In zahlreichen Branchen werden Minijobber gern auf Abruf beschäftigt, um die Flexibilität zu wahren. Insbesondere die Gastronomie und Saisonbetriebe profitieren von Beschäftigten, die je nach Arbeitsanfall tätig sind. Was hierbei zu beachten ist, damit aus dem Minijob nicht ungewollt eine sozialversicherungspflichtige Beschäftigung wird, erklärt Tanja Eigner, Rentenberaterin bei Ecovis in Bad Kohlgrub.

Was gilt für Arbeit auf Abruf?

Bei Arbeit auf Abruf erbringt der/die Arbeitnehmende Arbeitsleistungen, deren Umfang vom Arbeitsanfall und auf einseitige Anweisung des Arbeitgebenden beruht. Wer Minijobber*innen auf Abruf beschäftigt, muss die arbeitsrechtlichen Vorschriften beachten: Wenn im Minijob keine wöchentliche Arbeitszeit festgelegt wurde, gilt nach dem Teilzeit- und Befristungsgesetz die gesetzlich vorgeschriebene Wochenarbeitszeit von 20 Stunden.

Wann Arbeitgebende einen Phantomlohn zahlen müssen

Selbst wenn Minijobber*innen weniger als 20 Stunden gearbeitet haben, besteht dennoch für 20 Stunden am Ende des Monats ein Vergütungsanspruch (Phantomlohn). Arbeitet also ein(e) Minijobber*in auf Abruf ohne entsprechende Vereinbarung beispielsweise nur acht Stunden pro Woche, muss der Arbeitgebende dennoch 20 Stunden vergüten. Dieser Phantomlohn ist auch die Grundlage für die Berechnung der Sozialversicherungsbeiträge. Dadurch kann die Minijobgrenze schnell überschritten werden. Die Folge: Arbeitgeber*innen können ihre Arbeitnehmenden nicht mehr als Minijobber beschäftigen. Stattdessen sind sie bei der Krankenkasse als sozialversicherungspflichtig zu melden.

Die aktuelle Mindestlohngrenze

Damit das Arbeitsentgelt unterhalb der Geringfügigkeitsgrenze (556 Euro monatlich für 2025) liegt, können Arbeitgebende und Arbeitnehmende unter Zahlung des Mindestlohns maximal eine monatliche Arbeitszeit von 43,37 Stunden vereinbaren. Wöchentlich wäre dies eine Arbeitszeit von maximal zehn Stunden. Höhere Stundenlöhne bedeuten folglich eine monatlich geringere Arbeitszeit.

Worauf Arbeitgebende achten sollten

Arbeitgebenden wird daher dringend empfohlen, die Arbeitsverträge zu kontrollieren und die Dauer der täglichen und wöchentlichen Arbeitszeit schriftlich in einer Abrufvereinbarung festzuhalten. Diese muss auch eine Mindest- oder Höchstarbeitszeit enthalten. Je nach vereinbarter Grenze darf der/die Minijobber*in die Mindestarbeitszeit um nicht mehr als 25 Prozent überschreiten und die Höchstarbeitszeit um nicht mehr als 20 Prozent unterschreiten. Die Deutsche Rentenversicherung führt alle vier Jahre eine Betriebsprüfung durch. Wer die wöchentliche Arbeitszeit nicht festhält, muss möglicherweise Sozialversicherungsbeiträge nachzahlen.

Alternative: Arbeitszeitkonto

Alternativ besteht auch die Möglichkeit, ein Arbeitszeitkonto zu vereinbaren. In diesem Fall erhält der/die Arbeitnehmende ein vertraglich vereinbartes, monatlich gleichbleibendes Arbeitsentgelt. Je nach Bedarf kann der/die Minijobber*in unterschiedlich viele Stunden im Monat arbeiten und sammelt dabei Plus- oder Minusstunden auf dem Arbeitszeitkonto. Diese müssen die Minijobber*innen innerhalb eines vereinbarten Zeitraums ausgleichen. Aber auch hier sind wichtige Regelungen zu beachten. Es wird daher immer empfohlen, das Thema mit einem/einer Sozialversicherungsexpert*in zu besprechen.

In einer viel beachteten Entscheidung hat der Europäische Gerichtshof am 16. Juli 2020 das sog. EU-U.S. Privacy Shield für ungültig erklärt. Was bedeutet das in der Praxis? Nach manchen Äußerungen der Datenschutzaufsichtsbehörden müssen jetzt alle Übermittlungen personenbezogener Daten in die USA gestoppt werden. Sofort. Das wäre das Ende für die Einbindung von Google Tools, die unternehmerische Nutzung von Facebook oder auch von Service Tools wie Salesforce, Monday u.v.m. Aber ist die Lage wirklich so ernst?

Im Unternehmensalltag sind die helfenden digitalen Tools kaum noch wegzudenken, das CRM-System bis hin zur Reisebuchung oder Projektmanagement ist selbstredend digital. In den unternehmerischen Online-Angeboten sind etliche Tools von Drittanbietern eingebunden, Google analysiert die Website-Nutzung, der Facebook-Zählpixel hilft bei passgenauer Werbung und Vimeo garantiert das optimale Bewegtbild-Erlebnis.

Etliche dieser Tools werden dabei von US-Unternehmen bereitgestellt. Auf alle diese Tools hat das EuGH-Urteil vom 16. Juli 2020 daher ganz erhebliche Auswirkungen.

Warum?

Wenn ein Unternehmen personenbezogene Daten verarbeitet, muss es sicherstellen, dass das datenschutzkonform erfolgt. Dafür braucht es auf erster Stufe zunächst eine Erlaubnis, diese Daten überhaupt zu verarbeiten. Wenn die Daten den Europäischen Wirtschaftsraum verlassen (also etwa auf Servern gespeichert werden, die in den USA stehen), muss das Unternehmen auf zweiter Stufe zusätzlich noch absichern, dass in dem Zielland auch ein angemessenes Datenschutzniveau herrscht. Um diese zweite Stufe dreht sich das EuGH-Urteil.

Bisher nämlich war für die USA auf zweiter Stufe ein angemessenes Datenschutzniveau einfach nachzuweisen, wenn sich der Vertragspartner in den USA unter dem EU-U.S. Privacy Shield zertifiziert hatte. Die meisten großen Unternehmen hatten das erledigt und so konnten wir hier in der EU sehr einfach Daten auch in die USA schicken. Das geht jetzt nicht mehr so einfach. Das EU-U.S. Privacy Shield ist nach der EuGH-Entscheidung nämlich unwirksam. Es ist schlicht und einfach „weg“.

Was tun?

Unternehmen müssen auf die Suche nach einer anderen Möglichkeit gehen, ein angemessenes Datenschutzniveau auf der zweiten Stufe abzusichern (oder die Datenübermittlung sofort stoppen). Das heißt konkret:

1. Analyse: Du musst in deinem Unternehmen auf die Suche gehen, wo personenbezogene Daten in Drittländer außerhalb des Europäischen Wirtschaftsraums übermittelt werden. Das kann bei Einsatz von digitalen Tools schnell der Fall sein, wenn die Server weltweit platziert sind.

2. Prüfe dann, wie dafür das angemessene Datenschutzniveau abgesichert ist. Typische Mittel dafür sind sog. Angemessenheitsbeschlüsse der EU-Kommission wie früher das EU-U.S. Privacy Shield für die USA oder auch sog. Standardvertragsklauseln (standard contractual clauses – SCC), die von der EU-Kommission veröffentlicht wurden und oft in Data Processing Agreements einbezogen werden.

3. Bei allen Übermittlungen, die sich auf das EU-U.S. Privacy Shield stützen, musst du sofort handeln: Gibt es eine alternative Lösung für ein angemessenes Datenschutzniveau? Oft können dies Standardvertragsklauseln sein.

4. Bei allen Übermittlungen, die sich auf Standardvertragsklauseln stützen, besteht angesichts des EuGH-Urteils jetzt auch akuter Handlungsbedarf (auch außerhalb der USA):

- Die Standardvertragsklauseln müssen 1:1, so wie sie von der EU-Kommission veröffentlicht wurden, vereinbart werden.

- Du musst überprüfen, ob dein Vertragspartner die Standardvertragsklauseln auch tatsächlich einhalten kann und einhält. Diese Prüfpflicht ist so klar vom EuGH jetzt ganz neu formuliert worden und gerade für die USA wichtig: Kann dein Vertragspartner überhaupt ausschließen, dass der US-Geheimdienst auch deine Daten einsieht? Du musst hier aktiv werden und deinen Vertragspartner dokumentiert danach fragen. Notwendig wird eine kleine Due Diligence (die du auf Nachfrage auch der Aufsichtsbehörde zeigen musst).

- Ob US-Unternehmen, die elektronische Kommunikationsdienste anbieten, den Zugriff von US-Geheimdiensten unterbinden können, ist gerade ziemlich fraglich. Wenn nicht, dann können auch die Standardvertragsklauseln die Übertragung in die USA nicht retten. Helfen könnte dann im Einzelfall etwa noch eine wirksame Verschlüsselung der übertragenen Daten.

5. Denkbar sind auch noch andere Mittel, um ein angemessenes Datenschutzniveau sicherzustellen. So kann eine Verschlüsselung in Kombination mit den Standardvertragsklauseln helfen, im Einzelfall können auch Einwilligungen der Betroffenen eine taugliche Grundlage sein.

6. Findet sich kein anderes, gutes Mittel, muss die Datenübermittlung gestoppt werden und die Daten abroad müssen zurückgeholt werden. Geschieht dies nicht, drohen Beschwerden, Klagen und gar schmerzhafte Bußgelder. Die Datenschutzaufsichtsbehörden legen gerade ihren Fokus auf dieses Thema und greifen zunehmend auch zu schmerzhaft hohen Bußgeldern.

Und was bedeutet dies nun ganz konkret?

Du musst aktiv werden, US-Transfers identifizieren und entweder stoppen oder mit den US-Unternehmen gemeinsam nach alternativen Absicherungen suchen. Das höchste Bußgeldrisiko für dein Unternehmen entsteht, wenn du trotz des EuGH-Urteils „Schrems II“ und US-Datentransfers jetzt gar nichts tust.

Die Autorin Dr. Kristina Schreiber ist auf die rechtliche Begleitung von Digitalisierungsprojekten spezialisiert und Partnerin bei Loschelder Rechtsanwälte

In vielen Firmen ist der Einsatz von Fremdpersonal nicht mehr wegzudenken. So gewinnen Unternehmen Flexibilität und reduzieren Fixkosten. Das reformierte Arbeitnehmerüberlassungsgesetz (AÜG) macht das Thema zur Chefsache. Zum einen erschwert das neue AÜG den Einsatz von Leiharbeitern erheblich. Zum anderen erhöht es die Gefahr von Scheinselbständigkeit. Firmen sollten bestehende Verträge rund um Fremdpersonal kritisch prüfen und neue mit Weitblick ausgestalten. So können Unternehmen externe Kräfte trotz der verschärften Vorgaben bedenkenlos einsetzen.

Neues im Arbeitnehmerüberlassungsgesetz (AÜG)

Das neue Gesetz soll missbräuchlichen Praktiken beim Einsatz von Fremdpersonal einen Riegel vorschieben. Es regelt sowohl die Arbeitnehmerüberlassung als auch die Vermittlung und den Einsatz von Selbständigen. Ein zentraler Aspekt ist die Neuregelung der Einsatzzeiten von Leiharbeitern. Im alten AÜG war nicht klar geregelt, wie lange eine Überlassung höchstens erfolgen darf. Künftig ist die Höchstdauer auf 18 Monate limitiert. Tarifverträge oder Betriebsvereinbarungen lassen abweichend davon eine Einsatzdauer von maximal 24 Monaten zu.

Zeiträume vor dem 1. April 2017 bleiben außen vor. Personalverantwortliche sollten sich vorsichtshalber den 22. September 2018 im Kalender rot anstreichen. Dann endet bei laufenden Kontrakten erstmalig die Höchstüberlassungsdauer. Soll ein Zeitarbeiter im Anschluss im selben Unternehmen erneut zum Einsatz kommen, ist eine Unterbrechung von mehr als drei Monaten vorgeschrieben.

Vom Leiharbeiter ungewollt zum Arbeitnehmer

Werden die Zeitvorgaben nicht eingehalten, wird aus einem Leiharbeiter automatisch ein sozialversicherungspflichtiger Arbeitnehmer mit Urlaubsanspruch und Kündigungsschutz. Übersehen Unternehmen den Arbeitnehmerstatus, drohen neben hohen Lohnsteuer- und Sozialversicherungsnachzahlungen zusätzlich strafrechtliche Konsequenzen. Auch bei der Entlohnung von Zeitarbeitern müssen Entleiher aufpassen. Leiharbeitern steht spätestens nach neun Monaten das gleiche Gehalt („Equal Pay“) wie dem Stammpersonal zu. Tarifliche Sonderregelungen ermöglichen eine Einsatzzeit von bis zu 15 Monaten ohne Equal Pay.

Dazu muss der Entleiher dem Verleiher mitteilen, in welcher Höhe das vergleichbare Arbeitsentgelt zu veranschlagen ist. Bei Verstößen gegen das Equal-Pay-Gebot droht dem Verleiher ein Bußgeld, das in der Spitze 500.000 Euro betragen kann. Die Berechnung und Mitteilung des vergleichbaren Arbeitsentgeltes erfordert erhöhte Sorgfalt. Bei Fehlern kann das Zeitarbeitsunternehmen Bußgelder beim Entleiher einklagen.

Arbeitnehmer-Überlassungsvertrag

Für die Gestaltung eines Arbeitnehmer-Überlassungsvertrags (AÜV) gelten verschärfte Regeln. Der vereinbarte AÜV muss eindeutig als solcher bezeichnet und noch vor Arbeitsbeginn des Zeitarbeiters unter Dach und Fach sein. Im Vertrag darf der Name des Leiharbeiters sowie die Unterschrift des Ver- und Entleihers nicht fehlen. Bei Verstößen gegen die „Kennzeichnungs- und Konkretisierungspflicht“ kann die Arbeitsagentur gegen beiden Parteien ein Bußgeld in Höhe von bis zu 30.000 Euro verhängen. Darüber hinaus verliert der Überlassungsvertrag gegebenenfalls seine Gültigkeit und der Zeitarbeiter wird zum sozialversicherungspflichtigen Angestellten des Entleihers.

Festhaltenserklärung

Grundsätzlich bleibt ein Ausweg. Falls zwischen Entleiher und Zeitarbeiter unbeabsichtigt ein Arbeitsverhältnis entsteht, eröffnet das neue AÜG eine arbeitgeberfreundliche Lösung. Der frisch gebackene Arbeitnehmer kann innerhalb eines Monats erklären, dass er am Arbeitsvertrag mit dem Verleiher festhält (sog. Festhaltenserklärung). So vermeiden Mitarbeiter, dass sie sich wider Willen in der Rolle eines ungewollten Arbeitnehmers wiederfinden. Der Leiharbeitnehmer muss sich die Erklärung persönlich bei der Arbeitsagentur bestätigen lassen und spätestens drei Tage später beim Ver- oder Entleiher vorlegen. Firmen sollten nach einer erfolgten Festhaltenserklärung von einer Weiterführung der Überlassung absehen. Eine erneute Festhaltenserklärung wäre in jedem Fall unwirksam.

Einsatz von Freelancern

Auch beim Einsatz von Freelancern über Vermittlungsagenturen ist erhöhte Vorsicht geboten. Die Beschäftigung erfolgt auf der Grundlage eines Werk- oder Dienstvertrages zwischen dem Selbständigen und dem Einsatzunternehmen. Die Crux: Wenn Freelancer etwa über Zeit, Ort und Art ihrer Tätigkeit nicht frei entscheiden können, besteht eine Scheinselbständigkeit. Bisher konnten Vermittler im Rahmen der sog. Fallschirmlösung sich und ihre Auftraggeber vor negativen Konsequenzen schützen. Dafür sorgte eine vorsorglich beantragte Arbeitnehmerüberlassungserlaubnis. Der Dienstleister konnte so eine Scheinselbständigkeit nachträglich zur rechtmäßigen Leiharbeit umdeklarieren. Damit ist jetzt Schluss. Das neue Gesetz schließt die Fallschirmlösung grundsätzlich aus.

Der Rechtmäßigkeit bestehender und künftiger Verträge kommt damit eine enorme Bedeutung zu. Die tatsächliche Beurteilung der Beschäftigungsform hängt oft von Kleinigkeiten ab. Firmen sollten bestehende Verträge und die gelebte Einsatzpraxis kritisch unter die Lupe nehmen und gegebenenfalls nachjustieren.

Was ist das Mobilitätsbudget?

Das Mobilitätsbudget ist ein Angebot von Unternehmen für ihre Mitarbeitenden, alternative Verkehrsmitteln für privat veranlasste Reisen zu nutzen. Das Unternehmen stellt dafür einen bestimmten Betrag zur Verfügung, die Mitarbeitenden können die Verkehrsangebote je nach aktuellen Bedürfnissen, Verfügbarkeit und persönlichen Präferenzen flexibel miteinander kombinieren. Das Mobilitätsbudget ist damit eine gute Alternative zum privaten Auto oder Dienstwagen.

Was ist jetzt neu?

Im Regierungsentwurf für ein Jahressteuergesetz 2024 wurden die Rahmenbedingungen für ein Mobilitätsbudget definiert und steuerliche Anreize für dessen Nutzung geschaffen. So sollen Unternehmen die Möglichkeit erhalten, den damit verbundenen geldwerten Vorteil für Arbeitnehmende pauschal mit 25 Prozent zu versteuern. Die Regelungen zur Dienstwagenbesteuerung sollen damit nicht verändert werden.

Welche Verkehrsmittel können genutzt werden?

Unternehmen können die Angebotswahl in ihrem Mobilitätsangebot selbst bestimmen. Grundsätzlich können neben ebenfalls steuerlich geförderten Jobtickets auch Budgets für die gelegentliche Inanspruchnahme von Sharing-Angeboten wie E-Roller, Leihräder oder Carsharing-Autos, enthalten sein. Auch Einzelfahrkarten, Zeitkarten und Ermäßigungskarten für den Bus- und Bahnverkehr, also etwa der monatliche Anteil einer BahnCard, können Teil des Mobilitätsbudgets sein.

Was fällt nicht unter das Mobilitätsbudget?

Die dauerhafte und nicht nur gelegentlichen Nutzung von Pkw ist ausgeschlossen. Auf Dauer ausgelegte Mietwagen-, Leasing- oder Abo-Modelle fallen also nicht unter das Mobilitätsbudget. Gleiches gilt für Luftfahrzeuge, Privatwagen der Mitarbeitenden und dauerhaft auch zur privaten Nutzung überlassene Dienstwagen. Wird für die Arbeitnehmenden bereits eine Pauschalbesteuerung für die Fahrten Wohnung-Arbeitsstätte vorgenommen, kann die Pauschalbesteuerung für ein Mobilitätsbudget nicht dafür in Anspruch genommen werden.

Wer muss das Mobilitätsbudget versteuern?

Grundsätzlich müssen die Mitarbeitenden einen solchen geldwerten Vorteil versteuern. Die Betriebe hingegen müssen entsprechende Sozialversicherungsbeiträge abführen. Werden die Pläne der Regierung umgesetzt und entschließen sich Unternehmen dann das Mobilitätsbudget künftig selbst pauschal mit 25 Prozent zu versteuern, ist dieses beitragsfrei.

Was sind die Voraussetzungen für eine Pauschalbesteuerung?

Die pauschale Versteuerung ist nur zulässig, wenn Betriebe das Mobilitätsbudget zusätzlich zum geschuldeten Arbeitslohn gewähren. Zudem ist die Möglichkeit der Pauschalbesteuerung auf einen Höchstbetrag von 2.400 Euro im Kalenderjahr begrenzt und kann nicht für bereits pauschal versteuerte Sachbezüge oder Zuschüsse genutzt werden. Die Regelungen sind also nur alternativ anwendbar.

Tipp: Was solltest du jetzt tun?

• Behalte die geplanten Steuerbegünstigungen im Blick!
• Prüfe, ob deine Belegschaft Interesse an einem Mobilitätsbudget als Benefit hat.
• Sprich mit deinem/deiner Steuerberater*in, um zu klären, welche Vor- und Nachteile eine Pauschbesteuerung für dein Unternehmen hat.

Der Autor Andreas Islinger – LL.M. Sozialrecht, Master of Arts in Taxation – ist Partner, Steuerberater und Leiter Rentenberatung und Lohnzentrum bei ECOVIS in München.

Unter steuerlichen Gesichtspunkten erwies sich bislang eine Holdingstruktur als vorteilhaft, wobei die operative Gesellschaft (GmbH) von einer ebenfalls als GmbH gestalteten Gesellschaft gehalten wurde, welche ihrerseits von dem / der Gründenden gehalten wurde. Vielfach wurde zwischen den beiden Gesellschaften noch eine Organschaft geschlossen, der ein Ergebnisabführungsvertrag zugrunde lag. Diese Struktur ermöglichte es einerseits, etwaige Gewinne lediglich mit einem kombinierten Steuersatz aus Gewerbe- und Körperschaftsteuer von circa 30% vorzubelasten, die dann als Ausschüttung von der natürlichen Person mit dem Abgeltungsteuersatz von 25% bezogen werden konnte. Andererseits war eine nahezu steuerfreie Veräußerung der operativen Gesellschaft möglich. Dieser Veräußerungserlös konnte dann wieder investiert werden und löste erst im Rahmen einer späteren Ausschüttung an den Gründer eine weitergehende Besteuerung in Höhe des Abgeltungsteuersatzes von 25% aus.

2021: Rechtsformneutralität bringt gleiche steuerliche Ergebnisse

Mit der Option zur Körperschaftsteuer können Gründende einer Personengesellschaft nunmehr das gleiche steuerliche Ergebnis erzielen, denn 2021 schuf der Gesetzgeber mit dem Körperschaftmodernisierungsgesetz eine Rechtsformneutralität bezüglich der Besteuerung von Unternehmen zwischen Personen- und Kapitalgesellschaften, indem er der Personengesellschaft ein Wahlrecht zur Körperschaftsteuer eingeräumt hat. Das aus gesellschaftsrechtlicher Perspektive oft vorteilhaftere Personengesellschaftsrecht kann also gewählt werden, ohne dadurch steuerliche Nachteile gegenüber einer Kapitalgesellschaft zu erleiden.

Steuerliche Rahmenbedingungen für Mitarbeitervergütungen

Genauso wichtig sind die steuerlichen Rahmenbedingungen für Mitarbeitervergütungen. In den letzten Jahren wurden hier zwar gesetzliche Änderungen vorgenommen, diese konnten aber nur unzureichend die Realität und Bedürfnisse der Start-ups abdecken. Im Kern geht die Besteuerung davon aus, dass Arbeit jeweils gleich besteuert und nicht einer unternehmerischen Beteiligung gleichgestellt werden soll: Die Besteuerung für den/die Gründenden selbst mit seiner/ihrer Gesellschaft gilt eben nicht für die Mitarbeitenden, obwohl sie, wie der/die Gründer*innen auch, ebenfalls ihre Arbeits- und Innovationskraft einbringen.

Echte Beteiligung als Instrument immer noch realitätsfern?

Vor diesem Hintergrund scheint der einfachste Weg eine echte Beteiligung der Mitarbeitenden am Unternehmen. So erhalten sie Gewinnausschüttungen und sind an Exit-Erlösen beteiligt. Sie erlangen im Gegenzug aber auch alle mit einer gesellschaftsrechtlichen Beteiligung verbundenen Rechte (etwa Teilnahme- und Stimmrechte) und Pflichten (beispielsweise Treuepflichten). Ein solcher gesellschaftsrechtlicher Einfluss ist aus Sicht des Gründenden nicht immer wünschenswert, da er seine gestalterische Freiheit einschränken kann. Steuerlich stellt sich bei echten Beteiligungen das Problem, wenn die jeweilige Beteiligung unter dem Verkehrswert des Unternehmens gewährt wird. Dann liegt ein geldwerter Vorteil in Höhe der Differenz vor, der mit Zufluss einer Besteuerung wie Lohn unterliegt, obwohl keine Liquidität erlangt wird (Dry Income).

Lösung der Dry Income-Problematik

Dieses Problem hat der Gesetzgeber im Juli 2021 mit § 19a EStG abzumildern versucht, indem die Besteuerung aufgeschoben wurde. Die Einzelheiten und Anforderungen an einen solchen Steueraufschub wurden aber als realitätsfern und unzureichend angesehen. Ungewöhnlich zügig reagiert der Gesetzgeber nun mit dem Zukunftsfinanzierungsgesetz hierauf:

• Die Besteuerung des geldwerten Vorteils aus der Beteiligung soll mit Veräußerung oder Beendigung des Arbeitsverhältnisses erfolgen; ab 2024 spätestens 20 statt bisher zwölf Jahre nach deren Übertragung.
• Im Falle des Rückerwerbs der Anteile bei Verlassen des Unternehmens soll nur die tatsächlich an den/die Mitarbeitenden gezahlte Vergütung maßgeblich sein, wodurch insbesondere in Leaver-Fällen, in denen der Kaufpreis in der Regel unterhalb des Verkehrswerts der Beteiligung liegt, das Risiko einer Besteuerung von nicht realisierten Werten entschärft wird.
• Eine Besteuerung wird weitergehend bis zum Zeitpunkt des tatsächlichen Verkaufs hinausgeschoben, wenn der/die Arbeitgebende auf freiwilliger Basis unwiderruflich erklärt, dass er/sie die Haftung für die einzubehaltende und abzuführende Lohnsteuer übernimmt.

Hierzu müssen die Beteiligungen

• nicht vom Arbeitgebenden selbst, sondern können auch durch (Gründungs-)Gesellschafter*innen gewährt werden;
• nicht solche des Unternehmens des Arbeitgebenden, sondern können auch konzernangehörige Beteiligungen sein.

Des Weiteren wird der Anwendungsbereich dergestalt ausgeweitet, dass

• begünstigte Unternehmen solche mit bis zu 1.000 Mitarbeitenden sind, die einen Jahresumsatz von höchstens 100 Mio. EUR oder eine Jahresbilanzsumme von höchstens 86 Mio. EUR aufweisen, wobei diese Schwellenwerte im Zeitpunkt der Übertragung der Beteiligung oder in einem der sechs vorangegangenen Kalenderjahre nicht überschritten sein dürfen, und
• der maßgebliche Gründungszeitraum des Unternehmens maximal 20 Jahre vor dem Beteiligungszeitpunkt liegen darf.

Steuerliche Stärkung unter anderem durch Pauschalbesteuerung

Weitergehend kann der durch die Anteilsübertragung gewährte geldwerte Vorteil bei dem Mitarbeiter pauschal mit einem Steuersatz in Höhe von 25% besteuert werden und unterliegt nicht mehr dem persönlichen Einkommensteuersatz. Auch wird der Freibetrag für die verbilligte oder unentgeltliche Überlassung von Mitarbeiterkapitalbeteiligungen vom Arbeitgeber ab 2024 von derzeit 1.440 auf 5.000 EUR jährlich erhöht, was auch zu einer Sozialversicherungsfreiheit in gleicher Höhe führt. Dies erfordert aber, dass es sich um eine freiwillige Leistung des Arbeitgebenden handelt, die grundsätzlich allen Mitarbeitenden des Unternehmens offensteht, die ein Jahr oder länger ununterbrochen in einem gegenwärtigen Dienstverhältnis zu diesem stehen. Daher ist dieses Tool für eine reine Managementbeteiligung nicht geeignet.

Was das Zukunftsfinanzierungsgesetz vermissen lässt

Bedauerlicherweise hat der Gesetzgeber keine Anpassung im Vermögensbildungsgesetz vorgenommen, auf welchem die Begünstigungen für die Mitarbeiterbeteiligungen aufbauen. Diese Regelungen kommen nicht zur Anwendung, wenn es sich beim Start-up um eine Personengesellschaft handelt, die sich für die Körperschaftsteuer entscheidet – und deshalb steuerlich wie eine Körperschaft behandelt wird.

Alternative Beteiligungsmodelle noch notwendig?

Dem Problem des Dry Income begegnete die Gestaltungspraxis bislang durch Hurdle- oder Growth Shares. Bei Hurdle Shares erfolgt lediglich eine Beteiligung an den zukünftigen Wertsteigerungen, weshalb diese im Zeitpunkt der Gewährung grundsätzlich nicht zu einem sofortigen steuerlich relevanten Lohnzufluss führen. Weiterhin haben sich Virtual Shares oder Virtual Options als Instrument der Incentivierung von Mitarbeitenden erwiesen. Mit solchen Ansprüchen vermeidet man wegen ihrer rein schuldrechtlichen Ausgestaltung eine gegebenenfalls nicht gewünschte Teilhabe an Zukunftsfragen des Unternehmens. Steuerlich betrachtet stellt lediglich die jeweilige (indirekte) Partizipation an den Gewinnen und/oder dem Exit-Erlös zu besteuernden Lohn dar. Dieser wird nach dem individuellen Steuersatz besteuert, sodass die steuerlichen Regelungen für Einkünfte aus Kapitalvermögen nicht angewendet werden. Dem/der Mitarbeitenden fließt hier nicht bereits mit Einräumung dieser Ansprüche etwas zu, sodass sich das Dry Income-Problem nicht stellt.

Fazit

Die Regierung ist das Thema verbesserter steuerlicher Rahmenbedingungen angegangen. Man ist dabei zwar noch lange nicht bei den Vergünstigungen, die andere Standorte insoweit genießen – aber es ist ein wesentlicher Schritt. Nun müssen die Gründenden die jeweiligen Weichen selbst stellen.

Zu den Autoren:

Dr. Matthias Geurts ist Partner bei der Kanzlei Schalast und berät Venture Capital-/Private Equity-Investoren in aufsichtsrechtlichen Strukturierungsfragen und Start-ups sowie Gründer bei der Optimierung ihrer Unternehmensgestaltung, deren Finanzierung und Mitarbeiter-beteiligungsmodellen.

Dr. Marc-Andre Rousseau ist Partner bei der Kanzlei Schalast für den Bereich Venture Capital/Start-ups. Er berät Venture Capital-Investoren, Family Offices und Angel-Investoren sowie Startups in allen rechtlichen Finanzierungsfragen sowie Start-ups bei Exit- und Gewinnbeteiligungsmodellen.

Die Sicherheit und der Schutz von sensiblen Daten sind in einer wachsenden digitalen Welt von größter Bedeutung. Denn leider sind Betrüger*innen ständig auf der Suche nach Möglichkeiten, an diese persönlichen Informationen zu gelangen. Dabei hat sich das Darknet zu einer der Hauptschnittstellen für den illegalen Handel mit gestohlenen Daten etabliert. Auch die Methoden der Betrüger zur Datenbeschaffung werden immer dreister und ausgeklügelter. Im Folgenden erfährst du, wie unsere Daten ins Darknet gelangen und wie sich Besorgte davor schützen können.

Die dunkle Seite des Internets und kriminellen Handlungen

Das Darknet ist ein abgeschotteter Bereich im Internet, der nicht über herkömmliche Suchmaschinen zugänglich ist. Hier können Nutzende ihre Identität verschleiern und anonym kommunizieren. Es wird für verschiedenste Zwecke genutzt, darunter illegale Aktivitäten wie der Austausch gestohlener Daten. Normalerweise gibt es verantwortliche Stellen bzw. spezielle Aufsichtsbehörden, die kontaktiert werden können, um gegen Datenschutzverletzungen im World Wide Web vorzugehen. Doch in diesem abgeschirmten Bereich des Internets wird alles dafür getan, um vor den entsprechenden Zuständigkeiten ungesehen zu bleiben. So befinden sich die Betreiber*innen der Server in der Regel außerhalb Europas, was es für Strafverfolgungsbehörden äußerst schwierig macht, einmal gestohlene Daten zu löschen oder Täter zur Rechenschaft zu ziehen. Erst im Darknet veröffentlicht, können solche Datensätze mehrfach betrügerisch genutzt oder verkauft werden, was die Sicherheit und Privatsphäre der Betroffenen langfristig gefährdet. Auch können die Personen schwerer ausfindig gemacht werden, da sie die entwendeten Informationen nicht selbst nutzen und ihre rechtswidrigen Aktivitäten schwer auf sie zurückzuführen sind. Auf dem digitalen Schwarzmarkt zahlen Käufer*innen für solche gestohlene Daten und damit verbundene Dienstleistungen in Kryptowährungen wie Bitcoin. Diese Währungen führen auch dazu, dass die Bezahlvorgänge kaum nachvollziehbar sind.

Von Phishing bis Europol-Masche: Wie Betrüger*innen an die Daten kommen

Zu den bekanntesten Methoden, um an die begehrten Informationen zu kommen, zählt Phishing. Diese Masche ist vor allem für ihre Spam-Mails bekannt, bei denen die Betroffenen dazu verleitet werden, auf einen Link zu klicken und vertrauliche Daten preiszugeben. Jedoch findet diese Methode inzwischen auch über das Telefon statt. Die Betrüger*innen tarnen sich beispielsweise als Europol-Mitarbeitende und fordern ihre Gesprächspartner*innen dazu auf, ihre IBAN-Nummer zu nennen. Mittlerweile ist selbst die Suche nach einer Wohnung oder einem Job nicht mehr sicher. So verwenden Trickser gefälschte Angebote und stellen ein vorgetäuschtes Identitätsverfahren vor, um Suchende dazu zu bringen, Fotos ihrer Ausweise zu übermitteln.

Eine weitere dreiste Masche besteht darin, Leidtragende während eines Gesprächs schnell zu einem eindeutigen „Ja“ zu animieren. Wenn die Person zum Beispiel zustimmt, dass das Telefonat aufgezeichnet wird, haben die Betrüger bereits fast alles erreicht, was sie wollten. Danach stellen sie einige harmlose Fragen, und schon haben sie genug Material gesammelt, um das Gespräch beliebig zusammenschneiden zu können. Dann scheint es, als hätten die Betroffenen mit ihrem „Ja“ einem Kaufvertrag oder einem Abonnement zugestimmt.

Finanzielle Ausbeute: So viel bis du wert

Im Darknet existiert bereits ein florierender Handel mit gestohlenen Identitäten, die es Käufer*innen ermöglichen, verschiedene kriminelle Aktivitäten durchzuführen. Doch wie viel Gewinn können die Betrüger*innen damit überhaupt erreichen? Im Report des auf Antiviren-Programme spezialisierten Herstellers Bitdefender wird deutlich, dass eine gestohlene Identität in Form eines biometrischen EU-Passes auf dem Schwarzmarkt bis zu 4.500 Euro bringen kann. Die McAfee-Studie „The Hidden Data Economy“ von 2018 enthüllte wiederum, dass Darknet-Händler*innen in der Europäischen Union bis zu 40 Euro für vollständige Kreditkartendaten verlangen können. Auch Konten von Online-Zahlungsdiensten werden hier gehandelt. Dabei ist jedoch der Preis abhängig vom Guthaben des gehackten Kontos und variiert zwischen 20 und 300 Euro. Um also Betrüger*innen nicht auf den Leim zu gehen und sich den Ärger mit geklauten Daten zu ersparen, ist der Datenschutz im digitalen Zeitalter auch für Privatpersonen wichtiger denn je!

Praktische Maßnahmen: Wie entgehe ich der Täuschung?

Identitätsklau per Telefon ist nach wie vor eine weitverbreitete Methode für Datenhändler*innen, über die jede(r) informiert sein sollte. Um die persönlichen Daten zu schützen, ist es wichtig, bei der Weitergabe sensibler Informationen generell vorsichtig zu sein. Hier sind einige wichtige Maßnahmen, die ergriffen werden können, um einem möglichen Betrugsversuch vorzubeugen: Wenn ein Anruf verdächtig erscheint oder eine unbekannte Person Geld verlangt, handelt es sich in den meisten Fällen um einen Schwindel. Die größte Sicherheit besteht darin, das Gespräch sofort zu beenden. Um Datenverluste und finanzielle Schäden zu vermeiden, sollten niemals persönliche Informationen wie Anschrift, E-Mail-Adresse, Geburtstag, Passwörter oder Bankdaten an Fremde weitergegeben werden. Seriöse Behörden oder Unternehmen werden am Telefon unter keinen Umständen nach solchen Angaben fragen.

Ist der Schaden bereits entstanden und die Daten wurden preisgegeben, sollte die Bundesnetzagentur eingeschaltet werden. Auch die Polizei sollte unter der Rufnummer 110 kontaktiert werden. Wurde beispielsweise Geld illegal vom eigenen Konto abgebucht, kann die Bank dieses innerhalb von vier Wochen zurückholen. Hier gilt es jedoch zu beachten, dass dies nur funktioniert, wenn die Überweisung nicht von der betroffenen Person selbst getätigt wurde. Daher sollten niemals Zahlungen an eine unbekannte Person getätigt werden. Häufig kommen betrügerische Anrufe aus dem Ausland. Daher ist besondere Vorsicht bei folgenden Vorwahlen geboten: +88 (Globales Navigationssatellitensystem), +225 (Elfenbeinküste), +231 (Liberia), +252 (Somalia), +257 (Burundi), +261 (Madagaskar) oder +370 (Litauen). Schließlich kann es auch helfen, sich regelmäßig über die neuesten Betrugsmaschen zu informieren und somit im Falle eines entsprechenden Anrufs sensibilisiert zu sein.

Der Autor Thomas Wrobel ist Spam-Schutz-Experte, CTO der Müller Medien-Tochter validio und Gründer von Clever Dialer. Die App liefert verlässliche Anrufinformationen und schützt Verbraucher*innen vor Spam-Telefonaten.

Elektronische Transaktionen und Daten, die von Endgeräten und anderen Quellen stammen, bilden die Grundlage für die Geschäftsmodelle einige der größten Unternehmen der Welt. Doch der jahrzehntelange Wildwuchs in der Datenspeicherung sorgte für Misstrauen der Verbraucher*innen und verlangte nach gesetzgeberischen und regulatorischen Maßnahmen.

Auch das Jahr 2023 wird einige neue Regelungen und Maßnahmen bringen, auf die sich die Unternehmen vorbereiten müssen. Hier vier Prognosen:

1. Internationale Datenübermittlungen

Bis Juli 2020 galten die USA laut eines Angemessenheitsbeschlusses der Europäischen Kommission (basierend auf dem EU-US-Privacy-Shield-Abkommen) als sicheres Drittland. Das Datenschutzniveau wurde also als ähnlich gut eingeschätzt wie das der EU. Dies änderte sich jedoch, als der Österreicher Max Schrems mit seiner Klage in der Sache „Schrems II“ vor dem Europäischen Gerichtshof (EuGH) Erfolg hatte.

Am 16. Juli 2020 erklärte der EuGH das bis dahin geltende Privacy Shield für ungültig (Rechtssache C-311/18, Schrems II). Seitdem gelten die USA nicht mehr als sicheres Drittland, was den Datentransfer für Firmen bedeutend komplizierter gestaltete. Die rechtskonforme Gestaltung von Datenübermittlungen aus Europa in die USA ist inzwischen eines der komplexesten und zeitaufwendigsten Themen, mit denen sich Datenschutzbeauftragte in Unternehmen in den letzten zwei Jahren beschäftigen mussten.

Nun kommt Bewegung in die Sache: Die EU-Kommission hat Mitte Dezember 2022 ihren Entwurf für den bevorstehenden Angemessenheitsbeschluss veröffentlicht, die Arbeiten am neuen EU-U.S.-Data-Privacy-Framework laufen auf Hochtouren.

Bis zum Erlass, der in der ersten Jahreshälfte 2023 erwartet wird, bleibt es jedoch bei der derzeitigen Rechtslage. Bis dahin werden die anderen möglichen Übermittlungsinstrumente des Art. 46 DSGVO – insbesondere Standardvertragsklauseln (SCC) und Binding Corporate Rules (BCR) – sowie die Ausnahmetatbestände des Art. 49 DSGVO (speziell die Einwilligung der betroffenen Personen) genutzt werden, und zwar mit allen bekannten Herausforderungen und Nachteilen.

2. EU-Dateninitiativen werden verabschiedet

Neue EU-Dateninitiativen werden verabschiedet oder in Kraft treten. Sie beeinflussen, wie Daten mit anderen geteilt werden dürfen und zwingen Organisationen, die einen Wert aus personenbezogenen Daten ziehen, dazu, die Modalitäten für die Weitergabe, den Schutz und den Zugriff auf diese Informationen zu ändern. Besonders folgende:

• Digital Services Act (DSA): Der DSA wird die veraltete E-Commerce-Richtlinie aus dem Jahr 2000 ablösen. Sein extraterritorialer Geltungsbereich betrifft die derzeitigen Geschäftsmodelle vieler datengesteuerter Organisationen, darunter Internetdienst- und Cloud-Anbieter, soziale Medien und Online-Plattformen, Marktplätze und Suchmaschinen. So werden unter anderem zusätzliche Transparenzanforderungen für Online-Werbung, ein Verbot von „Dark Patterns“ und Einschränkungen für Werbung auf der Grundlage sensibler Daten erlassen.
• Data Act: Das Datengesetz soll harmonisierte Regeln für den fairen Zugang zu und die Nutzung von Daten schaffen. Es stellt sicher, dass ein breiteres Spektrum von Akteuren die Kontrolle über ihre Daten erhält. Es sollen mehr Informationen für innovative Zwecke zur Verfügung stehen, während gleichzeitig Anreize für Investitionen in die Datengenerierung erhalten bleiben. Das soll schließlich zu einem maximalen Wert der Daten für Wirtschaft und Gesellschaft führen.
• Europäischer Raum für Gesundheitsdaten: Befasst sich mit den gesundheitsspezifischen Schwierigkeiten beim Zugang zu elektronischen Gesundheitsdaten, der gemeinsamen Nutzung und der Gestaltung eines gemeinsamen Raums, in dem natürliche Personen ihre elektronischen Gesundheitsdaten leicht kontrollieren können. Zudem soll er es Forschern und politischen Entscheidungsträgern ermöglichen, diese elektronischen Gesundheitsdaten in einer vertrauenswürdigen und sicheren Weise zu nutzen, bei der die Privatsphäre gewahrt bleibt.
• Artificial Intelligence Act: Viele Umfragen zeigen, dass sich Verbraucher über die Verwendung ihrer personenbezogenen Daten in KI-Anwendungen Sorgen machen. Der Vorschlag für eine Verordnung mit harmonisierten Regeln für künstliche Intelligenz soll diese Bedenken ausräumen und die ethische Nutzung von KI gewährleisten. Flankiert wird er von den außervertraglichen, zivilrechtlichen Haftungsregeln für künstliche Intelligenz. Diese sollen dafür sorgen, dass Betroffene die gleichen Schutzstandards genießen, falls ihnen unter anderen Umständen durch KI-Produkte oder -Dienste ein Schaden entstehen sollte.

