Es ist schwierig, ein Startup aufzubauen. Als Gründer muss ständig an das Geschäft denken: das Produkt, die Mitarbeiter, die Preise, die Steuern, die Kunden … und auch an die persönlichen Daten der Kunden.
Personenbezogene Daten sind nahezu unsichtbar. Viele Gründer von Startups können wahrscheinlich nicht wissen, dass sie mit personenbezogenen Daten arbeiten. Sie haben lediglich eine Social-Media-Seite oder eine Unternehmenswebsite – fällt das unter die DSGVO?
Es stellt sich heraus, dass dies gerade der Fall ist. In diesem Artikel werden wir uns erörtern, wie die Unternehmen personenbezogene Daten erkennen und richtig damit arbeiten können.
Tipp 1: Denken Sie an Cookies und Feedback
Verfügt Ihre Website über Analysefunktionen? Haben Sie ein Feedback-Feld? Nutzen Sie für Ihr Unternehmen eine Social-Media-Seite, auf der Sie mit Ihren Kunden in Kontakt bleiben? Sie werden also (höchstwahrscheinlich) personenbezogene Daten bearbeiten: Cookie-IDs, Namen, E-Mail-Adressen, Inhalt von Anfragen usw.
Daher ist es notwendig, eine Liste der personenbezogenen Daten in die Datenschutzerklärung und das Verzeichnis von Verarbeitungstätigkeiten aufzunehmen. Hinzu kommen folgende Angaben:
- Zwecke,
- Verfahren des Datenschutzes,
- die Dritten, an welche die Informationen übermittelt werden.
Sie müssen auch alle Ihre Prozesse überprüfen:
- ob das Cookie-Banner funktioniert?
- ob die mit der Website verknüpfte Analyse die Auswahl des Besuchers wirklich berücksichtigt?
- ob der Analyseanbieter über alle erforderlichen Einstellungen in seinem Backend verfügt?
- ob die Abrufformulare, Formulare über den Widerruf der Zustimmung und andere Tools funktionieren?
Tipp 2: Ignorieren Sie Marketingdaten nicht
Das Marketing ist effektiv, wenn es personalisiert ist. Die Angabe des Namens des Empfängers in einem Schreiben (und der Versand des Schreibens – per E-Mail oder Post), der Hinweis auf kontextbezogene Werbung oder auch nur ein zeitnaher Anruf – all dies sind Prozesse, die die Bearbeitung personenbezogener Daten erfordern. Darüber hinaus ziehen Werbematerialien immer die größte Aufmerksamkeit deren Kunden (der betroffenen Person) auf sich. Wenn der Vermarkter alles richtig macht, gibt es keine Probleme mit der DSGVO. Und wenn er irgendwo einen Fehler macht, kann dies viele Probleme verursachen: von einer Lawine der Anfragen bis hin zu einer Reihe von Bußgeldern.
Daher ist es wichtig, für die Sicherheit des Vermarkters zu sorgen:
- Aktualisieren Sie die Datenschutzerklärung,
- erstellen Sie einen funktionierenden Opt-out-Link, und
- überzeigen Sie sich davon, dass die Telefonanrufe nicht gegen das Telekommunikationsgesetz verstoßen.
Sie müssen sich auch mit den technischen und organisatorischen Komponenten des Marketings befassen. Zum Beispiel:
- Testen Sie CRM- und E-Mail-Newsletter-Dienste, um sich zu überzeugen, dass sie tatsächlich so funktionieren wie es in ihrer Datenschutzerklärung oder ihrem Datenschutzgesetz angegeben ist.
- Erstellen Sie Verfahren, die es vorbeugt, dass das Team die Fehler macht und beispielsweise versehentlich die Daten eines Kunden an einen falschen Kunden sendet.
- Automatisieren Sie die Abmeldung von Newslettern, um Kunden, die keine überflüssigen E-Mails erhalten möchten, nicht zu belästigen.
