Seit dem 25. Mai 2019 ist die EU-Datenschutzgrundverordnung (DSGVO) genau ein Jahr in Kraft.
Den Beginn dieses Jahres hat die Unternehmenswelt fast schon ehrfürchtig erwartet. Sie hat viel Geld investiert, um die horrenden Bußgelder von theoretisch 20 Millionen Euro oder alternativ vier Prozent des weltweiten Jahresumsatzes zu verhindern.
Die Menschen, deren Daten verarbeitet werden, wundern sich zwar über manche scheinbar sinnlose Diskussion – dass der Name von Klingelschildern verschwinden könnte, ist nur ein Beispiel –, sie haben mit den in der DSGVO normierten Rechten aber mächtige Werkzeuge in die Hand bekommen, um ihre Daten zu schützen und Unternehmen in die Pflicht zu nehmen.
Kommt ein Unternehmen beispielsweise Auskunfts- oder Löschungsansprüchen nicht fristgerecht und vollständig nach und erweckt vielleicht sogar noch den Eindruck, seine Datenschutzorganisation nicht unter Kontrolle zu haben, riskiert es ein behördliches Einschreiten. Nach Zahlen des Europäischen Datenschutzausschusses gab es im ersten Jahr DSGVO über 200.000 Verfahren – fast die Hälfte davon geht auf Beschwerden von Betroffenen zurück. Ein gutes Drittel steht in Verbindung mit Datenpannen, die unter bestimmten Voraussetzungen meldepflichtig sind. Zwar haben die Behörden im vergangenen Jahr nur rund 55 Millionen Euro an Bußgeldern verhängt, es ist aber allgemeine Meinung, dass die Schonfrist jetzt zu Ende geht und von öffentlicher Seite mehr als zuvor auf die Einhaltung der neuen Regelungen gepocht wird.
Da die DSGVO nicht zwischen dem Großkonzern und einer Neugründung unterscheidet, gelten die Pflichten und Regelungen auch für Startups.
Einzig im Rahmen der Verhältnismäßigkeit ist zu berücksichtigen, wie viele und welche Daten verarbeitet werden. Für Startups spielt die Verordnung aus zweierlei Gründen eine besonders große Rolle: Zum einen hat das erste Jahr DSGVO gezeigt, dass Startups, die sich mit dem Thema auseinandergesetzt haben, bei Kunden besser dastehen und sich im Vergleich zu Mitbewerbern deutlich hervortun können – Datenschutz erweist sich als Wettbewerbsvorteil.
Zum anderen wird die DSGVO beim Exit oder der nächsten Finanzierungsrunde relevant. Investoren messen dem Thema große Bedeutung bei. Wer keine DSGVO-Compliance nachweisen kann, wer bei der Dokumentation schlampt, wer vielleicht sogar ein Verfahren bei einer Datenschutzbehörde führt, der muss Abschläge in der Bewertung befürchten und insbesondere mit umfassenden Garantien und Freistellungen zu Gunsten von Investoren rechnen.
Zu den notwendigen Maßnahmen eines jeden Startups zählen vor allem
- ein Verzeichnis über alle Verarbeitungstätigkeiten zu führen,
- sogenannte Auftragsverarbeitungsverträge (AVV) mit Dienstleistern und Kunden abzuschließen,
- alle Betroffenen mittels Datenschutzhinweisen (Privacy Policies) über die konkreten Verarbeitungen zu informieren,
- die Mitarbeiter zu ihren Pflichten zu schulen und
- in der Regel auch einen Datenschutzbeauftragten zu benennen.
Bei der Prüfung, ob und welche Daten verarbeitet werden dürfen, zeigt sich, welche weiteren Maßnahmen umzusetzen sind, ob Startups zum Beispiel eine Einwilligung von Betroffenen einholen müssen.
Im Rahmen der technischen und organisatorischen Maßnahmen, die von den Startups umgesetzt werden müssen, spielt IT-Sicherheit naturgemäß eine übergeordnete Rolle. Eine Datenpanne erschüttert nicht nur das Vertrauen von Investoren und der Öffentlichkeit, sie kann auch nachhaltig Kundenbeziehungen schädigen. Um das zu vermeiden, sollten Startups gewährleisten, dass personenbezogene Daten nur im nötigen Maße gespeichert und danach gelöscht oder anonymisiert werden. Zeigt sich bei einer Datenpanne, dass ein Unternehmen nicht nur lax mit IT-Sicherheit umgegangen ist, sondern Daten im großen Ausmaß verarbeitet, ohne dies jemals rechtlich geprüft zu haben, können die Folgen ein junges Startup derart hart treffen, dass es um seine Existenz bangen muss.
Wer Datenschutz ernst nimmt und sich den offenen Fragen mit der Praktikerbrille stellt, merkt schnell, dass sich viele Befürchtungen nicht bewahrheitet haben und die anfängliche Aufregung übertrieben war. Die nächste Due Diligence kann so jedenfalls kommen.
