facebook-pixel
L
Lunyb

Datenschutzgesetz Österreich Erklärt: Der Vollständige Leitfaden 2026

L
Lunyb Sicherheitsteam
··8 min read

Das österreichische Datenschutzgesetz (DSG) regelt gemeinsam mit der europäischen Datenschutz-Grundverordnung (DSGVO) den Umgang mit personenbezogenen Daten in Österreich. Für Unternehmen, Vereine und Privatpersonen ist das Verständnis dieser Regelungen entscheidend – sowohl zum Schutz der eigenen Rechte als auch zur Vermeidung empfindlicher Strafen.

In diesem umfassenden Leitfaden erklären wir Ihnen, was das Datenschutzgesetz Österreich konkret regelt, welche Rechte Sie als betroffene Person haben, welche Pflichten für Verantwortliche gelten und wie Sie sich rechtskonform verhalten.

Was ist das Datenschutzgesetz Österreich?

Das Datenschutzgesetz (DSG) ist das österreichische Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Es ergänzt die DSGVO und regelt jene Bereiche, die der europäische Gesetzgeber den Mitgliedstaaten zur eigenen Ausgestaltung überlassen hat.

Das DSG in seiner aktuellen Fassung ist seit dem 25. Mai 2018 in Kraft – zeitgleich mit der DSGVO. Es wurde mehrfach novelliert, um Anpassungen an die Praxis und an EU-Rechtsprechung zu ermöglichen.

Historischer Hintergrund

Österreich war eines der ersten Länder Europas, das ein umfassendes Datenschutzrecht einführte. Bereits 1978 trat das erste Datenschutzgesetz in Kraft. Besonders bemerkenswert: Das Recht auf Datenschutz ist in Österreich gemäß § 1 DSG als Grundrecht im Verfassungsrang verankert – eine Besonderheit im europäischen Vergleich.

Verhältnis zur DSGVO

Die DSGVO gilt unmittelbar in allen EU-Mitgliedstaaten. Das österreichische DSG ergänzt sie in folgenden Bereichen:

  • Bildverarbeitung (Videoüberwachung)
  • Datenverarbeitung im Beschäftigungskontext
  • Datenschutz im Strafverfahren
  • Organisation der Datenschutzbehörde
  • Verfahrensvorschriften und Sanktionen

Die wichtigsten Grundsätze des Datenschutzrechts

Jede Verarbeitung personenbezogener Daten in Österreich muss bestimmten Grundsätzen entsprechen. Diese ergeben sich aus Artikel 5 DSGVO und gelten auch unter dem DSG:

  1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz – Die Verarbeitung muss auf einer Rechtsgrundlage beruhen und für Betroffene nachvollziehbar sein.
  2. Zweckbindung – Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden.
  3. Datenminimierung – Es dürfen nur jene Daten verarbeitet werden, die für den Zweck erforderlich sind.
  4. Richtigkeit – Daten müssen sachlich richtig und auf dem neuesten Stand sein.
  5. Speicherbegrenzung – Daten dürfen nur so lange gespeichert werden, wie es nötig ist.
  6. Integrität und Vertraulichkeit – Daten müssen durch geeignete technische und organisatorische Maßnahmen geschützt werden.
  7. Rechenschaftspflicht – Verantwortliche müssen die Einhaltung dieser Grundsätze nachweisen können.

Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu zählen unter anderem:

  • Name, Adresse, Geburtsdatum
  • E-Mail-Adresse und Telefonnummer
  • IP-Adressen und Cookie-Identifikatoren
  • Standortdaten
  • Sozialversicherungsnummer
  • Kontodaten
  • Fotos und Videoaufnahmen

Besondere Kategorien personenbezogener Daten

Bestimmte Datenkategorien gelten als besonders schützenswert und unterliegen strengeren Regeln (Art. 9 DSGVO):

  • Gesundheitsdaten
  • Daten zur rassischen oder ethnischen Herkunft
  • Politische Meinungen
  • Religiöse oder weltanschauliche Überzeugungen
  • Gewerkschaftszugehörigkeit
  • Genetische und biometrische Daten
  • Daten zum Sexualleben oder zur sexuellen Orientierung

Ihre Rechte als betroffene Person

Das DSG und die DSGVO gewähren Ihnen umfangreiche Rechte gegenüber Stellen, die Ihre Daten verarbeiten. Diese Rechte können Sie direkt beim Verantwortlichen oder bei der österreichischen Datenschutzbehörde geltend machen.

