Startups aufpassen: Neues Datenschutzrecht (DSGVO) ab 25.5.2018

Aktuelle Trends in der Gründerszene sind Big Data oder Künstlicher Intelligenz (KI). Letztere etwa zur Effizienzsteigerung im Finanzwesen unter Nutzung von Datenquellen wie Rechnungen, Konten usw. Außerdem dringt der KI-Trend auch schon in den Medizinsektor vor. So werden innovative Informatikprozesse, beispielsweise zur Vermeidung von Fehldiagnosen, anhand von durchaus sensiblen Patientendaten genutzt. Aber auch Dating-Agenturen oder Event-Projekte sind datenhungrig. Kurz: Die momentane Goldgräberstimmung im Start-up-Sektor wird wesentlich von der industriellen Revolution 4.0 getragen, wobei auch Marketing 4.0 und die Digitalisierung vielfältiger Lebensbereiche Motoren der Entwicklung sind. Das neue Datenschutzrecht DSGVO muss daher dringend auf die Prioritätenliste von Startups!

Datenschutz: Neue DSGVO-Verordnung wird gern verdrängt

Werden also Bits und Bytes zu Glücksfaktoren, weil selbst Kreativ-Schmieden oder Einzelhändler mit der tollen Geschäftsidee nicht mehr die Erleichterung missen möchten, die Ihnen PC, Tablet und die digitalen Vernetzungsmöglichkeiten bringen? Alles klar, einerseits. Aber kein noch so kühl kalkulierender Entrepreneur möchte, dass ihm selbst „Big Brother” unentwegt datentechnisch über die Schulter blickt. Da könnte man glatt schon mal Verständnis für die Anforderungen der seit 25. Mai 2018 verbindlichen EU-Datenschutzgrundverordnung (DSGVO) aufbringen. Ja – würde die Vorbereitung darauf nicht kalten Schweiß auf die Stirn bringen wie eine angekündigte Steuerprüfung. Vorausgesetzt natürlich, man hat die Grundverordnung überhaupt auf dem Schirm. Sich in geeigneter Weise darum zu kümmern wird allerdings höchste Zeit, denn bei Nichtbeachtung können Bußgelder bis zu 20 Millionen Euro oder 4 % vom Umsatz drohen – die höhere Summe ist jeweils ausschlaggebend.

Hilfe durch Projektteam und Check-Liste

Mit unserem 8-Punkte-Plan wird es jedem Startup gelingen, die Datenschutz-Grundverordnung in den Griff zu bekommen:

1. Awareness schaffen und Umsetzungsprojekt starten
Zu diesem Zweck sollte die Geschäftsleitung die erforderlichen personellen und finanziellen Ressourcen bereitstellen. Dabei bietet es sich für schon etwas größere Start-ups an, ein Projektteam zusammenzustellen, denn die relevanten Umsetzungen müssen an verschiedenen Stellen im Unternehmen erfolgen – von HR, über Legal, IT und Marketing bis hin zu Finance. Kleinere Betriebe von vielleicht nur zwei oder drei Personen sollten regelmäßig einen festen Termin zwecks Lagebesprechung in Sachen Datenschutz einrichten. Zusätzlich lässt sich die nötige Expertise von außen für solche Termine einholen, etwa durch Berater bzw. externen Datenschutzbeauftragten. Denn es gilt: Hat ein Startup mehr als 9 Mitarbeiter und nutzt die Verarbeitung personenbezogener Daten in seinem Geschäftsmodell, muss ein betrieblicher Datenschutzbeauftragter gestellt werden. Dies kann entweder ein entsprechend geschulter und zertifizierter Mitarbeiter sein oder aber ein externer Dienstleister. Startups mit weniger als 9 Angestellten sollten unbedingt prüfen, ob die Tätigkeit Ihres Unternehmens mit der Verarbeitung personenbezogener Daten zusammenhängt. Wenn nicht, entfällt die Pflicht eines betrieblichen Datenschutzbeauftragten. Falls doch, ist der Schwellenwert „9 Mitarbeiter“ hinfällig und ein betrieblicher Datenschutzbeauftragter muss gestellt werden.

