17.04.2018

Die DSGVO umsetzen – ein Ratgeber für Startups & KMU aus Österreich

Mit 25.Mai 2018 müssen Unternehmen konform zur Datenschutz-Grundverordnung arbeiten. Wir bringen einen Ratgeber zur sauberen Umsetzung.
/artikel/dsgvo-umsetzung-oesterreich
DSGVO-Umsetzung
(c) Marko Kovic: (vlnr.) Markus Costabiei (Akarion), Richard Lutschounig (Paybon), Dejan Jovicevic (derbrutkasten), Arthur Stadler (Stadler Völkel Rechtsanwälte) und Benedikt Aichinger (swync) beim Brutkasten Meetup #3 am Podium.

In rund fünf Wochen wird die Übergangsfrist seit Einführung der Datenschutz-Grundverordnung vor zwei Jahren enden und Unternehmen drohen Strafen von bis zu vier Prozent ihres jährlichen Gesamtumsatzes, wenn sie den Richtlinien der DSGVO nicht folgen. Insgesamt zielt die neue Rechtsverordnung darauf ab, die „Grundrechte des Bürgers auf Privatsphäre zu schützen und auszubauen“, so Benedikt Aichinger von Swync, einer App, die für Unternehmen die Datenschutzerklärung anpasst und ein Verarbeitungsverzeichnis erstellt. Weil in den Unternehmen häufig Unsicherheit herrscht, was das in der Praxis bedeutet, stellen wir hier einen Ratgeber bereit, um sich dem Thema DSGVO-Umsetzung als Startup oder KMU zu stellen.

+++ Brutkasten Meetup #3: Die DSGVO zwischen reeller Gefahr und “Panikmache” +++

Die Tipps im Ratgeber dienen dabei Startups und Unternehmen, die nicht direkt mit ihren Daten Geld verdienen, sondern sich in den Themenfeldern HR / Mitarbeiterdaten, Analytics und Trackingtools, bei Löschungs- und Auskunftsanfragen durch Kunden und in ihrer Dokumentationspflicht absichern möchten.

Im Rahmen der Podiumsdiskussion beim Brutkasten Meetup in der vergangenen Woche weist Richard Loutschounig von Paybon darauf hin, dass die DSGVO auch Chance für Marketing & Sales sein kann. So sei die hauseigene Lösung zur Verteilung von Essensgutscheinen im Unternehmen bereits DSGVO-konform. Etwas, das Kunden nicht nur wohlwollend wahrgenommen haben, sondern auch aktiv nachgefragt hätten.

Dateninventur, Relevanzprüfung & Zweckwidmung

Der erste Schritt in der DSGVO-Umsetzung ist dabei die Dateninventur. Relevant sind im Sinne der DSGVO alle personenbezogenen Daten, die ein Unternehmen erhebt oder in jeglicher Form erhoben hat und damit bei sich lagert, egal ob auf Datenträgern, mittels externen Dienstleistern oder in Aktenordnern.

Personenbezogene Daten umfassen dabei alles, was sich auf eine bestimmte oder bestimmbare Person bezieht. Neben Daten aus Tracking- und Analytics-Tools oder Kaufvorgängen im Online Shop bzw. Ladengeschäft vor Ort, betrifft das auch Videoaufnahmen, IP-Adressen – so sie nicht anonymisiert vorliegen – oder eben Mitarbeiterdaten und Datenübertragung zwischen dem Unternehmen und Dienstleistern. Leicht vergessen wird dabei das Thema Gewinnspiele.

