DSGVO: Praxistipps für Start-ups

Dass Start-ups generell unter die Datenschutz-Grundverordnung fallen, ist eindeutig. Denn sie gilt für alle Unternehmen, die im Rahmen ihrer Geschäftsprozesse personenbezogene Daten verarbeiten.

Ausnahmen existieren nur, wenn die Datenverarbeitung ausschließlich im Rahmen persönlicher oder familiärer Tätigkeiten und nicht – wie regelmäßig bei Start-ups – zu kommerziellen Zwecken erfolgt.

Besonders brisant sind dabei die folgenden Punkte:

1. Dokumentationspflichten
2. Datensicherheit
3. Datenschutz-Folgenabschätzung
4. Bestellung eines betrieblichen Datenschutzbeauftragten (DSB)

1. Die Dokumentationspflichten – Notwendigkeit für Start-ups?

Das Ziel von Dokumentationspflichten ist, Transparenz bei der Datenverarbeitung herzustellen. Eine Dokumentation unterstützt die Einhaltung der Vorgaben und demonstriert das auch gegenüber der Aufsichtsbehörde.

Die zentrale Vorschrift ist Art. 30 DSGVO. Danach hat grundsätzlich jeder Verantwortliche ein Verzeichnis über alle Verarbeitungstätigkeiten zu führen, die seiner Zuständigkeit unterliegen.

Von Bedeutung ist, ob Start-ups überhaupt dokumentieren müssen. Denn Art. 30 Abs. 5 DSGVO sieht Ausnahmen vor, um gerade kleine und mittlere Unternehmen (KMU) zu entlasten.

Nicht dokumentieren müssen sie, wenn sie weniger als 250 Mitarbeiter beschäftigen. Das dürfte auf nahezu alle Start-ups zutreffen. Hiervon gibt es jedoch Rückausnahmen,

• wenn die Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen birgt,
• wenn sie nicht nur gelegentlich erfolgt oder
• wenn sie sich auf besonders schützenswerte Daten wie Gesundheitsdaten oder auf strafrechtliche Verurteilungen und Straftaten bezieht.

Geschäftsmodell entscheidet

Entscheidend sind also das Geschäftsmodell sowie Art und Umfang der Datenverarbeitungen.

• So muss ein Start-up, das eine App im Bereich der Telemedizin anbietet, besondere Arten von Daten der Patienten verarbeiten und ist dann eindeutig Adressat der Pflicht.
• Dagegen dürfte bei „analogen“ Geschäftsmodellen, bei denen die Datenverarbeitung nicht im Vordergrund steht, ein hohes Risiko häufig zu verneinen sein. Aber: Nur in den wenigsten Fällen dürfte selbst hier die Datenverarbeitung nur gelegentlich (nicht regelmäßig) erfolgen. Außerdem darf gerade im Hinblick auf die Verarbeitung von besonders schützenswerten Datenkategorien der Blick nicht nur zu den Kunden gehen. Er muss sich auch auf Gehaltsabrechnungen, die Kirchensteuermerkmale verarbeiten, erstrecken.

Die meisten Start-ups müssen also die Dokumentationspflichten erfüllen. Je mehr innovative Daten verarbeitende Technologien das Geschäftsmodell bilden, desto wahrscheinlicher ist, dass keine Ausnahmen greifen.

Bürokratie als Erleichterung?

Die Dokumentationspflichten mögen zwar besonders aus Sicht junger Unternehmen lästig erscheinen. Die Dokumentation interner Prozesse ist aber u.a. als Wettbewerbsvorteil gegenüber der Konkurrenz zu begreifen.

Auch innerhalb eines Investor-Pitchs kann ein Datenschutz-Konzept Investoren überzeugen. Denn jedes Unternehmen steht und fällt mit der Einhaltung rechtlicher Vorgaben.

Dass Verantwortliche die Dokumentation elektronisch erstellen können, reduziert den Aufwand.

