16. Mai 2023
DSGVO-Checkliste für Start-ups: Was Sie wissen müssen
Die Datenschutzgrundverordnung (DSGVO) gilt seit dem 25. Mai 2018 in der gesamten Europäischen Union. Sie regelt den Schutz personenbezogener Daten natürlicher Personen und den freien Datenverkehr im Binnenmarkt. Die DSGVO gilt für alle Verantwortlichen und Auftragsverarbeiter:innen, die personenbezogene Daten verarbeiten, unabhängig von ihrer Größe oder Branche. Für Start-ups stellt die DSGVO eine besondere Herausforderung dar. Hier finden Sie einen Überblick über die wichtigsten Aspekte der DSGVO und was Sie als Start-up beachten müssen.
Was sind personenbezogene Daten?
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Das heißt, es muss sich nicht unbedingt um einen Namen oder eine Adresse handeln, um von personenbezogenen Daten zu sprechen. Auch Online-Kennungen wie IP-Adressen, Cookie-IDs oder Gerätekennungen können personenbezogene Daten sein, wenn sie einer bestimmten Person zugeordnet werden können. Darüber hinaus gibt es besondere Kategorien personenbezogener Daten, die einen höheren Schutz genießen, wie zum Beispiel Gesundheitsdaten, biometrische Daten oder Daten zur sexuellen Orientierung.
Wer ist Verantwortliche:r oder Auftragsverarbeiter:in?
Die DSGVO unterscheidet zwei zentrale Rollen bei der Verarbeitung personenbezogener Daten: den oder die für die Verarbeitung Verantwortliche:n und den oder die Auftragsverarbeiter:in. Diese Rollen bestimmen, wer für die Einhaltung der Datenschutzvorschriften verantwortlich ist und welche Pflichten er bzw. sie hat.
Der oder die Verantwortliche ist die Stelle, die über die Zwecke und Mittel der Verarbeitung entscheidet, das heißt über das Warum und Wie der Verarbeitung. Der oder die Verantwortliche kann eine natürliche oder juristische Person, eine Behörde, eine Einrichtung oder eine andere Stelle sein. Der oder die Verantwortliche kann gesetzlich bestimmt sein oder sich aus den tatsächlichen Umständen ergeben. Der oder die Verantwortliche muss die Grundsätze der DSGVO einhalten, die Rechte der betroffenen Personen gewährleisten und der Rechenschaftspflicht nachkommen.
Der oder die Auftragsverarbeiter:in ist die Stelle, die personenbezogene Daten im Auftrag des bzw. der Verantwortlichen verarbeitet. Der oder die Auftragsverarbeiter:in kann auch eine natürliche oder juristische Person, eine Behörde, eine Einrichtung oder eine andere Stelle sein. Der oder die Auftragsverarbeiter:in muss mit dem bzw. der Verantwortlichen einen schriftlichen Vertrag abschließen, in dem die Bedingungen der Verarbeitung festgelegt sind. Der oder die Auftragsverarbeiter:in darf nur auf Weisung des bzw. der Verantwortlichen handeln und muss geeignete technische und organisatorische Maßnahmen zum Schutz der Daten treffen.
An einer Verarbeitung können auch mehrere Verantwortliche oder mehrere Auftragsverarbeiter:innen beteiligt sein. In diesem Fall müssen sie untereinander klare Vereinbarungen darüber treffen, wie sie ihre jeweiligen Pflichten erfüllen und wie sie mit den betroffenen Personen kommunizieren. Die betroffenen Personen müssen über die Identität und die Kontaktdaten der Verantwortlichen und der Auftragsverarbeiter:innen informiert werden.
Welche Pflichten ergeben sich aus der DSGVO?
Die DSGVO basiert auf sieben Grundsätzen, die bei jeder Verarbeitung personenbezogener Daten zu beachten sind, Art. 5 DSGVO:
- Rechtmäßigkeit: Die Verarbeitung muss auf einer gesetzlichen Grundlage beruhen, wie zum Beispiel der Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a DSGVO), einem Vertrag (Art. 6 Abs. 1 lit. b DSGVO) oder einem berechtigten Interesse des bzw. der Verantwortlichen (Art. 6 Abs. 1 lit. f DSGVO).
