Gastbeitrag von Kathrin Schürmann
Datenschutz – ein Hindernis für Start-ups!?
Das Thema Datenschutz erregt nach wie vor viel Aufmerksamkeit. Dabei sind nicht nur Social Media und Daten-Leaks vielfach diskutierte Themen, sondern auch auf EU-Ebene hat sich einiges getan: Die europäische Datenschutzgrundverordnung ist am 14. April 2016 vom Europäischen Parlament beschlossen und am 4. Mai 2016 im Amtsblatt der Europäischen Union veröffentlicht worden. Die Verordnung sieht eine Übergangszeit von zwei Jahren vor und gilt damit direkt ab dem 25. Mai 2018 in der gesamten Europäischen Union. Zu begrüßen ist, dass damit endlich ein EU-weit einheitliches Datenschutzrecht geschaffen wird. Allerdings entsteht gegenüber der vorherigen Situation ein erhöhter bürokratischer Aufwand, da Unternehmen darin verpflichtet werden, nunmehr ihre Prozesse systematisch zu erfassen und konsequent auf Risiken für personenbezogene Daten zu prüfen.
ACHTUNG Start-ups! Wer meint, Datenschutz sei nur ein Thema für etablierte Firmen, der täuscht sich gewaltig. Datenschutz ist nicht nur für große Unternehmen unumgänglich, sondern auch für Gründer und junge Unternehmen. Nicht zuletzt deswegen, weil sie aufgrund ihrer Tätigkeit im „World Wide Web“ oft im Fokus der Datenschutzbehörden aber auch vor allem in dem der Nutzer stehen, die zunehmend Wert auf ein hohes Datenschutzniveau legen.
Richtig eingesetzt ist Datenschutz keine Bremse für junge Unternehmen – wie oftmals befürchtet – sondern kann gerade dort dazu dienen für klare Prozesse und Strukturen zu sorgen. Das wiederum führt zu einem klaren Wettbewerbsvorteil gegenüber anderen Unternehmen.
Der geeignete Zeitpunkt: Bereits in der Startphase an den Datenschutz denken
Besonders für Gründer ist es nicht nur wichtig, sondern auch besonders vorteilhaft, das Thema Datenschutz und IT-Sicherheit von Anfang an ernst zu nehmen. Gerade in der Startphase ist es wesentlich einfacher, Datenschutz und IT-Sicherheit in die Prozesse einzubinden als zu einem späteren Zeitpunkt. Denn in der Startphase ist die Implementierung häufig noch mit einem sehr geringen Aufwand und überschaubarem Budget realisierbar, da noch keine festgefahrenen Prozesse bestehen, die der Änderung bedürfen – was gegebenenfalls viele IT-Ressourcen bindet.
Start-ups sollten sich daher schon in der Startphase mit Fachberatern für Datenschutz und IT-Sicherheit zusammensetzen und beraten, wie sie den Datenschutz und die IT- Sicherheit in ihre Systeme und Prozesse integrieren können. Dabei schaut sich der Berater genau an, wie der IST-Zustand im Start-up aussieht und wie man am besten ein individuelles Datenschutz-System für dieses Start-up integriert. Dies kann damit anfangen, wer auf welche Daten zugreifen kann, welche Kundendaten vom wem abgerufen werden können, wie Profiling-Maßnahmen datenschutzkonform umzusetzen sind, welche CRM oder HR Software vorzugswürdig ist etc. Wichtigste Entscheidung ist, sich für den Datenschutz zu entscheiden und diesen aktiv umzusetzen. Datenschutz ist dann kein Hindernis, sondern führt zu transparenten Datenflüssen und Prozessen.
