Datenschutz bei Startups: Je früher desto besser

Die Digitalisierung hat inzwischen alle Branchen erreicht und es werden immer mehr Waren und Dienstleistungen unterschiedlichster Art im Internet angeboten. Werden diese Angebote durch Verbraucher angenommen, werden im Zuge der Leistungserbringung zwangsläufig personenbezogene Daten verarbeitet und der Anwendungsbereich des Bundesdatenschutzgesetzes eröffnet. 

Denn neben dem Namen, der Telefonnummer und der inhaberbenennenden E-Mail-Adresse gehört nach Ansicht der Aufsichtsbehörden auch die IP-Adresse zu den personenbezogenen Daten. Spätestens nach dem Safe Harbour Urteil des europäischen Gerichtshofs ist das Thema Datenschutz auch in der breiten Öffentlichkeit angekommen und aktueller denn je. Über die datenschutzrechtlichen Auswirkungen und Anforderungen im Umgang mit personenbezogenen Daten besteht für viele Start-Ups jedoch oftmals Unkenntnis. Wann darf ich personenbezogene Daten erheben oder verarbeiten und wie schütze ich diese Daten?

Datenschutzrechtliche Anforderungen an Ihr Start-Up

Unter welchen Voraussetzungen personenbezogene Daten verarbeitet werden dürfen und welche Maßnahmen zur Datensicherheit ergriffen werden müssen, bestimmt in Deutschland das Bundesdatenschutzgesetz (BDSG).

Rechtliche Legitimation

Das BDSG ist ein Verbotsgesetz mit Erlaubnisvorbehalt. Denn gem. § 4 Abs. 1 BDSG ist die Verarbeitung personenbezogener Daten grundsätzlich verboten, außer ein Gesetz erlaubt diese Verarbeitung oder der von der Verarbeitung Betroffene erteilt seine Einwilligung. Die Verarbeitung muss also legitimiert werden, um zulässig zu sein.

Die zentrale Vorschrift zur gesetzlichen Legitimation ist § 28 Abs. 1 BDSG. Denn diese Vorschrift legitimiert die Verarbeitung personenbezogener Daten für die Erfüllung eigener Geschäftszwecke. Also immer dann und soweit der Vertrag ohne die Verarbeitung personenbezogener Daten des Betroffenen nicht erfüllt werden kann. Neben einer gesetzlichen Legitimation, kann auch die Einwilligung des Betroffenen die Datenverarbeitung legitimieren. Für eine wirksame Einwilligung müssen aber die Voraussetzungen des § 4a BDSG erfüllt sein. Die Einwilligung ist demnach nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht, transparent und widerruflich ist.

Aber unabhängig davon, auf welche Weise die Datenverarbeitung legitimiert worden ist, hat das verarbeitende Unternehmen als verantwortliche Stelle gem. § 9 BDSG die Sicherheit dieser Daten zu gewährleisten.

Technische und organisatorische Maßnahmen

Um den Schutz personenbezogener Daten zu gewährleisten, sieht das BDSG gem. § 9 technische und organisatorische Maßnahmen vor, die in der Anlage zu § 9 BDSG katalogartig spezifiziert werden. Dabei kommt es in erster Linie darauf an, dass die getroffenen Maßnahmen geeignet bzw. verhältnismäßig sind um die Datensicherheit zu gewährleisten.

Zu den organisatorischen Schutzmaßnahmen können unter anderem die Sensibilisierung der Mitarbeiter auf den Datenschutz durch regelmäßige Schulungen, die Einführung einer Passwortrichtlinie, regelmäßige Datenschutz-Audits oder die Erstellung von Verfahrensverzeichnissen gezählt werden. Zu den technischen Maßnahmen gehören etwa individuelle Benutzeridentifikationen und Passwörter für alle Mitarbeiter, Sicherheitsschlösser an allen Zugangstüren, Back-Up- und Berechtigungskonzepte.

Die Auftragsdatenverarbeitung

Zudem arbeiten die allermeisten Start-Ups mit anderen Dienstleistern zusammen. Häufig auch mit solchen aus Übersee. Neben Cloud-Speicher-Anbietern, zählen E-Mail-Dienste, CMS/CRM-Systeme, Error-Tracking und Logging-Tools zu jenen Anbietern, die im Auftrag der Start-Ups besonders häufig personenbezogene Daten verarbeiten.

Abhängig vom Unternehmenssitz dieser Diensteanbieter, muss die Zusammenarbeit durch einen Vertrag über die Auftragsdatenverarbeitung gem. § 11 BDSG oder durch EU-Standardvertragsklauseln legitimiert werden. Denn durch diese Verträge wird der Auftragnehmer verpflichtet, seinerseits technische und organisatorische Maßnahmen zu ergreifen, durch welche die Datensicherheit gewährleistet ist.

