Datenschutz ist kein Nice-to-have -- sondern Gründungspflicht
Wenn du ein Startup gründest, denkst du an Produkt, Markt und Finanzierung. Datenschutz steht selten oben auf der Liste. Dabei gilt die Datenschutz-Grundverordnung (DSGVO) ab dem Moment, in dem du die erste E-Mail-Adresse speicherst, das erste Kontaktformular auf deiner Website einrichtest oder den ersten Newsletter verschickst. Und das ist in der Regel Tag eins.
Die gute Nachricht: Die DSGVO ist kein Bürokratie-Monster, wenn du die Grundlagen verstehst. Als Startup hast du sogar einen Vorteil -- du kannst Datenschutz von Anfang an richtig aufsetzen, statt nachträglich teure Altlasten zu bereinigen. In Österreich kommen zum EU-weiten Rahmen noch das Datenschutzgesetz (DSG) und die Datenschutzbehörde (DSB) als Aufsichtsstelle dazu. Beide haben Eigenheiten, die du kennen solltest.
In diesem Beitrag bekommst du einen kompakten Überblick über alles, was du als Gründerin oder Gründer zum Thema DSGVO wissen musst -- praxisnah, ohne Juristendeutsch und mit konkreten Handlungsempfehlungen für dein Startup.
Was ist die DSGVO und warum betrifft sie dich?
Die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) ist seit 25. Mai 2018 in der gesamten EU unmittelbar anwendbar. Sie regelt, wie personenbezogene Daten verarbeitet werden dürfen. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen -- Name, E-Mail-Adresse, IP-Adresse, Standortdaten, Kundennummern, Cookie-IDs, Fotos und sogar Stimmenaufnahmen.
Als Startup verarbeitest du solche Daten ständig und in vielen Kontexten: Kundendaten im CRM, Mitarbeiterdaten in der Lohnverrechnung, Nutzerdaten auf deiner Website, Kontaktdaten in deinem E-Mail-Programm, Bewerberdaten im Recruiting-Prozess, Analysedaten über Google Analytics. Sobald du in der EU niedergelassen bist oder Personen in der EU Waren oder Dienstleistungen anbietest, fällst du unter die DSGVO.
Die DSGVO gilt unabhängig von der Unternehmensgröße. Es gibt keine generelle Ausnahme für Startups, Einzelunternehmen oder kleine GmbHs. Ob du alleine gründest oder bereits ein Team hast -- die Grundpflichten sind dieselben. Lediglich bei bestimmten Dokumentationspflichten gibt es Erleichterungen für Unternehmen mit weniger als 250 Mitarbeitern, allerdings mit wichtigen Einschränkungen, die wir weiter unten besprechen.
Der räumliche Anwendungsbereich geht sogar über die EU hinaus: Auch Unternehmen mit Sitz außerhalb der EU müssen die DSGVO einhalten, wenn sie Personen in der EU gezielt ansprechen. Das Marktortprinzip sorgt dafür, dass der Schutz bei den Betroffenen liegt, nicht beim Firmensitz.
Die 7 Grundsätze der DSGVO -- dein Kompass
Die DSGVO basiert auf sieben Grundsätzen, die in Artikel 5 festgelegt sind. Diese Grundsätze sind nicht nur theoretisch relevant -- sie sind der Maßstab, an dem die DSB jede Datenverarbeitung misst. Wenn du die Grundsätze verstehst, kannst du die meisten Datenschutzfragen selbst beantworten.
| Grundsatz | Bedeutung | Beispiel im Startup |
|---|---|---|
| Rechtmäßigkeit, Treu und Glauben, Transparenz | Du brauchst eine Rechtsgrundlage und musst offen kommunizieren | Datenschutzerklärung auf der Website |
| Zweckbindung | Daten nur für den angegebenen Zweck verwenden | Newsletter-Adressen nicht für Kaltakquise nutzen |
| Datenminimierung | Nur die Daten erheben, die wirklich nötig sind | Im Kontaktformular nicht nach Geburtsdatum fragen |
| Richtigkeit | Daten müssen korrekt und aktuell sein | Adressänderungen im CRM zeitnah einpflegen |
| Speicherbegrenzung | Daten löschen, wenn der Zweck erfüllt ist | Bewerbungsunterlagen nach 6 Monaten löschen |
| Integrität und Vertraulichkeit | Angemessene Sicherheitsmaßnahmen treffen | Verschlüsselung, Zugriffsrechte, Backups |
| Rechenschaftspflicht | Du musst nachweisen können, dass du die Regeln einhältst | Verarbeitungsverzeichnis führen |
Besonders die Rechenschaftspflicht wird oft unterschätzt. Es reicht nicht, datenschutzkonform zu handeln -- du musst es auch dokumentieren können. Wenn die DSB bei dir anklopft, liegt die Beweislast bei dir. Das heißt konkret: Du brauchst ein Verarbeitungsverzeichnis (mehr dazu in Verarbeitungsverzeichnis anlegen), dokumentierte Einwilligungen, schriftliche Auftragsverarbeitungsverträge und nachvollziehbare Prozesse.
