Was macht Lugmayr Kern?

Lugmayr Kern ist ein österreichisches IT-Unternehmen, das sich auf IT-Sicherheit, Infrastruktur und digitale Transformation für KMU spezialisiert hat. Wir bieten NIS2-konforme Sicherheitsstrategien, Netzwerkarchitekturen und Digitalisierungsberatung.

Was ist die KMU.DIGITAL Förderung?

KMU.DIGITAL 2026 bietet bis zu 6.000 € Förderung für Digitalisierungsprojekte österreichischer KMU: 80% Zuschuss auf Beratung und 30% auf die Umsetzung. Wir begleiten Sie durch den gesamten Förderprozess.

Welche Region betreut Lugmayr Kern?

Unser Firmensitz ist in Perg, Oberösterreich. Wir betreuen Unternehmen in ganz Österreich sowie im DACH-Raum — persönlich vor Ort oder digital.

Was ist die Lugmayr Kern Reasoning Engine?

Die Reasoning Engine ist eine von Lugmayr Kern eigenentwickelte KI, die komplett lokal und ohne Internetverbindung läuft. Sie ist 100% Open Source, produziert keine Halluzinationen und ist DSGVO-konform, da keine Daten das Unternehmen verlassen.

Was ist das Austrian Business Mag?

Das Austrian Business Mag (austrianbusiness.at) ist ein von Lugmayr Kern betriebenes digitales Wirtschaftsmagazin mit praxisnahen Artikeln zu Digitalisierung, IT-Sicherheit, Förderungen und Unternehmensstrategie für den österreichischen Mittelstand.

DSGVO-Checkliste für KMU: 10 Punkte, die Sie umsetzen müssen

Hinweis: Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für verbindliche Auskünfte wenden Sie sich an einen spezialisierten Rechtsanwalt oder die Datenschutzbehörde. Stand: März 2026.

Die DSGVO (Datenschutz-Grundverordnung) gilt in Österreich seit Mai 2018, ergänzt durch das österreichische Datenschutzgesetz (DSG). Trotzdem haben viele kleine und mittlere Unternehmen noch erhebliche Lücken in der Umsetzung. Das ist riskant: Die österreichische Datenschutzbehörde (DSB) hat in den vergangenen Jahren die Kontrolltätigkeit deutlich intensiviert, und die Strafen sind empfindlich — bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes.

Diese Checkliste gibt Ihnen einen praxisnahen Überblick über die zehn wichtigsten Maßnahmen, die jedes österreichische KMU umgesetzt haben sollte. Kein juristischer Fachjargon, sondern konkrete Handlungsempfehlungen.

01Verarbeitungsverzeichnis führen

Das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) ist das Fundament Ihrer Datenschutz-Compliance. Darin dokumentieren Sie alle Prozesse, bei denen personenbezogene Daten verarbeitet werden — von der Lohnverrechnung über das CRM-System bis zur Videoüberwachung.

Praxis-Tipp: Beginnen Sie mit einer Bestandsaufnahme aller Software-Systeme und Papierablagen, in denen personenbezogene Daten gespeichert werden. Für jede Verarbeitung dokumentieren Sie: Zweck, Kategorien der Betroffenen und Daten, Empfänger, Speicherdauer und technische Schutzmaßnahmen. Nutzen Sie eine einfache Tabelle — es muss kein teures Tool sein.

02Datenschutzerklärung aktualisieren

Ihre Datenschutzerklärung auf der Website muss vollständig, verständlich und aktuell sein. Sie muss alle Verarbeitungen abdecken, die über die Website stattfinden — Kontaktformulare, Cookies, Analyse-Tools, Newsletter-Anmeldungen.

Praxis-Tipp: Prüfen Sie, ob Ihre Datenschutzerklärung den Verantwortlichen mit vollständiger Adresse nennt, alle eingesetzten Drittanbieter-Tools auflistet (Google Analytics, Mailchimp, etc.), Rechtsgrundlagen angibt und über Betroffenenrechte informiert. Vergessen Sie nicht die Cookie-Informationen — ein fehlerhaftes Cookie-Banner ist einer der häufigsten Beschwerdegründe bei der Datenschutzbehörde.

