Erhalte 60€ für jedes Unternehmen, das Du für Penta wirbst.
Prämie sichern
Mehr

Datenschutz für Deine Gründung: Was Du für die datenschutzrechtliche Ersteinrichtung wissen musst

Rechtsanwalt Oliver Pikolleck
Rechtsanwalt Oliver Pikolleck November 2020 8 Min

Inhaltsverzeichnis

Die rechtlichen Fragen bei der Gründung sind zahlreich, vielschichtig und nehmen den Gründer schon genug in Anspruch. Klar, dass sich datenschutzrechtliche Fragestellungen da nicht direkt aufdrängen und diese gerne auf einen späteren Zeitpunkt nach der Gründung geschoben werden. Oft verschlingt das Alltagsgeschäft dann die geplante spätere Aufarbeitung. Dieser Fehler sollte Dir als Gründer nicht unterlaufen, denn gerade dem Anfang im neu gegründeten eigenen Unternehmen wohnt ein (datenschutzrechtlicher) Zauber inne. Oftmals ist es nämlich gerade zu Beginn einer Unternehmung leicht möglich, die datenschutzrechtlich relevanten Themen zügig abzuarbeiten und ein Grundgerüst im Sinne einer Ersteinrichtung zu erstellen. Steht dieses Grundgerüst zum Datenschutz, kann es, mit Anwachsen der datenschutzrechtlich relevanten Verarbeitungsvorgänge, jeweils ergänzt oder abgeändert werden.

Anhand anfänglich erarbeiteter Unterlagen erkennst Du offene Flanken in Sachen Datenschutz, was Dich befähigt, proaktiv zu handeln und Lücken zu beseitigen. Diese Vorgehensweise gibt Dir auch die Sicherheit, dass im Falle einer Anfrage der für Dein Unternehmen zuständigen Landesdatenschutzbehörde, jederzeit auf diese Pflichtdokumente zurückgegriffen werden kann. Die folgenden Unterlagen und Dokumente sollten unmittelbar mit der Gründung von Dir erstellt und im Unternehmen umgesetzt werden.

Über Rechtsanwalt Oliver Pikolleck

Schwerpunkt in der mehr als zehnjährigen Rechtsanwaltstätigkeit von Oliver Pikolleck ist die Beratung von nationalen und internationalen Mandanten von Start-ups bis zu großen Mittelstandsunternehmen mit dem Fokus auf Wirtschaftsrecht, Arbeitsrecht, Regulatories, IT-und Datenschutzrecht im nationalen und internationalen Kontext. Außerdem agiert er als externer Datenschutzbeauftragter (TÜV-cert.).

1. Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO

Nach Art. 30 Abs. 1 DSGVO hat jeder (datenschutzrechtlich) Verantwortliche ein sogenanntes Verzeichnis aller Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, zu führen. Das Verzeichnis muss wesentliche Angaben zur Verarbeitung personenbezogener Daten beinhalten, wie z. B. die Zwecke der Verarbeitung und eine Beschreibung der Kategorien der personenbezogenen Daten, der betroffenen Personen und der Empfänger. Letztlich sind von Dir zunächst sämtliche in Deinem Unternehmen vorkommenden Vorgänge, bei denen personenbezogene Daten verarbeitet werden zu listen und sodann jeweils einzeln anhand des Kataloges des Art. 30 Abs. 1 a)- g) DSGVO darzulegen und zu bewerten. Aus Gründen der Übersichtlichkeit und Nutzerfreundlichkeit empfiehlt sich hier die Erstellung einer Exceltabelle. Aber auch die Nutzung der zahlreichen Vorlagen der Landesdatenschutzbehörden ist möglich; einen Formzwang gibt es hier nicht. Verstöße durch ein fehlendes oder nicht vollständiges Verzeichnis oder die Nichtvorlage des Verzeichnisses nach Aufforderung durch die Aufsichtsbehörden können nach Art. 83 Abs. 4 a) DSGVO mit einer Geldstrafe sanktioniert werden.

