Als Startup verarbeitet ihr eine Vielzahl von personenbezogenen Daten, um Aufgaben und Pflichten in eurem Kerngeschäft gegenüber Kunden, Vertragspartnern, Dienstleistern, öffentlichen Stellen und sonstigen Dritten zu erfüllen. Ihr als Verantwortliche müsst technische und organisatorische Maßnahmen treffen, um die Datenschutz-Grundverordnung einzuhalten und seid dazu auch noch rechenschaftspflichtig. Folgende Beiträge sollen euch helfen, ein Datenschutz-Mindset aufzubauen, die Grundlagen zu verstehen und Datenschutz umzusetzen.
Dieser Artikel führt in die Datenschutz-Grundverordnung (DSGVO) ein. Was müsst ihr beachten, um die Daten eurer Kunden:innen und Mitarbeiter:innen gesetzeskonform zu verarbeiten? Wie schützt ihr euch wirksam vor einer Datenschutzverletzung?
Zunächst geht es um den Sinn und Zweck des Datenschutzes und wie sich Datenschutz auf euer Projekt auswirkt.
Der Datenschutz ist genauso ein Grundrecht wie das Recht auf körperliche Unversehrtheit, die Meinungsfreiheit oder der Schutz des Eigentums. Das hat das Bundesverfassungsgericht bereits 1983 im Volkszählungsurteil anerkannt, weil die “freie Entfaltung der Persönlichkeit … unter den modernen Bedingungen der Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraussetzt“.
Mit dieser Betrachtungsweise können Regelungen zum Datenschutz zum einen als notwendige Umsetzung eines wichtigen Grundrechtes geachtet werden und zum anderen einen nützlichen Anlass bieten, Datenschutzmaßnahmen im Projekt, Unternehmen oder der Organisation als Teil eines umfassenden Qualitätsmanagements zu implementieren. Der Schutz von betroffenen Personen einer Datenverarbeitung ist neben nationalen Grundrechten auch in der europäischen Grundrechtecharta gewährleistet. Daher ist auch bei allen Datenverarbeitungen innerhalb der Europäischen Union die DSGVO zu beachten.
Welche Daten sind geschützt?
Nach der Datenschutz-Grundverordnung sind personenbezogene Daten geschützt. Personenbezogene Daten sind Informationen, die sich auf identifizierte oder identifizierbare natürliche Personen beziehen.
Diese Informationen können z. B. sein:
- Kennungen, wie der Name oder Kennnummern, Standortdaten oder eine Online-Kennung (IP-Adresse) oder
- besondere Merkmale, die Ausdruck der Identität sind. Dazu gehören u. a. physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Merkmale.
In der Startphase eines Projektes oder eines Gründungsvorhabens ist es nicht unüblich, bereits Informationen zu verarbeiten, die:
- den Namen von Nutzer:innen, Adress- und andere Kontaktdaten, Kontonummern oder
- Mitarbeiter:innendaten (Namen, Adresse, Bankverbindung, Sozialversicherungsnummer, Krankmeldungen)
enthalten.
Es wird daher kaum eine Geschäftsidee geben, die nicht mit personenbezogenen Daten umgeht, weil die allermeisten Informationen, die zur Umsetzung einer Geschäftsidee genutzt werden, immer zur Identifizierung und Identifizierbarkeit einer Person führen.
Datenschutz ist deswegen nicht gering zu schätzen und sollte daher von Anfang an im Gründungsteam von mindestens einer Person bearbeitet und bei der Etablierung von Prozessen immer mitgedacht und umgesetzt werden.
Und nicht zuletzt vor allem deshalb, weil der Missbrauch von (ungeschützten) Daten zu mitunter erheblichen materiellen und immateriellen Schäden bei eurem Unternehmen selbst oder bei euren Kund:innen, Mitgliedern und Geschäftspartner:innen führen kann.
Zudem haben die Datenschutzaufsichtsbehörden der jeweiligen Bundesländer die Befugnis, bei Datenschutzverstößen empfindliche Geldbußen zu verhängen. Das ist allerdings nur ein Teil ihrer Aufgaben. Sie sollen nicht nur den Betroffenen, sondern auch den Verantwortlichen beratend und helfend zur Seite stehen. Scheut euch also nicht, bei Fragen, wie ihr die Anforderungen des Datenschutzes erfüllen könnt, diese Unterstützung auch in Anspruch zu nehmen.
Entwickelt ein Datenschutz-Mindset und begrüßt den Datenschutz als Teil des Qualitätsmanagements in eurem Unternehmen!
Und weiter geht es mit dem Anwendungsbereich und den Begriffen der DSGVO: https://gumbrecht.org/anwendungsbereich-und-begriffe-der-datenschutz-grundverordnung/
