1 2

Mittelstand Deutschland - BLOG
Datenschutz für Start-ups – Das müssen junge Unternehmen beachten – inklusive Checkliste
Autor: Sabrina Hörmann, DataGuard | Datenschutz für Unternehmen
Datum: 14.02.2021
Kategorie: Digitalisierung & Social Media
Teilen...  
Link bei facebook teilen :) Link bei twitter teilen :) Link bei XING teilen :) Link bei LinkedIn teilen :)

Lesen Sie, worauf es ankommt und nutzen Sie unsere Checkliste für Gründer.

Die Gründung von Unternehmen gleicht zuweilen einer Phase jugendlichen Übermuts: Ideen gibt es im Überfluss und plötzlich erwachen auch die Kräfte, diese in die Tat umzusetzen. Dass vermeintlich lästige Themen wie der Datenschutz von Start-ups zunächst beiseitegeschoben werden, erscheint da nur natürlich. Doch Unachtsamkeit am Anfang kann sich rächen. Umgekehrt profitiert auf lange Sicht, wer schon zu Beginn an den Datenschutz denkt. Das Wichtigste in Kürze haben wir für Sie vorab zusammengefasst:

  • Gründer müssen sich schon in der Seeding-Phase mit dem Datenschutz vertraut machen.
  • die frühzeitige Benennung eines Datenschutzbeauftragten ist in jedem Fall ratsam – unabhängig davon, ob Sie dazu gesetzlich verpflichtet sind.
  • Um die gesetzlichen Anforderungen umzusetzen, dokumentieren Sie Ihre Arbeitsprozesse.
  • Achten Sie darauf, dass auch Ihre IT von Anfang an datenschutzkonform eingerichtet ist.
  • Wenn Sie eigene Produkte wie Apps oder Online-Shops entwickeln, müssen Sie der Grundregel „Privacy by Design“ folgen.
  • Internationale Expansion bringt neue und komplexe Herausforderungen im Datenschutz mit sich. Holen Sie sich das entsprechende Know-how ins Boot.
  • Suchen Sie nach einem Datenschutz-Dienstleister, der Ihnen in den unterschiedlichen Unternehmensphasen die passende Expertise bietet.

Datenschutz für Start-ups: Grundsätzliche Überlegungen

Einen Welpenschutz für Start-ups gibt es nicht. Der Datenschutz betrifft neue und kleine Unternehmen genauso wie große, etablierte. Er greift, sobald es zu einer Verarbeitung personenbezogener Daten kommt. Da jedes Unternehmen Kunden und Mitarbeiter hat und zumeist Dienstleister und Lieferanten im Spiel sind, ist eine unternehmerische Tätigkeit ohne Datenschutzaspekt schlicht nicht vorstellbar.

Kurz gesagt: Jeder, der am Markt teilnimmt, muss von Anfang an die Datenschutz-Grundverordnung (DSGVO) beachten. Anfängliche Versäumnisse erfordern später aufwendige Anpassungsprozesse, können hohe Bußgelder bedeuten und im Extremfall die gesamte Unternehmenstätigkeit gefährden.

Teil 1: Datenschutz in der Gründungsphase

Planung: Was ist beim Datenschutz schon vor der Gründung zu beachten?

Das Unternehmen muss von Anfang an datenschutzkonform mit den Daten umgehen, die es von Kunden, Beschäftigten und Lieferanten bekommt – am besten schon in der Seeding-Phase. Gerade Gründer von Tech-Start-ups erliegen oft einem Trugschluss: Es reicht nämlich nicht, eine sichere IT mit hohem technischem Standard zu haben. Auch in den Prozessen und der Organisation ist der Datenschutz umzusetzen.

