Apple fordert Datenschutzerklärung für Apps – was ist zu beachten?

Apple verlangt seit dem 03. Oktober 2018 für alle iOS Apps eine Datenschutzerklärung. Was bei Google im Playstore schon seit einiger Zeit Standard ist, wird nun auch im Apple App Store verpflichtend: eine gesonderte Datenschutzerklärung bzw. Privacy Policy. Die neue Anforderung bedeutet aber nicht, dass sämtliche Apps die diese Vorgaben nicht erfüllen, direkt aus dem Store verbannt werden. Betroffen sind Updates und Neuerscheinungen, die nur noch dann zugelassen werden, wenn eine gesonderte Datenschutzerklärung vorliegt. Diese muss laut Apple sowohl auf einer Webseite abrufbar, als auch in der App als solche, gut lesbar, dargestellt werden. Zudem haben bestehende Apps spätestens beim nächsten Update eine Datenschutzerklärung nachzureichen, falls noch nicht vorhanden.

Wieso, weshalb, warum?

Apps als gelten als sog. Telemedien im Sinne des Telemediengesetzes (TMG) und mussten bereits seit langem eine Datenschutzerklärung bereitstellen, worin dem Nutzer transparent erläutert werden muss, welche Daten bei der App-Nutzung anfallen. Seit dem 25.Mai 2018 gelten nun auch für Apps die Vorgaben der EU-Datenschutzgrundverordnung (DSGVO) mit neuen Informations- und Transparenzpflichten. Demnach müssen Nutzer bereits „bei Erhebung“ der Daten in ausführlicher Weise über die Verarbeitungen informiert werden. In diesem Fall also beispielsweise beim ersten Start einer App, etwa durch Hinterlegung von Datenschutzhinweisen- bzw. Einer Datenschutzerklärung.

Was bereits lange gesetzlich gefordert war, wurde bisher eher halbherzig in der Praxis umgesetzt. Eine gesonderte Datenschutzerklärung welche den gesetzlichen Vorgaben entsprach, war in vielen Fällen nicht zu finden. Zumeist wurden lediglich Datenschutzerklärungen der dazugehörigen Webseiten der Anbieter verlinkt, die entweder schlecht lesbar waren oder gar nicht einschlägig für die App.

Reicht nicht die Datenschutzerklärung der Webseite?

Nein, man wird den anderen Nutzungsgewohnheiten und insbesondere Formaten von Apps damit (zumeist) nicht gerecht. Die Unterscheide zu Webseiten, insbesondere bei der technischen Bereitstellung und nicht zuletzt der Darstellung auf den Geräten, sind zu groß.

Beachtet werden müssen auch die speziellen Berechtigungen, welche Apps (idealerweise) vor der ersten Nutzung erfragen. Darf die App auf Fotos zugreifen? Auf das Mikrofon oder gar die Kontaktdaten? Es muss erläutert werden für welche Zwecke diese Berechtigungen erforderlich sind und wie der Nutzer diese im Zweifel auch wieder deaktivieren kann.

Interessant wird es auch hinsichtlich Werbung und Ad-Netzwerke – die meisten Apps leben von Werbung als wichtigste Einnahmenquelle. Man denke etwa an Mobile-Games, welche free2play oder mit Freemium Inhalten angeboten werden und die sich ausschließlich über Ingame-Advertising finanzieren. Hier muss der Nutzer verständlich informiert werden, welche Werbepartner involviert sind, welche Daten verarbeitet werden und wie man diesem widersprechen kann.

Sind Einwilligungen in Datenverarbeitungen abzugeben, etwa für die Verarbeitung von Gesundheitsdaten im Rahmen von sog. Health-Apps, muss die Einwilligung ausdrücklich und insbesondere freiwillig abgegeben werden. Die Datenschutzerklärung – die leider nach wie vor nur von wenigen Nutzern gelesen wird – eignet sich also nicht als Versteck.

Information der Nutzer – dank DSGVO ein schmaler Grad für Apps!

