Neue EU-Datenschutz-Grundverordnung – Was Startups wissen sollten

Ab 25. Mai 2018 wird die neue EU-Datenschutz-Grundverordnung (DS-GVO) zu beachten sein. Zwei Jahren hatten Unternehmen Zeit, Ihre Geschäftsprozesse an die neuen Datenschutzvorgaben anzupassen. Jetzt ist die Schonfrist vorbei. Gerade Startups sollten diese Frist auf dem Radar haben. Rita Bottler, Datenschutzbeauftragte der IHK für München und Oberbayern, erklärt, wie sich Unternehmen für die kommende DS-GVO rüsten können.

Welche Arten von Daten sind durch die DS-GVO geschützt?

Rita Bottler, Datenschutzbeauftragte der IHK für München und Oberbayern
Rita Bottler, Datenschutzbeauftragte der IHK für München und Oberbayern. © IHK München

Alle Arten von personenbezogenen Daten (pbD) werden durch die DS-GVO geschützt und dies unabhängig davon, um welche Kategorie von Personen es geht, also ob es sich hierbei um Mitarbeiter-, Kunden- oder z. B. Lieferantendaten handelt.

Denn für die DS-GVO gilt ebenso wie für alle weiteren Datenschutzgesetze: Diese sind immer dann zu beachten, wenn Unternehmen mit sog. „personenbezogenen Daten“ umgehen. Hierunter versteht man alle Informationen, die sich direkt oder indirekt (z. B. über eine Kennung) auf einen Menschen (sog. „identifizierte oder identifizierbare natürliche Person“ bzw. „Betroffener“) beziehen lassen.

Beispiele hierfür sind: Name, Anschrift sowie Kontaktdaten von Kunden, Vertragspartnern oder Mitarbeitern, Prüfungsnoten, Kontodaten, Daten über das Kaufverhalten eines Kunden, Standortdaten, das Geburtsdatum, Bonitätsdaten.

Sind Daten nicht personenbeziehbar (z. B. anonymisierte Statistikdaten), so sind Datenschutzgesetze wie die DS-GVO nicht zu beachten.

Rechenschaftspflicht als zentrale Pflicht

Welche Grundsätze sind bei der Verarbeitung personenbezogener Daten laut DS-GVO zu beachten?

Als zentrale Pflicht wird über die DS-GVO die sog. Rechenschaftspflicht eingeführt. Dies bedeutet, dass Unternehmen in der Lage sein müssen, gegenüber Aufsichtsbehörden nachzuweisen, dass sie alle Vorgaben des Datenschutzes einhalten. Hierzu gehören auch die Datenschutzgrundsätze:

  • Rechtmäßigkeit
    • Verarbeitung von Daten auf Basis einer Rechtsgrundlage (Einwilligung oder gesetzliche Ermächtigung)
  • Verarbeitung nach Treu und Glauben
    • Zweckgebundene und verhältnismäßige Datenverarbeitung, keine Verwendung verborgener Techniken
  • Transparenz
  • Keine „heimliche“ Verarbeitung, Gewährleistung der Wahrnehmung der Betroffenenrechte
  • Zweckbindung
    • Zweckfestlegung, d. h. Verarbeitung nur für festgelegte, eindeutige und legitime Zwecke
  • Zweckbindung ieS = Verbot der Verarbeitung personenbezogener Daten in einer Weise, die mit dem Erhebungszweck unvereinbar ist.
  • Datenminimierung
    • Beschränkung auf das für den Zweck der Verarbeitung angemessene, sachlich relevante und notwendige Maß
  • Richtigkeit der Daten
    • Verbot der Erhebung oder Speicherung von falschen Daten,
    • Gebot der Aktualisierung unrichtig gewordener Daten und
  • Gebot der Löschung oder Berichtigung solcher Daten
  • Speicherbegrenzung
    • Konkretisiert Datensparsamkeit in zeitlicher Hinsicht, d. h. eine Speicherdauer ist auf das „unbedingt erforderliche Mindestmaß“ zu beschränken.
  • Regelmäßige Prüfung der Zweckerreichung!
  • Integrität und Vertraulichkeit
    • Schutz der Unversehrtheit der Daten
    • Schutz der Daten vor unbefugter Kenntnisnahme/Verarbeitung.

→ Gewährleistung durch technische und organisatorische Maßnahmen zum Schutz der Daten nach Vorgaben der DS-GVO

Wie können Startups die DS-GVO umsetzen, um im Mai keine bösen Überraschungen zu erleben?

Auch Startups sollten sich von Beginn an überlegen,

  • wie sie ihre Geschäftsprozesse datenschutzkonform gestalten und
  • wie sie dies effizient dokumentieren.

Die Rechenschaftspflicht setzt auch bei kleineren und mittleren Unternehmen ein Mindestmaß an Dokumentation voraus, um so die Einhaltung des Datenschutzes nachweisen zu können. Damit werden Unternehmen über ein Datenschutz-Managementsystem sicherstellen müssen, dass ihre Geschäftsprozesse datenschutzkonform sind.

