Skip links
Support
Termin

DSGVO (Datenschutz‑Grundverordnung) ist die EU‑weit gültige gesetzliche Grundlage zum Schutz personenbezogener Daten. Sie regelt, wie Unternehmen personenbezogene Daten verarbeiten, speichern, schützen und löschen müssen – und welche Rechte betroffene Personen haben.

Was bedeutet das konkret für KMU in Österreich?

Sobald ein Unternehmen personenbezogene Daten verarbeitet, gilt die DSGVO. Das betrifft nahezu jedes KMU. Kundendaten, Mitarbeiterdaten, E‑Mails, IP‑Adressen oder Zugriffsprotokolle – all das fällt unter personenbezogene Daten.

Für KMU bedeutet DSGVO vor allem Verantwortung und Nachvollziehbarkeit. Es muss klar sein:

  • welche Daten verarbeitet werden,
  • zu welchem Zweck,
  • auf welcher rechtlichen Grundlage,
  • und wie diese Daten geschützt sind.

Ein rein formaler Ansatz reicht nicht. DSGVO verlangt, dass Datenschutz auch technisch und organisatorisch umgesetzt wird. IT‑Systeme, Zugriffe, Backups und Sicherheitsmaßnahmen sind zentrale Bestandteile der DSGVO‑Erfüllung – nicht nur Datenschutzerklärungen auf der Website.

Zentrale Pflichten für Unternehmen

Unternehmen müssen laut DSGVO unter anderem folgende Punkte sicherstellen:

  • Rechtsgrundlage der Datenverarbeitung (z. B. Vertrag, Einwilligung, gesetzliche Pflicht)
  • Datensicherheit durch geeignete technische und organisatorische Maßnahmen (TOMs)
  • Transparenz gegenüber Kunden und Mitarbeitern
  • Auftragsverarbeitungsverträge mit IT‑Dienstleistern
  • Meldepflicht bei Datenschutzverletzungen innerhalb von 72 Stunden
  • Dokumentation & Nachvollziehbarkeit („Rechenschaftspflicht“)

Diese Anforderungen gelten unabhängig von der Unternehmensgröße. Der Umfang der Maßnahmen richtet sich jedoch nach Risiko, Umfang und Art der Datenverarbeitung.

Typische DSGVO‑Risiken im KMU‑Alltag

Viele Probleme entstehen nicht aus böser Absicht, sondern aus fehlenden IT‑Strukturen:

  • Unverschlüsselte Notebooks oder Smartphones
  • Fehlende Zugriffs‑ und Rollenmodelle
  • Keine saubere Backup‑Strategie
  • Unklare Zuständigkeiten bei Sicherheitsvorfällen
  • IT‑Dienstleister ohne gültige AV‑Verträge

Ein verlorenes Notebook oder ein erfolgreicher Phishing‑Angriff kann daher schnell zu einer meldepflichtigen Datenschutzverletzung werden – inklusive möglicher Strafen und Reputationsschäden.

Rolle der IT bei der DSGVO

DSGVO und IT sind untrennbar verbunden. Technische Maßnahmen sind ein zentraler Bestandteil der Verordnung, insbesondere gemäß Art. 32 DSGVO:

  • Zugriffskontrollen und Benutzerrechte
  • Verschlüsselung von Daten
  • Backup & Wiederherstellbarkeit
  • Protokollierung und Monitoring
  • Schutz mobiler Endgeräte und Cloud‑Dienste

DSGVO‑Compliance ist daher kein einmaliges Projekt, sondern Teil des laufenden IT‑Betriebs.

Kostenfaktoren

Der Aufwand zur DSGVO‑Umsetzung hängt von mehreren Faktoren ab:

  • Art und Umfang der verarbeiteten Daten
  • Anzahl der Mitarbeiter
  • IT‑Struktur und genutzte Cloud‑Dienste
  • Bestehende Sicherheitsmaßnahmen

In vielen KMU lassen sich Datenschutz‑Risiken durch saubere IT‑Grundlagen deutlich reduzieren – ohne übermäßige Bürokratie.