Welche Änderungen sind zu beachten?

Am 25. Mai 2018 ist die europäische Datenschutz-Grundverordnung („DSGVO“) in Kraft getreten. Durch die Neuregelung des Datenschutzrechts ändern sich die Rahmenbedingungen für den Umgang mit Daten fundamental. Auch Start-Ups sollten sich mit dem Thema auseinandersetzen und entsprechende Vorbereitungen treffen. Nachstehend wird ein kurzer Überblick über die (wesentlichen) Änderungen durch in Kraft treten der DSGVO gegeben.

Für wen gilt die DSGVO?

Die DSGVO gilt nahezu vollständig für alle in Deutschland ansässigen Unternehmen, unabhängig von der jeweiligen Größe. Also auch für Start-Ups. Entscheidend ist allein, ob personenbezogene Daten verarbeitet werden.

Definition (Art. 4 Nr. 1 DSGVO):

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Die DSGVO gilt (räumlich) auf der einen Seite für Unternehmen, die im Rahmen der Tätigkeit einer Niederlassung in der Europäischen Union („EU“) Daten verarbeiten, sowie auf der anderen Seite auch für außerhalb der EU ansässige Unternehmen, sofern sie Waren und Dienstleistungen in der EU anbieten und somit mit personenbezogenen Daten von in der EU ansässigen Personen oder Unternehmen in Kontakt kommen (Art. 3 DSGVO).

Was ändert sich?

a) Betroffenenrechte werden gestärkt

Ein Ziel der DSGVO ist die Stärkung der Betroffenenrechte. So sind die Dokumentationspflichten gestiegen und die Selbstbestimmungsrechte der Betroffenen gestärkt worden.

Empfehlung:

In den Unternehmen sollte es daher klare Regeln geben, wie zu verfahren ist, wenn beispielsweise ein Kunde / Nutzer von seinem Widerspruchsrecht oder seinem Auskunftsrechts Gebrauch macht.

b) Rechenschaftspflicht

Darüber hinaus haben Unternehmen mit in Kraft treten der DSGVO eine deutlich erhöhte Rechenschaftspflicht und müssen sämtliche Datenschutzmaßnahmen detailliert protokollieren. Die Verantwortung liegt in Zukunft allein bei den Unternehmen. Das kann die IT- Abteilung in Unternehmen vor echte Herausforderungen stellen. Eine Schwierigkeit liegt in diesem Zusammenhang bereits darin, nachvollziehen zu können, wie und wo personenbezogene Daten genutzt werden; gerade Start-Ups, die digital eine Vielzahl von Daten erheben und Werbung verstärkt bis teilweise vollständig über digitale Kanäle vornehmen, stellt dies vor neue Herausforderungen.

c) Strengere Sanktionen

Eine weitere Neuerung ist die Einführung strengerer Sanktionen bei Datenverstößen. Bei Nichteinhaltung der Regelungen der DSGVO drohen Bußgelder von bis zu 20 Mio. EUR oder 4% des jährlichen weltweiten Umsatzes. Bislang drohten bei Verstößen dagegen nur Strafen bis zu EUR 300.000,00.

Welche Maßnahmen sollten vorgenommen werden?

a) Betrieblicher Datenschutzbeauftragte

Wie bereits nach dem bisherigen Recht muss jedes Unternehmen, das mindestens 10 Personen beschäftigt, einen Datenschutzbeauftragten bestellen. Das kann sowohl eine natürliche Person wie auch ein Unternehmen sein. Die Bestellung muss nicht mehr schriftlich erfolgen, es reicht die Benennung eines Datenschutzbeauftragten. Bei der Anzahl der Personen kommt es allein auf die Personen an, die mit der Datenverarbeitung ständig befasst sind, unabhängig davon ob Vollzeit- oder Teilzeitmitarbeiter oder Student oder freier Mitarbeiter. Außerdem hat jedes Unternehmen die Möglichkeit, einen Datenschutzbeauftragten freiwillig zu bestellen. Dies ist insbesondere empfehlenswert, wenn im Unternehmen das nötige Knowhow fehlt. Das hat nebenbei den Vorteil, dass sich das Unternehmen so haftungsrechtlich entlasten kann. Zum Aufgabenbereich des Datenschutzbeauftragten gehören:

• Unternehmen über bestehende datenschutzrechtliche Pflichten aufzuklären und deren Einhaltung zu überwachen
• Erster Ansprechpartner für Anfragen von Behörden und Betroffenen
• Das Führen eines Verarbeitungsverzeichnisses
• Das Beraten und Unterstützen der Unternehmen bei der Durchführung der Datenschutz-Folgenabschätzung
• Ansprechpartner in allen Fragen im Umgang mit Nutzer- und Kundendaten

Darüber hinaus sind die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen und bei der zuständigen Datenschutz-Aufsichtsbehörde zu melden. Die Mitteilung an die Aufsichtsbehörde hat wohl pauschal und anlasslos zu erfolgen. Nicht ausreichend wäre es deshalb, die Kontaktdaten erst auf Anfrage mitzuteilen.