Checkliste: So agieren Unternehmen von Anfang an im Sinne des Datenschutzes:

  • Im ersten Schritt sollte sich jedes Gründerteam Basiskompetenzen zum Datenschutz aneignen. Es ist wichtig zu verstehen, dass es sich beim Datenschutz um ein Regelwerk zum Schutz personenbezogener Daten von Kunden, Mitarbeitern und Geschäftspartnern handelt.
  • Schon während der Planung und Entwicklung zahlt es sich aus, die unternehmerischen Prozesse zu dokumentieren und dabei die Verarbeitung personenbezogener Daten besonders im Auge zu behalten.
  • Sobald das Unternehmen als Organisation konkretere Formen annimmt, stellen sich weitere Fragen in Bezug auf die Arbeitsprozesse der Mitwirkenden:
    • Wie wird in Vertrieb, Personalwesen, Finanzen, Einkauf und IT mit personenbezogenen Daten gearbeitet?
    • Wie werden Daten zwischen den Mitarbeitern ausgetauscht?
    • Welche Arbeitsgeräte werden genutzt? Nutzen Mitarbeiter z. B. private Rechner und Smart Devices für die Kommunikation?
    • Wird im Homeoffice gearbeitet und gibt es für diesen Fall ein VPN?
    • Spielen Cloud-Dienste eine Rolle?
  • Auch eine Website wird oft schon vor der Gründung gelauncht und bringt eigene Datenschutzproblematiken mit sich:
    • Wurde eine rechtssichere Datenschutzerklärung erstellt?
    • Werden Cookies rechtskonform eingesetzt?
    • Wird der Datenschutz bei der Kundenkommunikation über die Website befolgt?

Die Checkliste können Sie auch hier herunterladen.

Kundengewinnung: Dürfen Start-ups Kaltakquise betreiben?

Da die Gewinnung erster Kunden für die meisten Start-ups so wichtig ist, laufen viele Vertriebsaktivitäten schon frühzeitig an. Bei der Kaltakquise, die für Start-ups höchst attraktiv ist, müssen sie u.a. die Bestimmungen zu Einwilligungen beachten. Darüber hinaus können Wettbewerbsvorschriften (§ 7 UWG) eine Rolle spielen, denn: Der kontaktierte Kunde darf nicht in unzumutbarer Weise belästigt werden. Wichtig ist auch, dass der Kunde bei Kontaktaufnahme gemäß den Bestimmungen der DSGVO informiert wird. Hierzu kann Ihnen ein erfahrener Datenschutzbeauftragter wertvolle Hinweise geben.

Der Datenschutzbeauftragte: Braucht mein Start-up einen?

Die DSGVO schreibt die Benennung eines Datenschutzbeauftragten grundsätzlich erst vor, wenn mindestens 20 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind. Werden aber sensible Daten mit dem Ziel verarbeitet, z. B. Bonitäts- oder Gesundheitsprofile zu erstellen, dann entfällt diese Grenze. Solche Start-ups benötigen also grundsätzlich immer einen Datenschutzbeauftragten.

Welche Risiken herrschen in der Finanz- und Gesundheitsbranche?

Nehmen wir an, einem HealthCare-Start-up kommen Patientendaten abhanden. Oder einem Fintech-Unternehmen werden Konto- und Finanzdaten seiner Kunden entwendet. Wenn solche hochsensiblen Daten in falsche Hände gelangen, kann es ihre Kunden stark kompromittieren. Daher müssen nicht nur Firmen im Finanz- und Gesundheitssektor ein besonders hohes Datenschutzniveau gewährleisten. Ein Datenschutzbeauftragter leistet hier wertvolle Hilfe.

Unterm Strich ist die frühzeitige Benennung eines Datenschutzbeauftragten ratsam. Denn die Vorschriften der DSGVO sind unbedingt zu beachten. Jedes Unternehmen ist gut beraten, sich in jedem Fall datenschutzrechtliche Kompetenzen zu holen, um damit ein erhöhtes Kundenvertrauen zu gewinnen und Bußgeldern aus dem Weg zu gehen.

