Datenschutzgesetz Österreich Erklärt: Der Komplette Leitfaden 2026
Das österreichische Datenschutzgesetz (DSG) regelt gemeinsam mit der europäischen Datenschutz-Grundverordnung (DSGVO) den Umgang mit personenbezogenen Daten in Österreich. Es betrifft Unternehmen, Behörden, Vereine und auch Privatpersonen – und Verstöße können empfindliche Strafen nach sich ziehen. In diesem Leitfaden erklären wir Ihnen verständlich, was das DSG vorschreibt, welche Rechte Sie als Betroffener haben und wie Sie als Verantwortlicher rechtssicher handeln.
Was ist das Datenschutzgesetz (DSG) in Österreich?
Das Datenschutzgesetz (kurz DSG) ist das nationale österreichische Gesetz, das die Verarbeitung personenbezogener Daten regelt. Es ergänzt die DSGVO um spezifisch österreichische Bestimmungen und wurde zuletzt mit Wirkung zum 25. Mai 2018 grundlegend reformiert, um es mit dem EU-Recht in Einklang zu bringen.
Das DSG verfolgt drei zentrale Ziele:
- Schutz der Privatsphäre: Sicherstellung, dass natürliche Personen die Kontrolle über ihre Daten behalten.
- Rechtssicherheit für Unternehmen: Klare Regeln zur Datenverarbeitung im Wirtschaftsverkehr.
- Harmonisierung mit EU-Recht: Umsetzung der DSGVO und der JI-Richtlinie (Polizei-Justiz-Richtlinie) in nationales Recht.
Verfassungsrechtliche Verankerung
Eine Besonderheit Österreichs: Das Grundrecht auf Datenschutz ist in § 1 DSG im Verfassungsrang verankert. Das bedeutet, jeder hat einen verfassungsrechtlich geschützten Anspruch auf Geheimhaltung seiner personenbezogenen Daten – ein Schutzniveau, das über die DSGVO hinausgeht.
DSG und DSGVO: Wie hängen sie zusammen?
Die DSGVO gilt als EU-Verordnung unmittelbar in allen Mitgliedstaaten – auch in Österreich. Das DSG füllt jedoch sogenannte „Öffnungsklauseln" der DSGVO mit nationalem Recht aus und regelt Bereiche, die der EU-Gesetzgeber den Mitgliedstaaten überlassen hat.
| Bereich | DSGVO (EU) | DSG (Österreich) |
|---|---|---|
| Grundprinzipien | Rechtmäßigkeit, Zweckbindung, Datenminimierung | Verweis auf DSGVO + Grundrecht in § 1 |
| Aufsichtsbehörde | Vorschreibt nationale Behörde | Datenschutzbehörde (DSB) in Wien |
| Bußgelder gegen Behörden | Mitgliedstaaten entscheiden | Keine Geldbußen gegen Behörden |
| Arbeitnehmerdatenschutz | Öffnungsklausel | Geregelt in § 11 DSG + ArbVG |
| Bildverarbeitung (Videoüberwachung) | Allgemein geregelt | §§ 12, 13 DSG mit Detailregelungen |
Die wichtigsten Grundprinzipien des Datenschutzrechts
Jede Verarbeitung personenbezogener Daten in Österreich muss sich an folgenden Grundsätzen orientieren, die aus Art. 5 DSGVO und § 1 DSG abgeleitet werden:
1. Rechtmäßigkeit, Transparenz und Treu und Glauben
Daten dürfen nur verarbeitet werden, wenn eine Rechtsgrundlage besteht – etwa Einwilligung, Vertragserfüllung, gesetzliche Verpflichtung oder berechtigtes Interesse. Betroffene müssen klar und verständlich informiert werden.
2. Zweckbindung
Daten dürfen nur für jene Zwecke verwendet werden, für die sie erhoben wurden. Eine spätere Zweckänderung ist nur unter strengen Voraussetzungen zulässig.
3. Datenminimierung
Es dürfen nur jene Daten erhoben werden, die für den jeweiligen Zweck tatsächlich erforderlich sind. „Auf Vorrat" zu sammeln, ist unzulässig.
4. Richtigkeit und Speicherbegrenzung
Daten müssen aktuell und korrekt sein. Sobald der Zweck erfüllt ist, müssen sie gelöscht oder anonymisiert werden.
