Datenschutz für Startups: In 117 Tagen gilt die neue Verordnung

Die EU-Datenschutz-Grundverordnung gilt endgültig in weniger als 120 Tagen. Diese Fakten sollten Sie als Startup beachten.

Die EU-Datenschutz-Grundverordnung

Egal ob individuelle Müslis im Online-Handel vertrieben oder Elektro Scooter in der Großstadt vermietet werden, die allermeisten Startups verarbeiten personenbezogene Daten und müssen sich hierbei auch an geltende Datenschutzvorschriften halten. Denn bei Nichtbeachtung drohen hohe Bußgelder und auch der Vertrauensverlust der Kunden ist nicht zu unterschätzen. Ab dem 25. Mai 2018 ergeben sich die Vorschriften zur Datenschutz-Compliance aus der EU-Datenschutz-Grundverordnung (DS-GVO).

Geltendes Datenschutzrecht

Bisher existierte kein einheitliches europäisches Datenschutzrecht, sondern nur eine EU-Datenschutz-Richtlinie die von den einzelnen Mitgliedstaaten der europäischen Union in nationale Gesetze umgesetzt werden musste. In Deutschland fand die Datenschutz-Richtlinie Einzug in das Bundesdatenschutzgesetz (BDSG) und Telemediengesetz (TMG). Durch die DS-GVO soll das Datenschutzrecht in der EU nunmehr harmonisiert werden. Die EU-Kommission erhofft sich dadurch einen einheitlichen Rahmen der den heutigen digitalen Anforderungen besser gerecht wird.

Zu diesem Zweck ist die DS-GVO bereits am 24. Mai 2016 nach ihrer Veröffentlichung in Kraft getreten und gilt nach Ablauf einer zweijährigen Übergangsphase ab dem 25. Mai 2018 in allen Mitgliedstaaten der europäischen Union.

Aufbau und Systematik der Datenschutzgrundverordnung

Die Ziele der Datenschutzgrundverordnung werden gleich zu Beginn in Art. 1 Abs. 1 und 2 DS-GVO erläutert: Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten sowie der freie Verkehr dieser Daten. Die DS-GVO ist dabei, wie bereits das BDSG, der Systematik nach ein Verbotsgesetz mit Erlaubnisvorbehalt (Art. 6 Abs. 1 DS-GVO). Das bedeutet, dass die Verarbeitung personenbezogener Daten grundsätzlich verboten und ausnahmsweise nur dann erlaubt ist, wenn eine Rechtsvorschrift dies erlaubt oder der Betroffene in die Datenverarbeitung eingewilligt hat. Zwar sind sich die DS-GVO und das BDSG demnach in Aufbau und Systematik sehr ähnlich. Dennoch müssen alle Unternehmen, die personenbezogene Daten verarbeiten, strukturelle Prozesse im Datenschutzmanagement überarbeiten um nach Ablauf der Übergangsphase nicht gegen Datenschutzvorschriften zu verstoßen.

Notwendige Anpassungen zur DS-GVO

Als Unternehmer sollten Sie daher schon jetzt damit beginnen, ihr Datenschutzmanagement an die neuen Anforderungen der DS-GVO anzupassen. Um Ihnen einen ersten Überblick über die zu treffenden Anpassungen zu verschaffen, möchten wir in diesem Beitrag beispielhaft auf die neuen Grundsätze des Data Privacy by Default & Design, auf das neue Kopplungsverbot und auf die neuen Anforderungen an Ihr Verfahrensverzeichnis eingehen. Aber auch über die notwendigen Änderungen bei der Datenschutzerklärung und der Einwilligung des Nutzers möchten wir Sie bei dieser Gelegenheit informieren.

Die Datenschutzerklärung

In Zukunft müssen Webseitenbetreiber noch genauer darauf achten die Datenschutzerklärung transparent und in präziser sowie verständlicher Sprache zu formulieren – insbesondere etwa dann, wenn sich das Angebot auch an Kinder richtet. Das bedeutet auch, dass der Nutzer in Zukunft bereits in der Datenschutzerklärung über sein Widerrufsrecht und die damit verbundenen Folgen aufgeklärt werden muss. Die Erklärung des Widerrufs zur Verarbeitung der personenbezogenen Daten muss dem Betroffenen dabei genauso leicht möglich sein, wie die Erteilung der ursprünglichen Einwilligung.

Auch Kontaktdaten des Datenschutzbeauftragten des Unternehmens sowie der zuständigen Aufsichtsbehörde für Datenschutz müssen transparent kommuniziert werden. Die Datenschutzerklärung ist aber nur die Spitze des Eisbergs, denn sie dient lediglich zur Information über die tatsächlich beim Unternehmen getroffenen technischen und organisatorischen Maßnahmen zur Datensicherheit sowie dem Umfang der Datenverarbeitung.

Data Privacy by Design & Data Privacy by Default

Mit dem Grundsatz des Data Privacy by Design gem. Art. 25 Abs. 1 DS-GVO legt die EU-Datenschutz-Grundverordnung nunmehr ausdrücklich fest, dass datenschutzrechtliche Vorschriften bereits bei der Entwicklung neuer Produkte und Systeme mitbedacht und berücksichtigt werden müssen. Ein Content-Management-System (CMS) muss also gleich von Beginn so entwickelt werden, dass etwa Kundendaten jederzeit leicht gelöscht, korrigiert oder gesperrt werden können.