Mehrere Start-ups als Joint-Controller

Führt ein Start-up gemeinsam mit einem weiteren Unternehmen eine Datenverarbeitung als sogenannter Joint-Controller durch, müssen beide die Datenverarbeitungen dokumentieren, die innerhalb ihrer Zuständigkeit liegen.

Das sollten die Beteiligten zwingend vertraglich fixieren, um Klarheit und Rechtssicherheit zu schaffen.

Was ist besonders wichtig bei der Dokumentation?

Die Inhalte der Dokumentationspflicht legt Art. 30 Abs. 1 Buchst. a–g DS-GVO fest:

• Name und Kontaktdaten des Start-ups, sofern vorhanden die des gemeinsam Verantwortlichen und des Datenschutzbeauftragten
• Zwecke der Verarbeitung: Die Zwecke müssen für alle Datenverarbeitungsprozesse gesondert festgelegt und dokumentiert werden.
• Beschreibung der Daten- und Betroffenenkategorien (Kategorisierungserfordernis): Das schließt Daten von Kunden, Dienstleistern und Angestellten ein. Diese Kategorien sollten mit den betreffenden Datenarten verknüpft werden. Das macht bei Ergänzungen sichtbar, welche Daten für welche Kategorien verarbeitet werden.
• Kategorien von Empfängern der Daten: Hier ist zu fragen, ob und an welche Empfänger (z.B. Lieferanten und Dienstleister) möglicherweise übermittelt werden soll; es reicht aus, wenn die Übermittlung beabsichtigt ist, sie muss nicht erfolgt sein.
• Übermittlungen der Daten in Drittländer: Sofern die Daten in Drittländer (außerhalb der EU) übermittelt werden sollen – das ist häufig bei der Nutzung von Cloud-Storage-Diensten der Fall –, sind auch diese sowie die Rechtsgrundlagen der Übermittlung zu dokumentieren.
• Fristen für die Löschung verschiedener Datenkategorien: Diese Angabe ist nur aufzunehmen, wenn es überhaupt möglich ist, eine solche Löschfrist zu bestimmen. So lässt sich (im Vorhinein) keine Frist zur Löschung festlegen, wenn der Zeitpunkt unbestimmt ist, zu dem der Verarbeitungszweck erreicht wird.
• Allgemeine Beschreibung der Sicherheitsmaßnahmen zum Schutz der Daten: Hier lässt sich im Vorfeld detalliert eine Art „Mind-Map“ über die jeweiligen Prozesse ausarbeiten und mit Maßnahmen versehen. Diese Übersicht sollte gepflegt werden und mit den DV-Prozessen mitwachsen.

Start-ups und Auftragsverarbeitung

Auch Auftragsverarbeiter müssen – leicht modifiziert – diese Pflichten mit Bezug zum Auftragsverhältnis erfüllen (Art. 30 Abs. 2 DSGVO). So ist es zunehmend verbreitet, dass Startups auf externe Ressourcen wie Cloud Computing setzen, um Kosten zu reduzieren.

Andererseits können sie selbst als Auftragsverarbeiter, z.B. im Rahmen eines Instant-Messaging-Service, fungieren, wobei sie dann ebenfalls die Verpflichtungen treffen. Zudem ist eine Vermischung beider Rollen möglich und zu berücksichtigen.

2. Datensicherheit als Grundgerüst jedes Unternehmens

Plant ein Start-up, personenbezogene Daten zu verarbeiten, muss es die Sicherheit der Daten, Systeme und Prozesse gewährleisten. Für diesen „Dreiklang“ geben Art. 5 und 32 DSGVO den Rahmen vor.

Die hiernach zu ergreifenden technischen und organisatorischen Maßnahmen haben sich nach dem jeweiligen Zweck der Verarbeitung, dem Stand der Technik und dem Risiko der Datenverarbeitung für die Betroffen zu orientieren.

Sie müssen ferner geeignet sein, um einer missbräuchlichen Verarbeitung, dem unbeabsichtigten Verlust, der Schädigung oder Zerstörung personenbezogener Daten vorzubeugen.

