, nicht wahr…
Die DSGVO ist für mich nicht relevant. Dafür bin ich als Unternehmen viel zu klein. Und bevor mich da einer erwischt…
Die „Mut zur Lücke“-Strategie ist leider noch immer bei vielen KMU verbreitet. An dieser Stelle sei ausdrücklich angemerkt: die DSGVO gilt für jedes Unternehmen, unabhängig von Größe, Rechtsform oder Branche… (und natürlich auch für jeden Verein).
Diese Strategie kann in Anbetracht einer wachsenden Sensibilität in der breiten Öffentlichkeit mit nahezu täglichen Nachrichten von Datenpannen nur als sehr riskant bezeichnet werden. Die Möglichkeiten für Verbraucherbeschwerden über Online-Portale der Aufsichtsbehörden sind sehr einfach, was durch das exponentielle Wachstum der Beschwerden seit Mai 2018 eindrucksvoll nachzuvollziehen ist.
Bei Datenschutzverstößen können Bußgelder in Millionenhöhe verhängt werden.
Das ist korrekt. Im Maximalfall können 10 bzw. 20 Mio. EUR (oder 2% bzw. 4% des jährlichen Gesamtumsatzes) als Bußgeld verhängt werden. Dies ist – wie gesagt – der Maximalfall und somit erst das Ende einer Eskalationstreppe. In Frankreich wurde jüngst ein Bußgeld über 50 Mio. EUR gegen Google verhängt.
Es trifft aber nicht nur die Großen, wie aktuelle Beispiele deutscher Aufsichtsbehörden zeigen. Die hierbei verhängten Bußgelder sind im Vergleich zwar gering, aber auch die Datenschutzbehörden benötigen einen zeitlichen Vorlauf. Laut Auskunft des baden-württembergischen Landesbeauftragten ist in naher Zukunft mit erheblich mehr und auch betraglich höheren Bußgeldbescheiden zu rechnen.
Datenschutzverstöße können nicht abgemahnt werden.
Das ist leider nicht korrekt. Nach zunächst widersprüchlichen Urteilen von Landgerichten (Bochum, Würzburg) liegt seit November 2018 mit dem Urteil des OLG Hamburg ein erstes höhergerichtliches Urteil vor, welches im Kern eine Abmahnfähigkeit von Datenschutzverstößen bestätigt. Dies ist jedoch die primär wettbewerbsrechtliche Komponente.
Art. 82 Abs. 1 DSGVO räumt darüber hinaus einen Anspruch auf Schadenersatz ein, sofern aufgrund eines Datenschutzverstoßes ein materieller oder immaterieller Schaden entstanden ist. D.h. JEDER kann klagen…
Es reicht, wenn ich die Datenschutzerklärung auf der Homepage anpasse
Das ist leider nur die „halbe Wahrheit“. Die Datenschutzerklärung ist natürlich ein wichtiges Element. Generatoren im Internet können dabei schon mal weiterhelfen. Aber 2-fach Achtung:
a) ich muss als Unternehmer wissen, welche Online-Tools auf meiner Homepage eingesetzt werden, da diese in der Erklärung zu beschreiben sind (bitte nicht alles im Generator anklicken: zuviel ist genauso schädlich, wie zu wenig) und
b) es sind weitere Transparenzpflichten auf der Homepage zu beachten (z.B. Information zur Datenverarbeitung gem. Art. 13 DSGVO).
Auf einer Webseite dürfen keine Fotos von Personen veröffentlicht werden
Nein, natürlich nicht. Fotos dürfen weiterhin veröffentlicht werden, wenn vorab eine Einwilligung dazu eingeholt wurde. Dies gilt z.B. für Fotos von Mitarbeitern oder Kunden. Allerdings bestehen auch Situationen, in denen nicht zwangsläufig eine Einwilligung erfolgen muss, sondern eine vorhergehende Information zur Veröffentlichung genügt. Dies gilt bspw. für Mannschaftsfotos oder Fotos, bei denen zahlreiche Personen abgebildet werden und nicht eine einzelne Person im Vordergrund steht.
Wenn ich keinen Datenschutzbeauftragten brauche, habe ich auch nichts mit der DSGVO zu tun
Das Eine hat mit dem Anderen leider überhaupt nichts zu tun. Auch wenn der Bundestag die Grenze zur Benennung eines Datenschutzbeauftragten von bislang 10 auf nunmehr 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten zu tun haben, angehoben hat, sind die Anforderungen von DSGVO und BDSG selbstverständlich auch weiterhin vollumfänglich gültig. D.h. an der Pflicht zur Umsetzung der DSGVO hat sich damit nichts geändert.