Zu einem Datenschutz-Managementsystem gehören u. a. die Führung eines Verzeichnisses von Verarbeitungstätigkeiten, ein Vertragsmanagement, Prozesse zur Meldung von Datenpannen und zur Wahrnehmung von Betroffenenrechten, ferner die Schulung von Mitarbeitern sowie deren Verpflichtung zur Verschwiegenheit und ein Datensicherheitskonzept.

Von Stolperfallen und Verantwortung

Wo liegen aus Ihrer Sicht besondere Stolperfallen für Startup-Unternehmen?

Eine besondere Stolperfalle wäre, wenn Startups sich nicht um den Datenschutz kümmern würden. Eine derartige Handhabung wäre heutzutage sicher keinem Startup mehr zu raten. Datenschutzfragen sollten bereits in der Gründungsphase geklärt werden. Wer Produkte wie Apps und Software entwickeln möchte, sollte den Grundsatz „Datenschutz durch Technik/Technikvoreinstellung“ beachten und datenschutzkonforme Produkte herstellen. Richtig umgesetzt kann Datenschutz auch ein Marketingvorteil sein.

Worauf ist in Sachen Datenschutz zu achten, wenn ich andere Unternehmen beauftrage?

Das beauftragte Unternehmen muss auch unter Datenschutzaspekten geeignet sein. Dies gilt vor allem bei Verträgen über eine Auftragsverarbeitung. Beauftragende Unternehmen trifft hier eine Prüfpflicht. Sie dürfen nur solche Auftragsverarbeiter einsetzen, die angemessene technische und organisatorische Maßnahmen zum Schutz der Daten getroffen haben und so eine Garantie für einen ausreichenden Datenschutz bieten. Als Beleg solcher Garantien können z. B. genehmigte Verhaltensregeln des Auftragsverarbeiters oder Zertifizierungen herangezogen werden.

Wer trägt die Verantwortung, wenn es zu datenschutzrechtlichen Verletzungen kommt?

Die Verantwortung trägt das Unternehmen (sog. verantwortliche Stelle). Hierbei wird die DS-GVO die Verantwortung des Unternehmens für Datenschutzverletzungen erweitern. Denn diese werden wie bisher zur Verantwortung gezogen werden für Handlungen gesetzlicher Vertreter oder anderer Leitungspersonen des Unternehmens. Zusätzlich werden sie zudem nach DS-GVO aber auch für Handlungen eines Beschäftigten oder eines eingeschalteten externen Beauftragten die Verantwortung im Außenverhältnis gegenüber dem Betroffenen tragen.

Auch bei Auftragsverarbeitungsverhältnissen wird es neue Haftungsszenarien geben. So wird ein Auftragsverarbeiter selbst wie ein Verantwortlicher nach DS-GVO haften, wenn er gegen Weisungen des Auftraggebers verstößt und Daten des Auftraggebers für eigene Zwecke oder Zwecke Dritter verarbeitet. Neu werden zudem auch spezielle Haftungsregelungen für Auftragsverarbeiter im Falle von Datenschutzverletzungen eingeführt werden, d. h. Betroffene werden ihnen gegenüber bei Verstößen direkt Schadensersatzforderungen geltend machen können.

Weitere Informationen zum Thema EU-Datenschutz-Grundverordnung

Wo finde ich weitere Informationen und Hilfestellungen zum Thema Datenschutz?

Umfangreiche Informationen zur DS-GVO finden Sie auf unserer Homepage unter https://www.ihk-muenchen.de/datenschutz/    und www.ihk-muenchen.de/datenschutz-kmu.

Ferner werden wir im Frühjahr eine Informationsveranstaltung zur DS-GVO für Unternehmen anbieten. Den Termin werden wir über unsere Homepage veröffentlichen.

Auch auf der Homepage des Bayerischen Landesamtes für Datenschutzaufsicht gibt es zahlreiche Hinweise zur DS-GVO (Kurzpapiere der Deutschen Datenschutzkonferenz und Kurzpapiere des Bayerischen Landesamtes für Datenschutzaufsicht sowie ein Muster für einen Vertrag über Auftragsverarbeitung). Ferner bietet das Bayerische Landesamt für Datenschutzaufsicht auf seiner Homepage für eine erste Selbsteinschätzung einen Onlinetest für Unternehmen an.

Das Bayerische Landesamt für Datenschutzaufsicht hat über den Beck Verlag unter dem Titel „Erste Hilfe zur Datenschutz-Grundverordnung für Unternehmen und Vereine – Das Sofortmaßnahmen-Paket“ eine gute Handreichung herausgegeben, die zum Preis von 5,50 € im Buchhandel erhältlich ist. Es enthält u. a. Muster und Checklisten.