Unternehmen sollten deshalb unbedingt einen offiziellen Datenschutzbeauftragten ernennen, der sich mit dem Thema ausgiebig befasst. Im ersten Schritt heißt das, zu erheben, welche Daten im Unternehmen wozu vorliegen und sie einer Relevanzprüfung zu unterziehen. Was man an Daten nicht (mehr) braucht, kann man unmittelbar löschen. Hilfreich sind dabei als Basis Checklisten, wie die von der Wirtschaftskammer Österreich. Rechtsanwalt Dr. Arthur Stadler von der Kanzlei Stadler Völkel schlägt vor, sich für die Dateninventur im Unternehmen folgende Fragen zu stellen:

  • Welche Daten aus welchen Datenquellen werden erhoben?
  • Was wird mit den erhobenen Daten gemacht?
  • Wozu werden sie gebraucht?
  • Wie werden sie aufbewahrt?
  • Wer arbeitet mit ihnen oder hat Zugriff auf sie?

Mit Antworten auf diesen Fragen, und allen Datenquellen sowie Dienstleisterdaten als Basis, kann man im nächsten Schritt die notwendigen Dokumente für die DSGVO aufbereiten.

Notwendige Dokumente für die DSGVO

Startups und Unternehmen, die mit Daten nicht direkt Geld verdienen, sondern sie zum Verkauf erheben sowie im Kontext von Mitarbeiterdaten verarbeiten, müssen verschiedene Dokumente erstellen bzw. anpassen.

Anpassung von Datenschutzerklärung & AGBs

Hier muss festgehalten werden, wozu welche Daten erhoben und aufbewahrt werden. Das betrifft Tracking-Daten wie aus Google Analytics als auch Transaktionsdaten im Online Shop. Rein steuerrechtlich muss man Transaktionsdaten sieben Jahre lang aufbewahren, erinnert Richard Lutschounig. Die App Swync unterstützt Unternehmen hierbei mit einem Fragenkatalog, auf dessen Basis man eine DSGVO-konforme Datenschutzerklärung automatisch erstellen kann.

Verarbeitungsverzeichnis

Im Verarbeitungsverzeichnis wird festgehalten, welche Daten wozu erhoben werden, wer Zugriff auf sie hat oder an wen sie weitergeleitet werden und welche Löschungs- bzw. Aufbewahrungsfristen dafür festgelegt worden sind. Es finden sich Mustervorlagen dazu unter anderem bei der WKO. Auch hier unterstützt die App Swync Unternehmen bei der automatischen Erstellung.

Folgenabschätzung & Data Breach Notification

Eine Datenschutz-Folgenabschätzung ist dann zu erstellen, wenn sensible Personendaten verarbeitet werden. Dabei handelt es sich beispielsweise um GPS-Daten, Bankdaten, Ausweisdokumente, im Falle einer Videoüberwachung oder wenn man Kundendaten zum Profiling für personalisierte Werbung nutzt.

Auch hier gibt es Ausnahmen für Startups und kleinere Unternehmen im Sinne des „berechtigten Interesses“ bei z.B. Kaufvorgängen. Für Startups empfiehlt sich hier Relevanzprüfung, falls solche sensiblen Personendaten erhoben werden. „Ist es nicht besser, weniger Daten zu erheben?“, wirft dazu Richard Lutschounig als Frage in den Raum.

Startups sind ansonsten gut beraten, sich bei diesem Thema Beratung zu holen, genau wie für den Fall eines Datenverlusts und der Data Breach Notification. Im Fall eines Datenverlusts muss außerdem eine Meldung an die österreichische Datenschutzbehörde erfolgen.

Tracking-Tools, Dienstleister und Auftragsdatenverarbeitung

Startups und Händler setzen in vielen Fällen bei der Datenverarbeitung auf externe Software und Tools wie beispielsweise Google Analytics zum Besuchertracking oder Zahlungsdienstleister im Online Shop.

Für Unternehmen und ihre DSGVO-Umsetzung heißt das, bei diesen Dienstleistern nachzuhaken und einen Vertrag zur Auftragsdatenverarbeitung zu unterschreiben, so dass die Verantwortung beim Dienstleister liegt, sich bei Problemen zu melden und um DSGVO-Konformität der eigenen Software zu kümmern. Dienstleister wie Google kümmern sich hierum bereits und versenden Mails mit Anweisungen, worauf man im Sinne der DSGVO achten muss.

