17.04.2018

Die DSGVO umsetzen – ein Ratgeber für Startups & KMU aus Österreich

Mit 25.Mai 2018 müssen Unternehmen konform zur Datenschutz-Grundverordnung arbeiten. Wir bringen einen Ratgeber zur sauberen Umsetzung.
/artikel/dsgvo-umsetzung-oesterreich
DSGVO-Umsetzung
(c) Marko Kovic: (vlnr.) Markus Costabiei (Akarion), Richard Lutschounig (Paybon), Dejan Jovicevic (derbrutkasten), Arthur Stadler (Stadler Völkel Rechtsanwälte) und Benedikt Aichinger (swync) beim Brutkasten Meetup #3 am Podium.

In rund fünf Wochen wird die Übergangsfrist seit Einführung der Datenschutz-Grundverordnung vor zwei Jahren enden und Unternehmen drohen Strafen von bis zu vier Prozent ihres jährlichen Gesamtumsatzes, wenn sie den Richtlinien der DSGVO nicht folgen. Insgesamt zielt die neue Rechtsverordnung darauf ab, die “Grundrechte des Bürgers auf Privatsphäre zu schützen und auszubauen”, so Benedikt Aichinger von Swync, einer App, die für Unternehmen die Datenschutzerklärung anpasst und ein Verarbeitungsverzeichnis erstellt. Weil in den Unternehmen häufig Unsicherheit herrscht, was das in der Praxis bedeutet, stellen wir hier einen Ratgeber bereit, um sich dem Thema DSGVO-Umsetzung als Startup oder KMU zu stellen.

+++ Brutkasten Meetup #3: Die DSGVO zwischen reeller Gefahr und “Panikmache” +++

Die Tipps im Ratgeber dienen dabei Startups und Unternehmen, die nicht direkt mit ihren Daten Geld verdienen, sondern sich in den Themenfeldern HR / Mitarbeiterdaten, Analytics und Trackingtools, bei Löschungs- und Auskunftsanfragen durch Kunden und in ihrer Dokumentationspflicht absichern möchten.

Im Rahmen der Podiumsdiskussion beim Brutkasten Meetup in der vergangenen Woche weist Richard Loutschounig von Paybon darauf hin, dass die DSGVO auch Chance für Marketing & Sales sein kann. So sei die hauseigene Lösung zur Verteilung von Essensgutscheinen im Unternehmen bereits DSGVO-konform. Etwas, das Kunden nicht nur wohlwollend wahrgenommen haben, sondern auch aktiv nachgefragt hätten.

Dateninventur, Relevanzprüfung & Zweckwidmung

Der erste Schritt in der DSGVO-Umsetzung ist dabei die Dateninventur. Relevant sind im Sinne der DSGVO alle personenbezogenen Daten, die ein Unternehmen erhebt oder in jeglicher Form erhoben hat und damit bei sich lagert, egal ob auf Datenträgern, mittels externen Dienstleistern oder in Aktenordnern.

Personenbezogene Daten umfassen dabei alles, was sich auf eine bestimmte oder bestimmbare Person bezieht. Neben Daten aus Tracking- und Analytics-Tools oder Kaufvorgängen im Online Shop bzw. Ladengeschäft vor Ort, betrifft das auch Videoaufnahmen, IP-Adressen – so sie nicht anonymisiert vorliegen – oder eben Mitarbeiterdaten und Datenübertragung zwischen dem Unternehmen und Dienstleistern. Leicht vergessen wird dabei das Thema Gewinnspiele.

Unternehmen sollten deshalb unbedingt einen offiziellen Datenschutzbeauftragten ernennen, der sich mit dem Thema ausgiebig befasst. Im ersten Schritt heißt das, zu erheben, welche Daten im Unternehmen wozu vorliegen und sie einer Relevanzprüfung zu unterziehen. Was man an Daten nicht (mehr) braucht, kann man unmittelbar löschen. Hilfreich sind dabei als Basis Checklisten, wie die von der Wirtschaftskammer Österreich. Rechtsanwalt Dr. Arthur Stadler von der Kanzlei Stadler Völkel schlägt vor, sich für die Dateninventur im Unternehmen folgende Fragen zu stellen:

  • Welche Daten aus welchen Datenquellen werden erhoben?
  • Was wird mit den erhobenen Daten gemacht?
  • Wozu werden sie gebraucht?
  • Wie werden sie aufbewahrt?
  • Wer arbeitet mit ihnen oder hat Zugriff auf sie?

Mit Antworten auf diesen Fragen, und allen Datenquellen sowie Dienstleisterdaten als Basis, kann man im nächsten Schritt die notwendigen Dokumente für die DSGVO aufbereiten.