Mit Data Privacy by Default gem. Art. 25 Abs. 2 DS-GVO ist gemeint, dass Verarbeitungsvorgänge bereits von Beginn an so zu gestalten sind, dass nur solche Daten verarbeitet werden, die für den spezifischen Zweck auch erforderlich sind. Ein CMS eines Video-On-Demand-Anbieters sollte demnach z.B. keine Eingabefelder über Bildungsstand oder berufliche Qualifikationen der Kunden enthalten, denn diese Informationen werden für die Vertragserfüllung bei einem Video-On-Demand-Anbieter regelmäßig nicht erforderlich sein.

Auch wenn die Einhaltung dieser Grundsätze mit einem unerwarteten Mehraufwand verbunden ist, je besser diese Grundsätze bei der Entwicklung neuer Produkte eingehalten und dokumentiert werden, desto höher ist in Zukunft deren Wettbewerbsvorteil. Denn die Compliance-Abteilungen vieler Unternehmen werden in Zukunft nur dann eine Kooperation eingehen, wenn der Partner die Einhaltung der Vorschriften der EU-Datenschutz-Grundverordnung und damit auch dieser Grundsätze nachweisen kann.

Das Koppelungsverbot

Das Koppelungsverbot gem. Art. 7 Abs. 4 DS-GVO steht in einem engen Zusammenhang mit der Einwilligung. Denn die Einwilligung zur Verarbeitung personenbezogener Daten ist stärkster Ausdruck des Rechts auf informationelle Selbstbestimmung – an der Freiwilligkeit der Einwilligung darf es daher keinen Zweifel geben. Aus diesem Grund besagt das neue Koppelungsverbot der EU-Datenschutz-Grundverordnung, dass die Erfüllung eines Vertrages bzw. die Erbringung einer Dienstleistung in Zukunft grundsätzlich nicht von einer Einwilligung abhängig gemacht werden darf, die für die Vertragserfüllung nicht erforderlich ist. Die Teilnahme an einem sozialen Netzwerk darf also nicht von der Einwilligung zur Verwendung des Profilfotos für Werbezwecke abhängig gemacht werden.

Verfahrensverzeichnis

Unter einem Verfahrensverzeichnis versteht man eine Übersicht des Unternehmens zu den datenschutzrechtlich relevanten Verarbeitungsvorgängen, z.B. über die Zweckbestimmung der Datenverwendung sowie eine Beschreibung der durch das Unternehmen getroffenen technischen und organisatorischen Maßnahmen zur Datensicherheit. Bisher mussten Unternehmen einen öffentlichen und einen nicht-öffentlichen Teil des Verfahrensverzeichnisses vorhalten, wobei der öffentliche Teil jedermann in geeigneter Weise zur Verfügung gestellt werden musste. Ein öffentliches Verfahrensverzeichnis für jedermann sieht die Datenschutzgrundverordnung nun nicht mehr vor. Allerdings müssen Unternehmen spätestens bis zum 25. Mai 2018 vor allem auch die Legitimationsgrundlagen der einzelnen Datenverarbeitungsvorgänge an die neuen Vorschriften und Grundsätze der Datenschutzgrundverordnung anpassen. Nur so ist gewährleistet, dass sich die Aufsichtsbehörden auch in Zukunft auf Anfrage einen informierten Überblick über die einzelnen Verarbeitungsvorgänge verschaffen können.

Sanktionen

Im Vergleich zum bisherigen Datenschutzrecht sieht die Datenschutzgrundverordnung gem. Art. 83 Abs. 4 und 5 DS-GVO nunmehr deutlich schärfere Sanktionen durch die Aufsichtsbehörden vor. So müssen Unternehmen deren Datenverarbeitungsvorgänge gegen die Vorschriften der Datenschutzgrundverordnung verstoßen mit Bußgeldern von bis zu 20 Millionen EUR oder 4% des weltweiten Jahresumsatzes rechnen – je nachdem welcher der Beträge höher ist.

Damit soll nach dem Willen der EU-Kommission ein Anreiz geschaffen werden, datenschutzrechtliche Vorschriften nicht nur zur Kenntnis zu nehmen, sondern diese auch einzuhalten.

Fazit

In Aufbau und Systematik sind sich das Bundesdatenschutzgesetz und die EU-Datenschutz-Grundverordnung nicht fremd. Denn die Datenschutzgrundverordnung hat sich in vielen Teilen am Bundesdatenschutzgesetz orientiert. Dennoch gilt es die notwendigen Anpassungen rechtzeitig vorzunehmen und bestehende Datenschutzsysteme einer Compliance-Prüfung zu unterziehen. Hierbei kann Sie ein externer Datenschutzbeauftragter unterstützen, denn dieser hat die erforderliche Fachkenntnis und Erfahrung diese Maßnahmen schnell und wirksam umzusetzen.

Über die Autoren:

Kemal und Christian sind zwei Wirtschaftsjuristen (Internationales Unternehmensrecht) aus Berlin und als externe Datenschutzbeauftragte für Startups und den Mittelstand tätig. Die WS Datenschutz GmbH verfolgt dabei einen kosten- und zeitsparenden Semi-Digitalen Projekt-Ansatz.  

Kemal hat sich während seines Studiums und seiner beruflichen Laufbahn auf die Vertragsgestaltung spezialisiert und dabei umfangreiche Erfahrungen gesammelt. Er ist bei Webersohn & Scholtz der Experte wenn es um ADV-Verträge und die Übermittlung von Daten in das Ausland geht.

Christian hat sich im Verlauf seines Studiums auf das nationale und internationale Arbeitsrecht spezialisiert. Im Team von Webersohn & Scholtz ist Christian daher der Profi für die Umsetzung des Arbeitnehmerdatenschutzes und die Erstellung von Verfahrensverzeichnissen.