DSGVO – ein Buchstabensalat, der spätestens seit Mai 2018 allseits bekannt wurde, als man sich erst einmal sechs Wochen Urlaub nehmen musste, um alle 137 Datenschutzerklärungen zu lesen, über die man nach Wirksamwerden der Datenschutz-Grundverordnung per E-Mail informiert worden war.
Mehr als zwei Jahre später ist nun auch die letzte Gnadenfrist vorbei und die Datenschutzbehörden greifen immer öfter in die Bußgeldschublade. Kein Wunder also, dass Datenschutz-Compliance auch für Start-ups eine immer größere Rolle spielt. Denn egal ob bei einem Einstieg von Venture Capital-Investoren oder bei einem Exit: Potenzielle Bußgelder in Millionenhöhe sind ein Risiko, das sich kein Investor gerne ins Haus holt. Das gilt besonders deshalb, weil sich das Bußgeld nach Ansicht der Behörden nicht am Unternehmens-, sondern am Konzernumsatz bemisst. Ein Datenschutzverstoß im kürzlich erworbenen Start-up kann für einen Konzern also potenziell zu einem Milliardenbußgeld führen – eine rote Flagge in jeder Due Diligence. Die folgenden Tipps sollten Start-ups daher von Anfang an beherzigen, um sich im Bereich Datenschutz gut aufzustellen:
1. Dateninventur
Das A und O eines sinnvollen Datenschutzkonzepts ist das Wissen darüber, welche Daten die eigene Company überhaupt verarbeitet. Um die Datenflüsse im Unternehmen strukturiert erfassen zu können, wird also zunächst eine Dateninventur fällig. Anhand dieser Bestandsaufnahme lassen sich dann leicht diverse Pflichten aus der DSGVO erfüllen – es muss nämlich ein klares Bild bestehen, wer aus welchem Grund welche Daten erhebt, wie diese verarbeitet und wie lange sie gespeichert werden.
2. Keine Verarbeitung ohne Rechtsgrundlage
Personenbezogene Daten zu verarbeiten ist unter der DSGVO grundsätzlich verboten. Wer dennoch mit personenbezogenen Daten arbeiten möchte, braucht daher eine Ausnahmegenehmigung. Diese finden sich praktischerweise gleich im Gesetz, zum Beispiel:
- Die Betroffenen haben eingewilligt,
- die Daten sind für die Anbahnung oder Erfüllung eines Vertrages erforderlich,
- es gibt eine gesetzliche Pflicht, die Daten zu speichern (zum Beispiel aus steuerlichen Gründen),
- die Verarbeitung ist für berechtigte Interessen des Unternehmens erforderlich, die die Interessen der Betroffenen überwiegen (zum Beispiel zur Betrugsprävention).
Wann immer ein Unternehmen also Daten verarbeitet, muss es dafür eine passende Rechtsgrundlage haben. Fehlt diese, ist die Verarbeitung ein Datenschutzverstoß.
3. Klare Verantwortlichkeiten
Das Datenschutzrecht denkt in Verantwortlichkeiten. Was hilft der beste Datenschutz, wenn am Ende nicht klar ist, wer dafür verantwortlich ist? Erhebt ein Unternehmen also von seinen Kunden ihre Kontaktdaten, ist es dafür verantwortlich, dass es das auch darf und die Daten sicher sind. Kompliziert wird es, wenn die Verarbeitung durch mehrere Beteiligte erfolgt – zum Beispiel, weil das Unternehmen die Kontaktdaten in einem Cloud CRM-System speichert. Entscheidend ist dann die Frage: Wer bestimmt letztlich über die Verarbeitung? Hat das Unternehmen mit dem Cloud-Provider vereinbart, dass Letzterer die Daten nur nach den Anweisungen des Unternehmens verarbeiten darf (sogenannte Auftragsverarbeitung), bleibt das Unternehmen verantwortlich. Bestimmt der Cloud-Provider selbst, was mit den Daten passiert, kann es komplizierte Konstruktionen von mehreren Verantwortlichen geben, die entweder unabhängig voneinander oder gemeinsam verantwortlich sind. Eine klare Festlegung der Verantwortlichkeiten ist daher essenziell.
4. Saubere Dokumentation
Wer Daten verarbeitet, muss dokumentieren, was er tut – auch deshalb, weil der erste Blick des Anwalts bei einer Due Diligence in die Dokumentation fällt. Nachdem also alle Daten erfasst, eine passende Rechtsgrundlage und ein Verantwortlicher gefunden worden sind, folgt daher die Dokumentation. Grundlage dafür ist das sogenannte Verarbeitungsverzeichnis, in dem niedergelegt werden muss, welche Daten die Company zu welchem Zweck verarbeitet und wer dafür zuständig ist. Auch die Schutzmaßnahmen für die Daten müssen dokumentiert werden. Im Zweifel gilt im Datenschutz: Wer schreibt, der bleibt.
5. Sicherheitskonzept
Es klingt unglaublich langweilig und kein bisschen agil – ein gutes Sicherheitskonzept kann aber gerade in Phasen rapiden Wachstums vor gefährlichen Fehlern bewahren: Denn ein Datenleck ist in vielen Fällen meldepflichtig, das heißt, die Datenschutzbehörde und im Worst Case auch die Betroffenen müssen darüber informiert werden. Das birgt nicht nur ein Bußgeldrisiko, sondern führt oft auch zu schlechter Presse. Die Sicherheit der Daten von Anfang an mit einzuplanen ist daher von wesentlicher Bedeutung, um Datenschutzrisiken zu vermeiden.
6. Transparenz
Transparenz gehört zu den obersten Geboten im Datenschutz. Betroffene müssen verstehen, warum welche Daten von ihnen auf welche Weise verarbeitet werden. Zugleich ist Transparenz auch ein mächtiges Werkzeug, um eine Datenverarbeitung überhaupt erst zu ermöglichen: Viele Rechtsgrundlagen hängen davon ab, dass die Verarbeitung ihrer Daten von den Betroffenen erwartet oder vielleicht sogar gewünscht ist. Neben gutem Design und klarer Kommunikation kommt es dabei auch auf eine saubere Datenschutzerklärung an. Im Netz finden sich dazu zahlreiche Hilfen und Generatoren. Einige davon eignen sich hervorragend als Vorlage – eine kritische Prüfung ist bei maschinengenerierten Texten allerdings Pflicht!
7. Must- or Nice-to-have: Datenschutzbeauftragter
Eine Pflicht zur Einbeziehung eines Datenschutzbeauftragten besteht erst bei Erfüllung bestimmter Voraussetzungen – beispielsweise bei bestimmten risikobehafteten Geschäftsmodellen oder wenn sich mindestens 20 Mitarbeiter mit der Verarbeitung personenbezogener Daten befassen. Unabhängig von einer etwaigen Pflicht kann es aber durchaus hilfreich und sinnvoll sein, einen bewanderten Datenschutzexperten zur Unterstützung hinzuzuziehen.
Fazit
Natürlich enthält die DSGVO darüber hinaus noch zahlreiche weitere Pflichten und Anforderungen. Doch eine Transaktion scheitert selten an Details, sondern meistens an fehlenden Grundlagen. Solide Datenschutz-Basics sind daher die halbe Miete.
Konstantin Ewald ist Partner und Head of Tech, Media und Comms bei Osborne Clarke Deutschland. Er berät führende Unternehmen der digitalen Medien- und Softwareindustrie international in allen Fragen des digitalen Medien- und IT-Rechts sowie bei Transaktionen im Zusammenhang mit geistigem Eigentum und Technologie. Seine Tätigkeit konzentriert sich auf die Beratung in technologiebezogenen Fragen mit besonderem Schwerpunkt auf SaaS- und PaaS-Cloud-Bereitstellungsmodellen, komplexen Softwareimplementierungs- und Lizenzierungsprojekten, Vertriebsvereinbarungen und White Labeling-Strategien zum Schutz des geistigen Eigentums. Leonie Schneider ist Rechtsanwältin und Associate bei Osborne Clarke Deutschland. Sie berät nationale und internationale Unternehmen im Bereich der digitalen Medien und Software im IT-Recht, einschließlich E-Commerce und M-Commerce. Ihr Beratungsschwerpunkt liegt insbesondere auf Fragen der Regulierung von Onlineplattformen und Marktplätzen sowie der IT-/IP-rechtlichen Beratung von Unternehmen jeder Entwicklungsphase bei gesellschaftsrechtlichen Transaktionen mit besonderem Fokus auf technologiegetriebene Geschäftsmodelle und Software.