17.04.2018

Die DSGVO umsetzen – ein Ratgeber für Startups & KMU aus Österreich

Mit 25.Mai 2018 müssen Unternehmen konform zur Datenschutz-Grundverordnung arbeiten. Wir bringen einen Ratgeber zur sauberen Umsetzung.
/dsgvo-umsetzung-oesterreich/
DSGVO-Umsetzung
(c) Marko Kovic: (vlnr.) Markus Costabiei (Akarion), Richard Lutschounig (Paybon), Dejan Jovicevic (derbrutkasten), Arthur Stadler (Stadler Völkel Rechtsanwälte) und Benedikt Aichinger (swync) beim Brutkasten Meetup #3 am Podium.
Der Summary Modus bietet einen raschen
Überblick und regt zum Lesen mehrerer
Artikel an. Der Artikeltext wird AI-basiert
zusammengefasst mit der Unterstützung
des Linzer-Startups Apollo AI.

In rund fünf Wochen wird die Übergangsfrist seit Einführung der Datenschutz-Grundverordnung vor zwei Jahren enden und Unternehmen drohen Strafen von bis zu vier Prozent ihres jährlichen Gesamtumsatzes, wenn sie den Richtlinien der DSGVO nicht folgen. Insgesamt zielt die neue Rechtsverordnung darauf ab, die „Grundrechte des Bürgers auf Privatsphäre zu schützen und auszubauen“, so Benedikt Aichinger von Swync, einer App, die für Unternehmen die Datenschutzerklärung anpasst und ein Verarbeitungsverzeichnis erstellt. Weil in den Unternehmen häufig Unsicherheit herrscht, was das in der Praxis bedeutet, stellen wir hier einen Ratgeber bereit, um sich dem Thema DSGVO-Umsetzung als Startup oder KMU zu stellen.

+++ Brutkasten Meetup #3: Die DSGVO zwischen reeller Gefahr und “Panikmache” +++

Die Tipps im Ratgeber dienen dabei Startups und Unternehmen, die nicht direkt mit ihren Daten Geld verdienen, sondern sich in den Themenfeldern HR / Mitarbeiterdaten, Analytics und Trackingtools, bei Löschungs- und Auskunftsanfragen durch Kunden und in ihrer Dokumentationspflicht absichern möchten.

Im Rahmen der Podiumsdiskussion beim Brutkasten Meetup in der vergangenen Woche weist Richard Loutschounig von Paybon darauf hin, dass die DSGVO auch Chance für Marketing & Sales sein kann. So sei die hauseigene Lösung zur Verteilung von Essensgutscheinen im Unternehmen bereits DSGVO-konform. Etwas, das Kunden nicht nur wohlwollend wahrgenommen haben, sondern auch aktiv nachgefragt hätten.

Dateninventur, Relevanzprüfung & Zweckwidmung

Der erste Schritt in der DSGVO-Umsetzung ist dabei die Dateninventur. Relevant sind im Sinne der DSGVO alle personenbezogenen Daten, die ein Unternehmen erhebt oder in jeglicher Form erhoben hat und damit bei sich lagert, egal ob auf Datenträgern, mittels externen Dienstleistern oder in Aktenordnern.

Personenbezogene Daten umfassen dabei alles, was sich auf eine bestimmte oder bestimmbare Person bezieht. Neben Daten aus Tracking- und Analytics-Tools oder Kaufvorgängen im Online Shop bzw. Ladengeschäft vor Ort, betrifft das auch Videoaufnahmen, IP-Adressen – so sie nicht anonymisiert vorliegen – oder eben Mitarbeiterdaten und Datenübertragung zwischen dem Unternehmen und Dienstleistern. Leicht vergessen wird dabei das Thema Gewinnspiele.

Unternehmen sollten deshalb unbedingt einen offiziellen Datenschutzbeauftragten ernennen, der sich mit dem Thema ausgiebig befasst. Im ersten Schritt heißt das, zu erheben, welche Daten im Unternehmen wozu vorliegen und sie einer Relevanzprüfung zu unterziehen. Was man an Daten nicht (mehr) braucht, kann man unmittelbar löschen. Hilfreich sind dabei als Basis Checklisten, wie die von der Wirtschaftskammer Österreich. Rechtsanwalt Dr. Arthur Stadler von der Kanzlei Stadler Völkel schlägt vor, sich für die Dateninventur im Unternehmen folgende Fragen zu stellen:

  • Welche Daten aus welchen Datenquellen werden erhoben?
  • Was wird mit den erhobenen Daten gemacht?
  • Wozu werden sie gebraucht?
  • Wie werden sie aufbewahrt?
  • Wer arbeitet mit ihnen oder hat Zugriff auf sie?

Mit Antworten auf diesen Fragen, und allen Datenquellen sowie Dienstleisterdaten als Basis, kann man im nächsten Schritt die notwendigen Dokumente für die DSGVO aufbereiten.

Notwendige Dokumente für die DSGVO

Startups und Unternehmen, die mit Daten nicht direkt Geld verdienen, sondern sie zum Verkauf erheben sowie im Kontext von Mitarbeiterdaten verarbeiten, müssen verschiedene Dokumente erstellen bzw. anpassen.

Anpassung von Datenschutzerklärung & AGBs

Hier muss festgehalten werden, wozu welche Daten erhoben und aufbewahrt werden. Das betrifft Tracking-Daten wie aus Google Analytics als auch Transaktionsdaten im Online Shop. Rein steuerrechtlich muss man Transaktionsdaten sieben Jahre lang aufbewahren, erinnert Richard Lutschounig. Die App Swync unterstützt Unternehmen hierbei mit einem Fragenkatalog, auf dessen Basis man eine DSGVO-konforme Datenschutzerklärung automatisch erstellen kann.

Verarbeitungsverzeichnis

Im Verarbeitungsverzeichnis wird festgehalten, welche Daten wozu erhoben werden, wer Zugriff auf sie hat oder an wen sie weitergeleitet werden und welche Löschungs- bzw. Aufbewahrungsfristen dafür festgelegt worden sind. Es finden sich Mustervorlagen dazu unter anderem bei der WKO. Auch hier unterstützt die App Swync Unternehmen bei der automatischen Erstellung.

Folgenabschätzung & Data Breach Notification

Eine Datenschutz-Folgenabschätzung ist dann zu erstellen, wenn sensible Personendaten verarbeitet werden. Dabei handelt es sich beispielsweise um GPS-Daten, Bankdaten, Ausweisdokumente, im Falle einer Videoüberwachung oder wenn man Kundendaten zum Profiling für personalisierte Werbung nutzt.

Auch hier gibt es Ausnahmen für Startups und kleinere Unternehmen im Sinne des „berechtigten Interesses“ bei z.B. Kaufvorgängen. Für Startups empfiehlt sich hier Relevanzprüfung, falls solche sensiblen Personendaten erhoben werden. „Ist es nicht besser, weniger Daten zu erheben?“, wirft dazu Richard Lutschounig als Frage in den Raum.

Startups sind ansonsten gut beraten, sich bei diesem Thema Beratung zu holen, genau wie für den Fall eines Datenverlusts und der Data Breach Notification. Im Fall eines Datenverlusts muss außerdem eine Meldung an die österreichische Datenschutzbehörde erfolgen.

Tracking-Tools, Dienstleister und Auftragsdatenverarbeitung

Startups und Händler setzen in vielen Fällen bei der Datenverarbeitung auf externe Software und Tools wie beispielsweise Google Analytics zum Besuchertracking oder Zahlungsdienstleister im Online Shop.

Für Unternehmen und ihre DSGVO-Umsetzung heißt das, bei diesen Dienstleistern nachzuhaken und einen Vertrag zur Auftragsdatenverarbeitung zu unterschreiben, so dass die Verantwortung beim Dienstleister liegt, sich bei Problemen zu melden und um DSGVO-Konformität der eigenen Software zu kümmern. Dienstleister wie Google kümmern sich hierum bereits und versenden Mails mit Anweisungen, worauf man im Sinne der DSGVO achten muss.

Löschungs- & Auskunftsanfragen und der Notfallplan

Warnungen gibt es beim Thema DSGVO immer wieder vor Löschungsanfragen durch Nutzer oder Kunden. Dem Privatnutzer steht es frei, sich ab 25.Mai jederzeit an ein Unternehmen zu wenden und um Datenauskunft, -herausgabe und -löschung zu bitten.

Unternehmen müssen also Zugriff auf Nutzerdaten haben und einen Prozess entwerfen, um solche Anfragen bei Bedarf schnell bearbeiten zu können. Das gilt auch für Rechnungen mit Personendaten oder Kontaktformulare und Newsletter auf der Homepage. Es ist genauso notwendig, einen Notfallplan vorzubereiten, sollte es zu Datenpannen kommen. Die DSGVO ist somit eine gute Gelegenheit, die eigene IT Security auf den neuesten Stand zu bringen.

Softwarelösungen für die DSGVO und Mitarbeiterdaten

Besonders wichtig für junge Unternehmen ist die interne DSGVO-Konformität, wenn es um Mitarbeiterdaten geht. Auch hier muss erfasst werden, welche Daten wozu erhoben werden, wie sie aufbewahrt werden und wer Zugriff auf sie hat. Akarion-Gründer Markus Costabiei weist auf die interne Zirkulation von Mitarbeiterdaten zwischen Personalabteilung, Lohnbüro, ggf. Betriebsarzt und Kantine hin.

Mit Akarion entwickelt Costabiei eine umfassende Softwarelösung zur DSGVO-Umsetzung auf Basis der Blockchain. Die Software erhebt und steuert Datenüberwachung, -verarbeitung und -kontrolle im Unternehmen und bietet eine Administrationsoberfläche an, um auch bei Auskunfts- & Löschungsanfragen durch Kunden & Nutzer gewappnet zu sein. Aufgrund der Brisanz des Themas arbeiten weitere Unternehmen an ähnlichen Software-Lösungen, um DSGVO-konform zu arbeiten.

