DSGVO für Unternehmen in Österreich – Pflichten, Bußgelder & Praxistipps 2026

Beitrag vom 8. April 2026

Die DSGVO gilt seit 2018 – und trotzdem kämpfen viele Unternehmen in Österreich noch mit den praktischen Anforderungen. Verarbeitungsverzeichnisse fehlen, Auskunftsbegehren bleiben unbeantwortet, Auftragsverarbeiter-Verträge liegen in der Schublade statt im System. Die österreichische Datenschutzbehörde hat 2025 und 2026 ihre Prüftätigkeit deutlich verschärft, und die Bußgelder steigen. In diesem Beitrag zeigen wir, welche DSGVO-Pflichten Ihr Unternehmen tatsächlich treffen, was bei Verstößen droht und wie Sie mit überschaubarem Aufwand compliant werden.

📑 Inhaltsverzeichnis

1. DSGVO und DSG – die Rechtsgrundlagen in Österreich 2. Die sieben Kernpflichten für Unternehmen 3. Datenschutzbeauftragter – wann er Pflicht ist 4. Bußgelder und Strafen – was Unternehmen riskieren 5. DSGVO und GmbH – persönliche Haftung des Geschäftsführers 6. Häufige Fehler – und wie Sie sie vermeiden 7. DSGVO-Checkliste für Unternehmen in Österreich 8. Das Wichtigste auf einen Blick

DSGVO und DSG – die Rechtsgrundlagen in Österreich

Der Datenschutz in Österreich beruht auf zwei Säulen: der Datenschutz-Grundverordnung (DSGVO) der EU und dem nationalen Datenschutzgesetz (DSG). Die DSGVO gilt seit dem 25. Mai 2018 unmittelbar in allen EU-Mitgliedstaaten. Das DSG ergänzt sie um österreichische Besonderheiten – etwa zur Datenschutzbehörde, zu Verwaltungsstrafen nach § 62 DSG und zum Grundrecht auf Datenschutz (§ 1 DSG).

Für Unternehmen bedeutet das: Die DSGVO gibt den Rahmen vor, das DSG konkretisiert einzelne Punkte. Wer in Österreich personenbezogene Daten verarbeitet – ob als GmbH, Einzelunternehmen oder Verein –, muss beide Regelwerke kennen. Das gilt unabhängig von der Unternehmensgröße. Ein Handwerksbetrieb mit fünf Mitarbeitern ist ebenso betroffen wie ein börsennotierter Konzern.

⚖️

DSGVO vs. DSG – die zwei Säulen des Datenschutzes

Stand: März 2026

🇪🇺 DSGVO (EU-Verordnung)

Gilt unmittelbar in allen EU-Mitgliedstaaten seit 25.05.2018.

Regelt u. a.: Rechtsgrundlagen der Verarbeitung (Art. 6), Betroffenenrechte (Art. 12–22), Verarbeitungsverzeichnis (Art. 30), Datenschutzbeauftragter (Art. 37–39), Bußgelder bis 20 Mio. EUR (Art. 83)

🇦🇹 DSG (österreichisch)

Ergänzt die DSGVO um nationale Sonderregelungen.

Regelt u. a.: Grundrecht auf Datenschutz (§ 1 DSG), Datenschutzbehörde als Aufsichtsstelle, Verwaltungsstrafen bis 25.000 EUR (§ 62 DSG), Bildverarbeitung (§ 12 DSG), Datengeheimnis (§ 6 DSG)

Ein zentrales Prinzip der DSGVO ist die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO): Nicht die Behörde muss beweisen, dass Sie gegen den Datenschutz verstoßen haben – sondern Sie als Unternehmen müssen belegen, dass Sie die Regeln einhalten. Das dreht die Beweislast um und macht lückenlose Dokumentation zur Pflicht.

Die sieben Kernpflichten für Unternehmen

Die DSGVO enthält dutzende Pflichten. In der Praxis scheitern die meisten Unternehmen aber an denselben sieben Punkten. Wer diese beherrscht, hat das Gröbste erledigt.

📋 Die 7 Kernpflichten der DSGVO für Unternehmen

Art. 5–44 DSGVO – die wichtigsten Pflichten im Überblick

Rechtsgrundlage sicherstellen – Jede Verarbeitung braucht eine Rechtsgrundlage nach Art. 6 DSGVO (Vertrag, Einwilligung, berechtigtes Interesse etc.). Ohne Rechtsgrundlage ist jede Verarbeitung rechtswidrig.

Verarbeitungsverzeichnis führen – Art. 30 DSGVO verpflichtet zur schriftlichen Dokumentation aller Verarbeitungstätigkeiten: Zweck, Datenkategorien, Empfänger, Löschfristen, technische Maßnahmen.

Informationspflichten erfüllen – Art. 13 und 14 DSGVO verlangen, dass Sie betroffene Personen über die Datenverarbeitung informieren – am häufigsten über die Datenschutzerklärung auf Ihrer Website.

Betroffenenrechte gewährleisten – Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17) und Datenübertragbarkeit (Art. 20). Frist: ein Monat ab Eingang des Antrags.

Auftragsverarbeiter-Verträge abschließen – Nutzen Sie externe Dienstleister (Cloud, Buchhaltung, Newsletter)? Dann brauchen Sie einen schriftlichen Vertrag nach Art. 28 DSGVO.

Datensicherheit gewährleisten – Art. 32 DSGVO verlangt technische und organisatorische Maßnahmen (TOM): Verschlüsselung, Zugangskontrollen, Backups, Mitarbeiterschulungen.

Meldepflicht bei Data Breaches – Datenpannen müssen der Datenschutzbehörde binnen 72 Stunden gemeldet werden (Art. 33 DSGVO). Bei hohem Risiko auch die betroffenen Personen (Art. 34 DSGVO).

Rechtsgrundlagen der Verarbeitung nach Art. 6 DSGVO

Art. 6 Abs. 1 DSGVO nennt sechs Rechtsgrundlagen. Für Unternehmen sind praktisch drei davon relevant: die Vertragserfüllung (lit. b), die rechtliche Verpflichtung (lit. c) und das berechtigte Interesse (lit. f). Die Einwilligung (lit. a) ist nur dort nötig, wo keine andere Rechtsgrundlage greift – etwa beim Newsletter-Versand oder bei Cookies zu Marketingzwecken.

Ein häufiger Irrtum: Viele Unternehmen lassen sich für alles eine Einwilligung unterschreiben – auch für die Lohnverrechnung oder die Rechnungsstellung. Das ist nicht nur unnötig, sondern kann sogar kontraproduktiv sein. Denn eine Einwilligung kann jederzeit widerrufen werden. Die Verarbeitung auf Basis eines Vertrags hingegen nicht.

Das Verarbeitungsverzeichnis – Herzstück der Dokumentation

Das Verarbeitungsverzeichnis nach Art. 30 DSGVO ist kein Formalismus. Es ist das Dokument, das die Datenschutzbehörde bei einer Prüfung als Erstes verlangt. Es muss enthalten: Zweck der Verarbeitung, Kategorien betroffener Personen und Daten, Empfänger, Übermittlungen in Drittländer, Löschfristen und eine Beschreibung der Sicherheitsmaßnahmen. Die Ausnahme für Unternehmen unter 250 Mitarbeitern (Art. 30 Abs. 5 DSGVO) greift in der Praxis selten – denn sie gilt nur, wenn die Verarbeitung nicht regelmäßig erfolgt. Lohnverrechnung, Kundendatenbank oder E-Mail-Verkehr zählen als regelmäßige Verarbeitung.

💡 Praxistipp: Verarbeitungsverzeichnis einfach halten

Starten Sie mit einer Excel-Tabelle. Die WKO bietet kostenlose Muster an. Listen Sie alle Verarbeitungen auf – von der Personalverwaltung über das CRM bis zum Website-Tracking. Besser ein einfaches, aber vollständiges Verzeichnis als ein perfekt formatiertes, das nur halb fertig ist. Die Datenschutzbehörde prüft Inhalt, nicht Layout.

Datenschutzbeauftragter – wann er Pflicht ist

Die Frage, ob ein Datenschutzbeauftragter bestellt werden muss, verunsichert viele Geschäftsführer. Die Antwort steht in Art. 37 Abs. 1 DSGVO: Die Bestellung ist Pflicht, wenn eines von drei Kriterien erfüllt ist.

Infografik

Wann ist ein Datenschutzbeauftragter Pflicht?

Art. 37 Abs. 1 DSGVO – drei Pflichtfälle

🏛️

Behörden & öffentliche Stellen

Immer Pflicht

Alle Behörden und öffentlichen Einrichtungen – mit Ausnahme von Gerichten in ihrer justiziellen Tätigkeit.

Gemeinden, Ministerien, Kammern, öffentliche Unternehmen

📊

Umfangreiche Überwachung

Kerntätigkeit

Die Kerntätigkeit erfordert eine umfangreiche, regelmäßige und systematische Überwachung betroffener Personen.

