Datenschutzgesetz Österreich Erklärt: Der Komplette Leitfaden 2026
Das österreichische Datenschutzgesetz (DSG) regelt gemeinsam mit der europäischen Datenschutz-Grundverordnung (DSGVO) den Umgang mit personenbezogenen Daten in Österreich. Für Unternehmen, Vereine und Privatpersonen ist das Verständnis dieser Regelungen essenziell, um rechtssicher zu handeln und hohe Bußgelder zu vermeiden. Dieser Leitfaden erklärt Ihnen die wichtigsten Aspekte des Datenschutzgesetzes in Österreich verständlich und praxisnah.
Was ist das Datenschutzgesetz in Österreich?
Das Datenschutzgesetz (DSG) ist das nationale österreichische Gesetz, das die DSGVO auf nationaler Ebene ergänzt und konkretisiert. Es trat in seiner aktuellen Fassung am 25. Mai 2018 gemeinsam mit der DSGVO in Kraft und wurde seither mehrfach angepasst.
Das DSG regelt Bereiche, die die DSGVO ausdrücklich der nationalen Gesetzgebung überlässt – etwa das Verhältnis zum Grundrecht auf Datenschutz nach § 1 DSG, die Bildverarbeitung, Videoüberwachung und die datenschutzrechtliche Aufsicht in Österreich. Zuständige Aufsichtsbehörde ist die österreichische Datenschutzbehörde (DSB) mit Sitz in Wien.
Rechtsgrundlagen im Überblick
- DSGVO (Verordnung EU 2016/679): Direkt anwendbares EU-Recht
- DSG (Datenschutzgesetz): Nationale Umsetzung und Ergänzung
- TKG 2021 (Telekommunikationsgesetz): Cookie-Regelungen und elektronische Kommunikation
- ArbVG (Arbeitsverfassungsgesetz): Datenschutz am Arbeitsplatz
Das Grundrecht auf Datenschutz in Österreich
Österreich ist eines der wenigen EU-Länder, das ein ausdrückliches Grundrecht auf Datenschutz im Verfassungsrang verankert hat. § 1 DSG garantiert jedem Menschen das Recht auf Geheimhaltung personenbezogener Daten, soweit ein schutzwürdiges Interesse daran besteht.
Dieses Grundrecht umfasst drei zentrale Ansprüche:
- Recht auf Geheimhaltung: Schutz vor unbefugter Verarbeitung
- Recht auf Auskunft: Wissen, wer welche Daten über einen verarbeitet
- Recht auf Richtigstellung oder Löschung: Korrektur falscher oder unrechtmäßig verarbeiteter Daten
DSGVO und DSG: Wie greifen sie ineinander?
Die DSGVO gilt als europäische Verordnung unmittelbar in allen Mitgliedstaaten, einschließlich Österreich. Das DSG konkretisiert nationale Öffnungsklauseln und regelt Bereiche, die die DSGVO den Mitgliedstaaten überlässt.
| Aspekt | DSGVO | DSG Österreich |
|---|---|---|
| Geltungsbereich | Gesamte EU | Nur Österreich |
| Bußgelder | Bis 20 Mio. € oder 4% des Umsatzes | Ergänzende Strafbestimmungen |
| Videoüberwachung | Allgemeine Regeln | Detaillierte Vorgaben (§§ 12–13 DSG) |
| Aufsichtsbehörde | EDSA-Koordination | Datenschutzbehörde (DSB) |
| Grundrecht | Charta der Grundrechte | § 1 DSG (Verfassungsrang) |
Wer die DSGVO in ihren Grundzügen verstehen möchte, findet in unserem Beitrag DSGVO einfach erklärt 2026 eine ausführliche Einführung.
Pflichten für Unternehmen in Österreich
Jedes Unternehmen, das personenbezogene Daten verarbeitet, unterliegt umfangreichen Pflichten. Diese gelten unabhängig von der Unternehmensgröße – vom Einzelunternehmen bis zum Konzern.
