Fehler 1: Du hast keinen Datenschutzbeauftragten im Unternehmen, obwohl dein Unternehmen einen haben müsste
Mit der Digitalisierung fällt bei vielen Prozessen in jedem Unternehmen auch eine Verarbeitung von personenbezogenen Daten an.
Um regelmäßig zu überprüfen, ob du in deinem Business mit diesen richtig umgehst und du die entsprechenden Vorgaben der DSGVO einhältst, gibt es den sogenannten Datenschutzbeauftragten. Nicht jedes Unternehmen muss einen Datenschutzbeauftragten ernennen. Eine Pflicht zur Benennung eines Datenschutzbeauftragten ergibt sich aber automatisch, sobald mindestens 20 Personen im Unternehmen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt werden. Zu diesen Daten gehören selbstverständlich auch die personenbezogenen Daten deiner eigenen Mitarbeiter. Unabhängig davon gibt es einige Sonderfälle, in denen immer ein Datenschutzbeauftragter bestellt werden muss.
Der Datenschutzbeauftragte kann sowohl intern unter den Mitarbeitern bestellt werden, als auch ein externer Dienstleister sein. Der Vorteil, einen internen Mitarbeiter als Datenschutzbeauftragten zu bestellen, besteht darin, dass er den Betrieb und die Mitarbeiter kennt und regelmäßig vor Ort ist. Der Datenschutzbeauftragte hat in seiner Funktion als solcher allerdings einen anderen Aufgabenbereich als in seinem vorherigen Job. Dementsprechend genießt er auch andere Freiheiten: Als Datenschutzbeauftragter kann er seine Arbeit überwiegend weisungsfrei erledigen. Außerdem kann er nur schwer abberufen oder benachteiligt werden, vor allem wenn er Missstände im datenschutzrechtlichen Bereich deines Unternehmens aufdeckt.
Diese Freiheit ist zur unabhängigen Prüfung der Einhaltung von Datenschutzrichtlinien auch notwendig. Der Datenschutzbeauftragte darf nicht in einen Interessenskonflikt geraten. Er sollte deswegen als Mitarbeiter nicht noch andere Aufgaben ausführen, bei denen es zu solchen Konflikten kommen könnte. Er darf deswegen beispielsweise nicht gleichzeitig die Funktionen des Vorstands, Geschäftsführers oder Inhabers innehaben.
Die Vorteile bei einem externen Datenschutzbeauftragten sind sowohl, dass eine Gefährdung des Arbeitsklimas durch die betriebliche Trennung minimiert werden kann, als auch, dass er nur eingesetzt wird, wenn er gebraucht wird, also eventuell auch Personalkosten gespart werden können.
Egal, ob der Datenschutzbeauftragte einer deiner internen Mitarbeiter ist oder doch extern gestellt wird, besonders wichtig ist es, dass du stets darauf achtest, dass derjenige aufgrund seiner Kompetenzen dazu geeignet ist, als Datenschutzbeauftragter zu agieren. Sollte das nicht der Fall sein, so kannst du als Verantwortlicher für die Datenverarbeitung bei Verstößen in Anspruch genommen werden. Dies ändert sich auch nicht, mit Ausnahme von bestimmten Sonderfällen, wenn du externe Datenschutzbeauftragte engagierst. Als Verantwortlicher für die Verarbeitung bleibst du stets mit deinem Unternehmen in der Haftung.
Achte deswegen immer genau darauf, wen du als Datenschutzbeauftragten auswählst. Insbesondere auch darauf, dass er sich ernsthaft um die Einhaltung der DSGVO-Vorgaben kümmert, damit es später nicht zu Bußgeldern und Streitigkeiten kommt.
Fehler 2: Du schulst deine Mitarbeiter nicht regelmäßig im Datenschutz
Die Verantwortung, die du für den Datenschutzbeauftragten übernehmen musst, trägst du auch für das Verhalten anderer Personen in deinem Unternehmen. Denn auch für deine Mitarbeiter und ihre Tätigkeiten bist du verantwortlich. In der DSGVO gibt es zwar keine generelle Pflicht zur Mitarbeiterschulung, jedoch haftet dein Unternehmen für jeden Verstoß gegen die datenschutzrechtlichen Vorgaben.
