• Gründer müssen sich schon in der Seeding-Phase mit dem Datenschutz vertraut machen.
  • Die frühzeitige Benennung eines Datenschutzbeauftragten ist in jedem Fall ratsam – unabhängig davon, ob Sie dazu gesetzlich verpflichtet sind.
  • Um die gesetzlichen Anforderungen umzusetzen, dokumentieren Sie Ihre Arbeitsprozesse.
  • Achten Sie darauf, dass auch Ihre IT von Anfang an datenschutzkonform eingerichtet ist.
  • Wenn Sie eigene Produkte wie Apps oder Online-Shops entwickeln, müssen Sie der Grundregel „Privacy by Design“ folgen.
  • Internationale Expansion bringt neue und komplexe Herausforderungen im Datenschutz mit sich. Holen Sie sich das entsprechende Know-how ins Boot.
  • Suchen Sie nach einem Datenschutz-Dienstleister, der Ihnen in den unterschiedlichen Unternehmensphasen die passende Expertise bietet.

In diesem Beitrag

Die Gründung von Unternehmen gleicht zuweilen einer Phase jugendlichen Übermuts: Ideen gibt es im Überfluss, und plötzlich erwachen auch die Kräfte, diese in die Tat umzusetzen. Dass vermeintlich lästige Themen wie der Datenschutz von Start-ups zunächst beiseitegeschoben werden, erscheint da nur natürlich. Doch Unachtsamkeit am Anfang kann sich rächen. Umgekehrt profitiert auf lange Sicht, wer schon zu Beginn an den Datenschutz denkt.

Datenschutz für Start-ups: Grundsätzliche Überlegungen

Einen Welpenschutz für Start-ups gibt es nicht. Der Datenschutz betrifft neue und kleine Unternehmen genauso wie große, etablierte. Er greift, sobald es zu einer Erhebung personenbezogener Daten kommt. Da jedes Unternehmen Kunden und Mitarbeiter hat und zumeist auch Dienstleister und Lieferanten im Spiel sind, ist eine unternehmerische Tätigkeit ohne Datenschutzaspekt schlicht nicht vorstellbar.

Kurz gesagt: Jeder, der am Markt teilnimmt, muss von Anfang an die Datenschutz-Grundverordnung (DSGVO) beachten. Anfängliche Versäumnisse erfordern später aufwendige Anpassungsprozesse, können hohe Bußgelder bedeuten und im Extremfall die gesamte Unternehmenstätigkeit gefährden.

Teil 1: Datenschutz in der Gründungsphase

Planung: Was ist beim Datenschutz schon vor der Gründung zu beachten?

Das Unternehmen muss von Anfang an datenschutzkonform mit den Daten umgehen, die es von Kunden, Beschäftigten und Lieferanten bekommt – am besten schon in der Seeding-Phase. Gerade Gründer von Tech-Start-ups erliegen oft einem Trugschluss: Es reicht nämlich nicht, eine sichere IT mit hohem technischen Standard zu haben. Auch in den Prozessen und der Organisation ist der Datenschutz umzusetzen.


Checkliste: So agieren Unternehmen von Anfang an im Sinne des Datenschutzes:

  • Im ersten Schritt sollte sich jedes Gründerteam Basiskompetenzen zum Datenschutz aneignen. Es ist wichtig zu verstehen, dass es sich beim Datenschutz um ein Grundrecht der Kunden, Mitarbeiter und Geschäftspartner handelt.
  • Schon während der Planung und Entwicklung zahlt es sich aus, die unternehmerischen Prozesse zu dokumentieren und dabei die Erhebung, Speicherung, Nutzung und Löschung personenbezogener Daten besonders im Auge zu behalten.
  • Sobald das Unternehmen als Organisation konkretere Formen annimmt, stellen sich weitere Fragen in Bezug auf die Arbeitsprozesse der Mitwirkenden:
    • Wie wird in Vertrieb, Personalwesen, Finanzen, Einkauf und IT mit personenbezogenen Daten gearbeitet?
    • Wie werden Daten zwischen den Mitarbeitern ausgetauscht?
    • Welche Arbeitsgeräte werden genutzt? Nutzen Mitarbeiter z. B. private Rechner und Smart Devices für die Kommunikation?
    • Wird im Homeoffice gearbeitet und gibt es für diesen Fall ein VPN?
    • Spielen Cloud-Dienste eine Rolle?
  • Auch eine Website wird oft schon vor der Gründung gelauncht und bringt eigene Datenschutz-Problematiken mit sich:
    • Wurde eine rechtssichere Datenschutzerklärung erstellt?
    • Werden Cookies rechtskonform eingesetzt?
    • Wird der Datenschutz bei der Kundenkommunikation über die Website befolgt?


Kundengewinnung: Dürfen Start-ups Kaltakquise betreiben?

