Datenschutzgesetz Österreich Erklärt: DSG, DSGVO und Ihre Rechte 2026
Das österreichische Datenschutzgesetz (DSG) bildet zusammen mit der europäischen Datenschutz-Grundverordnung (DSGVO) das Fundament des Datenschutzes in Österreich. Während die DSGVO als EU-Verordnung unmittelbar in allen Mitgliedstaaten gilt, ergänzt das DSG diese durch nationale Sonderregelungen. In diesem umfassenden Leitfaden erklären wir Ihnen, was das Datenschutzgesetz Österreich konkret regelt, welche Rechte Sie als Betroffener haben und welche Pflichten Unternehmen erfüllen müssen.
Was ist das Datenschutzgesetz Österreich?
Das Datenschutzgesetz (DSG) ist das nationale österreichische Bundesgesetz zum Schutz personenbezogener Daten. Es trat in seiner aktuellen Fassung am 25. Mai 2018 zeitgleich mit der DSGVO in Kraft und löste das frühere DSG 2000 ab. Das Gesetz konkretisiert und ergänzt die DSGVO dort, wo diese den Mitgliedstaaten Spielraum für eigene Regelungen lässt.
Das DSG besteht aus mehreren Hauptteilen:
- Verfassungsbestimmung (§ 1 DSG): Garantiert das Grundrecht auf Datenschutz
- Allgemeine Bestimmungen: Ergänzungen zur DSGVO
- Datenverarbeitung im polizeilichen und justiziellen Bereich
- Bestimmungen zur Datenschutzbehörde
- Strafbestimmungen und Rechtsschutz
Das Grundrecht auf Datenschutz (§ 1 DSG)
Eine Besonderheit Österreichs ist, dass das Recht auf Datenschutz Verfassungsrang genießt. § 1 DSG garantiert jedermann den Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse besteht. Diese Verfassungsbestimmung geht in mancher Hinsicht sogar über die DSGVO hinaus.
Verhältnis zwischen DSG und DSGVO
Die DSGVO (Verordnung (EU) 2016/679) ist als europäische Verordnung unmittelbar anwendbares Recht in Österreich. Das DSG ergänzt die DSGVO an Stellen, wo sogenannte Öffnungsklauseln nationale Regelungen erlauben. In der Praxis bedeutet das: Beide Rechtsakte gelten parallel.
Wichtige nationale Sonderregelungen im DSG
- Bildverarbeitung (§§ 12-13 DSG): Spezielle Regelungen für Videoüberwachung
- Datenschutz im Beschäftigungskontext (§ 11 DSG): Sonderregelungen für Arbeitnehmerdaten
- Wissenschaftliche Forschung und Statistik (§ 7 DSG): Erleichterungen für Forschungszwecke
- Freie Meinungsäußerung und Journalismus (§ 9 DSG): Medienprivileg
- Verarbeitung zu Zwecken der Direktwerbung (§ 151 GewO i.V.m. DSG)
Welche Daten sind geschützt?
Geschützt sind alle personenbezogenen Daten – also alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu zählen unter anderem:
- Name, Adresse, Geburtsdatum
- E-Mail-Adresse, Telefonnummer
- IP-Adresse und Cookie-IDs
- Standortdaten
- Gesundheitsdaten
- Finanzdaten
- Biometrische Daten (Fingerabdruck, Gesichtserkennung)
- Online-Identifikatoren
Besondere Kategorien personenbezogener Daten
Bestimmte Daten genießen einen besonders hohen Schutz nach Art. 9 DSGVO:
- Rassische und ethnische Herkunft
- Politische Meinungen
- Religiöse oder weltanschauliche Überzeugungen
- Gewerkschaftszugehörigkeit
- Genetische und biometrische Daten
- Gesundheitsdaten
- Daten zum Sexualleben oder zur sexuellen Orientierung
Ihre Rechte als Betroffener
Das DSG in Verbindung mit der DSGVO gewährt Ihnen als Betroffenem umfangreiche Rechte gegenüber Unternehmen und Behörden, die Ihre Daten verarbeiten.