03Auftragsverarbeitungsverträge abschließen

Wenn Sie Dienstleister einsetzen, die in Ihrem Auftrag personenbezogene Daten verarbeiten — Cloud-Anbieter, Hosting-Provider, E-Mail-Marketing-Dienste, Buchhaltungssoftware — benötigen Sie mit jedem einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO.

Praxis-Tipp: Die meisten großen Anbieter (Microsoft, Google, AWS) stellen standardisierte AVVs bereit, die Sie nur akzeptieren müssen. Bei kleineren Anbietern sollten Sie aktiv einen AVV einfordern. Prüfen Sie besonders: Wo werden die Daten gespeichert? Bei Anbietern außerhalb der EU/EWR brauchen Sie zusätzlich geeignete Garantien wie Standardvertragsklauseln.

04Einwilligungen korrekt einholen

Wenn Sie Daten auf Basis einer Einwilligung verarbeiten — etwa für Newsletter, Marketing oder nicht-essentielle Cookies — muss diese Einwilligung freiwillig, informiert, unmissverständlich und widerrufbar sein. Vorausgefüllte Checkboxen oder versteckte Zustimmungen sind rechtswidrig.

Praxis-Tipp: Implementieren Sie ein DSGVO-konformes Cookie-Banner (Opt-in, nicht Opt-out). Für Newsletter verwenden Sie das Double-Opt-in-Verfahren. Dokumentieren Sie jede Einwilligung mit Zeitstempel, IP-Adresse und dem genauen Wortlaut. So können Sie im Streitfall nachweisen, dass eine gültige Zustimmung vorlag.

05Betroffenenrechte sicherstellen

Die DSGVO gewährt betroffenen Personen umfangreiche Rechte: Auskunft, Berichtigung, Löschung („Recht auf Vergessenwerden"), Einschränkung, Datenübertragbarkeit und Widerspruch. Sie müssen Anfragen innerhalb eines Monats beantworten.

Praxis-Tipp: Definieren Sie einen klaren internen Prozess für Betroffenenanfragen. Wer nimmt Anfragen entgegen? Wie wird die Identität des Anfragenden verifiziert? Wo sind die Daten gespeichert, die auskunfts- oder löschpflichtig sind? Erstellen Sie Vorlagen für die häufigsten Anfragen — das spart im Ernstfall wertvolle Zeit.

06Technische und organisatorische Maßnahmen (TOMs)

Art. 32 DSGVO verlangt angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten. Was „angemessen" ist, hängt vom Risiko und vom Stand der Technik ab.

Praxis-Tipp: Die Mindestanforderungen für jedes KMU umfassen: Verschlüsselung von Datenträgern und E-Mails, starke Passwortrichtlinien mit Zwei-Faktor-Authentifizierung, regelmäßige Backups (3-2-1-Regel), Firewall und Virenschutz auf aktuellem Stand, Zugangsbeschränkungen nach dem Need-to-know-Prinzip, Bildschirmsperren und Clean-Desk-Policy. Dokumentieren Sie alle Maßnahmen schriftlich.

07Datenschutz-Folgenabschätzung (DSFA)

Eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist erforderlich, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für Betroffene birgt — etwa bei systematischer Videoüberwachung, Profiling, automatisierten Entscheidungen oder der Verarbeitung sensibler Daten in großem Umfang.

Praxis-Tipp: Die österreichische Datenschutzbehörde hat eine „Blacklist" veröffentlicht, die konkrete Verarbeitungstätigkeiten auflistet, für die eine DSFA verpflichtend ist. Prüfen Sie diese Liste gegen Ihre eigenen Verarbeitungen. Wenn eine DSFA nötig ist, beschreiben Sie die Verarbeitung, bewerten Sie die Risiken und dokumentieren Sie die Gegenmaßnahmen. Im Zweifel holen Sie sich externe Unterstützung.

