27.11.2017

EU-Datenschutzverordnung: Das müssen Startups beachten

Gastbeitrag. Karin Bruchbacher von PHH Rechtsanwälte und Georg Zeitler von pc-web klären auf, was die DSGVO rechtlich für Cloud-Computing, Growth Hacking und Social Media Marketing bedeutet.
/artikel/eu-datenschutzverordnung-dsgvo
(c) PHH Rechtsanwälte: Karin Bruchbacher

In Zukunft sollten Datenschutz und IT-Sicherheit nicht mehr dem Zufall überlassen werden. Denn die neue EU-Datenschutz-Grundverordnung (DSGVO), die den Umgang mit personenbezogenen Daten regelt, verlangt strengere Sicherheitsstandards. Gerade Startups können die DSGVO aber auch als Chance nützen.

+++ Datenforum 2018: Dialogmarketing unter der EU-Datenschutzverordnung +++

Die wichtigsten Änderungen durch die DSGVO

Die DSGVO ist in der Europäischen Union und somit auch in Österreich ab dem 25. Mai 2018 unmittelbar anwendbar. Die wichtigsten Änderungen, die mit der DSGVO einhergehen, sind:

  • höhere Transparenz und Sicherheit im Umgang mit personenbezogenen Daten
  • erweiterte Informationspflichten für Verantwortliche und Auftragsverarbeiter
  • stärkere Betroffenenrechte
  • privacy by design / privacy by default (Ausrichtung aller Systeme und Anwendungen auf die Gewährleistung des Datenschutzes, dies muss vor allem bei der Software Entwicklung beachtet werden)
  • höhere Strafen: Zehn Millionen Euro oder zwei Prozent des weltweiten Vorjahresumsatzes, in schwerwiegenden Fällen sogar 20 Millionen Euro oder vier Prozent des weltweiten Vorjahresumsatzes – je nachdem was höher ist

Regelungen zum Cloud-Computing

Gerade Startups arbeiten oft mit Cloud-basierten Lösungen. Vielfach werden dafür anerkannte Speicherdienste außerhalb des Unternehmens genutzt, die jedoch oft von Anbietern außerhalb der Europäischen Union angeboten werden. Der Cloud-Nutzer (Verantwortlicher) muss in Zukunft sicherstellen, dass er nur mit vertrauenswürdigen Cloud-Anbietern (Auftragsverarbeitern) zusammenarbeitet. Durch einen Auftragsverarbeitervertrag (Dienstleistervertrag) ist sicherzustellen, dass der Cloud-Anbieter unter anderem geeignete technische und organisatorische Maßnahmen ergreift, um die Verarbeitung der Daten im Einklang mit der DSGVO durchzuführen. Dies ist insbesondere vor dem Hintergrund einer Solidarhaftung im Schadensfall unumgänglich.

Um auf Nummer sicher zu gehen, können Cloud-Nutzer außerdem europäische Cloud-Anbieter mit einem Rechenzentrum innerhalb der EU wählen. Somit kann gewährleistet werden, dass keine Daten durch Drittstaaten außerhalb der EU übermittelt werden.

Growth Hacking und Social Media Marketing unter der DSGVO

Auch beim Growth Hacking ist in Zukunft Vorsicht geboten. Durch Datenerhebung und -analyse ist beim Growth Hacking trotz kleinem Marketing Budget großer Unternehmenswachstum möglich: Die Tracking-Möglichkeiten, Analytics-Tools und Social Media Plattformen ermöglichen, zahlreiche Daten von Kunden und Interessenten zu sammeln und sinnvoll in die Marketingstrategie einzubinden. Angesichts dieser Möglichkeiten war der Datenschutz für viele Marketer und Unternehmen in der Vergangenheit eher ein Nebenschauplatz. Social Media und Content Marketing, Growth Hacking und SEO werden jedoch auch in Zukunft eine große Rolle im Unternehmen spielen, doch muss mit der DSGVO der Datenverarbeitungsprozess wesentlich transparenter aufgezogen werden.

Cookies und IP-Adressen sind personenbezogene Daten. Das bedeutet, dass grundsätzlich jeder Websitebesucher eine Einwilligungserklärung abgeben muss, wenn beim Tracking nicht-anonymisierte Daten gesammelt werden und kein sonstiger Rechtfertigungsgrund vorliegt, der die Datenverarbeitung rechtfertigt. Das ist heute schon bei den meisten Websites Usus. Zusätzlich muss jedoch in Zukunft stets der Zweck der Datenverarbeitung offengelegt werden und die Verarbeitung dementsprechend eingeschränkt sein (Datenminimierung). In Social Media Plattformen dürfen ohne Einwilligung der Nutzer jedenfalls keine CRM-Daten wie z.B. Emailadressen hochgeladen werden.