Die wichtigsten Betroffenenrechte im Überblick
| Recht | Rechtsgrundlage | Inhalt |
|---|---|---|
| Auskunftsrecht | Art. 15 DSGVO | Information über gespeicherte Daten |
| Recht auf Berichtigung | Art. 16 DSGVO | Korrektur falscher Daten |
| Recht auf Löschung | Art. 17 DSGVO | "Recht auf Vergessenwerden" |
| Recht auf Einschränkung | Art. 18 DSGVO | Sperrung der Verarbeitung |
| Recht auf Datenübertragbarkeit | Art. 20 DSGVO | Datenexport in gängigem Format |
| Widerspruchsrecht | Art. 21 DSGVO | Widerspruch gegen Verarbeitung |
| Beschwerderecht | Art. 77 DSGVO, § 24 DSG | Beschwerde bei der DSB |
So machen Sie Ihre Rechte geltend
- Anfrage formulieren: Schriftliche Anfrage an den Verantwortlichen (per E-Mail oder Brief)
- Identität nachweisen: Auf Verlangen Identitätsnachweis erbringen
- Frist abwarten: Das Unternehmen muss innerhalb eines Monats reagieren
- Bei Verweigerung: Beschwerde bei der Datenschutzbehörde einreichen
- Rechtsmittel: Klage beim Bundesverwaltungsgericht möglich
Wenn Sie von einem Datenleck betroffen sind, sollten Sie zusätzlich konkrete Schutzmaßnahmen ergreifen. Unser Notfallplan bei Datenlecks erklärt Schritt für Schritt, was zu tun ist.
Pflichten für Unternehmen nach DSG
Unternehmen, die personenbezogene Daten verarbeiten, treffen umfangreiche Pflichten. Diese gelten unabhängig von der Unternehmensgröße – auch Einzelunternehmer und Vereine sind betroffen.
Zentrale Pflichten im Überblick
- Rechtmäßigkeit der Verarbeitung: Es muss eine Rechtsgrundlage nach Art. 6 DSGVO vorliegen (Einwilligung, Vertrag, gesetzliche Pflicht, berechtigtes Interesse etc.)
- Informationspflichten: Transparente Datenschutzerklärung gemäß Art. 13 und 14 DSGVO
- Verzeichnis von Verarbeitungstätigkeiten: Dokumentation aller Datenverarbeitungen (Art. 30 DSGVO)
- Technische und organisatorische Maßnahmen (TOM): Schutz der Daten vor unbefugtem Zugriff
- Datenschutz-Folgenabschätzung (DSFA): Bei risikoreichen Verarbeitungen verpflichtend
- Meldung von Datenschutzverletzungen: Innerhalb von 72 Stunden an die DSB
- Datenschutzbeauftragter: Bestellung unter bestimmten Voraussetzungen
Wann muss ein Datenschutzbeauftragter bestellt werden?
Nach Art. 37 DSGVO ist ein Datenschutzbeauftragter (DSB) verpflichtend, wenn:
- Die Verarbeitung durch eine Behörde erfolgt
- Kerntätigkeit eine umfangreiche regelmäßige Überwachung von Personen umfasst
- Kerntätigkeit die umfangreiche Verarbeitung besonderer Datenkategorien beinhaltet
Die österreichische Datenschutzbehörde (DSB)
Die Datenschutzbehörde mit Sitz in Wien ist die zentrale Aufsichtsbehörde für den Datenschutz in Österreich. Sie ist unabhängig und wird vom Bundeskanzleramt verwaltungstechnisch unterstützt.
Aufgaben der DSB
- Bearbeitung von Beschwerden Betroffener
- Durchführung von amtswegigen Prüfverfahren
- Verhängung von Bußgeldern
- Beratung und Information
- Zusammenarbeit mit anderen europäischen Aufsichtsbehörden im Europäischen Datenschutzausschuss (EDSA)
Beschwerde einreichen – So funktioniert's
- Beschwerde-Formular auf der Website der DSB ausfüllen (dsb.gv.at)
- Sachverhalt detailliert schildern
- Nachweise und Korrespondenz beifügen
- Beschwerde digital oder per Post einreichen
- Bearbeitungsdauer: in der Regel mehrere Monate
Bußgelder und Strafen nach DSG
Verstöße gegen das Datenschutzrecht können empfindliche Strafen nach sich ziehen. Die DSGVO sieht zwei Bußgeldstufen vor, die auch in Österreich gelten.