Tipp 3: Schulen Sie Ihr Support-Team
Nach der Werbeabteilung (Konvertierung) geht der Kunde in die Hände der Support- und Betreuungsabteilung über. Von nun an ist das Support-Team für die DSGVO-Konformität verantwortlich. Sie erhalten Anfragen der betroffenen Person: für Zugriff auf Daten, für deren Löschung, für Informationen zur Datenverarbeitung, sogar für Entschädigung. Und sobald eine solche Beschwerde im Posteingang des Absenders oder auf dem Webserver des E-Mail-Clients landet, beginnt der Stresstest des DSGVO/GDPR-Compliance-Programms bezüglich Ihres Startups.
Dementsprechend müssen Sie Ihr Programm durch folgende Materialien ergänzen:
- DSGVO/GDPR-Schulungen und Tutorials;
- eine Richtlinie zur Anfragebearbeitung und
- eine Anfrageauflistung.
Wenn Ihr Unterstützungsdienst automatisiert ist, achten Sie genau auf die eingesetzten Technologien, sowie darauf, ob dieser den Beanspruchungstests mit einer großen Anzahl von Kommunikationen oder komplizierten Anfragen, die menschlichen Eingriffs bedürfen, standhalten kann. Dies ist besonders wichtig, wenn Sie KI nutzen oder automatisch die Antworten auf die Anfragen an die Datenbank Ihres Unternehmens generieren. Und vergessen Sie nicht, dass das System Sie an die Zeit der Antwort auf die Anfrage erinnern sollte!
Tipp 4: Treffen Sie Auftragsverarbeitungsverträge (AV-Vertrag)
Haben Sie Auftragnehmer? Ja, SaaS oder PaaS gehören auch dazu.
Für die Bearbeitung personenbezogener Daten ist die richtige Infrastruktur erforderlich. IT-Unternehmen wissen das genau: Sie nutzen Cloud-Speicher, CRM, Videokonferenzen … Aber jetzt benötigen Sie all diese Tools, auch wenn Ihre Firma kein IT-Unternehmen ist!
Sie haben es also mit einem Netz von Unternehmen zu tun, die für die Erfassung personenbezogener Daten zuständig sind – ganz oder teilweise. Zu diesem Netz gehören Ihre Kunden (insbesondere wenn Sie Dienstleistungen oder Produkte anbieten, die Daten erfassen oder speichern), Ihre Auftragnehmer, Tools, Geschäftspartner, Loyalitätsprogramme – die Liste kann sich auf Hunderte belaufen. Zu diesem Netzwerk gehören auch Subunternehmer (Nachauftragnehmer Ihrer Auftragnehmer).
Angesichts der Komplexität dieses Verfahrens müssen Sie folgende Daten und Prozessen aktualisieren:
- Ihr Muster für eine Datenbearbeitungsvereinbarung (oder fügen Sie diese als Anhang oder Abschnitt Ihrer Dienstleistungs- oder Kooperationsvereinbarung bei) – berücksichtigen Sie internationale Übermittlung und die Rolle jedes Unternehmens (Verantwortlicher oder Auftragsverarbeiter);
- Ihre Richtlinien zur Überprüfung von Auftragnehmern (z. B. wenn Ihr Informationssicherheitsbeauftragter bereits im Lieferkettenmanagement tätig ist);
- Ihr Verzeichnis der Auftragnehmer und Auflistung der Bearbeitungstätigkeiten;
- Ihre Datenschutzerklärung (geben Sie zumindest die Kategorien an, denen diese Bearbeitungsteilnehmer angehören).
Die größte Herausforderung bei internationalen Datenübertragungen kann die Sicherheit sein – sie erfordert Anonymisierungs- und Pseudonymisierungsprozesse. Stellen Sie außerdem sicher, dass Ihre Geschäftspartner die Daten nach Abschluss der Bearbeitung tatsächlich gelöscht haben (z. B. indem Sie ihnen den Download der Daten untersagen) und dass sie Ihre Daten nicht für andere Zwecke verwenden.
