Incognify
AnmeldenKostenlos testen
Alle Beiträge
Case Study 24. April 2026 8 Min. Lesezeit

DSG/DSGVO und Series B: Wie Startups Datenschutz vor der Due Diligence skalieren

Series-B-Finanzierungsrunden sind Meilensteine — und gleichzeitig intensive Datenschutz-Prüfungen. Investoren, Lead-VCs und deren Rechtsberater durchleuchten nicht nur Finanzkennzahlen, sondern zunehmend auch die Datenschutz-Compliance. Wer unvorbereitet in eine Due Diligence geht, riskiert Verzögerungen, Bewertungsabschläge oder im schlimmsten Fall einen Abbruch. Dieser Artikel zeigt, wie Startups und Scaleups Datenschutz-Compliance rechtzeitig aufbauen.

Warum Datenschutz bei Finanzierungsrunden immer wichtiger wird

Noch vor wenigen Jahren war Datenschutz im Due-Diligence-Prozess ein Randthema. Das hat sich grundlegend geändert: Nach Inkrafttreten des revidierten Schweizer DSG (September 2023), der DSGVO (seit 2018) und dem österreichischen DSG AT ist Datenschutz-Compliance ein handfestes Haftungsthema — und damit ein Bewertungsfaktor.

Was Investoren heute prüfen:

Haben Sie ein aktuelles Verzeichnis von Verarbeitungstätigkeiten (VVT)?
Können Sie nachweisen, dass Kundendaten nicht ungeschützt an Cloud-Dienste gesendet werden?
Sind Datenpannen der letzten 24 Monate dokumentiert und gemeldet worden?
Haben Sie eine Datenschutzbeauftragte oder einen DSB benannt (falls erforderlich)?
Sind Auftragsverarbeitungsverträge mit allen relevanten Dienstleistern abgeschlossen?

DSG (CH), DSGVO (DE/EU) und DSG AT (AT) sind nicht nur Compliance-Anforderungen — sie sind Risikofaktoren in der Due-Diligence-Bewertung. Identifizierte Lücken führen zu Nachverhandlungen oder erhöhten Garantieanforderungen.

Typische Datenschutz-Lücken bei wachsenden Startups

In der frühen Wachstumsphase steht Datenschutz selten im Vordergrund. Das ist verständlich — aber spätestens vor einer Series B ein Risiko. Die häufigsten Lücken:

Unkontrollierter KI-Einsatz

Mitarbeiter nutzen ChatGPT, Claude oder Gemini mit Kundendaten — ohne Anonymisierung und ohne Unternehmensrichtlinie.

Fehlendes VVT

Das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) ist unvollständig oder nicht aktuell.

Fehlende AV-Verträge

Mit Dienstleistern, die Personendaten verarbeiten, fehlen Auftragsverarbeitungsverträge.

Keine DSFA

Für risikoreiche Verarbeitungen fehlt eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO / Art. 22 DSG).

Unklare Löschfristen

Kundendaten werden unbegrenzt aufbewahrt, obwohl DSG und DSGVO Löschpflichten vorsehen.

Fehlende Dokumentation

Datenschutzmassnahmen existieren, sind aber nicht dokumentiert — und damit für Investoren und Behörden unsichtbar.

Compliance aufbauen: Der 5-Schritte-Plan vor der Due Diligence

1

Bestandsaufnahme

Erfassen Sie alle Verarbeitungstätigkeiten mit Personendaten. Wo kommen Kundendaten rein? Wer hat Zugriff? Welche Tools werden genutzt?

2

KI-Nutzung regeln

Erstellen Sie eine verbindliche Unternehmensrichtlinie für den Einsatz von Cloud-KI. Verpflichten Sie Mitarbeiter zur Anonymisierung mit Incognify vor der KI-Nutzung.

3

Verträge prüfen

Stellen Sie sicher, dass mit allen Auftragsverarbeitern aktuelle AV-Verträge nach Art. 28 DSGVO / Art. 9 DSG vorliegen.

4

Dokumentieren

Dokumentieren Sie alle Datenschutzmassnahmen, Schulungen und Prozesse. Was nicht dokumentiert ist, existiert rechtlich nicht.

5

Audit-Trail aufbauen

Nutzen Sie Incognifys eingebauten Audit-Trail: Er belegt, dass Anonymisierungen stattgefunden haben — ein starkes Signal für Investoren.

Rechtliche Grundlagen in CH, DE und AT

Startups, die in mehreren DACH-Märkten tätig sind, müssen alle drei Rechtsräume im Blick behalten:

Schweiz (DSG): Bussen bis CHF 250'000 gegen Einzelpersonen (Art. 60 ff.). Meldepflicht bei Datenpannen gegenüber dem EDÖB (Art. 24 DSG). Pflicht zur Datenschutz-Folgenabschätzung (Art. 22 DSG).
Deutschland / EU (DSGVO): Bussgelder bis EUR 20 Mio. oder 4 % des Jahresumsatzes (Art. 83). Meldepflicht innerhalb 72 Stunden (Art. 33). VVT-Pflicht ab 250 Mitarbeitenden (Art. 30).
Österreich (DSG AT): Österreichische Datenschutzbehörde als Aufsicht. DSG AT ergänzt DSGVO national. Grundrecht auf Datenschutz in § 1 DSG AT.

Fazit: Datenschutz ist kein Hindernis — er ist ein Wettbewerbsvorteil

Startups, die Datenschutz-Compliance frühzeitig aufbauen, gehen gestärkt in Due-Diligence-Prozesse. Sie zeigen Investoren, dass das Unternehmen skalierbar und rechtssicher aufgestellt ist. Mit Incognify lässt sich der kritischste Schritt — die Kontrolle des KI-Einsatzes — einfach und nachweisbar umsetzen.

Bereiten Sie Ihr Unternehmen auf die nächste Finanzierungsrunde vor — mit Datenschutz als Stärke statt als Risiko.

Das könnte dich auch interessieren

Teilen

Sprechen Sie mit uns

Fragen zur Einführung, zum Datenschutz oder zu Enterprise-Optionen? Schreiben Sie uns — wir beraten Sie zu Pilotprojekt, Sicherheitsprüfung und Rollout.

E-Mail: mail@incognify.appWeb: incognify.appMobil:

Newsletter

Bleiben Sie informiert über Datenschutz-Updates, neue Funktionen und praxisnahe Tipps zur sicheren Datenverarbeitung in der Schweiz, Deutschland und Österreich.