DSGVO Compliance - Datenschutz richtig umsetzen
DSGVO & Datenschutz
Hi und herzlich willkommen zum Blog-Thema “DSGVO Compliance - Datenschutz richtig umsetzen". In diesem Beitrag erkläre ich Dir, wie Du Dein Startup und Deine Lösungen DSGVO-konform aufbaust und Deine Verträge datenschutzsicher gestaltest. Darüber hinaus gebe ich Dir viele weitere nützliche Informationen rund um Deine Fragen zum Thema Datenschutz im Startup. Viel Spaß beim Lesen!
Ist das Thema Datenschutz für Startups relevant?
Ja, absolut! Um Bußgelder, Abmahnungen und Schadensersatzforderungen oder andere negative Konsequenzen zu vermeiden, solltest Du schon bei der Gründung Deines Startups das Thema Datenschutz, insbesondere also die DSGVO, auf dem Schirm haben. Warum das so ist, erkläre ich Dir hier.
Am Anfang Deines Startups steht Deine Idee, also bspw. die Software oder die App oder die Plattform, die Du entwickeln willst. Schon an dieser Stelle musst Du das Thema Datenschutz beachten. Denn die DSGVO schreibt vor, dass jede Software so entwickelt werden muss, dass sie möglichst datenschutzfreundlich ist und bestmöglich nur so viele Daten erhebt, wie sie für ihre Funktionsfähigkeit auch braucht. Du solltest also jeden Entwicklungsschritt an diesen Kriterien ausrichten.
Wenn es in die Ausgestaltung der Verträge für Deine Kunden geht, wird die Einhaltung des Datenschutzes gemäß der DSGVO sogar noch relevanter. Als Anbieter von SaaS Anwendungen, Softwareprodukten und Apps bist Du nämlich sehr oft sog. Auftragsverarbeiter im Sinne der DSGVO. Auftragsverarbeiter heißt, dass Du personenbezogene Daten im Auftrag Deiner Kunden mittels Deiner Lösung verarbeitest. Wenn das auf Dich und Dein Startup zutrifft, dann musst Du einen Auftragsverarbeitungsvertrag (AVV) mit Deinen Kunden schließen. Hierin regelst Du dann u.a., dass sämtliche Verarbeitungsvorgänge Deiner Lösung so sicher sind, dass die personenbezogenen Daten Deiner Kunden nicht gefährdet werden. Beispielsweise stellst Du im Auftragsverarbeitungsvertrag also die Verschlüsselung von Datenträgern, die Möglichkeit von Kontrollen oder auch Berechtigungskonzepte in Deinem Team dar. So können sich Deine Kunden vergewissern, dass sie Deine Lösung guten Gewissens unter Einhaltung der DSGVO buchen können.
Weiterhin musst Du darauf achten, dass Dein Startup in jeder Oberfläche, über die es mit Deinen Kunden kommuniziert, also etwa auf Websites, in der SaaS Lösung oder auch in Apps, die Vorgaben der DSGVO beachtet. Jede Oberfläche muss bspw. eine Datenschutzerklärung haben. Darin erklärst Du, was Du mit den Daten machst, die Deine Nutzer in Kontaktformularen eingeben oder die Du selbst durch Tracking- und Analysetools erhebst. Sämtliche Datenerhebungen und -verarbeitungen, die nicht für die Funktionsfähigkeit Deiner Lösung notwendig sind, dürfen nur aktiviert werden, wenn Dein Nutzer seine aktive Einwilligung, also sein Opt-In gibt. Das kennst Du sicher aus dem Consent Banner, der schon auf allen Websites beim ersten Besuch eingeblendet wird. Hier kann der Nutzer entscheiden, welche Tools er zulassen will und welche nicht. Das ist auch wichtig für Deine Oberfläche, wenn Du Tools nutzen solltest, die nicht bloß der Funktionsfähigkeit Deiner Lösung dienen.
Gibt es DSGVO “Must-Haves” für mein Startup?
Es ist nicht ganz einfach “Must-Haves” also die DSGVO-Mindeststandards zu bestimmen, die für jedes Startup zutreffen. Denn jedes Startup und dessen Lösungen sind unterschiedlich. Das führt auch dazu, dass bei jedem Startup unterschiedliche DSGVO-Standards zu beachten sind. Ich habe trotzdem einmal versucht, zusammenzufassen, was für Dich und Dein Startup quasi immer wichtig ist.
Datenschutzerklärung und Consent Banner: Wie oben schon beschrieben, brauchst Du für jede Oberfläche, die Du für die Kommunikation mit Deinen Nutzern verwendest, eine Datenschutzerklärung und möglicherweise auch einen (Cookie-) Consent Banner. Schau hierzu einmal oben zu den Voraussetzungen.