Banken, Versicherungen, Detekteien, große Online-Shops

🔒

Sensible Daten als Kerngeschäft

Besondere Kategorien

Die Kerntätigkeit besteht in der umfangreichen Verarbeitung besonderer Kategorien von Daten (Art. 9 DSGVO) oder strafrechtlicher Daten.

Krankenhäuser, Labore, politische Parteien, Sicherheitsdienste

Die meisten kleinen und mittleren GmbHs in Österreich fallen nicht unter die Pflicht. Wer nur Kundendaten, Rechnungen und Personalakten verwaltet, betreibt keine „umfangreiche, regelmäßige und systematische Überwachung“. Trotzdem kann eine freiwillige Bestellung sinnvoll sein – sie schafft klare Zuständigkeiten und wird von der Datenschutzbehörde positiv bewertet. Der Datenschutzbeauftragte kann intern oder extern bestellt werden. Seine Kontaktdaten müssen der Datenschutzbehörde gemeldet und veröffentlicht werden.

Bußgelder und Strafen – was Unternehmen riskieren

Die DSGVO kennt zwei Bußgeldstufen. Für schwerwiegende Verstöße – etwa eine Verarbeitung ohne Rechtsgrundlage oder die Missachtung von Betroffenenrechten – drohen bis zu 20 Millionen EUR oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist (Art. 83 Abs. 5 DSGVO). Für sonstige Verstöße – etwa ein fehlendes Verarbeitungsverzeichnis – sind es bis zu 10 Millionen EUR oder 2 % des Umsatzes (Art. 83 Abs. 4 DSGVO).

Zusätzlich sieht das österreichische DSG in § 62 Verwaltungsstrafen von bis zu 25.000 EUR vor – etwa für die Verletzung des Datengeheimnisses oder unzulässige Bildverarbeitung (Videoüberwachung).

💰

Bußgeldrahmen in Österreich – DSGVO + DSG

Verstoß-Kategorie	Höchststrafe	Typische Beispiele
Schwerwiegend (Art. 83 Abs. 5)	20 Mio. EUR / 4 % Umsatz	Verarbeitung ohne Rechtsgrundlage, Missachtung von Betroffenenrechten, Datenübermittlung in unsichere Drittländer
Sonstige (Art. 83 Abs. 4)	10 Mio. EUR / 2 % Umsatz	Fehlendes Verarbeitungsverzeichnis, kein Auftragsverarbeiter-Vertrag, mangelhafte TOM
DSG-Verwaltungsstrafe (§ 62)	25.000 EUR	Verletzung Datengeheimnis, unzulässige Videoüberwachung, Nichtlöschung nach Auskunftsbegehren

Hinweis: Bei Unternehmen gilt jeweils der höhere Betrag (Fixbetrag oder Umsatzprozentsatz). Stand: März 2026.

Aktuelle Bußgeld-Praxis in Österreich

Die österreichische Datenschutzbehörde (DSB) hat ihre Prüftätigkeit in den vergangenen zwei Jahren spürbar intensiviert. 2025 wurden 67 Entscheidungen im RIS veröffentlicht – mehr als dreimal so viele wie 2024 (19 Entscheidungen). Das höchste Bußgeld in Österreich: 16 Millionen EUR gegen die Österreichische Post AG, bestätigt durch das Bundesverwaltungsgericht im Dezember 2024. Der Grund: Verarbeitung politischer Affinitäten ohne Rechtsgrundlage.

Für 2026 hat die DSB angekündigt, Schwerpunktprüfungen zur Sicherheit der Verarbeitung (Art. 32 DSGVO) und zur Einhaltung der Transparenzpflichten (Art. 12–14 DSGVO) durchzuführen. Diese koordinierten Maßnahmen erfolgen EU-weit – auch die österreichische Behörde beteiligt sich.

Im Klein- und Mittelbereich bewegen sich die Strafen zwischen 3.000 und 50.000 EUR. Das klingt überschaubar – bis man die Folgekosten addiert: Rechtsanwaltskosten, IT-Sanierung, Rufschaden und mögliche Schadenersatzansprüche betroffener Personen nach Art. 82 DSGVO.

DSGVO und GmbH – persönliche Haftung des Geschäftsführers

Ein Punkt, der oft unterschätzt wird: Die DSGVO-Compliance ist Sache der Geschäftsführung. Nach § 25 GmbHG hat der Geschäftsführer die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden. Dazu gehört auch die Einhaltung der datenschutzrechtlichen Pflichten. Wer als Geschäftsführer den Datenschutz ignoriert oder unzureichend organisiert, riskiert eine persönliche Haftung gegenüber der Gesellschaft (Innenhaftung).

