17.04.2018

Die DSGVO umsetzen – ein Ratgeber für Startups & KMU aus Österreich

Mit 25.Mai 2018 müssen Unternehmen konform zur Datenschutz-Grundverordnung arbeiten. Wir bringen einen Ratgeber zur sauberen Umsetzung.
/artikel/dsgvo-umsetzung-oesterreich
DSGVO-Umsetzung
(c) Marko Kovic: (vlnr.) Markus Costabiei (Akarion), Richard Lutschounig (Paybon), Dejan Jovicevic (derbrutkasten), Arthur Stadler (Stadler Völkel Rechtsanwälte) und Benedikt Aichinger (swync) beim Brutkasten Meetup #3 am Podium.

In rund fünf Wochen wird die Übergangsfrist seit Einführung der Datenschutz-Grundverordnung vor zwei Jahren enden und Unternehmen drohen Strafen von bis zu vier Prozent ihres jährlichen Gesamtumsatzes, wenn sie den Richtlinien der DSGVO nicht folgen. Insgesamt zielt die neue Rechtsverordnung darauf ab, die “Grundrechte des Bürgers auf Privatsphäre zu schützen und auszubauen”, so Benedikt Aichinger von Swync, einer App, die für Unternehmen die Datenschutzerklärung anpasst und ein Verarbeitungsverzeichnis erstellt. Weil in den Unternehmen häufig Unsicherheit herrscht, was das in der Praxis bedeutet, stellen wir hier einen Ratgeber bereit, um sich dem Thema DSGVO-Umsetzung als Startup oder KMU zu stellen.

+++ Brutkasten Meetup #3: Die DSGVO zwischen reeller Gefahr und “Panikmache” +++

Die Tipps im Ratgeber dienen dabei Startups und Unternehmen, die nicht direkt mit ihren Daten Geld verdienen, sondern sich in den Themenfeldern HR / Mitarbeiterdaten, Analytics und Trackingtools, bei Löschungs- und Auskunftsanfragen durch Kunden und in ihrer Dokumentationspflicht absichern möchten.

Im Rahmen der Podiumsdiskussion beim Brutkasten Meetup in der vergangenen Woche weist Richard Loutschounig von Paybon darauf hin, dass die DSGVO auch Chance für Marketing & Sales sein kann. So sei die hauseigene Lösung zur Verteilung von Essensgutscheinen im Unternehmen bereits DSGVO-konform. Etwas, das Kunden nicht nur wohlwollend wahrgenommen haben, sondern auch aktiv nachgefragt hätten.

Dateninventur, Relevanzprüfung & Zweckwidmung

Der erste Schritt in der DSGVO-Umsetzung ist dabei die Dateninventur. Relevant sind im Sinne der DSGVO alle personenbezogenen Daten, die ein Unternehmen erhebt oder in jeglicher Form erhoben hat und damit bei sich lagert, egal ob auf Datenträgern, mittels externen Dienstleistern oder in Aktenordnern.

Personenbezogene Daten umfassen dabei alles, was sich auf eine bestimmte oder bestimmbare Person bezieht. Neben Daten aus Tracking- und Analytics-Tools oder Kaufvorgängen im Online Shop bzw. Ladengeschäft vor Ort, betrifft das auch Videoaufnahmen, IP-Adressen – so sie nicht anonymisiert vorliegen – oder eben Mitarbeiterdaten und Datenübertragung zwischen dem Unternehmen und Dienstleistern. Leicht vergessen wird dabei das Thema Gewinnspiele.

Unternehmen sollten deshalb unbedingt einen offiziellen Datenschutzbeauftragten ernennen, der sich mit dem Thema ausgiebig befasst. Im ersten Schritt heißt das, zu erheben, welche Daten im Unternehmen wozu vorliegen und sie einer Relevanzprüfung zu unterziehen. Was man an Daten nicht (mehr) braucht, kann man unmittelbar löschen. Hilfreich sind dabei als Basis Checklisten, wie die von der Wirtschaftskammer Österreich. Rechtsanwalt Dr. Arthur Stadler von der Kanzlei Stadler Völkel schlägt vor, sich für die Dateninventur im Unternehmen folgende Fragen zu stellen:

  • Welche Daten aus welchen Datenquellen werden erhoben?
  • Was wird mit den erhobenen Daten gemacht?
  • Wozu werden sie gebraucht?
  • Wie werden sie aufbewahrt?
  • Wer arbeitet mit ihnen oder hat Zugriff auf sie?

Mit Antworten auf diesen Fragen, und allen Datenquellen sowie Dienstleisterdaten als Basis, kann man im nächsten Schritt die notwendigen Dokumente für die DSGVO aufbereiten.

Notwendige Dokumente für die DSGVO

Startups und Unternehmen, die mit Daten nicht direkt Geld verdienen, sondern sie zum Verkauf erheben sowie im Kontext von Mitarbeiterdaten verarbeiten, müssen verschiedene Dokumente erstellen bzw. anpassen.

Anpassung von Datenschutzerklärung & AGBs

Hier muss festgehalten werden, wozu welche Daten erhoben und aufbewahrt werden. Das betrifft Tracking-Daten wie aus Google Analytics als auch Transaktionsdaten im Online Shop. Rein steuerrechtlich muss man Transaktionsdaten sieben Jahre lang aufbewahren, erinnert Richard Lutschounig. Die App Swync unterstützt Unternehmen hierbei mit einem Fragenkatalog, auf dessen Basis man eine DSGVO-konforme Datenschutzerklärung automatisch erstellen kann.

Verarbeitungsverzeichnis

Im Verarbeitungsverzeichnis wird festgehalten, welche Daten wozu erhoben werden, wer Zugriff auf sie hat oder an wen sie weitergeleitet werden und welche Löschungs- bzw. Aufbewahrungsfristen dafür festgelegt worden sind. Es finden sich Mustervorlagen dazu unter anderem bei der WKO. Auch hier unterstützt die App Swync Unternehmen bei der automatischen Erstellung.

Folgenabschätzung & Data Breach Notification

Eine Datenschutz-Folgenabschätzung ist dann zu erstellen, wenn sensible Personendaten verarbeitet werden. Dabei handelt es sich beispielsweise um GPS-Daten, Bankdaten, Ausweisdokumente, im Falle einer Videoüberwachung oder wenn man Kundendaten zum Profiling für personalisierte Werbung nutzt.

Auch hier gibt es Ausnahmen für Startups und kleinere Unternehmen im Sinne des “berechtigten Interesses” bei z.B. Kaufvorgängen. Für Startups empfiehlt sich hier Relevanzprüfung, falls solche sensiblen Personendaten erhoben werden. “Ist es nicht besser, weniger Daten zu erheben?”, wirft dazu Richard Lutschounig als Frage in den Raum.

Startups sind ansonsten gut beraten, sich bei diesem Thema Beratung zu holen, genau wie für den Fall eines Datenverlusts und der Data Breach Notification. Im Fall eines Datenverlusts muss außerdem eine Meldung an die österreichische Datenschutzbehörde erfolgen.

Tracking-Tools, Dienstleister und Auftragsdatenverarbeitung

Startups und Händler setzen in vielen Fällen bei der Datenverarbeitung auf externe Software und Tools wie beispielsweise Google Analytics zum Besuchertracking oder Zahlungsdienstleister im Online Shop.

Für Unternehmen und ihre DSGVO-Umsetzung heißt das, bei diesen Dienstleistern nachzuhaken und einen Vertrag zur Auftragsdatenverarbeitung zu unterschreiben, so dass die Verantwortung beim Dienstleister liegt, sich bei Problemen zu melden und um DSGVO-Konformität der eigenen Software zu kümmern. Dienstleister wie Google kümmern sich hierum bereits und versenden Mails mit Anweisungen, worauf man im Sinne der DSGVO achten muss.

Löschungs- & Auskunftsanfragen und der Notfallplan

Warnungen gibt es beim Thema DSGVO immer wieder vor Löschungsanfragen durch Nutzer oder Kunden. Dem Privatnutzer steht es frei, sich ab 25.Mai jederzeit an ein Unternehmen zu wenden und um Datenauskunft, -herausgabe und -löschung zu bitten.

Unternehmen müssen also Zugriff auf Nutzerdaten haben und einen Prozess entwerfen, um solche Anfragen bei Bedarf schnell bearbeiten zu können. Das gilt auch für Rechnungen mit Personendaten oder Kontaktformulare und Newsletter auf der Homepage. Es ist genauso notwendig, einen Notfallplan vorzubereiten, sollte es zu Datenpannen kommen. Die DSGVO ist somit eine gute Gelegenheit, die eigene IT Security auf den neuesten Stand zu bringen.

Softwarelösungen für die DSGVO und Mitarbeiterdaten

Besonders wichtig für junge Unternehmen ist die interne DSGVO-Konformität, wenn es um Mitarbeiterdaten geht. Auch hier muss erfasst werden, welche Daten wozu erhoben werden, wie sie aufbewahrt werden und wer Zugriff auf sie hat. Akarion-Gründer Markus Costabiei weist auf die interne Zirkulation von Mitarbeiterdaten zwischen Personalabteilung, Lohnbüro, ggf. Betriebsarzt und Kantine hin.

Mit Akarion entwickelt Costabiei eine umfassende Softwarelösung zur DSGVO-Umsetzung auf Basis der Blockchain. Die Software erhebt und steuert Datenüberwachung, -verarbeitung und -kontrolle im Unternehmen und bietet eine Administrationsoberfläche an, um auch bei Auskunfts- & Löschungsanfragen durch Kunden & Nutzer gewappnet zu sein. Aufgrund der Brisanz des Themas arbeiten weitere Unternehmen an ähnlichen Software-Lösungen, um DSGVO-konform zu arbeiten.

DSGVO-Umsetzung als Chance

Insgesamt ist die DSGVO eine Chance für Startups und KMUs, sich für das Thema Datenschutz zu sensibilisieren und die eigenen Datenbestände aufzuräumen. Die genannten Punkte in unserem DSGVO-Ratgeber decken die wichtigsten Anforderungen ab. Tools, Softwarelösungen und Kanzleien unterstützen in kritischen Fällen.

⇒ Akarion

⇒ Paybon

⇒ Stadler Völkel Rechtsanwälte

⇒ Swync

Deine ungelesenen Artikel:
19.11.2024

N26 verzeichnet erstmals positives Quartal

Die Berliner Neobank N26, gegründet von den Wienern Valentin Stalf und Maximilian Tayenthal, verzeichnet erstmals einen Quartalsgewinn.
/artikel/n26-verzeichnet-erstmals-positives-quartal
19.11.2024

N26 verzeichnet erstmals positives Quartal

Die Berliner Neobank N26, gegründet von den Wienern Valentin Stalf und Maximilian Tayenthal, verzeichnet erstmals einen Quartalsgewinn.
/artikel/n26-verzeichnet-erstmals-positives-quartal
N26-Founder Maximilian Tayenthal und Valentin Stalf Onlinebank neobank n26
N26-Founder Maximilian Tayenthal und Valentin Stalf (v.li.) (c) N26

Elf Jahre nach ihrer Gründung gelingt es der Neobank N26, über einen längeren Zeitraum profitabel zu wirtschaften. Im dritten Quartal dieses Jahres erzielte das Unternehmen zum ersten Mal ein operatives Ergebnis von 2,8 Millionen Euro im Plus. Bereits im Juni konnte die Neobank ihren ersten monatlichen Gewinn verbuchen – brutkasten berichtete.

2024: 440 Mio. Euro Umsatz

Mitte des Jahres äußerte CEO Valentin Stalf die Hoffnung, dass das gesamte Jahr profitabel ausfallen könnte. Fünf Monate später steht N26 jedoch vor einem (unbereinigten) operativen Jahresminus von etwa 20 Millionen Euro. Zum Vergleich: Im Vorjahr lag das Minus noch bei 78,3 Millionen Euro.

Die aktuellen Zahlen verdeutlichen, dass es für die Neobank N26 in diesem Jahr deutlich bergauf geht. Der Umsatz wird voraussichtlich rund 440 Millionen Euro erreichen, was einem Wachstum von etwa 40 Prozent im Vergleich zum Vorjahr entspricht. Nahezu die Hälfte davon soll aus Zinserträgen stammen, ergänzt durch Erträge aus der Veranlagung von Kundengeldern und einem wachsenden Anteil aus dem Kreditgeschäft. Der Rest resultiert aus Gebühren und Provisionen.

N26: Transaktionsvolumen von 140 Milliarden Euro

Erstmals überschritt der Betrag der Kundeneinlagen in diesem Jahr die zehn Milliarden Euro. Das Transaktionsvolumen soll 2024 zudem 140 Milliarden Euro erreichen.

Nach der Aufhebung der Wachstumsbeschränkung im Juni, die von der deutschen Finanzaufsicht Bafin aufgrund von Mängeln in der Geldwäsche- und Betrugsbekämpfung verhängt wurde, verzeichnet N26 aktuell mehr als 200.000 Neuanmeldungen pro Monat, wie Stalf verkündet.


Toll dass du so interessiert bist!
Hinterlasse uns bitte ein Feedback über den Button am linken Bildschirmrand.
Und klicke hier um die ganze Welt von der brutkasten zu entdecken.

brutkasten Newsletter

Aktuelle Nachrichten zu Startups, den neuesten Innovationen und politischen Entscheidungen zur Digitalisierung direkt in dein Postfach. Wähle aus unserer breiten Palette an Newslettern den passenden für dich.

Montag, Mittwoch und Freitag

AI Summaries

Die DSGVO umsetzen – ein Ratgeber für Startups & KMU aus Österreich

AI Kontextualisierung

Welche gesellschaftspolitischen Auswirkungen hat der Inhalt dieses Artikels?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

Die DSGVO umsetzen – ein Ratgeber für Startups & KMU aus Österreich

AI Kontextualisierung

Welche wirtschaftlichen Auswirkungen hat der Inhalt dieses Artikels?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

Die DSGVO umsetzen – ein Ratgeber für Startups & KMU aus Österreich

AI Kontextualisierung

Welche Relevanz hat der Inhalt dieses Artikels für mich als Innovationsmanager:in?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

Die DSGVO umsetzen – ein Ratgeber für Startups & KMU aus Österreich

AI Kontextualisierung

Welche Relevanz hat der Inhalt dieses Artikels für mich als Investor:in?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

Die DSGVO umsetzen – ein Ratgeber für Startups & KMU aus Österreich

AI Kontextualisierung

Welche Relevanz hat der Inhalt dieses Artikels für mich als Politiker:in?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

Die DSGVO umsetzen – ein Ratgeber für Startups & KMU aus Österreich

AI Kontextualisierung

Was könnte das Bigger Picture von den Inhalten dieses Artikels sein?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

Die DSGVO umsetzen – ein Ratgeber für Startups & KMU aus Österreich

AI Kontextualisierung

Wer sind die relevantesten Personen in diesem Artikel?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

Die DSGVO umsetzen – ein Ratgeber für Startups & KMU aus Österreich

AI Kontextualisierung

Wer sind die relevantesten Organisationen in diesem Artikel?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

Die DSGVO umsetzen – ein Ratgeber für Startups & KMU aus Österreich