Auftragsverarbeitungsverträge: Wenn Du mit Deiner Lösung Auftragsverarbeiter bist, dann musst Du mit Deinen Kunden einen Auftragsverarbeitungsvertrag schließen. Schau auch hierzu einmal weiter oben zu den Voraussetzungen.
Datenschutzbeauftragter: Sollte Deine Lösung sehr viele personenbezogene Daten, insbesondere sensible personenbezogene Daten, wie etwa Gesundheitsdaten, Daten über politische Meinungen oder auch ethnische Daten verarbeiten, dann kann es gut sein, dass Du verpflichtet bist einen Datenschutzbeauftragten zu bestellen. Einen Datenschutzbeauftragten solltest Du auch dann bestellen, wenn Du 20 oder mehr Mitarbeiter hast. Das ist aktuell die Vorgabe des Gesetzgebers. Der Datenschutzbeauftragte hat die Aufgabe, den Umgang Deines Startups mit personenbezogenen Daten zu beaufsichtigen und zu kontrollieren. Der Datenschutzbeauftragte darf also nicht Mitglied der Geschäftsleitung sein und auch nicht der IT-Leiter Deines Startups, etwa Dein CTO. Denn sonst würde er sich ja quasi selbst kontrollieren. Und das geht nicht.
Dokumentation: Du solltest die wesentlichen Verarbeitungsvorgänge, die Dein Startup in Bezug auf personenbezogene Daten vornimmt, dokumentieren. Du solltest also ein Verzeichnis, bspw. also eine Excel-Liste oder ein einfaches Word-Dokument anlegen, in das Du die verschiedenen Maßnahmen und Schritte aufschreibst, wie Du mit personenbezogenen Daten umgehst. Zugegeben, das ist nicht ganz einfach zu erklären. Der Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI) hat hierzu eine Vorlage erstellt, die Du hier einsehen kannst.
Mitarbeiter & Datenschutz: Du solltest zudem alle Deine Mitarbeiter auf die Einhaltung der DSGVO verpflichten. Dazu solltest Du eine Zusatzvereinbarung zum Arbeitsvertrag erstellen, in der Du Deine Mitarbeiter für die Einhaltung der DSGVO sensibilisierst, sie aufklärst und von Ihnen durch ihre Unterschrift Ihr Bekenntnis zur Einhaltung sämtlicher Pflichten verlangst. Andersherum musst Du als Arbeitgeber natürlich auch darauf achten, dass Du sämtliche Pflichten in Sachen Mitarbeiterdatenschutz einhältst. Bspw. darfst Du die Personalakten einzelner Mitarbeiter nur berechtigten Personen, bspw. also der Personalabteilung und der Geschäftsleitung zugänglich machen und musst sie sonst so gut verschlüsselt wie möglich ablegen.
Datenschutz als Qualitätssiegel aus Sicht von Investoren
Im Hinblick auf mögliche Investitionen kann die Einhaltung der Vorgaben der DSGVO für Dich und Dein Startup sehr gewinnbringend sein. Investoren wie VCs oder Business Angel prüfen vor einem Investment nämlich genau, ob sich Dein Startup an die gesetzlichen Vorgaben hält und wie Du diese umgesetzt hast. Du musst Dich also stets darum kümmern, dass Du mit Deinem Startup auf dem aktuellen Stand der Technik befindest, um Sicherheit zu gewährleisten und das Risiko von möglichen Datenpannen oder Reputationsschäden zu minimieren.
Investoren bevorzugen ein Investment in DSGVO-konforme Startups, bei denen die Risiken von Datenschutzverstößen sehr niedrig sind. Du musst also u.a. darauf achten, dass Du die oben bereits genannten Themen umgesetzt hast.
DSGVO & remote Office
In Deinem Startup arbeiten Du, Deine Mitgründer:innen und Mitarbeiter:innen sicher sehr digital und remote. Ihr nutzt bspw. viele Software Tools wie Slack, Miro, Google Tools und Microsoft Office 365 für Eure Kommunikation. Das ist auch super effizient. Doch solltest Du hierbei auch die datenschutzrechtlichen Vorgaben der DSGVO im Blick behalten.
Um bei der Nutzung dieser Tools bspw. personenbezogene Daten zu schützen, sieht die DSGVO vor, dass angemessene Schutzmaßnahmen getroffen werden müssen, um die Vertraulichkeit, Verfügbarkeit, Belastbarkeit und Integrität dieser Tools sicherzustellen. Das bedeutet, dass Du bspw. prüfen musst, ob diese Tools die Daten, die Du dort eingibst, oder die sie erheben, nicht an unberechtigte Dritte gelangen. Darüber hinaus musst Du schauen, ob die Standorte, an denen die Server der Anbieter dieser Tools stehen, den Anforderungen der DSGVO entsprechen. Insbesondere bei US-Tools ist das immer wieder ein heikles Thema. Man kann es aber in den Griff kriegen, wenn man ein paar Voraussetzungen beachtet.
