Zum Inhalt springen

DSGVO Compliance Checklist

15 Checkpoints von kritisch bis Best Practice - Schritt für Schritt DSGVO-konform

Toolbox / Phase 1: Idee / DSGVO Checklist
Fortschritt 0 / 15 erledigt
Kritisch (0/5) Wichtig (0/5) Best Practice (0/5)
🔴
Kritisch - Sofort erledigen
Punkte 1-5: Ohne diese bist du nicht DSGVO-konform
Dokumentiere alle personenbezogenen Daten, die du verarbeitest. Das Verarbeitungsverzeichnis ist das Fundament deiner DSGVO-Compliance - ohne geht gar nichts.
  • Erfasse jede Datenkategorie (Kundendaten, Bewerberdaten, Websitedaten, etc.)
  • Halte fest: Zweck, Rechtsgrundlage, Speicherdauer, Empfänger
  • Das Verzeichnis muss jederzeit der Datenschutzbehörde vorgelegt werden können
Tipp: Starte mit einer einfachen Tabelle: Datenkategorie | Zweck | Rechtsgrundlage | Speicherdauer | Empfänger. Die WKO bietet Muster-Vorlagen dafür an.
Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage. Die DSGVO nennt sechs mögliche Grundlagen - für Startups sind vor allem vier relevant:
  • Einwilligung - z.B. Newsletter-Anmeldung
  • Vertragserfüllung - z.B. Kundendaten für Bestellungen
  • Berechtigtes Interesse - z.B. Website-Analytics
  • Rechtliche Verpflichtung - z.B. Rechnungsdaten für das Finanzamt
Tipp: Die häufigsten Grundlagen für Startups: Vertrag (Kund:innen), berechtigtes Interesse (Analytics), Einwilligung (Newsletter). Trage die Rechtsgrundlage direkt in dein Verarbeitungsverzeichnis ein.
Deine Datenschutzerklärung muss leicht auffindbar, verständlich und vollständig sein. Sie gehört in den Footer jeder Seite.
  • Name und Kontaktdaten des Verantwortlichen
  • Zwecke und Rechtsgrundlagen der Datenverarbeitung
  • Empfänger bzw. Kategorien von Empfängern
  • Speicherdauer oder Kriterien für die Festlegung
  • Hinweis auf Betroffenenrechte und Beschwerderecht bei der DSB
Tipp: Nutze den Datenschutzerklärungs-Generator der WKO (wko.at) als Ausgangsbasis und passe ihn individuell an dein Startup an.
Seit dem Telekommunikationsgesetz 2021 ist klar geregelt: Tracking- und Marketing-Cookies brauchen eine aktive Einwilligung (Opt-in).
  • Technisch notwendige Cookies: OK ohne Einwilligung
  • Analytics/Tracking/Marketing: Nur mit explizitem Opt-in
  • "Alle akzeptieren" darf nicht prominenter sein als "Nur notwendige"
  • Tools: Cookiebot, Usercentrics, CookieYes
Tipp: Teste deinen Cookie-Banner mit dem Scan-Tool von Cookiebot - es zeigt dir alle Cookies, die deine Seite setzt. Achtung: Google Fonts und eingebettete YouTube-Videos setzen oft unbemerkt Cookies!
Mit jedem Dienstleister, der Zugang zu personenbezogenen Daten hat, brauchst du einen Auftragsverarbeitungsvertrag.
  • Cloud-Provider (AWS, Azure, Google Cloud)
  • E-Mail-Marketing (Mailchimp, ActiveCampaign, Brevo)
  • Analytics (Google Analytics, Matomo Cloud)
  • CRM (HubSpot, Pipedrive, Salesforce)
  • Hosting, Payment-Provider, Buchhaltungssoftware
Tipp: Die meisten großen Anbieter (AWS, Google, Mailchimp) haben Standard-AVVs - du musst sie nur im Admin-Panel aktivieren oder digital unterschreiben. Führe eine Liste aller Auftragsverarbeiter.
🟡
Wichtig - Zeitnah umsetzen
