Ende der Schonfrist: In rund zwei Wochen tritt die EU-DSGOVO in Kraft, doch Start-ups hinken bei der Umsetzung hinterher. Was diese jetzt tun sollten, erklärt Niklas Veltkamp.

Mittwoch ist Kolumnentag bei WirtschaftsWoche Gründer: Heute schreibt Niklas Veltkamp, Mitglied der Geschäftsführung beim Branchenverband Bitkom und dort für Start-ups zuständig.

Gut zwei Wochen Schonfrist gibt es noch – aber ab 25. Mai muss die neue europäische Datenschutz-Grundverordnung in allen Unternehmen angewendet werden. Das betrifft den Mittelständler ebenso wie den international agierenden Großkonzern und auch jedes Start-up, das in Europa seinen Sitz hat oder hier Geschäfte macht. Sie alle müssen ihren Umgang mit personenbezogenen Daten auf den Prüfstand stellen und die Vorgaben der EU-Verordnung erfüllen. Personenbezogene Daten fallen dabei in jedem Unternehmen an, seien es nun Kundendaten oder die Daten von Interessenten oder aber Mitarbeiterdaten. Zwei Jahre Zeit hat Brüssel deshalb der Wirtschaft gegeben, alle neuen Regeln zu verstehen und anzuwenden, doch dieser Zeitraum ist nun fast vorbei. Und dann drohen Bußgelder bis zu 20 Millionen Euro oder sogar bis zu vier Prozent des weltweiten Unternehmensumsatzes.

Start-ups hinken mit Umsetzung hinterher

Für viele Start-ups ist das eine reale Gefahr. Denn die meisten sind von einer Umsetzung der DS-GVO noch ein gutes Stück entfernt. Das ist das Ergebnis einer aktuellen Studie des Digitalverbands Bitkom, für die mehr als 300 Start-ups befragt wurden. Demnach geben immerhin neun Prozent der Start-ups an, die Umsetzung bereits abgeschlossen zu haben. Und weitere 41 Prozent haben zumindest bereits erste Maßnahmen begonnen oder umgesetzt. In 32 Prozent der Start-ups ist man aber bislang gerade erst dabei, sich mit dem Thema zu beschäftigen, ohne Maßnahmen eingeleitet zu haben. Und in 15 Prozent der Start-ups sieht es noch schlechter aus: elf Prozent haben zwar von der DS-GVO gehört, aber noch nichts unternommen, drei Prozent wissen gar nichts von den neuen Regeln und ein Prozent ist zwar informiert, hat sich aber ganz bewusst entschieden, sich vorerst nicht weiter damit zu beschäftigen.

Personelle Ressourcen fehlen

Was konkret ist zu tun? Viele Unternehmen müssen erst einmal ein Verarbeitungsverzeichnis für Personendaten erstellen, das sie eigentlich schon nach alter Rechtslage hätten haben müssen. In einem solchen Verzeichnis wird aufgelistet, an welchen Stellen im Unternehmen welche Art von personenbezogenen Daten auf welcher Rechtsgrundlage erfasst werden – und an wen diese Daten innerhalb und außerhalb des Unternehmens weitergegeben werden. Außerdem müssen Unternehmen zum Beispiel Prozesse in der Produktentwicklung anpassen, um dem neuen Grundsatz des Privacy by Design gerecht zu werden. Darüber hinaus müssen sie zusätzliche Informationspflichten gegenüber Kunden berücksichtigen. In größeren Unternehmen fallen in vielen Unternehmensbereichen Daten an und werden sehr unterschiedlich gespeichert und bearbeitet. Entsprechend viele Mitarbeiter beschäftigen sich in Konzernen seit Monaten mit der DS-GVO. Aber auch in kleineren Unternehmen und natürlich auch in Start-ups müssen alle Abläufe datenschutzgrundverordnungskonform (wird bei uns im Team bereits als Unwort des Jahres 2018 gehandelt) gemacht werden. Das Problem: Gerade hier gibt es oft keine oder nur wenige Juristen und personelle Ressourcen.