Wie die Geschäftsführerhaftung in der GmbH konkret funktioniert, haben wir in einem eigenen Beitrag erklärt. Im Datenschutzkontext bedeutet das: Wird die GmbH wegen eines DSGVO-Verstoßes zu einem Bußgeld verurteilt, kann die Gesellschaft den Geschäftsführer im Regressweg in Anspruch nehmen – wenn dieser seine Organisationspflichten verletzt hat.

Ablauf

Vom DSGVO-Verstoß zur Geschäftsführerhaftung

Datenschutzverstoß im Unternehmen
z. B. Datenleck, fehlendes Verarbeitungsverzeichnis, ignoriertes Auskunftsbegehren

Prüfung durch die Datenschutzbehörde (DSB)
Bescheid, Bußgeld gegen die GmbH (Art. 83 DSGVO)

Prüfung der Organisationspflicht
Hat der Geschäftsführer den Datenschutz angemessen organisiert? Gab es ein Verarbeitungsverzeichnis, Schulungen, TOM?

Pflicht erfüllt

Keine persönliche Haftung – Bußgeld bleibt bei der GmbH

Pflicht verletzt

Regress der GmbH gegen den Geschäftsführer (§ 25 GmbHG)

Das bedeutet in der Praxis: Der Geschäftsführer muss den Datenschutz nicht selbst umsetzen – aber er muss sicherstellen, dass es jemand tut. Wer eine GmbH gründet oder führt, sollte den Datenschutz von Anfang an mitdenken. Unseren Überblick zu den Grundlagen der GmbH-Gründung in Österreich finden Sie hier.

Häufige Fehler – und wie Sie sie vermeiden

In unserer Beratungspraxis sehen wir immer wieder dieselben Schwachstellen. Diese fünf Fehler führen besonders oft zu Problemen mit der Datenschutzbehörde:

Kein Verarbeitungsverzeichnis vorhanden

Das Verarbeitungsverzeichnis ist die erste Frage bei jeder Prüfung. Wer keines hat, signalisiert der Behörde: Hier wurde der Datenschutz grundsätzlich nicht ernst genommen. Auch wenn die Verarbeitung selbst rechtmäßig war – das fehlende Verzeichnis allein kann ein Bußgeld auslösen.

Auskunftsbegehren verspätet oder gar nicht beantwortet

Betroffene haben nach Art. 15 DSGVO das Recht auf Auskunft. Die Frist beträgt einen Monat. Viele Unternehmen legen solche Anfragen auf den Stapel – und vergessen sie. Das ist einer der häufigsten Beschwerdegründe bei der DSB.

Auftragsverarbeiter ohne Vertrag nutzen

Cloud-Dienste, E-Mail-Marketing-Tools, externe Lohnverrechnung – all das sind Auftragsverarbeiter nach Art. 28 DSGVO. Ohne schriftlichen Vertrag ist die Zusammenarbeit rechtswidrig. Viele Unternehmen nutzen Dutzende solcher Dienste und haben für keinen einen Vertrag.

Datenschutzerklärung veraltet oder unvollständig

Die Datenschutzerklärung auf der Website muss alle Verarbeitungen abbilden – inklusive Cookies, Tracking, Social-Media-Plugins und Kontaktformulare. Eine Copy-Paste-Vorlage von 2018 reicht längst nicht mehr. 2026 prüft die DSB im Rahmen der koordinierten EU-Maßnahme gezielt die Transparenzpflichten.

Datenpanne nicht gemeldet

Ein gestohlener Laptop, eine fehlgeleitete E-Mail mit Kundendaten, ein gehacktes System: Das sind meldepflichtige Datenpannen. Die 72-Stunden-Frist nach Art. 33 DSGVO beginnt ab Kenntnis. Wer zu spät meldet, begeht einen eigenen Rechtsverstoß – zusätzlich zum ursprünglichen Vorfall.

DSGVO-Checkliste für Unternehmen in Österreich

Diese Checkliste bildet die Mindestanforderungen ab. Wer alle Punkte abhaken kann, ist auf einem guten Weg. Jedes nicht abgehakte Feld ist ein potenzielles Risiko.

✅ DSGVO-Checkliste für Unternehmen in Österreich

☑️

Verarbeitungsverzeichnis – Alle Datenverarbeitungen dokumentiert (Art. 30 DSGVO)?

☑️

Rechtsgrundlagen – Für jede Verarbeitung eine Rechtsgrundlage nach Art. 6 DSGVO festgelegt?

☑️

Datenschutzerklärung – Website-Datenschutzerklärung vollständig und aktuell (Art. 13/14)?

☑️

Cookie-Consent – Einwilligungsbanner für nicht notwendige Cookies implementiert?

☑️

Auftragsverarbeiter – Schriftliche Verträge mit allen externen Dienstleistern (Art. 28)?

☑️

Betroffenenrechte – Prozess für Auskunfts-, Lösch- und Berichtigungsanträge eingerichtet?

☑️

TOM – Technische und organisatorische Maßnahmen dokumentiert (Art. 32)?

☑️

Data-Breach-Plan – Meldeprozess für Datenpannen definiert (72-Stunden-Frist)?

☑️

Mitarbeiterschulungen – Regelmäßige Datenschutz-Schulungen durchgeführt?

☑️

Löschkonzept – Aufbewahrungsfristen und automatische Löschroutinen festgelegt?

☑️

Datenschutzbeauftragter – Geprüft, ob Bestellungspflicht besteht (Art. 37)?

☑️

Datenschutz-Folgenabschätzung – Bei risikoreichen Verarbeitungen durchgeführt (Art. 35)?

Die Datenschutz-Folgenabschätzung (Art. 35 DSGVO) ist nicht für jedes Unternehmen Pflicht – nur wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte betroffener Personen mit sich bringt. Typische Fälle: umfangreiche Videoüberwachung, Profiling, Verarbeitung von Gesundheitsdaten. Die österreichische DSB hat eine sogenannte „White List“ veröffentlicht, die Verarbeitungen aufzählt, bei denen keine Folgenabschätzung nötig ist.

Besondere Pflichten im Arbeitsverhältnis

Auch im Arbeitsrecht spielt der Datenschutz eine zentrale Rolle. Mitarbeiterdaten dürfen nur zweckgebunden verarbeitet werden – der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) gilt auch hier. Das betrifft die Lohnverrechnung ebenso wie die Arbeitszeiterfassung, E-Mail-Nutzung am Arbeitsplatz oder die GPS-Ortung von Firmenfahrzeugen. Eine Betriebsvereinbarung kann als Rechtsgrundlage dienen, ersetzt aber nicht die Einhaltung der DSGVO-Grundsätze.

AGB und Datenschutz – zwei Seiten derselben Medaille

Wer AGB für sein Unternehmen erstellt, muss den Datenschutz von Anfang an mitdenken. Klauseln zur Datenverarbeitung in AGB müssen DSGVO-konform sein. Insbesondere im Online-Handel und bei B2C-Geschäften sind Einwilligungserklärungen für Marketing-Datenverarbeitungen klar von den AGB zu trennen – eine Kopplung ist nach Art. 7 Abs. 4 DSGVO problematisch.

Das Wichtigste auf einen Blick

📌 Das Wichtigste auf einen Blick

1. Die DSGVO gilt für jedes Unternehmen in Österreich, das personenbezogene Daten verarbeitet – unabhängig von Größe und Branche.

2. Die sieben Kernpflichten (Rechtsgrundlage, Verarbeitungsverzeichnis, Information, Betroffenenrechte, Auftragsverarbeiter-Verträge, Datensicherheit, Meldepflicht) decken den Großteil der Anforderungen ab.

3. Ein Datenschutzbeauftragter ist nur in drei Fällen Pflicht (Art. 37 DSGVO). Für die meisten KMU besteht keine Bestellungspflicht.

4. Bußgelder reichen von 25.000 EUR (DSG) bis 20 Mio. EUR (DSGVO). In Österreich wurden 2025/2026 deutlich mehr Verfahren geführt als in den Vorjahren.

5. GmbH-Geschäftsführer können nach § 25 GmbHG persönlich haften, wenn sie den Datenschutz nicht angemessen organisieren.

6. Die DSGVO-Checkliste mit zwölf Punkten gibt Ihnen einen schnellen Überblick über die Mindestanforderungen. Starten Sie mit dem Verarbeitungsverzeichnis – der Rest baut darauf auf.

Wie wir Ihnen helfen können

Datenschutz-Compliance ist kein einmaliges Projekt, sondern ein laufender Prozess. Als Kanzlei mit Schwerpunkt auf Unternehmensrecht unterstützen wir Geschäftsführer und Unternehmen in Salzburg und ganz Österreich bei der DSGVO-Umsetzung – von der Erstanalyse über das Verarbeitungsverzeichnis bis zur Vertretung im Verfahren vor der Datenschutzbehörde. Kontaktieren Sie uns – wir klären Ihre Situation und zeigen Ihnen die besten Handlungsoptionen auf.

Rechtsstand: März 2026. Dieser Beitrag stellt eine allgemeine Information dar und ersetzt keine individuelle Rechtsberatung.