Außerdem darf eine Leistung nicht mit der Einwilligung zur Datenverarbeitung gekoppelt werden, wenn diese für die Erbringung nicht erforderlich ist, wie dies z.B. oft bei der Teilnahme von Gewinnspielen geschieht (Kopplungsverbot).

Chance DSGVO

Die neuen DSGVO-Bestimmungen mögen wie Einschränkungen wirken. Doch höhere Datenschutzstandards sind auch Chancen für eine höhere Kundenbindung. Transparente Datenverarbeitung und rechtskonforme Auskünfte wecken Vertrauen beim Kunden, sorgen für eine gute Reputation sowie ein positives Unternehmensimage.

+++ Bereits Gesellschafter einer GesbR ohne es zu wissen? +++


eBook zur DSGVO

Möchten Sie mehr über die DSGVO und ihre Anwendungen erfahren? Lesern von derbrutkasten.at wird von PHH Prochaska Havranek Rechtsanwälte GmbH & CO KG und pc-web exklusiv ein gratis eBook zur Verfügung gestellt ⇒ hier downloaden. In diesem DSGVO-Leitfaden werden technische, organisatorische und rechtliche Aspekte der DSGVO erläutert und Best Practices zur Verfügung gestellt.

Über die Autoren

Karin Bruchbacher

(c) PHH Rechtsanwälte: Karin Bruchbacher

Karin Bruchbacher ist Rechtsanwältin und als Datenschutzexpertin sowie zertifizierte Datenschutzbeauftragte Teil des PHH Datenschutzteams. Infos unter www.datenschutz-phh.at. [email protected].

PHH Prochaska Havranek Rechtsanwälte GmbH & Co KG in Wien bringt Expertise in Wirtschaftsrecht und Wirtschaftsstrafrecht. Seit ihrer Gründung 2001 ist die Kanzlei stetig gewachsen und wurde international mehrfach ausgezeichnet. Die elf PHH-Partner und rund 40 Juristen arbeiten in Experten-Clustern, die von M&A über Prozessführung zu Wirtschaftsstrafrecht reichen. Im Startup-Bereich engagiert sich PHH Rechtsanwälte als Gründungspartner des European Super Angels Clubs (ESAC).

Georg Zeitler

(c) pc-web: Georg Zeitler

Georg Zeitler ist Geschäftsführer des Wiener IT-Unternehmens pc-web, einem Spezialisten für Cloud-, Web-, Software- und Netzwerk-Lösungen, der seit 2013 eine eigene Support-Abteilung für Startups anbietet. [email protected].

pc-web wurde 2007 von Georg Zeitler und Wolfgang Weber gegründet. Das IT-Unternehmen startete mit fünf Mitarbeitern und entwickelte sich innerhalb von zehn Jahren zu einem führenden Spezialisten für Cloud-, Web-, Software- und Netzwerk-Lösungen. Das 18-köpfige Team berät und betreut Kunden aus allen Branchen von Bau bis Unterhaltung. Zu den Kunden zählen etwa das Fraunhofer Institut, Cosmeterie, Dr. Owl, oder Timeaffair.  www.pc-web.at.

Deine ungelesenen Artikel:
03.07.2026

Warum die internationalen Krypto-Player in Wien bei Manuel Gahns Lumia landen

Vor drei Jahren mit dem Startup House gestartet betreibt Manuel Gahn mit Lumia mittlerweile zwei Standorte, mehrere Geschäftszweige und einen besonderen Fokus auf internationale Krypto-Unternehmen. Im Interview erzählte er uns mehr dazu.
/artikel/warum-die-internationalen-krypto-player-in-wien-bei-manuel-gahns-lumia-landen
03.07.2026

Warum die internationalen Krypto-Player in Wien bei Manuel Gahns Lumia landen

Vor drei Jahren mit dem Startup House gestartet betreibt Manuel Gahn mit Lumia mittlerweile zwei Standorte, mehrere Geschäftszweige und einen besonderen Fokus auf internationale Krypto-Unternehmen. Im Interview erzählte er uns mehr dazu.
/artikel/warum-die-internationalen-krypto-player-in-wien-bei-manuel-gahns-lumia-landen
Manuel Gahn und Lena Manzenreiter | (c) Lumia
Manuel Gahn und Lena Manzenreiter | (c) Lumia

Eine ganze Reihe internationaler Krypto-Anbieter baut bekanntlich seine EU-Hauptquartiere in Wien auf. Während Player wie Bybit EU, KuCoin EU oder zuletzt WhiteBit EU dank Erhalt der MiCAR-Lizenz bereits offiziell die Arbeit aufgenommen haben, müssen andere vorerst unter dem Radar bleiben.Nicht weniger als fünf dieser Player, KuCoin EU, WhiteBit EU und drei weitere, die noch nicht genannt werden dürfen, haben sich an den beiden Standorten des Wiener Office-Space-Unternehmens Lumia angesiedelt. Das wiederum befindet sich aktuell in der nächsten Expansionsphase, nachdem nach dem Start mit dem Startup House vor drei Jahren bereits 2024 ein zweiter Standort eröffnet wurde.

