Die meisten Start-ups orientieren sich an den Ansprüchen des 21. Jahrhunderts: Sie handeln kundenorientiert, unternehmensübergreifend und überwiegend digital. Dabei ergeben sich speziell seit der Einführung der Datenschutz-Grundverordnung (DSGVO) 2018 neue Herausforderungen für Gründerinnen, mit denen es sich auseinanderzusetzen gilt. In diesem FEMPRENEUR Beitrag teilen wir mit dir die 5 wichtigsten Datenschutz-Tipps für Gründer*innen.
#1 Der sichere Umgang mit personenbezogenen Daten
Den wohl größten Schutz bietet die DSGVO der Verarbeitung personenbezogener Daten. Darunter fallen unter anderem der Name, die Adresse oder die Krankendaten einer Person. Kurzum, alle Daten, die eindeutig einer natürlichen Person zugeordnet werden können.
Dabei ist die Form der Angaben nebensächlich: Auch Bilder, Video- oder Tonaufnahmen können personenbezogene Daten beinhalten. Als besonders schützenswert gilt die ethnische und kulturelle Herkunft sowie die politische, religiöse oder sexuelle Orientierung einer Person.
Unternehmen dürfen mit personenbezogenen Daten arbeiten, sofern die betroffene Person der Erhebung, Speicherung, Veränderung, Verarbeitung oder Weitergabe der Daten zugestimmt hat. Unachtsamer Umgang mit personenbezogenen Daten kann hohe Bußgelder und andere rechtliche Sanktionen mit sich ziehen.
Besonders bei der Weitergabe von personenbezogenen Daten an Dritte, sollte geprüft werden, ob diese gemäß Art. 6 DSGVO rechtmäßig ist. Hierzu muss entweder eine Einwilligung der betroffenen Person vorliegen, die Notwendigkeit im Sinne einer Vertragserfüllung oder das berechtigte Interesse des Unternehmens überwiegen.
Beispiel: Als Betreiberin eines Online-Shops dürfen Sie die Adressen Ihrer Kunden für den Versand an ein zustellendes Unternehmen weiterleiten (Vertragserfüllung).
Tipp: Um ohne Probleme in der Analyse oder dem Controlling mit wichtigen Datensätzen zu arbeiten, bietet es sich an entsprechende Datensätze zu anonymisieren oder pseudonymisieren. Dabei werden alle Daten, die die Identifikation einer bestimmten Person ermöglichen, gelöscht oder durch Kennzahlen ersetzt. Mehr zur Anonymisierung und Pseudonymisierung im Sinne der DSGVO lesen Sie hier.
#2 Was es beim E-Mail-Marketing zu beachten gilt
Auch die E-Mail-Adresse gehört laut DSGVO zu den personenbezogenen Daten. Sie gilt auch, wenn sie nicht den vollständigen Namen des Empfängers enthält, als besonders schützenswert. Ohne rechtliche Grundlage ist die Weitergabe der Adresse oder die Weiterleitung und Archivierung von E-Mails deshalb nicht erlaubt.
Um Werbe- und Marketing-E-Mails zu versenden, muss eine nach Art. 5 DSGVO freiwillige, spezielle und eindeutige Einwilligung vorliegen. Jene gilt nur als freiwillig, wenn sie nicht als Voraussetzung für einen Vertrag gilt. Zudem muss das Unternehmen seinen Informationspflichten nach Art. 13, 14 DSGVO nachkommen:
- Dazu gehören die Angaben zur eigenen Identität
- Der Zweck der Datenverarbeitung
- Die Aufklärung über die Rechte auf Auskunft, Widerspruch, Berichtigung, Löschung und Beschwerde
- sowie der Hinweis auf Risiken, Vorschriften, Garantien und Rechte in Bezug auf die Datenverarbeitung.
Achtung: Diese Informationen müssen ebenfalls in der Datenschutzerklärung auf der Website des Unternehmens, sowie dem Social-Media-Auftritt einsehbar sein.
Auch bei der Sammlung von E-Mail-Adressen, muss die Werbeabsicht klar erkennbar sein und darüber informiert werden, welche Art von Mailings damit aktiviert werden.
In keinem Fall dürfen automatisierte oder unaufgeforderte E-Mails an potenzielle Neukunden verschickt werden – Kaltakquise per Telefon, E-Mail oder SMS ist in Deutschland verboten.
Ausnahme: Wenn eine E-Mail im Kontext eines Kaufes erhoben wurde, ist es dem Unternehmen gestattet, der betreffenden Person Werbe-E-Mails zu schicken, die in direktem Zusammenhang mit den erworbenen Produkten oder Dienstleistungen stehen. Dies ist jedoch nur möglich, wenn der/die Kund:in im Vorfeld nicht ausdrücklich der Verwendung personenbezogener Daten widersprochen hat.
#3 Die Einstellung von Datenschutzbeauftragten
Aufgrund der DSGVO gilt der Datenschutz in Unternehmen bereits in vielen Branchen als Wettbewerbsfaktor. Datenschutzkonformes Verhalten fördert sowohl Geschäftsbeziehungen als auch die Kundengewinnung.
Es ist sinnvoll, dass in jedem Unternehmen eine Person benannt wird, die sich für den Datenschutz verantwortlich fühlt. In Deutschland gilt dies verpflichtend für jedes Unternehmen, in dem mindestens 20 Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beauftragt sind.
Achtung: Dazu zählt jede Person, die über eine eigene Firmen-E-Mail verfügt.
Unternehmen haben die Möglichkeit, eine:n interne:n oder externe:n Datenschutzbeauftragte:n zu berufen. Er/sie ist dafür zuständig, als unabhängiges Kontrollorgan die Arbeitsabläufe und Datenverarbeitung im Unternehmen zu prüfen und gemeinsam mit der Geschäftsleitung Wege zur Einhaltung der DSGVO zu etablieren.
Die individuellen Aufgaben des/der Datenschutzbeauftragten sind stark abhängig vom Digitalisierungsgrad und der Struktur, den Produkten und Dienstleistungen sowie dem Know-how der Mitarbeiter:innen im Unternehmen. Viele Datenschutzbeauftragte empfehlen ganzheitliche Weiterbildungsmaßnahmen der Mitarbeiterschaft, um ein gewisses Datenschutzniveau im Unternehmen zu etablieren.
Besonders im Bereich Social Media empfiehlt sich die Ausarbeitung eines Datenschutzkonzeptes durch eine:n erfahrene:n Datenschutzbeauftragte:n. Auf Twitter, Facebook und Co. kommt es schnell zu rechtlichen Fehltritten, die unangenehme Folgen für das Unternehmen haben können.
Einige Unternehmen verbieten ihren Mitarbeiter:innen den Umgang mit sozialen Medien während der Arbeitszeit, andere wiederum sind auf eine starke unternehmerische Darstellung in den Netzwerken angewiesen. Hierbei laufen viele Profile Gefahr, personenbezogene Daten oder Bildmaterial unsachgemäß zu verwenden, Betriebsgeheimnisse zu veröffentlichen oder die Passwortsicherheit zu riskieren.
Erfahren Sie hier, worauf Ihre Mitarbeiter:innen bei der Passwortvergabe achten sollten.
Achtung: Bei der Erstellung sog. Plug-ins auf der Website, die zu den Social Media Profilen führen, müssen in jedem Fall die Datenschutzbestimmungen entsprechend ergänzt werden.
#4 Privacy by Design und Privacy by Default
Technisch basierte Start-ups sollten das Prinzip des Privacy by Design kennen: Hierbei wird der Datenschutz bereits in die Produktentwicklung integriert. Während bislang keine Verpflichtung besteht, datenschutzfreundliche Produkte zu entwickeln, empfiehlt es sich jedoch, da Unternehmen, die mit Soft- und Hardware arbeiten, die nicht den Ansprüchen der DSGVO entspricht, in der Zukunft mit hohen Strafzahlungen rechnen müssen.
Worauf Unternehmen bei der Software-Entwicklung achten sollten:
- Sie sollten nur mit den wirklich notwendigen personenbezogenen Daten arbeiten
- kontrollieren, wo die Datenzentren der verwendeten Cloud-Services liegen
- Frühestmöglich die Anonymisierung bzw. Pseudonymisierung der personenbezogenen Daten durchführen
- Verschlüsselungsmethoden einsetzen
- die Art der Speicherung und Verarbeitung der Daten transparent an die Nutzer:innen kommunizieren
- Der Pflicht zur Löschung, Übertragung und Auskunft der Daten nachkommen
Privacy by Default hingegen bezieht sich auf das bereits fertige Produkt und dient primär dem Schutz der Privatsphäre der Nutzer:innen. Durch datenschutzfreundliche Voreinstellungen wird auch weniger technikversierten Nutzer:innen ermöglicht, ihre Daten zu schützen.
#5 Sichere Cloud-Lösungen
30 Prozent der deutschen Unternehmen wollen, um die steigende Komplexität zu beherrschen, verstärkt IT-Services auslagern. Etwa die Hälfte von ihnen möchte dies vorrangig mit europäischen Anbietenden machen.
Dies liegt an den Folgen des Schremms II Urteils von 2020, welches besagt, dass personenbezogene Daten von EU-Bürgern nur dann in Drittländer übermittelt werden dürfen, wenn sie dort einen gleichwertigen Schutz genießen.
Das Schutzniveau der USA wurde dabei vom Europäischen Gerichtshof geringer als das der DSGVO eingestuft. Des Weiteren wurde der US Privacy Shield, auf den sich bislang die meisten Datenübermittlungen in die USA stützten, gestürzt.
Dies hatte zur Folge, dass Unternehmen ihre Datenübermittlung in Drittländer gemäß Kapitel V der DSGVO überprüfen und zusätzliche Verschlüsselungsmechanismen zur Sicherheit der Daten einführen mussten. Als wichtigstes Werkzeug stehen hier vorwiegend Cloud-Services auf dem Prüfstand.
Da ihre Funktion als Datenplattform, die es ermöglicht, Informationen aus verschiedenen Quellen zu verwalten, eine Voraussetzung für die unternehmensweite Digitalisierung ist. Die am meisten genutzten Cloud-Anbieter gehören US-Firmen, welche beispielsweise aufgrund des Patriot Acts im Verdachtsfall dazu verpflichtet sind, den amerikanischen Behörden Zugriff auf ihre Daten zu gewähren.
Da eine baldige politische Lösung nicht in Sicht ist, sollte vor der Gründung eines Unternehmens genauestens geprüft werden, mit welchen Anbietenden gearbeitet und ggf. eine EU-Standardschutzklausel vereinbart werden sollte.
Aufgrund dessen ist in den nächsten Jahren jedoch auch mit einigen europäischen Cloud-Lösungen, wie mit dem von der deutschen Bundesregierung unterstützten Projekt Gaia-X, zu rechnen.
Die Bedeutung von Datenschutz im Startup
42 % der deutschen Unternehmen geben an, dass ihr Aufwand im Bereich des Datenschutzes durch die Einführung der DSGVO immens gestiegen sei.
Dabei ist der funktionierende Datenschutz ein existenzieller Bestandteil der erfolgreichen Digitalisierung. Nur so können die immer größer werdenden Mengen an individuellen Daten vor Datenmissbrauch bewahrt und Kund:innen die Sicherheit ihrer Daten garantiert werden.
Es ist deshalb eine der wichtigsten Aufgaben einer Gründerin, das Datenschutzbewusstsein sowohl in der Unternehmensführung als auch bei ihren Mitarbeiter:innen zu stärken. Nur so kann es sich fest in der Unternehmenskultur verankern, sodass deutsche und europäische Unternehmen ihre disruptiven Kräfte entfalten und weiterhin wirtschaftlich relevant bleiben können.
Datenschutz-Schulungen bei lawpilots
Erfahren Sie mehr über die Regelungen der DSGVO und wie Sie als Unternehmen Sie am einfachsten einhalten. Mit den Datenschutz-Schulungen bei lawpilots bieten Sie Ihren Mitarbeiter:innen eine flexible und attraktive Form der Weiterbildung und schützen gleichzeitig Ihr Unternehmen vor möglichen Schäden.
lawpilots bietet über 40 verschiedene Online-Schulungen in mehr als 30 Sprach- und Länderversionen in den Bereichen Datenschutz, Compliance, Arbeitsschutz und IT-Sicherheit an.
Dabei wird mit Erfolg auf einen spielerischen Ansatz gesetzt, um der geringen Motivation für juristische und technische Schulungen entgegenzutreten. Bereits über 1.000.000 Mitarbeiter:innen von mehr als 1.000 Organisationen wie Siemens oder VW haben erfolgreich an den interaktiven Online-Schulungen teilgenommen.
Quellen:
Boßow-Thies, S., et al (2020). Data-driven Marketing, Insights aus Wissenschaft und Praxis. Springer Fachmedien Wiesbaden GmbH
BmWi (2021). Der deutsche Gaia-X-Hub
DDV (2021): E-Mail-Marketing Benchmarks 2021
Engels, B., Röhl K.H. (2021). Mehr Kooperation von Start-Ups und Mittelstand als Chance für Digitalisierung und Innovationen. Wiesbaden: Springer.
Titelfoto: via Unsplash (Dan Nelson)
Autor: lawpilots
Der führende E-Learning-Experte in rechtlich regulatorischen Themen wurde 2017 von erfahrenen Berater:innen und Jurist:innen gegründet. lawpilots setzt genau dort an, wo es bei vielen Organisationen mangelt: an einheitlicher Weiterbildung der Führungsebene und Mitarbeiterschaft. Denn sowohl die Einführung der Datenschutz-Grundverordnung (DSGVO), die Auswirkungen der Digitalisierung als auch der gesellschaftliche Wertewandel führen in Organisationen zu einer erhöhten Rechtsunsicherheit. Das Schulungsportfolio von lawpilots beinhaltet mittlerweile über 40 E-Learnings aus den Bereichen Datenschutz, Compliance, IT-Sicherheit und Arbeitsschutz und wird kontinuierlich weiter ausgebaut.
Bei diesem Beitrag handelt es sich um einen Native Post. Wenn du auch auf FEMPRENEUR erscheinen willst, dann informier dich gerne hier.
