Die DSGVO für Unternehmen erklärt:
DSGVO-Konform durch Datenschutz

Aktualisiert am

Die Datenschutz-Grundverordnung (DSGVO) stellt Unternehmer vor komplexe rechtliche Herausforderungen. Die Pflicht zur rechtskonformen Verarbeitung personenbezogener Daten betrifft nahezu jede Interaktion mit Kunden, Mitarbeitern und Dienstleistern. Wer die gesetzlichen Vorgaben ignoriert, riskiert existenzbedrohende Strafen und massiven Vertrauensverlust. Dieser Leitfaden dient als rechtliche Information für Unternehmen in Österreich und gibt einen strukturierten, fundierten Überblick über alle geschäftsrelevanten Säulen der DSGVO.

DEFINITION

Was ist
die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, die die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht. Das primäre Ziel der DSGVO besteht darin, die Grundrechte und Grundfreiheiten natürlicher Personen zu schützen, insbesondere deren Recht auf den Schutz personenbezogener Daten. Sie basiert im Kern auf sieben fundamentalen Prinzipien, die das Fundament jeder Datenverarbeitung bilden:

 

 

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz

Jede Datenverarbeitung benötigt eine gültige Rechtsgrundlage. Die betroffenen Personen müssen lückenlos darüber informiert werden, wie, warum und in welchem Umfang ihre Daten genutzt werden.

 

 

Zweckbindung

Daten dürfen nur für festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden. Eine nachträgliche Änderung des Verarbeitungszwecks ohne erneute Rechtsgrundlage ist unzulässig.

 

 

Datenminimierung

Die Erhebung muss auf das für den Zweck absolut notwendige Maß beschränkt sein. Das Prinzip „So viele Daten wie möglich“ ist gesetzlich untersagt.

 

 

Richtigkeit

Personenbezogene Daten müssen sachlich richtig und gegebenenfalls auf dem neuesten Stand sein. Unrichtige Daten sind unverzüglich zu löschen oder zu berichtigen.

 

 

Speicherbegrenzung

Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke der Verarbeitung erforderlich ist. Danach greifen gesetzliche Löschpflichten.

 

 

Integrität und Vertraulichkeit

Durch geeignete technische und organisatorische Maßnahmen (TOM) muss die Sicherheit der Daten gewährleistet werden. Dazu gehört der Schutz vor unbefugter oder unrechtmäßiger Verarbeitung, unbeabsichtigtem Verlust und Zerstörung.

 

 

Rechenschaftspflicht

Als Unternehmer trägst du die Beweislast. Du musst jederzeit proaktiv nachweisen können, dass dein Unternehmen alle oben genannten Grundsätze lückenlos einhält.


Wenn du alles über die DSGVO wissen möchtest, findest du auf der WKO Webseite für Datenschutz alle Informationen zum Thema DSGVO.

BETROFFENE GRUPPEN

Wer aller die Anforderungen
der DSGVO erfüllen muss

Die DSGVO gilt für alle Unternehmen, die personenbezogene Daten verarbeiten, unabhängig von ihrer Rechtsform, Größe oder Branche. Relevante Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wie Namen, E-Mail-Adressen, Telefonnummern, IP-Adressen oder Kontodaten.

 

Entscheidend für die Anwendbarkeit sind zwei rechtliche Prinzipien:

  • Das Niederlassungsprinzip: Dein Unternehmen hat einen Sitz, eine Niederlassung oder eine Betriebsstätte innerhalb der Europäischen Union. In diesem Fall unterliegt die gesamte Datenverarbeitung der DSGVO.
  • Das Marktortprinzip: Dein Unternehmen sitzt außerhalb der EU (z. B. in den USA oder der Schweiz), bietet aber Waren oder Dienstleistungen für Personen in der EU an oder überwacht deren Verhalten (z. B. durch Web-Tracking). Auch dann greift die DSGVO vollumfänglich.

 

Ob Solo-Selbstständige, inhabergeführte Handwerksbetriebe, E-Commerce durch Online-Shops, Vereine oder internationale Konzerne – sobald geschäftsmäßig Daten von echten Menschen verarbeitet werden, müssen die Anforderungen erfüllt werden.

