5 Schritte, wie man zur perfekten Datenschutzkonformität gelangt

1. Aneignung einer grundlegenden Kenntnis zum Thema Datenschutz und Aufbau eines Fundaments zur Datenschutzkonformität

Damit man von Anfang an datenschutzkonform ist, lohnt es sich ein grundlegendes Wissen zu der Datenschutz-Grundverordnung (DSGVO) sich anzulegen, da diese von Beginn an beachtet werden muss. So verhindert man, dass im Nachhinein viel Aufwand für Anpassungsprozesse betrieben werden muss oder dass es sogar zu hohen Bußgeldern kommt. 

Bei der Aneignung dieses grundlegenden Wissens helfen wir mit Fachartikeln auf unserer Webseite gerne. Es soll vor allem dazu dienen, einen generellen Überblick zu bekommen und die Grundsätze der DSGVO zu verstehen. 

Um ein gutes Fundament für den richtigen Datenschutz zu bauen, hilft es bereits bei der Planung und Entwicklung die unternehmerischen Prozesse zu verstehen und hierbei die Erhebung, Speicherung, Nutzung und Löschung personenbezogener Daten in den verschiedenen Bereichen bzw. Abteilungen zu dokumentieren. So ist es später leichter Dokumente, wie z.B. das Verarbeitungsverzeichnis, zu erstellen, da die Art und Weise der Datenverarbeitung bereits bekannt ist. 

Hier ist weiterhin wichtig zu beachten, dass alleinige hohe technische Sicherheitsstandards in der IT nicht zur Datenschutzkonformität genügen.

2. Ernennung eines Datenschutzbeauftragten

Viele fragen sich auch, gerade, wenn das Unternehmen langsam zu wachsen beginnt, ab wann man einen Datenschutzbeauftragten braucht. Generell ist es erst verpflichtet einen Datenschutzbeauftragten zu ernennen, wenn Ihr Start-up 20 Mitarbeiter oder mehr hat, die sich ständig mit personenbezogenen Daten beschäftigen. Verwendet Ihr Start-up allerdings sensible Daten, oder auch besondere personenbezogene Daten, muss von Anfang an ein Datenschutzbeauftragter benannt werden. Dies ist zum Beispiel bei der Verwendung von Daten zur Gesundheit oder zu den Finanzen der Fall. Insgesamt ist es sehr empfehlenswert möglichst früh einen Datenschutzbeauftragten zu benennen, da so von Anfang an auf die optimale Umsetzung der Vorschriften der DSGVO geachtet wird.  

Weiterhin stellt sich hier die Frage, ob ein interner oder externer Datenschutzbeauftragter besser ist, wobei ein externer meist die kostengünstigere Variante darstellt. 

3. Kaltakquise, Newsletter & Co datenschutzkonform fürs Wachstum nutzen

Während des Wachstums müssen Start-ups vor allem darauf achten, dass spätestens ab einer Anzahl von 20 Mitarbeitern, die ständig mit personenbezogenen Daten in Kontakt sind, es verpflichtet ist, einen Datenschutzbeauftragten zu benennen. 

Gerade zu Beginn des Wachstums ist Kaltakquise und ähnliches sehr wichtig und beliebt. Bei Werbemails die über eine Art Newsletter erfolgt, muss nachvollziehbar die Zustimmung des Kunden zum Versand des Newsletters dokumentiert werden und in jedem Newsletter darauf hingewiesen werden, dass man dem Versand jederzeit widersprechen kann. 

Wenn vorher keine E-Mail-Adresse oder ähnliches für den Erstkontakt vorhanden ist, es sich also um Kaltakquise handelt, dürfen Mails nie automatisiert verschickt werden. Einzelne Adressen darf man allerdings anschreiben, wenn “berechtigtes Interesse” vorhanden ist. Hierbei sollte ein Link zur Datenschutzerklärung am besten eingebaut werden. Bei Erstkontakt über Social Media, Telefon oder Networking muss vor der Einpflegung der Kontaktdaten und Nutzung dieser zunächst die Einwilligung für die Verwendung (z.B. Newsletterversand) eingeholt werden. Einzeln dürfen diese aber weiter angeschrieben werden. 

4. Personenbezogene Daten sicher und richtig verarbeiten sowie weitergeben

Die Verarbeitung von Daten beinhaltet jegliche Verwendung von diesen, sei es das Erheben, Speicher, Offenlegen durch Übermittlung oder Löschen, außer wenn die Daten anonym sind. 

Daten dürfen verarbeitet werden, wenn einer der folgenden Umstände vorliegt (Art.6 DSGVO):

• Einwilligung des Betroffenen
• Vertragserfüllung 
• Gesetzliche Pflichten (z.B. Archivieren steuerlich wichtiger Unterlagen)
• Schutz lebenswichtiger Interessen von Menschen
• Berechtigte Interessen

Hierbei sind die Verarbeitung auf Grundlage berechtigter Interessen und die Einwilligung die wichtigsten Erlaubnisformen, wobei technische und organisatorische Maßnahmen die Verarbeitung erleichtern können, da das Schutzinteresse der Daten seitens der Betroffenen sinkt, da diese anders besonders geschützt sind. 

Gerade ein wachsendes Start-up bringt neben mehr Kundendaten auch mehr Mitarbeiter- und Bewerberdaten mit sich. Beschäftige müssen besonders geschützt werden nach §23 BDSG, das heißt, dass bei der Verarbeitung von Daten der Beschäftigten immer ein Ungleichgewicht zulasten der Mitarbeiter herrscht. Diese müssen ausreichend geschützt werden, auch von Mitarbeitern, die das Unternehmen verlassen. Dessen Daten müssen entsprechend nach Austritt gelöscht werden. 

Auch besondere personenbezogenen Daten unterliegen einem extra Schutz, weswegen hier eine ausdrückliche Einwilligung der Betroffenen notwendig ist.

Bei der Weitergabe der Daten an Dritte muss auf folgende Sachen geachtet werden:

• Sind die Betroffenen mit der Weitergabe einverstanden
• Ist die Weitergabe für die Vertragserfüllung notwendig
• liegt ein Auftragsverarbeitungsvertrag vor
• Werden die Daten in einem Drittland verarbeitet

5. Datenschutzkonforme Online Präsentation

Neben der verpflichtenden Datenschutzerklärung auf der Webseite muss ein Unternehmen noch auf einige weitere Dinge hinsichtlich der datenschutzkonformen Darstellung im Netz achten. In der Datenschutzerklärung muss zunächst auch auf Auftragsverarbeiter hingewiesen werden, die auf der Webseite aber auch generell verwendet werden. Dies können Marketing und Analytics-Tools wie Google Analytics sein, aber auch Zahlungsdienstleister wie Paypal und viele mehr. Wichtig ist hierbei mit diesen einen Auftragsverarbeitungsvertrag abzuschließen und eine Übersicht über die verschiedenen Auftragsverarbeiter (Auftragsverarbeitungsverzeichnis) zu erstellen. 

Außerdem muss ein Cookie-Banner eingebaut werden, bei welchem der Besucher der Verwendung von Cookies, die nicht technisch notwendig sind, zustimmen selbst muss, d.h. die Zustimmung darf nicht automatisch schon gesetzt sein.

Weiterhin ist nach § 5 Telemediengesetz das Impressum ebenfalls verpflichtend und muss unbedingt den vollständigen Namen und die Anschrift, sowie Angaben zur Kontaktaufnahme beinhalten.