Dieser Artikel befasst sich damit, wie Startups mit der DSGVO umgehen können. Es wird erklärt, warum sie einen Vorteil gegenüber länger bestehenden Konkurrenten haben, wenn es darum geht, Systeme einzurichten, bevor einige Tipps zur Erfüllung der DSGVO-Anforderungen gegeben werden.
Welche Vorteile haben Startups durch die DSGVO?
Die Datenschutz-Grundverordnung verpflichtet zum "eingebauten Datenschutz". Das bedeutet, dass jeder einzelne Teil eines Unternehmens - von den Produkten, die Sie verkaufen, bis hin zu den einzelnen Prozessen, die Sie einsetzen - auf das Grundprinzip des Schutzes der personenbezogenen Daten von in der EU ansässigen Personen ausgerichtet sein muss.
Entscheidend ist, dass die DSGVO für alle personenbezogenen Daten gilt - egal, ob sie in E-Mails, Tabellenkalkulationen, in der Cloud oder in physischer Form vorliegen.
Wie Sie sich vorstellen können, ist dies ein echter Umbruch in der Geschäftswelt, denn es bedeutet, dass Unternehmen jeden Aspekt ihrer Tätigkeit ändern müssen. Andernfalls riskieren Sie eine DSGVO-Strafe von bis zu 20 Millionen Euro oder 4% Ihres weltweiten Jahresumsatzes aus dem vorangegangenen Geschäftsjahr - je nachdem, welcher Betrag höher ist.
Die Einhaltung des DSGVO-Standards hat vielen Unternehmen zugegebenermaßen Kopfzerbrechen bereitet, wobei die Marketingabteilungen den Großteil dieser Verantwortung tragen.
Doch Start-ups haben einen echten Vorteil gegenüber älteren, etablierten Unternehmen. Sie können von Anfang an DSGVO-konforme Praktiken in ihr Geschäftsmodell implementieren - was viel einfacher ist, als lang etablierte Arbeitsweisen abzubauen und wieder bei Null anzufangen.
Ist die Einhaltung der DSGVO für Startups anders?
Im Allgemeinen gelten die DSGVO-Vorschriften zum Datenschutz für alle Unternehmen, die Daten von EU-Bürgern speichern.
Es gibt jedoch ein paar kleinere Ausnahmen für Start-ups, die die Sache für Sie etwas einfacher machen könnten.
Erstens sind Unternehmen mit weniger als 250 Mitarbeitern von der Verpflichtung befreit, ein Dateninventar oder ein Protokoll über die Datenverarbeitung zu führen - es sei denn, sie verarbeiten personenbezogene Daten einer "besonderen Kategorie", d. h. sensible personenbezogene Daten wie Rasse, Sexualität und genetische Daten.
Zweitens müssen Startups in der Regel keinen Datenschutzbeauftragten ernennen, da sie in der Regel nicht annähernd so viele personenbezogene Daten verarbeiten, dass ein solcher gemäß den Bestimmungen der DSGVO erforderlich ist. Dennoch sollten Sie prüfen, ob Sie einen solchen Beauftragten brauchen oder nicht.
Wie können Startups die DSGVO-Anforderungen erfüllen?
Die Einhaltung der DSGVO ist ein detaillierter Prozess, der auf lange Sicht Aufmerksamkeit erfordert. Wir haben an anderer Stelle ausführliche Informationen veröffentlicht, die erklären, wie Sie Ihr Unternehmen DSGVO-bereit machen können.
Als allgemeine Einführung müssen Sie jedoch Richtlinien und Prozesse in den folgenden Bereichen einführen:
Transparenz
Start-ups müssen ihren Kunden klar und deutlich erklären, welche Daten sie sammeln und wie lange diese verwendet werden.
Wichtig ist auch, dass sie dafür eine "rechtmäßige Grundlage" haben müssen. Wenn diese Rechtsgrundlage die Einwilligung ist - was in vielen, aber nicht allen Fällen der Fall ist -, dann ist es unerlässlich, dass Sie bei jedem Schritt eine detaillierte Aufzeichnung darüber führen.
Dies gilt für die Erfassung aller Daten, von Webseiten-Cookies und IP-Adressen bis hin zu E-Mails und der Übertragung von Daten an Software von Drittanbietern, die Sie möglicherweise verwenden.
Entscheidend ist, dass Einzelpersonen jederzeit die Möglichkeit haben müssen, sich dagegen zu entscheiden.
Schutz personenbezogener Daten
Im Kern verpflichtet die DSGVO Unternehmen dazu, sich um alle personenbezogenen Daten zu kümmern, die sie von Personen gespeichert haben - das bedeutet, dass die Sicherheit im Mittelpunkt steht.
Daher müssen Startups sicherstellen, dass sie die aktuellsten Sicherheitsmaßnahmen anwenden, um zu verhindern, dass Daten gehackt werden.
Darüber hinaus müssen sie den Zugriff auf personenbezogene Daten durch Mitarbeiter auf befugtes Personal beschränken und Prozesse einführen, die sicherstellen, dass personenbezogene Daten auf allen von Mitarbeitern verwendeten Geräten oder Plattformen sicher sind.
Meldung von Verstößen
Für den Fall einer Datenschutzverletzung müssen Startups Systeme einrichten, um den Verlust personenbezogener Daten zu begrenzen.
Außerdem müssen die Unternehmen der Datenschutzbehörde ihres Landes innerhalb von 72 Stunden nach dem Vorfall melden, dass eine Datenschutzverletzung stattgefunden hat.
Dieser Bericht muss Informationen über die genauen Daten enthalten, die durchgesickert sind, wer genau betroffen ist und welche Schritte unternommen werden, um die Verletzung auf ein Minimum zu beschränken.
Sicherstellung der Einhaltung der Vorschriften durch Drittparteien
Nach den DSGVO-Vorschriften sind Startups dafür verantwortlich, wie die von ihnen erfassten personenbezogenen Daten von Dritten gehandhabt werden, mit denen sie zusammenarbeiten - dazu gehören Zulieferer und Auftragnehmer sowie jede Software, die Sie verwenden.
Wenn Sie also beispielsweise Google Analytics verwenden, sind Sie dafür verantwortlich, was diese mit den personenbezogenen Daten machen. Die beste Vorgehensweise wäre hier, darauf zu bestehen, dass Dritte eine umfassende DSGVO-Checkliste ausfüllen und Vereinbarungen unterzeichnen, die ihre Einhaltung der Datenschutzgesetze festlegen.
Außerdem müssen Sie prüfen, ob personenbezogene Daten in Länder außerhalb der EU übermittelt werden, da die Datenschutzgesetze in anderen Teilen der Welt nicht den DSGVO-Standards entsprechen.
Die Einhaltung der DSGVO beginnt jetzt
Als Startup gibt es für Ihr Unternehmen keinen besseren Zeitpunkt, um sich mit den DSGVO-Anforderungen vertraut zu machen.
Darüber hinaus wird die Vernachlässigung der DSGVO in diesem frühen Stadium Ihres Unternehmens schwerwiegende Folgen für die Zukunft haben - insbesondere, wenn Sie auf den internationalen Markt expandieren möchten.
Und wenn Sie diesen Prozess jetzt beginnen möchten, haben wir eine kostenlose Checkliste zur Einhaltung der DSGVO erstellt, die Sie auf den richtigen Weg bringt.