Datenschutz in der Gründungsphase

Startups & Jungunternehmer aus Recklinghausen sollten dieses berücksichtigen

Wir gründen ein Unternehmen oder Start-up und wollen endlich loslegen. Wenn man nicht als Einzelperson startet, ist die Gründung an sich schon eine herausfordernde Phase. Anwälte, Steuerberater und Banken sind involviert. Und dann kann es endlich losgehen.

Oft vergisst man im Eifer des Gefechts den Datenschutz.

Oder man kümmert sich später darum. Aus später wird erfahrungsgemäß nie. Und das kann gravierende Folgen haben.

Datenschutz kann man nicht ignorieren oder weglassen. Er gehört zum Unternehmertum wie Steuern, Buchhaltung, Marketing oder Vertrieb.

In der EU gilt die Datenschutz-Grundverordnung, kurz DSGVO. Diese richtet sich nicht nach der Größe eines Unternehmens oder danach, wie lange man schon auf dem Markt ist. Die DSGVO richtet sich einzig und allein danach, woher der Kunde kommt. Kommt der Kunde aus der EU, ist die DSGVO anzuwenden.

Wenn man sich jetzt die Datenschutzgrundverordnung anschaut, stellt man fest, dass es leider keinen klaren Leitfaden gibt, auf was man alles achten muss. Generell ist es schwierig, Informationen zu diesem Thema zu finden. Deshalb wollen wir das Thema hier etwas genauer unter die Lupe nehmen.

Datenschutz – was ist das eigentlich?

Beim Datenschutz geht es um den Schutz natürlicher Personen. Das Wort lässt etwas anderes vermuten, aber das Ziel des Datenschutzes ist es, personenbezogene Daten zu schützen und Schaden von Personen abzuwenden. Das ganze Thema ist also nicht dazu da, um Unternehmer zu ärgern, sondern ein Grundrecht (Schutz personenbezogener Daten Artikel 8 der EU-Grundrechtecharta) durchzusetzen.

Was aber sind personenbezogene Daten?

Die DSGVO hat das sehr genau definiert. Personenbezogene Daten sind alle Daten, die eine Identifizierung einer natürlichen Person ermöglichen. Genauer gesagt zum Beispiel Name, Geburtsdatum, Adresse oder E-Mail-Adresse.

Auch indirekte Daten fallen darunter. Wie zum Beispiel Online-Pseudonyme, IP-Adressen, Nutzerverhalten im Web oder Login-Positionen.

Grundsätzlich arbeitet heute jedes Unternehmen mit irgendwelchen dieser personenbezogenen Daten.

Unternehmen müssen gegenüber der Aufsichtsbehörde nachweisen können, dass sie personenbezogene Daten DSGVO-konform verarbeiten. Dafür gibt es in der Datenschutzgrundverordnung eine Aufzählung von Grundsätzen, die erfüllt werden müssen.

Welche Grundsätze müssen erfüllt werden?

  1. Transparenz: Hier geht es darum, den Betroffenen in einfacher und verständlicher Sprache Informationen zur Verfügung zu stellen, wie das Unternehmen mit den personenbezogenen Daten arbeitet. Ein Beispiel hierfür sind Datenschutzerklärungen auf Websites.
  2. Datensparsamkeit: Dieser Punkt kommt aus der Informatik und bezieht sich darauf, dass nicht endlos Daten ohne Sinn gesammelt werden. Es geht darum, darüber nachzudenken, welche personenbezogenen Daten wirklich benötigt werden. Qualität geht vor Quantität.
  3. Richtigkeit der Daten: Kurz gesagt: Es dürfen nur personenbezogene Daten verarbeitet werden, die richtig sind. Falsche Daten müssen aktualisiert oder gelöscht werden.
  4. Zweckbindung: Personenbezogene Daten dürfen nur für die vorher festgelegten Zwecke verarbeitet werden. Ist der Zweck erfüllt, sind die Daten zu löschen. Auch dieser Zweck muss dem Betroffenen vorher mitgeteilt werden.
  5. Speicherbegrenzung: Hier geht es nicht um die Menge, sondern darum, wie lange die Daten gespeichert werden. Diese ist entweder gesetzlich festgelegt oder muss vom Unternehmen festgelegt werden.
  6. Integrität und Vertraulichkeit: Bei diesem Grundsatz geht es um die technischen und organisatorischen Maßnahmen. Die Daten müssen nach dem Stand der Technik geschützt werden.

