Die Gründung von Unternehmen gleicht zuweilen einer Phase jugendlichen Übermuts: Ideen gibt es im Überfluss und plötzlich erwachen auch die Kräfte, diese in die Tat umzusetzen. Dass vermeintlich lästige Themen wie der Datenschutz von Start-ups zunächst beiseitegeschoben werden, erscheint da nur natürlich. Doch Unachtsamkeit am Anfang kann sich rächen. Umgekehrt profitiert auf lange Sicht, wer schon zu Beginn an den Datenschutz denkt. Das Wichtigste in Kürze haben wir für Sie vorab zusammengefasst:
Einen Welpenschutz für Start-ups gibt es nicht. Der Datenschutz betrifft neue und kleine Unternehmen genauso wie große, etablierte. Er greift, sobald es zu einer Verarbeitung personenbezogener Daten kommt. Da jedes Unternehmen Kunden und Mitarbeiter hat und zumeist Dienstleister und Lieferanten im Spiel sind, ist eine unternehmerische Tätigkeit ohne Datenschutzaspekt schlicht nicht vorstellbar.
Kurz gesagt: Jeder, der am Markt teilnimmt, muss von Anfang an die Datenschutz-Grundverordnung (DSGVO) beachten. Anfängliche Versäumnisse erfordern später aufwendige Anpassungsprozesse, können hohe Bußgelder bedeuten und im Extremfall die gesamte Unternehmenstätigkeit gefährden.
Planung: Was ist beim Datenschutz schon vor der Gründung zu beachten?
Das Unternehmen muss von Anfang an datenschutzkonform mit den Daten umgehen, die es von Kunden, Beschäftigten und Lieferanten bekommt – am besten schon in der Seeding-Phase. Gerade Gründer von Tech-Start-ups erliegen oft einem Trugschluss: Es reicht nämlich nicht, eine sichere IT mit hohem technischem Standard zu haben. Auch in den Prozessen und der Organisation ist der Datenschutz umzusetzen.
Checkliste: So agieren Unternehmen von Anfang an im Sinne des Datenschutzes:
Die Checkliste können Sie auch hier herunterladen.
Kundengewinnung: Dürfen Start-ups Kaltakquise betreiben?
Da die Gewinnung erster Kunden für die meisten Start-ups so wichtig ist, laufen viele Vertriebsaktivitäten schon frühzeitig an. Bei der Kaltakquise, die für Start-ups höchst attraktiv ist, müssen sie u.a. die Bestimmungen zu Einwilligungen beachten. Darüber hinaus können Wettbewerbsvorschriften (§ 7 UWG) eine Rolle spielen, denn: Der kontaktierte Kunde darf nicht in unzumutbarer Weise belästigt werden. Wichtig ist auch, dass der Kunde bei Kontaktaufnahme gemäß den Bestimmungen der DSGVO informiert wird. Hierzu kann Ihnen ein erfahrener Datenschutzbeauftragter wertvolle Hinweise geben.
Der Datenschutzbeauftragte: Braucht mein Start-up einen?
Die DSGVO schreibt die Benennung eines Datenschutzbeauftragten grundsätzlich erst vor, wenn mindestens 20 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind. Werden aber sensible Daten mit dem Ziel verarbeitet, z. B. Bonitäts- oder Gesundheitsprofile zu erstellen, dann entfällt diese Grenze. Solche Start-ups benötigen also grundsätzlich immer einen Datenschutzbeauftragten.
Welche Risiken herrschen in der Finanz- und Gesundheitsbranche?
Nehmen wir an, einem HealthCare-Start-up kommen Patientendaten abhanden. Oder einem Fintech-Unternehmen werden Konto- und Finanzdaten seiner Kunden entwendet. Wenn solche hochsensiblen Daten in falsche Hände gelangen, kann es ihre Kunden stark kompromittieren. Daher müssen nicht nur Firmen im Finanz- und Gesundheitssektor ein besonders hohes Datenschutzniveau gewährleisten. Ein Datenschutzbeauftragter leistet hier wertvolle Hilfe.
Unterm Strich ist die frühzeitige Benennung eines Datenschutzbeauftragten ratsam. Denn die Vorschriften der DSGVO sind unbedingt zu beachten. Jedes Unternehmen ist gut beraten, sich in jedem Fall datenschutzrechtliche Kompetenzen zu holen, um damit ein erhöhtes Kundenvertrauen zu gewinnen und Bußgeldern aus dem Weg zu gehen.
Welche Anforderungen an den Datenschutz kommen mit dem Unternehmenswachstum dazu?
Eine wachsende Organisation bringt die folgenden neuen Aspekte mit sich:
Können Fehler aus der Gründungsphase noch ausgebügelt werden?
Schwer zu beheben sind vor allem frühe Versäumnisse beim technischen Datenschutz. Nehmen wir z.B. ein Start-up, das schon vor der Gründung den Prototyp einer App entwickelt hat, die personenbezogene Daten erfassen kann. Dabei wurden die Datenschutzaspekte bei der Entwicklung nicht bzw. nur unzureichend beachtet. Laut der Datenschutzprinzipien ,,Privacy by Design“ und ,,Privacy by Default“ muss das Produkt aber so gestaltet sein, dass der Datenschutz bereits in den Grundeinstellungen umgesetzt wird.
