Das 1×1 des Datenschutzes für Start-ups

Bereits vor der Gründung begleitet ein Thema viele Start-ups mit komplexen und vielschichtigen Fragen: das Thema Datenschutz. Daten werden an vielen Stellen gesammelt, verarbeitet oder ausgewertet – seien es Daten der Kunden, der Leser oder der Mitarbeiter. Wie die personenbezogenen Daten am besten zu schützen sind und warum ein gutes Datenschutzkonzept ein großer Wettbewerbsvorteil bei Pitches und im Gespräch mit Mittelständlern sein kann, erklärt eco – Verband der Internetwirtschaft e.V. im Gastartikel.

Privacy by Design: Datenschutz von Anfang an

Schon in der Seeding-Phase der Produkte und Dienstleistungen müssen Start-ups datenschutzrechtliche Aspekte mitdenken. „Dazu können Unternehmen technische Maßnahmen wie beispielsweise einen Passwort-Manager, eine starke Firewall oder eine Alarmanlage für ihre Server einsetzen“, erklärt Clarissa Benner, Syndikus-Rechtsanwältin bei eco – Verband der Internetwirtschaft. Auch organisatorische Maßnahmen, wie die Freigabe von Daten an bestimmte Mitarbeiter oder Datenschutzschulungen verbessern den unternehmensinternen und einheitlichen Umgang mit Daten.
Mit der Einführung der Datenschutzgrundverordnung (DSGVO) hat sich in der gesamten EU ein hoher Datenschutzstandard etabliert. Insgesamt gilt der Grundsatz der Datensparsamkeit: Daher dürfen nur die Daten erhoben und verarbeitet werden, die für den jeweiligen Zweck wirklich erforderlich sind.

Mitarbeiter und Bewerber: Datenschutz der wertvollsten Ressource

Personenbezogene Daten von Mitarbeitern und Kollegen gelten als (besonders) schützenswert. Arbeitsverträge und Gehaltsabrechnungen sind natürlich vertraulich und verschlüsselt zu verwahren – wenn sie noch analog vorliegen, sollten sie in einem abschließbaren Schrank gelagert werden.
„Daten von Bewerbern dürfen maximal sechs Monate gespeichert werden“, erläutert Benner die Gesetzeslage durch die DSGVO. Anschließend sind sie zu löschen. Außerdem müssen die Bewerber informiert werden, welche Daten erhoben werden und was mit ihnen geschieht. Auch über ihr Widerrufsrecht sollte das Unternehmen die Bewerber in diesem Zuge aufklären. Es kommt immer wieder vor, dass es für eingereichte Bewerbungen keine Kapazitäten gibt. Wenn eine Bewerbung vielversprechend ist und für einen späteren Zeitpunkt in das Bewerbungspool aufgenommen werden soll, braucht das Start-up eine diesbezügliche Einwilligung zur Speicherung der Daten.

Datenschutz im Büroalltag

Auch im Alltag gibt es einige Tipps, um wichtige Daten und Firmeninterna zu schützen. Ein Laptop mit Sperrbildschirm, der Passwort-geschützt ist, gehört zum Beispiel dazu. Wenn ein Büro mit mehreren Räumen zur Verfügung steht, sollte es außerdem einen Empfang für Gäste, Kunden und Geschäftspartner geben, damit sie nicht unbegleitet durch die Büroräume gehen können. Fällt der Empfang durch ein shared office oder kleines Büro weg, ist der Arbeitsplatz durch einen Sicht- oder Schallschutz von neugierigen Blicken abzuschirmen.

Webseite und Newsletter nach DSGVO: Datenschutz in der Kundenkommunikation

Jede Webseite braucht eine Datenschutzerklärung nach Artikel 13 der DSGVO, in der die Nutzer unter anderem über das Sammeln personenbezogener Daten, das Recht auf Auskunft, das Widerrufsrecht oder auch das Beschwerderecht informiert werden. Dazu gibt es viele Beispiele und Vorlagen im Internet.
In einem Cookie-Banner müssen die Nutzer zudem über alle verwendeten Cookies, Tracking- und Retargeting-Pixel aufgeklärt werden. Die Nutzer können im Banner selbst auswählen, welche Daten bei ihrem Besuch auf der Website gesammelt werden dürfen. Diese Einwilligung müssen sie jederzeit widerrufen können.

Auch im Newsletter ist die Datenschutzerklärung und ein Hinweis zur Abbestellung zu verlinken. „Die Anmeldung der Leser sollte immer über das Double Opt-in Verfahren erfolgen, um ihr Einverständnis für den Newsletter nochmals zu verdeutlichen“, rät Clarissa Benner.

