INFORMATIONEN

Entlarvung von 5 gängigen DSGVO-Mythen

Auch zwei Jahre nach der Umsetzung der Datenschutz-Grundverordnung ist das EU-Datenschutzgesetz noch immer von vielen Missverständnissen und Spekulationen umgeben. Obwohl die meisten von uns das eine oder andere über die DSGVO wissen, haben nur wenige ein umfassendes Wissen über sie und was sie in der Praxis genau bedeutet. In diesem Blogbeitrag gehen wir auf fünf weit verbreitete DSGVO-Mythen ein und räumen mit ihnen auf.

Mythos 1: Die Datenschutz-Grundverordnung stellt eine externe Belastung für Organisationen dar

Unternehmen sehen die Datenschutz-Grundverordnung auch als externe Belastung, als eine Ansammlung von Hindernissen, die möglicherweise verschiedene Aktivitäten datengesteuerter Unternehmen zum Erliegen bringen würden. Es hat sich jedoch gezeigt, wie viele Möglichkeiten diese Gesetzgebung für Organisationen bietet.

So verzeichneten 92 Prozent der auf die DSGVO vorbereiteten Unternehmen einen erheblichen Anstieg der Kundenbindung und des Kundenvertrauens. Im Vergleich dazu verzeichneten 97 Prozent der Unternehmen, die Initiativen zur Einhaltung der DSGVO ergriffen haben, Wettbewerbsvorteile, eine höhere Attraktivität für Investoren und eine erhebliche betriebliche Effizienz.

Hinzu kommt, dass die Datenverwaltungssysteme von Unternehmen, die die DSGVO einhalten, effizienter geworden sind, da die Erkennung und Löschung überflüssiger Daten nun Teil des Durchsetzungsprozesses ist.

Dank der Genehmigungs- und Opt-in-Bestimmungen der Datenschutz-Grundverordnung werden Marketing-Datenbanken jetzt nur noch mit den E-Mail-Adressen derjenigen Personen gefüllt, die ein relevantes, echtes Interesse haben. Studien haben gezeigt, dass konforme E-Mail-Marketingpraktiken dank der DSGVO die Gesamteffizienz verbessert haben.

Mythos 2: Jedes Unternehmen sollte einen Datenschutzbeauftragten haben.

Gemäß der DSGVO sind Organisationen dazu angehalten, einen Datenschutzbeauftragten zu benennen, der ihre Bemühungen zur Durchsetzung der DSGVO beaufsichtigt und leitet.

Die Ernennung eines DSB ist gemäß Artikel 37 der Datenschutz-Grundverordnung für Behörden und öffentliche Einrichtungen, für Unternehmen, deren Haupttätigkeiten eine groß angelegte, systematische Überwachung von Personen beinhalten, und für Organisationen, die einzigartige Kategorien von personenbezogenen Daten in großem Umfang verarbeiten, obligatorisch.

Wenn Ihre Organisation die genannten Anforderungen nicht erfüllt, sollten Sie dennoch freiwillig einen Datenschutzbeauftragten bestellen, um die Einhaltung des Grundsatzes der Transparenz zu gewährleisten. Entgegen einem weit verbreiteten Missverständnis gilt dies nicht nur für größere Organisationen.

Um die Einhaltung der DSGVO zu gewährleisten, können auch kleinere Unternehmen oder KMU, die personenbezogene Daten verarbeiten, einen Datenschutzbeauftragten benennen. Da die DSB eine entscheidende Rolle bei der Durchsetzung der DSGVO spielen, müssen die Unternehmen den richtigen DSB finden.

Mythos 3: Verstöße gegen personenbezogene Daten kommen nur bei großen Unternehmen vor

Ein weiterer weit verbreiteter Irrtum ist, dass nur größere internationale Unternehmen oder solche mit mehr als 250 Beschäftigten hauptsächlich durch die DSGVO geschützt sind. Dieser Mythos führt zu der Annahme, dass Verstöße gegen personenbezogene Daten nur in großen Unternehmen vorkommen.

