Obwohl die Datenschutz-Grundverordnung (DSGVO) bereits seit dem 25.5.2018 in Geltung ist, gibt es vor allem für Start-ups in Bezug auf den Datenschutz immer wieder offene Fragen, die es zu klären gilt. Folgende Gedanken sollten sich Start-up-Gründer und Unternehmer machen, um bestmöglich für das oftmals irreführende Thema Datenschutz gewappnet zu sein:

1. Verarbeitet mein Unternehmen überhaupt personenbezogene Daten?

2. Zu welchen Zwecken verarbeitet mein Unternehmen personenbezogene Daten?

3. Wer sind die Empfänger und warum erhalten diese personenbezogene Daten?

4. Welche Prozesse, die in Zusammenhang mit dem Datenschutz stehen, gibt es in meinem Unternehmen?

5. Dokumentiert mein Unternehmen Datenverarbeitungsprozesse (richtig)?

 

1. Verarbeitet mein Unternehmen überhaupt personenbezogene Daten?

Um mit Datenschutz im Sinne der DSGVO einen Berührungspunkt zu haben, muss man sich als Unternehmen die Frage stellen, ob man überhaupt personenbezogene Daten verarbeitet. Rechtlich wird nämlich zwischen personenbezogenen und anonymisierten Daten unterschieden, welche in unternehmerischen Prozessen anders behandelt werden. Personenbezogene Daten sind alle Informationen, die sich auf identifizierte oder identifizierbare natürliche Personen beziehen; wenn eine Person also mittels Kennung wie beispielsweise dem Namen oder Standortdaten konkret zugeordnet werden kann. Bei anonymisierten Daten hingegen ist das nicht möglich, weshalb man bei der Verwendung und Verarbeitung dieser Daten aus der DSGVO herausfällt. Ist es also überhaupt notwendig für mein Unternehmen, personenbezogene Daten zu verarbeiten, oder kann ich mir das Leben mit anonymisierten Daten einfacher gestalten?

 

2. Zu welchen Zwecken verarbeitet mein Unternehmen personenbezogene Daten?

Die Verarbeitung von personenbezogenen Daten ist nur dann zulässig, wenn eine entsprechende Rechtfertigung vorliegt: Hat der Betroffene in die Verwendung seiner Daten eingewilligt? Ist die Verarbeitung für die Erfüllung eines konsensualen Vertrages oder rechtlicher Verpflichtungen notwendig? Oder dient die Verarbeitung lebensnotwendiger oder öffentlicher Interessen? Das zeigt, dass nicht für jede Datenverarbeitung eine Einwilligung der betroffenen Person eingeholt werden muss – ganz im Gegenteil: Das kann auch nachteilig sein, denn Einwilligungen müssen jederzeit widerrufen werden können, womit die Verwendung der Daten unterlassen werden muss.

 

3. Wer sind die Empfänger und warum erhalten diese personenbezogene Daten?

Zwei Akteure spielen bei der Verarbeitung von personenbezogenen Daten eine wichtige Rolle: Verantwortliche entscheiden über den Zweck der Verwendung, wohingegen Auftragsverarbeiter die Daten selbst auf Anweisung der Verantwortlichen verarbeiten. Diese Unterscheidung ist wichtig, um klare Grenzen der Aufgabenbereiche zu definieren und natürlich werden dadurch auch Rechte und Pflichten der einzelnen Agierenden statuiert. Sofern der Empfänger von personenbezogenen Daten in einem Drittstaat, also Staaten, die nicht der Europäischen Union angehören, ansässig ist, müssen besondere Regelungen beachtet werden.

 

4. Welche Prozesse, die in Zusammenhang mit dem Datenschutz stehen, gibt es in meinem Unternehmen?

Wenn ein Unternehmen personenbezogene Daten verarbeitet, sind zwei Prozesse in diesem Zusammenhang schlagend: Data Breach und Betroffenenanfragen. Bei Data Breach, auch Datenpanne genannt, kommt es zum Verlust der Kontrolle über Daten. Man unterscheidet im Einzelfall zwischen meldepflichtigen Vorfällen und solchen, die nur zu dokumentieren sind. Betroffenenanfragen werden immer häufiger, weil dem Verbraucher durch die DSGVO ein weitreichendes Auskunftsrecht eingeräumt wurde. Diese Prozesse sollten bestmöglich automatisiert ablaufen, damit etwaige Probleme schnell abgehandelt werden können. Dabei helfen beispielsweise klare Guidelines, vorgefertigte Muster-Antwortschreiben und besonders geschultes Personal.

 

5. Dokumentiert mein Unternehmen Datenverarbeitungsprozesse (richtig)?

Jeder Verantwortliche und jeder Auftragsverarbeiter muss ein Verzeichnis über alle Prozesse der Datenverarbeitung führen, welches als Datenverarbeitungsverzeichnis bezeichnet wird. Es ist schriftlich, auch in elektronischer Form, dauernd und fortlaufend zu führen. Generell gilt es, das Thema Datenschutz ernst zu nehmen, denn es drohen Strafen von bis zu 20 Millionen € oder 4 % des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens, je nachdem, welche dieser beiden Summen höher ist.