- Zweckbindung: Die Verarbeitung muss für einen festgelegten und rechtmäßigen Zweck erfolgen, der im Voraus festgelegt und dokumentiert wird. Eine Weiterverarbeitung für andere Zwecke ist nur unter bestimmten Voraussetzungen zulässig (Art. 6 Abs. 4 DSGVO).
- Datenminimierung: Es dürfen nur die personenbezogenen Daten verarbeitet werden, die für den Zweck erforderlich und angemessen sind. Die Daten sind auf das notwendige Maß zu beschränken (Art. 5 Abs. 1 lit. c DSGVO).
- Richtigkeit: Personenbezogene Daten müssen sachlich richtig und aktuell sein. Unrichtige oder veraltete Daten sind zu löschen oder zu berichtigen (Art. 5 Abs. 1 lit. d DSGVO).
- Speicherbegrenzung: Personenbezogene Daten dürfen nicht länger gespeichert werden, als es für den Zweck erforderlich ist. Es müssen Fristen für die Löschung bzw. Überprüfung der Daten festgelegt werden (Art. 5 Abs. 1 lit. e DSGVO).
- Integrität und Vertraulichkeit: Personenbezogene Daten müssen vor unberechtigtem oder unrechtmäßigem Zugriff, Verlust, Zerstörung oder Beschädigung geschützt werden. Es sind geeignete technische und organisatorische Maßnahmen zu treffen (Art. 5 Abs. 1 lit. f DSGVO).
- Rechenschaftspflicht: Der oder die Verantwortliche muss nachweisen können, dass er bzw. sie die Grundsätze der DSGVO einhält und deren Einhaltung überwacht (Art. 5 Abs. 2 DSGVO). Außerdem muss er oder sie die betroffenen Personen über ihre Rechte informieren und ihre Anfragen beantworten (Art. 12-23 DSGVO).
Welche Rechte haben betroffene Personen?
Die DSGVO stärkt die Rechte der betroffenen Personen, deren personenbezogene Daten verarbeitet werden. Diese Rechte umfassen unter anderem
- das Auskunftsrecht: Die betroffene Person hat das Recht, von dem oder der Verantwortlichen Auskunft darüber zu verlangen, ob und welche personenbezogenen Daten von ihr verarbeitet werden, zu welchem Zweck, wie lange und an wen sie übermittelt werden.
- Das Recht auf Berichtigung: Die betroffene Person hat das Recht, von dem oder der Verantwortlichen die Berichtigung unrichtiger oder unvollständiger personenbezogener Daten zu verlangen.
- Recht auf Löschung: Die betroffene Person hat das Recht, von dem oder der Verantwortlichen die Löschung der sie betreffenden personenbezogenen Daten zu verlangen, wenn diese Daten nicht mehr benötigt werden, die betroffene Person ihre Einwilligung widerrufen oder der Verarbeitung widersprochen hat.
- Das Recht auf Einschränkung der Verarbeitung: Die betroffene Person kann von dem oder der Verantwortlichen verlangen, die Verarbeitung ihrer personenbezogenen Daten einzuschränken, wenn sie die Richtigkeit der Daten bestreitet, wenn die Verarbeitung unrechtmäßig ist, wenn sie die Daten zur Geltendmachung von Rechtsansprüchen benötigt oder wenn sie der Verarbeitung widerspricht.
- Recht auf Datenübertragbarkeit: Die betroffene Person kann von dem oder der für die Verarbeitung Verantwortlichen verlangen, dass ihre personenbezogenen Daten in einem gängigen, maschinenlesbaren Format bereitgestellt oder einem bzw. einer anderen für die Verarbeitung Verantwortlichen übermittelt werden, sofern die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht und automatisiert erfolgt.
- Widerspruchsrecht: Die betroffene Person kann der Verarbeitung ihrer personenbezogenen Daten jederzeit widersprechen, wenn die Verarbeitung auf einem berechtigten Interesse des oder der Verantwortlichen oder eines bzw. einer Dritten beruht oder zu Zwecken der Direktwerbung erfolgt.
- Recht auf Beschwerde: Die betroffene Person kann sich bei einer Aufsichtsbehörde beschweren, wenn sie der Ansicht ist, dass die Verarbeitung ihrer personenbezogenen Daten gegen die DSGVO verstößt.