Die Datenminimierung ist ein Grundsatz, den du von Anfang an bei der Produktentwicklung mitdenken solltest. Frag dich bei jedem Formularfeld, bei jeder Datenerhebung: Brauche ich das wirklich? Wenn die Antwort nein ist, lass es weg. Weniger Daten bedeuten weniger Risiko, weniger Dokumentationsaufwand und weniger potenzielle Angriffsfläche.
Die 6 Rechtsgrundlagen -- wann du Daten verarbeiten darfst
Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage nach Artikel 6 DSGVO. Ohne Rechtsgrundlage ist die Verarbeitung rechtswidrig -- egal wie sinnvoll oder harmlos sie erscheint. Artikel 6 nennt sechs mögliche Rechtsgrundlagen, von denen vier für Startups besonders relevant sind.
Einwilligung (Art. 6 Abs. 1 lit. a): Die betroffene Person hat ausdrücklich zugestimmt. Die Einwilligung muss freiwillig, informiert, spezifisch und unmissverständlich sein. Vorangekreuzte Checkboxen sind ungültig (EuGH, Planet49-Urteil). Typischer Anwendungsfall: Newsletter-Anmeldung mit Double-Opt-In (Details im Newsletter-Beitrag). Die Einwilligung muss jederzeit widerrufbar sein, und der Widerruf muss genauso einfach sein wie die Erteilung. Du musst die Einwilligung nachweisen können -- speichere also Timestamp, IP-Adresse und den genauen Einwilligungstext.
Vertragserfüllung (Art. 6 Abs. 1 lit. b): Die Verarbeitung ist nötig, um einen Vertrag zu erfüllen oder vorvertragliche Maßnahmen durchzuführen. Wenn ein Kunde bei dir bestellt, darfst du seine Adresse für den Versand und seine E-Mail für die Bestellbestätigung verarbeiten -- dafür brauchst du keine extra Einwilligung. Aber: Nur Daten, die für die Vertragserfüllung tatsächlich erforderlich sind. Die Lieferadresse ja, das Geburtsdatum nein.
Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c): Das Gesetz schreibt die Verarbeitung vor. Beispiel: Aufbewahrungspflichten nach der Bundesabgabenordnung (BAO) -- Rechnungen und buchhalterische Belege musst du 7 Jahre aufbewahren, auch wenn der Kunde die Löschung seiner Daten verlangt. Auch die Meldung zur Sozialversicherung oder steuerrechtliche Meldepflichten fallen hierunter.
Berechtigtes Interesse (Art. 6 Abs. 1 lit. f): Du hast ein berechtigtes Interesse, das die Interessen der betroffenen Person nicht überwiegt. Diese Rechtsgrundlage erfordert immer eine dokumentierte Interessenabwägung. Typische Fälle: Direktwerbung an Bestandskunden (mit Einschränkungen nach TKG 2021), Server-Logfiles zur IT-Sicherheit, Betrugsprävention, interne Verwaltungszwecke. Dokumentiere die Abwägung schriftlich -- bei einer Beschwerde musst du sie der DSB vorlegen können.
Die restlichen zwei Rechtsgrundlagen -- Schutz lebenswichtiger Interessen (lit. d) und Aufgaben im öffentlichen Interesse (lit. e) -- sind für Startups in der Regel nicht relevant.
Das österreichische Datenschutzgesetz (DSG) -- was zusätzlich gilt
Die DSGVO erlaubt den Mitgliedstaaten in bestimmten Bereichen eigene Regelungen. Österreich hat davon mit dem Datenschutzgesetz (DSG, BGBl. I Nr. 165/1999 idF BGBl. I Nr. 14/2019) Gebrauch gemacht. Für dein Startup sind folgende Besonderheiten relevant:
Paragraph 1 DSG -- Grundrecht auf Datenschutz: In Österreich ist Datenschutz ein verfassungsgesetzlich gewährleistetes Recht. Das geht über den EU-Standard hinaus und unterstreicht den hohen Stellenwert des Datenschutzes in der österreichischen Rechtsordnung. Das Grundrecht umfasst sowohl den Anspruch auf Geheimhaltung personenbezogener Daten als auch den Anspruch auf Auskunft und Löschung.
Paragraph 4 DSG -- Datengeheimnis: Alle Personen, die Zugang zu personenbezogenen Daten haben, sind zur Verschwiegenheit verpflichtet. Das betrifft deine Mitarbeiter, freie Dienstnehmer, Praktikanten und auch Auftragnehmer. Du musst sie nachweislich über ihre Pflichten informieren und schulen. Eine schriftliche Verpflichtungserklärung ist der Standard und sollte bei jedem neuen Teammitglied am ersten Arbeitstag unterschrieben werden (siehe auch Datenschutz im Team).
Paragraph 12 DSG -- Bildverarbeitung: Für Videoüberwachung gelten in Österreich eigene, strenge Regeln. Wenn du Geschäftsräume mit Kameras überwachst, musst du das bei der DSB melden und bestimmte Auflagen erfüllen -- etwa die zeitliche Begrenzung der Speicherung auf 72 Stunden und eine deutlich sichtbare Kennzeichnung. Für die meisten Startups ist das erst relevant, wenn sie physische Geschäftsräume oder Lager haben.
Paragraph 63 DSG -- Strafbestimmungen: Neben den DSGVO-Bußgeldern kennt das DSG auch strafrechtliche Sanktionen. Wer sich vorsätzlich widerrechtlich Zugang zu einer Datenverarbeitung verschafft oder Daten in Bereicherungs- oder Schädigungsabsicht verwendet, kann mit bis zu einem Jahr Freiheitsstrafe bestraft werden. Das geht über das EU-Recht hinaus und ist ein zusätzliches Abschreckungsinstrument.
Paragraph 2 Abs. 4 DSG -- Medienprivileg: Für journalistische Tätigkeiten gelten Erleichterungen. Falls dein Startup im Medienbereich tätig ist, können bestimmte DSGVO-Pflichten eingeschränkt sein. Das ist aber ein komplexes Feld und braucht juristische Beratung.
Die Datenschutzbehörde (DSB) -- deine Aufsichtsstelle
Die österreichische Datenschutzbehörde (DSB) mit Sitz in Wien (Barichgasse 40-42, 1030 Wien) ist die zuständige Aufsichtsbehörde für den Datenschutz in Österreich. Sie ist unabhängig und hat weitreichende Befugnisse. Jede Person, deren Daten du verarbeitest, kann sich kostenlos und formlos bei der DSB beschweren.
Was die DSB tun kann:
- Beschwerden von betroffenen Personen prüfen und darüber entscheiden
- Untersuchungen und Datenschutzprüfungen durchführen -- auch unangekündigt
- Verwarnungen und Anweisungen aussprechen
- Geldbußen verhängen (bis zu EUR 20 Millionen oder 4 % des weltweiten Jahresumsatzes)
- Datenverarbeitungen vorübergehend oder endgültig untersagen
- Datenübermittlungen in Drittländer aussetzen
Was passiert bei einer Beschwerde? Die DSB kontaktiert dich schriftlich und fordert eine Stellungnahme an -- in der Regel hast du dafür zwei bis vier Wochen Zeit. Wenn du ordentlich dokumentiert hast (Verarbeitungsverzeichnis, Datenschutzerklärung, Einwilligungsnachweise, AVVs), ist das kein Drama. Dann schickst du die Unterlagen, erklärst die Rechtsgrundlage und die Sache ist in vielen Fällen erledigt. Wenn du nichts vorweisen kannst, wird es unangenehm und teuer.
Die DSB veröffentlicht regelmäßig Entscheidungen und Leitlinien auf ihrer Website (dsb.gv.at). Es lohnt sich, dort gelegentlich vorbeizuschauen, um aktuelle Entwicklungen mitzubekommen. Besonders die Entscheidungen zu Google Analytics (Bescheid vom Dezember 2021) und zu Videoüberwachung haben für Startups praktische Relevanz.
