US-Tools sind überall -- und genau da liegt das Problem
Google Analytics, AWS, Mailchimp, Slack, HubSpot, Notion, Stripe, Zoom -- die Liste der US-Tools, die Startups täglich nutzen, ist lang. Und sie alle haben eines gemeinsam: Sie übermitteln personenbezogene Daten in die USA. Das ist aus DSGVO-Sicht ein Drittlandtransfer und damit besonders reguliert. Wenn du es falsch machst, riskierst du Bußgelder und Unterlassungsanordnungen.
Seit dem Schrems-II-Urteil des EuGH im Juli 2020 war die Nutzung von US-Tools eine echte rechtliche Grauzone. Das alte EU-US Privacy Shield wurde für ungültig erklärt, und Millionen von europäischen Unternehmen standen plötzlich ohne belastbare Rechtsgrundlage für ihre US-Datentransfers da. Im Juli 2023 kam mit dem EU-US Data Privacy Framework (DPF) ein neuer Angemessenheitsbeschluss -- aber auch dieser steht unter Beobachtung und könnte wieder gekippt werden.
Für dich als Startup-Gründer in Österreich bedeutet das: Du darfst US-Tools nutzen, aber du musst es richtig absichern. In diesem Post erkläre ich dir die aktuelle Rechtslage, die verschiedenen Absicherungsmechanismen und wann es sinnvoller ist, auf EU-Alternativen auszuweichen.
Die Geschichte: Warum US-Datentransfers so kompliziert wurden
Um die aktuelle Situation zu verstehen, hilft ein kurzer Rückblick. Die Geschichte der EU-US-Datentransfers ist eine Geschichte von Max Schrems, einem österreichischen Datenschutz-Aktivisten, der dreimal die rechtliche Grundlage für transatlantische Datentransfers ins Wanken gebracht hat.
2015 -- Schrems I: Max Schrems klagte gegen Facebook Ireland, weil seine Daten in die USA übermittelt wurden, wo die NSA massenhaft Zugriff darauf hatte. Der EuGH erklärte das Safe-Harbor-Abkommen zwischen EU und USA für ungültig (Rs. C-362/14). Ergebnis: Die damalige Rechtsgrundlage für Datentransfers an über 4.000 US-Unternehmen fiel über Nacht weg.
2016 -- EU-US Privacy Shield: Als Nachfolger von Safe Harbor trat das Privacy Shield in Kraft. US-Unternehmen konnten sich beim Department of Commerce zertifizieren lassen und damit einen angemessenen Datenschutz zusichern. Viele Datenschützer kritisierten das Framework von Anfang an als unzureichend.
2020 -- Schrems II: Wieder klagte Max Schrems -- und wieder gewann er. Der EuGH erklärte auch das Privacy Shield für ungültig (Rs. C-311/18). Der Kern des Problems blieb: Die US-Überwachungsgesetze, insbesondere Section 702 FISA (Foreign Intelligence Surveillance Act) und Executive Order 12333, ermöglichten US-Geheimdiensten einen zu weitreichenden Zugriff auf Daten von EU-Bürgern ohne effektiven Rechtsschutz.
2022 -- Executive Order 14086: US-Präsident Biden unterzeichnete eine Executive Order, die den Zugriff der Geheimdienste auf EU-Daten auf das "notwendige und verhältnismäßige" Maß beschränkte und einen zweistufigen Rechtsbehelfsmechanismus schuf -- den Data Protection Review Court (DPRC).
2023 -- EU-US Data Privacy Framework (DPF): Auf Basis der Executive Order erließ die EU-Kommission am 10. Juli 2023 einen neuen Angemessenheitsbeschluss. US-Unternehmen, die sich zertifizieren lassen, bieten wieder ein "angemessenes Datenschutzniveau" im Sinne der DSGVO.