Datenschutz ist in vielen Bereichen eines Unternehmens wichtig und Qualitätsmerkmal: Angefangen bei den Kundendaten, der Zusammenarbeit mit Dienstleistern, einer ordentlichen Datenschutzerklärung, beim Einsatz von Cookies über Profiling bis zum gesamten Bereich des Online-Marketing. Oft können sich besonders Start- ups noch nicht vorstellen, welche Imageschäden ein Datenschutzvorfall verursachen kann, wenn dieser an die Öffentlichkeit gelangt. Am Beispiel von Online-Shops lässt sich diese These gut verdeutlichen, denn diese könnten ohne das Vertrauen ihrer Kunden durch einen sicheren Umgang mit ihren Daten nicht erfolgreich auf dem Markt agieren. Zudem werden immer mehr Themen rund um den Datenschutz in den Medien diskutiert, wodurch nicht zuletzt die Sensibilität auf Kundenseite zunimmt. Dies bedeutet: wer sich nicht datenschutzkonform verhält, wird von den Usern abgestraft.
Datenschutz als Wettbewerbsvorteil!!
Der sensible Umgang mit Daten bedeutet daher auch einen oft unterschätzten Wettbewerbsvorteil durch die Schaffung von Kundenvertrauen. Das ist gerade für junge Unternehmen sehr wichtig. Wird bekannt, dass ein Unternehmen mit personenbezogenen Daten nicht gesetzeskonform verfährt, entstehen schnell große Imageschäden und das hart erkämpfte Kundenvertrauen geht verloren. Auch der verantwortungslose Umgang mit Mitarbeiterdaten kann einen großen Imageschaden nach sich ziehen. Imageschäden nach einem Datenschutzvorfall sind für Unternehmen sehr schwer „aufzufangen“.
Darüber hinaus können Geschäftsführer mit einem regelkonformen Datenschutz das eigene Haftungsrisiko einfach minimieren. Denn Geschäftsführer einer GmbH haften beispielsweise für einen Gesetzesverstoß im Bereich Datenschutz mit ihrem Privatvermögen unbegrenzt.
Die EU-Datenschutzgrundverordnung und ihre Auswirkungen auf Start-ups
Bisher basieren die teilweise sehr unterschiedlich ausgestalteten Datenschutzgesetze der EU-Mitgliedsstaaten weitgehend auf einer EU-Richtlinie aus dem Jahr 1995. Die neue Datenschutzgrundverordnung hat zum Ziel, den Datenschutz europaweit einheitlich zu regeln und gleichzeitig internationale Standards zu setzen, die einseitige Wettbewerbsvorteile für Unternehmen außerhalb der EU aufheben sollen. Die geplante Grundverordnung würde unmittelbar in der gesamten Europäischen Union gelten, da Verordnungen – anders als Richtlinien – nicht gesondert in nationales Recht umgesetzt werden müssen.
Bisher galt bei deutschen Start-ups oft die Devise: „Warum sollte ich mich um Datenschutz kümmern, das kostet Geld und die internationalen, großen Start-ups wie etwa Facebook machen das doch auch nicht!“ Dabei wird oft übersehen, dass diese Unternehmen ihren Sitz beispielsweise in den USA haben und damit nicht dem deutschen Datenschutzrecht unterliegen. Mit der europäischen Datenschutzgrundverordnung wird sich jedoch einiges ändern. Denn Ziel der Datenschutzgrundverordnung soll es zum Beispiel sein, dass amerikanische Unternehmen ihre Leistungen in Europa nicht mehr ungeachtet der europäischen Datenschutzgesetze anbieten können. Damit bricht für diese Unternehmen eine Zeit des Auf – und Nachrüstens im Bereich Datenschutz an, um weiterhin auf dem für die Weltwirtschaft wichtigen europäischen Markt erfolgreich und wettbewerbsfähig zu sein.
Auf welche Änderungen sollten sich europäische Start-ups einstellen?
Nach der EU-Datenschutzgrundverordnung ist die Nutzung von Cookies und anderen Technologien zur Bildung von Nutzungsprofilen nur noch erschwert möglich. Denn die Verordnung qualifiziert jedes mittelbare Datum als personenbezogenes Datum. Damit hätten alle Daten, die in Cookies gespeichert werden Personenbezug. Das Verwenden von Cookies wäre demnach nur nach expliziter Einwilligung des Nutzers möglich.