Maßnahmen und zu berücksichtigende Aspekte

Wie solche Maßnahmen konkret ausgestaltet sein können, verdeutlicht der Beispielkatalog in Art 32 Abs. 1 DSGVO. So ist ein effektives Risikomanagement für die Sicherheit der Verarbeitung ebenso entscheidend wie die Vertraulichkeit, die Integrität, die Verfügbarkeit und die Belastbarkeit der Systeme und Dienste.

Auch die Pseudonymisierung und die Verschlüsselung personenbezogener Daten sowie die Fähigkeit zur Datenwiederherstellung müssen die ergriffenen Maßnahmen abdecken.

Derartige Sicherheitsvorkehrungen sind unabhängig von der Betriebsgröße, aber abhängig vom Risiko zu ergreifen. Für junge, speziell datengetriebene Unternehmen ist allerdings der damit verbundene Kostenfaktor mitunter eine schwere Belastung.

Auch wenn gemäß Art. 32 DSGVO die Implementierungskosten in die Waagschale zu werfen sind, bleiben die Folgekosten der Implementierung unberücksichtigt. Bei der Finanzplanung sollten die Gründer deshalb über die Wartungskosten der Technik im Bilde sein.

Das kann dazu führen, einen Datenverarbeitungsprozess so zu verändern, dass das Risiko sinkt und sich damit die kostenintensiven Gegenmaßnahmen reduzieren.

Schutzbedarf feststellen

Um zu beurteilen, welche Schutzmaßnahmen genau nötig sind, muss ein Verantwortlicher zunächst den Schutzbedarf der Daten ermitteln. Hierfür sind zwei unterschiedliche Bewertungsfaktoren maßgeblich:

• Der erste Faktor bemisst sich an der Sensibilität der personenbezogenen Daten. Hier legen Art. 9 und 10 DSGVO besondere Kategorien von Daten fest.
• Der zweite Faktor bewertet das Gefährdungspotenzial, das aus dem Verarbeitungszusammenhang erwächst. Die Maßnahmen orientieren sich daher maßgeblich am Risiko, das durch die Verarbeitung entsteht. Insbesondere Vernichtung, Verlust, Veränderung, unbefugtes Offenlegen oder Zugänglichmachen von personenbezogenen Daten sind für die Risikobewertung und die Szenarienbildung zu berücksichtigen.

Orientierung an Branchenüblichkeit der Maßnahmen möglich

Letztlich müssen die Maßnahmen dem „Stand der Technik“ entsprechen. Es ist hilfreich, sich dafür an branchenüblichen Standards zu orientieren. Hierzu bieten sich ein Vergleich mit Konkurrenzunternehmen aus der gleichen Branche und zusätzlich eine Orientierung an den BSI-Grundschutzkatalogen an.

Bei den Branchenstandards ist in der Regel schon der Kostenfaktor, sowohl der Implementierung als auch des Folgebetriebs, berücksichtigt. Auch schaffen sie Gewissheit, welche Maßnahmen konkret nötig sind.

3. Datenschutz-Folgenabschätzung? Risiken erkennen und handeln!

Liegt in der Verarbeitung ein hohes Risiko für die Betroffenen, so ist unabhängig von der Unternehmensgröße eine Datenschutz-Folgenabschätzung durchzuführen.

Für junge und innovative Unternehmen ist besonders wichtig, dass Art. 35 Abs. 1 DSGVO ausdrücklich Datenverarbeitungsformen durch „neue Technologien“ ein hohes Risiko zumisst.

Besonderes Risiko durch neue Technologien und Geschäftsfelder

Hierbei dürften sich alle Start-ups auf den Gebieten der technologischen Vernetzung wie dem Internet of Things (IoT), der Autonomik, Big Data & Co. angesprochen fühlen. Im Einzelfall ist jedoch immer auf das konkrete Risiko für den Betroffenen abzustellen, das durch den Einsatz der jeweiligen Technologien entsteht.

Das Risiko definiert sich dabei nicht ausschließlich an der Menge oder an der Art der Daten, sondern besonders am Informationsgehalt über das Individuum, der sich aus ihrer Verarbeitung und dem Kontext ergibt.

Es geht somit darum, Risiken für die Betroffenen frühzeitig, also bereits während der Businessplanung, zu erkennen und einzudämmen.

Das gilt umso stärker, je mehr diese Datenverarbeitung in den betrieblichen Fokus rückt oder gar den Kern der unternehmerischen Tätigkeit ausmacht

Eine Datenschutz-Folgenabschätzung ist daher stets durchzuführen, wenn das Betätigungsfeld z.B. in den folgenden Bereichen liegt:

• Profiling
• Scoring
• Tracking
• Überwachung öffentlicher Plätze
• Verarbeitung besonderer Kategorien von Daten

Die wichtigsten Datenschutzgrundsätze

Ergibt die Folgenabschätzung eine Pflicht zum Handeln, stellt sich anschließend die Frage, wie man genau zu Werke gehen soll.

Einem jungen Unternehmer kann es nicht schaden, über die wichtigsten Mindestprüfelemente im Bilde zu sein. Zentral sind hier die Grundsätze der Verarbeitung personenbezogener Daten gemäß Art. 5 Abs. 1 DSGVO wie etwa Rechtmäßigkeit der Verarbeitung oder die Speicherbegrenzung.

Möchte das Unternehmen z.B. eine App entwickeln, so muss es die Datenverarbeitung im Lichte dieser Grundsätze analysieren und die Grundsätze bei der Produktgestaltung beachten (Privacy by Design und by Default).

Mit den ergriffenen Sicherheits- und Eindämmungsmaßnahmen muss sich das Risiko beherrschen lassen.

Allgemeine Checklisten sind hier nur bedingt empfehlenswert. Denn die Verarbeitungsvorgänge und Risiken variieren je nach internen Prozessen stark.

Zusammenarbeit mit und Orientierung an Aufsichtsbehörde

Ist nicht auf den ersten Blick ersichtlich, ob eine Datenschutz-Folgenabschätzung durchzuführen ist, lohnt ein Blick zu den Aufsichtsbehörden.

Nach Art. 35 Abs. 4–6 DSGVO sind sie angehalten, eine Liste mit Verarbeitungsvorgängen zu veröffentlichen, die einer Folgenabschätzung bedürfen. Entsprechendes gilt für Listen, in denen eine Prüfung unterbleiben kann. Diese Listen – die es derzeit allerdings noch nicht gibt – bieten Anhaltspunkte für eigene Verarbeitungsvorgänge.

Kommen die Gründer zu dem Schluss, dass sie die hohen Risiken nicht eindämmen können, müssen sie die Aufsichtsbehörde konsultieren. Sie wird dann Empfehlungen aussprechen.

Datenpannen – was ist zu tun?

Eine weitere Herausforderung für Start-ups ist die Meldepflicht bei Schutzverletzungen. Schutzverletzungen sind nach Art. 4 Nr. 12 DSGVO Vernichtung, Verlust, Veränderung und unbefugte Offenlegung der personenbezogenen Daten sowie unbefugter Zugang zu ihnen.

Keine Ausnahmen für Start-ups!

Generelle Ausnahmen, gekoppelt an die Unternehmensgröße, existieren nicht.

Eine Verletzung darf nicht bagatellisiert werden, sondern das Start-up muss grundsätzlich nach Art. 33 und 34 DSGVO die Aufsichtsbehörde und bei einem hohen Risiko auch die Betroffenen informieren, deren Daten von der Verletzung betroffen sind.

Hervorzuheben ist hierbei, dass die Hürde für die Annahme einer Schutzverletzung und die Meldung an die Aufsichtsbehörde niedrig ist: Die Schutzverletzung muss nur ein (einfaches!) Risiko für die Rechte und Freiheiten der Betroffenen bedeuten.