Bußgeldrahmen
| Verstoßart | Maximalstrafe | Beispiele |
|---|---|---|
| Leichtere Verstöße | Bis zu 10 Mio. € oder 2% des weltweiten Jahresumsatzes | Fehlendes Verzeichnis von Verarbeitungstätigkeiten, mangelhafte TOM |
| Schwere Verstöße | Bis zu 20 Mio. € oder 4% des weltweiten Jahresumsatzes | Verletzung Grundsätze, fehlende Rechtsgrundlage, Missachtung Betroffenenrechte |
Strafrechtliche Sanktionen (§ 63 DSG)
Zusätzlich zu Verwaltungsstrafen sieht das DSG auch strafrechtliche Sanktionen vor. Wer mit Schädigungsabsicht oder Bereicherungsvorsatz unrechtmäßig auf Daten zugreift, sie übermittelt oder veröffentlicht, kann mit Freiheitsstrafe bis zu einem Jahr bestraft werden.
Datenschutz im digitalen Alltag
Das österreichische Datenschutzgesetz hat erhebliche Auswirkungen auf den digitalen Alltag – sowohl für Verbraucher als auch für Unternehmen.
Cookies und Tracking
Die Verwendung von Cookies und Tracking-Technologien unterliegt strengen Regeln. Für nicht zwingend erforderliche Cookies (z.B. Marketing-Cookies) ist eine aktive Einwilligung der Nutzer erforderlich. Cookie-Banner müssen folgende Anforderungen erfüllen:
- Gleichwertige Ablehnungsmöglichkeit wie Zustimmung
- Keine vorausgewählten Checkboxen
- Klare Informationen über Zweck und Empfänger
- Einfacher Widerruf der Einwilligung
Schutz Ihrer Daten beim Surfen
Auch als Privatperson können Sie aktiv zum Schutz Ihrer Daten beitragen. Die Wahl eines datenschutzfreundlichen Browsers ist dabei ein wichtiger Schritt. Zudem sollten Sie bei der Weitergabe von Links vorsichtig sein – kurze, sichere URLs über Dienste wie Lunyb können dabei helfen, Ihre Privatsphäre zu wahren und gleichzeitig Tracking durch Drittanbieter zu minimieren.
Vorsicht bei QR-Codes und Phishing
Datenschutz endet nicht beim Lesen von Datenschutzerklärungen. Cyberkriminelle nutzen immer häufiger manipulierte QR-Codes, um an persönliche Daten zu gelangen. Mehr dazu in unserem Artikel zu QR-Code-Betrug und Quishing.
Aktuelle Entwicklungen und Ausblick 2026
Das Datenschutzrecht entwickelt sich kontinuierlich weiter. Mehrere wichtige Entwicklungen prägen das Jahr 2026:
KI und Datenschutz
Mit dem Inkrafttreten des EU-KI-Gesetzes (AI Act) ergeben sich neue Anforderungen an die Verarbeitung personenbezogener Daten durch KI-Systeme. Was sich konkret ändert, erfahren Sie in unserem Überblick zum EU-KI-Gesetz.
Data Act und Data Governance Act
Die neuen europäischen Datenrechtsakte ergänzen die DSGVO und regeln Datenzugang, Datenteilung und Datentreuhand. Auch sie wirken sich auf österreichische Unternehmen aus.
Verstärkte Durchsetzung
Die österreichische Datenschutzbehörde wird zunehmend aktiver und verhängt höhere Bußgelder. Auch Sammelklagen gewinnen an Bedeutung.
Praktische Tipps zur DSG-Compliance
Für Unternehmen
- Bestandsaufnahme: Welche Daten werden zu welchem Zweck verarbeitet?
- Rechtsgrundlagen prüfen: Für jede Verarbeitung muss eine Rechtsgrundlage existieren
- Dokumentation: Verzeichnis der Verarbeitungstätigkeiten erstellen und pflegen
- Datenschutzerklärung: Transparent, vollständig und aktuell halten
- Verträge mit Auftragsverarbeitern: AVV nach Art. 28 DSGVO abschließen
- Mitarbeiterschulung: Regelmäßige Schulungen durchführen
- Notfallplan: Prozess für Datenschutzverletzungen etablieren
Für Privatpersonen
- Datenschutzerklärungen lesen, bevor Sie Dienste nutzen
- Cookies bewusst akzeptieren oder ablehnen
- Regelmäßig prüfen, welche Daten über Sie gespeichert sind
- Nicht mehr benötigte Konten löschen
- Bei Verdacht auf Verstöße Beschwerde einreichen
- Starke Passwörter und Zwei-Faktor-Authentifizierung nutzen
FAQ – Häufig gestellte Fragen
Gilt das DSG auch für Privatpersonen?
