MYTHOS 1: Die Behörde darf erst nach einer Verwarnung strafen

Das kürzlich beschlossene "Datenschutz-Deregulierungsgesetz" fügt als § 11 DSG eine Regelung ein, wonach die Datenschutzbehörde bei Bestrafungen nach der DSGVO "bei erstmaligen Verstößen im Einklang mit Art. 58 DSGVO von ihren Abhilfebefugnissen insbesondere durch Verwarnen Gebrauch machen" wird. Das wurde von Datenschützern als massive Verwässerung interpretiert. Falsch, sagt der Anwalt Georg Röhsner von der Kanzlei Eversheds: Die Verwarnung ist eine Option, doch steht nirgendwo, dass nicht auch bei erstmaligen Verstößen Geldstrafen verhängt werden können – und das im Ausmaß von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes. Schließlich sieht das die DSGVO vor, und die hat Vorrang vor nationalem Recht.

MYTHOS 2: Newsletter dürfen nur an Kunden gehen, die zugestimmt haben

Fast stündlich treffen bei E-Mail-Usern derzeit E-Mails von Unternehmen oder Organisationen ein, die wegen der DSGVO um eine explizite Zustimmung für die weitere Zusendung von Newslettern bitten. Doch dieses Opt-in-Verfahren ist in den meisten Fällen nicht notwendig. Empfängern, die bereits eine Kundenbeziehung zum Unternehmen haben, können auch ohne explizite Zustimmung weiterhin Newsletter erhalten. Das Gleiche gilt bei Vereinen und Organisationen für Empfänger, die einmal ihre Zustimmung gegeben haben. Die gilt unter der DSGVO weiter.

Newsletter, die an Nichtkunden oder Empfänger ohne vorherige Beziehung gehen, brauchen hingegen sehr wohl die Zustimmung. Notwendig ist auf jeden Fall, dass sich der Empfänger in einfacher Weise abmelden kann. Wer auf der sicheren Seite sein will, bittet dennoch um Zustimmung. Der Nachteil: Da viele nicht antworten, müssen Unternehmen und Organisationen wohl einen Großteil ihrer Adressen von der Mailingliste streichen.

MYTHOS 3: Wer schweigt, hat damit zugestimmt

Häufig findet sich in E-Mails die Formulierung: "Wenn Sie dem Erhalt des Newsletters nicht durch Klick auf den untenstehenden Link widersprechen, gehen wir davon aus, dass Sie den Newsletter weiter erhalten wollen." Doch das ist falsch, betont der Anwalt Georg Röhsner: Schweigen stellt datenschutzrechtlich keine Zustimmung dar. Die DSGVO und das Telekommunikationsgesetz (TKG) schreiben vor, dass der Versand von Werbezusendungen und anderen unaufgeforderten Nachrichten per E-Mail an Nichtkunden die Zustimmung des Empfängers benötigen. Diese muss jedoch in einer "eindeutigen bestätigenden Handlung" (Art 4 Z 11 DSGVO) bestehen – also einem Opt-in. Das bloße Unterbleiben eines Widerspruches stellt keine Zustimmung dar. Wer das so sieht, macht sich strafbar.

MYTHOS 4: Daten dürfen nur mit Einwilligung des Betroffenen verarbeitet werden

Oft ist zu hören, dass jede Verarbeitung personenbezogener Daten – Erheben, Speichern, Auswerten, Verschicken etc. – die Einwilligung des Betroffenen benötigt. Das ist falsch, sagt Anwalt Georg Röhsner. Richtig ist, dass jede Datenverarbeitung eine Rechtsgrundlage benötigt, die sie rechtfertigt. Die Einwilligung des Betroffenen ist eine davon, hat jedoch den Nachteil, dass sie jederzeit widerrufen werden kann. Daneben gibt es fünf weitere Rechtsgrundlagen: 1. Vertragserfüllung, zum Beispiel als Folge einer Bestellung; 2. gesetzliche Ermächtigung, zum Beispiel die Pflicht, Geschäftsbriefe sieben Jahre lang aufzubewahren; 3. berechtigtes Interesse des Datenverarbeiters; 4. Schutz lebensnotwendiger Interessen des Betroffenen; 5. Wahrnehmung einer öffentlichen Aufgabe. Liegt keiner dieser Rechtsgrundlagen vor, ist die Datenverarbeitung verboten.

MYTHOS 5: Daten sind nach Ende der Verarbeitung sofort zu löschen

Die Speicherung von Daten ist eine Art der Datenverarbeitung, und die ist nur dann zulässig, wenn sie explizit erlaubt ist. Das ist allerdings der Fall, solange eine gesetzliche Pflicht zur Aufbewahrung besteht – oder der Verarbeiter ein berechtigtes Interesse hat, dass das Datenschutzinteresse des Betroffenen an der Löschung übersteigt. Das gilt beispielsweise für Ärzte, die Patientendaten zehn Jahre lang aufbewahren müssen, oder für alle Unternehmen, die zukünftige Rechtsansprüche bis zum Ende der Verjährungsfrist abwehren wollen. Personenbezogene Daten sind erst dann zu löschen, wenn deren Verarbeitung nicht mehr zu rechtmäßigen Zwecken erforderlich ist. (Eric Frey, 25.5.2018)