TippsWissen

5 Schritte, wie man zur perfekten Datenschutzkonformität gelangt

5 Schritte zur Datenschutzkonformität

Datenschutz für Start-ups: Schlüssel zur Compliance und Expansion

Damit man von Anfang an datenschutzkonform ist, lohnt es sich ein grundlegendes Wissen zu der Datenschutz-Grundverordnung (DSGVO) sich anzulegen, da diese von Beginn an beachtet werden muss.

1. Aneignung einer grundlegenden Kenntnis zum Thema Datenschutz und Aufbau eines Fundaments zur Datenschutzkonformität

Damit man von Anfang an datenschutzkonform ist, lohnt es sich ein grundlegendes Wissen zu der Datenschutz-Grundverordnung (DSGVO) sich anzulegen, da diese von Beginn an beachtet werden muss. So verhindert man, dass im Nachhinein viel Aufwand für Anpassungsprozesse betrieben werden muss oder dass es sogar zu hohen Bußgeldern kommt. 

Bei der Aneignung dieses grundlegenden Wissens helfen wir mit Fachartikeln auf unserer Webseite gerne. Es soll vor allem dazu dienen, einen generellen Überblick zu bekommen und die Grundsätze der DSGVO zu verstehen. 

Um ein gutes Fundament für den richtigen Datenschutz zu bauen, hilft es bereits bei der Planung und Entwicklung die unternehmerischen Prozesse zu verstehen und hierbei die Erhebung, Speicherung, Nutzung und Löschung personenbezogener Daten in den verschiedenen Bereichen bzw. Abteilungen zu dokumentieren. So ist es später leichter Dokumente, wie z.B. das Verarbeitungsverzeichnis, zu erstellen, da die Art und Weise der Datenverarbeitung bereits bekannt ist. 

Hier ist weiterhin wichtig zu beachten, dass alleinige hohe technische Sicherheitsstandards in der IT nicht zur Datenschutzkonformität genügen.

2. Ernennung eines Datenschutzbeauftragten

Viele fragen sich auch, gerade, wenn das Unternehmen langsam zu wachsen beginnt, ab wann man einen Datenschutzbeauftragten braucht. Generell ist es erst verpflichtet einen Datenschutzbeauftragten zu ernennen, wenn Ihr Start-up 20 Mitarbeiter oder mehr hat, die sich ständig mit personenbezogenen Daten beschäftigen. Verwendet Ihr Start-up allerdings sensible Daten, oder auch besondere personenbezogene Daten, muss von Anfang an ein Datenschutzbeauftragter benannt werden. Dies ist zum Beispiel bei der Verwendung von Daten zur Gesundheit oder zu den Finanzen der Fall. Insgesamt ist es sehr empfehlenswert möglichst früh einen Datenschutzbeauftragten zu benennen, da so von Anfang an auf die optimale Umsetzung der Vorschriften der DSGVO geachtet wird.  

Weiterhin stellt sich hier die Frage, ob ein interner oder externer Datenschutzbeauftragter besser ist, wobei ein externer meist die kostengünstigere Variante darstellt. 

3. Kaltakquise, Newsletter & Co datenschutzkonform fürs Wachstum nutzen

Während des Wachstums müssen Start-ups vor allem darauf achten, dass spätestens ab einer Anzahl von 20 Mitarbeitern, die ständig mit personenbezogenen Daten in Kontakt sind, es verpflichtet ist, einen Datenschutzbeauftragten zu benennen. 

Gerade zu Beginn des Wachstums ist Kaltakquise und ähnliches sehr wichtig und beliebt. Bei Werbemails die über eine Art Newsletter erfolgt, muss nachvollziehbar die Zustimmung des Kunden zum Versand des Newsletters dokumentiert werden und in jedem Newsletter darauf hingewiesen werden, dass man dem Versand jederzeit widersprechen kann. 

Wenn vorher keine E-Mail-Adresse oder ähnliches für den Erstkontakt vorhanden ist, es sich also um Kaltakquise handelt, dürfen Mails nie automatisiert verschickt werden. Einzelne Adressen darf man allerdings anschreiben, wenn “berechtigtes Interesse” vorhanden ist. Hierbei sollte ein Link zur Datenschutzerklärung am besten eingebaut werden. Bei Erstkontakt über Social Media, Telefon oder Networking muss vor der Einpflegung der Kontaktdaten und Nutzung dieser zunächst die Einwilligung für die Verwendung (z.B. Newsletterversand) eingeholt werden. Einzeln dürfen diese aber weiter angeschrieben werden. 

4. Personenbezogene Daten sicher und richtig verarbeiten sowie weitergeben

Die Verarbeitung von Daten beinhaltet jegliche Verwendung von diesen, sei es das Erheben, Speicher, Offenlegen durch Übermittlung oder Löschen, außer wenn die Daten anonym sind. 

Daten dürfen verarbeitet werden, wenn einer der folgenden Umstände vorliegt (Art.6 DSGVO):

  • Einwilligung des Betroffenen
  • Vertragserfüllung 
  • Gesetzliche Pflichten (z.B. Archivieren steuerlich wichtiger Unterlagen)
  • Schutz lebenswichtiger Interessen von Menschen
  • Berechtigte Interessen

Hierbei sind die Verarbeitung auf Grundlage berechtigter Interessen und die Einwilligung die wichtigsten Erlaubnisformen, wobei technische und organisatorische Maßnahmen die Verarbeitung erleichtern können, da das Schutzinteresse der Daten seitens der Betroffenen sinkt, da diese anders besonders geschützt sind. 

