In wenigen Monaten gelten neue Datenschutzregeln

In Schweden liberal, in Deutschland streng geregelt – diese Zeiten sind im Datenschutz ab Mai 2018 vorbei. Die EU hat die Datenschutzgrundverordnung (DSGVO) vereinheitlicht und damit im gemeinsamen Wirtschaftsraum gleiche Bedingungen für alle geschaffen. Ein klarer Fortschritt. Start-ups sollten die verbleibenden Monate nutzen, sich auf die Änderungen einzustellen. Bei Verstößen drohen bedeutend höhere Bußgelder als bisher.

Was haben Glassplitter in einer Lieferung Bolognese-Soße und ein Datenleck bei einem Versandhändler gemeinsam? Ab Mai 2018 lautet die Antwort: Beide Vorfälle sind meldepflichtig. So wie der Soßenfabrikant nicht einfach seine Paletten klammheimlich zurückrufen darf, muss auch der Betreiber einer Website für Transparenz sorgen. In der neuen EU-Datenschutzgrundverordnung 2016/679  spielt es keine Rolle mehr, ob es sich um sensible Bankdaten oder das Geburtsdatum handelt. Die Verordnung schützt Verbraucher umfassend.

Ausführliche Informationen nötig

Und das gilt schon vor Abschluss eines Geschäfts. Sobald die Betreiber von Webseiten und Apps Daten erheben, müssen sie in ihren Pflichtinformationen unter anderem

• beantworten, welche personenbezogenen Daten wozu und wie lange gespeichert werden
• auf das Recht hinweisen, diese Daten löschen zu lassen und sich bei einer Aufsichtsbehörde zu beschweren
• klarstellen, ob der Kunde die Daten laut Gesetz oder lediglich laut Vertrag bereitstellen muss
• alle Empfänger der personenbezogenen Daten nennen, etwa Tracking-Dienstleister, Soziale Netzwerke oder eine Organisation in einem Drittland

Auf Start-ups kommen also eine ganze Reihe Themen zu, die bisher kaum auf der Agenda gestanden haben dürften. Wer etwa Cloudservices in den USA nutzt, muss sicherstellen, dass diese Dienstleistung mit der EU-Verordnung konform geht.

Verzeichnis der Datenverarbeitung

Daneben führt die DSGVO für einen Großteil der Unternehmen die Pflicht ein, eine Beschreibung der Datenverarbeitung lückenlos nachzuhalten. In das sog. Verarbeitungsverzeichnis gehören beispielsweise die Zwecke, der Name und die Kontaktdaten des Verarbeiters sowie die Kategorien von Empfängern, die Zugang zu den Daten haben. Wer solche Informationen bereits auflistet, mag aufatmen. Allerdings wird er ein paar Spalten hinzufügen müssen: Neben Verbrauchern, die Leistungen oder Webseiten nutzen, muss das Verzeichnis auch die eigenen Mitarbeiter und Dritte berücksichtigen, deren Daten das Unternehmen verarbeitet. Wahrscheinlich werden sich viele Start-ups mit den Herstellern der Software, die sie in der Personalverwaltung und der Lohnbuchhaltung nutzen, beraten müssen.

Programmierer als Datenschützer

Apropos Software. Möglichst viele Daten sammeln und analysieren zu können, ist ab Mai 2018 kein Maßstab mehr. Hersteller datenverarbeitender Systeme sind gefordert, ihre Produkte dem Prinzip der Datenminimierung zu unterwerfen; die EU-Kommission nennt das „Privacy by Design“. Das bedeutet auch, eine datenschutzwidrige Nutzung künftig schon bei der Entwicklung auszuschließen oder zumindest zu erschweren. Die Voreinstellungen sollten demnach so gestaltet sein, dass der Nutzer den Vorgaben der DSGVO mehr oder weniger automatisch entspricht. Tipp: Alle Überlegungen zum Datenschutz während der Programmierung dokumentieren.

Stattliche Bußgelder

Start-ups, die sich mit der EU-Datenschutzgrundverordnung noch nicht befasst haben, sollten dies in den kommenden Wochen und Monaten nachholen. Denn bei Verstößen drohen schmerzhafte Bußgelder von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes. Wie die Aufsichtsbehörden mit einem so großen Bußgeldrahmen umgehen werden bleibt abzuwarten.

Zu den Autoren
Ralf-Michael Schmidt, ist Mitgründer von Smartlaw, und Kai Bodensiek, Partner der Medienkanzlei Brehm & v. Moers.