Löschungs- & Auskunftsanfragen und der Notfallplan

Warnungen gibt es beim Thema DSGVO immer wieder vor Löschungsanfragen durch Nutzer oder Kunden. Dem Privatnutzer steht es frei, sich ab 25.Mai jederzeit an ein Unternehmen zu wenden und um Datenauskunft, -herausgabe und -löschung zu bitten.

Unternehmen müssen also Zugriff auf Nutzerdaten haben und einen Prozess entwerfen, um solche Anfragen bei Bedarf schnell bearbeiten zu können. Das gilt auch für Rechnungen mit Personendaten oder Kontaktformulare und Newsletter auf der Homepage. Es ist genauso notwendig, einen Notfallplan vorzubereiten, sollte es zu Datenpannen kommen. Die DSGVO ist somit eine gute Gelegenheit, die eigene IT Security auf den neuesten Stand zu bringen.

Softwarelösungen für die DSGVO und Mitarbeiterdaten

Besonders wichtig für junge Unternehmen ist die interne DSGVO-Konformität, wenn es um Mitarbeiterdaten geht. Auch hier muss erfasst werden, welche Daten wozu erhoben werden, wie sie aufbewahrt werden und wer Zugriff auf sie hat. Akarion-Gründer Markus Costabiei weist auf die interne Zirkulation von Mitarbeiterdaten zwischen Personalabteilung, Lohnbüro, ggf. Betriebsarzt und Kantine hin.

Mit Akarion entwickelt Costabiei eine umfassende Softwarelösung zur DSGVO-Umsetzung auf Basis der Blockchain. Die Software erhebt und steuert Datenüberwachung, -verarbeitung und -kontrolle im Unternehmen und bietet eine Administrationsoberfläche an, um auch bei Auskunfts- & Löschungsanfragen durch Kunden & Nutzer gewappnet zu sein. Aufgrund der Brisanz des Themas arbeiten weitere Unternehmen an ähnlichen Software-Lösungen, um DSGVO-konform zu arbeiten.

DSGVO-Umsetzung als Chance

Insgesamt ist die DSGVO eine Chance für Startups und KMUs, sich für das Thema Datenschutz zu sensibilisieren und die eigenen Datenbestände aufzuräumen. Die genannten Punkte in unserem DSGVO-Ratgeber decken die wichtigsten Anforderungen ab. Tools, Softwarelösungen und Kanzleien unterstützen in kritischen Fällen.

⇒ Akarion

⇒ Paybon

⇒ Stadler Völkel Rechtsanwälte

⇒ Swync

Deine ungelesenen Artikel:
10.04.2025

Global FinTech Scouts: Das steckt hinter dem neuen RBI-Programm

Innovations-Impulse direkt aus New York, London, Singapur oder Delhi - das verspricht das neue "Global FinTech Scouts"-Programm der Raiffeisen Bank International (RBI). brutkasten war bei der Präsentation des Programms vor Ort.
/artikel/rbi-global-fintech-scouts
10.04.2025

Global FinTech Scouts: Das steckt hinter dem neuen RBI-Programm

Innovations-Impulse direkt aus New York, London, Singapur oder Delhi - das verspricht das neue "Global FinTech Scouts"-Programm der Raiffeisen Bank International (RBI). brutkasten war bei der Präsentation des Programms vor Ort.
/artikel/rbi-global-fintech-scouts
FinTech Scouts & RBI-Verantwortliche: Akshat Mittal (Revolut), Daniel Minarik (Tatra banka), Varija Raj (Lendable), Christian Wolf (RBI), Aditi Subbarao (Instabase), Hans-Jörg Horvath (RBI)
Akshat Mittal (Revolut), Daniel Minarik (Tatra banka), Varija Raj (Lendable), Christian Wolf (RBI), Aditi Subbarao (Instabase), Hans-Jörg Horvath (RBI) | Foto: brutkasten

In einem dynamischen Marktumfeld innovativ zu bleiben, ist eine der großen Herausforderungen für Unternehmen. Die Raiffeisen Bank International (RBI) ergänzt ihre bisherigen Innovationsaktivitäten nun mit einem neuen Ansatz: Dem Global FinTech Scouts Program, das sie gemeinsam mit ihrer slowakischen Tochterbank Tatra banka umsetzt.