Da die Gewinnung erster Kunden für die meisten Start-ups so wichtig ist, laufen viele Vertriebsaktivitäten schon frühzeitig an. Bei der Kaltakquise, die für Start-ups höchst attraktiv ist, müssen sie die Vorschriften des §7 UWG (Gesetz gegen den unlauteren Wettbewerb) einhalten. Denn: Der kontaktierte Marktteilnehmer darf nicht in unzumutbarer Weise belästigt werden. Darüber hinaus benötigt das Start-up für die Erhebung von persönlichen Daten meist die explizite Einwilligung der Kunden.

Der Datenschutzbeauftragte: Braucht mein Start-up einen?

Die DSGVO schreibt die Benennung eines Datenschutzbeauftragten grundsätzlich erst vor, wenn mindestens 20 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind. Werden aber sensible Daten mit dem Ziel verarbeitet, z. B. Bonitäts- oder Gesundheitsprofile zu erstellen, dann entfällt diese Grenze. Solche Start-ups benötigen also grundsätzlich immer einen Datenschutzbeauftragten

Welche Risiken herrschen in der Finanz- und Gesundheitsbranche?

Nehmen wir an, einem HealthCare-Start-up kommen Patientendaten abhanden. Oder einem Fintech-Unternehmen werden Konto- und Finanzdaten seiner Kunden entwendet. Wenn solche hochsensiblen Daten in falsche Hände gelangen, kann es ihre Urheber stark kompromittieren. Daher müssen Firmen im Finanz- und Gesundheitssektor ein besonders hohes Datenschutz-Niveau gewährleisten. Ein Datenschutzbeauftragter leistet hier wertvolle Hilfe. 

Unterm Strich ist die frühzeitige Benennung eines Datenschutzbeauftragten ratsam. Denn die Vorschriften der DSGVO sind unbedingt zu beachten. Das Unternehmen braucht also in jedem Fall datenschutzrechtliche Kompetenzen, um haftungsrechtlichen Risiken und Bußgeldern aus dem Weg zu gehen.

Teil 2: Das Unternehmen wächst – die Growth-Phase

Welche Anforderungen an den Datenschutz kommen mit dem Unternehmenswachstum dazu?

Eine wachsende Organisation bringt die folgenden neuen Aspekte mit sich:

  • Mitarbeiter- und Bewerberdaten: Sobald das Personalwesen einsetzt, werden auch hier Daten erfasst und verarbeitet, die ausreichend geschützt werden müssen. Das betrifft übrigens nicht nur die Daten von Bewerbern und aktuellen Mitarbeitern: Auch die Daten von Mitarbeitern, die aus dem Unternehmen ausscheiden, unterliegen dem Datenschutz und sind rechtzeitig nach Austritt zu löschen.
  • Spätestens ab einer Anzahl von 20 Mitarbeitern, die ständig mit personenbezogenen Daten zu tun haben, ist die Benennung eines Datenschutzbeauftragten verpflichtend. Hier kommt entweder ein interner Mitarbeiter oder ein externer Anbieter infrage, wobei letzterer in der Regel die günstigere Variante ist.
  • Mit dem Wachsen der Organisation gibt es in der Regel auch weitere neue Prozesse mit Datenschutz-Relevanz. Diese müssen strukturiert werden und in die erweiterte Prozessdokumentation aufgenommen werden.

Können Fehler aus der Gründungsphase noch ausgebügelt werden?

Schwer zu beheben sind vor allem frühe Versäumnisse beim technischen Datenschutz. Nehmen wir  z. B. ein Start-up, das schon vor der Gründung den Prototyp einer App entwickelt hat, die personenbezogene Daten erfassen kann. Dabei wurden die Datenschutz-Aspekte bei der Entwicklung nicht bzw. nur unzureichend beachtet. Laut dem Datenschutz-Grundsatz Privacy by Design muss das Produkt aber so gestaltet sein, dass der Datenschutz bereits in den Grundeinstellungen umgesetzt wird.

Wird nun der Prototyp zum Kern des marktfähigen Produkts, dann nimmt das Unternehmen die Datenschutz-Problematik mit in die Wachstumsphase und steht früher oder später vor der Frage: nachbessern oder neu entwickeln? Mangelnder Datenschutz im Produkt sollte also von Anfang an verhindert werden.

Weitere datenschutzrechtliche Probleme aus der Gründungsphase betreffen Software und Hardware. Die lokale Speicherung personengebundener Daten auf einem PC oder Laptop entzieht diese Daten der regelmäßigen Löschung und kann zu Problemen führen, wenn die Geräte später verkauft oder entsorgt werden sollen. Hier ist ein prüfender Blick durch die Datenschutzbrille unabdingbar.

Teil 3: Datenschutz in der Expansionsphase

Was müssen Start-ups bei der internationalen Expansion beachten?

Besonders digitale Unternehmen, die erfolgreich auf ihrem Heimatmarkt gestartet sind, streben schnell nach neuen internationalen Märkten. Eine solche Expansion wirkt sich auch auf den Datenschutz aus. Das Start-up muss die Vorschriften der DSGVO auch auf die neuen Länder ausdehnen und sich zugleich mit den örtlichen Gegebenheiten befassen. Daraus entstehen komplexe rechtliche Fragen, für die die Kompetenz des Unternehmens oft nicht ausreicht.

Junge Unternehmen trifft bei der Datenweitergabe an Drittländer der gleiche Umfang an Verpflichtungen wie etablierte internationale Konzerne. Für ihre Tochtergesellschaften in Drittländern benötigen Start-ups z. B. Standardvertragsklauseln zum Datenschutz.

Ähnlich gelagert ist das Thema Datenhosting, das bei einer wachsenden Nutzerbasis schnell zu einem der größten Kostentreiber werden kann. Große Anbieter von weltweiten Cloudservices locken mit deutlich niedrigeren Preisen als Anbieter, deren Server in der EU stehen. Die DSGVO knüpft aber die Speicherung personenbezogener Daten außerhalb der EU an strenge Vorgaben.

Was passiert, wenn jetzt gravierende Fehler sichtbar werden?

Spätestens wenn externe Geldgeber oder Großkunden angesprochen werden, kommt das Thema Datenschutz auf den Tisch. Das Start-up muss klar und lückenlos seine DSGVO-Konformität belegen können. Werden Lücken und Versäumnisse erkennbar, verzögert sich oft durch langwierige und teure Nachbesserungen der Vertragsschluss. Oft steht auch das ganze Geschäft infrage.

Nehmen wir als Beispiel ein etabliertes Großunternehmen aus der Gesundheits- oder Chemiebranche, das seine Innovationsfähigkeit erweitern sowie neue Märkte und Kundensegmente erschließen möchte. Zu diesem Zweck möchte es ein Start-up akquirieren. Dabei spielt auch der Erwerb von Kundendaten eine wichtige Rolle.

Der Kaufkandidat wird nun u. a. auf Datenschutzfragen hin geprüft. Wenn aber Patientendaten nicht im Einklang mit der DSGVO erhoben und verarbeitet wurden, sind sie für den Kaufinteressenten eher nicht verwendbar. Sie bergen sogar das Risiko, dass sich das Großunternehmen durch die Rechtsverstöße des Start-ups selbst „infiziert“ und strafbar macht. Damit das Start-up die Due-Diligence-Prüfung besteht, muss es von Anfang an datenschutzrechtlich konform handeln.

Welche Chancen bietet der Datenschutz Gründern?

Versäumnisse im Datenschutz führen zu unkalkulierbaren Risiken für Unternehmen. Wenn ein hohes Datenschutzniveau von Anfang an umgesetzt wird, entstehen aber strategische Vorteile:

  • Kunden erwarten heute einen korrekten und transparenten Umgang mit ihren Daten. Guter Datenschutz kann dadurch zum Marketing-Argument werden.
  • In der Zusammenarbeit mit großen Firmen wird durch eine gut verlaufene Überprüfung beim Datenschutz viel Vertrauen aufgebaut bis hin zur Ausweitung der Umsätze.
  • Bei Unternehmenskäufen oder dem Einstieg von Investoren entfällt der Datenschutz als Stolperstein und als Verzögerungsfaktor.

Fazit: Was bringt guter Datenschutz Start-ups unterm Strich?

Das Thema Datenschutz mag jungen Unternehmen zunächst als große Hürde erscheinen. Wenn es Start-ups aber gelingt, ein hohes Datenschutz-Niveau zu realisieren, dann überwiegen später die Vorteile bei Weitem. Denn eine gut umgesetzte DSGVO-Konformität vermeidet Risiken und eröffnet Start-ups Chancen bei Kunden, Partnern und Investoren.

Dabei wird Datenschutz-Kompetenz in allen Phasen der Unternehmensentwicklung gefordert. In der Seeding-Phase geht es vor allem um technischen Datenschutz in Form einer sicheren IT und um ein Produkt-Design, das den Datenschutz berücksichtigt. Im weiteren Verlauf wird die Beratung an die individuellen Prozesse des Unternehmens angepasst. Gute Datenschutz-Anbieter unterstützen Start-ups bei der lückenlosen Umsetzung des Datenschutzes – und das in jeder Phase auf dem Weg zum Erfolg.

Neue Beiträge die Sie interessieren könnten

Das Recht auf Vergessenwerden: Was steckt dahinter und funktioniert es wirklich?

Das Wichtigste in Kürze

  • Mit der DS-GVO wurden die Rechte von Betroffenen gestärkt. 
  • Das Recht...
Weiterlesen

Keine Daten mehr ins EU-Ausland: Was bedeutet das EuGH-Urteil Schrems II für Anwältinnen und Anwälte?

Das sogenannte Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) markiert eine Zäsur im...

Weiterlesen

Aktuelle Trends zu Bußgeldern im europäischen Datenschutz

Weiterlesen

Keine Beiträge mehr verpassen!

Möchten Sie zu Datenschutz und Datensicherheit auf dem Laufenden bleiben? Praktische Tipps und Einladungen zu Webinaren und Online-Fragestunden erhalten Sie über unser monatliches E-Mailing.

Weitere Informationen finden Sie in unserer Datenschutzerklärung.

DataCo GmbH | Dachauer Str. 65 | D-80335 München