Von Beginn an gut aufgestellt – Die wichtigsten Unterlagen für den Datenschutz

von Dennis Kurpierz, Co-Founder & COO

05. August 2021

Gerade für Startups ist es oftmals eine Herausforderung, alle Unterlagen für den Datenschutz passend und aktuell zur Verfügung zu haben. Zahlreiche Anbieter:innen bieten Templates für den Datenschutz an – sowohl kostenlos, als auch kostenpflichtig. Trotzdem müssen Unternehmen zunächst herausfinden, welche Unterlagen sie benötigen, ob sie für das eigene Unternehmen passen und diese dann im Rahmen ihres Datenschutzmanagement-Systems auch sinnvoll und dem Prozess folgend verwalten.

Wer ein automatisiertes Datenschutzmanagement-System über eine Software nutzt, kann vielfach die erstellten Templates an einem Ort ablegen und managen. Bei der Datenschutzmanagement-Software von caralegal stellen wir ein Dokumentencenter zur Verfügung, damit Unternehmen die benötigten Unterlagen jederzeit schnell und in der aktuellsten Version abrufbar haben.

Welche Unterlagen für den Datenschutz benötige ich?

Natürlich lässt sich nicht pauschal sagen, welche Standardunterlagen ein Unternehmen benötigt. Dafür sind die Bedarfe je nach Größe und Geschäftsfeld einfach zu unterschiedlich.

Folgende Unterlagen für den Datenschutz wird jedoch jedes Startup über kurz oder lang benötigen:

Datenschutzerklärung: Das Erfordernis für eine Datenschutzerklärung ergibt sich aus den Informationspflichten nach Art. 13 f. DS-GVO. Danach muss das Unternehmen (als Verantwortlicher im Sinne der DS-GVO) betroffenen Personen – häufig der Kundschaft – bei Erhebung personenbezogener Daten eine Reihe von Informationen zur Verfügung stellen. Besonders häufig werden Datenschutzerklärungen für den Betrieb von Webseiten, Apps oder im direkten Kund:innenkontakt in einem Geschäft benötigt.

Auftragsverarbeitungsvertrag: Sofern ein Startup personenbezogene Daten zur Verarbeitung an Dritte weitergibt, benötigt es für diese Beziehung einen sogenannten Auftragsverarbeitungsvertrag (Art. 28 DS-GVO). In der heutzutage arbeitsteiligen Gesellschaft, ist dies eher die Regel als die Ausnahme. Sehr häufiger Anwendungsfall für den Bereich des Online-Marketing ist etwa die Nutzung der Services von Google Analytics als Auftragsverarbeiter, zur Erhebung und Auswertung von Nutzer:innendaten.

Einwilligungserklärung: Sofern personenbezogene Daten auf Basis einer Einwilligung als Rechtsgrundlage erhoben werden (Art. 6 Abs. 1 S. 1 lit. a DSGVO, Art. 7 DS-GVO), müssen Unternehmen eine solche Erklärung bei der betroffenen Person DS-GVO konform einholen und gegenüber der Aufsichtsbehörde nachweisen können. Eine Einwilligung kann immer nur für eine bestimmten Zweck erteilt werden, häufiger Anwendungsfall ist eine Einwilligung in Werbung und Marktforschung.

Vertraulichkeitserklärung der Mitarbeiter:innen: Unternehmen müssen sicherstellen, dass Mitarbeiterinnen und Mitarbeiter oder externe Dienstleistende, die Zugriff auf personenbezogene Daten haben, die Vertraulichkeit im Umgang mit diesen Daten gewährleisten. Eine Anforderung die sich aus der Rechenschaftspflicht Art. 5 Abs. 2 DS-GVO ergibt. Daher sollten diese Personen zum einen geschult werden, darüber hinaus sollte dies auch über eine Vertraulichkeitserklärung dokumentiert werden. Mitarbeiterinnen und Mitarbeiter können in caralegal Datenschutz-Schulungen absolvieren, erhalten ein allgemeingültiges Schulungszertifikat und steigern so das Bewusstsein für Datenschutz im Unternehmen.

Diese Unterlagen und potenziell weitere, sollten Unternehmen für ihre eigenen Bedürfnisse erstellen und stets auf dem aktuellen Stand halten, um Datenschutzverstöße und daraus entstehende Bußgelder zu vermeiden.

Wie erkenne ich, dass die Standardunterlagen auch aktuell und DSGVO-konform sind?

Um sicherzustellen, dass die verwendeten Unterlagen auch aktuell sind, ist die Nutzung von Unterlagen für den Datenschutz empfohlen, die mit einem Versionsdatum bzw. -verlauf arbeiten. Die DSGVO-Konformität lässt sich für den Laien meist nicht auf Anhieb erkennen. Der Markt besonders auch im Bereich Templates ist sehr weit gefächert, häufig wird werbewirksam DSGVO-Konformität versprochen. Daher sollten Unternehmen sich die Zeit nehmen, verlässliche Anbieter:innen zu suchen und vor allem bewusst sein, dass gute Standardunterlagen auch ihren Preis haben. Um Anwender:innen das Datenschutzmanagement zu erleichtern, stellt caralegal rechtlich geprüfte Inhalte mit Versionsdaten zu verfügung. Für DSGVO-Konformität sorgen die Expert:innen und Rechtsanwält:innen unserer Partnerunternehmen ISiCO Datenschutz GmbH und Schürmann Rosenthal Dreyer Rechtsanwälte.

Wer sollte die Unterlagen erstellen?

Die erste Version der jeweiligen Unterlagen kann – je nach Komplexität – in die Hände einer hierauf spezialisierten Kanzlei für IT-Recht gegeben werden. Anschließend sollten die Dokumente nur von Personen mit Datenschutz-Expertise verändert werden. In der Regel wird diese Aufgabe der oder die Datenschutzbeauftragte übernehmen. Die weitere Aufgabe ist es dann, mit den jeweiligen Fachbereichen in den Austausch zu gehen, um die Templates an deren individuellen Anforderungen anzupassen.