3. Umstellung auf neue Standardvertragsklauseln (SCC)

Im Juni 2021 erließ die Europäische Kommission neue Standardvertragsklauseln (SCC), die seit dem 27. September 2021 für alle neuen Verträge gelten. Diese neuen SCC sind modular aufgebaut und decken alle praktisch relevanten Varianten des Datentransfers ab, ohne wie bisher auf komplizierte und teilweise unpraktische Vertragskonstellationen zurückzugreifen.

In diesem Zusammenhang mussten Unternehmen bis zum 27. Dezember 2022 alle Altverträge auf die neuen Standardvertragsklauseln umstellen. Laut diversen deutschen Datenschutzbehörden soll es keine weitere Fristverlängerung geben, sie wollen also kein Auge mehr zudrücken. Daher müssen Firmen, die bis Ende Dezember 2022 alte Verträge nicht auf die neuen SCCs angepasst haben, mit Sanktionen der Aufsichtsbehörden rechnen.

4. Vormarsch neuer Instrumente der Rechtsdurchsetzung

Reine Kontrollmaßnahmen der Aufsichtsbehörden werden 2023 nicht mehr allein im Vordergrund stehen. Der Trend geht vielmehr zur zivilrechtlichen Durchsetzung der Beendigung datenschutzwidriger Verarbeitungen und der Entschädigung von Datenschutzverstößen. Dies zeigte sich bereits 2022 im Fall von Google Fonts.

Hunderte von Organisationen in Deutschland und Österreich sahen sich im Sommer und Herbst 2022 mit Abmahnungen und Unterlassungserklärungen wegen Google Fonts konfrontiert. Solche Trittbrettfahrer werden in Zukunft voraussichtlich vermehrt einzelne Gerichtsentscheidungen nutzen, um mit derartigen Massenverfahren gegen angebliche Datenschutzverstöße auf breiter Front vorzugehen. Davon dürften insbesondere Websites und Apps betroffen sein, da sich datenschutzwidrige Konfigurationen und nicht autorisierte Tools mit geringem Aufwand schnell und eindeutig nachweisen lassen. Dass sich solche Massenabmahnungen zumindest in einer Grauzone bewegen und die Schwelle zur Missbräuchlichkeit leicht überschritten werden dürfte, zeigen die ersten Gerichtsverfahren gegen die abmahnenden Anwälte.

Natürlich werden auch die Aufsichtsbehörden weiterhin die DSGVO durchsetzen, doch auch diese dürften in Zukunft Neuland betreten. Es ist nur eine Frage der Zeit, bis sie zunehmend die ihnen nach Artikel 58 DSGVO zur Verfügung stehenden Instrumente nutzen, um die Datenverarbeitung (vorübergehend) zu untersagen und die Löschung von Daten anzuordnen. Da die Wirkung dieser Maßnahmen sofort eintritt, sind die Auswirkungen und die Intensität der Intervention am größten. Aufgrund der rechtlichen Brisanz solcher Entscheidungen haben die Behörden bisher jedoch nur selten von ihnen Gebrauch gemacht. Doch ändert sich bald. So könnten in Fällen wie bei Google Analytics im Jahre 2022 zukünftig nicht nur eine Feststellung der Datenschutzwidrigkeit seitens Behörden erfolgen, sondern zusätzlich eine Untersagung der Übermittlung.

Die größte und wesentlichste Veränderung bei der Rechtsdurchsetzung dürfte jedoch das verstärkte Eingreifen von NGOs und anderen Verbraucherschutzverbänden darstellen. Organisationen wie NOYB haben bei verschiedenen europäischen Aufsichtsbehörden Hunderte von Beschwerden über Cookie-Banner und Websites eingereicht, die gegen Datenschutzgesetze verstoßen. Artikel 80 der DSGVO ermöglicht es NGOs und Verbraucherverbänden, Beschwerden bei den Behörden einzureichen und im Namen der betroffenen Personen Schadenersatz zu fordern. Diese Möglichkeit kannten bisher nur wenige, deswegen wurde sie kaum wahrgenommen. Allerdings dürfte es zu einer verstärkten Aktivität solcher Organisationen kommen, speziell nach dem Grundsatzurteil des EuGH über die Rechtsstellung von Verbraucherschutz-Organisationen im Mai 2022.

Der Europäische Verbraucherverband hat bereits angekündigt, dass seine Mitglieder ihre Befugnisse im Rahmen der DSGVO nutzen wollen, um den Verbraucherdatenschutz zu verbessern.

Der Autor Dr. Frank Schemmel (Practice Lead International Privacy & Compliance) ist seit 2018 bei DataGuard - der All-in-one-Plattform in Sachen Compliance-Anforderungen, Informationssicherheit und Datenschutz – tätig.

Die meisten Gründer*innen denken bei Datenschutz erstmal an Cookie-Banner und Einwilligungen zur Datenerhebung. Dabei steckt viel mehr dahinter. So richtig erfolgreich werden Datenschutzpraktiken erst, wenn jedes Teammitglied auch an die Bedeutsamkeit und Notwendigkeit einer datenschutzfreundlichen Organisation glaubt. Gerade beim Aufbau eines neuen Unternehmens ist es deshalb wichtig, dass das Managementteam eine Vorbildfunktion einnimmt, wenn es um den Datenschutz geht. So wird auch für die Mitarbeitenden deutlich, wie überzeugt die Führungsriege von der Bedeutung des Datenschutzes ist. Im besten Fall zieht dann das ganze Team bei diesem komplexen Thema mit. Und das bringt eine Menge Vorteile mit sich:

• Konform mit allen Regulierungen: Die Europäische Datenschutz-Grundverordnung (DSGVO) ist seit einigen Jahren offiziell das gesetzliche Schutzschild der Privatsphäre europäischer Nutzer*innen. Auch in den USA gilt inzwischen der California Consumer Privacy Act (CCPA), der Datenschutzrechte und den Verbraucher*innenschutz in Kalifornien verbessert. Inzwischen gibt es Absprachen, die Bürger*innen aus Europa und den USA gleichermaßen schützen sollen. Es ist also eine rationale und rechtssichere Entscheidung, mit den wachsenden und sich ändernden Datenschutzbestimmungen Schritt zu halten.
• Niemand traut einem Datendealer: Datenkraken werden meist nur deshalb genutzt, weil ihre Verwendung so weitverbreitet ist. Man denke an die großen Messenger oder sozialen Netzwerke. Da sticht der Netzwerkeffekt die Datenschutzbedenken aus. Ansonsten gilt aber: Je weniger Daten ein Unternehmen von den Nutzer*innen sammelt, desto weniger Daten können missbraucht werden. Gerade bei Start-ups können ein Leak und der damit verbundene Reputationsverlust das Unternehmen massiv schädigen. Kommuniziert das gesamte Team jedoch das Bewusstsein für den Datenschutz klar und deutlich, gewinnt das Unternehmen eine der wichtigsten Währungen beim Markenaufbau: Vertrauen.
• Datenschutz als soziale Verantwortung: Der Schutz der Privatsphäre ist ein Gesellschaftsthema: Die vielen Skandale von den Snowden-Leaks bis hin zu Cambridge Analy­tica haben gezeigt, wie Daten wirklich missbraucht werden. Sich von solchen Praktiken abzugrenzen, zeugt von einem klaren moralischen Kompass und ist zugleich ein valides Arbeitgeber*innenargument am umkämpften Arbeitsmarkt.