Next steps:

• Überprüfung, ob die Bestellung eines Datenschutzbeauftragten erforderlich ist
• Bestellung und Meldung gegenüber der zuständigen Behörde (sofern erforderlich)

Empfehlung:

• Einrichtung einer „Datenschutz E-Mail Adresse“ (z.B. datenschutzbeauftragter@xxx.de)
• Die Kommunikation ist streng vertraulich (Art. 38 Abs. 5 DSGVO). Auf das Postfach sollte daher nur der Datenschutzbeauftragte Zugriff haben

b) Informationspflichten

Die Informationspflichten sind nach dem neuen Recht wesentlich umfangreicher als dies bisher der Fall war. Der Nutzer muss über alle Vorgänge aufgeklärt werden, bei denen personenbezogene Daten verarbeitet werden. Es müssen jeweils Angaben zum (i) Umfang, (ii) zum Zweck und (iii) zu der Rechtsgrundlage – gesetzlicher Erlaubnistatbestand oder Einwilligung – gemacht werden. Bei der Rechtsgrundlage ist besonderes Fingerspitzengefühl gefragt, denn: Hiermit steht und fällt die Rechtmäßigkeit der Verarbeitung. Zudem empfiehlt es sich auch Angaben zu der Dauer der Speicherung, zu dem Recht des Nutzers auf Auskunft, Berichtigung, Löschung sowie Widerruf zu machen. Art. 13 Abs. 1 DSGVO zählt genau auf, welche Informationen die Datenschutzerklärung enthalten muss. Bezüglich der Form sollte beachtet werden, dass die Informationen in allgemein verständlicher Form erfolgen müssen. Technische oder juristische Fachbegriffe sollten möglichst vermieden werden. Für den Betroffenen sollte der gesamte Vorgang stets transparent sein.

Darüber hinaus sind Unternehmen auch verpflichtet ihre eigenen Mitarbeiter ausreichend zu informieren und aufzuklären. Die DSGVO sieht zudem vor, dass Arbeitnehmer regelmäßig zu schulen und über die Vertraulichkeit von personenbezogenen Daten zu belehren sind. Die Verpflichtung auf das Datengeheimnis nach § 5 BDSG wurde durch die Verpflichtung zur Vertraulichkeit ersetzt.

Next steps:

• Überarbeitung der Datenschutzerklärung
• Information der Arbeitnehmer über Datenschutz und Belehrung über die Verpflichtung zur Vertraulichkeit

c) Einwilligung bei Kontaktformularen

Häufig bietet sich auf Internetseiten die Möglichkeit, per Kontaktformular mit dem Unternehmen in Kontakt zu treten. Auch in diesen Fällen werden personenbezogene Daten übermittelt. Die DSGVO bietet jedoch gleich mehrere Rechtsgrundlagen, die je nach Anwendungsfall eine solche Datenverarbeitung legitimieren, ohne dass eine explizite Einwilligung erforderlich ist. Es muss also nicht zwangsläufig eine entsprechende Checkbox eingerichtet werden. Dennoch gibt es auch diesbezüglich Ausnahmen. Wenn zum Beispiel die versendete Nachricht des Kontaktformulars weitere Datenverarbeitungsvorgänge initiiert, die keiner Rechtsgrundlage ohne Einwilligung unterliegen, dann sollte eine Checkbox eingerichtet werden. Vorsicht sollte in der Hinsicht geboten sein, dass die überflüssige Einrichtung einer Checkbox gewisse Risiken birgt. Sollen die erhobenen Daten beispielsweise zu einem späteren Zeitpunkt auch für andere als die ursprünglich festgelegten Zwecke genutzt werden, so wird der Zweck der Datenverarbeitung verändert. Es wäre eine neue Einwilligung erforderlich, die sich als der umständlichere Weg erweisen könnte.

Next step:

• Überprüfung der Datenverarbeitungsvorgänge

d) Verzeichnis der Verarbeitungstätigkeiten

Mit Inkrafttreten der DSGVO sind Unternehmen verpflichtet ein „Verzeichnis für Verarbeitungstätigkeiten“ zu führen. Das Verzeichnis stellt eine strukturierte Übersicht der gesamten Datenverarbeitung dar. Unter anderem sollten die Datenkategorien, der Kreis der betroffenen Personen, der Zweck der Verarbeitung und die Datenempfänger angegeben werden. Anhand des Verzeichnisses soll die Aufsichtsbehörde in die Lage versetzt werden, sich einen Überblick vom Datenschutzniveau des jeweiligen Unternehmens zu verschaffen. Bei Datenschutzprüfungen muss das Verzeichnis ggfs. der Aufsichtsbehörde vorgelegt werden.

Next steps:

• Überprüfung der Datenverarbeitungsvorgänge
• Erstellung Verzeichnis der Verarbeitungstätigkeiten

e) Auftragsverarbeitung

Im Rahmen der Auftragsverarbeitung – bisher als „Auftragsdatenverarbeitung“ bekannt – ist die Datenverarbeitung durch Dienstleister aus dem Europäischen Wirtschaftsraum durch sog. „AV-Verträge“ abzusichern. Bei Dienstleistern außerhalb der EU (sog. Drittstaaten) ist die Einbeziehung von EU-Standardvertragsklauseln zusätzlich erforderlich. Bestehende Verträge müssen daher an das neue Recht angepasst werden. So sollte der AV-Vertrag beispielsweise Gegenstand und Dauer sowie Art und Zweck der Verarbeitung, Umfang der Weisungsbefugnisse und den Kreis der Betroffenen festhalten. Wichtiger Bestandteil ist außerdem eine Anlage zu den technischen und organisatorischen Maßnahmen.

Empfehlung:

Empfehlenswert ist eine Übersicht aller Dienstleister, die Daten streng weisungsgebunden verarbeiten, zu erstellen und so zu kontrollieren, ob jeweils ein AV-Vertrag abgeschlossen wurde.

Next steps:

• Überprüfung, ob Datenverarbeitung durch Dritte erfolgt
• Abschluss von sog. „AV-Verträgen“ (sofern einschlägig)
• Einbeziehung von EU-Standardvertragsklauseln (sofern einschlägig

f) Datenschutz-Management-System

Nach der DSGVO ist ein aktives Management der Datenschutzprozesse erforderlich. Es muss ein Nachweis geführt werden, dass die Vorgaben der DSGVO eingehalten werden. Hierunter ist eine Sammlung aller Dokumentationen, Richtlinien und Maßnahmen, die dazu dienen, dass die Vorgaben der DSGVO eingehalten werden, zu verstehen. Wichtig ist hierbei, dass die definierten Prozesse auch im Unternehmen implementiert und gelebt werden.

Next steps:

• Analyse der Prozess
• Implementierung (neuer) Prozesse

g) Konzept für die Daten- und Informationssicherheit

Die Integrität und Vertraulichkeit von Daten muss auch nach den Regelungen der DSGVO geschützt werden. Unternehmen sind daher verpflichtet die technischen und organisatorischen Maßnahmen (TOM) der Daten- und Informationssicherheit zu implementieren und zu dokumentieren. Unter technischen Maßnahmen sind alle Schutzversuche zu verstehen, die im weitesten Sinne physisch umsetzbar sind, wie etwa Benutzerkonten, Passworterzwingung oder biometrische Benutzeridentifikation.  Organisatorische Maßnahmen sind solche Schutzversuche, die durch Handlungsanweisung, Verfahrens- und Vorgehensweisen umgesetzt werden, beispielsweise Besucheranmeldung, Arbeitsanweisung zum Umgang mit fehlerhaften Druckerzeugnissen oder festgelegte Intervalle zu Stichprobenprüfungen. Für TOM gilt ein sog. Verhältnismäßigkeitsprinzip. Das bedeutet, dass personenbezogene Daten nicht außer Verhältnis zu den wirtschaftlichen Aufwendungen geschützt werden müssen.

Next steps:

• Implementierung
• Dokumentation

Zusammenfassend lässt sich also festhalten, dass durch in Kraft treten der DSGVO die Unternehmen vor eine enorme Aufgabe gestellt wurden bzw. weiterhin werden. Gerade Start-Ups, die häufig nicht über gewachsene Strukturen, insbesondere nicht selten weder über eine Rechts- und Compliance-Abteilung noch über einen internen Datenschutzbeauftragten verfügen, sollten sich daher nicht scheuen, bei der DSGVO konformen Aufrüstung (auch) Hilfe externe Berater in Anspruch zu nehmen. Denn die Anforderungen sind teilweise komplex und die finanziellen Risiken bei Verstößen sind weitaus höher als die anfallenden Beratungskosten.

Carolin Spönemann

Carolin Spönemann berät nationale und internationale Mandanten im Bereich des Gesellschaftsrechts. Ein Schwerpunkt ihrer anwaltlichen Tätigkeit bildet dabei die rechtliche Beratung von Gründern, Startups und Investoren im Rahmen von Finanzierungsrunden. Dabei kann sie auch auf ihre Inhouse-Erfahrung bei einem Berliner Startup (Beteiligungsgesellschaft der der Rocket Internet SE) zurückgreifen. Zudem begleitet sie derzeit einige Start-Ups bei der Umsetzung der neuen Vorgaben nach der DSGVO.