Datenschutz für Start-Ups: Frühzeitig handeln, rechtssicher agieren
ein Beitrag unseres Datenschutzpartners @-yet
Die Ziele jedes Start-Ups sind klar: Produkt-Markt-Fit, Skalierbarkeit und finanzielle Nachhaltigkeit. Das Thema Datenschutz ist oftmals ein notwendiges Übel. Die Auseinandersetzung mit Datenschutzrichtlinien und -gesetzen steht erst an zweiter Stelle. Gründer:innen übersehen häufig, dass der sichere Umgang mit personenbezogenen Daten auch für kleine Unternehmen bedeutsam ist. In diesem Beitrag beleuchten wir die wichtigsten Aspekte des Datenschutzes für Start-Ups. Wir erläutern die für Dich wichtigen Punkte und warum frühzeitige Maßnahmen zum Datenschutz vorteilhaft sind.
1. Die DS-GVO ist nicht nur für Großunternehmen relevant
Die Datenschutz-Grundverordnung (DS-GVO) vereinheitlicht viele Regelungen für den Schutz personenbezogener Daten auf europäischer Ebene. Ein wichtiger Aspekt: Die DS-GVO gilt nicht nur für große Unternehmen oder multinationale Konzerne. Sie betrifft auch Start-Ups und kleine Unternehmen, sobald sie personenbezogene Daten verarbeiten.
Doch was zählt zu den personenbezogenen Daten?
Rein rechtlich beginnt das Sammeln personenbezogener Daten lange vor dem ersten Kundenkontakt. Denn bereits die IP-Adresse eines Nutzers, die der Webserver beim Besuch Ihrer Website speichert, zählt zu den personenbezogenen Daten. Bietest Du einen Newsletter an? Die E-Mailadresse (und erst recht der Name) sind personenbezogene Daten. Und wenn Dein Start-Up schnell wächst und Du neue Stellen schaffst, bekommst Du es mit Bewerberdaten zu tun.
Trifft auch nur eines dieser Beispiele auf Dein Unternehmen zu, fällst Du in den Geltungsbereich der DS-GVO. Für Start-Ups, die stark datengetrieben agieren, kann die Vernachlässigung des Themas "Datenschutz" unerfreuliche Konsequenzen haben. Es lohnt sich, von Anfang an adäquate Datenschutzpraktiken zu etablieren. So lassen sich mögliche Risiken minimieren und Du konzentrierst dich entspannt auf Deinen Erfolg.
2. Daten im Internet und auf Social Media: Rechte und Pflichten
Viele Start-Ups verlagern ihre Aktivitäten ins Internet. Soziale Netzwerke spielen eine herausragende Rolle, da Du hier Deine Zielgruppe gut erreichst. Das Sammeln und Verarbeiten von Nutzerdaten ist jedoch äußerst sorgfältig zu planen und zu handhaben. Im digitalen Raum, besonders auf Social-Media-Plattformen, ist die Versuchung groß, möglichst viele Daten zu sammeln. Schließlich bietet die Vielzahl an verfügbaren Informationen wertvolle Einblicke in das Verhalten, die Interessen und Vorlieben potenzieller Kunden.
Beachte bitte diese wichtigen Punkte:
Datensparsamkeit:
Erhebe nur die Daten, die Du wirklich benötigst. Stelle Dir bei jedem Eingabefeld eines Formulars die Frage, ob diese eine Information tatsächlich notwendig ist. Ein wichtiges Stichwort ist der Zweck. Erhebe grundsätzlich nur die absolut notwendige Menge an personenbezogenen Daten, die für den jeweiligen Zweck erforderlich ist. Dieses Prinzip der Datensparsamkeit gehört zu den Kernpunkten der DS-GVO. Es macht nicht nur die Einhaltung von Datenschutzvorgaben leichter, sondern auch das spätere Verarbeiten der Daten.
Einwilligungserklärungen:
Informiere Deine Nutzer:innen transparent, welche Daten Du sammelst. Erkläre verständlich, wozu Du diese Daten verwendest. Stelle auch deutlich heraus, mit wem Du Daten teilst. Nutzt Du auf Deiner Website z. B. das LinkedIn Insight Tag oder das Facebook-Pixel, musst Du das transparent darstellen.
Der beste Weg dahin sind klar formulierte Einwilligungserklärungen. Eine zu allgemein gehaltene Zustimmung zur Nutzung der Daten reicht nicht aus. Jede Einwilligung ist eindeutig bei der Nutzung digitaler Dienstleistungen zu erteilen.
Weiterhin darfst Du Deine Nutzer:innen bei der Abgabe ihrer Einwilligung nicht beeinflussen („Nudging“).
Ein Beispiel:
Du möchtest für die Nutzer:innen Deiner Website eine Remarketing-Kampagne einrichten. Sie sollen auf anderen Websites durch entsprechende Werbung an Dein Angebot erinnert werden. Dazu benötigst Du die Unterstützung Deines Webanalyse-Tools und einiger Cookies. Damit Du Dein Ziel erreichst, ist der „Zustimmen“-Button auf dem Cookie-Banner in einem ansprechenden Grün gehalten, während der „Ablehnen“-Button durch sein dezentes Grau beinahe verschwindet. Hast Du auf diese Weise Daten gesammelt? Dann darfst Du jetzt damit beginnen, alles zu löschen. Denn diese Art der Gestaltung ist rechtlich nicht in Ordnung.