Dabei setzt man nicht nur auf internationale Krypto-Unternehmen. Kürzlich hat Lumia-Gründer Manuel Gahn mit Lena Manzenreiter als neue Head of Ecosystem & EUHQ eine Verantwortliche für diese internationalen Ansiedlungen an Bord geholt, die auch als Ansprechpartnerin für Partnerorganisationen wie Wirtschaftsagentur Wien, FFG, GIN, WKO, und DAAA fungiert. Im Interview erzählte uns Gahn über die besondere Position von Lumia im Krypto-Bereich, die Anforderungen, die man dafür erfüllt und die Strategie, die dahinterliegt.


brutkasten: Wie hat sich Lumia seit dem Start mit dem Startup House vor einigen Jahren entwickelt? Wo steht ihr gerade?

Manuel Gahn: Mit dem Startup House haben wir vor gut drei Jahren angefangen. Wir sind wirklich zu diesem physischen Ankerpunkt der Wiener Startup-Szene geworden, vor allem auch als Community Place. Etwas unbeabsichtigt hat sich ja auch das hocherfolgreiche Geschäftsmodell der Event-Venues entwickelt, wobei wir hier mit Loft und Prisma zwei Standorte haben. All das ist im Lumia-Ökosystem gebündelt. Wir haben zudem gemerkt, dass es sich bei unseren Coworkern mittlerweile auch über das Startup-Segment hinaus entwickelt hat. Mit unseren Serviced Offices ziehen wir auch größere Firmen an – beispielsweise Dyson und Uber.

Prisma fungiert bei Lumia als Event-Venue | (c) Lumia

Hat sich das auch auf euer Angebot ausgewirkt?

Ja, wir haben gemerkt, dass wir in Premium Serviced Offices expandieren können. Vor gut eineinhalb Jahren kam dann die Ansiedlung von KuCoin Europe, die dann den Prozess begonnen haben, sich für die MiCAR-Lizenz zu bewerben. Das war für uns eine neue Herausforderung, aber auch sehr spannend. Mit dem chinesischen Markt war ich davor schon ein bisschen in Berührung, weil ich in Hongkong studiert habe. Auch mit dem chinesischen Eigentümern konnte ich dementsprechend etwas besser umgehen als vielleicht andere Spaces in Wien.

Und mittlerweile seid ihr im Krypto-Segment aber noch deutlich weiter gewachsen…

Ja, wir sind wieder in der Expansion, weil wir mittlerweile so viel Nachfrage und volle Büros haben. Insbesondere mit dem Fokus auf zukünftige sogenannte CASPs, also Crypto Asset Service Providers. Das sind jetzt nicht nur Krypto-Player und Krypto-Börsen selbst, sondern auch zum Beispiel Stablecoin-Unternehmen, die sehr strenge regulatorische Vorschriften und Vorgaben für die Office Compliance haben, mit der Finanzmarktaufsicht als sehr kompetenter Regulatorin. Die Fragen für die Büro-Requirements sind zwar komplex, aber für alle die gleichen und die haben wir mittlerweile am besten ausgearbeitet. Zwei unserer Unternehmen haben diesen Prozess bereits geschafft und weitere drei sind aktuell dabei.

Du hast KuCoin EU schon erwähnt. Die zweiten, die diesen Prozess geschafft haben, darfst du auch nennen…

Ja, KuCoinEU ist an unserem zweiten Standort in der Tribüne, wo auch das Prisma als Konferenzzentrum läuft. Im Startup House ist im Frühjahr Whitebit EU eingezogen und hat letzte Woche die MiCAR-Lizenz bekommen. Die drei weiteren Unternehmen darf ich noch nicht nennen, weil sie gerade im Lizenz-Prozess sind. Aber auch die sind bereits in Office-Größen von 5 bis 20 Leuten und arbeiten sehr stark an ihrer Compliance, um die Lizenzen zu bekommen. Da wird es in den nächsten paar Wochen noch neue Announcements geben.

Mit was überzeugt ihr die Krypto-Unternehmen? Warum kommen alle zu euch?

