DSGVO-Compliance für KMUs

Überblick

Sie haben gerade einen österreichischen Mittelständler übernommen – vielleicht eine E-Commerce-Firma mit 50.000 Kundendatensätzen, ein Dienstleistungsunternehmen mit 15-jähriger Kundenhistorie oder ein Handwerksbetrieb mit tausenden von Kunden- und Mitarbeiterdaten. Die Datenbanken sind voll, die Marketing-Listen lang – doch bevor Sie die ersten Kunden anschreiben, sollten Sie eines wissen: In Österreich sind Kundendaten keine Ware, die Sie einfach übernehmen können. Die DSGVO ist kein Papiertiger – sie ist ein Wachhund mit scharfen Zähnen. Laut der österreichischen Datenschutzbehörde wurden 2023 über 450 Bußgelder verhängt – durchschnittlich 28.000 Euro pro Fall – und bei Unternehmensübernahmen sind die Zahlen steigend.

Die österreichischen Fallstricke sind spezifisch: Viele KMUs haben Datenschutz nie systematisch umgesetzt – Listen wurden über Jahre gesammelt, Visitenkarten in Newsletter eingepflegt, Mitarbeiterdaten endlos gespeichert. Die Folge: Was wie ein wertvolles Asset aussieht, kann zur tickenden Zeitbombe werden. Ein Kärntner Unternehmer übernahm eine Kundendatenbank mit 25.000 Kontakten – und verschickte eine "Willkommens-Mail" an alle. Die Reaktion: 180 Abmahnungen wegen fehlender Einwilligung, 45.000 Euro Strafen, und ein Imageschaden, den er nie wieder repariert hat. Dieser Ratgeber zeigt Ihnen, wie Sie Datenbanken rechtskonform übernehmen – mit österreichischen Rechtsgrundlagen und konkreten Beispielen aus der Praxis.

Asset Deal vs. Share Deal: Die Datenfrage bestimmt die Struktur

Die grundlegende Entscheidung bei jeder Unternehmensübernahme: Kaufen Sie die Gesellschaft (Share Deal) oder nur die Assets (Asset Deal)? Bei der DSGVO macht dieser Unterschied den Unterschied zwischen "einfach" und "extrem kompliziert". Beim Share Deal bleibt die GmbH Eigentümer der Daten – Sie kaufen nur die Anteile. Die Rechtsgrundlage für die Datenverarbeitung bleibt bestehen – Sie müssen nur die Betroffenen über den Eigentümerwechsel informieren. Die österreichische Praxis: Ein Share Deal ist bei datenintensiven Unternehmen oft die bessere Wahl – auch wenn der Kaufpreis höher ist.

Der Asset Deal ist die Herausforderung: Hier verkauft Firma A die Datenbank an Firma B – und das ist eine "Übermittlung personenbezogener Daten" nach Artikel 4 DSGVO. Die österreichische Rechtslage ist klar: Sie brauchen eine Rechtsgrundlage – und "Datenkauf" steht nicht im Gesetz. Die Lösung: Artikel 6 Absatz 1 Buchstabe f – "berechtigtes Interesse" – aber das ist dünnes Eis. Sie müssen beweisen, dass Ihr Interesse an der Datenübernahme die Interessen der Betroffenen nicht überwiegt – und Sie müssen jedem Betroffenen ein Widerspruchsrecht einräumen. Ein Oberösterreicher übernahm eine Kundendatenbank mit 40.000 Kontakten – und musste 12.000 Widersprüche bearbeiten. Die Kosten: 45.000 Euro für Rechtsberatung, IT-Anpassung und Kommunikation – aber es war rechtskonform.

