Datenschutz in deinem Start-up

1. Datenschutz ist Chefsache! (Verantwortlicher)

Der Chef des Unternehmens ist der “Verantwortliche” für die Datenverarbeitung und die
Einhaltung des Datenschutzes in seinem Unternehmen. Er haftet im Falle einer Datenschutzpanne.   
 
2. Datenschutzbeauftragter

Auch wenn Datenschutz Chefsache ist: Hat ein Unternehmen mehr als 20 Mitarbeiter, die schwerpunktmäßig konstant automatisiert Daten verarbeiten, braucht es einen Datenschutzbeauftragten. Dieser muss offiziell bestellt und dem Bayerischen Landesamt für Datenschutzaufsicht gemeldet werden – undzwar hier. Trifft dies für dein Start-up noch nicht zu, dann kannst du trotzdem freiwillig einen Datenschutzbeauftragten benennen.
 
3. Verzeichnis von Verarbeitungstätigkeiten

Klingt sperrig, ist in der Praxis aber einfach eine Liste: Nahezu jedes Unternehmen ist verpflichtet ein solches Verzeichnis zu führen. Darin führst du auf, welche personen- bezogenen Daten deiner Kunden und Mitarbeiter du zu welchem Zweck verarbeitest. Verarbeitungstätigkeiten sind z.B. die Lohn- und Gehaltsabrechnung, Werbemaßnahmen zur Kundengewinnung und -bindung und der Betrieb einer Webseite. Du kannst das Verzeichnis in Papierform oder elektronisch führen. Offenlegen musst du es nur dem Bayerischen Landesamt für Datenschutzaufsicht (Bay.LdA).

4. Informationspflichten

Du willst personenbezogene Daten von deinen Kunden oder Mitarbeitern abfragen und speichern? Dann musst du die Betroffenen darüber informieren, wie die Daten in deinem Unternehmen verarbeitet werden. Entweder, indem du diese Infos auf deiner Website bereitstellst oder in einem Beiblatt veröffentlichst.

Wie du dabei am besten vorgehst, erfährst du in diesem Leitfaden (nicht barrierefrei, PDF-Datei · 542 KB).

5. Rechte deiner Mitarbeiter und Kunden

Personen, deren Daten erfasst und verarbeitet werden, haben fünf Rechte, die du ihnen einräumen musst - und zwar: Das Recht

6. Auftragsverarbeitung

Manchmal wirst du für dein Start-up auch Dienstleister beauftragen, die für dich personenbezogene Daten von Kunden und Mitarbeiter erfassen. Zum Beispiel wenn du ein Mailing über einen Lettershop versenden lässt und dafür Werbeadressen zur Verfügung stellst. Oder wenn du deine Backup-Sicherheitsspeicherung auslagerst. In diesem Fall liegt eine sogenannte Auftragsverarbeitung vor, für die du unbedingt einen Auftragsverarbeitungsvertrag in schriftlicher oder elektronischer Form abschließen musst.

Hier findest du ein Beispiel.

7. Werbung

Anmailen, anrufen, anschreiben – was ist beim Werben erlaubt? Grundsätzlich gilt:  Briefwerbung ist für Unternehmen auch ohne Einwilligung des Adressaten erlaubt.
Wenn du deine Kunden über E-Mail oder Telefon erreichen möchtest, musst du dagegen im Vorfeld deren Einverständnis einholen. Die Datenschutzkonferenz (DSK) hat hierzu eine Orientierungshilfe (nicht barrierefrei, PDF-Datei · 464 KB) veröffentlicht.

8. Datenschutzverletzungen

Wenn sich in Deinem Unternehmen eine Datenpanne ereignet, z.B. der Fehlversand einer E-Mail oder ein Hackerangriff, musst du innerhalb von 72 Stunden handeln. Feiertage oder das Wochenende zählen mit.

Außerdem bist du gesetzlich verpflichtet, den Vorfall beim BayLDA hier als Datenpanne zu melden.

9. Datensicherheit – technische und organisatorische Maßnahmen

Um die Daten deiner Kunden und Mitarbeiter zu schützen, sind bestimmte Sicherheitsmaßnahmen zu ergreifen. In der Regel genügen bei kleineren Unternehmen Standardmaßnahmen, wie z.B. der Einsatz aktueller Betriebssysteme, Passwortschutz an den Arbeitsplätzen und regelmäßige Backups. Damit Unbefugte nicht an die schutzwürdigen Daten herankommen, sind Datenbanken besonders abzusichern.

10. Homeoffice

Die Vorgaben des Datenschutzes gelten auch für Mitarbeiter im Homeoffice. Du solltest sicher stellen, dass. Unbefugte z.B. keine Telefongespräche mithören oder vertrauliche Firmenunterlagen nicht offen herumliegen.

Hier (nicht barrierefrei, PDF-Datei · 354 KB) findest Du eine Best-Practice-Liste Best Practice Homeoffice.