Was Startups beim Thema Datenschutz beachten sollten

Gesetzeskonformer Datenschutz, TTDSG und typische Abmahnfallen sind Themen mit denen sich auch Startups auseinandersetzen müssen. Wir haben uns hierzu mit Dr. Jyn Schultze-Melling LL.M. CIPP/E, Experte im Bereich Datenschutzrecht und Partner bei gunnercooke unterhalten.

Dr. Jyn Schultze-Melling

INTERVIEW

GRUENE-STARTUPS.de: Wie achten Start-ups von Anfang an auf einen gesetzeskonformen Datenschutz?

Dr. Jyn Schultze-Melling: Jungunternehmer sollten sich in Sachen Datenschutz auf jeden Fall zunächst Klarheit darüber verschaffen, in welchem rechtlichen und regulatorischen Umfeld sie sich mit ihrem Start-up bewegen. Juristische Risiken lassen sich nur steuern, wenn mögliche Stolpersteine bekannt sind. Zudem ist es ratsam, einen Datenschutzbeauftragten zu bestellen, sei es durch interne Rekrutierung oder in Form eines externen Spezialisten. Zwar schreibt der Gesetzgeber eine solche Ernennung erst vor, wenn sich mindestens zehn Mitarbeiter mit Datenverarbeitung beschäftigen, jedoch macht es bei einem solchen Thema grundsätzlich Sinn. Das ist noch wichtiger, wenn neue KI-basierte Technologien zum Einsatz kommen oder das Start-up große Datenmengen verarbeitet und sich darunter sensible Informationen, zum Beispiel über den Gesundheitszustand von Menschen, befinden. Ein weiterer essenzieller Punkt, der oft vergessen wird, ist die Datenhygiene. Dazu gehört nicht nur die Korrektur fehlerhafter Angaben, sondern auch das Löschen von Informationen, die das Unternehmen nicht mehr benötigt. Außerdem gilt der Zweckbindungsgrundsatz: So dürfen ohne datenschutzrechtliche Überprüfung bereits gesammelte Informationen nicht zweit- oder drittverwertet werden.

Was bedeutet das TTDSG für Unternehmen und wie muss es umgesetzt werden?

Bei dem TTDSG geht es vor allem darum, dass ohne ausdrückliche Zustimmung von Websitebesuchern keine Cookies auf Endgeräten gesetzt werden dürfen. Ausgenommen sind davon lediglich notwendige Cookies etwa für Shops oder bei registrierten Anwendern. Alles, was mit Werbung, Tracking oder Reichweitenanalyse zu tun hat, gehört explizit zu den optionalen Einstellungen. Das lässt sich mit den entsprechenden Tools übrigens auch ganz leicht automatisch prüfen.

Was muss in Bezug auf Apps oder Onlineshops und den nötigen Datenschutz beachtet werden?

Auch bei Apps und Onlineshops sollte das Thema Datenschutz von Anfang an Berücksichtigung finden. Entsprechende Grundeinstellungen, die auch als Privacy by Default und Privacy by Design bekannt sind, gehören sogar zu den gesetzlichen Vorgaben der DSGVO. Darüber hinaus gilt: Für alles, was nicht die unmittelbare Zwecksetzung der App oder des Webangebotes betrifft, braucht es eine separate Einwilligung. Um formal und inhaltlich wirksam zu sein, sollten diese unbedingt von Fachpersonal geschrieben werden. Darüber hinaus benötigt auch jede weitere Art der Datenverarbeitung zwingend eine Erlaubnis. Wichtig zu wissen ist, dass Unternehmen hier in der Beweispflicht sind, nicht die Aufsichtsbehörde.

Was ist das absolute Minimum, das Unternehmen beim Thema Datenschutz beachten sollten?