RechtRechtsgrundlageBedeutung
AuskunftsrechtArt. 15 DSGVOSie können erfahren, welche Daten über Sie gespeichert sind.
Recht auf BerichtigungArt. 16 DSGVOFalsche Daten müssen korrigiert werden.
Recht auf LöschungArt. 17 DSGVO"Recht auf Vergessenwerden" – Daten müssen unter bestimmten Voraussetzungen gelöscht werden.
Einschränkung der VerarbeitungArt. 18 DSGVODie Verarbeitung kann eingeschränkt werden, z. B. bei Streit über Richtigkeit.
DatenübertragbarkeitArt. 20 DSGVOSie können Ihre Daten in einem strukturierten Format erhalten.
WiderspruchsrechtArt. 21 DSGVOWiderspruch gegen Verarbeitung, insbesondere für Direktwerbung.
BeschwerderechtArt. 77 DSGVOBeschwerde bei der Datenschutzbehörde möglich.

Wie Sie Ihre Rechte ausüben

Um Ihre Rechte geltend zu machen, gehen Sie wie folgt vor:

  1. Identifizieren Sie den Verantwortlichen (z. B. das Unternehmen oder die Behörde).
  2. Senden Sie einen schriftlichen Antrag – idealerweise per E-Mail an die in der Datenschutzerklärung angegebene Adresse.
  3. Bezeichnen Sie klar, welches Recht Sie ausüben möchten (z. B. Auskunft, Löschung).
  4. Weisen Sie sich gegebenenfalls als die betroffene Person aus.
  5. Der Verantwortliche muss innerhalb von einem Monat reagieren.

Mehr Hintergrund dazu, welche Informationen Tech-Konzerne über Sie sammeln, finden Sie in unserem Artikel Was Google über Sie weiß.

Pflichten für Unternehmen und Verantwortliche

Wer personenbezogene Daten verarbeitet, gilt als "Verantwortlicher" und unterliegt zahlreichen Pflichten. Diese gelten unabhängig von der Unternehmensgröße – auch Einzelunternehmer und Vereine sind betroffen.

1. Verzeichnis von Verarbeitungstätigkeiten

Jedes Unternehmen muss ein Verzeichnis aller Verarbeitungstätigkeiten führen (Art. 30 DSGVO). Dieses enthält Angaben zu Zwecken, Datenkategorien, Empfängern und Löschfristen.

2. Datenschutzerklärung

Auf Websites, in Apps und bei der Datenerhebung muss eine transparente Datenschutzerklärung bereitgestellt werden, die die Informationspflichten nach Art. 13 und 14 DSGVO erfüllt.

3. Technische und organisatorische Maßnahmen (TOMs)

Verantwortliche müssen geeignete Sicherheitsmaßnahmen implementieren:

  • Verschlüsselung von Datenübertragungen (TLS/HTTPS)
  • Zugangsbeschränkungen und Berechtigungskonzepte
  • Regelmäßige Backups und Wiederherstellungstests
  • Schulung der Mitarbeiter
  • Schutz vor Malware und Phishing

4. Meldepflicht bei Datenschutzverletzungen

Kommt es zu einem Datenleck, muss dies binnen 72 Stunden der Datenschutzbehörde gemeldet werden. Bei hohem Risiko für die Betroffenen sind diese ebenfalls zu informieren.

5. Datenschutzbeauftragter

Ein Datenschutzbeauftragter (DSB) muss bestellt werden, wenn:

  • die Kerntätigkeit in umfangreicher Verarbeitung sensibler Daten besteht,
  • eine systematische Überwachung von Betroffenen stattfindet, oder
  • es sich um eine Behörde handelt.

6. Datenschutz-Folgenabschätzung (DSFA)

Bei voraussichtlich hohem Risiko für Betroffene ist eine DSFA durchzuführen, etwa bei Videoüberwachung großer Bereiche oder Profiling.

Die österreichische Datenschutzbehörde (DSB)

Die Datenschutzbehörde mit Sitz in Wien ist die zentrale Aufsichtsstelle für Datenschutzfragen in Österreich. Sie ist mit weitreichenden Befugnissen ausgestattet:

  • Bearbeitung von Beschwerden Betroffener
  • Durchführung von Prüfverfahren
  • Verhängung von Geldbußen
  • Anordnung von Verarbeitungsverboten
  • Beratung von Verantwortlichen

Beschwerde einreichen

Eine Beschwerde bei der Datenschutzbehörde ist kostenlos und kann formfrei eingereicht werden – schriftlich, per E-Mail oder elektronisch über das Formular auf der Website der DSB. Sie sollten zuvor in der Regel den Verantwortlichen kontaktiert haben.