Die österreichische Alternative: Die "Re-Qualifizierung" – Sie übernehmen die Daten, aber kontaktieren niemanden, bis Sie frische Einwilligungen haben. Ein Tiroler E-Commerce-Händler übernahm eine Datenbank mit 80.000 E-Mail-Adressen – aber verschickte 18 Monate lang keine Werbung. Stattdessen baute er eine neue Einwilligungs-Kampagne auf: "Wollen Sie weiterhin von uns hören?" Die Quote: 42 Prozent sagten ja – aber die verbliebenen 33.600 Kontakte waren hochqualifiziert und rechtskonform. Die Investition: 35.000 Euro für Kampagne und Rechtsberatung – aber die Datenbasis war sicher. Die Lektion: Manchon ist weniger mehr – wenn es rechtskonform ist.

Newsletter und Marketing-Consents: Die Einwilligung ist alles

Der wertvollste Teil vieler Datenbanken ist die E-Mail-Liste – aber nur, wenn die Einwilligungen rechtskonform sind. Die österreichische Realität: Viele KMUs haben über Jahre hinweg "Visitenkarten gesammelt" – und einfach in den Newsletter eingepflegt. Die Folge: Diese Listen sind nicht nur wertlos – sie sind toxisch. Ein Salzburger Dienstleister übernahm eine "Kundendatenbank" mit 15.000 Kontakten – und verschickte einen Newsletter. Die Reaktion: 89 Abmahnungen wegen fehlender Einwilligung, 28.000 Euro Strafen, und ein Imageschaden in der Branche. Die Ursache: Der Vorbesitzer hatte nie Double-Opt-In (DOI) verwendet – die Einwilligungen waren nicht nachweisbar.

Die österreichische Lösung: Prüfen Sie jede Einwilligung – und zwar systematisch. Verlangen Sie vom Verkäufer Nachweise: Wann wurde die Einwilligung erteilt? Über welches Formular? Gibt es DOI-Bestätigungen? Ein Grafer Shop-Betreiber konnte für 85 Prozent seiner 25.000 Newsletter-Empfänger vollständige Einwilligungsnachweise vorweisen – die verbliebenen 15 Prozent wurden gelöscht. Die Datenbasis schrumpfte – aber der Wert stieg, weil die verbliebenen Kontakte rechtskonform waren. Die Löschung von 3.750 Kontakten kostete ihn 18 Prozent seines Newsletter-Volumens – aber es rettete ihn vor 45.000 Euro Abmahnkosten.

Die Kaufvertrags-Klausel ist essentiell: Lassen Sie sich vom Verkäufer garantieren, dass alle Marketing-Einwilligungen rechtskonform eingeholt wurden – und dass er für etwaige Verstöße haftet. Ein Oberösterreicher verhandelte eine Rücktritts-Klausel: Wenn sich herausstellt, dass die Einwilligungen fehlerhaft sind, kann er vom Deal zurücktreten – oder den Kaufpreis um 30 Prozent reduzieren. Die Sicherheit: Der Verkäufer lieferte alle Nachweise – und der Käufer hatte Rechtssicherheit. Die Kosten für die anwaltliche Klausel: 2.800 Euro – ein Betrag, der sich bei dem ersten Abmahnversuch amortisiert hätte.

Die österreichische Besonderheit: Die Gewerbebehörde kann bei Gastro-Betrieben zusätzliche Anforderungen stellen – auch für Marketing-Einwilligungen. Ein Wiener Restaurant übernahm eine Kundendatenbank – aber die Behörde verlangte zusätzliche Datenschutz-Auflagen für Gästekarten. Die Lösung: Ein datenschutzkonformes Gästemanagement-System – Kosten 15.000 Euro, aber es verhinderte Bußgelder und sicherte die Marketing-Möglichkeiten. Die Lektion: In Österreich müssen Sie nicht nur die DSGVO beachten – sondern auch branchenspezifische Auflagen.

IT-Sicherheit und technische Maßnahmen: Der "Super-GAU" nach der Übernahme

Die DSGVO ist nicht nur Papierkram – sie verlangt konkrete technische und organisatorische Maßnahmen (TOMs). Die österreichische Realität: Viele KMUs haben "irgendwas" gemacht – aber keine systematische IT-Sicherheit. Die Folge: Ein Datenleck kurz nach der Übernahme ist der Super-GAU – nicht nur für die Reputation, sondern für Ihr Bankkonto. Die Strafen: Bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes – was bei österreichischen KMUs oft 2-5 Millionen Euro bedeuten kann.

Die österreichische Praxis zeigt: Die meisten Datenlecks passieren nach Unternehmensübernahmen – wenn neue IT-Systeme eingeführt, alte Passwörter nicht geändert und Zugriffsrechte nicht angepasst werden. Ein Kärntter Handwerksbetrieb wurde drei Monate nach der Übernahme gehackt – 15.000 Kundendaten waren im Darknet. Die Ursache: Der neue Eigentümer hatte das alte Passwort-System beibehalten – ein ehemaliger Mitarbeiter hatte Zugriff und verkaufte die Daten. Die Strafe: 280.000 Euro Bußgeld – wegen fehlender TOMs und unzureichender IT-Sicherheit.

Die Due-Diligence-Checkliste ist essentiell: Prüfen Sie Firewalls, Verschlüsselung, Backups, Zugriffsrechte, Passwort-Politik, und Mitarbeiter-Schulungen. Ein Oberösterreicher ließ eine professionelle IT-Sicherheitsprüfung machen – Kosten 12.000 Euro. Die Ergebnisse: 47 Sicherheitslücken, davon 12 "kritisch". Die Sanierung kostete 35.000 Euro – aber es verhinderte ein Datenleck, das 2-8 Millionen Euro Strafe gekostet hätte. Die Investition in IT-Sicherheit ist teuer – aber die Strafen für Datenlecks sind existenzbedrohend.

Die Löschkonzepte sind oft vernachlässigt: Viele Datenbanken enthalten Bewerberdaten von vor 10 Jahren, Kunden, die seit 15 Jahren nichts gekauft haben, und Mitarbeiterdaten von langst gekündigten Personen. Die österreichische Regel: Daten müssen gelöscht werden, wenn der Zweck erfüllt ist – und das ist oft früher als gedacht. Ein Salzburger Dienstleister fand 45.000 veraltete Datensätze – bei nur 12.000 aktiven Kunden. Die Löschung kostete 8.000 Euro (IT-Arbeit, Rechtsprüfung) – aber es reduzierte das Risiko massiv. Die Lektion: Weniger Daten bedeuten weniger Risiko – und oft mehr Wert, weil die verbliebenen Daten aktuell und rechtskonform sind.

Verarbeitungsverzeichnis und Auftragsverarbeiter: Die Papierarbeit, die zählt

Die österreichische Bürokratie: Jedes Unternehmen muss ein Verarbeitungsverzeichnis führen – eine systematische Dokumentation aller Datenverarbeitungen. Die Realität: Viele KMUs haben das nie gemacht – oder nur oberflächlich. Die Folge: Bei einer Prüfung können Sie nicht beweisen, dass Sie rechtskonform handeln – und das kostet Bußgelder. Ein Tiroler Unternehmen wurde von der Datenschutzbehörde geprüft – das fehlende Verarbeitungsverzeichnis kostete 25.000 Euro Strafe – obwohl die Datenverarbeitung an sich korrekt war.

Die Auftragsverarbeiter-Verträge sind oft vernachlässigt: Viele KMUs arbeiten mit externen Dienstleistern – Lohnverrechner, IT-Dienstleister, Cloud-Anbieter – aber haben keine ordentlichen AV-Verträge (Auftragsverarbeiter-Verträge). Die Folge: Bei Datenleck beim Dienstleister haften Sie als Auftraggeber – und das kann teuer werden. Ein Grafer E-Commerce-Händler nutzte einen deutschen Cloud-Anbieter – bei Datenleck waren 40.000 Kundendaten betroffen. Der Cloud-Anbieter hatte keine AV-Vereinbarung – die Haftung blieb beim österreichischen Unternehmen. Die Strafe: 180.000 Euro – wegen fehlender organisatorischer Maßnahmen.