Grundsätzlich nein. Die Verarbeitung personenbezogener Daten zu ausschließlich persönlichen oder familiären Zwecken (z.B. private Adressbücher) fällt nicht unter das DSG. Sobald jedoch geschäftliche oder öffentliche Zwecke verfolgt werden – etwa bei einem privaten Blog mit Kommentaren – gelten die Bestimmungen.
Wie unterscheidet sich das österreichische DSG von der deutschen Rechtslage?
Beide Länder setzen die DSGVO um, haben aber unterschiedliche nationale Ergänzungen. Österreich kennt das Datenschutz-Grundrecht mit Verfassungsrang (§ 1 DSG), während Deutschland mit dem BDSG eine eigene Struktur gewählt hat. Auch bei Bildverarbeitung, Beschäftigtendatenschutz und Forschung gibt es Unterschiede.
Wie lange darf ein Unternehmen meine Daten speichern?
Das DSG schreibt keine generellen Speicherfristen vor. Daten dürfen nur so lange aufbewahrt werden, wie es für den jeweiligen Zweck erforderlich ist. Gesetzliche Aufbewahrungspflichten (z.B. 7 Jahre für Buchhaltungsunterlagen nach UGB) bilden Ausnahmen. Nach Wegfall des Zwecks müssen Daten gelöscht oder anonymisiert werden.
Was kostet eine Beschwerde bei der Datenschutzbehörde?
Eine Beschwerde bei der österreichischen Datenschutzbehörde ist grundsätzlich kostenlos. Auch ein anschließendes Verfahren vor dem Bundesverwaltungsgericht ist gebührenbefreit. Lediglich bei einer ordentlichen Revision an den Verwaltungsgerichtshof fallen Gebühren an.
Welche Frist hat ein Unternehmen, um auf meine Auskunftsanfrage zu reagieren?
Nach Art. 12 Abs. 3 DSGVO muss ein Unternehmen unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang der Anfrage antworten. In komplexen Fällen kann diese Frist um weitere zwei Monate verlängert werden, wobei der Betroffene über die Verlängerung und die Gründe informiert werden muss.
Fazit
Das österreichische Datenschutzgesetz bildet zusammen mit der DSGVO einen umfassenden rechtlichen Rahmen zum Schutz personenbezogener Daten. Für Unternehmen bedeutet dies erhebliche Pflichten – von der Dokumentation über technische Schutzmaßnahmen bis hin zur Meldung von Datenschutzverletzungen. Verbraucher hingegen profitieren von umfangreichen Rechten und einer starken, unabhängigen Aufsichtsbehörde.
Datenschutz ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Wer die Grundsätze versteht und konsequent umsetzt, schützt nicht nur sich selbst und seine Kunden, sondern stärkt auch das Vertrauen in die digitale Wirtschaft Österreichs.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
KI-Gesetz der EU: Was Sich 2026 für Unternehmen und Bürger Ändert
Das EU KI-Gesetz verändert ab 2025 grundlegend, wie künstliche Intelligenz in Europa eingesetzt werden darf. Erfahren Sie alles über Risikoklassen, Pflichten, Fristen und Bußgelder – sowie wie Sie Ihr Unternehmen rechtzeitig vorbereiten.
DSGVO Einfach Erklärt 2026: Der Komplette Leitfaden für Unternehmen und Privatpersonen
Die DSGVO im Jahr 2026 verständlich erklärt: Erfahren Sie alles über Grundprinzipien, Betroffenenrechte, Unternehmenspflichten und aktuelle Neuerungen. Mit praktischer Checkliste für die Umsetzung und Tipps für Privatpersonen.
EDÖB: So Reichen Sie eine Beschwerde Ein – Schritt-für-Schritt
Eine Beschwerde beim EDÖB ist Ihr wichtigstes Instrument bei Datenschutzverletzungen in der Schweiz. Dieser Leitfaden zeigt Schritt für Schritt, wie Sie eine wirksame Anzeige einreichen, welche Unterlagen Sie benötigen und welche Rechte Sie nach dem revDSG haben.
DSG: Das Schweizer Datenschutzgesetz Verständlich Erklärt
Das revidierte Schweizer Datenschutzgesetz (revDSG) gilt seit September 2023 und bringt umfassende neue Pflichten für Unternehmen. Dieser Leitfaden erklärt Geltungsbereich, Grundsätze, Rechte und Sanktionen verständlich und praxisnah.