Als wir vorhin das letzte Mal gechecked haben, war die Welt noch nicht untergegangen. Bielefeld war jedenfalls noch da. Kolja machte in seiner Kolumne vergangene Woche bereits einen Vorschlag, wie sich die DSGVO aus dem digitalen auf die nächste Party übertragen lässt. Ob Datenschutz für den Standort Europa irgendwann ein USP wird, oder eher eine neue Form der Berliner Mauer, wie Peter Thiel die Tage wetterte, müssen wir abwarten.

Nach knapp 3 Wochen wollen wir mal zurück schauen, was bisher geschah und haben euch einige hilfreiche Informationen zusammen gestellt. Ob ihr – wie einige aufgescheuchte Corporates derzeit – alle Social Media und Messenger Channels im Office verbieten solltet, wollen wir mal verneinen. Nichtsdestotrotz ist dieser Artikel eher Erfüllung unserer Chronistenpflicht und keine Rechtsberatung.

Das gute bei der DSGVO: Die Verordnung ist mit so heißer Nadel gestrickt, dass keiner sagen kann, wie genau sie um- und durchgesetzt wird. Das ist übrigens auch das schlechte daran.

Alles daran setzen, die Anforderungen zu erfüllen

Das scheint uns der beste Rat zu sein, der aktuell gegeben werden kann. Ob und in welcher Höhe bei Verstößen Bußgelder verhängt werden steht noch in den juristischen Sternen. In vielen Kommentaren lässt sich aber lesen: Wer sich nachweislich Mühe gibt, (sinnvolle) Maßnahmen ergriffen und diese auch dokumentiert hat, sollte zunächst mal nichts zu befürchten haben. Die Behörden sollen wohl eher beratende Funktion ausüben, statt willkürlich Strafen zu verhängen.

Privacy by Design & Default

Nichtsdestotrotz ist es für euch als Startups, die ihr neue Services aufbaut wichtig, Datenschutz bereits in das Produkt zu implementieren. Hier solltet ihr keine Kompromisse eingehen, die ihr hinterher wieder rückgängig machen müsst und dann doppelt Arbeit habt. Dazu gehören bsw.

  • Kundendaten müssen jederzeit gelöscht werden können
  • Es dürfen nur Daten erhoben werden, die für den Zweck wirklich erforderlich sind
  • Kunden müssen die über sie erhobenen Daten jederzeit vollständig einsehen können
  • Vertragserfüllung darf nicht von einer Einwilligung abhängig gemacht werden, die für die Erfüllung des Vertrages nicht erforderlich ist

Dokumentiert was ihr tut!

Macht ihr (hoffentlich) in eurem Code ja auch. Um eurer Rechenschaftspflicht nachzukommen, müsst ihr ein Verfahrensverzeichnis anlegen. Welche Daten, werden in welchen Prozessen zu welchen Zwecken erhoben? Liegen Verträge für Auftragsdatenverarbeitungen mit Dienstleistern vor? Welche Maßnahmen habt ihr für die Sicherheit der bei euch liegenden Daten unternommen? Wurde eine Datenschutzfolgeabschätzung erstellt, damit ihr bsw. im Falle eines Leaks oder Hacks schnell reagieren und z.B. eure User informieren könnt?

Hier geht es einerseits darum, dass ihr Kunden gegenüber darlegen könnt, was ihr mit ihren Daten macht. Aber auch gegenüber Behörden glaubhaft machen könnt, euch ernsthaft Gedanken über das Thema gemacht zu haben.

Dive Deeper

Wie gesagt, wir können euch hier keine Rechtsberatung anbieten und allgemeine „was zu tun ist“ Artikel gibt es dort draußen schon zur Genüge. Einen guten,  fachlichen Ausgangspunkt für eine tiefere Beschäftigung ist der BITKOM.

Daher hier noch einige der interessantesten Entwicklungen seit Inkrafttreten.

Artikelbild  Samuel Zeller on Unsplash