Datenschutz Verstehen – Datenschutz beim Start-up
Die Zahlen von Gründungen neuer, junger und innovativer Unternehmen steigen stetig an. Allein in Deutschland werden jährlich mehrere 10 000 Start-ups eröffnet, welche sich durch die junge, innovative Unternehmenspolitik, der bisherigen Existenz von unter fünf Jahren und das hohe Wachstumspotential auszeichnen.
Durch den turbulenten Start passiert es bei jungen Start-ups jedoch schnell, dass wichtige Themen vernachlässigt werden und nicht umgesetzt werden, wie zum Beispiel der Datenschutz. Personenbezogene Daten werden aufgrund des technologischen Fortschritts und der Vielzahl an unterschiedlichen Kanälen in großem Umfang verarbeitet, ohne den erforderlichen Schutz zu erhalten. Ein Verstoß gegen den Datenschutz kann sehr hohe Bußgelder und Strafen, z.B. für natürliche Personen, die gegen das Datengeheimnis verstoßen, nach sich ziehen. Das kann insbesondere für junge Unternehmen fatale Folgen haben. Aus diesem Grund ist es unerlässlich, dass Start-ups Vorschriften der europäischen Datenschutz-Grundverordnung (DSGVO) und des nationalen Bundesdatenschutzgesetzes (BDSG-neu) von Beginn an einhalten und in künftige Prozesse integrieren.
Start-up datenschutzkonform gründen
Um Bußgelder und andere negative Konsequenzen zu vermeiden, sollten bereits bei Gründung des Start-ups datenschutzrechtliche Vorgaben berücksichtigt und umgesetzt werden. Am Anfang jedes Start-ups steht zunächst „die Idee“. Darauf folgt im nächsten Schritt die Überlegung, wer die Vertragspartner werden sollen. Schon hier spielt der Datenschutz eine große Rolle. Zur Einhaltung der DSGVO sollte schon vor der Gründung eine Vertraulichkeitsvereinbarung unterzeichnet werden. Diese Vereinbarung ist außerordentlich wichtig in Bezug auf Geheimhaltung von Betriebsinterna. Weiterhin wird festgelegt, welche Rechte und Pflichten der Geschäftspartner hat und wie sich der Umgang mit sensiblen Daten, wie z.B. personenbezogenen Daten von Kunden, Mitarbeitern und Lieferanten, gestaltet. Des Weiteren sollten Mitarbeiter und Geschäftspartner Informationsschreiben erhalten und an unerlässlichen Schulungen zum Thema Datenschutz teilnehmen. Interessant in Hinblick auf den Datenschutz ist auch der Umgang mit dem Kunden: Hier sind eine Reihe verschiedener Gesichtspunkte zu beachten, denn sollte ein Kunde im Auftrag personenbezogene Daten verarbeiten, ist ein Auftragsverarbeitungsvertrag erforderlich. Hier spielen die technischen und organisatorischen Maßnahmen (TOM) eine große Rolle, welche eine gewisse Sicherheit bei der Verarbeitung personenbezogener Daten gewährleisten. Als technische Maßnahmen werden hierbei eine Reihe von Maßnahmen bezeichnet, die Einfluss auf die technische Verarbeitung haben, wie beispielsweise die Verschlüsselung von Datenträgern. Als organisatorischen Maßnahmen hingegen gelten z.B. Schulungen von Mitarbeitern, aber auch die Vertraulichkeitsverpflichtung.
Auch beim Betrieb einer Webseite müssen gewisse Standards eingehalten werden. Zunächst sollte sich beim Aufrufen der Webseite stets ein Cookie-Banner mit entsprechenden Auswahlmöglichkeiten öffnen. Ferner muss jede Webseite eine Datenschutzerklärung nach Maßgabe der DSGVO sowie des BDSG enthalten, in der der jeweilige Zweck der Verarbeitung, die Dauer der Verarbeitung, die Betroffenenrechte sowie sämtliche Rechtsgrundlagen der Verarbeitungen genannt werden. Eine fehlerhafte Datenschutzerklärung kann auch hier zu hohen Bußgeldern führen.
