Zunächst die typische Juristen-Antwort: Es kommt darauf an….
Die Startups sprießen derzeit ja förmlich aus dem Boden. Ein nicht unbedeutender Teil der neuen angeboten Webservices zielt auch darauf ab, personenbezogene Daten des Nutzers zu verarbeiten und zu nutzen (in rechtlicher Hinsicht ist schon die Speicherung auf dem Server des Startups eine “Verarbeitung”). Für jedes Startup gilt u.a. das Bundesdatenschutzgesetz (BDSG) (neben ggf. bereichsspezifischen Rechtvorschriften wie dem Telemediengesetz etc.). Das BDSG gilt für alle nichtöffentlichen Stellen, also auch Unternehmen. Ausnahmen von der Anwendung des BDSG gibt es nur dann, wenn die personenbezogenen Daten ausschließlich für persönliche oder familiäre Tätigkeiten erhoben und verarbeitet werden. Dieser Ausnahmefall trifft für Startups aber eben nicht zu. Es wird ja in der Regel ein Dienst für Dritte angeboten.
Welche Folgen ergeben sich nun durch die Verpflichtung, das BDSG einzuhalten? Für einen nicht unbedeutenden Teil der Startups führt die Anwendung des BDSG dazu, dass die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten besteht. Dies betrifft insbesondere die Startups, die z.B. sehr persönliche Daten von Nutzern oder ggf. sogar Dritten verarbeiten. Man denke da nur an die neuen Stammbaum-Webservices wie verwandt.de und FamilyOne oder auch paulsmama, bei denen Daten von Verwandschaftsverhältnissen des Nutzers und auch Dritten (die ggf. gar nichts davon wissen, dass ihre Daten dort gespeichert sind) gespeichert werden. Bei einem Teil dieser Daten wird es sich um sog. Daten handeln, die besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen (vgl. § 4d Abs. 5 BDSG). Entscheidend ist in diesem Zusammenhang die Fragestellung, was passieren kann, wenn die Daten (z.B. durch einen Fehler im IT-System oder eine fehlerhafte Programmierung oder Absicherung) in die Hände (unbefugter) Dritter gelangen. Und bei familiären Daten wird man da schon ein entsprechendes Risiko annehmen müssen.
Dies hat die rechtliche Konsequenz, dass diese Unternehmen einen betrieblichen Datenschutzbeauftragten bestellen müssen. Das mögen andere Juristen ggf. anders sein. Als Datenschutzrechtler bin ich jedoch der Auffassung, dass ein betrieblicher Datenschutzbeauftragter in diesen Fällen bestellt werden muss. Und was ist mit den Anderen?
Einige Startups, die noch klein sind, und keine personenbezogenen Daten verarbeiten, die eine hohe Schutzbedürftigkeit haben, werden keinen Datenschutzbeauftragten bestellen müssen. Ob ein Unternehmen einen Datenschutzbeauftragten haben muss, ergibt sich aus § 4f BDSG. Danach gilt erst einmal der Grundsatz, dass jedes Unternehmen, das personenbezogene Daten automatisiert verarbeitet (dazu reicht schon die Nutzung eines E-Mail-Clients aus), einen Datenschutzbeauftragten schriftlich zu bestellen hat. Eine Ausnahme für Startups im Web-/Tech-Bereich gibt es nur, wenn nicht mehr als neun Personen bei dem Unternehmen beschäftigt sind (Aushilfskräfte zählen voll. Auch Geschäftsführer werden mitgerechnet. Es zählen aber nur die Personen, die automatisiert personenbezogene Daten verarbeiten; das liegt – wie gesagt – schon vor, wenn ein E-Mail-Client genutzt wird). Wenn in einem Startup also 10 Leute arbeiten (und z.B. alle einen E-Mail-Client nutzen), dann besteht die Pflicht, einen Datenschutzbeauftragten zu bestellen.
Wenn weniger als 10 Leute im Startup arbeiten, dann besteht trotz der eben genannten Ausnahmeregelung auch dann eine Pflicht, einen Datenschutzbeauftragten zu bestellen, wenn Daten verarbeiten werden, die einer Vorabkontrolle unterliegen. Das sind die Verarbeitungen von Daten, die besondere Risiken für die Betroffenen aufweisen. Ein entsprechendes Risiko liegt zumindest immer dann vor, wenn sog. sensitive Daten (§ 3 Abs. 9 BDSG) gespeichert (oder sonstwie erhoben, verarbeitet oder genutzt) werden. Das sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Außerdem liegt immer ein entsprechendes Risiko dann vor, wenn die Datenverarbeitung dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten. So wäre z.B. das eBay-Bewertungssystem ein besonderes Risko oder das sog. Scoring-Verfahren der SCHUFA.
Wenn ein Startup also Daten verarbeitet, die zu den o.g. Kategorien gehören oder eben besondere Risiken darstellen, dann ist es ebenfalls in der Pflicht, einen Datenschutzbeauftragten zu bestellen, selbst wenn weniger als 10 Personen im Unternehmen arbeiten.
