Datenschutz bei Start-Ups

Berlin Startup School – Wir beantworten Datenschutzfragen

Ein neu gegründetes Unternehmen hat mit Datenschutz nichts zu tun – denken viele. Das ist ein Irrtum, der schnell sehr teuer werden kann. Welche Dinge es beim Datenschutz zu beachten gibt erklärt unser Data Privacy Manager Hauke Gerdey von datenschutzexperte.de.

2020-08-18

Logo

Wir machen Datenschutz nicht nur digital, sondern endlich auch verständlich.

Als schnell wachsendes Legal-Tech-Unternehmen befähigen unsere über 55 Datenschutzexpert:innen kleine und mittelständische Unternehmen zur Datenschutzkonformität. Unser Motto: making privacy the new normal. Wir kennen (fast) jede Branche, und wissen auch, worauf es bei Ihnen ankommt.

Heute spricht Hauke Gerdey, Data Privacy Manager, über das Thema Datenschutz in Start-Ups mit der BERLIN STARTUP SCHOOL.

 

Datenschutz in der Gründung bereits von Beginn an mitdenken

BERLIN STARTUP SCHOOL: Das Thema Datenschutz ist für viele junge Unternehmen leidiges Thema. Insbesondere im Anfangsstadium wird der Datenschutz meistens vernachlässigt. Ein kalkulierbares Risiko?

Hauke: Definitiv Nein. Ein Unternehmen kann sich nicht leisten, den Datenschutz links liegenzulassen. Auch neu gegründete Unternehmen können den Datenschutz nicht vernachlässigen. Besonders in der Anfangsphase ist es leichter den Datenschutz mit einzubeziehen, als später statische Strukturen umzustoßen. Wird an einem Produkt gearbeitet, soll schon in der Entwicklungsphase des Produkts der Datenschutz berücksichtigt werden (Privacy by Design), sowie benutzerfreundliche datenschutzrechtliche Voreinstellungen (Privacy by Default) vorgenommen werden. Bei Verstößen gegen Datenschutzrecht droht nicht nur die Gefahr von Bußgeldern, sondern auch mögliche Abmahnungen oder Unterlassungsansprüche von Privatpersonen.

 

BSS: Wie hoch können solche Abmahnungen oder Bußgelder ausfallen?

Hauke: Bei Verstößen gegen Bestimmungen aus dem Datenschutz können Geldbußen von bis zu 20 Millionen EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge höher ist.  Dagegen kann die Summe einer Abmahnung –  je nachdem wie hoch der Schaden beziffert ist – variieren.

Wichtig zu wissen ist dabei folgendes: Bußgelder werden durch die einzelnen Aufsichtsbehörden ausgesprochen. Abmahnungen hingegen durch Konkurrenten.

 

BSS: Gibt es denn einen ganz typischen Fehler, der beim Datenschutz am häufigsten zu beobachten ist?

Hauke: Einige der häufigsten Fehler sind:

 

Datenschutz im Online-Bereich: Ein weites Feld

BSS: Los geht's bei den Start-Ups meistens mit einer einfachen Website. Welche Komponenten dürfen aus Sicht des Datenschutzes auf keinen Fall fehlen?

Hauke: Es gibt Komponenten, die jede geschäftliche Website enthalten muss, wie

  • Impressum: Im Impressum stehen gesetzliche Pflichtangaben über das Unternehmen aus dem Telemediengesetz
  • Datenschutzerklärung: Jede Website muss eine Datenschutzerklärung erhalten, welche von jeder Unterseite mit einem Klick erreichbar ist und inhaltlich über die Datenverarbeitungen auf der Website informieren
  • Cookiebanner: Über den Cookiebanner  kann für Werbe- und Trackingcookies die notwendige Zustimmung eingeholt werden.
  • Seitenverschlüsselungen: Verschlüsselung der Website, der verwendeten Formulare etc.

 

BSS: Viele Start-Ups nutzen für Impressum & Co. einen Online-Generator. Reicht das aus?

