Wir gründen ein Unternehmen oder Start-up und wollen endlich loslegen. Wenn man nicht als Einzelperson startet, ist die Gründung an sich schon eine herausfordernde Phase. Anwälte, Steuerberater und Banken sind involviert. Und dann kann es endlich losgehen.
Oft vergisst man im Eifer des Gefechts den Datenschutz.
Oder man kümmert sich später darum. Aus später wird erfahrungsgemäß nie. Und das kann gravierende Folgen haben.
Datenschutz kann man nicht ignorieren oder weglassen. Er gehört zum Unternehmertum wie Steuern, Buchhaltung, Marketing oder Vertrieb.
In der EU gilt die Datenschutz-Grundverordnung, kurz DSGVO. Diese richtet sich nicht nach der Größe eines Unternehmens oder danach, wie lange man schon auf dem Markt ist. Die DSGVO richtet sich einzig und allein danach, woher der Kunde kommt. Kommt der Kunde aus der EU, ist die DSGVO anzuwenden.
Wenn man sich jetzt die Datenschutzgrundverordnung anschaut, stellt man fest, dass es leider keinen klaren Leitfaden gibt, auf was man alles achten muss. Generell ist es schwierig, Informationen zu diesem Thema zu finden. Deshalb wollen wir das Thema hier etwas genauer unter die Lupe nehmen.
Beim Datenschutz geht es um den Schutz natürlicher Personen. Das Wort lässt etwas anderes vermuten, aber das Ziel des Datenschutzes ist es, personenbezogene Daten zu schützen und Schaden von Personen abzuwenden. Das ganze Thema ist also nicht dazu da, um Unternehmer zu ärgern, sondern ein Grundrecht (Schutz personenbezogener Daten Artikel 8 der EU-Grundrechtecharta) durchzusetzen.
Die DSGVO hat das sehr genau definiert. Personenbezogene Daten sind alle Daten, die eine Identifizierung einer natürlichen Person ermöglichen. Genauer gesagt zum Beispiel Name, Geburtsdatum, Adresse oder E-Mail-Adresse.
Auch indirekte Daten fallen darunter. Wie zum Beispiel Online-Pseudonyme, IP-Adressen, Nutzerverhalten im Web oder Login-Positionen.
Grundsätzlich arbeitet heute jedes Unternehmen mit irgendwelchen dieser personenbezogenen Daten.
Unternehmen müssen gegenüber der Aufsichtsbehörde nachweisen können, dass sie personenbezogene Daten DSGVO-konform verarbeiten. Dafür gibt es in der Datenschutzgrundverordnung eine Aufzählung von Grundsätzen, die erfüllt werden müssen.
Diese Prinzipien klingen recht abstrakt. Sie sind es aber nicht. Diese Punkte müssen bereits vor der Gründung in das Geschäftsmodell integriert werden. Es gibt heute kaum noch Geschäftsmodelle, die nicht in irgendeiner Weise vom Datenschutz betroffen sind. Nachträgliche Anpassungen können hohe Folgekosten verursachen. Gerade bei der Erstellung von digitalen Produkten kann das Produkt selbst gegen den Datenschutz verstoßen.
Daher ist es sinnvoll, den Punkt Datenschutz-Compliance bereits im Businessplan zu berücksichtigen.
Gerade bei digitalen oder Online-Geschäftsmodellen mit digitalen Produkten oder X as a Service – Produkten ist Datenschutz schon in der Entwicklungsphase notwendig.
Das Ganze nennt sich dann Privacy by Design und bedeutet, dass Produkte, Dienstleistungen und das gesamte Handeln eines Unternehmens oder Startups von Anfang an datenschutzkonform sind.
Sobald ein Start-up oder Unternehmen mehr als eine Person (Geschäftsführung, CEO) beschäftigt, die regelmäßig mit personenbezogenen Daten arbeitet, muss der Mitarbeiterdatenschutz berücksichtigt werden. Dies spiegelt sich auch in den Arbeitsverträgen wider.
Datenschutz ist ein Thema, das Zeit oder Geld kostet. Deshalb sollte es auch im Businessplan berücksichtigt werden. Entweder man baut eigenes Know-how auf oder sucht sich externe Unterstützung. Bei größeren Teams ab 20 Personen ist es sinnvoll zu prüfen, ob ein Datenschutzbeauftragter bestellt werden muss. Diese Kosten sind zu berücksichtigen.
Weitere Kosten entstehen durch die Schulung der Mitarbeiter und die Erstellung der notwendigen Dokumentation.
Im Grunde kann man sagen, wer heute ein Unternehmen oder Start-up gründet, sollte sich auf jeden Fall damit auseinandersetzen.
Kurz gesagt: Bei Personengesellschaften der Inhaber, ansonsten der Geschäftsführer.
Datenschutzbeauftragte sind nicht für die Umsetzung des Datenschutzes verantwortlich.
Sie haben lediglich eine beratende Funktion und müssen die Geschäftsleitung auf Mängel hinweisen. Es handelt sich also um eine mittelbare Haftung. Bei internen Datenschutzbeauftragten haftet das Unternehmen selbst aufgrund der Innenhaftung.
Auf jeden Fall kann man sagen: Je früher man sich mit dem Datenschutz beschäftigt, desto günstiger wird es.
Und es wird nie wieder so einfach sein, Datenschutz im Unternehmen zu implementieren, als von Anfang an.
Jasmin Lieffering ist TÜV zertifizierte Datenschutzbeauftragte und arbeite seit 7 Jahren vor allem mit Start-Ups und Gründern zusammen. Dabei sind die Analyse von Geschäftsmodellen und Privcy by Design ihre Stärken. Kontaktieren könnt ihr Jasmin über www.litc.de