Widerrufsrecht:
Alle Nutzer:innen Deiner Angebote müssen die Zustimmung zur Datenerhebung jederzeit widerrufen können. Informiere Deine Nutzer:innen darüber.
Mehr noch: Stelle eine einfache Möglichkeit bereit, um die Einwilligung zurückzuziehen. Sorge dafür, dass der Widerruf ebenso einfach ist wie die Einwilligung selbst.
Datenschutzerklärung
Es mag selbstverständlich klingen. Doch denke bitte an eine vollständige und rechtlich einwandfreie Datenschutzerklärung auf Deiner Website. Diese verlinkst Du bitte auch auf Deinen Social-Media-Präsenzen. Die Datenschutzerklärung stellt transparent und verständlich alle relevanten Informationen über die Erhebung, Verarbeitung und Speicherung personenbezogener Daten bereit. Dazu gehören der Zweck, die Rechtsgrundlage und die Empfänger der Daten. Beachte bitte, dass Du die Nutzer:innen über ihre Rechte wie Auskunft, Berichtigung und Löschung der Daten informierst.
3. Verbinde das Angenehme wohldefiniert mit dem Nützlichen
Du hast es geschafft. Du hast Deinen Online-Shop erfolgreich gelauncht und Dein Start-Up hat auf die Überholspur gewechselt. Jetzt kann es richtig losgehen. Damit Du Deine Umsätze optimieren kannst, möchtest Du Deinen treuen Kunden regelmäßige E-Mails zusenden, um über Deine neuesten Sonderangebote zu informieren.
Damit das alles möglichst einfach ist, schreibst Du den entsprechenden Absatz – versehen mit einer Checkbox - direkt über einen entsprechenden Button an das Ende des Bestellformulars:
Mit dem Klick auf den nachfolgenden Button bestätige ich den Kauf von XY unter der Bestellnummer XXXXX zum Preis von XX,XX EUR und willige ein, regelmäßig über Sonderangebote des Unternehmens ABC per E-Mail an die Adresse informiert zu werden. Ich habe zur Kenntnis genommen, dass ich diese Einwilligung jederzeit widerrufen kann.
Einfacher könnte es kaum sein. Klicken Deine Besteller:innen die Checkbox an, wird der Bestellbutton aktiviert und ist anklickbar. Ohne die Bestellung des Newsletters ist ein Kauf also gar nicht möglich. Und Deine E-Mailmarketingliste kann jetzt in aller Ruhe wachsen. Doch ist etwas so einfach, ist meistens auch ein Haken dran. Aus Sicht des Datenschutzes wird hier das Koppelungsverbot verletzt, da die Dienstleistung (Kauf und Versand) an eine Einwilligung gekoppelt wird. Und das ist nicht zulässig. Ein Kauf muss grundsätzlich auch dann möglich sein, wenn der Kunde nicht einwilligt, Deinen Newsletter zu erhalten. Und benutzerfreundlicher ist es auch.
Ist der Interessent erst einmal zum Kunden (= Käufer) geworden, weise ihn bei der Erhebung der E-Mailadresse darauf hin, dass diese verwendet wird, um ihm künftig Informationen und News zuzusenden und er jederzeit das Recht hat, der Zusendung zu widersprechen. Bei Kunden benötigst Du keine Einwilligung, wenn Du diese bei der Erfassung der E-Mail-Adresse vorher informiert hast.
4. Maßnahmen zur Datensicherheit: Der Schutz beginnt von innen
Beim Thema Datenschutz begegnet Dir hin und wieder das Kürzel "TOMs". Dieses steht für "Technische und Organisatorische Maßnahmen". Denn neben der rechtlichen Seite des Datenschutzes gibt es auch technische und organisatorische Maßnahmen, die verpflichtend umzusetzen sind.
Der Schutz der erhobenen Daten spielt dabei die zentrale Rolle. Start-Ups, die nicht über die umfassenden Ressourcen größerer Unternehmen verfügen, sollten sich frühzeitig mit effektiven Datenschutzmaßnahmen auseinandersetzen.
Folgenden Punkten sollte besondere Beachtung zukommen:
Richte technische Sicherheitsmaßnahmen ein
Alles beginnt mit einer soliden IT-Infrastruktur. Schütze Deine internen Netzwerke mit einer Firewall und nutze ein VPN (Virtuelles Privates Netzwerk), wenn Du unterwegs arbeitest. Die Datensicherung mit aktuellen Verschlüsselungstechniken ist ebenfalls essenziell - sowohl auf den Servern als auch auf den Arbeitsplatzcomputern. Zugriffsrechte auf Datenbanken sollten klar definiert und so sparsam wie möglich erteilt sein. Regelmäßige Updates sowie Sicherheitsprüfungen sorgen für die Behebung bekannter Schwachstellen im System.