Auf der einen Seite müssen die Nutzer über sämtlich Verarbeitungstätigkeiten, etwa die Einbindung von Analytics, Werbung, Berechtigungen oder auch GPS- bzw. Standortdaten informiert werden. Auf der anderen Seite soll genau diese Information verständlich und transparent erfolgen. Das kann ein schmaler Grad in Anbetracht einer zumeist geringen Bildschirmgröße der mobilen Endgeräte sein, von der Komplexität der genutzten APIs im Backend ganz zu schweigen. Was kann man dem Nutzer hier zumuten und was dient lediglich der eigenen Rechtssicherheit? Lange Texte auf kleinen Bildschirmen verfehlen dabei oft genau den Anspruch des Gesetzgebers. Zielgruppe sollen meine Nutzer sein, nicht die Anwälte des Wettbewerbers.

Wichtig ist auch, dass die Datenschutzerklärung „bei Erhebung“ der Daten abrufbar ist. Dies ist dann gewährleistet, wenn diese idealerweise bereits im App-Store zur Verfügung steht und der Nutzer die Informationen jederzeit innerhalb der App zur Kenntnis nehmen kann, z.B. durch einen eigenen Button „Datenschutz“ in den App-Optionen.

Datenschutzgeneratoren – günstig, aber riskant?!

Für junge Gründer und Entwickler von Apps stellt sich nun die Frage, welches Vorgehen bei der Erstellung solch einer Datenschutzerklärung das Beste ist. Wer sich bereits für seine Webseite damit auseinandergesetzt hat weiß, dass es mehrere Möglichkeiten gibt, eine Datenschutzerklärung zu entwerfen.

Viele junge Unternehmen greifen zu einem „Generator“. Dies kann aber ungleich schwerer sein als für eine Webseite. Hat man etwa einen externen Entwickler eingesetzt, muss sichergestellt werden, dass alle technischen Details bekannt sind und erläutert werden. Diese Detailtiefe mag der Generator des Vertrauens aber gar nicht hergeben. Zu bedenken ist dabei, dass bei Apps aufgrund Kontroversen der Vergangenheit auch von Aufsichtsbehörden gerne ganz genau hingeschaut wird. So ist auch den Kontrollinstanzen bekannt, dass eine große Zahl an Apps Daten im Hintergrund erhebt und speichert, worüber der Nutzer im Zweifel gar nicht informiert wird. Spätestens bei sehr datengetriebenen Apps kann daher eine individuelle Beratung sinnvoll.

Wer sich bisher noch wenig oder gar nicht mit den Anforderungen der DSGVO auseinandergesetzt hat, findet unter folgendem Link eine praxisnahe Zusammenfassung für Startups: DSGVO Leitfaden für Startups: Die 5 wichtigsten ToDo’s

DSGVO Leitfaden für Startups: Die 5 wichtigsten ToDo’s

Die Datenschutz-Grundverordnung (DSGVO oder GDPR) kennt viele neue Aufgaben. Doch wo fängt man am besten an und was lässt sich möglichst schnell und einfach ohne externe Hilfe umsetzen? Da sich unsere Tipps zum Datenschutz für Startups großer Beliebtheit erfreut haben, folgt nun eine weitere Anleitung. Unser übersichtlicher und praxisfreundlicher Leitfaden zeigt die wichtigsten Schritte, die wir in ca. 100 DSGVO-Projekten identifiziert haben, um vor Kunden und Aufsichtsbehörden nicht in vermeidbare Fallen zu tappen.

Die nachfolgenden Schritte kann und sollte jedes Unternehmen umsetzen – es ist eigentlich ganz leicht und erspart einem später einiges an (Compliance) Arbeit, egal ob mit Unterstützung oder ohne:

1. Datenschutzverträge abschließen

Der erste Schritt ist unglaublich einfach und schnell umsetzbar, wird aber gerne vergessen! Selbst als junges Unternehmen nutzt man für gewöhnlich schon unzählige Cloud Tools und Plattformen externer Dienstleister. In den meisten Fällen werden hier auch Daten getauscht oder es sind administrative Zugriffe möglich. Das wichtigste Fundament bildet der Abschluss sogenannter Auftragsverarbeitungsverträge, oder auch: Datenschutzverträge oder Data Processing Agreements, wenn man mit englischen Services zusammenarbeitet. Aus langjähriger Erfahrung können wir sagen, dass mittlerweile alle bekannten Anbieter Vorlagen bereitstellen, wenn man nur fragt. Meist handelt es sich um standardisierte Vorlagen, die für die meisten Unternehmen ausreichend sind und (z.B. bei Google, AWS, LexOffice, Telekom & Co.) einfach in den Account Dashboards heruntergeladen werden können. Sozusagen ein Quick-Win im Datenschutz und nicht zuletzt für Aufsichtsbehörden eine der Grundvoraussetzungen zur Beauftragung externer Datenverarbeiter. Die DSGVO weiß, dass Daten in einer globalisierten “Digital Economy” nicht im eigenen Unternehmen verbleiben. Damit die Datenwirtschaft aber nicht zum Wilden Westen wird und die eigenen Kunden- oder Mitarbeiterdaten zu beliebigen Zwecken vom Analyse-Tool oder der HR-Cloud genutzt werden, sind vertragliche Vereinbarungen mit den Anbietern der Dienste zwingend vorgeschrieben.#

2. Übersicht der Daten & Tools erstellen

Eine weitere, wichtige Anforderung lautet frei umformuliert: kenne deine datenverarbeitenden Prozesse und Anwendungen! Einige Gründer werden nun sagen “ich kenne mein Unternehmen in- und auswendig”. Bei anderen stellt sich vielleicht Ernüchterung ein: Wer hat alles Adminzugang zur Kundendatenbank? Werden unsere OneDrives oder GoogleDrives wirklich nur für Firmendaten genutzt? Speichert unser HR-Tool Mitarbeiterdaten nur in Deutschland oder auch außerhalb der EU? Welche Daten greift der Webhook in Zapier ab? Oder viel einfacher: Was schicken wir monatlich so an Daten an Steuerberatung und Finanzbehörden? Die DSGVO fordert hier ein Verzeichnis der Verarbeitungstätigkeiten, um einerseits sagen und beschreiben zu können, was genau mit den Daten passiert und viel wichtiger: warum dies passiert und auf welcher Rechtsgrundlage (z.B. Newsletterversendung anhand von Einwilligungen; Verarbeitung von Mitarbeiterdaten in HR-Datenbank auf Grundlage des Arbeitsvertrages; Auswertung anonymer Nutzungsstatistiken der Webseite im Rahmen berechtigter Interessen)! Mittlerweile finden sich viele tolle, kostenlose Vorlagen im Internet, z.B. eine ausführliche Inhaltsbeschreibung vom BITKOM. Alternative zu Excel und Word sind externe Plattformen und Anwendungen, um sich Dokumentationsarbeit zu erleichtern, sozusagen ein Tool zur Dokumentation der Tools. Das Tool zur Dokumentation aber bitte nicht in der Auflistung vergessen!

3. Einwilligungen & Datenschutzerklärung überarbeiten

Die DSGVO geht strenger als der bisherige Datenschutz (BDSG) mit Einwilligungen und datenrelevanten Kundeninformationen um. Ein Kernelement des neuen Datenschutzes sind nämlich gesteigerte Transparenzpflichten. Hier findet sich auch einer der Gründe warum jeder von uns von Cookie-Bannern und ähnlichen Informationsmaßnahmen “aufgeklärt” wird. Wichtiger als ein – womöglich überflüssiger – Cookie-Banner sind verständliche Einwilligungsformulare und lesbare Datenschutzerklärungen (unsere Datenschutzerklärung kann gerne als beispielhafte Ausgangsbasis zum Leitfaden dienen). Unabhängig von der Unternehmensgröße und des Tätigkeitsbereichs gilt es, die Datenschutzerklärung auf den neuesten Stand und “das, was man mit den Daten macht” verständlich auf den Punkt zu bringen. Für Verbraucher unverständliche Rechtstexte “von Anwälten für Anwälte” sind laut Jan Philipp Albrecht zukünftig ein No-Go! Ähnlich sieht es mit Einwilligungstexten aus: Die für Einwilligungen relevanten Informationen gehören niemals (!!!) versteckt in lange Textpassagen, sondern müssen in möglichst einfacher und verständlicher Sprache erfolgen. Checkboxen dürfen nicht vorausgefüllt sein und der abschließende Bestätigungs-Button sollte möglichst nahe am Einwilligungstext liegen.

