facebook-pixel
L
Lunyb

Datenschutzgesetz Österreich Erklärt: Der Komplette Leitfaden 2026

L
Lunyb Sicherheitsteam
··8 min read

Das Datenschutzgesetz Österreich (DSG) bildet zusammen mit der EU-Datenschutz-Grundverordnung (DSGVO) das rechtliche Fundament für den Schutz personenbezogener Daten in Österreich. Während die DSGVO seit Mai 2018 europaweit gilt, ergänzt das österreichische DSG nationale Besonderheiten und regelt Bereiche, die der EU-Gesetzgeber den Mitgliedstaaten überlassen hat. In diesem umfassenden Leitfaden erfahren Sie alles, was Sie über das österreichische Datenschutzrecht wissen müssen.

Was ist das Datenschutzgesetz Österreich?

Das Datenschutzgesetz (DSG) ist das zentrale nationale Gesetz Österreichs zum Schutz personenbezogener Daten. Es trat in seiner aktuellen Form am 25. Mai 2018 in Kraft – zeitgleich mit der DSGVO – und ersetzte das frühere DSG 2000.

Das Gesetz verfolgt zwei Hauptziele: Erstens passt es die österreichische Rechtsordnung an die DSGVO an, zweitens regelt es Bereiche, die außerhalb des Anwendungsbereichs der DSGVO liegen, wie etwa den Datenschutz im Strafverfahren oder bei nationalen Sicherheitsbehörden.

Rechtliche Grundlagen im Überblick

  • DSGVO (Verordnung EU 2016/679): Direkt anwendbar in ganz Europa
  • DSG (BGBl. I Nr. 165/1999 idgF): Nationales Ergänzungsgesetz
  • Artikel 1 DSG: Verfassungsbestimmung über das Grundrecht auf Datenschutz
  • Materien-Datenschutzgesetze: Branchenspezifische Regelungen (z.B. Telekommunikation, Gesundheit)

Das Grundrecht auf Datenschutz in Österreich

Eine Besonderheit des österreichischen Datenschutzrechts ist das in §1 DSG verankerte verfassungsmäßige Grundrecht auf Datenschutz. Jedermann hat demnach Anspruch auf Geheimhaltung seiner personenbezogenen Daten, soweit ein schutzwürdiges Interesse besteht.

Dieses Grundrecht geht in seiner Ausprägung teilweise weiter als die DSGVO und schützt auch juristische Personen – ein wichtiger Unterschied zur europäischen Verordnung, die nur natürliche Personen schützt.

Kernelemente des Grundrechts

  1. Recht auf Geheimhaltung: Schutz personenbezogener Daten vor unbefugter Verwendung
  2. Recht auf Auskunft: Information über gespeicherte Daten
  3. Recht auf Richtigstellung: Korrektur unrichtiger Daten
  4. Recht auf Löschung: Entfernung unrechtmäßig verarbeiteter Daten

Anwendungsbereich des DSG

Das DSG gilt für die Verarbeitung personenbezogener Daten durch öffentliche und private Stellen in Österreich. Es ergänzt die DSGVO und füllt nationale Regelungslücken.

Sachlicher Anwendungsbereich

  • Automatisierte Datenverarbeitung
  • Nicht-automatisierte Verarbeitung in Dateisystemen
  • Datenverarbeitung durch Sicherheitsbehörden (Teil 3 DSG)
  • Bildverarbeitung (Videoüberwachung) – §§12-13 DSG

Räumlicher Anwendungsbereich

Das DSG findet Anwendung auf alle Datenverarbeitungen, die in Österreich stattfinden oder österreichische Betroffene betreffen, wenn ein Anbieter Waren oder Dienstleistungen in Österreich anbietet.

Die wichtigsten Pflichten für Unternehmen

Unternehmen in Österreich müssen eine Reihe von Pflichten erfüllen, um datenschutzkonform zu agieren. Diese ergeben sich primär aus der DSGVO, werden aber durch das DSG konkretisiert.

1. Rechtmäßigkeit der Verarbeitung

Jede Datenverarbeitung benötigt eine Rechtsgrundlage nach Art. 6 DSGVO:

  • Einwilligung der betroffenen Person
  • Vertragserfüllung
  • Rechtliche Verpflichtung
  • Lebenswichtige Interessen
  • Öffentliches Interesse
  • Berechtigtes Interesse

2. Informationspflichten

Verantwortliche müssen Betroffene transparent über die Datenverarbeitung informieren – typischerweise durch eine Datenschutzerklärung auf der Website.

3. Verzeichnis von Verarbeitungstätigkeiten

Unternehmen ab 250 Mitarbeitern (sowie bei Risikoverarbeitungen) müssen ein detailliertes Verarbeitungsverzeichnis führen.

4. Datenschutzbeauftragter (DSB)

Ein Datenschutzbeauftragter muss bestellt werden, wenn:

  • Die Kerntätigkeit eine umfangreiche regelmäßige Überwachung erfordert
  • Besondere Datenkategorien umfangreich verarbeitet werden
  • Eine Behörde oder öffentliche Stelle betroffen ist

5. Datenschutz-Folgenabschätzung (DSFA)

Bei voraussichtlich hohem Risiko für die Rechte der Betroffenen ist eine DSFA gemäß Art. 35 DSGVO erforderlich.

Die Österreichische Datenschutzbehörde (DSB)

Die Datenschutzbehörde mit Sitz in Wien ist die zentrale Aufsichts- und Beschwerdestelle für Datenschutzangelegenheiten in Österreich. Sie wurde durch das DSG eingerichtet und ist organisatorisch beim Bundeskanzleramt angesiedelt, aber weisungsfrei.

Aufgaben der DSB

  • Überwachung der Anwendung von DSGVO und DSG
  • Bearbeitung von Beschwerden Betroffener
  • Durchführung von Untersuchungen und Audits
  • Verhängung von Geldbußen
  • Beratung von Verantwortlichen und Auftragsverarbeitern
  • Sensibilisierung der Öffentlichkeit

So reichen Sie eine Beschwerde ein

  1. Schriftliche Beschwerde an die DSB (per Post oder elektronisch über oesterreich.gv.at)
  2. Angabe des betroffenen Verantwortlichen
  3. Beschreibung des Sachverhalts und der vermuteten Rechtsverletzung
  4. Vorlage relevanter Beweise
  5. Die DSB prüft und entscheidet bescheidmäßig

Strafen und Bußgelder nach DSG

Verstöße gegen Datenschutzbestimmungen können in Österreich empfindliche Strafen nach sich ziehen. Das DSG sieht sowohl Verwaltungsstrafen als auch Schadenersatzansprüche vor.

Bußgeldrahmen

Verstoßart Maximale Strafe Rechtsgrundlage
Leichte Verstöße (formal) Bis 10 Mio. € oder 2% Jahresumsatz Art. 83 Abs. 4 DSGVO
Schwere Verstöße (materiell) Bis 20 Mio. € oder 4% Jahresumsatz Art. 83 Abs. 5 DSGVO
Verstoß gegen §§ 6, 7 DSG (Bildverarbeitung) Bis 50.000 € § 62 DSG
Strafrechtliche Datenverwendung Bis zu 1 Jahr Freiheitsstrafe § 63 DSG

Bekannte Strafverfahren in Österreich

Die DSB hat seit 2018 mehrere bedeutende Bußgelder verhängt, darunter gegen die Österreichische Post (18 Mio. €, später reduziert) und mehrere Online-Unternehmen wegen unrechtmäßiger Cookie-Verwendung.

Rechte der betroffenen Personen

Das DSG garantiert in Verbindung mit der DSGVO umfassende Betroffenenrechte. Diese Rechte können jederzeit und kostenlos gegenüber dem Verantwortlichen geltend gemacht werden.

Die acht zentralen Betroffenenrechte

  1. Recht auf Information (Art. 13, 14): Transparente Aufklärung über Datenverarbeitung
  2. Auskunftsrecht (Art. 15): Erhalt einer Kopie der gespeicherten Daten
  3. Recht auf Berichtigung (Art. 16): Korrektur unrichtiger Daten
  4. Recht auf Löschung (Art. 17): "Recht auf Vergessenwerden"
  5. Recht auf Einschränkung (Art. 18): Sperrung der Verarbeitung
  6. Recht auf Datenübertragbarkeit (Art. 20): Datenexport in maschinenlesbarem Format
  7. Widerspruchsrecht (Art. 21): Ablehnung bestimmter Verarbeitungen
  8. Recht auf Beschwerde (Art. 77): Eingabe bei der DSB

Besonderheiten des österreichischen DSG

Das DSG enthält einige nationale Besonderheiten, die es von anderen europäischen Datenschutzgesetzen unterscheiden.

Schutz juristischer Personen

Anders als die DSGVO schützt §1 DSG auch juristische Personen vor Datenmissbrauch – allerdings nur im Rahmen des verfassungsrechtlichen Grundrechts auf Geheimhaltung.

Bildverarbeitung (Videoüberwachung)

Die §§ 12 und 13 DSG enthalten detaillierte nationale Regelungen zur Videoüberwachung, die über die DSGVO hinausgehen, einschließlich Kennzeichnungspflichten und Aufbewahrungsfristen.

Mitarbeiterdatenschutz

Das österreichische Arbeitsverfassungsgesetz (ArbVG) ergänzt das DSG im Beschäftigungskontext und sieht Mitbestimmungsrechte des Betriebsrats bei datenschutzrelevanten Maßnahmen vor.