5. Integrität und Vertraulichkeit
Daten müssen durch technische und organisatorische Maßnahmen (TOMs) vor unbefugtem Zugriff, Verlust und Manipulation geschützt werden.
Ihre Rechte als Betroffener
Das DSG in Verbindung mit der DSGVO gewährt jedem Betroffenen umfassende Rechte. Diese können Sie kostenlos bei jedem Verantwortlichen geltend machen:
- Auskunftsrecht (Art. 15 DSGVO): Sie können erfragen, welche Daten über Sie gespeichert sind.
- Recht auf Berichtigung (Art. 16): Falsche Daten müssen korrigiert werden.
- Recht auf Löschung („Recht auf Vergessenwerden", Art. 17): Unter bestimmten Voraussetzungen müssen Ihre Daten gelöscht werden.
- Recht auf Einschränkung (Art. 18): Sie können die Verarbeitung Ihrer Daten einschränken lassen.
- Recht auf Datenübertragbarkeit (Art. 20): Sie können Ihre Daten in einem strukturierten Format erhalten.
- Widerspruchsrecht (Art. 21): Insbesondere gegen Direktwerbung und Profiling.
- Beschwerderecht: Sie können sich bei der Datenschutzbehörde (DSB) beschweren.
Verantwortliche müssen Anfragen innerhalb eines Monats beantworten. Wer wissen möchte, welche Spuren er online hinterlässt, sollte zudem aktiv seinen digitalen Fußabdruck kontrollieren.
Pflichten für Unternehmen und Verantwortliche
Jedes Unternehmen, jeder Verein und jede selbstständig tätige Person, die personenbezogene Daten verarbeitet, ist „Verantwortlicher" im Sinne des Gesetzes. Damit verbunden sind zahlreiche Pflichten:
Verzeichnis von Verarbeitungstätigkeiten (VVT)
Gemäß Art. 30 DSGVO müssen Verantwortliche ein internes Verzeichnis aller Verarbeitungstätigkeiten führen. Es dokumentiert, welche Daten zu welchem Zweck, auf welcher Rechtsgrundlage und wie lange verarbeitet werden.
Informationspflichten
Beim Erheben von Daten – etwa über ein Kontaktformular oder einen Newsletter – muss eine Datenschutzerklärung bereitgestellt werden, die Art. 13 und 14 DSGVO entspricht.
Technisch-organisatorische Maßnahmen (TOMs)
Verantwortliche müssen geeignete Schutzmaßnahmen treffen: Verschlüsselung, Zugriffskontrolle, Backups, Pseudonymisierung und Mitarbeiterschulungen sind nur einige Beispiele.
Datenschutzbeauftragter (DSB)
Ein Datenschutzbeauftragter ist verpflichtend bei Behörden sowie bei Unternehmen mit umfangreicher regelmäßiger Überwachung oder Verarbeitung sensibler Daten als Kerntätigkeit.
Datenschutz-Folgenabschätzung (DSFA)
Bei voraussichtlich hohem Risiko für Betroffene – etwa bei großflächiger Videoüberwachung oder Profiling – muss vorab eine DSFA durchgeführt werden.
Meldepflicht bei Datenpannen
Datenschutzverletzungen müssen binnen 72 Stunden an die österreichische Datenschutzbehörde gemeldet werden. Bei hohem Risiko sind auch die Betroffenen direkt zu informieren.
Die Datenschutzbehörde (DSB) Österreich
Die Datenschutzbehörde mit Sitz in Wien (Barichgasse 40-42, 1030 Wien) ist die zuständige nationale Aufsichtsbehörde. Sie ist unabhängig und nimmt folgende Aufgaben wahr:
- Bearbeitung von Beschwerden Betroffener
- Durchführung von Verfahren gegen Verantwortliche
- Verhängung von Geldbußen
- Beratung von Unternehmen und Behörden
- Vertretung Österreichs im Europäischen Datenschutzausschuss (EDSA)
Eine Beschwerde bei der DSB ist kostenlos und kann online über das Formular auf dsb.gv.at eingebracht werden.
Strafen und Bußgelder bei Verstößen
Verstöße gegen das DSG und die DSGVO können erhebliche finanzielle Konsequenzen haben. Die Bußgeldhöhe orientiert sich an Art. 83 DSGVO:
| Verstoß | Maximale Geldbuße |
|---|---|
| Leichte Verstöße (z. B. fehlendes VVT, mangelnde TOMs) | Bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes |
| Schwere Verstöße (z. B. fehlende Einwilligung, Verletzung von Betroffenenrechten) | Bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes |
| Strafrechtliche Verstöße nach § 63 DSG (Datenverwendung in Schädigungsabsicht) | Freiheitsstrafe bis zu 1 Jahr |
Eine österreichische Besonderheit: Gegen Behörden und öffentliche Stellen werden gemäß § 30 Abs. 5 DSG keine Geldbußen verhängt – ein Punkt, der innerhalb der EU teils kritisiert wird.
Spezialthemen im österreichischen DSG
Videoüberwachung (§§ 12, 13 DSG)
Die Bildverarbeitung – also Videoüberwachung – ist in Österreich gesondert geregelt. Sie ist nur zulässig zum Schutz von Personen oder Sachen, zur Erfüllung von Sorgfaltspflichten oder bei berechtigten Interessen. Eine Kennzeichnungspflicht (Hinweisschilder) besteht zwingend, und die Aufzeichnungen dürfen in der Regel maximal 72 Stunden gespeichert werden.
Arbeitnehmerdatenschutz
Im Beschäftigtenkontext gelten zusätzlich das Arbeitsverfassungsgesetz (ArbVG) und das Angestelltengesetz. Kontrollmaßnahmen, die die Menschenwürde berühren (z. B. GPS-Tracking, Kamera am Arbeitsplatz), bedürfen einer Betriebsvereinbarung.
Cookies und Tracking
Cookies, die nicht technisch notwendig sind, dürfen nur mit aktiver Einwilligung gesetzt werden (§ 165 TKG 2021 i. V. m. DSGVO). Pre-Ticked-Boxes oder „weiter surfen = Zustimmung" sind unzulässig.
Schutz von Kindern
Für Online-Dienste gilt: Die Einwilligung von Kindern ist in Österreich gemäß § 4 Abs. 4 DSG erst ab dem vollendeten 14. Lebensjahr wirksam – strenger als das DSGVO-Standardalter von 16 Jahren.
Praktische Tipps für die Umsetzung
Für Privatpersonen
- Datenschutzerklärungen lesen: Bevor Sie Dienste nutzen, prüfen Sie, was mit Ihren Daten geschieht.
- Datensparsam sein: Geben Sie nur notwendige Daten preis.
- Sichere Tools nutzen: Verwenden Sie etwa einen vertrauenswürdigen URL-Shortener wie Lunyb, der ohne Tracking und mit DSGVO-konformer Datenverarbeitung arbeitet.
- Passwörter & 2FA: Schützen Sie Ihre Konten mit starken Passwörtern und Zwei-Faktor-Authentifizierung.
- Auskunftsanfragen stellen: Nutzen Sie Ihr Auskunftsrecht gegenüber Unternehmen.
Für Unternehmen
- Bestandsaufnahme: Ermitteln Sie alle Verarbeitungstätigkeiten und dokumentieren Sie diese im VVT.
- Rechtsgrundlagen prüfen: Stellen Sie für jede Verarbeitung eine gültige Rechtsgrundlage sicher.
- Datenschutzerklärung aktualisieren: Sie muss klar, verständlich und vollständig sein.
- Auftragsverarbeiter-Verträge (AVV): Schließen Sie mit allen Dienstleistern, die Daten in Ihrem Auftrag verarbeiten, schriftliche AVVs ab.
- Mitarbeiter schulen: Sensibilisierung ist die wichtigste Maßnahme zur Vermeidung von Datenpannen.
- Notfallplan: Bereiten Sie sich auf den Ernstfall (Datenpanne) vor.
Ausblick: Datenschutz und neue Technologien
Mit dem Vormarsch von künstlicher Intelligenz, IoT-Geräten und Big-Data-Anwendungen stellen sich neue datenschutzrechtliche Fragen. Insbesondere der neue AI Act der EU ergänzt das DSG ab 2026 um spezifische Regelungen für KI-Systeme. Auch das Thema mobile Sicherheit gewinnt an Bedeutung – wer den Verdacht hat, kompromittiert worden zu sein, sollte die Warnzeichen eines gehackten Handys kennen.
