21. November 2025
Das Neueste:

Business mit Kopf

Lerne BWL, Online Marketing, Datenschutz, Internetrecht und SEO für dein eigenes Business mit Kopf

11 Datenschutz Mythen Irrtümer und DSGVO Fehler
Datenschutz 

11 häufige Irrtümer & Mythen zum Datenschutz

Nils Wessel 0 Kommentare

Seit dem Inkrafttreten der DSGVO geistern unzählige Gerüchte, Halbwahrheiten und Panikmeldungen durchs Internet. Manche davon halten sich erstaunlich hartnäckig – besonders in sozialen Medien, Unternehmergruppen und Foren. Viele Firmen haben dadurch unnötige Angst entwickelt oder setzen Datenschutz fehlerhaft um, weil sie sich auf falsche Annahmen verlassen.

Ich bringe an dieser Stelle ein wenig Licht ins Dunkel und kläre auf über 11 häufige Irrtümer und Mythen zum Datenschutz.

Hinweis: dies ist keine Rechtsberatung!

1. Mythos: „Ich brauche immer eine Einwilligung, um personenbezogene Daten zu verarbeiten.“

Dieser Irrglaube hält sich hart im Internet. Besonders verbreitet ist dieser bei dem so genannten „Cookie-Banner“ auf Websites. Dort bitten viele Websitebetreiber um eine Einwilligung durch einen Klick auf „Akzeptieren“ oder gehen von einer Einwilligung bei weiterer Nutzung der Website aus. Ein Problem ist, dass auch ohne die weitere Nutzung und die per Klick bestätigte Einwilligung Cookies gesetzt werden. Hier fehlt also die Einwilligung.

Doch braucht man wirklich eine Einwilligung, um personenbezogene Daten zu verarbeiten? Nein! Es gibt deutlich praktikablere Grundlagen zur Verarbeitung personenbezogener Daten. Diese finden sich in Artikel 6 Absatz 1 DSGVO.

Die Nutzung von Cookies stellt durchaus (Ausnahmen im Einzelfall ausgenommen) ein berechtigtes Interesse dar. Es ist daher sinnvoller, im Banner sichtbar und unmissverständlich auf die Nutzung von Cookies und die eigene Datenschutzerklärung hinzuweisen. Dadurch wird der Websitebesucher nach Art. 13 DSGVO rechtmäßig informiert. Es ist also auch ohne explizite (schriftliche) Einwilligung erlaubt, personenbezogene Daten zu verarbeiten.

2. Mythos: „Die Verarbeitung personenbezogener Daten ist verboten.“

Auch sehr beliebt. Sobald es um die Verarbeitung personenbezogener Daten geht, bekommen viele Unternehmer seit der DSGVO kalte Füße. Es stimmt zwar, dass im Anwendungsbereich der DSGVO die Verarbeitung personenbezogener Daten grundsätzlich verboten ist, ABER es gibt einen Erlaubnisvorbehalt in Form von Bedingungen, unter denen die Verarbeitung rechtmäßig ist. Diese stehen in Artikel 6 Absatz 1 DSGVO. Mindestens eine dieser Bedingungen muss für die Rechtmäßigkeit erfüllt sein. Hierzu zählen: Einwilligung, Notwendigkeit für Vertragserfüllung (auch vorvertragliche Maßnahmen), rechtliche Verpflichtung, lebenswichtige Interessen, öffentliches Interesse und berechtigtes Interesse des Verantwortlichen. Auch Direktwerbung ist ein berechtigtes Interesse.

Bevor du nun aber wild Daten verarbeitest, muss noch gesagt werden, dass es einige weitere Einschränkungen gibt. Zum Beispiel, wenn die Interessen der Betroffenen überwiegen oder es sich um die Verarbeitung personenbezogener Daten besonderer Kategorien handelt. Auch die Grundsätze zur Verarbeitung personenbezogener Daten nach Art. 5 DSGVO müssen beachtet werden. Das hinzuziehen eines Datenschutzexperten wird empfohlen.

3. Mythos: „Datenschutz ist dasselbe wie DSGVO.“

Häufig werden Datenschutz und die DSGVO in einen Topf geworfen oder sogar als Synonym verwendet. Hier gilt es grundsätzlich zu unterscheiden: Datenschutz ist nicht nur eine Verordnung oder ein Gesetz, sondern ein grundsätzlicher Begriff zum Umgang und Schutz von Daten. Die DSGVO setzt lediglich einen europaweiten gesetzlichen Rahmen und definiert dabei auch bestimmte Begriffe im Zusammenhang mit Datenschutz.

