Stellen Sie sich vor, ein unzufriedener Kunde Ihrer Werbeagentur beschwert sich bei der Datenschutzbehörde, weil er auf sein Auskunftsbegehren keine Antwort erhalten hat. Die Behörde prüft. Und stellt fest, Sie haben kein Verarbeitungsverzeichnis, kein Vertrag mit dem Cloud-Anbieter, die Datenschutzerklärung auf der Website stammt von 2018. Was als einfache Beschwerde begann, wird zu einem Bußgeldverfahren.

Kein Einzelfall. Die österreichische Datenschutzbehörde (DSB) hat ihre Prüftätigkeit in den vergangenen zwei Jahren deutlich verschärft: 2025 wurden 67 Entscheidungen veröffentlicht, mehr als dreimal so viele wie im Jahr davor. Bußgelder für KMU bewegen sich dabei typischerweise zwischen 3.000 und 50.000 Euro. Und 2026 laufen EU-weit koordinierte Schwerpunktprüfungen zu den Themen Transparenz und Sicherheit der Datenverarbeitung.

Dieser Artikel erklärt Ihnen als Unternehmerin oder Unternehmer in Österreich, welche Pflichten die DSGVO konkret mit sich bringt, welche Fehler Sie unbedingt vermeiden sollten und wie Sie mit überschaubarem Aufwand eine solide Grundlage schaffen. Ohne Juristendeutsch, dafür mit konkreten Handlungsempfehlungen.

Die Grundlagen: Was in Österreich gilt

Zwei Gesetze, die Sie kennen müssen

Der Datenschutz in Österreich beruht auf zwei Säulen: der EU-weiten DSGVO, die seit Mai 2018 unmittelbar gilt, und dem österreichischen Datenschutzgesetz (DSG), das die DSGVO um nationale Besonderheiten ergänzt.

Die DSGVO legt den einheitlichen Rahmen fest: Wann dürfen personenbezogene Daten verarbeitet werden? Welche Rechte haben betroffene Personen? Welche Dokumentationspflichten bestehen? Und was passiert bei Verstößen?

Das österreichische DSG bringt einige Besonderheiten mit, die Sie kennen sollten:

    • Verfassungsrang: Datenschutz ist in Österreich ein Grundrecht mit Verfassungsrang (§ 1 DSG). Das ist stärker verankert als in vielen anderen EU-Staaten.

    • Datengeheimnis (§ 6 DSG): Ihre Mitarbeiter dürfen personenbezogene Daten nur auf Anweisung verarbeiten. Verstöße gegen das Datengeheimnis sind gesondert strafbar.

    • Bildverarbeitung (§ 12 DSG): Für Videoüberwachung gelten in Österreich spezifische Regeln, unter anderem eine Richtspeicherdauer von maximal 72 Stunden.

    • Zusätzliche Verwaltungsstrafen (§ 62 DSG): Neben den DSGVO-Bußgeldern gibt es eigene Strafen bis zu 50.000 Euro für Verstöße gegen das Datengeheimnis, unzulässige Bildverarbeitung oder die Verweigerung einer Prüfung durch die DSB.

Wer ist betroffen? Kurze Antwort: Alle.

Die DSGVO gilt für jedes Unternehmen, das personenbezogene Daten verarbeitet. Unabhängig von Größe und Branche. Wenn Sie Kundendaten führen, Rechnungen ausstellen, Lieferantendaten speichern, eine Website betreiben oder Mitarbeiter beschäftigen, verarbeiten Sie personenbezogene Daten. Ein Handwerksbetrieb mit fünf Mitarbeitern ist genauso betroffen wie ein börsennotierter Konzern.

Ein wichtiger Unterschied zu Deutschland

Wenn Sie sich über Datenschutz informieren, stoßen Sie häufig auf deutsche Quellen. Vorsicht: In Deutschland gelten teilweise andere Regeln. Der wichtigste Unterschied für KMU: In Deutschland ist ein Datenschutzbeauftragter bereits ab 20 Personen Pflicht, die regelmäßig personenbezogene Daten verarbeiten. In Österreich gilt diese Schwelle nicht. Hier ist ein Datenschutzbeauftragter nur in den von der DSGVO selbst genannten Fällen erforderlich, und die betreffen die meisten KMU nicht. Dazu später mehr.

Ihre Pflichten: Was Sie konkret tun müssen

Das Verarbeitungsverzeichnis: Das Dokument Nummer eins

Das Verarbeitungsverzeichnis (VVT) ist das Dokument, das die Datenschutzbehörde bei einer Prüfung als Erstes verlangt. Es dokumentiert, welche personenbezogenen Daten Sie zu welchen Zwecken verarbeiten, an wen Sie sie weitergeben und wie lange Sie sie aufbewahren.

Vielleicht haben Sie gehört, dass es für Unternehmen mit weniger als 250 Mitarbeitern eine Ausnahme gibt. Das stimmt zwar theoretisch, aber in der Praxis greift diese Ausnahme so gut wie nie. Sie gilt nur, wenn die Verarbeitung nicht regelmäßig erfolgt. Und Lohnverrechnung, Kundendatenbank und E-Mail-Verkehr zählen bereits als regelmäßige Verarbeitung.

Konkret brauchen Sie für jede Verarbeitungstätigkeit:

    • Zweck der Verarbeitung (zum Beispiel: Auftragsabwicklung, Lohnverrechnung, Newsletter-Versand)

    • Kategorien der betroffenen Personen und Daten

    • Empfänger der Daten (intern und extern)

    • Angaben zu Übermittlungen in Drittländer

    • Vorgesehene Löschfristen

    • Beschreibung der technischen und organisatorischen Schutzmaßnahmen

Die gute Nachricht: Die WKO bietet kostenlose Mustervorlagen an, die Sie direkt nutzen können. Eine einfache Excel-Tabelle reicht aus. Die Behörde prüft den Inhalt, nicht das Layout.

Rechtsgrundlagen: Nicht für alles brauchen Sie eine Einwilligung

Ein häufiger Irrtum: Viele Unternehmen lassen sich für jede Datenverarbeitung eine Einwilligung unterschreiben. Auch für die Lohnverrechnung oder die Rechnungsstellung. Das ist nicht nur unnötig, sondern kann sogar kontraproduktiv sein. Denn eine Einwilligung kann jederzeit widerrufen werden. Dann fehlt Ihnen plötzlich die Grundlage für eine Verarbeitung, die Sie eigentlich auf Basis eines Vertrags hätten stützen können.

Für KMU sind praktisch drei Rechtsgrundlagen relevant:

    • Vertragserfüllung: Wenn Sie Kundendaten für die Auftragsabwicklung, Lieferung oder Rechnungsstellung brauchen, dürfen Sie diese verarbeiten, weil ein Vertrag besteht.

    • Rechtliche Verpflichtung: Manche Verarbeitungen schreibt das Gesetz vor, etwa die Lohnverrechnung oder die steuerliche Aufbewahrung von Belegen.

    • Berechtigtes Interesse: Ihr eigenes Interesse überwiegt das Interesse der betroffenen Person. Zum Beispiel Videoüberwachung bei konkretem Sicherheitsbedarf oder Maßnahmen zur Betrugsprävention.

Eine Einwilligung brauchen Sie dort, wo keine der anderen Grundlagen passt: Newsletter-Versand, Marketing-Cookies, optionale Tracking-Dienste auf Ihrer Website.

Informationspflichten: Was auf Ihre Website gehört

Wenn Sie personenbezogene Daten erheben, müssen Sie die betroffenen Personen darüber informieren. In der Praxis betrifft das vor allem die Datenschutzerklärung auf Ihrer Website. Sie muss alle Verarbeitungen abbilden, die auf der Website stattfinden, einschließlich Cookies, Tracking-Dienste, Kontaktformulare und Social-Media-Plugins.

Wichtig: Eine Copy-Paste-Vorlage von 2018 reicht nicht mehr. Wenn Sie seitdem neue Tools eingeführt haben, zum Beispiel einen Chatbot, ein Buchungssystem oder ein neues Analytics-Tool, muss die Datenschutzerklärung aktualisiert werden. Die DSB führt 2026 EU-weit koordinierte Schwerpunktprüfungen zu genau diesen Transparenzpflichten durch.