DSGVO-CHECKLISTE

So erfüllst du die
Anforderungen der DSGVO

Die praktische Umsetzung der DSGVO erfordert die Etablierung klarer Prozesse und Dokumentationsstrukturen in deinem Betrieb. Die Erfüllung der Anforderungen stützt sich auf vier wesentliche Bereiche:

 

 

Schaffung einer Rechtsgrundlage

Du darfst Daten nur verarbeiten, wenn mindestens eine der folgenden gesetzlichen Säulen greift:

  • Einwilligung: Die betroffene Person stimmt der Verarbeitung freiwillig, für den konkreten Fall und in informierter Weise zu (z. B. beim Newsletter-Abonnement). Diese Einwilligung muss jederzeit widerrufbar sein.
  • Vertragserfüllung: Die Verarbeitung ist notwendig, um einen Vertrag mit der Person zu erfüllen (z. B. die Weitergabe der Adresse an einen Paketdienst beim Online-Kauf).
  • Rechtliche Verpflichtung: Nationale oder europäische Gesetze verpflichten dich zur Verarbeitung (z. B. die Aufbewahrung von Rechnungsdaten für das Finanzamt).
  • Berechtigtes Interesse: Die Verarbeitung ist zur Wahrung deiner geschäftlichen Interessen notwendig, sofern nicht die Grundrechte der betroffenen Person überwiegen (z. B. IT-Cyber-Sicherheit oder Direktwerbung bei Bestandskunden unter strengen Auflagen).

 

 

Erfüllung der unternehmerischen Pflichten

  • Datenschutzerklärung (Privacy Policy): Du musst eine transparente, leicht verständliche und frei zugängliche Datenschutzerklärung auf deiner Website bereitstellen.
  • Verzeichnis von Verarbeitungstätigkeiten (VVT): Du bist verpflichtet, ein internes Dokument zu führen, in dem alle datenverarbeitenden Prozesse (z. B. Lohnverrechnung, CRM-Systeme, Zeiterfassung) detailliert beschrieben sind.
  • Auftragsverarbeitungsverträge (AVV): Sobald du Dienstleister einschaltest, die in deinem Auftrag Daten verarbeiten (z. B. Hosting-Anbieter, Newsletter-Tools, externe Buchhaltung), musst du einen AVV abschließen, um die Einhaltung des Datenschutzes zu garantieren.
  • Datenschutzbeauftragter (DSB): Du musst einen internen oder externen DSB benennen, wenn dein Unternehmen in der Regel mindestens 20 Mitarbeiter ständig mit der automatisierten Verarbeitung von Daten beschäftigt oder die Kerntätigkeit in besonders risikoreichen Verarbeitungen besteht.
  • Meldepflicht bei Datenpannen: Kommt es zu einer Verletzung des Schutzes personenbezogener Daten (z. B. durch einen Hackerangriff oder den Verlust eines Firmen-Laptops), musst du dies innerhalb von 72 Stunden der zuständigen Datenschutzbehörde melden.
  • Datenschutz-Folgenabschätzung (DSFA): Bei der Einführung neuer Technologien, die ein hohes Risiko für die Rechte der Betroffenen bergen (z. B. flächendeckende Videoüberwachung), musst du vorab eine strukturierte Risikoanalyse durchführen.

 

 

Gewährleistung der Betroffenenrechte

Dein Unternehmen muss organisatorisch in der Lage sein, die gesetzlichen Rechte von Personen innerhalb der gesetzlichen Frist von einem Monat kostenlos zu bedienen:

  • Auskunftsrecht: Auf Anfrage musst du einer Person alle über sie gespeicherten Daten sowie den Verarbeitungszweck offenlegen.
  • Recht auf Berichtigung: Fehlerhafte Daten müssen unverzüglich korrigiert werden.
  • Recht auf Löschung („Recht auf Vergessenwerden“): Daten müssen gelöscht werden, wenn der Zweck entfällt, die Einwilligung widerrufen wird oder die Verarbeitung unrechtmäßig war – es sei denn, gesetzliche Aufbewahrungsfristen (z. B. im Steuerrecht) stehen dem entgegen.
  • Recht auf Datenübertragbarkeit: Nutzer haben das Recht, ihre Daten in einem gängigen, maschinenlesbaren Format zu erhalten.
  • Widerspruchsrecht: Legt eine Person Widerspruch gegen die Datenverarbeitung ein (z. B. bei Werbemaßnahmen), musst du die Verarbeitung unverzüglich stoppen.
AUSNAHMEN

