VentureNews / VentureZphere-Team

DSGVO – Was Startups beachten sollten

Die Datenschutz Grundverordnung – kurz DSGVO – tritt am 25. Mai in Kraft. Seid ihr schon auf der sicheren Seite mit euren Vorbereitungen? Wir haben euch nochmal die wichtigsten Infos und Hilfestellungen zur richtigen Umsetzung zusammengestellt.

Die Datenschutz Grundverordnung (DSGVO) tritt nach 2-Jähriger Übergangsphase am 25. Mai2018 EU-weit in Kraft. Ziel der DSGVO ist es, den Datenschutz innerhalb der EU-Mitgliedsstaaten anzugleichen und den Bürgern mehr Kontrolle und Transparenz über die Speicherung und Weiterverarbeitung ihrer Daten zu geben, sowie gleiche Wettbewerbsbedingungen für Unternehmen zu schaffen.

Für wen gilt die DSGVO?
Die neue DSGVO betrifft alle Unternehmen, die online und offline personenbezogene Daten von europäischen Bürgern sammeln. Dabei spielt weder die Größe des Unternehmens, noch das Alter und die Branche eine Rolle – die Verordnung gilt also für Facebook genauso wie für ein Startup mit 4 Mitarbeitern.

Welche Daten sind personenbezogene Daten?
Die juristische Definition von persönlichen Daten ist schwierig und daher weit gefasst. Grob gesagt sind personenbezogene Daten solche, mithilfe derer es möglich ist auf Personen zu schließen, wie bspw. Name, Geburtsdatum und E-Mail-Adresse. Aber auch IP-Adresse, Standortdaten, Steuernummer und Autokennzeichen gehören dazu.

Was ändert sich im Umgang mit Daten?
Ab dem 25. Mai gelten deutlich strengere Dokumentations- und Rechenschaftspflichten. Konkret bedeutet dies unter anderem, dass bei der Datensammlung auf eine explizite und verfolgbare Zustimmung der Nutzer geachtet werden muss (double opt-in). Unternehmen müssen also nachweisen können, dass der Nutzer seine ausdrückliche Zustimmung zur Speicherung und Weiterverarbeitung seiner Daten gegeben hat. Unternehmen müssen zudem transparent und verständlich darlegen, was mit den Daten (personen- & unternehmensbezogene Daten) passiert und für welche Zwecke diese erhoben werden. Künftig dürfen Daten nur noch zweckgebunden verwendet werden, das heißt, wenn ein Kunde etwa seine E-Mail-Adresse für einen Newsletter zur Verfügung stellt, darf diese für keine anderen Mailings oder gar Werbung verwendet werden. Neu ist zudem das Recht auf Vergessen werden und auf Löschung (Art. 17 DS-GVO). Die Nutzer können nun verlangen, dass personenbezogene Daten unverzüglich gelöscht werden.

Was ihr nun tun solltet?
Erstmal die schlechte Nachricht: Mit einer neuen Datenschutzerklärung ist es bei der DSGVO leider nicht getan (alleine das wäre aber genug Arbeit!).
Anhand der folgenden Checkliste ist die Umsetzung der DSGVO aber gar nicht mehr so kompliziert:

• Erfasst und dokumentiert all eure Datenflüsse und Datenverarbeitungsprozesse
          o Warum erhebt ihr die Daten?
          o Wie werden diese verarbeitet?
          o Und wie lange werden sie gespeichert?
• Prüft die rechtliche Grundlage eurer Datenerhebungen bzw. -verarbeitung (oder lasst sie prüfen)
• Holt die Einwilligung eurer Nutzer ein, wo sie nötig ist und falls sie euch nicht schon vorliegt (Stichwort: double opt-in!)
• Informiert Eure Nutzer über eure Datenverarbeitung, d.h. aktualisiert die Datenschutz- und Nutzungsbestimmungen eures Webauftritts
• Kontrolliert eure Verträge mit Dritten und checkt sie im Hinblick auf die DSGVO
• Last but not least: Informiert euer Team über die neuen Richtlinien und passt interne Prozesse an, so minimiert ihr das Risiko von Verstößen

Wie hoch sind die Strafen?
Bei Verstößen gegen die DSGVO drohen Strafen von bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs.

Aber mit Millionenstrafen müsst ihr nicht gleich nach der ersten Abmahnung rechnen. Wo sollen die Millionen denn auch herkommen? ;) Im Einzelfall zählt die Art, Schwere und Dauer des Verstoßes. Außerdem werden die Art, der Umfang und der Zwecks der betreffenden Verarbeitung sowie die Zahl der von der Verarbeitung betroffenen Personen und das Ausmaßes des von ihnen erlittenen Schadens betrachtet. Ebenso zählt die Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes (Art. 83 DS-GVO).

Wer´s jetzt doch nochmal genauer wissen will: hier gibt´s die DSGVO zum Nachlesen: https://dsgvo-gesetz.de/

Kontakt

VentureZphere-Team.
Vereinigung Baden-Württembergische Wertpapierbörse e.V.
Stuttgart Financial
Börsenstraße 4
70174 Stuttgart
Telefon +49 711 222 985 714
Telefax +49 711 222 985 661