Cyber security concept, data’s with Closed Padlock
Bild: Colourbox // Am Thema Datenschutz wird in Zukunft kaum ein Unternehmen vorbeikommen.

Die sechs größten Irrtümer der neuen Datenschutz-Bestimmungen

Von Ulrike Rubasch

Die neuen europäischen Datenschutzbestimmungen (DSGVO) treten diesen Freitag in Kraft. Sie regeln die Verarbeitung personenbezogener Daten durch Unternehmen und Vereine.

Irrtum Nr.1: "Als Unternehmen muss ich mir die Zustimmung der Kunden oder Mitarbeiter zur Datenverarbeitung neu per E-Mail holen."

Die Postfächer gehen derzeit bei vielen Menschen über vor Einwilligungsersuchen datenschutzwilliger Unternehmen. Wenn ein Betrieb bereits die Zustimmung zur Verwendung der personenbezogenen Daten hatte, braucht es diese erneute Zustimmung jedoch nicht. Viele dieser Mails sind also als reine Vorsichtsmaßnahme und teils als Übereifer zu bewerten. Oft würde eine Information auf der Webseite genügen, sagen Datenschutzexperten. Viele Verbraucher werden vermutlich ihre Zustimmung nicht erteilen – was zur Folge haben könnte, dass die Spam-Flut etwas eingedämmt wird. Auch Arbeitnehmern würden, so die Gewerkschaftsjuristin Claudia Kral-Bast von der GPA-djp, in diesen Tagen häufig Datenschutzerklärungen (inklusive pauschaler Strafandrohung) zur Unterschrift vorgelegt. "Arbeitnehmer müssen das nicht unterschreiben."
 

Irrtum Nr. 2: "Niemand darf meine Daten speichern oder verwenden, wenn ich das nicht will."

Wenn sie sicher verarbeitet werden und vor Hacker-Angriffen und Missbrauch geschützt sind, darf ein Unternehmen gewisse Daten sehr wohl speichern und verarbeiten. Dazu gehören Name, Adresse, E-Mail-Adresse, Ausweisnummer oder IP-Adresse des Computers. Diese Vorgänge müssen jedoch für eine Anfrage der Datenschutzbehörde in einem Verzeichnis dokumentiert werden. Unter bestimmten Umständen müssen die Daten gelöscht werden (z.B. unrechtmäßige Verarbeitung). Anders bei besonders sensiblen Daten wie politische, religiöse oder sexuelle Orientierung, Gesundheitsdaten, ethnische Herkunft oder strafrechtlich relevante Daten: Hier dürfen Informationen nur mit besonderen Rechtfertigungsgründen und mit ausdrücklicher Einwilligung des Betroffenen gespeichert werden. Firmen dürfen zum Beispiel Hobbys oder Speisevorlieben von Kunden aus Marketinggründen nicht mehr ohne Zustimmung speichern. Jeder Kunde muss dann auf Antrag binnen eines Monats Einsicht erhalten, welche Daten wozu wie lange von ihm aufbewahrt und verarbeitet werden. Er kann sie korrigieren bzw. löschen lassen (siehe Irrtum Nr. 3).
 

Irrtum Nr. 3: "Die meisten Daten müssen nach dem 25. Mai gelöscht werden."

Ein Unternehmen darf personenbezogene Daten so lange aufbewahren, wie sie im Betrieb benötigt werden. Offensichtlich ist das etwa, wenn eine Rechnung noch nicht bezahlt wurde. So lange dürfen die Kundendaten natürlich behalten werden. Weniger offensichtlich ist das, wenn der Verkaufsvorgang bereits abgeschlossen ist. Doch eine Reihe von Daten-Aufbewahrungspflichten aus anderen Gesetzen sind hier stärker. Die steuerrechtliche Aufbewahrungsfrist von sieben Jahren macht eine längere Speicherdauer nötig, ebenso Gewährleistungsansprüche (zwei bis drei Jahre) und Schadenersatz (drei bis 30 Jahre).
 

Irrtum Nr. 4: "Das neue Gesetz ist ein Paragrafen-Moloch. Ich kann meine Rechte deshalb auch nicht besser durchsetzen."

Das stimmt so nicht. Zwar hätte Österreich (etwa bei Sammelklagen) die Durchsetzung der Rechte noch verbessern können, doch insgesamt gebe es mehr Möglichkeiten für Betroffene, ihre Daten zu schützen und Auskunft zu erlangen, sagt Kral-Bast. So darf jeder Verbraucher wissen, was genau über ihn gespeichert wird und was mit den Daten geschieht. Sein Recht kann er bei der nationalen Datenschutzbehörde einklagen.
 

Irrtum Nr. 4: "Die DSGVO gilt nur bei europäischen Firmen."

Nein, alle Firmen, die sich an Konsumenten in der EU wenden, unterliegen den europäischen Datenschutzbestimmungen (Marktort-Prinzip), also auch Konzerne mit US-Sitz wie Facebook, Amazon oder Google.
 

Irrtum Nr. 5: "Die Behörden warnen nur und strafen nicht."

Zwar stellte der Gesetzgeber fest, dass es vor Strafen eine Verwarnung geben soll, doch das soll nicht "zu einer Vogel-Strauß-Politik" der Unternehmen führen, warnt Robert Bodenstein, Obmann der Bundessparte Information der WKO, im Gespräch mit den OÖNachrichten. Die Strafen – und das ist neu – sind gesalzen: Bis zu vier Prozent des weltweiten Umsatzes oder bis zu 20 Millionen Euro drohen. Verwarnungen soll es vor allem bei falsch interpretierten Graubereichen und leichten Versehen geben.
 

Irrtum Nr. 6: "Als Kunde oder Betroffener darf ich alle Daten einsehen, die ein Unternehmen von mir hat."

So ist das nicht ganz. Wenn durch die Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen oder eines Dritten gefährdet wird, kann die Auskunft verweigert werden. Das dient dem Schutz vor Konkurrenten.

Bitte Javascript aktivieren!