Auch der Trend zur Nutzung von VPN-Diensten zur Anonymisierung ist ungebrochen. Wer überlegt, welche Lösung passt, findet in unserem Vergleich kostenloser vs. bezahlter VPNs Orientierung.
FAQ – Häufig gestellte Fragen zum Datenschutzgesetz Österreich
Gilt in Österreich die DSGVO oder das DSG?
Beide gelten parallel. Die DSGVO ist als EU-Verordnung unmittelbar anwendbar, das österreichische DSG ergänzt sie um nationale Regelungen, etwa zur Datenschutzbehörde, zum Arbeitnehmerdatenschutz und zur Videoüberwachung.
Ab welchem Alter dürfen Kinder in Österreich in die Datenverarbeitung einwilligen?
In Österreich liegt das Mindestalter für eine wirksame Einwilligung in Online-Dienste bei 14 Jahren – niedriger als das DSGVO-Standardalter von 16 Jahren. Für jüngere Kinder muss die Einwilligung durch die Erziehungsberechtigten erteilt werden.
Wie kann ich eine Beschwerde bei der Datenschutzbehörde einreichen?
Eine Beschwerde können Sie kostenlos schriftlich oder online über die Webseite der DSB (dsb.gv.at) einreichen. Sie sollte den Sachverhalt, den betroffenen Verantwortlichen und nach Möglichkeit Belege enthalten. Vorher empfiehlt sich, das Unternehmen direkt zu kontaktieren.
Wann ist ein Datenschutzbeauftragter Pflicht?
Ein DSB ist verpflichtend für Behörden sowie für Unternehmen, deren Kerntätigkeit in einer umfangreichen regelmäßigen und systematischen Überwachung von Personen oder der Verarbeitung sensibler Daten besteht (Art. 37 DSGVO). Eine pauschale Mitarbeitergrenze gibt es nicht.
Wie hoch können Strafen für DSGVO-Verstöße in Österreich sein?
Die Bußgelder reichen je nach Schwere bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Gegen Behörden werden in Österreich jedoch keine Geldbußen verhängt.
Muss meine Website eine Datenschutzerklärung haben?
Ja. Sobald Sie personenbezogene Daten verarbeiten – und das beginnt bereits mit dem Speichern von IP-Adressen in Server-Logs – benötigen Sie eine Datenschutzerklärung gemäß Art. 13 DSGVO, die leicht zugänglich und verständlich sein muss.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
KI-Gesetz der EU: Was Sich 2026 Ändert (AI Act Leitfaden)
Das EU-KI-Gesetz ist die weltweit erste umfassende Regulierung künstlicher Intelligenz. Erfahren Sie, welche Risikoklassen es gibt, welche Pflichten ab 2026 gelten und wie sich Unternehmen und Verbraucher vorbereiten können.
DSG: Das Schweizer Datenschutzgesetz Einfach Erklärt (2026)
Das revidierte Schweizer Datenschutzgesetz (revDSG) gilt seit 1. September 2023 und bringt umfassende neue Pflichten für Unternehmen. Erfahren Sie alles über Grundsätze, Pflichten, Rechte und Sanktionen – sowie die wichtigsten Unterschiede zur DSGVO.
EDÖB Beschwerde Einreichen: So Gehen Sie Schritt für Schritt Vor (2026)
Erfahren Sie Schritt für Schritt, wie Sie eine Beschwerde beim EDÖB einreichen. Dieser umfassende Leitfaden 2026 erklärt Voraussetzungen, Ablauf, neue Befugnisse seit dem revDSG und liefert einen praxiserprobten Musterbrief für Ihre Datenschutzbeschwerde in der Schweiz.
DSGVO Einfach Erklärt 2026: Der Komplette Leitfaden für Verbraucher und Unternehmen
Die Datenschutz-Grundverordnung (DSGVO) ist seit 2018 in Kraft und prägt den Umgang mit personenbezogenen Daten in der EU. Dieser Leitfaden erklärt die wichtigsten Regelungen verständlich und zeigt, was sich 2026 für Sie ändert.