Betroffenenrechte: Anfragen ernst nehmen

Jede Person, deren Daten Sie verarbeiten, hat das Recht auf Auskunft, Berichtigung, Löschung und mehr. Die häufigste Anfrage in der Praxis: ein Auskunftsbegehren nach Artikel 15 DSGVO. Sie haben einen Monat Zeit, darauf zu antworten.

Die DSB hat eine Strafe von 9.500 Euro gegen eine Bank verhängt, die statt einer ordnungsgemäßen Auskunft versehentlich eine Löschung durchgeführt hat. Und: 10.000 Euro Strafe wurde allein dafür verhängt, dass ein Unternehmen im Beschwerdeverfahren nicht mitgewirkt hat, obwohl der ursprüngliche Verstoß vermutlich gar kein Bußgeld nach sich gezogen hätte.

Der Tipp: Legen Sie einen einfachen Prozess fest. Wer ist zuständig, wenn ein Auskunftsbegehren eintrifft? Wie wird es dokumentiert? Wie wird die Monatsfrist eingehalten? Das muss kein komplexes System sein, aber es muss existieren.

Technische und organisatorische Maßnahmen: Was „angemessen“ bedeutet

Die DSGVO fordert in Artikel 32 ein „dem Risiko angemessenes Schutzniveau.“ Das klingt vage, ist aber für KMU durchaus konkret fassbar. Die DSB hat 50.000 Euro Bußgeld gegen ein Kreditinstitut verhängt, das es versäumt hatte, angemessene Maßnahmen zu treffen. Eine Mitarbeiterin hatte versehentlich Kundenbankdaten per E-Mail an Unbefugte gesendet.

Für ein KMU ohne IT-Abteilung bedeuten angemessene Maßnahmen mindestens:

    • Aktuelle Betriebssysteme und Software mit regelmäßigen Updates.

    • Virenschutz und Firewall.

    • Verschlüsselung sensibler Daten (E-Mail, Festplatten, USB-Sticks).

    • Individuelle Benutzerkonten mit starken Passwörtern und Multi-Faktor-Authentifizierung.

    • Regelmäßige Datensicherungen.

    • Zugriffsbeschränkungen: Nicht jeder Mitarbeiter braucht Zugang zu allen Daten.

    • Mindestens jährliche Mitarbeiterschulungen zum Datenschutz.

    • Physische Sicherheit: Abschließbare Büros und Schränke für sensible Unterlagen.

Die WKO bietet einen eigenen Leitfaden für technische und organisatorische Maßnahmen mit Fallstudien, auch für Einzelunternehmen.

Auftragsverarbeitung: Verträge mit Ihren Dienstleistern

Sobald ein externes Unternehmen in Ihrem Auftrag personenbezogene Daten verarbeitet, brauchen Sie einen Auftragsverarbeitungsvertrag (AVV). Ohne schriftlichen AVV ist die Zusammenarbeit rechtswidrig.

Im Alltag eines KMU betrifft das mehr Dienstleister, als Sie vielleicht denken:

    • Cloud-Dienste wie Microsoft 365 oder Google Workspace

    • Lohnverrechnungsbüro

    • E-Mail-Marketing- und Newsletter-Tools

    • CRM-Systeme

    • Webhosting-Anbieter

    • IT-Dienstleister mit Fernzugriff

    • Buchhaltungssoftware in der Cloud

Die meisten großen Anbieter stellen eigene Auftragsverarbeitungsverträge bereit. Bei Microsoft 365 ist das sogenannte Data Protection Addendum (DPA) automatisch Teil der Lizenzvereinbarung. Aber: Sie müssen prüfen, ob die Verträge vorliegen, und dies in Ihrem Verarbeitungsverzeichnis dokumentieren.

Datenschutzbeauftragter: Für die meisten KMU nicht Pflicht

Ein Datenschutzbeauftragter ist in Österreich nur in drei Fällen vorgeschrieben:

    1. Behörden und öffentliche Stellen.

    1. Unternehmen, deren Kerntätigkeit in umfangreicher, regelmäßiger und systematischer Überwachung besteht (zum Beispiel Banken, Versicherungen, Detekteien).

    1. Unternehmen, die als Kerntätigkeit besondere Kategorien von Daten in großem Umfang verarbeiten (zum Beispiel Krankenhäuser, Labore).

Wer „nur“ Kundendaten, Rechnungen und Personalakten verwaltet, fällt nicht unter diese Pflicht. Eine freiwillige Bestellung kann trotzdem sinnvoll sein, weil sie klare Zuständigkeiten schafft und von der DSB positiv bewertet wird.

Die häufigsten Fehler und was sie kosten

Fehler 1: Kein Verarbeitungsverzeichnis

Bei einem Großteil der österreichischen KMU fehlt das VVT vollständig oder wurde einmalig erstellt und nie aktualisiert. Ein veraltetes VVT ist bei einer Behördenprüfung fast genauso problematisch wie gar keines. Im Fall eines Gastronomiebetriebs führte ein fehlendes VVT in Kombination mit unrechtmäßiger Videoüberwachung zu einem Bußgeld von 20.000 Euro.

Fehler 2: Auskunftsbegehren ignorieren

Unbeantwortete Betroffenenanfragen sind der häufigste Beschwerdegrund bei der DSB. Und fehlende Mitwirkung im anschließenden Beschwerdeverfahren wird gesondert bestraft. Hier drohen schnell 5.000 bis 10.000 Euro Bußgeld, noch bevor der eigentliche Verstoß geprüft wird.

Fehler 3: Cookie-Banner, das nur informiert

Seit dem TKG 2021 ist in Österreich eine aktive Einwilligung für nicht technisch notwendige Cookies Pflicht. Ein Banner, das nur mitteilt „Wir verwenden Cookies“, genügt nicht. Es muss eine echte Wahlmöglichkeit bestehen: aktiv ankreuzen, informiert über Zweck und Speicherdauer, mit einer echten Ablehnungsmöglichkeit.

Fehler 4: Newsletter ohne dokumentierte Einwilligung

Der Versand elektronischer Werbung ohne vorherige Einwilligung ist nach § 174 TKG 2021 grundsätzlich verboten. Es gibt eine Bestandskundenausnahme, aber die greift nur unter engen Voraussetzungen: Die E-Mail-Adresse wurde im Zusammenhang mit einem Kauf erhalten, es wird nur für eigene ähnliche Produkte geworben, und der Empfänger wurde klar auf sein Widerspruchsrecht hingewiesen. Ohne dokumentiertes Double-Opt-In ist ein allgemeiner Newsletter nicht rechtmäßig.

Fehler 5: Videoüberwachung ohne Rechtsgrundlage

Videoüberwachung ist eines der Themen, bei dem die DSB besonders genau hinschaut. Der Fall IKEA Wien zeigt die Größenordnung: 1,5 Millionen Euro Bußgeld für überschießende Videoüberwachung, die auch den Kassenbereich inklusive PIN-Eingabe erfasste.

Für KMU gelten klare Regeln: Ein berechtigtes Interesse muss vorliegen (konkrete Gefährdung, nicht „Sicherheit generell“). Es darf kein milderes Mittel geben. Die Speicherdauer beträgt maximal 72 Stunden. Und die Überwachung muss gekennzeichnet sein. Bei Betrieben mit Betriebsrat ist eine Betriebsvereinbarung zwingend. Ohne Betriebsrat brauchen Sie die schriftliche Zustimmung jedes einzelnen Mitarbeiters.

Fehler 6: GPS-Tracking in Dienstfahrzeugen

Die DSB hat den Einsatz von GPS-Trackern in Firmenfahrzeugen für unzulässig erklärt, wenn der Zweck (Arbeitszeitkontrolle, Fahrtenbuchführung) mit einfacheren Mitteln erreichbar ist. „Bequemlichkeit“ oder „Effizienz“ genügt nicht als Rechtfertigung. Wenn eine Excel-Tabelle oder eine manuelle Zeiterfassung den Zweck erfüllen würde, ist GPS-Tracking unverhältnismäßig.

Fehler 7: Datenpannen nicht gemeldet

Artikel 33 DSGVO verpflichtet zur Meldung von Datenschutzverletzungen an die DSB innerhalb von 72 Stunden, sofern ein Risiko für die Betroffenen besteht. Ein versehentlich an den falschen Empfänger gesendeter E-Mail-Anhang mit Kundendaten, ein gestohlener Laptop oder ein gehacktes System: All das kann meldepflichtig sein. Die verspätete Meldung ist ein eigener Rechtsverstoß. Die DSB hat dafür 5.900 Euro verhängt.

DSGVO und Ihre digitalen Werkzeuge

Microsoft 365 und Datenschutz

Wenn Sie Microsoft 365 nutzen, ist die DSGVO-Situation heute deutlich besser als noch vor wenigen Jahren. Microsoft hat die EU-Datengrenze (EU Data Boundary) umgesetzt: Kundendaten werden innerhalb der EU gespeichert und verarbeitet. Das Data Protection Addendum (DPA) als Auftragsverarbeitungsvertrag ist automatisch Teil Ihrer Lizenzvereinbarung.

Was Sie trotzdem tun müssen:

    • Microsoft als Auftragsverarbeiter in Ihrem Verarbeitungsverzeichnis eintragen.

    • Das DPA dokumentieren.

    • Telemetrie- und Diagnosedaten auf das Minimum reduzieren.

    • Sicherstellen, dass die EU-Datengrenze für Ihren Tenant aktiviert ist.

Website-Analytics: Vorsicht bei Google Analytics

Google Analytics bleibt in Österreich datenschutzrechtlich heikel. Die DSB hat bereits 2022 festgestellt, dass die Nutzung gegen die DSGVO verstoßen kann. Datenschutzfreundlichere Alternativen sind Matomo (selbst gehostet, keine Datenweitergabe an Dritte), Plausible Analytics (EU-gehostet, ohne Cookies) oder Fathom Analytics (keine personenbezogenen Daten).

Newsletter-Tools

Für den Newsletter-Versand brauchen Sie eine gültige Einwilligung (Double-Opt-In empfohlen), einen AVV mit dem Anbieter, einen Abmeldelink in jeder E-Mail und eine Dokumentation der Einwilligung. Europäische Alternativen zu US-amerikanischen Anbietern sind CleverReach (Deutschland), Brevo (EU) oder Mailjet (EU).

Was die Geschäftsführung wissen muss: Persönliche Haftung

Ein Punkt, den viele Unternehmerinnen und Unternehmer unterschätzen: Die DSGVO-Compliance ist Sache der Geschäftsführung. Die Haftungskette funktioniert so: Ein Datenschutzverstoß passiert, die DSB verhängt ein Bußgeld gegen die GmbH, und die GmbH kann den Geschäftsführer im Regress in Anspruch nehmen.

Seit dem EuGH-Urteil „Deutsche Wohnen“ (2023) muss kein persönliches Verschulden der Geschäftsführung mehr nachgewiesen werden, um das Unternehmen zu bestrafen. Es genügt, dass interne Prozesse nicht ausreichend vorhanden waren.

Der Entlastungsnachweis funktioniert aber auch umgekehrt: Wenn Sie belegen können, dass Sie den Datenschutz angemessen organisiert haben (VVT vorhanden, Schulungen durchgeführt, Maßnahmen dokumentiert, Zuständigkeiten festgelegt), haften Sie als Geschäftsführerin oder Geschäftsführer nicht persönlich.

Schnittstelle zu anderen Regelungen

NISG 2026: Neue Cybersicherheitspflichten ab Oktober 2026

Am 1. Oktober 2026 tritt das Netz- und Informationssystemsicherheitsgesetz (NISG 2026) in Kraft. Es betrifft direkt rund 4.000 Unternehmen in bestimmten Sektoren ab 50 Mitarbeitern oder 10 Millionen Euro Umsatz. Für die meisten kleinen KMU greift es nicht direkt, aber über die Lieferkette können auch kleinere Betriebe betroffen sein.

Wichtig zu wissen: Bei einem Cyberangriff mit Datenabfluss können beide Meldepflichten gleichzeitig gelten: 72 Stunden an die DSB (DSGVO) und 24 Stunden an das CERT.at (NISG).

TKG 2021: Cookie-Consent und E-Mail-Werbung

Das Telekommunikationsgesetz 2021 regelt in Österreich, wann Cookies gesetzt werden dürfen und unter welchen Bedingungen elektronische Werbung zulässig ist. Es ist die österreichische Umsetzung der europäischen ePrivacy-Richtlinie und gilt zusätzlich zur DSGVO.

Die Bestandskundenausnahme (§ 174 Abs. 4 TKG 2021) erlaubt E-Mail-Werbung ohne Einwilligung, aber nur wenn alle vier Voraussetzungen gleichzeitig erfüllt sind:

    1. Die E-Mail-Adresse wurde im Zusammenhang mit einem Verkauf erhalten.

    1. Es wird nur für eigene ähnliche Produkte geworben.

    1. Der Empfänger wurde klar auf sein Widerspruchsrecht hingewiesen, sowohl bei der Datenerhebung als auch in jeder E-Mail.

    1. Der Empfänger hat nicht widersprochen und steht nicht in der RTR-Robinsonliste.

Ihre Checkliste: Was Sie jetzt tun sollten

Sofort (diese Woche)

    • Verarbeitungsverzeichnis erstellen oder aktualisieren. Nutzen Sie die kostenlosen WKO-Mustervorlagen.

    • Datenschutzerklärung auf der Website prüfen. Sind alle genutzten Dienste abgebildet?

    • Cookie-Banner prüfen. Bietet es eine echte Wahlmöglichkeit oder informiert es nur?

    • Impressum prüfen. Sind alle Pflichtangaben nach § 5 ECG vorhanden?

Innerhalb eines Monats

    • AVV-Inventur: Alle Dienstleister auflisten, die Zugriff auf personenbezogene Daten haben. Prüfen, ob ein gültiger AVV vorliegt.

    • Prozess für Betroffenenrechte festlegen: Wer ist zuständig? Wie wird die Monatsfrist eingehalten?

    • Technische und organisatorische Maßnahmen dokumentieren.

    • Meldeprozess für Datenpannen definieren: Wer entscheidet innerhalb von 72 Stunden?

Innerhalb von drei Monaten

    • Mitarbeiterschulung zum Datenschutz durchführen. Auch eine kurze Online-Schulung genügt als Einstieg.

    • Löschkonzept erstellen: Welche Daten werden wie lange aufbewahrt und wann gelöscht?

    • Prüfen, ob das NISG 2026 für Ihr Unternehmen relevant ist.

Was das kosten kann

Für ein typisches KMU mit 5 bis 50 Mitarbeitern liegt der Aufwand für die Erstaufsetzung bei externer Unterstützung zwischen 2.000 und 5.000 Euro. Bei Eigenleistung mit WKO-Ressourcen deutlich weniger. Die laufenden Kosten für Aktualisierungen und Schulungen betragen rund 500 bis 2.000 Euro pro Jahr. Das sind überschaubare Beträge, wenn man bedenkt, dass ein einziges Bußgeld schnell ein Vielfaches kosten kann.

Häufige Fragen (FAQ)

Brauche ich als kleines Unternehmen in Österreich einen Datenschutzbeauftragten?

In den meisten Fällen nicht. Die Pflicht zur Bestellung eines Datenschutzbeauftragten besteht in Österreich nur, wenn Ihre Kerntätigkeit in der umfangreichen, regelmäßigen Überwachung von Personen besteht oder Sie in großem Umfang besondere Datenkategorien verarbeiten (zum Beispiel Gesundheitsdaten). Ein Handwerksbetrieb, ein Autohaus oder eine Steuerberatungskanzlei fallen in der Regel nicht darunter. Anders als in Deutschland gibt es in Österreich keine nationale Erweiterung dieser Pflicht.

Reicht eine Datenschutzerklärung aus dem Internet?