Teil 2: Das Unternehmen wächst – die Growth-Phase

Welche Anforderungen an den Datenschutz kommen mit dem Unternehmenswachstum dazu?

Eine wachsende Organisation bringt die folgenden neuen Aspekte mit sich:

  • Mitarbeiter- und Bewerberdaten: Sobald das Personalwesen einsetzt, werden auch hier verschiedene Daten erfasst und verarbeitet, die ausreichend geschützt werden müssen. Das betrifft übrigens nicht nur die Daten von Bewerbern und aktuellen Mitarbeitern. Hier sei zu beachten, dass nicht nur die Daten des ausscheidenden Mitarbeiters, sondern auch der abgelehnten Bewerber nach einer bestimmten Frist gelöscht werden müssen.
  • Spätestens ab einer Anzahl von 20 Mitarbeitern, die ständig mit personenbezogenen Daten zu tun haben, ist die Benennung eines Datenschutzbeauftragten verpflichtend. Als Unternehmen haben sie hier zwei Möglichkeiten: Sie benennen einen internen Mitarbeiter oder Sie bedienen sich eines externen Spezialisten.
  • Mit dem Wachsen der Organisation stellen sich neue Herausforderungen an den Datenschutz. Hierbei kann Ihnen ein erfahrener Datenschutzbeauftragter mit Rat und Tat zur Seite stehen.

Können Fehler aus der Gründungsphase noch ausgebügelt werden?

Schwer zu beheben sind vor allem frühe Versäumnisse beim technischen Datenschutz. Nehmen wir z.B. ein Start-up, das schon vor der Gründung den Prototyp einer App entwickelt hat, die personenbezogene Daten erfassen kann. Dabei wurden die Datenschutzaspekte bei der Entwicklung nicht bzw. nur unzureichend beachtet. Laut der Datenschutzprinzipien ,,Privacy by Design“ und ,,Privacy by Default“ muss das Produkt aber so gestaltet sein, dass der Datenschutz bereits in den Grundeinstellungen umgesetzt wird.

Wird nun der Prototyp zum Kern des marktfähigen Produkts, dann nimmt das Unternehmen die Datenschutzproblematik mit in die Wachstumsphase und steht früher oder später vor der Frage: nachbessern oder neu entwickeln? Mangelnder Datenschutz im Produkt sollte also von Anfang an verhindert werden.

Weitere datenschutzrechtliche Probleme aus der Gründungsphase betreffen Software- und Hardwarelösungen sowie technisch-organisatorische Maßnahmen im Unternehmen. So kann die lokale Speicherung personenbezogener auf einem PC oder Laptop datenschutzkonforme Löschung unmöglich machen, was zu einem Datenschutzverstoß führen kann. Hier ist ein prüfender Blick durch die Datenschutzbrille unabdingbar.

Teil 3: Datenschutz in der Expansionsphase

Was müssen Start-ups bei der internationalen Expansion beachten?

Besonders digitale Unternehmen, die erfolgreich auf ihrem Heimatmarkt gestartet sind, streben schnell nach neuen internationalen Märkten. Eine solche Expansion wirkt sich auch auf den Datenschutz aus. Das Start-up muss auch in diesem Fall die Vorschriften der DSGVO beachten und sich zugleich mit den örtlichen Gegebenheiten befassen. Daraus entstehen neue rechtliche Fragen. Unternehmen, die diesen Prozess durchlaufen, sind gut beraten, hierzu externe Kompetenz einzubinden.

Junge Unternehmen trifft bei der Datenweitergabe an Drittländer der gleiche Umfang an Verpflichtungen wie etablierte internationale Konzerne. Hier sei zu beachten, dass für entsprechende Vereinbarungen (Auftragsverarbeitungsverträge) sowie zusätzliche Garantien (wie z. B. Standarddatenschutzklauseln – SCC) gesorgt wird. Das trifft auch auf ihre Tochtergesellschaften in Drittländern zu.

