english

Datenschutz - Nicht nur für Startups

Datenschutz - Nicht nur für Startups
© stillkost - Fotolia.com

Ansprechpartner

RA (Syndikusrechtsanwalt) Tim A. Küsters
RA (Syndikusrechtsanwalt) Tim A. Küsters

Telefon: +49 2151 635-311
Telefax: +49 2151 635-44311
E-Mail:
V-Card: Kontaktdaten speichern

Nordwall 39
47798 Krefeld

Die Bedeutung des Datenschutzes ist in einer sich immer weiter digitalisierenden Welt stetig gestiegen, weil Datensammlung, Datenverarbeitung, Datenerfassung, Datenweitergabe und Datenanalyse immer einfacher und als Geschäftsmodell erkannt werden. Facebook, WhatsApp, Snapchat, Instagram, Twitter und andere soziale Netzwerke und Nachrichtendienste verbinden die ganze Welt und bringen Privates und Geschäftliches ins Internet, das nichts mehr vergisst. Bei Nutzung dieser Angebote werden im Zuge der Leistungserbringung zwangsläufig personenbezogene Daten verarbeitet und gespeichert. Spätestens nach dem Safe Harbour Urteil des Europäischen Gerichtshofs sowie der Diskussion um Vorratsdatenspeicherung und die Ausweitung von Videoüberwachung ist das Thema Datenschutz auch in der breiten Öffentlichkeit angekommen und aktueller denn je. Über die datenschutzrechtlichen Auswirkungen und Anforderungen im Umgang mit personenbezogenen Daten besteht nicht nur bei vielen Startups oftmals noch Unkenntnis. Gleichzeit gilt der Datenschutz nach den jüngsten Umfragen (DIHK-Digitalisierungsbarometer 2016, IHK-Konjunkturanalyse Jahresbeginn 2017) neben der IT-Sicherheit als größtes Hemmnis für die Digitalisierung.

Rechtliche Rahmenbedingungen

Die meisten Datenschutzvorschriften sind Verbotsgesetze mit Erlaubnisvorbehalt. Fpr den Umgang mit personenbezogenen Daten und den Schutz sowie die Sicherung der von ihnen verwendeten Kundendaten gelten verschiedene gesetzliche Regelungen. Eine Übersicht der wichtigsten gesetzlichen Regelungen zum Thema Datenschutz:

  1. EU-Datenschutz-Grundverordnung (ab 25.05.2018)
  2. ePrivacy-Richtlinie (ab 25.05.2018)
  3. Artikel 2 Abs. 1 des Grundgesetzes (Recht auf informationelle Selbstbestimmung)
  4. Bundesdatenschutzgesetz (BDSG)
  5. Besondere Vorschriften für die Telekommunikation und datenschutzrechtliche Vorschriften in Nebengesetzen (TMG, TKG, etc.)
  6. Landesdatenschutzgesetze (BayDSG)

Die neue EU-Datenschutz-Grundverordnung (DS-GVO) und die ePrivacy-Richtlinie erweitern in weiten Teilen das europäische Datenschutzrecht und betreffen vor allem junde Unternehmen aus der Digitalwirtschaft. Damit es nicht zu Problemen bei der Umsetzung der künftigen Verpflichtungen kommt, ist es bereits jetzt wichtig, sich mit den wesentlichen Änderungen zu beschäftigen und die richtigen Maßnahmen zu ergreifen.

Technische und organisatorische Maßnahmen

Um den Schutz personenbezogener Daten zu gewährleisten, sehen die datenschutzrechtlichen Vorschriften technische und organisatorische Maßnahmen vor. Dabei kommt es in erster Linie darauf an, dass die getroffenen Maßnahmen geeignet bzw. verhältnismäßig sind, um die Datensicherheit zu gewährleisten.

Zu den organisatorischen Schutzmaßnahmen können unter anderem die Sensibilisierung der Mitarbeiter auf den Datenschutz durch regelmäßige Schulungen, die Einführungen einer Passwortrichtlinie, regelmäßige Datenschutz-Audis oder die Erstellung von Verfahrensverzeichnissen gezählt werden. Zu den technischen Maßnahmen gehören etwa individuelle Benutzeridentifikationen und Passwörter der Mitarbeiter, Sicherheitsschlösser an allen Zugangstüren, Back-up- und Berechtigungskonzepte.

Auftragsdatenverarbeitung

Die allermeisten Start-ups und Unternehmen arbeiten mit externen IT-Dienstleistern zusammen. Oft haben diese Unternehmen ihren Hauptsitz in den USA, was eine Kontrolle über die Daten erschwert. Neben Cloud-Speicher-Anbietern, zählen E-Mail-Dienste, CMS/CRM-Systeme, Error-Tracking und Logging-Tools zu jenen Anbietern, die im Auftrag der Start-ups besonders häufig personenbezogene Daten verarbeiten.

Abhängig von Unternehmenssitz dieser Anbieter, muss die Zusammenarbeit durch einen Vertrag über die Auftragsdatenverarbeitung (ADV) oder durch EU-Standardvertragsklauseln legitimiert werden. Denn durch diese Verträge wird der Auftragnehmer verpflichtet, seinerseits technische und organisatorische Maßnahmen zu ergreifen, durch welche die Datensicherheit gewährleistet ist.

Haftungsrisiken

Werden datenschutzrechtliche Vorschriften nicht eingehalten, etwa weil personenbezogene Daten ohne gesetzliche Legitimationsgrundlage oder Einwilligung verarbeitet werden, so stellt dieses Handeln derzeit noch eine Ordnungswidrigkeit dar und kann von den Aufsichtsbehörden mit einer Geldbuße von bis zu 300.000 EUR geahndet werden. Die DS-GVO sieht in Zukunft sogar Bußgelder bis zu 20 Mio. EUR oder 4 Prozent des Jahresumsatzes vor. Neben den rechtlichen Konsequenzen führt der falsche Umgang von personenbezogenen Daten auch zu wirtschaftlichen Schäden. Denn ist das Sicherheitsgefühl der Kunden erst einmal verloren, kommt es so schnell nicht wieder. Mit Blick auf die gesetzlichen Anforderungen und den möglichen Gefahren kann es sich deshalb anbieten - sofern innerbetrieblich nicht vorhanden - einen fachkundigen Experten heranzuziehen.

Der Datenschutzbeauftragte

Als Experte unterstützt ein Datenschutzbeauftragter die Unternehmensführung bei der Einhaltung gesetzlicher Vorschriften und sollte daher unbedingt die notwendige Fachkunde besitzen. Ab zehn Mitarbeitern, die mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist die Bestellung eines Datenschutzbeauftragten sogar gesetzlich vorgeschrieben.

Der Datenschutzbeauftragte kann ein geeigneter Mitarbeiter des Unternehmens oder ein externer Dienstleister sein. Bei der Wahl des internen Datenschutzbeauftragten ist zu beachten, dass dieser unabhängig agieren können muss und in keinem Interessenkonflikt stehen darf. Das bedeutet, dass die Geschäftsführer und leitenden Mitarbeiter, wie etwa die Personal-, oder IT-Verantwortlichen, die Aufgaben des Datenschutzbeauftragten nicht übernehmen dürfen. Zudem kann der Datenschutzbeauftragte auch nicht ohne Weiteres abberufen, also auch nicht gekündigt werden. Sogar befristete Beschäftigungsverhältnisse werden durch die Bestellung zum Datenschutzbeauftragten faktisch unbefristet.

Oft stellt der externe Datenschutzbeauftragte deshalb gerade für Start-ups die bessere Alternative dar. Denn dieser besitzt bereits die erforderliche Fachkunde, die notwendig ist, um das Datenschutzmanagement zuverlässig und schnell im Unternehmen umzusetzen.

Vorteil Datenschutz - von Anfang an

Wird ein Datenschutzmanagement von Anfang an im Unternehmen umgesetzt, so werden die damit verbundenen Sicherheitsmaßnahmen frühzeitig Bestandteil der Unternehmenskultur. Gerade deshalb sollten auch schon kleinere Unternehmen die Einführung eines Datenschutzmanagements und die Benennung eines betrieblichen oder externen Datenschutzbeauftragten erwägen und die hierfür notwendigen Investitionen tätigen. Die Beachtung von Datenschutz bedeutet auch einen Vorteil im Wettbewerb durch die Schaffung von Kundenvertrauen. Das ist gerade für junge Unternehmen wichtig. Wenn beispielsweise plötzlich bekannt wird, dass sich das Unternehmen personenbezogenen Daten nicht gesetzeskonform verhält, entstehen schnell große Imageschäden und das gerade gewonnene Kundenvertrauen geht wieder verloren. Auch der verantwortungslose Umgang mit Mitarbeiterdaten kann einen großen Imageschaden nach sich ziehen. Imageschäden nach einem Datenschutzvorfall sind für Unternehmen schwer "aufzufangen".

Die Unternehmensführung hat den Vorteil, dass sie mit einem regelkonformen Datenschutz das eigene Haftungsrisiko minimieren kann. Denn Geschäftsführer einer GmbH können beispielweise für einen Gesetzesvorstoß im Bereich Datenschutz mit ihrem Privatvermögen haften.

Empfehlung für die Praxis

Gerade auch Start-ups sollten daher die Chance nutzen, so früh wie möglich sinnvolle und notwendige Maßnahmen zu ergreifen und den Datenschutz von Beginn an als wichtigen Teil der Unternehmenskultur ansehen. Hinsichtlich der beschriebenen gesetzlichen Anforderungen und Risiken bietet es sich an, einen Experten bei der Umsetzung hinzuzuziehen oder durch entsprechende Weiterbildungsmaßnahmen das erforderliche Fachwissen bei den eigenen Mitarbeitern zu entwickeln.

Datenschutz nicht nur im Start-up? Je früher desto besser!