Ein transparentes Buch mit einem Paragraphen-Symbol und Sternen, schwebend über einem digitalen Hintergrund.

Datenschutz Österreich: DSGVO-Vorgaben und nationale Besonderheiten

Wer auf dem österreichischen Markt rechtssicher agieren will, muss neben der europäischen DSGVO zwingend auch das nationale Datenschutzgesetz (DSG) kennen. In diesem Beitrag erklären wir die wichtigsten Grundlagen für den Datenschutz in Österreich und zeigen die rechtlichen Unterschiede zur deutschen Praxis auf.

Beratungstermin vereinbaren

Die wichtigsten Fakten zum Datenschutz in Österreich

  • Das österreichische Datenschutzgesetz (DSG)
    Die DSGVO gibt den EU-Rahmen vor, das DSG konkretisiert den Datenschutz in Österreich. Es nutzt nationale Öffnungsklauseln für spezifische Regeln, z. B. bei der Videoüberwachung.
  • Die Datenschutzbehörde (DSB)
    Zentrale Aufsichtsbehörde ist die DSB in Wien. Sie überwacht die Einhaltung der DSGVO in Österreich, bearbeitet Beschwerden und verhängt Sanktionen bei Verstößen.
  • Strenge Bildverarbeitung (CCTV)
    Das DSG (§§ 12 f.) regelt Videoüberwachung extrem detailliert. Sie ist nur zulässig, wenn dies für lebenswichtige Interessen einer Person erforderlich ist, die betroffene Person eingewilligt hat oder sie durch besondere gesetzliche Bestimmungen angeordnet oder erlaubt ist. Im Einzelfall kann sie auch auf ein berechtigtes Interesse des Verantwortlichen gestützt werden, wenn dies verhältnismäßig ist. Zudem unterliegt sie strengen Kennzeichnungspflichten.
  • Besonderheiten bei Geldbußen
    Nach § 30 Abs. 5 DSG gibt es Besonderheiten bei Verwaltungsstrafen. Vor allem für Behörden und öffentliche Stellen ist die Verhängung von Geldbußen in Österreich stark eingeschränkt.
  • Betriebsrat und Datenschutz
    Der Beschäftigtendatenschutz wird maßgeblich vom Arbeitsverfassungsgesetz (ArbVG) beeinflusst. Kontrollsysteme bedürfen oft zwingend der Zustimmung des Betriebsrats.

DSGVO Österreich: Die Basis des Datenschutzrechts

Wie in der gesamten Europäischen Union bildet für Unternehmen, die in Österreich agieren, die Datenschutz-Grundverordnung (DSGVO) das rechtliche Fundament. Sie regelt die Grundprinzipien der Datenverarbeitung, wie Zweckbindung, Datenminimierung und die Rechte der betroffenen Personen. 

Organisationen müssen diese Vorgaben uneingeschränkt einhalten, andernfalls drohen empfindliche Bußgelder durch die Aufsichtsbehörden. Um den nationalen Besonderheiten gerecht zu werden, macht der Datenschutz in Österreich von den sogenannten Öffnungsklauseln der DSGVO Gebrauch. Diese erlauben es den Mitgliedstaaten, bestimmte Bereiche in nationalen Gesetzen genauer zu definieren.

Icon Zitat

„Die DSGVO harmonisiert den Datenschutz europaweit, lässt aber bewusst Raum für nationale Prägungen. Wer in Österreich rechtssicher agieren will, muss neben der EU-Verordnung zwingend das nationale DSG kennen.“

Das Datenschutzgesetz (DSG) in Österreich im Detail

Das österreichische Datenschutzgesetz (DSG) ist das primäre nationale Ausführungsgesetz zur DSGVO in Österreich. Es regelt all jene Aspekte, die der europäische Gesetzgeber den nationalen Parlamenten überlassen hat. Dazu zählen spezifische Vorgaben zur Verarbeitung sensibler Daten im öffentlichen Interesse oder die Modalitäten der Datenschutzbehörde (DSB).
Besonders relevant für Unternehmen ist das DSG, wenn es um Sanktionen geht. Im Gegensatz zu manchen anderen EU-Ländern sieht das DSG (§ 30) Besonderheiten für Bußgelder gegen juristische Personen vor. Zudem sind öffentliche Stellen von Verwaltungsstrafen weitgehend ausgenommen.

Checkliste fĂĽr Unternehmen: DSGVO in Ă–sterreich

Die Ausweitung von Geschäftstätigkeiten nach Österreich birgt oft unerkannte Datenschutz-Risiken. Viele Unternehmen verlassen sich darauf, dass ihre bestehenden, für Deutschland optimierten Dokumente auch jenseits der Grenze Stand halten. Bevor Sie den österreichischen Markt betreten oder bestehende Strukturen auditieren, sollten Sie diese vier Kernbereiche auf lokale Konformität prüfen:

Datenschutzerklärungen anpassen
Referenzen auf das deutsche BDSG sind in Österreich rechtlich fehlerhaft. Sämtliche Verweise müssen auf das österreichische Datenschutzgesetz (DSG) und die Zuständigkeit der Datenschutzbehörde (DSB) in Wien umgestellt werden.

Löschkonzepte und Aufbewahrungsfristen prüfen
Löschkonzepte dürfen nicht ungeprüft übernommen werden. Sie müssen die spezifischen nationalen Aufbewahrungsfristen des österreichischen Unternehmensgesetzbuchs (UGB) und der Bundesabgabenordnung (BAO) integrieren.

Verarbeitungsverzeichnisse (VVT) lokalisieren
Zentrale VVT müssen länderspezifische Prozesse abbilden. Nutzt die österreichische Niederlassung eigene HR-Tools oder lokale Dienstleister, müssen diese Tätigkeiten als eigenständige Prozesse rechtssicher dokumentiert sein.

Auftragsverarbeitungsverträge (AVV) aktualisieren
Bei österreichischen Dienstleistern müssen die Verträge im Sinne von Art. 28 DSGVO die lokalen Gegebenheiten berücksichtigen. Insbesondere Meldewege und Fristen bei Datenpannen müssen auf die österreichische Aufsicht abgestimmt sein.

Unterschiede Datenschutz Ă–sterreich vs. Deutschland

Datenschutz Österreich vs. Deutschland

Für Konzerne und Unternehmen, die im gesamten DACH-Raum agieren, ist die Kenntnis der Hauptunterschiede im Datenschutz zwischen Österreich (DSG) und Deutschland (BDSG) entscheidend. Obwohl beide Länder der DSGVO unterliegen, gibt es in der Rechtspraxis signifikante Abweichungen:

  1. Videoüberwachung (Bildverarbeitung): In Österreich ist die Bildverarbeitung im DSG (§§ 12 f.) sehr detailliert und restriktiv geregelt . Das deutsche BDSG (§ 4) ist hier – insbesondere nach mehreren EuGH-Urteilen – oft weniger trennscharf formuliert.
  2. Beschäftigtendatenschutz: Während Deutschland in § 26 BDSG eine eigene Norm für den Beschäftigtendatenschutz hat, fehlt eine solche explizite Regelung im DSG. In Österreich greifen hier vor allem das allgemeine Arbeitsrecht und das Arbeitsverfassungsgesetz (ArbVG), welches dem Betriebsrat bei Kontrollmaßnahmen (z. B. GPS-Tracking) ein starkes Mitbestimmungsrecht einräumt.
  3. Die Rolle des Datenschutzbeauftragten: In Deutschland muss ein Datenschutzbeauftragter benannt werden, wenn sich in der Regel mindestens 20 Personen im Unternehmen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. In Österreich gibt es diese „Personen-Grenze“ nicht; hier gelten streng die Kriterien des Art. 37 DSGVO (Kerntätigkeit, umfangreiche Verarbeitung sensibler Daten).
Warnsymbol in Form eines Dreiecks mit einem Ausrufezeichen und einem Punkt in der Mitte, in sanften Farben.

Vorsicht bei Konzernstrukturen: Eine Datenschutzrichtlinie, die für die deutsche Konzernmutter rechtskonform ist, lässt sich oft nicht 1:1 auf die österreichische Tochtergesellschaft übertragen. Besonders bei Mitarbeiterdaten und Überwachungssystemen ist eine lokale rechtliche Prüfung unerlässlich.

Die österreichische Datenschutzbehörde (DSB)

Die Durchsetzung des Datenschutzes in Österreich obliegt der Datenschutzbehörde (DSB) mit Sitz in Wien. Sie ist die einzige und zentrale Aufsichtsbehörde des Landes – ein großer Unterschied zu Deutschland, wo es je nach Bundesland und Sektor (öffentlich / nicht-öffentlich) mehrere Landesdatenschutzbeauftragte gibt.

Die DSB ist Anlaufstelle für Beschwerden von Bürgern und berät den Gesetzgeber. Für Unternehmen ist sie die wichtigste Instanz bei der Meldung von „Data Breaches“ (Verletzungen des Schutzes personenbezogener Daten) gemäß Art. 33 DSGVO. Eine rechtzeitige und transparente Kommunikation mit der DSB ist bei Datenschutzvorfällen oft entscheidend, um Bußgelder zu minimieren.

Eine Frau mit langen, braunen Haaren trägt einen schwarzen Pullover und einen blauen Blazer, lächelt und steht mit erhobener Hand.

Dr. Alina Weskamp-Nordmann, LL.M.

Juristin

Ich berate Sie gerne

Rufen Sie uns an oder schreiben Sie uns über das Kontaktformular.

+49 40 790 235 0
sales@intersoft-consulting.de
Termin vereinbaren

Häufige Fragen zum Datenschutz in Österreich

Sie haben spezifische Fragen zum Datenschutz in Ă–sterreich?
Wir haben die wichtigsten Antworten rund um Meldepflichten, BuĂźgelder und Auskunftsrechte fĂĽr Sie zusammengefasst.

Wie hoch sind die Strafen bei Datenschutzverstößen in Österreich?

In Österreich gelten grundsätzlich dieselben DSGVO-Strafrahmen wie im Rest Europas: Bußgelder können bis zu 20 Millionen Euro oder bis zu 4 % des weltweit erzielten Jahresumsatzes betragen, je nachdem, welcher Wert höher ist. 

Allerdings sind Behörden und öffentliche Stellen nach österreichischem Recht (§ 30 Abs. 5 DSG) weitgehend von diesen Verwaltungsstrafen ausgenommen.

Wann muss ein Data Breach an die DSB in Wien gemeldet werden?

Eine Verletzung des Schutzes personenbezogener Daten (Data Breach) muss gemäß Art. 33 DSGVOan die zuständige Datenschutzbehörde gemeldet werden, wenn sie voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. 

Die Meldung muss unverzüglich und – wenn möglich – binnen 72 Stunden erfolgen, nachdem das Unternehmen von der Verletzung Kenntnis erlangt hat. Erfolgt die Meldung später, muss diese Verzögerung stichhaltig begründet werden. Ist das Risiko für die Betroffenen voraussichtlich hoch, müssen diese gemäß Art. 34 Abs. 1 DSGVO zusätzlich direkt informiert werden.

Ab wann brauche ich einen Datenschutzbeauftragten in Österreich?

Im Gegensatz zu Deutschland, wo eine feste Grenze von in der Regel 20 datenverarbeitenden Mitarbeitenden gilt, gibt es für den Datenschutz in Österreich keine pauschale, an der Mitarbeiterzahl orientierte Bestellpflicht. Hier gelten ausschließlich die Vorgaben des Art. 37 DSGVO. 

Ein Datenschutzbeauftragter (DSBA) ist zwingend zu benennen, wenn die Kerntätigkeit des Unternehmens in der umfangreichen, regelmäßigen und systematischen Überwachung von Personen besteht oder wenn sensible Daten (z. B. Gesundheitsdaten) in großem Umfang verarbeitet werden.

Werden IP-Adressen in Österreich als personenbezogene Daten gewertet?

Ja. Wie in der gesamten Europäischen Union folgt die Auslegung der DSGVO Österreich hier der ständigen Rechtsprechung des Europäischen Gerichtshofs (EuGH). Demnach gelten dynamische IP-Adressen als personenbezogene Daten, wenn der Webseitenbetreiber über rechtliche Mittel verfügt, um die betroffene Person z. B. durch Auskunftsanträge beim Internet Provider identifizieren zu lassen.

Dies ist für die Praxis der meisten Unternehmen der Fall. Daher erfordert auch beim Datenschutz in Österreich die Speicherung oder Verarbeitung von IP-Adressen (etwa für Website-Tracking oder Logfiles) eine gültige Rechtsgrundlage gemäß Art. 6 DSGVO. Weiterhin ist für statische IP-Adressen, die dauerhaft einem Anschluss zugeordnet sind, der Personenbezug ohnehin gegeben.

„*“ zeigt erforderliche Felder an

Dieses Feld dient zur Validierung und sollte nicht verändert werden.
Ihre Angaben werden selbstverständlich vertraulich behandelt. intersoft consulting services sichert Ihnen zu, Ihre persönlichen Daten ausschließlich zum Zweck der Bearbeitung Ihrer Anfrage zu nutzen und nicht an Dritte weiterzugeben. Die Datenübertragung erfolgt verschlüsselt.
Eine Frau in einem dunkelblauen Blazer steht vor einem modernen Bürogebäude mit großen Fenstern.

Ăśber Dr. Alina Weskamp-Nordmann

  • Dipl. Juristin
  • Master of Laws in Transnational Law
  • Datenschutzbeauftragte (TĂśV‑zertifiziert)
  • Promotion im Bereich Softwarepatente
Weitere Beiträge vom Author

Wissenswertes zum Datenschutz

Bleiben Sie informiert und erfahren Sie alles Wichtige rund um den Schutz personenbezogener Daten.

Mehr Beiträge