Was das neue Datenschutz-Recht der EU für Gründer bedeutet

Ab dem 25. Mai 2018 gilt die neue EU-Datenschutz-Grundverordnung (DS-GVO) – und zwar unmittelbar. Die Umsetzung stellt Unternehmen und Organisationen vor große Herausforderungen und ist mit einem oftmals unterschätzten Aufwand verbunden.

Denn eine Nichtbeachtung des neuen Rechts kann teuer werden. Die Verordnung verschärft nämlich die Sanktionsmöglichkeiten der Aufsichtsbehörden drastisch: Zukünftig können Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Umsatzes des Vorjahres fällig werden – pro Verstoß. Die Bußgelder sollen nicht nur verhältnismäßig, sondern stets auch abschreckend sein.

Damit wird Datenschutz endgültig zur Chefsache erklärt. Auch Startups sollten das Thema nicht auf die leichte Schulter nehmen. Der europäische Verordnungsgeber hat deutlich gemacht, dass die Nichteinhaltung der neuen Datenschutzregeln für Unternehmen in jedem Fall teurer sein soll, als der Aufwand, der zur Gewährleistung eines umfassenden Datenschutzes bei ihnen anfällt.

Große Chance für Unternehmen: Datenschutz-Compliance als Aushängeschild

Die Pflicht zur Einhaltung des Datenschutzrechts trifft alle Organisationen und Unternehmen, gleich ihrer Größe oder ihres Betätigungsfelds. In Startups stellt die Verarbeitung von personenbezogenen Daten wie Kundendaten häufig den wesentlichen Teil ihres Geschäftsmodells dar. Die Durchführung der digital angebotenen Services ist ohne die Verarbeitung von Kundendaten schließlich fast unmöglich. Darüber hinaus ist ein gutes Datenschutzmanagement für Startups ein Mehrwert und damit auch ein Wettbewerbsvorteil: Denn Kunden ist es wichtig, dass ihre Daten in guten Händen sind. Auch Geschäftspartner und potentielle Investoren haben ein Auge auf die Datenschutz-Compliance.

Die aktuelle Entwicklung zeigt: Die umfassende Umsetzung der Vorgaben der DS-GVO wird im B2B-Geschäft verstärkt Voraussetzung für die Zusammenarbeit mit etablierten Unternehmen sein. Ein Vertrauensverlust durch Datenschutzskandale ist daher nur schwer zu kompensieren.

Checkliste und Action Plan

Die Zeit für die Umsetzung aller notwendigen Maßnahmen und die Etablierung neuer Prozesse wird langsam eng – auch wenn man denken könnte, dass ein knappes Jahr noch ausreichend Zeit bietet.

Dieser Action Plan bietet einen Überblick über die Schritte, die Startups jetzt schon ergreifen sollten:

1.    Awareness schaffen und Umsetzungsprojekt starten

Für das Datenschutzmanagement verantwortlich ist die Unternehmensleitung –   diese muss auf das Thema DS-GVO-Compliance aufmerksam gemacht werden. Um das Umsetzungsprojekt zu starten, muss die Geschäftsführung die entsprechenden personellen und finanziellen Ressourcen zur Verfügung stellen. Dabei bietet es sich an, ein eigenes Projektteam zusammenzustellen. Denn die relevanten Umsetzungen müssen von und an verschiedensten Stellen im Unternehmen erfolgen – von HR über Legal, IT und Marketing bis hin zu Finance.

2.    Bestandsaufnahme und Verfahrensverzeichnis

Um überhaupt bestimmen zu können, wo es Änderungsbedarf gibt, sollte eine Bestandsaufnahme für alle relevanten Verarbeitungstätigkeiten im Unternehmen durchgeführt werden. In welchen Systemen werden personenbezogene Daten zu welchem Zweck verarbeitet? Und wer hat wann und unter welchen Voraussetzungen auf diese Daten Zugriff? Zu einer solchen „Inventur“ gehört auch die Analyse von externen Dienstleistern, die im Auftrag des Unternehmens Daten verarbeiten (Cloud- und Hosting-Services, Lohnbuchhaltung, CRM-Systeme, Analyse- und Tracking-Tools, E-Mail-Dienste, Callcenter, Apps, etc.). Auch für diese Daten ist das Unternehmen verantwortlich.

