Ab dem 25. Mai 2018 gelten sowohl die EU Datenschutz Grundverordnung (DS-GVO) als auch die neue Fassung des Bundesdatenschutzgesetzes (BDSG neu). Ziel der neuen Gesetzgebung ist der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten sowie der freie Verkehr personenbezogener Daten. Gleichzeitig soll der Datenschutz in der EU vereinheitlicht werden, was die Einhaltung des Datenschutzes insbesondere für international tätige Startups vereinfacht.
Wir erklären, was Startups jetzt beachten müssen, um im Mai 2018 fit für die DS-GVO zu sein.
Wer ist von den neuen Regelungen betroffen?
Von den neuen Regelungen sind grundsätzlich alle Startups betroffen, die personenbezogene Daten verarbeiten. Personenbezogene Daten sind gemäß § 47 BDSG (neu)
„alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser Person sind, identifiziert werden kann“.
Da unter diese Begriffsbestimmung nicht nur Name, Anschrift und Emailadresse, sondern auch die IP Adresse fällt, sind bereits alle Startups betroffen, die eine Website vorhalten und dort IP Adressen verarbeiten.
Tipp
Auf Grund dieses weitreichenden Anwendungsbereiches des Datenschutzes sollte sich jedes Startups frühzeitig mit der DS-GVO auseinandersetzen.
Ab welchem Zeitpunkt sollte sich ein Startup mit den neuen Regelungen auseinandersetzen?
Die DS-GVO ist bereits am 25. Mai 2016 in Kraft getreten. Zur Anwendung kommt sie allerdings erst nach einer zweijährigen Übergangsfrist am 25. Mai 2018. Da die Datenschutzbehörden im Falle einer unzureichenden Umsetzung der DS-GVO ab deren Geltung im Mai 2018 Sanktionen (siehe: Sanktionen) verhängen können, sollte eine Auseinandersetzung mit den neuen Regelungen so früh wie möglich erfolgen.
Bereits jetzt sollte jedes Startup interne und externe datenschutzrelevante Prozesse auf die Vereinbarkeit mit den neuen Regelungen abgleichen. Eine Umstellung benötigt u.U. zeitlichen Vorlauf, da einzelne Aspekte mit den vom Startup eingesetzten Dienstleistern (siehe: Dienstleister) oder mit einem auf datenschutzrecht spezialisierten Rechtsanwalt abgeklärt werden müssen. So müssen z.T. neue Auftragsdatenverarbeitungsverträge abgeschlossen und Datenschutzerklärungen angepasst werden.
Kann die DS-GVO umgangen werden, wenn der Sitz des Startups außerhalb von Deutschland/der EU liegt?
Da es sich bei der DS-GVO um eine EU-Verordnung handelt, ist sie direkt in den EU-Ländern anwendbar, ohne dass es einer Umsetzung ins nationale Recht bedarf. Auf Grund der Geltung der DS-GVO in allen EU-Ländern kann die DS-GVO nicht durch eine Sitzverlegung ins EU-Ausland umgangen werden.
Anders als bisher ist die DS-GVO zudem nicht nur für Startups anwendbar, die ihren Sitz in Deutschland oder der EU haben. Vielmehr gilt die DS-GVO auch für Startups, die ihren Sitz außerhalb der EU haben und ihre Waren und Dienstleitungen innerhalb der EU anbieten. Dies gilt auch dann, wenn Waren und Dienstleistungen online deutschen bzw. EU-Kunden angeboten werden. Eine Umgehung durch einen formellen Unternehmenssitz im Ausland ist daher nicht mehr möglich, wenn sich die Geschäftstätigkeit (siehe: Geschäftstätigkeit) des Startups auf die EU bezieht.
Wie kann ein Startup die Umstellung auf das neue Datenschutzrecht praktisch vornehmen?
- Im ersten Schritt sollte eine Bestandsaufnahme aller datenschutzrechtlich relevanter Prozesse durchgeführt werden.
- Im zweiten Schritt sollten die bestehenden Prozesse auf die Vereinbarkeit mit dem neuen Datenschutzrecht abgeglichen und eine entsprechende Analyse erstellt werden.
- Aus dieser Analyse sollte im dritten Schritt ein konkreter Maßnahmenkatalog zur vertieften Prüfung oder Umstellung der Prozesse aufgestellt werden. Dieser sollte sukzessive nach Priorität abgearbeitet und umgesetzt werden. Wer sich bereits jetzt (siehe: Zeitpunkt) mit dem neuen Datenschutzrecht auseinandersetzt, kann die Umstellung noch während des laufenden Geschäftes umsetzen.
Ändert sich die grundlegende Systematik des bisherigen Datenschutzes?