Die DSGVO verpflichtet jedes Unternehmen seine Kundendaten zu schützen und Kunden darüber zu informieren, welche Daten gespeichert werden und wann sie gelöscht werden. Mitarbeiter, die an einer datenverarbeitenden Stelle arbeiten, müssen diese Löschprozesse kennen und wissen, wie sie mit Löschanfragen umgehen sollen. Darüber hinaus ist es in vielen Fällen wichtig und hilfreich, die Beratung eines Datenschutzbeauftragten in Anspruch zu nehmen.

Ab wann muss ich einen Datenschutzbeauftragten benennen?

Wenn mehr als 20 Mitarbeiter die Verarbeitung personenbezogener Daten betreuen, brauchen Unternehmen nach dem Bundesdatenschutzgesetz (§ 38) und der DSGVO einen Datenschutzbeauftragten. Um einen Mitarbeiter als Datenschutzbeauftragten zu benennen, braucht er rechtliches Fachwissen aus einem Lehrgang und vertiefende Datenschutzkenntnisse.

Der interne Datenschutzbeauftragte sollte keine Position in der oberen Management-Ebene haben. Arbeitet er im Start-up zum Beispiel als Geschäftsführer oder Head of IT, könnte es nämlich zu einem Interessenskonflikt der beiden Rollen kommen. Da der Lehrgang und die rechtliche Einarbeitung intensiv und zeitaufwendig sein können, beauftragen viele Unternehmen einen externen Datenschutzbeauftragten.

Service: eco externer Datenschutzbeauftragter

Einen externen Datenschutzbeauftragten können Start-ups zum Beispiel beim eco – Verband der Internetwirtschaft e.V. beauftragen. „In einem internen Datenschutzaudit wird überprüft, ob die Produkte, Dienstleistungen und unternehmensinternen Prozesse den datenschutzrechtlichen Bestimmungen der DSGVO und des Bundesdatenschutzgesetzes entsprechen“, erklärt Clarissa Benner, die als Syndikus-Rechtsanwältin auf Datenschutz spezialisiert ist. Zusätzlich bietet der eco auch Workshops für Mitarbeiter und Management zum Thema Datenschutz an. Je nach den Bedürfnissen des Start-ups kann gemeinsam ein Datenschutzkonzept erarbeitet werden. Für viele Produkte oder Dienstleistungen ist auch eine Beratung durch einen Datenschutzbeauftragten sinnvoll, zum Beispiel wenn ein Start-up Gesundheitsdaten verarbeitet.

Welche Vorteile hat ein Datenschutzkonzept?

Ein Datenschutzkonzept bringt viele Vorteile für Start-ups: Darin sind alle Prozesse, bei denen Daten gesammelt, verarbeitet oder ausgetauscht werden, übersichtlich dargestellt. Die Dokumentation dient einerseits den Mitarbeitern zur Orientierung. Andererseits kann ein ausführliches Datenschutzkonzept bei einer Kontrolle durch die Datenschutzbehörde Gold wert sein. Damit sichern sich Unternehmen rechtlich ab und legen ganz einfach dar, dass sie alle Daten DSGVO-konform verarbeiten. Außerdem schützen sie sich vor Bußgeldern, denn die deutschen Datenschutzbehörden schrecken seit dem vergangenen Jahr nicht mehr vor hohen Strafen zurück.

Obwohl ein solches Datenschutzkonzept viel Arbeit, Fleiß und Gehirnzellen erfordern, bringt es einen enormen Wettbewerbsvorteil. Start-ups können mit einem Datenschutzkonzept für sich werben und so bei Pitches mit Fachwissen und einem austarierten Konzept punkten. In Verkaufsgesprächen mit Mittelständlern beweisen sie durch ein detailliertes Konzept, dass ihr Produkt oder ihre Dienstleistung marktreif ist, in die Praxis umgesetzt werden kann und am Markt besteht.

Über eco – Verband der Internetwirtschaft

Mit über 1.100 Mitgliedsunternehmen ist eco der größte Verband der Internetwirtschaft in Europa. Seit 1995 gestaltet eco maßgeblich das Internet, fördert neue Technologien, schafft Rahmenbedingungen und vertritt die Interessen seiner Mitglieder gegenüber der Politik und in internationalen Gremien. eco setzt sich für ein freies, technikneutrales und leistungsstarkes Internet ein. Mit dem Service eines externen Datenschutzbeauftragten unterstützt eco seine Mitglieder und fördert eine rechtskonforme Datenverarbeitung bei kleinen und mittelständischen Unternehmen. Eco und SalsUp sind Medienkooperationspartner und fördern die Vernetzung von Start-ups und IT-Unternehmen.