Da­ten­schutz

Richtige Umsetzung von Datenschutz-Richtlinien

Oft kommen beim Geschäftsmodell von Startups Technologien wie Big Data oder Cloud Computing zum Einsatz. Und dabei werden auch personenbezogene Daten von Kunden wie auch von Mitarbeitern verarbeitet. Jede Verarbeitung solcher personenbezogener Daten muss jedoch die rechtlichen Anforderungen des Datenschutzgesetzes erfüllen, worauf in der Praxis jedoch häufig vergessen wird.

Es empfiehlt sich daher, sich möglichst früh mit dem Thema Datenschutz auseinanderzusetzen. Am Anfang geht es zunächst darum zu erheben, welche Datenanwendungen überhaupt betrieben werden. Oder anders gesagt: Welche Daten werden für welche Zwecke verarbeitet, wer sind die Betroffenen und wer soll die Daten gegebenenfalls erhalten?

Datenverarbeitung

Darauf basierend ist die Zulässigkeit der beabsichtigten Datenverarbeitung zu klären. Als Rechtsgrundlage kommt beispielsweise die Zustimmung der betroffenen Kunden in Frage. Diese ist in der Regel beim Einsatz von Webanalysewerkzeugen (Google Analytics etc.) und beim so genannten „Profiling“ von Kundendaten im Rahmen von Big Data erforderlich. Aber gegebenenfalls auch dann, wenn zur Speicherung der Daten ein Cloud-Dienstleister im Ausland (z.B. Google, Microsoft oder Amazon) ohne Genehmigung der Datenschutzbehörde herangezogen werden soll. In der Praxis – nur vage formulierte Datenschutzerklärungen auf der Webseite oder vor der Installation einer App – wird leider oftmals übersehen, dass so keine gültige Zustimmung eingeholt werden kann.

Datenanwendung

Es gibt aber auch einige Formalitäten zu beachten, um die jeweilige Datenanwendung rechtmäßig zu betreiben. So müssen Datenanwendungen im Regelfall nämlich gemeldet werden, sofern sie nicht unter eine Ausnahme fallen (zum Beispiel wenn es sich um eine „Standardanwendung“ handelt). Werden sensible Daten verarbeitet (beispielsweise Gesundheitsdaten), unterliegt eine Datenanwendung zusätzlich der Vorabkontrollpflicht durch die Datenschutzbehörde. Der Betrieb darf also erst dann aufgenommen werden, sobald die Genehmigung der Datenschutzbehörde vorliegt.

Datentransfer in eine Cloud

Cloud-Technologien ermöglichen schnell und unkompliziert die Implementierung von Webseiten und Anwendungen für das Smartphone und sparen die Errichtung einer eigenen Hard- und Softwareinfrastruktur. Cloud-Dienstleister wie Microsoft, Google oder Amazon betreiben ihre Clouds jedoch häufig im Ausland (außerhalb des EWR), womit solche Datentransfers grundsätzlich genehmigungspflichtig sind. Dies wird im Eifer der Implementierung möglichst „smarter“ Apps häufig nicht beachtet und die Daten der Kunden landen in der Cloud, ohne entsprechende Rechtsgrundlage! Darüber hinaus muss mit dem jeweiligen (Cloud-)Dienstleister ein Dienstleistervertrag abgeschlossen werden, der dem Datenschutzgesetz entspricht.

Mitarbeiterdaten

Aber auch die bereits erwähnten Mitarbeiterdaten sind ein heikles Thema. Hier ist, sofern ein Betriebsrat vorhanden, oftmals der Abschluss von Betriebsvereinbarungen notwendig – insbesondere wenn Kontrollmaßnahmen eingeführt werden sollen, die die Menschenwürde berühren (Videoüberwachung). Ist kein Betriebsrat vorhanden, ersetzt eine Zustimmung des Einzelnen die Betriebsvereinbarung bei der Einführung von Kontrollmaßnahmen.

Besonderes Augenmerk sollte auch dem Einsatz von Privatgeräten für berufliche Zwecke („Bring Your Own Device“) zukommen, der mit zahlreichen datenschutz- und arbeitsrechtlichen Herausforderungen verbunden ist.

Verwaltungsstrafen bei Missachtung

Wie wichtig Datenschutz für Start-ups ist, zeigen die möglichen Konsequenzen. So drohen bei Missachtung datenschutzrechtlicher Vorschriften empfindliche Verwaltungsstrafen (im schlimmsten Fall bis zu EUR 25.000), Schadenersatzansprüche der Betroffenen, einstweilige Verfügungen und die Untersagung des Betriebs der Datenanwendung durch die Datenschutzbehörde. Weiters können Mitbewerber auf Unterlassung und Schadenersatz aufgrund „unlauteren Wettbewerbs“ klagen, wenn sich Ihr Start-up schuldhaft über datenschutzrechtliche Vorschriften hinwegsetzt.

Wir machen Sie mit allen Aspekten des Datenschutzrechts vertraut und sind Ihnen bei der initialen Erhebung, welche Datenanwendung von Ihrem Startup überhaupt vorgenommen werden, und bei der Erörterung, ob eine Melde- oder sogar eine Vorabkontrollpflicht besteht, behilflich. Natürlich unterstützen wir Sie auch bei der Meldung der Datenanwendung und der Einholung allfälliger Genehmigungen für Datentransfers ins Ausland sowie beim Abschluss von geeigneten Dienstleisterverträgen und dem Entwurf rechtskonformer Zustimmungserklärungen. Genauso kümmern wir uns um die Prüfung, ob im Arbeitsverhältnis gesonderte Zustimmungserklärungen einzuholen sind, damit Personaldaten rechtmäßig verarbeitet werden können.

Ausblick

Lassen Sie den Datenschutz keinesfalls unbeachtet, da mit der neuen EU-Datenschutz-Grundverordnung (DSGVO) ab Mai 2018 die Strafen außerordentlich verschärft werden und dies existenzbedrohend sein könnte. Umfangreiche Informationen zur Umsetzung der DSGVO finden Sie auch unter folgenden Link: https://cms.law/en/AUT/DSGVO 

<<< zurück zu Early Stage                                                                                                     zurück zur Startseite>>>