Im Bereich Online-Marketing ist danach grundsätzlich eine Einwilligung notwendig. In der Verordnung wird aber auch erfreulicherweise geregelt, dass diese Einwilligung durch tatsächliche Handlungen, etwa durch das Weiternutzen des Onlinedienstes, erklärt werden kann, sowie Ausnahmentatbestände, die eine einwilligungslose Verarbeitung personenbezogener Daten gestatten, z.B. zur Wahrung eines „berechtigten Interesses“, worunter auch Werbezwecke fallen.
Gerade das Online Marketing ist zumindest für Online Start-ups ganz entscheidend, um die Zielgruppe zu erreichen und am Ende mit den Umsätzen wachsen zu können. Gerade deswegen ist es wichtig, das Werbekonzept an der Grundverordnung auszurichten.
Deutsche Unternehmen, insbesondere Start-ups, tun gut daran dieses Thema genau jetzt in ihre Businessmodelle zu integrieren, um in Zukunft gerade gegenüber amerikanischen Unternehmen einen Wettbewerbsvorteil zu haben. Es ist fatal für deutsche Unternehmen die Wichtigkeit dieses Themas zu unterschätzen, da der Datenschutz gerade für alle E- Businessmodelle immer stärkere Relevanz bekommt. Auch im Hinblick auf das notwendige Kundenvertrauen sollte ein großer Schwerpunkt auf darauf gelegt werden, denn auch immer mehr Verbraucher, insbesondere in Europa, achten auf ein adäquates Datenschutzniveau und den auf Umgang der Unternehmen mit ihren Daten.
Bußgelder und Imageschäden beim Datenschutzverstoß – Mögliche Konsequenzen
Die Bußgelder bei Datenschutzverstößen können in Extremfällen Schäden in Millionenhöhe nach sich ziehen. Mit der neuen Datenschutzgrundverordnung will die EU noch schärfer gegen Datenschutzverstöße vorgehen, um die Unternehmen anzuhalten, den Datenschutz ernst zu nehmen. Demnach sollen Unternehmen künftig bis zu vier Prozent ihres Weltumsatzes als Bußgeld zahlen, wenn sie gegen den Datenschutz verstoßen. Die deutlich verschärften Bestimmungen gehen hier noch weit über das strenge deutsche Bundesdatenschutzgesetz, welches ein Bußgeld bis zu 300.000 EURO vorsieht, hinaus.
Der Unternehmenswert setzt sich insbesondere bei Start-ups aus den immateriellen Werten wie etwa Kundendaten, Lieferantendaten, Mitarbeiterdaten und das Know-How zusammen. Wenn Daten in die falschen Hände geraten, sei es durch Hacker, sei es durch einen unachtsamen Umgang, entsteht darüber hinaus ein sehr großer Imageschaden für das Unternehmen. Besonders schwer wiegt dabei der Verlust des Kundenvertrauens. Laut einer Studie kündigen 20 Prozent ihren Account nach einem Datenschutzvorfall, 40 Prozent denken darüber nach. Für die meisten Start-ups bedeutet das die Endstation der Selbstverwirklichung.
Zur Autorin
Rechtsanwältin Kathrin Schürmann ist Expertin für Datenschutz und IT-Recht und ist seit 2010 externe Datenschutzbeauftragte eines großen Online-Händlers. In ihrer Funktion als Datenschutzexpertin arbeitet Kathrin Schürmann als Beraterin für die ISiCO Datenschutz GmbH, ein Unternehmen, welches Analyse, Auditierung, Beratung und Mitarbeiterschulung in den Bereichen Datenschutz, Datenschutz-Compliance und IT-Sicherheit anbietet. Beratungsschwerpunkte: IT- und Datenschutzrecht, Urheber- und Medienrecht und Gewerblicher Rechtsschutz. Seit 2007 ist sie Partnerin der Kanzlei Schürmann Wolschendorf Dreyer und berät Unternehmen schwerpunktmäßig in Fragen des IT- und Datenschutzrechts sowie des Wettbewerbsrechts. Ein besonderer Fokus liegt dabei auf Unternehmen aus dem E-Business.
Kennen Sie schon unseren #StartupTicker? Der #StartupTicker berichtet tagtäglich blitzschnell über die deutsche Start-up-Szene. Schneller geht nicht!