Neben der DSGVO, welche auf europäischer Ebene gilt, gilt in Deutschland noch das BDSG. Das BDSG besteht in seiner alten Fassung bereits seit 1977 und wurde 1995 um die europäische Datenschutzrichtlinie (Richtlinie 95/46/EG) ergänzt. Da das bundesweite Recht dem europäischen Recht untergeordnet ist, wurde es zusammen mit der DSGVO an vielen Teilen angepasst. In der neuen Fassung des BDSG finden sich daher viele Parallelen zur DSGVO. Die Datenschutzrichtlinie wurde mit Anwendung der DSGVO zum 25. Mai 2018 aufgehoben. Weitere dem nationalen Recht untergeordnete Gesetze, die sich dem Datenschutz widmen, sind das Landesdatenschutzgesetz (LDSG), das kirchliche Datenschutzgesetz (KDG) und das Datenschutzgesetz der evangelischen Kirche Deutschland (DSG-EKD).

Datenschutz ist also nicht die DSGVO, sondern umfasst ein komplettes Themengebiet. Weit gefasst setzt natürlich die DSGVO den rechtlichen Rahmen für den Umgang mit personenbezogenen Daten. Durch die Öffnungsklauseln müssen allerdings auch nationale und speziellere Gesetze zum Datenschutz beachtet werden.

4. Mythos: „Eine vorgefertigte Datenschutzerklärung reicht völlig aus.“

Vorsicht bei der Nutzung von vorgefertigten Datenschutzerklärungen oder einem Datenschutz-Generator! Als Datenschutzbeauftragter sieht man solche Copy & Paste Datenschutzerklärungen sehr häufig. Vom missachteten Urheberrecht mal ganz zu schweigen, sind solche von anderen Websites kopierten Datenschutzerklärungen nicht auf die eigene Website angepasst und versprechen auch keine Rechtssicherheit. Wer weiß schließlich, wo diese erstellt oder zusammenkopiert wurden?! Auch wenn Datenschutzgeneratoren mehr Möglichkeiten der Individualisierung anbieten, sollte im Idealfall stets ein Datenschutzprofi eingebunden werden. Dieser kann einmal den kompletten Prozess verstehen und nicht nur eine passende Datenschutzerklärung erstellen, sondern auch bei allen weiteren Fragen zum Datenschutz schulen und beraten. Häufig haben Generatoren sehr allgemeine Formulierungen und decken zum Beispiel nur die größten Drittanbieter ab und nicht alle Plugins oder Schnittstellen, die verwendet werden. Ein weiterer Punkt, der gegen die Nutzung von Datenschutzgeneratoren spricht, ist die Unwissenheit des Nutzers. Ist man sich bei manchen Punkten unsicher, ob diese für die eigene Datenschutzerklärung überhaupt relevant sind, lässt man möglicherweise wichtige Informationen aus oder fügt irrelevante Informationen ein. Warum das schlecht ist, wird in Punkt 5) näher erläutert.

Natürlich ist eine durch einen Datenschutz-Generator erstellte Datenschutzerklärung besser als gar keine. Jedoch überwiegen die Vorteile einen Datenschutzexperten für die einmalige Erstellung einzubeziehen.

5. Mythos: „Je umfangreicher die Datenschutzerklärung, desto besser.“

Nein, ganz im Gegenteil! Die DSGVO schreibt vor, dass alle Informationen gemäß den Artikeln 13 und 14 DSGVO in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln sind. Eine Datenschutzerklärung bzw. ein Datenschutzhinweis ist genau eine solche Information.

Kurze Datenschutzerklärungen sind daher sogar besser, solange alle benötigten Informationen präzise und transparent enthalten sind. Wer durch eine bewusst aufgeplusterte Datenschutzerklärung oder durch eine Mustervorlage für eine Datenschutzerklärung irrelevante Inhalte einfügt, macht sich sogar rechtlich angreifbar. Eine solche Datenschutzerklärung widerspricht dem Grundsatz der Transparenz und ist irreführend.

Eine Begriffserklärung, welche viele Datenschutzerklärungen enthalten, ist nicht zwingend notwendig. Diese hilft allerdings die Datenschutzerklärung verständlicher zu machen. Wie leicht zugänglich diese sein musst, hängt auch von den Adressaten ab. So bedarf eine Datenschutzerklärung, die sich speziell an Kinder und Jugendliche richtet, einer besonders klaren Sprache. Eine saubere Gliederung hilft allemal, die Datenschutzerklärung zugänglicher zu machen.

Wer sich also nicht mit Datenschutz auseinandersetzt und in einem Datenschutzgenerator alles anhakt, um möglichst abgesichert zu sein, unterliegt einem Irrglauben. Eine umfangreichere Datenschutzerklärung ist nicht gleich besser. Sie ist weniger transparent und kann sogar von der entsprechenden Aufsichtsbehörde bestraft werden. Idealerweise sollten nur die Inhalte enthalten sein, die notwendig und relevant sind.

6. Mythos: „Ich brauche nur für meine Website eine Datenschutzerklärung.“

Nein, auch wer keine Website hat und personenbezogenen Daten verarbeitet benötigt eine Datenschutzerklärung. In jeder Form, in der zum Beispiel Kundendaten verarbeitet werden, wird eine Datenschutzinformation für die betroffene Person benötigt. Gerade bei offline Formularen, sollte ein entsprechender Hinweis enthalten sein.

Sobald du personenbezogene Daten verarbeitest – egal ob von Kunden, Interessenten, Lieferanten oder Mitarbeitern – benötigst du geeignete Datenschutzinformationen. Das gilt auch für Offline-Prozesse wie Papierformulare, Verträge, Bewerbungsunterlagen oder Kundenkarten. Jeder Verantwortliche muss Betroffene nach Art. 13 DSGVO unabhängig vom Medium informieren.

In dem verlinkten Beitrag erfährst du mehr darüber, was bei Formularen datenschutzrechtlich zu beachten ist.

7. Mythos: „Eine Website ohne Kontaktformular braucht keine Datenschutzerklärung“

Falsch! Auch ohne Kontaktformular sollte ein Datenschutzhinweis auf der Website vorhanden sein, denn auch eine Website ohne Kontaktformular verarbeitet Daten – spätestens durch Cookies, Server-Logs oder eingebundene Dienste. Die Datenschutzerklärung der Website kann auch bereits über Datenverarbeitungen bei telefonischen Kontakten oder der Kontaktaufnahmen per E-Mail oder Fax aufklären. Die entsprechenden Angaben müssen schließlich im Impressum enthalten sein. Auch für Datenschutzinformationen zu Social Media Profilen kann die Datenschutzerklärung genutzt werden.

Selbst wenn deine Seite extrem minimalistisch ist, brauchst du eine Datenschutzerklärung. Sogar eine leere Website ohne Inhalte benötigt rein rechtlich ein Impressum und eine Datenschutzerklärung, wenn Cookies gesetzt werden. Wer sich bei einer solchen Platzhalter-Website beschwert und wie viel Bestand eine Klage vor einem Richter hat, bleibt allerdings fraglich. Dass eine komplett leere Platzhalterseite theoretisch eine Datenschutzerklärung benötigt, ist zwar praxisfern, aber rein rechtlich korrekt.

8. Mythos: „Ich darf ohne Einwilligung keine Fotos von Gästen machen“

Viele Fotografen und Veranstalter sind verunsichert, weil bei Fotos personenbezogene Daten im Spiel sind. Aber auch hier gilt: Die Einwilligung ist nur eine mögliche Rechtsgrundlage von mehreren. Je nach Situation können auch das berechtigte Interesse oder journalistische Zwecke zutreffen. Entscheidend ist der Kontext: Art, Zweck und Erwartungshaltung der Betroffenen bestimmen, ob eine Einwilligung notwendig ist.

Gerade für Event-Fotografen oder Veranstalter ist dies ein wichtiges Thema. Bei Fotos oder Videoaufnahmen handelt es sich schließlich um personenbezogene Daten. Die Verarbeitung muss nicht zwingend auf Grundlage einer Einwilligung geschehen. Dass es auch andere praktikablere Grundlagen einer Verarbeitung personenbezogener Daten gibt, habe ich bereits in den Punkten 1) und 2) erläutert. Weitere Datenschutz-Informationen zum Erstellen und Verarbeiten von Personenfotos und -aufnahmen findest du im verlinkten Beitrag.

9. Mythos: „Jedes Unternehmen braucht einen Datenschutzbeauftragten.“

Zusammen mit den Fragen zum Datenschutz innerhalb von Unternehmen und Vereinen, wird auch häufig die Frage gestellt, wer zum Datenschutzbeauftragten benannt wird. Doch braucht jeder einen Datenschutzbeauftragten? Ganz klar: Nein! Dass immer ein Datenschutzbeauftragter benötigt wird, stimmt nicht. Die DSGVO schreibt vor, ab wann ein Datenschutzbeauftragter ernannt werden muss und wann dieser nicht zwingend vorgeschrieben ist. Die Möglichkeit einen freiwilligen Datenschutzbeauftragten zu berufen, um sich abzusichern, bleibt dabei jedem offen.

Ein Datenschutzbeauftragter wird benötigt, wenn mindestens eine der folgenden Voraussetzungen erfüllt ist:

  • Im Unternehmen arbeiten mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten (dazu zählt bereits die tägliche Nutzung von E-Mail, CRM, ERP, Newsletter-Tools, etc.).

  • Es werden besondere Kategorien personenbezogener Daten verarbeitet, etwa Gesundheitsdaten, biometrische Daten oder religiöse Zugehörigkeiten.

  • Die Kerntätigkeit des Unternehmens besteht in der umfangreichen Überwachung von Personen, z. B. Tracking, Profiling, Videoüberwachung oder Behavioral Analytics.

Was viele Unternehmer nicht wissen: Sobald ein Datenschutzbeauftragter intern offiziell benannt wird, genießt diese Person einen besonderen Kündigungsschutz. Der DSB kann dann nur aus wichtigem Grund abberufen werden und ist auch darüber hinaus vor ordentlichen Kündigungen geschützt. Das ist sinnvoll, damit der Datenschutzbeauftragte unabhängig agieren kann. Es führt jedoch dazu, dass interne Ernennungen gut überlegt sein sollten. Wer das Risiko vermeiden möchte, kann stattdessen einen externen Datenschutzbeauftragten beauftragen. Dieser unterliegt nicht dem Kündigungsschutz und ist oft die flexiblere Lösung, insbesondere für kleine Unternehmen.

Auch Vereine sind nicht automatisch verpflichtet, einen Datenschutzbeauftragten zu bestellen. Die gleichen Schwellenwerte wie bei Unternehmen gelten grundsätzlich auch hier. Dennoch entstehen in Vereinen häufig Situationen, in denen personenbezogene Daten vieler Mitglieder verarbeitet werden – beispielsweise Listen, Teilnehmerdaten oder Fotos von Veranstaltungen.

Wenn ein Verein beispielsweise besonderen Kategorien von Daten verarbeitet (z. B. Gesundheitsdaten im Sportbereich oder religiöse Daten bei kirchlichen Gruppen), kann schnell eine Pflicht zur Benennung entstehen. In der Praxis entscheiden viele Vereine sich für einen freiwilligen Datenschutzbeauftragten, um Mitglieder zu schützen, Prozesse klar zu regeln und Rechtssicherheit zu schaffen.

10. Mythos: „Jeder kann Datenschutzbeauftragter werden.“

Viele Unternehmen gehen davon aus, dass jede beliebige Person – egal ob Azubi, Sekretariat oder IT-Mitarbeiter – spontan zum Datenschutzbeauftragten ernannt werden kann. Doch das ist ein gefährlicher Irrtum. Die DSGVO schreibt klar vor, dass ein Datenschutzbeauftragter „über Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis“ verfügen muss. Das bedeutet: Ein DSB braucht fundierte Kenntnisse, Erfahrung im Umgang mit personenbezogenen Daten und die Fähigkeit, Prozesse zu beurteilen und zu dokumentieren. Eine rein symbolische Ernennung reicht nicht aus.

Wichtig ist außerdem, dass ein Datenschutzbeauftragter unabhängig agieren können muss. Personen, die über die Zwecke und Mittel der Datenverarbeitung entscheiden (beispielsweise Geschäftsführer, Inhaber, IT-Leiter oder HR-Verantwortliche) dürfen diese Rolle in der Regel nicht ausüben. Ein Interessenkonflikt würde die gesamte Funktion untergraben. Genau deshalb wird bei der Auswahl des DSB sehr genau geprüft, ob die Person überhaupt geeignet und neutral genug ist, diese Aufgabe zu übernehmen.

Natürlich kann ein Mitarbeiter durch Schulungen und Weiterbildungen die nötigen Fachkenntnisse erwerben. Viele interne Datenschutzbeauftragte starten ohne tiefes Vorwissen und bauen dieses Schritt für Schritt auf. Entscheidend ist jedoch, dass die Schulung ernst genommen wird und der Arbeitgeber bereit ist, dafür die nötige Zeit und Ressourcen bereitzustellen. Ohne interne Unterstützung wird ein Datenschutzbeauftragter kaum wirksam arbeiten können.

Für Unternehmen, die keine geeignete Person intern finden oder den Aufwand scheuen, ist ein externer Datenschutzbeauftragter oft die bessere Lösung. Externe DSB bringen bereits Erfahrung, Expertise und neutrale Sichtweisen mit. Zudem entfällt der besondere Kündigungsschutz, der bei internen DSBs gilt. Das macht externe Lösungen flexibler und für viele kleine und mittelständische Unternehmen wirtschaftlich sinnvoller.

11. Mythos: „Ich darf aus Datenschutzgründen keine Visitenkarten mehr annehmen.“

Dieser Mythos hält sich hartnäckig und sorgt regelmäßig für Verunsicherung – besonders bei Messen, Veranstaltungen oder Networking-Events. Viele glauben, dass die DSGVO das Annehmen oder Speichern einer Visitenkarte verbietet. Das stimmt natürlich nicht. Wenn dir jemand eine Visitenkarte freiwillig überreicht, erfolgt das mit einem klaren Zweck: kontaktiert werden zu wollen. Genau das stellt eine eindeutige Zweckbestimmung dar und erlaubt dir, die Daten zu speichern und für diesen Zweck zu nutzen. Es handelt sich also nicht um eine heimliche oder unerlaubte Datenverarbeitung, sondern um eine offensichtlich gewollte Kontaktaufnahme.

Wichtig ist lediglich, dass du die Visitenkarten zweckgebunden einsetzt. Die Daten dürfen beispielsweise genutzt werden, um zurückzurufen, eine Angebotsanfrage zu beantworten oder geschäftlichen Kontakt aufzunehmen. Problematisch wird es erst dann, wenn die Daten ohne Einwilligung in Newsletter-Listen oder Marketingdatenbanken landen. Für Werbung per E-Mail gelten strengere Regeln – hier brauchst du eine ausdrückliche Einwilligung oder musst auf ein anderes zulässiges Modell setzen, wie das Double-Opt-In-Verfahren.

Also: wenn dir jemand eine Visitenkarte freiwillig übergibt, liegt eine klare Zweckbestimmung vor: kontaktierbar zu sein. Dadurch ist die Datenverarbeitung vollkommen legitim. Daher weiterhin viel Erfolg beim Netzwerken!

 

Ich hoffe, diese 11 Datenschutz-Mythen und Irrtümer konnten etwas Licht ins Dunkel bringen und ein wenig über die DSGVO und den Datenschutz aufklären.

Habt ihr einige davon im Alltag oder Berufsleben wiedererkannt oder habe ich häufig praktizierte Datenschutz-Irrglauben vergessen? Nennt gerne eure Erfahrungen und weitere Fragen oder Mythen zum Datenschutz in den Kommentaren. Ich helfe gerne bei der Beantwortung 🙂

 

Bildquelle(n): Rhii Photography / Unsplash

Nils Wessel

In der IT aufgewachsen; im Marketing zuhause. Zertifizierter Datenschutzbeauftragter, Unternehmergeist und kreativer Content Creator.

Das könnte dir auch gefallen

Neue Google Adresse in Datenschutzerklärung durch Privacy Policy Änderung von Google Ireland

Änderung für Google-Dienste in der Datenschutzerklärung

Nils Wessel 0
Grafik mit Hinweis auf die Gesetzesänderung von TMG zu DDG für Webseitenbetreiber

TMG wird zum DDG: wichtige Änderungen für Websitebetreiber

Nils Wessel 0
Datenschutz DSGVO auf Messen. Datenschutzerklärung für Messe-Formulare und Kundenbestellungen bei Akquise.

DSGVO: Bestellungen & Kundenakquise auf Messen

Nils Wessel 0

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Cookies. Weitere Informationen.

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis und die vollständige Funktion dieser Website zu ermöglichen. Du hast die Möglichkeit das Tracking auf dieser Website zu deaktivieren. Mehr Informationen erhältst Du in der Datenschutzerklärung dieser Website.

Schließen