Nein. Die grundsätzlichen Datenschutzprinzipien wie „Transparenz“, „Datensparsamkeit“, „Zweckbindung“, „Informationelle Selbstbestimmung“, „Recht auf Privatsphäre“ und „Verhältnismäßigkeit“ bleiben bestehen.
Allerdings wurden die bisherigen Datenschutzprinzipien innerhalb der DS-GVO konkretisiert. So wurden z.B. der Grundsatz „privacy by design“ (Datenminimierung) (siehe: privacy by design) eingeführt, die Zweckbindung konkretisiert und zusätzliche Informationspflichten (Transparenz) eingeführt.
Alle bisherigen Prozesse des Startups sollten daher (siehe: praktische Umsetzung) überprüft und ggf. angepasst werden.
Was steckt hinter dem neuen Grundsatz “privacy by design”?
Mit der DS-GVO wurde der Grundsatz „privacy by design“ eingeführt, der besagt, dass Startups den Datenschutz bereits bei der Produktentwicklung berücksichtigen müssen. So soll bereits die Erhebung von Daten beschränkt und der Grundsatz des „Datenminimalismus“ umgesetzt werden. Praktisch kann „privacy by design“ z.B. durch datensparsame Voreinstellungen im Browser oder durch die Gestaltung der Datenerhebung eines Wearables umgesetzt werden.
In welchen Fällen dürfen Daten erhoben und verarbeitet werden?
Es bleibt auch nach dem neuen Datenschutzrecht dabei, dass eine Datenverarbeitung grundsätzlich verboten ist, wenn sie nicht durch einen Erlaubnistatbestand erlaubt ist (Grundprinzip des Verbotes mit Erlaubnisvorbehalt). Erlaubnistatbestände finden sich in der DS-GVO, im BDSG (neu) oder in sonstigen Regelungen (z. B. im Telekommunikationsgesetz (TKG) oder Telemediengesetz (TMG)).
Die DS-GVO sieht folgende Erlaubnistatbestände vor:
- Einwilligung (siehe: Einwilligung) des Betroffenen
- berechtigtes Interesse an der Datenverarbeitung (wobei schutzwürdige Interessen des Betroffenen nicht entgegenstehen dürfen)
- Datenverarbeitung ist aus einem der folgenden Gründe erforderlich:
- zur Erfüllung eines Vertrags;
- für vorvertragliche Maßnahmen auf eine Anfrage hin;
- zur Erfüllung einer rechtlichen Verpflichtung des Startups;
- zum Schutz lebenswichtiger Interessen des Betroffenen oder einer anderen natürlichen Person;
- im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt.
Praktisch bedeutsam werden weiterhin die Einwilligung (siehe: Einwilligung) des Betroffenen, die berechtigten Interessen an der Datenverarbeitung sowie die Datenverarbeitung zur Vertragserfüllung sein.
Wie müssen wirksame Einwilligungen künftig gestaltet werden?
Die Anforderungen an eine informierte, freiwillige Einwilligung wurden durch das neue Datenschutzrecht erhöht. Die Erteilung der Einwilligung erfordert eine
- freiwillige
- spezifisch informierte und
- Handlung des Betroffenen.
Die Einwilligung kann schriftlich, elektronisch, mündlich oder durch eine andere eindeutige Handlung (konkludent) erteilt werden. Die bloße Untätigkeit des Betroffenen reicht hingegen nicht für eine wirksame Einwilligung.
Um eine spezifisch informierte Einwilligung erteilen zu können, muss dem Betroffenen nach der DS-GVO nun auch mitgeteilt werden, auf welche Rechtsgrundlage (siehe: Erlaubnistatbestände) die jeweilige Datenverarbeitung gestützt ist und wer die für die Datenverarbeitung verantwortliche Stelle (in der Regel das Startup selbst) ist.
Eine Handlung des Betroffenen umfasst im Onlinebereich z.B. das Anklicken einer Check-Box (sog. Opt-in) oder die Auswahl technischer Einstellungen im Browser oder auf der Website des Startups selbst. Keine Einwilligung ist daher bei vorangekreuzten Check-Boxen oder Untätigkeit des Betroffenen gegeben. Da jedes Startup verpflichtet ist, die Einhaltung der Rechtmäßigkeit der Datenverarbeitung nachzuweisen, empfiehlt es sich, auch weiterhin das sog. Double-Opt-in zum Nachweis einer wirksamen Einwilligung einzusetzen.
Zudem bedarf jede einzelne Datenverarbeitung einer gesonderten Einwilligung. Eine einzige Einwilligung des Betroffenen für alle oder mehrere Datenverarbeitungen des Startups ist daher nicht möglich. Ein Betroffener kann damit nicht mehr mit einem Klick in mehrere Datenverarbeitungen wie z.B. in personalisierte Werbung, telefonische Kontaktaufnahme und Weitergabe der Daten an ein drittes Unternehmen zu Werbezwecken einwilligen.
