Datenschutz

Early-stage Tech-Unternehmen haben im Bereich Datenschutz normalerweise zwei Kerndokumente, die sie aufsetzen müssen: Eine Datenschutzerklärung und einen oder mehrere Auftragsverarbeitungsverträge.

Eine Datenschutzerklärung für eine Website ist ein Dokument, das beschreibt, wie ein Unternehmen auf seiner Website personenbezogene Daten verarbeitet. Sie muss alle relevanten Funktionen, wie Nutzung, Registrierung oder Bezahlung, abdecken und variiert je nach Website. Das Velsa Template dient als Ausgangspunkt, aber der Datenschutzexperte auf deinem Paket sollte die Erklärung individuell an die Website anpassen.

Eine Datenschutzerklärung für eine App ist ein Dokument, das beschreibt, wie ein Unternehmen auf einer App personenbezogene Daten verarbeitet. Sie muss alle relevanten Funktionen, wie Nutzung, Registrierung oder Bezahlung, abdecken und variiert je nach App. Das Velsa Template dient als Ausgangspunkt, aber der Datenschutzexperte auf deinem Paket sollte die Datenschutzerklärung individuell an die App anpassen.

Ein Auftragsverarbeitungsvertrag (AVV) regelt, wie ein Unternehmen (Auftragsverarbeiter, z.B. ein SaaS-Anbieter) im Auftrag eines anderen (Verantwortlicher, z.B. ein SaaS-Kunde) personenbezogene Daten verarbeitet. SaaS-Anbieter müssen z.B. oft mit Kunden und ggf. mit Dritt-Diensten, die der SaaS-Anbieter nutzt, AVVs abschließen. Die Pflicht, einen AVV abzuschließen, gilt aber für alle Unternehmen, die im Auftrag eines anderen personenbezogene Daten verarbeiten oder einen anderen mit einer solchen Verarbeitung beauftragen.

"Gemeinsame Verantwortliche" (englisch: "Joint Controllers") beziehen sich nach der DSGVO auf mehrere datenschutzrechtlich Verantwortliche, die gemeinsam die Zwecke und Mittel einer Datenverarbeitung festlegen. Gemeinsame Verantwortliche müssen eine datenschutzrechtliche Zusatzvereinbarung treffen, die bestimmte Details ihrer gemeinsamen Verantwortlichkeit regelt, den sog. Vertrag zur Gemeinsamen Verantwortlichkeit (englisch: Joint Controller Vereinbarung).