Als Ausgangsbasis kann ein seriöser Generator nützlich sein. Aber: Ihre Datenschutzerklärung muss genau die Verarbeitungen abbilden, die auf Ihrer Website tatsächlich stattfinden. Wenn Sie seit der Erstellung neue Tools eingeführt haben (Chatbot, Buchungssystem, Analytics), muss sie aktualisiert werden. Die DSB prüft 2026 gezielt die Transparenzpflichten. Eine pauschale Vorlage, die nicht zu Ihrer Website passt, kann im Ernstfall mehr schaden als nützen.

Was passiert, wenn ich ein Auskunftsbegehren erhalte?

Sie haben einen Monat Zeit zu antworten. Stellen Sie der anfragenden Person eine Kopie aller personenbezogenen Daten zur Verfügung, die Sie über sie verarbeiten, zusammen mit Informationen zu Zweck, Empfängern und Speicherdauer. Ignorieren Sie die Anfrage nicht. Die DSB hat allein für fehlende Mitwirkung in Beschwerdeverfahren 10.000 Euro Bußgeld verhängt, obwohl der ursprüngliche Verstoß vermutlich folgenlos geblieben wäre.

Muss ich als KMU Datenschutzverletzungen melden?

Ja, wenn ein Risiko für die betroffenen Personen besteht. Die Meldung an die DSB muss innerhalb von 72 Stunden erfolgen. Typische meldepflichtige Vorfälle: Versehentlich an falsche Empfänger gesendete E-Mails mit personenbezogenen Daten, gestohlene oder verlorene Geräte mit unverschlüsselten Daten, gehackte Systeme mit Zugriff auf Kundendaten. Auch die verspätete Meldung ist ein Verstoß. Im Zweifel lieber melden als abwarten.

Darf ich Kunden ohne Einwilligung Newsletter schicken?

Nur unter sehr engen Voraussetzungen, wenn die sogenannte Bestandskundenausnahme nach § 174 Abs. 4 TKG 2021 greift. Dafür müssen alle vier Bedingungen gleichzeitig erfüllt sein: Die E-Mail-Adresse stammt aus einem bestehenden Geschäftsverhältnis, Sie werben nur für eigene ähnliche Produkte, Sie haben bei der Datenerhebung und in jeder E-Mail klar auf das Widerspruchsrecht hingewiesen, und der Empfänger hat nicht widersprochen. Für allgemeine Newsletter oder Akquise-Mails brauchen Sie eine dokumentierte Einwilligung per Double-Opt-In.

Fazit: Datenschutz ist machbar und schützt Ihr Unternehmen

Die DSGVO klingt komplex, aber für die meisten KMU sind die Anforderungen mit überschaubarem Aufwand umsetzbar. Die wichtigsten drei Schritte:

    1. Verarbeitungsverzeichnis erstellen. Es ist das Herzstück jeder Datenschutz-Dokumentation und schafft Klarheit über den eigenen Status. Die WKO-Muster sind kostenlos und praxistauglich.

    1. Auftragsverarbeitungsverträge prüfen. Für jeden Cloud-Dienst, jeden IT-Dienstleister und jedes Newsletter-Tool muss ein AVV vorliegen.

    1. Datenschutzerklärung aktualisieren. Sie ist Ihr Aushängeschild in Sachen Transparenz und wird 2026 gezielt geprüft.

Damit haben Sie die größten Risiken erheblich reduziert. Alles Weitere, Löschkonzept, Mitarbeiterschulung, Prozess für Betroffenenrechte, lässt sich Schritt für Schritt aufbauen.

Datenschutz ist kein einmaliges Projekt, sondern ein laufender Prozess. Aber ein Prozess, der sich lohnt: Er schützt nicht nur Ihre Kunden, sondern auch Ihr Unternehmen vor Bußgeldern, Reputationsschäden und dem Verlust von Geschäftsbeziehungen.

Sie möchten wissen, wo Ihr Unternehmen in Sachen Datenschutz steht? Wir helfen Ihnen, den aktuellen Status zu bewerten und die nächsten Schritte zu planen. Vereinbaren Sie ein unverbindliches Erstgespräch.

Kostenlosen IT-Check buchen

Quellen:

KPMG – Geldstrafen; WKO – EU-DSGVO Checkliste, E-Mail und Telefonwerbung; DSB – Entscheidungen