Ausblick -- Schrems III: Max Schrems und seine Organisation NOYB haben angekündigt, auch das DPF vor dem EuGH anzufechten. Ein Verfahren könnte 2-3 Jahre dauern. Der Ausgang ist offen. Es ist nicht auszuschließen, dass auch dieses Framework irgendwann für ungültig erklärt wird. Deshalb: Verlass dich nicht ausschließlich auf das DPF, sondern nutze zusätzliche Absicherungsmechanismen.
Das EU-US Data Privacy Framework -- was es für dein Startup bedeutet
Das DPF ist aktuell die primäre Rechtsgrundlage für Datentransfers an US-Unternehmen, die auf der offiziellen DPF-Liste stehen. Aber es gibt Voraussetzungen, die du prüfen musst.
Schritt 1 -- Prüfen, ob der Anbieter zertifiziert ist: Nicht jedes US-Unternehmen ist automatisch unter dem DPF zertifiziert. Die Zertifizierung ist freiwillig und muss jährlich erneuert werden. Du kannst den Status auf der offiziellen Website dataprivacyframework.gov/list prüfen. Dort gibt es eine durchsuchbare Datenbank aller zertifizierten Unternehmen mit Details zum Scope (HR-Daten, Non-HR-Daten oder beides).
Schritt 2 -- DPF als Rechtsgrundlage im AVV festhalten: Wenn der Anbieter zertifiziert ist, reicht das DPF als Rechtsgrundlage für den Datentransfer. Du brauchst natürlich zusätzlich einen Auftragsverarbeitungsvertrag.
Schritt 3 -- Dokumentation: Halte im Verarbeitungsverzeichnis und in der Datenschutzerklärung fest, dass der Transfer auf dem DPF basiert, und verlinke auf den DPF-Eintrag des Anbieters.
| Anbieter | DPF-zertifiziert? | Scope | AVV verfügbar? |
|---|---|---|---|
| Google LLC (Analytics, Ads, Workspace) | Ja | HR + Non-HR | Ja (Admin-Konsole) |
| Amazon Web Services (AWS) | Ja | HR + Non-HR | Ja (AWS Artifact) |
| Microsoft (Azure, 365, Teams) | Ja | HR + Non-HR | Ja (Trust Center) |
| Mailchimp (Intuit) | Ja | Non-HR | Ja (Account > Legal) |
| HubSpot | Ja | Non-HR | Ja (Account Settings) |
| Stripe | Ja | Non-HR | Ja (Dashboard) |
| Slack (Salesforce) | Ja | HR + Non-HR | Ja (Admin-Bereich) |
| Notion | Ja | Non-HR | Ja (DPA im Hilfebereich) |
| Zoom | Ja | HR + Non-HR | Ja (Admin-Bereich) |
| Vercel | Ja | Non-HR | Ja (Legal-Bereich) |
Standardvertragsklauseln (SCCs) -- dein Sicherheitsnetz
Standard Contractual Clauses (SCCs) sind von der EU-Kommission vorgefertigte Vertragsklauseln, die den Datenexporteur (dich) und den Datenimporteur (den US-Anbieter) vertraglich verpflichten, ein angemessenes Datenschutzniveau sicherzustellen. Sie sind die wichtigste Alternative zum DPF -- und du solltest sie parallel nutzen.
Seit Juni 2021 gelten die neuen SCCs (Durchführungsbeschluss (EU) 2021/914) mit vier Modulen für unterschiedliche Konstellationen:
| Modul | Konstellation | Relevanz für Startups |
|---|---|---|
| Modul 1 | Verantwortlicher an Verantwortlichen | Selten relevant |
| Modul 2 | Verantwortlicher an Auftragsverarbeiter | Häufigster Fall -- dein Cloud-Anbieter |
| Modul 3 | Auftragsverarbeiter an Unter-Auftragsverarbeiter | Indirekt relevant (Sub-Prozessoren deines Anbieters) |
| Modul 4 | Auftragsverarbeiter an Verantwortlichen | Selten relevant |
Die gute Nachricht: Die meisten großen US-Anbieter haben die SCCs bereits in ihre Data Processing Agreements integriert. Wenn du den DPA von Google, AWS, Microsoft oder Mailchimp akzeptierst, schließt du damit automatisch auch die SCCs ab. Du musst also in der Regel nicht separat SCCs verhandeln.
Warum SCCs zusätzlich zum DPF? Falls das DPF durch ein Schrems-III-Urteil kippen sollte, hast du mit den SCCs eine Rückfallposition. Ohne SCCs stündest du nach einem solchen Urteil wieder ohne Rechtsgrundlage da -- wie 2020 nach Schrems II.
Transfer Impact Assessment (TIA) -- die Pflicht, die fast niemand kennt
Seit dem Schrems-II-Urteil verlangt der EuGH für jeden Drittlandtransfer, der auf SCCs basiert, ein Transfer Impact Assessment (TIA). Das TIA ist eine dokumentierte Bewertung, ob das Recht des Ziellandes (hier: USA) den durch die SCCs gewährleisteten Schutz beeinträchtigen könnte.
Für Startups muss das TIA nicht kompliziert sein. Im Wesentlichen dokumentierst du folgende Punkte:
1. Welche Daten werden übermittelt? Datenkategorien, Umfang, Sensibilität. Je sensibler die Daten, desto strenger die Bewertung.
2. An wen und wohin? Konkreter Empfänger, Land, DPF-Zertifizierung. Ist der Empfänger ein Telekommunikationsanbieter, der unter FISA Section 702 fällt? (Die meisten Cloud-Provider fallen darunter, weil sie "electronic communication service provider" sind.)
3. Rechtsrahmen im Zielland: Welche Zugriffsmöglichkeiten haben US-Behörden? Bei den USA: Section 702 FISA und Executive Order 12333 sind die relevanten Gesetze. Aber: Die Executive Order 14086 hat den Zugriff auf das "notwendige und verhältnismäßige" Maß beschränkt und den DPRC als Rechtsbehelfsmechanismus geschaffen. Das DPF basiert auf diesen Verbesserungen.
4. Zusätzliche Schutzmaßnahmen: Verschlüsselung (in transit und at rest), Pseudonymisierung, Zugriffsbeschränkungen, Datenlokalisierung (z. B. EU-Datenregion bei Google und AWS).
5. Ergebnis und Bewertung: Ist der Transfer unter den gegebenen Umständen zulässig? Für Standard-Tools (Google, AWS, Mailchimp) mit DPF-Zertifizierung und SCCs fällt das Ergebnis in der Regel positiv aus -- insbesondere wenn keine besonderen Datenkategorien betroffen sind.
Tipp: Google, Microsoft und AWS stellen selbst TIA-Vorlagen und Informationsmaterialien bereit. Google hat ein "Transfer Impact Assessment White Paper", Microsoft bietet eine "Supplemental Safeguards" Dokumentation, und AWS hat ein "Supplementary Addendum". Nutze diese als Grundlage für dein eigenes TIA.
EU-Alternativen: Wann es sich lohnt, umzusteigen
Manche Datenschutz-Risiken lassen sich am einfachsten vermeiden, indem du EU-basierte Alternativen nutzt. Kein Drittlandtransfer bedeutet kein DPF-Risiko, kein TIA, keine zusätzlichen Klauseln und deutlich weniger Dokumentationsaufwand.
