Nur noch zwei Monate, dann tritt die neue EU-Datenschutzgrundverordnung (DSGVO) in Kraft. Ab Mai 2018 werden viele Änderungen gültig, an die sich Unternehmen halten sollten, um hohe Geldbußen aufgrund von Verstößen zu vermeiden.
Wer sich bisher also noch nicht eingehend damit beschäftigt hat, dem bleibt nicht mehr viel Zeit, um auf die neuen Gesetze zu reagieren – und er sollte spätestens jetzt einen Blick darauf werfen und aktiv werden. Eine besondere Herausforderung stellt die DSGVO für Startups da, weil sie meist personell nicht hoch besetzt sind und es (noch) keinen Datenschutzbeauftragten gibt. Was genau in der neuen DSGVO geregelt wird, finden sie hier. (Verlinkung zum Artikel „Neuer Datenschutz ab Mai 2018 – mehr Rechte für Nutzer, mehr Pflichten für Unternehmen“)
Warum müssen gerade Startups an einem guten Datenschutz interessiert sein?
Egal welche Größe das Unternehmen hat: für Startups gibt es keine Ausnahme. Doch gerade für Startups stellt die neue DSGVO eine große Schwierigkeit dar, da meist ein wesentlicher Geschäftsteil von jungen Unternehmen die Verarbeitung von personenbezogenen Daten wie Kundendaten ist. Durch die zunehmende Digitalisierung und Vernetzung weltweilt bieten mittlerweile viele Startup-Unternehmen digitale Services mit integrierten Onlineshops an, die ohne die Verarbeitung von Kundendaten nicht möglich wären.
Entwicklung am Markt
In der heutigen Zeit ist es für Startups sowieso nicht leicht, sich am Markt halten zu können. Da käme ein Skandal in Form einer Datenschutzpanne nicht gerade recht. Denn das würde einen hohen Imageverlust für das junge Unternehmen bedeuten und die Marktstabilität beeinträchtigen. Kämen dann noch hohe Bußgelder von bis zu 20 Millionen oder bis zu vier Prozent des Jahresumsatzes dazu, hat es ein möglicherweise noch nicht rentables Unternehmen schwer, weiterhin wettbewerbsfähig zu sein.
Wettbewerbsvorteil
Die Nutzung eines guten Datenschutzmanagements kann für ein junges Unternehmen aber auch als positive Chance dienen: Kunden wollen in immer mehr und mehr, dass ihre Daten in verantwortungsvollen Händen liegen. Das kann ein Startup gewährleisten, wenn es sich dem Thema Datenschutz ausgiebig widmet und somit Vertrauen schaffen. Damit wird guter Datenschutz zum Wettbewerbsvorteil.
Mobile Endgeräte und Clouds
Wenn noch nicht viel Budget für Bürotechnik da ist, werden in Startups meist die eigenen mobilen Endgeräte wie das eigene Smartphone genutzt. An dieser Stelle ist es schwierig, die Daten vertrauenswürdig zu behandeln, sodass sie auch von Dritten und Unbefugten bei Verlust der Geräte nicht gelesen werden können. Die Lösung heißt hier Datenverschlüsselung. Alle personenbezogenen Daten sollten in einer sicheren Form verschlüsselt werden, damit sie geschützt sind.
Auch Cloud-Dienste sind für Startups ganz oft eine einfache und günstige Variante. Daten werden hier dann zwar vom Cloud-Anbieter verschlüsselt, doch die Verantwortung liegt laut DSGVO immer noch beim Unternehmen und kann somit nicht an einen externen Dienstleister abgetreten werden.
Was sollten Startups nun also tun?
Der erste Schritt, den ein junges Unternehmen nun tun sollte, ist, für das Thema Datenschutz ein Bewusstsein zu schaffen und zu sensibilisieren. Mit dem Lesen dieses Artikels ist der erste Schritt also schon getan.
Nun geht es daran, die Umsetzung der neuen DSGVO zu planen. Dafür ist eine Bestandsaufnahme für alle relevanten Tätigkeiten, die mit Datenverarbeitung zusammenhängen, durchzuführen. Ein Startup sollte also prüfen, ob es für alle Datenverarbeitungen auch eine Rechtsgrundlage gibt und ob die Voraussetzungen der Datenverarbeitung erfüllt sind. So muss z.B. der Kunde für den Erhalt eines Newsletters aktiv zustimmen – und dies muss vom Unternehmen auch dokumentiert werden.
Generell sollte geschaut werden, in welchen Systemen überhaupt personenbezogene Daten verarbeitet werden, zu welchem Zweck und wer unter welchen Voraussetzungen Zugriff darauf hat. Dabei wäre es generell ratsam, die Verarbeitung von personenbezogenen Daten schon zu Beginn auf ein Minimum zu beschränken.
Dann geht es daran, alle Arten von Dokumenten oder Texten auf die Neuerungen zu überprüfen. So sollten Verträge, Einwilligungstexte, und Erklärungen durchgeschaut und angepasst werden.
In der neuen DSGVO werden auch verstärkte Sicherheitsmaßnahmen gefordert. Für ein Startup sollte es also Standard sein, gleich zu Beginn in Zusammenarbeit mit IT-Sicherheitsexperten VPN-Netze, Firewalls und Virenscanner einzusetzen.
Diese Umsetzungen fordern einiges von Startups, die sowieso schon meist stark ausgelastet sind. Doch noch ist nicht alles verloren. Wer sich nicht selbst mit dem Thema auseinandersetzen kann und will, hat immer noch die Möglichkeiten, sich einen externen Datenschutzbeauftragten ins Boot zu holen, der bei der Umsetzung unterstützen kann (z.B. www.datenschutzbeauftragter-extern.info).