Bei der DSGVO gibt es jede Menge Gerüchte und Halbwissen. Grundsätzlich gilt, wenn Unternehmen die Anforderungen der DSGVO grob umsetzen, brauchen sie sich um Bußgelder keine großen Gedanken machen.

Die Datenschutzbehörden haben ganz klar dargestellt, was wichtig ist:

1. Bestandsaufnahme der eigenen Datenverarbeitungsvorgänge
2. Prüfung und ggf. Anpassung der Prozesse ob Informationspflichten erfüllt sind
3. Dokumentation der Verarbeitung in einem Verarbeitungsverzeichnis

Ein Unternehmen, das ein solches Verarbeitungsverzeichnis vorzeigen kann, dürfte bei Prüfung gut aufgestellt sein. Falls bei einer Prüfung dieses nicht ausreicht, wird es wahrscheinlich Umsetzungsvorgaben geben und noch keine Bußgelder. Selbst wenn es einmal zu Bußgeldern kommen wird, solle man anmerken das die Spanne für die Bemessung sehr weit ist.

Wie oft falsch verstanden ist NICHT für jede Datenverarbeitung gleich ein Verbot vorhanden oder muss sich immer eine Einwilligung geholt werden. Nach Art. 6 DSGVO gibt es verschiedene Erlaubnistatbestände, unter denen die Datenverarbeitung legitimiert werden kann. Es gilt also der Legitimationstatbestand.

Eine Datenverarbeitung ist dann zulässig (Neben der nach Einwilligung), wenn einer der folgenden Erlaubnistatbestände greift:

• Die Datenverarbeitung ist zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen erforderlich;
  z.B. für einen Onlineshop um eine Bestellung abzuwickeln.
• Wenn eine rechtliche oder gesetzliche Verpflichtung besteht.
  Unternehmen z.B. verpflichtet, verschiedene geschäftliche Unterlagen für 6 Jahre aufzubewahren.
• Wenn die Verarbeitung zur Wahrung berechtigter Interessen der verarbeitenden Stelle oder Dritter erforderlich ist und die Interessen des Betroffen nicht.
  Diese Interessenabwägung legitimiert eine Vielzahl üblicher und alltäglicher Datenverarbeitungsvorgänge in Unternehmen z.B. Kontaktdaten in einem betriebsinternen CRM zu hinterlegen.