Datenschutzgesetz Österreich Erklärt: Der Komplette Leitfaden 2026
Das österreichische Datenschutzgesetz (DSG) regelt gemeinsam mit der europäischen Datenschutz-Grundverordnung (DSGVO), wie personenbezogene Daten in Österreich verarbeitet werden dürfen. Für Unternehmen, Vereine und öffentliche Stellen ist die Einhaltung dieser Vorschriften nicht optional – Verstöße können empfindliche Geldbußen nach sich ziehen. In diesem umfassenden Leitfaden erklären wir Ihnen, was das Datenschutzgesetz Österreich konkret verlangt, welche Rechte Betroffene haben und wie Sie Ihre Organisation rechtskonform aufstellen.
Was ist das Datenschutzgesetz Österreich?
Das Datenschutzgesetz Österreich (kurz: DSG) ist das nationale Bundesgesetz, das die europäische DSGVO in österreichisches Recht überführt und ergänzt. Es trat in seiner aktuellen Fassung am 25. Mai 2018 in Kraft – zeitgleich mit der DSGVO – und ersetzte das bis dahin geltende Datenschutzgesetz 2000 (DSG 2000).
Das DSG regelt jene Bereiche, in denen die DSGVO den Mitgliedstaaten Spielraum für nationale Regelungen lässt, sogenannte Öffnungsklauseln. Dazu zählen unter anderem:
- Die Organisation und Zuständigkeit der österreichischen Datenschutzbehörde (DSB)
- Besondere Bestimmungen für die Verarbeitung im Beschäftigungskontext
- Regelungen zur Bildverarbeitung (Videoüberwachung)
- Datenverarbeitung durch Sicherheitsbehörden
- Rechtsschutzverfahren vor der Datenschutzbehörde
Wichtig: In Österreich hat der Datenschutz Verfassungsrang. § 1 DSG ist ein Verfassungsartikel und garantiert jedem Menschen ein Grundrecht auf Datenschutz.
DSGVO und DSG: Das Zusammenspiel verstehen
Die DSGVO gilt als EU-Verordnung unmittelbar in allen Mitgliedstaaten – auch in Österreich. Das DSG ergänzt sie nur dort, wo die DSGVO Spielräume lässt oder nationale Regelungen ausdrücklich vorsieht.
Anwendungsbereich
Beide Regelwerke gelten für die Verarbeitung personenbezogener Daten durch:
- Unternehmen mit Sitz in Österreich
- Unternehmen außerhalb der EU, die Waren oder Dienstleistungen an Personen in Österreich anbieten
- Öffentliche Stellen und Behörden
- Vereine, Verbände und Stiftungen
- Selbstständige und Einzelunternehmer
Ausgenommen bleibt die rein persönliche oder familiäre Nutzung (z. B. private Kontaktlisten am Handy).
Was sind personenbezogene Daten?
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören:
- Name, Anschrift, Geburtsdatum
- E-Mail-Adressen und Telefonnummern
- IP-Adressen und Cookie-IDs
- Sozialversicherungsnummern
- Bilder und Videoaufnahmen
- Standortdaten
- Gesundheitsdaten (besondere Kategorie)
Die 7 Grundprinzipien der Datenverarbeitung
Jede Verarbeitung personenbezogener Daten muss den in Art. 5 DSGVO verankerten Grundsätzen entsprechen. Diese gelten selbstverständlich auch für das Datenschutzgesetz Österreich:
- Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz: Daten dürfen nur mit gültiger Rechtsgrundlage verarbeitet werden.
- Zweckbindung: Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden.
- Datenminimierung: Nur die für den Zweck notwendigen Daten dürfen verarbeitet werden.
- Richtigkeit: Daten müssen sachlich richtig und aktuell gehalten werden.
- Speicherbegrenzung: Daten dürfen nicht länger als nötig gespeichert werden.
- Integrität und Vertraulichkeit: Angemessene technische und organisatorische Maßnahmen sind Pflicht.
- Rechenschaftspflicht: Der Verantwortliche muss die Einhaltung nachweisen können.
Rechtsgrundlagen: Wann darf ich Daten verarbeiten?
Eine Verarbeitung ist nur rechtmäßig, wenn mindestens eine der folgenden sechs Rechtsgrundlagen aus Art. 6 DSGVO greift:
| Rechtsgrundlage | Typische Anwendung | Besonderheiten |
|---|---|---|
| Einwilligung | Newsletter, Marketing-Cookies | Muss freiwillig, informiert und widerrufbar sein |
| Vertragserfüllung | Online-Bestellung, Kundenkonto | Nur für notwendige Daten |
| Rechtliche Verpflichtung | Rechnungsaufbewahrung, Steuerdaten | Gesetzliche Grundlage nötig |
| Lebenswichtige Interessen | Notfallsituationen | Sehr enger Anwendungsbereich |
| Öffentliches Interesse | Behördliche Tätigkeiten | Nur für öffentliche Stellen |
| Berechtigtes Interesse | Betrugsprävention, Direktmarketing | Interessenabwägung erforderlich |
Betroffenenrechte im Detail
Das Datenschutzgesetz Österreich in Verbindung mit der DSGVO gewährt Betroffenen weitreichende Rechte. Unternehmen müssen diesen Anträgen grundsätzlich innerhalb eines Monats nachkommen.
Auskunftsrecht (Art. 15 DSGVO)
Jede Person kann Auskunft verlangen, welche Daten über sie verarbeitet werden, zu welchem Zweck, an wen sie weitergegeben werden und wie lange sie gespeichert bleiben.
Recht auf Berichtigung (Art. 16 DSGVO)
Unrichtige Daten müssen unverzüglich korrigiert, unvollständige Daten ergänzt werden.
Recht auf Löschung (Art. 17 DSGVO)
Das "Recht auf Vergessenwerden" greift, wenn Daten nicht mehr benötigt werden, die Einwilligung widerrufen wurde oder die Verarbeitung unrechtmäßig war.
Recht auf Einschränkung (Art. 18 DSGVO)
Statt der Löschung kann die Verarbeitung eingeschränkt werden – etwa während der Prüfung eines Widerspruchs.
Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Daten müssen in einem strukturierten, maschinenlesbaren Format herausgegeben werden.
Widerspruchsrecht (Art. 21 DSGVO)
Betroffene können der Verarbeitung – insbesondere für Direktmarketing – jederzeit widersprechen.
Pflichten für Unternehmen in Österreich
Als verantwortliche Stelle treffen Sie unter dem Datenschutzgesetz Österreich zahlreiche konkrete Pflichten. Die wichtigsten im Überblick:
1. Verzeichnis von Verarbeitungstätigkeiten (VVT)
Jedes Unternehmen mit mehr als 250 Mitarbeitern – und praktisch alle anderen, die regelmäßig Daten verarbeiten – muss ein VVT führen. Es dokumentiert alle Verarbeitungsvorgänge und muss der DSB auf Anfrage vorgelegt werden.
2. Datenschutzerklärung auf der Website
Ihre Website muss eine transparente, leicht auffindbare Datenschutzerklärung enthalten. Diese informiert über Verantwortlichen, Zwecke, Rechtsgrundlagen, Empfänger, Speicherdauer und Betroffenenrechte.
3. Technische und organisatorische Maßnahmen (TOM)
Sie müssen ein angemessenes Sicherheitsniveau gewährleisten. Dazu zählen Verschlüsselung, Zugriffsbeschränkungen, regelmäßige Backups, Mitarbeiterschulungen und dokumentierte Prozesse. Auch die Wahl datenschutzfreundlicher Tools spielt eine Rolle – von datenschutzfreundlichen Browsern bis hin zu europäischen SaaS-Diensten.
