Personenbezogene Daten landen täglich in Dutzenden von Systemen. Beim Online-Einkauf, beim Arztbesuch, beim Arbeitgeber, bei der Gemeinde. Wer sie verarbeitet, trägt Verantwortung und wer sie preisgibt, hat Rechte. Datenschutz in Österreich betrifft Unternehmen aller Größen und jeden Bürger gleichermaßen.
🧠 Wissen in Kürze
- Zwei Gesetze, ein Ziel: In Österreich gilt sowohl die EU-weit verbindliche DSGVO als auch das nationale Datenschutzgesetz (DSG), das spezifische österreichische Regelungen ergänzt und präzisiert.
- Beschwerden auf Rekordniveau: Die österreichische Datenschutzbehörde verzeichnete zwischen 2017 und 2024 einen Anstieg der Individualbeschwerden um 769 Prozent, was zeigt, wie ernst Bürgerinnen und Bürger ihre Rechte inzwischen nehmen.
- Datenschutz gilt für alle: Die Datenschutzpflichten treffen Sie unabhängig davon, ob Sie ein Einpersonenunternehmen, einen Verein oder einen Konzern betreiben.
Das rechtliche Fundament: DSGVO und DSG greifen ineinander
Seit dem 25. Mai 2018 gilt in der Europäischen Union die Datenschutz-Grundverordnung, kurz DSGVO. Als EU-Verordnung ist sie in jedem Mitgliedstaat unmittelbar anwendbar, ohne dass es einer nationalen Umsetzung bedarf. Österreich hat jedoch zusätzlich das Datenschutzgesetz (DSG) angepasst, das die sogenannten Öffnungsklauseln der DSGVO mit nationalem Recht füllt und österreichische Besonderheiten regelt. Datenschutz ist dabei ein Grundrecht, das in der EU-Grundrechtecharta und in § 1 DSG verankert ist.
Ein Beispiel für die österreichische Eigenständigkeit beim Datenschutz. Bei Videoüberwachung in Geschäftslokalen schreibt das DSG vor, dass Hinweisschilder nicht nur auf die Kameras hinweisen, sondern auch die verantwortliche Stelle nennen müssen. Das umfassende DSG-Novellenpaket, das der Nationalrat im April 2025 beschloss, ist seit Januar 2026 vollständig in Kraft. Die Übergangsfrist zur Anpassung interner Prozesse ist abgelaufen. Der Rechtsrahmen entwickelt sich dabei laufend weiter.
Das gilt als personenbezogene Daten
Bevor geklärt werden kann, wer sich an was halten muss, braucht es ein klares Verständnis davon, welche Daten überhaupt geschützt sind. Als personenbezogene Daten gelten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Das umfasst offensichtliche Angaben wie Name, Adresse oder Geburtsdatum, aber genauso IP-Adressen, Kfz-Kennzeichen, Kontonummern, Fotos und selbst Interessen und Vorlieben, sofern sie einer Person zuordenbar sind.
Eine eigene Kategorie bilden besonders sensible Daten, etwa Angaben zur ethnischen Herkunft, zu politischen Meinungen, zur Religionszugehörigkeit, zu Gesundheit oder zum Sexualleben. Für diese Datenkategorien gelten nach Art. 9 DSGVO deutlich strengere Verarbeitungsvoraussetzungen. Wer solche Daten verarbeitet, z.B. als Arztpraxis, Krankenhaus oder Personaldienstleister, trägt eine besonders hohe Verantwortung.
Wer muss sich an Datenschutzregeln halten?
Die kurze Antwort ist simpel und gilt ohne Ausnahme für alle. Die DSGVO und das DSG gelten für jede natürliche oder juristische Person, die personenbezogene Daten verarbeitet, unabhängig von Rechtsform, Branche oder Unternehmensgröße. Das trifft die Einzelunternehmerin, die eine Kundendatenbank führt, genauso wie den gemeinnützigen Verein, der Mitgliederdaten speichert, oder die Gemeinde, die Bürgerdaten verwaltet, sie alle müssen dies bei der Entwicklung ihrer Digitalstrategie beachten.
Unterschieden wird dabei zwischen zwei zentralen Rollen: dem Verantwortlichen, also jener Stelle, die über Zweck und Mittel der Datenverarbeitung entscheidet, und dem Auftragsverarbeiter, der Daten im Auftrag eines Verantwortlichen verarbeitet, etwa ein externes Rechenzentrum oder ein Cloud-Anbieter. Beide unterliegen datenschutzrechtlichen Pflichten, wenngleich in unterschiedlichem Umfang.
