DSGVO und Gründung: Das sollten Sie als Firmengründer wissen

Du bist hier: / / / DSGVO und Gründung: Das sollten Sie als Firmengründer wissen

  • DSGVO und Gründung: Das sollten Sie als Firmengründer wissen

    ✔ Kostenfreie Erstberatung
    ✔ Rund um Betreuung - zum Festpreis
    ✔ Seit 2012 mehr als 30.000 Fälle im Unternehmensrecht

Telefonische Erstberatung

Das Inkrafttreten der EU-DSGVO hat den Datenschutz zum zentralen Element jedes unternehmerischen Vorhabens werden lassen. Schon vor der Gründung müssen Aspekte des Datenschutzes erkannt und systematisch in die Unternehmensplanung integriert werden. Betroffen sind Personal- und Marketingabteilunge, allgemeine interne und externe Kommunikation und die Entwicklung digitaler Produkte.


Was sind personenbezogene Daten im Sinne der DSGVO?

Die personenbezogenen Daten sind ein elementarer Schlüsselbegriff der neuen Datenschutzgrundverordnung. Erst wenn diese verarbeitet, erhoben oder verwendet werden, greift die neue Verordnung der EU. Eine genaue Erläuterung findet sich in Art. 4 Abs. 1 DSGVO: Daten sind demnach personenbezogen, wenn sie die Möglichkeit bieten eindeutige Rückschlüsse auf eine natürliche Person zu ziehen. Auch eine indirekte Verbindung zu einer Person, etwa über ein Online-Pseudonym in einem Forum, kann unter diesem Begriff zusammengefasst werden. Typische personenbezogene Daten im Betriebsalltag sind etwa die E-Mail-Adresse, selbstredend Namen und Adressdaten, Kontonummern, aber auch rein digitale Daten, wie IP-Adressen, Log-in-Standorte oder Nutzerverhalten im Web.

Inhalt dieser Seite:

Andre Kraus, Rechtsanwalt und Gründer der Anwaltskanzlei, ist Ihr Ansprechpartner in Sachen Gründung, Markenrecht, Reputationsschutz und Unternehmensrecht.

Gründung mit Rechtsanwalt

GÜNSTIG SCHNELL RECHTSSICHER

Über

30000

geprüfte Fälle im
Unternehmensrecht.

JETZT ONLINE GRÜNDEN
Beauftragung herunterladen
↪ oder kostenfreie Erstberatung reservieren.

Offene Fragen? – Einfach anrufen:

0221 – 6777 00 55

(Mo. – So. von 9 – 22 Uhr / BUNDESWEIT – Dt. Festnetz)

Ab wann benötigen Unternehmen einen DSGVO-Datenschutzbeauftragten?

Unabhängig von der Größe des Unternehmens, wird immer eine für den Datenschutz verantwortliche Person benötigt. Muss kein Datenschutzbeauftragter bestellt werden, so ist der Inhaber oder Geschäftsführer des Unternehmens verantwortlich. Welche Unternehmen einen Datenschutzbeauftragten benötigen wird in der neuen Fassung des Bundesdatenschutzgesetzes (BDSG-Neu) definiert, welches die Auslegung der EU-DSGVO in deutsches Recht konkretisiert. Maßgebend für das Erfordernis eines Datenschutzbeauftragten sind dabei folgende Faktoren.

  • Anzahl der Mitarbeiter: Unternehmen, die mehr als zehn Mitarbeiter engagieren, müssen einen zusätzlichen Datenschutzbeauftragten bestellen. Das neue BDSG legt den Begriff des Mitarbeiters dabei etwas weiter aus. Somit sind auch freie Mitarbeiter, 450-Euro-Jobber, Teilzeitkräfte oder Praktikanten zum Kreis der Mitarbeiter zuzurechnen.
  • Art der verarbeiteten Daten: Unternehmen könnten zudem dazu verpflichtet werden, einen Datenschutzbeauftragten zu bestellen, wenn die Art der verarbeiteten Daten es vorsieht. Das der Fall, wenn sensible Daten verarbeitet werden. Dazu gehören etwa Informationen zur Bonität einer Person oder Gesundheitsdaten. Werden diese Daten verarbeitet, ist unabhängig von der Anzahl der Mitarbeiter ein Datenschutzbeauftragter zu bestellen.
  • Geschäftsmodell: Verfolgt das Unternehmen zudem ein Geschäftsmodell, das auf der Verarbeitung, Nutzung und Erhebung personenbezogener Daten basiert, ist ebenfalls unverzichtbar ein Datenschutzbeauftragter zu bestellen. Typische Beispiele hierfür sind Marktforschungsinstitute oder Auskunfteien.