Bloße Unannehmlichkeiten, die ohne Dritteinwirkung entstanden sind, wie etwa, dass Betroffene ihre  Adressdaten nach einem Serverabsturz (ohne vorhandenes Back-up) noch einmal zur Verfügung stellen müssen, dürften hiervon ausgenommen sein.

Demnach wäre z.B. ein nicht gesichertes Speichermedium mit personenbezogenen Daten, das unauffindbar bleibt, als meldepflichtige Schutzverletzung zu deklarieren.

Eine häufige Form der Schutzverletzung ist auch ein unbefugter Zugang zu oder die Offenlegung von Daten gegenüber Unberechtigten, etwa wenn kein ausreichendes Zugriffs- und Berechtigungskonzept existiert.

Räumliche Open-Office-Konzepte in sog. Start-Laps/Inkubatoren begünstigen solche Datenpannen. Denn hier teilen sich mehrere Start-ups ein und dieselben Räume und Infrastrukturen.

Zeit als wesentlicher Faktor

Ist eine Schutzverletzung festgestellt, garantiert nur schnelles Handeln, dass sich die 72-Stunden-Grenze, innerhalb derer eine (Erst-)Meldung an die Behörde erfolgen muss, einhalten lässt.

Doch gerade Start-ups haben in den seltensten Fällen eine IT-Abteilung mit verantwortlichem IT-Sicherheitsbeauftragten. Daher ist ein angemessenes Sicherheitskonzept besonders wichtig. Schon weniger aufwendige Schutzvorkehrungen können schützen. So hilft etwa eine Verschlüsslung der Daten, Schutzverletzungen durch unbefugten Zugang zu reduzieren.

4. Datenschutzbeauftragter – Pflicht oder Kür?

Nach der Verordnung kommt es bei der Bestellpflicht darauf an, welche Risiken für den Betroffenen von den Datenverarbeitungen ausgehen. Hierbei muss die Kerntätigkeit der Start-ups aufgrund ihres Wesens, ihres Umfangs und ihrer Zwecke auf eine regelmäßige oder systematische Beobachtung von Betroffenen ausgerichtet sein.

So wären z.B. solche Start-ups zur Bestellung verpflichtet, die – v.a. bei neuen Technologien – Profilbildungen, Bewertungen oder Katalogisierungen der Betroffenen vornehmen.

Das betrifft etwa Start-ups, die das Verhalten von Nutzern elektronischer Dienste wie Apps aufzeichnen, auswerten und zu kommerziell nutzbaren Ergebnissen aufbereiten.

Das gilt v.a., wenn das Unternehmen im Rahmen der Kerntätigkeit besondere Datenarten verarbeitet. Das kann z.B. bei Wearable-Computing-Systemen der Fall sein.

Hinzu kommt das nationale Recht. Nach dem Entwurf für ein Anpassungsgesetz des BDSG werden in § 38 die bestehenden Regelungen wohl „fortgelten“. Danach ist schon bei mehr als neun Mitarbeitern, die ständig mit der Datenverarbeitung betraut sind, ein Datenschutzbeauftragter zu bestellen.

Start-ups müssen also bei einer personellen Erweiterung, bei einer Verlagerung oder Ausdehnung bestehender Datenverarbeitungen aufs Neue doppelt prüfen, ob eine Bestellung verpflichtend ist.

Finanzielle Aspekte bewältigen

Eine „Eigenbestellung“ zum DSB ist aufgrund des Unabhängigkeitserfordernisses nicht möglich. Jedoch kann es eine Alternative sein, sich die Dienstleistung extern einzukaufen. Das bietet mehr finanziellen Spielraum.

Fazit: Große Herausforderungen, aber machbar!

Die Verordnung stellt gerade Start-ups zu Beginn vor große Herausforderungen. Ein DSB hilft ihnen dabei, die Vorgaben angemessen umzusetzen. Auch eine frühzeitige Zusammenarbeit mit der Aufsichtsbehörde kann Unternehmen helfen, sich im (neuen) Datenschutzrecht zurechtzufinden.

Dr. Kevin Marschall