4. Datenschutz-Awareness schaffen

Ohne Awareness geht nichts! Der eine oder die andere wird schon gemerkt haben, dass seit der DSGVO auch unter Mitarbeitern Datenschutz zu einem beliebten (oder dank lästigem Info-Mail-Spam und Cookie-Bannern zum unbeliebten) Thema geworden ist. Zumindest dürfte es viele offene Fragen und Unklarheiten geben. Wichtig ist deshalb, dass die Geschäftsführung ihrer datenschutzrechtlichen Verantwortung nachkommt (Stichworte: Datenschutz-Management & Rechenschaftspflicht) und regelmäßige Datenschutzschulungen oder DSGVO-Workshops durchführen lässt. Hier sollte über die neuen betrieblichen Anforderungen im Datenschutz aufgeklärt werden, im Mittelpunkt steht aber die Vermittlung neuer Rechte der Endkunden und Mitarbeiter. Sofern kein Datenschutzbeauftragter im Unternehmen benannt wurde, der die Schulung durchführt, sind auch externe Schulungslösungen, Vorträge oder Webinare denkbar.

5. Prozesse für Kundenanfragen abstimmen

Der letzte Schritt dieses Leitfadens könnte genauso gut an erster Stelle stehen. Ein besonderes Augenmerk legt die DSGVO auf die Stärkung der Betroffenenrechte. Wer ist Betroffener? Das können Endkunden, Mitarbeiter aber auch bloße Besucher der eigenen Webseite sein. Also solche (natürlichen) Personen, die von unserem Umgang mit Daten in irgendeiner Weise “betroffen” sind (also z.B. durch Erfassung der IP-Adresse beim Ansurfen unserer Webseite). Ohne sich in Details zu verlieren, sollte jedes Unternehmen von Anfang an folgende Punkte sicherstellen:

Datenschutzaudit und Fit-Gap Analyse erklärt!

Egal ob Startup, KMU oder Konzern, am Anfang vieler Prozesse steht eine Bestandsaufnahme. Auch im Bereich Datenschutz und Datensicherheit muss zunächst der tatsächliche Status Quo betrieblicher Prozesse festgestellt werden, anders gesagt: Welche rechtlichen Anforderungen gibt es und wo stehen wir? Die Lücke zwischen beiden identifiziert man mit einer Fit-Gap Analyse.

Am Beispiel DSGVO Schritt für Schritt die Fit-Gap Analyse erklärt:

1. Es geht los mit einer Bestandsaufnahme, um heraus zu finden, wie Ihr Unternehmen im Datenschutz (Datensicherheit nicht vergessen!) aufgestellt ist & welche Aufgaben Sie bis Mai 2018 erledigen müssen. Meistens handelt es sich hierbei um Interviews mit allen Ansprechpartnern, z.B. Abteilungsleitern oder C-Levels (im Falle von Startups, deren Organisation noch übersichtlich ist)

2. Nun werden alle Feststellungen analysiert und ausgewertet, um einen Berichtmit den wichtigsten Maßnahmen zu erstellen (alternativ lassen Sie diesen erstellen). Denken Sie immer daran: Dokumentation ist im Datenschutz-Management das A und O und damit Kernelement der Fit-Gap Analyse.

3. Bevor Sie sich an die Umsetzung der identifizierten Maßnahmen machen, sprechen Sie mit dem Management. Wer ist überhaupt für die Umsetzung welcher Maßnahmen verantwortlich? Führen Sie eine Übersichtsliste oder Roadmap der wichtigsten ToDo’s. Verantwortlichkeiten und Fristen nicht vergessen!

4. Dann geht es endlich an die Umsetzung! Aktualisieren Sie die Verzeichnisse von Verarbeitungstätigkeiten und Datenschutzerklärungen auf der Website, prüfen Sie Einwilligungen, Auftragsverarbeitungen und planen Sie Schwachstellenanalysen- und Systemtests. Datenschutzschulungen dürfen nicht fehlen, um von Anfang an die nötige „Awareness“ für den neuen EU-Datenschutz zu schaffen. Und: Überprüfen Sie den Fortschritt der Umsetzung, zu Beginn am besten wöchentlich, idealerweise in Projektbesprechungen! Die Devise lautet: Am Ball bleiben!!

