Datenschutzbeauftragter und Sachverständiger für Datenschutz

Obwohl der europäische Gesetzgeber bei der Datenschutzgrundverordnung (kurz: DSGVO) eindeutige Regelungen und neue Maßstäbe für die Umsetzung des Datenschutzes in den Mitgliedsstaaten der EU getroffen hat, herrscht sowohl bei Verbrauchern als auch in vielen Unternehmen noch große Unsicherheit bezüglich der praktischen Umsetzung. Statistiken zeigen zudem, dass in vielen Betrieben die DSGVO noch lange nicht in die internen Prozesse und Abläufe implementiert wurde. Dies liegt nicht zuletzt auch am mangelhaften Hintergrundwissen und an fehlenden praktischen Umsetzungshinweisen.

Sowohl Verbraucher als auch Unternehmen sollten sich bewusst sein, dass Verstöße gegen die DSGVO längst nicht mehr nur als Kavaliersdelikte eingestuft werden. Der Gesetzgeber sieht hier empfindliche Sanktionen vor, die sich unter anderem in hohen Bußgeldern äußern.

Hier klären wir über die wichtigsten Missverständnisse rund um das Thema Datenschutzgrundverordnung auf – sie sind nicht nur für Unternehmen wichtig, sondern gerade auch für Verbraucher, für die der Schutz von persönlichen Daten bei jeder Betätigung im on- und offline-Bereich von besonderer Relevanz ist.



Bereits vorhandene personenbezogene Daten können uneingeschränkt verarbeitet werden.

Falsch! Personenbezogene Daten genießen nicht erst seit dem Inkrafttreten der Datenschutzgrundverordnung einen besonderen Schutz. Der Gesetzgeber hat mit der Weiterentwicklung der digitalen Möglichkeiten erkannt, dass Verbraucher viel zu oft und viel zu viele Daten herausgeben – die Datenskandale in den letzten Jahren haben gezeigt, dass es dabei häufig zu Missbrauch und Manipulationen kommt. Diese Vorgänge beruhen in der Regel auf finanziellen Interessen. Datensätze, die bereits vor der DSGVO gesammelt wurden, sind nicht immer durch eine entsprechende Einwilligung gedeckt. Genau das wird aber vorausgesetzt – und zwar für jede Form der Verarbeitung. Haben Sie personenbezogene Daten vor der Geltung der DSGVO gesammelt, dann können Sie diese auch weiterhin nutzen, wenn es dafür eine entsprechende Einwilligung gibt, die auch den Anforderungen der DSGVO genügt. Liegt eine entsprechende Einwilligung nicht vor, müssen Sie eine entsprechende Einwilligung nach Art. 7 DSGVO erneut einholen.

Datenschutzbeauftragter kann jeder werden, der sich im IT-Bereich auskennt.

Falsch! Die Datenschutzgrundverordnung setzt voraus, dass ein Datenschutzbeauftragter (oder kurz: DSB) bestimmte Anforderungen erfüllt. Dazu gehört zum Beispiel, dass der Datenschutzbeauftragte keinem Interessenskonflikt und das notwendige Fachwissen für die Erfüllung seiner Aufgaben mitbringt. Nach dem Willen der DSGVO gehört dazu:

  • die berufliche Qualifikation
  • das Fachwissen im Bereich Datenschutz und Datenschutzpraxis.

Dazu gehört nach allgemeinem Verständnis sowohl die entsprechende Ausbildung als auch die Teilnahme an Fortbildungen – nur so ist nämlich gewährleistet, dass der Datenschutzbeauftragte auch auf dem aktuellen Stand bleibt. Ob die Stelle durch einen externen oder internen DSB bekleidet wird, ist gesetzlich übrigens sekundär: Wichtig ist, dass der Datenschutzbeauftragte unabhängig seinen Aufgaben nachgehen kann.

Die Datenschutzgrundverordnung ist nur für große Unternehmen wichtig.

Falsch! Die DSGVO ist für alle Unternehmen wichtig, die personenbezogene Daten verarbeiten. Dies ist völlig losgelöst davon, ob Sie als Einzelunternehmer tätig sind oder in einem großen Betrieb geschäftlich aktiv sind. Relevantes Merkmal für den sachlichen Anwendungsbereich der Datenschutzgrundverordnung ist gemäß Art. 2 Absatz 1 DSGVO, dass das Unternehmen personenbezogene Daten verarbeitet. Als Verarbeitung zählt dabei vor allem die Speicherung, die Weitergabe und auch die Benutzung von personenbezogenen Daten.

Die DSGVO gilt nur online und nicht offline.

Falsch! Die Datenschutzgrundverordnung ist mitnichten ein reines „Internet-Gesetz“. Sobald personenbezogene Daten gesammelt, erfasst oder geordnet werden, ist die Datenschutzgrundverordnung einschlägig. Das kann auch eine offline Excel-Liste sein, die mit Kundendaten gefüllt wird oder die analoge Sammlung an Bestelldaten – wann immer personenbezogene Daten ins Spiel kommen, ist der sachliche Anwendungsbereich der DSGVO regelmäßig anzunehmen.

Eine aktuelle Datenschutzerklärung reicht aus, um die DSGVO-Compliance zu erfüllen.