Punkte 6-10: Stärken deine Compliance wesentlich
Du musst nachweisen, dass du angemessene Sicherheitsmaßnahmen zum Schutz personenbezogener Daten getroffen hast.
  • Verschlüsselung (HTTPS, verschlüsselte Datenbanken)
  • Zugangskontrollen und Berechtigungskonzepte
  • Regelmäßige Backups und Wiederherstellungstests
  • Passwort-Policies und Passwort-Manager
  • Physische Sicherheit (Büro, Server)
Tipp: Auch für kleine Startups sofort relevant: 2FA für alle Accounts aktivieren, Zugriffsrechte auf das Notwendige einschränken (Least Privilege), regelmäßige Backups einrichten. Dokumentiere alles schriftlich.
In Österreich gibt es konkrete Regelungen, wann ein Datenschutzbeauftragter (DSB) bestellt werden muss.
  • Ab 20 Personen, die ständig mit Datenverarbeitung befasst sind
  • Bei Kerntätigkeit = umfangreiche Datenverarbeitung (z.B. Health-Tech, AdTech)
  • Bei regelmäßiger und systematischer Überwachung von Personen
  • Kann intern oder extern bestellt werden
Tipp: Für die meisten Early-Stage-Startups ist ein DSB nicht verpflichtend - aber empfehlenswert ab Series A oder wenn ihr mit sensiblen Daten arbeitet. Externe DSBs gibt es in Österreich ab ca. EUR 200/Monat.
Einwilligungen müssen freiwillig, informiert, spezifisch und unmissverständlich sein - und du musst sie nachweisen können.
  • Double Opt-in für Newsletter (rechtlicher Standard in Österreich)
  • Einwilligungen müssen jederzeit widerrufbar sein
  • Koppelungsverbot beachten: Einwilligung darf nicht Bedingung für einen Service sein
  • Für Minderjährige unter 14 Jahren: Einwilligung der Erziehungsberechtigten
Tipp: Speichere bei jeder Einwilligung: Timestamp + IP-Adresse + den genauen Text der Einwilligung. So kannst du im Streitfall nachweisen, dass und wann die Einwilligung erteilt wurde.
Betroffene Personen haben umfangreiche Rechte - und du musst innerhalb eines Monats reagieren.
  • Auskunftsrecht - Welche Daten hast du über mich?
  • Recht auf Berichtigung - Falsche Daten korrigieren
  • Recht auf Löschung - "Recht auf Vergessenwerden"
  • Recht auf Datenportabilität - Daten in maschinenlesbarem Format
  • Widerspruchsrecht - Gegen bestimmte Verarbeitungen
Tipp: Erstelle ein internes Playbook: Wer bearbeitet Anfragen? Wo sind die Daten gespeichert? Wie exportierst/löschst du sie? Frist: maximal 1 Monat ab Anfrage.
Bei Verarbeitungen mit voraussichtlich hohem Risiko für Betroffene ist eine DSFA verpflichtend.
  • Profiling mit rechtlicher oder erheblicher Wirkung
  • Umfangreiche Verarbeitung sensibler Daten (Gesundheit, Biometrie)
  • Systematische Überwachung öffentlich zugänglicher Bereiche
  • Einsatz neuer Technologien mit hohem Risiko
Tipp: Nutze die DSFA-Schwellenwertanalyse der österreichischen Datenschutzbehörde (dsb.gv.at). Wenn zwei oder mehr Kriterien zutreffen, ist eine DSFA in der Regel notwendig.
🟢
Best Practice - Professionell aufstellen
Punkte 11-15: Machen dich langfristig sattelfest
Wenn Daten die EU/den EWR verlassen, brauchst du eine zusätzliche Rechtsgrundlage für den Transfer.
  • USA: EU-US Data Privacy Framework prüfen (gilt seit Juli 2023)
  • Andere Drittländer: Standardvertragsklauseln (SCCs) der EU-Kommission nutzen