Die wichtigsten Pflichten für Unternehmen im Überblick
Wer als Verantwortlicher gilt, muss eine Reihe von konkreten Anforderungen erfüllen. Die wichtigsten davon sind:
Kernpflichten nach DSGVO und DSG:
- Transparenzpflicht: Sie müssen Betroffene klar und verständlich darüber informieren, welche Daten Sie zu welchem Zweck, auf welcher Rechtsgrundlage und wie lange verarbeiten.
- Verarbeitungsverzeichnis: Unternehmen ab zehn Mitarbeiterinnen und Mitarbeitern sind verpflichtet, ein vollständiges Verzeichnis aller Verarbeitungstätigkeiten zu führen und auf Anforderung den Behörden vorzulegen.
- Technische und organisatorische Maßnahmen (TOMs): Sie müssen ein angemessenes Schutzniveau durch geeignete Sicherheitsvorkehrungen gewährleisten, z.B. Zugriffskontrollen, Verschlüsselung oder Mitarbeiterschulungen.
- 72-Stunden-Meldepflicht: Bei einer Datenschutzverletzung, also etwa einem Hackerangriff oder dem Verlust eines Datenträgers mit Kundendaten, müssen Sie die österreichische Datenschutzbehörde spätestens binnen 72 Stunden informieren.
- Datenschutz-Folgenabschätzung (DSFA): Wenn eine geplante Datenverarbeitung voraussichtlich ein hohes Risiko für Betroffene mit sich bringt, etwa bei der Einführung neuer KI-Systeme oder der umfangreichen Verarbeitung von Gesundheitsdaten, ist vor dem Start eine DSFA verpflichtend durchzuführen.
Eines sollten Sie dabei im Hinterkopf behalten. Es reicht nicht aus, eine Datenschutzerklärung auf der Website zu veröffentlichen und den Rest dem Zufall zu überlassen. Die DSGVO verlangt aktives Datenschutzmanagement, das dokumentiert und nachweisbar ist.
Braucht ein Unternehmen einen Datenschutzbeauftragten?
Nicht jedes Unternehmen ist verpflichtet, einen Datenschutzbeauftragten zu benennen. Die DSGVO sieht diese Pflicht vor, wenn die Kerntätigkeit in der umfangreichen, regelmäßigen und systematischen Überwachung von Personen besteht, was typischerweise auf Banken, Versicherungen, Kreditauskunfteien oder Berufsdetektive zutrifft, oder wenn die Kerntätigkeit die umfangreiche Verarbeitung besonders sensibler Daten oder Daten über strafrechtliche Verurteilungen umfasst, wie es bei Krankenanstalten der Fall ist.
Die Unternehmensgröße spielt dabei ausdrücklich keine Rolle. Eine freiwillige Bestellung ist jederzeit möglich und in vielen Fällen durchaus sinnvoll. Der Datenschutzbeauftragte berät und schult, überwacht die Einhaltung der Datenschutzvorschriften und fungiert als Ansprechstelle für die Behörde. Er muss dabei weisungsfrei agieren und darf wegen seiner Tätigkeit weder abberufen noch benachteiligt werden. Wer die Bestellpflicht missachtet, riskiert eine Geldbuße von bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes.
Die Rechte der Betroffenen: Was Bürgerinnen und Bürger verlangen können
Datenschutz in Österreich ist keine Einbahnstraße. Jede Person, deren Daten verarbeitet werden, hat konkrete, einklagbare Rechte gegenüber dem Verantwortlichen. Diese Betroffenenrechte sind das Herzstück der DSGVO und werden in Österreich zunehmend aktiv genutzt, wie die steigenden Beschwerdestatistiken der DSB belegen.
Die wichtigsten Betroffenenrechte im Überblick:
- Auskunftsrecht (Art. 15 DSGVO): Sie können verlangen zu erfahren, ob und welche Daten über Sie verarbeitet werden, zu welchem Zweck, wie lange und an wen sie weitergegeben werden.
- Recht auf Berichtigung (Art. 16): Unrichtige oder unvollständige Daten müssen auf Ihren Antrag hin korrigiert werden.
- Recht auf Löschung (Art. 17): Das sogenannte „Recht auf Vergessenwerden“ greift, wenn der ursprüngliche Zweck der Datenerhebung entfallen ist, wenn Sie Ihre Einwilligung widerrufen oder wenn die Daten unrechtmäßig verarbeitet wurden.
- Recht auf Einschränkung der Verarbeitung (Art. 18): Sie können verlangen, dass Ihre Daten zwar nicht gelöscht, aber vorübergehend gesperrt werden, etwa wenn Sie deren Richtigkeit bestreiten.