Falsch! Die Datenschutzgrundverordnung verlangt in ihrer Anwendung, dass zahlreiche Prozesse und Vorgänge einer genauen Prüfung unterzogen werden müssen. Dazu zählt auch die Modifizierung der Datenschutzerklärung für den eigenen Internetauftritt – das ist aber noch lange nicht alles. Auch sämtliche Verarbeitungsprozesse sollten in Punkto DSGVO-Compliance überprüft und angepasst werden. Dazu zählen insbesondere Einwilligungserklärungen zur Verarbeitung von personenbezogenen Daten und die Vereinbarungen zur Auftragsdatenverarbeitung.

Informationen zur Datenverarbeitung müssen nur dann gegeben werden, wenn jemand danach fragt.

Falsch! Die Datenschutzgrundverordnung strebt danach, die Verarbeitung personenbezogener Daten transparenter zu machen. Damit gehen Informationspflichten einher, die von den Verantwortlichen erfüllt werden müssen. Die rechtliche Grundlage dafür findet sich in Art. 13 und 14 DSGVO. Demnach ist der Verantwortliche dazu verpflichtet, den Betroffenen Informationen zur Verfügung zu stellen, die sich auf die Identität des Verantwortlichen beziehen sowie auf den Verarbeitungszweck und die Rechtsgrundlage bezüglich der personenbezogenen Daten. Diese Informationen sind nicht erst dann mitzuteilen, wenn die Betroffenen danach fragen: Sie müssen nach dem Willen des Gesetzgebers vielmehr bereits zum Zeitpunkt der Datenerhebung in präziser, transparenter, verständlicher und leicht zugänglicher Form erteilt werden – so verlangt es die DSGVO in Art. 14 der Verordnung.

Jedes Unternehmen muss einen Datenschutzbeauftragten bestellen.

Falsch! Die Pflicht, einen Datenschutzbeauftragten zu bestellen, trifft nicht pauschal auf alle Unternehmen zu. Sie ist nur in bestimmten Fällen anzunehmen – dazu zählt zum Beispiel, dass in dem Unternehmen regelmäßig mindestens zehn Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Eine weitere Möglichkeit ist der Umstand, dass die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung besonderer Datenkategorien besteht. Weitere Beispiele finden sich in Art. 37 Absatz der Datenschutzgrundverordnung.

Newsletter sind nach der DSGVO nicht mehr zulässig.

Falsch! Das E-Mail Marketing ist auch mit der Datenschutzgrundverordnung für viele Unternehmen ein wichtiges Element bei der Akquise und zum Ausbau von Kundenbeziehungen. Newsletter sind durch die DSGVO nicht grundsätzlich unzulässig: Was sich geändert hat, sind die rechtlichen Rahmenbedingungen für Mailings und regelmäßige Informationen per E-Mail. Wichtig zu wissen: Ein Verstoß gegen diese rechtlichen Rahmenbedingungen ist als Verstoß gegen das Wettbewerbsrecht abmahnfähig – Unternehmen sollten daher sehr gründlich prüfen, ob sie über die gem. DSGVO erforderliche Einwilligung des Adressaten verfügen und diese auch gem. Art. 7 I DSGVO nachweisbar ist. Erforderlich ist auch, dass die einmal erteilte Einwilligung jederzeit widerrufen werden kann: Bei einem Newsletter reicht dafür, dass am Ende einer Mail ein sogenannter „Unsubscribe-Link“ zur Verfügung steht, über den sich die Adressaten einfach aus dem Kreis der Empfänger austragen können.

Unternehmen müssen ihr Facebook-Profil löschen, um nicht gegen die DSGVO zu verstoßen.

Falsch! Besonders kurz nach dem Inkrafttreten der Datenschutzgrundverordnung waren viele Betreiber sogenannter Facebook Fanpages verunsichert: Laut einem Urteil des Europäischen Gerichtshofes vom Juni 2018 sollten Fanpage-Betreiber zusammen mit Facebook selbst für den Datenschutz der User verantwortlich sein. Die gemeinsame Verantwortung war jedoch in Anbetracht der Unternehmenspolitik eine große Hürde – wenig erstaunlich, dass daher viele Fanpages dem Lösch-Button zum Opfer fielen. Mittlerweile hat Facebook die AGB des Unternehmens modifiziert und in Richtung DSGVO-Konformität gelenkt. Bei Beachtung aller zur Verfügung stehenden Maßnahmen ist so auch der datenschutzkonforme Betrieb eines Facebook-Profils möglich.

Verstöße gegen die DSGVO können von jedermann abgemahnt werden.

Vielleicht! Ein Verstoß gegen datenschutzrechtliche Vorgaben ist als Verstoß gegen das Wettbewerbsrecht zu verstehen. Das hat auch die Rechtsprechung bestätigt und zum Beispiel eine unzureichende Datenschutzerklärung als einen derartigen Verstoß eingestuft. Die Verletzung des Datenschutzrechts war dabei von einem Mitbewerber abgemahnt worden – das Gericht verbot daraufhin den Betrieb der Internetseite. In vergleichbaren Fällen haben sich aber andere Gerichte wiederum gegen die Möglichkeit einer Abmahnung durch Mitbewerber ausgesprochen: Demnach enthalte die DSGVO explizit eine abschließende Vorgabe, wer Verstöße gegen das Datenschutzrecht geltend machen könne – Mitbewerber und Konkurrenten seien hierbei nicht aufgeführt. Es bleibt abzuwarten, wie die Rechtsprechung auf höchster Ebene zu der Frage entscheiden wird – oder ob der Gesetzgeber in dieser konkreten Frage durch eine gesetzliche Vorgabe Klarheit schafft.


© 2019 Frank Hartung - Datenschutzbeauftragter und Sachverständiger für Datenschutz in Dessau-Roßlau