Fachthemen

Datenschutz für Gründer

Sie wollen ein Unternehmen gründen? Dann haben Sie immer mit personenbezogenen Daten zu tun, da Sie Kundendaten und Arbeitnehmerdaten verarbeiten müssen. Dabei sollten Sie bezüglich des Datenschutzes Folgendes beachten:

1. Rechtsgrundlage für Ihre Datenverarbeitung

1.1 Vertrag

Seit 25. Mai 2018 gilt europaweit die EU-Datenschutz-Grundverordnung (DSGVO). Wenn Sie Kunden (Geschäftskunden und Verbraucher) etwas verkaufen oder eine Dienstleistung erbringen wollen, handelt es sich um die Anbahnung bzw. Erfüllung eines Vertragsverhältnisses. Hierzu benötigen Sie entsprechende Angaben Ihrer Kunden (z. B. Name, Anschrift, Telefonnummer, vielleicht auch darüberhinausgehende Angaben wie das Geburtsdatum, Kontodaten, Fotos). Für die Grunddaten zur Abwicklung des Vertrags benötigen Sie keine gesonderte Einwilligung Ihrer Kunden, für darüber hinausgehende Daten durchaus. Falls der Vertrag erfüllt ist und es keine gesetzlichen Gründe für seine Aufbewahrung mehr gibt (z. B. steuerliche oder handelsrechtliche Gründe), müssen die Daten gelöscht werden.

1.2 Einwilligung

Ist die Einwilligung Ihre Rechtsgrundlage für die Datenverarbeitung, sind einige Punkte zu beachten. In der Einwilligungserklärung müssen Sie auf die Freiwilligkeit und jederzeitige Widerrufbarkeit dieser Einwilligung hinweisen. Sie sollten hier nach obligatorischen und freiwilligen Daten trennen. Sie können eine elektronische Einwilligung einholen, dürfen aber keine voreingestellte Einwilligung in Form eines Häkchens verwenden, sondern sollten das „Double-Opt-in“-Verfahren nutzen.
Das Double-Opt-in-Verfahren ist zweistufig aufgebaut. Im ersten Schritt trägt der Interessent seine E-Mail-Adresse in ein Anmeldeformular ein und sendet das Formular ab. Das System verschickt unmittelbar danach eine Bestätigungs-E-Mail an die vom Interessenten angegebene E-Mail-Adresse. In der Bestätigungs-E-Mail wird der Empfänger gebeten, durch einen Klick auf den Bestätigungslink ein zweites Mal zu erklären, dass er zukünftig von Ihnen E-Mails erhalten möchte. Nur wenn der Empfänger dieser Bitte nachkommt, wird seine E-Mail-Adresse in das Adressbuch eingetragen.
Zudem müssen Sie Ihre Kunden darüber informieren, zu welchem Zweck Sie diese Daten verarbeiten wollen. Sie müssen die Einwilligungen dokumentieren.
Bei der Einholung der Einwilligung Ihrer Kunden müssen Sie nicht nur die datenschutzrechtlichen Anforderungen erfüllen, sondern auch das Gesetz gegen unlauteren Wettbewerb (UWG) beachten, sofern es sich um eine Einwilligung zur Werbung handelt. Informationen hierzu finden Sie im IHK-Merkblatt „Belästigende Werbung“.

1.3 Informationspflichten

Folgende Informationspflichten müssen Sie erfüllen, wenn Sie personenbezogene Daten verarbeiten:
  • Name und Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters,
  • Kontaktdaten des Datenschutzbeauftragten (sofern vorhanden),
  • Zwecke der Verarbeitung und Rechtsgrundlage,
  • wenn die Verarbeitung auf Art. 6 Abs. 1 Satz 1 lit. f DSGVO beruht: berechtigtes Interesse des Verantwortlichen,
  • ggf. Empfänger oder Kategorien von Empfängern,
  • Absicht der Übermittlung in ein Drittland / internationale Organisation sowie das Vorhandensein oder Fehlen eines Angemessenheitsbeschlusses der Kommission,
  • Dauer der Datenspeicherung,
  • Bestehen eines Rechts auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht und Recht auf Datenübertragbarkeit,
  • Recht auf Widerruf einer Einwilligung (bei Verarbeitung mit Art. 6 Abs. 1a oder Art. 9 Abs. 2a DSGVO),
  • Bestehen eines Beschwerderechts gegenüber einer Aufsichtsbehörde,
  • Information, ob die Bereitstellung der personenbezogenen Daten gesetzlich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist und welche möglichen Folgen die Nichtbereitstellung hätte,
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling (Art. 22 DSGVO).
Diese Informationspflichten müssen zum Zeitpunkt der Datenerhebung gegenüber dem – zukünftigen – Kunden erfüllt werden. Ein Muster für die Erfüllung der datenschutzrechtlichen Pflichtinformationen finden Sie auf dieser Seite unter "Weitere Informationen". Sie sollten die Informationen auf der Homepage hinterlegen (entweder als Teil der Datenschutzerklärung oder als separate Unterseite) und in Ihren Geschäftsräumen aushängen.
Im Internet gibt es kostenlose Generatoren zur Erstellung von Datenschutzerklärungen für die Website. Für die Nutzer Ihrer Internetseite müssen Sie zudem bekannt geben, ob und welche Cookies Sie verwenden und ob Sie die Nutzer der Seiten tracken. Nutzen Sie hierfür einen Dienstleister, müssen Sie dazu eine Vereinbarung über die Auftragsverarbeitung schließen. Hat der Dienstleister seinen Sitz in einem Drittland, z. B. den USA, müssen Sie prüfen, ob die Weitergabe der Daten über EU-Standardvertragsklauseln abgesichert ist. 