- Recht auf Datenübertragbarkeit (Art. 20): Daten, die Sie einem Anbieter überlassen haben, können Sie in einem strukturierten Format herausverlangen und zu einem anderen Dienstleister mitnehmen, was besonders beim Wechsel von Versicherung, Telefonanbieter oder Online-Diensten praktisch ist.
- Widerspruchsrecht (Art. 21): Sie können der Verarbeitung Ihrer Daten widersprechen, auch gegen Profiling und automatisierte Entscheidungen.
Auf jeden Antrag muss der Verantwortliche unverzüglich, jedenfalls aber innerhalb eines Monats antworten. Diese Frist kann bei komplexen Fällen auf insgesamt drei Monate verlängert werden. Kommt keine Reaktion oder erscheint die Antwort unzureichend, können Sie innerhalb eines Jahres Beschwerde bei der österreichischen Datenschutzbehörde einreichen.
Das droht bei Verstößen: Strafen mit Gewicht
Die Zeiten, in denen Datenschutzverstöße folgenlos blieben, sind vorbei. Die DSGVO sieht bei schwerwiegenden Verstößen, darunter die Verletzung von Betroffenenrechten oder die unzulässige Verarbeitung sensibler Daten, Geldbußen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes vor. Bei weniger gravierenden Verstößen, z.B. gegen Dokumentationspflichten, sind es bis zu 10 Millionen Euro oder zwei Prozent des Jahresumsatzes.
Österreichische Fälle zeigen, dass diese Zahlen keine Theorie sind. Die Österreichische Post AG wurde mit einer Strafe von rund 18 Millionen Euro belegt, nachdem sie datenschutzrechtliche Anfragen nicht per E-Mail entgegengenommen hatte. Eine Bank erhielt eine Geldbuße von 9.500 Euro, weil sie auf ein Auskunftsbegehren mit einer Datenlöschung reagierte anstatt mit einer Auskunft. Ein Gastronomiebetrieb wurde wegen unerlaubter Videoüberwachung und fehlendem Verarbeitungsverzeichnis bestraft. Die Datenschutzbehörde (DSB) hat ihre Strafpraxis in den vergangenen Jahren deutlich aktiver gestaltet und verhängte zuletzt Bußgelder im Bereich von 5.900 bis 50.000 Euro.
Insgesamt wurden in Österreich seit Einführung der DSGVO Bußgelder in Höhe von rund 45 Millionen Euro verhängt. 2024 bearbeitete die DSB über 12.000 Beschwerden, wobei Cookie-Einwilligungsmanagement als häufigster Verstoß hervorstach.
Das kommt 2026 im Datenschutz auf Sie zu
Das Datenschutzrecht steht nicht still. Das umfassende DSG-Novellenpaket vom April 2025 ist seit Januar 2026 vollständig wirksam, die Schonfrist für Anpassungen ist abgelaufen. Ab September 2026 tritt das Informationsfreiheitsgesetz (IFG) in Kraft, das das jahrzehntealte Amtsgeheimnis abschafft. Staatliche Stellen werden zur proaktiven Veröffentlichung verpflichtet, Transparenz wird zum Regelfall. Das hat direkte Auswirkungen auf den Umgang mit personenbezogenen Daten in öffentlichen Dokumenten.
Auf europäischer Ebene sorgt der sogenannte Digitale Omnibus der EU-Kommission für Bewegung. Er zielt darauf ab, die DSGVO zu vereinfachen und an neue Technologien wie künstliche Intelligenz anzupassen, unter anderem durch eine präzisere Abgrenzung personenbezogener und pseudonymisierter Daten. Österreichische Unternehmen sollten diese Entwicklungen im Auge behalten und ihre Datenschutzprozesse laufend überprüfen. Es ist eine laufende Aufgabe.
Datenschutz ist Grundlage für Vertrauen
Wer personenbezogene Daten verarbeitet, trägt Verantwortung gegenüber echten Menschen. Die DSGVO und das österreichische DSG geben dafür einen klaren Rahmen vor, der mit dem vollständigen Inkrafttreten der DSG-Novelle Anfang 2026 erneut an Schärfe gewonnen hat. Unternehmen, die Datenschutz ernst nehmen, schützen sich vor empfindlichen Strafen und bauen gleichzeitig Vertrauen bei Kunden, Partnern und Mitarbeiterinnen und Mitarbeitern auf. Die Frage, ob Datenschutz für Sie gilt, stellt sich längst nicht mehr. Die Frage ist, wie gut Sie aufgestellt sind.
Bei FirstData unterstützen wir Unternehmen dabei, ihre Datenverarbeitungsprozesse transparent, rechtssicher und nachvollziehbar zu gestalten. Wenn Sie wissen möchten, wo Ihr Unternehmen in puncto Datenschutz steht, sprechen Sie uns an.
