Berliner Wirtschaft 9/2019

Erste Start-ups sind wegen Datenschutzverletzungen bestraft worden. Dabei gibt es eindeutige Regeln – der folgende DSGVO-Leitfaden fasst sie zusammen von Alexander Ingelheim Vorsicht beim Umgang mit Daten A ufbruchstimmung im Start-up: Das Geschäft läuft an, die Finanzierung ist geregelt, und die Mitarbeiter sind hoch- motiviert. Die Datenschutz-Grundver- ordnung – DSGVO – ist eines der letzten Themen, mit denen man sich jetzt befassen möchte. Ein Fehler, wie prominente Beispiele zeigen. So wurde das erste Bußgeld wegen Datenschutzverletzun- gen hierzulande im November 2018 dem Social- Media-Dienst Knuddels auferlegt. Ende Mai 2019 traf es N26. Wer sich die Gründerstimmung nicht durch solche Strafen und Briefe von Behörden und Anwälten verderben lassenmöchte, sollte sichmit den folgenden Fragen auseinandersetzen. Auswahl von Tools und SaaS-Lösungen Grundsätzlich sind alle Software-as-a-Ser- vice-Lösungen (SaaS) Anwendungen, die von einem externen Anbieter für Kunden zur Ver- fügung gestellt werden und von diesem als Ser- vice genutzt werden können. Bei der Auswahl sind wesentliche Kriterien zu beachten – etwa die Frage, ob personenbezogene Daten über das Tool verarbeitet werden. Personenbezogene Daten sind alle Informationen, die sich auf eine iden- tifizierte oder identifizierbare natürliche Person beziehen. In der DSGVO umfassen diese Daten unter anderem Informationen zur genetischen, geistigen, wirtschaftlichen, kulturellen und sozi- alen Identität einer Person. Ebenfalls fallen Daten darunter, die eine Zuordnung zu einer Kennung oder zu Standortdaten ermöglichen. Somit sind eindeutig auch Website-Besucher und deren IP als personenbezogene Daten zu sehen. Ohne eine explizite Einwilligung und Erklärung in der Datenschutzerklärung sollte kein neues Tool auf der Website eingebunden werden. Tools müssen datenschutzkonform sein Für die Nutzung des Tools ist es vorteilhaft, wenn dieses in der Vergangenheit nicht durch Daten- pannen und Sicherheitslücken aufgefallen ist. Zudem ist das Land der Datenverarbeitung ent- scheidend: Ist der Speicherort außerhalb der EU und etwa im US-amerikanischen Raum, sollte dieses Unternehmen im EU-U.S. Privacy Shield registriert sein. Im Tool selbst schließlich las- sen technische und organisatorische Maßnah- men (TOMs) erkennen, ob die personenbezoge- nen Daten richtig geschützt werden – etwa durch Verschlüsselung oder Pseudonymisierung. Auch die datenschutzkonforme Löschung von Daten muss durch das verwendete Tool gewähr- SERVICE | Gründerszene 60 BERLINER WIRTSCHAFT 09 | 2019