breidabreida

Digitale Basis für KMU · 3 / 7

IT-Funktionen

Was braucht ein KMU wirklich? 13 Bereiche mit rechtlichem Kontext, konkreten Hinweisen und OSS-Alternativen.

Nicht jede IT-Funktion ist für jedes Unternehmen gleich relevant. Die Einstufung orientiert sich an der Häufigkeit des Bedarfs und der rechtlichen Verpflichtung:

Kritisch: für alle unerlässlichWichtig: ab ersten Mitarbeitern oder KundendatenSituativ: je nach Geschäftsmodell
1

E-Mail-Kommunikation

Kritisch

Klingt banal, hat aber konkrete Rechtsfolgen: Geschäfts-E-Mails unterliegen Archivierungspflichten, Werbemails brauchen Einwilligung. Eine @gmail.com-Adresse ist außerdem kein guter erster Eindruck.

Rechtliche Anforderungen

  • E-Mail-Adressen sind personenbezogene Daten, DSGVO-konformes Handling ist Pflicht.
  • Werbe-E-Mails erfordern nach TKG § 174 vorherige Einwilligung.
  • Geschäftskorrespondenz (Rechnungen, Angebote) unterliegt der 7-Jahres-Archivierungspflicht nach BAO § 132.
  • TLS-Verschlüsselung für Transportverschlüsselung ist Mindeststandard; S/MIME für Ende-zu-Ende-Verschlüsselung empfohlen.
Beachten: Professionelle Firmen-Domain statt @gmail.com. Spam-Filter und Virenschutz aktivieren. Regelmäßige Backups des Postfachs.
OSS: Mailcow oder iRedMail als selbst gehostete Lösung; Thunderbird als Client.
2

Website & Domain

Kritisch

Ohne Website und Impressum droht eine Abmahnung. Das ist der häufigste und vermeidbarste Fehler bei Neugründungen. Darüber hinaus: eine .at-Domain kostet wenige Euro im Monat und ist die günstigste Visitenkarte, die es gibt.

Rechtliche Anforderungen

  • Impressumspflicht nach ECG § 5: Firmenname, Anschrift, E-Mail und weitere Kontaktmöglichkeit.
  • Datenschutzerklärung (DSGVO Art. 13/14) ist Pflicht.
  • Cookie-Banner für nicht-technisch notwendige Cookies (TKG § 165).
  • Bei Online-Verkauf: Pflichtinformationen nach FAGG (AGB, Widerrufsrecht, Preise mit MwSt.).
  • Bei .at-Domains: Registrierung bei nic.at, Inhaberschaftsnachweis nötig.
Beachten: Domain frühzeitig sichern. SSL-Zertifikat (HTTPS) ist Pflicht, heute kostenlos via Let's Encrypt. Regelmäßige WordPress/CMS-Updates!
OSS: WordPress (selbst gehostet), Drupal oder statische Sites via Hugo/Astro. Caddy als Webserver mit automatischem SSL.
3

Buchhaltungssoftware

Kritisch

Erfassung von Einnahmen und Ausgaben, Rechnungserstellung, Umsatzsteuervoranmeldung (UVA), ELBA/FinanzOnline-Anbindung. Gesetzlich vorgeschriebene lückenlose Buchführung.

Rechtliche Anforderungen

  • Pflichtarchivierung aller Belege für 7 Jahre nach BAO § 132.
  • Elektronische Buchführung muss unveränderbar und jederzeit lesbar sein (WORM-Prinzip).
  • UVA ist elektronisch via FinanzOnline einzureichen.
  • E-Rechnungen an öffentliche Auftraggeber müssen im PEPPOL-Format übermittelt werden (ab 2025).
  • Kunden-/Lieferantendaten im System unterliegen der DSGVO.
Beachten: Software muss österreichische Steuerregeln (UStG) unterstützen. FinanzOnline-Export prüfen. PEPPOL-Anbindung bei B2G-Geschäften.
OSS: Odoo Community (selbst gehostet) für vollständige ERP-Funktion. GnuCash für Einzelunternehmer. Invoice Ninja als Open-Source-Rechnungstool.
4

CRM (Customer Relationship Management)

Wichtig

Verwaltung von Kunden- und Kontaktdaten, Lead-Tracking, Angebotsprozesse, Kundenkommunikation. Wichtig sobald Vertrieb und mehrere Kundenkontakte zu koordinieren sind.

