Datenschutz für Existenzgründer - Wettbewerbsvorteil für Startups

Wer meint, Datenschutz sei nur ein Thema für etablierte Firmen, der täuscht sich gewaltig. Denn gerade Startups stehen aufgrund ihrer Tätigkeit im "Internet" oft im Fokus der Datenschutzbehörden und vor allem auch der Nutzer. Besonders für Gründer ist es nicht nur wichtig, das Thema Datenschutz und IT-Sicherheit von Anfang an zu beachten, sondern auch vorteilhaft. Gerade in der Startphase ist es wesentlich einfacher, Datenschutz und IT-Sicherheit in die Prozesse einzubinden als zu einem späteren Zeitpunkt.

Denn in der Startphase ist die Implementierung häufig noch mit einem sehr geringen Aufwand und überschaubarem Budget realisierbar, da noch keine festgefahrenen Prozesse bestehen, die geändert werden müssen - was gegebenenfalls viele IT-Ressourcen bindet. Startups sollten sich daher schon in der Startphase mit Fachberatern für Datenschutz und IT-Sicherheit zusammensetzen und klären, wie sie beides in ihre Systeme und Prozesse integrieren können.

Zunächst sollte etwa geklärt werden, wer auf welche Daten zugreifen kann, welche Kundendaten von wem abgerufen werden können oder wie Profiling-Maßnahmen datenschutzkonform umzusetzen sind. Die wichtigste Entscheidung ist, sich für den Datenschutz zu entscheiden und aktiv umzusetzen. Datenschutz ist dann kein Hemmschuh, sondern führt zu transparenten Datenflüssen und Prozessen.

Von den Usern abgestraft

Datenschutz ist in vielen Bereichen eines Unternehmens wichtig. Angefangen bei den Kundendaten, der Zusammenarbeit mit Dienstleistern, beim Einsatz von Cookies, dem Profiling und dem gesamten Bereich Online-Marketing. Oft können sich besonders Startups noch nicht vorstellen, welchen Imageschaden es bedeutet, wenn ein Datenschutzvorfall an die Öffentlichkeit gelangt.

Beispielsweise Online-Shops: Ohne Kundenvertrauen und einem sicheren Umgang mit Daten, könnten Sie überhaupt nicht erfolgreich auf dem Markt agieren. Zudem werden immer mehr Themen rund um den Datenschutz in den Medien diskutiert, wodurch nicht zuletzt die Sensibilität auf Kundenseite zunimmt. Dies bedeutet: Wer sich nicht datenschutzkonform verhält, wird von den Usern abgestraft.

Wer den Datenschutz beachtet, erlangt daher auch einen oft unterschätzten Vorteil im Wettbewerb, weil Kundenvertrauen entsteht. Das ist gerade für junge Firmen sehr wichtig. Wenn plötzlich bekannt wird, dass sich das Unternehmen im Umgang mit personenbezogenen Daten nicht gesetzeskonform verhält, dann entstehen schnell große Imageschäden und das gerade gewonnene Kundenvertrauen geht verloren. Auch der verantwortungslose Umgang mit Mitarbeiterdaten kann einen großen Imageschaden nach sich ziehen, der sich nur schwer beheben lässt.

Darüber hinaus können Geschäftsführer mit einem regelkonformen Datenschutz das eigene Haftungsrisiko einfach minimieren. Denn der Geschäftsführer einer GmbH haftet beispielsweise für einen Gesetzesverstoß im Bereich Datenschutz mit seinem Privatvermögen - und zwar unbegrenzt.

Europaweite Standards

Bisher basieren die teilweise sehr unterschiedlich ausgestalteten Datenschutzgesetze der EU-Mitgliedsstaaten weitgehend auf einer EU-Richtlinie aus dem Jahre 1995. Die Europäische Kommission unternimmt nun den Versuch, den Datenschutz europaweit einheitlich zu regeln und gleichzeitig internationale Standards zu setzen, die einseitige Wettbewerbsvorteile für Unternehmen außerhalb der EU aufheben sollen. Die geplante EU-Verordnung würde unmittelbar in der gesamten Europäischen Union gelten, da Verordnungen - anders als Richtlinien - nicht gesondert in nationales Recht umgesetzt werden müssen.

Bisher galt bei deutschen Startups oft die Devise: "Warum sollte ich mich um Datenschutz kümmern, das kostet Geld und die internationalen, großen Startups wie Facebook machen das doch auch nicht." Dabei wird oft übersehen, dass diese Unternehmen ihren Sitz meist in den USA haben und damit nicht dem (strengen) deutschen Datenschutzrecht unterliegen. Mit der EU-Datenschutzverordnung wird sich hier jedoch einiges ändern.

Denn Ziel der EU-Datenschutzverordnung soll es unter anderem sein, dass amerikanische Unternehmen ihre Leistungen in Europa nicht mehr ungeachtet der europäischen Datenschutzgesetze anbieten können. Zeit, für diese Unternehmen auch im Bereich Datenschutz aufzurüsten, um weiterhin auf dem wichtigen europäischen Markt erfolgreich zu sein.

Was auf Startups zukommt

Nach dem ersten Entwurf wäre zum Beispiel das Nutzen von Cookies und anderen Technologien zur Bildung von Nutzungsprofilen nur noch erschwert möglich. Denn der Gesetzesentwurf qualifiziert jedes mittelbare Datum als personenbezogenes Datum. Damit bekämen alle Daten, die in Cookies gespeichert sind, Personenbezug. Das Verwenden von Cookies wäre demnach nur nach expliziter Einwilligung des Nutzers möglich. Zudem wird Scoring, Profiling und Data Mining erheblich erschwert bis fast unmöglich.

Im Bereich Online-Marketing wäre bald wohl immer eine ausdrückliche Einwilligung (Opt-In-Verfahren) einzuholen. "Einfache" Einwilligungserklärungen im Rahmen von Datenschutzerklärungen etc. wären nicht mehr möglich. Gerade das Online-Marketing ist zumindest für Internet-Startups ganz entscheidend, um die Zielgruppe zu erreichen und am Ende mit den Umsätzen wachsen zu können. Dies wird durch die EU-Datenschutzverordnung sehr eingeschränkt und nur mit expliziter Einwilligung des Kunden möglich sein. Werbung wird somit "stupider", und es können weniger User erreicht werden.

Deutsche Unternehmen, insbesondere Startups tun gut daran, dieses Thema genau jetzt in ihre Businessmodelle zu integrieren, um in Zukunft gerade gegenüber amerikanischen Unternehmen einen Wettbewerbsvorteil zu erlangen. Es ist fatal für deutsche Unternehmen, wie wenig informiert sie bisher sind, da der Datenschutz gerade für alle E-Businessmodelle immer stärkere Relevanz bekommt. Auch im Hinblick auf das notwendige Kundenvertrauen sollte das Thema nicht unterschätzt werden, denn auch immer mehr Verbraucher, insbesondere in Europa, schauen auf den Datenschutz und den Umgang der Unternehmen mit ihren Daten.

Bei Verstößen drohen massive Sanktionen

Die Bußgelder bei Datenschutzverstößen können in Extremfällen Schäden in Millionenhöhe nach sich ziehen. Mit der neuen EU-Datenschutzverordnung will die EU noch schärfer gegen Datenschutzverstöße vorgehen, um die Unternehmen anzuhalten, den Datenschutz mehr zu beachten. Demnach sollen Unternehmen künftig bis zu zwei Prozent ihres Weltumsatzes als Bußgeld zahlen, wenn sie gegen den Datenschutz versto-ßen. Die deutlich verschärften Bestimmungen gehen hier noch weit über das ohnehin strenge deutsche Bundesdatenschutzgesetz hinaus.

Praxis: Google-Analytics und Facebook-Like ohne Datenschutzrisiko

Der Unternehmenswert setzt sich insbesondere bei Startups aus den immateriellen Werten wie etwa Kunden-, Lieferanten- und Mitarbeiterdaten sowie das spezifische Know-how zusammen. Wenn Daten in die falschen Hände geraten - sei es durch Hacker, sei es durch einen unachtsamen Umgang - entsteht ein sehr großer Imageschaden für das Unternehmen. Besonders schwer wiegt dabei der Verlust des Kundenvertrauens. Laut einer Studie kündigen 20 Prozent der User ihren Account nach einem Datenschutzvorfall, 40 Prozent denken darüber nach. Das bedeutet für die meisten Startups den endgültigen Ruin.

Die Autorin

Kathrin Schürmann - Die Rechtsanwältin berät Unternehmen schwerpunktmäßig in Fragen des IT- und Datenschutzrechts sowie des Wettbewerbsrechts. Ein besonderer Fokus liegt dabei auf Unternehmen im Bereich E-Business. Seit 2010 ist sie Beraterin der ISiCO Datenschutz GmbH und als externe Datenschutzbeauftragte unter anderem für einen großen Onlinehändler und deren Tochter?rmen tätig.