Ratgeber

Kein Welpenschutz für Startups: Das müssen junge Unternehmen beim Datenschutz beachten

(Foto: Monkey Business Images/Shutterstock)

Gerade keine Zeit? Jetzt speichern und später lesen

Ideen gibt es bei Startups oft im Überfluss. Dass sie vermeintlich lästige Themen wie den Datenschutz zunächst beiseiteschieben, kann sich rächen. Umgekehrt profitiert auf lange Sicht, wer von Anfang an daran denkt.

Einen Welpenschutz für Startups gibt es nicht. Der Datenschutz betrifft neue und kleine Unternehmen genauso wie große, etablierte. Er greift, sobald personenbezogene Daten erhoben werden. Da jedes Unternehmen Kunden und Mitarbeiter hat und zumeist auch Dienstleister und Lieferanten im Spiel sind, ist eine unternehmerische Tätigkeit ohne Datenschutzaspekt schlicht nicht vorstellbar.

Nix mehr verpassen: Die t3n Newsletter zu deinen Lieblingsthemen! Jetzt anmelden

Kurz gesagt: Jeder, der am Markt teilnimmt, muss von Anfang an die Datenschutzgrundverordnung (DSGVO) beachten. Anfängliche Versäumnisse erfordern später aufwendige Anpassungen, können hohe Bußgelder nach sich ziehen und im Extremfall die gesamte Unternehmenstätigkeit gefährden.

Die Gründungsphase

Das Unternehmen muss von Anfang an datenschutzkonform mit den Daten umgehen, die es von Kunden, Beschäftigten und Lieferanten bekommt – am besten schon in der Seeding-Phase. Gerade Gründer von Tech-Startups erliegen oft einem Trugschluss: Es reicht nicht, eine sichere IT mit hohem technischen Standard zu haben. Datenschutz ist auch in den Unternehmensprozessen und der -organisation umzusetzen.

Kundengewinnung: Dürfen Startups Kaltakquise betreiben?

Da erste Kunden zu gewinnen, für die meisten Startups so wichtig ist, laufen viele Vertriebsaktivitäten schon frühzeitig an. Bei der Kaltakquise, die für Startups höchst attraktiv ist, müssen die Vorschriften des §7 UWG (Gesetz gegen den unlauteren Wettbewerb) eingehalten werden: Der kontaktierte Marktteilnehmer darf nicht in unzumutbarer Weise belästigt werden. Darüber hinaus braucht, wer persönliche Daten erfasst, speichert, verändert oder übermittelt, meist die explizite Einwilligung des Kunden.

Braucht mein Startup einen Datenschutzbeauftragten?

Die DSGVO schreibt die Benennung eines Datenschutzbeauftragten erst vor, wenn mindestens 20 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind. Werden aber sensible Daten mit dem Ziel verarbeitet, zum Beispiel Bonitäts- oder Gesundheitsprofile zu erstellen, entfällt diese Grenze. Solche Startups benötigen grundsätzlich einen Datenschutzbeauftragten.

Besondere Risiken für die Finanz- und Gesundheitsbranche

Nehmen wir an, einem Healthcare-Startup kommen Patientendaten abhanden. Oder einem Fintech-Unternehmen werden Konto- und Finanzdaten seiner Kunden entwendet. Gelangen hochsensible Daten in falsche Hände, kann es ihre Urheber stark kompromittieren. Daher müssen Firmen im Finanz- und Gesundheitssektor ein besonders hohes Datenschutzniveau gewährleisten. Ein Datenschutzbeauftragter leistet hier wertvolle Hilfe. Unterm Strich ist es ratsam, frühzeitig einen Datenschutzbeauftragten zu benennen. Denn die Vorschriften der DSGVO sind unbedingt zu beachten. Das Unternehmen braucht in jedem Fall datenschutzrechtliche Kompetenzen, um haftungsrechtlichen Risiken und Bußgeldern aus dem Weg zu gehen.

Die Growth-Phase

Eine wachsende Organisation bringt auch neue Anforderungen an den Datenschutz mit. Zum Beispiel an Mitarbeiter- und Bewerberdaten. Sobald das Personalwesen einsetzt, werden auch hier Daten erfasst und verarbeitet, die ausreichend geschützt werden müssen. Das betrifft übrigens nicht nur die Daten von Bewerbern und aktuellen Angestellten: Auch die Daten von Mitarbeitern, die aus dem Unternehmen ausscheiden, unterliegen dem Datenschutz und sind rechtzeitig nach Austritt zu löschen. Spätestens ab 20 Mitarbeitern, die ständig mit personenbezogenen Daten zu tun haben, ist die Benennung eines Datenschutzbeauftragten verpflichtend. Hier kommt entweder ein interner Mitarbeiter. Wächst eine Organisation, nehmen in der Regel auch Prozesse mit Datenschutzrelevanz zu. Sie müssen strukturiert und in die erweiterte Prozessdokumentation aufgenommen werden. Datenschutz-Vereinbarungen mit Mitarbeitern, Kunden beziehungsweise Patienten und Lieferanten müssen getroffen werden.

Können Fehler aus der Gründungsphase ausgebügelt werden?

Schwer zu beheben sind vor allem frühe Versäumnisse beim technischen Datenschutz. Betrachten wir zum Beispiel ein Startup, das schon vor der Gründung den Prototyp einer App entwickelt hat, die personenbezogene Daten erfassen kann. Dabei wurden Datenschutzaspekte bei der Entwicklung nicht beziehungsweise nur unzureichend beachtet. Laut dem Datenschutz-Grundsatz „Privacy by Design“ muss das Produkt aber so gestaltet sein, dass der Datenschutz bereits in den Grundeinstellungen umgesetzt wird.

Wird nun der Prototyp zum Kern des marktfähigen Produkts, dann nimmt das Unternehmen die Datenschutz-Problematik mit in die Wachstumsphase und steht früher oder später vor der Frage: nachbessern oder neu entwickeln? Mangelnder Datenschutz im Produkt sollte also von Anfang an verhindert werden.

Weitere datenschutzrechtliche Probleme aus der Gründungsphase betreffen die Unternehmens-IT, nämlich Software und Hardware. Wer personengebundene Daten auf einem PC oder Laptop lokal speichert, entzieht diese Daten der regelmäßigen Löschung. Das kann zu Problemen führen, wenn die Geräte später verkauft oder entsorgt werden sollen. Hier ist ein prüfender Blick durch die Datenschutzbrille unabdingbar.

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 70 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Luca Caracciolo (Chefredakteur t3n) & das gesamte t3n-Team

Anleitung zur Deaktivierung