2. Bestandsaufnahme und Verfahrensverzeichnis
Im nächsten Schritt geht es um Feststellung sämtlicher Datenverarbeitungsvorgänge im Unternehmen. Sozusagen „Inventur”: In welchen Systemen werden personenbezogene Daten wozu gespeichert, bzw. verarbeitet. Hierzu gehöre ggf. auch die Analyse von externen Dienstleistern (Stichwort: Auftragsdatenverarbeitung – „ADV”). Beispiele können Cloud- und Hostinganbieter sein, Call-Center, ausgelagerte Lohnbuchhaltung usw. Zwecks Bestandsaufnahme lässt sich (falls schon vorhanden) das sogenannte Verfahrensverzeichnis heranziehen, das obligatorisch einzurichten ist. Falls noch nicht geschehen, ist jetzt der Zeitpunkt, es unbedingt anzulegen, da das Verfahrensverzeichnis nach Artikel 30 DSGVO strikt vorgeschrieben und stets auf dem neuesten Stand zu halten ist.

3. Feststellen der Rechtmäßigkeit der Datenverarbeitungsvorgänge
Inwieweit liegen prinzipiell jeweils die erforderlichen Erlaubnisse vor, die sich entweder in Bezug auf genau umschriebene Vorgänge aus gesetzlichen Grundlagen ergeben oder die auf Einwilligung der Betroffenen beruhen. Zu überprüfen ist ferner das Vorhandensein einer Dokumentation rechtswirksam erfolgter Zustimmungen, da die Einwilligungen gegenüber der Aufsichtsbehörde ggf. nachzuweisen sind. Dies gilt insbesondere für personenbezogene Daten zum Newsletter-Versand.

4. Anlegen einer Datenschutz-Folgeabschätzung (DSFA)
Für besonders risikobehaftete Datenverarbeitungen muss mittels einer Risikoanalyse festgestellt werden, ob eine sogenannte Datenschutzfolgeeinschätzung (Art. 35 DS-GVO) durchzuführen ist. Als risikobehaftet kann eine Erhebung etwa dann gelten, wenn eine systematische und umfassende Bewertung persönlicher Aspekte (Profiling) durchgeführt wird, woraus sich Einstufungen für Folgeprozesse wie Kreditvergaben und dergleichen ergeben. Für die Inhalte der DSFA gibt es fest gelegte Formate, was enthalten zu sein hat. Im Zweifelsfalls kann man sich mit der Aufsichtsbehörde zur Klassifizierung in Verbindung setzen.

Wichtige Kernprozeduren plus Personelles

5. Verträge, Texte für Einwilligungen und Erklärungen aktualisieren
Sämtliche Dokumente mit datenschutzrechtlicher Relevanz müssen auf die Anforderungen gemäß EU-Grundverordnung überprüft und falls erforderlich angepasst werden. Dazu gehören Verträge, Datenschutzerklärungen sowie die bereits unter Punkt 3 auf Vorhandensein gecheckten Einwilligungserklärungen. Bei näherer Betrachtung gilt: Sie sollen fallbezogen, informativ und unmissverständlich sein. Auch darf hier die Widerrufsbelehrung nicht fehlen. Manche Einwilligung wird vor diesem Hintergrund neu einzuholen sein. Eine besondere Inventur bedarf die Vertragsgestaltung und der Datenaustausch mit Auftragsdatenverarbeitern. Ebenso ist zu überprüfen, wie sich die Datenschutzsituation mit Partnerfirmen, vor allem solchen in Drittstaaten außerhalb der EU darstellt.