2. Darlegung der zum Schutz personenbezogener Daten ergriffenen technisch und organisatorischen Maßnahmen zum Datenschutz (TOMs)

In Art. 32 Abs. 1 DSGVO wird durch den europäischen Verordnungsgeber vorgegeben, dass der Verantwortliche (und der Auftragsverarbeiter) unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen, geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Deinem Unternehmen wird somit auferlegt zum Schutz der dort vorhandenen personenbezogenen Daten angemessene Schutzmaßnahmen einzurichten. Namentlich nennt die DSGVO hier die folgenden Leitpunkte, die in Deinem Schutzkonzept mindestens zu berücksichtigen sind: 

  • Pseudonymisierung und Verschlüsselung personenbezogener Daten
  • dauerhafte Sicherstellung der Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung
  • Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

3. Abschluss von Auftragsverarbeitungsvereinbarungen bzw. EU-Standardvertragsklauseln

Im Rahmen Deiner Geschäftstätigkeit wird es zwangsläufig dazu kommen, dass Dritte als Dienstleister für Dein Unternehmen hinzugezogen werden müssen. Zu denken ist hier beispielsweise an Clouddienstleister, Zahlungsabwickler oder auch den IT-Support bei Soft- oder Hardware. Erhalten solche Dritten durch Dein Unternehmen – als Verantwortlichem – direkt oder indirekt Zugang zu personenbezogenen Daten (so beispielsweise Kundendaten, Mitarbeiterdaten, u.ä.), bzw. besteht auch nur die theoretische Möglichkeit der Datenpreisgabe an diesen hinzugezogenen Dienstleister, so sind die Regelungen der DSGVO zur sogenannten Auftragsverarbeitung zu beachten. Zentrale Vorschrift ist hier Art. 28 DSGVO. Eine Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen, mit der wir es in unseren genannten Fällen zu tun haben ist, ist Deinem Unternehmen nach der DSGVO nur zu Auftragsverarbeitern gestattet, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. Dies bedeutet, dass eine Prüfung der Geeignetheit des Dienstleisters in in Hinblick auf Datenschutz zu erfolgen hat, bevor dieser beauftragt werden kann. 

Dein Unternehmen hat sodann mit dem Auftragsverarbeiter eine sogenannte Auftragsverarbeitungsvereinbarung (AVV) über die weisungsgebundene Tätigkeit abzuschließen, der schriftlich oder in elektronischem Format gefasst sein kann. Muster hierfür stellen die Landesdatenschutzbehörden online zur Verfügung. Inhaltlich ist darauf zu achten, dass die Anforderungen des Art. 28 Abs. 3 a)- h) DSGVO eingehalten werden. Beispielsweise muss eine AVV eine Regelung zur Bereitstellung der Daten beinhalten und die Einhaltung der besonderen Bedingungen für die Hinzuziehung von Subunternehmern regeln. Unter anderem muss der Vertrag ferner vorsehen, dass der Auftragsverarbeiter wiederum angemessene technisch und organisatorische Maßnahmen zur Gewährleistung des Datenschutzes ergreift. Trotz einer abgeschlossenen AVV ist und bleibt in einer solchen Konstellation Dein Unternehmen der Verantwortliche für die Rechtmäßigkeit der Verarbeitung insgesamt (Art. 24 DS-GVO), weshalb eine sorgfältige Auswahl der Auftragsverarbeiter so wichtig ist.

Erfolgt die Verarbeitung von personenbezogenen Daten durch den Auftragsverarbeiter Deines Unternehmens nicht in der EU bzw. dem EWR, so sind weitere Anforderungen zu erfüllen. Gerade mit Blick auf das aktuelle Urteil des EuGH zur Ungültigkeit der Vereinbarung des sogenannten „EU-US-Privacy Shield“, ist zum Abschluss der sogenannten EU-Standardvertragsklausel zum Vertragspartner zu raten. Hierbei ist unserer Ansicht nach aber unbedingt die Orientierungshilfe des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg zu beachten.