| US-Tool | EU-Alternative | Server-Standort | Kosten (ca.) | Vergleichbarkeit |
|---|---|---|---|---|
| Google Analytics | Matomo (self-hosted) | Dein Server (EU) | Kostenlos (Open Source) | Sehr gut |
| Google Analytics | Plausible Analytics | EU (Estland) | Ab EUR 9/Monat | Einfacher, datenschutzfreundlich |
| Google Analytics | Fathom | EU/Kanada | Ab USD 14/Monat | Einfach, datenschutzfreundlich |
| AWS | Hetzner Cloud | Deutschland | Ab EUR 4/Monat | Gut für kleine/mittlere Workloads |
| AWS | Exoscale | Schweiz/Österreich | Ab EUR 10/Monat | Cloud-native, DACH-fokussiert |
| Mailchimp | Brevo | Frankreich (EU) | Kostenlos bis 300 Mails/Tag | Sehr gut, günstiger |
| Mailchimp | CleverReach | Deutschland | Kostenlos bis 250 Empfänger | Gut, einfache Bedienung |
| Slack | Rocket.Chat (self-hosted) | Dein Server | Kostenlos (Open Source) | Gut, selbst gehostet |
| Slack | Element (Matrix) | EU-Server möglich | Kostenlos (Open Source) | Gut, dezentral |
| Google Workspace | Nextcloud | Dein Server (EU) | Kostenlos (Open Source) | Self-hosted Office-Suite |
| Notion | Outline | Dein Server | Kostenlos (Open Source) | Wiki/Dokumentation |
| Zoom | Jitsi Meet | Dein Server (EU) | Kostenlos (Open Source) | Videokonferenz |
Mein pragmatischer Rat: Du musst nicht alles ersetzen. Wenn du Google Workspace, AWS oder Stripe nutzt und die Absicherung (DPF + SCCs + AVV + TIA) sauber dokumentiert hast, ist das DSGVO-konform. Wechsle dort, wo es einfach ist und wo die EU-Alternative ohnehin besser zu deinem Startup passt.
Der einfachste Quick Win: Google Analytics durch Matomo oder Plausible ersetzen. Das ist in wenigen Stunden erledigt und spart dir dauerhaft Datenschutz-Aufwand -- kein Drittlandtransfer, kein Cookie-Consent bei bestimmten Konfigurationen, keine DPF-Abhängigkeit. Mehr zum Cookie-Thema im Cookie-Banner-Beitrag.
Sonderthema: Google Analytics und die österreichische DSB
Google Analytics verdient einen eigenen Abschnitt, weil es so verbreitet ist und die österreichische DSB hier eine Vorreiterrolle eingenommen hat.
Im Dezember 2021 stellte die DSB in einem wegweisenden Bescheid fest, dass die Nutzung von Google Analytics auf einer österreichischen Website gegen die DSGVO verstößt -- weil der Datentransfer in die USA nicht ausreichend abgesichert war (damals gab es noch kein DPF). Ähnliche Entscheidungen folgten in Frankreich, Italien und anderen EU-Ländern.
Seit dem DPF im Juli 2023 hat sich die Lage geändert: Google LLC ist unter dem DPF zertifiziert, und der Datentransfer hat wieder eine Rechtsgrundlage. Google Analytics 4 (GA4) kann wieder DSGVO-konform genutzt werden -- aber nur unter folgenden Bedingungen:
- Cookie-Banner mit aktiver Einwilligung vor dem Laden des Analytics-Scripts (TKG 2021, Paragraph 165)
- AVV/DPA mit Google abgeschlossen (in der Google-Admin-Konsole)
- IP-Anonymisierung aktiv (in GA4 standardmäßig der Fall, da IP-Adressen nicht mehr gespeichert werden)
- Datenaufbewahrungsdauer auf das Minimum reduziert (2 Monate in GA4)
- In der Datenschutzerklärung korrekt aufgeführt mit DPF-Verweis
- Google Consent Mode v2 implementiert (siehe Cookie-Banner-Beitrag)
- EU-Datenregion in GA4 aktiviert (optional, aber empfohlen)
Technische Schutzmaßnahmen -- was du zusätzlich tun kannst
Neben den rechtlichen Absicherungen (DPF, SCCs, TIA) gibt es technische Maßnahmen, die das Datenschutzrisiko bei US-Tools reduzieren. Diese "supplementary measures" hat der EDSA in seinen Empfehlungen nach Schrems II ausdrücklich empfohlen.