Wird deinem Unternehmen ein Verstoß bekannt, so muss dieser innerhalb von 72 Stunden der Aufsichtsbehörde sowie der betroffenen Person gemeldet werden, wenn der Verstoß ein hohes Risiko für persönliche Rechte und Freiheiten von Personen zur Folge hat. Dabei ist es unerheblich, ob es sich um einen Verstoß gegen internationale Vorschriften wie die DSGVO handelt oder er gegen nationale Regelungen wie das Bundesdatenschutzgesetz verstößt. Meldest du derartige Verstöße nicht, so können hohe Bußgelder von bis zu 4 % des Jahresumsatzes gegen dein Unternehmen verhängt werden. Gleichzeitig kann die betroffene Person der Verarbeitung auch noch Schadensersatz geltend machen.
In der Praxis ist der Vorgang – wann was genau passiert ist und ob fahrlässig oder vorsätzlich gehandelt wurde – aber eher schwierig nachzuvollziehen und sehr umständlich. Um gar nicht erst in die Bredouille zu kommen und dir eine Menge Arbeitsaufwand zu ersparen, lohnt es sich also, deine Mitarbeiter für das Thema Datenschutz zu sensibilisieren.
Fehler 3: Du hältst dich nicht an die Datenschutzgrundsätze
Das Datenschutzrecht besagt im Kern, dass die Verarbeitung personenbezogener Daten grundsätzlich verboten ist. Geregelt werden jedoch Ausnahmen, in denen die Verarbeitung für bestimmte Fälle erlaubt wird. So wird gesetzlich vorgegeben, dass so wenig Daten wie nötig verarbeitet werden und für den Betroffenen die größtmögliche Kontrolle darüber besteht. Betroffene derartiger Verarbeitungen sind nicht nur deine Kunden, sondern auch deine Mitarbeiter.
Das Einholen einer ausdrücklichen Einwilligung ist eine Möglichkeit, personenbezogene Daten rechtskonform zu verarbeiten. Es gibt zudem noch weitere Erlaubnisfälle. Dazu gehören beispielsweise die Wahrung des berechtigten Interesses des Verantwortlichen oder eines Dritten an der Verarbeitung oder die Erfüllung eines Vertrags.
Aber auch, wenn du durch einen dieser Rechtfertigungsgründe Daten verarbeiten darfst, ist dein Unternehmen dabei an weitere rechtliche Grundsätze gebunden:
Die Datenverarbeitung muss immer an einen bestimmten Zweck gebunden sein, der bereits bei der Erhebung der personenbezogenen Daten feststehen muss. (Zweckbindung) Sie muss sich dabei immer auf ein Minimum beschränken. Du solltest bei der Erhebung von Kundendaten wirklich immer nur das abfragen, was du für den bestimmten Zweck benötigst. (Datenminimierung)
Für den Umgang mit den personenbezogenen Daten solltest du bei der Erhebung so offen und transparent umgehen wie nur möglich. Der Betroffene sollte genau wissen, welche Daten du von ihm für welche Zwecke erhebst. Vor allem, wenn du die Daten an Dritte weiterleitest, bist du verpflichtet, z.B. in deiner Datenschutzerklärung offenzulegen, welche Cookies du für deine Webseite benutzt und welche Daten du an Drittanbieter wie z.B. Google Analytics übermittelst. (Transparenz)
Deinem Kunden stehen nach der DSGVO auch verschiedene Rechte zu, die er deinem Unternehmen gegenüber ausüben kann. So hat er beispielsweise einen Anspruch auf Auskunft oder Löschung der personenbezogenen Daten. Das bedeutet im Umkehrschluss, dass du als Unternehmer verpflichtet bist, deine Datenspeicherung auf jene Zeit zu beschränken, die für den Zweck der Datenverarbeitung notwendig ist. So darfst du Bewerbungsdaten etwa nur für die Dauer des Bewerbungsverfahrens speichern und musst sie löschen, sobald du einen geeigneten Kandidaten gefunden hast. Ab dem Zeitpunkt entfällt hier der Grund der Datenspeicherung und damit deine Grundlage für die Speicherung.
Im Rahmen dieser Grundsätze trägst du auch die Verantwortung dafür, dass die Daten während der Speicherung vor Dritten geschützt sind und deine Datenverarbeitung einem angemessenen Sicherheitsstandard unterliegen. Dieses Schutzniveau kannst du mit unterschiedlichen Maßnahmen durchsetzen, den sogenannten technischen und organisatorischen Maßnahmen, kurz TOMs. Die Maßnahmen kannst du auf analoge Weise installieren, z.B. indem du deine Geschäftsräume durch Sicherheitsschlösser vor unbefugtem Eindringen schützt. Es gehören jedoch auch digitale Schutzmaßnahmen dazu, zum Beispiel ein sicheres Passwortsystem oder indem du die Daten durch eine Firewall vor Hackerangriffen schützt.
Hältst du dich nicht an die Grundsätze, so drohen dir und deinem Unternehmen auch hier wieder Bußgelder von bis zu 4 % des Jahresumsatzes. Daneben können von dem Verstoß betroffene Personen Schadensersatzansprüche geltend machen.
Was es noch für Verarbeitungsgrundsätze gibt, welche Maßnahmen noch technisch und organisatorisch geeignet sind und welche weiteren Fallstricke es im Bereich des Datenschutzes gibt, erfährst du in der RAKETENSTART Academy.
Fehler 4: Du vergisst Auftragsdatenverarbeitungsverträge (AVV) mit Dienstleistern abzuschließen
Niemand macht die ganze Arbeit in einem Startup alleine. Das gilt nicht nur für die Mitarbeiter, bei denen du dir Unterstützung holst, sondern auch für technische Hilfsmittel. Anbieter wie MailChimp für Newsletter-Marketing oder Google Analytics helfen dir dabei, deine Websitedaten zu analysieren und deine Performance zu verbessern. Diese Tools unterstützen dich zwar, dein Unternehmen weiter voranzubringen, können jedoch auch Quelle eines Übels werden, wenn du sie nicht datenschutzkonform einbindest. Möchtest du wie in diesen Fällen also Anbieter zur Verarbeitung von personenbezogenen Daten in deinem Auftrag einsetzen, benötigst du einen Auftragsdatenverarbeitungsvertrag (kurz AVV).
Diese Absicherung gilt nicht nur bei technischen Hilfsmitteln, sondern auch, wenn beispielsweise externe Dienstleister Zugriff auf Kundendaten haben.
Der Anwendungsbereich der Auftragsdatenverarbeitung ist sehr vielfältig.
Da du bei bei der Verarbeitung von personenbezogenen Daten im Auftrag für dich Verantwortlicher bleibst, brauchst du immer einen AVV. Außerdem solltest vor allem vorab prüfen, ob der Auftragsdatenverarbeiter selbst datenschutzkonform agiert. Dein Dienstleister wird lediglich als dein “verlängerter Arm” tätig. Nur mit dem Abschluss eines AVVs ist es aber noch nicht getan. Du bist gesetzlich dazu verpflichtet, deinen Dienstleister auch in regelmäßigen Abständen zu kontrollieren. Wie genau das aussieht, ist vom Gesetz noch nicht vollumfänglich konkretisiert worden.
Es obliegt deshalb dir und deinem Unternehmen, diese Maßnahmen so festzulegen, dass du möglichst datenschutzkonform vorgehst. Es ist daher ratsam deine Maßnahmen an die Risikostufen der Datenverarbeitung je nach Umfang und Art der verarbeiteten Daten anzupassen. Je sensibler die Daten, desto kritischer ist die Verarbeitung an sich. Dementsprechend solltest du die Maßnahmen an das Gefährdungspotenzial anpassen.
Hast du keinen Auftragsdatenverarbeitungsvertrag, so kannst du im schlimmsten Fall mehrfach zur Kasse geben werden. Einerseits können die entsprechenden Aufsichtsbehörden auf dich zu kommen und dir Bußgelder auferlegen. Diese können bis zu 4% des Jahresumsatzes entsprechen. Anderseits kann auch hier die betroffene Person Schadensersatz geltend machen.
Ebenso ist genau darauf zu achten, was genau in den Vertrag gehört und wie dieser ausgestaltet sein muss. Denn nicht nur, wenn der Vertrag fehlt, kann es teuer werden. Auch wenn dieser nicht den Anforderungen entspricht, kann die Aufsichtsbehörde auf dein Unternehmen aufmerksam werden. Achte also genau darauf, ob du einen AVV benötigst und wie dieser ausgestaltet sein muss. Was genau alles in einen Auftragsdatenverarbeitungsvertrag gehört, erfährst du in der RAKETENSTART Academy.