Bei der Identifizierung der Verarbeitungsverfahren kann das Verfahrensverzeichnis herangezogen werden, das bereits nach geltendem Recht vorhanden sein sollte. In diesem sind alle Verarbeitungstätigkeiten katalogartig dokumentiert. Sofern ein Verzeichnis noch nicht existiert, wird es höchste Zeit, es zu erstellen. Dies passiert idealerweise parallel zur Bestandsaufnahme. Die Verpflichtung zur Führung und der Inhalt eines solchen Verzeichnisses ergeben sich aus Art. 30 DS-GVO. Das Verzeichnis muss stets aktuell sein und ist auf Anfrage der Aufsichtsbehörde zur Verfügung zu stellen. Ein sauber geführtes und aktuelles Verfahrensverzeichnis ist das Rückgrat jedes Datenschutzmanagements.

3.    Rechtmäßigkeit der Datenverarbeitungen prüfen

Im Anschluss daran muss überprüft werden, ob es für alle Datenverarbeitungen eine Rechtsgrundlage gibt – auch nach dem neuen Recht. Denn im Datenschutzrecht gilt der Grundsatz, dass alle Verarbeitungen von personenbezogenen Daten verboten sind, solange sie nicht ausdrücklich erlaubt sind (Verbot mit Erlaubnisvorbehalt). Art. 6 DS-GVO legt künftig fest, unter welchen Voraussetzungen eine Datenverarbeitung erlaubt ist. Eine Datenverarbeitung ist, wie bisher auch, nur dann rechtmäßig, wenn der Betroffene eingewilligt hat oder ein gesetzlicher Erlaubnistatbestand die Datenverarbeitung legitimiert. Zu beachten ist, dass die Verarbeitung von „besonderen Kategorien personenbezogener Daten“ (zum Beispiel Gesundheitsdaten, Religionszugehörigkeit oder sexuelle Orientierung) noch strengeren Voraussetzungen unterliegen.

Bei einer Übermittlung von Daten in Drittstaaten (zum Beispiel in die USA) muss ferner sichergestellt werden, dass diese den Anforderungen der Art. 44 ff DS-GVO entsprechen. Durch spezielle Verträge, Prozesse oder Genehmigungsverfahren muss ein angemessenes Datenschutzniveau beim Empfänger sichergestellt sein, das mit dem der DS-GVO vergleichbar ist.

Achtung: Unternehmen müssen jederzeit nachweisen können, dass sie personenbezogene Daten verarbeiten dürfen. Die (wirksame) Einwilligung eines Kunden muss daher dokumentiert werden, um diese im Zweifelsfall auch anführen zu können. Die bloße Behauptung, der Betroffene habe wirksam eingewilligt, ist nicht ausreichend. Der Nachweis ist insbesondere auch für Werbeeinwilligungen wie für den Versand von Newslettern wichtig. Denn in diesen Fällen kommt neben dem Datenschutzrecht auch das Wettbewerbsrecht zur Anwendung. Sei es, weil zu Werbezwecken elektronische Kommunikationsmittel genutzt werden oder weil auf die werbliche Nutzung personenbezogener Daten ausgerichtete Datenschutzbestimmungen von den deutschen Gerichten überwiegend als so genannte Marktverhaltensnormen qualifiziert werden.

4.    Datenschutzfolgeabschätzung (DSFA)

Für besonders risikobehaftete Datenverarbeitungen muss mittels einer Risikoanalyse festgestellt werden, ob eine sogenannte Datenschutz-Folgenabschätzung (Art. 35 DS-GVO) durchzuführen ist.

Eine besonders risikobehaftete Datenverarbeitung liegt in der Regel dann vor, wenn eine systematische und umfassende Bewertung persönlicher Aspekte von Personen (Profiling) durchgeführt wird, die als Grundlage für weitere Entscheidungen herangezogen werden soll (beispielsweise zur Frage der Kreditvergabe). Der Mindestinhalt einer solchen Datenschutz-Folgeabschätzung ist vorgegeben (Art. 35 Abs. 7 DS-GVO). Falls die Prüfung ergibt, dass die Datenverarbeitung ein hohes Risiko birgt, muss das Unternehmen besondere Schutzmaßnahmen treffen. Wenn es keine solchen Maßnahmen ergreifen kann oder möchte, muss das Unternehmen zwingend die Aufsichtsbehörde konsultieren. Die Aufsichtsbehörden sind angehalten, öffentlich Verarbeitungsvorgänge zu benennen, für die in jedem Fall eine Datenschutz-Folgeabschätzung durchzuführen ist (Black List). Sie können auch Verarbeitungsvorgänge benennen, bei den sie eine Datenschutz-Folgeabschätzung für entbehrlich halten (White List).

Seite 1 von 2