Verschlüsselung mit eigenen Schlüsseln (BYOK/BYOE): Manche Cloud-Anbieter (AWS, Google Cloud, Azure) erlauben es dir, deine eigenen Verschlüsselungsschlüssel zu verwenden (Bring Your Own Key). Der Anbieter kann die Daten dann nicht im Klartext lesen -- auch nicht auf Anforderung einer US-Behörde. Für die meisten Startups ist das technisch zu aufwändig, aber wenn du besonders sensible Daten verarbeitest, kann es sinnvoll sein.
EU-Datenregionen: Viele US-Anbieter bieten mittlerweile EU-Datenregionen an. Google Workspace hat eine EU-Datenlokalisierungsoption, AWS hat Regionen in Frankfurt, Irland und Stockholm, Microsoft Azure hat Regionen in den Niederlanden und Deutschland. Wenn du eine EU-Datenregion wählst, werden die Daten physisch in der EU gespeichert. Das eliminiert den Drittlandtransfer aber nicht vollständig, weil US-Behörden theoretisch auch auf EU-Server zugreifen können -- es reduziert aber das praktische Risiko.
Pseudonymisierung und Anonymisierung: Wo möglich, sende nur pseudonymisierte oder anonymisierte Daten an US-Tools. Beispiel: Statt echte Kundennamen in Analytics-Events zu tracken, verwende anonymisierte IDs. Anonymisierte Daten fallen nicht unter die DSGVO -- die Anonymisierung muss aber wirksam und irreversibel sein.
Minimierung der übermittelten Daten: Übermittle nur die Daten, die das Tool tatsächlich braucht. Bei Google Analytics 4: Deaktiviere "Enhanced Measurement" für Features, die du nicht brauchst. Bei CRM-Tools: Synchronisiere nur die Felder, die du für den jeweiligen Zweck benötigst.
IP-Anonymisierung: Bei Analytics-Tools: Aktiviere die IP-Anonymisierung. In GA4 ist das standardmäßig aktiv -- die IP-Adresse wird nicht gespeichert. Bei anderen Tools: Prüfe die Einstellungen.
Was passiert, wenn Schrems III das DPF kippt?
Die Frage ist nicht ob, sondern wann ein Verfahren gegen das DPF eröffnet wird. NOYB hat Beschwerden angekündigt. Was passiert, wenn der EuGH das DPF tatsächlich für ungültig erklärt?
Kurzfristig: Die Situation wäre ähnlich wie nach Schrems II im Juli 2020. Datentransfers, die ausschließlich auf dem DPF basieren, wären sofort rechtswidrig. Unternehmen mit SCCs als Rückfallposition wären besser aufgestellt, müssten aber ihr TIA aktualisieren.
Was du jetzt tun kannst:
- Stelle sicher, dass deine AVVs/DPAs mit US-Anbietern sowohl DPF als auch SCCs als Rechtsgrundlage enthalten (die meisten großen Anbieter tun das bereits)
- Halte dein TIA aktuell
- Identifiziere kritische US-Tools und prüfe EU-Alternativen als Backup
- Verfolge die Berichterstattung (NOYB, Datenschutz-Blogs, DSB-Pressemitteilungen)
Realistisch: Selbst wenn der EuGH das DPF kippen sollte, würde das nicht von heute auf morgen passieren. Ein EuGH-Verfahren dauert typischerweise 2-3 Jahre. Und es ist wahrscheinlich, dass die EU und die USA in der Zwischenzeit nachverhandeln würden. Aber vorbereitet sein schadet nie.
Checkliste: US-Tool DSGVO-konform nutzen
Für jedes US-Tool, das du einsetzt, arbeite diese Schritte systematisch ab:
- DPF-Zertifizierung prüfen auf dataprivacyframework.gov -- ist die Zertifizierung aktiv?
- AVV/DPA abschließen im Account-Bereich des Anbieters (siehe AVV-Leitfaden)
- SCCs prüfen -- sind sie im DPA enthalten? Welches Modul?
- Transfer Impact Assessment durchführen und als PDF ablegen
- Sub-Prozessoren prüfen -- wo sitzen die Sub-Prozessoren des Anbieters?
