Datenschutz in deinem Start-up
Unsere Top Ten des Datenschutzes zeigen dir, was du laut DSGVO (Datenschutz Grundverordnung) und BDSG (Bundesdatengesetz) für dein Start-up unbedingt beachten solltest.
1. Datenschutz ist Chefsache! (Verantwortlicher)
Der Chef des Unternehmens ist der “Verantwortliche” für die Datenverarbeitung und die
Einhaltung des Datenschutzes in seinem Unternehmen. Er haftet im Falle einer Datenschutzpanne.
2. Datenschutzbeauftragter
Einhaltung des Datenschutzes in seinem Unternehmen. Er haftet im Falle einer Datenschutzpanne.
2. Datenschutzbeauftragter
Auch wenn Datenschutz Chefsache ist: Hat ein Unternehmen mehr als 20 Mitarbeiter, die schwerpunktmäßig konstant automatisiert Daten verarbeiten, braucht es einen Datenschutzbeauftragten. Dieser muss offiziell bestellt und dem Bayerischen Landesamt für Datenschutzaufsicht gemeldet werden – und zwar hier. Trifft dies für dein Start-up noch nicht zu, dann kannst du trotzdem freiwillig einen Datenschutzbeauftragten benennen.
3. Verzeichnis von Verarbeitungstätigkeiten
3. Verzeichnis von Verarbeitungstätigkeiten
Klingt sperrig, ist in der Praxis aber einfach eine Liste: Nahezu jedes Unternehmen ist verpflichtet ein solches Verzeichnis zu führen. Darin führst du auf, welche personen- bezogenen Daten deiner Kunden und Mitarbeiter du zu welchem Zweck verarbeitest. Verarbeitungstätigkeiten sind z.B. die Lohn- und Gehaltsabrechnung, Werbemaßnahmen zur Kundengewinnung und -bindung und der Betrieb einer Webseite. Du kannst das Verzeichnis in Papierform oder elektronisch führen. Offenlegen musst du es nur dem Bayerischen Landesamt für Datenschutzaufsicht (Bay.LdA).
Tipp: Das BayLdA stellt auf seiner Webseite Branchen-Muster-Verzeichnisse zur Verfügung.
4. Informationspflichten
Du willst personenbezogene Daten von deinen Kunden oder Mitarbeitern abfragen und speichern? Dann musst du die Betroffenen darüber informieren, wie die Daten in deinem Unternehmen verarbeitet werden. Entweder, indem du diese Infos auf deiner Website bereitstellst oder in einem Beiblatt veröffentlichst.
Wie du dabei am besten vorgehst, erfährst du in diesem Leitfaden (nicht barrierefrei, PDF-Datei · 542 KB).
5. Rechte deiner Mitarbeiter und Kunden
Personen, deren Daten erfasst und verarbeitet werden, haben fünf Rechte, die du ihnen einräumen musst - und zwar: Das Recht
- auf Auskunft,
- Auf Löschung oder Berichtigung der Daten,
- auf Einschränkung der Verarbeitung und
- Beschwerde beim Bayerischen Landesamt für Datenschutzaufsicht.
6. Auftragsverarbeitung
Manchmal wirst du für dein Start-up auch Dienstleister beauftragen, die für dich personenbezogene Daten von Kunden und Mitarbeiter erfassen. Zum Beispiel wenn du ein Mailing über einen Lettershop versenden lässt und dafür Werbeadressen zur Verfügung stellst. Oder wenn du deine Backup-Sicherheitsspeicherung auslagerst. In diesem Fall liegt eine sogenannte Auftragsverarbeitung vor, für die du unbedingt einen Auftragsverarbeitungsvertrag in schriftlicher oder elektronischer Form abschließen musst.
Hier findest du ein Beispiel.
7. Werbung
Anmailen, anrufen, anschreiben – was ist beim Werben erlaubt? Grundsätzlich gilt: Briefwerbung ist für Unternehmen auch ohne Einwilligung des Adressaten erlaubt.
Wenn du deine Kunden über E-Mail oder Telefon erreichen möchtest, musst du dagegen im Vorfeld deren Einverständnis einholen. Die Datenschutzkonferenz (DSK) hat hierzu eine Orientierungshilfe (nicht barrierefrei, PDF-Datei · 464 KB) veröffentlicht.
Wenn du deine Kunden über E-Mail oder Telefon erreichen möchtest, musst du dagegen im Vorfeld deren Einverständnis einholen. Die Datenschutzkonferenz (DSK) hat hierzu eine Orientierungshilfe (nicht barrierefrei, PDF-Datei · 464 KB) veröffentlicht.
8. Datenschutzverletzungen
Wenn sich in Deinem Unternehmen eine Datenpanne ereignet, z.B. der Fehlversand einer E-Mail oder ein Hackerangriff, musst du innerhalb von 72 Stunden handeln. Feiertage oder das Wochenende zählen mit.
Außerdem bist du gesetzlich verpflichtet, den Vorfall beim BayLDA hier als Datenpanne zu melden.
9. Datensicherheit – technische und organisatorische Maßnahmen
Um die Daten deiner Kunden und Mitarbeiter zu schützen, sind bestimmte Sicherheitsmaßnahmen zu ergreifen. In der Regel genügen bei kleineren Unternehmen Standardmaßnahmen, wie z.B. der Einsatz aktueller Betriebssysteme, Passwortschutz an den Arbeitsplätzen und regelmäßige Backups. Damit Unbefugte nicht an die schutzwürdigen Daten herankommen, sind Datenbanken besonders abzusichern.
10. Homeoffice
Die Vorgaben des Datenschutzes gelten auch für Mitarbeiter im Homeoffice. Du solltest sicher stellen, dass. Unbefugte z.B. keine Telefongespräche mithören oder vertrauliche Firmenunterlagen nicht offen herumliegen.
Hier (nicht barrierefrei, PDF-Datei · 354 KB) findest Du eine Best-Practice-Liste Best Practice Homeoffice.
Du hast Fragen? Dann wende dich jederzeit gerne an Eva!
Die Informationen und Auskünfte der IHK Schwaben enthalten nur erste Hinweise und erheben daher keinen Anspruch auf Vollständigkeit. Obwohl sie mit größtmöglicher Sorgfalt erstellt wurden, kann eine Haftung für ihre inhaltliche Richtigkeit nicht übernommen werden. Sie können eine Beratung im Einzelfall (z. B. durch einen Rechtsanwalt, Steuerberater, Unternehmensberater etc.) nicht ersetzen.