Diese Rechte sind nicht absolut und können unter bestimmten Umständen eingeschränkt oder ausgeschlossen werden. Der oder die für die Verarbeitung Verantwortliche muss jedoch stets in der Lage sein, die Gründe für eine Einschränkung oder einen Ausschluss darzulegen und zu beweisen. Außerdem muss er bzw. sie die betroffene Person über ihre Rechte informieren und ihre Anträge innerhalb einer angemessenen Frist beantworten.
Welche Risiken bestehen bei Verstößen gegen die DSGVO?
Die DSGVO sieht für Verstöße gegen den Datenschutz hohe Bußgelder vor. Die Höhe der Bußgelder richtet sich nach der Schwere des Verstoßes, dem Verschulden des bzw. der Verantwortlichen oder Auftragsverarbeiter:in und weiteren Umständen des Einzelfalls. Der Höchstbetrag der Geldbuße beträgt 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes des Unternehmens, je nachdem, welcher Betrag höher ist.
Neben Bußgeldern drohen auch Schadensersatzansprüche von Betroffenen, die durch eine rechtswidrige Verarbeitung ihrer personenbezogenen Daten einen materiellen oder immateriellen Schaden erlitten haben. Der Schadensersatz kann z. B. den entgangenen Gewinn, den immateriellen Schaden oder die Verletzung des Persönlichkeitsrechts umfassen.
Darüber hinaus können Sie mit Abmahnungen oder Unterlassungsklagen von Mitbewerber:innen oder Verbänden konfrontiert werden, die einen Verstoß gegen die DSGVO als unlauteren Wettbewerb ansehen. Dies kann zu hohen Kosten und Rechtsstreitigkeiten führen.
DSGVO: Die Checkliste für Start-ups
Diese Checkliste soll Start-ups einen Überblick zur konformen Umsetzung und Risikovermeidung der DSGVO.
- Benennen Sie eine:n Datenschutzbeauftragte:n, wenn Sie mehr als 20 Mitarbeiter:innen beschäftigen oder besonders sensible Daten verarbeiten, Art. 37 DSGVO.
- Erstellen Sie ein Verzeichnis von Verarbeitungstätigkeiten, in dem Sie alle regelmäßigen Datenverarbeitungsprozesse dokumentieren, Art. 30 DSGVO.
- Ergreifen Sie technische und organisatorische Maßnahmen (TOM), um die Sicherheit der Verarbeitung zu gewährleisten, Art. 32 DSGVO.
- Führen Sie eine Datenschutz-Folgenabschätzung durch, wenn Ihre Verarbeitung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, Art. 35 DSGVO.
- Stellen Sie die Rechte der betroffenen Personen sicher, indem Sie sie über die Verarbeitung informieren und ihre Anfragen beantworten, Art. 12-23 DSGVO.
- Schließen Sie Auftragsverarbeitungsverträge (AVV) ab, wenn Sie personenbezogene Daten an andere Stellen übermitteln oder von anderen Stellen erhalten, Art. 28 DSGVO.
- Lassen Sie sich von einer Wirtschaftskanzlei beraten, die Sie bei der Umsetzung der DSGVO unterstützt und Ihre Fragen beantwortet.
Unsere Einschätzung
Die DSGVO mag auf den ersten Blick eine kaum überwindbare Herausforderung für Start-ups sein. Die Verordnung stellt hohe Anforderungen an die Rechtmäßigkeit, Transparenz und Sicherheit der Datenverarbeitung und räumt den Betroffenen weitreichende Rechte ein. Bei Verstößen drohen empfindliche Bußgelder und Schadensersatzansprüche. Wir sehen das Gesetz als Chance. Sauber umgesetzt, positionieren Sie sich als vertrauenswürdige:r und innovative:r Anbieterin, der/die Datenschutz ernst nimmt und Bedürfnisse seiner Kund:innen respektiert. Die DSGVO sollte ein Anreiz zur Entwicklung und Anwendung datenschutzfreundlicher Technologien sein. Das kann zu einem Wettbewerbsvorteil werden. Gerade für Start-ups ist es schwierig, bei der Fülle an Rechten und Pflichten den Überblick zu behalten. Wir helfen Ihnen bei der rechtskonformen Umsetzung der DSGVO, damit Sie Risiken vermeiden.