Wird nun der Prototyp zum Kern des marktfähigen Produkts, dann nimmt das Unternehmen die Datenschutzproblematik mit in die Wachstumsphase und steht früher oder später vor der Frage: nachbessern oder neu entwickeln? Mangelnder Datenschutz im Produkt sollte also von Anfang an verhindert werden.
Weitere datenschutzrechtliche Probleme aus der Gründungsphase betreffen Software- und Hardwarelösungen sowie technisch-organisatorische Maßnahmen im Unternehmen. So kann die lokale Speicherung personenbezogener auf einem PC oder Laptop datenschutzkonforme Löschung unmöglich machen, was zu einem Datenschutzverstoß führen kann. Hier ist ein prüfender Blick durch die Datenschutzbrille unabdingbar.
Was müssen Start-ups bei der internationalen Expansion beachten?
Besonders digitale Unternehmen, die erfolgreich auf ihrem Heimatmarkt gestartet sind, streben schnell nach neuen internationalen Märkten. Eine solche Expansion wirkt sich auch auf den Datenschutz aus. Das Start-up muss auch in diesem Fall die Vorschriften der DSGVO beachten und sich zugleich mit den örtlichen Gegebenheiten befassen. Daraus entstehen neue rechtliche Fragen. Unternehmen, die diesen Prozess durchlaufen, sind gut beraten, hierzu externe Kompetenz einzubinden.
Junge Unternehmen trifft bei der Datenweitergabe an Drittländer der gleiche Umfang an Verpflichtungen wie etablierte internationale Konzerne. Hier sei zu beachten, dass für entsprechende Vereinbarungen (Auftragsverarbeitungsverträge) sowie zusätzliche Garantien (wie z. B. Standarddatenschutzklauseln – SCC) gesorgt wird. Das trifft auch auf ihre Tochtergesellschaften in Drittländern zu.
Bei dem Thema Datenhosting bieten große Anbieter von weltweiten Cloud-Services deutlich niedrigere Preise als EU-Anbieter an. Auch hier knüpft die DSGVO die Speicherung personenbezogener Daten außerhalb der EU an strenge Vorgaben.
Was passiert, wenn jetzt gravierende Fehler sichtbar werden?
Spätestens wenn externe Geldgeber oder Großkunden angesprochen werden, kommt das Thema Datenschutz auf den Tisch. Das Start-up muss seine DSGVO-Konformität klar und lückenlos belegen können. Werden Lücken und Versäumnisse erkennbar, verzögert sich oft durch langwierige und teure Nachbesserungen der Vertragsschluss. Oft steht auch das ganze Geschäft infrage.
Nehmen wir als Beispiel ein etabliertes Großunternehmen aus der Gesundheits- oder Chemiebranche, dass seine Innovationsfähigkeit erweitern sowie neue Märkte und Kundensegmente erschließen möchte. Zu diesem Zweck möchte es ein Start-up akquirieren. Dabei spielt auch der Erwerb von Kundendaten eine wichtige Rolle.
Der Kaufkandidat wird nun u. a. auf Datenschutzfragen hin geprüft. Wenn aber personenbezogene Daten nicht im Einklang mit der DSGVO verarbeitet wurden, bleibt die Datenverarbeitung dem Kaufinteressenten verwehrt. Es besteht sogar das Risiko, dass das Großunternehmen durch die Rechtsverstöße des Start-ups in die Haftung eintritt. Bei der Due-Diligence-Prüfung wird auch auf die Datenschutzkonformität des Start-ups geachtet.
Welche Chancen bietet der Datenschutz Gründern?
Versäumnisse im Datenschutz führen zu unkalkulierbaren Risiken für Unternehmen. Wenn von Anfang an ein hohes Datenschutzniveau umgesetzt wird, entstehen strategische Vorteile:
Das Thema Datenschutz mag jungen Unternehmen zunächst als große Hürde erscheinen. Wenn es Start-ups aber gelingt, ein hohes Datenschutz-Niveau zu realisieren, dann überwiegen später die Vorteile bei Weitem. Denn eine gut umgesetzte DSGVO-Konformität vermeidet Risiken und eröffnet Start-ups Chancen bei Kunden, Partnern und Investoren.
Dabei wird Datenschutzkompetenz in allen Phasen der Unternehmensentwicklung gefordert. In der Seeding-Phase geht es vor allem um technischen Datenschutz in Form einer sicheren IT und um ein Produktdesign, das den Datenschutz berücksichtigt. Im weiteren Verlauf wird die Beratung an die individuellen Prozesse des Unternehmens angepasst. Gute Datenschutzanbieter unterstützen Start-ups bei der lückenlosen Umsetzung des Datenschutzes – und das in jeder Phase.
Kontakt:
Als Mitglied des BVMW München können Sie jederzeit eine kostenlose und unverbindliche Erstberatung durch einen Datenschutzspezialisten bei DataGuard in Anspruch nehmen. Kontaktieren Sie dafür bitte Sabrina Hörmann unter
Tel.: +49 89 210 944 63
Email: shoermann@dataguard.de