Start-up Investoren prüfen die Umsetzung der DSGVO
Auch in Hinblick auf mögliche Investoren ist die genaue Einhaltung der DSGVO lukrativ. Natürlich wird hier genau geprüft, inwieweit sich das Start-up an die gesetzlichen Vorgaben hält und wie diese im Unternehmen Umsetzung finden. Wichtig ist, dass sich Start-ups hinsichtlich ihrer technischen Maßnahmen, bezogen auf datenschutzrechtliche Vorgaben, stets auf dem neuesten Stand zu befinden, um Sicherheit zu gewährleisten und das Risiko von möglichen Datenpannen oder Reputationsschäden zu minimieren. Als „Datenpanne” wird die Verletzung des Schutzes personenbezogener Daten bezeichnet, die der unverzüglichen und möglichst binnen 72 Stunden zu erfolgenden Meldung bei der zuständigen Aufsichtsbehörde bedarf und die ebenfalls empfindliche Bußgelder nach sich ziehen kann. Deshalb möchten mögliche Investoren das Risiko einer Datenpanne gerne ausschließen und daher vorzugswürdig in Start-ups investieren, bei denen eine lückenlose Einhaltung der DSGVO gegeben ist. Um eine hohe Attraktivität für Investoren zu erzielen, ist es besonders wichtig, bei einer Prüfung der bisherigen Umsetzung der DSGVO, die häufig vor der Platzierung von Investitionen erfolgt, gute Ergebnisse zu erzielen.
Selbstredend ist, dass Investoren nur in Geschäftsmodelle investieren, welche auch vor dem Hintergrund der datenschutzrechtlichen Situation, legal durchgeführt werden dürfen. Ist das Geschäftsmodell nicht vorab umfassend begutachtet worden, gehen Start-ups das Risiko ein, dass die Produkte, Dienstleistungen oder Softwarelösungen gar nicht erst angeboten werden dürfen. Gründer-Teams setzen daher oftmals auf ein externes Audit, um diese Risiken ausschließen zu können.
Was sind die “Must-Haves”?
Besonders geeignet für den Nachweis über die Einhaltung der DSGVO sind Dokumentationen wegen der Rechenschafts- und Nachweispflicht. vgl. Art. 5 Abs. 2 DSGVO. Hierzu zählen insbesondere der Abschluss von Auftragsverarbeitungsverträgen sowie die Dokumentation der technischen und organisatorischen Maßnahmen eines Unternehmens nach Art. 32 DSGVO. Darüber hinaus ist ein Verzeichnis von Verarbeitungstätigkeiten gem. Art. 30 DSGVO unerlässlich. Das Verzeichnis von Verarbeitungstätigkeiten ist eine Übersicht aller Prozesse (Verarbeitungen), welche personenbezogene Daten beinhalten. Die Erstellung eines solchen Verzeichnisses ist hier umfassend erklärt.
Auch eine Datenschutz-Folgenabschätzung, z.B. bei gewissen Verarbeitungen von besonderen Kategorien von personenbezogenen Daten, kann erforderlich sein und sollte daher dokumentiert durchgeführt werden. Als organisatorische Maßnahme i.S.v. Art. 32 DSGVO müssen Vertraulichkeitsverpflichtungen und Informationsschreiben für Mitarbeiter vorhanden sein. Zudem sollten Mitarbeiterschulungen im Datenschutz in regelmäßigen Abständen durchgeführt werden und eingeholte Einwilligungserklärungen der Mitarbeiter, zum Beispiel in Hinblick auf die Veröffentlichung von Mitarbeiterfotos auf der Webseite des Arbeitgebers, revisionssicher aufbewahrt werden.
Datenschutz beim Verkauf eines Start-ups
Nun stellt sich die Frage, was bei dem Verkauf eines Start-ups, bei einem sogenannten Start-up Exit, zu beachten ist. Grundlegend ist zunächst klarzustellen, dass Kundendaten nicht wie Ware verkauft werden können. Auch hier müssen die Vorgaben der DSGVO eingehalten werden. Zu unterscheiden ist hierbei zwischen Kundendaten bei laufenden Verträgen, bei welchen eine Genehmigung des Kunden notwendig ist, sowie Daten von Bestandskunden ohne laufende Verträge, bei denen die aktive Vertragsbeziehung mehr als drei Jahre zurückliegt und deren Daten damit der Einschränkung der Verarbeitung unterliegen. Ferner sind von diesen Konstellationen Daten von Kunden bei fortgeschrittener Vertragsanbahnung zu unterscheiden, die mit einer längeren Widerspruchsfrist übermittelt werden. Darüber hinaus werden Kundendaten im Falle von offenen Forderungen abgetreten und dürfen somit dem Käufer weitergegeben werden. Kundendaten besonderer Kategorien von personenbezogenen Daten nach Art. 9 Abs. 1 DSGVO können nach einer informierten Einwilligung gem. Art. 9 Abs. 2 lit. a) DSGVO und Art. 7 DSGVO übermittelt werden. Bezüglich der Daten von Mitarbeitern und Beschäftigten gilt, dass diese nur verarbeitet werden dürfen, sofern diese für die Beurteilung des Arbeitsverhältnisses sowie dessen Begründung oder Beendigung notwendig ist, vgl. Art. 88 DSGVO, § 26 BDSG-neu. In diesem Zusammenhang ist zudem die Frage entscheidend, wie lange der Verkäufer die jeweiligen Daten noch verarbeiten darf. Sofern nicht entsprechende Aufbewahrungspflichten bestehen, sind die Daten durch den ehemaligen Arbeitgeber umgehend zu löschen.
