facebook-pixel

Datenschutzgesetz Österreich Erklärt: Der Komplette Leitfaden 2026

L
Lunyb Sicherheitsteam
··7 min read

Das österreichische Datenschutzgesetz (DSG) regelt gemeinsam mit der europäischen Datenschutz-Grundverordnung (DSGVO) den Umgang mit personenbezogenen Daten in Österreich. Für Unternehmen, Vereine und Privatpersonen ist das Verständnis dieser Regelungen essenziell, um rechtssicher zu handeln und hohe Bußgelder zu vermeiden. Dieser Leitfaden erklärt Ihnen die wichtigsten Aspekte des Datenschutzgesetzes in Österreich verständlich und praxisnah.

Was ist das Datenschutzgesetz in Österreich?

Das Datenschutzgesetz (DSG) ist das nationale österreichische Gesetz, das die DSGVO auf nationaler Ebene ergänzt und konkretisiert. Es trat in seiner aktuellen Fassung am 25. Mai 2018 gemeinsam mit der DSGVO in Kraft und wurde seither mehrfach angepasst.

Das DSG regelt Bereiche, die die DSGVO ausdrücklich der nationalen Gesetzgebung überlässt – etwa das Verhältnis zum Grundrecht auf Datenschutz nach § 1 DSG, die Bildverarbeitung, Videoüberwachung und die datenschutzrechtliche Aufsicht in Österreich. Zuständige Aufsichtsbehörde ist die österreichische Datenschutzbehörde (DSB) mit Sitz in Wien.

Rechtsgrundlagen im Überblick

  • DSGVO (Verordnung EU 2016/679): Direkt anwendbares EU-Recht
  • DSG (Datenschutzgesetz): Nationale Umsetzung und Ergänzung
  • TKG 2021 (Telekommunikationsgesetz): Cookie-Regelungen und elektronische Kommunikation
  • ArbVG (Arbeitsverfassungsgesetz): Datenschutz am Arbeitsplatz

Das Grundrecht auf Datenschutz in Österreich

Österreich ist eines der wenigen EU-Länder, das ein ausdrückliches Grundrecht auf Datenschutz im Verfassungsrang verankert hat. § 1 DSG garantiert jedem Menschen das Recht auf Geheimhaltung personenbezogener Daten, soweit ein schutzwürdiges Interesse daran besteht.

Dieses Grundrecht umfasst drei zentrale Ansprüche:

  1. Recht auf Geheimhaltung: Schutz vor unbefugter Verarbeitung
  2. Recht auf Auskunft: Wissen, wer welche Daten über einen verarbeitet
  3. Recht auf Richtigstellung oder Löschung: Korrektur falscher oder unrechtmäßig verarbeiteter Daten

DSGVO und DSG: Wie greifen sie ineinander?

Die DSGVO gilt als europäische Verordnung unmittelbar in allen Mitgliedstaaten, einschließlich Österreich. Das DSG konkretisiert nationale Öffnungsklauseln und regelt Bereiche, die die DSGVO den Mitgliedstaaten überlässt.

AspektDSGVODSG Österreich
GeltungsbereichGesamte EUNur Österreich
BußgelderBis 20 Mio. € oder 4% des UmsatzesErgänzende Strafbestimmungen
VideoüberwachungAllgemeine RegelnDetaillierte Vorgaben (§§ 12–13 DSG)
AufsichtsbehördeEDSA-KoordinationDatenschutzbehörde (DSB)
GrundrechtCharta der Grundrechte§ 1 DSG (Verfassungsrang)

Wer die DSGVO in ihren Grundzügen verstehen möchte, findet in unserem Beitrag DSGVO einfach erklärt 2026 eine ausführliche Einführung.

Pflichten für Unternehmen in Österreich

Jedes Unternehmen, das personenbezogene Daten verarbeitet, unterliegt umfangreichen Pflichten. Diese gelten unabhängig von der Unternehmensgröße – vom Einzelunternehmen bis zum Konzern.

1. Verzeichnis von Verarbeitungstätigkeiten

Nach Art. 30 DSGVO müssen Unternehmen ein Verarbeitungsverzeichnis führen. Darin dokumentieren Sie:

  • Zweck der Datenverarbeitung
  • Kategorien betroffener Personen und Daten
  • Empfänger der Daten
  • Löschfristen
  • Technische und organisatorische Maßnahmen (TOM)

2. Rechtsgrundlage prüfen

Jede Datenverarbeitung benötigt eine Rechtsgrundlage nach Art. 6 DSGVO – etwa Einwilligung, Vertragserfüllung, gesetzliche Verpflichtung oder berechtigtes Interesse.

3. Informationspflichten erfüllen

Betroffene Personen müssen transparent informiert werden – meist durch eine Datenschutzerklärung auf der Website. Diese muss klar, verständlich und leicht zugänglich sein.

