Die datenschutzrechtlichen Regelungen sind für eine Vielzahl von Unternehmen und Behörden auch vier Jahre nach Anwendungsbeginn der Datenschutz-Grundverordnung (DS-GVO) noch mit einem nicht zu vernachlässigendem Umsetzungsaufwand verbunden. Zusätzlich finden sich an zahlreichen Stellen Diskussionen über die Sinnhaftigkeit der hiesigen Anforderungen, teilweise wird Datenschutz als Innovationsbremse oder Verhinderer der Digitalisierung bezeichnet. Inmitten dieses Umfelds: in der Gründung befindliche Unternehmen mit innovativen Geschäftsideen und -modellen – Startups. Aus welchen Gründen es empfehlenswert ist, trotz des schlechten Rufs des Datenschutzes, diesen von Beginn an angemessen zu berücksichtigen und in die wachsenden Prozesse einzubinden, zeigen wir im nachfolgenden Beitrag.
Datenschutz als Wettbewerbsvorteil
Insbesondere sofern Produkte oder Dienstleistungen gegenüber anderen Unternehmen angeboten werden sollen, kann eine frühzeitige datenschutzrechtliche Betrachtung und datenschutzkonforme Umsetzung einen entscheidenden Wettbewerbsvorteil gegenüber weiteren Unternehmen mit ähnlichen Produkten oder Dienstleistungen darstellen.
Werden im Rahmen des Produktes oder der Dienstleistung beispielsweise personenbezogene Daten im Auftrag des jeweiligen Kunden verarbeitet, handelt es sich um eine Auftragsverarbeitung im Sinne des Art. 28 DS-GVO. Gemäß Art. 28 Abs. 1 DS-GVO ist der Kunde bereits vor Einsatz eines Produktes oder Inanspruchnahme einer Dienstleistung verpflichtet, eine Überprüfung durchzuführen, ob hinreichende Garantien dafür bestehen, „dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen [der DS-GVO] erfolgt und den Schutz der Rechte der betroffenen Personen gewährleistet.“ Fällt eine solche Überprüfung negativ aus, darf der potenzielle Kunde die Produkte oder Dienstleistungen nicht in Anspruch nehmen.
Aber auch hinsichtlich der bestehenden rechtlichen Problematik im Zusammenhang mit der Übermittlung personenbezogener Daten in datenschutzrechtliche Drittländer kann ein hierzu bestehendes Problembewusstsein für ein Hervorstechen des eigenen Produkts oder der eigenen Dienstleistung sorgen: Innerhalb der Europäischen Union werden zunehmend insbesondere die Folgen der Abhängigkeit von US-amerikanischen IT-Unternehmen spürbar. Gelingt es einem Startup, im Rahmen des eigenen Produkts oder der eigenen Dienstleistung auf einen Rückgriff auf derartige Unternehmen zu verzichten, können die potenziellen Kunden die in diesem Zusammenhang bestehenden rechtlichen Unsicherheiten vermeiden. Auch die Praxis der datenschutzrechtlichen Aufsichtsbehörden zeigt, dass bei gleichwertigen Produkten und Dienstleistungen, der datenschutzfreundlicheren Alternative, beispielsweise derer ohne Drittland-Problematik, der Vorzug zu gewähren ist.
Mehr Menschen erreichen
Doch auch wenn sich das Produkt oder die Dienstleistung direkt an Endverbraucher richtet, kann durch eine datenschutzfreundliche Ausgestaltung womöglich eine größere Zielgruppe erreicht werden. Teilweise wird der Anteil derer, für welche datenschutzrechtliche Belange im Rahmen einer Kaufentscheidung Berücksichtigung finden, massiv unterschätzt. Betrachtet man beispielweise das Deloitte-Papier „Automotive Data Treasure – Fahrzeugdigitalisierung und die Frage nach dem Datenschutz“ aus dem Jahr 2017, ergibt sich hieraus, dass 64% der Befragten angeben, Datenschutz stelle für Sie ein Kaufkriterium dar. Eine ähnliche Umfrage von IBM aus dem Jahr 2018 erzielte hierbei sogar einen Anteil von 73% der Befragten. Darüber hinaus gaben sogar 75% der Befragten an, sie würden unabhängig von der Qualität des Produktes auf den Kauf verzichten, wenn sie nicht auch deren Datenschutz vertrauen könnten.
Diese Zahlen zeigen deutlich, dass auch bei einem Großteil der Endverbrauchern Anforderungen an die Datenschutzkonformität von Produkten bestehen. Weiterhin ist hierzulande seit einigen Jahren eine zunehmende Sensibilisierung der Menschen zu beobachten, wobei die Akzeptanz datenschutzwidriger Datenverarbeitungen, Prozesse und Geschäftsmodelle (leicht) sinkt. Aus den jährlich durch die Aufsichtsbehörden des Bundes und der Länder zu veröffentlichenden Tätigkeitsberichten ist regelmäßig zu entnehmen, dass die Zahlen der Beschwerden betroffener Personen sowie der gemeldeten Datenschutzverletzungen stetig steigen.
Risikominimierung durch Datenschutz
Insoweit dient eine ganzheitliche Betrachtung der datenschutzrechtlichen Anforderungen bereits zu Beginn der Geschäftstätigkeit im eigenen Interesse ebenfalls einer Risikominimierung hinsichtlich der Gefahr aufsichtsbehördlicher Maßnahmen. Schließlich hat nach Art. 77 DS-GVO „jede betroffene Person […] das Recht auf Beschwerde bei einer Aufsichtsbehörde […], wenn die betroffene Person der Ansicht ist, dass die Verarbeitung […] gegen diese Verordnung verstößt.“ Das heißt, grundsätzlich steht allen Nutzenden des Produktes oder Dienstleistungen, hinsichtlich der Internetseite sogar sämtlichen Besuchenden, ein Beschwerderecht zu, sofern diese auch nur der Ansicht sind, der Verantwortliche verstoße gegen datenschutzrechtliche Bestimmungen.
Allein aus dem hieraus erwachsenden Risiko sollte vermehrt eine Betrachtung der datenschutzrechtlichen Aspekte erfolgen. Alternativ ist von einer hohen Risikobereitschaft auszugehen. Unter Berücksichtigung der Sanktionsmöglichkeiten der Aufsichtsbehörden, einschließlich der Möglichkeit zur Untersagung ganzer Datenverarbeitungen, kann dies jedoch kaum den Zielen eines aufstrebenden Unternehmens entsprechen. Weiterhin dürften etwaige Bußgelder, auch wenn diese bei kleineren Unternehmen und Einzelpersonen geringer ausfallen sollten, nicht im Budgetplan enthalten sein. Ein weiteres, nicht zu unterschätzendes finanzielles Risiko stellen zudem Schadenersatzforderungen aufgrund datenschutzrechtlicher Verstöße dar.
Auf Wachstum vorbereitet sein
Begründeter Weise kann der bisherigen Betrachtung entgegengestellt werden, dass die Implementierung datenschutzkonformer Prozesse ebenfalls mit einem erhöhten finanziellen und zeitlichen Aufwand einhergeht. Einerseits sind datenschutzfreundlichere Anwendungen und Systeme zumeist kostenpflichtig, sodass insbesondere in der Gründungsphase zulasten des Datenschutzes auf kostenfreie Alternativen zurückgegriffen wird. Andererseits bedarf es zusätzlich der datenschutzrechtlichen Expertise, welche im Regelfall ebenfalls von extern eingekauft werden muss. In diesem Zusammenhang sollte durch die Unternehmen geprüft werden, ob im Rahmen einer Gründungsfinanzierung ebenfalls eine externe datenschutzrechtliche Beratung bezuschusst werden kann. Bereits in den vergangenen Jahren wurden von öffentlichen Stellen oftmals derartige finanzielle Mittel bereitgestellt, die von den Anspruchsberechtigten jedoch nur unzureichend genutzt wurden.
Auch wenn es für Unternehmen in der Gründungsphase in der Regel einen erhöhten Aufwand darstellt, datenschutzrechtliche Anforderungen bereits von Beginn an umzusetzen, nehmen diese mit zunehmender Etablierung auf dem Markt und wachsendem Kundenstamm weiter zu. Kann in der Wachstumsphase auf bereits bestehende datenschutzrechtliche Strukturen aufgebaut werden, stellt das einen erheblichen Vorteil dar. Alternativ müssten bereits bestehende Prozesse und Abläufe nun erneut überdacht und grundlegend datenschutzkonform ausgestaltet werden. Denn mit zunehmendem Wachstum nimmt auch das Risiko für etwaige Sanktionen bei Missachtung datenschutzrechtlicher Regularien zu. Weiterhin steigt mit dem erwirtschafteten Umsatz entsprechend der Regelungen des Art. 83 DS-GVO die Höhe des potenziellen Bußgeldes.
Fazit
Die Betrachtung zeigt, dass es nicht nur sinnvoll, sondern auch besonders empfehlenswert ist, datenschutzrechtliche Anforderungen von Beginn an angemessen zu berücksichtigen und erforderliche Prozesse zu etablieren. Auf der einen Seite sichert dies bereits in einer frühen Phase den Fortbestand und die Entwicklungsmöglichkeiten des Startups durch die Vermeidung etwaiger Sanktionen, auf der anderen Seite kann hierdurch unter Umständen ebenfalls ein Wettbewerbsvorteil entstehen. Gern können Sie für eine datenschutzrechtliche Beratung einschließlich Fragen zu etwaigen Förderungsmöglichkeiten auf uns zukommen!
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.