Datenschutz zum Führungsthema machen

Datenschutz hat somit zahlreiche Qualitäten, die Gründer*innen in Betracht ziehen sollten. Nachfolgend ein paar Tipps und Denkanstöße, wie man dem Thema im Unternehmen Priorität einräumen kann.

Authentizität

Gründer*innen können ein datenschutzbewusstes Team nur dann fördern, wenn sie selbst Einsatz zeigen. Kommunizieren Gründer*innen an ihre Teams, dass sie sich persönlich für den Datenschutz einsetzen, fördert das die interne Akzeptanz. Gab es vielleicht einen Aha-Moment, den Gründer*innen im Team-Meeting teilen könnten? Wie stehen die Gründer*innen beispielsweise zu Tracking und Anzeigen, die sie über mehrere Websites hinweg verfolgen? Nutzen sie selbst Browser-­Add-ons mit „Do-not-Track“-Funktion oder Cookie-Blocker? Solche persönlichen Erfahrungen und Einstellung bewegen andere oft dazu, sich bewusster mit dem Thema Datenschutz auseinanderzusetzen. Auch informelle Formate wie ein gemeinsamer Filmabend mit dem Team können Diskussion entfachen – z.B. mit dem Dokumentarfilm „Das Dilemma mit den sozialen Medien“.

Transparenz

Es ist wichtig, das ganze Team auf der Reise zu mehr Datenschutz mitzunehmen und transparent alle Bemühungen, Erfolge und Herausforderungen zu teilen. Wenn es beispielsweise zu einem Datenschutzverstoß kommt, sollte dies das Führungsteam intern rechtzeitig kommunizieren. Aber auch in der Kommunikation nach außen ist Transparenz gefragt: So sollten etwa Datenpannen offen an Benutzer*innen und Partner*innen kommuniziert werden; am besten, bevor etwas schiefgegangen ist.

Generell ist es wichtig, offen und ehrlich in Bezug auf alle erhobenen Daten zu sein, die vorübergehend verwendet, gespeichert oder an andere weitergeben werden. Es stärkt das Vertrauen, wenn Firmen offen erklären, warum welche Daten erhoben und zu welchem Zeitpunkt diese wieder gelöscht werden. Gleichzeitig ist das auch für die Mitarbeitenden eine gute, verbindliche Richtlinie

Verantwortungsvolle Technologien unterstützen

Start-ups haben im Gründungsprozess noch die Wahl, welche Kommunikations-, Zahlungs- und Abwicklungsplattformen und andere Technologien sie für den Einsatz im Unternehmen verwenden. Daher ist die Wahl der Technologieanbieter mit Sorgfalt zu treffen. Meist sind europäische Unternehmen gegenüber US-amerikanischen im Vorteil, da sie der DSGVO unterliegen und näher an den Marktanforderungen sind.

Wandel im Team

Im Tagesgeschäft sind es die Mitarbeiter*innen, die Datenschutzmaßnahmen umsetzen. So fördern etwa interne Datenschutzbeauftragte das Bewusstsein innerhalb eines Unternehmens, sind Expert*innen und Anlaufstelle für ihre Teammitglieder und entwickeln mit der Zeit ein gestärktes Verantwortungsgefühl für das Thema. Um Datenschutz in der Unternehmenskultur zu verankern, können Unternehmen Best Practices für das Tagesgeschäft etablieren. Alltägliche Praktiken wie Zoom-Anrufe sind ein guter Ansatzpunkt: Es ist eine einfache Geste, den Mitarbeiter*innen die Wahl zu lassen, ob sie mit oder ohne Kamera an Meetings teilnehmen. Auch können Gründer*innen auf datensichere Suchmaschinenalternativen hinweisen, Browsererweiterungen empfehlen oder Richtlinien im Umgang mit sozialen Medien anstoßen.

Denkanstöße für alle Unternehmensbereiche

Start-ups und kleinere Unternehmen haben häufig keinen Chief Information Security Officer (CISO), also eine Person, die für die gesamte IT-Sicherheit im Unternehmen verantwortlich ist. Für Start-ups empfiehlt es sich für den Anfang, folgende drei Abteilungen unter die Lupe zu nehmen:

• Marketing: Marketingexpert*innen setzen oft auf verhaltensorientiertes Targeting. Für sie sind alle Daten, die potenzielle Kund*innen im Internet preisgeben, ein Datenschatz, um gezielt Werbung auszuspielen. Dabei gibt es durchaus erprobte Alternativen. Das Marketingteam kann viele enger mit dem Feedback echter Kund*innen arbeiten und so auf deren direkte Wünsche eingehen – statt abstrakte Daten zu analysieren. Eine weitere Möglichkeit ist die Umstellung von verhaltensbasiertem auf kontextbasiertes Marketing. Eine weltweite Umfrage zeigt: 69 Prozent der Verbraucher*innen sind eher bereit, sich auf Werbung einzulassen, die auf dem Kontext des besuchten Seiteninhalts beruht.
• Produktentwicklung: Produktentwickler*innen und -verantwortliche sind normalerweise darauf trainiert, so viele Daten wie möglich über das Nutzer*innenverhalten zu sammeln. Ein Denkansatz für sie ist, zu hinterfragen, ob es nicht einen diskreten, datenschutzbewussten Weg gibt, um an der Produktoptimierung zu arbeiten. Eine Möglichkeit sind häufigere Iterationszyklen und Besprechungen im Team sowie mit potenziellen Kund*innen. Eigentlich eine wichtige Grundlage im Design-Thinking-Ansatz. Ein positiver Nebeneffekt: Die vielen Feedbackschleifen führen zu unkonventionellen Lösungen, geben jedem Teammitglied mehr Raum, kreativ zu werden und sich einzubringen – und stärken so das Teamgefüge.
• Kundensupport: Dieses Team verfügt über viele Informationen, um einen personalisierten Service zu bieten. Aber auch dieses Team sollte sorgfältig abwägen, welche persönlichen Informationen gesammelt werden sollten. Getreu dem Motto: So viel wie nötig, so wenig wie möglich.

Fazit

Es zeigt sich: Datenschutz spielt nicht nur in Sachen Rechtssicherheit eine entscheidende Rolle. Der Umgang mit Daten ist eine Frage der Unternehmenskultur, der viele Vorteile mit sich bringen kann. Dabei müssen besonders die Gründer*innen ihr Engagement bei dem Thema vorleben. Denn Datenschutz ist oft nicht die einfachste Lösung, aber eine langfristige Verpflichtung, die auf lange Sicht Früchte trägt. Ein vorbildlicher Umgang mit Daten schafft Vertrauen, zeigt einen stabilen Wertekompass und schützt vor Strafen und Reputationsverlust. So entwickelt sich Datenschutz, sofern alle Teams an Bord sind, von einem bürokratischen Aufwand zu einem echten Wettbewerbsvorteil.

Der Autor Robert E.G. Beens ist Mitgründer und CEO der datensicheren Suchmaschine Startpage sowie Experte und Verfechter des Datenschutzes.