Tipp 5: Bereiten Sie sich auf einen Datenschutzverstoß oder eine behördliche Prüfung vor
Der unangenehme Teil des Geschäftslebens besteht darin, auf Konsequenzen und Risiken Rücksicht zu nehmen. Deswegen sollte ein Unternehmen Reaktionspläne für jedes Ereignis in jeder Phase des Unternehmenslebens haben: von angenehm bis katastrophal.
Die Anpassung eines Unternehmens an einen Großauftrag oder ein plötzliches Unternehmenswachstum kann angenehme Kalamitäten sein – dies beeinträchtigt jedoch auch die Datensicherheit, insbesondere wenn das Startup nicht bereit für eine drastische Auswucherung war. Zu Unannehmlichkeiten: Einige Services funktionieren nicht wie vorgesehen, die Vertragsabteilung versendet Verträge und Rechnungen an die falschen Empfänger und Marketingfachleute fügen alle E-Mailadressen einer Werbekampagne in einer Zeile in der „An“-Zeile zusammen. All dies kann als Datenschutzverletzung gewertet werden und eine betroffene Person dazu veranlassen, eine Beschwerde bei der Aufsichtsbehörde einzureichen.
Dies zieht folgende Änderungen am Compliance-Programm nach sich:
- Besprechung mit Kollegen und Dokumentierung eines Aktionsplans für den Fall, dass das Unternehmen einen Verstoß gegen den Datenschutz aufdeckt oder ein entshprechendes Schreiben von einer Datenschutzbehörde erhält;
- das Treffen einer Vereinbarung mit einem Anwalt und/oder einem Datenschutzbeauftragten (DSB), um bei der Kontrolle dieser Prozesse qualifizierte Unterstützung zu erhalten.
Die beste Sicherheitsmaßnahme wäre es, Ihr Incident-Response-System zu testen: Organisieren Sie einen Stresstest, bei dem die Mitarbeiter einen Bericht über einen Datenschutzverstoß so wahrnehmen und bearbeiten müssen, als handele es sich um einen echten Vorfall. Dokumentieren Sie alle identifizierten Probleme, besprechen Sie sie ausführlich mit dem Team und beheben Sie diese. Wiederholen Sie den Test nach einiger Zeit, damit jeder den Aktionsalgorithmus begreift.
Bonus-Tipp: Verschieben Sie Privacy by Design / Privacy by Default nicht auf später!
Der Datenschutz beginnt lange vor dem Zeitpunkt, wo das MVP oder der erste Prototyp fertig ist. Er beginnt mit den ersten Architekturdiagrammen, Berechnungen und Diskussionen, solange die Ziele und Methoden der Datenverarbeitung noch festgelegt werden.
Verschieben Sie deswegen das Thema der datenschutzfreundlichen Technologien (PETs) nicht auf die Zukunft. Denn wenn der Erfolg kommt, bleibt es keine Zeit, diesen zu untermauern. Sie müssen schnell eskalieren und sich auf eine noch stärkere Expansion vorbereiten. Legen Sie daher so früh wie möglich den Grundstein für sich selbst – erschaffen Sie Ihre Produkte, Waren und Dienstleistungen datenschutzfreundlich.
Stellen Sie fest, dass Ihre Werbekampagnen, die Rechnungsausstellung und die Vertragsunterzeichnung automatisiert sind. Überzeugen Sie sich davon, dass Ihre Verschlüsselung sicher genug ist. Wählen Sie den Cloud-Speicher in einem verlässlichen Land mit DSGVO-konformer Gesetzgebung.
Erstellen Sie abschließend eine Datenschutzarchitektur, z. B. Dashboards für betroffene Personen, automatisierte Formulare zur Ausübung von Rechten, ohne das Support-Team abzulenken, und konfigurieren Sie die Consent-Management-Plattform so, dass Cookie-Informationen automatisch aktualisiert werden.
Und falls Sie nicht wissen, wo Sie anfangen sollen, bedienen Sie sich der Unterstützung eines erfahrenen Datenschutzbeauftragten.
Autor
Kateryna Dubas – Privacy Consultant, LLM, CIPP/E, CIPT, FIP.