4. Meldung von Datenpannen
Datenschutzverletzungen müssen binnen 72 Stunden an die österreichische Datenschutzbehörde gemeldet werden. Bei hohem Risiko sind auch die Betroffenen direkt zu informieren.
5. Datenschutz-Folgenabschätzung (DSFA)
Bei Verarbeitungen mit voraussichtlich hohem Risiko – etwa umfangreicher Videoüberwachung, Profiling oder Verarbeitung sensibler Daten – ist eine DSFA verpflichtend durchzuführen.
6. Bestellung eines Datenschutzbeauftragten
Ein Datenschutzbeauftragter (DSB/DPO) ist verpflichtend, wenn:
- Sie eine öffentliche Stelle sind
- Kerntätigkeiten die umfangreiche regelmäßige Überwachung von Personen erfordern
- Sie umfangreich besondere Kategorien personenbezogener Daten verarbeiten
Auftragsverarbeitung und Drittlandtransfers
Setzen Sie externe Dienstleister für die Verarbeitung personenbezogener Daten ein – etwa Cloud-Hosting, Newsletter-Tools oder Analytics – benötigen Sie einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO.
Besonders kritisch sind Transfers in Drittländer außerhalb des EWR. Seit dem Wegfall des Privacy Shield und dem neuen EU-US Data Privacy Framework (DPF) müssen Sie prüfen:
- Existiert ein Angemessenheitsbeschluss für das Zielland?
- Nutzen Sie Standardvertragsklauseln (SCC)?
- Sind zusätzliche Schutzmaßnahmen wie Verschlüsselung nötig?
Wer diese Anforderungen umgehen möchte, wählt oft europäische Anbieter. Beispielsweise können auch scheinbar simple Werkzeuge wie URL-Verkürzer datenschutzrelevant sein – prüfen Sie deshalb genau, wer Ihre Klickdaten speichert. Ein in Europa gehosteter, DSGVO-konformer Dienst wie Lunyb ist hier eine sichere Alternative zu US-basierten Tools. Weitere Optionen finden Sie in unserem Vergleich der kostenlosen Bitly-Alternativen 2026.
Videoüberwachung und Bildverarbeitung
Das DSG enthält in §§ 12 und 13 spezielle Regeln zur Bildverarbeitung. Videoüberwachung ist nur zulässig, wenn:
- Ein berechtigter Zweck vorliegt (z. B. Schutz von Personen oder Eigentum)
- Sie durch Hinweisschilder klar gekennzeichnet ist
- Nur der notwendige Bereich erfasst wird
- Aufnahmen in der Regel nach 72 Stunden gelöscht werden
Öffentlicher Raum darf grundsätzlich nicht überwacht werden – auch nicht "aus Versehen" durch schlecht ausgerichtete Kameras auf Nachbargrundstücken oder Gehwegen.
Datenschutz im Arbeitsverhältnis
Die Verarbeitung von Beschäftigtendaten unterliegt strengen Regeln. Wichtige Aspekte:
- Bewerberdaten: Nach Absage grundsätzlich innerhalb von 6 Monaten löschen (außer bei Einwilligung für Talentpool)
- Personalakten: Nur relevante Informationen speichern
- E-Mail- und Internetkontrolle: Nur mit Betriebsvereinbarung und Vorabinformation zulässig
- Zeiterfassung: Notwendig, aber nicht mehr als erforderlich
- Betriebsrat: Muss bei überwachungsrelevanten Maßnahmen zustimmen (§ 96 ArbVG)
Sanktionen und Strafen bei Verstößen
Die österreichische Datenschutzbehörde kann bei Verstößen empfindliche Geldbußen verhängen. Der Rahmen entspricht der DSGVO:
| Verstoßkategorie | Maximale Geldbuße | Beispiele |
|---|---|---|
| Kategorie 1 | 10 Mio. € oder 2 % des Jahresumsatzes | Fehlendes VVT, keine Meldung von Datenpannen, fehlender DSB |
| Kategorie 2 | 20 Mio. € oder 4 % des Jahresumsatzes | Verstoß gegen Grundprinzipien, unrechtmäßige Verarbeitung, Missachtung von Betroffenenrechten |
Neben Geldbußen drohen Reputationsschäden, zivilrechtliche Schadenersatzansprüche und Untersagungsverfügungen. Zusätzlich müssen Unternehmen ab 2026 auch neue Regelungen im Blick behalten – dazu zählt insbesondere das KI-Gesetz der EU, das den Datenschutz um KI-spezifische Pflichten erweitert.
Die österreichische Datenschutzbehörde (DSB)
Die Datenschutzbehörde mit Sitz in Wien ist die zentrale Aufsichtsbehörde für den Datenschutz in Österreich. Sie:
- Bearbeitet Beschwerden von Betroffenen
- Führt amtswegige Prüfverfahren durch
- Verhängt Geldbußen und Anordnungen
- Berät Unternehmen und Verantwortliche
- Kooperiert im European Data Protection Board (EDPB)
Betroffene können sich kostenlos direkt an die DSB wenden – ein Anwalt ist nicht erforderlich.
Praktische Umsetzung: Ihre Checkliste für 2026
Nutzen Sie diese Schritt-für-Schritt-Anleitung, um Ihre Datenschutz-Compliance zu prüfen:
- Verantwortlichkeiten intern klären und dokumentieren
- Verzeichnis von Verarbeitungstätigkeiten erstellen oder aktualisieren
- Alle Datenverarbeitungen auf gültige Rechtsgrundlage prüfen
- Datenschutzerklärung und Cookie-Banner überarbeiten
- Auftragsverarbeitungsverträge mit allen Dienstleistern abschließen
- Drittlandtransfers dokumentieren und absichern
- TOMs (technische und organisatorische Maßnahmen) evaluieren
- Meldeprozess für Datenpannen etablieren
- Mitarbeiter regelmäßig schulen
- Anfragen von Betroffenen mit klarem Prozess bearbeiten
Denken Sie dabei auch an oft übersehene Datenquellen: Datenbroker kaufen und verkaufen personenbezogene Informationen häufig ohne Wissen der Betroffenen – ein Bereich, dem die österreichische Datenschutzbehörde zunehmend Aufmerksamkeit widmet.
Häufige Fehler und wie Sie sie vermeiden
In der Beratungspraxis begegnen uns immer wieder ähnliche Fehler:
- Cookie-Banner ohne echte Wahlmöglichkeit: "Alle akzeptieren" muss gleich prominent sein wie "Ablehnen"
- Newsletter ohne Double-Opt-in: Ohne Bestätigungslink kein rechtssicherer Nachweis
- US-Analytics ohne Prüfung: Google Analytics 4 & Co. erfordern eine sorgfältige Konfiguration
- Fehlende AVVs mit Freelancern: Auch externe Buchhalter oder Grafiker brauchen einen AVV
- Zu lange Speicherdauern: "Für immer aufheben" ist keine gültige Speicherstrategie
Fazit: Datenschutz als Wettbewerbsvorteil
Das Datenschutzgesetz Österreich ist kein Bürokratiemonster, sondern Ausdruck eines Grundrechts. Wer die Anforderungen ernst nimmt, minimiert nicht nur rechtliche Risiken, sondern gewinnt auch das Vertrauen von Kunden, Mitarbeitern und Partnern. In Zeiten, in denen Datenskandale beinahe wöchentlich Schlagzeilen machen, wird nachweisbarer Datenschutz zum echten Wettbewerbsvorteil.
Beginnen Sie mit einer ehrlichen Bestandsaufnahme, priorisieren Sie die größten Risiken und etablieren Sie den Datenschutz als kontinuierlichen Prozess – nicht als einmaliges Projekt.
Häufig gestellte Fragen (FAQ)
Gilt das Datenschutzgesetz Österreich auch für kleine Unternehmen und Vereine?
Ja. Das DSG und die DSGVO gelten grundsätzlich unabhängig von der Unternehmensgröße. Auch Einzelunternehmer, KMU und Vereine müssen die Vorschriften einhalten. Erleichterungen gibt es lediglich bei einzelnen Pflichten – etwa beim VVT für Betriebe unter 250 Mitarbeitern, sofern die Verarbeitung nicht regelmäßig oder risikoreich ist.
Was ist der Unterschied zwischen DSGVO und DSG?
Die DSGVO ist eine EU-Verordnung und gilt unmittelbar in allen Mitgliedstaaten. Das österreichische DSG ergänzt die DSGVO in Bereichen, in denen nationale Regelungen erlaubt oder vorgeschrieben sind – etwa bei der Bildverarbeitung, der Datenschutzbehörde und dem Beschäftigtendatenschutz. In der Praxis müssen beide Regelwerke gemeinsam angewendet werden.
Wie schnell muss ich eine Datenpanne melden?
Datenschutzverletzungen mit Risiko für die Rechte und Freiheiten Betroffener müssen binnen 72 Stunden nach Kenntnisnahme an die österreichische Datenschutzbehörde gemeldet werden. Bei hohem Risiko sind zusätzlich die betroffenen Personen unverzüglich zu informieren. Fehlt die rechtzeitige Meldung, drohen Geldbußen.
Brauche ich als Selbstständiger einen Datenschutzbeauftragten?
In der Regel nein. Ein DSB ist nur verpflichtend, wenn Sie öffentliche Aufgaben wahrnehmen, umfangreich sensible Daten verarbeiten oder Personen systematisch überwachen. Die meisten Selbstständigen und Einzelunternehmer sind davon nicht betroffen – müssen aber trotzdem alle sonstigen DSGVO-Pflichten erfüllen.
Was passiert, wenn ich mich nicht an das Datenschutzgesetz Österreich halte?
Die Datenschutzbehörde kann Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes verhängen – je nachdem, welcher Betrag höher ist. Hinzu kommen mögliche Schadenersatzforderungen Betroffener, Anordnungen zur Einstellung der Verarbeitung und erhebliche Reputationsschäden. In der Praxis verhängt die DSB Strafen häufig auch im niedrigen fünf- bis sechsstelligen Bereich für KMU.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
KI-Gesetz der EU 2026: Was sich für Unternehmen jetzt ändert
Das KI-Gesetz der EU verändert ab 2026 grundlegend, wie Unternehmen künstliche Intelligenz einsetzen dürfen. Erfahren Sie in diesem Praxis-Leitfaden, welche Pflichten, Fristen und Bußgelder gelten – und wie Sie Ihr Unternehmen mit einer 8-Schritte-Checkliste rechtssicher aufstellen.
DSGVO Einfach Erklärt 2026: Der Praxis-Leitfaden für Unternehmen
Die DSGVO ist seit 2018 in Kraft – doch 2026 bringt durch KI-Verordnung, Data Act und neue Rechtsprechung erhebliche Änderungen. Dieser Leitfaden erklärt verständlich, was Unternehmen jetzt wissen müssen, welche Pflichten gelten und wie Sie hohe Bußgelder vermeiden.
Österreichische Datenschutzbehörde: Beschwerde Einreichen 2026
Wenn Ihre Datenschutzrechte verletzt wurden, ist die österreichische Datenschutzbehörde (DSB) Ihr Ansprechpartner. Dieser Leitfaden zeigt Schritt für Schritt, wie Sie 2026 eine wirksame Beschwerde einreichen, welche Fristen gelten und welche Ergebnisse Sie erwarten können.
EDÖB Beschwerde Einreichen: So Gehen Sie 2026 Vor
Wenn Ihre Datenschutzrechte in der Schweiz verletzt wurden, können Sie sich an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) wenden. Dieser Leitfaden zeigt Schritt für Schritt, wie Sie eine Beschwerde korrekt einreichen und welche Rechte Ihnen zustehen.