Man sollte sich dabei vor Augen führen, dass rechtliche Anforderungen mit der Zeit nicht weniger werden. Hat man erst einmal gesellschafts- Steuer- oder etwa markenrechtliche Fragen der Gründung geklärt, warten später insbesondere Fragen im Bereich Compliance auf junge Unternehmen. Auch diese müssen eine Fülle gesetzlicher Anforderungen beachten und umsetzen. So bekommt besonders das Thema Datenschutz, also der Schutz personenbezogener Daten, gerade für Startups, welche zu großen Teilen digitale Geschäftsmodelle auf die Beine stellen, gerade noch mehr Bedeutung als es vorher schon hatte (oder hätte haben sollen).
Die kommenden neuen Vorschriften der EU-Datenschutzgrundverordnung (DSGVO) richten sich an Unternehmen jeglicher Größenordnung, welche personenbezogene Daten verarbeiten. Das trifft in der heutigen digitalen Zeit auf nahezu jedes Unternehmen und auch Startup zu. Bei den angesprochenen Startups, welche digitale Produkte und Dienstleistungen entwickeln, bzw. entwickeln wollen, ist es aufgrund der kommenden strengeren Anforderungen umso mehr empfehlenswert datenschutzrechtliche Fragen in die ersten Schritte der Umsetzung der Idee bzw. Entwicklung des Produktes einzubeziehen. Das kann ein böses Erwachen verhindern, etwa weil die geplante App oder Onlinemarketing-Lösung aus datenschutzrechtlichen Gründen gar nicht realistisch umsetzbar ist, oder rechtliche Anforderungen so hoch sind, dass eine Umsetzung in der Praxis an diesen scheitert.
In der nächsten Phase ist zu bedenken, dass dieses Thema mittlerweile bei Investoren ganz oben auf dem Zettel steht. Spätestens in der Due Diligence kommen hier Versäumnisse zum Vorschein und stehen im schlechtesten Fall der erhofften Finanzierung im Weg.
Daher kann man gar nicht früh genug das Thema Datenschutz als Startup und Gründer auf der Agenda haben. Die DSGVO macht nun quasi noch mehr Druck. Die Anforderungen an den rechtmäßigen Umgang mit personenbezogenen Daten steigen und insbesondere aufgrund der wesentlich höheren Bußgelder (bis max. 20 Mio Euro!) sollte man nicht mehr sagen „wird schon gut gehen“.
Grundsätzlich ist der Verarbeitung personenbezogener Daten verboten, es sei denn diese ist ausdrücklich erlaubt. Als Erlaubnis kommt etwa die ausdrückliche Einwilligung der betroffenen Person in Betracht, also etwa der Käufer/ Verwender einer App, der darin Einwilligt, dass seine Daten verarbeitet werden.
Weiterhin kommen gesetzliche Rechtfertigungstatbestände in Frage. So ist etwa die Datenverarbeitung zur Durchführung eines Vertrages zulässig. Nutzt man beispielsweise ein kostenpflichtiges Mobile-Game, so ist die Datenverarbeitung zur Registrierung und Zahlung für die Durchführung des Vertrages erforderlich.
Schließlich ist neben weiteren Möglichkeiten, nach der DSGVO insbesondere die Verarbeitung aufgrund berechtigter Interessen des Verarbeiters zulässig. Dies ist insbesondere bei der Verarbeitung im Bereich Marketing eine mögliche Rechtsgrundlage. Hier muss nur zuvor geprüft werden, ob nicht die Interessen der betroffenen Person überwiegen und eine Datenverarbeitung daher unterbleiben muss.
Hier sollten Startups, welche Daten von Usern/ Kunden/ potentiellen Kunden verarbeiten oder verarbeiten wollen, zuvor gründlich prüfen ob dies überhaupt zulässig ist. Das Ergebnis dieser Prüfung muss zudem dokumentiert werden.
Neben der Dokumentation solcher Ergebnisse ist wichtig zuvor bzw. von Anfang an entsprechende Transparenz bei der Datenverarbeitung herzustellen und betroffenen Personen umfassend zu informieren, wie und in welchem Umfang ihre personenbezogenen Daten verarbeitet werden. Hierfür sind neben der Datenschutzerklärung auf der Website (welche immer noch nicht überall die entsprechende Aufmerksamkeit bekommt) spezielle Datenschutzerklärungen in Apps (die etwas andere Anforderungen erfüllen müssen als die der Website) die Informationen im Rahmen von Einwilligungserklärungen besonders relevant. Die Einwilligung ist nur wirksam, wenn diese auf Grundlage von umfassenden Informationen abgegeben wurde. Darin muss etwa darüber informiert werden, dass die Einwilligung jederzeit widerrufen werden kann.
Transparenz bedeutet aber auch, dass man darüber informieren muss, was man mit den Daten so alles anstellt.
Betroffenen Personen haben weitreichende Rechte. Neben dem Recht auf Auskunft welche Daten über sie gespeichert werden, dem Recht auf Berichtigung und Löschung, wurde etwa das Recht auf Datenportabilität durch die DSGVO neu eingeführt. So haben betroffenen Personen das Recht zu verlangen, dass ihnen ihre Daten in einem gängigen, maschinenlesbaren Format zur Verfügung gestellt werden. Nutzen diese nun etwa eine App, welche von einem Startup entwickelt wurde, oder einen anderen Online-Service, muss dieser Person auf Wunsch in einem gängigen Format das was an Daten über sie gespeichert wurde, zur Verfügung gestellt werden. Hierdurch soll der datensparsame Wechsel von einem Anbieter zu einem anderen erleichtert und dem Grundsatz der Datensparsamkeit Rechnung getragen werden.
Wie schon zuvor erwähnt müssen relevante Prozesse und Entscheidungen dokumentiert werden. Es muss jederzeit nachweisbar sein, dass die Verarbeitung der personenbezogenen Daten den Vorgaben der DSGVO entsprechen.
Zu den hierfür zwingend erforderlichen Dokumenten gehören etwa das Verzeichnis von Verarbeitungstätigkeiten und die Datenschutzfolgenabschätzung. So muss auch ein Startup ein solches Verzeichnis führen, auch wenn es wie im Gesetz genannt, weniger als 250 Mitarbeiter hat, wenn durch die Verarbeitung etwa ein Risiko für die Rechte und Freiheiten der betroffenen einhergeht. Dies ist beispielweise bei umfassenden Datenverarbeitungen durch Apps und Online-Services bei denen auch Paymentdaten verarbeitet werden gegeben. Grundsätzlich ist davon auszugehen, dass ein solches Verzeichnis zu führen und immer aktuell zu halten ist.
Die Datenschutzfolgenabschätzung soll nun sicherstellen, dass der Datenverarbeiter bevor er mit der Datenverarbeitung beginnt, sich Gedanken über damit verbundenen Folgen macht und die Risiken bewertet. Diese Bewertung ist zu dokumentieren. Insbesondere sind die Erwägungen dieser Bewertung nachzuhalten.
Auch ein wesentlicher Grundsatz welcher von Startups nicht früh genug beachtet werden kann, ist „Privacy by Design“. Demnach sind datenschutzrechtliche Aspekte bereits in der Entwicklungsphase und in jedem Entwicklungsschritt eines Produktes wie etwa einer Software, App oder ähnliches zu berücksichtigen. Es soll somit sichergestellt werden, dass nur die Daten erhoben und verarbeitet werden, welche für den jeweiligen Service oder das Produkt wirklich erforderlich sind.
Sollte es einmal zu einem Datenschutzvorfall kommen, sind die Meldepflichten zu beachten. So kann es sein, dass, je nach Auswirkung, etwa weil eine große Menge an personenbezogenen Daten oder besonders sensible Daten abhandengekommen sind, eine Meldung der Datenschutzaufsichtsbehörden erforderlich ist. Diese Meldung hat dann innerhalb von 72 Stunden ab Kenntnis zu erfolgen, was ohne entsprechende Prozesse und Vorkehrungen kaum zu bewältigen ist.
Weiterhin setzt man auch oder gerade als Startup auf eine Vielzahl von digitalen Services die einem das Leben erleichtern und Prozesse übernehmen. Angefangen vom Website-Hosting, über Cloud-Services, IT-Support oder HR-Software. Alle diese Dienstleister kommen irgendwie mit personenbezogenen Daten, seien es auch „nur“ die Daten der eigenen Mitarbeiter, in Berührung. Man spricht dann von einer Auftragsverarbeitung (nach dem aktuellen BDSG noch „Auftragsdatenevrarbeitung“), welche einen entsprechenden Vertrag mit dem Dienstleister erfordert. Schließt man keinen solchen Vertrag ab, kann es wirklich teuer werden.
Insbesondere die Zusammenarbeit mit US-amerikanischen Dienstleistern birgt noch einmal weitere Herausforderungen, welche zu bewerkstelligen sind.
Schließlich stellt sich auch schon für ein Startup die Frage „brauchen wir einen Datenschutzbeauftragten“? Die Antwort hängt zum einen davon ab, ob man die „magische Grenze“ von 10 Mitarbeitern, die ständig mit der Verarbeitung personenbezogener Daten betraut sind, erreicht. Das ist etwa dann schon der Fall, wenn 10 Mitarbeiter ein E-Mail-Programm nutzen. Aber auch bei weniger Mitarbeitern kann die Bestellung eines Datenschutzbeauftragten erforderlich sein, etwa wenn die Kerntätigkeit in der Verarbeitung besonderer Datenkategorien besteht.
In jedem Fall sollte geprüft werden, ob die Bestellung eines Datenschutzbeauftragten erforderlich ist. Die bisherige Praxis nach dem Motto „ok, Du machst das jetzt mal“, wonach ein x-beliebiger Mitarbeiter dazu „verdonnert“ wurde, ist risikoreich. Denn die Anforderungen an eine wirksame Bestellung sind nicht gerade niedrig. So muss der Datenschutzbeauftragte besonderes Fachwissen vorweisen und entsprechend zuverlässig sein. Hierfür sind Weiterbildungen und entsprechende zeitliche Ressourcen erforderlich. So kann die Beauftragung eines externen Datenschutzbeauftragten, welche durch die DSGVO explizit als Möglichkeit genannt ist, unter Umständen wesentlich günstiger am Ende ausfallen, als einen Mitarbeiter hierfür einzuspannen.
Wie man sieht, sind die Anforderungen in diesem Bereich nicht gerade niedrig. Es gibt unzählige Angebote im Netz, die einem schnelle Hilfe versprechen. Darunter seriöse Angebote die zumeist nicht gerade günstig sind, aber auch Angebote, welche versprechen mit wenigen „Klicks“ und in ein paar Minuten die erforderlichen Dokumente zu erstellen. Ob letzteres auch nur annähernd den gesetzlichen Anforderungen entspricht darf bezweifelt werden.