  • Angemessenheitsbeschluss: Für einige Länder (Schweiz, UK, Japan, etc.) existiert einer
  • Dokumentiere die Rechtsgrundlage für jeden Drittlandtransfer
Tipp: Prüfe bei jedem SaaS-Tool, wo die Daten gehostet werden. Viele Anbieter bieten mittlerweile EU-Hosting an (z.B. AWS Frankfurt, Google Belgium). Bevorzuge EU-Hosting wenn möglich.
Bei einer Datenpanne (Data Breach) tickt die Uhr: Du hast 72 Stunden, um die Datenschutzbehörde zu informieren.
  • Meldung an die DSB (Datenschutzbehörde Österreich) innerhalb von 72 Stunden
  • Bei hohem Risiko für Betroffene: auch diese unverzüglich informieren
  • Dokumentationspflicht: auch Pannen ohne Meldepflicht intern dokumentieren
  • DSB-Meldeformular: Online über dsb.gv.at
Tipp: Erstelle einen Notfallplan bevor etwas passiert. Definiere: Wer wird intern informiert? Wer meldet an die DSB? Welche Sofortmaßnahmen werden gesetzt? In der Hektik einer Datenpanne ist man froh über klare Abläufe.
Der Grundsatz der Speicherbegrenzung verlangt, dass Daten nur so lange gespeichert werden, wie sie für den Zweck erforderlich sind.
  • Speicherdauer pro Datenkategorie definieren
  • Gesetzliche Aufbewahrungsfristen beachten: 7 Jahre für Buchhaltungsunterlagen (BAO)
  • Steuerrelevante Unterlagen: 7 Jahre gemäß Bundesabgabenordnung
  • Bewerberdaten: max. 6 Monate nach Absage (außer mit Einwilligung)
Tipp: Richte automatische Löschroutinen ein, wo technisch möglich. Viele CRM- und Newsletter-Tools bieten automatische Bereinigung inaktiver Kontakte an. Das spart nicht nur DSGVO-Kopfschmerzen, sondern auch Lizenzkosten.
Die beste Datenschutz-Dokumentation nützt nichts, wenn das Team die Grundlagen nicht kennt. Schulungen sind Teil der Rechenschaftspflicht.
  • Datenschutz-Grundlagen für alle Teammitglieder
  • Spezifische Schulungen für Mitarbeiter:innen mit Datenzugang
  • Dokumentieren: Datum, Teilnehmer:innen, Inhalte
  • Neue Mitarbeiter:innen beim Onboarding schulen
Tipp: Kurze 30-Minuten-Sessions alle 6 Monate reichen für kleine Teams völlig aus. Halte die Schulung praxisnah: Was darf ich per E-Mail weiterleiten? Wie erkenne ich Phishing? Was mache ich bei einer Datenanfrage?
DSGVO-Compliance ist kein einmaliges Projekt, sondern ein laufender Prozess. Mindestens einmal jährlich solltest du alles reviewen.
  • Jährlicher Review aller Maßnahmen und Dokumentationen
  • Bei neuen Tools oder Prozessen: Datenschutz sofort mitdenken (Privacy by Design)
  • Verarbeitungsverzeichnis aktuell halten
  • Neue gesetzliche Anforderungen prüfen (z.B. AI Act, ePrivacy-VO)
Tipp: Setze dir einen jährlichen Kalender-Reminder für den DSGVO-Check - am besten im Jänner. Und: Bei jedem neuen Tool, das du einführst, frage dich zuerst: "Welche Daten fließen wohin?"

Gratulation! Alle 15 Checkpoints erledigt.

Dein Startup ist auf einem guten Weg zur DSGVO-Compliance. Vergiss nicht: Regelmäßig reviewen und bei Änderungen aktualisieren.

Unsicher bei der DSGVO-Umsetzung?

Im 1:1-Coaching helfen wir dir, die richtigen Prioritäten zu setzen und dein Startup datenschutzkonform aufzustellen - pragmatisch und ohne Juristendeutsch.

Erstgespräch vereinbaren