1. Verzeichnis von Verarbeitungstätigkeiten
Nach Art. 30 DSGVO müssen Unternehmen ein Verarbeitungsverzeichnis führen. Darin dokumentieren Sie:
- Zweck der Datenverarbeitung
- Kategorien betroffener Personen und Daten
- Empfänger der Daten
- Löschfristen
- Technische und organisatorische Maßnahmen (TOM)
2. Rechtsgrundlage prüfen
Jede Datenverarbeitung benötigt eine Rechtsgrundlage nach Art. 6 DSGVO – etwa Einwilligung, Vertragserfüllung, gesetzliche Verpflichtung oder berechtigtes Interesse.
3. Informationspflichten erfüllen
Betroffene Personen müssen transparent informiert werden – meist durch eine Datenschutzerklärung auf der Website. Diese muss klar, verständlich und leicht zugänglich sein.
4. Datenschutzbeauftragten bestellen
Ein Datenschutzbeauftragter (DSB) ist verpflichtend, wenn:
- Die Kernaktivität in umfangreicher regelmäßiger Überwachung besteht
- Umfangreich besondere Datenkategorien verarbeitet werden
- Es sich um eine Behörde handelt
5. Technische und organisatorische Maßnahmen
Unternehmen müssen geeignete Schutzmaßnahmen umsetzen – etwa Verschlüsselung, Zugriffskontrollen, Backup-Konzepte und Mitarbeiterschulungen.
Rechte der Betroffenen nach DSG und DSGVO
Betroffene Personen haben umfangreiche Rechte, die Unternehmen innerhalb eines Monats erfüllen müssen. Verstöße dagegen führen häufig zu Beschwerden bei der Datenschutzbehörde.
Die wichtigsten Betroffenenrechte
- Auskunftsrecht (Art. 15): Welche Daten werden verarbeitet?
- Berichtigung (Art. 16): Falsche Daten müssen korrigiert werden
- Löschung / "Recht auf Vergessenwerden" (Art. 17)
- Einschränkung der Verarbeitung (Art. 18)
- Datenübertragbarkeit (Art. 20): Daten in einem strukturierten Format erhalten
- Widerspruchsrecht (Art. 21)
- Widerruf der Einwilligung jederzeit möglich
Videoüberwachung nach österreichischem DSG
Die Videoüberwachung ist in Österreich besonders detailliert geregelt. Die §§ 12 und 13 DSG legen strenge Voraussetzungen fest, die über die allgemeinen DSGVO-Regelungen hinausgehen.
Zulässigkeitsvoraussetzungen
- Es muss ein konkreter Anlass zum Schutz von Personen oder Sachen bestehen
- Weniger eingreifende Mittel sind nicht ausreichend
- Öffentlich zugängliche Bereiche dürfen nur in Ausnahmefällen erfasst werden
- Kennzeichnungspflicht durch gut sichtbare Hinweisschilder
- Löschfrist: grundsätzlich 72 Stunden, längere Speicherung nur mit Begründung
Bußgelder und Sanktionen
Verstöße gegen das Datenschutzrecht können teuer werden. Die österreichische Datenschutzbehörde hat in den letzten Jahren mehrfach hohe Strafen verhängt.
| Verstoß | Maximales Bußgeld |
|---|---|
| Formelle Verstöße (z. B. fehlendes Verarbeitungsverzeichnis) | 10 Mio. € oder 2% des Jahresumsatzes |
| Materielle Verstöße (z. B. Missachtung von Betroffenenrechten) | 20 Mio. € oder 4% des Jahresumsatzes |
| Verstöße nach DSG | Bis 50.000 € (Verwaltungsstrafe) |
Bekannte Fälle in Österreich
- Österreichische Post AG: 9,5 Mio. € wegen unrechtmäßiger Verarbeitung von Parteiaffinitäten (später reduziert)
- REWE International AG: 8 Mio. € wegen Datenschutzverstößen bei jö-Bonusclub
- Diverse KMU: Bußgelder zwischen 500 und 50.000 € wegen fehlerhafter Datenschutzerklärungen oder Videoüberwachung
Cookies und Tracking in Österreich
Die Cookie-Regelungen ergeben sich aus § 165 TKG 2021 in Verbindung mit der DSGVO. Für nicht technisch notwendige Cookies ist eine aktive Einwilligung erforderlich – Opt-out reicht nicht aus.