Rechtliche Anforderungen

  • CRM-Daten sind personenbezogene Daten, ein Verarbeitungsverzeichnis ist nötig.
  • Datenschutzerklärung muss die CRM-Nutzung abdecken.
  • Newsletter-Funktionen erfordern Double-Opt-In und dokumentierte Einwilligung.
  • Datenübermittlung an E-Mail-Marketing-Tools braucht AVV oder eigene Einwilligung.
  • Auskunfts- und Löschansprüche der Kontakte müssen erfüllbar sein.
Beachten: EU-gehostete Lösung bevorzugen oder EU-Datenhaltung erzwingen. AVV mit dem Anbieter abschließen.
OSS: SuiteCRM, Odoo CRM oder Twenty CRM als selbst gehostete Alternativen.
5

Backup & Datensicherung

Kritisch

Datenverlust ist meistens nicht das Ergebnis eines gezielten Angriffs, sondern eines kaputten Laufwerks, einer versehentlich gelöschten Datei oder einer Ransomware-Verschlüsselung. Backups sind die einzige verlässliche Antwort darauf.

Rechtliche Anforderungen

  • Backups mit personenbezogenen Daten unterliegen der DSGVO, sie sind genauso schützenswert wie Originaldaten.
  • AVV mit Backup-Cloud-Anbieter erforderlich.
  • Bei Drittland-Backup (z. B. AWS US): Standardvertragsklauseln notwendig.
  • Backups müssen nach Ablauf der Aufbewahrungsfrist (7 Jahre) nachweisbar gelöscht werden können.
Beachten: 3-2-1-Regel: 3 Kopien, 2 verschiedene Medien, 1 Offsite-Backup. Backups regelmäßig testen!
OSS: Restic oder BorgBackup für verschlüsselte Offsite-Backups. Proxmox Backup Server für VM-Backups.
6

Identity & Access Management (IAM)

Wichtig

Wer hat Zugriff auf was, und wer hat ihn noch, obwohl er schon weg ist? Darum geht es. Ab zwei Mitarbeitern sollte man das nicht mehr ad hoc regeln.

Rechtliche Anforderungen

  • DSGVO Art. 32 fordert technische Zugriffsschutzmaßnahmen.
  • Need-to-know-Prinzip: Mitarbeiter erhalten nur die Rechte, die sie für ihre Tätigkeit brauchen.
  • MFA wird nach NIS2 und DSGVO-Praxis immer stärker erwartet.
  • Zugriffslog-Protokollierung empfohlen (Forensik bei Vorfällen).
Beachten: MFA für alle externen Dienste aktivieren. Beim Mitarbeiteraustritt sofort alle Zugänge deaktivieren.
OSS: Keycloak als zentraler Identity Provider (OpenID Connect, SAML). FreeIPA für Linux-Umgebungen.
7

Endpoint-Security (Virenschutz / EDR)

Kritisch

Ransomware trifft KMUs häufiger als Konzerne, weil der Aufwand für Angreifer gering ist und die Schutzmaßnahmen oft fehlen. Windows Defender reicht für viele Szenarien, solange er aktuell ist.

Rechtliche Anforderungen

  • DSGVO Art. 32: 'angemessene technische Maßnahmen' verlangen. Virenschutz gehört dazu.
  • Für Gesundheitsdaten oder besondere Kategorien: erhöhte Schutzpflichten.
  • Mangelnder Schutz kann bei einem Datenschutzvorfall als Fahrlässigkeit gewertet werden.
Beachten: Regelmäßige Updates sind wichtiger als die Wahl des Tools. Windows Defender ist bei aktuellen Windows-Versionen ein valider Grundschutz.
OSS: ClamAV (Linux-Server), Windows Defender (integriert in Windows 10/11). Wazuh als Open-Source-EDR/SIEM.
8

VPN / Sicherer Fernzugriff

Wichtig

Verschlüsselter Fernzugriff auf Firmennetzwerk und interne Dienste aus dem Homeoffice oder unterwegs. Absicherung mobiler Arbeitsplätze.

Rechtliche Anforderungen

  • DSGVO fordert Schutz personenbezogener Daten auch bei Fernzugriff.
  • VPN-Server sollten in der EU betrieben werden.
  • VPN-Protokolle können als Zugriffsnachweis dienen.
Beachten: VPN ersetzt keine anderen Sicherheitsmaßnahmen (MFA, Endpoint-Security). WireGuard ist moderner und performanter als OpenVPN.
OSS: WireGuard (nativ in Linux-Kernel), OpenVPN. Headscale als self-hosted Tailscale-Alternative.
9

Office & Collaboration

Kritisch

E-Mail-Client, Textverarbeitung, Tabellenkalkulation, Präsentationen, gemeinsame Dateiablage, Kalender, Videokonferenzen. Kernwerkzeuge für Teamarbeit.

