Zum Inhalt springen

DSGVO Compliance Checklist

15 Checkpoints von kritisch bis Best Practice – Schritt für Schritt DSGVO-konform

Toolbox / Phase 1: Idee / DSGVO Checklist
Fortschritt 0 / 15 erledigt
Kritisch (0/5) Wichtig (0/5) Best Practice (0/5)
🔴
Kritisch – Sofort erledigen
Punkte 1–5: Ohne diese bist du nicht DSGVO-konform
1 Kritisch Art. 30 DSGVO
Verarbeitungsverzeichnis erstellen
Dokumentiere alle personenbezogenen Daten, die du verarbeitest. Das Verarbeitungsverzeichnis ist das Fundament deiner DSGVO-Compliance – ohne geht gar nichts.
  • Erfasse jede Datenkategorie (Kundendaten, Bewerberdaten, Websitedaten, etc.)
  • Halte fest: Zweck, Rechtsgrundlage, Speicherdauer, Empfänger
  • Das Verzeichnis muss jederzeit der Datenschutzbehörde vorgelegt werden können
Tipp: Starte mit einer einfachen Tabelle: Datenkategorie | Zweck | Rechtsgrundlage | Speicherdauer | Empfänger. Die WKO bietet Muster-Vorlagen dafür an.
2 Kritisch Art. 6 DSGVO
Rechtsgrundlage für jede Verarbeitung festlegen
Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage. Die DSGVO nennt sechs mögliche Grundlagen – für Startups sind vor allem vier relevant:
  • Einwilligung – z.B. Newsletter-Anmeldung
  • Vertragserfüllung – z.B. Kundendaten für Bestellungen
  • Berechtigtes Interesse – z.B. Website-Analytics
  • Rechtliche Verpflichtung – z.B. Rechnungsdaten für das Finanzamt
Tipp: Die häufigsten Grundlagen für Startups: Vertrag (Kund:innen), berechtigtes Interesse (Analytics), Einwilligung (Newsletter). Trage die Rechtsgrundlage direkt in dein Verarbeitungsverzeichnis ein.
3 Kritisch Art. 13 & 14 DSGVO
Datenschutzerklärung auf Website veröffentlichen
Deine Datenschutzerklärung muss leicht auffindbar, verständlich und vollständig sein. Sie gehört in den Footer jeder Seite.
  • Name und Kontaktdaten des Verantwortlichen
  • Zwecke und Rechtsgrundlagen der Datenverarbeitung
  • Empfänger bzw. Kategorien von Empfängern
  • Speicherdauer oder Kriterien für die Festlegung
  • Hinweis auf Betroffenenrechte und Beschwerderecht bei der DSB
Tipp: Nutze den Datenschutzerklärungs-Generator der WKO (wko.at) als Ausgangsbasis und passe ihn individuell an dein Startup an.
4 Kritisch Art. 7 DSGVO & TKG 2021
Cookie-Banner implementieren
Seit dem Telekommunikationsgesetz 2021 ist klar geregelt: Tracking- und Marketing-Cookies brauchen eine aktive Einwilligung (Opt-in).
  • Technisch notwendige Cookies: OK ohne Einwilligung
  • Analytics/Tracking/Marketing: Nur mit explizitem Opt-in
  • "Alle akzeptieren" darf nicht prominenter sein als "Nur notwendige"
  • Tools: Cookiebot, Usercentrics, CookieYes
Tipp: Teste deinen Cookie-Banner mit dem Scan-Tool von Cookiebot – es zeigt dir alle Cookies, die deine Seite setzt. Achtung: Google Fonts und eingebettete YouTube-Videos setzen oft unbemerkt Cookies!
5 Kritisch Art. 28 DSGVO
Auftragsverarbeitungsverträge (AVV) abschließen
Mit jedem Dienstleister, der Zugang zu personenbezogenen Daten hat, brauchst du einen Auftragsverarbeitungsvertrag.
  • Cloud-Provider (AWS, Azure, Google Cloud)
  • E-Mail-Marketing (Mailchimp, ActiveCampaign, Brevo)
  • Analytics (Google Analytics, Matomo Cloud)
  • CRM (HubSpot, Pipedrive, Salesforce)
  • Hosting, Payment-Provider, Buchhaltungssoftware
Tipp: Die meisten großen Anbieter (AWS, Google, Mailchimp) haben Standard-AVVs – du musst sie nur im Admin-Panel aktivieren oder digital unterschreiben. Führe eine Liste aller Auftragsverarbeiter.
🟡
Wichtig – Zeitnah umsetzen
Punkte 6–10: Stärken deine Compliance wesentlich
6 Wichtig Art. 32 DSGVO
Technische & organisatorische Maßnahmen (TOMs) dokumentieren
Du musst nachweisen, dass du angemessene Sicherheitsmaßnahmen zum Schutz personenbezogener Daten getroffen hast.
  • Verschlüsselung (HTTPS, verschlüsselte Datenbanken)
  • Zugangskontrollen und Berechtigungskonzepte
  • Regelmäßige Backups und Wiederherstellungstests
  • Passwort-Policies und Passwort-Manager
  • Physische Sicherheit (Büro, Server)
Tipp: Auch für kleine Startups sofort relevant: 2FA für alle Accounts aktivieren, Zugriffsrechte auf das Notwendige einschränken (Least Privilege), regelmäßige Backups einrichten. Dokumentiere alles schriftlich.
7 Wichtig Art. 37 DSGVO & DSG
Datenschutzbeauftragten prüfen
In Österreich gibt es konkrete Regelungen, wann ein Datenschutzbeauftragter (DSB) bestellt werden muss.
  • Ab 20 Personen, die ständig mit Datenverarbeitung befasst sind
  • Bei Kerntätigkeit = umfangreiche Datenverarbeitung (z.B. Health-Tech, AdTech)
  • Bei regelmäßiger und systematischer Überwachung von Personen
  • Kann intern oder extern bestellt werden
Tipp: Für die meisten Early-Stage-Startups ist ein DSB nicht verpflichtend – aber empfehlenswert ab Series A oder wenn ihr mit sensiblen Daten arbeitet. Externe DSBs gibt es in Österreich ab ca. EUR 200/Monat.
8 Wichtig Art. 7 DSGVO
Einwilligungsmanagement aufsetzen
Einwilligungen müssen freiwillig, informiert, spezifisch und unmissverständlich sein – und du musst sie nachweisen können.
  • Double Opt-in für Newsletter (rechtlicher Standard in Österreich)
  • Einwilligungen müssen jederzeit widerrufbar sein
  • Koppelungsverbot beachten: Einwilligung darf nicht Bedingung für einen Service sein
  • Für Minderjährige unter 14 Jahren: Einwilligung der Erziehungsberechtigten
Tipp: Speichere bei jeder Einwilligung: Timestamp + IP-Adresse + den genauen Text der Einwilligung. So kannst du im Streitfall nachweisen, dass und wann die Einwilligung erteilt wurde.
9 Wichtig Art. 15–22 DSGVO
Betroffenenrechte sicherstellen
Betroffene Personen haben umfangreiche Rechte – und du musst innerhalb eines Monats reagieren.
  • Auskunftsrecht – Welche Daten hast du über mich?
  • Recht auf Berichtigung – Falsche Daten korrigieren
  • Recht auf Löschung – "Recht auf Vergessenwerden"
  • Recht auf Datenportabilität – Daten in maschinenlesbarem Format
  • Widerspruchsrecht – Gegen bestimmte Verarbeitungen
Tipp: Erstelle ein internes Playbook: Wer bearbeitet Anfragen? Wo sind die Daten gespeichert? Wie exportierst/löschst du sie? Frist: maximal 1 Monat ab Anfrage.
10 Wichtig Art. 35 DSGVO
Datenschutz-Folgenabschätzung prüfen (DSFA)
Bei Verarbeitungen mit voraussichtlich hohem Risiko für Betroffene ist eine DSFA verpflichtend.
  • Profiling mit rechtlicher oder erheblicher Wirkung
  • Umfangreiche Verarbeitung sensibler Daten (Gesundheit, Biometrie)
  • Systematische Überwachung öffentlich zugänglicher Bereiche
  • Einsatz neuer Technologien mit hohem Risiko
Tipp: Nutze die DSFA-Schwellenwertanalyse der österreichischen Datenschutzbehörde (dsb.gv.at). Wenn zwei oder mehr Kriterien zutreffen, ist eine DSFA in der Regel notwendig.
🟢
Best Practice – Professionell aufstellen
Punkte 11–15: Machen dich langfristig sattelfest
11 Best Practice Art. 44–49 DSGVO
Datenweitergabe an Drittländer absichern
Wenn Daten die EU/den EWR verlassen, brauchst du eine zusätzliche Rechtsgrundlage für den Transfer.
  • USA: EU-US Data Privacy Framework prüfen (gilt seit Juli 2023)
  • Andere Drittländer: Standardvertragsklauseln (SCCs) der EU-Kommission nutzen
  • Angemessenheitsbeschluss: Für einige Länder (Schweiz, UK, Japan, etc.) existiert einer
  • Dokumentiere die Rechtsgrundlage für jeden Drittlandtransfer
Tipp: Prüfe bei jedem SaaS-Tool, wo die Daten gehostet werden. Viele Anbieter bieten mittlerweile EU-Hosting an (z.B. AWS Frankfurt, Google Belgium). Bevorzuge EU-Hosting wenn möglich.
12 Best Practice Art. 33 & 34 DSGVO
Datenpannen-Meldeprozess einrichten
Bei einer Datenpanne (Data Breach) tickt die Uhr: Du hast 72 Stunden, um die Datenschutzbehörde zu informieren.
  • Meldung an die DSB (Datenschutzbehörde Österreich) innerhalb von 72 Stunden
  • Bei hohem Risiko für Betroffene: auch diese unverzüglich informieren
  • Dokumentationspflicht: auch Pannen ohne Meldepflicht intern dokumentieren
  • DSB-Meldeformular: Online über dsb.gv.at
Tipp: Erstelle einen Notfallplan bevor etwas passiert. Definiere: Wer wird intern informiert? Wer meldet an die DSB? Welche Sofortmaßnahmen werden gesetzt? In der Hektik einer Datenpanne ist man froh über klare Abläufe.
13 Best Practice Art. 5 Abs. 1 lit. e DSGVO
Löschkonzept erstellen
Der Grundsatz der Speicherbegrenzung verlangt, dass Daten nur so lange gespeichert werden, wie sie für den Zweck erforderlich sind.
  • Speicherdauer pro Datenkategorie definieren
  • Gesetzliche Aufbewahrungsfristen beachten: 7 Jahre für Buchhaltungsunterlagen (BAO)
  • Steuerrelevante Unterlagen: 7 Jahre gemäß Bundesabgabenordnung
  • Bewerberdaten: max. 6 Monate nach Absage (außer mit Einwilligung)
Tipp: Richte automatische Löschroutinen ein, wo technisch möglich. Viele CRM- und Newsletter-Tools bieten automatische Bereinigung inaktiver Kontakte an. Das spart nicht nur DSGVO-Kopfschmerzen, sondern auch Lizenzkosten.
14 Best Practice Art. 39 Abs. 1 lit. b DSGVO
Mitarbeiter:innen schulen
Die beste Datenschutz-Dokumentation nützt nichts, wenn das Team die Grundlagen nicht kennt. Schulungen sind Teil der Rechenschaftspflicht.
  • Datenschutz-Grundlagen für alle Teammitglieder
  • Spezifische Schulungen für Mitarbeiter:innen mit Datenzugang
  • Dokumentieren: Datum, Teilnehmer:innen, Inhalte
  • Neue Mitarbeiter:innen beim Onboarding schulen
Tipp: Kurze 30-Minuten-Sessions alle 6 Monate reichen für kleine Teams völlig aus. Halte die Schulung praxisnah: Was darf ich per E-Mail weiterleiten? Wie erkenne ich Phishing? Was mache ich bei einer Datenanfrage?
15 Best Practice Art. 25 DSGVO
Regelmäßige Überprüfung planen
DSGVO-Compliance ist kein einmaliges Projekt, sondern ein laufender Prozess. Mindestens einmal jährlich solltest du alles reviewen.
  • Jährlicher Review aller Maßnahmen und Dokumentationen
  • Bei neuen Tools oder Prozessen: Datenschutz sofort mitdenken (Privacy by Design)
  • Verarbeitungsverzeichnis aktuell halten
  • Neue gesetzliche Anforderungen prüfen (z.B. AI Act, ePrivacy-VO)
Tipp: Setze dir einen jährlichen Kalender-Reminder für den DSGVO-Check – am besten im Jänner. Und: Bei jedem neuen Tool, das du einführst, frage dich zuerst: "Welche Daten fließen wohin?"

Gratulation! Alle 15 Checkpoints erledigt.

Dein Startup ist auf einem guten Weg zur DSGVO-Compliance. Vergiss nicht: Regelmäßig reviewen und bei Änderungen aktualisieren.

Unsicher bei der DSGVO-Umsetzung?

Im 1:1-Coaching helfen wir dir, die richtigen Prioritäten zu setzen und dein Startup datenschutzkonform aufzustellen – pragmatisch und ohne Juristendeutsch.

Erstgespräch vereinbaren