DSGVO-Umsetzung als Chance

Insgesamt ist die DSGVO eine Chance für Startups und KMUs, sich für das Thema Datenschutz zu sensibilisieren und die eigenen Datenbestände aufzuräumen. Die genannten Punkte in unserem DSGVO-Ratgeber decken die wichtigsten Anforderungen ab. Tools, Softwarelösungen und Kanzleien unterstützen in kritischen Fällen.

⇒ Akarion

⇒ Paybon

⇒ Stadler Völkel Rechtsanwälte

⇒ Swync

Deine ungelesenen Artikel:
vor 11 Stunden

Lumapod: OÖ-Startup mit „schnellstem Stativ der Welt“ meldet Konkurs an

Lumapod aus Grieskirchen versprach ein besonders kompaktes und leichtes Stativ. Letztlich kam das Unternehmen aber nie in die Gänge.
/lumapod-konkurs/
Lumapod Konkurs
Das Lumapod-Stativ sollte "das schnellste der Welt" sein | (c) Lumapod

Es war eine Ansage: Das Stativ des Startups Lumapod aus dem oberösterreichischen Grieskirchen sollte nicht nur besonders leicht und kompakt sein, sondern sogar das „schnellste der Welt“ im Aufbau. Das Versprechen überzeugte 2018 auch 3.785 Unterstützer:innen auf der Crowdfunding-Plattform Kickstarter. Sie zahlten insgesamt knapp mehr als 500.000 Euro ein, mit dem Versprechen im Mai 2019 ihre Lieferung zu erhalten. Doch wie der Kommentar-Spalte der Kampagne zu entnehmen ist, kam es dazu nie.

Das Lumapod-Stativ im zusammengeklappten Zustand
Das Lumapod-Stativ im zusammengeklappten Zustand | (c) Lumapod

Lumapod meldet Konkurs an: Kickstarter- und Indiegogo-Backer gehen leer aus

Ihr Geld werden diese „Backer“, zu denen mit der Zeit noch rund 1000 hinzukamen, die via Indiegogo weitere etwa 140.000 Euro einzahlten, wohl auch nicht zurückbekommen. Denn Lumapod musste nun Insolvenz anmelden und stellte einen Konkurs-Antrag. Eine Fortführung des Unternehmens wird es also nicht geben. Und für Kickstarter- und Indiegogo-Unterstützer:innen ist eine Refundierung hier nach den Regeln der Plattformen nicht vorgesehen – es ist bei weitem nicht der erste derartige Fall. Oder wie einer der Kommentatoren auf der Plattform es asudrückt: „Bei Kickstarter ist es alles oder nichts“.

„Erreichung der Unternehmensziele wurde durch die Corona-Pandemie erschwert“

Andere Unterstützer:innen wittern dagegen in den Kommentaren eine mögliche Vorsetzlichkeit. Auf der Seite des Alpenländischen Kreditorenverbands AKV heißt es zum Lumapod-Konkurs: „Die Erreichung der Unternehmensziele wurde durch die Corona-Pandemie erschwert. Zuletzt hat es zahlreiche Versuche gegeben, für den Schritt zur Vermarktung dritte Geschäftspartner zu gewinnen. Dies ist aber nicht gelungen, sodass es zur vorzeitigen Beendigung des Produktentwicklungsprozesses gekommen ist“. Die Passiva betragen 994.840 Euro, die Aktiva 45.300.

Toll dass du so interessiert bist!
Hinterlasse uns bitte ein Feedback über den Button am linken Bildschirmrand.
Und klicke hier um die ganze Welt von der brutkasten zu entdecken.

brutkasten Newsletter

Aktuelle Nachrichten zu Startups, den neuesten Innovationen und politischen Entscheidungen zur Digitalisierung direkt in dein Postfach. Wähle aus unserer breiten Palette an Newslettern den passenden für dich.

Montag, Mittwoch und Freitag

DSGVO-Umsetzung
(c) Marko Kovic: (vlnr.) Markus Costabiei (Akarion), Richard Lutschounig (Paybon), Dejan Jovicevic (derbrutkasten), Arthur Stadler (Stadler Völkel Rechtsanwälte) und Benedikt Aichinger (swync) beim Brutkasten Meetup #3 am Podium.

Die DSGVO umsetzen – ein Ratgeber für Startups & KMU aus Österreich

Mit 25.Mai 2018 müssen Unternehmen konform zur Datenschutz-Grundverordnung arbeiten. Wir bringen einen Ratgeber zur sauberen Umsetzung.

Summary Modus

Die DSGVO umsetzen – ein Ratgeber für Startups & KMU aus Österreich

Es gibt neue Nachrichten

Auch interessant