Es sind nicht alle bei uns. Bybit EU, die wohl größte Wette auf Österreich, etwa nicht. Ich weiß von sieben oder acht, die diese Prozesse haben, und fünf davon sind hier. Natürlich ist es die starke Flexibilität, anfangs ein kleines Team zu haben und bei uns wachsen zu können. Lumia zieht außerdem Wiens engagierteste Personen und Firmen an – viele davon jung und Expats. Im Krypto-Bereich liegt das auch an der Nähe zu Bitpanda. Viele Leute, die in diesen in MiCAR-Lizenzierungsprozessen steckenden Firmen angestellt sind, sind ehemalige Pandas und schätzen den Business Hub rund um die Krieau.

Die Bitpanda-Zentrale ist direkt gegenüber vom Startup House…

Ja. Und der größte Hebel ist letztlich das Netzwerk. Angefangen hat es bei KuCoin Europe mit Oliver Stauber, Christian Niedermüller, Christian Derler und so weiter. Keiner von denen ist jetzt noch dort und sie haben alle neue Arbeitgeber, die auch in diesen Lizenzprozessen sind. Sie alle sind bei uns geblieben.

Und so trifft sich dann das gesamte ehemalige Team bei euch wieder?

Lustigerweise ja. Sonst würde man sagen, wir sind im B2B-Business, also Lumia macht Office Business, aber eigentlich, nachdem wir einfach die besten Arbeitsplätze Österreichs anbieten, ist es ein bisschen ein B2C-Business. Vielleicht verändern sich die Arbeitgeber:innen von den Personen, aber die Personen wollen bei uns bleiben.

Du hast auch von regulatorischen Hürden gesprochen. Bei jenen davon, die das Office angehen, seid ihr am Zug. Kannst du mir da mehr erzählen?

Ja, die Office-Compliance hat sich als Quick Win für MiCAR-Applicants herauskristallisiert. Da geht es etwa darum, dass laut Vorschriften drei voneinander getrennte Bereiche für eine Krypto-Company nötig sind. Holding, Compliance-Team, Anti-Money-Laundering Officer, Anti-Terrorism-Financing und so weiter. Wie wird die Hot Wallet gestored? Wie sind die Access Logs? Wie gehen wir mit Umsatzsteuerschädlingen um? Wie werden Besucher:innen registriert? Gibt es ein High-Security-Zutrittskontrollsystem? Das ist das, was wir jetzt auch gerade wieder aufrüsten und nochmal verbessern. Wir brauchen etwa verstärkte Sicherheitstüren und Fenster mit einbruchsicheren Sichtschutzfolien. Es ist schon wirklich ein Aufwand, sich da zu spezialisieren. Die ersten ein, zwei Male waren nicht lustig, aber jetzt haben wir das perfektioniert.

Lumia stellt für seine Mieter spezielle Zugangssysteme bereit | (c) Lumia

Damit wissen mittlerweile auch die Regulatoren, wenn sie für den sogenannten Office Visit “wiedermal” bei uns vorbeikommen, dass wir wissen, was zu tun ist. Ich will damit nicht sagen, dass es die Unternehmen leichter haben, die Lizenz zu bekommen und Office Compliance ist auch wirklich nur ein ganz kleiner Teil. Es sind genau dieselben strengen Regeln, die sie in anderen Immobilien auch haben. Nur wir können dabei unterstützen, weil wir in diesem konkreten Thema vermutlich europaweit am meisten Erfahrung haben.

Und ich nehme jetzt an, der Prüfer, der zum fünften Mal wegen der fünften Firma zu euch kommt, weiß dann schon, dass eure Fenster bruchsicher sind…

Zum Beispiel. Sie wissen auch, dass wir die WLAN-Netzwerke voneinander trennen, es komplett sichere Storage Archives gibt, die Zutrittskontrollen on-premise laufen und es Security-Kameras gibt. Zum Beispiel müssen alle Besucher:innen getrackt werden. Da gibt es dann eine Registrierung über unsere Rezeption. Die checkt sie ein und aus, prüft die IDs und teilt Visitor-Badges aus. Das haben wir wirklich zur Perfektion getrieben.

Jetzt Anfang Juli ist ein großes Thema natürlich, dass die MiCAR-Regelungen endgültig schlagend werden. Wie nimmst du das von deiner Position aus wahr?

Wir kriegen das gar nicht so viel mit, weil wir nicht im Tagesgeschäft involviert sind. Eine neue Firma hat morgen diesen Office Visit. Heute stellen wir auch gerade nochmal sicher, dass alle Systeme laufen, damit alles funktioniert. Nachdem es einmal aufgesetzt wurde, muss es dann ja immer funktionieren. Es ist schon auch lustig, wenn dann viele internationale Gäste hier sind.