- Datenschutzerklärung aktualisieren -- Drittlandtransfer mit Rechtsgrundlage (DPF/SCCs) aufführen
- Verarbeitungsverzeichnis ergänzen -- Drittlandtransfer-Spalte ausfüllen
- Technische Maßnahmen konfigurieren -- EU-Datenregion, Verschlüsselung, minimale Datenerhebung
- Jährlich prüfen -- DPF-Zertifizierung kann erlöschen, Rechtslage kann sich ändern
Weitere Drittländer -- nicht nur die USA sind ein Thema
Die meiste Aufmerksamkeit liegt auf US-Datentransfers, aber die DSGVO reguliert Datentransfers in alle Länder außerhalb des EU/EWR-Raums gleichermaßen. Für Startups relevant:
Länder mit Angemessenheitsbeschluss: Für einige Drittländer hat die EU-Kommission Angemessenheitsbeschlüsse erlassen. Datentransfers in diese Länder sind ohne zusätzliche Schutzmaßnahmen zulässig. Dazu gehören unter anderem: Schweiz, UK (bis 2025 verlängert), Kanada (teilweise), Japan, Südkorea, Israel, Neuseeland und Uruguay.
UK nach dem Brexit: Das Vereinigte Königreich hat einen Angemessenheitsbeschluss, der aber befristet ist. Wenn du Tools von UK-Anbietern nutzt, prüfe regelmäßig den Status.
Indien und andere Entwicklungsländer: Für Indien gibt es keinen Angemessenheitsbeschluss. Wenn du Dienstleister in Indien nutzt (z. B. Outsourcing von Entwicklung oder Kundensupport), brauchst du SCCs und ein TIA. Das kann besonders bei Softwareentwicklung relevant werden, wenn Entwickler in Indien Zugriff auf Produktionsdaten haben.
China: Datentransfers nach China sind besonders heikel. Es gibt keinen Angemessenheitsbeschluss, und das chinesische Datenschutzrecht (PIPL) enthält weitreichende Befugnisse für staatlichen Datenzugriff. Für Startups ist das in der Regel nicht relevant -- es sei denn, du nutzt Tools wie TikTok-Ads oder Alibaba Cloud.
Dokumentation: Alles an einem Ort
Egal ob DPF, SCCs oder EU-Alternative: Dokumentiere deine Entscheidungen nachvollziehbar. Erstelle einen Ordner "Datenschutz/Drittlandtransfers" mit folgender Struktur:
- Für jeden US-Anbieter: Screenshot der DPF-Zertifizierung (mit Datum)
- PDF des DPA/AVV
- TIA-Dokumentation
- Sub-Prozessor-Liste
- Notiz mit der Begründung, warum du dieses Tool nutzt und keine EU-Alternative gewählt hast
Bei einer Anfrage der DSB kannst du diese Unterlagen sofort vorlegen -- das zeigt, dass du deine Pflichten ernst nimmst und erspart dir hektisches Zusammensuchen unter Zeitdruck.
Praktische Umsetzung: Tool-Wechsel DSGVO-konform durchführen
Wenn du von einem US-Tool auf eine EU-Alternative wechselst (oder umgekehrt), gibt es einige Datenschutz-Aspekte zu beachten:
Datenmigration: Beim Export personenbezogener Daten aus dem alten Tool und Import in das neue Tool musst du sicherstellen, dass die Daten sicher übertragen werden (verschlüsselt, nicht über unsichere Kanäle). Lösche die exportierte Datei nach dem erfolgreichen Import.
AVV mit dem alten Anbieter: Kläre, was mit deinen Daten beim alten Anbieter passiert. Die meisten AVVs regeln, dass Daten nach Vertragsende gelöscht oder zurückgegeben werden. Fordere eine Löschbestätigung an und dokumentiere sie.
AVV mit dem neuen Anbieter: Schließe den AVV/DPA mit dem neuen Anbieter ab, bevor du personenbezogene Daten importierst -- nicht danach.
Datenschutzerklärung und Verarbeitungsverzeichnis aktualisieren: Ersetze den alten Anbieter durch den neuen. Prüfe, ob sich die Rechtsgrundlage für den Datentransfer ändert (z. B. Wegfall des Drittlandtransfers bei Wechsel von US- zu EU-Tool).
Einwilligungen prüfen: Wenn die Einwilligungstexte den alten Anbieter namentlich nennen, musst du prüfen, ob die Einwilligung auch den neuen Anbieter abdeckt. Bei generisch formulierten Einwilligungen ("Wir nutzen einen Newsletter-Dienst") ist das unproblematisch. Bei spezifischen Formulierungen ("Wir nutzen Mailchimp") musst du die Empfänger ggf. informieren.
Open-Source-Alternativen: Volle Kontrolle für technische Gründer
Wenn du oder jemand in deinem Team technisch versiert ist, bieten Open-Source-Tools eine besonders datenschutzfreundliche Option. Du hostest die Software auf deinem eigenen Server (oder einem EU-Hoster) und hast volle Kontrolle über die Daten. Kein Drittlandtransfer, kein DPF-Risiko, keine Abhängigkeit von US-Anbietern.
Vorteile von Self-Hosted Open Source:
- Keine Datenübermittlung an Dritte -- die Daten bleiben auf deinem Server
- Kein AVV mit dem Software-Hersteller nötig (nur mit dem Hosting-Provider)
- Kein Drittlandtransfer, wenn der Server in der EU steht
- Volle Kontrolle über Datenverarbeitung, Speicherung und Löschung
- Oft kostenlos (Kosten nur für Hosting und Wartung)
Nachteile:
- Wartungsaufwand: Updates, Sicherheitspatches, Backups liegen bei dir
- Technisches Know-how erforderlich
- Kein professioneller Support (außer du kaufst Enterprise-Support)
- Manche Features fehlen im Vergleich zu kommerziellen Alternativen
Die besten Open-Source-Tools für Startups:
| Zweck | Tool | Besonderheit |
|---|---|---|
| Web-Analytics | Matomo | Umfangreich, GA-Alternative, optional cookie-frei |
| Videokonferenz | Jitsi Meet | Einfach, kein Account nötig |
| Team-Chat | Rocket.Chat, Element (Matrix) | Slack-Alternative, verschlüsselt |
| Office/Wiki | Nextcloud, Outline | Google Workspace-Alternative |
| E-Mail-Marketing | Listmonk | Leichtgewichtig, schnell |
| CRM | EspoCRM, Twenty | Einfaches CRM, self-hosted |
| Projektmanagement | Leantime, Focalboard | Asana/Trello-Alternative |
Jetzt loslegen
Geh deine Tool-Liste durch und prüfe für jedes US-Tool die DPF-Zertifizierung, den AVV-Status und die Dokumentation. Wo es einfach möglich ist, wechsle auf EU-Alternativen. Im nächsten Post geht es um ein Thema, das direkt mit deinen Tools zusammenhängt: Wie du Auskunfts- und Löschpflichten umsetzt, wenn Betroffene ihre Rechte geltend machen -- und zwar über alle deine Systeme hinweg. Bei Startup Burgenland helfen wir dir bei der Tool-Auswahl und der datenschutzrechtlichen Absicherung.
Startup Burgenland macht Gründung leistbar: EUR 10.000 Gründungszuschuss (nicht rückzahlbar, keine Eigenkapitalabgabe), 1:1 Coaching und ein Netzwerk aus Steuerberatern, Notaren und Rechtsanwälten. Flexibler Einstieg jederzeit. Schreib uns ein formloses E-Mail.
Über den Autor: Felix Lenhard ist Program Director und Startup Coach bei Startup Burgenland. Zuvor Managing Director beim 360 Innovation Lab, Innovation Manager bei RHI Magnesita und Serial Entrepreneur mit internationalen Exits. Über 15 Jahre Erfahrung in Innovation und Unternehmensaufbau.