Business Banking für jede Rechtsform

4. Erfüllung der Informationspflichten nach Art. 13/14 DSGVO

Eine weitere Pflicht, die Dein Unternehmen trifft, sind die Informationspflichten nach Art. 13/ 14 DSGVO. Dem von der Datenerhebung Betroffenen steht danach das Recht zu darüber informiert zu werden, wer seine Daten erhebt, was damit zu welchen Zwecken geschieht und an wen diese ggf. weitergegeben werden. Deine Aufgabe ist es also, die erheblichen Datenverarbeitungsvorgänge zu ermitteln und für diese Informationsblätter nach Art. 13/14 DSGVO und den darin gemachten Vorgaben zu erstellen. Klassische Bereiche sind hier beispielsweise das Infoblatt für Bewerber, das Infoblatt für Mitarbeiter, aber auch die Datenschutzerklärung der Homepage Deines Unternehmens. Hierbei gibt es auch einige Dinge zum Datenschutz zu beachten.

5. Datenschutz auf der Unternehmenshomepage und die Datenschutzerklärung

Bekannt ist, dass Homepages oder Onlineshops über die verschiedensten Tools auch personenbezogene Nutzerdaten erheben und Zwecks Auswertung vorhalten. Auch dies ist ein Datenverarbeitungsvorgang hinsichtlich personenbezogener Daten, der auf einer Rechtsgrundlage basieren muss und zu dem die Informationspflichten nach Art. 13/ 14 DSGVO einzuhalten sind. Ist dies nicht der Fall erhöht man die Gefahr einer kostspieligen Abmahnung, die leicht zu vermeiden wäre. Vor Freischaltung der Homepage ist dies daher auf Komponenten zu prüfen, die personenbezogene Daten des Nutzers erheben. Vielerorts werden dies vornehmlich sogenannte Tracking-Tools sein. Im Hinblick auf diese Tools hat es in der Vergangenheit ausgereicht, wenn in der Datenschutzerklärung auf diese hingewiesen wurde und eine Möglichkeit zum Opt-out bestand. Dies hat sich mit der neusten Rechtsprechung des Bundesgerichtshofes, BGH I ZR 7/16, diametral geändert. Cookies zur Erstellung von Nutzungsprofilen für Zwecke der Werbung oder Marktforschung können nun nur mit Einwilligung des Nutzers eingesetzt werden. Zu empfehlen ist daher der Einsatz eines sogenannten Consent-Tools, welches beim Betreten der Homepage, die Einwilligung des Nutzers der Homepage abfragt. Bitte beachtet, dass bei einer solchen Abfrage der Einwilligung eine datenschutzfreundliche Voreinstellung der Abfrageoptionen zu wählen ist; eine elektronisch zu erklärende Einwilligung des Nutzers, die den Abruf von auf seinem Endgerät gespeicherten Informationen mithilfe von Cookies im Wege eines voreingestellten Ankreuzkästchens gestattet, genügt nach dem BGH diesem Einwilligungserfordernis nicht.

6. Sicherstellung der Betroffenenrechte nach Art. 15 ff DSGVO

Beim Thema Datenschutz ist des Weiteren darauf zu achten, dass die in der DSGVO formulierten Rechte des von der Datenverarbeitung Betroffenen (in den rechtlichen Grenzen) unbedingt eingehalten werden. Insbesondere wenn Dein Unternehmen ein Auskunftsersuchen nach Art. 15 DSGVO erhält, ist auf diese Anfrage unbedingt zu antworten, auch wenn mangels vorhandener personenbezogener Daten dieses Betroffenen eine Negativauskunft zu erteilen ist. Ob eine Nichterteilung einer Auskunft abmahnungsfähig ist, ist derzeit höchstrichterlich noch nicht entschieden. Dieser Gefahr kann durch eine Auskunftserteilung mit dem entsprechenden Inhalt nach Art. 15 DSGVO jedoch begegnet werden.

Es gibt einiges zu beachten, um Dein Unternehmen datenschutzrechtlich sicher aufzustellen. Die genannten Unterlagen und Anforderungen sind solche zur Ersteinrichtung Deines Unternehmens und dienen dem Überblick. Um sicherzugehen, dass Du Dein Unternehmen in Sachen Datenschutz konform aufgestellt hast, ziehe im Zweifel besser Deinen Anwalt hinzu, um Dich vor bösen Überraschungen zu schützen.

Das passende Geschäftskonto für Deine Gründung

Nach oben