Ende der Schonfrist: In rund zwei Wochen tritt die EU-DSGOVO in Kraft, doch Start-ups hinken bei der Umsetzung hinterher. Was diese jetzt tun sollten, erklärt Niklas Veltkamp.

Mittwoch ist Kolumnentag bei WirtschaftsWoche Gründer: Heute schreibt Niklas Veltkamp, Mitglied der Geschäftsführung beim Branchenverband Bitkom und dort für Start-ups zuständig.

Gut zwei Wochen Schonfrist gibt es noch – aber ab 25. Mai muss die neue europäische Datenschutz-Grundverordnung in allen Unternehmen angewendet werden. Das betrifft den Mittelständler ebenso wie den international agierenden Großkonzern und auch jedes Start-up, das in Europa seinen Sitz hat oder hier Geschäfte macht. Sie alle müssen ihren Umgang mit personenbezogenen Daten auf den Prüfstand stellen und die Vorgaben der EU-Verordnung erfüllen. Personenbezogene Daten fallen dabei in jedem Unternehmen an, seien es nun Kundendaten oder die Daten von Interessenten oder aber Mitarbeiterdaten. Zwei Jahre Zeit hat Brüssel deshalb der Wirtschaft gegeben, alle neuen Regeln zu verstehen und anzuwenden, doch dieser Zeitraum ist nun fast vorbei. Und dann drohen Bußgelder bis zu 20 Millionen Euro oder sogar bis zu vier Prozent des weltweiten Unternehmensumsatzes.

Start-ups hinken mit Umsetzung hinterher

Für viele Start-ups ist das eine reale Gefahr. Denn die meisten sind von einer Umsetzung der DS-GVO noch ein gutes Stück entfernt. Das ist das Ergebnis einer aktuellen Studie des Digitalverbands Bitkom, für die mehr als 300 Start-ups befragt wurden. Demnach geben immerhin neun Prozent der Start-ups an, die Umsetzung bereits abgeschlossen zu haben. Und weitere 41 Prozent haben zumindest bereits erste Maßnahmen begonnen oder umgesetzt. In 32 Prozent der Start-ups ist man aber bislang gerade erst dabei, sich mit dem Thema zu beschäftigen, ohne Maßnahmen eingeleitet zu haben. Und in 15 Prozent der Start-ups sieht es noch schlechter aus: elf Prozent haben zwar von der DS-GVO gehört, aber noch nichts unternommen, drei Prozent wissen gar nichts von den neuen Regeln und ein Prozent ist zwar informiert, hat sich aber ganz bewusst entschieden, sich vorerst nicht weiter damit zu beschäftigen.

Personelle Ressourcen fehlen

Was konkret ist zu tun? Viele Unternehmen müssen erst einmal ein Verarbeitungsverzeichnis für Personendaten erstellen, das sie eigentlich schon nach alter Rechtslage hätten haben müssen. In einem solchen Verzeichnis wird aufgelistet, an welchen Stellen im Unternehmen welche Art von personenbezogenen Daten auf welcher Rechtsgrundlage erfasst werden – und an wen diese Daten innerhalb und außerhalb des Unternehmens weitergegeben werden. Außerdem müssen Unternehmen zum Beispiel Prozesse in der Produktentwicklung anpassen, um dem neuen Grundsatz des Privacy by Design gerecht zu werden. Darüber hinaus müssen sie zusätzliche Informationspflichten gegenüber Kunden berücksichtigen. In größeren Unternehmen fallen in vielen Unternehmensbereichen Daten an und werden sehr unterschiedlich gespeichert und bearbeitet. Entsprechend viele Mitarbeiter beschäftigen sich in Konzernen seit Monaten mit der DS-GVO. Aber auch in kleineren Unternehmen und natürlich auch in Start-ups müssen alle Abläufe datenschutzgrundverordnungskonform (wird bei uns im Team bereits als Unwort des Jahres 2018 gehandelt) gemacht werden. Das Problem: Gerade hier gibt es oft keine oder nur wenige Juristen und personelle Ressourcen.

Start-ups, die bislang noch gar nichts unternommen haben, werden die DS-GVO kaum noch fristgerecht umsetzen können. Doch für diese gilt ebenso wie für alle, die bislang erst einige Schritte weit gekommen sind: Wenig ist besser als nichts. Wer bei einer Prüfung vorweisen kann, dass er sich zwar spät, aber dann mit Hochdruck an die DS-GVO-Umsetzung gemacht hat, wird sicherlich eher mit einer Ermahnung statt einer empfindlichen Strafe davonkommen als jemand, der jetzt den Kopf in den Sand steckt. Einen ersten Überblick über die anstehenden Änderungen gibt auch dieses Video.

Die vier wichtigsten Schritte, die jedes Start-up angehen sollte

Sofortige Bestandsaufnahme: Wo werden welche Daten in meinem Unternehmen erfasst?

Änderungsbedarf durch die DS-GVO identifizieren: Wo muss ich z.B. Einwilligungserklärungen meiner Kunden einholen oder kann ich externe Dienstleister weiter nutzen?

Neue Konzepte der DS-GVO implementieren: Unternehmen müssen eine Datenschutz-Folgenabschätzung vornehmen und betroffene Personen – wie Kunden – dürfen künftig ihre Daten von meinem Unternehmen zu einem anderen übertragen lassen.

Im Zweifelsfall: Externe Hilfe holen. Für den Einstieg in die DS-GVO gibt es zum Beispiel einfache „Fragen und Antworten“ (FAQ), die einen ersten Überblick über die Veränderungen zur heutigen Rechtslage geben.

Aufsichtsbehörden sollten mit Augenmaß vorgehen

Auch wenn kurz vor einem solchen Stichtag die Sorgen und die Kritik überwiegen: Grundsätzlich kann ein einheitliches Datenschutzrecht innerhalb der EU auch ein Vorteil gerade für kleinere Unternehmen sein, etwa für Start-ups die ihre Dienste nicht nur in einem Mitgliedstaat wie Deutschland anbieten wollen. Bislang musste neben Sprachunterschieden auch ein oftmals sehr unterschiedliches Datenschutzrecht berücksichtigt werden.

Wichtig wird in den kommenden Monaten aber sein, dass die Aufsichtsbehörden mit Augenmaß vorgehen und den hohen Aufwand für die Verantwortlichen in den Unternehmen und die Rechtsunsicherheit berücksichtigen. Viele Details der DS-GVO sind in ihrer Anwendung noch oder allgemein unklar und vermutlich werden – leider wie so oft – auch erst einige Gerichtsurteile ergehen müssen, bis hier Klarheit herrscht. Bei der Auslegung und Anwendung des Rechts ist es unerlässlich, dass die die Ministerien auf Bundes- und Landesebene sowie die Aufsichtsbehörden die Unternehmen unterstützen. Wir brauchen schnell konstruktive, handhabbare und vor allem praxisnahe Beispiele, wie die neuen Vorschriften konkret umgesetzt werden können. Die kann etwa durch Musterverträge oder verbindliche Leitfäden geschehen, die Start-ups erklären, was sie genau tun dürfen – anstatt immer nur deutlich zu machen, was alles untersagt ist.

Vor dem Hintergrund der vielen offenen Rechtsfragen, zu denen die Aufsichtsbehörden jetzt Orientierung geben sollten und angesichts des nun auch noch geforderten europäischen Abstimmungsaufwandes, fällt schwerer als bisher ins Gewicht, dass Deutschland eine föderal organisierte Datenschutzaufsicht für die Wirtschaft hat. Die ohnehin zu knapp ausgestatteten Behörden tun sich schwer, schnelle und einheitliche Beschlüsse zu fassen. Uneinheitliche Aussagen von 17 Aufsichtsbehörden (16 Landesdatenschutzaufsichtsbehörden und die Bundesbeauftragte für Datenschutz) machen es nicht nur Start-ups schwer, zu erkennen, was das richtige Verständnis der Datenschutzvorschriften ist. Auch der Dialog der Aufsicht mit den Verbänden ist dadurch erschwert. Gelingt es den Landesbehörden nicht, dieses Problem in den Griff zu bekommen, wird man über kurz oder lang über eine Zentralisierung der Aufsicht für die Wirtschaft nachdenken müssen.

What`s next? Die Privacy-Verordnung

Während viele Unternehmen (genauso wie übrigens viele Politiker) sich gerade erst mit der DS-GVO beschäftigen, droht bereits die nächste Verschärfung: die ePrivacy-Verordnung. Das ist eine weitere EU-Verordnung, die bereits seit Anfang 2017 in der Mache ist. Sie regelt insbesondere den Bereich der Online-Kommunikation, aber auch Telekommunikationsdienste, Werbung, Machine2Machine Kommunikation werden von den Regelungen betroffen sein. Für Start-ups dürfte insbesondere der Bereich rund um das Online-Tracking relevant sein. Hier sieht die ePrivacy-Verordnung in aktuellen Entwürfen extrem restriktive Vorschriften vor, wann Onlinetracking eingesetzt werden darf. Wir sollten daher auf der Hut sein und uns gemeinsam dafür stark machen, dass die Rechtsgrundlagen der DS-GVO, die eine Datenverarbeitung erlauben, auch in der ePrivacy gelten müssen. Es kann weder im Sinne der Politik noch der Wirtschaft sein, wenn alle Unternehmen in ein bis zwei Jahren schon wieder ihre kompletten Prozesse anpassen und im schlimmsten Fall komplett umwerfen müssen.

Spielraum muss gegeben sein

Datenschutz und der verantwortungsvolle, gesetzeskonforme Umgang mit Daten ist gerade für Start-ups von entscheidender Bedeutung. Denn wer neu auf den Markt kommt, muss sich zunächst einmal Vertrauen erarbeiten. Gleichwohl benötigen gerade Tech-Startups auch die Möglichkeit, innovative, datengetriebene Geschäftsmodelle zu entwickeln. Wenn dies unmöglich werden sollte, besteht die reale Gefahr, dass sowohl Forschung als auch die Entwicklung von entsprechenden Geschäftsmodellen ins Ausland wandert. Und wir dann nur noch fertige Lösungen nutzen können – oder es eben bleiben lassen. Damit wäre aber weder Deutschland als Start-up-Nation noch den deutschen Verbrauchern gedient.