Anforderungen an den digitalen Arbeitsplatz im Start-up
Start-ups arbeiten in der Regel sehr digital und kennzeichnen sich durch den effizienten Einsatz mobiler Endgeräte. Doch auch die Nutzung von Arbeitstools wie Slack und Microsoft Office 365 und Google Dienste birgt einige datenschutzrechtliche Gefahren, die es zu vermeiden gilt. Durch die Eröffnung der vielen (digitalen) Optionen ist es Start-up-Mitarbeitern möglich, oft im Homeoffice zu arbeiten. Besonders im Homeoffice wird häufig zwingend auf die genannten Tools zurückgegriffen. Um personenbezogene Daten zu schützen, sieht Art. 32 Abs. 1 lit. b) DSGVO vor, dass angemessene Schutzmaßnahmen getroffen werden müssen, welche die Fähigkeit besitzen, die Vertraulichkeit, Verfügbarkeit, Belastbarkeit und Integrität der Dienste und Systeme in Bezug auf die Verarbeitung der Daten sicherzustellen. Zugriffs- und Zutrittskontrollen sowie Eingabe- und Weitergabekontrollen sollten, sowohl am Arbeitsplatz als auch im Homeoffice, vorhanden sein, damit z.B. Datenpannen ausgeschlossen werden und personenbezogene Daten auf einem sicheren Level verarbeitet werden. Die Risiken im Home Office, wie z.B. die unbefugte Nutzung von Geräten und Systemen durch Dritte oder die Offenlegung schützenswerter Informationen, kann durch gezielte technische und organisatorische Maßnahmen auf ein Minimum reduziert werden.
Software-Entwicklung unter der DSGVO
Auch die Software-Entwicklung ist vom Datenschutz betroffen: Start-ups sollten bei der Auswahl bzw. Entwicklung ihrer Software besonders achtsam sein, da hier mehrere wichtige Grundsätze für die Erhebung von personenbezogenen Daten gelten, welche insbesondere in Art. 5 Abs. 1 DSGVO aufgelistet sind. Diese Grundsätze beinhalten das Transparenzgebot, die Zweckbindung sowie das Prinzip der Datenminimierung. Als weitere wesentliche Normen in Bezug auf eine datenschutzkonforme Software-Entwicklung sind insbesondere Art. 25 und Art. 78 DSGVO zu nennen. Hier steht der Schutz der Rechte und Freiheiten der betroffenen Personen im Fokus. Personenbezogene Daten sind via „Datenschutz durch Technikgestaltung”, auch „Privacy by design” genannt, zu schützen. Dies sind Technikgestaltungen, wie zum Beispiel die sichere Verschlüsselung und Pseudonymisierung von personenbezogenen Daten. Darüber hinaus sollte der Datenschutz durch sog. datenschutzfreundliche Voreinstellungen gewährleistet werden („Privacy by default”). Hierbei geht es um den Grundsatz, dass durch Voreinstellungen nur Daten verarbeitet werden, die für den jeweiligen Verarbeitungszweck erforderlich sind. Die technischen und organisatorischen Maßnahmen spielen insgesamt bei der Software- Entwicklung eine große Rolle und zu einem möglichst frühen Zeitpunkt in der Software-Entwicklung berücksichtigt werden, da die nachträgliche Implementation häufige größere Aufwände und Kosten nach sich ziehen kann. Diese sollten darauf ausgelegt sein, Datenschutzgrundsätze möglichst wirksam umzusetzen. Bei der Auswahl der TOMs ist besonders darauf zu achten, dass diese stets auf dem neuesten Stand der Technik sind und diese regelmäßig überprüft werden.
Was sollten Start-ups noch beachten?
Wir fragen nach beim Start-up Rechtsanwalt Nils L. Bremann LL.M., welcher Gründungs-Partner der Kanzlei TechTeam Law mit Standorten in Münster und Hamburg ist.
Was Start-ups aus meiner Sicht als Start-up Anwalt in datenschutzrechtlicher Sicht zu beachten haben, ist natürlich stark abhängig vom jeweiligen Geschäftsmodell. Pauschal kann man aber sagen, je digitaler ein Geschäftsmodell, desto mehr Datenschutzthemen sind in dessen Aufbau mit einzubeziehen. Themen wie die Beratung und der Entwurf zu Datenschutzerklärungen & Cookie Banner für Websites und Apps, zu Auftragsverarbeitungsverträgen als Bestandteil der Vertragsbeziehung zu den Kunden oder auch zum datenschutzkonformen Aufbau von Software gehören zu den immer wiederkehrenden Basics eines Start-up Anwalts. Spannend wird es aus meiner Sicht insbesondere immer dann, wenn es sich bei den Geschäftsmodellen der Start-ups um solche handelt, die die neusten Technologien, wie etwa Blockchain, Künstliche Intelligenz oder auch Internet of Things integrieren. Hier nimmt die Klärung datenschutzrechtlicher Fragen eine zentrale Rolle ein. Denn im Zentrum dieser Technologien steht meist die Verarbeitung einer Vielzahl personenbezogener Daten. Und für viele dieser technischen Entwicklungen gibt es auch noch gar keine sonstige Gesetzgebung außerhalb des Datenschutzrechts.
Datenschutz Compliance als Gütesiegel
Ich selbst versuche die Start-ups, die ich berate, immer dahingehend anzuweisen, dass sie keine Angst vor den datenschutzrechtlichen To-dos haben, sondern ein datenschutzkonformes Geschäftsmodell als etwas Erstrebenswertes ansehen. Je konformer das eigene Unternehmen mit den Anforderungen datenschutzrechtlicher Gesetzgebung ist, desto eher ist die eigene Datenschutz-Compliance auch als Gütesiegel zu verstehen. Und dies sollte natürlich so auch nach Außen kommuniziert werden. Denn das Gütesiegel “Datenschutz Compliance” hat mittlerweile eine sehr positive Wirkung auf die mit den Produkten und Dienstleistungen des jeweiligen Start-ups angesprochenen Verkehrskreise. Wer nutzt nicht lieber einen Dienst, bei dem man darauf vertrauen kann, dass die eigenen Daten nicht ungewollt in die Hände Dritter gelangen?
Sonstige Legal To-dos eines Start-ups
Neben den datenschutzrechtlichen To-dos gibt es natürlich noch weitere rechtliche Themen, die es von Start-ups zu beachten gilt. Typische To-dos und Beratungsfelder, die mich und die von mir betreuten Start-ups immer wieder beschäftigen, sind etwa Fragen zur richtigen Gesellschaftsform, die Gründung einer Gesellschaft zusammen mit einem Notar, Fragen zum optimalen Schutz einer von den Start-ups entwickelten Marke, Fragen zum rechtskonformen Aufbau eines Online-Shops durch Integration von AGB, Impressum & Widerrufsbelehrungen, Fragen zu Mitarbeiterbeteiligungsprogrammen wie ESOP & VSOP, die Begleitung der Start-ups bei Verhandlungsrunden mit Investoren und Business Angels oder auch die Beratung zu Verträgen aller Art, wie insbesondere zu Kooperationsverträgen, Softwareverträgen, Arbeitsverträgen, Geschäftsführerverträgen etc. Die Bearbeitung all dieser Themen stellt Start-ups im ersten Blick vor große Herausforderungen. Mit dem richtigen Partner an ihrer Seite kann jedoch auch diese Herausforderung gemeistert werden.
TechTeam Law – Die Start-up Anwälte
Wir als Kanzlei und insbesondere ich als Anwalt kann bereits auf eine langjährige Beratungserfahrung in allen Themen betreffend Start-ups und digitale Geschäftsmodelle zurückgreifen. Hierbei habe ich schon weit über 100 Start-ups zu allen Fragen ihres Geschäftsmodells beraten. Besonders wichtig ist mir hierbei, dass die Start-ups Vertrauen zu mir und meiner Beratung aufbauen. Dieses Vertrauen versuche ich dadurch zu erreichen, dass ich für die Termine mit den Start-ups entweder dort hinkomme, wo sie sich wohlfühlen. Nämlich zu ihren Arbeitsplätzen in den Start-up Hubs, Co-Working Places oder Accelerator Programmen. Weiterhin biete ich auch Beratungen über alle gängigen Videokonferenz-Tools wie etwa MS Teams, Zoom etc. an. Zudem interessiere ich mich für das Geschäftsmodells jedes einzelnen Start-ups. Ich nehme mir Zeit, höre zu und zeige den Start-ups, dass ich neben meinem juristischen Know-how auch viel technische Erfahrung mitbringe. Diese technische Erfahrung habe ich durch langjährige Arbeit in und mit Softwareunternehmen und digitalen Geschäftsmodellen gesammelt. Ich bin überzeugt davon, dass eine fundierte und praxisorientierte Beratung nur stattfinden kann, wenn man sich zum einen mit der Materie auskennt, in der man die Start-ups berät und sich zum anderen so ausdrücken kann, dass jeder es versteht. Diese Herangehensweise gepaart mit sehr fairen Preismodellen und Paketpreisen, die es den Start-ups ermöglichen schon vorab zu kalkulieren, was sie für unsere Beratung ausgeben, runden unser Paket ab.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.