08Datenschutzbeauftragten prüfen

Nicht jedes KMU braucht einen Datenschutzbeauftragten (DSB). Die Pflicht besteht, wenn die Kerntätigkeit in der umfangreichen, regelmäßigen und systematischen Überwachung von Personen liegt oder die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Datenkategorien besteht (Gesundheitsdaten, biometrische Daten, etc.).

Praxis-Tipp: Auch wenn Sie keinen DSB bestellen müssen, sollten Sie eine Person im Unternehmen benennen, die für Datenschutzfragen zuständig ist. Ein externer DSB ist oft günstiger als ein interner und bringt branchenübergreifende Erfahrung mit. In Österreich liegt der Marktpreis für einen externen DSB typischerweise bei einigen hundert Euro pro Monat, abhängig von Unternehmensgröße und Komplexität.

09Meldepflicht bei Datenpannen einrichten

Bei einer Verletzung des Schutzes personenbezogener Daten — ob Hackerangriff, verlorener Laptop oder versehentlich versendete E-Mail an den falschen Empfänger — müssen Sie die Datenschutzbehörde innerhalb von 72 Stunden informieren, sofern ein Risiko für die Betroffenen besteht. Bei hohem Risiko müssen auch die betroffenen Personen direkt benachrichtigt werden.

Praxis-Tipp: Erstellen Sie einen Notfallplan für Datenpannen. Definieren Sie: Wer entscheidet, ob eine Meldung nötig ist? Wer meldet an die DSB (über das Online-Formular der Datenschutzbehörde)? Wer informiert die Betroffenen? Üben Sie den Prozess einmal jährlich — 72 Stunden vergehen schneller als man denkt, besonders wenn der Vorfall am Freitagnachmittag entdeckt wird.

10Mitarbeiter regelmäßig schulen

Der Mensch ist das größte Sicherheitsrisiko — und gleichzeitig die beste Verteidigung. Regelmäßige Datenschutzschulungen sind keine Kür, sondern Pflicht. Die DSGVO verlangt, dass Mitarbeiter, die personenbezogene Daten verarbeiten, entsprechend geschult werden.

Praxis-Tipp: Führen Sie mindestens einmal jährlich eine Datenschutzschulung für alle Mitarbeiter durch. Ergänzen Sie diese durch anlassbezogene Schulungen bei neuen Systemen oder Prozessen. Inhalte sollten sein: Grundlagen der DSGVO, Erkennen von Phishing-Mails, sicherer Umgang mit Passwörtern, Meldewege bei Datenpannen und die konkreten Datenschutz-Richtlinien Ihres Unternehmens. Dokumentieren Sie Teilnahme und Inhalte.

Datenschutz ist kein einmaliges Projekt, sondern ein laufender Prozess. Planen Sie regelmäßige Reviews ein — mindestens einmal jährlich — und passen Sie Ihre Maßnahmen an neue Risiken und Technologien an.

Fazit: DSGVO-Compliance ist machbar

Die gute Nachricht: DSGVO-Compliance muss weder teuer noch kompliziert sein. Die meisten der hier genannten Maßnahmen lassen sich mit überschaubarem Aufwand umsetzen — wenn man weiß, worauf es ankommt. Starten Sie mit dem Verarbeitungsverzeichnis, arbeiten Sie die Checkliste Punkt für Punkt ab und holen Sie sich bei Bedarf externe Unterstützung. Lieber heute anfangen als morgen eine Strafe riskieren.

Brauchen Sie Unterstützung bei der DSGVO-Umsetzung?

Wir helfen österreichischen KMU bei der pragmatischen Umsetzung der DSGVO — vom Verarbeitungsverzeichnis über die technischen Maßnahmen bis zur Mitarbeiterschulung. Persönlich, verständlich und ohne Juristendeutsch.

Erstgespräch vereinbaren