1 60 62 68

Berliner Wirtschaft 9/2019

leistet sein, ebenso wie die dauerhafte Vertrau- lichkeit der verarbeiteten Daten. Letztere kann beispielsweise durch ein geeignetes Berechti- gungskonzept erfolgen. Am Ende liegt die Ent- scheidungshoheit über den Einsatz neuer Tools immer beimVerantwortlichen, alsomeist bei dem Gründer oder der Geschäftsführerin. Daher kann sich derjenige auch bei einem Fehler oder Miss- brauch durch den Tool-Anbieter nicht aus der Ver- antwortung ziehen. Geheimhaltungsvereinbarung kann sinnvoll sein Geheimhaltungsvereinbarungen müssen mit niemandem geschlossen werden. Diese Verein- barungen, auch „Non Disclosure Agreements“ genannt, werden von Unternehmen aus eigenem Antrieb abgeschlossen, um Informationen wie Betriebs- und Geschäftsgeheimnisse oder auch personenbezogene Daten zu schützen. Sinnvoll ist eine Geheimhaltungsvereinbarung etwa vor der Weitergabe von sensiblen Unternehmensda- ten. Aber auch, wenn ein Unternehmen mit sen- siblen oder innovativen Themen arbeitet, sollten deren Gründer überlegen, eine Geheimhaltungs- vereinbarung mit den Mitarbeitern abzuschlie- ßen, sofern eine solche nicht bereits Bestandteil des Arbeitsvertrages ist. Außer diesen Vereinbarungen und dem rich- tigen Einsatz neuer Tools gilt es weitere, vor allem interne Aspekte zu beachten. Neben der Trans- parenz über alle Prozesse, in denen personenbe- zogene Daten verarbeitet werden, ist es wichtig, Pläne und Verantwortlichkeiten für Datenvor- fälle, Anfragen von Betroffenen und Behörden klar zu definieren. Hierfür gibt es mittlerweile einige kostengünstige und hilfreiche Soft- ware-Lösungen sowie Anbieter, die Start-ups dabei unterstützen. Regeln für den Auftragsverarbeitungsvertrag Einen Auftragsverarbeitungsvertrag, kurz AV- Vertrag, muss ein Unternehmen laut DSGVO dann abschließen, wenn es personenbezogene Daten zur Verarbeitung an Dritte weitergibt. Der Ver- trag muss zwischen demUnternehmen selbst und dem entsprechenden Dienstleister, der die Daten für den Verantwortlichen verarbeitet, geschlos- sen werden. Auch wenn das Unternehmen Daten zur Ver- arbeitung weitergibt, bleibt es Verantwortlicher im datenschutzrechtlichen Sinne – der entspre- chende Dienstleister ist damit weisungsgebunde- ner Auftragnehmer. Anders verhält es sich, wenn bei der Beauftragung mit fachlichen Dienstleis- tungen die Datenverarbeitung nicht im Vorder- grund steht, sondern nur zur Vertragsdurchfüh- rung notwendig ist: Hier ist es wahrscheinlich, dass der genannte Dienstleister auch eigener Verantwortlicher ist. Bei Unsicherheiten sollte auf jeden Fall ein Blick in den ursprünglichen Hauptvertrag, der mit demDienstleister geschlos- sen wurde, geworfen werden. Software-Zugangsdaten dürfen grundsätzlich nicht firmenintern geteilt werden. Jeder Mitar- beiter, der ein bestimmtes Tool nutzt, sollte einen eigenen Account haben. Zugänge sollten generell also immer personalisiert sein. Außerdemdürfen Passwörter mit keinemDritten geteilt werden. Für administrative Zugänge oder Fernzugänge gel- ten besondere Anforderungen, etwa hinsichtlich der Länge und Komplexität von Passwörtern. Und diese dürfen dann natürlich nicht einfach auf einem Klebezettel notiert weitergegeben, son- dern müssen sehr sicher verwahrt werden. Passwort-Management-Tools zweckmäßig Empfehlenswert ist der Einsatz geeigneter Pass- wort-Management-Tools. Diese erlauben das Sammeln und Speichern von diversen Pass- wörtern in einer zentralen Datenbank. Auch beim Offboarding von Mitarbeitern sind diese Tools sehr nützlich, da Passwörter einfach und schnell geändert beziehungsweise entzogen wer- den können. Eine Datenschutzverletzung liegt auch beim ungefragten Versenden eines Newsletters an die eigenen E-Mail-Kontakte vor. Schon eine einzige E-Mail-Adresse, die unerlaubt – zu werblichen Zwecken – genutzt wird, kann eine Abmahnung zur Folge haben. Soll ein Newsletter verschickt werden, muss vorher, sofern nicht die Ausnah- meregelung für Bestandskunden greift, immer eine Einwilligung des Empfängers vorliegen. In Deutschland funktioniert das über das DOI-Ver- fahren, das Double-Opt-in-Verfahren: Erst wenn ein Interessent in der von ihm angeforderten Bestätigungsmail den Link anklickt, dass er den Newsletter ausdrücklich wünscht, darf er einen solchen erhalten. Mit dem richtigen Wissen lassen sich also unangenehme Begegnungen mit Behörden und Anwälten vermeiden. ImZweifel sollte bei daten- schutzrechtlichen Bedenken ein Experte befragt werden. Denn Datenschutzverstöße sind keine Kavaliersdelikte und für junge Unternehmen besonders schmerzlich. ■ Alexander Ingelheim Der Autor ist zertifizierter Daten- schutzbeauftragter und Gründer von datenschutzexperte.de, einem Münchener Privacy-Tech-Unter­ nehmen mit 40 Mitarbeitern. Mit ihrem proprietären und technologiebasierten Privacy-as-a-Service- Ansatz löst die Firma das Thema Datenschutz für KMU. Beeke Schmidt IHK-Bereich Weiterbildung & Unter- nehmenssicherung Tel.: 030 / 315 10-281 beeke.schmidt@berlin. ihk.de Link zur Website der Gründerszene Die Originalversion des Textes unter: gruenderszene.de FOTOS: GETTY IMAGES/ANDRIY ONUFRIYENKO, PRIVAT 61 BERLINER WIRTSCHAFT 09 | 2019 SERVICE | Gründerszene

RkJQdWJsaXNoZXIy MzI1ODA1