Um ein Mindestmaß zu erfüllen, müssen Start-ups drei Faktoren berücksichtigen: transparente Kommunikation, Dokumentation und die Einhaltung von Betroffenenrechten. Das beginnt bereits bei der Formulierung der Einwilligungserklärung und der Datenschutzrichtlinien. Hier müssen Unternehmen klar und offen darstellen, was mit den Informationen der Nutzer geschieht, warum sie diese Daten sammeln und wie sie diese weiterverarbeiten. Fehlende, inhaltlich unklare oder sogar falsche Aufklärung gelten als die häufigsten Gründe für Abmahnungen und aufsichtsbehördlichen Ärger. In Sachen Dokumentation gehört neben einem Verarbeitungsverzeichnis mit den gegebenenfalls erforderlichen Datenschutzfolgeabschätzungen (DSFA) auch ein entsprechendes Sicherheitskonzept zum absoluten Minimum. Beides sollte immer auf dem neuesten Stand sein, da Aufsichtsbehörden jederzeit danach fragen können. Ein weiterer Aspekt, auf den Unternehmen unbedingt achten müssen, sind Betroffenenrechte. Werden Anfragen von Nutzern nicht, nicht fristgerecht oder schlimmstenfalls inhaltlich unwahr beantwortet, kennt die Aufsichtsbehörde keine Gnade. Datensicherheit dient dem Schutz der Persönlichkeitsrechte.

Welche „Abmahn-Fallen“ gibt es beim Thema Datenschutz?

Zu den größten Stolpersteinen gehören fehlende oder formal inkorrekte Einwilligungserklärungen und fehlende Informationen im Impressum. Außerdem tappen Betriebe mit falschen Datenschutzrichtlinien auf der Website häufiger in sogenannte Abmahn-Fallen.

Wer darf aus Datenschutz-Gründen abmahnen?

Prinzipiell darf neben jeder Verbraucherschutzzentrale auch jeder Wettbewerber abmahnen.

Was blüht Unternehmen, wenn sie den Datenschutz nicht oder nicht ausreichend berücksichtigen?

Datenschutz gehört zu den wichtigsten Aufgaben eines Unternehmens. Sollte dem nicht ausreichend Bedeutung beigemessen werden, drohen aufsichtsbehördliche Bußgelder, die sich zwischen zwei und vier Prozent des Jahresumsatzes bewegen. Darüber hinaus können Betroffene im Einzelfall sogar Schadensersatzansprüche geltend machen. Neben den finanziellen Folgen verliert der Betrieb aber auch seine Reputation und damit seine Kundschaft, was insbesondere für Start-ups zur Existenzbedrohung werden kann.

Welche Tipps haben Sie für deutsche Unternehmen? Sollte man Daten beispielsweise nur noch in Deutschland und/oder Europa sichern?

Nach Möglichkeit sollten die gesammelten Daten nicht nur auf Servern innerhalb von Europa gespeichert, sondern auch verarbeitet werden. Das gilt insbesondere für die Nutzung von Marketing-Tools. Für die Klassiker wie Google Analytics, Mailchimp und Co. gibt es mittlerweile gute, datenschutzfreundliche Alternativen aus Europa.

Wann wird eine anwaltliche Beratung sinnvoll bzw. bei welchen Themen?

Spätestens, wenn Unternehmen unerwartet Post von Aufsichtsbehörden oder Anwälten bekommen, sollten sie ihren eigenen Rechtsbeistand konsultieren. Idealerweise stehen Betrieben solche Experten für Datenschutz lange vor dem Auftreten eines Problems beratend zur Seite. Sie können von Anfang an die Weichen richtig stellen. Indem sie die Aufmerksamkeit auf die wichtigen Aspekte lenken, lassen sich mit wenig Aufwand viele unter Umständen existenzielle Risiken vermeiden oder Schadenspotenziale reduzieren.

Website: https://gunnercooke.de

Über den Autor: Dr. Jyn Schultze-Melling LL.M. CIPP/E ist Partner bei gunnercooke und ein international anerkannter Experte im Bereich des Datenschutzrechts und der Informationssicherheit. Er schaut dabei auf mehr als 20 Jahre Erfahrung zurück, und zwar sowohl als vertrauensvoller Berater von jungen Start-ups und multinationalen Großkonzernen als auch als erfahrener Manager in so unterschiedlichen Unternehmen wie die Deutsche Bahn, der Allianz Konzern und der Technologiegigant Facebook. Die gunnercooke Rechtsanwaltsgesellschaft mbH schlägt nicht nur eine Brücke über den Ärmelkanal, sondern setzt auch national auf flexible Zusammenarbeit, die all ihren Mandanten zugutekommt.

Auch interessant: DASSAULT SYSTÈMES ERÖFFNET IN MÜNCHEN DAS 3DEXPERIENCE LAB ALS STARTUP ACCELERATOR