DSGVO-Strafen Österreich 2026: Aktuelle Fälle, Bußgelder und Mindeststandards

Beitrag vom 22. April 2026

Die Datenschutzbehörde (DSB) in Österreich hat ihre Durchsetzungspraxis in den vergangenen Jahren deutlich verschärft.Ein viel beachteter oesterreichischer Fall betraf das sogenannte Parteiaffinitaets-Scoring, bei dem die DSB ein hohes Bussgeld verhaengt hatte und das Verfahren in mehreren Instanzen ueberprueft wurde. Doch auch abseits solcher Schlagzeilen treffen DSGVO-Strafen zunehmend kleine und mittlere Unternehmen, die grundlegende Pflichten vernachlässigen. Dieser Beitrag analysiert die aktuellen Fälle und Bußgelder in Österreich, erklärt den Ablauf eines DSB-Verfahrens und liefert eine konkrete Checkliste, mit der Sie Ihr Unternehmen vor Sanktionen schützen.

Die häufigsten Verstöße und Beschwerdegründe bei der DSB

Die Beschwerdestatistiken der DSB zeigen ein klares Bild. Der mit Abstand häufigste Beschwerdegrund ist die Verletzung des Auskunftsrechts nach Art. 15 DSGVO. Betroffene stellen Auskunftsbegehren, Unternehmen antworten gar nicht, unvollständig oder zu spät. Die Frist beträgt einen Monat ab Eingang des Begehrens, eine Verlängerung um zwei weitere Monate ist nur bei komplexen Anfragen und nach rechtzeitiger Mitteilung an den Betroffenen zulässig.

Zweithäufigster Grund sind Mängel bei den Informationspflichten nach Art. 13 und 14 DSGVO. Viele Unternehmen haben nach wie vor keine oder eine unvollständige Datenschutzerklärung auf ihrer Website. Dritter häufiger Verstoß: fehlende oder fehlerhafte Auftragsverarbeitungsverträge nach Art. 28 DSGVO. Wer externe Dienstleister mit der Verarbeitung personenbezogener Daten beauftragt — sei es ein Cloud-Anbieter, ein Lohnverrechnungsbüro oder ein Newsletter-Tool — braucht einen schriftlichen Vertrag, der den Anforderungen des Art. 28 Abs 3 DSGVO entspricht. Fehlt dieser Vertrag, haften beide Seiten.

Im Bereich der unternehmerischen Pflichten ist der Datenschutz ein Querschnittsthema, das alle Branchen betrifft. Ob Handwerksbetrieb, Arztpraxis oder Online-Shop — die DSGVO gilt für jede Organisation, die personenbezogene Daten verarbeitet.

📋

Die häufigsten DSGVO-Verstöße in Österreich

Nach Beschwerdeaufkommen bei der DSB

Auskunftsrecht verletzt (Art. 15 DSGVO)

Keine, verspätete oder unvollständige Antwort auf Auskunftsbegehren. Frist: 1 Monat ab Eingang.

Informationspflichten mangelhaft (Art. 13/14 DSGVO)

Fehlende oder unvollständige Datenschutzerklärung, insbesondere auf Websites und in Apps.

Fehlende Auftragsverarbeitungsverträge (Art. 28 DSGVO)

Kein schriftlicher Vertrag mit Cloud-Anbietern, IT-Dienstleistern oder externen Lohnverrechnung.

Fehlende Rechtsgrundlage (Art. 6 DSGVO)

Datenverarbeitung ohne Einwilligung, ohne Vertrag und ohne berechtigtes Interesse. Häufig bei Werbemails und Tracking.

Unzureichende Datensicherheit (Art. 32 DSGVO)

Mangelnde technische und organisatorische Maßnahmen: keine Verschlüsselung, schwache Passwörter, kein Zugriffsmanagement.

Meldepflicht bei Datenpannen verletzt (Art. 33/34 DSGVO)

Data Breaches nicht binnen 72 Stunden an die DSB gemeldet. Betroffene Personen nicht informiert.

Ablauf eines DSB-Verfahrens: Von der Beschwerde zur Strafe

Ein Verfahren vor der DSB beginnt in der Regel mit einer Beschwerde einer betroffenen Person nach § 24 DSG in Verbindung mit Art. 77 DSGVO. Alternativ kann die DSB auch von Amts wegen tätig werden, etwa bei Medienberichten oder anonymen Hinweisen. Jede natürliche Person, die sich in ihren Datenschutzrechten verletzt sieht, kann eine Beschwerde bei der DSB einbringen. Die Beschwerde ist formfrei, muss aber den Sachverhalt und die verletzte Bestimmung bezeichnen.

Nach Eingang prüft die DSB zunächst die Zulässigkeit der Beschwerde. Ist sie zulässig, wird das betroffene Unternehmen zur Stellungnahme aufgefordert. Dafür wird eine Frist gesetzt, üblicherweise zwei bis vier Wochen. Die DSB prüft die Stellungnahme und kann weitere Ermittlungen durchführen, etwa durch Fragebögen, Datenschutzprüfungen vor Ort oder Anforderung von Dokumenten. Auf Basis dieser Ermittlungen erlässt die DSB einen Bescheid. Stellt sie einen Verstoß fest, kann sie Maßnahmen anordnen (z. B. Löschung von Daten, Einstellung einer Verarbeitung) und ein Bußgeld verhängen.

Gegen den Bescheid der DSB steht der Rechtsweg offen: Beschwerde an das Bundesverwaltungsgericht (BVwG), danach Revision an den Verwaltungsgerichtshof (VwGH). Im Post-Verfahren hat genau dieser Instanzenzug dazu geführt, dass die Strafe über Jahre nicht rechtskräftig wurde.

⚙️ Ablauf eines DSB-Verfahrens

Von der Beschwerde bis zur Entscheidung

Beschwerde bei der DSB

Betroffene Person reicht Beschwerde ein (formfrei, per Post oder Online-Formular). Alternativ: Amtswegiges Verfahren durch die DSB.

Zulässigkeitsprüfung

Die DSB prüft, ob die Beschwerde zulässig ist (Sachverhalt, verletzte Bestimmung, Zuständigkeit).

Stellungnahme des Unternehmens

Frist: Üblicherweise 2–4 Wochen. Nicht reagieren verschlechtert die Position erheblich.

Ermittlungen und Prüfung

Fragebögen, Dokumentenanforderung, Datenschutzprüfung vor Ort. Die DSB kann Zugang zu allen Räumlichkeiten und Datenverarbeitungssystemen verlangen.

Bescheid der DSB

Feststellung eines Verstoßes, Anordnung von Maßnahmen (Löschung, Einstellung der Verarbeitung) und/oder Verhängung eines Bußgelds.

Rechtsmittel

Bescheid akzeptiert
Zahlung des Bußgelds, Umsetzung der Maßnahmen.

Beschwerde an BVwG
Innerhalb von 4 Wochen. Danach ggf. Revision an VwGH.

Beschwerdeweg: DSB oder Gericht? Zwei Wege zum Datenschutz

Wer sich in seinen Datenschutzrechten verletzt sieht, hat in Österreich zwei parallele Wege: die Beschwerde bei der DSB und die Klage vor den ordentlichen Gerichten. Beide Wege können sogar gleichzeitig beschritten werden. Die DSB behandelt die öffentlich-rechtliche Seite: Sie prüft, ob ein Verstoß gegen die DSGVO oder das DSG vorliegt, und kann Bußgelder und Maßnahmen verhängen. