In noch nicht einmal mehr vier Monaten ist es soweit: Die Datenschutzgrundverordnung (DSGVO) wird am 25. Mai 2018 Geltungskraft erlangen und ab diesem Zeitpunkt unmittelbar anwendbares Recht in Europa sein. Damit wird der Datenschutz auf eine neue Grundlage gestellt, die nicht nur zur europaweiten Rechtsvereinheitlichung, sondern auch zur Stärkung des Datenschutzniveaus insgesamt beitragen soll. Aber wann greifen die Regelungen der DSGVO überhaupt ein und was bedeuten sie für Start-ups?
Wichtig ist zunächst die Klarstellung, dass es um den Schutz personenbezogener Daten geht. Dies sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Es genügt dabei, wenn mithilfe von technischen oder auch rechtlichen Mitteln herausgefunden werden kann, um welche konkrete Person es sich handelt, um in den Anwendungsbereich der DSGVO zu fallen. Umgekehrt folgt daraus, dass die DSGVO nicht mehr anwendbar ist, sobald der Personenbezug entfernt wird, also eine Anonymisierung durchgeführt wird. Eine Pseudonymisierung ist hierfür jedoch nicht ausreichend, weil in diesem Fall zumindest potentiell die hinter dem Pseudonym stehende Person wieder ermittelt werden kann.
Ebenso wichtig – und zugleich beruhigend – ist des Weiteren die Tatsache, dass wesentliche Grundregeln, die wir bereits aus dem BDSG kennen, unverändert bleiben werden. Dies gilt insbesondere für das bekannte sog. Verbot mit Erlaubnisvorbehalt: Die Verarbeitung personenbezogener Daten ist verboten, wenn sie nicht entweder durch eine Einwilligung des Betroffenen oder durch einen gesetzlichen Erlaubnistatbestand gerechtfertigt ist (Art. 6 DSGVO). Neu ist allerdings, dass der für die Datenverarbeitung Verantwortliche jederzeit darlegen und nachweisen können muss, dass die Datenverarbeitung rechtmäßig erfolgt ist (Art. 5 Abs. 2 DSGVO). Das Gesetz verpflichtet die Unternehmen damit zu einer umfassenden Dokumentation und Rechenschaftslegung über sämtliche Datenverarbeitungsvorgänge, sog. Accountability, die praktisch jedes Unternehmen derzeit vor eine Herausforderung stellt.
Der erste Schritt zur Erfüllung dieser Pflichten dürfte in der Erstellung eines aktuellen Verarbeitungsverzeichnisses bestehen, welches ohnehin im Regelfall gesetzlich vorgeschrieben ist (Art. 30 DSGVO). Hier sind die einzelnen Verarbeitungsprozesse unter Nennung der konkreten Daten, der betroffenen Personen sowie diverser darüber hinausgehender Einzelangaben aufzulisten, wodurch der Grundstein für eine nachhaltige Dokumentation gelegt sein dürfte. Da im Verarbeitungsverzeichnis zudem die Löschfristen für die jeweiligen Datenkategorien anzugeben sind, kann hieraus zugleich die Basis für das ebenfalls zu erstellende Löschkonzept abgeleitet werden. Nachdem auch und gerade in Zeiten von Big Data der Grundsatz der Datensparsamkeit zu beachten ist, sollten Start-ups von vorneherein festlegen, welche Daten wann nicht mehr gebraucht werden und wie diese dann zu löschen sind. Am besten wird ein Automatismus implementiert, und sei er auch nur zur Erinnerung, die manuelle Prüfung und Löschung auch tatsächlich durchzuführen, damit dies im Jungunternehmer-Alltag nicht vergessen wird.
Gleichermaßen bedeutsam ist die Erstellung eines Konzeptes, wie mit Datenschutzverstößen umzugehen ist, damit im Falle eines Falles keine wertvolle Zeit verloren wird. Denn die DSGVO verschärft auch insoweit die Rechtslage und fordert, dass Datenschutzverstöße in der Regel unverzüglich, zumindest innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde und ggf. auch den Betroffenen zu melden sind (Art. 33, 34 DSGVO). Deshalb sollten die in solchen Fällen einzuhaltenden Prozesse vorab klar definiert sein. Gleiches gilt im Übrigen für den Umgang mit Anfragen von Personen, die ihre durch die DSGVO deutlich gestärkten Betroffenenrechte ausüben möchten. Auch dies sollte keine Überraschung für das Unternehmen sein, sondern lediglich einen standardisierten Ablauf auslösen. Werden diese Maßnahmen schließlich noch durch eine aktuelle Datenschutzerklärung ergänzt, die umfangreiche Informationen über Art und Umfang der Datenverarbeitung gibt, sind Start-ups auf einem guten Wege, ein effektives Datenschutzmanagementsystem zu etablieren.
Von wesentlicher Bedeutung dürften für die neuen Business-Modelle weiterhin die Grundsätze „Privacy by design“ und „Privacy by default“ sein, die in Zukunft verpflichtend einzuhalten sind (Art. 25 DSGVO). Gemeint ist, dass bei jeder Datenverarbeitung im Vorhinein entweder durch die technische Gestaltung oder durch die gewählten Voreinstellungen gewährleistet ist, dass nur diejenigen Daten verarbeitet werden, die für den verfolgten Zweck tatsächlich notwendig sind, und dass diese Datenverarbeitung dann auch rechtmäßig erfolgt. Dementsprechend sollten diese Prinzipien gerade bei der Produktentwicklung eine tragende Rolle spielen. Je nach Geschäftsmodell und/oder dem Einsatz neuer Technologien kann auch eine Datenschutzfolgenabschätzung unter Einbindung des Datenschutzbeauftragten (sofern vorhanden) erforderlich werden (Art. 35 DSGVO). Hierbei handelt es sich um eine Abwägung der Risiken für die Rechte und Freiheiten der von der Datenverarbeitung Betroffenen, und falls tatsächlich ein Risiko bestehen sollte, sind die Aufsichtsbehörden zu informieren, denen ein Prüfungsrecht zusteht. Im schlimmsten Fall können bestimmte Datenverarbeitungen untersagt werden, was natürlich verheerend für das geplante Business sein kann. In den meisten Fällen wird die Zusammenarbeit mit der Aufsichtsbehörde jedoch dazu führen, dass die Datenverarbeitung auf rechtmäßige Weise erfolgen kann, indem beispielsweise bestimmte Modifikationen vorgenommen werden. Es schadet also nichts, die mit dem eigenen Geschäftsmodell verbundenen Datenverarbeitungen im Voraus einmal kritisch zu betrachten.
Das gilt erst recht vor dem Hintergrund, dass die Bußgelder erheblich steigen werden und bis zu EUR 20 Mio. oder 4 Prozent des Jahresumsatzes betragen können, je nachdem, welcher Betrag höher ist. Zugegebenermaßen werden diese Summen im Start-up-Bereich bis auf Weiteres nicht zu erwarten sein. Aber auch ein von der Behörde festgesetztes „angemessenes“ Start-up-Bußgeld kann im Einzelfall durchaus schmerzhaft sein – und soll es nach den Grundgedanken der DSGVO auch, um die gewünschte abschreckende Wirkung zu entfalten.
Übrigens: Es hilft nicht unbedingt, den Firmensitz oder die Datenverarbeitung ins außereuropäische Ausland zu verlegen, wenn die geschäftlichen Tätigkeiten des Start-ups dennoch in der EU ausgeführt werden. Die Regelungen der DSGVO sind nämlich auch dann anzuwenden, wenn Personen in der EU Leistungen angeboten werden, und seien es nur kostenlose Dienste, oder wenn das Verhalten von Personen in der EU beobachtet wird. Gerade bei neuartigen Tracking-, Profiling- und Auswertungstools, die den europäischen Markt erobern sollen, werden die Vorgaben der DSGVO deshalb weiterhin zu beachten sein.
Wenn Sie Fragen zu diesem Thema haben, laden Sie sich gerne die BB Datenschutz-App im iTunes App-Store(nur für iPad und iPhone) herunter oder Sie wenden sich an
Susanne Klein, LL.M.
(Rechtsanwältin, Fachanwältin für Informationstechnologierecht)