Auch wenn das Thema Datenschutz im ersten Moment sehr komplex und schwierig wirken mag: Mit ein wenig Experten-Nachhilfe können Sie Ihr Start-up von Anfang an datenschutzkonform machen – was im Übrigen auch in puncto Wettbewerbsrecht wichtig ist. Die folgende Checkliste für Start-ups gibt einen Überblick über die Anforderungen der DSGVO und soll Start-ups und Gründern dabei helfen, diesen gerecht zu werden.
Checkliste: DSGVO für Start-ups
1. Bestellen Sie einen Datenschutzbeauftragten
Sie glauben, Ihr Start-up wäre so klein, dass Sie keinen Datenschutzbeauftragten benötigen? Bereits ab zehn Personen, die mit der Verarbeitung von Daten beschäftigt sind – hier zählen auch Freelancer, Teilzeitkräfte, Werkstudenten und Praktikanten – muss ein Unternehmen einen Datenschutzbeauftragten bestellen. Wenn es sich um besonders sensible Daten handelt oder sie gewerbsmäßig gehandelt oder zu Zwecken der Markt- und Meinungsforschung verwendet werden, entfällt diese Grenze, und die Bestellung eines Datenschutzbeauftragten ist unabhängig von der Mitarbeiterzahl erforderlich.
Ob Sie sich für einen internen oder externen Datenschutzbeauftragten entscheiden, ist von vielen Faktoren abhängig. Für die meisten kleinen Unternehmen ist ein externer Datenschutzbeauftragter die bessere Wahl, weil keine Interessenskonflikte drohen und – trifft man die richtige Wahl – der externe Datenschutzbeauftragte ein breites Fachwissen zum Datenschutz und zur DSGVO mitbringt.
2. Erstellen Sie ein Verzeichnis von Verarbeitungstätigkeiten
Die DSGVO verpflichtet Unternehmen dazu, sämtliche regelmäßig stattfindenden Datenverarbeitungsprozesse in einem Verzeichnis von Verarbeitungstätigkeiten zu dokumentieren. Unter anderem müssen hier die verantwortliche Stelle und deren Leiter, der Zweck der Datenerhebung, -nutzung und -verarbeitung, die Regelfristen zur Löschung sowie eine etwaige Übermittlung in Drittstaaten außerhalb der EU angegeben werden. Wie detailliert dieses Verzeichnis sein muss und welche genauen Informationen integriert werden müssen, kann Ihnen Ihr Datenschutzbeauftragter sagen.
3. Ergreifen Sie technische und organisatorische Maßnahmen (TOM)
Als Unternehmer werden Sie eine Vielzahl von technischen und organisatorischen Maßnahmen ergreifen, um den Anforderungen der DSGVO gerecht zu werden. Diese müssen ebenfalls dokumentiert werden. Konkret geht es hierbei um die Kontrolle der folgenden Aspekte:
- Zutritt zu den Räumlichkeiten des Unternehmens
- Zugang zu Datenverarbeitungssystemen
- Zugriff auf Daten und Verarbeitungsprozesse
- DSGVO-konforme Weitergabe von Daten
- Datenverwaltung und -pflege
- Daten, die für die Auftragsabwicklung notwendig sind
- Verfügbarkeit der Daten durch Backups, Virenschutz etc.
- Getrennte Verarbeitung von Daten, die für unterschiedliche Zwecke erhoben wurden
4. Führen Sie eine Datenschutz-Folgeabschätzung durch
Bei diesem Punkt geht es um das Risiko für die Rechte und Freiheiten von natürlichen Personen, welches mit der Datenverarbeitung in Ihrem Unternehmen einhergeht. In der Regel wird die Datenschutz-Folgeabschätzung von Ihrem Datenschutzbeauftragten durchgeführt. Es besteht keine Pflicht, sie zu veröffentlichen.
5. Stellen Sie die Betroffenenrechte sicher
Die DSGVO hat die Rechte der Bürger, was die Verarbeitung ihrer Daten angeht, enorm gestärkt. Das bedeutet auch, dass Sie als Unternehmer diese Rechte erfüllen müssen. Neben der Sicherstellung, dass die Verarbeitung von Daten ausschließlich auf einer entsprechenden Rechtsgrundlage erfolgt, zählen dazu folgende Regelungen:
- Recht auf Auskunft nach Art. 15 DSGVO
- Informationspflicht
- Recht auf Berichtigung nach Art. 16 DSGVO
- Recht auf Löschung nach Art. 17 DSGVO
- Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO
- Recht auf Mitteilung nach Art. 19 DSGVO
- Recht auf Datenübertragbarkeit nach Art. 20
- Beschwerderecht bei einer Datenschutzaufsichtsbehörde nach Art. 77 DSGVO
- Recht auf Widerruf der erteilten Einwilligung nach Art. 7 DSGVO
- Widerspruchsrecht nach Art. 21 DSGVO
6. Schließen Sie Auftragsverarbeitungsverträge (AVV) ab
Gerade als Start-up werden Sie in vielen Bereichen mit Dienstleistern bei der Datenverarbeitung zusammenarbeiten – sei es in Form von Software-as-a-Service-Lösungen (SaaS) oder Cloud-Anbietern. Hierfür müssen Sie entsprechende Verträge mit diesen externen Dienstleistern abschließen. Nur wenn ein gültiger AV-Vertragvorliegt, kann die Weitergabe von Daten an Dritte DSGVO-konform sein.
7. Setzen Sie auf fachliche Expertise
Als Jungunternehmer haben Sie höchstwahrscheinlich kein immens hohes Budget für den Datenschutz. Doch dieser ist nicht erst seit Einführung der DSGVO extrem wichtig und sollte daher keineswegs vernachlässigt werden, egal wie klein und jung ein Unternehmen auch sein mag. Dabei müssen Sie das Datenschutzwissen gar nicht intern im Unternehmen aufbauen – setzen Sie stattdessen auf einen externen Datenschutzbeauftragten mit Start-up-spezifischem Fachwissen. Dieser wird Sie in allen Fragen rund um den Datenschutz beraten und sicherstellen können, dass Ihr Start-up in puncto DSGVO gut aufgestellt ist.
Lesen Sie außerdem, welche 5 Datenschutzfehler Sie als Start-up unbedingt vermeiden sollten.
Datenschutz ist ein komplexes Thema, und diese Checkliste kann keine individuelle Beratung durch einen Experten ersetzen. Vielmehr soll sie jungen Unternehmern und Start-ups den Einstieg in das Thema DSGVO erleichtern.