Wann die DSGVO
nicht gilt

Die DSGVO kennt präzise Grenzen, bei denen ihre strengen Auflagen nicht greifen. Das Verständnis dieser Ausnahmen verhindert unnötigen bürokratischen Mehraufwand:

  • Recht auf rein persönliche oder familiäre Tätigkeiten: Die DSGVO gilt ausschließlich für die Verarbeitung von Daten im Rahmen einer kommerziellen, beruflichen oder wirtschaftlichen Aktivität. Ein privates Adressbuch, Urlaubsfotos auf privaten Speichermedien oder rein private E-Mail-Korrespondenzen fallen nicht unter die Verordnung.
  • Vollständig anonymisierte Daten: Die DSGVO schützt nur personenbezogene oder pseudonymisierte Daten. Wenn Daten so verändert werden, dass eine Identifizierung der natürlichen Person unumkehrbar ausgeschlossen ist, verliert die DSGVO ihre Gültigkeit. 
    Praxisbeispiel Voll-Anonymisiertes Tracking: Setzt du auf deiner Unternehmenswebsite ein Web-Analyse-Tool ein, das Daten ausschließlich aggregiert erfasst und die IP-Adressen der Nutzer serverseitig sofort und unumkehrbar kürzt (bevor eine Speicherung oder Zuordnung stattfindet), liegt keine Verarbeitung personenbezogener Daten vor. In diesem spezifischen Fall ist für dieses Tracking kein Cookie-Banner und keine Einwilligung nach DSGVO erforderlich.
  • Verstorbene Personen: Die DSGVO schützt explizit nur lebende natürliche Personen. Daten über Verstorbene fallen nicht unter den Schutzbereich der Verordnung, wenngleich hier nationale Sonderregelungen oder das allgemeine Zivilrecht (postmortales Persönlichkeitsrecht) zu beachten sind.
STRAFRAHMEN

Konsequenzen bei Verstößen 
gegen die DSGVO

Verstöße gegen die DSGVO werden von den Aufsichtsbehörden konsequent verfolgt. Der Gesetzgeber hat einen hohen Strafrahmen gewählt, um die Einhaltung des Datenschutzes branchenübergreifend zu erzwingen.

 

 

Der gesetzliche Strafrahmen

Die DSGVO unterscheidet zwei Stufen von Bußgeldern, je nach Schwere des Vergehens:

  • Kleinere Verstöße (z. B. Verletzung von Dokumentationspflichten wie ein fehlendes VVT): Bußgelder von bis zu 10 Millionen Euro oder bis zu 2 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres – je nachdem, welcher Betrag höher ist.
  • Schwere Verstöße (z. B. Missachtung der Grundprinzipien, fehlende Rechtsgrundlage, Nichtbeachtung von Betroffenenrechten): Bußgelder von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist.

 

Zusätzlich zu den behördlichen Bußgeldern haben Betroffene ein Recht auf materiellen und immateriellen Schadenersatz (z. B. Schmerzensgeld bei Datenschutzverletzungen), was zu massiven Klagewellen führen kann.

 

 

Das Worst-Case-Szenario für ein Unternehmen

Ein worst-case Szenario verdeutlicht das wirtschaftliche Risiko abseits der reinen Bußgelder: Ein mittelständisches Unternehmen, welches ein SaaS mit vielen Kunden betreibt, wird Opfer einer Cyber-Attacke, weil grundlegende technische Schutzmaßnahmen vernachlässigt wurden. Kundendaten inklusive Zahlungsdaten werden gestohlen und im Internet veröffentlicht.

 

Das Unternehmen meldet den Vorfall nicht innerhalb der 72-Stunden-Frist an die Behörde, um einen Reputationsschaden abzuwenden. Der Vorfall fliegt dennoch auf. Die Konsequenz: Die Datenschutzbehörde verhängt ein Bußgeld in Millionenhöhe. Gleichzeitig fordern tausende betroffene Kunden immateriellen Schadenersatz ein. Die Aufsichtsbehörde untersagt dem Unternehmen per einstweiliger Verfügung die Nutzung der kompromittierten Unternehmens-Software, wodurch der gesamte Vertrieb für Wochen vollständig stillgelegt wird. Der daraus resultierende Reputationsschaden führt zum Verlust der wichtigsten Großkunden. Die Kombination aus Bußgeld, Schadenersatzforderungen, operativer Sperre und Umsatzverlust zwingt das Unternehmen letztlich in die Insolvenz.