Für den Betroffenen gibt es zudem eine Erleichterung beim Widerruf seiner Einwilligung. Jeder Betroffene kann seine Einwilligung jederzeit ohne Begründung widerrufen. Dies gilt auch für eine Datenverarbeitung zum Zwecke des Direktmarketings, insbesondere für die Profilbildung mittels Nutzerdaten. Der Widerruf muss dabei genauso einfach gestaltet sein wie die Abgabe der Einwilligung. Dies kann z.B. über einen Abmeldelink im Newsletter oder eine einfache Check-Box erfolgen.
Können einmal erhobene Daten zu jedem Zweck weiterverarbeitet werden?
Daten dürfen grundsätzlich nur zu dem Zweck verarbeitet werden, zu dem sie auch erhoben wurden (sog. Zweckbindungsgrundsatz, siehe: Systematik). Dieser Zweckbindungsgrundsatz ist auch in der DS-GVO vorhanden. Eine Weiterverarbeitung zu anderen als den ursprünglichen Zwecken ist laut DS-GVO nur möglich, wenn die Weiterverarbeitung mit dem ursprünglichen Zweck vereinbar ist. Anhaltspunkte für eine Vereinbarkeit können sein:
- jede mögliche Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung,
- der Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,
- die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten verarbeitet werden,
- die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen,
- das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann (vgl. Art. 6 Abs. 4 DS-GVO).
Wie können besonders sensible Daten (z.B. Gesundheitsdaten) verarbeitet werden?
Sensible Daten wie „rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung“ sind als besondere Kategorien personenbezogener Daten besonders geschützt. Ihre Verarbeitung ist grundsätzlich verboten, wenn nicht eine Einwilligung oder ein sonstiger Erlaubnistatbestand (siehe: Erlaubnistatbestände) vorliegt.
Im Gegensatz zur Einwilligung (siehe: Einwilligung) in die Verarbeitung sonstiger personenbezogener Daten (siehe: Geschäftstätigkeit) bedarf die Einwilligung in die Verarbeitung von besonderen Kategorien personenbezogener Daten einer ausdrücklichen Erklärung des Betroffenen. Eine konkludente Einwilligung ist daher im Gegensatz zur Einwilligung in die Verarbeitung von sonstigen personenbezogenen Daten rechtlich nicht möglich.
Die ausdrückliche Einwilligung kann sowohl schriftlich als auch elektronisch oder mündlich erteilt werden. Für den elektronischen Bereich, wie z.B. bei Plattformen, ist daher eine Einwilligung per Checkbox (Opt-in) erforderlich. Da der Nutzer in den konkreten Anwendungsfall einwilligen muss und in der Lage sein soll, eine informierte Entscheidung zu treffen, sollte die Checkbox mit einem Begleittext versehen werden, der über die verarbeitende Stelle sowie die Art und den Zweck der Datenverarbeitung Auskunft erteilt. Zudem muss im Begleittext ausdrücklich darauf hingewiesen werden, dass der Betroffene in die Verarbeitung von sensiblen personenbezogenen Daten einwilligt.
Die Einwilligung muss erfolgen:
- eindeutig
- ohne Zwang
- bezogen auf einen konkreten Anwendungsfall
- in Kenntnis der Sachlage
Weitere Ausführungen zum Umgang mit Gesundheitsdaten findet ihr in unserem #StartupTrend: Datenschutzrechtliche Grenzen für Digital-Health-Startups – Anforderungen der neuen EU Datenschutzgrundverordnung
Was ändert sich beim Einsatz von externen Dienstleistern?
Fast jedes Startup bedient sich im operativen Geschäft externer Dienstleister, z.B. bei der Wartung von IT-Systemen, dem Versand von Newslettern, dem Rechnungsversand oder der Buchhaltung. Bisher konnte die Weitergabe der Daten und die Verarbeitung der personenbezogenen Daten durch den Dienstleister mittels der sog. Auftragsdatenverarbeitung datenschutzkonform erfolgen.
Die bisherigen Standardverträge mit den Dienstleistern genügen jedoch den Mindestanforderungen des neuen Art. 28 DS-GVO nicht mehr, sodass sämtliche bestehenden Verträge gesichtet, geprüft, ggfs. angepasst und neu abgeschlossen werden müssen.
Zudem treffen den Dienstleister mit der DS-GVO neue Pflichten wie z.B. eigene Dokumentationspflichten und neue Haftungsrisiken wie die Haftung bei Datenpannen direkt gegenüber dem Betroffenen oder der direkten Verantwortung gegenüber der Aufsichtsbehörde (siehe: Sanktionen).
Können Startups weiterhin Daten in Drittstaaten (wie die USA) übermitteln?
Mit der DS-GVO ändert sich die Übertragung von Daten in Drittstaaten nicht. Auch weiterhin können Einwilligungen (siehe: Einwilligung), Verträge, Standardvertragsklauseln und Binding Corporate Rules zur Legitimation einer Datenübermittlung in ein Drittland genutzt werden.
Die DS-GVO führt zudem noch weitere Legitimationsmöglichkeiten wie die Zertifizierung und Codes of Conduct ein. Deutsche Startups können Daten in die USA zudem weiterhin auf Basis des Privacy Shield Abkommens übermitteln.
Was hat es mit dem neuen Betroffenenrecht auf Datenübertragung an einen Dritten auf sich?
Mit der DS-GVO wurde ein neues Betroffenenrecht für Betroffene eingeführt. Diese dürfen nun von einem Startup verlangen, dass die gespeicherten personenbezogenen Daten auf einen anderen Dienstleister übertragen werden (siehe: Geschäftstätigkeit). Diese Regelung soll den Wechsel von einem Anbieter auf einen anderen Anbieter (z.B. bei Emaildiensten) erleichtern.
Jedes Startup sollte daher frühzeitig entsprechende technische Prozesse zur Datenübertragung einrichten, um personenbezogene Daten (siehe: Geschäftstätigkeit) im Falle einer entsprechenden Anfrage übertragen zu können.
Braucht nun jedes Startup einen Datenschutzbeauftragten?
Im Grundsatz bleibt es weiterhin dabei, dass ein Startup erst ab dem Schwellenwert von 9 mit datenschutzrechtlich relevanten Prozessen betrauten Mitarbeitern einen Datenschutzbeauftragten bestellen muss.
Von diesem Grundsatz gibt es jedoch zwei Ausnahmen. Ein Datenschutzbeauftragter ist daher nach der DS-GVO unabhängig von dem Schwellenwert von 9 Mitarbeitern zu bestellen, wenn:
- Hauptaktivität des Startups dem Umfang oder seinem Zweck nach die massenhafte, regelmäßige und systematische Beobachtung von Betroffenen erfordert
- Kerngeschäft in der massenhaften Verarbeitung sensibler Daten besteht (vgl. Art. 37 Abs. 1 DS-GVO)
Allerdings bringt die DS-GVO insoweit eine Erleichterung mit sich, als es bei Startups, die zu einem Konzern gehören, (z.B. Corporate Startups) ausreichend ist, wenn ein Konzerndatenschutzbeauftragter für alle dem Konzern angehörigen Unternehmen bestellt wurde.
Gibt es eine Meldepflicht bei Datenpannen?
Bislang waren Startups verpflichtet Datenpannen nur zu melden, wenn besonders sensible Daten (siehe: sensible Daten) wie Gesundheitsdaten oder Kontodaten betroffenen waren und eine schwerwiegende Beeinträchtigung für den Betroffenen bestand.
Diese Meldepflicht wird durch die DS-GVO ausgeweitet. So muss nun jede Datenpanne, die ein „Risiko“ für die Rechte und Pflichten der Betroffenen, darstellt innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden. Zudem muss der Betroffene selbst über die Datenpanne informiert werden, wenn diese voraussichtlich zu einem hohen Risiko für ihn führt.
Die Meldung muss folgenden Mindestanforderungen genügen:
- Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, (soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze)
- Namen und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen
- Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
- Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen
Welche Strafen drohen, wenn ein Startup die neuen Regelungen ignoriert?
Im Falle eines Datenschutzrechtsverstoßes drohen Bußgelder in Höhe von bis zu 20 Mio. EUR oder von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem welcher Betrag höher ist.
Je nach Art und Schwere des Verstoßes sind auch strafrechtliche Folgen wie die Verhängung einer Freiheitsstrafe bis zu drei Jahren oder einer Geldstrafe möglich. Neben einem möglichen Schadensersatzanspruch des von dem Verstoß betroffenen Nutzers drohen auch kostenpflichtige Abmahnungen durch einen Wettbewerber.
Du hast Interesse an detaillierten Informationen oder weitere Fragen zur neuen EU-DSGVO?
Kontaktiere gerne unsere Expertin: hier klicken.
#StartupTrend beleuchtet kurz und knapp aktuelle Entwicklungen im Startup und Venture Capital Markt und ergänzt sie um einen Überblick zu wesentlichen rechtlichen Fragestellungen.
Mehr #StartupTrends: hier klicken.