Die DSB kooperiert auch eng mit anderen europäischen Aufsichtsbehörden im Rahmen des Europäischen Datenschutzausschusses (EDSA). Entscheidungen aus anderen EU-Ländern können daher auch für Österreich relevant werden.
Bußgelder und Strafen -- was wirklich droht
Die DSGVO sieht Bußgelder in zwei Stufen vor, und die Beträge klingen auf den ersten Blick dramatisch. In der Praxis sieht die Realität für Startups aber anders aus.
Stufe 1 -- bis EUR 10 Millionen oder 2 % des weltweiten Jahresumsatzes: Verstöße gegen organisatorische Pflichten wie das Verarbeitungsverzeichnis (Art. 30), die Pflicht zur Datensicherheit (Art. 32), die Bestellung eines Datenschutzbeauftragten (Art. 37) oder die Meldung von Datenpannen (Art. 33).
Stufe 2 -- bis EUR 20 Millionen oder 4 % des weltweiten Jahresumsatzes: Verstöße gegen die Grundsätze der Verarbeitung (Art. 5), die Rechtsgrundlagen (Art. 6), Betroffenenrechte (Art. 15-22) oder unrechtmäßige Datenübermittlungen in Drittländer.
In der Praxis verhängt die DSB bei Startups und KMU deutlich niedrigere Strafen. Die Bußgeldhöhe richtet sich nach Art, Schwere und Dauer des Verstoßes, der Zahl der Betroffenen, dem Grad des Verschuldens und den getroffenen Gegenmaßnahmen. Wer kooperiert und sofort nachbessert, kommt oft mit einer Verwarnung oder einem niedrigen Bußgeld davon.
| Verstoß | Typisches Bußgeld (KMU in Österreich) | DSGVO-Maximum |
|---|---|---|
| Fehlende Datenschutzerklärung | EUR 2.000 -- 15.000 | EUR 20 Mio. |
| Kein Verarbeitungsverzeichnis | EUR 1.000 -- 10.000 | EUR 10 Mio. |
| Unrechtmäßige Datenverarbeitung | EUR 5.000 -- 50.000 | EUR 20 Mio. |
| Verspätete Datenpannen-Meldung | EUR 3.000 -- 25.000 | EUR 10 Mio. |
| Fehlende Einwilligung für Cookies | EUR 5.000 -- 30.000 | EUR 20 Mio. |
| Verstoß gegen Betroffenenrechte | EUR 3.000 -- 20.000 | EUR 20 Mio. |
Aber: Neben Bußgeldern drohen auch Schadenersatzansprüche von Betroffenen nach Art. 82 DSGVO. Der EuGH hat bestätigt, dass auch immaterieller Schaden (etwa Ärger oder Kontrollverlust über die eigenen Daten) ersatzfähig ist. Und -- oft unterschätzt -- Reputationsschäden. Ein Datenschutzskandal kann für ein junges Unternehmen existenzbedrohend sein, besonders wenn Investoren oder B2B-Kunden Vertrauen verlieren.
Deine DSGVO-Checkliste für den Start
Damit du nicht den Überblick verlierst, hier die wichtigsten Schritte, die du als Startup von Anfang an umsetzen solltest -- priorisiert nach Dringlichkeit.
Sofort erledigen (Tag 1-7):
- Datenschutzerklärung auf der Website erstellen und im Footer verlinken (Details dazu in Datenschutzerklärung erstellen)
- Cookie-Banner einrichten, wenn du Tracking-Tools einsetzt (Anleitung unter Cookie-Banner und Consent-Management)
- Impressum auf der Website prüfen (oft werden Impressum und Datenschutzerklärung vermischt -- das sind zwei getrennte Pflichtseiten)
Innerhalb des ersten Monats:
- Verarbeitungsverzeichnis anlegen -- auch wenn du unter 250 Mitarbeiter hast, denn die Ausnahme greift in der Praxis fast nie (Anleitung unter Verarbeitungsverzeichnis anlegen)
- Auftragsverarbeitungsverträge mit allen Dienstleistern abschließen, die Zugriff auf personenbezogene Daten haben (AVV-Leitfaden)
- Mitarbeiter schriftlich auf das Datengeheimnis verpflichten (Paragraph 4 DSG)
- Prüfen, ob US-Tools DSGVO-konform eingesetzt werden (US-Tools und Datenschutz)
Innerhalb der ersten drei Monate:
- Löschkonzept erstellen -- wann werden welche Daten gelöscht?
- Prozess für Betroffenenrechte definieren -- was passiert, wenn jemand Auskunft oder Löschung verlangt? (Auskunftsrecht und Löschpflicht)
- Notfallplan für Datenpannen erstellen (Datenpanne melden)
- Team zum Thema Datenschutz schulen (Datenschutz im Team)
Laufend beachten:
- Verarbeitungsverzeichnis bei neuen Tools oder Prozessen aktualisieren
- Bei neuen Dienstleistern prüfen, ob ein AVV nötig ist
- Datenschutzerklärung aktualisieren, wenn sich die Datenverarbeitung ändert
- Team regelmäßig sensibilisieren und bei Bedarf nachschulen
- Löschfristen einhalten und dokumentieren
Privacy by Design und Privacy by Default -- von Anfang an richtig
Zwei Konzepte aus Art. 25 DSGVO, die für Startups besonders relevant sind, weil sie sich am besten umsetzen lassen, wenn du von Anfang an daran denkst:
Privacy by Design bedeutet: Datenschutz muss bereits bei der Entwicklung von Produkten, Dienstleistungen und Prozessen mitgedacht werden. Nicht als nachträglicher Aufkleber, sondern als integraler Bestandteil. Wenn du eine App entwickelst, überlegst du von Anfang an, welche Daten du wirklich brauchst. Wenn du ein Kontaktformular baust, fragst du nur das Nötigste ab. Wenn du ein CRM einrichtest, definierst du von Anfang an Löschfristen.
Privacy by Default bedeutet: Die datenschutzfreundlichste Einstellung muss die Standardeinstellung sein. Nutzer müssen aktiv mehr Datenverarbeitung erlauben -- nicht aktiv weniger. Beispiele: Newsletter-Checkbox nicht vorangekreuzt, Profil in einer App standardmäßig privat, Tracking erst nach Consent.
Für Startups ist das eine echte Chance: Du kannst diese Prinzipien in die DNA deines Produkts einbauen, bevor es technische Altlasten gibt. Ein etabliertes Unternehmen mit 15 Jahren Legacy-Code hat es deutlich schwerer.
Praktische Umsetzung von Privacy by Design:
- Datenminimierung im Produktdesign: Brauchst du wirklich Name, Adresse, Geburtsdatum und Telefonnummer? Oder reicht eine E-Mail-Adresse?
- Pseudonymisierung: Wo möglich, arbeite mit pseudonymisierten Daten. Trenne identifizierende Informationen von Nutzungsdaten
- Verschlüsselung: Setze TLS für alle Datenübertragungen ein und verschlüssle gespeicherte Daten (at rest)
- Löschkonzept von Anfang an: Definiere für jeden Datentyp, wann und wie er gelöscht wird -- bevor die erste Zeile Code geschrieben wird
- Zugriffsrechte granular planen: Nicht jeder im Team braucht Zugriff auf alle Kundendaten
Besondere Datenkategorien -- wann du besonders aufpassen musst
Art. 9 DSGVO definiert "besondere Kategorien personenbezogener Daten", deren Verarbeitung grundsätzlich verboten ist -- mit eng begrenzten Ausnahmen. Für manche Startups ist das hochrelevant:
Was sind besondere Kategorien?
- Rassische oder ethnische Herkunft
- Politische Meinungen
- Religiöse oder weltanschauliche Überzeugungen
- Gewerkschaftszugehörigkeit
- Genetische Daten
- Biometrische Daten zur Identifizierung
- Gesundheitsdaten
- Daten zum Sexualleben oder zur sexuellen Orientierung
Wann Startups betroffen sind: Wenn du eine Health-Tech-App betreibst (Gesundheitsdaten), ein HR-Tool mit Diversity-Tracking baust, eine Fitness-App mit biometrischen Daten anbietest oder eine Plattform betreibst, auf der Nutzer ihre religiöse oder politische Zugehörigkeit angeben.
Was du tun musst: Für die Verarbeitung besonderer Kategorien brauchst du in der Regel eine ausdrückliche Einwilligung (Art. 9 Abs. 2 lit. a DSGVO) und musst eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchführen. Außerdem gelten erhöhte Anforderungen an die technischen Schutzmaßnahmen. Wenn dein Geschäftsmodell besondere Datenkategorien berührt, solltest du unbedingt einen spezialisierten Anwalt einbeziehen.
Braucht dein Startup einen Datenschutzbeauftragten?
Ein häufiges Missverständnis: Nicht jedes Unternehmen braucht einen Datenschutzbeauftragten (DSB -- nicht zu verwechseln mit der Datenschutzbehörde, die auch DSB abgekürzt wird). Die Pflicht zur Bestellung besteht nach Art. 37 DSGVO nur unter bestimmten Voraussetzungen.
Du brauchst einen Datenschutzbeauftragten, wenn deine Kerntätigkeit in der umfangreichen, regelmäßigen und systematischen Überwachung von Personen besteht, oder wenn du umfangreich besondere Kategorien von Daten verarbeitest (Gesundheitsdaten, biometrische Daten, politische Meinungen etc.). Anders als in Deutschland gibt es in Österreich keine zahlenmäßige Schwelle (in Deutschland gilt die Pflicht ab 20 Personen, die ständig mit Datenverarbeitung beschäftigt sind).
Für die meisten Startups trifft die Pflicht nicht zu. Wenn du einen Online-Shop betreibst, eine SaaS-Lösung anbietest oder Beratungsdienstleistungen erbringst, brauchst du in der Regel keinen Datenschutzbeauftragten. Anders sieht es aus, wenn dein Geschäftsmodell auf der Verarbeitung großer Mengen personenbezogener Daten basiert -- etwa bei einer Health-Tech-App, einer HR-Plattform oder einem Unternehmen, das Nutzerprofile systematisch auswertet.
Unterschied zu Deutschland: In Deutschland gibt es eine numerische Schwelle -- ab 20 Personen, die ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind, ist ein Datenschutzbeauftragter Pflicht. Diese Schwelle gibt es in Österreich nicht. Hier zählt allein die Art der Verarbeitung. Das ist für österreichische Startups ein Vorteil, weil du dich nicht um formale Schwellenwerte kümmern musst.
Auch ohne gesetzliche Pflicht kann es sinnvoll sein, jemanden im Team zu benennen, der sich um Datenschutzthemen kümmert. Das muss kein Vollzeitjob sein und auch kein formell bestellter Datenschutzbeauftragter -- aber es braucht eine klare Zuständigkeit. Jemand muss wissen, wo das Verarbeitungsverzeichnis liegt, wer die AVVs verwaltet und was bei einer Datenpanne zu tun ist.
Datenschutz-Folgenabschätzung (DSFA) -- wann sie nötig ist
Art. 35 DSGVO verlangt eine Datenschutz-Folgenabschätzung (DSFA), wenn eine Verarbeitung "voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen" darstellt. Die österreichische DSB hat eine Liste von Verarbeitungstätigkeiten veröffentlicht, für die eine DSFA verpflichtend ist (Verordnung der DSB über die Ausnahmen von der Datenschutz-Folgenabschätzung).
Für Startups ist eine DSFA typischerweise nötig bei:
- Systematischer und umfangreicher Bewertung persönlicher Aspekte (Profiling, Scoring)
- Umfangreicher Verarbeitung besonderer Datenkategorien (Gesundheits-Apps, Fintech)
- Systematischer Überwachung öffentlich zugänglicher Bereiche (Videoüberwachung)
- Einsatz neuer Technologien mit hohem Risiko (biometrische Erkennung, KI-basierte Entscheidungen)
Für die meisten Startups in der Frühphase ist keine DSFA nötig. Wenn du einen Standard-Online-Shop, eine Unternehmenswebsite oder ein B2B-SaaS-Produkt betreibst, das keine besonderen Datenkategorien verarbeitet und kein Profiling betreibt, kannst du in der Regel darauf verzichten.
Wenn du unsicher bist: Die DSB-Verordnung enthält eine Whitelist (Verarbeitungen, die keine DSFA erfordern) und eine Blacklist (Verarbeitungen, die eine DSFA erfordern). Prüfe beide Listen auf dsb.gv.at. Im Zweifel: Eine kurze Vorabprüfung dokumentieren, warum du keine DSFA durchführst -- das reicht für die Rechenschaftspflicht.
