DSGVO-Komplettpaket Österreich: was AT-Unternehmen anders brauchen
Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.
TL;DR
- AT-Unternehmen benötigen DSGVO + DSG (statt BDSG in DE) — Verweise und Aufsichtsbehörde unterscheiden sich
- DSB-Pflicht in AT folgt Art. 37 DSGVO ohne Mitarbeiter-Schwelle — anders als § 38 BDSG (DE: ab 20 MA)
- Aufsicht: zentrale ÖDSB in Wien, kooperativer als deutsche Landes-DSB
- AT-Sonderthemen: Bildaufnahme (§ 12 DSG), Beschäftigtendatenschutz (§ 11 DSG), Forschung (§ 7 DSG)
- DSGVO-Kit Compliance-Kit enthält AT-Anpassungen für Datenschutzerklärung, DSB-Vertrag, VVT
1. AT-spezifische Besonderheiten
Die DSGVO gilt EU-weit unmittelbar. Aber: jeder Mitgliedstaat hat nationale Öffnungsklauseln. In Österreich konkretisiert das DSG (Datenschutzgesetz, BGBl. I Nr. 165/1999) folgende Bereiche:
- § 5 DSG: Pflicht und Stellung des Datenschutzbeauftragten (ergänzt Art. 37 DSGVO)
- § 7 DSG: Datenverarbeitung zu wissenschaftlichen oder statistischen Zwecken
- § 11 DSG: Beschäftigtendatenschutz
- § 12 DSG: Bildaufnahmen (Videoüberwachung) — eigene Sonderregelung mit Hinweisschild-Pflicht
- § 13 DSG: Datenschutzerklärung — zusätzliche AT-Pflichtangaben
- § 49 DSG: Auskunftsrecht-Beschränkung im Strafrecht
2. DSB-Pflicht in Österreich
Nach Art. 37 DSGVO + § 5 DSG ist ein DSB Pflicht bei:
- Behörden und öffentlichen Stellen
- Unternehmen mit Kerntätigkeit Profiling oder regelmäßige Überwachung im großen Maßstab
- Unternehmen mit Verarbeitung besonderer Kategorien (Art. 9) in großem Umfang
Wichtig: AT kennt KEINE Mitarbeiter-Schwelle wie DE (§ 38 BDSG: 20 MA). Damit greift die DSB-Pflicht in AT bei kleineren Unternehmen früher als in DE.
3. Österreichische Datenschutzbehörde (ÖDSB)
Adresse: Barichgasse 40-42, 1030 Wien. Webseite: dsb.gv.at. Online-Beschwerdeformular verfügbar.
Praxisbild 2024:
- Ca. 4.500 Beschwerden, davon ca. 60 % beantwortet binnen 6 Monaten
- 15 % der Verfahren mit Bußgeld; Schnitt 8.000 EUR
- Höchstes 2024-Bußgeld: 480.000 EUR (Tracking auf Verkäufer-Plattform)
- Höchstes je verhängtes Bußgeld: 9 Mio. EUR (Österreichische Post 2019)
4. Typische DSGVO-Fälle in AT
| Fall | AT-Sonderregel |
|---|---|
| Videoüberwachung Lager | § 12 DSG: Hinweisschild Pflicht, max. 72h-Aufbewahrung Default |
| Mitarbeiter-Tracking GPS | § 11 DSG: stärkerer Beschäftigtendatenschutz, BR-Mitbestimmung |
| Newsletter-Versand | Art. 6 + § 174 GewO: Double-Opt-In Pflicht |
| Cookie-Banner | TKG 2021 § 165 (analog DE TDDDG): Opt-In für Tracking-Cookies |
| Auftragsverarbeitung mit DE-Dienstleister | Art. 28 DSGVO + ggf. § 5 DSG (Konzern-Spezialregeln) |
5. DSGVO-Kit AT-Anpassungen
Wer ein DSGVO-Kit für ein AT-Unternehmen sucht, sollte folgende Module enthalten haben:
- Datenschutzerklärung mit AT-spezifischen Pflichtangaben + ÖDSB-Beschwerdeweg
- DSB-Bestellung nach § 5 DSG (Vorlage + Vertrag)
- VVT mit AT-typischen Verarbeitungen (Sozialversicherungs-Meldung, ÖGK)
- Videoüberwachungs-Konzept nach § 12 DSG (Hinweisschild + 72h-Default)
- Beschäftigtendatenschutz-Vereinbarung nach § 11 DSG
- ÖDSB-Beschwerde-Bearbeitungs-Workflow
- Forschungs-/Statistik-Klauseln nach § 7 DSG (für Universitäten, F&E-Abteilungen)
Häufig gestellte Fragen
Gilt das deutsche BDSG auch in Österreich?
