Auch beim Brutkasten Meetup #3 am 10. April war der Event-Raum im Wiener Startup-Hub weXelerate wieder gut gefüllt. Die zahlreichen Sitzplätze waren schnell vergeben. Doch das interessierte Publikum bewies Standhaftigkeit und ließ sich davon nicht abhalten, dabei zu sein. Neben den Startup-Pitches, die diesmal im Programm den Anfang machten, lockte die Podiumsdiskussion zum kommenden Inkrafttreten der EU-Datenschutzgrundverordnung DSGVO viele Besucher an.

+++ Brutkasten Meetup #2: Kritische Pitch-Jury und Exit-Tipps von Prescreen +++

Wer sich nicht mit der DSGVO beschäftigt, begibt sich in Gefahr

Denn vieles ist etwas mehr als einen Monat vor dem Stichtag am 25. Mai alles andere als klar. Das wurde nicht nur durch die vielen Fragen aus dem Publikum offensichtlich. Auch die vier sachkundigen Diskutanten waren nicht immer einer Meinung. Eines war dagegen allen Anwesenden bewusst: Wer sich nicht mit der DSGVO beschäftigt, begibt sich in Gefahr. Unternehmen drohen drakonische Strafen bis zu vier Prozent des Jahresumsatzes oder bis zu 20 Millionen Euro. Nicht nur für Startups ist diese Aussicht existenzbedrohend.

„Panikmache“ vermeiden

Für Benedikt Aichinger, Gründer des Linzer Startups swync, gilt es trotzdem „Panikmache“ zu vermeiden. Man brauche sich, wenn man sich prinzipiell gesetzeskonform verhalte, keine allzu großen Sorgen machen – so sein Tenor während der Diskussion. Wenn die Personen, deren Daten man hält, etwa ein Kundenverhältnis zu einem hätten, sei man auch ohne explizite Einwilligung zur Datenerfassung bereits auf der sicheren Seite – so lange es sich nicht um sogenannte „sensible Daten“, etwa medizinische oder stigmatisierende Daten handle. Und es ist nicht allzu überraschend, dass Aichinger, der sich schon früher in seiner Karriere bei KPMG intensiv mit dem Thema Datenschutz auseinandersetzte, die Gefahr als überschaubar präsentiert. Schließlich bietet er mit swync ein Service, mit dem er verspricht, Unternehmen innerhalb einer halben Stunde DSGVO-konform zu machen. „Das ist ein bisschen Marketing“, räumt er ein. Aber mit zwei Stunden seien seine Kunden bedient. Das seien allerdings Kleinunternehmen, etwa Handwerksbetriebe.

„Was, wenn mein System gehackt wird?“

Als sein „Widersacher“ in der Podiumsdiskussion stellt sich Markus Costabiei heraus. Auch sein Startup Akarion, das seinen Sitz ebenfalls in Linz hat, bietet eine DSGVO-Lösung für Unternehmen an – auf Blockchain-Basis. „Aus unserer Paraxis kann ich sagen: Das mit der halben Stunde habe ich nicht verstanden“, sagt er. Man könne nicht einfach sagen, dass es in bestimmten Fällen generell keine explizite Einwilligung brauche. „Und was, wenn mein System gehackt wird?“, fragt er. Dann könne man haften, wenn man die Daten nicht bestmöglich gesichert habe. Er nennt als Beispiel den Fall einer Zahnarztpraxis, bei der genau das passiert sei. „Auch bei kleinen Unternehmen kann das Thema eine hohe Komplexität bekommen“, sagt Costabiei.

„Berechtigtes Interesse“ vs. explizite Einwilligung

Auch Jurist Arthur Stadler von Stadler Völkel Rechtsanwälte sieht es nicht ganz so locker. So müsse man prinzipiell eben auch bei Kunden-Daten eine Einwilligung einholen und darüber informieren, wo diese gespeichert werden. Nicht nötig sei das aber, wenn man – per gesetzlicher Definition – ein „berechtigtes Interesse“ vorweisen könne. Hier hakt Aichinger ein: „Klar, ich darf natürlich nicht willkürliche Daten meiner Kunden sammeln. Aber ich muss schon kreativ sein, dass ich eine Einwilligung brauche“. Hier gibt wiederum Stadler ein simples Beispiel: „Amazon kann natürlich argumentieren, dass die Kunden ein berechtigtes Interesse daran haben, dass das Unternehmen Name und Adresse erfasst. Das Geburtsdatum aber vielleicht nicht“. Dennoch verweist er auf „schlaflose Nächte“ seiner Klienten. „Wir haben einige Händler, die Monate lang in großen Teams an der DSGVO gesessen sind“.

„Bislang galt die Devise: Je mehr desto besser“

Nicht ganz so lange hat es bei Richard Lutschounig, dem vierten Diskutanten und Gründer des Wiener Startups Paybon, das ein Essensgutschein-System auf App-Basis betreibt, gedauert. „Ich würde gute zwei bis drei Tage für das Thema kalkulieren“, sagt er. Zugleich räumt er ein: „Als B2B-Startup haben wir es einfach, weil wir eine überschaubare Anzahl an Kundenbeziehungen haben“. Dennoch hat er sich bereits früh – auch auf Anfragen seiner Kunden – mit der Umsetzung der DSGVO beschäftigt und teilt nun seine Erkenntnisse. Er bringt eines der grundsätzlichen Themen in der Diskussion um den Datenschutz auf den Punkt: „Es gibt einen Shift, wie in digitalen Businesses mit dem Thema Daten umgegangen wird. Bislang galt die Devise: Je mehr desto besser. Jetzt muss auf Zweckwidmung und Relevanz geprüft werden“. Letztlich könne man als Startup „viele Datenfriedhöfe beiseite schieben“ und sich so gleich einmal einiger potenzieller Probleme entledigen.

Die Live-Aufnahme des Podiums in voller Länge

Kritischer Blick der Jury bei Pitch-„Trockentraining“

Bereits vor der Podiumsdiskussion hatten wieder Startups die Möglichkeit zum Pitch. Janu, timebite und Reji traten vor der hochkarätig besetzten Jury auf. Lekha Thailayil, Investment Managerin beim aws gründerfonds, Thomas Rosenmayr, Partner bei Speedinvest, Camilla Sievers Head of Unit 3 bei IP Österreich, Florian Kandler, Startup Mentor bei Getfunding.how und Aleksander Vucicevic, Senior Analyst bei Venionaire Capital warfen einen kritischen Blick auf die Startup-Pitches. Im Zentrum stand dabei wieder konstruktives Feedback. Denn der Pitch beim Brutkasten Meetup #3 war schließlich „Trockentraining“ für die Startups. Wenn es um Investorengelder geht, muss dann alles sitzen.

Alle Pitches und die Experten-Tipps des Abends in der Live-Aufnahme

Partner beim Brutkasten Meetup #3

Unterstützt wurde das Brutkasten Meetup #3 von den Partnern weXelerate, Stadler Völkel Rechtsanwälte, der Notariatskammer, dem aws und SVEA. Für kulinarische Unterstützung sorgten Pona, Big Smile, Neoh und Hut & Stiel.

Eindrücke des Event-Abends