Rechtliche Anforderungen

  • Betriebsdaten in Cloud-Diensten (Google, Microsoft) müssen DSGVO-konform verarbeitet werden.
  • EU-Datenregion-Option bei Google Workspace und Microsoft 365 aktivieren.
  • Dokumente unterliegen der 7-Jahres-Archivierungspflicht, soweit geschäftsrelevant.
Beachten: Klare Ablagestruktur und Zugriffsrechte festlegen. Regelmäßige Backups der Cloud-Ablage: nicht vertrauen, sondern sichern.
OSS: Nextcloud für Dateiablage + Kalender + Videokonferenzen. OnlyOffice oder Collabora Online als Browser-Office.
10

Zahlungsabwicklung (Payment)

Situativ

Online-Bezahlungen per Kreditkarte, SEPA, PayPal, EPS. Voraussetzung für jeden Webshop oder Online-Service-Verkauf.

Rechtliche Anforderungen

  • PSD2: Starke Kundenauthentifizierung (2-Faktor) bei Online-Zahlungen Pflicht.
  • PCI-DSS: Kreditkartendaten dürfen nicht auf eigenen Servern gespeichert werden.
  • AVV mit dem Payment-Dienstleister abschließen.
  • Umsatzsteuerausweis auf Rechnungen nach UStG verpflichtend.
Beachten: Niemals Kartendaten selbst verarbeiten. Stets tokenisierte Zahlungsanbieter nutzen. Rückbuchungsrisiko (Chargeback) einplanen.
OSS: Stripe (DE-registriert, DSGVO-konformer AVV vorhanden) oder Payrexx (Schweizer Anbieter). Kill Bill als Open-Source-Subscription-Engine.
11

E-Rechnung (PEPPOL / XRechnung)

Situativ

Strukturiertes elektronisches Rechnungsformat für Kunden, insbesondere öffentliche Auftraggeber. Ab 2025 Pflicht für B2G-Rechnungen.

Rechtliche Anforderungen

  • EU-Richtlinie 2014/55/EU und österreichische Umsetzung: E-Rechnung an öffentliche Hand im PEPPOL-Format.
  • Übermittlung über das PEPPOL-Netzwerk oder das Portal der Bundesbeschaffung GmbH.
  • 7-Jahres-Archivierung auch für E-Rechnungen.
  • Im B2B-Bereich freiwillig (Einwilligung des Empfängers nötig).
Beachten: Prüfen, ob die eigene Buchhaltungssoftware PEPPOL-Export unterstützt. Bei häufigen B2G-Rechnungen unbedingt integrieren.
OSS: Mustang (Java-Bibliothek), Order-X. Odoo unterstützt PEPPOL nativ.
12

Revisionssichere Archivierung

Kritisch

Langfristige, manipulationssichere Speicherung aller relevanten Geschäftsdokumente: Rechnungen, Verträge, Buchungen, Geschäftsbriefe.

Rechtliche Anforderungen

  • BAO § 132: 7 Jahre Mindestaufbewahrung, beginnend nach Ablauf des Kalenderjahres.
  • Archiv muss WORM-Prinzip erfüllen (Write Once, Read Many), keine nachträglichen Änderungen.
  • Jederzeit lesbar und vollständig reproduzierbar.
  • Gescannte Papierbelege zulässig, wenn Echtheit nachweisbar.
Beachten: Nicht in einfachen Netzlaufwerken archivieren, da Dateien verändert oder gelöscht werden können. Dedizierte Archivlösungen nutzen.
OSS: Paperless-ngx für revisionssichere Dokumentenarchivierung. Immutables S3 (z. B. MinIO) mit Object Lock.
13

Logging & Monitoring

Situativ

Erfassung von Systemereignissen, Zugriffen, Fehlern und Sicherheitsvorfällen. Basis für Fehlersuche, Audit-Trails und Forensik.

Rechtliche Anforderungen

  • Keine direkte gesetzliche Pflicht für alle, aber DSGVO Art. 33 (Dokumentation von Datenpannen) setzt Logs voraus.
  • Für NIS2-Pflichtige: Logs zur Vorfallsanalyse und Incident-Reporting (72h) nötig.
  • Logfiles mit personenbezogenen Daten (IP-Adressen, Usernamen) unterliegen DSGVO.
  • Empfohlene Aufbewahrung: 1–3 Jahre; anschließend löschen.
Beachten: Logs zentral sammeln und vor Manipulation schützen. Bei wachsendem Betrieb frühzeitig ein SIEM einführen.
OSS: Grafana + Loki für Log-Aggregation. Wazuh als SIEM/EDR-Kombination. Graylog als zentraler Log-Server.

Priorität für Neugründungen

Tag 1: E-Mail mit Firmen-Domain, Website mit Impressum, Backup einrichten. CRM und IAM brauchen Sie erst, wenn der Betrieb läuft. Logging ist das Letzte auf der Liste.

Welche Tools passen zu Ihrem KMU?

Sagen Sie uns, wie Ihr Unternehmen aufgestellt ist. Wir empfehlen, was passt, ohne Schnickschnack.

Kostenloses Erstgespräch
Rechtlicher RahmenLösungen & Kosten