Ist ein Unternehmen zur Bestellung eines Datenschutzbeauftragten verpflichtet und kommt dieser Pflicht nicht nach, so können Bußgelder bis zu 20 Mio. € oder in Höhe von 4% des weltweiten Konzernumsatzes verhängt werden.

Was ändert sich nach der DSGVO?

In einigen Bestandteilen waren bestimmte gesetzliche Richtlinien der DSGVO schon durch das BDSG-alt geltendes Recht. Die europäische Datenschutzgrundverordnung orientiert sich zudem an bestimmten Teilen des BDSG. Allerdings werden die Pflichten der Verantwortlichen und die Rechte der betroffenen Personen drastisch ausgeweitet:

Neue Rechte für Betroffene

  • Neu: Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Unternehmen müssen den Kunden und Interessenten die Möglichkeit bieten, ihre Daten in einer strukturierten, gängigen und maschinenlesbaren Form zur Verfügung zu stellen. Die EU reagiert damit auf das wettbewerbsschädigende Phänomen von Verbrauchern, die nicht zu günstigen Anbietern wechseln, weil ihnen die Übertragung der Daten zu kompliziert erscheint. Nach Anfrage muss ein Unternehmen die Daten in geeigneter Form innerhalb eines Monats bereitstellen oder aber direkt an einen gewünschten Dritten ü
  • Neu: Recht auf Widerspruch (Art. 21 DSGVO): Unternehmen haben die Möglichkeit, personenbezogene Daten zu erheben ohne dafür eine Einwilligung vom Betroffenen einzuholen, wenn es eine gesetzliche Grundlage gibt oder ein berechtigtes Interesse vorliegt. Die betroffene Privatperson hat allerdings das Recht, gegen diese einwilligungslosen Erhebungen Widerspruch einzulegen. Dies betrifft Cookies auf der Unternehmenswebseite, aber auch etwa die Erhebungen von finanziellen Daten zur Überprüfung der Bonitä
  • Neu: Recht auf Unbetroffenheit (Art. 22 DSGVO): Gänzlich neu ist ebenfalls das Recht auf Unbetroffenheit. Betroffene Privatpersonen haben das Recht sich aus einer automatisierten Entscheidungsfindung aufgrund personenbezogener Daten zum Abschluss eines Vertrages auszunehmen. Theoretisch würde dies etwa eine automatisierte Bonitätsprüfung bei Online-Händlern vornehmen. Welche Verfahren insbesondere betroffen sind, wird die zukünftige Rechtsprechung zeigen.

Neue Pflichten für Verantwortliche

Verantwortliche Unternehmen unterliegen gleichzeitig neuen Pflichten, die nicht mit den Rechten der Betroffenen korrelieren. Der Datenschutzbeauftragte und die Auftragsdatenverarbeitung waren schon vor der DSGVO für viele Unternehmen verpflichtend. Zusätzliche Pflichten ergeben sich vor allem im Bereich des technischen Datenschutzes.

Technisch-organisatorische Maßnahmen

Nach Art. 24 DSGVO müssen Unternehmen technisch-organisatorische Maßnahmen treffen, um den Datenschutz als Grundrecht zu gewährleisten. Das beinhaltet zudem eine ständige Evaluierung der technischen Maßnahmen und eine Anpassung an fortschreitende technologische Entwicklungen. Die Maßnahmen müssen somit dem „neusten Stand der Technik“ entsprechen.

Schutzziele als übergeordneter Maßstab

Der technische Datenschutz wird durch die DSGVO nicht konkretisiert. Wie einzelne Maßnahmen in der Praxis auszusehen haben, entscheiden entweder nationale Gesetze oder anstehende Gerichtsurteile. Die DSGVO selber formuliert allerdings Schutzziele, deren Erreichung Ziel der technischen Maßnahmen zum Datenschutz sein sollen:

  • Verschlüsselung und Pseudonymisierung
  • Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der technischen Systeme
  • Wiederherstellbarkeit von Daten bei Verlust
  • Regelmäßige Überprüfung der Wirksamkeit der technisch-organisatorischen Maßnahmen

Wie einzelne Maßnahmen in der Praxis in Ihrem Betrieb aussehen, hängt stark von der Art der Datenverarbeitung ab. Ein Datenschutzbeauftragter berät Sie umfangreich zu konkreten Maßnahmen.

Datenschutzfolgeabschätzung

In Art. 35 DSGVO wird eine Datenschutzfolgeabschätzung beschrieben, die notwendig wird, wenn die verarbeiteten Daten besonders sensibel sind. Ein Datenleck bei solchen Unternehmen würde ein erhöhtes Schadensrisiko für die betroffenen Personen darstellen. Die Datenschutzfolgeabschätzung wird nach Umsetzung eines Datenschutzkonzeptes vom Datenschutzbeauftragten vorgenommen und an die zuständige Datenschutzbehörde weitergeleitet. Im Grunde handelt es sich dabei um eine Abschätzung aller Risiken und eine Vorabkontrolle des Datenschutzkonzeptes durch die zuständige Behörde.

Höhere Strafen und Bußgelder

Besonders drastisch wird die DSGVO aufgrund der höheren Bußgelder und Strafen empfunden, die durch Datenschutzbehörden verhängt werden können. Viele Anforderungen der DSGVO bestanden in Teilen schon durch das deutsche BDSG-alt. Die Verfasser der neuen Verordnung haben sich an dem deutschen Datenschutzgesetz orientiert. Dass die Thematik von Unternehmen überwiegend ignoriert oder vernachlässigt wurde, lag zudem an der geringen Verfolgung durch Datenschutzbehörden und den niedrigen Bußgeldern. Wer nach Inkrafttreten der DSGVO gegen das geltende Datenschutzrecht verstößt, muss mit Bußgeldern in Höhe von bis zu 20. Mio € oder 4% des gesamten Jahresumsatzes rechnen.

Strengere Verfolgung

Die DSGVO soll für einen einheitlichen europaweiten Datenschutz sorgen und die freie Bestimmung über die eigenen Daten als Persönlichkeits- und Grundrecht stärken. Deutsche Behörden haben angekündigt, Verstöße gegen die DSGVO streng zu verfolgen. Zudem wurden Datenschutzbehörden, die gleichzeitig eine beratende Funktion haben sollen, mit mehr Befugnissen ausgestattet. Es ist somit zu erwarten, dass die Einhaltung von Datenschutzgesetzen ab sofort streng verfolgt und ein wichtiger Bestandteil jeder unternehmerischen Tätigkeit sein wird.

Welche Grundsätze sind nach der DSGVO bei Datenverarbeitungen zu beachten?

Elementar ist die Rechenschaftspflicht der DSGVO für den neuen europäischen Datenschutz. Unternehmen, die personenbezogene Daten verarbeiten, müssen Aufsichtsbehörden gegenüber nachweisen können, dass sie die Vorgaben erfüllen. Maßgebend sind dabei folgende Grundsätze:

  • Transparenz: Alle Verarbeitungen müssen offengelegt und öffentlich kommuniziert werden. Dies geschieht im Rahmen der Datenschutzerklärung.
  • Datensparsamkeit: Es sollen lediglich die personenbezogenen Daten erhoben werden, die zur Erreichung des Zweckes erforderlich sind.
  • Korrektheit der Daten: Falsche Daten dürfen nicht gespeichert werden. Die Korrektheit muss gewährleistet werden, was durch Nachjustierungen, Löschungen oder Aktualisierungen verwirklicht werden kann.
  • Zweckbindung: Daten sollen lediglich für die festgelegten und kommunizierten Zwecke verwendet werden. Der Zweck muss dabei legitim und eindeutig sein.
  • Speicherbegrenzung: Die Datensparsamkeit wird durch die Speicherbegrenzung konkretisiert. Die Speicherdauer darf das notwendige Mindestmaß zur Zweckerreichung nicht überschreiten.
  • Integrität und Vertraulichkeit: Durch angemessene technisch-organisatorische Maßnahmen wird die Unversehrtheit und der Schutz der Daten garantiert.

Die Umsetzung der Grundsätze in konkrete Maßnahmen sollte bereits vor der Gründung vorgenommen werden. Im Optimalfall treten Sie mit einem juristischen Beistand in Kontakt, um Ihr Geschäftsmodell evaluieren zu lassen und einen Überblick über datenschutzrechtliche Anknüpfungspunkte zu erhalten.

An welchen Stellen sind Start Ups und Gründer von der DSGVO besonders betroffen?

Durch die DSGVO wird der Datenschutz zum wichtigen Themenfeld jeder unternehmerischen Tätigkeit. Schon bei der Wahl des Geschäftsmodells und der Vorbereitung der Unternehmensgründung sollten Aspekte des Datenschutzes evaluiert werden. Start Ups müssen in folgenden Bereichen sich häufig mit Datenschutzaspekten auseinandersetzen:

  • Mitarbeiter: Auch gegenüber Mitarbeitern müssen Unternehmen Datenschutzpflichten wahrnehmen. Sowohl die Berücksichtigung der Rechte der Mitarbeiter als betroffene Personen deren Daten verarbeitet werden, als auch die Schulung der Mitarbeiter und die Anpassung der IT-Infrastruktur an Datenschutzaspekte ist erforderlich.
  • Marketing: Das digitale Marketing spielt für viele Start Ups eine wichtige Rolle. Die Bewerbung eigener Produkte und Dienstleistungen über das Internet, etwa über die eigene Webseite, Facebook- oder Google-Anzeigen oder der Verkauf über den eigenen Onlineshop unterliegt den Anforderungen der DSGVO und ist ein komplexes Themenfeld.
  • Kommunikation: Die DSGVO fordert von Unternehmen Maßnahmen zur Wahrung des Datenschutzes in der täglichen Kommunikation. So müssen auch zur Speicherung der Kundendaten und dem Versenden von Werbeangeboten Einwilligung der Betroffenen eingeholt werden. Der E-Mail-Verkehr sollte zudem verschlüsselt werden. In jeden Fall müssen Start Ups ihre Kommunikationsstruktur so aufbauen, dass der Datenschutz gewahrt wird. Zudem müssen die Prozesse und die Kommunikation mit Kunden dokumentiert werden.
  • Produktentwicklung: Digitale Produkte, wie Apps oder Software, müssen datenschutzkonform entwickelt werden. Unter Umständen können bestimmte Geschäftsmodelle nicht mehr durchgesetzt werden, da sie den Anforderungen der neuen Datenschutzgesetze nicht gerecht werden. Besonders die Verarbeitung von Nutzerdaten im Internet und deren Einsatz zu Werbezwecken, sollte einer juristischen Überprüfung unterzogen werden. Allerdings bietet die DSGVO auch viele Chancen auf das Erschließen neuer Geschäftsfelder.
  • Allgemeine Verwaltung: Sogar in der täglichen Verwaltung müssen Anforderungen der DSGVO umgesetzt werden. Daten dürfen beispielsweise nur solange gespeichert werden, wie es zur Erfüllung des Zwecks erforderlich ist. Das Speichern von geschäftlichen Emails oder etwa Aufbewahrung von Kundendaten muss einer Struktur unterliegen, die den Prinzipien der DSGVO gerecht wird.

Start Ups müssen von Beginn an den Datenschutz als wichtigen Aspekt ihrer unternehmerischen Tätigkeit einplanen. Die konkrete Ausarbeitung eines Datenschutzkonzeptes ist in den meisten Fällen Aufgabe des Datenschutzbeauftragten und stark abhängig von dem angestrebten Geschäftsmodell. Da die strengeren Datenschutzgesetze eine Antwort auf die erstarkten Bedürfnisse der Verbraucher sind, können Start Ups sich gegenüber positiv positionieren, wenn Sie die eigene DSGVO-Compliance und eine Betonung der Thematik als Marketingvorteil nutzen.

Wie muss die DSGVO-Compliance in einen Businessplan integriert werden?

Die DSGVO-Compliance muss bei der Planung eines Unternehmens berücksichtigt werden. Neben der Personalplanung, wird auch die Finanzplanung und der zeitliche Fortschritt eines neu gegründeten Unternehmens tangiert. Nach einer juristischen Evaluation des Geschäftsmodells und des Plans, sollten Datenschutzaspekte ermittelt und die Compliance eingeplant werden. Unterliegt ein Unternehmen der Pflicht zur Bestellung eines Datenschutzbeauftragten, müssen die Kosten dafür eingeplant werden. Weitere Kosten entstehen durch den Einsatz datenschutzkonformer Software, der Dokumentation der Datenschutzmaßnahmen und der Erhebung der Daten sowie durch die Schulung der Mitarbeiter.


Wer ist für datenschutzrechtliche Verletzungen verantwortlich?

Für die Einhaltung der Datenschutzgesetze ist in jedem Unternehmen der Geschäftsführer oder bei Personengesellschaften der Inhaber verantwortlich. Auch wenn ein Datenschutzbeauftragter bestellt werden muss, kann er nur eine beratende Funktion haben.

Er muss die Geschäftsführung jedoch über alle problematischen Felder in Kenntnis setzen. Somit obliegt ihm die indirekte Verantwortung. Er muss das Unternehmen analysieren und feststellen, an welcher Stelle Anpassungen der Prozesse notwendig sind. Versäumt er die Feststellung, so kann er haftbar gemacht werden.

Es sollte allerdings festgehalten werden, dass bei der Bestellung eines internen Datenschutzbeauftragten aufgrund der inneren Betriebshaftung weiterhin das Unternehmen selbst haftet. Für die praktische Umsetzung ist in jedem Fall die Geschäftsführung verantwortlich.

An wen können Gründer sich richten, um sich über den Datenschutz zu informieren?

Um ein gesetzeskonformes Datenschutzkonzept zu entwickeln wird in erster Linie juristische Unterstützung benötigt. Ein akkreditierter Datenschutzbeauftragter kann Ihnen bei der Entwicklung und Umsetzung eines Konzeptes behilflich sein. Eine erste Evaluierung Ihres Vorhabens können Sie einem kostenlosen Erstgespräch im Rahmen unserer Datenschutzberatung erhalten. Fortlaufend kann auch der Kontakt zur zuständigen Datenschutzbehörde aufgenommen werden. Sie haben neben der überwachenden auch eine beratende Funktion.

Mehr zum Datenschutz

Sie haben eine allgemeine Frage zum Thema “DSGVO und Gründung: Das sollten Sie als Firmengründer wissen”? Wir beantworten sie hier kostenlos!

The last comment needs to be approved.
2 Kommentare
  1. Steffi J.
    says:

    Guten Tag,

    wir haben eine neu gegründete GmbH, die personenbezogene Daten verarbeitet. Von der Unternehmensgröße unabhängig, müssen wir also einen Datenschutzbeauftragten stellen. Die GmbH besteht aber aktuell nur aus der Geschäftsführung, die als Datenschutzbeauftragte eigentlich nicht infrage kommt, da sie sich sonst selbst kontrolliert.

    Ist diesem Fall ein externer Beauftragter die sinnvollste und einzige Lösung?

    • Lorena Klee
      says:

      Sehr geehrte Frau Jetschke,

      der Geschäftsführer kommt tatsächlich nicht als Datenschutzbeauftragter in Betracht aufgrund des Verbots der – wie richtig von Ihnen beurteilt – Selbstkontrolle.
      In diesem Fall bleibt Ihnen nur die Bestellung eines externen Datenschutzbeauftragten. Dieser ist meist günstiger, als die Erfüllung dieser Aufgabe durch einen Mitarbeiter vornehmen zu lassen. Ein besonderer Vorteil des externen Datenschutzbeauftragten ist, dass dieser i. d. R. auch für Verstöße haftet.

      Mit freundlichen Grüßen

      i.A.
      Lorena Klee

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Erfahrungen & Bewertungen zu KRAUS GHENDLER RUVINSKIJ Anwaltskanzlei
© Copyright - KRAUS GHENDLER RUVINSKIJ Anwaltskanzlei
KRAUS GHENDLER RUVINSKIJ Anwaltskanzlei hat 4,62 von 5 Sternen 2841 Bewertungen auf ProvenExpert.com