Nein. In Österreich gilt das DSG (Datenschutzgesetz, BGBl. I Nr. 165/1999, idF BGBl. I Nr. 14/2019). Das DSG ergänzt die DSGVO um nationale Öffnungsklauseln — analog dem deutschen BDSG, aber mit eigenen Regelungen zu Bildaufnahmen, Beschäftigtendatenschutz, Forschung.
Brauche ich einen DSB in Österreich?
Nach Art. 37 DSGVO + § 5 DSG: Pflicht für Behörden, Unternehmen mit Kerntätigkeit Profiling/Überwachung, Verarbeitung besonderer Kategorien in großem Umfang. KEINE Mitarbeiter-Schwelle wie in DE (§ 38 BDSG). Ein externer DSB ist zulässig und in AT verbreiteter als in DE.
Wer ist die Aufsichtsbehörde in Österreich?
Die Österreichische Datenschutzbehörde (ÖDSB) — eine zentrale Bundesbehörde, anders als in Deutschland (16 Landes-DSB plus BfDI). Sitz in Wien, ca. 50 Mitarbeitende. Bußgeld-Praxis 2024: Schnitt ca. 8.000 EUR pro Fall, Maximum 9 Mio. EUR (Österreichische Post 2019).
Welche AT-spezifischen Themen sollte ein DSGVO-Kit abdecken?
Bildaufnahme (§ 12 DSG, Videoüberwachung-Sonderregelung), Wissenschaftsforschung (§ 7 DSG), Beschäftigtendatenschutz (§ 11 DSG, anders als § 26 BDSG), Strafrecht (§ 49 DSG, Auskunftsrecht-Beschränkung), DSB-Pflicht-Auslegung der ÖDSB.
Datenschutzerklärung Website — AT-Mindestinhalt?
Nach Art. 13 DSGVO + § 13 DSG zusätzlich: Hinweis auf das österreichische DSG, Aufsichtsbehörde ÖDSB mit Adresse und Beschwerdeweg, AT-spezifische Empfänger-Kategorien (z.B. Sozialversicherung statt SV in DE).
Bußgeld-Höhe in Österreich vs. Deutschland?
EU-Maxima identisch (20 Mio. EUR / 4 % Umsatz). Praxis: AT-Bußgelder 2024 deutlich niedriger als DE-Bußgelder. ÖDSB hat einen kooperativeren Ansatz, mehr Verwarnungen, weniger Bußgeldverfahren. Aber: bei Wiederholung oder Datenschutz-Skandal volle EU-Maxima.
Quellen
- Verordnung (EU) 2016/679 (DSGVO) — deutscher Volltext, EUR-Lex (Stand: 02.05.2026, geltend seit 25.05.2018)
- Europäische Kommission — Datenschutz-Hauptseite (Stand: laufend)
- EDPB Jahresbericht 2023 (Executive Summary, deutsch) (Stand: 08.2024)
- Europäische Kommission — Digital Omnibus Pressemitteilung (Stand: 02.05.2026, Trilog laufend)
Werkzeuge & Selbsttests
DSGVO-Checkliste
30 Pruefpunkte fuer Datenschutz-Compliance im KMU.
Bussgeld-Rechner
Berechnen Sie das potenzielle Bussgeld-Risiko fuer Ihr Unternehmen.
DSGVO Self-Assessment
Strukturierter Selbsttest mit Reifegrad-Score und Massnahmen-Roadmap.
Cookie-Banner-Audit
TDDG/DSGVO-Pruefung Ihres Cookie-Banners mit konkreten Korrektur-Hinweisen.