Anforderungen an Cookie-Banner
- Ablehnen muss genauso einfach sein wie Zustimmen
- Keine voreingestellten Häkchen bei nicht notwendigen Cookies
- Transparente Information über Zwecke und Empfänger
- Jederzeitiger Widerruf ermöglichen
- Keine Cookie-Walls, die den Zugang erpressen
Datenschutz am Arbeitsplatz
Der Arbeitgeber darf personenbezogene Daten von Beschäftigten nur im notwendigen Umfang verarbeiten. Kontrollmaßnahmen wie E-Mail-Überwachung, Zeiterfassung oder GPS-Tracking benötigen besondere Rechtfertigung und in vielen Fällen eine Betriebsvereinbarung nach § 96 ArbVG.
Typische Fragen aus der Praxis
- Private Internetnutzung überwachen: Nur mit klarer Regelung und Verhältnismäßigkeit
- Mitarbeiterfotos veröffentlichen: Einwilligung erforderlich, jederzeit widerrufbar
- Bewerberdaten: Nach Absage grundsätzlich innerhalb von 6 Monaten löschen
Praktische Umsetzung: Datenschutz im Unternehmen
Datenschutz ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Folgende Schritte helfen bei der Umsetzung:
- Bestandsaufnahme: Welche Daten werden wo verarbeitet?
- Risikoanalyse: Wo bestehen Schwachstellen?
- Dokumentation: Verarbeitungsverzeichnis, TOM, Verträge
- Prozesse etablieren: Umgang mit Betroffenenanfragen, Datenpannen
- Schulung: Regelmäßige Sensibilisierung aller Mitarbeitenden
- Überprüfung: Jährliche Audits und Anpassungen
Auch scheinbar harmlose Tools wie URL-Kürzer erfassen häufig Nutzerdaten. Wer Wert auf datenschutzkonforme Lösungen legt, sollte auf transparente Anbieter setzen. Lunyb bietet beispielsweise einen datenschutzfreundlichen URL-Kürzungsdienst, der ohne exzessives Tracking auskommt – ein Detailvergleich findet sich in unserem Vergleich der URL-Kürzungsdienste 2026.
Neue Herausforderungen 2026: KI und Datenschutz
Mit dem Einsatz von Künstlicher Intelligenz entstehen neue datenschutzrechtliche Fragen. Der EU AI Act ergänzt die DSGVO um spezifische Regeln für KI-Systeme. Unternehmen müssen künftig auch bei automatisierten Entscheidungen besonders vorsichtig sein.
Details zu den aktuellen Entwicklungen finden Sie in unserem Artikel KI und Datenschutz 2026. Für den privaten Bereich empfehlen sich zudem Maßnahmen wie verschlüsselte Foto-Tresore, um sensible Inhalte zu schützen.
Datenschutzbehörde Österreich: So läuft eine Beschwerde ab
Betroffene können sich direkt bei der österreichischen Datenschutzbehörde (DSB) beschweren. Das Verfahren ist kostenlos und formlos möglich.
Ablauf einer Beschwerde
- Schriftliche Einreichung bei der DSB (auch online möglich)
- Vorprüfung durch die Behörde
- Anhörung des betroffenen Unternehmens
- Ermittlungen und ggf. Vor-Ort-Prüfung
- Bescheid mit Feststellung und ggf. Bußgeld
- Beschwerdemöglichkeit vor dem Bundesverwaltungsgericht
Datenpannen: Meldepflichten beachten
Eine Datenpanne (Data Breach) muss innerhalb von 72 Stunden nach Kenntnisnahme an die Datenschutzbehörde gemeldet werden. Bei hohem Risiko für Betroffene sind auch diese direkt zu informieren.
Typische Beispiele für Datenpannen
- Hackerangriff mit Datenabfluss
- Verlust eines Laptops oder USB-Sticks
- Fehlversand von E-Mails mit personenbezogenen Daten
- Fehlkonfigurierte Datenbanken im Internet
FAQ – Häufige Fragen zum Datenschutzgesetz Österreich
Gilt in Österreich die DSGVO oder das DSG?
Beide Regelwerke gelten parallel. Die DSGVO ist unmittelbar anwendbares EU-Recht, während das österreichische DSG nationale Öffnungsklauseln konkretisiert und spezifische Regelungen etwa zur Videoüberwachung, zum Grundrecht auf Datenschutz und zur Aufsichtsbehörde enthält.
Brauche ich als Einzelunternehmer einen Datenschutzbeauftragten?
In den meisten Fällen nicht. Ein Datenschutzbeauftragter ist nur verpflichtend, wenn Ihre Kerntätigkeit in umfangreicher regelmäßiger Überwachung besteht oder Sie im großen Umfang besondere Datenkategorien (z. B. Gesundheitsdaten) verarbeiten. Kleine Betriebe wie Handwerker oder Berater sind meist nicht betroffen.
Wie hoch sind die Bußgelder in Österreich tatsächlich?
Theoretisch bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes. In der Praxis liegen Bußgelder für KMU meist zwischen 500 und 50.000 Euro. Große Verfahren wie gegen die Österreichische Post oder REWE erreichen Millionenhöhe. Die Behörde berücksichtigt Schwere, Dauer und Kooperationsbereitschaft.
Muss meine Website einen Cookie-Banner haben?
Ja, sobald Sie nicht technisch notwendige Cookies wie Analyse- oder Marketing-Cookies einsetzen. Der Banner muss eine echte Wahl bieten – Ablehnen genauso einfach wie Zustimmen. Ohne Einwilligung dürfen solche Cookies nicht gesetzt werden.
Wie lange darf ich Kundendaten aufbewahren?
Die Speicherdauer richtet sich nach dem Zweck der Verarbeitung und gesetzlichen Aufbewahrungsfristen. Für Buchhaltungsunterlagen gelten 7 Jahre nach BAO, für Rechnungen gemäß UStG ebenfalls 7 Jahre. Nach Wegfall des Zwecks müssen personenbezogene Daten grundsätzlich gelöscht oder anonymisiert werden.
Fazit
Das Datenschutzgesetz Österreich bildet gemeinsam mit der DSGVO einen umfassenden Rechtsrahmen für den Umgang mit personenbezogenen Daten. Unternehmen, die die Anforderungen ernst nehmen, dokumentieren und schulen, schützen sich nicht nur vor Bußgeldern, sondern gewinnen auch das Vertrauen ihrer Kunden. Datenschutz ist kein Hindernis, sondern ein Wettbewerbsvorteil in einer zunehmend datengetriebenen Wirtschaft.
Nutzen Sie die kontinuierlichen Anpassungen des Rechtsrahmens – etwa durch KI-Regulierungen und neue Rechtsprechung – als Anlass, Ihre Prozesse regelmäßig zu überprüfen. So bleiben Sie rechtssicher und wettbewerbsfähig.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
DSGVO Einfach Erklärt 2026: Der Komplette Leitfaden für Unternehmen und Nutzer
Die DSGVO einfach erklärt: Dieser Leitfaden 2026 zeigt alle Rechte, Pflichten und Bußgelder verständlich auf – mit den wichtigsten Neuerungen durch AI Act und Data Act. Praxisnah für Unternehmen, Selbstständige und Privatpersonen.
KI-Gesetz der EU: Was Sich 2026 Ändert (Vollständiger Leitfaden)
Das KI-Gesetz der EU verändert grundlegend, wie KI-Systeme entwickelt und eingesetzt werden dürfen. Dieser Leitfaden erklärt Risikoklassen, Fristen, Pflichten und Bußgelder – und zeigt, was Unternehmen jetzt konkret tun sollten.
DSG: Das Schweizer Datenschutzgesetz Erklärt (Leitfaden 2026)
Das revidierte Schweizer Datenschutzgesetz (revDSG) gilt seit September 2023 und modernisiert den Datenschutz in der Schweiz grundlegend. Dieser Leitfaden erklärt Pflichten, Rechte, Bussen sowie die zentralen Unterschiede zur DSGVO – praxisnah und verständlich.
Österreichische Datenschutzbehörde: Beschwerde Einreichen 2026
Die österreichische Datenschutzbehörde (DSB) prüft Beschwerden zu DSGVO-Verstößen kostenfrei. Erfahren Sie Schritt für Schritt, wie Sie eine Beschwerde einreichen, welche Fristen gelten und wie Sie Ihre Erfolgsaussichten maximieren.