Home » News » Start-ups und Datenschutz

GASTKOMMENTAR von MMag. Peter Griehser und Mag. Walter Korschelt, LLM

Ein Spagat zwischen Innovation und Verantwortung

Datenschutz gehört zweifellos zu den komplexeren Baustellen für junge Unternehmen. Wer heute ein Start-up gründet, denkt in disruptiven Geschäftsmodellen, in Skalierung, Schnelligkeit – weniger an DSGVO-konforme Verfahrensverzeichnisse oder Auftragsverarbeitungsverträge. Und dennoch: Wer Datenschutz nur als bürokratisches Hemmnis betrachtet, riskiert nicht nur Strafen, sondern auch das Vertrauen seiner Nutzer:innen – eine der wichtigsten Währungen im digitalen Zeitalter.

Zwischen Vision und Realität

Die größte Herausforderung liegt oft im Spannungsfeld zwischen der notwendigen Agilität eines Start-ups und den teils rigiden Anforderungen des Datenschutzrechts. Junge Gründer:innen wollen testen, iterieren, Nutzerverhalten analysieren. Sie greifen auf günstige Tools und skalierbare Cloud-Lösungen zurück – meist aus den USA –, setzen KI-Komponenten ein, tracken Nutzerverhalten bis ins Detail. Genau hier beginnt die Datenschutzproblematik.

Viele Start-ups unterschätzen, dass bereits das Sammeln scheinbar harmloser Daten – etwa IP-Adressen, Gerätekennungen oder Standortdaten – als Verarbeitung personenbezogener Daten gilt. Damit verbunden sind umfangreiche Pflichten: Informationspflichten, Einwilligungen, technische und organisatorische Maßnahmen (TOMs), Datenschutz-Folgenabschätzungen, Dokumentationspflichten.

Typische Schwachstellen der Datenverarbeitung aus der Praxis

  1. Fehlende Datenschutzstrategie:
    Datenschutz wird oft erst dann ein Thema, wenn es konkret wird – etwa bei Auskunftsbegehren, Partnerschaften oder im Zuge eines Investor Due Diligence. Zu diesem Zeitpunkt lassen sich Versäumnisse nur mühsam nachholen. Eine vorausschauende Datenschutzstrategie – etwa durch "Privacy by Design" – verhindert teure Nachbesserungen und signalisiert Professionalität.
  2. Unklare Verantwortlichkeiten:
    Wer ist im Unternehmen zuständig? Wer entscheidet über Tools, wer kontrolliert Zugriffsrechte, wer reagiert bei Datenschutzvorfällen? Diese Fragen bleiben in vielen Start-ups unbeantwortet – mit rechtlichen wie auch organisatorischen Folgen.
  3. Verwendung datenschutzrechtlich problematischer Tools:
    Gerade bei kostenlosen oder günstigen Softwarelösungen (z. B. für CRM, Analytics, Payments) handelt es sich häufig um Anbieter aus Drittstaaten ohne angemessenes Datenschutzniveau. Wer hier nicht korrekt dokumentiert, Einwilligungen einholt oder Transfermechanismen wie Standardvertragsklauseln umsetzt, riskiert Rechtsverstöße – und mitunter auch Geldstrafen, die existenzbedrohend sein können.
  4. Mangelhafte Dokumentation:
    Die DSGVO verpflichtet auch Kleinstunternehmen zur Dokumentation der Datenverarbeitung – etwa durch ein Verzeichnis der Verarbeitungstätigkeiten oder durch Datenschutzfolgenabschätzungen bei risikobehafteten Technologien (etwa KI-gestützten Modellen). Wer hier blank ist, kann sich im Fall einer Prüfung kaum verteidigen.

Was Start-ups konkret tun können

  • Von Beginn an rechtliche Beratung einholen: Datenschutz ist kein DIY-Projekt. Eine frühe rechtliche Begleitung spart später viel Geld – und Nerven.
  • Tools und Anbieter sorgfältig wählen: Gerade bei US-Anbietern gilt es, Transfermechanismen (etwa Standardvertragsklauseln) korrekt umzusetzen. Europäische Anbieter mit DSGVO-Konformität bieten oft nicht nur rechtliche Sicherheit, sondern auch kürzere Wege bei Support und Datenkontrolle.
  • Einwilligungen und Datenschutzerklärungen sauber gestalten: Klare Sprache, keine irreführenden Formulierungen, jederzeit widerrufbar – das ist nicht nur Pflicht, sondern auch guter Stil.
  • Interne Prozesse definieren: Wer reagiert bei Datenpannen? Wie läuft eine Betroffenenanfrage ab? Wer pflegt das Verzeichnis der Verarbeitungstätigkeiten? Datenschutz sollte nicht "mitlaufen", sondern aktiv mitgedacht werden – im Designprozess ebenso wie in der Produktentwicklung.

Fazit: Datenschutz als Wettbewerbsvorteil und Erfolgsfaktor

Gerade in Zeiten zunehmender digitaler Sensibilisierung kann ein datenschutzkonformer Umgang mit Nutzerdaten zum echten USP werden. Konsument:innen und Geschäftspartner:innen achten immer stärker auf Datenschutzstandards – nicht aus juristischem Interesse, sondern weil sie den Anbieter:innen vertrauen wollen.

Start-ups, die das frühzeitig erkennen, legen nicht nur rechtlich ein solides Fundament, sondern gewinnen auch strategisch: Sie zeigen Verantwortung, Professionalität und Weitblick und das sind genau jene Qualitäten, die Investor:innen und Kund:innen schätzen. Denn am Ende ist es wie so oft im Recht: Wer frühzeitig vorsorgt, spart später viel Zeit, Geld – und vermeidet böse Überraschungen.

Über MMag. Peter Griehser und MMag. Walter Korschelt, LLM

Kleine Zeitung Likar Kanzlei Teamportraits 2017 10 10 0164
Kleine Zeitung Likar Kanzlei Teamportraits 2017 10 10 0245

MMag. Peter Griehser und Mag. Walter Korschelt, LLM, sind Partner der LIKAR Rechtsanwälte GmbH und ISO-zertifizierte Datenschutzbeauftragte. LIKAR Rechtsanwälte beraten Unternehmen und Start-ups unter anderem umfassend zu datenschutzrechtlichen Fragestellungen.

Mehr Informationen