💻🔒 Gerade für Gründer ist die Umsetzung der DSGVO (Datenschutz-Grundverordnung) eine große Herausforderung.
Als Anbieter für Datenschutz Software und Datenschutzberatung weiß datenschutzexperte.de, worauf es beim Schutz personenbezogener Daten in einem jungen Unternehmen ankommt und gibt hilfreiche Tipps zum Datenschutz in Startups.
Hauke Gerdey, Data Privacy Manager, war nicht nur bei einem unserer Workshops zu Gast, sondern hat uns auch wichtige Fragen zum Thema Datenschutz in Startups beantwortet.
BERLIN STARTUP SCHOOL (BSS): Für viele junge Unternehmen ist Datenschutz ein unangenehmes Thema. Besonders im Anfangsstadium wird der Datenschutz meistens ausgeklammert. Ein kalkulierbares Risiko?
🧑🏻💻 Hauke: Nein. Auch ein junges Unternehmen kann sich nicht erlauben, den Datenschutz zu vernachlässigen. Wenn beispielsweise an einem neuen Produkt gearbeitet wird, muss schon in der Entwicklungsphase der Datenschutz berücksichtigt werden.
Nicht nur Bußgelder drohen bei Verstößen gegen das Datenschutzrecht, sondern auch mögliche Abmahnungen oder Unterlassungsansprüche von Privatpersonen.
BSS: Wie hoch können solche Bußgelder ausfallen?
🧑🏻💻 Hauke: Bei Verstößen gegen Bestimmungen aus dem Datenschutz können Bußgelder von bis zu 20 Millionen EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden.
Folgendes sollte man dabei wissen: Abmahnungen werden durch Konkurrenten ausgesprochen und Bußgelder durch die einzelnen Aufsichtsbehörden.
BSS: Gibt es denn typische Fehler, die beim Datenschutz am häufigsten gemacht werden?
🧑🏻💻 Hauke: Häufige Fehler sind, dass Datenschutzverstöße nicht gemeldet werden, Betroffenenanfragen nicht nachgekommen wird, die Vorratsdatenspeicherung und Werbemails ohne Zustimmung des Empfängers versendet werden.
BSS: Bei Startups geht es meistens mit einer Website los. Welche Komponenten dürfen aus Sicht des Datenschutzes auf keinen Fall fehlen?
🧑🏻💻 Hauke: Jede geschäftliche Website muss diverse Komponenten enthalten, wie zum Beispiel:
· Impressum: Im Impressum stehen gesetzliche Pflichtangaben über das Unternehmen aus dem Telemediengesetz
· Datenschutzerklärung: Jede Website muss eine Datenschutzerklärung erhalten, die von jeder Unterseite mit einen Klick erreicht werden kann und inhaltlich über die Datenverarbeitungen auf der Website informieren
· Cookiebanner: Über den Cookiebanner, kann für Werbe- und Trackingcookies die notwendige Zustimmung eingeholt werden.
· Seitenverschlüsselungen: Verschlüsselung der Website, der verwendeten Formulare etc.
BSS: Viele junge Unternehmen nutzen für Impressum & Co. einen Online-Generator. Reicht das aus?
🧑🏻💻 Hauke: Es gibt viele gute Impressumsgeneratoren im Internet, eine Garantie auf Vollständigkeit gibt es aber nie. Im Zweifel sollte das Impressum individuell geprüft werden. Dasselbe gilt für Datenschutzerklärungsgeneratoren, da immer die Gefahr von falsch Angaben besteht. Daher sollte die Datenschutzerklärung von einem Datenschutzbeauftragten geprüft werden.
BSS: Bei den Website-Cookies kann es dann schon komplizierter werden: Was gilt es hier zu beachten?
🧑🏻💻 Hauke: Einige Anbieter bieten hier eine Cookie-Prüfung an. Außerdem haben viele Consent Management Platformen ein eigenes integriertes Cookie Scan Verfahren. Am besten arbeitet der Datenschutzbeauftragte eng mit der Marketing Abteilung oder Agentur zusammen, um einen möglichst umfassenden Schutz zu gewährleisten.
BSS: Der Newsletter ist ein beliebtes Marketinginstrument und wird dazu genutzt, um Kontaktdaten zu gewinnen. Gibt es dabei Do's und Don'ts?
🧑🏻💻 Hauke: Hier ist wichtig, dass kein Newsletterversand ohne Einwilligung stattfindet. Es gilt zu beachten, immer die Einwilligung per Double Opt In Verfahren einzuholen.
Erstens heißt dies die Anmeldung über die Website und zweitens die Identität des Abonnenten/der Abonnentin mit einer E-Mail zu bestätigen. Wenn sich Betreffende wieder abmelden, dürfen keine E-Mails mehr versendet werden.
BSS: Beliebt ist auch über Social Media Reichweite zu generieren. Was muss hier beachten?
🧑🏻💻 Hauke: Als erstes sollte eine Social-Media-Richtlinie aufgestellt werden. Hier wird beschlossen, zu welchem Zweck ein Kanal genutzt werden soll. Außerdem müssen grundlegende Fragen geklärt werden.
Zum Beispiel wer die Berechtigung für den Social-Media-Auftritt hat und in welchen Umfang Unternehmensinformationen veröffentlicht werden dürfen. Auch für die Firmenseite in Social Media braucht ein Unternehmen ein Impressum.
BSS: Ab wann würde man einen Datenschutzbeauftragten benötigen?
🧑🏻💻 Hauke: Unternehmen sind verpflichtet ab einer Anzahl von 20 Mitarbeiter*innen, die sich regelmäßig mit personenbezogenen Daten beschäftigten, einen Datenschutzbeauftragten zu bestellen. Gleiches gilt, wenn das Unternehmen mit großen Mengen besonderes sensibler Daten wie etwa Gesundheitsdaten oder politisch Einstellungen arbeitet.
Unternehmen können aber auch freiwillig einen Datenschutzbeauftragten hinzuziehen. Auch ohne Datenschutzbeauftragten müssen jedoch die Anforderungen aus der DSGVO (Datenschutzrecht) von jedem Unternehmen gleich umgesetzt werden.
BSS: Was würdest du Gründern empfehlen, damit sie den Überblick behalten? Gibt es Datenschutz-Lösungen, die mit den Anforderungen des Startups wachsen?
🧑🏻💻 Hauke: Wir empfehlen auf jeden Fall von Beginn an den Focus auf datenschutzrechtliche Umsetzung zu legen, um die nötigen Strukturen von Anfang in die DNA des Unternehmens mit aufzunehmen und sich bereits in der Gründungsphase bestmöglich auszurichten.
Viel Arbeit nehmen auch ein Datenschutzbeauftragter oder eine innovative Datenschutzsoftware wie Proliance 360 ab. Kommt es einmal zur Due Diligence, dann ist ein umfangreiches Datenschutz-Management natürlich ein enormer Vorteil.
Vielen Dank für das Interview!