Datenschutz für Gründer
„Was soll das denn? Ich habe andere Themen als Datenschutz für Gründer im Kopf und will mich damit nicht auch noch beschäftigen.“ Solche, oder ähnliche Gedanken sind Ihnen vermutlich durch den Kopf gegangen, als Sie die Überschrift gelesen haben. Geben Sie diesen Gedanken nach, kann das möglicherweise einige unangenehme Folgen für Sie haben. Aber der Reihe nach:
Was ist eigentlich Datenschutz?
Der Begriff „Datenschutz“ ist im Grunde genommen missverständlich gewählt. Laut Bundesdatenschutzgesetz (BDSG) ist Datenschutz der Schutz der Freiheitsbereiche der einzelnen Bürger. Es geht um den Schutz „personenbezogener Daten“. Darunter fallen alle Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Datenschutz ist also NICHT ein Virenscanner oder Firewall, der auf einem Computer installiert ist. Das fällt unter IT-Sicherheit, die auch wichtig für den Datenschutz ist, und mit der ich mich auch beschäftige. Die wird aber in diesem Beitrag nicht weiter erörtert.
Ich baue ein StartUp! Muss ich mich mit Datenschutz für Gründer beschäftigen?
Ja, müssen Sie! Jedes Unternehmen – unabhängig von Unternehmensform oder Unternehmensgröße – muss die Bestimmungen des Datenschutzes einhalten, wenn es personenbezogene Daten verarbeitet. Da Sie mit Kunden, Lieferanten und eventuell mit Mitarbeitern zu tun haben werden, trifft das für Ihr Unternehmen auch zu. Vergleichen Sie es mit der Straßenverkehrsordnung. Jeder, der am Straßenverkehr teilnimmt – als Fußgänger oder motorisiert – muss sich an die Regeln halten.
OK. Verstanden. Was muss ich beachten?
- Wichtig zu wissen ist, dass Sie als Inhaber, Geschäftsführer oder Vorstand Ihres Unternehmens der Verantwortliche für die Einhaltung des Datenschutzes sind. Diese Verantwortung können Sie auch nicht delegieren. Allerdings können und sollten Sie sich fachkundige Hilfe holen.
- Das BDSG fordert ein Verzeichnis aller Verarbeitungstätigkeiten. Dabei geht es um die Beschreibung der Prozesse, mit denen personenbezogene Daten verarbeitet werden. Dieses Verzeichnis muss auf Anfrage den Aufsichtsbehörden vorgelegt werden. Können Sie das nicht, droht ein Bußgeld.
- Sie müssen auf Anfrage von Betroffenen, also von Personen, deren Daten Sie speichern, Auskunft über diese Daten geben und die Angaben ggf. berichtigen oder löschen. Auch hier ist eine Missachtung der Pflicht mit Bußgeld belegt.
- Sollten Ihnen personenbezogene Daten abhanden kommen (z.B. ein verlorener USB-Stick mit Kundendaten), müssen Aufsichtsbehörden und ggf. die Betroffenen informiert werden.
- Grundsätzlich müssen Sie personenbezogene Daten so speichern, dass Verlust oder unberechtigte Einsicht oder Veränderung ausgeschlossen sind. Das BDSG spricht von „technisch-organisatorischen Maßnahmen“ und meint damit IT-Sicherheit.
- In unserer digitalisierten Gesellschaft, kommt ein Unternehmen ohne eine Internetseite nicht mehr aus. Wenn Sie Kundendaten über ein Kontaktformular auf ihrer Internetseite verarbeiten, z.B. um weitere Informationen zu senden, oder Termine zu vereinbaren, so muss die Übertragung dieser Daten verschlüsselt sein. Also brauchen Sie wenigstens für das Kontaktformular ein Sicherheitszertifikat und damit eine „HTTPS“ – Seite.
- Sicher wollen Sie auch wissen wer Ihre Seite besucht hat und wie sie gefunden wurde. Dazu gibt es Tools zur Reichweitenmessungen wie z.B. „Google-Analytics“ oder „Adobe-Analytics (Omniture)“, um die bekanntesten Vertreter zu nennen. Beim Einsatz dieser Werkzeuge ist darauf zu achten dass:
- der Nutzer eine Möglichkeit haben muss – bevor diese Tools wirken – Widerspruch gegen die Erstellung eines Profil einzulegen. Wenn er das macht, darf natürlich auch kein Profil angelegt werden.
- der Einsatz der Tools auf Ihrem Web-Server so konfiguriert sein muss, dass das letzte Oktett der IP-Adresse des Nutzers vor der Geo-Lokalisierung entfernt wird.
- Sie einen Vertrag zur Auftragsdatenverarbeitung mit Google bzw. Adobe abgeschlossen haben, da die Daten in die USA, die datenschutzrechtlich ein unsicheres Drittland ist, übertragen werden.
- Sie im Datenschutzhinweis auf Ihrer Webseite klar erläutern, wie Sie Google-Analytics oder Adobe-Analytics einsetzen, und was Sie mit den erhobenen Daten machen.
- der Nutzer eine Möglichkeit haben muss – bevor diese Tools wirken – Widerspruch gegen die Erstellung eines Profil einzulegen. Wenn er das macht, darf natürlich auch kein Profil angelegt werden.
- Das soll Sie nicht daran hindern, diese Tools einzusetzen. Sie müssen lediglich den Datenschutz in Ihre Überlegungen zu Ihrem Web-Auftritt mit einbeziehen.
Ab 25.05.2018 tritt die EU-Datenschutzgrundverordnung (DSGVO) in Kraft. Diese regelt den Datenschutz europaweit, verschärft Ihre Pflichten als Verantwortlicher und erhöht die Bußgelder erheblich. Der 25.05.2018 ist ein „in Stein gemeißeltes“ Datum. Es gibt KEINE Übergangsfrist. Es ist also wichtig, bereits jetzt die entsprechenden Veränderungen vorzubereiten.
Und wie geht‘s jetzt weiter? Dieses Thema ist komplex und benötigt Erfahrung in mehreren Gebieten. Deshalb sollten Sie Datenschutz für Grüner mit Spezialisten besprochen werden. Weitere Informationen, Beratung und Hilfe finden Sie z.B.: