Bild: QDIS In der Gründungsphase läuft alles parallel. Finanzierung sichern, erste Kunden gewinnen, Angebote schreiben, Personal finden, Prozesse aufbauen. Datenschutz landet dabei schnell auf der Liste der Themen, die man später angehen will. Das ist verständlich, aber riskant. Denn ausgerechnet in der Anfangszeit werden die Weichen gestellt, die später über Aufwand, Haftungsrisiken und Vertrauen entscheiden. IRRTUM 1: „DAFÜR SIND WIR NOCH ZU KLEIN.“ Die DSGVO gilt nicht erst ab einer bestimmten Mitarbeiterzahl, nicht ab dem ersten Großkunden und auch nicht erst dann, wenn eine Behörde anfragt. Sie gilt ab dem Moment, in dem personenbezogene Daten verarbeitet werden. Das beginnt früher, als viele denken. Es fängt bereits bei Kontaktformularen, E-Mail-Adressen, Rechnungen, Bewerbungen, Angeboten, Terminkalendern oder Arbeitsverträgen an. Wer Daten verarbeitet, muss dafür eine Rechtsgrundlage haben, Betroffene informieren, Daten angemessen schützen und interne Abläufe so organisieren, dass Anfragen, Korrekturen oder Löschungen überhaupt bearbeitet werden können. Die Unternehmensgröße schützt vor diesen Pflichten nicht. Im Gegenteil, gerade kleine Unternehmen sind oft besonders anfällig, weil sie noch keine tragfähigen Strukturen aufgebaut haben. IRRTUM 2: „EINE DATENSCHUTZERKLÄRUNG AUF DER WEBSITE REICHT.“ Die Datenschutzerklärung ist sichtbar, aber sie ist nur die Oberfläche. Dahinter muss ein Unternehmen datenschutzrechtlich belastbar organisiert sein. Dazu gehören unter anderem ein Verzeichnis der Verarbeitungstätigkeiten, passende Verträge mit Dienstleistern, technisch und organisatorisch dokumentierte Schutzmaßnahmen, klare Zuständigkeiten im Unternehmen sowie funktionierende Prozesse für Auskunfts-, Berichtigungs- und Löschanfragen. Hinzu kommt die Website selbst. Wer Analyse-Tools, Karten, Videos, externe Schriftarten, Terminbuchungssysteme oder CookieDienste einbindet, verarbeitet häufig mehr Daten, als auf den ersten Blick erkennbar ist. Dann reicht ein hübsches Hinweisbanner gerade nicht aus. Es braucht eine saubere Prüfung, was tatsächlich eingesetzt wird, auf welcher Rechtsgrundlage das geschieht und ob die Einbindung so gestaltet ist, dass unnötige Risiken vermieden werden. Wer diese Grundlagen nicht früh schafft, arbeitet später unter Druck nach. Dann wird Datenschutz nicht gestaltet, sondern hektisch repariert. Das kostet Zeit, Geld und im Zweifel Nerven gegenüber Kunden, Beschäftigten und Geschäftspartnern. IRRTUM 3: „DAS PRÜFT DOCH NIEMAND.“ Doch, und zwar häufiger als viele Gründer annehmen. Nicht nur Aufsichtsbehörden stellen Fragen. Auch Auftraggeber, größere Geschäftspartner, Investoren, Plattformbetreiber und potenzielle Kunden prüfen heute deutlich genauer, wie professionell ein Unternehmen mit personenbezogenen Daten umgeht. Datenschutzfragebögen, Vertragsanlagen, Sicherheitsabfragen und Nachweise sind in vielen Branchen längst Teil des Tagesgeschäfts. Spätestens wenn ein Auskunftsersuchen nach Art. 15 DSGVO eingeht, ein Dienstleistervertrag geprüft werden soll oder ein Kunde Angaben zu technischen und organisatorischen Maßnahmen verlangt, zeigt sich, ob ein Unternehmen seine Datenflüsse im Griff hat. Wer dann nicht sagen kann, welche Daten wo verarbeitet werden, wer Zugriff hat, wie lange gespeichert wird und auf welcher Grundlage das geschieht, gerät schnell in Erklärungsnot. DATENSCHUTZBERATUNG KANN FÖRDERFÄHIG SEIN Wenig bekannt ist, dass auch Datenschutzberatung unter bestimmten Voraussetzungen förderfähig sein kann. Das BAFA fördert Unternehmensberatungen für KMU zu wirtschaftlichen, finanziellen, personellen und organisatorischen Fragen der Unternehmensführung. Darunter können je nach Einzelfall auch Beratungen fallen, die den datenschutzrechtlich sauberen Aufbau betrieblicher Strukturen unterstützen. Die aktuelle BAFA-Förderrichtlinie gilt für Anträge bis zum 31. Dezember 2026. Innerhalb dieser Laufzeit sind mehrere Beratungen möglich. In Mecklenburg-Vorpommern sind Zuschüsse von 80 Prozent der förderfähigen Beratungskosten vorgesehen, maximal 2.800 Euro. Datenschutz ist für Gründer kein Thema für später. Wer von Anfang an Zuständigkeiten klärt, Prozesse sauber aufsetzt und die wesentlichen Pflichten dokumentiert, reduziert Risiken, spart später erheblichen Aufwand und schafft Vertrauen. Genau das ist in der Gründungsphase kein Bürokratieproblem, sondern ein echter Wettbewerbsvorteil. IHRE CHECKLISTE – DAS MINIMUM AB TAG 1 Datenschutzerklärung für Website – aktuell und vollständig Cookie-Consent-Management eingerichtet Verzeichnis der Verarbeitungstätigkeiten angelegt Auftragsverarbeitungsverträge mit allen Dienstleistern Technische und organisatorische Schutzmaßnahmen dokumentiert Prozess für Betroffenenanfragen definiert Mitarbeitende geschult und auf Vertraulichkeit verpflichtet DSB-Bestellpflicht geprüft BAFA-Förderung beantragt DREI TEURE IRRTÜMER Datenschutz für Gründer Datenschutz ist kein Thema für „später“. Später ist jetzt! QDIS – DATENSCHUTZBERATUNG KUNZ MARCO KUNZ 03861 3029061 kontakt@qdis-dsb.de 18 Titelthema Wirtschaftskompass 05 | 06 | 2026
RkJQdWJsaXNoZXIy MTkyOTU0Ng==