Bei dem Thema Datenhosting bieten große Anbieter von weltweiten Cloud-Services deutlich niedrigere Preise als EU-Anbieter an. Auch hier knüpft die DSGVO die Speicherung personenbezogener Daten außerhalb der EU an strenge Vorgaben.

Was passiert, wenn jetzt gravierende Fehler sichtbar werden?

Spätestens wenn externe Geldgeber oder Großkunden angesprochen werden, kommt das Thema Datenschutz auf den Tisch. Das Start-up muss seine DSGVO-Konformität klar und lückenlos belegen können. Werden Lücken und Versäumnisse erkennbar, verzögert sich oft durch langwierige und teure Nachbesserungen der Vertragsschluss. Oft steht auch das ganze Geschäft infrage.

Nehmen wir als Beispiel ein etabliertes Großunternehmen aus der Gesundheits- oder Chemiebranche, dass seine Innovationsfähigkeit erweitern sowie neue Märkte und Kundensegmente erschließen möchte. Zu diesem Zweck möchte es ein Start-up akquirieren. Dabei spielt auch der Erwerb von Kundendaten eine wichtige Rolle.

Der Kaufkandidat wird nun u. a. auf Datenschutzfragen hin geprüft. Wenn aber personenbezogene Daten nicht im Einklang mit der DSGVO verarbeitet wurden, bleibt die Datenverarbeitung dem Kaufinteressenten verwehrt. Es besteht sogar das Risiko, dass das Großunternehmen durch die Rechtsverstöße des Start-ups in die Haftung eintritt. Bei der Due-Diligence-Prüfung wird auch auf die Datenschutzkonformität des Start-ups geachtet.

Welche Chancen bietet der Datenschutz Gründern?

Versäumnisse im Datenschutz führen zu unkalkulierbaren Risiken für Unternehmen. Wenn von Anfang an ein hohes Datenschutzniveau umgesetzt wird, entstehen strategische Vorteile:

  • Kunden erwarten heute einen korrekten und transparenten Umgang mit ihren Daten. Guter Datenschutz kann dadurch zum Marketingargument werden.
  • In der Zusammenarbeit mit großen Firmen wird durch eine gut verlaufene Überprüfung beim Datenschutz viel Vertrauen aufgebaut – bis hin zur Ausweitung der Umsätze.
  • Bei Unternehmenskäufen oder dem Einstieg von Investoren entfällt der Datenschutz als Stolperstein und als Verzögerungsfaktor.

Fazit: Was bringt guter Datenschutz Start-ups unterm Strich?

Das Thema Datenschutz mag jungen Unternehmen zunächst als große Hürde erscheinen. Wenn es Start-ups aber gelingt, ein hohes Datenschutz-Niveau zu realisieren, dann überwiegen später die Vorteile bei Weitem. Denn eine gut umgesetzte DSGVO-Konformität vermeidet Risiken und eröffnet Start-ups Chancen bei Kunden, Partnern und Investoren.

Dabei wird Datenschutzkompetenz in allen Phasen der Unternehmensentwicklung gefordert. In der Seeding-Phase geht es vor allem um technischen Datenschutz in Form einer sicheren IT und um ein Produktdesign, das den Datenschutz berücksichtigt. Im weiteren Verlauf wird die Beratung an die individuellen Prozesse des Unternehmens angepasst. Gute Datenschutzanbieter unterstützen Start-ups bei der lückenlosen Umsetzung des Datenschutzes – und das in jeder Phase.

Kontakt:
Als Mitglied des BVMW München können Sie jederzeit eine kostenlose und unverbindliche Erstberatung durch einen Datenschutzspezialisten bei DataGuard in Anspruch nehmen. Kontaktieren Sie dafür bitte Sabrina Hörmann unter
Tel.: +49 89 210 944 63
Email: shoermann@dataguard.de