4. Datenschutzbeauftragten bestellen

Ein Datenschutzbeauftragter (DSB) ist verpflichtend, wenn:

  • Die Kernaktivität in umfangreicher regelmäßiger Überwachung besteht
  • Umfangreich besondere Datenkategorien verarbeitet werden
  • Es sich um eine Behörde handelt

5. Technische und organisatorische Maßnahmen

Unternehmen müssen geeignete Schutzmaßnahmen umsetzen – etwa Verschlüsselung, Zugriffskontrollen, Backup-Konzepte und Mitarbeiterschulungen.

Rechte der Betroffenen nach DSG und DSGVO

Betroffene Personen haben umfangreiche Rechte, die Unternehmen innerhalb eines Monats erfüllen müssen. Verstöße dagegen führen häufig zu Beschwerden bei der Datenschutzbehörde.

Die wichtigsten Betroffenenrechte

  1. Auskunftsrecht (Art. 15): Welche Daten werden verarbeitet?
  2. Berichtigung (Art. 16): Falsche Daten müssen korrigiert werden
  3. Löschung / "Recht auf Vergessenwerden" (Art. 17)
  4. Einschränkung der Verarbeitung (Art. 18)
  5. Datenübertragbarkeit (Art. 20): Daten in einem strukturierten Format erhalten
  6. Widerspruchsrecht (Art. 21)
  7. Widerruf der Einwilligung jederzeit möglich

Videoüberwachung nach österreichischem DSG

Die Videoüberwachung ist in Österreich besonders detailliert geregelt. Die §§ 12 und 13 DSG legen strenge Voraussetzungen fest, die über die allgemeinen DSGVO-Regelungen hinausgehen.

Zulässigkeitsvoraussetzungen

  • Es muss ein konkreter Anlass zum Schutz von Personen oder Sachen bestehen
  • Weniger eingreifende Mittel sind nicht ausreichend
  • Öffentlich zugängliche Bereiche dürfen nur in Ausnahmefällen erfasst werden
  • Kennzeichnungspflicht durch gut sichtbare Hinweisschilder
  • Löschfrist: grundsätzlich 72 Stunden, längere Speicherung nur mit Begründung

Bußgelder und Sanktionen

Verstöße gegen das Datenschutzrecht können teuer werden. Die österreichische Datenschutzbehörde hat in den letzten Jahren mehrfach hohe Strafen verhängt.

VerstoßMaximales Bußgeld
Formelle Verstöße (z. B. fehlendes Verarbeitungsverzeichnis)10 Mio. € oder 2% des Jahresumsatzes
Materielle Verstöße (z. B. Missachtung von Betroffenenrechten)20 Mio. € oder 4% des Jahresumsatzes
Verstöße nach DSGBis 50.000 € (Verwaltungsstrafe)

Bekannte Fälle in Österreich

  • Österreichische Post AG: 9,5 Mio. € wegen unrechtmäßiger Verarbeitung von Parteiaffinitäten (später reduziert)
  • REWE International AG: 8 Mio. € wegen Datenschutzverstößen bei jö-Bonusclub
  • Diverse KMU: Bußgelder zwischen 500 und 50.000 € wegen fehlerhafter Datenschutzerklärungen oder Videoüberwachung

Cookies und Tracking in Österreich

Die Cookie-Regelungen ergeben sich aus § 165 TKG 2021 in Verbindung mit der DSGVO. Für nicht technisch notwendige Cookies ist eine aktive Einwilligung erforderlich – Opt-out reicht nicht aus.

Anforderungen an Cookie-Banner

  1. Ablehnen muss genauso einfach sein wie Zustimmen
  2. Keine voreingestellten Häkchen bei nicht notwendigen Cookies
  3. Transparente Information über Zwecke und Empfänger
  4. Jederzeitiger Widerruf ermöglichen
  5. Keine Cookie-Walls, die den Zugang erpressen

Datenschutz am Arbeitsplatz

Der Arbeitgeber darf personenbezogene Daten von Beschäftigten nur im notwendigen Umfang verarbeiten. Kontrollmaßnahmen wie E-Mail-Überwachung, Zeiterfassung oder GPS-Tracking benötigen besondere Rechtfertigung und in vielen Fällen eine Betriebsvereinbarung nach § 96 ArbVG.

Typische Fragen aus der Praxis

  • Private Internetnutzung überwachen: Nur mit klarer Regelung und Verhältnismäßigkeit
  • Mitarbeiterfotos veröffentlichen: Einwilligung erforderlich, jederzeit widerrufbar
  • Bewerberdaten: Nach Absage grundsätzlich innerhalb von 6 Monaten löschen

Praktische Umsetzung: Datenschutz im Unternehmen

Datenschutz ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Folgende Schritte helfen bei der Umsetzung:

  1. Bestandsaufnahme: Welche Daten werden wo verarbeitet?
  2. Risikoanalyse: Wo bestehen Schwachstellen?
  3. Dokumentation: Verarbeitungsverzeichnis, TOM, Verträge
  4. Prozesse etablieren: Umgang mit Betroffenenanfragen, Datenpannen
  5. Schulung: Regelmäßige Sensibilisierung aller Mitarbeitenden
  6. Überprüfung: Jährliche Audits und Anpassungen

Auch scheinbar harmlose Tools wie URL-Kürzer erfassen häufig Nutzerdaten. Wer Wert auf datenschutzkonforme Lösungen legt, sollte auf transparente Anbieter setzen. Lunyb bietet beispielsweise einen datenschutzfreundlichen URL-Kürzungsdienst, der ohne exzessives Tracking auskommt – ein Detailvergleich findet sich in unserem Vergleich der URL-Kürzungsdienste 2026.

Neue Herausforderungen 2026: KI und Datenschutz

Mit dem Einsatz von Künstlicher Intelligenz entstehen neue datenschutzrechtliche Fragen. Der EU AI Act ergänzt die DSGVO um spezifische Regeln für KI-Systeme. Unternehmen müssen künftig auch bei automatisierten Entscheidungen besonders vorsichtig sein.

Details zu den aktuellen Entwicklungen finden Sie in unserem Artikel KI und Datenschutz 2026. Für den privaten Bereich empfehlen sich zudem Maßnahmen wie verschlüsselte Foto-Tresore, um sensible Inhalte zu schützen.

Datenschutzbehörde Österreich: So läuft eine Beschwerde ab

Betroffene können sich direkt bei der österreichischen Datenschutzbehörde (DSB) beschweren. Das Verfahren ist kostenlos und formlos möglich.

Ablauf einer Beschwerde

  1. Schriftliche Einreichung bei der DSB (auch online möglich)
  2. Vorprüfung durch die Behörde
  3. Anhörung des betroffenen Unternehmens
  4. Ermittlungen und ggf. Vor-Ort-Prüfung
  5. Bescheid mit Feststellung und ggf. Bußgeld
  6. Beschwerdemöglichkeit vor dem Bundesverwaltungsgericht

Datenpannen: Meldepflichten beachten

Eine Datenpanne (Data Breach) muss innerhalb von 72 Stunden nach Kenntnisnahme an die Datenschutzbehörde gemeldet werden. Bei hohem Risiko für Betroffene sind auch diese direkt zu informieren.

Typische Beispiele für Datenpannen

  • Hackerangriff mit Datenabfluss
  • Verlust eines Laptops oder USB-Sticks
  • Fehlversand von E-Mails mit personenbezogenen Daten
  • Fehlkonfigurierte Datenbanken im Internet

FAQ – Häufige Fragen zum Datenschutzgesetz Österreich

Gilt in Österreich die DSGVO oder das DSG?

Beide Regelwerke gelten parallel. Die DSGVO ist unmittelbar anwendbares EU-Recht, während das österreichische DSG nationale Öffnungsklauseln konkretisiert und spezifische Regelungen etwa zur Videoüberwachung, zum Grundrecht auf Datenschutz und zur Aufsichtsbehörde enthält.

Brauche ich als Einzelunternehmer einen Datenschutzbeauftragten?

In den meisten Fällen nicht. Ein Datenschutzbeauftragter ist nur verpflichtend, wenn Ihre Kerntätigkeit in umfangreicher regelmäßiger Überwachung besteht oder Sie im großen Umfang besondere Datenkategorien (z. B. Gesundheitsdaten) verarbeiten. Kleine Betriebe wie Handwerker oder Berater sind meist nicht betroffen.

Wie hoch sind die Bußgelder in Österreich tatsächlich?

Theoretisch bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes. In der Praxis liegen Bußgelder für KMU meist zwischen 500 und 50.000 Euro. Große Verfahren wie gegen die Österreichische Post oder REWE erreichen Millionenhöhe. Die Behörde berücksichtigt Schwere, Dauer und Kooperationsbereitschaft.

Muss meine Website einen Cookie-Banner haben?

Ja, sobald Sie nicht technisch notwendige Cookies wie Analyse- oder Marketing-Cookies einsetzen. Der Banner muss eine echte Wahl bieten – Ablehnen genauso einfach wie Zustimmen. Ohne Einwilligung dürfen solche Cookies nicht gesetzt werden.

Wie lange darf ich Kundendaten aufbewahren?

Die Speicherdauer richtet sich nach dem Zweck der Verarbeitung und gesetzlichen Aufbewahrungsfristen. Für Buchhaltungsunterlagen gelten 7 Jahre nach BAO, für Rechnungen gemäß UStG ebenfalls 7 Jahre. Nach Wegfall des Zwecks müssen personenbezogene Daten grundsätzlich gelöscht oder anonymisiert werden.

Fazit

Das Datenschutzgesetz Österreich bildet gemeinsam mit der DSGVO einen umfassenden Rechtsrahmen für den Umgang mit personenbezogenen Daten. Unternehmen, die die Anforderungen ernst nehmen, dokumentieren und schulen, schützen sich nicht nur vor Bußgeldern, sondern gewinnen auch das Vertrauen ihrer Kunden. Datenschutz ist kein Hindernis, sondern ein Wettbewerbsvorteil in einer zunehmend datengetriebenen Wirtschaft.

Nutzen Sie die kontinuierlichen Anpassungen des Rechtsrahmens – etwa durch KI-Regulierungen und neue Rechtsprechung – als Anlass, Ihre Prozesse regelmäßig zu überprüfen. So bleiben Sie rechtssicher und wettbewerbsfähig.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles