Ein Beitrag der Rechtsanwälte Frank Bongers und Karsten Krupna von Esche Schümann Commichau, Hamburg.
Datenschutzfragen stehen für viele Startups nicht ganz oben auf der Prioritätenliste. Gerade aber, wenn die Verarbeitung personenbezogener Daten zum Geschäftsmodell gehört, ist das Datenschutzrecht elementar. Dazu zählt, ob das Startup einen betrieblichen Datenschutzbeauftragten bestellen muss oder freiwillig bestellt.
Bestellung eines Datenschutzbeauftragten – muss das sein?
Verarbeiten in einem Startup mehr als neun Personen regelmäßig personenbezogene Daten, muss nach dem Bundesdatenschutzgesetz ein betrieblicher Datenschutzbeauftragter bestellt werden. Personenbezogene Daten sind alle Information über eine konkrete Person. An die regelmäßige Verarbeitung und den Umfang werden keine hohen Anforderungen gestellt. Es wird zum Beispiel schon jede Person mitgezählt werden müssen, die für das Startup per E-Mail, in sozialen Netzwerken oder auf andere Weise digital kommuniziert.
Eine Bestellungspflicht kommt aber auch bei weniger als zehn datenverarbeitenden Personen in Betracht, wenn das Startup beispielsweise mit personenbezogenen Daten handelt, Persönlichkeits- oder Verhaltensprofile erstellt oder besonders sensible Daten – wie etwa Gesundheitsdaten – verarbeitet.
Welche Aufgaben hat der Datenschutzbeauftragte?
Der betriebliche Datenschutzbeauftragte hat die Aufgabe, auf die Einhaltung des Datenschutzrechts hinzuwirken. Er ist unmittelbar der Geschäftsleitung unterstellt, aber bei seiner Meinungsbildung zu datenschutzrechtlichen Themen weisungsfrei. Außerdem zählt es zu den Aufgaben des betrieblichen Datenschutzbeauftragten, die für das Unternehmen tätigen Personen mit den Vorschriften des Datenschutzes vertraut zu machen.
Welche Vorteile bringt ein Datenschutzbeauftragter?
Wer keinen Datenschutzbeauftragen bestellen muss, kann dies freiwillig tun. Dies ist zwar mit Kosten verbunden, hat aber auch Vorteile. Der Datenschutzbeauftragte signalisiert eine professionelle Organisation des Datenschutzes – in der Tech-Szene kann das entscheidend sein. Man schafft so Vertrauen bei Kunden, Investoren und Kooperationspartnern.
Wer personenbezogene Daten für andere verarbeitet, wird eher von Dritten beauftragt, wenn er einen betrieblichen Datenschutzbeauftragten bestellt hat. Denn: Viele Auftraggeber sehen das zwingend in ihren Verträgen vor.
Schließlich hat jedes Startup ein Interesse an der Datenschutz-Compliance, auf die ein Datenschutzbeauftragter hinwirkt. Verstöße gegen Datenschutzbestimmungen können zu Bußgeldern führen oder sogar Straftatbestände verwirklichen. Spätestens, wenn die Höchstgrenzen der Bußgelder von derzeit 300.000 Euro für jeden Einzelfall durch die künftige Datenschutzgrundverordnung auf 20 Millionen Euro angehoben werden, wird offensichtlich, dass Datenschutz-Compliance nicht mehr nur „nice to have“ ist, sondern ein Kernelement der Unternehmensführung ist.
Wer kann zum Datenschutzbeauftragten bestellt werden?
Ein Datenschutzbeauftragter muss nach dem Bundesdatenschutzgesetz zuverlässig sein und über die erforderliche Fachkunde verfügen. Die Zuverlässigkeit liegt beispielsweise nicht vor, wenn der betriebliche Datenschutzbeauftragte aufgrund seiner übrigen Tätigkeit in Interessenkonflikte gelangen würde. Dies wäre etwa der Fall, wenn der Datenschutzbeauftragte sich gleichzeitig um die IT oder das Personal kümmert. Dann müsste er sich gewissermaßen selbst überwachen. Deshalb kann auch die Geschäftsleitung nicht selbst die Aufgabe des Datenschutzbeauftragten übernehmen.
Bestellt werden kann ein Arbeitnehmer des Startups, aber auch ein Externer. Für die Bestellung eines eigenen Arbeitnehmers spricht unter Umständen dessen Kenntnis des Unternehmens. Auf der anderen Seite müsste in Interner – anders als ein professioneller externer Anbieter – mit nicht unerheblichen Aufwand in Datenschutzfragen aus- und fortgebildet werden.
Zudem ist zu beachten, dass ein eigener Arbeitnehmer mit der Bestellung zum betrieblichen Datenschutzbeauftragten einen arbeitsrechtlichen Kündigungsschutz erhält. Eine Kündigung des Arbeitsverhältnisses wäre dann nur noch aus wichtigem Grund möglich. Dieser Kündigungsschutz wirkt auch noch ein Jahr nach dem Ende der Bestellung im Arbeitsverhältnis nach, wobei dem Datenschutzbeauftragten selbst die Bestellung (also seine Aufgabe als Datenschutzbeauftragter) nur entzogen werden kann, wenn er seine Pflichten als Datenschutzbeauftrater schwer verletzt.
Gegebenenfalls bietet die sorgfältige Gestaltung einer befristeten Bestellung eine Möglichkeit, die Dauer des Kündigungsschutzes zu begrenzen. Entscheidet sich das Startup für den internen Datenschutzbeauftragten, sollte diese Aufgabe (sowie die Möglichkeit, diese Aufgabe wieder entziehen zu können) im Arbeitsvertrag geregelt werden.
Fazit
Spätestens, sobald zehn Personen personenbezogene Daten für das Startup digital verarbeiten, ist ein betrieblicher Datenschutzbeauftrater zu bestellen. Aber auch eine freiwillige Bestellung bringt Vorteile. Wer Datenschutz-Compliance sicherstellt, schafft Vertrauen bei Kunden, Investoren und Kooperationspartnern. Datenschutzbeauftragter kann ein eigener Mitarbeiter oder ein externer Dienstleister sein, wobei gerade in der Anfangsphase eines Startups sich eher ein Externer anbietet, damit gemessen an dem Tätigkeitsbedarf kein unverhältnismäßig hoher Aus- und Fortbildungsbedarf entsteht und gegebenenfalls Kündigungsschutz vermieden wird.
