• favicon
  • Facebook Social Icon
  • Twitter Social Icon

FAQ zum Datenschutzrecht für Startups 

Worum geht es beim Datenschutz? 
 
Datenschutzrecht soll natürlichen Personen (nicht: juristischen Personen) Kontrolle über ihre personenbezogenen Daten gewähren. So soll die Persönlichkeit des Individuums vor potentiellen künftigen Eingriffen geschützt werden.
Wie funktioniert Datenschutz?
Zentraler Grundsatz des Datenschutzrechts ist der so genannte Grundsatz des Verbots mit Erlaubnisvorbehalt. Das bedeutet, dass jegliche Datenverarbeitung personenbezogener Daten grundsätzlich verboten ist, es sei denn es existiert eine gesetzliche oder eine rechtsgeschäftliche Erlaubnis. Allerdings sind die gesetzlichen Erlaubnisnormen teilweise so weit gefasst, dass sich der Grundsatz teilweise wieder umkehrt (vgl. Art. 6 DSGVO). Die wichtigste rechtsgeschäftliche Erlaubnis ist die Einwilligung.  
Was sind personenbezogene Daten?
Jede Information, die auf eine natürliche Person beziehbar ist, ist ein personenbezogenes Datum. Grundlegend ist in diesem Zusammenhang die Entscheidung des EuGH zu IP-Adressen (v. 19.10.2016, Az. C-582/14). Ausgangspunkt war die Frage, ob es reicht, dass irgendjemand den Personenbezug herstellen kann oder ob es darauf ankommt, ob der jeweilige Datenverarbeiter den Personenbezug herstellen kann. Hierzu hat sich der EuGH in einer Weise eingelassen, die in vielerlei Hinsicht beispielhaft ist. Wörtlich heißt es in der Entscheidung (Rn. 44 ff):
"Dass über die zur Identifizierung des Nutzers einer Website erforderlichen Zusatzinformationen nicht der Anbieter von Online-Mediendiensten verfügt, sondern der Internetzugangsanbieter dieses Nutzers, vermag daher nicht auszuschließen, dass die von einem Anbieter von Online-Mediendiensten gespeicherten dynamischen IP-Adressen für ihn personenbezogene Daten im Sinne von Art. 2 Buchst. a der Richtlinie 95/46 darstellen. Zu prüfen ist jedoch, ob die Möglichkeit, eine dynamische IP-Adresse mit den Zusatzinformationen zu verknüpfen, über die der Internetzugangsanbieter verfügt, ein Mittel darstellt, das vernünftigerweise zur Bestimmung der betreffenden Person eingesetzt werden kann. Wie der Generalanwalt in Nr. 68 seiner Schlussanträge im Wesentlichen ausgeführt hat, wäre dies nicht der Fall, wenn die Identifizierung der betreffenden Person gesetzlich verboten oder praktisch nicht durchführbar wäre, z. B. weil sie einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskräften erfordern würde, so dass das Risiko einer Identifizierung de facto vernachlässigbar erschiene. 
[Berichtigt durch Beschluss vom 6. Dezember 2016] Das vorlegende Gericht weist in seiner Vorlageentscheidung zwar darauf hin, dass das deutsche Recht es dem Internetzugangsanbieter nicht erlaube, dem Anbieter von Online-Mediendiensten die zur Identifizierung der betreffenden Person erforderlichen Zusatzinformationen direkt zu übermitteln, doch gibt es offenbar – vorbehaltlich der vom vorlegenden Gericht insoweit vorzunehmenden Prüfungen – für den Anbieter von Online-Mediendiensten rechtliche Möglichkeiten, die es ihm erlauben, sich insbesondere im Fall von Cyberattacken an die zuständige Behörde zu wenden, damit diese die nötigen Schritte unternimmt, um die fraglichen Informationen vom Internetzugangsanbieter zu erlangen und die Strafverfolgung einzuleiten. Der Anbieter von Online-Mediendiensten verfügt somit offenbar über Mittel, die vernünftigerweise eingesetzt werden könnten, um mit Hilfe Dritter, und zwar der zuständigen Behörde und dem Internetzugangsanbieter, die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen." 
DSGVO – Was ist das und betrifft mich das?

Das Datenschutzrecht wurde nun auf europäischer Ebene harmonisiert. Es wurde die Form einer europäischen Verordnung gewählt. Eine europäische Verordnung gilt (anders etwa als Richtlinien, die nur die Mitgliedstaaten binden) unmittelbar für alle Bürger und Unternehmen in den Mitgliedstaaten. Somit besteht nun grundsätzlich Vollharmonisierung im Datenschutzrecht. Allerdings gewährt die DSGVO an einigen Stellen den Mitgliedstaaten Spielräume für eine individuelle Ausgestaltung des Datenschutzrechts. In Deutschland finden sich daher ergänzende Regelungen im BDSG neu. Weder die DSGVO noch das BDSG neu nehmen kleine Unternehmen vom Anwendungsbereich aus. Entsprechend betrifft die DSGVO ausnahmslos alle Unternehmen.