2. Dienstleister

  • Wo verarbeiten Sie diese Daten? Auf Ihrem eigenen Server oder bei einem Dritten? Bei letzterem müssen Sie eine schriftliche (oder elektronische) Vereinbarung über die Auftragsverarbeitung schließen, denn der IT-Dienstleister darf die Daten nur nach Ihrer Weisung verarbeiten. Liegen die Daten auf Ihrem eigenen Server, nutzen Sie aber eine Cloud-Anwendung, müssen Sie klären, ob die Daten in Deutschland, in Europa oder in einem Drittstaat, z. B. in den USA, gespeichert sind. Im letzteren Fall handelt es sich um einen Datentransfer in Drittländer, so dass Sie hierfür eine besondere Grundlage benötigen, wenn die Daten in die USA übermittelt werden.
  • Haben Sie einen Internetauftritt, der von einer Webdesignagentur gestaltet wird? Hat die Webdesignagentur Zugriff auf die personenbezogenen Daten, die Ihre Interessenten/Kunden dort angeben? Dann müssen Sie auch hier eine Vereinbarung über die Auftragsverarbeitung schließen. Zudem sind Sie nach dem Telemediengesetz verpflichtet, ein sogenanntes Impressum zu haben, d. h. Sie müssen hier angeben: Name, Anschrift, Rechtsform, E-Mail-Adresse, Umsatzsteuer-Identnummer usw. (Bei mehr als 10 Beschäftigten müssen Sie zusätzlich angeben, inwieweit Sie bereit oder verpflichtet sind, an einem Verfahren vor einer Verbraucherschlichtungsstelle teilzunehmen – §§ 36, 37 Verbraucherstreitbeilegungsgesetz.) Bei Online-Verträgen müssen Sie Ihrer Informationspflicht nach Art. 14 der sog. ODR-Verordnung nachkommen.
  • Wollen Sie Ihre Buchführung, insbesondere auch die Gehaltsabrechnung Ihrer Mitarbeiter, über einen Steuerberater abwickeln, müssen Sie hierzu einen Dienstleistungsvertrag schließen.
  • Falls Sie einen elektronischen Bezahldienst nutzen, müssen Sie mit ihm eine Vereinbarung über die Auftragsverarbeitung schließen.
Das Bayerische Landesamt für Datenschutzaufsicht hat als Aufsichtsbehörde ebenfalls ein Muster für einen Auftragsverarbeitungsvertrag zur Verfügung gestellt.

3. Lieferanten

Haben Sie Lieferanten, von denen Sie ebenfalls Daten, wie Name, Anschrift, Telefonnummer, Produktangebot, Ansprechpartner, URL der Homepage und E-Mail-Adressen gespeichert haben, so fallen auch diese Angaben unter das Vertragsverhältnis bzw. Sie benötigen für bestimmte Angaben ebenfalls die Einwilligung der Person zur Speicherung ihrer Daten. Auch hier müssen Sie die Informationspflichten (siehe 1.3) beachten.

4. Mitarbeiter

Sie müssen Ihre Mitarbeiter darüber informieren, welche Daten Sie zu welchem Zweck verarbeiten. Sollten Sie Ihren Mitarbeitern die private Nutzung von E-Mails und des Internets in der Arbeitszeit gestatten, sollten Sie klären, welchen Umfang diese Nutzung umfassen darf und dass die Nutzung bestimmte Inhalte nicht betreffen darf. Die Gestattung können Sie mit einer Einwilligung verbinden, dass die Mitarbeiter Ihre Kontrollen gestatten, damit weder Inhalt noch Umfang der Nutzung gegen Gesetze und die arbeitsrechtlichen Pflichten verstoßen.

