DSGVO

DSGVO für StartUps

Deutschland leidet unter der DSGVO. Sie auch?

Im Zusammenhang mit dem Inkrafttreten der DSGVO treten vermehrt Beschwerden wie Unwohlsein ein. Auch Gereiztheit und in besonders schweren Fällen treten sogar Panikattacken auf. Begleiterscheinung ist häufig Aufschieberitis. Diese äußert sich, dass einem der innere Schweinehund erzählt, dass man sich auch noch morgen um die DSGVO kümmern kann. Oder übermorgen oder über-übermorgen…

1 Risiken

Verantwortlich für die Symptome ist meist die Sorge vor einem Datenschutzverstoß. Oder präziser ausgedrückt, dass herauskommt, dass man gegen die DSGVO verstößt. Bei fehlender DSGVO-Konformität treten dabei folgende Risiken in unterschiedlicher Häufigkeit auf:

Sehr häufig: Investoren haben kein Interesse daran, ihr Geld durch Bußgelder verbrennen zu sehen. Wenn ein StartUp seine Prozesse an der DSGVO ausrichtet, zeigen sich Investoren beeindruckt.

Häufig: Die gefürchtete Abmahnwelle ist (noch) nicht angerollt. Trotzdem sind mittlerweile Abmahnungen bekannt geworden. Dies wird sicherlich kein Einzelfall bleiben.

Gelegentlich: Gelegentlich muss man damit rechnen, von betroffenen Personen Anfragen oder sogar Beschwerden zu bekommen, die sich um den Schutz ihrer personenbezogenen Daten sorgen.

Selten: Noch üben sich Behörden in Zurückhaltung. Es ist aber davon auszugehen, dass die Behörden mit der Zeit so aufgestellt sind, dass sie sogar bei StartUps Kontrollen durchführen und Beschwerden nachgehen könnten.

2 Behandlungsempfehlung

Die beste Therapie gegen DSGVO-bedingte Symptome ist, sich mit der DSGVO auseinanderzusetzen. Dazu ist es entscheidend, die wichtigsten Regelungen der DSGVO zu kennen und entsprechende Maßnahmen zu ergreifen.

2.1. Grundsätze nach Art. 5 DSGVO:

Art. 5 Abs. 1 lit.a – Treu und Glauben, Rechtmäßigkeit und Transparenz: Die Verarbeitung muss legitim und für die betroffene Person nachvollziehbar sein.
Art. 5 Abs. 1 lit. b – Zweckbindung: Personenbezogene Daten müssen zweckgebunden verarbeitet werden.
Art. 5 Abs. 1 lit. c – Datenminimierung: Es dürfen nur so wenig wie möglich personenbezogene Daten verarbeitet werden.
Art. 5 Abs. lit. d – Richtigkeit: Die personenbezogenen Daten müssen korrekt sein.
Art. 5 Abs. 1 lit. e – Speicherbegrenzung: Daten dürfen nicht ewig verarbeitet werden, sondern sind nach einer bestimmten Zeit zu löschen.
Art. 5 Abs. 1 lit. f – Integrität und Vertraulichkeit: Die personenbezogenen Daten müssen vor unrechtmäßiger Verarbeitung und auch vor Schädigung geschützt werden.
Art. 5 Abs. 2 – Rechenschaftspflicht: Der Verantwortliche muss nachweisen können, dass er Daten datenschutzkonform verarbeitet.

2.2. Die Erlaubnistatbestände

Grundsätzlich ist die Verarbeitung der personenbezogenen Daten verboten, es sei denn, man kann die Verarbeitung auf eine in Art. 6 DSGVO normierte Erlaubnis stützen. Die wichtigsten dabei sind:

Art. 6 Abs. 1
lit a) Einwilligung – Die betroffene Person hat zuvor der Verarbeitung zugestimmt.
lit b) Erfüllung eines Vertrages – Die Verarbeitung erfolgt z.B., für die Lieferung einer Ware oder um eine Rechnung zu stellen.
lit c) Rechtliche Verpflichtung – Es gelten z.B. steuerrechtliche Aufbewahrungspflichten.
lit. f) Berechtigtes Interesse – Der Verantwortliche hat ein berechtigtes Interesse Daten z.B. zu Werbezwecken zu verarbeiten. Vorsicht! Newsletter dürfen nur nach vorheriger Einwilligung und nach Durchführung eines double-opt-in-Verfahrens versandt werden.

2.3. Die Pflichten

Den Verantwortlichen treffen zahlreiche Pflichten. Die Wichtigsten in Kürze:

Nachweisbare Einhaltung der Grundsätze: Der Verantwortliche ist verpflichtet, die in Art. 5 DSGVO normierten Grundsätze einzuhalten und muss deren Einhaltung nachweisen können.

Adressat der Rechte der Betroffenen: Der Verantwortliche ist der Adressat der Rechte der betroffenen Personen nach den Art. 12 ff DSGVO und hat daher sicherzustellen, dass Betroffene ihre Rechte ordnungsgemäß wahrnehmen können.

Umsetzung von TOM: Der Verantwortliche hat nach Art. 32 DSGVO bei der Verarbeitung zum Schutz der personenbezogenen Daten angemessene und geeignete technische und organisatorische Maßnahmen (TOM) DSGVO umzusetzen. In diesem Zusammenhang sind die Begriffe „privacy by design“ (Datenschutz durch technische Gestaltung) und „privacy by default“ (datenschutzfreundliche Voreinstellungen) wichtig, vgl. Art. 25 DSGVO.

Führen eines Verarbeitungsverzeichnisses: Art. 30 DSGVO verlangt, dass der Verantwortliche ein Verzeichnis aller Verarbeitungstätigkeiten führt, die seiner Zuständigkeit unterliegen.

Meldepflicht und Benachrichtigung: Im Falle einer Verletzung des Schutzes personenbezogener Daten hat der Verantwortliche diese nach Maßgabe des Art. 33 DSGVO an die zuständige Aufsichtsbehörde zu melden und unter den Voraussetzungen des Art. 34 DSGVO die betroffene Person zu benachrichtigen.

Durchführung einer Datenschutzfolgeabschätzung: Bergen Verarbeitungstätigkeiten ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen, hat der Verantwortliche vorab eine Datenschutz-Folgeabschätzung i.S.d. Art. 35 DSGVO durchzuführen.

Bestellung eines Datenschutzbeauftragten: Ein Unternehmen hat gemäß Art. 37 DSGVO i.V.m. § 38 BDSG einen Datenschutzbeauftragten zu bestellen, wenn es…
…Mindestens 10 Mitarbeiter beschäftigt, die personenbezogene Daten automatisiert verarbeiten.
…Personenbezogene Daten geschäftsmäßig verarbeitet.
…Besonders sensible Daten (z.B. Bonitäts- oder Gesundheitsdaten) verarbeitet; dies ist dann unabhängig von der Anzahl der Beschäftigten.

2.4. DSGVO-Maßnahmen

Um den Pflichten der DSGVO nachzukommen und den oben aufgezeigten Risiken zu begegnen, bietet sich folgender Plan an:

Nach Außen datenschutzkonform wirken
Um nach Außen datenschutzkonform aufzutreten, muss zunächst der eigene Internetauftritt mit einer Datenschutzerklärung versehen werden. Es gibt online-Generatoren, die eine schnelle und günstige Datenschutzerklärung versprechen. In vielen Fällen sind diese Datenschutzerklärungen nicht viel mehr als Augenwischerei. Es ist daher eine Frage des Budgets und der Risikobereitschaft, ob man sich mit einem Generator behilft oder sich anwaltliche Unterstützung einholt.