5. Doch: Es geht nicht darum, von heute auf morgen die Datenschutzkultur im Unternehmen grundlegend umzukrempeln. Nicht umsonst führt auch die DSGVO endlich fortlaufende und risikobasierte Prüfprozesse ein (PDCA). Risiken identifizieren. Risiken dokumentieren. Maßnahmen einleiten. Schritt für Schritt besser werden.

Startups und Datenschutz – oder Datenschutz-Startup?!

Seien wir mal ehrlich: den meisten Startups und Gründern schwirrt der Kopf nicht nur vor lauter guter Ideen, sondern auch wegen der unzähligen rechtlichen und bürokratischen Anforderungen auf dem Weg zur Umsetzung der Idee.

Man sollte sich dabei vor Augen führen, dass rechtliche Anforderungen mit der Zeit nicht weniger werden. Hat man erst einmal gesellschafts- Steuer- oder etwa markenrechtliche Fragen der Gründung geklärt, warten später insbesondere Fragen im Bereich Compliance auf junge Unternehmen. Auch diese müssen eine Fülle gesetzlicher Anforderungen beachten und umsetzen. So bekommt besonders das Thema Datenschutz, also der Schutz personenbezogener Daten, gerade für Startups, welche zu großen Teilen digitale Geschäftsmodelle auf die Beine stellen, gerade noch mehr Bedeutung als es vorher schon hatte (oder hätte haben sollen).

Die kommenden neuen Vorschriften der EU-Datenschutzgrundverordnung (DSGVO) richten sich an Unternehmen jeglicher Größenordnung, welche personenbezogene Daten verarbeiten. Das trifft in der heutigen digitalen Zeit auf nahezu jedes Unternehmen und auch Startup zu. Bei den angesprochenen Startups, welche digitale Produkte und Dienstleistungen entwickeln, bzw. entwickeln wollen, ist es aufgrund der kommenden strengeren Anforderungen umso mehr empfehlenswert datenschutzrechtliche Fragen in die ersten Schritte der Umsetzung der Idee bzw. Entwicklung des Produktes einzubeziehen. Das kann ein böses Erwachen verhindern, etwa weil die geplante App oder Onlinemarketing-Lösung aus datenschutzrechtlichen Gründen gar nicht realistisch umsetzbar ist, oder rechtliche Anforderungen so hoch sind, dass eine Umsetzung in der Praxis an diesen scheitert.

In der nächsten Phase ist zu bedenken, dass dieses Thema mittlerweile bei Investoren ganz oben auf dem Zettel steht. Spätestens in der Due Diligence kommen hier Versäumnisse zum Vorschein und stehen im schlechtesten Fall der erhofften Finanzierung im Weg.

Daher kann man gar nicht früh genug das Thema Datenschutz als Startup und Gründer auf der Agenda haben. Die DSGVO macht nun quasi noch mehr Druck. Die Anforderungen an den rechtmäßigen Umgang mit personenbezogenen Daten steigen und insbesondere aufgrund der wesentlich höheren Bußgelder (bis max. 20 Mio Euro!) sollte man nicht mehr sagen „wird schon gut gehen“.

Einige wesentliche Pflichten der DSGVO, welche von Startups bereits so früh wie möglich beachtet werden sollen sind etwa:

1. Rechtmäßigkeit der Verarbeitung

Grundsätzlich ist der Verarbeitung personenbezogener Daten verboten, es sei denn diese ist ausdrücklich erlaubt. Als Erlaubnis kommt etwa die ausdrückliche Einwilligung der betroffenen Person in Betracht, also etwa der Käufer/ Verwender einer App, der darin Einwilligt, dass seine Daten verarbeitet werden.

Weiterhin kommen gesetzliche Rechtfertigungstatbestände in Frage. So ist etwa die Datenverarbeitung zur Durchführung eines Vertrages zulässig. Nutzt man beispielsweise ein kostenpflichtiges Mobile-Game, so ist die Datenverarbeitung zur Registrierung und Zahlung für die Durchführung des Vertrages erforderlich.