Nach der Umsetzung der DSGVO wurden den Aufsichtsbehörden in der EU und im EWR jedoch mehr als 160.000 Datenschutzverletzungen gemeldet, und kleinere Unternehmen meldeten eine erhebliche Anzahl von Sicherheitsvorfällen.

So kam es 2019 bei einem Wohnungsmakler in den Niederlanden zu einem Datenleck, bei dem mehr als 49 000 Kundendaten über eine ungesicherte Website veröffentlicht wurden. Zu den durchgesickerten Daten gehören persönliche Informationen wie Namen, Adressen, E-Mails und Telefonnummern.

Im Jahr 2019 wurde außerdem bekannt, dass eine E-Commerce-Website ebenfalls von einem Datenschutzverstoß betroffen war, weil eine E-Mail an die falsche Partei gesendet wurde, wodurch 21.000 Kundendaten in den Besitz einer nicht autorisierten dritten Partei gelangten.

Mythos 4: Bei der DSGVO geht es nur um die Zustimmung der betroffenen Personen

Die Einwilligung ist der bekannteste Rechtsrahmen für die Verarbeitung personenbezogener Daten, aber bei der DSGVO geht es um viel mehr. Die Verordnung zielt darauf ab, die Rechte des Einzelnen zu schützen, und eine Möglichkeit, dies zu tun, besteht darin, ein gewisses Maß an Kontrolle über personenbezogene Daten zu behalten.

Es gibt sechs rechtliche Gründe für die Verarbeitung personenbezogener Daten, auf deren Grundlage Daten erhoben werden können, und die Einwilligung ist einer von ihnen. Die Datenschutz-Grundverordnung stellt fest, dass es aus keinem Rechtsgrund Vorteile/Nachteile gegenüber den anderen gibt.

Eine rechtliche Rechtfertigung, für die sich eine Einrichtung entscheidet, sollte darauf beruhen, wie notwendig sie für die Absicht der Organisation und die Beziehung zu der/den betroffenen Person(en) ist. In Artikel 4 Absatz 11 der Datenschutz-Grundverordnung wird darauf hingewiesen, dass die Einwilligung unter anderem ausdrücklich sein muss, ein Opt-in einer freiwillig erbrachten positiven Handlung beinhaltet und registriert werden muss.

Mythos 5: Nur der Datenschutzbeauftragte und Informationssicherheitsexperten sind mit der DSGVO befasst

Auch wenn es den Anschein haben mag, dass nur der DSB und der CISO für die Durchsetzung und den Datenschutz in einem Unternehmen verantwortlich sind, ist dies ein Irrtum. Der DSB und der CISO stehen an der Spitze der Datensicherheit, aber die Durchsetzung ist eine Teamleistung im Unternehmen.

Es bedeutet nicht nur, dass jeder innerhalb der Organisation gute Datenschutzgewohnheiten befolgen sollte, sondern auch, dass jeder innerhalb der Organisation seine Datenschutzverpflichtungen erkennen sollte und warum jeder innerhalb einer Organisation eine wichtige Rolle beim Schutz von Verbraucher-, Kunden- und Mitarbeiterdaten spielen muss.

Schlussfolgerung

Da die Datenschutz-Grundverordnung im Laufe der Zeit immer wieder angepasst und geändert wird, müssen die Unternehmen langfristig dafür sorgen, dass die Dinge in Ordnung gebracht werden und die Grundprinzipien der Compliance beachtet werden. Es ist keine einmalige Aufgabe, die Aktivitäten Ihres Unternehmens im Auge zu behalten, um sicherzustellen, dass sie mit der DSGVO vereinbar sind. Es ist auch keine alleinige Aufgabe des DSB.

Daher können Investitionen in Compliance-Technologien einen erheblichen Einfluss darauf haben, die Prozesse reibungsloser und effizienter zu gestalten und sicherzustellen, dass die Zusammenarbeit beim Datenschutz eine unternehmensweite Initiative ist.

SaaS und Datenschutz

Software-as-a-Service, kurz SaaS, wird sowohl im privaten als auch im geschäftlichen Umfeld immer beliebter. Wir haben untersucht, was eine SaaS-Lösung ist, für wen sie geeignet

mehr »