Strafen und Sanktionen nach DSG und DSGVO

Verstöße gegen das Datenschutzrecht können empfindliche Geldbußen nach sich ziehen:

VerstoßMaximale Geldbuße
Leichtere Verstöße (z. B. Verzeichnis fehlt)Bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes
Schwere Verstöße (z. B. Verletzung der Grundsätze)Bis 20 Mio. € oder 4 % des weltweiten Jahresumsatzes
Verstöße gegen Anordnungen der DSBBis 20 Mio. € oder 4 % des weltweiten Jahresumsatzes

Eine österreichische Besonderheit: § 11 DSG sieht den Grundsatz "Beraten statt Strafen" für Erstverstöße kleinerer Unternehmen vor – die DSB kann eine Verwarnung statt einer Strafe aussprechen.

Besondere Themen unter dem österreichischen DSG

Videoüberwachung (Bildverarbeitung)

Die §§ 12 und 13 DSG regeln die Bildverarbeitung detailliert. Wichtige Punkte:

  • Hinweisschilder müssen vor dem überwachten Bereich angebracht werden.
  • Aufnahmen sind grundsätzlich nach 72 Stunden zu löschen.
  • Tonaufzeichnungen sind nur eingeschränkt zulässig.
  • Eine Speicherung darüber hinaus muss begründet sein.

Datenschutz am Arbeitsplatz

Im Beschäftigungskontext gelten zusätzliche Regelungen. Kontrollmaßnahmen, die die Menschenwürde berühren, bedürfen der Zustimmung des Betriebsrats oder – wo nicht vorhanden – der einzelnen Arbeitnehmer.

Cookies und Tracking

Tracking-Cookies und vergleichbare Technologien benötigen in Österreich die ausdrückliche Einwilligung der Nutzer (§ 165 Abs. 3 TKG 2021). Sogenannte "Cookie-Banner" müssen eine echte Wahlmöglichkeit bieten – die Ablehnung muss ebenso einfach sein wie die Zustimmung.

Praktische Tipps für mehr Datenschutz im Alltag

Datenschutz ist nicht nur Sache von Unternehmen – auch als Privatperson können Sie aktiv zum Schutz Ihrer Daten beitragen:

  1. Nutzen Sie datenschutzfreundliche Browser, die Tracking blockieren. Einen Überblick finden Sie in unserem Vergleich der besten datenschutzfreundlichen Browser 2026.
  2. Sichere Links teilen: Beim Versand von Links sollten Sie Tracking-Parameter entfernen. Mit einem datenschutzfreundlichen Link-Shortener wie Lunyb teilen Sie Links sicher, ohne Empfänger einem Tracking-Ökosystem auszusetzen.
  3. Phishing erkennen: Lernen Sie, betrügerische Nachrichten zu identifizieren. Unser Phishing-Leitfaden hilft dabei.
  4. Betrug melden: Wenn Sie Opfer eines Betrugsversuchs werden, melden Sie diesen. Eine Anleitung finden Sie in unserem Artikel Betrugsnummer melden.
  5. Aktivieren Sie verschlüsseltes DNS (DNS-over-HTTPS oder DNS-over-TLS) in Ihrem Browser oder Betriebssystem.
  6. Verwenden Sie starke, einzigartige Passwörter und einen Passwort-Manager.
  7. Aktivieren Sie Zwei-Faktor-Authentifizierung bei allen wichtigen Konten.

Datenschutz in der Praxis: Beispiele

Beispiel 1: Vereinsregister

Ein Sportverein in Wien verarbeitet Mitgliedsdaten. Auch ohne kommerzielle Tätigkeit muss der Verein eine Datenschutzerklärung führen, ein Verarbeitungsverzeichnis erstellen und Mitglieder über ihre Rechte informieren.

Beispiel 2: Online-Shop

Ein österreichischer Online-Händler muss Käuferdaten nach den Vorgaben der DSGVO verarbeiten, eine Cookie-Einwilligung gemäß TKG einholen und bei der Verarbeitung durch externe Dienstleister (z. B. Versanddienste) Auftragsverarbeitungsverträge abschließen.

Beispiel 3: Newsletter

Wer Newsletter versendet, benötigt das Double-Opt-in-Verfahren: Der Empfänger trägt sich ein und bestätigt seine Anmeldung über einen Link. Ohne diese Bestätigung ist der Versand unzulässig.

FAQ – Häufig gestellte Fragen

Gilt das DSG auch für Privatpersonen?

Für rein persönliche oder familiäre Tätigkeiten (z. B. private Adressbücher) gilt die sogenannte Haushaltsausnahme. Sobald jedoch eine Verarbeitung über den privaten Rahmen hinausgeht – etwa durch öffentliche Veröffentlichung auf Social Media in nicht privatem Kontext – greift das Datenschutzrecht.

Wie lange habe ich Zeit, auf einen Auskunftsantrag zu reagieren?

Als Verantwortlicher müssen Sie binnen eines Monats nach Eingang des Antrags antworten. Bei besonders komplexen Anfragen kann die Frist um zwei weitere Monate verlängert werden, was dem Betroffenen aber mitzuteilen ist.

Muss jeder Verein einen Datenschutzbeauftragten bestellen?

Nein. Eine Pflicht besteht nur, wenn die Kerntätigkeit umfangreiche Verarbeitung sensibler Daten umfasst oder eine systematische Überwachung erfolgt. Die meisten kleinen Vereine sind nicht verpflichtet, dennoch ist eine freiwillige Bestellung sinnvoll.

Was tun bei einem Datenleck?

Als Verantwortlicher müssen Sie die Datenschutzbehörde binnen 72 Stunden informieren, sofern ein Risiko für Betroffene besteht. Bei hohem Risiko sind auch die Betroffenen unverzüglich zu benachrichtigen. Dokumentieren Sie den Vorfall lückenlos.

Kann ich Schadenersatz nach DSGVO-Verstoß verlangen?

Ja. Artikel 82 DSGVO gewährt einen Anspruch auf materiellen und immateriellen Schadenersatz. Österreichische Gerichte haben in den letzten Jahren mehrfach Schadenersätze bei unrechtmäßiger Datenverarbeitung zugesprochen, oft im niedrigen vierstelligen Bereich.

Fazit

Das österreichische Datenschutzgesetz bietet gemeinsam mit der DSGVO einen umfassenden Rahmen zum Schutz personenbezogener Daten. Für Bürger bedeutet es starke Rechte und Kontrollmöglichkeiten, für Unternehmen klar definierte Pflichten und Verantwortlichkeiten.

Wer die Grundsätze versteht, regelmäßig seine Prozesse überprüft und Datenschutz von Anfang an mitdenkt ("Privacy by Design"), erfüllt nicht nur gesetzliche Anforderungen, sondern stärkt auch das Vertrauen von Kunden, Mitarbeitern und Geschäftspartnern. Datenschutz ist kein lästiges Übel, sondern ein Wettbewerbsvorteil im digitalen Zeitalter.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles

DSGVO in Österreich: Ihre Rechte als Betroffene 2026

Die DSGVO gibt Ihnen in Österreich umfassende Rechte: Auskunft, Löschung, Widerspruch und mehr. Dieser Leitfaden 2026 erklärt verständlich, welche Ansprüche Sie haben und wie Sie diese Schritt für Schritt durchsetzen – inklusive Musterformulierungen und FAQ.

8 min

Österreichische Datenschutzbehörde: Beschwerde Einreichen 2026

Die Österreichische Datenschutzbehörde (DSB) ist Ihre zentrale Anlaufstelle bei Datenschutzverletzungen. Erfahren Sie Schritt für Schritt, wie Sie eine wirksame Beschwerde nach DSGVO einreichen, welche Fristen gelten und welche Ergebnisse Sie realistisch erwarten können.

8 min

KI-Gesetz der EU: Was Sich 2026 Ändert – Der Komplette Leitfaden

Das EU-KI-Gesetz verändert grundlegend den Einsatz Künstlicher Intelligenz in Europa. Erfahren Sie, welche Risikoklassen gelten, welche Pflichten Unternehmen erfüllen müssen und welche Rechte Bürger künftig haben. Ein umfassender Leitfaden zum AI Act mit allen Fristen bis 2027.

8 min

DSG: Das Schweizer Datenschutzgesetz einfach erklärt (2026)

Das revidierte Schweizer Datenschutzgesetz (DSG) gilt seit September 2023 und bringt zahlreiche neue Pflichten für Unternehmen. Dieser Leitfaden erklärt verständlich die Grundsätze, Unterschiede zur DSGVO, Bussen und die praktische Umsetzung im Unternehmen.

9 min