Datenschutz und Cybersecurity sind in der heutigen Zeit omnipräsent. Die Erklärung für dieses Phänomen ist einfach: Jedes Unternehmen hat und verarbeitet sogenannte „personenbezogene Daten“, und seien es nur die Daten der eigenen Mitarbeiter. Datenschutzrecht einzuhalten ist nicht immer leicht: Insbesondere die Datenschutzgrundverordnung (DSGVO) enthält zahlreiche unbestimmte Rechtsbegriffe, die erst noch auszulegen sind. Oft bleiben Interpretationsspielräume, bis sich Standards und Best Practices etabliert haben, die auch von Behörden und Gerichten akzeptiert werden.
Warum ist das relevant für Startups?
Datenschutz-Compliance ist aus unserer Sicht kein „nice-to-have“, sondern eine wesentliche Überlebensstrategie:
Für Investoren oder Unternehmenskäufer spielt eine zumindest ausreichende Datenschutz-Compliance eine entscheidende Rolle bei der Investitionsentscheidung. Kein Investor möchte sich den nächsten großen Bußgeldfall einkaufen.
Früh Wert auf Datenschutz zu legen kann späteren Mehraufwand oder sogar behördliche Untersuchungen bzw. Strafen ersparen.
Schließlich ist der PR-Faktor nicht zu vernachlässigen: Immer wieder hört man von Datenschutz-Pannen oder -skandalen. Dies sollte einem jungen Startup möglichst erspart bleiben.
Unsere Datenschutzexperten Hanno Timner und Dr. Philip Radlanski erklären euch im Folgenden,was die „Datenschutz-Toolbox“ eines jeden Startups enthalten sollte.
Das Problem der Datenschutz-Compliance stellt sich noch einmal besonders bei Startups. Die meisten Startups sind natürlich keine Unternehmen mit Datenschutz-Schwerpunkt, d.h. das betreffende Unternehmen bietet höchstwahrscheinlich nicht ausgerechnet datenschutzrechtliche Dienstleistungen an. Stattdessen liegt der Fokus ganz woanders, nämlich auf dem Produkt oder der Dienstleistung, die das Startup entwickelt bzw. vermarktet.
Gerade Startups müssen die verfügbaren Ressourcen gut einteilen und es ist völlig klar, dass zu Beginn eines Unternehmens nicht allzu große Mittel in diesen auf den ersten Blick „nicht produktiven“ Bereich gesteckt werden sollen. Aber es ist dennoch wichtig, zumindest die Grundzüge der datenschutzrechtlichen Vorgaben zu kennen und dafür zu sorgen, dass auch ein noch junges Startup hier rechtskonform agiert.
Zugleich haben die Datenschutzbehörden ihren Ansatz radikal verändert. Es gibt inzwischen jährlich hunderte Verfahren, die mit der Verhängung von zum Teil sehr hohen Bußgeldern aufgrund von Datenschutzverstößen enden. Es kommt also darauf an, die Werkzeuge zu kennen, die Unternehmen zur Verfügung stehen, um sich möglichst datenschutzkonform zu verhalten. Und natürlich ist es wichtig, zu wissen: Was hat sich in der Praxis bewährt, was nicht? Wie gehen Wettbewerber praktisch vor und gibt es eine behördliche oder gerichtliche Entscheidung, die dies bestätigt?
Welche Vorgehensweise empfiehlt sich für Startups?
Es gilt viele verschiedene, teilweise sehr feingliedrige, datenschutzrechtliche Vorgaben zu beachten. Kein Rechtsgebiet ist verfassungsrechtlich so fine-getuned – man könnte auch sagen: over-engineered – wie das Datenschutzrecht.
Die Herausforderung für Unternehmen, und insbesondere Startups ist es, diese Vorgaben durch möglichst praxistaugliche Programme zu erfüllen. Hierbei sollten sich Unternehmen natürlich vor allem nach dem Gesetz selbst richten, aber es gibt auch recht viele Leitfäden, Guidelines und Handlungsempfehlungen von Datenschutzbehörden zu jeweils speziellen Themen. Diese ergänzen den teilweise abstrakten Gesetzestext oder liefern Beispielfälle, an denen man sich orientieren kann.
Um sicherzugehen, dass alle relevanten Bereiche abgedeckt sind, stellen wir hier die „Datenschutz-Toolbox“ vor. Dies ist eine Liste mit Werkzeugen, die Startups dabei helfen, Datenschutz-Compliance zu erreichen.
Disclaimer:
Die Inhalte auf dieser Webseite spiegeln ausschließlich die fachliche Auffassung der Rechtsanwälte Hanno Timner und Dr. Philip Radlanski der Kanzlei Morrison Foerster zum Zeitpunkt der Veröffentlichung wider. Die Inhalte stellen eine allgemeine unverbindliche Information dar, welche insbesondere nicht den besonderen Umständen des Einzelfalles Rechnung tragen können. Eine Verwendung liegt daher in der eigenen Verantwortung des Lesers bzw. der Leserin.