Aber die Firmen siedeln sich unter anderem deswegen bei uns an, weil sie auch noch nicht wissen, was passiert, wenn sie abgelehnt werden. Da kann man keinen Fünf-Jahres-Vertrag mit vielleicht 400 Quadratmetern unterschreiben, wenn man nach sechs Monaten abgelehnt wird und keine Lizenz bekommt. Da sind Flex-Office-Lösungen eine sehr gute Lösung.

Ich stelle zum Ende nochmal eine klassische Ausblicksfrage: Du hast am Anfang des Interviews anklingen lassen, dass ihr weiter in der Expansionsphase seid. Und du hast gesagt, dass sich auch internationale Unternehmen abseits der Krypto-Branche wegen eines EU-Headquarters bei euch umsehen.

Wir sind jetzt gerade dabei, weitere 500 bis 1.500 Quadratmeter dazu zu mieten – das ist noch nicht ganz fix. Je nach Arbeitsplätzen und Conference Center kann das noch variieren oder auch noch viel mehr werden, falls noch mehr von diesen Firmen kommen. Was wir gemerkt haben: Es gibt zum Beispiel dank „Go Austria“ von GIN und FFG ziemlich viel Zuzug nach Wien als Basis für einen Markteintritt in Europa. Flexible Premium-Arbeitsplätze können hier natürlich auch von Wirtschaftsagentur Wien und ABA gut positioniert werden. Diese Firmen brauchen anfangs mal ein Virtual Office und expandieren dann womöglich auch auf Arbeitsplätze. Die wissen oft noch gar nicht, was genau deren Europe Entry Strategy sein wird.

Deswegen haben wir auch diese Marke „EUHQ by Lumia“ erfunden. Das können Finanzdienstleister oder Crypto Asset Service Provider sein, auf die wir aktuell unseren Fokus legen, weil es eben sehr schwer ist, denen zu genügen, und wir da den perfekten Product-Market-Fit gefunden haben. Aber es gibt auch andere, die in unserem Tech-Expat-Hub gerne einziehen würden.

Unsere Mitarbeiterin Lena Manzenreiter leitet die Expansion in dieses Geschäftsfeld. Sie wird viel im Ökosystem, mit der DAAA und mit der Wirtschaftsagentur Wien an neuen Initiativen arbeiten, um mit diesen internationalen White-Collar-Jobs neue Akzente zu setzen – um Wien als wichtigen Tech-Standort und Expansions Hub für Europa weiter zu etablieren.

Toll dass du so interessiert bist!
Hinterlasse uns bitte ein Feedback über den Button am linken Bildschirmrand.
Und klicke hier um die ganze Welt von der brutkasten zu entdecken.

brutkasten Newsletter

Aktuelle Nachrichten zu Startups, den neuesten Innovationen und politischen Entscheidungen zur Digitalisierung direkt in dein Postfach. Wähle aus unserer breiten Palette an Newslettern den passenden für dich.

Montag, Mittwoch und Freitag

AI Summaries

EU-Datenschutzverordnung: Das müssen Startups beachten

AI Kontextualisierung

Welche gesellschaftspolitischen Auswirkungen hat der Inhalt dieses Artikels?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

EU-Datenschutzverordnung: Das müssen Startups beachten

AI Kontextualisierung

Welche wirtschaftlichen Auswirkungen hat der Inhalt dieses Artikels?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

EU-Datenschutzverordnung: Das müssen Startups beachten

AI Kontextualisierung

Welche Relevanz hat der Inhalt dieses Artikels für mich als Innovationsmanager:in?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

EU-Datenschutzverordnung: Das müssen Startups beachten

AI Kontextualisierung

Welche Relevanz hat der Inhalt dieses Artikels für mich als Investor:in?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

EU-Datenschutzverordnung: Das müssen Startups beachten

AI Kontextualisierung

Welche Relevanz hat der Inhalt dieses Artikels für mich als Politiker:in?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

EU-Datenschutzverordnung: Das müssen Startups beachten

AI Kontextualisierung

Was könnte das Bigger Picture von den Inhalten dieses Artikels sein?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

EU-Datenschutzverordnung: Das müssen Startups beachten

AI Kontextualisierung

Wer sind die relevantesten Personen in diesem Artikel?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

EU-Datenschutzverordnung: Das müssen Startups beachten

AI Kontextualisierung

Wer sind die relevantesten Organisationen in diesem Artikel?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

EU-Datenschutzverordnung: Das müssen Startups beachten