Die DS-GVO und Start-Ups

99 Artikel und 173 Erwägungsgründe dienen dem Schutz der betroffenen Personen. Die DS-GVO zeigt sich damit umfangreicher als die Richtlinie 95/46/EG, auf der diese aufgebaut ist. Hinzu kommen Handlungsempfehlungen der Datenschutzbehörden und der Artikel-29-Datenschutzgruppe. Insgesamt ein nicht unerheblicher organisatorischer, sowie finanzieller Aufwand.

Dabei dient die DS-GVO dem Schutz der Grundrechte. Die Rede ist vom “Recht auf informationelle Selbstbestimmungen” der betroffenen Personen.

Das Recht auf informationelle Selbstbestimmung wird als das “Datenschutz-Grundrecht” gehandelt. In der Verfassung ist es nicht explizit genannt, weist aber einen weiten Schutzbereich auf und erfasst unter anderem auch den Datenschutz. Entwickelt wurde dieses “neue Grundrecht” aus dem allgemeinen Persönlichkeitsrecht und geht zurück auf das sog. Volkszählungsurteil des Bundesverfassungsgerichts (BVerfG, Urteil des Ersten Senats vom 15. Dezember 1983, 1 BvR 209/83 u. a. – Volkszählung –, BVerfGE 65, 1).

Obwohl viele Unternehmen am 25.05.2018 noch voll im Umsetzungsstress waren, Dokumente wurde hochgeladen, Datenschutzerklärungen aktualisiert,  so schielten viele schon verstohlen Richtung Fax und E-Mail Eingang. Man befürchtete eine neue allgemeine Abmahnwelle.

Unbegründet, wie sich herausstelle. Zwar gab es Abmahnungen aufgrund fehlender oder mangelhafter Datenschutzerklärungen, Abmahnungen gepaart mit (!) Schmerzensgeldforderungen und diverse Auskunft- und Löschungsverlangen. Die große Welle, wie beispielsweise 2014, lässt bisher allerdings auf sich warten.

Leider heißt das nun nicht, dass der Datenschutz auf die leichte Schulter genommen werden darf. Das zeigt nicht zuletzt, der Fall eines Unternehmens, welches nach dem 25.05.2018 so gar nichts geschafft hatte. Denn hier ließ ein erstes Schreiben der Aufsichtsbehörde in Form eines „Informationsersuchens gemäß Art. 58 Abs. 1 lit. a DS-GVO“ nicht lange auf sich warten. Schade, wenn man nun als Unternehmer innerhalb einer kurzen Frist reagieren, anpassen und nachbessern muss. Das bindet nicht nur Ressourcen, sondern ist auch absolut vermeidbar.

Das zentrale Element der DS-GVO ist sicherlich die Stärkung der Durchsetzungsmaßnahmen der Datenschutzbehörden und der Gerichte. Datenschutzrechtliche Verstöße, die mit Bußgeldern von bis zu 4% des weltweiten Umsatzes des vorangegangenen Geschäftsjahres geahndet werden können, haben bei vielen Unternehmen den intendierten Zweck erreicht. Unkenntnis der einschlägigen rechtlichen Bestimmungen und das damit verbundene Risiko kann sich keiner leisten. Die Rufschädigung, die unter Umständen mit langwierigen Untersuchungen und Klagen einhergeht, steht der Datenschutz-Compliance gegenüber, die sicherlich zu Vertrauen und Glaubwürdigkeit bei den Kunden führt.
 
Auch hier hat sich gezeigt: Prävention ist unbedingt der späteren Schadensbehebung vorzuziehen!
 
Ein praktischer Weg ist die Sensibilisierung, sowie die speziell auf Ihr Unternehmen zugeschnittene Umsetzung rechtlicher Rahmenbedingungen.

Auch Start-Ups müssen den Dokumentationspflichten aus art. 30 Abs. 5 DS-GVO nachkommen. Nun mag man zunächst denken, dass Start-Ups von der Dokumentationspflicht ausgenommen sind, weil diese selten mehr als 250 Mitarbeiter haben. Weit gefehlt, denn wenn regelmäßig Daten verarbeitet werden, ist zu dokumentieren. Schlussendlich wird die Datenschutzcompliance auch die Investoren überzeugen.
Das gilt modifiziert im Übrigen auch für Start-Ups im Auftragsverarbeitungsbereich.
 
Letztlich tun Start-Ups gut daran, sich einen Notfallplan zu erarbeiten. Dieser soll das Vorgehen bei Datenpannen, sowie eine Abschätzung der Folgen beinhalten.

• Check der Internetseite inkl. Handlungsempfehlungen
• Optimierte Datenschutzerklärung
• Vertrag zur Auftragsverarbeitung
• Verarbeitungsverzeichnis für Verantwortliche
• Check der technischen und organisatorische Maßnahmen
• Datenschutzkonzept
• Datenschutzschulungen

Kontaktieren Sie mich gerne für ein individuelles Angebot.