Datenschutz für Gründer

Die Bedeutung des Datenschutzes ist in einer sich immer weiter digitalisierenden Welt stetig gestiegen, weil Datensammlung, Datenverarbeitung, Datenerfassung, Datenweitergabe und Datenanalyse immer einfacher und als Geschäftsmodell erkannt werden. Facebook, WhatsApp, Snapchat, Instagram, Twitter und andere soziale Netzwerke und Nachrichtendienste verbinden die ganze Welt und bringen Privates und Geschäftliches ins Internet, das nichts mehr vergisst. Bei Nutzung dieser Angebote werden im Zuge der Leistungserbringung zwangsläufig personenbezogene Daten verarbeitet und gespeichert. Spätestens nach dem Safe Harbour Urteil des Europäischen Gerichtshofs sowie der Diskussion um Vorratsdatenspeicherung und die Ausweitung von Videoüberwachung ist das Thema Datenschutz auch in der breiten Öffentlichkeit angekommen und aktueller denn je. Über die datenschutzrechtlichen Auswirkungen und Anforderungen im Umgang mit personenbezogenen Daten besteht nicht nur bei vielen Startups oftmals noch Unkenntnis.

Die meisten Datenschutzvorschriften sind Verbotsgesetze mit Erlaubnisvorbehalt. Für den Umgang mit personenbezogenen Daten und den Schutz sowie die Sicherung der von Ihnen verwendeten Kundendaten gelten verschiedene gesetzliche Regelungen. Eine Übersicht der wichtigsten gesetzlichen Regelungen zum Thema Datenschutz:

Die neue EU-Datenschutz-Grundverordnung (DS-GVO) und die ePrivacy-Richtlinie erweitern in weiten Teilen das europäische Datenschutzrecht und betreffen vor allem junge Unternehmen aus der Digitalwirtschaft. Damit es nicht zu Problemen bei der Umsetzung der künftigen Verpflichtungen kommt, ist es bereits jetzt wichtig, sich mit den wesentlichen Änderungen zu beschäftigen und die richtigen Maßnahmen zu ergreifen.

Um den Schutz personenbezogener Daten zu gewährleisten, sehen die datenschutzrechtlichen Vorschriften technische und organisatorische Maßnahmen vor. Dabei kommt es in erster Linie darauf an, dass die getroffenen Maßnahmen geeignet bzw. verhältnismäßig sind, um die Datensicherheit zu gewährleisten.

Zu den organisatorischen Schutzmaßnahmen können unter anderem die Sensibilisierung der Mitarbeiter auf den Datenschutz durch regelmäßige Schulungen, die Einführung einer Passwortrichtlinie, regelmäßige Datenschutz-Audits oder die Erstellung von Verfahrensverzeichnissen gezählt werden. Zu den technischen Maßnahmen gehören etwa individuelle Benutzeridentifikationen und Passwörter der Mitarbeiter, Sicherheitsschlösser an allen Zugangstüren, Back-up- und Berechtigungskonzepte.

Die allermeisten Start-ups und Unternehmen arbeiten mit externen IT-Dienstleistern zusammen. Oft haben diese Unternehmen ihren Hauptsitz in den USA, was eine Kontrolle über die Daten erschwert. Neben Cloud-Speicher-Anbietern, zählen E-Mail-Dienste, CMS/CRM-Systeme, Error-Tracking und Logging-Tools zu jenen Anbietern, die im Auftrag der Start-ups besonders häufig personenbezogene Daten verarbeiten.

Abhängig vom Unternehmenssitz dieser Anbieter, muss die Zusammenarbeit durch einen Vertrag über die Auftragsdatenverarbeitung (ADV) oder durch EU-Standardvertragsklauseln legitimiert werden. Denn durch diese Verträge wird der Auftragnehmer verpflichtet, seinerseits technische und organisatorische Maßnahmen zu ergreifen, durch welche die Datensicherheit gewährleistet ist.

Werden datenschutzrechtliche Vorschriften nicht eingehalten, etwa weil personenbezogene Daten ohne gesetzliche Legitimationsgrundlage oder Einwilligung verarbeitet werden, so  sieht die DS-GVO sogar Bußgelder bis zu 20 Mio. EUR oder 4 Prozent des Jahresumsatzes vor. Neben den rechtlichen Konsequenzen führt der falsche Umgang von personenbezogenen Daten auch zu wirtschaftlichen Schäden. Denn ist das Sicherheitsgefühl der Kunden erst einmal verloren, kommt es so schnell nicht wieder. Mit Blick auf die gesetzlichen Anforderungen und den möglichen Gefahren kann es sich deshalb anbieten – sofern innerbetrieblich nicht vorhanden – einen fachkundigen Experten hinzuzuziehen.

Als Experte unterstützt ein Datenschutzbeauftragter die Unternehmensführung bei der Einhaltung gesetzlicher Vorschriften und sollte daher unbedingt die notwendige Fachkunde besitzen. Ab zwanzig Mitarbeitern, die mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist die Bestellung eines Datenschutzbeauftragten sogar gesetzlich vorgeschrieben.

Der Datenschutzbeauftragte kann ein geeigneter Mitarbeiter des Unternehmens oder ein externer Dienstleister sein. Bei der Wahl des internen Datenschutzbeauftragten ist zu beachten, dass dieser unabhängig agieren können muss und in keinem Interessenkonflikt stehen darf. Das bedeutet, dass die Geschäftsführer und leitenden Mitarbeiter, wie etwa die Personal-, oder IT-Verantwortlichen, die Aufgaben des Datenschutzbeauftragten nicht übernehmen dürfen. Zudem kann der Datenschutzbeauftragte auch nicht ohne Weiteres abberufen, also auch nicht mehr gekündigt werden. Sogar befristete Beschäftigungsverhältnisse werden durch die Bestellung zum Datenschutzbeauftragten faktisch unbefristet.

Oft stellt der externe Datenschutzbeauftragte deshalb gerade für Start-ups die bessere Alternative dar. Denn dieser besitzt bereits die erforderliche Fachkunde, die notwendig ist, um das Datenschutzmanagement zuverlässig und schnell im Unternehmen umzusetzen.

Wird ein Datenschutzmanagement von Anfang an im Unternehmen umgesetzt, so werden die damit verbundenen Sicherheitsmaßnahmen frühzeitig Bestandteil der Unternehmenskultur. Gerade deshalb sollten auch schon kleinere Unternehmen die Einführung eines Datenschutzmanagements und die Benennung eines betrieblichen oder externen Datenschutzbeauftragten erwägen und die hierfür notwendigen Investitionen tätigen. Die Beachtung von Datenschutz bedeutet auch einen Vorteil im Wettbewerb durch die Schaffung von Kundenvertrauen. Das ist gerade für junge Unternehmen wichtig. Wenn beispielsweise plötzlich bekannt wird, dass sich das Unternehmen mit personenbezogenen Daten nicht gesetzeskonform verhält, entstehen schnell große Imageschäden und das gerade gewonnene Kundenvertrauen geht wieder verloren. Auch der verantwortungslose Umgang mit Mitarbeiterdaten kann einen großen Imageschaden nach sich ziehen. Imageschäden nach einem Datenschutzvorfall sind für Unternehmen schwer „aufzufangen“.

Die Unternehmensführung hat den Vorteil, dass sie mit einem regelkonformen Datenschutz das eigene Haftungsrisiko minimieren kann. Denn Geschäftsführer einer GmbH können beispielsweise für einen Gesetzesverstoß im Bereich Datenschutz mit ihrem Privatvermögen haften. Empfehlung für die Praxis Gerade auch Startups sollten daher die Chance nutzen, so früh wie möglich sinnvolle und notwendige Maßnahmen zu ergreifen und den Datenschutz von Beginn an als wichtigen Teil der Unternehmenskultur ansehen. Hinsichtlich der beschriebenen gesetzlichen Anforderungen und Risiken bietet es sich an, einen Experten bei der Umsetzung hinzuzuziehen oder durch entsprechende Weiterbildungsmaßnahmen das erforderliche Fachwissen bei den eigenen Mitarbeitern zu entwickeln.

Datenschutz nicht nur im Startup? Je früher desto besser!

Stand Dezember 2019

Sie haben noch Fragen? Gerne stehen wir Ihnen zur Verfügung.

Bitte haben Sie Verständnis dafür, dass dieser Service nur Mitgliedsunternehmen der IHK Hochrhein-Bodensee und solchen Personen, die die Gründung eines Unternehmens in dieser Region planen, zur Verfügung steht.