DSGVO – Was ändert sich im Datenschutz und was ist zu tun?

Die grundlegenden Prinzipien des Datenschutzrechts haben sich durch die DSGVO nicht verändert. Nach wie vor sind alle Verarbeitungsmaßnahmen rechtfertigungsbedürftig. Ganz wesentlich verändert hat sich vor allem der Bußgeldrahmen. Datenschutzverstöße können nun mit Bußgeldern in Höhe von bis zu 4 % des Jahresumsatzes eines Unternehmens geahndet werden. Bisher waren Bußgelder nur in Höhe von maximal bis zu 250.000 EUR vorgesehen. Darüber hinaus haben sich bei den Themen Auftragsdatenverarbeitung, technische organisatorische Maßnahmen, Datenschutzbeauftragter, Datenschutzhinweise, Verarbeitungsverzeichnisse etc. einige Einzelheiten geändert. 

DSGVO –  Was ändert sich bei Datenschutzhinweisen?

Bisher bestanden Ihre Informationspflichten ausschließlich auf Basis von § 13 TMG. Nun gibt es zusätzliche Anforderungen aus der DS-GVO.

  • Eine Information darüber, ob eine Datenverarbeitung in Drittstaaten außerhalb der EU erfolgt

  • Eine Information über die jeweiligen Rechtsgrundlagen der Datenverarbeitun

  • Eine Information über Löschfristen (soweit möglich)

 
DSGVO –  Was ändert sich bei der Auftragsdatenverarbeitung

Ein Vertrag über die Auftragsdatenverarbeitung ist nach wie vor das zentrale Instrument der datenschutzrechtlichen Rechtfertigung der Datenverarbeitung im Zusammenhang mit Dienstleistungen, bei denen personenbezogene Daten verarbeitet werden, für die ein anderes Unternehmen verantwortliche Stelle ist. Der Vertrag über die Auftragsdatenverarbeitung muss nun nicht mehr schriftlich abgeschlossen werden. Die elektronische Form genügt. Allerdings muss die Genehmigung des Auftraggebers zur Beauftragung weiteren Subunternehmer schriftlich erfolgen (§ 62 BDSG neu). Weitere Subunternehmer müssen gegenüber dem Auftraggeber nun offengelegt werden. Zudem sind die TOM neu zu fassen, da nun ein anderer Aufbau verlangt wird.

DSGVO –  Was ändert sich bei Verfahrensverzeichnisse/Verarbeitungsverzeichnisse

Schon bisher bestand die Pflicht Verfahrensverzeichnisse zu führen, in denen alle Verfahren der Verarbeitung personenbezogener Daten dokumentiert sind. Diese besteht auch weiterhin. Bisher wurde dies nur von weniger Unternehmen gemacht. Zu erwarten ist, dass die Aufsichtsbehörden möglicherweise mit Fragebögen auf Unternehmen zukommen und das Vorhandensein von Verarbeitungsverzeichnissen abfragen. Erste Schritte in Richtung Erstellung eines Verarbeitungsverzeichnisses sollten bis dahin unternommen sein.

DSGVO –  Was bedeutet privacy by default and by design

Die DS-GVO enthält den neuen Grundsatz privacy by default and by design. Im Kern bedeutet das, dass Datenschutz nicht im Kleingedruckten versteckt werden soll. Vielmehr soll Datenschutz möglichst produktnah implementiert werden (privacy by design) und Produkte sollen grundsätzlich möglichst datenschutzfreundliche Standardeinstellungen haben (privacy by default). Die Formulierung ist natürlich relativ weich, entsprechend besteht großer Umsetzungsspielraum. Im Kern geht es um größtmögliche Datenschutzklarheit in der Bedienung und datenschutzfreundliche Standardeinstellung.

DSGVO –  Was muss ich tun, um die Anforderungen der DSGVO zu erfüllen?

Je nach Art und Umfang der Verarbeitung personenbezogener Daten ergeben sich sehr unterschiedliche Anforderungen. Folgende Dinge sollten alle Unternehmen mindestens tun:

1. Neupositionierung zur Umsetzung von Datenschutz in Ihrem Unternehmen – Klärung des Berater-Setups und des Know-How-Managements zum Datenschutz

2. Neue Musterverträge über die Auftragsdatenverarbeitung

3. Neue Datenschutzhinweise für Ihre Webseite

4. Neuer Zusatz zum Arbeitsvertrag zur Ermöglichung von behördlichen Datenschutzkontrollen an Heimarbeitsplätzen

5. Überarbeitung bestehender oder Erstellung neuer Verarbeitungsverzeichnisse

jusmeum-Bereichsleiter
Venture Capital & Startups

Rechtsanwalt Dr. Timo Ehmann

Weitnauer Rechtsanwälte PartnerG mbB

80802 München