Notwendige Dokumente für die DSGVO

Startups und Unternehmen, die mit Daten nicht direkt Geld verdienen, sondern sie zum Verkauf erheben sowie im Kontext von Mitarbeiterdaten verarbeiten, müssen verschiedene Dokumente erstellen bzw. anpassen.

Anpassung von Datenschutzerklärung & AGBs

Hier muss festgehalten werden, wozu welche Daten erhoben und aufbewahrt werden. Das betrifft Tracking-Daten wie aus Google Analytics als auch Transaktionsdaten im Online Shop. Rein steuerrechtlich muss man Transaktionsdaten sieben Jahre lang aufbewahren, erinnert Richard Lutschounig. Die App Swync unterstützt Unternehmen hierbei mit einem Fragenkatalog, auf dessen Basis man eine DSGVO-konforme Datenschutzerklärung automatisch erstellen kann.

Verarbeitungsverzeichnis

Im Verarbeitungsverzeichnis wird festgehalten, welche Daten wozu erhoben werden, wer Zugriff auf sie hat oder an wen sie weitergeleitet werden und welche Löschungs- bzw. Aufbewahrungsfristen dafür festgelegt worden sind. Es finden sich Mustervorlagen dazu unter anderem bei der WKO. Auch hier unterstützt die App Swync Unternehmen bei der automatischen Erstellung.

Folgenabschätzung & Data Breach Notification

Eine Datenschutz-Folgenabschätzung ist dann zu erstellen, wenn sensible Personendaten verarbeitet werden. Dabei handelt es sich beispielsweise um GPS-Daten, Bankdaten, Ausweisdokumente, im Falle einer Videoüberwachung oder wenn man Kundendaten zum Profiling für personalisierte Werbung nutzt.

Auch hier gibt es Ausnahmen für Startups und kleinere Unternehmen im Sinne des “berechtigten Interesses” bei z.B. Kaufvorgängen. Für Startups empfiehlt sich hier Relevanzprüfung, falls solche sensiblen Personendaten erhoben werden. “Ist es nicht besser, weniger Daten zu erheben?”, wirft dazu Richard Lutschounig als Frage in den Raum.

Startups sind ansonsten gut beraten, sich bei diesem Thema Beratung zu holen, genau wie für den Fall eines Datenverlusts und der Data Breach Notification. Im Fall eines Datenverlusts muss außerdem eine Meldung an die österreichische Datenschutzbehörde erfolgen.

Tracking-Tools, Dienstleister und Auftragsdatenverarbeitung

Startups und Händler setzen in vielen Fällen bei der Datenverarbeitung auf externe Software und Tools wie beispielsweise Google Analytics zum Besuchertracking oder Zahlungsdienstleister im Online Shop.

Für Unternehmen und ihre DSGVO-Umsetzung heißt das, bei diesen Dienstleistern nachzuhaken und einen Vertrag zur Auftragsdatenverarbeitung zu unterschreiben, so dass die Verantwortung beim Dienstleister liegt, sich bei Problemen zu melden und um DSGVO-Konformität der eigenen Software zu kümmern. Dienstleister wie Google kümmern sich hierum bereits und versenden Mails mit Anweisungen, worauf man im Sinne der DSGVO achten muss.

Löschungs- & Auskunftsanfragen und der Notfallplan

Warnungen gibt es beim Thema DSGVO immer wieder vor Löschungsanfragen durch Nutzer oder Kunden. Dem Privatnutzer steht es frei, sich ab 25.Mai jederzeit an ein Unternehmen zu wenden und um Datenauskunft, -herausgabe und -löschung zu bitten.

Unternehmen müssen also Zugriff auf Nutzerdaten haben und einen Prozess entwerfen, um solche Anfragen bei Bedarf schnell bearbeiten zu können. Das gilt auch für Rechnungen mit Personendaten oder Kontaktformulare und Newsletter auf der Homepage. Es ist genauso notwendig, einen Notfallplan vorzubereiten, sollte es zu Datenpannen kommen. Die DSGVO ist somit eine gute Gelegenheit, die eigene IT Security auf den neuesten Stand zu bringen.

Softwarelösungen für die DSGVO und Mitarbeiterdaten

Besonders wichtig für junge Unternehmen ist die interne DSGVO-Konformität, wenn es um Mitarbeiterdaten geht. Auch hier muss erfasst werden, welche Daten wozu erhoben werden, wie sie aufbewahrt werden und wer Zugriff auf sie hat. Akarion-Gründer Markus Costabiei weist auf die interne Zirkulation von Mitarbeiterdaten zwischen Personalabteilung, Lohnbüro, ggf. Betriebsarzt und Kantine hin.