Datenschutz für Betroffene gewährleisten
Wenn Betroffene Datenschutzrechte geltend machen, sollte man umgehend darauf reagieren und den Anfragen nachkommen. Wer sich als Verantwortlicher bei der Datenverarbeitung unterstützen lässt, z.B. durch Cloud-Computing, IT-Dienstleister, Lohnsteuerbüros, Google Analytics, Versanddienstleister für Newsletter muss mit den Anbietern einen Auftragsverarbeitungsvertrag schließen. Damit soll sichergestellt werden, dass der Auftragsverarbeiter die Daten nur im Auftrag und auf Weisung des Verantwortlichen verarbeitet, um so den Schutz der personenbezogenen Daten sicherzustellen. Übrigens, wer keinen Dienstleister für den Versand von Newslettern einsetzt, sollte sich selbst ein Konzept zulegen, das gewährleistet, dass im Fall eines Widerrufs einer Einwilligung die betroffene E-Mail-Adresse auf einer sog. Blacklist landet und damit für den Versand von Newslettern gesperrt ist.

Maßnahmen, um Behörden von Datenschutzkonformität zu überzeugen
Behörden überprüfen vor allem anhand des Verarbeitungsverzeichnisses, ob ein Unternehmen datenschutzkonform agiert. Auf Verlangen der Behörde muss daher ein Verarbeitungsverzeichnis vorgelegt werden können. Man sollte übrigens nicht auf die Idee kommen, um eine Fristverlängerung zu bitten, da man damit zugibt, dass man das Verarbeitungsverzeichnis erst noch anfertige muss…

Wem es schwerfällt, den Überblick über die Verarbeitungsvorgänge zu behalten, kann eine „Verarbeitungslandkarte“ erstellen, auf der verschiedene Stationen bzw. Empfänger markiert sind, so dass die Wege und Zwecke der Verarbeitung visualisiert werden. So können die einzelnen Verarbeitungsvorgänge leichter in das Verzeichnis übertragen werden. Eine solche Landkarte sollte aber nur als Hilfestellung dienen. Behörden werden es nicht akzeptieren, wenn man ihnen nur Bildchen vorlegt.

Das Verarbeitungsverzeichnis ist zwar Arbeit, ist aber auch hilfreich, um auf Anfragen von Betroffenen zu reagieren. So können mit Hilfe des Verarbeitungsverzeichnisses schnell Auskunft erteilt und Maßnahmen getroffen werden, wenn eine betroffene Person die Berichtigung oder Löschung ihrer Daten verlangt. Zu dem Verarbeitungsverzeichnis sollten auch sämtliche Nachweise vorgelegt werden können, aus denen sich ergibt, dass man sich um Datenschutz bemüht. Das sind z.B. Unterlagen wie Verpflichtungserklärungen auf den Datenschutz für Mitarbeiter, die schriftliche Bestellung eines Datenschutzbeauftragten oder die Datenschutzfolgenabschätzungen. Wer die TOM nicht schon im Verarbeitungsverzeichnis aufgenommen hat, legt eine gesonderte Übersicht über die TOM vor.

Dauer der Anwendung
StartUps haben den Vorteil, dass sie noch keine festgefahrenen Strukturen haben, sondern von Beginn an, datenschutzkonform wachsen können. Dafür ist es wichtig, sich in regelmäßigen Abständen mit der DSGVO auseinanderzusetzen, das Verarbeitungsverzeichnis fortzuführen, zu überprüfen, ob die erforderlichen Auftragsverarbeitungsverträge geschlossen sind und zu prüfen ob weitere Maßnahmen zu treffen sind. Gegen Aufschieberitis hilft wohl nur, wenn man sich selbst DSGVO-Prüfungs-Termine setzt.

Bei anhaltenden Symptomen und Nebenwirkungen fragen Sie einen auf Datenschutz spezialisierten Rechtsanwalt.

 

Gastbeitrag von

Alexandra Milena Stojek, LL.M. – Rechtsanwältin

ARFMANN Rechtsanwaltsgesellschaft mbH