6. Datenschutzbeauftragter, Fortbildung, Trainings
Auch die Bestellung eines Datenschutzbeauftragten – intern oder extern – gehört zu den Kernerfordernissen. Die Diskussion darüber, dass in Betrieben unter 10 Mitarbeitern ein solcher nicht in jedem Fall vorgeschrieben ist, kann im Grunde als müßig betrachtet werden. Schon ein Kleinunternehmen, das einfach mit PC sowie beruflich genutztem Smartphone ausgestattet ist, E-Mail-Verkehr und vielleicht noch eine kleine Kundendatenbank unterhält, betreibt relevante Datenverarbeitung und fällt somit under die Anforderungen der DSGVO. Mit dem Datenschutzbeauftragten, der angestellt oder auch extern bestellt sein kann, befindet man sich in der Regel schon ein ganzes Stück auf der sicheren Seite. Jedenfalls dann, wenn er die erforderliche Qualifikation (etwa ISO-Zertifikate und Prüfungen) aufweist und unabhängig ist. Ein Datenschutzbeauftragter muss nach dem Bundesdatenschutzgesetz zuverlässig sein und über die erforderliche Fachkunde verfügen. Die Zuverlässigkeit liegt beispielsweise nicht vor, wenn der betriebliche Datenschutzbeauftragte aufgrund seiner übrigen Tätigkeit in Interessenkonflikte gelangen würde. Dies wäre etwa der Fall, wenn der Datenschutzbeauftragte sich gleichzeitig um die IT oder das Personal kümmert, da er sich so quasi selbst überwachen würde. Für die Bestellung eines eigenen Arbeitnehmers spricht unter Umständen dessen Kenntnis des Unternehmens. Auf der anderen Seite müsste ein Interner mit nicht unerheblichen Aufwand in Datenschutzfragen aus- und fortgebildet werden. Soll daher ein externer Datenschutzbeauftragter bestellt werden, so muss auch bei dessen Auswahl genau auf Zertifikationen und Prüfungen geachtet werden. Hierzu gibt es ein Verzeichnis vom Berufsverband der Datenschutzbeauftragten Deutschlands e.V. Hier können sich Startups einen qualifizierten externen Datenschützer an die Seite holen. Zudem wird hier ersichtlich, welchen Hintergrund ein Experte oder Beauftragter idealerweise haben sollte.

Gehört dazu: „Heißer Draht”, Ausstattung und Orga

7. Betroffenenrechte und Meldeauflagen
Achtung: Die sogenannten Betroffenenrechte werden im Zuge von Artikel 12 – 23 DSGVO deutlich gestärkt. Die Geltendmachung von Ansprüchen auf Auskunft, Berichtigung, Löschung und ‚Vergessenwerden’ , Einschränkung der Datenverarbeitung, Widerspruch und sonstige Beschwerden müssen zwingend beachtet werden. Gleichsam als heißer Draht lässt sich hierzu ein Zentrales Beschwerdemanagement einrichten. Sicherzustellen ist, dass die Meldung von Datenschutzpannen gegenüber den Aufsichtsbehörden pflichtgemäß innerhalb von 72 Stunden möglich ist. Diese Frist gilt auch dann, wenn etwa seitens des Unternehmens der Beschwerde-Sachverhalt noch nicht endgültig geklärt erscheint

8. IT-Technik und Organisationsstruktur
Zu prüfen ist, ob Rechnerkapazitäten und Software-Ausstattung den neuen Datenschutzanforderungen auch unter Belastung gerecht werden. Dies gilt besonders im Hinblick auf Security-Ausstattung, da für die Compliance ein hohes Maß an Datensicherheit erforderlich ist. Organisatorisch gehören zur Datenschutzkultur im Unternehmen obendrein klare und sichere Regelungen von Zugriffsrechten auf Kundendaten. Außerdem sind vorsorglich Löschkonzepte zu erstellen.

Und noch einmal: Für die Bestandsaufnahme im Betrieb ist es hilfreich, wenn Führungskräfte und teils auch Mitarbeiter sich über die einschlägigen Bestimmungen umfangreich informieren.