Mit Akarion entwickelt Costabiei eine umfassende Softwarelösung zur DSGVO-Umsetzung auf Basis der Blockchain. Die Software erhebt und steuert Datenüberwachung, -verarbeitung und -kontrolle im Unternehmen und bietet eine Administrationsoberfläche an, um auch bei Auskunfts- & Löschungsanfragen durch Kunden & Nutzer gewappnet zu sein. Aufgrund der Brisanz des Themas arbeiten weitere Unternehmen an ähnlichen Software-Lösungen, um DSGVO-konform zu arbeiten.

DSGVO-Umsetzung als Chance

Insgesamt ist die DSGVO eine Chance für Startups und KMUs, sich für das Thema Datenschutz zu sensibilisieren und die eigenen Datenbestände aufzuräumen. Die genannten Punkte in unserem DSGVO-Ratgeber decken die wichtigsten Anforderungen ab. Tools, Softwarelösungen und Kanzleien unterstützen in kritischen Fällen.

⇒ Akarion

⇒ Paybon

⇒ Stadler Völkel Rechtsanwälte

⇒ Swync

Deine ungelesenen Artikel:
vor 23 Stunden

Fifteen Seconds muss Insolvenz anmelden – Festival abgesagt

Die Fifteen Seconds Events GmbH muss Insolvenz anmelden. Das Festival wird somit abgesagt, eine Fortführung ist auch für 2025 nicht geplant.
/artikel/fifteen-seconds-muss-insolvenz-anmelden-festival-fuer-2024-abgesagt
vor 23 Stunden

Fifteen Seconds muss Insolvenz anmelden – Festival abgesagt

Die Fifteen Seconds Events GmbH muss Insolvenz anmelden. Das Festival wird somit abgesagt, eine Fortführung ist auch für 2025 nicht geplant.
/artikel/fifteen-seconds-muss-insolvenz-anmelden-festival-fuer-2024-abgesagt
© Niki Pommer für Fifteen Seconds

Rund zwei Wochen vor dem Start des Fifteen Seconds Festivals 2024 kommt nun eine Hiobsbotschaft aus Graz. Wie die Veranstalter am Dienstag über die Website der international bekannten Zukunftskonferenz bekannt gaben, muss die Veranstaltung abgesagt werden. Die geplante Ausgabe hätte ursprünglich vom 6 bis 7. Juni 2024 mit rund 8.000 Teilnehmer:innen aus über 30 Ländern über die Bühne gehen sollen. Bereits im Oktober 2023 wurden dafür erste Speaker:innen angekündigt (brutkasten berichtete).

Auf der Website schreiben die Veranstalter rund um Stefan Stücklschweiger und Thiemo Gillissen dazu: “Aufgrund zahlreicher kurzfristiger Absagen von teilweise langjährigen Sponsoren, die uns in den letzten Wochen erreicht haben, sehen wir uns heute gezwungen, die wohl schwierigste Entscheidung in unserer 10-jährigen Geschichte zu treffen: Wir müssen das Fifteen Seconds Festival 2024 absagen.”

Umgang mit Partnern und Besucher:innen

Wie es weiter heißt, wird in den nächsten Tagen ein Insolvenzantrag für die Fifteen Seconds Events GmbH gestellt. Ob ein Konkursverfahren erfolgt oder eine Sanierung angestrebt wird, ist zum derzeitigen Zeitpunkt noch nicht klar.

Auf der Website ist lediglich von einer “bevorstehenden Fremdverwaltung” die Rede. Dazu schreiben die Veranstalter: “Unsere Partner und Lieferanten werden im Rahmen des Insolvenzverfahrens kontaktiert und informiert. Wir sind bestrebt, alle offenen Fragen so schnell wie möglich zu klären und eine transparente Kommunikation aufrechtzuerhalten.”

In Bezug auf die Rückerstattung von Tickets heißt es, dass der Umgang damit außerhalb des Handlungsspielraumes der Veranstalter liegt. Weitere Informationen sollen über die Website und per E-Mail allerdings bereitgestellt werden. Gäste, die bereits einen Hotelaufenthalt gebucht haben, wird geraten, so “schnell wie möglich eine Stornierungsanfrage zu stellen. “Wir bemühen uns, mit allen auf der Website gelisteten Partnerhotels eine bestmögliche Lösung für alle Betroffenen zu finden”.

Auch 2025 kein Fifteen Seconds Festival geplant

“Wir müssen uns an dieser Stelle unser Scheitern eingestehen und möchten uns gleichzeitig bei allen Ticketkäufer:innen, Sponsor:innen, Lieferant:innen, Kooperationspartner:innen und Volunteers von ganzem Herzen entschuldigen”, so die Veranstalter auf der Website.

Aus heutiger Sicht ist davon auszugehen, dass es auch 2025 keine Veranstaltung geben wird. Die Absage der Veranstaltung macht über 90 Prozent des Jahresumsatzes aus. Aufgrund der letzten vier Jahre nach der Pandemie würden zudem die finanziellen Rücklagen fehlen, um ein alternatives Event zu organisieren. “Unsere gesamte Energie fließt in den kommenden Wochen in die ordentliche Abwicklung des Insolvenzverfahrens und die Unterstützung unserer Community”, so die Veranstalter.

Die Geschichte des Fifteen Seconds

Im Juni 2014 fand die erste Ausgabe des Fifteen Seconds Festivals unter dem Namen “Marketing Rockstars” in der Grazer Stadthalle statt. Damals gab es nur einen Veranstaltungstag mit etwa 1.300 Besucher:innen und 80 Speaker:innen. Bei der Ausgabe im letzten Jahr waren am 15. und 16. Juni mehr als 200 Speaker:innen, 150 Partnerunternehmen und über 8.000 Besucher:innen vor Ort (brutkasten berichtete). In der Vergangenheit richtete sich das Festival immer wieder neu aus. Aufgrund der Pandemie wurden unter anderem digitale Formate entwickelt und 2021 ein dezentrales Festivalkonzept erprobt. Auch ein Ableger des Festivals in Istanbul stand auf der Agenda (brutkasten berichtete).

Bereits 2012 gründeten Stefan Stücklschweiger und Thiemo Gillissen gemeinsam Fifteen Seconds als Unternehmen. Im Jänner 2017 holten sie mit dem Strategie- und Designunternehmen moodley einen Partner als Mehrheitseigentümer ins Boot. 2022 gaben die beiden Gründer bekannt, dass sie die Mehrheit der Unternehmensanteile zurückgekauft haben und gemeinsam mit neuen Partnern im Management 90 Prozent von Fifteen Seconds halten. Als weitere Shareholder sind damals Kathrin Schmidt, seit 2017 für den Bereich Operations verantwortlich, sowie Nino Groß, der seit 2013 die Kommunikation des Unternehmens leitet, an Bord gekommen (brutkasten berichtete).


Toll dass du so interessiert bist!
Hinterlasse uns bitte ein Feedback über den Button am linken Bildschirmrand.
Und klicke hier um die ganze Welt von der brutkasten zu entdecken.

brutkasten Newsletter

Aktuelle Nachrichten zu Startups, den neuesten Innovationen und politischen Entscheidungen zur Digitalisierung direkt in dein Postfach. Wähle aus unserer breiten Palette an Newslettern den passenden für dich.

Montag, Mittwoch und Freitag

AI Summaries

Die DSGVO umsetzen – ein Ratgeber für Startups & KMU aus Österreich

AI Kontextualisierung

Welche gesellschaftspolitischen Auswirkungen hat der Inhalt dieses Artikels?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

Die DSGVO umsetzen – ein Ratgeber für Startups & KMU aus Österreich

AI Kontextualisierung

Welche wirtschaftlichen Auswirkungen hat der Inhalt dieses Artikels?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

Die DSGVO umsetzen – ein Ratgeber für Startups & KMU aus Österreich

AI Kontextualisierung

Welche Relevanz hat der Inhalt dieses Artikels für mich als Innovationsmanager:in?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

Die DSGVO umsetzen – ein Ratgeber für Startups & KMU aus Österreich

AI Kontextualisierung

Welche Relevanz hat der Inhalt dieses Artikels für mich als Investor:in?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

Die DSGVO umsetzen – ein Ratgeber für Startups & KMU aus Österreich

AI Kontextualisierung

Welche Relevanz hat der Inhalt dieses Artikels für mich als Politiker:in?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

Die DSGVO umsetzen – ein Ratgeber für Startups & KMU aus Österreich

AI Kontextualisierung

Was könnte das Bigger Picture von den Inhalten dieses Artikels sein?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

Die DSGVO umsetzen – ein Ratgeber für Startups & KMU aus Österreich

AI Kontextualisierung

Wer sind die relevantesten Personen in diesem Artikel?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

Die DSGVO umsetzen – ein Ratgeber für Startups & KMU aus Österreich

AI Kontextualisierung

Wer sind die relevantesten Organisationen in diesem Artikel?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

Die DSGVO umsetzen – ein Ratgeber für Startups & KMU aus Österreich