Diese Prinzipien klingen recht abstrakt. Sie sind es aber nicht. Diese Punkte müssen bereits vor der Gründung in das Geschäftsmodell integriert werden. Es gibt heute kaum noch Geschäftsmodelle, die nicht in irgendeiner Weise vom Datenschutz betroffen sind. Nachträgliche Anpassungen können hohe Folgekosten verursachen. Gerade bei der Erstellung von digitalen Produkten kann das Produkt selbst gegen den Datenschutz verstoßen.

Daher ist es sinnvoll, den Punkt Datenschutz-Compliance bereits im Businessplan zu berücksichtigen.

Datenschutz im Businessplan – was gehört hinein?

Gerade bei digitalen oder Online-Geschäftsmodellen mit digitalen Produkten oder X as a Service – Produkten ist Datenschutz schon in der Entwicklungsphase notwendig.

Das Ganze nennt sich dann Privacy by Design und bedeutet, dass Produkte, Dienstleistungen und das gesamte Handeln eines Unternehmens oder Startups von Anfang an datenschutzkonform sind.

Sobald ein Start-up oder Unternehmen mehr als eine Person (Geschäftsführung, CEO) beschäftigt, die regelmäßig mit personenbezogenen Daten arbeitet, muss der Mitarbeiterdatenschutz berücksichtigt werden. Dies spiegelt sich auch in den Arbeitsverträgen wider.

Datenschutz ist ein Thema, das Zeit oder Geld kostet. Deshalb sollte es auch im Businessplan berücksichtigt werden. Entweder man baut eigenes Know-how auf oder sucht sich externe Unterstützung. Bei größeren Teams ab 20 Personen ist es sinnvoll zu prüfen, ob ein Datenschutzbeauftragter bestellt werden muss. Diese Kosten sind zu berücksichtigen.

Weitere Kosten entstehen durch die Schulung der Mitarbeiter und die Erstellung der notwendigen Dokumentation.

An welchen Stellen müssen Start-ups und Gründer auf den Datenschutz achten?

  • Beim Team: Die Mitarbeiter müssen im Datenschutz geschult werden. Auf der anderen Seite muss sich das Start-up oder Unternehmen auch gegenüber den Mitarbeitern datenschutzkonform verhalten und deren Rechte wahren.
  • Marketing: Digitales Marketing ist in der Gründungsphase günstig, einfach und schnell. Aber auch hier muss auf den Datenschutz geachtet werden. Werbeanzeigen, E-Mail-Marketing, Facebook-Fanseiten und -Gruppen, Social Media Marketing, Websites und Online-Shops unterliegen dem Datenschutz.
  • Die Kommunikation mit Interessenten und Kunden: Hier ist auf Einwilligungen oder rechtliche Einschränkungen zu achten, sowie auf die Informationspflichten.
  • Produktentwicklung: Privacy by Design in Apps, Software und Plattformen ist ein Muss. Neben dem Geschäftsmodell können auch Produkte schlicht von Aufsichtsbehörden verboten werden.
  • Investoren: Fast jeder Due Diligence Prozess beinhaltet auch eine Datenschutzprüfung.

Im Grunde kann man sagen, wer heute ein Unternehmen oder Start-up gründet, sollte sich auf jeden Fall damit auseinandersetzen.

Wer ist für den Datenschutz zuständig?

Kurz gesagt: Bei Personengesellschaften der Inhaber, ansonsten der Geschäftsführer.

Datenschutzbeauftragte sind nicht für die Umsetzung des Datenschutzes verantwortlich.

Sie haben lediglich eine beratende Funktion und müssen die Geschäftsleitung auf Mängel hinweisen. Es handelt sich also um eine mittelbare Haftung. Bei internen Datenschutzbeauftragten haftet das Unternehmen selbst aufgrund der Innenhaftung.

Auf jeden Fall kann man sagen: Je früher man sich mit dem Datenschutz beschäftigt, desto günstiger wird es.

Und es wird nie wieder so einfach sein, Datenschutz im Unternehmen zu implementieren, als von Anfang an.

Über die Autorin:

Jasmin Lieffering ist TÜV zertifizierte Datenschutzbeauftragte und arbeite seit 7 Jahren vor allem mit Start-Ups und Gründern zusammen. Dabei sind die Analyse von Geschäftsmodellen und Privcy by Design ihre Stärken. Kontaktieren könnt ihr Jasmin über www.litc.de