Die DS-GVO und Start-Ups

13. Februar 2019Datenschutz

Nicht nur der Rekordsommer hat uns im vergangenen Jahr die Schweißperlen auf die Stirn getrieben, viele Unternehmen sind auch etliche Monate nach dem Stichtag, nämlich dem 25.05.2018 nicht bereit, den Anforderungen der DS-GVO gerecht zu werden. 

Bei fehlerhafter oder unterlassener Umsetzung der Vorgaben drohen aber hohe Bußgelder, welche gerade Start-Ups den Start ins Unternehmertum ganz schön versalzen können. In Fachkreisen schon als Erfolgsmodell gepriesen, ist die Stimmung in Unternehmen in Bezug auf die DS-GVO immer noch verhalten. Nur schleppend wird man dort “Herr der Lage”. Oder vielmehr “Herr der Daten”?

1. Hintergrund

99 Artikel und 173 Erwägungsgründe dienen dem Schutz der betroffenen Personen. Die DS-GVO zeigt sich damit umfangreicher als die Richtlinie 95/46/EG, auf der diese aufgebaut ist. Hinzu kommen Handlungsempfehlungen der Datenschutzbehörden und der Artikel-29-Datenschutzgruppe. Insgesamt ein nicht unerheblicher organisatorischer, sowie finanzieller Aufwand.

Dabei dient die DS-GVO dem Schutz der Grundrechte. Die Rede ist vom “Recht auf informationelle Selbstbestimmungen” der betroffenen Personen.

Das Recht auf informationelle Selbstbestimmung wird als das “Datenschutz-Grundrecht” gehandelt. In der Verfassung ist es nicht explizit genannt, weist aber einen weiten Schutzbereich auf und erfasst unter anderem auch den Datenschutz. Entwickelt wurde dieses “neue Grundrecht” aus dem allgemeinen Persönlichkeitsrecht und geht zurück auf das sog. Volkszählungsurteil des Bundesverfassungsgerichts (BVerfG, Urteil des Ersten Senats vom 15. Dezember 1983, 1 BvR 209/83 u. a. – Volkszählung –, BVerfGE 65, 1).

2. Abmahnungen ja, Abmahnwelle nein

Obwohl viele Unternehmen am 25.05.2018 noch voll im Umsetzungsstress waren, Dokumente wurde hochgeladen, Datenschutzerklärungen aktualisiert,  so schielten viele schon verstohlen Richtung Fax und E-Mail Eingang. Man befürchtete eine neue allgemeine Abmahnwelle.

Unbegründet, wie sich herausstelle. Zwar gab es Abmahnungen aufgrund fehlender oder mangelhafter Datenschutzerklärungen, Abmahnungen gepaart mit (!) Schmerzensgeldforderungen und diverse Auskunft- und Löschungsverlangen. Die große Welle, wie beispielsweise 2014, lässt bisher allerdings auf sich warten.

Leider heißt das nun nicht, dass der Datenschutz auf die leichte Schulter genommen werden darf. Das zeigt nicht zuletzt, der Fall eines Unternehmens, welches nach dem 25.05.2018 so gar nichts geschafft hatte. Denn hier ließ ein erstes Schreiben der Aufsichtsbehörde in Form eines „Informationsersuchens gemäß Art. 58 Abs. 1 lit. a DS-GVO“ nicht lange auf sich warten. Schade, wenn man nun als Unternehmer innerhalb einer kurzen Frist reagieren, anpassen und nachbessern muss. Das bindet nicht nur Ressourcen, sondern ist auch absolut vermeidbar.

3. Stärkung der Durchsetzungsmöglichkeiten

Das zentrale Element der DS-GVO ist sicherlich die Stärkung der Durchsetzungsmaßnahmen der Datenschutzbehörden und der Gerichte. Datenschutzrechtliche Verstöße, die mit Bußgeldern von bis zu 4% des weltweiten Umsatzes des vorangegangenen Geschäftsjahres geahndet werden können, haben bei vielen Unternehmen den intendierten Zweck erreicht. Unkenntnis der einschlägigen rechtlichen Bestimmungen und das damit verbundene Risiko kann sich keiner leisten. Die Rufschädigung, die unter Umständen mit langwierigen Untersuchungen und Klagen einhergeht, steht der Datenschutz-Compliance gegenüber, die sicherlich zu Vertrauen und Glaubwürdigkeit bei den Kunden führt.
 
Auch hier hat sich gezeigt: Prävention ist unbedingt der späteren Schadensbehebung vorzuziehen!
 
Ein praktischer Weg ist die Sensibilisierung, sowie die speziell auf Ihr Unternehmen zugeschnittene Umsetzung rechtlicher Rahmenbedingungen.

4. Was ist zu beachten?

Auch Start-Ups müssen den Dokumentationspflichten aus art. 30 Abs. 5 DS-GVO nachkommen. Nun mag man zunächst denken, dass Start-Ups von der Dokumentationspflicht ausgenommen sind, weil diese selten mehr als 250 Mitarbeiter haben. Weit gefehlt, denn wenn regelmäßig Daten verarbeitet werden, ist zu dokumentieren. Schlussendlich wird die Datenschutzcompliance auch die Investoren überzeugen.
Das gilt modifiziert im Übrigen auch für Start-Ups im Auftragsverarbeitungsbereich.
 
Letztlich tun Start-Ups gut daran, sich einen Notfallplan zu erarbeiten. Dieser soll das Vorgehen bei Datenpannen, sowie eine Abschätzung der Folgen beinhalten.

Ich biete Ihnen

  • Check der Internetseite inkl. Handlungsempfehlungen
  • Optimierte Datenschutzerklärung
  • Vertrag zur Auftragsverarbeitung
  • Verarbeitungsverzeichnis für Verantwortliche
  • Check der technischen und organisatorische Maßnahmen
  • Datenschutzkonzept
  • Datenschutzschulungen

Kontaktieren Sie mich gerne für ein individuelles Angebot.

Teilen Sie diesen Beitrag

Über die Autorin

Anne-Kathrin Renz

Anne-Kathrin Renz

Anne-Kathrin Renz ist Rechtsanwältin, Datenschutz- und Lehrbeauftragte. Sie hat den theoretischen Teil der Fachanwaltsausbildung Gewerblicher Rechtsschutz und IT-Recht absolviert. Im Blog berichtet sie über aktuelle Themen aus der digitalen Welt der Juristerei.

Jetzt Rechtsberatung anfragen!

    Erforderliche Felder sind mit * markiert.