Risiken

Werden die Vorschriften des BDSG nicht eingehalten, etwa weil personenbezogene Daten ohne gesetzliche Legitimationsgrundlage oder Einwilligung verarbeitet werden, so stellt dieses Handeln gem. § 43 BDSG eine Ordnungswidrigkeit dar und kann von den Aufsichtsbehörden mit einer Geldbuße von bis zu 300.000 EUR geahndet werden. Neben den rechtlichen Konsequenzen führt der falsche Umgang von personenbezogenen Daten auch zu wirtschaftlichen Schäden. 

Denn ist das Sicherheitsgefühl der Kunden erst einmal verloren, kommt es so schnell nicht wieder.

Mit Blick auf die gesetzlichen Anforderungen und den möglichen Gefahren kann es sich für Startups daher anbieten, einen fachkundigen Experten hinzuzuziehen.

Der Datenschutzbeauftragte

Als Experte unterstützt etwa der Datenschutzbeauftragte die Geschäftsführung bei der Einhaltung gesetzlicher Vorschriften und sollte daher unbedingt die notwendige Fachkunde besitzen. Ab 10 Mitarbeitern die mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist die Bestellung eines Datenschutzbeauftragten sogar gesetzlich vorgeschrieben.

Der Datenschutzbeauftragte kann ein geeigneter Mitarbeiter des Startups oder ein externer Dienstleister sein. Bei der Wahl des internen Datenschutzbeauftragten ist zu beachten, dass dieser unabhängig agieren können muss und in keinem Interessenkonflikt stehen darf. Das bedeutet, dass die Geschäftsführer und leitende Mitarbeiter, wie etwa die Personal-, oder IT-Verantwortlichen, die Aufgaben des Datenschutzbeauftragten nicht übernehmen dürfen. Zudem kann der Datenschutzbeauftragte auch nicht ohne Weiteres abberufen, also auch nicht mehr gekündigt werden. Sogar befristete Beschäftigungsverhältnisse werden durch die Bestellung zum Datenschutzbeauftragten faktisch unbefristet.

Hier stellt der externe Datenschutzbeauftragte die bessere Alternative dar. Denn dieser besitzt bereits die erforderliche Fachkunde die notwendig ist, um das Datenschutzmanagement zuverlässig und schnell im Startup umzusetzen.

Von Anfang an Datenschutz

Wird ein Datenschutzmanagement von Anfang an im Startup umgesetzt, so werden die damit verbundenen Sicherheitsmaßnahmen frühzeitig Bestandteil der Unternehmenskultur. Gerade deshalb sollten auch schon kleinere Unternehmen die Einführung eines Datenschutzmangagements erwägen und die hierfür notwendigen Investitionen tätigen. Denn einer repräsentativen Studie des amerikanischen Softwareunternehmens Symantec, dem State of Privacy Report 2015 zufolge, stellt die Sicherheit der Kundendaten eines der wichtigsten Argumente bei der Kaufentscheidung dar. Somit haben Startups, die ein Datenschutzmanagement eingeführt haben und dieses nach außen auch prominent kommunizieren, einen entscheidenden Wettbewerbsvorteil.

Empfehlung für die Praxis

Gerade Startups sollten daher die Chance nutzen, so früh wie möglich sinnvolle und notwendige Maßnahmen zu ergreifen und den Datenschutz von Beginn an als wichtigen Teil des Unternehmens ansehen. Hinsichtlich der beschriebenen gesetzlichen Anforderungen und Risiken bietet es sich an, einen Experten bei der Umsetzung hinzuzuziehen. Denn ab Mai 2018 wird das Bundesdatenschutzgesetz durch die EU-Datenschutzgrundverordnung abgelöst, womit wichtige Änderungen im Datenschutzrecht einhergehen werden.

Über die Autoren: 

Kemal und Christian sind zwei Wirtschaftsjuristen (Internationales Unternehmensrecht) aus Berlin und als externe Datenschutzbeauftragte für Startups tätig. Sie beraten auch Companisto in Datenschutzfragen. 

Kemal hat sich während seines Studiums und seiner beruflichen Laufbahn auf die Vertragsgestaltung spezialisiert und dabei umfangreiche Erfahrungen gesammelt. Er ist bei Webersohn & Scholtz der Experte wenn es um ADV-Verträge und die Übermittlung von Daten in das Ausland geht.

Christian hat sich im Verlauf seines Studiums auf das nationale und internationale Arbeitsrecht spezialisiert. Im Team von Webersohn & Scholtz ist Christian daher der Profi für die Umsetzung des Arbeitnehmerdatenschutzes und die Erstellung von Verfahrensverzeichnissen.