Forschungsprivileg

Das DSG enthält besondere Erleichterungen für wissenschaftliche Forschung und statistische Zwecke (§ 7 DSG).

DSG vs. DSGVO: Das Zusammenspiel

Viele Unternehmen sind unsicher über das Verhältnis zwischen DSG und DSGVO. Grundsätzlich gilt: Die DSGVO hat Vorrang, das DSG ergänzt und konkretisiert.

Aspekt DSGVO DSG Österreich
Geltungsbereich EU-weit Nur Österreich
Schutzobjekt Natürliche Personen Auch juristische Personen (§1)
Rechtscharakter Verordnung (direkt anwendbar) Nationales Gesetz
Bildverarbeitung Allgemeine Regeln Detaillierte Spezialregeln
Aufsichtsbehörde National benannt Datenschutzbehörde (DSB)

Wenn Sie mehr über die Unterschiede zwischen verschiedenen Datenschutzgesetzen erfahren möchten, empfehlen wir unseren Artikel zu DSG vs DSGVO: Die Unterschiede Verstehen.

Praktische Umsetzung im Unternehmen

Die Einhaltung des österreichischen Datenschutzrechts erfordert systematisches Vorgehen. Hier ist eine Checkliste für Unternehmen:

Datenschutz-Compliance Checkliste

  1. Bestandsaufnahme aller Datenverarbeitungen
  2. Erstellung eines Verarbeitungsverzeichnisses
  3. Prüfung der Rechtsgrundlagen für jede Verarbeitung
  4. Aktualisierung der Datenschutzerklärung
  5. Implementierung technischer und organisatorischer Maßnahmen (TOM)
  6. Abschluss von Auftragsverarbeitungsverträgen (AVV)
  7. Schulung der Mitarbeiter
  8. Etablierung eines Prozesses für Betroffenenanfragen
  9. Meldewege für Datenpannen einrichten (72-Stunden-Frist)
  10. Regelmäßige Datenschutz-Audits

Sichere URLs und Datenschutz

Beim Versand von Links und der Kommunikation mit Kunden sollten österreichische Unternehmen auf datenschutzkonforme Tools achten. Dienste wie Lunyb bieten DSGVO-konforme URL-Verkürzung mit europäischen Servern, transparenter Datenverarbeitung und ohne unnötiges Tracking – ideal für Unternehmen, die ihre Datenschutzpflichten ernst nehmen.

Datenpannen: Was tun im Ernstfall?

Eine Datenschutzverletzung muss innerhalb von 72 Stunden nach Bekanntwerden an die DSB gemeldet werden, sofern ein Risiko für die Rechte und Freiheiten Betroffener besteht.

Schritt-für-Schritt Vorgehen bei Datenpannen

  1. Sofortmaßnahmen: Verletzung eindämmen und dokumentieren
  2. Risikoanalyse: Bewertung der potenziellen Folgen
  3. Meldung an DSB: Online-Formular innerhalb 72 Stunden
  4. Benachrichtigung Betroffener: Bei hohem Risiko unverzüglich
  5. Dokumentation: Interne Aufzeichnung aller Vorfälle
  6. Nachbereitung: Präventionsmaßnahmen einführen

Für Vergleichszwecke kann auch unser Leitfaden zur Beschwerdeeinreichung bei Datenschutzbehörden hilfreich sein.

Aktuelle Entwicklungen und Ausblick 2026

Das Datenschutzrecht entwickelt sich kontinuierlich weiter. Folgende Trends sind für 2026 relevant:

EU AI Act

Der neue EU-Rechtsakt zu Künstlicher Intelligenz wirkt sich auch auf das österreichische Datenschutzrecht aus, insbesondere bei automatisierten Entscheidungen und Profiling.

Schrems II und Drittlandtransfers

Datenübertragungen in die USA bleiben ein heikles Thema. Das EU-US Data Privacy Framework bietet eine neue Grundlage, wird aber rechtlich noch geprüft.

Verstärkter Cookie-Schutz

Die DSB hat ihre Praxis bei Cookie-Bannern verschärft. Unternehmen müssen echte, granulare Einwilligungen einholen.

Internationale Vergleichbarkeit

Wer international tätig ist, sollte auch andere Rechtsräume verstehen. Lesen Sie dazu unseren Datenschutz-Leitfaden für Schweizer Unternehmen.

FAQ – Häufig gestellte Fragen

Wer muss das DSG in Österreich befolgen?

Das DSG gilt für alle öffentlichen und privaten Stellen in Österreich, die personenbezogene Daten verarbeiten – unabhängig von der Unternehmensgröße. Auch ausländische Unternehmen, die ihre Dienste in Österreich anbieten oder österreichische Bürger gezielt ansprechen, fallen unter das Gesetz.

Wie hoch sind die Strafen bei DSG-Verstößen?

Die Bußgelder können bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes betragen – je nachdem, welcher Betrag höher ist. Bei besonders schweren Verstößen sind sogar strafrechtliche Konsequenzen mit Freiheitsstrafen bis zu einem Jahr möglich.

Muss jedes Unternehmen einen Datenschutzbeauftragten bestellen?

Nein, nur unter bestimmten Bedingungen: bei Behörden, wenn die Kerntätigkeit umfangreiche regelmäßige Überwachung erfordert oder wenn besondere Datenkategorien (z.B. Gesundheitsdaten) in großem Umfang verarbeitet werden. Dennoch ist es für viele Unternehmen ratsam, freiwillig einen DSB zu bestellen.

Wie reiche ich eine Beschwerde bei der DSB ein?

Beschwerden können schriftlich per Post, elektronisch über oesterreich.gv.at oder direkt über die Website der Datenschutzbehörde eingereicht werden. Die Beschwerde sollte den Sachverhalt klar darstellen, den verantwortlichen Verarbeiter benennen und nach Möglichkeit Beweise enthalten. Das Verfahren ist für Betroffene kostenlos.

Was ist der Unterschied zwischen DSG und DSGVO?

Die DSGVO ist eine EU-weit direkt anwendbare Verordnung, während das DSG ein nationales österreichisches Gesetz ist, das die DSGVO ergänzt. Das DSG regelt nationale Besonderheiten wie das Grundrecht auf Datenschutz, den Schutz juristischer Personen, die Bildverarbeitung und Bereiche außerhalb des DSGVO-Anwendungsbereichs.

Gilt das DSG auch für kleine Unternehmen und Einzelunternehmer?

Ja, das DSG und die DSGVO gelten unabhängig von der Unternehmensgröße. Allerdings sind manche Pflichten – wie das Führen eines Verarbeitungsverzeichnisses – für kleinere Unternehmen mit weniger als 250 Mitarbeitern erleichtert, sofern keine Risikoverarbeitungen stattfinden.

Fazit

Das Datenschutzgesetz Österreich bildet zusammen mit der DSGVO ein robustes Schutzsystem für personenbezogene Daten. Für Unternehmen bedeutet dies sowohl Pflichten als auch Chancen: Wer Datenschutz ernst nimmt, gewinnt das Vertrauen seiner Kunden und vermeidet hohe Strafen. Die wichtigsten Schritte sind eine vollständige Bestandsaufnahme der Datenverarbeitungen, die Etablierung klarer Prozesse und die Schulung aller Mitarbeiter.

Mit dem richtigen Verständnis der gesetzlichen Anforderungen und der Nutzung datenschutzkonformer Tools können Sie Datenschutz nicht nur als Pflicht, sondern als Wettbewerbsvorteil verstehen. Die Investition in datenschutzfreundliche Lösungen zahlt sich langfristig aus – sowohl rechtlich als auch im Vertrauen Ihrer Kunden.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles

BfDI Beschwerde Einreichen: Schritt für Schritt Anleitung 2026

Erfahren Sie in dieser umfassenden Schritt-für-Schritt-Anleitung, wie Sie eine Beschwerde beim Bundesbeauftragten für den Datenschutz (BfDI) erfolgreich einreichen. Inklusive Formularen, Fristen und praktischen Tipps für 2026.

8 min

DSG vs DSGVO: Die Unterschiede Verstehen (Leitfaden 2026)

Das Schweizer DSG und die EU-DSGVO regeln beide den Datenschutz, weisen aber wichtige Unterschiede auf. Dieser Leitfaden vergleicht Bussgelder, Pflichten und Geltungsbereich beider Gesetze und zeigt, was Schweizer Unternehmen 2026 beachten müssen.

7 min

DSGVO Einfach Erklärt 2026: Der Komplette Leitfaden für Unternehmen und Privatpersonen

Die DSGVO bestimmt seit 2018 den Umgang mit personenbezogenen Daten in Europa. 2026 bringt neue Auslegungen, KI-Regelungen und höhere Bußgelder. Dieser Leitfaden erklärt verständlich, was Sie wissen müssen.

8 min

DSG: Das Schweizer Datenschutzgesetz Erklärt – Leitfaden 2026

Seit September 2023 gilt das revidierte Schweizer Datenschutzgesetz (revDSG). Dieser Leitfaden erklärt die wichtigsten Pflichten, Rechte und Bussen verständlich. Erfahren Sie, wie sich das DSG von der DSGVO unterscheidet und was Unternehmen sowie Privatpersonen jetzt wissen müssen.

8 min