Datenschutzrecht in Österreich: Leitfaden zu DSGVO & DSG (2026)

Die Regeln zum Datenschutz in Österreich beruhen auf zwei Quellen: der Datenschutz-Grundverordnung der EU (Verordnung 2016/679), die seit Mai 2018 unmittelbar gilt, und dem nationalen Datenschutzgesetz (DSG), zuletzt im Juli 2024 novelliert, das die Lücken über die 69 Öffnungsklauseln der DSGVO schließt. Die Datenschutzbehörde (DSB) überwacht die Einhaltung.
Der rechtliche Rahmen des Datenschutzes in Österreich
Österreichs Ansatz beim Datenschutz stützt sich auf zwei Säulen. Die Verordnung (EU) 2016/679 (die DSGVO), die seit 25. Mai 2018 unionsweit unmittelbar gilt, bildet den primären Rechtsrahmen. Das Datenschutzgesetz (DSG), zuletzt im Juli 2024 novelliert, füllt jene Bereiche aus, in denen die DSGVO nationalen Spielraum zulässt.
Das heutige DSG löste das Datenschutzgesetz 2000 ab, das seinerseits auf das ursprüngliche österreichische Datenschutzgesetz von 1978 folgte. Jenes Gesetz von 1978 war insofern bemerkenswert, als es ein verfassungsrechtliches Grundrecht auf Datenschutz begründete, eine Bestimmung, die den modernen Rechtsrahmen bis heute verankert.
Das österreichische Bundeskanzleramt trägt die primäre Verantwortung für die Datenschutzpolitik, während die unabhängige Datenschutzbehörde (DSB) für die Durchsetzung zuständig ist. Das Telekommunikationsgesetz 2021 (TKG 2021) fügt eine weitere Ebene hinzu, indem es Cookies, elektronische Werbung und den Schutz der Kommunikation regelt.
Seit der grundlegenden Reform des DSG im Jahr 2018 wurde es im Jänner 2019 (BGBl I 2019/14), im Juni 2024 (BGBl I 2024/62) und im Juli 2024 (BGBl I 2024/70) novelliert. Die Novelle vom Juli 2024 reagierte auf ein Urteil des EuGH und richtete einen neuen Parlamentarischen Datenschutzausschuss ein, der seit 1. Jänner 2025 die Aufsicht über die gesetzgebenden Organe ausübt. Der aktuelle konsolidierte Gesetzestext ist mit Stand Mai 2026 auf ris.bka.gv.at abrufbar.
Für einen umfassenderen Überblick auf EU-Ebene siehe unseren Leitfaden zu den Datenschutzgesetzen der EU. Für die österreichischen Regeln zur Einwilligung bei Tonaufnahmen siehe Aufnahmegesetze Österreich.
Geltungsbereich: Dieser Artikel behandelt das Datenschutzrecht in Österreich auf Grundlage der DSGVO als unmittelbar anwendbares EU-Recht, des österreichischen Datenschutzgesetzes (DSG) sowie damit verbundener nationaler Vorschriften einschließlich des TKG 2021. Er behandelt keine sektorspezifischen Datenschutzregeln außerhalb des allgemeinen Datenschutzrechts (zum Beispiel Bankgeheimnis, ärztliche Verschwiegenheit), außer soweit diese mit dem DSG zusammenwirken.

Das verfassungsrechtliche Grundrecht auf Datenschutz
Was Österreich von den meisten EU-Mitgliedstaaten unterscheidet, ist § 1 des DSG. Diese Bestimmung hat Verfassungsrang, das heißt, sie kann nur mit einer Zweidrittelmehrheit im Parlament geändert werden.
§ 1 garantiert jedermann das Recht auf Geheimhaltung personenbezogener Daten, insbesondere im Hinblick auf das Privat- und Familienleben, sofern ein schutzwürdiges Interesse besteht. Das Wort "jedermann" ist entscheidend. Anders als die DSGVO, die nur natürliche Personen schützt, erstreckt sich das österreichische verfassungsrechtliche Grundrecht auf Datenschutz auch auf juristische Personen, einschließlich Unternehmen, Vereine und andere Rechtsträger.
2018 versuchte die Regierung, diese Verfassungsbestimmung durch das Datenschutz-Anpassungsgesetz aufzuheben. Das Vorhaben scheiterte, weil die dafür erforderliche Zweidrittelmehrheit im Nationalrat nicht erreicht wurde. Das verfassungsrechtliche Grundrecht auf Datenschutz gilt daher ununterbrochen seit 1978, womit Österreich eines der ersten Länder der Welt war, das den Datenschutz auf Verfassungsebene verankerte.
Dieser Verfassungsrang bedeutet, dass jedes österreichische Gesetz, das in das Grundrecht auf Datenschutz eingreift, vor dem Verfassungsgerichtshof (VfGH) angefochten werden kann, was eine gerichtliche Kontrolle schafft, die über den Rahmen der DSGVO hinausgeht. Der VfGH übt diese Rolle weiterhin aktiv aus: Zu den Rechtsmitteln im Fall der Österreichischen Post (siehe unten) zählt eine noch anhängige Beschwerde der Post an den VfGH gegen die Geldstrafe von 16 Millionen Euro.

Die Datenschutzbehörde (DSB): Österreichs Aufsichtsbehörde
Die DSB löste am 1. Jänner 2014 die frühere Datenschutzkommission ab und agiert als unabhängige Behörde mit Sitz in Wien. Sie ist für alle öffentlichen und privaten Stellen zuständig, die in Österreich personenbezogene Daten verarbeiten.
Struktur und Befugnisse
Die DSB bearbeitet Beschwerden betroffener Personen, führt Ermittlungen durch, verhängt Verwaltungsstrafen und gibt Orientierungshilfen zur Einhaltung des Datenschutzes. Sie ist gemeinsam mit den Aufsichtsbehörden aller EU-Mitgliedstaaten im Europäischen Datenschutzausschuss (EDSA) vertreten.
Zu den Befugnissen der Behörde zählen die Anordnung, dass Verantwortliche und Auftragsverarbeiter die Anforderungen der DSGVO einhalten, die Verhängung vorübergehender oder endgültiger Verarbeitungsverbote, die Anordnung der Berichtigung oder Löschung personenbezogener Daten sowie die Verhängung von Geldbußen nach Art. 83 und 84 DSGVO.
Grenzen für die Beschränkung von Beschwerden: EuGH-Urteil C-416/23
Am 9. Jänner 2025 erließ der EuGH in der Rechtssache C-416/23 ein bedeutendes Urteil gegen die DSB. Die Behörde hatte die Praxis eingeführt, pro betroffener Person nur zwei Beschwerden im Monat anzunehmen, mit der Begründung, höhere Mengen seien missbräuchlich. Der EuGH entschied, dass diese willkürliche Obergrenze rechtswidrig sei: Solange eine betroffene Person keine tatsächlich missbräuchlichen Beschwerden einreicht, behält sie das Recht, jeden DSGVO-Verstoß beheben zu lassen. Die bloße Anzahl der Beschwerden begründet keinen Missbrauch. Das Urteil verpflichtete Österreich, die Zweierbegrenzung pro Monat aufzugeben.
Die Budgetkrise
Die Durchsetzung des Datenschutzes in Österreich steht vor einem strukturellen Problem. Die DSB verfügt 2026 über ein Budget von 5,9 Millionen Euro (gekürzt von 6,1 Millionen Euro im Jahr 2025), mit rund 53 fest angestellten Mitarbeitern und 19 Verwaltungspraktikanten. Deutschland gibt im Vergleich pro Kopf etwa doppelt so viel für seine Datenschutzbehörden aus.
Die Verwaltungspraktikanten werden als "Sachaufwand" statt als festes Personal geführt und müssen verpflichtend nach 12 Monaten wechseln. Dadurch entsteht ein ständiger Wechsel, der institutionelles Fachwissen abfließen lässt und laufende Schulungskosten verursacht. Die DSB strich ab Juli 2025 aus Kostengründen die meisten ihrer Praktikumsstellen.
Die Ressourcenknappheit verschärft sich weiter: Die Beschwerden bei der DSB sind seit 2017 um 769 Prozent gestiegen. Die Behörde kündigte an, künftig nur noch in "Ausnahmefällen" Stellungnahmen zu Gesetzesentwürfen abzugeben und von Amts wegen nur dann Ermittlungen einzuleiten, wenn Eingaben einen "hinreichend konkreten Verdacht auf einen schwerwiegenden Verstoß" erkennen lassen.
Am 18. September 2025 reichten epicenter.works und noyb eine förmliche Beschwerde bei der Europäischen Kommission ein, mit der Begründung, Österreich verstoße gegen Art. 52 Abs. 4 DSGVO, der die Mitgliedstaaten verpflichtet, ihren Aufsichtsbehörden angemessene Ressourcen zur Verfügung zu stellen. Die Kommission hat die Möglichkeit, daraufhin ein Vertragsverletzungsverfahren gegen Österreich einzuleiten.
Statistiken zur Durchsetzung
Trotz der Ressourcenknappheit bearbeitete die DSB im Jahr 2024 3.813 Beschwerden und schloss 214 Verfahren ab. Nur 62 davon endeten mit Geldstrafen in Höhe von insgesamt rund 1,7 Millionen Euro. Die meisten Verfahren überschreiten bereits die gesetzliche Sechsmonatsfrist nach § 73 des Allgemeinen Verwaltungsverfahrensgesetzes (AVG), wobei viele Fälle Jahre bis zu ihrer Erledigung benötigen. Nur 1,36 Prozent aller Verfahren enden mit einer Geldstrafe.
Für 2025 kündigte die DSB an, ihren Prüfschwerpunkt auf die Landespolizeidirektionen zu verlagern und deren Einhaltung der DSGVO und des 3. Hauptstücks des DSG zu überprüfen. Der Prüfschwerpunkt des Vorjahres hatte auf dem Auskunftsrecht gelegen.

Rechtsgrundlagen für die Verarbeitung personenbezogener Daten
Jede Verarbeitung personenbezogener Daten in Österreich muss zwei Voraussetzungen erfüllen: Sie muss den allgemeinen Grundsätzen für die Verarbeitung nach Art. 5 DSGVO entsprechen, und sie muss auf einer der sechs Rechtsgrundlagen nach Art. 6 DSGVO beruhen.
Die sechs Rechtsgrundlagen (Art. 6 DSGVO)
-
Einwilligung (Art. 6 Abs. 1 lit. a): Die betroffene Person hat freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich ihre Einwilligung gegeben. Die Einwilligung muss ebenso leicht widerrufen wie erteilt werden können, und sie darf nicht an die Annahme allgemeiner Geschäftsbedingungen gekoppelt werden, wenn die Verarbeitung für den Vertrag nicht erforderlich ist.
-
Vertragserfüllung (Art. 6 Abs. 1 lit. b): Die Verarbeitung ist zur Erfüllung eines Vertrags mit der betroffenen Person oder zur Durchführung vorvertraglicher Maßnahmen auf deren Anfrage erforderlich.
-
Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c): Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung nach österreichischem oder EU-Recht erforderlich.
-
Lebenswichtige Interessen (Art. 6 Abs. 1 lit. d): Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
-
Öffentliche Aufgabe (Art. 6 Abs. 1 lit. e): Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt.
-
Berechtigte Interessen (Art. 6 Abs. 1 lit. f): Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, außer diese Interessen werden von den Interessen oder Grundrechten der betroffenen Person überwogen. Behörden können sich bei der Ausübung ihrer amtlichen Tätigkeit nicht auf berechtigte Interessen als Rechtsgrundlage berufen.
Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)
Die Verarbeitung besonderer Kategorien personenbezogener Daten (die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten, Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung offenbaren) ist untersagt, sofern nicht eine der Ausnahmen nach Art. 9 Abs. 2 DSGVO greift. Zu den wichtigsten Ausnahmen zählen die ausdrückliche Einwilligung, arbeits- und sozialversicherungsrechtliche Pflichten, lebenswichtige Interessen, von der betroffenen Person offensichtlich öffentlich gemachte Daten, die Geltendmachung von Rechtsansprüchen sowie wissenschaftliche oder historische Forschung nach Art. 89.
Einwilligung in der österreichischen Praxis
Die DSB verlangt, dass die Einwilligung wirklich freiwillig ist. Das Urteil vom August 2025 gegen DerStandard.at veranschaulicht dies: Das Bundesverwaltungsgericht entschied, dass das "Pay or Okay"-Modell der Zeitung (bei dem Nutzer entweder dem Tracking zustimmen oder ein monatliches Abonnement von 9,90 Euro bezahlen müssen) keine gültige Einwilligung darstellte, da es an der erforderlichen Granularität fehlte. Nutzer konnten nicht getrennt für einzelne Verarbeitungsarten einwilligen, sondern nur eine pauschale Einwilligung erteilen oder verweigern. Das Gericht entschied nicht, dass das Modell "Bezahlen oder Zustimmen" grundsätzlich unzulässig sei, stellte aber fest, dass jede Umsetzung eine Auswahl der Einwilligung nach einzelnen Kategorien ermöglichen muss.
Rechte der betroffenen Personen
Die DSGVO gewährt betroffenen Personen ein umfassendes Bündel an Rechten. Österreich setzt diese ohne wesentliche Einschränkung um, mit der Ausnahme, dass Anträge, die offenkundig unbegründet oder exzessiv sind, nach Art. 12 Abs. 5 DSGVO mit einem angemessenen Entgelt belegt oder abgelehnt werden können.
Auskunftsrecht (Art. 15 DSGVO)
Betroffene Personen können eine Bestätigung verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden, und gegebenenfalls eine Kopie dieser Daten sowie Angaben zu Zwecken, Kategorien, Empfängern, Speicherdauer und dem Vorliegen einer automatisierten Entscheidungsfindung erhalten. Verantwortliche müssen innerhalb eines Monats antworten, wobei sich diese Frist bei komplexen oder zahlreichen Anträgen um weitere zwei Monate verlängern kann.
Der Prüfschwerpunkt der DSB im Jahr 2024 lag gezielt auf dem Auskunftsrecht, was ein Muster mangelnder Einhaltung widerspiegelt. Eine der höchsten Geldstrafen des Jahres 2024 (15.200 Euro) wurde gegen ein Medienunternehmen verhängt, das nicht auf Aufforderungen der DSB zur Stellungnahme zu auskunftsbezogenen Beschwerden reagiert hatte.
Recht auf Berichtigung (Art. 16 DSGVO)
Betroffene Personen können die Berichtigung unrichtiger personenbezogener Daten sowie die Vervollständigung unvollständiger Daten verlangen.
Recht auf Löschung (Art. 17 DSGVO)
Das Recht auf Löschung ("Recht auf Vergessenwerden") gilt, wenn die Daten für den ursprünglichen Zweck nicht mehr erforderlich sind, die Einwilligung widerrufen wurde und keine andere Rechtsgrundlage besteht, ein Widerspruch erfolgreich war oder die Daten unrechtmäßig verarbeitet wurden. § 4 Abs. 4 des österreichischen DSG sieht eine nationale Anpassung vor: Eine sofortige Löschung ist nicht erforderlich, wenn diese aus wirtschaftlichen oder technischen Gründen nur zu festgelegten Zeitpunkten vorgenommen werden kann. Organisationen dürfen Löschanträge innerhalb angemessener Fristen gesammelt bearbeiten.
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
Betroffene Personen können eine Einschränkung der Verarbeitung verlangen, solange die Richtigkeit der Daten bestritten wird, die Rechtsgrundlage der Verarbeitung umstritten ist oder ein Widerspruch noch offen ist.
Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Beruht die Verarbeitung auf einer Einwilligung oder einem Vertrag und erfolgt sie mithilfe automatisierter Verfahren, können betroffene Personen ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten und einem anderen Verantwortlichen übermitteln.
Widerspruchsrecht (Art. 21 DSGVO)
Betroffene Personen können jederzeit einer Verarbeitung widersprechen, die auf berechtigten Interessen oder einer öffentlichen Aufgabe beruht. Der Verantwortliche muss zwingende schutzwürdige Gründe nachweisen, die die Interessen der betroffenen Person überwiegen. Bei einem Widerspruch gegen die Verarbeitung zu Zwecken der Direktwerbung muss die Verarbeitung bedingungslos eingestellt werden.
Rechte im Zusammenhang mit automatisierter Entscheidungsfindung (Art. 22 DSGVO)
Betroffene Personen haben das Recht, keiner Entscheidung unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung, einschließlich Profiling, beruht und ihnen gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Verantwortliche müssen zumindest folgende Rechte einräumen: das Recht auf Eingreifen einer Person, das Recht auf Darlegung des eigenen Standpunkts und das Recht auf Anfechtung der Entscheidung.
Die Entscheidung der DSB vom September 2025 gegen KSV1870 bestätigte die österreichische Durchsetzung dieses Rechts. Die DSB stellte fest, dass KSV1870, eine große österreichische Kreditauskunftei, unrechtmäßig ein vollautomatisiertes Scoring zur Entscheidungsgrundlage für den Energieversorger Unsere Wasserkraft eingesetzt hatte. Die Behörde wertete dies als unzulässige automatisierte Einzelfallentscheidung nach Art. 22 DSGVO, verhängte Einschränkungen der Verarbeitung und untersagte KSV1870, solche automatisierten Prüfungen ohne Einwilligung der betroffenen Person durchzuführen.
Österreichspezifische Abweichungen von der DSGVO
Österreich hat mehrere Öffnungsklauseln der DSGVO genutzt, um die Datenschutzregeln an nationale Gegebenheiten anzupassen. Diese Abweichungen zeigen jene Bereiche, in denen sich das österreichische Recht vom Grundmodell der DSGVO unterscheidet.
Einwilligung von Kindern (§ 4 Abs. 4 DSG)
Die DSGVO legt als Standardalter 16 Jahre fest, ab dem ein Kind selbst in Dienste der Informationsgesellschaft (etwa soziale Medien) einwilligen kann, erlaubt den Mitgliedstaaten jedoch, diese Grenze auf bis zu 13 Jahre zu senken. Österreich hat die Altersgrenze nach § 4 Abs. 4 DSG auf 14 Jahre festgelegt. Kinder unter 14 Jahren benötigen die Einwilligung der Eltern, bevor sie sich für Online-Dienste anmelden.
Videoüberwachung (§§ 12 bis 13 DSG)
Österreich hat für CCTV und Videoüberwachung spezifische Regeln, die über den allgemeinen Rahmen der DSGVO hinausgehen. Nach den §§ 12 und 13 DSG ist eine auf berechtigtem Interesse beruhende Videoüberwachung nur in drei Fällen zulässig: auf privat genutzten Liegenschaften, wenn bereits Rechtsverletzungen oder besondere Gefahren aufgetreten sind, und im Interesse privater Dokumentation, sofern keine Identifizierung von Personen beabsichtigt ist.
Diese Bestimmungen schränken den Einsatz von Überwachungskameras an öffentlich zugänglichen Orten ein und legen Anforderungen an Kennzeichnung, Speicherfristen und Zugriffskontrollen fest, die speziell in Österreich gelten.
Flexibilität bei der Datenlöschung (§ 4 Abs. 4 DSG)
Das DSG enthält eine praktische Anpassung des Löschungsrechts der DSGVO. Nach österreichischem Recht ist eine sofortige Löschung nicht erforderlich, wenn diese aus wirtschaftlichen oder technischen Gründen nur zu bestimmten festgelegten Zeitpunkten möglich ist. Das verschafft Organisationen einen begrenzten Spielraum, ihre Löschprozesse zu bündeln, anstatt jeden Löschantrag in Echtzeit zu bearbeiten.
Ausnahme für Medien und Journalismus (§ 9 Abs. 1 DSG)
Österreich sieht eine weitreichende Ausnahme von der DSGVO für die Verarbeitung personenbezogener Daten durch Medien zu journalistischen Zwecken vor. § 9 Abs. 1 DSG befreit die journalistische Datenverarbeitung von nahezu allen Anforderungen der DSGVO. Der EDSA hat Bedenken geäußert, dass diese Ausnahme über den nach Art. 85 DSGVO zulässigen Rahmen hinausgehen könnte.
Ausnahme für die Forschung
Österreich hat sein Forschungsorganisationsgesetz (FOG) geändert, um für wissenschaftliche Forschung nach Art. 89 DSGVO weitreichende Ausnahmen von den Anforderungen der DSGVO vorzusehen. Diese Ausnahmen erlauben es Forschenden, personenbezogene Daten mit geringeren Einschränkungen zu verarbeiten, wobei sie in die Kritik geraten sind, weil sie möglicherweise über den beabsichtigten Rahmen der Forschungsausnahmen der DSGVO hinausgehen.
Ausnahme von Geldstrafen für Behörden
Nach dem DSG sind Behörden von Verwaltungsstrafen ausgenommen. Das bedeutet jedoch nicht, dass sie jeglicher Verantwortung entgehen. Wie der Fall der Stadt Baden aus dem Jahr 2024 zeigt, bleiben öffentliche Stellen gegenüber betroffenen Personen zivilrechtlich schadenersatzpflichtig.
Die Google-Analytics-Entscheidung: Ein wegweisendes Urteil
Am 13. Jänner 2022 erließ die DSB die erste Entscheidung in der EU, die feststellte, dass die Standardnutzung von Google Analytics gegen die DSGVO verstößt. Der Fall ging auf eine von 101 Musterbeschwerden von noyb zurück, die im Anschluss an das Schrems-II-Urteil des EuGH vom Juli 2020, das das EU-US Privacy Shield für ungültig erklärte, eingereicht worden waren.
Die Analyse der DSB
Die DSB prüfte, ob die von Google umgesetzten zusätzlichen Maßnahmen ausreichten, um übermittelte Daten vor dem Zugriff US-amerikanischer Überwachungsbehörden zu schützen. Die Behörde befand sie allesamt als unzureichend. Google unterliegt als US-amerikanischer Anbieter elektronischer Kommunikationsdienste Section 702 des Foreign Intelligence Surveillance Act (FISA) sowie der Executive Order 12333. Nach diesen Gesetzen können US-Nachrichtendienste Google zur Herausgabe von Daten verpflichten. Die Verschlüsselung von Google verhindert diesen Zugriff nicht, da Google selbst über die Entschlüsselungscodes verfügt. Die DSB verwarf auch das Argument, die Kürzung der IP-Adresse verhindere eine Re-Identifizierung.
Am 22. April 2022 erließ die DSB eine Folgeentscheidung, mit der sie ihre Position bekräftigte und einen "risikobasierten Ansatz" bei internationalen Datenübermittlungen ausdrücklich zurückwies. Organisationen können nicht damit argumentieren, dass eine geringe Wahrscheinlichkeit US-amerikanischer Überwachung die Nichteinhaltung von Kapitel V der DSGVO rechtfertige.
Aktueller Stand
Das im Juli 2023 verabschiedete EU-US Data Privacy Framework (DPF) bietet eine neue Angemessenheitsgrundlage für Übermittlungen an zertifizierte US-Organisationen. Google LLC nimmt am DPF teil. Organisationen, die Google Analytics in Österreich nutzen, sollten prüfen, ob Google seine DPF-Zertifizierung aufrechterhält, und ihre konkrete Umsetzung überprüfen. Die etablierte Haltung der DSB zu zusätzlichen Maßnahmen bedeutet, dass Übermittlungen außerhalb des DPF-Rahmens weiterhin derselben strengen Prüfung unterliegen wie in den Entscheidungen von 2022.
Bemerkenswerte Durchsetzungsmaßnahmen und Geldstrafen
Österreichische Post AG
Der bedeutendste Durchsetzungsfall in der Geschichte des österreichischen Datenschutzes betrifft die Österreichische Post AG. Im Oktober 2019 verhängte die DSB eine Geldstrafe von 18 Millionen Euro, nachdem bekannt geworden war, dass die Post mittels statistischer Modellierung Daten zur politischen Affinität individuell identifizierter Personen erstellt und diese Informationen an politische Parteien vermarktet hatte.
Die Post hatte ihre Adressdatenbank genutzt, um einzelnen Kunden geschätzte politische Präferenzen zuzuordnen, und diese Profiling-Daten zusammen mit Informationen über die Umzugshäufigkeit und das Paketaufkommen der Kunden verkauft.
Die Österreichische Post legte Beschwerde beim Bundesverwaltungsgericht (BVwG) ein. Das BVwG hob die Geldstrafe zunächst aus verfahrensrechtlichen Gründen auf. Nachdem die DSB Revision an den Verwaltungsgerichtshof (VwGH) erhoben hatte und der VwGH das Urteil des EuGH in der Rechtssache Deutsche Wohnen zur Verschuldenszurechnung abwartete, entschied das BVwG am 27. Dezember 2024 erneut und verhängte eine Geldstrafe von 16 Millionen Euro. Der Fall ist noch nicht rechtskräftig abgeschlossen. Die Post hat sowohl beim VwGH als auch beim Verfassungsgerichtshof (VfGH) Rechtsmittel eingelegt.
Automatisiertes Kredit-Scoring von KSV1870 (September 2025)
Am 25. September 2025 entschied die DSB, dass die österreichische Kreditauskunftei KSV1870 unrechtmäßig ein vollautomatisiertes Scoring eingesetzt hatte, um Verbrauchern Energiedienstleistungen zu verweigern. Die DSB stellte fest, dass die automatisierte Berechnung und Übermittlung von Risikokennzahlen durch KSV1870 an den Energieversorger Unsere Wasserkraft eine unzulässige automatisierte Einzelfallentscheidung nach Art. 22 DSGVO darstellte. Die Behörde ordnete Einschränkungen der Verarbeitung an, verlangte eine umfassende Offenlegung der Entscheidungslogik gegenüber den betroffenen Personen und erteilte beiden Unternehmen wegen mangelnder Transparenz eine Verwarnung. Das Urteil untersagt KSV1870, solche automatisierten Prüfungen künftig ohne ausdrückliche Einwilligung der betroffenen Person durchzuführen.
DerStandard "Pay or Okay" (August 2025)
Am 18. August 2025 entschied das Bundesverwaltungsgericht, dass das von der österreichischen Zeitung DerStandard.at betriebene "Pay or Okay"-Einwilligungsmodell gegen die Einwilligungsanforderungen der DSGVO verstößt. Das Gericht stellte fest, dass die binäre Wahl zwischen der Zahlung von 9,90 Euro monatlich oder der Zustimmung zu umfassendem Tracking durch Dritte keine gültige Einwilligung darstellte, da dem Modell die erforderliche Granularität fehlte: Nutzer konnten nicht getrennt für einzelne Verarbeitungszwecke einwilligen. Es wird erwartet, dass der Fall vor den VwGH und möglicherweise vor den EuGH gelangt.
Datenschutzverletzung der Stadt Baden (September 2024)
Ein Gericht verpflichtete die Stadt Baden nach einer Datenschutzverletzung aus dem Jahr 2022, bei der 33.000 personenbezogene Datensätze offengelegt worden waren, zur Zahlung von 500 Euro je betroffener Person. Obwohl Behörden nach österreichischem Recht von Verwaltungsstrafen ausgenommen sind, entschied das Oberlandesgericht, dass für Schadenersatzansprüche nach Art. 82 DSGVO kein Nachweis eines tatsächlichen Missbrauchs der Daten erforderlich ist. Mögliche Gesamthaftung: 16,5 Millionen Euro, sollten alle 33.000 betroffenen Personen Ansprüche geltend machen.
Fehlende Mitwirkung eines Medienunternehmens (2024)
Gegen ein Medienunternehmen wurde eine Geldstrafe von 15.200 Euro verhängt, weil es wiederholten Aufforderungen der DSB zur Stellungnahme zu Beschwerden nicht nachgekommen war. Dies zeigt, dass die mangelnde Mitwirkung gegenüber der Aufsichtsbehörde nach Art. 31 DSGVO unabhängig von den zugrunde liegenden Datenschutzfragen selbst Sanktionen auslösen kann.
Pflichten zur Meldung von Datenschutzverletzungen
Österreich folgt dem Melderahmen der DSGVO für Datenschutzverletzungen ohne wesentliche nationale Abweichungen. Die Anforderungen gelten für alle Verantwortlichen, die personenbezogene Daten im Geltungsbereich der österreichischen Rechtsordnung verarbeiten.
Meldung an die DSB (Art. 33 DSGVO)
Verantwortliche müssen Verletzungen des Schutzes personenbezogener Daten unverzüglich und, wenn möglich, innerhalb von 72 Stunden ab Kenntniserlangung an die DSB melden. Eine Meldung ist nicht erforderlich, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Die Meldung muss Folgendes enthalten: die Kategorien und die ungefähre Anzahl der betroffenen Personen und Datensätze, den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer anderen Anlaufstelle, eine Beschreibung der wahrscheinlichen Folgen sowie die ergriffenen oder vorgeschlagenen Maßnahmen zur Schadensbegrenzung. Verspätete Meldungen müssen eine Begründung für die Verzögerung enthalten.
Benachrichtigung der betroffenen Personen (Art. 34 DSGVO)
Führt eine Verletzung voraussichtlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen, muss der Verantwortliche die betroffenen Personen unverzüglich benachrichtigen. Diese direkte Benachrichtigung kann entfallen, wenn der Verantwortliche technische Maßnahmen (etwa Verschlüsselung) umgesetzt hatte, die die Daten unverständlich machen, wenn nachträgliche Maßnahmen ergriffen wurden, durch die das hohe Risiko voraussichtlich nicht mehr eintritt, oder wenn die individuelle Benachrichtigung mit unverhältnismäßigem Aufwand verbunden wäre (in diesem Fall ist eine öffentliche Bekanntmachung zulässig).
Dokumentationspflicht (Art. 33 Abs. 5 DSGVO)
Alle Verletzungen müssen unabhängig von ihrer Schwere intern dokumentiert werden. Die Dokumentation muss den Sachverhalt der Verletzung, ihre Auswirkungen und die getroffenen Abhilfemaßnahmen umfassen. Die DSB kann im Rahmen von Ermittlungen oder Prüfungen Einsicht in diese Aufzeichnungen verlangen.
Datenschutzbeauftragte
Österreich folgt den Anforderungen der DSGVO an Datenschutzbeauftragte ohne wesentliche nationale Abweichungen. Organisationen müssen einen Datenschutzbeauftragten bestellen, wenn ihre Kerntätigkeit eine regelmäßige und systematische umfangreiche Überwachung von Personen oder die umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten umfasst. Alle österreichischen Bundesministerien müssen nach § 5 Abs. 4 DSG mindestens einen Datenschutzbeauftragten bestellen, was über die allgemeinen Kriterien der DSGVO hinausgeht.
Verstärkter Verschwiegenheitsschutz
In der Verschwiegenheitspflicht von Datenschutzbeauftragten geht Österreich über den Mindeststandard der DSGVO hinaus. Nach dem DSG sind Datenschutzbeauftragte und ihre Mitarbeiter zur strengen Verschwiegenheit über die Identität von Personen verpflichtet, die sich an den Datenschutzbeauftragten wenden, sowie über alle Umstände, die eine Identifizierung ermöglichen könnten. Diese Pflicht besteht auch nach Beendigung der Tätigkeit als Datenschutzbeauftragter fort.
Recht auf Aussageverweigerung
Österreichische Datenschutzbeauftragte und ihre Mitarbeiter haben ein gesetzliches Recht, die Aussage über Informationen zu verweigern, die sie in ihrer Funktion als Datenschutzbeauftragter erlangt haben. Unterlagen und Akten des Datenschutzbeauftragten, die unter dieses Recht fallen, dürfen nicht rechtmäßig beschlagnahmt werden. Dieser Schutz geht deutlich über das hinaus, was die DSGVO allein vorsieht.
Verbot von Interessenkonflikten
Die DSB hat das Verbot von Interessenkonflikten für Datenschutzbeauftragte nach Art. 38 Abs. 6 DSGVO durchgesetzt. Ein Fall aus dem Jahr 2024 führte zu einer Geldstrafe von 5.000 Euro gegen ein Unternehmen, das seinen Geschäftsführer zum Datenschutzbeauftragten bestellt hatte, eine Funktion, die mit der unabhängigen Überwachungsaufgabe des Datenschutzbeauftragten unvereinbar ist.
Internationale Datenübermittlungen
Österreich folgt dem Rahmen aus Kapitel V der DSGVO für internationale Datenübermittlungen. Übermittlungen in Länder mit einem Angemessenheitsbeschluss der EU können ohne zusätzliche Garantien erfolgen. Mit Stand 2026 bestehen Angemessenheitsbeschlüsse für: alle EWR-Staaten, Andorra, Argentinien, Kanada (kommerzielle Organisationen), die Färöer-Inseln, Guernsey, Israel, die Isle of Man, Japan, Jersey, Neuseeland, die Republik Korea, die Schweiz, das Vereinigte Königreich und Uruguay. Auch Übermittlungen an zertifizierte US-Organisationen im Rahmen des EU-US Data Privacy Framework (verabschiedet im Juli 2023) sind erfasst.
Für Übermittlungen in Länder ohne Angemessenheitsbeschluss müssen Organisationen auf Standardvertragsklauseln (SCCs) oder verbindliche unternehmensinterne Vorschriften (Binding Corporate Rules, BCRs) zurückgreifen und eine Transfer Impact Assessment (TIA) durchführen, in der der Rechtsrahmen des Zielstaats bewertet wird.
Die Google-Analytics-Entscheidungen der DSB haben gezeigt, dass die österreichische Durchsetzung der Übermittlungsregeln streng ist. Zusätzliche Maßnahmen müssen den Zugriff ausländischer Nachrichtendienste nachweislich verhindern. Ein risikobasierter Ansatz, der mit einer statistisch geringen Wahrscheinlichkeit von Überwachung argumentiert, genügt gemäß der DSB-Entscheidung vom April 2022 nicht den Anforderungen von Kapitel V der DSGVO.
Bußgelder und Sanktionen
Der österreichische Sanktionsrahmen für Datenschutzverstöße besteht aus drei Ebenen: Verwaltungsstrafen nach der DSGVO, DSG-spezifische Verwaltungsstrafen und strafrechtliche Sanktionen.
Verwaltungsstrafen nach der DSGVO (Art. 83 bis 84 DSGVO)
Weniger schwere Verstöße können mit Geldbußen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes geahndet werden, je nachdem, welcher Betrag höher ist. Dazu zählen die unterlassene Meldung einer Verletzung, das Fehlen ordnungsgemäßer Verarbeitungsverzeichnisse, die unterlassene Bestellung eines Datenschutzbeauftragten, wo dies erforderlich wäre, oder das Unterlassen einer Datenschutz-Folgenabschätzung.
Schwerere Verstöße können mit Geldbußen von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes geahndet werden, je nachdem, welcher Betrag höher ist. Dazu zählen die unrechtmäßige Verarbeitung, das Fehlen einer gültigen Einwilligung, die Verletzung von Rechten betroffener Personen, unrechtmäßige internationale Datenübermittlungen sowie Verstöße gegen die Grundsätze des Art. 5 DSGVO.
Die Regel zur Verschuldenszurechnung aus dem Fall Deutsche Wohnen
Vor dem Urteil des EuGH in der Rechtssache Deutsche Wohnen (C-807/21, 5. Dezember 2023) vertrat Österreich die Auffassung, dass die Verhängung einer DSGVO-Geldbuße gegen eine juristische Person voraussetze, den Verstoß einer bestimmten, identifizierten natürlichen Person zuzurechnen. Diese Auffassung ging teilweise auf die in § 1 DSG zum Ausdruck kommende verfassungsrechtliche Tradition zurück, wonach individuelles Verschulden als Voraussetzung für eine Verwaltungsstrafe angesehen wurde.
Der EuGH löste diesen Widerspruch auf: Ein Unternehmen kann nach Art. 83 DSGVO mit einer Geldbuße belegt werden, ohne dass zuvor die verantwortliche natürliche Person festgestellt werden muss. Der EuGH lehnte jedoch eine verschuldensunabhängige Haftung ab. Eine juristische Person kann nur dann mit einer Geldbuße belegt werden, wenn der Verstoß vorsätzlich oder fahrlässig auf organisatorischer Ebene begangen wurde. Fahrlässigkeit kann aus systemischen Mängeln in der Datenschutz-Governance abgeleitet werden, auch ohne einer namentlich genannten Person die Verantwortung zuzuweisen. Österreichische Gerichte und die DSB wenden diesen Maßstab nun an. In der Praxis bedeutet dies, dass Organisationen Geldbußen nicht mehr dadurch vermeiden können, dass sie behaupten, keinem einzelnen Mitarbeiter sei persönlich ein Verschulden anzulasten.
DSG-spezifische Verwaltungsstrafen
Nach dem DSG kann die Behörde für Verstöße gegen nationale DSG-Bestimmungen Geldstrafen von bis zu 50.000 Euro verhängen. Diese gelten nur, wenn der Verstoß nicht bereits einen Verstoß nach Art. 83 DSGVO darstellt, um eine doppelte Bestrafung zu vermeiden. Auch Verstöße gegen Cookie- und Werbevorschriften nach dem TKG 2021 werden mit Geldstrafen von bis zu 50.000 Euro geahndet.
Strafrechtliche Sanktionen (§ 63 DSG)
Österreich sieht auch strafrechtliche Sanktionen für Datenschutzverstöße vor. Nach § 63 DSG macht sich strafbar, wer vorsätzlich personenbezogene Daten (die ihm beruflich anvertraut wurden oder die er sich widerrechtlich verschafft hat) verwendet, um sich oder einen Dritten unrechtmäßig zu bereichern oder um die datenschutzrechtlichen Interessen einer anderen Person zu schädigen, und muss mit Freiheitsstrafe bis zu einem Jahr oder Geldstrafe bis zu 720 Tagessätzen rechnen. Diese Bestimmung gilt speziell für den vorsätzlichen Missbrauch zu Gewinn- oder böswilligen Zwecken.
Haftung von Behörden
Zwar sind Behörden nach dem DSG von Verwaltungsstrafen ausgenommen, sie unterliegen jedoch weiterhin der zivilrechtlichen Haftung nach Art. 82 DSGVO. Der Präzedenzfall der Stadt Baden bestätigte, dass betroffene Personen Schadenersatz geltend machen können, ohne einen tatsächlichen Missbrauch ihrer offengelegten Daten nachweisen zu müssen.
Cookies und elektronischer Datenschutz
§ 165 Abs. 3 des TKG 2021 setzt die ePrivacy-Richtlinie der EU in österreichisches Recht um und regelt den Einsatz von Cookies und ähnlichen Tracking-Technologien.
Das Gesetz unterscheidet zwei Kategorien. Technisch notwendige Cookies (die ausschließlich der Durchführung einer Übertragung oder der Bereitstellung eines vom Nutzer ausdrücklich angeforderten Dienstes dienen) erfordern keine Einwilligung. Alle anderen Cookies, einschließlich Analyse- und Werbe-Tracker, erfordern eine vorherige Opt-in-Einwilligung. Gemäß dem Planet49-Urteil des EuGH (Rechtssache C-673/17) erfordert eine gültige Einwilligung eine aktive Opt-in-Handlung. Bereits angekreuzte Kästchen stellen keine gültige Einwilligung dar.
Die DSB verfolgt Cookie-Verstöße und kann nach dem TKG 2021, unabhängig von ihrer Zuständigkeit für DSGVO-Bußgelder, Geldstrafen von bis zu 50.000 Euro verhängen.
EU Digital Omnibus: Bevorstehende Änderungen
Im November 2025 schlug die Europäische Kommission das Paket EU Digital Omnibus vor. Für Cookies überführt der Vorschlag die Cookie-Regeln über einen neuen Art. 88a in die DSGVO und schafft eine begrenzte Ausnahme von der Einwilligungspflicht für datenschutzfreundliche Reichweitenmessungs-Tools, die Personen nicht seitenübergreifend verfolgen. Die vorgeschlagenen Änderungen würden zudem Mechanismen mit einem einzigen Klick zum Annehmen oder Ablehnen bei gleicher optischer Gewichtung sowie browserseitige Präferenzsignale vorschreiben, die Websites zu beachten hätten. Organisationen wäre es untersagt, eine abgelehnte Einwilligung innerhalb von sechs Monaten erneut anzufragen.
Der Digital Omnibus trat im November 2025 in das Gesetzgebungsverfahren ein. Die endgültige Verabschiedung wird für Mitte bis Ende 2026 erwartet. Bis das Paket in Kraft tritt, gelten in Österreich weiterhin uneingeschränkt die bestehenden Einwilligungsanforderungen des TKG 2021.
Die EU-KI-Verordnung im Überblick
Die Verordnung (EU) 2024/1689 (die EU-KI-Verordnung, AI Act) trat am 1. August 2024 in Kraft. Ihre Bestimmungen gelten nach einem stufenweisen Zeitplan, der Organisationen mit Tätigkeit in Österreich unmittelbar betrifft.
Zeitplan der Anwendung
Verbotene KI-Praktiken (wie Social Scoring und die meisten Formen der biometrischen Echtzeitüberwachung im öffentlichen Raum) sind seit dem 2. Februar 2025 unionsweit, also auch in Österreich, untersagt. Transparenzpflichten für KI-Systeme mit allgemeinem Verwendungszweck und für KI mit begrenztem Risiko gelten ab dem 2. August 2026. Die Vorschriften für Hochrisiko-KI-Systeme (unter anderem in den Bereichen Biometrie, kritische Infrastruktur, Bildung, Beschäftigung, Migration und Grenzkontrolle) gelten ab dem 2. Dezember 2027.
Institutionelle Reaktion Österreichs
Österreich hat auf Grundlage der in BGBl I Nr. 6/2024 veröffentlichten Novellen (KommAustria-Gesetz § 20c und TKG 2021 § 194a) die KI-Servicestelle bei der Rundfunk und Telekom Regulierungs-GmbH (RTR) eingerichtet. Die KI-Servicestelle fungiert als öffentliche Informationsstelle, beratendes Organ und nationale Kompetenzstelle für Künstliche Intelligenz. Sie veröffentlicht Orientierungshilfen zu den Pflichten aus der KI-Verordnung und koordiniert den KI-Beirat.
Die KI-Servicestelle ist ein beratendes Organ und übt keine Sanktionsbefugnisse aus. Österreich hat die für die Durchsetzung der KI-Verordnung erforderlichen Marktüberwachungs- und notifizierenden Behörden noch nicht förmlich benannt. Das KI-Maßnahmenpaket kündigte an, dass die Servicestelle künftig in eine eigene nationale Durchsetzungsbehörde für Künstliche Intelligenz übergehen oder eine solche unterstützen soll, die förmliche Benennung steht mit Stand Mai 2026 jedoch noch aus.
Die DSB hat nach dem Informationsfreiheitsgesetz eine gesetzliche Beratungs- und Bewertungsfunktion im Zusammenhang mit Künstlicher Intelligenz, um sicherzustellen, dass Informationsfreigaben die Rechte an personenbezogenen Daten wahren, und veröffentlicht Orientierungshilfen zum Datenschutz im Kontext von KI-Systemen. Sofern KI-Systeme Profiling oder automatisierte Einzelfallentscheidungen beinhalten, gelten neben der KI-Verordnung auch Art. 22 und Art. 35 DSGVO (Datenschutz-Folgenabschätzung).
Zusammenspiel mit der DSGVO
Die KI-Verordnung und die DSGVO gelten parallel. Ein KI-System, das Profiling-Ergebnisse erzeugt, die in automatisierte, Personen betreffende Entscheidungen einfließen, unterliegt beiden Regelwerken: der KI-Verordnung für die systembezogene Risikoeinstufung und der DSGVO für die Rechte betroffener Personen. Verantwortliche, die Hochrisiko-KI-Systeme in Österreich einsetzen, sollten bei der Durchführung von Datenschutz-Folgenabschätzungen nach Art. 35 DSGVO beide Regelwerke berücksichtigen.
Aktuelle Entwicklungen (2024 bis 2026)
Parlamentarischer Datenschutzausschuss (Jänner 2025)
Als Reaktion auf ein Urteil des EuGH vom Jänner 2024 richtete die österreichische DSG-Novelle vom Juli 2024 einen neuen Parlamentarischen Datenschutzausschuss ein. Dieser Ausschuss überwacht seit dem 1. Jänner 2025 die datenschutzrechtlichen Aktivitäten der gesetzgebenden Organe und schließt damit eine langjährige Lücke bei der unabhängigen Aufsicht über die Datenverarbeitung des Parlaments.
EuGH-Urteil zur Beschwerdebegrenzung der DSB (Jänner 2025)
Das Urteil des EuGH in der Rechtssache C-416/23 stellte fest, dass die DSB betroffene Personen nicht auf zwei Beschwerden pro Monat beschränken darf. Der Gerichtshof bestätigte, dass betroffene Personen, sofern kein tatsächlicher Missbrauch vorliegt, das Recht haben, jeden DSGVO-Verstoß beheben zu lassen, unabhängig davon, wie viele Beschwerden dafür erforderlich sind. Das Urteil war eine unmittelbare Zurückweisung einer österreichischen Praxis.
Automatisiertes Scoring von KSV1870 (September 2025)
Das Verbot der DSB gegen die automatisierten Kredit-Scoring-Praktiken von KSV1870 stellt die erste bedeutende Durchsetzungsmaßnahme Österreichs nach Art. 22 DSGVO gegen eine Kreditauskunftei dar. Das Urteil zeigt, dass die DSB trotz ihrer Budgetbeschränkungen bereit ist, automatisierte Entscheidungsfindung im Finanzbereich anzugehen.
DerStandard "Pay or Okay" (August 2025)
Das Urteil des Bundesverwaltungsgerichts gegen DerStandard.at stellte klar, dass ein Modell des Bezahlens oder Zustimmens zumindest granulare Einwilligungsoptionen erfordert. Es wird erwartet, dass der Fall weitere Orientierungshilfen zu den äußeren Grenzen einwilligungsbasierter Tracking-Geschäftsmodelle in Österreich liefern wird.
Vorschlag zum EU Digital Omnibus (November 2025)
Das Digital-Omnibus-Paket der Kommission schlägt vor, die Regeln zur Cookie-Einwilligung zu vereinfachen und die ePrivacy-Vorgaben in den Rahmen der DSGVO zu überführen. Würde es in seiner derzeitigen Form verabschiedet, würde es Österreichs strenge Haltung zur Cookie-Einwilligung für datenschutzfreundliche Reichweitenmessungs-Tools ablösen. Der Vorschlag befindet sich mit Stand Mai 2026 weiterhin im Gesetzgebungsverfahren.
Anhaltende Budgetdebatte (2025 bis 2026)
Die von epicenter.works und noyb bei der Europäischen Kommission eingereichte Beschwerde wegen Vertragsverletzung ist weiterhin anhängig. Das DSB-Budget für 2026 in Höhe von 5,9 Millionen Euro stellt eine weitere Kürzung gegenüber den für 2025 zugewiesenen 6,1 Millionen Euro dar.
Das Wichtigste zur Compliance für Unternehmen in Österreich
Organisationen, die personenbezogene Daten von Personen mit Wohnsitz in Österreich verarbeiten, sollten folgende Bereiche vorrangig behandeln:
-
Dokumentation der Rechtsgrundlage. Ordnen Sie alle Verarbeitungstätigkeiten einer der sechs Rechtsgrundlagen nach Art. 6 DSGVO zu und dokumentieren Sie diese im nach Art. 30 DSGVO erforderlichen Verzeichnis von Verarbeitungstätigkeiten (ROPA).
-
Mechanismen der Einwilligung. Stellen Sie sicher, dass die Einwilligung freiwillig, für den bestimmten Fall, informiert und durch eine aktive Opt-in-Handlung erteilt wird. Gebündelte Einwilligungen und bereits angekreuzte Kästchen sind unwirksam. Nach dem DerStandard-Urteil müssen Modelle des Bezahlens oder Zustimmens eine granulare Einwilligung nach Verarbeitungszweck anbieten.
-
Cookie-Compliance. Überprüfen Sie Cookie-Banner im Hinblick auf die Anforderungen des TKG 2021 und verfolgen Sie den Fortgang des Gesetzgebungsverfahrens zum EU Digital Omnibus im Hinblick auf bevorstehende Änderungen der Einwilligungsregeln für Analyse-Tools.
-
Prozesse für die Rechte betroffener Personen. Richten Sie dokumentierte Verfahren ein, um Anträge auf Auskunft, Löschung, Berichtigung, Übertragbarkeit, Einschränkung, Widerspruch und Rechte im Zusammenhang mit automatisierten Entscheidungen innerhalb der Fristen der DSGVO zu beantworten.
-
Überprüfung automatisierter Entscheidungsfindung. Prüfen Sie alle KI- oder algorithmischen Systeme, die rechtliche oder ähnlich erhebliche Wirkungen entfalten. Nach dem Fall KSV1870 muss jedes vollautomatisierte Scoring, das für Kredit-, Beschäftigungs- oder ähnliche Entscheidungen verwendet wird, entweder auf einer ausdrücklichen Einwilligung beruhen oder sich auf eine der engen Ausnahmen nach Art. 22 Abs. 2 stützen, wobei auf Verlangen eine menschliche Überprüfung zur Verfügung stehen muss.
-
Überprüfung grenzüberschreitender Übermittlungen. Führen Sie für alle Übermittlungen in Länder außerhalb der EU/des EWR ohne Angemessenheitsbeschluss eine Transfer Impact Assessment durch. Überprüfen Sie, ob US-Dienstleister DPF-zertifiziert sind, sofern Sie sich auf das DPF stützen wollen.
-
Interessenkonflikte bei Datenschutzbeauftragten. Die Geldstrafe der DSB in Höhe von 5.000 Euro aus dem Jahr 2024 bestätigt, dass Datenschutzbeauftragte keine Funktionen innerhalb derselben Organisation ausüben dürfen, die ihre Unabhängigkeit gefährden. Führungskräfte und Compliance-Verantwortliche dürfen nicht als Datenschutzbeauftragte fungieren.
-
Planung der Compliance mit der EU-KI-Verordnung. Identifizieren Sie alle KI-Systeme, die in den Anwendungsbereich der KI-Verordnung fallen, insbesondere Hochrisikokategorien. Stimmen Sie die Datenschutz-Folgenabschätzungen nach Art. 35 DSGVO mit den Risikobewertungen der KI-Verordnung ab, sofern sich diese überschneiden.
-
Bereitschaft zur Meldung von Datenschutzverletzungen. Führen Sie dokumentierte Verfahren zur Reaktion auf Vorfälle, die geeignet sind, das 72-Stunden-Fenster nach Art. 33 DSGVO einzuhalten.
-
Zivilrechtliche Haftung von Behörden. Österreichische Stellen des öffentlichen Sektors sollten berücksichtigen, dass der Präzedenzfall der Stadt Baden entfallen lässt, dass betroffene Personen bei der Geltendmachung von Schadenersatz nach Art. 82 DSGVO einen tatsächlichen Missbrauch nachweisen müssen.
Haftungsausschluss
Dieser Artikel stellt allgemeine rechtliche Informationen über den Datenschutzrahmen Österreichs im Rahmen der DSGVO und des Datenschutzgesetzes (DSG) dar. Er stellt keine Rechtsberatung dar. Die Informationen decken das österreichische und das unionsrechtliche Datenschutzrecht mit Stand Mai 2026 ab. Gesetze, Durchsetzungspraxis und behördliche Orientierungshilfen ändern sich häufig. Leser sollten für eine Beratung zu ihrer konkreten Situation eine in Österreich (oder dem jeweils zuständigen EU-Mitgliedstaat) zugelassene Rechtsanwältin oder einen zugelassenen Rechtsanwalt konsultieren.
Zitierte Rechtsquellen
- Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (Datenschutz-Grundverordnung). https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679
- Datenschutzgesetz (DSG), BGBl. I Nr. 165/1999 in der geltenden Fassung, konsolidierter Text Stand Mai 2026. https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=bundesnormen&Gesetzesnummer=10001597
- Österreichische Datenschutzbehörde (DSB), offizielle Website. https://data-protection-authority.gv.at/
- Einschlägige Datenschutzgesetze, österreichische Datenschutzbehörde. https://data-protection-authority.gv.at/data-protection-laws/relevant-data-protection-laws
- Rechte der betroffenen Person (DSGVO und DSG), österreichische Datenschutzbehörde. https://data-protection-authority.gv.at/data-protection-in-austria/rights-of-the-data-subject
- Österreichisches Bundesministerium für Finanzen, Überblick Datenschutz. https://www.bmf.gv.at/en/data-protection.html
- EuGH, Rechtssache C-807/21, Deutsche Wohnen SE gegen Staatsanwaltschaft Berlin, Urteil vom 5. Dezember 2023. https://gdprhub.eu/index.php?title=CJEU_-_C-807/21_-_Deutsche_Wohnen
- EuGH, Rechtssache C-416/23 (Österreichische Datenschutzbehörde gegen F R), Urteil vom 9. Jänner 2025. https://noyb.eu/en/austrian-data-protection-authority-slammed-cjeu
- DSB, Bescheid 2021-0.586.257 (D155.027), Google Analytics, 13. Jänner 2022. https://gdprhub.eu/index.php?title=DSB_%28Austria%29_-_2021-0.586.257_%28D155.027%29
- DSB, Folgeentscheidung zum risikobasierten Ansatz, 22. April 2022. https://noyb.eu/en/update-noybs-101-complaints-austrian-dpa-rejects-risk-based-approach-data-transfers-third-countries
- BVwG, GZ W258 2227269-1/39E, Österreichische Post AG (Geldstrafe von 16 Millionen Euro), 27. Dezember 2024. https://gdprhub.eu/index.php?title=BVwG_-_W258_2227269-1/39E
- DSB, Entscheidung zum automatisierten Kredit-Scoring von KSV1870, 25. September 2025. https://noyb.eu/en/noyb-win-austrian-authority-forbids-unlawful-credit-scoring-ksv1870
- BVwG (Bundesverwaltungsgericht), Urteil zu "Pay or Okay" von DerStandard.at, 18. August 2025. https://noyb.eu/en/court-decides-pay-or-okay-derstandardat-illegal
- noyb und epicenter.works, Beschwerde bei der Europäischen Kommission zu den Budgetbeschränkungen der DSB, 18. September 2025. https://noyb.eu/en/budget-cuts-paralyse-austrian-dpa-ngo-complaint-eu-commission
- EDSA, Verwaltungsstrafverfahren gegen die Österreichische Post AG. https://www.edpb.europa.eu/news/national-news/2019/administrative-criminal-proceedings-austrian-data-protection-authority_en
- Verordnung (EU) 2024/1689 (EU-KI-Verordnung). https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R1689
- KI-Servicestelle bei der RTR, Orientierungshilfe zur KI-Verordnung. https://www.rtr.at/rtr/service/ki-servicestelle/ai-act/AI_Act.en.html
- Europäische Kommission, Rechtsrahmen der EU-KI-Verordnung. https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
- EuGH, Rechtssache C-673/17, Planet49, Urteil zur Cookie-Einwilligung. https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A62017CJ0673
- Datenschutz in Österreich, GDPRhub. https://gdprhub.eu/Data_Protection_in_Austria
Verwandte Artikel
Zuletzt aktualisiert: 19.05.2026. Die zitierten Gesetze entsprechen ihrer am Stand Mai 2026 geltenden Fassung.
Frequently Asked Questions
Gilt die DSGVO in Österreich?
Die DSGVO gilt als EU-Mitgliedstaat unmittelbar in Österreich und ist seit dem 25. Mai 2018 in Kraft. Österreich ergänzt die DSGVO durch sein Datenschutzgesetz (DSG), das jene Bereiche regelt, in denen die DSGVO den Mitgliedstaaten einen Gestaltungsspielraum einräumt, darunter das Einwilligungsalter für Kinder, Regeln zur Videoüberwachung, Medienausnahmen, Verschwiegenheitsschutz für Datenschutzbeauftragte und strafrechtliche Sanktionen für Datenmissbrauch.
Was ist die Datenschutzbehörde (DSB) und wie reiche ich eine Beschwerde ein?
Die Datenschutzbehörde (DSB) ist Österreichs unabhängige Aufsichtsbehörde für den Datenschutz mit Sitz in Wien. Personen können direkt bei der DSB Beschwerde einlegen, wenn sie glauben, dass ihre Datenschutzrechte verletzt wurden. Beschwerden können über die offizielle Website der DSB unter data-protection-authority.gv.at eingereicht werden. Nach dem Urteil des EuGH in der Rechtssache C-416/23 darf die DSB die Anzahl der Beschwerden, die eine betroffene Person pro Monat einreichen darf, nicht begrenzen, sofern die Beschwerden nicht tatsächlich missbräuchlich sind.
Welche Strafen drohen bei Verstößen gegen das Datenschutzrecht in Österreich?
Österreich sieht Sanktionen auf drei Ebenen vor. Verwaltungsstrafen nach der DSGVO erreichen bei schweren Verstößen wie unrechtmäßiger Verarbeitung oder Missachtung der Rechte betroffener Personen bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes. Das DSG erlaubt zusätzliche Geldstrafen von bis zu 50.000 Euro für Verstöße gegen nationale Bestimmungen, die nicht bereits von Art. 83 DSGVO erfasst sind. Nach § 63 DSG kann der vorsätzliche Missbrauch personenbezogener Daten zum eigenen Vorteil oder zur Schädigung anderer strafrechtliche Sanktionen einschließlich bis zu einem Jahr Freiheitsstrafe nach sich ziehen.
Ist die Nutzung von Google Analytics in Österreich rechtmäßig?
Die DSB entschied im Jänner und April 2022, dass die standardmäßige Implementierung von Google Analytics gegen die DSGVO verstößt, da dabei personenbezogene Daten ohne ausreichende Garantien in die Vereinigten Staaten übermittelt werden. Seit der Einführung des EU-US Data Privacy Framework im Juli 2023 besteht für Übermittlungen an DPF-zertifizierte US-Organisationen eine neue Angemessenheitsgrundlage. Google LLC ist DPF-zertifiziert. Organisationen, die Google Analytics in Österreich nutzen, sollten prüfen, ob Google seine DPF-Zertifizierung aufrechterhält, und ihre konkrete Konfiguration überprüfen. Die gefestigte Position der DSB, wonach zusätzliche Maßnahmen den Zugriff ausländischer Nachrichtendienste nachweislich verhindern müssen, bleibt für Übermittlungen außerhalb des DPF relevant.
Ab welchem Alter können Kinder in Österreich Online-Diensten zustimmen?
Nach § 4 Abs. 4 DSG können Kinder in Österreich ab dem Alter von 14 Jahren Diensten der Informationsgesellschaft zustimmen. Das liegt unter dem Standardschwellenwert von 16 Jahren nach der DSGVO, den Österreich über die Öffnungsklausel der Verordnung gesenkt hat. Für Kinder unter 14 Jahren ist die Einwilligung der Eltern oder Erziehungsberechtigten erforderlich.
Muss in Österreich vor der Verhängung einer DSGVO-Geldbuße gegen ein Unternehmen eine natürliche Person identifiziert werden?
Nein. Nach dem Urteil des EuGH in der Rechtssache Deutsche Wohnen (C-807/21, 5. Dezember 2023) müssen österreichische Gerichte DSGVO-Geldbußen gegen juristische Personen bereits beim Nachweis eines organisatorischen Verschuldens verhängen. Der EuGH entschied, dass es nicht erforderlich ist, den Verstoß zuerst einer identifizierten natürlichen Person zuzurechnen. Eine verschuldensunabhängige Haftung gilt jedoch nicht: Die Organisation muss vorsätzlich oder fahrlässig gehandelt haben. Fahrlässigkeit kann aus systemischen Mängeln in der Datenschutz-Governance abgeleitet werden, ohne dass der konkret verantwortliche Mitarbeiter identifiziert werden muss.
Was ist die EU-KI-Verordnung und wie wirkt sie sich auf österreichische Unternehmen aus?
Die EU-KI-Verordnung (Verordnung 2024/1689) gilt unmittelbar in Österreich. Verbotene KI-Praktiken sind seit Februar 2025 untersagt. Transparenzregeln für KI-Systeme mit allgemeinem Verwendungszweck gelten ab August 2026. Die Vorschriften für Hochrisiko-KI-Systeme gelten ab Dezember 2027. Österreich hat mit der KI-Servicestelle bei der RTR eine nationale beratende Stelle für die Einhaltung der KI-Verordnung eingerichtet. Die KI-Verordnung gilt neben der DSGVO: KI-Systeme mit Profiling oder automatisierten Einzelfallentscheidungen müssen zusätzlich Art. 22 und Art. 35 DSGVO einhalten.
Sind "Pay or Okay"-Modelle für die Cookie-Einwilligung in Österreich rechtmäßig?
Österreichische Gerichte haben Modelle des Bezahlens oder Zustimmens genau geprüft. Im August 2025 entschied das Bundesverwaltungsgericht gegen die Zeitung DerStandard.at und stellte fest, dass deren Modell, das Nutzer entweder zur Zahlung von 9,90 Euro monatlich oder zur Zustimmung zu umfassendem Tracking durch Dritte verpflichtete, keine gültige DSGVO-Einwilligung darstellte, da es an der erforderlichen Granularität fehlte. Nutzer müssen in der Lage sein, für bestimmte Verarbeitungsarten getrennt zuzustimmen oder diese abzulehnen. Das Gericht erklärte das Modell des Bezahlens oder Zustimmens nicht grundsätzlich für unzulässig, stellte jedoch fest, dass granulare Einwilligungsoptionen ein Mindesterfordernis sind.
Welche Regeln gelten in Österreich für automatisiertes Kredit-Scoring und algorithmische Entscheidungen?
Art. 22 DSGVO untersagt Entscheidungen, die ausschließlich auf einer automatisierten Verarbeitung beruhen und rechtliche oder ähnlich erhebliche Wirkungen entfalten, sofern nicht eine der engen Ausnahmen greift. Die Entscheidung der DSB vom September 2025 gegen KSV1870 bestätigte, dass automatisierte Kredit-Scoring-Systeme, die Risikokennzahlen zu Zwecken von Dienstleistungsentscheidungen an Dritte übermitteln, gegen dieses Verbot verstoßen. Verantwortliche, die sich auf automatisiertes Scoring stützen, müssen entweder die ausdrückliche Einwilligung der betroffenen Person einholen, nachweisen, dass die Entscheidung für einen Vertrag erforderlich ist, oder durch EU- oder mitgliedstaatliches Recht dazu ermächtigt sein, und müssen in jedem Fall das Recht auf menschliche Überprüfung einräumen.
Was ist das verfassungsrechtliche Grundrecht Österreichs auf Datenschutz?
§ 1 des DSG hat Verfassungsrang, das heißt, er kann nur mit einer Zweidrittelmehrheit im Parlament geändert werden. Er garantiert jedermann, einschließlich juristischen Personen, das Recht auf Geheimhaltung personenbezogener Daten im Privat- und Familienleben. Diese Bestimmung besteht seit 1978 und macht Österreich zu einem der ersten Länder, die den Datenschutz verfassungsrechtlich verankert haben. Sie ermöglicht es, jedes österreichische Gesetz, das in den Datenschutz eingreift, vor dem Verfassungsgerichtshof (VfGH) anzufechten, was eine gerichtliche Kontrolle schafft, die über den Rahmen der DSGVO hinausgeht.
Sources and References
- Verordnung (EU) 2016/679 (DSGVO)(eur-lex.europa.eu).gov
- Datenschutzgesetz (DSG) - Bundesrecht konsolidiert, Fassung vom Mai 2026(ris.bka.gv.at).gov
- Österreichische Datenschutzbehörde (DSB) - Offizielle Website(data-protection-authority.gv.at).gov
- Einschlägige Datenschutzgesetze - Österreichische Datenschutzbehörde(data-protection-authority.gv.at).gov
- Rechte der betroffenen Person (DSGVO und DSG) - Österreichische Datenschutzbehörde(data-protection-authority.gv.at).gov
- Österreichisches Bundesministerium für Finanzen - Überblick Datenschutz(bmf.gv.at).gov
- EuGH C-807/21 Deutsche Wohnen - Verschuldenszurechnung bei DSGVO-Geldbußen gegen juristische Personen(gdprhub.eu)
- EuGH C-416/23 - Beschwerdebegrenzung der österreichischen DSB für rechtswidrig erklärt(noyb.eu)
- DSB-Bescheid 2021-0.586.257 - Google-Analytics-Verstoß gegen die DSGVO(gdprhub.eu)
- DSB lehnt risikobasierten Ansatz bei Datenübermittlungen ab - Folgeentscheidung April 2022(noyb.eu)
- BVwG W258 2227269-1/39E - Österreichische Post AG, Geldstrafe von 16 Millionen Euro, Dezember 2024(gdprhub.eu)
- DSB-Entscheidung zum automatisierten Kredit-Scoring von KSV1870, 25. September 2025(noyb.eu)
- BVwG-Urteil zu "Pay or Okay" von DerStandard.at, 18. August 2025(noyb.eu)
- Beschwerde von noyb und epicenter.works bei der Europäischen Kommission zum DSB-Budget, September 2025(noyb.eu)
- EDSA - Verwaltungsstrafverfahren gegen die Österreichische Post AG(edpb.europa.eu).gov
- Verordnung (EU) 2024/1689 - EU-KI-Verordnung(eur-lex.europa.eu).gov
- KI-Servicestelle bei der RTR - Orientierungshilfe zur KI-Verordnung in Österreich(rtr.at).gov
- Europäische Kommission - Rechtsrahmen der EU-KI-Verordnung(digital-strategy.ec.europa.eu).gov
- EuGH-Rechtssache C-673/17 Planet49 - Urteil zur Cookie-Einwilligung(eur-lex.europa.eu).gov
- Datenschutz in Österreich - GDPRhub(gdprhub.eu)