Kostenlose Ressourcen und Anlaufstellen für Startups in Österreich
Datenschutz muss nicht teuer sein. Es gibt zahlreiche kostenlose Ressourcen, die dir den Einstieg erleichtern:
Wirtschaftskammer Österreich (WKO): Die WKO bietet auf wko.at umfangreiche Leitfäden, Muster-Dokumente (Datenschutzerklärung, AVV, Verarbeitungsverzeichnis) und Webinare zum Thema Datenschutz für KMU. Viele Dokumente sind speziell auf österreichische Unternehmen zugeschnitten. Die Bezirksstellen bieten auch persönliche Beratung an.
Datenschutzbehörde (DSB): Auf dsb.gv.at findest du FAQ, Leitlinien, Entscheidungen und Formulare. Besonders hilfreich: Die DSB-Verordnung zu Datenschutz-Folgenabschätzungen mit White- und Blacklist.
Europäischer Datenschutzausschuss (EDSA): Der EDSA veröffentlicht regelmäßig Leitlinien zu verschiedenen DSGVO-Themen. Die Leitlinien sind zwar etwas akademischer, aber sehr fundiert und werden von allen europäischen Aufsichtsbehörden als Orientierung genutzt (edpb.europa.eu).
NOYB (None of Your Business): Die von Max Schrems gegründete Organisation veröffentlicht auf noyb.eu regelmäßig praxisrelevante Analysen, Entscheidungen und Handlungsempfehlungen. Besonders informativ für aktuelle Entwicklungen.
Startup Burgenland: Wir vermitteln Zugang zu spezialisierten Rechtsanwälten, Steuerberatern und Datenschutz-Experten zu Startup-freundlichen Konditionen. Der EUR 10.000 Gründungszuschuss kann auch für Rechtsberatung im Datenschutzbereich eingesetzt werden.
Zusammenfassung: Die DSGVO auf einen Blick
Damit du den Überblick behältst, hier die wichtigsten Takeaways dieses Beitrags kompakt zusammengefasst:
| Thema | Kernaussage |
|---|---|
| Geltungsbereich | Die DSGVO gilt für jedes Startup ab Tag eins, unabhängig von der Größe |
| Grundsätze | 7 Prinzipien in Art. 5 -- Datenminimierung und Rechenschaftspflicht sind die wichtigsten für den Start |
| Rechtsgrundlagen | Jede Verarbeitung braucht eine der 6 Rechtsgrundlagen aus Art. 6 |
| DSG (Österreich) | Paragraph 4 (Datengeheimnis), Paragraph 12 (Bildverarbeitung), Paragraph 63 (Strafrecht) |
| DSB | Aufsichtsbehörde in Wien, kostenlose Beschwerden, aktive Durchsetzung |
| Bußgelder | Maximal EUR 20 Mio. / 4 % Umsatz, in der Praxis für KMU deutlich niedriger |
| Datenschutzbeauftragter | Für die meisten Startups nicht verpflichtend |
| Privacy by Design | Von Anfang an Datenschutz in Produkte und Prozesse einbauen |
Fazit und Ausblick
Starte mit den Basics: Erstelle deine Datenschutzerklärung und lege ein Verarbeitungsverzeichnis an. Das dauert einen Nachmittag und gibt dir eine solide Grundlage für alles Weitere. Wenn du unsicher bist, ob dein Setup passt, nutze das Netzwerk von Startup Burgenland -- wir vermitteln dich an spezialisierte Rechtsanwälte, die Startup-freundliche Konditionen bieten und die österreichischen Besonderheiten kennen.
Startup Burgenland macht Gründung leistbar: EUR 10.000 Gründungszuschuss (nicht rückzahlbar, keine Eigenkapitalabgabe), 1:1 Coaching und ein Netzwerk aus Steuerberatern, Notaren und Rechtsanwälten. Flexibler Einstieg jederzeit. Schreib uns ein formloses E-Mail.
Über den Autor: Felix Lenhard ist Program Director und Startup Coach bei Startup Burgenland. Zuvor Managing Director beim 360 Innovation Lab, Innovation Manager bei RHI Magnesita und Serial Entrepreneur mit internationalen Exits. Über 15 Jahre Erfahrung in Innovation und Unternehmensaufbau.