Hauke: Es gibt viele gute Impressumsgeneratoren im Internet, eine Garantie auf Vollständigkeit ist aber nie gegeben und im Zweifel sollte das Impressum individuell geprüft werden. Dasselbe gilt für Datenschutzerklärungsgeneratoren. Es besteht immer die Gefahr von Falschangaben. Aus diesem Grund sollten sowohl Impressum als auch Datenschutzerklärung von einem Experten wie einem Datenschutzbeauftragten geprüft werden.

 

BSS: Bei den Website-Cookies wird es dann schon komplizierter: Was ist da der aktuelle Stand?

Hauke: Auch hier bieten einige Anbieter eine Cookie-Prüfung an. Zusätzlich haben viele Consent Management Platforms ein eigenes, integriertes Cookie Scan Verfahren. Unsere Empfehlung ist, dass der Datenschutzbeauftragte am besten eng mit der Marketingabteilung/-agentur für einen umfangreichen Schutz zusammenarbeitet.

 

BSS: Wenn die Website einmal steht, ist der Newsletter ein beliebtes Marketinginstrument und wird gleichzeitig dazu genutzt, um Kontaktdaten abzufragen. Gibt es dabei Do's und Don'ts?

Hauke: Kein Newsletterversand ohne Einwilligung. Die Einwilligung muss per Double Opt In Verfahren eingeholt werden. Dieses erfolgt in zwei Schritten: Im ersten Schritt meldet sich eine Person über eine Website zu einem Newsletter an. Im zweiten Schritt muss die Identität der Person durch eine Bestätigungsmail validiert werden. Meldet sich die Person später wieder vom Newsletter ab, muss sichergestellt werden, dass ihr keine weiteren E-Mails gesendet werden.

 

BSS: Eine andere Herangehensweise, bspw. um die ersten Produktfotos zu veröffentlichen und eine Community aufzubauen, sind Facebook, Instagram oder Pinterest. Was muss man beim Social Media Auftritt beachten?

Hauke: Wenn Unternehmen beschließen, einen Social-Media-Auftritt zu erstellen, sollte zuerst eine Social-Media-Richtlinie aufgestellt werden. In dieser wird festgehalten, zu welchem Zweck ein Kanal bespielt werden soll. Außerdem müssen grundlegende Fragen geklärt werden, bspw. wer die Berechtigung hat den Social-Media-Auftritt zu betreuen oder in welchen Umfang Unternehmensinformationen veröffentlicht werden dürfen. Zusätzlich benötigt jedes Unternehmen genauso ein Impressum für die Firmenseite in Social Media wie für die eigentliche Website.

 

Unternehmensvorteile durch Datenschutz

BSS: Und ab wann braucht man einen Datenschutzbeauftragten, der sich um alles kümmert?

Hauke: Ab einer Anzahl von 20 Mitarbeiter:innen, die sich regelmäßig mit personenbezogenen Daten beschäftigten, sind Unternehmen verpflichtet, einen Datenschutzbeauftragten zu bestellen. Grundsätzlich können Unternehmen aber auch freiwillig einen Datenschutzbeauftragten hinzuziehen. Die Anforderungen aus der DSGVO (Datenschutzrecht) müssen auch ohne Datenschutzbeauftragten von jedem Unternehmen gleich umgesetzt werden.

 

BSS: Was würdet ihr den Gründern empfehlen, um den Überblick zu behalten? Gibt es Datenschutz-Lösungen, die mit den Anforderungen des Start-Ups wachsen?

Hauke: Wir empfehlen auf jeden Fall ab der Early Stage eines Start-Ups den Focus auf datenschutzrechtliche Umsetzung zu legen, um die Weichen bereits in der Gründungsphase bestmöglich zu stellen. Auch ein Datenschutzbeauftragter oder eine innovative Datenschutzsoftware wie Proliance 360 nehmen aus Datenschutz-Sicht viel Arbeit ab. Und kommt es einmal zur Due Diligence, ist ein ausführliches Datenschutz-Management natürlich ein unschlagbarer Vorteil.

 

Die Umsetzung der DSGVO ist gerade für Gründer eine große Herausforderung. Mehr Informationen und wichtige To-Dos zum Thema finden Sie hier.

Autorin: Kathrin Strauß

Veröffentlicht am: 18.08.2020

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr