Besonders für junge Unternehmen stellt der gesetzlich vorgeschriebene Datenschutz eine große Herausforderung dar, denn die Regelungen sind in vielen Bereichen unpräzise und für die Nichtbeachtung drohen hohe Strafen.
Doch natürlich sind auch Startups grundsätzlich in der Lage, die Vorschriften des BDSG erfolgreich in ihrem Geschäftsalltag zu berücksichtigen. Dazu müssen lediglich einige Grundsätze beachtet werden. Die wichtigsten davon stellt der folgende Beitrag vor.
Ohne rechtliche Grundlage keine Datenverarbeitung
In der DSGVO, der Datenschutzgrundverordnung, ist ein generelles Verbot mit einem Erlaubnisvorbehalten enthalten. So dürfen personenbezogene Daten lediglich verarbeitet werden, wenn dafür eine Erlaubnis vorliegt – also eine Rechtsgrundlage.
Diese Rechtsgrundlage kann zum Beispiel in der Einwilligung der Person, von der die Daten verarbeitet werden, sowie einer nötigen Vertragserfüllung oder -vorbereitung bestehen. Daneben gelten auch rechtliche Verpflichtungen, lebenswichtige Interessen, öffentliche Aufgaben und berechtigtes Interesse als eine entsprechende rechtliche Basis.
Hohe Anforderungen der rechtlich wirksamen Einwilligung
Im Zuge der Neugestaltung der DSGVO wurden die Anforderungen an die rechtlich wirksame Einwilligung bewusst sehr streng formuliert. Für Unternehmen bedeuten diese hohen Anforderungen viele Fallstricke, weshalb die Einwilligung nicht immer die beste Lösung im Rahmen der Datenverarbeitung darstellt.
Beispielsweise besteht eine Nachweispflicht, ein Trennungsgebot und die stilistischen Vorgaben sind nicht klar definiert. Daneben steht der betroffenen Person zu jeder Zeit ein Widerrufsrecht ihrer Einwilligung zu. Wird einer dieser oder der weiteren Punkte nicht beachtet, liegt keine wirksame Einwilligung vor.
Der Zweck der Datenverarbeitung
Grundsätzlich darf die Verarbeitung von personenbezogenen Daten ausschließlich für festgelegte, eindeutige und legitime Zwecke erfolgen. Jedoch muss der jeweilige Zweck stets vorher festgelegt und eindeutig bestimmbar sein – dies stellt besonders Startups häufig vor Probleme. Schließlich ist zu Beginn der Geschäftstätigkeit oft noch nicht klar, für welchen Zweck die Datenverarbeitung in Zukunft benötigt wird.
Eine Lösung kann darin bestehen, eine so weitreichende Definition des Zwecks vorzunehmen, wie es durch den Geschäftsgegenstand der Firma möglich ist. Berücksichtigt werden sollten dabei ebenfalls denkbare zukünftige Szenarien bezüglich der Datenweitergabe an Dritte.
Im Gegensatz zu der Rechtsgrundlage ist es möglich, den Zweck der Datenverarbeitung zu ändern. Jedoch ist dann – falls keine zusätzliche Einwilligung vorliegt – die Durchführung eines Kompatibilitätstests nötig, der entsprechend zu dokumentieren ist.
Informationspflicht zur Datenverarbeitung
Den betroffenen Personen muss eine Information darüber zukommen, dass ihre Daten durch das Unternehmen verarbeitet werden. Zu den grundlegenden Prinzipien des Datenschutzes gehört schließlich die Transparenz. Ihre Rechte können die betroffenen Personen nur ausüben, wenn sie wissen, von wem ihre Daten auf welche Art verarbeitet werden. Unter anderem leitet sich daraus die Pflicht ab, die Datenschutzinformationen auf der Unternehmenswebseite zu veröffentlichen.
Dabei wird durch die DSGVO vorgesehen, dass die Information über die beabsichtige Datenverarbeitung an die betroffenen Personen erfolgt, bevor diese überhaupt durchgeführt wird. Falls sich eine Änderung des Zwecks ergibt, muss auch darüber informiert werden. Grundsätzlich sind jegliche heimliche Verarbeitungen von Daten rechtswidrig.
Auch, wenn die Datenverarbeitung zu erwarten oder offensichtlich ist, muss eine Information über diese erfolgen. Das gilt auch bei einer rechtlich vorgeschriebenen Verarbeitung von Daten. Zum Beispiel darf so den Kunden nicht unterstellt werden, dass sie in Kenntnis darüber sind, dass ihre Rechnungen zehn Jahre im Unternehmen archiviert werden.