• Suche

Datenschutz-Grundverordung (DSGVO): So bereitet Ihr Euch richtig vor

(Foto: Anna Demianenko via Unsplash.com)

DSGVO: So bereitest du Dein Startup für die Datenschutz-Grundverordnung vor

Am 25. Mai 2018 tritt die Datenschutz-Grundverordnung (DSGVO) in Kraft, auch bekannt unter dem englischen Namen General Data Protection Regulation (GDPR).

Was das für Euch Gründer bedeutet und wie Ihr Euch vorbereitet, erfahrt Ihr im Interview mit Datenschutz-Expertin Simone Horstmann.

Hallo Simone, worum geht es bei der Datenschutzgrundverordnung?

Die DSGVO ist eine europäische Verordnung, die den Umgang mit personenbezogenen Daten regelt.

Personenbezogene Daten sind alle Daten, die eine natürliche Person identifizieren oder identifizieren können, also dich zum Beispiel als Privatperson.

Es wird aber grundsätzlich kein Unterschied gemacht zwischen der Privatperson und dem zum Beispiel namentlich bekannten Angestellten eines Unternehmens – beides fällt unter den Anwendungsbereich.

Im täglichen Leben begegnet uns die DSGVO beispielsweise beim Einkauf in einem Webshop. Dort gibst du deinen Namen und deine Adresse ein, damit der Shopbetreiber dir das, was du bestellt hast, schicken kann.

Die DSGVO sagt, dass diese Daten schützenswert sind und erstmal auch nur für diesen bestimmten Zweck – also Ware verschicken und abrechnen – verwendet werden dürfen.

Die DSGVO harmonisiert weitgehend diese Anforderungen und Abläufe jetzt auf europäischer Ebene, nachdem wir vorher in unseren 28 europäischen Mitgliedsstaaten lokale Regelungen hatten.

Wen betrifft die DSGVO?

Die kurze Antwort: alle Unternehmen.

Im Grunde wäre ich überrascht, wenn es im Zeitalter der Digitalisierung noch ein Unternehmen gibt, das sich um das Thema nicht zu kümmern braucht.

Ändert sich denn etwas gegenüber der bisherigen Gesetzgebung in Deutschland? Oder ist man da schon gut aufgestellt, wenn man den Bestimmungen bisher entspricht?

Die Datenschutzgesetze sind in Deutschland, im europäischen Vergleich, immer schon als streng wahrgenommen worden. Die DSGVO hat nun viele Gedanken und Institutionen übernommen, teilweise in leicht veränderter Form. Das kann schon einmal zum Kulturschock werden.

Wenn man aber als deutsches Unternehmen das Thema Datenschutz schon nach Bundesdatenschutzgesetz in der Vergangenheit adressiert hatte, ist man bereits auf einem guten Weg.

Nur wer sich dem Thema bisher noch nicht zugewandt hat, hat hier vermutlich einiges aufzuholen. Das liegt weniger an der DSGVO, sondern daran, dass das bisher schleifen gelassen wurde.

Diese Unternehmen stehen jetzt vor der nicht zu unterschätzenden Herausforderung, ihre Datenflüsse entsprechend zu dokumentieren und Betroffenen auf Anfrage auch transparent Auskunft zu erteilen, welche Daten sie über sie haben und sogar gegebenenfalls Daten vollständig und endgültig zu löschen.

Das ist üblicherweise der Punkt, an dem Unternehmer von datengetriebenen Firmen blass werden. Aber da gilt es, mit der Zeit zu gehen und sich fit für die Zukunft zu machen.

Einen Rückschritt in den, ich sag mal, etwas sorgloseren Umgang mit personenbezogenen Daten wird es nicht geben.

Im Gegenteil stellen sogar im globalen Vergleich viele Länder mittlerweile Ihre eigenen Datenschutzgesetze auf, von denen der überwiegende Teil dem Ansatz der DSGVO ähnlicher wird.

Warum ist das Thema gerade so aktuell?

Der erste Punkt, der die Unternehmer momentan aufhorchen lässt, ist die deutliche Veränderung der Bußgeldrahmen. Die sind erhöht worden.

Was sich im Bundesdatenschutzgesetz noch mit einer Geldbuße bis 300.000 Euro abgespielt hat, bewegt sich in der DSGVO jetzt bei bis zu 4 Prozent des Jahresumsatzes des Unternehmens oder 20 Millionen Euro, je nachdem was höher ist.

Natürlich wird die Behörde sich an Grundsätze der Verhältnismäßigkeit halten, aber auf dem Auge blind zu bleiben, kann einen auch aus dem Spiel kegeln – je nach Größe und Umsatzvolumen.

Das Schadensrisiko ist durch die Anhebung der Bußgeldbeträge entsprechend mit angestiegen und ist sozusagen die Konsequenz der EU auf die bisher nicht sehr beliebte und daher auch oft nicht ausreichend beachteten Datenschutzrichtlinien und -gesetze.

Mittlerweile bereitet sich auch der B2B-Markt umfassend auf dieses Thema vor oder hat die Vorbereitungen bereits abgeschlossen.

Wer also weiterhin, oder neu, mit größeren Firmen Geschäfte machen möchte, sollte nicht überrascht sein, wenn er von denen nach diesem Thema und seinen Maßnahmen gefragt wird.

Hier kommt derjenige weiter, der eine intelligente Antwort parat hat und zeigen kann, dass er oder sie sich auf dem Feld auskennt, auf dem gespielt wird.

Vermutlich hat mittlerweile fast jeder, entweder privat oder beruflich, mindestens eine E-Mail darüber erhalten, dass eine bestimmte Firma ihre Datenschutzbestimmungen ändert.

Daran kannst du das Marktverhalten ablesen.

Was bedeutet das nun für Startups, was ändert sich für sie, was müssen sie tun?

Wer jetzt schon mit dem Bundesdatenschutzgesetz konform geht, ist schon auf einem guten Weg. Aber gerade bei Startups liegt der Fokus oft eher auf dem Produkt oder ihrer Dienstleistung, und das Thema Datenschutz kommt dann zu kurz.

Im Markt beobachte ich aber wie gesagt, dass vor allem größere Unternehmen sich sehr gut vorbereiten und entsprechendes Verhalten auch von Ihren Zulieferern oder Kooperationen erwarten.

Zusätzlich zur rechtlichen Änderung, verändert sich ebenso die Business-Seite.  An der Stelle ist bei manchen deutschen und europäischen Unternehmern noch eine gewisse Änderung im Mindset erforderlich.

Vereinfacht kannst du dir hierzu zuerst gedanklich klar machen, dass die Daten, die du über Kunden und andere natürliche Personen hast, dir nicht permanent gehören. Die gehören weiterhin dem Nutzer.

Und der Nutzer gibt dir sozusagen eine „Lizenz“, seine Daten in bestimmter Weise zu nutzen. Nutzt du sie in anderer Weise, ist das konsequenterweise eine “Lizenzverletzung”.

Die unspezifische Datensammelleidenschaft ist damit ein Stück weit vorbei und wird ersetzt durch höhere Qualitätsanforderungen statt eines bisher mehr auf Quantität angelegten Geschäftes.

Das kann zunächst verständlicherweise Sorgen bereiten, ob noch ausreichend Umsatz generiert werden kann, wenn die Anzahl der eingehenden Leads sich reduziert.

Qualitativ höherwertige Interessentendaten sind aber gleichzeitig geeignet, eine höhere Conversion Rate hervorzurufen, die hier wieder ausgleichend wirken kann.

So hängen tatsächlich viele Geschäftsbereiche mit den Änderungen der DSGVO zusammen, was der DSGVO den Ruf eingebracht hat, das markt-veränderndste Gesetz seit 20 Jahren zu sein.

Was muss ein Gründer konkret machen, der beispielsweise nur ein Kontaktformular auf seiner Website hat?

Zum einen brauchst du eine Datenschutzerklärung auf deiner Website, wenn wir jetzt über das Webseitenformular reden.

Die brauchst du dann, falls und an der Stelle, an der du über die Website personenbezogenen Daten einsammelst.

Wenn du von vornherein keine personenbezogenen Daten verarbeitest, brauchst du im Umkehrschluss natürlich auch keine Datenschutzerklärung nach Datenschutzrecht.

Die Angaben dafür nennt das Gesetz. Das sind z. B. Art der Daten und Zweck der Verarbeitung.

Da das Gesetz auch sagt, du möchtest bitte die Anzahl der Daten minimieren und nur solche verarbeiten, die auch für einen legitimen Zweck benötigst, kannst du hier z. B. auch nicht willkürlich Pflichtangaben abfragen, die du im Grunde nicht brauchst, sondern die “nice to have” sind.

Der Nutzer kann in die Verarbeitung solcher, an sich nicht benötigten Daten aber natürlich einwilligen.

Darf man irgendwelche Daten nicht mehr so nutzen wie bisher?

Das Gesetz gibt dir sechs verschiedene Grundlagen, auf denen du Daten verarbeiten darfst. Die drei wichtigsten sind:

  1. Einwilligung
  2. Die Daten sind erforderlich für die Erfüllung eines Vertrags.
  3. Es gibt legitime Interessen des Verantwortlichen, also üblicherweise des Unternehmens, diese Daten zu verarbeiten.

Die ersten beiden werden in der Praxis die häufigsten sein.

Unternehmen müssen jetzt besonders darauf achten, welche Daten sie auf welcher Grundlage bekommen haben und im Zweifel auch aufhören, Daten zu verwenden, wenn sie nicht sicher sind.

Für diejenigen, die ganz neu starten – auch damit, Daten zu sammeln – wie gehen die von Anfang an gleich richtig vor?

Wichtig ist, dass man direkt damit anfängt, Prozesse zu definieren, diese Prozesse auch mit dem Datenschutzrecht abzugleichen. Dann empfehle ich, einfach immer dem gleichen Prozess folgen.

So ist es am einfachsten und du brauchst nicht alles bei jeder einzelnen Werbemaßnahme, jedem einzelnen Kundenvertrag neu zu durchdenken.

Du kannst dir zum Beispiel überlegen, was du mit den Visitenkarten machen möchtest, die du auf einem Event bekommst.

Ich sehe mehr und mehr Unternehmen, die eine Postkarte an Ihrem Stand haben, die sie von dem Besucher ausfüllen und unterzeichnen lassen, falls der Besucher sich z. B. zum Newsletter anmelden möchte oder direkt telefonisch vom Vertrieb kontaktiert werden möchte.

Das ist erstmal für viele ein seltsames Bild, wird sich aber vermutlich weiter etablieren.

Da das im Zeitalter der Digitalisierung kein ganz unbürokratischer Weg ist, werden sich weitere Best Practices herauskristallisieren bzw. je nach Unternehmen, kann das Unternehmen auch eigene und individuelle Lösungen entwickeln.

Klar ist aber, dass die DSGVO die Art und Weise verändern wird, wie wir netzwerken.

Wenn man sich jetzt noch schnell darauf einstellen will, wie geht man am besten vor? Hast Du da Tipps?

Wenn du jetzt erst anfängst, wirst du es bis zum Stichtag, dem 25. Mai 2018 vermutlich nicht mehr schaffen, es sei denn, du hast ein ganz kleines Unternehmen.

Wobei man hier sagen muss, dass gerade kleine Unternehmen dieselben Kopfschmerzen haben wie größere Unternehmen, aber mit weniger Budget zurechtkommen müssen.

Kleine Unternehmen organisieren viele Abläufe auf reine Kosteneinsparung, was wirtschaftlich verantwortungsvoll ist, sie andererseits jedoch mit veränderten Herausforderungen konfrontiert, z.B. wenn es kein festes Büro gibt, sondern von zu Hause aus gearbeitet wird, aus dem Zug, vom Flughafen aus, usw. Da kann auch kein Datenschutzberater etwas dran ändern.

Um dich der Sache zu nähern und einen Überblick zu bekommen, machst du am besten zuerst ein Data Mapping.

Das heißt, du schaust, an welcher Stelle in deinem Unternehmen personenbezogene Daten reinkommen und wo sie weiterverarbeitet werden, wo sie hingehen, wo sie gespeichert werden, wann sie gelöscht werden.

Dann nimmst du dir ein “Entry Gate”, z.B. den Newsletter auf Deiner Website und folgst einem eingehenden personenbezogenen Datum über diesen Weg durch dein Unternehmen.

Besonderes Augenmerk würde ich auch auf internationalen Austausch legen, hier kannst du z. B. mal schauen, ob dein US-amerikanischer Geschäftspartner Privacy Shield zertifiziert ist.

Danach würde ich schauen, für welchen Schritt du welche Erlaubnisse oder Verträge benötigst und welche Nachforschungspflichten du möglicherweise hast.

So hast du am Ende so etwas wie eine Karte, die dich durch dein ganzes Unternehmen führt.

Das schreibst du dann im Verarbeitungsverzeichnis auf.

Da kannst du mal einen Blick in die DSGVO werfen, welche Angaben hier gemacht werden sollen.

Wo kann man sich zum Thema informieren?

Ich würde mich auf jeden Fall auf die offiziellen Seiten dazu begeben. Die EU tut einiges, um das Thema transparent darzustellen.


Simone Horstmann (Foto: privat)

Simone Horstmann ist Gründerin von WorqIT und ist spezialisiert auf Datenschutzberatung für Software-Unternehmen. WorqIT unterstützt diese Unternehmen mit kundenorientierten Lösungswegen, die individuell zum Unternehmen passen und dem Datenschutz gerecht werden. Ihr erreicht Simone auf LinkedIn unter www.worq-it.com (coming soon).

Geschrieben von
Carmen Radeck

Carmen Radeck ist Journalistin und Gründerin von RuhrGründer. Ihre Leidenschaft ist es, Geschichten von Menschen zu erzählen, die ihr eigenes Ding machen, dafür brennen und bereit sind, jedes Risiko einzugehen.
So entstand die Idee zum Gründerblog RuhrGründer, der 2014 mit Storys über Gründer und Startups aus dem Ruhrgebiet online ging und sich inzwischen zum Szene-Portal entwickelt hat. Als Mit-Initiatorin der Datenbank StartupsRuhr.de und von Events wie dem RuhrSummit und den Fuckup Nights Ruhrgebiet ist sie aktiver Bestandteil der Gründerszene Ruhr.
Carmen berät Unternehmen in Sachen Content Marketing und Social Media. Sie kommt aus Essen, lebt in Kamen und ist im Ruhrgebiet zuhause.

Alle Artikel ansehen
Hinterlasse einen Kommentar

* Die Checkbox für die Zustimmung zur Speicherung ist nach DSGVO zwingend.

Ich stimme zu.

1 comment
  • Sehr interessanter Bericht!
    Ich bin der Meinung, dass teilweise Grenzen überschritten wurden und eine Regelung dringend nötig ist um die Privatsphäre von Privatpersonen, aber auch von Mitarbeitern in Unternehmen zu schützen.

Geschrieben von Carmen Radeck