Dahinter steckt ein weltweit tätiges Team aus externen Expertinnen und Experten, die sogenannten FinTech Scouts. Diese beobachten im Auftrag der Bank von London, New York, Singapur und Delhi aus relevante technologische Innovationen und Entwicklungen – und sollen der Bank direkten Zugang zu den relevanten Anbietern des weltweiten Technologie-Ökosystems verschaffen.

FinTech-Scouts sollen neue Impulse liefern

„Die FinTech-Scouts sind für uns Partner, mit deren Hilfe wir besser verstehen, welche Anwendungsfälle und Geschäftsmodelle sich um Technologien herum entwickeln, welche davon wir nachahmen oder sogar kopieren können, wo wir Kooperationen und Partnerschaften anstreben können oder wo wir sie nur als eine Art Ideenpool für künftige Unternehmungen nutzen können“, erläutert Christian Wolf, Head of Strategic Partnerships & Ecosystems bei der RBI, im brutkasten-Interview.

Diese Woche stelle die RBI das Ende 2024 gestartete Programm in Wien vor. Mehrere der Scouts waren dazu vor Ort und gaben Einblicke in aktuelle FinTech-Trends.


KI im Bankenbereich

So etwa Aditi Subbarao, die als Global Financial Services Lead beim KI-Startup Instabase in London fungiert. Sie stellte wichtige KI-Anwendungsfälle im Bankenbereich vor. Diese sind vielfältig und umfassen unter anderem Risikomanagement, Kundenkommunikation, operative Effizienzsteigerungen oder Compliance-Themen wie Geldwäsche-Monitoring.

Embedded Finance

Ein anderes großes Thema ist Embedded Finance: Darunter versteht man die nahtlose Einbettung von Finanzdienstleistungen in andere, oft branchenfremde Plattformen und Angebote. Einblicke in diesen Bereich gab FinTech-Scout Varija Raj, Product Manager bei Lendable in London. Sie berichtete unter anderem, dass Unternehmen wie Samsung, Visa oder Mastercard in den Bereich mobiler Zahlungen einsteigen und dass „Buy Now Pay Later“-Anbieter wie Klarna, Splitit oder LeanPay manchen Händlern erhebliche Umsatzsteigerungen bescheren.

Stablecoins

Einen weiteren Trend beleuchtete Akshat Mittal, General Manager of Core Payments bei Revolut in Delhi: Stablecoins – also Kryptowährungen, die 1:1 an reale Währungen wie den US-Dollar oder den Euro gekoppelt sind. Sie können in Staaten mit hohen Preissteigerungen als Inflationsschutz und Alternative zu den Landeswährungen fungieren. Aus der Perspektive von Banken wiederum verbessern sie die Liquidität.

„Ich nehme also am globalen Fintech-Scout-Programm teil, weil ich erstens seit 15 Jahren mit Startups zu tun habe und zweitens wissen wollte, wie eine Großbank die neuen Innovationen, an denen die Startups arbeiten, integrieren kann“, erläutert Mittal gegenüber brutkasten. „Schließlich sucht jedes Startup nach einem ‚Killer‘-Use-Case, den eine große Bank mit Sicherheit bieten kann.“

Personal Finance

Ebenfalls behandelt wurde das Thema Personal Finance. Dazu stellte Daniel Minarik, Chief Data & Innovation Officer der RBI-Tochter Tatra banka in Bratislava, eine App vor, bei der es um finanzielles Wohlbefinden und Fachwissen aus dem Finanzbereich geht. Außerdem ging Minarik auf die Themen Web 3.0 und IT-Infrastruktur der Zukunft, auf Quanten-Computing und die damit verbundenen Auswirkungen auf Kryptografie ein.


Zu den weiteren Fokusbereichen des Programms neben KI, digitalen Assets, Embedded Finance und Financial Inclusion zählen außerdem Sustainable Technologies und RegTech. Was sind nun die nächsten Schritte im Programm? „Wir haben unseren Scouts die Fokusbereiche kommuniziert und wollen jetzt spezifische Lösungen finden. Wir wollen das Programm aber auch intern in unseren anderen Tochterbanken ausweiten, denn schließlich stehen alle vor denselben Herausforderungen – wie reagieren wir auf relevante technologische Fortschritte?“, erläutert Christian Wolf im brutkasten-Gespräch.

Die Erwartungshaltung an die Scouts ist jedenfalls klar: „Die Scouts sind nicht nur unsere Augen und Ohren vor Ort, sondern wir verstehen die bestens vernetzten Experten auch als Türöffner, um attraktive Partner aus dem Technologie-Umfeld nach Österreich zu bringen – sie sind sozusagen die FinTech-Delegierten in aller Welt.“

10.04.2025

Global FinTech Scouts: Das steckt hinter dem neuen RBI-Programm

Innovations-Impulse direkt aus New York, London, Singapur oder Delhi - das verspricht das neue "Global FinTech Scouts"-Programm der Raiffeisen Bank International (RBI). brutkasten war bei der Präsentation des Programms vor Ort.
10.04.2025

Global FinTech Scouts: Das steckt hinter dem neuen RBI-Programm

Innovations-Impulse direkt aus New York, London, Singapur oder Delhi - das verspricht das neue "Global FinTech Scouts"-Programm der Raiffeisen Bank International (RBI). brutkasten war bei der Präsentation des Programms vor Ort.
FinTech Scouts & RBI-Verantwortliche: Akshat Mittal (Revolut), Daniel Minarik (Tatra banka), Varija Raj (Lendable), Christian Wolf (RBI), Aditi Subbarao (Instabase), Hans-Jörg Horvath (RBI)
Akshat Mittal (Revolut), Daniel Minarik (Tatra banka), Varija Raj (Lendable), Christian Wolf (RBI), Aditi Subbarao (Instabase), Hans-Jörg Horvath (RBI) | Foto: brutkasten

In einem dynamischen Marktumfeld innovativ zu bleiben, ist eine der großen Herausforderungen für Unternehmen. Die Raiffeisen Bank International (RBI) ergänzt ihre bisherigen Innovationsaktivitäten nun mit einem neuen Ansatz: Dem Global FinTech Scouts Program, das sie gemeinsam mit ihrer slowakischen Tochterbank Tatra banka umsetzt.

Dahinter steckt ein weltweit tätiges Team aus externen Expertinnen und Experten, die sogenannten FinTech Scouts. Diese beobachten im Auftrag der Bank von London, New York, Singapur und Delhi aus relevante technologische Innovationen und Entwicklungen – und sollen der Bank direkten Zugang zu den relevanten Anbietern des weltweiten Technologie-Ökosystems verschaffen.

FinTech-Scouts sollen neue Impulse liefern

„Die FinTech-Scouts sind für uns Partner, mit deren Hilfe wir besser verstehen, welche Anwendungsfälle und Geschäftsmodelle sich um Technologien herum entwickeln, welche davon wir nachahmen oder sogar kopieren können, wo wir Kooperationen und Partnerschaften anstreben können oder wo wir sie nur als eine Art Ideenpool für künftige Unternehmungen nutzen können“, erläutert Christian Wolf, Head of Strategic Partnerships & Ecosystems bei der RBI, im brutkasten-Interview.

Diese Woche stelle die RBI das Ende 2024 gestartete Programm in Wien vor. Mehrere der Scouts waren dazu vor Ort und gaben Einblicke in aktuelle FinTech-Trends.


KI im Bankenbereich

So etwa Aditi Subbarao, die als Global Financial Services Lead beim KI-Startup Instabase in London fungiert. Sie stellte wichtige KI-Anwendungsfälle im Bankenbereich vor. Diese sind vielfältig und umfassen unter anderem Risikomanagement, Kundenkommunikation, operative Effizienzsteigerungen oder Compliance-Themen wie Geldwäsche-Monitoring.

Embedded Finance

Ein anderes großes Thema ist Embedded Finance: Darunter versteht man die nahtlose Einbettung von Finanzdienstleistungen in andere, oft branchenfremde Plattformen und Angebote. Einblicke in diesen Bereich gab FinTech-Scout Varija Raj, Product Manager bei Lendable in London. Sie berichtete unter anderem, dass Unternehmen wie Samsung, Visa oder Mastercard in den Bereich mobiler Zahlungen einsteigen und dass „Buy Now Pay Later“-Anbieter wie Klarna, Splitit oder LeanPay manchen Händlern erhebliche Umsatzsteigerungen bescheren.

Stablecoins

Einen weiteren Trend beleuchtete Akshat Mittal, General Manager of Core Payments bei Revolut in Delhi: Stablecoins – also Kryptowährungen, die 1:1 an reale Währungen wie den US-Dollar oder den Euro gekoppelt sind. Sie können in Staaten mit hohen Preissteigerungen als Inflationsschutz und Alternative zu den Landeswährungen fungieren. Aus der Perspektive von Banken wiederum verbessern sie die Liquidität.

„Ich nehme also am globalen Fintech-Scout-Programm teil, weil ich erstens seit 15 Jahren mit Startups zu tun habe und zweitens wissen wollte, wie eine Großbank die neuen Innovationen, an denen die Startups arbeiten, integrieren kann“, erläutert Mittal gegenüber brutkasten. „Schließlich sucht jedes Startup nach einem ‚Killer‘-Use-Case, den eine große Bank mit Sicherheit bieten kann.“

Personal Finance

Ebenfalls behandelt wurde das Thema Personal Finance. Dazu stellte Daniel Minarik, Chief Data & Innovation Officer der RBI-Tochter Tatra banka in Bratislava, eine App vor, bei der es um finanzielles Wohlbefinden und Fachwissen aus dem Finanzbereich geht. Außerdem ging Minarik auf die Themen Web 3.0 und IT-Infrastruktur der Zukunft, auf Quanten-Computing und die damit verbundenen Auswirkungen auf Kryptografie ein.


Zu den weiteren Fokusbereichen des Programms neben KI, digitalen Assets, Embedded Finance und Financial Inclusion zählen außerdem Sustainable Technologies und RegTech. Was sind nun die nächsten Schritte im Programm? „Wir haben unseren Scouts die Fokusbereiche kommuniziert und wollen jetzt spezifische Lösungen finden. Wir wollen das Programm aber auch intern in unseren anderen Tochterbanken ausweiten, denn schließlich stehen alle vor denselben Herausforderungen – wie reagieren wir auf relevante technologische Fortschritte?“, erläutert Christian Wolf im brutkasten-Gespräch.

Die Erwartungshaltung an die Scouts ist jedenfalls klar: „Die Scouts sind nicht nur unsere Augen und Ohren vor Ort, sondern wir verstehen die bestens vernetzten Experten auch als Türöffner, um attraktive Partner aus dem Technologie-Umfeld nach Österreich zu bringen – sie sind sozusagen die FinTech-Delegierten in aller Welt.“

Toll dass du so interessiert bist!
Hinterlasse uns bitte ein Feedback über den Button am linken Bildschirmrand.
Und klicke hier um die ganze Welt von der brutkasten zu entdecken.

brutkasten Newsletter

Aktuelle Nachrichten zu Startups, den neuesten Innovationen und politischen Entscheidungen zur Digitalisierung direkt in dein Postfach. Wähle aus unserer breiten Palette an Newslettern den passenden für dich.

Montag, Mittwoch und Freitag