FAQ

Die wichtigsten Fragen
für Unternehmer

Nein. Ein Cookie-Banner beziehungsweise eine vorherige Einwilligung ist nur dann zwingend erforderlich, wenn das Tool technisch nicht notwendige Cookies setzt oder personenbezogene Daten (wie ungekürzte IP-Adressen) verarbeitet, um das Nutzerverhalten zu tracken. Nutzt du ausschließlich technisch essenzielle Cookies (z. B. für den Warenkorb eines Online-Shops) oder ein vollständig anonymisiertes Tracking ohne Speicherung von Nutzeridentifikatoren auf dem Endgerät, benötigst du dafür kein Cookie-Banner.

Im Regelfall nein, es sei denn, du hast eine ausdrückliche, dokumentierte Einwilligung oder es greift eine enge gesetzliche Ausnahme für Bestandskundenwerbung per E-Mail für ähnliche Waren oder Dienstleistungen. Für Telefonwerbung im B2C-Bereich ist eine vorherige Einwilligung immer Pflicht. Ohne diese Grundlagen verstößt die Kontaktaufnahme sowohl gegen das Wettbewerbsrecht als auch gegen die DSGVO.

Nein, das reicht nicht aus. Vorlagen und LLM generierte Inhalte sind nützliche Werkzeuge für den ersten Entwurf, aber die DSGVO fordert eine exakte Abbildung der tatsächlichen Prozesse in deinem spezifischen Unternehmen. Wenn die Dokumentation nicht mit der Realität übereinstimmt (z. B. weil Tools genutzt werden, die nicht in der Datenschutzerklärung stehen), ist die Dokumentation fehlerhaft und somit abmahnfähig. Zudem müssen die Dokumente bei jedem neuen Tool und jeder Prozessänderung aktiv aktualisiert werden.

Ja, unter bestimmten Voraussetzungen ist das möglich. Zwar richten sich Bußgelder primär gegen das Unternehmen als juristische Person. Wenn du als Geschäftsführer jedoch deine Organisations- und Überwachungspflichten grob fahrlässig oder vorsätzlich verletzt hast, kann die Gesellschaft Regressansprüche gegen dich geltend machen. In bestimmten Konstellationen und je nach nationalem Recht ist auch eine direkte Außenhaftung des Geschäftsführers gegenüber den Betroffenen nicht vollständig ausgeschlossen.

In diesem Fall geht das Steuer- und Handelsrecht vor. Die DSGVO verlangt keine Löschung von Daten, solange eine andere gesetzliche Pflicht dich zur Aufbewahrung zwingt (z. B. die 10-jährige Aufbewahrungsfrist für Buchhaltungsunterlagen und Rechnungen. Du musst dem Kunden mitteilen, dass die Daten aufgrund steuerrechtlicher Pflichten nicht gelöscht, wohl aber für jede andere Verarbeitung gesperrt und nach Ablauf der gesetzlichen Frist automatisch vernichtet werden.

Nein, ein AVV ist kein Freibrief. Er ist die rechtliche Grundvoraussetzung, um den Dienstleister überhaupt nutzen zu dürfen. Du bleibst als „Verantwortlicher“ weiterhin in der Pflicht, deine Dienstleister sorgfältig auszuwählen und stichprobenartig zu überprüfen, ob diese die Sicherheitsversprechen einhalten. Verursacht der Dienstleister durch sein Managed-Hosting eine Datenpanne durch sein Verschulden, schützt dich der AVV vor allem vor dem Vorwurf des eigenen Organisationsverschuldens und ermöglicht dir Regressansprüche – die primäre Verantwortung gegenüber der Aufsichtsbehörde verbleibt jedoch oft bei dir.

WEITERE SCHRITTE

Brauchst du Unterstützung damit
dein Projekt DSGVO-konform wird?

Anrufen Rufe jetzt direkt an und vereinbare einen unverbindlichen Termin rund zum Thema rechtliche Grundlagen für deine Online-Präsenz
E-Mail schreiben Schreibe mir eine E-Mail bei Fragen rund um rechtliche Grundlagen für deine Online-Präsenz
Zum Kontaktformular →