Die österreichische Lösung: Machen Sie den Datenschutz-Check zum festen Bestandteil Ihrer Due Diligence. Verlangen Sie das vollständige Verarbeitungsverzeichnis, prüfen Sie alle AV-Verträge, und lassen Sie Lücken vor der Übernahme schließen. Ein Oberösterreicher verhandelte: Der Verkäufer muss alle fehlenden AV-Verträge vor Übergabe abschließen – sonst Rücktrittsrecht. Die Sicherheit: Alle Verträge waren vorhanden – und der Käufer hatte Rechtssicherheit. Die Kosten für die anwaltliche Prüfung: 8.500 Euro – aber das verhinderte spätere Haftungsprobleme in Höhe von mehreren Hunderttausend Euro.

Re-Qualifizierung und saubere Datenbasis: Weniger ist mehr

Die österreichische Praxis zeigt: Die sicherste Methode für Datenübernahme ist die Re-Qualifizierung – Sie übernehmen die Daten, aber kontaktieren niemanden, bis Sie frische, rechtskonforme Einwilligungen haben. Die Methode: Sie informieren die Betroffenen über die Übernahme – und bitten um neue Einwilligung für Marketing und Kommunikation. Die Quote liegt typischerweise bei 30-50 Prozent – aber diese Kontakte sind hochqualifiziert und rechtskonform. Ein Wiener Dienstleister übernahm 35.000 Kontakte – 42 Prozent stimmten zu, 58 Prozent wurden gelöscht. Die verbliebenen 14.700 Kontakte generierten 40 Prozent mehr Umsatz als die ursprüngliche 35.000-Datenbank – weil sie aktuell, interessiert und rechtskonform waren.

Die Kampagne muss österreichisch-konform sein: Klare Information über die Übernahme, transparente Erklärung der Verwendungszwecke, einfache Widerrufsmöglichkeit – und keine "Zustimmung unter Druck". Ein Salzburger Shop nutzte einen dreistufigen Prozess: 1. Information über Übernahme, 2. Bitte um Bestätigung der Einwilligung, 3. Dankeschön oder Verabschiedung. Die Ergebnisse: 38 Prozent Zustimmung, 52 Prozent keine Reaktion (wurden gelöscht), 10 Prozent aktive Ablehnung. Die Datenbasis war sauber – und die Österreichische Datenschutzbehörde bestätigte die Konformität. Die Kosten: 25.000 Euro für Kampagne, Rechtsberatung und IT-Anpassung – aber die Rechtssicherheit war unbezahlbar.

Die österreichische Besonderheit: Die Re-Qualifizierung muss dokumentiert werden – jede Einwilligung, jede Löschung, jede Information. Ein Kärntter Unternehmen führte ein vollständiges Protokoll – und konnte bei späterer Prüfung beweisen, dass alles rechtskonform ablief. Die Investition in Dokumentation (5.000 Euro für Software und Beratung) war gering – aber die Sicherheit bei der Prüfung war komplett. Die Lektion: In der DSGVO-Welt zählt nicht nur das Tun – sondern auch das Beweisen-Können.

Konkrete nächste Schritte

Machen Sie den Datenschutz-Check zum festen Bestandteil Ihrer Due Diligence – unabhängig vom Deal-Typ. Bei Share Deals: Prüfen Sie Verarbeitungsverzeichnis, AV-Verträge, IT-Sicherheit und Löschkonzepte. Bei Asset Deals: Klären Sie die Rechtsgrundlage für Datenübernahme – und erwägen Sie die Re-Qualifizierung. Verlangen Sie Nachweise für alle Marketing-Einwilligungen – und lassen Sie sich im Kaufvertrag Garantien geben. Budgetieren Sie 15.000-25.000 Euro für Rechtsberatung, IT-Prüfung und ggf. Re-Qualifizierung – die Kosten sind hoch, aber die Strafen für Fehler sind vielfach höher. Und dokumentieren Sie alles – in der DSGVO-Welt zählt nur das, was Sie beweisen können. Für die Begleitung stehen Ihnen erfahrene Datenschutz-Experten im adoptabizz Expertenverzeichnis zur Verfügung.