Dein Team ist dein größtes Datenschutz-Risiko -- und deine beste Verteidigung
Du kannst die perfekte Datenschutzerklärung haben, ein lückenloses Verarbeitungsverzeichnis führen und AVVs mit allen Dienstleistern abgeschlossen haben. Wenn dann ein Mitarbeiter eine Kundenliste per unverschlüsselter E-Mail an den falschen Empfänger schickt, war alles umsonst. Die Realität ist: Die meisten Datenpannen entstehen durch menschliche Fehler, nicht durch raffinierte Hackerangriffe.
Laut dem IBM Cost of a Data Breach Report 2024 sind menschliche Fehler und Social Engineering zusammen für fast die Hälfte aller Datenpannen verantwortlich. Und in kleinen Teams, wo jeder Zugang zu fast allem hat und die Prozesse noch informell sind, ist das Risiko besonders hoch. Deshalb ist Datenschutz-Schulung keine Kür, sondern Pflicht -- buchstäblich, denn die DSGVO und das österreichische DSG verlangen es.
Bei Startup Burgenland betonen wir im Coaching immer wieder: Datenschutz ist eine Teamaufgabe. Du als Gründer kannst nicht alles alleine kontrollieren. Dein Team muss verstehen, warum Datenschutz wichtig ist und was es konkret im Arbeitsalltag tun muss. In diesem Post zeige ich dir, wie du das pragmatisch und ohne großes Budget umsetzt.
Die rechtliche Pflicht zur Schulung -- was DSGVO und DSG verlangen
Die Schulungspflicht ergibt sich aus mehreren Rechtsquellen, auch wenn das Wort "Schulung" in der DSGVO nur einmal explizit vorkommt:
Art. 39 Abs. 1 lit. b DSGVO -- Aufgaben des Datenschutzbeauftragten: Der Datenschutzbeauftragte (falls vorhanden) hat die Aufgabe, die "an der Verarbeitung beteiligten Mitarbeiter zu sensibilisieren und zu schulen." Aber auch ohne DSB besteht die Pflicht, denn die nächsten Punkte greifen unabhängig davon.
Art. 32 DSGVO -- Sicherheit der Verarbeitung: Du musst "geeignete technische und organisatorische Maßnahmen" treffen, um ein angemessenes Schutzniveau zu gewährleisten. Dazu gehören nach herrschender Meinung und laut den Leitlinien des Europäischen Datenschutzausschusses (EDSA) auch Schulungen. Die beste Technik nützt nichts, wenn die Menschen sie falsch bedienen oder Sicherheitsregeln nicht kennen.
Art. 5 Abs. 2 DSGVO -- Rechenschaftspflicht: Du musst nachweisen können, dass du die DSGVO einhältst. Dokumentierte Schulungen sind ein wichtiger Baustein dieses Nachweises. Wenn die DSB prüft, ob du angemessene organisatorische Maßnahmen getroffen hast, und du keine Schulungsdokumentation vorlegen kannst, ist das ein Problem.
Paragraph 4 DSG -- Datengeheimnis: Alle Personen, die Zugang zu personenbezogenen Daten haben, unterliegen dem Datengeheimnis und sind zur Verschwiegenheit verpflichtet. Du musst sie über diese Pflicht nachweislich informieren. Das ist keine Option -- es ist eine gesetzliche Pflicht nach österreichischem Recht.
Paragraph 6 DSG -- Verarbeitung zu wissenschaftlichen Zwecken: Hier wird explizit auf die Notwendigkeit geschulten Personals hingewiesen -- ein Hinweis darauf, dass der Gesetzgeber Schulungen als Standard voraussetzt.
Konsequenzen fehlender Schulung
- Bei einer Datenpanne prüft die DSB, ob du angemessene organisatorische Maßnahmen getroffen hast. Fehlende Schulungen sind ein klares Indiz für mangelnde Sorgfalt und können zu höheren Bußgeldern führen
- Die belgische Datenschutzbehörde hat 2022 ein Bußgeld von EUR 100.000 verhängt, unter anderem weil das Unternehmen seine Mitarbeiter nicht ausreichend geschult hatte
- Geschulte Mitarbeiter machen nachweislich weniger Fehler -- Schulung ist also auch aus wirtschaftlicher Sicht sinnvoll
Die Verpflichtungserklärung -- Schritt eins am ersten Arbeitstag
Jeder neue Mitarbeiter, freie Dienstnehmer, Praktikant oder Werkstudent sollte am ersten Arbeitstag eine Verpflichtungserklärung zum Datenschutz und zum Datengeheimnis unterschreiben. Das ist der formale Nachweis, dass die Person über ihre Pflichten informiert wurde -- und die Grundlage für die Verantwortung im Falle eines Verstoßes.
Was in die Verpflichtungserklärung gehört
| Element | Inhalt |
|---|---|
| Datengeheimnis | Verweis auf Paragraph 4 DSG und die gesetzliche Verschwiegenheitspflicht |
| DSGVO-Grundsätze | Kurze, verständliche Zusammenfassung der wichtigsten Pflichten |
| Zweckbindung | Personenbezogene Daten nur für dienstliche Zwecke verwenden |
| Vertraulichkeit | Keine Weitergabe von personenbezogenen Daten an unbefugte Dritte |
| Meldepflicht | Pflicht, Datenschutzverletzungen und Verdachtsfälle sofort intern zu melden |
| Technische Regeln | Pflicht zur Einhaltung der IT-Sicherheitsrichtlinien (Passwörter, Bildschirmsperre etc.) |
| Konsequenzen | Hinweis auf arbeitsrechtliche und strafrechtliche Folgen bei Verstößen (Paragraph 63 DSG) |
| Fortgeltung | Die Verschwiegenheitspflicht gilt auch nach Ende des Arbeitsverhältnisses |
| Bestätigung | Die Person bestätigt, über ihre Pflichten informiert und geschult worden zu sein |
| Datum und Unterschrift | Beider Seiten |
Aufbewahrung: Die unterschriebene Verpflichtungserklärung gehört in die Personalakte und muss für die Dauer des Arbeitsverhältnisses (plus Aufbewahrungsfristen) aufbewahrt werden.
Eine Vorlage für die Verpflichtungserklärung findest du bei der WKO (wko.at) oder kannst sie über das Startup-Burgenland-Netzwerk anfordern. Viele Rechtsanwälte bieten ebenfalls kostenlose oder günstige Muster an.
Schulungsinhalte -- was dein Team wirklich wissen muss
Du musst keine vierstündige Compliance-Schulung veranstalten. Für ein kleines Startup-Team reichen 60 bis 90 Minuten -- wenn du die richtigen Inhalte behandelst und sie praxisnah präsentierst. Theorie allein bleibt nicht hängen; Beispiele aus dem eigenen Arbeitsalltag schon.
Modul 1: Grundlagen (15--20 Minuten)
- Was sind personenbezogene Daten? (Mit konkreten Beispielen aus eurem Arbeitsalltag: Kundennamen im CRM, IP-Adressen in Logfiles, E-Mail-Adressen in der Newsletter-Liste, Fotos von Teammitgliedern auf der Website)
- Was ist die DSGVO und warum gibt es sie? (Kurz und verständlich, ohne Gesetzeszitate)
- Was ist das Datengeheimnis nach Paragraph 4 DSG? (Ihr habt es unterschrieben -- das bedeutet es konkret)
- Was passiert bei Verstößen? (Bußgelder für das Unternehmen, arbeitsrechtliche Konsequenzen für den Einzelnen, strafrechtliche Sanktionen nach Paragraph 63 DSG)
Modul 2: Alltags-Situationen (30--40 Minuten)
Hier wird es konkret. Geh die typischen Situationen im Arbeitsalltag deines Teams durch und besprecht gemeinsam, was richtig und was falsch ist.
E-Mail-Versand -- der Klassiker:
- BCC statt CC bei Gruppen-E-Mails an externe Empfänger (jeder sieht sonst alle Adressen -- das ist eine Datenpanne)
- Keine personenbezogenen Daten in unverschlüsselten E-Mail-Anhängen an Externe
- Empfänger vor dem Senden prüfen -- die Auto-Vervollständigung im E-Mail-Programm ist der häufigste Grund für fehlgeleitete E-Mails
- Keine Weiterleitung von E-Mails mit Kundendaten an private E-Mail-Adressen
- Bei sensiblen Daten: verschlüsselte Übertragung oder passwortgeschütztes ZIP
Passwort-Sicherheit und Zugänge:
- Für jeden Dienst ein eigenes, starkes Passwort (mindestens 12 Zeichen, Kombination aus Buchstaben, Zahlen, Sonderzeichen -- oder besser: Passphrase)
- Passwort-Manager nutzen (Bitwarden ist kostenlos und Open Source, 1Password ab EUR 3/Monat)
- Zwei-Faktor-Authentifizierung (2FA) aktivieren -- überall, wo es möglich ist
- Keine Passwörter auf Post-its, in Excel-Listen, per Messenger oder per E-Mail teilen
- Zugänge von ausgeschiedenen Mitarbeitern sofort deaktivieren
Physische Sicherheit:
- Bildschirmsperre bei jeder Abwesenheit vom Arbeitsplatz (Windows: Win+L, Mac: Ctrl+Cmd+Q)
- Clean-Desk-Policy: Keine Ausdrucke mit personenbezogenen Daten offen liegen lassen
- Dokumente mit personenbezogenen Daten shreddern, nicht einfach in den Papierkorb werfen
- Laptop nicht unbeaufsichtigt im Cafe, im Zug oder sichtbar im Auto lassen
- Bei Telefonaten mit Kundendaten: Umgebung beachten (nicht im offenen Coworking Space)
Cloud, Collaboration und Messenger:
- Dokumente nicht auf "Jeder mit dem Link" freigeben -- Zugriffsrechte bewusst vergeben
- Need-to-know-Prinzip: Nur die Personen erhalten Zugang, die ihn für ihre Arbeit brauchen
- Keine personenbezogenen Daten in öffentlichen Slack-Channels, Teams-Kanälen oder WhatsApp-Gruppen
- Kundendaten nicht über private Messenger (WhatsApp, Telegram) austauschen -- das ist eine Datenübermittlung an den Messenger-Betreiber ohne AVV
- Private Geräte (BYOD): Klare Regeln, ob und wie Firmendaten auf privaten Geräten genutzt werden dürfen
Modul 3: Betroffenenrechte und Datenpannen (15--20 Minuten)
- Was tun, wenn ein Kunde Auskunft oder Löschung verlangt? An wen intern weiterleiten? Welche Frist gilt? (Verweis auf Auskunftsrecht und Löschpflicht)
- Was ist eine Datenpanne und wie erkenne ich eine? (Nicht nur Hackerangriffe -- auch die E-Mail an den falschen Empfänger)
- An wen melde ich eine Datenpanne intern? (Eine klare Anlaufstelle definieren)
- Warum "unter den Teppich kehren" die absolut schlechteste Option ist -- es macht alles schlimmer und kann persönliche Konsequenzen haben
Typische Mitarbeiter-Fehler und wie du sie verhinderst
| Fehler | Mögliche Konsequenz | Prävention |
|---|---|---|
| CC statt BCC bei Gruppen-E-Mail | Datenpanne -- alle Adressen offengelegt | Schulung + technische Voreinstellungen |
| Kundendaten per WhatsApp teilen | Datenübermittlung an Meta ohne AVV und Rechtsgrundlage | Klare Policy: Keine Kundendaten über Messenger |
| Passwort "startup123" für alle Tools | Ein kompromittierter Account = Zugang zu allem | Passwort-Manager + 2FA als Pflicht |
| USB-Stick mit Kundendaten verloren | Meldepflichtige Datenpanne | USB-Sticks verschlüsseln oder verbieten |
| Bewerbungsunterlagen breit weiterleiten | Unnötige Verarbeitung sensibler Daten | Need-to-know-Prinzip implementieren |
| Öffentliches WLAN ohne VPN nutzen | Daten können abgefangen werden | VPN-Pflicht für Remote-Arbeit |
| Screenshots von Kundendaten in Präsentationen | Personenbezogene Daten an unbeteiligte Dritte | Daten anonymisieren oder pseudonymisieren |
| Phishing-Link anklicken | Kompromittierung des Systems, potenzielle Datenpanne | Regelmäßiges Phishing-Awareness-Training |
Schulungsformate für verschiedene Teamgrößen
Du musst keine teure E-Learning-Plattform kaufen. Hier sind pragmatische Formate für verschiedene Situationen:
Für Solo-Gründer und Teams bis 5 Personen
Interner Workshop (empfohlen): 60 bis 90 Minuten, einmal jährlich plus bei Neueintritten. Du oder die datenschutzverantwortliche Person moderiert. Arbeitet gemeinsam die Module durch, besprecht Fallbeispiele aus eurem Alltag und beantwortet Fragen. Führe eine Anwesenheitsliste und lass sie unterschreiben. Kosten: EUR 0 (deine Arbeitszeit).
Für Teams von 5 bis 20 Personen
Kombination aus Workshop und kurzen Updates: Jährlicher Workshop wie oben, ergänzt durch monatliche "Datenschutz-Tipps" im Team-Meeting (5 Minuten -- ein konkreter Tipp oder ein aktueller Fall aus den Medien). Das hält das Thema präsent, ohne zu nerven. Optional: Kurze schriftliche Zusammenfassung als Handout oder im internen Wiki.
Für Teams ab 20 Personen
Online-Schulung mit Zertifikat: Plattformen wie DataGuard, Proliance 360, KnowBe4 oder SoSafe bieten fertige Datenschutz-E-Learnings an. Kosten: ab ca. EUR 20 bis EUR 50 pro Person und Jahr. Vorteile: Automatisierte Dokumentation, Zertifikate als Nachweis, jeder kann im eigenen Tempo lernen, standardisierte Inhalte. Ergänze das E-Learning durch einen jährlichen Team-Workshop, um offene Fragen zu klären.
Kostenlose Ressourcen für Schulungsinhalte
- WKO-Leitfäden zum Datenschutz für KMU (wko.at)
- DSB-Website (dsb.gv.at) mit FAQ, Leitlinien und Entscheidungen
- BfDI (deutscher Bundesbeauftragter für Datenschutz) bietet umfangreiche, frei verfügbare Materialien und Checklisten
- EDSA-Leitlinien zu verschiedenen Datenschutzthemen (edpb.europa.eu)
- NOYB (noyb.eu) veröffentlicht regelmäßig praxisrelevante Analysen und Entscheidungen
Security Awareness -- über reinen Datenschutz hinaus
Datenschutz-Schulung und IT-Security-Awareness gehören zusammen. Denn die technische Sicherheit deiner Systeme hängt maßgeblich von den Menschen ab, die sie bedienen. Und eine IT-Sicherheitslücke wird schnell zur Datenpanne.
Phishing-Awareness: Phishing ist die häufigste Angriffsform auf kleine Unternehmen. Trainiere dein Team, verdächtige E-Mails zu erkennen: Absenderadresse genau prüfen, keine Links in unerwarteten E-Mails anklicken, im Zweifel beim vermeintlichen Absender nachfragen (aber nicht über den Link in der E-Mail!). Manche Plattformen (KnowBe4, SoSafe) bieten simulierte Phishing-Tests an -- das ist ein sehr effektives Lernformat.
Mobile Sicherheit: Smartphone und Tablet mit PIN oder Biometrie sichern. Firmendaten nur in genehmigten Apps. Remote-Wipe-Möglichkeit für verlorene Geräte einrichten (über Google Workspace, Microsoft 365 oder Apple Business Manager).
Software-Updates: Betriebssystem und Browser immer aktuell halten. Automatische Updates aktivieren. Keine Software aus unbekannten Quellen installieren. Veraltete Software ist eines der häufigsten Einfallstore für Angriffe.
Datenschutz-Kultur aufbauen -- mehr als nur Pflichtübung
Schulungen und Verpflichtungserklärungen sind der formale Rahmen. Aber echter Datenschutz im Team entsteht durch eine Kultur, in der Datenschutz als selbstverständlich gilt -- nicht als lästige Pflicht.
Vorleben durch die Geschäftsführung: Wenn du als Gründer selbst Kundendaten per WhatsApp teilst oder Passwörter auf Post-its klebst, wird dein Team das nicht anders machen. Datenschutz beginnt beim Vorbild.
Offene Fehlerkultur: Wenn ein Mitarbeiter einen Datenschutz-Fehler macht (z. B. E-Mail an falschen Empfänger), muss er sich trauen, das sofort zu melden. Wenn die Reaktion auf einen Fehler Schuldzuweisung und Bestrafung ist, werden Fehler vertuscht -- und aus einem kleinen Vorfall wird eine verspätete Datenpannen-Meldung. Mach klar: Fehler melden ist gut. Fehler vertuschen ist schlecht.
Datenschutz als Qualitätsmerkmal: Gerade für B2B-Startups kann guter Datenschutz ein Wettbewerbsvorteil sein. Enterprise-Kunden fragen zunehmend nach Datenschutz-Dokumentation, Zertifizierungen und Audit-Berichten. Wenn dein Team versteht, dass guter Datenschutz Deals gewinnt, steigt die Motivation.
Micro-Learnings im Alltag: Statt großer jährlicher Schulungen funktionieren kleine, regelmäßige Impulse oft besser. Ein Datenschutz-Tipp in der wöchentlichen Team-Nachricht, ein kurzer Hinweis bei der Einführung eines neuen Tools, eine gemeinsame Diskussion eines aktuellen Datenschutz-Vorfalls aus den Medien.
BYOD (Bring Your Own Device) -- Regeln für private Geräte
In Startups ist es üblich, dass Mitarbeiter ihre privaten Smartphones und manchmal auch Laptops für die Arbeit nutzen. Das spart Kosten, birgt aber Datenschutz-Risiken.
Was du regeln musst:
- Dürfen Firmendaten auf privaten Geräten gespeichert werden? Wenn ja, unter welchen Bedingungen?
- Welche Apps sind für Firmendaten zugelassen? (z. B. nur Google Workspace und Slack, nicht WhatsApp)
- Ist das Gerät mit PIN/Biometrie gesichert?
- Ist eine Remote-Wipe-Möglichkeit eingerichtet, falls das Gerät verloren geht?
- Was passiert mit Firmendaten auf dem privaten Gerät, wenn der Mitarbeiter das Unternehmen verlässt?
Die einfachste Lösung für Startups: Nutze Dienste, die per Browser zugänglich sind (Google Workspace, Slack im Browser, webbasiertes CRM). Dann liegen keine Firmendaten lokal auf dem privaten Gerät, und bei Ausscheiden des Mitarbeiters musst du nur die Account-Zugänge sperren.
Eine BYOD-Richtlinie muss nicht lang sein -- eine Seite mit klaren Regeln reicht. Lass sie von jedem Mitarbeiter unterschreiben und bewahre sie in der Personalakte auf.
Offboarding -- was bei Austritt eines Mitarbeiters zu tun ist
Das Offboarding ist aus Datenschutzsicht genauso wichtig wie das Onboarding. Wenn ein Mitarbeiter das Unternehmen verlässt, musst du sicherstellen, dass er keinen Zugriff mehr auf personenbezogene Daten hat.
Offboarding-Checkliste Datenschutz:
- Alle Accounts deaktivieren (E-Mail, CRM, Cloud, Projektmanagement, Slack, Analytics)
- Passwörter für gemeinsam genutzte Accounts ändern (falls vorhanden -- besser: keine gemeinsamen Accounts verwenden)
- Firmendaten von privaten Geräten löschen (Remote-Wipe oder Selbstverpflichtung)
- VPN-Zugang sperren
- Schlüssel und Zugangskarten einziehen
- Prüfen, ob der Mitarbeiter Daten exportiert oder kopiert hat
- Erinnerung an die fortgeltende Verschwiegenheitspflicht (Paragraph 4 DSG gilt auch nach Ende des Arbeitsverhältnisses)
Tipp: Erstelle eine Offboarding-Checkliste und arbeite sie bei jedem Austritt systematisch ab. In einem kleinen Team vergisst man leicht, einen von 15 Accounts zu sperren -- und genau der kann dann zum Problem werden.
Schulung dokumentieren -- für die Rechenschaftspflicht
Dokumentation ist der Schlüssel zur Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO). Ohne Dokumentation hast du keine Schulung durchgeführt -- zumindest aus Sicht der DSB. Halte für jede Schulung fest:
- Datum und Dauer der Schulung
- Ort und Format (Präsenz-Workshop, Online, E-Learning)
- Teilnehmerliste mit Unterschriften oder digitalem Nachweis
- Inhalte (Agenda, Folien oder Verweis auf das E-Learning-Modul)
- Schulungsunterlagen (als PDF archivieren)
- Trainer/Verantwortlicher
- Nächster geplanter Schulungstermin
- Verbesserungsvorschläge aus dem Team (optional, aber wertvoll)
Bewahre diese Dokumentation mindestens 3 Jahre auf -- besser länger. Bei einer Prüfung durch die DSB oder bei einer Datenpanne ist sie ein entscheidender Nachweis für deine Sorgfaltspflicht.
Digitale Dokumentation: Wenn du Online-Schulungen durchführst (z. B. über Zoom oder Google Meet), speichere den Meeting-Link, die Teilnehmerliste und die Agenda. Screenshots der Teilnehmerliste reichen als Nachweis. Bei E-Learning-Plattformen werden Zertifikate automatisch generiert -- lade sie herunter und archiviere sie.
Physische Dokumentation: Bei Präsenz-Schulungen: Drucke eine Teilnehmerliste aus, lass sie unterschreiben und scanne sie anschließend als PDF ein. Bewahre das Original in einem Ordner "Datenschutz/Schulungen" auf.
Dein Schulungskalender fürs erste Jahr
| Zeitpunkt | Maßnahme | Aufwand | Dokumentation |
|---|---|---|---|
| Tag 1 (neuer MA) | Verpflichtungserklärung unterschreiben | 10 Minuten | Unterschriebenes Dokument in Personalakte |
| Tag 1--7 (neuer MA) | Einführungsschulung Datenschutz (Module 1--3) | 60--90 Minuten | Teilnahmebestätigung |
| Monatlich | Datenschutz-Tipp im Team-Meeting | 5 Minuten | Kurze Notiz im Meetingprotokoll |
| Quartalsweise | Kurzcheck: Neue Tools, Prozesse, Risiken? | 15 Minuten | Interner Vermerk |
| Halbjährlich | Phishing-Awareness-Übung (optional) | 30 Minuten | Ergebnisbericht |
| Jährlich | Auffrischungsschulung für alle | 60--90 Minuten | Teilnehmerliste + Agenda |
| Bei Bedarf | Anlassbezogene Schulung (z. B. nach Datenpanne) | 30--60 Minuten | Teilnehmerliste + Inhalt |
| Bei Tool-Wechsel | Einweisung in neues Tool mit Datenschutz-Hinweisen | 15--30 Minuten | Kurze Notiz |
| Bei Regeländerung | Update zu neuen gesetzlichen Anforderungen | 15 Minuten | E-Mail oder Meeting-Notiz |
Dieser Kalender ist ein Minimum. Passe ihn an dein Startup an -- wenn du in einer regulierten Branche (Fintech, Healthtech) tätig bist, solltest du die Frequenz erhöhen.
Zusammenfassung und Handlungsempfehlung
Plane jetzt deine erste Team-Schulung -- oder die nächste Auffrischung. Du brauchst nicht viel: eine Stunde Zeit, die Verpflichtungserklärung zum Unterschreiben und die Inhalte aus diesem Post. Starte mit den Grundlagen und den Alltags-Situationen -- das bringt am meisten. Vergiss nicht, alles zu dokumentieren. Und schau dir die vorherigen Posts dieser Serie an, um die fachlichen Grundlagen zu vertiefen: von den DSGVO-Grundlagen über die Datenschutzerklärung bis zur Datenpannen-Meldung. Bei Startup Burgenland unterstützen wir dich mit Schulungsvorlagen, Verpflichtungserklärungen und Zugang zu spezialisierten Beratern -- melde dich einfach bei uns.
Startup Burgenland macht Gründung leistbar: EUR 10.000 Gründungszuschuss (nicht rückzahlbar, keine Eigenkapitalabgabe), 1:1 Coaching und ein Netzwerk aus Steuerberatern, Notaren und Rechtsanwälten. Flexibler Einstieg jederzeit. Schreib uns ein formloses E-Mail.
Über den Autor: Felix Lenhard ist Program Director und Startup Coach bei Startup Burgenland. Zuvor Managing Director beim 360 Innovation Lab, Innovation Manager bei RHI Magnesita und Serial Entrepreneur mit internationalen Exits. Über 15 Jahre Erfahrung in Innovation und Unternehmensaufbau.