Einen Datenschutzbeauftragten zu bestellen ist jedoch nicht nur “lästig”, sondern macht auch Sinn. Es hat vor allem aber einen nicht zu unterschätzenden Nutzen, der darin besteht, dass die sog. Meldepflicht entfällt. Nach § 4d BDSG muss nämlich normalerweise jedes Verfahren, mit dem personenbezogene Daten automatisiert verarbeitet werden, vor der Inbetriebnahme bei der zuständigen Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich gemeldet werden. Das entfällt, wenn ein Datenschutzbeauftragter bestellt ist.
Wer kann Datenschutzbeauftragter werden? Nicht jeder. Denn zum Datenschutzbeauftragten darf nach § 4f Abs. 2 BDSG nur bestellt werden, wer die erforderliche Fachkunde (1.) und Zuverlässigkeit (2.) besitzt.
1. Fachkunde:
Der Datenschutzbeauftragte muss insbesondere über genügend rechtliche Kenntnisse (insbesondere im Bereich des Datenschutzrechts) verfügen. Die erwirbt man aber eben nicht einmal auf die Schnelle. Ferner müssen hinreichende technische Kenntnisse und auch organisatorische Kenntnisse über das Unternehmen vorhanden sein.
2. Zuverlässigkeit:
Dieser Punkt ist vor allem dahingehend relevant, dass es nicht zulässig ist, z.B. einen Geschäftsführer oder den Leiter der IT-Abteilung zum Datenschutzbeauftragten zu bestellen. Dies wäre ein klarer Interessenkonflikt (und ein Fall der sog. In-Sich-Kontrolle).
Also….was ist den Startups zu raten? Wenn ihr jemanden im Unternehmen hat, der über ausbaufähige rechtliche Kenntnisse verfügt (technische Kenntnis sind ja regelmäßig vorhanden), dann wäre es ggf. im Wege einer Fortbildung möglich, die entsprechende Fachkunde zu erwerben und diese Person zum Datenschutzbeauftragten zu bestellen. Meist fehlt es dann aber trotzdem an der praktischen Kenntnis, die nach dem Gesetz erforderlichen Aufgaben tatsächlich durchzuführen.
In vielen Fällen macht es allerdings mehr Sinn, einen externen Datenschutzbeauftragten zu bestellen. Es gibt zahlreiche Dienstleister in der Republik in diesem Bereich, leider aber auch sehr viele schwarze Schafe. Also sucht die Person sorgsam aus.
Natürlich übernehme auch ich solche Tätigkeiten. Ich bin externer Datenschutzbeauftragter mehrerer Unternehmen. Außerdem coache ich betriebliche Datenschutzbeauftragte oder solche, die es werden wollen, bei der Erfüllung ihrer Aufgaben (insbesondere in den ersten Monaten). Ich bin “beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein anerkannter Sachverständiger für IT-Produkte (rechtlich)”. Um dort akkreditiert zu werden, sind umfassende Kenntnisse im Datenschutzrecht nachzuweisen. Als Sachverständiger begutachte ich insbesondere IT-Produkte, die das in Deutschland einzige staatlich vergebene Datenschutzgütesiegel erhalten wollen. Mit der “Fachkunde” besteht bei mir daher kein Problem 
Im Zuge der Nachfrage nach rechtlicher Beratung im Startup-Bereich werde ich auch hier in Kürze ein Pauschalpaket anbieten, das neben der sonstigen Beratung im IT-Recht auch die datenschutzrechtliche Beratung des betrieblichen Datenschutzbeauftragten oder die Übernahme der Tätigkeit des externen betrieblichen Datenschutzbeauftragten beinhaltet. An der Preisgestaltung wird derzeit gearbeitet. Sie soll insbesondere auf den Startup-Bereich angepasst sein. Denn im Vergleich zu einem mittelständischen Unternehmen (mit Betriebsrat etc.), mit Zeiterfassungssystemen, SAP, komplexen Buchhaltungssystemen etc. ist auch der Aufwand für die Übernehmer der Tätigkeit des externen Datenschutzbeauftragten für Startups i.d.R. wesentlich geringer, was sich in der Preisgestaltung niederschlagen wird. Also…..stay tuned. Wer jetzt schon Interesse an einer solchen Tätigkeit hat, kann sich gerne persönlich per Mail bei mir melden (sh [at] say-ho.com).
Und was passiert, wenn ich keinen Datenschutzbeauftragten bestelle, obwohl ich muss? Nun ja…rein rechtlich betrachtet stellt dies eine Ordnungswidrigkeit dar (§ 43 Abs. 1 Nr. 2 BDSG). Ordnungswidrigkeiten können mit Geldbußen geahndet werden. In der Praxis kommt dies jedoch eher selten vor, wenn man sich nicht ganz unkooperativ verhält. Wenn man aber irgendwann (z.B. durch die Beschwerde eines Users bei der Aufsichtsbehörde) Kontakt mit der Aufsichtsbehörde bekommt, wird oft dazu aufgefordert, den Datenschutzbeauftragten zu benennen, damit mit diesem die Kommunikation erfolgen kann. Spätestens dann wird man ggf. aufgefordert, endlich seinen Verpflichtungen nachzukommen.
Die weiteren konkreten Aufgaben eines Datenschutzbeauftragten hier darzustellen, würde allerdings den Rahmen dieses Beitrages hier sprengen. Vielleicht später einmal…
Datenschutz ist nicht immer einfach….aber besser machbar, als manche befürchten.