Gerade ein wachsendes Start-up bringt neben mehr Kundendaten auch mehr Mitarbeiter- und Bewerberdaten mit sich. Beschäftige müssen besonders geschützt werden nach §23 BDSG, das heißt, dass bei der Verarbeitung von Daten der Beschäftigten immer ein Ungleichgewicht zulasten der Mitarbeiter herrscht. Diese müssen ausreichend geschützt werden, auch von Mitarbeitern, die das Unternehmen verlassen. Dessen Daten müssen entsprechend nach Austritt gelöscht werden. 

Auch besondere personenbezogenen Daten unterliegen einem extra Schutz, weswegen hier eine ausdrückliche Einwilligung der Betroffenen notwendig ist.

Bei der Weitergabe der Daten an Dritte muss auf folgende Sachen geachtet werden:

  • Sind die Betroffenen mit der Weitergabe einverstanden
  • Ist die Weitergabe für die Vertragserfüllung notwendig
  • liegt ein Auftragsverarbeitungsvertrag vor
  • Werden die Daten in einem Drittland verarbeitet

5. Datenschutzkonforme Online Präsentation

Neben der verpflichtenden Datenschutzerklärung auf der Webseite muss ein Unternehmen noch auf einige weitere Dinge hinsichtlich der datenschutzkonformen Darstellung im Netz achten. In der Datenschutzerklärung muss zunächst auch auf Auftragsverarbeiter hingewiesen werden, die auf der Webseite aber auch generell verwendet werden. Dies können Marketing und Analytics-Tools wie Google Analytics sein, aber auch Zahlungsdienstleister wie Paypal und viele mehr. Wichtig ist hierbei mit diesen einen Auftragsverarbeitungsvertrag abzuschließen und eine Übersicht über die verschiedenen Auftragsverarbeiter (Auftragsverarbeitungsverzeichnis) zu erstellen. 

Außerdem muss ein Cookie-Banner eingebaut werden, bei welchem der Besucher der Verwendung von Cookies, die nicht technisch notwendig sind, zustimmen selbst muss, d.h. die Zustimmung darf nicht automatisch schon gesetzt sein.

Weiterhin ist nach § 5 Telemediengesetz das Impressum ebenfalls verpflichtend und muss unbedingt den vollständigen Namen und die Anschrift, sowie Angaben zur Kontaktaufnahme beinhalten.


Über den Autor

Weitere Artikel

dsgvo-vs-soc-2

DSGVO oder SOC 2: Navigieren durch die Meere der Compliance

Die Navigation durch die Komplexität der Datenkonformität kann entmutigend sein. Im heutigen digitalen Zeitalter sind die DSGVO in Europa und SOC 2 in Nordamerika wichtige Rahmenwerke für Datensicherheit und Datenschutz. Die DSGVO fungiert als starker Wächter personenbezogener Daten in der EU, während SOC 2 die Sicherheit von Cloud-Daten in Nordamerika gewährleistet. Das Verständnis ihrer Unterschiede hilft Unternehmen, Compliance zu erreichen, sensible Informationen zu schützen und das Vertrauen der Kunden zu stärken. Für Unternehmen, die in die EU expandieren, ist die Beherrschung der DSGVO unerlässlich.

Mehr erfahren
apple-und-openai-deu

Die Partnerschaft von Apple und OpenAI

Apples Partnerschaft mit OpenAI zur Integration von ChatGPT in Siri markiert einen bedeutenden Fortschritt in der KI und verspricht intelligentere, personalisierte Interaktionen. Allerdings bringt sie erhebliche Datenschutzherausforderungen mit sich. Apples Datenschutz-zuerst-Ansatz stellt die Benutzerkontrolle und Transparenz sicher, indem Anfragen nicht protokolliert werden und eine ausdrückliche Zustimmung erforderlich ist. Diese Integration betont die Notwendigkeit robuster Datenschutzmaßnahmen und die Einhaltung von Vorschriften. Erfahre, wie Unternehmen KI-Fortschritte nutzen und gleichzeitig Daten schützen und Vertrauen wahren können.

Mehr erfahren
Ist deine DNA sicher?

Ist deine DNA sicher? Risiken von Gentests und wie du deine Daten schützen kannst

Erfahre mehr über die Folgen der Datenschutzverletzung bei Gentests, wie sie sich kürzlich bei 23andMe ereignet hat, und verstehe die dringende Notwendigkeit, genetische Informationen zu schützen. Entdecke die Risiken, die mit solchen Datenschutzverletzungen einhergehen, und gewinne Einblicke in effektive Lösungen zum Schutz der DNA-Privatsphäre in einer Zeit, in der technologische Fortschritte die rechtlichen Rahmenbedingungen überholen. Erkunde bewährte Verfahren, regulatorische Überlegungen und Expertenlösungen wie heyData, die darauf ausgelegt sind, deine Datenschutzmaßnahmen zu stärken und dich in die Lage zu versetzen, dich sicher in der komplexen Landschaft der Gentests zurechtzufinden.

Mehr erfahren

Lerne jetzt unverbindlich unser Team kennen!

Kontakt aufnehmen