5. Allgemeine Anforderungen

Sie müssen Ihre Verfahren in einem sogenannten Verzeichnis für die Verarbeitungstätigkeiten mit folgenden Angaben dokumentieren:
  • Name und Kontaktdaten des Verantwortlichen, des Vertreters, ggfs. des gemeinsam Verantwortlichen sowie des etwaigen Datenschutzbeauftragten
  • Zweck der Verarbeitung
  • Rechtsgrundlage
  • Kategorie der betroffenen Personen und personenbezogenen Daten
  • Kategorie von Empfängern der Daten
  • Übermittlung in Drittstaaten
  • Löschfristen
  • Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Datensicherung
Auch das Bayerische Landesamt für Datenschutzaufsicht stellt Muster und Hinweise für das Verzeichnis der Verarbeitungstätigkeiten zur Verfügung.
Falls Sie Mitarbeiter haben, müssen Sie sie auf die Vertraulichkeit von Daten verpflichten. Auch dafür gibt es ein Muster der Aufsichtsbehörden. Sie müssen Ihre Mitarbeiter auf den Datenschutz hinweisen bzw. sie angemessen schulen und dies dokumentieren. Sie sollten überlegen, wie Sie mit einem Auskunftsersuchen umgehen, wenn jemand erfahren möchte, welche Daten Sie über ihn gespeichert haben. Sie sollten zusätzlich einen Prozess aufsetzen, falls es zu Datenverstößen kommt und Sie diese innerhalb von 72 Stunden der Aufsicht melden und die Betroffenen benachrichtigen müssen.
Sie müssen ein Löschkonzept vorhalten (6 Jahre für Geschäftsbriefe, 10 Jahre für steuerrelevante Unterlagen, 6 Monate für Bewerbungsunterlagen, etc.). Alle anderen Daten bzw. Dokumente mit personenbezogenen Daten müssen gelöscht bzw. vernichtet werden, wenn sie nicht mehr benötigt werden. Daran schließt sich die Frage an, wie datenschutzkonform Unterlagen vernichtet werden können und müssen (Datenträger zerstören, Papierunterlagen mit personenbezogenen Daten schreddern oder datenschutzkonform entsorgen).

6. Technisch-organisatorische Maßnahmen

Sie müssen technische und organisatorische Maßnahmen ergreifen, um Ihre personenbezogenen Daten vor Diebstahl, unberechtigter Löschung oder Verschlüsselung oder anderweitigen Verlust zu schützen. Diese Maßnahmen müssen dokumentiert werden. Besonders wichtig ist der Schutz von sensiblen Daten Ihrer Mitarbeiter (Gesundheitsdaten, Religionszugehörigkeit, etc.). Nachstehende Punkte geben einen groben Anhaltspunkt für solche Maßnahmen:
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
1.1 Zutrittskontrolle
Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.
1.2 Zugangskontrolle
Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.
1.3 Zugriffskontrolle
Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
1.4 Trennungskontrolle
Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
2.1 Weitergabekontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
2.2 Eingabekontrolle/Verarbeitungskontrolle
Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
2.3 Dokumentationskontrolle
Maßnahmen, die gewährleisten, dass die Verfahrensweisen bei der Verarbeitung personenbezogener Daten in einer Weise dokumentiert werden, dass sie in zumutbarer Weise nachvollzogen werden können.
2.4 Auftragskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.
3. Verfügbarkeitskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
4. Belastbarkeit (Widerstandsfähigkeit / Resilienz von Systemen / Diensten)
Maßnahmen die gewährleisten, dass technische Systeme, bei Störungen bzw. Teil-Ausfällen nicht vollständig versagen, sondern wesentliche Systemdienstleistungen aufrechterhalten werden.
Haben Sie Ihre Daten so gesichert, dass Sie sie bei einem eventuellen Verlust wiederherstellen können?
Zur IT-Sicherheit in kleinen und mittleren Unternehmen gibt es einen Leitfaden des Bundesministeriums für Wirtschaft und Energie, der Informationen und Handlungsempfehlungen enthält.

7. Weitere Informationen

Weitere Informationen zum Datenschutz finden Sie auf unserer Website unter dem Stichwort „Datenschutz“.
Für Unternehmen gibt es vom Beck-Verlag eine Handreichung für 5,50 Euro mit hilfreichen Checklisten und Erläuterungen für juristische Laien.