Security News

Datenschutz: Warum die neue Datenschutz-Grundverordnung für Startups teuer werden kann


Die Strafen können einen schnellen Tod bedeuten

 

Es gilt der Grundsatz: Wer personenbezogene Daten von EU-Bürgern verarbeitet, muss die DS-GVO einhalten. Daher gilt die DS-GVO nicht mehr nur für Unternehmen mit Sitz in der EU, sondern für jeden, der Daten von in der EU wohnhaften Personen verarbeitet, unabhängig vom Ort der Niederlassung. Nicht nur die Verantwortlichen einer Datenverarbeitung sollten die Änderungen beachten. Auch sogenannte Auftragsverarbeiter sind direkt verpflichtet, das heisst diejenigen, die personenbezogene Daten für andere verarbeiten.

Eine Datenverarbeitung ist unter Anderem nur rechtmässig, wenn der Betroffene eingewilligt hat oder die Datenverarbeitung erforderlich ist, beispielsweise zur Durchführung eines Vertrages. Wie bereits nach derzeitigem Recht muss die Einwilligung freiwillig und ausdrücklich erteilt werden.

Eine versteckte Einwilligung beispielsweise in der Datenschutzerklärung ist nicht ausreichend. Formulierungen innerhalb von Nutzungsbedingungen, wie „Durch das Anlegen eines Accounts willigen Sie ein, dass wir Ihre Angaben zu Marketingzwecken durch Partnerfirmen nutzen.“ sind unwirksam. Eine Einwilligung durch Anklicken eines Kästchens, bevor man beispielsweise ein Produkt online kauft, bleibt grundsätzlich möglich. Für einige Bereiche gelten strengere Anforderungen, wie beispielsweise bei der Verarbeitung von Gesundheitsdaten, biometrischen Daten oder Daten von Kindern. Die DS-GVO erfordert darüber hinaus weitreichende interne Dokumentationspflichten. Das gilt nicht nur für Webseiten im Internet, sondern auch für Apps.

Neu eingeführt werden durch die DS-GVO umfangreiche Informationspflichten des Verantwortlichen und auch des Auftragsverarbeiters. Ein Verstoss gegen diese Informationspflichten kann Geldbussen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes nach sich ziehen.


Die entsprechenden Dokumente müssen u.a. folgende Informationen:

Wer ist der Verantwortliche? Für Unternehmen ausserhalb der EU muss ein Vertreter in der EU benannt werden.

Zu welchem Zweck sollen die Daten verarbeitet werden, beispielsweise zur Erstellung eines Nutzerkontos.


Wer sind die Empfänger, beispielsweise die Personalabteilung.

Welche Kategorien von Daten sollen erhoben werden? Hier sollte beachtet werden, dass z.B. auch eine E-Mail ein personenbezogenes Datum sein kann.


Zudem muss angegeben werden, ob Daten in Drittländer (ausserhalb der EU) übermittelt werden, ggf. muss die Grundlage dieser Übermittlung angegeben werden. Grundlage können insbesondere die EU-Standardverträge, verbindliche Unternehmensregeln oder ein Angemessenheitsbeschluss der Europäischen Kommission sein, mit dem die Kommission für bestimmte Länder, wie z.B. Kanada oder die Schweiz, ein sicheres Datenschutzniveau anerkannt hat.

Welche Rechte hat der Betroffene? Er muss über die Möglichkeit Auskunft, Sperrung und Löschung zu verlangen informiert werden. Er kann der Datenverarbeitung widersprechen und seine einmal erteilte Einwilligung jederzeit wiederrufen. Neu sind die Hinweispflichten auf das Recht zur Beschwerde bei einer Datenschutzbehörde und Datenportabilität zu einem anderen Anbieter. Insbesondere Anbietern von Social-Media-Diensten dürfte die Umsetzung dieses Rechts aufgrund der Verschiedenartigkeit der gespeicherten Daten (Text, Ton, Bild) Probleme bereiten.

Die meisten Unternehmen sind verpflichtet, umfangreiche Verzeichnisse zur Datenverarbeitung zu führen. Dies gilt für Unternehmen ab 250 Mitarbeitern uneingeschränkt, sowie für Unternehmen mit spezieller Datenverarbeitung, beispielsweise Gesundheitsdaten, unabhängig von der Grösse. Auch wenn ein Startup jetzt noch wenig Mitarbeiter hat, empfiehlt sich mit Blick in die Zukunft alle Verarbeitungsvorgänge bereits jetzt schon aufzulisten. Dies erspart später eine Menge Arbeit, wenn keiner mehr einen Überblick über alle verwendeten Systeme hat.

Ein Datenschutzbeauftragter muss insbesondere ernannt werden, wenn die Verarbeitungsvorgänge eine umfangreiche und regelmässige systematische Überwachung der Betroffenen erforderlich machen oder beispielsweise Gesundheitsdaten umfangreich verarbeitet werden.

Die DSGVO fordert von Unternehmen Datenminimierung und unter gewissen Umständen rechtskonforme Datenlöschung. Daten speichern, damit sichergestellt ist, dass man auch alles für alle Fälle gespeichert hat, ist dann nicht mehr erlaubt.

Der Datenschutzbeauftragte kann ein Mitarbeiter oder ein externer Berater sein. Mit einem externen Berater muss dann ein Dienstleistungsvertrag geschlossen werden. Der Datenschutzbeauftrage muss Fachwissen im Datenschutzrecht besitzen und seine Aufgaben schliessen die Beratung des Unternehmens im Datenschutz, die Überwachung der Einhaltung des Datenschutzes und die Zusammenarbeit mit der Aufsichtsbehörde ein. Bei Verstössen drohen auch hier Geldbussen bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes.


Auftragsverarbeitung bedeutet, dass beispielsweise Daten durch einen Service Provider verarbeitet werden. Dies ist insbesondere beim Auslagern der Buchhaltung der Fall. Die DS-GVO schreibt vor, dass der Verantwortliche und der Auftragsverarbeiter einen Vertrag abschliessen, der spezielle Punkte regeln muss, unter anderem dass die Verarbeitung nur auf dokumentierte Weisung erfolgt, bestimmte Sicherheitsmassnahmen eingehalten und alle befugten Personen des Auftragsverarbeiters zu Vertraulichkeit verpflichtet werden. Bei einem Verstoss können Geldbussen bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes gegen den Verantwortlichen und – das ist neu – auch gegen Auftragsverarbeiter verhängt werden. Bestehende Service Provider-Verträge müssen nachverhandelt werden.

 

Gruenderszene.de; Christina Schattauer; 02.02.2017
http://www.gruenderszene.de/allgemein/neue-datenschutz-grundverordnung-checkliste-startups lang=de

Hinweis zur Verwendung von Cookies
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Sie können die Verwendung von Cookies annehmen oder ablehnen. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung