Wie die Salzburg AG mit einer neuen Crowdinvesting-Plattform die Energiewende vorantreibt

17.04.2018

Die DSGVO umsetzen – ein Ratgeber für Startups & KMU aus Österreich

Mit 25.Mai 2018 müssen Unternehmen konform zur Datenschutz-Grundverordnung arbeiten. Wir bringen einen Ratgeber zur sauberen Umsetzung.

/artikel/dsgvo-umsetzung-oesterreich

✨ AI Kontextualisierung

In rund fünf Wochen wird die Übergangsfrist seit Einführung der Datenschutz-Grundverordnung vor zwei Jahren enden und Unternehmen drohen Strafen von bis zu vier Prozent ihres jährlichen Gesamtumsatzes, wenn sie den Richtlinien der DSGVO nicht folgen. Insgesamt zielt die neue Rechtsverordnung darauf ab, die „Grundrechte des Bürgers auf Privatsphäre zu schützen und auszubauen“, so Benedikt Aichinger von Swync, einer App, die für Unternehmen die Datenschutzerklärung anpasst und ein Verarbeitungsverzeichnis erstellt. Weil in den Unternehmen häufig Unsicherheit herrscht, was das in der Praxis bedeutet, stellen wir hier einen Ratgeber bereit, um sich dem Thema DSGVO-Umsetzung als Startup oder KMU zu stellen.

+++ Brutkasten Meetup #3: Die DSGVO zwischen reeller Gefahr und “Panikmache” +++

Die Tipps im Ratgeber dienen dabei Startups und Unternehmen, die nicht direkt mit ihren Daten Geld verdienen, sondern sich in den Themenfeldern HR / Mitarbeiterdaten, Analytics und Trackingtools, bei Löschungs- und Auskunftsanfragen durch Kunden und in ihrer Dokumentationspflicht absichern möchten.

Im Rahmen der Podiumsdiskussion beim Brutkasten Meetup in der vergangenen Woche weist Richard Loutschounig von Paybon darauf hin, dass die DSGVO auch Chance für Marketing & Sales sein kann. So sei die hauseigene Lösung zur Verteilung von Essensgutscheinen im Unternehmen bereits DSGVO-konform. Etwas, das Kunden nicht nur wohlwollend wahrgenommen haben, sondern auch aktiv nachgefragt hätten.

Dateninventur, Relevanzprüfung & Zweckwidmung

Der erste Schritt in der DSGVO-Umsetzung ist dabei die Dateninventur. Relevant sind im Sinne der DSGVO alle personenbezogenen Daten, die ein Unternehmen erhebt oder in jeglicher Form erhoben hat und damit bei sich lagert, egal ob auf Datenträgern, mittels externen Dienstleistern oder in Aktenordnern.

Personenbezogene Daten umfassen dabei alles, was sich auf eine bestimmte oder bestimmbare Person bezieht. Neben Daten aus Tracking- und Analytics-Tools oder Kaufvorgängen im Online Shop bzw. Ladengeschäft vor Ort, betrifft das auch Videoaufnahmen, IP-Adressen – so sie nicht anonymisiert vorliegen – oder eben Mitarbeiterdaten und Datenübertragung zwischen dem Unternehmen und Dienstleistern. Leicht vergessen wird dabei das Thema Gewinnspiele.

Unternehmen sollten deshalb unbedingt einen offiziellen Datenschutzbeauftragten ernennen, der sich mit dem Thema ausgiebig befasst. Im ersten Schritt heißt das, zu erheben, welche Daten im Unternehmen wozu vorliegen und sie einer Relevanzprüfung zu unterziehen. Was man an Daten nicht (mehr) braucht, kann man unmittelbar löschen. Hilfreich sind dabei als Basis Checklisten, wie die von der Wirtschaftskammer Österreich. Rechtsanwalt Dr. Arthur Stadler von der Kanzlei Stadler Völkel schlägt vor, sich für die Dateninventur im Unternehmen folgende Fragen zu stellen:

Welche Daten aus welchen Datenquellen werden erhoben?
Was wird mit den erhobenen Daten gemacht?
Wozu werden sie gebraucht?
Wie werden sie aufbewahrt?
Wer arbeitet mit ihnen oder hat Zugriff auf sie?

Mit Antworten auf diesen Fragen, und allen Datenquellen sowie Dienstleisterdaten als Basis, kann man im nächsten Schritt die notwendigen Dokumente für die DSGVO aufbereiten.

Notwendige Dokumente für die DSGVO

Startups und Unternehmen, die mit Daten nicht direkt Geld verdienen, sondern sie zum Verkauf erheben sowie im Kontext von Mitarbeiterdaten verarbeiten, müssen verschiedene Dokumente erstellen bzw. anpassen.

Anpassung von Datenschutzerklärung & AGBs

Hier muss festgehalten werden, wozu welche Daten erhoben und aufbewahrt werden. Das betrifft Tracking-Daten wie aus Google Analytics als auch Transaktionsdaten im Online Shop. Rein steuerrechtlich muss man Transaktionsdaten sieben Jahre lang aufbewahren, erinnert Richard Lutschounig. Die App Swync unterstützt Unternehmen hierbei mit einem Fragenkatalog, auf dessen Basis man eine DSGVO-konforme Datenschutzerklärung automatisch erstellen kann.

Verarbeitungsverzeichnis

Im Verarbeitungsverzeichnis wird festgehalten, welche Daten wozu erhoben werden, wer Zugriff auf sie hat oder an wen sie weitergeleitet werden und welche Löschungs- bzw. Aufbewahrungsfristen dafür festgelegt worden sind. Es finden sich Mustervorlagen dazu unter anderem bei der WKO. Auch hier unterstützt die App Swync Unternehmen bei der automatischen Erstellung.

Folgenabschätzung & Data Breach Notification

Eine Datenschutz-Folgenabschätzung ist dann zu erstellen, wenn sensible Personendaten verarbeitet werden. Dabei handelt es sich beispielsweise um GPS-Daten, Bankdaten, Ausweisdokumente, im Falle einer Videoüberwachung oder wenn man Kundendaten zum Profiling für personalisierte Werbung nutzt.

Auch hier gibt es Ausnahmen für Startups und kleinere Unternehmen im Sinne des „berechtigten Interesses“ bei z.B. Kaufvorgängen. Für Startups empfiehlt sich hier Relevanzprüfung, falls solche sensiblen Personendaten erhoben werden. „Ist es nicht besser, weniger Daten zu erheben?“, wirft dazu Richard Lutschounig als Frage in den Raum.

Startups sind ansonsten gut beraten, sich bei diesem Thema Beratung zu holen, genau wie für den Fall eines Datenverlusts und der Data Breach Notification. Im Fall eines Datenverlusts muss außerdem eine Meldung an die österreichische Datenschutzbehörde erfolgen.

Tracking-Tools, Dienstleister und Auftragsdatenverarbeitung

Startups und Händler setzen in vielen Fällen bei der Datenverarbeitung auf externe Software und Tools wie beispielsweise Google Analytics zum Besuchertracking oder Zahlungsdienstleister im Online Shop.

Für Unternehmen und ihre DSGVO-Umsetzung heißt das, bei diesen Dienstleistern nachzuhaken und einen Vertrag zur Auftragsdatenverarbeitung zu unterschreiben, so dass die Verantwortung beim Dienstleister liegt, sich bei Problemen zu melden und um DSGVO-Konformität der eigenen Software zu kümmern. Dienstleister wie Google kümmern sich hierum bereits und versenden Mails mit Anweisungen, worauf man im Sinne der DSGVO achten muss.

Löschungs- & Auskunftsanfragen und der Notfallplan

Warnungen gibt es beim Thema DSGVO immer wieder vor Löschungsanfragen durch Nutzer oder Kunden. Dem Privatnutzer steht es frei, sich ab 25.Mai jederzeit an ein Unternehmen zu wenden und um Datenauskunft, -herausgabe und -löschung zu bitten.

Unternehmen müssen also Zugriff auf Nutzerdaten haben und einen Prozess entwerfen, um solche Anfragen bei Bedarf schnell bearbeiten zu können. Das gilt auch für Rechnungen mit Personendaten oder Kontaktformulare und Newsletter auf der Homepage. Es ist genauso notwendig, einen Notfallplan vorzubereiten, sollte es zu Datenpannen kommen. Die DSGVO ist somit eine gute Gelegenheit, die eigene IT Security auf den neuesten Stand zu bringen.

Softwarelösungen für die DSGVO und Mitarbeiterdaten

Besonders wichtig für junge Unternehmen ist die interne DSGVO-Konformität, wenn es um Mitarbeiterdaten geht. Auch hier muss erfasst werden, welche Daten wozu erhoben werden, wie sie aufbewahrt werden und wer Zugriff auf sie hat. Akarion-Gründer Markus Costabiei weist auf die interne Zirkulation von Mitarbeiterdaten zwischen Personalabteilung, Lohnbüro, ggf. Betriebsarzt und Kantine hin.

Mit Akarion entwickelt Costabiei eine umfassende Softwarelösung zur DSGVO-Umsetzung auf Basis der Blockchain. Die Software erhebt und steuert Datenüberwachung, -verarbeitung und -kontrolle im Unternehmen und bietet eine Administrationsoberfläche an, um auch bei Auskunfts- & Löschungsanfragen durch Kunden & Nutzer gewappnet zu sein. Aufgrund der Brisanz des Themas arbeiten weitere Unternehmen an ähnlichen Software-Lösungen, um DSGVO-konform zu arbeiten.

DSGVO-Umsetzung als Chance

Insgesamt ist die DSGVO eine Chance für Startups und KMUs, sich für das Thema Datenschutz zu sensibilisieren und die eigenen Datenbestände aufzuräumen. Die genannten Punkte in unserem DSGVO-Ratgeber decken die wichtigsten Anforderungen ab. Tools, Softwarelösungen und Kanzleien unterstützen in kritischen Fällen.

⇒ Akarion

⇒ Paybon

⇒ Stadler Völkel Rechtsanwälte

⇒ Swync

Deine ungelesenen Artikel:

Martin Pacher

27.05.2026

Vertrauen ist die neue Währung – Warum Gründer:innen heute selbst zur Marke werden müssen und wie das gelingt

Im brutkasten-Interview erklärt Branding-Expertin Lirone Glikman, warum unsichtbare Gründer:innen Deals verlieren und wie „Founder-Led Branding“ im KI-Zeitalter zur wichtigsten Währung für Vertrauen und Erfolg wird.

/artikel/vertrauen-ist-die-neue-waehrung

Martin Pacher

27.05.2026

Vertrauen ist die neue Währung – Warum Gründer:innen heute selbst zur Marke werden müssen und wie das gelingt

/artikel/vertrauen-ist-die-neue-waehrung

Dieser Text ist zuerst im brutkasten-Printmagazin von Mai 2026 „Die nächste Stufe“ erschienen. Eine Download-Möglichkeit des gesamten Magazins findet sich am Ende dieses Artikels.

In einer Welt, in der KI Inhalte massenhaft produziert und Unternehmen täglich neu entstehen, verschiebt sich der entscheidende Wettbewerbsfaktor: weg vom reinen Produkt, hin zum Vertrauen. „Founder Led Branding“ heißt das Konzept, das Gründer:innen dazu bringt, sich selbst als sichtbare Persönlichkeiten ihrer Unternehmen zu positionieren – authentisch, strategisch und mit klarer Botschaft. Anders als beim klassischen Personal Branding geht es dabei nicht nur um die eigene Person, sondern um die enge Verzahnung von Founder-Identität und Unternehmensmission. Studien und Beobachtungen auf LinkedIn zeigen: Beiträge von Personen erzielen deutlich höhere Reichweiten als jene von Unternehmensseiten. Investoren prüfen Profile, bevor sie ein Meeting zusagen. Kunden googeln Gründer, bevor sie kaufen. Wer als Founder unsichtbar bleibt, verliert Deals – noch bevor sie überhaupt verhandelt werden.

Eine, die dieses Thema international bearbeitet, ist Lirone Glikman. Die israelisch-französische Branding-Expertin begann bereits mit 16 Jahren ihre Karriere, indem sie beim CEO eines israelischen Radiosenders an die Tür klopfte und kurz darauf jüngste Radiomoderatorin des Landes wurde. Heute leitet sie ihre Agentur The Human Factor, die sich auf Founder-Led Branding spezialisiert hat, unterrichtet seit über zwölf Jahren in 28 Ländern und ist Autorin des Buchs „The Super Connector’s Playbook“. Zudem ist sie Executive Director des NGO Committee on Sustainable Development – NY, das mit der UNO affiliiert ist. Im Interview spricht sie über die Trust Economy, häufige Fehler von Gründern und darüber, warum es heute nicht mehr genügt, einfach nur ein gutes Produkt zu haben.

brutkasten: Frau Glikman, beginnen wir mit einer einfachen Frage: Wer sind Ihre Kundinnen und Kunden?

Glikman: Ich pendle zwischen Berlin und Tel Aviv. Meine Klienten sind Startups in frühen oder späteren Phasen, die Sichtbarkeit brauchen; meist dann, wenn sie Kapital aufnehmen, Kunden gewinnen oder in einen neuen Markt eintreten wollen. Dazu kommen Innovationsmanager in Konzernen.

Ein Beispiel ist Celleste Bio, ein israelisches Startup, das als erstes Unternehmen der Welt Milchschokolade mit echter Kakaobutter aus Zellsuspensionskultur-Technologie vorgestellt hat; ein Meilenstein für eine skalierbare, kommerziell tragfähige Kakao-Lieferkette. Jüngst wurde gemeinsam mit Mondelez die erste Tafel produziert, deren Kakaobutter zu 100 Prozent bio-identisch im Labor erzeugt wurde.

Wie nähern Sie sich einem Founder, der mehr Sichtbarkeit braucht?

Zuerst geht es um die Bereitschaft. Viele Gründer wissen, dass sie sichtbar sein müssen – bevor sie einen Raum betreten, ist die Entscheidung beim Investor oft schon teilweise gefallen. Er googelt, schaut auf LinkedIn, gleicht ab, ob das Gesagte zum Gesendeten passt. Unsere Marke arbeitet für uns, bevor wir den Raum betreten – aber zwischen dem Wissen und dem Tun klafft eine Lücke. Viele sind kamerascheu oder arbeiten lieber am Produkt.

Wenn sie zu mir kommen, beginnen wir mit der Strategie. Founder-Persönlichkeit und Unternehmenswerte liegen am Anfang oft sehr nah beieinander. Wir bauen eine Markenidentität auf – authentisch, nicht aufgesetzt. Welche Botschaften, welche Werte, welche Stärken? Ist die Person warm, eher kühl, fürsorglich? Wir nehmen, wer sie sind, und betonen die relevanten Aspekte online.

Was unterscheidet Founder-Led Branding vom klassischen Personal Branding?

Personal Branding ist ein abgenutzter Begriff – wir alle haben eine Marke, ob wir wollen oder nicht. Founder-Led Branding bedeutet, dass man als Gründer bewusst Botschaften platziert, die einem selbst und dem Unternehmen dienen. Heute vertrauen wir Institutionen, großen Namen und Regierungen weniger – wir vertrauen einander.

Wenn Vertrauen zur Währung wird – gerade in einer Welt, in der KI Posts schreibt und Unternehmen über Nacht entstehen lässt – bleibt das Menschliche. Wenn Sie mir vertrauen, vertrauen Sie vielleicht auch meinem Unternehmen.

Auf LinkedIn performt Founder-Content stärker als Unternehmenscontent. Warum?

Der Algorithmus will, dass Sie sich mit einer Person verbinden. Unternehmensbeiträge werden weniger ausgespielt. Es geht um die Verbindung von Mensch zu Mensch.

Was sind die größten Fehler, die Gründer machen?

Erstens: Viele halten Sichtbarkeit für ein „Nice to have“. Damit fehlt die Konsistenz.

Zweitens: Es gibt keinen roten Faden. Wenn man sich Posts der letzten Monate ansieht, sollte ein Muster erkennbar sein. An einem Tag der Urlaub, am nächsten das Unternehmen, dann etwas anderes – das funktioniert nicht. Es braucht Markensäulen.

Drittens: Viele teilen nur Beiträge ihrer Firmenseite oder von Kollegen. LinkedIn mag das nicht. Die Plattform will wissen, was Sie zu sagen haben, was Ihre Kämpfe und Erkenntnisse sind.

Und viertens: Manche gehen zu Medien, die nicht zu ihrer Phase passen. Wenn das Produkt noch nicht reif ist, sollte man etwa in einem Podcast über das Feld sprechen, nicht über die Lösung. Sonst verspricht man zu viel und liefert zu wenig.

Wie viele Posts pro Woche sind realistisch sinnvoll?

Optimal wären zwei pro Woche. Realistisch reicht ein guter, tiefgehender Post pro Woche, der eine eigene Perspektive zeigt. LinkedIn liebt sogenannte „Scar Stories“ – Geschichten von Verletzungen, aus denen man gelernt hat.

Über Fehler zu sprechen ist guter Content?

Ja, weil es verbindet. Es muss nicht der größte Fehler sein. Sie können sagen: Wir haben anfangs in diese Richtung investiert, dann hat sich der Markt verändert, also haben wir gepivotet. Das ist „Building in Public“ – Sie nehmen Ihre Follower mit auf die Reise. Stellen Sie sich vor, Sie haben Ihre eigene Show!

Im DACH-Raum spricht kaum jemand über Misserfolge. Wie ist das in anderen Kulturen?

Es geht nicht darum, sich in schlechtem Licht zu zeigen, sondern Lernerfahrungen zu teilen. Die israelische Kultur ist sehr expressiv und leidenschaftlich. Wir haben Gründer, die ihre tiefen Kämpfe und Frustrationen während des Aufbaus ihres Unternehmens radikal offen teilen. Das gibt anderen Gründern die Erlaubnis, es ihnen gleichzutun – was am Ende sowohl persönlich als auch für das Unternehmen hilfreich ist.

In asiatischen Kulturen, im Baltikum, im DACH-Raum oder in Skandinavien sind Menschen reservierter und risikoaverser. Das ist nicht schlecht – Israelis springen auf jede Idee; manchmal funktioniert es, manchmal nicht. Die Frage ist: Wie viel kann ich teilen, das mir dient, anderen Wert gibt, mir aber nicht schadet?

Wie misst man eigentlich, ob Sichtbarkeit auch Umsatz bringt?

Anders als im Vertrieb, wo Sie 50 Leute ansprechen und zwei Deals abschließen, geht es hier um Signale. Verbinden sich qualitativ relevante Menschen aus Ihrer Zielgruppe mit Ihnen? Merken Sie, dass Investoren Sie schon kennen, bevor Sie den Raum betreten? Sprechen Menschen über Sie? Das nennt man „Dark Social“ – wenn das passiert, funktioniert Ihre Marke.

Ein konkreter Tipp zur Monetarisierung: Vor jedem Meeting werden Sie beobachtet. Posten Sie zwei oder drei Tage vorher etwas, das Fragen oder Einwände beantwortet, die im Gespräch kommen werden. Wenn Investoren an der Skalierbarkeit zweifeln könnten, schreiben Sie über die Skalierbarkeit Ihrer Branche.

Das ist strategische Kommunikation pur…

Genau. Wenn Sie sich auf ein Meeting vorbereiten, gehört ein LinkedIn-Post auf die To-do-Liste. Sichtbarkeit ist kein Privileg, sondern ein Business-Tool, eine Infrastruktur.

Wie viel Zeit sollte ein Gründer investieren?

Mit KI ist das heute leichter. Erstellen Sie ein Projekt in ChatGPT oder Claude, füttern Sie es mit Ihrer Marke, Werten, Botschaften, kopieren Sie E-Mails oder Texte hinein. Dann sagen Sie: Ich möchte über die Skalierbarkeit unseres Geschäfts schreiben, hier sind drei Punkte. So entstehen Posts in Ihrer Stimme. Minimum: ein Post pro Woche. Sie können sich 30 Minuten wöchentlich Zeit nehmen oder einmal im Monat ein, zwei Stunden für alle Posts.

LinkedIn ist mit KI-Content geflutet. Sehen wir eine Gegenbewegung hin zu mehr Authentizität?

Es heißt, etwa 80 Prozent der Posts seien KI-generiert – ich denke, es sind mehr. Was Sie vermeiden sollten: den langen Gedankenstrich, den alle KI-Tools lieben; und typische Strukturen wie „Don’t do X, do Y“ oder kurze Sätze mit Punkt am Ende. Ich habe gestern in einem Post einen Tippfehler gefunden und ihn drin gelassen – weil er menschlicher ist. Verwenden Sie keine Wörter, die Sie sonst nie benutzen. KI können Sie trainieren, aber vertrauen Sie ihr nicht zu 100 Prozent.

Welche Trends sehen Sie auf LinkedIn?

Authentizität mit eigenem Stil und visuellen Wiedererkennungsmerkmalen. Und Spezifität: LinkedIn will Sie mit relevanten Menschen vernetzen – fokussieren Sie sich also auf Ihr Fachgebiet.

In Österreich gibt es Gründer, die sehr laut auftreten. Birgt das Risiken?

Kulturell, ja. Wenn Sie Wertvolles teilen, das anderen hilft, ist Lautstärke okay. Aber im DACH-Raum kann das Türen schließen. In Israel sind die Menschen wie gesagt von Natur aus lauter und leidenschaftlicher. Heute sehen wir auch einen Shift zu Solopreneuren oder Drei-Personen-Unicorns. Als Solopreneur müssen Sie Ihre Marke draußen haben – das Ziel sind Glaubwürdigkeit und Vertrauen.

Gibt es internationale Vorbilder?

Jensen Huang von Nvidia versteht, dass er das Gesicht des Unternehmens ist. Auf seinem LinkedIn-Profil steht Nvidia und davor ein Job als Tellerwäscher in einem Burgerladen.

Oder Sam Altman: Vor drei Jahren, als die Menschen Angst vor OpenAI hatten, machte er mit seinem Mitgründer eine Welttournee, traf Menschen auf Events. Sie nutzten ihre Founder-Marke, um Botschaften zu transportieren und Vertrauen aufzubauen.

Toll dass du so interessiert bist!
Hinterlasse uns bitte ein Feedback über den Button am linken Bildschirmrand.
Und klicke hier um die ganze Welt von der brutkasten zu entdecken.

brutkasten Newsletter

Aktuelle Nachrichten zu Startups, den neuesten Innovationen und politischen Entscheidungen zur Digitalisierung direkt in dein Postfach. Wähle aus unserer breiten Palette an Newslettern den passenden für dich.

Montag, Mittwoch und Freitag