Du musst zudem auch sicherstellen, dass Deine Mitarbeiter:innen sämtliche datenschutzrechtliche Vorgaben einhalten, wenn sie remote arbeiten. Bspw. müssen sie darauf achten, dass sie sich so positionieren, dass niemand anders auf ihren Bildschirm schauen kann. Oder sie sollten Video Calls, in denen es um sensible DSGVO-Themen gehen könnte, nicht in Räumen mit vielen Leuten machen, sondern sich hierfür einen gesonderten Raum buchen.
Software-Entwicklung unter der DSGVO
Wie oben schon beschrieben, ist das Entwicklungsstadium Deiner Lösung selbst schon vom Datenschutz betroffen: Als Startup musst Du bei der Auswahl bzw. Entwicklung Deiner Software besonders auf die DSGVO-Grundsätze Transparenzgebot, Zweckbindung sowie die Datenminimierung achten. Deine Software muss also nachvollziehbar erkennen lassen, wie und welche personenbezogenen Daten sie von Deinen Nutzern erhebt und verarbeitet. Sie muss zudem klar aufzeigen, zu welchen Zwecken, also für welche Prozesse und aus welchem Grund sie hierfür die personenbezogenen Daten braucht. Sehr wichtig ist auch die Einhaltung des Grundsatzes, dass Du stets dafür Sorge trägst, möglichst wenig personenbezogene Daten zu erheben und zu verarbeiten, also am besten nur die, die Du auch für die Funktionsfähigkeit Deiner Lösung brauchst. Alles, was darüber hinaus geht, sollte klar gegenüber Deinen Nutzern kommuniziert und ihre Einwilligung hierfür eingeholt werden.
Die personenbezogenen Daten, die Du mit Deinen Lösungen verarbeitest, sind zudem durch den Grundsatz des „Datenschutzes durch Technikgestaltung”, auch „Privacy by Design” genannt, zu schützen. Hiermit ist gemeint, dass die Technik hinter Deiner Lösung so gestaltet wird, dass zum Beispiel eine sichere Verschlüsselung oder auch eine pseudonymisierte Verarbeitung von personenbezogenen Daten möglich ist. Darüber hinaus sollte der Datenschutz durch sog. datenschutzfreundliche Voreinstellungen gewährleistet werden („Privacy by default”). Hierbei geht es um den Grundsatz, dass deine Lösung in ihren Voreinstellungen so gestaltet wird, dass nur Daten verarbeitet werden, die für den jeweiligen Verarbeitungszweck erforderlich sind.
Achte zudem darauf, dass Deine Lösung immer auf dem neusten Stand der Technik bleibt und Du auch ab und zu mal schaust, ob sich in der Rechtsprechung zum Thema DSGVO und Datenschutz etwas tut, was Deine Lösung affektiert.
Was sollten Start-ups noch beachten?
Pauschal kann man sagen, dass je digitaler Dein Geschäftsmodell ist, desto mehr Datenschutzthemen sind in dessen Aufbau mit einzubeziehen. Themen wie die Beratung und der Entwurf zu Datenschutzerklärungen & Consent Bannern für Websites und Apps, zu Auftragsverarbeitungsverträgen oder auch zum datenschutzkonformen Aufbau Deiner Software gehören zu den immer wiederkehrenden Basics in meiner Beratungspraxis als Startup Anwalt.
Spannend wird es insbesondere immer dann, wenn es sich bei dem Geschäftsmodel Deines Startups um ein solches handelt, das die neusten Technologien, wie etwa Blockchain, Künstliche Intelligenz oder auch Internet of Things integriert. Im Zentrum dieser Technologien steht meist die Verarbeitung einer Vielzahl personenbezogener Daten. Und für viele dieser technischen Entwicklungen gibt es auch noch gar keine sonstige Gesetzgebung außerhalb des Datenschutzrechts. Daher macht es hierbei besonders großen Sinn, das Thema Datenschutz für Dein Startup auf dem Schirm zu haben.
Datenschutz Compliance als Gütesiegel
Ich selbst versuche, Dich als Gründer:in und Dein Startup immer dahingehend zu beraten, dass Du keine Angst vor den datenschutzrechtlichen To-dos haben musst, sondern ein datenschutzkonformes Geschäftsmodell als etwas Erstrebenswertes erkennst. Je konformer Du und Dein Startup mit den Anforderungen datenschutzrechtlicher Gesetzgebung sind, desto eher kannst Du Deine eigene Datenschutz-Compliance auch als Gütesiegel verstehen.
Und dies kannst Du dann natürlich so auch nach Außen kommunizieren. Denn das Gütesiegel “Datenschutz Compliance” hat mittlerweile eine sehr positive Wirkung auf Deine Kunden und Partner. Wer nutzt nicht lieber einen Dienst, bei dem man darauf vertrauen kann, dass die eigenen Daten nicht ungewollt in die Hände Dritter gelangen?