Denke an organisatorische Maßnahmen
Der Schutz Deiner Daten beginnt an der Tür zum Büro. Nur berechtigte Personen sollten Zutritt zu Deinen Geschäftsräumen haben. Das gilt insbesondere für Räumlichkeiten, in denen die Geräte stehen, auf denen personenbezogene Daten gespeichert sind. Denke auch an Kleinigkeiten wie etwa eine Richtlinie, die Mitarbeitende verpflichtet, ihre Arbeitsplatzcomputer zu sperren, wenn sie nicht am Schreibtisch sitzen. Und eine Verschwiegenheitserklärung für alle Angestellten ist ebenso sinnvoll.
Erstelle eine Backup-Strategie
Die DSGVO sieht Verfügbarkeit als ein wichtiges Element bei der Sicherheit personenbezogener Daten vor. Das bedeutet nichts anderes als regelmäßige Backups. Sorge für eine solide Backup-Strategie und die verschlüsselte und sichere Aufbewahrung der Sicherungskopien. Prüfe nicht nur regelmäßig die Sicherung der Daten, sondern auch den Prozess der Wiederherstellung.
Führe interne Schulungen durch
Eine Schwachstelle, die sehr häufig unbeachtet bleibt, ist die Schwachstelle "Mensch". Darum ist es unbedingt erforderlich, das Team für das Thema Datenschutz zu sensibilisieren. Jeder Mitarbeitende mit Zugang zu personenbezogenen Daten sollte über die gesetzlichen und unternehmensinternen Anforderungen auf dem aktuellen Stand sein. Dies trägt dazu bei, versehentliche Verstöße zu vermeiden.
Denke an ein Löschkonzept
Du beginnst gerade mit dem Sammeln von Daten und sollst jetzt schon an das Löschen denken? Was sich im ersten Moment unsinnig anhört, ist einer der wichtigsten Aspekte des Datenschutzes. Und viele Unternehmen tun sich schwer, diesen Punkt korrekt umzusetzen.
Die DS-GVO sieht vor, dass Daten gelöscht werden, wenn sie nicht mehr benötigt werden. Ist ein Vertrag erfüllt, sind auch die entsprechenden personenbezogenen Daten zu löschen. Einzige Einschränkung: Ein anderes Gesetz steht dem entgegen. In Deutschland sind dies vor allem das Handelsrecht und die Steuergesetzgebung. Diese schreiben vor, wie lange bestimmte Geschäftsunterlagen aufzubewahren sind. Für Unterlagen zu Geschäftsvorfällen sind dies in der Regel 10 Jahre.
In jedem Fall solltest Du von Anfang an ein Löschkonzept erstellen. In diesem hältst Du fest, wie (manuell, automatisch) Daten gelöscht werden, wer das tun soll (und darf) und wer das Löschen überwacht und dokumentiert.
5. Frühzeitige Planung minimiert Risiken und spätere Kosten
Datenschutz ist kein einfaches Thema. Und bei der Einhaltung der Vorschriften der DS-GVO gibt es zahlreiche Feinheiten und Fallstricke. Das darf jedoch kein Grund sein, dieses Thema einfach zur Seite zu schieben.
Je früher Du Dich mit dem Thema Datenschutz beschäftigst, desto einfacher gestaltet sich die Umsetzung. Ein proaktiver Ansatz verhindert rechtliche und finanzielle Risiken und entlastet Dich langfristig. Wenn Du einmal nicht weiterkommst, hole Dir externe Unterstützung.
In der hektischen Anfangsphase des Aufbaus eines Start-Ups mag das Thema Datenschutz wie eine nebensächliche Pflicht erscheinen. Doch gerade in dieser Phase solltest Du die rechtlichen Rahmenbedingungen berücksichtigen und datenschutzkonforme Strukturen einführen. Das spart Dir später Kosten durch Anpassungsmaßnahmen und schützt das Vertrauen der Kunden in Dein Unternehmen. Wer frühzeitig Klarheit schafft, kann sich beruhigt auf das eigentliche Geschäft konzentrieren und vor allem langfristig wettbewerbsfähig bleiben.
Sieh Datenschutz nicht als gesetzliche Notwendigkeit, sondern als Chance. Wenn Du datenschutzrechtliche Vorgaben von Anfang an sorgfältig umsetzt, schaffst Du Vertrauen bei Kunden und Geschäftspartnern.
@-yet
Die @-yet GmbH aus Leichlingen ist ein führender IT-Sicherheits-Dienstleister mit über 20 Jahren Erfahrung im Bereich Cybersicherheit. Über 80 Mitarbeitende beraten und unterstützen namhafte Kunden - vom mittelständischen Unternehmen bis zum internationalen Konzern - bei der Prävention, Risikominimierung und im Bereich Datenschutz. Im Krisenfall stellt die @-yet ein vollständiges strategisches und operatives Krisenmanagement unter Einsatz spezialisierter Incident-Response-Teams. Die hohe Qualität der @-yet ist durch die Aufnahme in die APT-Responsedienstleister-Liste des BSI bestätigt.