Schließlich ist neben weiteren Möglichkeiten, nach der DSGVO insbesondere die Verarbeitung aufgrund berechtigter Interessen des Verarbeiters zulässig. Dies ist insbesondere bei der Verarbeitung im Bereich Marketing eine mögliche Rechtsgrundlage. Hier muss nur zuvor geprüft werden, ob nicht die Interessen der betroffenen Person überwiegen und eine Datenverarbeitung daher unterbleiben muss.

Hier sollten Startups, welche Daten von Usern/ Kunden/ potentiellen Kunden verarbeiten oder verarbeiten wollen, zuvor gründlich prüfen ob dies überhaupt zulässig ist. Das Ergebnis dieser Prüfung muss zudem dokumentiert werden.

2. Transparenz und Informationspflichten

Neben der Dokumentation solcher Ergebnisse ist wichtig zuvor bzw. von Anfang an entsprechende Transparenz bei der Datenverarbeitung herzustellen und betroffenen Personen umfassend zu informieren, wie und in welchem Umfang ihre personenbezogenen Daten verarbeitet werden. Hierfür sind neben der Datenschutzerklärung auf der Website (welche immer noch nicht überall die entsprechende Aufmerksamkeit bekommt) spezielle Datenschutzerklärungen in Apps (die etwas andere Anforderungen erfüllen müssen als die der Website) die Informationen im Rahmen von Einwilligungserklärungen besonders relevant. Die Einwilligung ist nur wirksam, wenn diese auf Grundlage von umfassenden Informationen abgegeben wurde. Darin muss etwa darüber informiert werden, dass die Einwilligung jederzeit widerrufen werden kann.

Transparenz bedeutet aber auch, dass man darüber informieren muss, was man mit den Daten so alles anstellt.

3. Betroffenenrechte

Betroffenen Personen haben weitreichende Rechte. Neben dem Recht auf Auskunft welche Daten über sie gespeichert werden, dem Recht auf Berichtigung und Löschung, wurde etwa das Recht auf Datenportabilität durch die DSGVO neu eingeführt. So haben betroffenen Personen das Recht zu verlangen, dass ihnen ihre Daten in einem gängigen, maschinenlesbaren Format zur Verfügung gestellt werden. Nutzen diese nun etwa eine App, welche von einem Startup entwickelt wurde, oder einen anderen Online-Service, muss dieser Person auf Wunsch in einem gängigen Format das was an Daten über sie gespeichert wurde, zur Verfügung gestellt werden. Hierdurch soll der datensparsame Wechsel von einem Anbieter zu einem anderen erleichtert und dem Grundsatz der Datensparsamkeit Rechnung getragen werden.

4. Dokumentation und Rechenschaftspflichten

Wie schon zuvor erwähnt müssen relevante Prozesse und Entscheidungen dokumentiert werden. Es muss jederzeit nachweisbar sein, dass die Verarbeitung der personenbezogenen Daten den Vorgaben der DSGVO entsprechen.

Zu den hierfür zwingend erforderlichen Dokumenten gehören etwa das Verzeichnis von Verarbeitungstätigkeiten und die Datenschutzfolgenabschätzung. So muss auch ein Startup ein solches Verzeichnis führen, auch wenn es wie im Gesetz genannt, weniger als 250 Mitarbeiter hat, wenn durch die Verarbeitung etwa ein Risiko für die Rechte und Freiheiten der betroffenen einhergeht. Dies ist beispielweise bei umfassenden Datenverarbeitungen durch Apps und Online-Services bei denen auch Paymentdaten verarbeitet werden gegeben. Grundsätzlich ist davon auszugehen, dass ein solches Verzeichnis zu führen und immer aktuell zu halten ist.

Die Datenschutzfolgenabschätzung soll nun sicherstellen, dass der Datenverarbeiter bevor er mit der Datenverarbeitung beginnt, sich Gedanken über damit verbundenen Folgen macht und die Risiken bewertet. Diese Bewertung ist zu dokumentieren. Insbesondere sind die Erwägungen dieser Bewertung nachzuhalten.

5. Privacy by Design und Privacy by Default

Auch ein wesentlicher Grundsatz welcher von Startups nicht früh genug beachtet werden kann, ist „Privacy by Design“. Demnach sind datenschutzrechtliche Aspekte bereits in der Entwicklungsphase und in jedem Entwicklungsschritt eines Produktes wie etwa einer Software, App oder ähnliches zu berücksichtigen. Es soll somit sichergestellt werden, dass nur die Daten erhoben und verarbeitet werden, welche für den jeweiligen Service oder das Produkt wirklich erforderlich sind.

6. Meldepflichten

Sollte es einmal zu einem Datenschutzvorfall kommen, sind die Meldepflichten zu beachten. So kann es sein, dass, je nach Auswirkung, etwa weil eine große Menge an personenbezogenen Daten oder besonders sensible Daten abhandengekommen sind, eine Meldung der Datenschutzaufsichtsbehörden erforderlich ist. Diese Meldung hat dann innerhalb von 72 Stunden ab Kenntnis zu erfolgen, was ohne entsprechende Prozesse und Vorkehrungen kaum zu bewältigen ist.

7. Auftragsdatenverarbeitung

Weiterhin setzt man auch oder gerade als Startup auf eine Vielzahl von digitalen Services die einem das Leben erleichtern und Prozesse übernehmen. Angefangen vom Website-Hosting, über Cloud-Services, IT-Support oder HR-Software. Alle diese Dienstleister kommen irgendwie mit personenbezogenen Daten, seien es auch „nur“ die Daten der eigenen Mitarbeiter, in Berührung. Man spricht dann von einer Auftragsverarbeitung (nach dem aktuellen BDSG noch „Auftragsdatenevrarbeitung“), welche einen entsprechenden Vertrag mit dem Dienstleister erfordert. Schließt man keinen solchen Vertrag ab, kann es wirklich teuer werden.

Insbesondere die Zusammenarbeit mit US-amerikanischen Dienstleistern birgt noch einmal weitere Herausforderungen, welche zu bewerkstelligen sind.

8. Datenschutzbeauftragter

Schließlich stellt sich auch schon für ein Startup die Frage „brauchen wir einen Datenschutzbeauftragten“? Die Antwort hängt zum einen davon ab, ob man die „magische Grenze“ von 10 Mitarbeitern, die ständig mit der Verarbeitung personenbezogener Daten betraut sind, erreicht. Das ist etwa dann schon der Fall, wenn 10 Mitarbeiter ein E-Mail-Programm nutzen. Aber auch bei weniger Mitarbeitern kann die Bestellung eines Datenschutzbeauftragten erforderlich sein, etwa wenn die Kerntätigkeit in der Verarbeitung besonderer Datenkategorien besteht.

In jedem Fall sollte geprüft werden, ob die Bestellung eines Datenschutzbeauftragten erforderlich ist. Die bisherige Praxis nach dem Motto „ok, Du machst das jetzt mal“, wonach ein x-beliebiger Mitarbeiter dazu „verdonnert“ wurde, ist risikoreich. Denn die Anforderungen an eine wirksame Bestellung sind nicht gerade niedrig. So muss der Datenschutzbeauftragte besonderes Fachwissen vorweisen und entsprechend zuverlässig sein. Hierfür sind Weiterbildungen und entsprechende zeitliche Ressourcen erforderlich. So kann die Beauftragung eines externen Datenschutzbeauftragten, welche durch die DSGVO explizit als Möglichkeit genannt ist, unter Umständen wesentlich günstiger am Ende ausfallen, als einen Mitarbeiter hierfür einzuspannen.

Fazit:

Wie man sieht, sind die Anforderungen in diesem Bereich nicht gerade niedrig. Es gibt unzählige Angebote im Netz, die einem schnelle Hilfe versprechen. Darunter seriöse Angebote die zumeist nicht gerade günstig sind, aber auch Angebote, welche versprechen mit wenigen „Klicks“ und in ein paar Minuten die erforderlichen Dokumente zu erstellen. Ob letzteres auch nur annähernd den gesetzlichen Anforderungen entspricht darf bezweifelt werden.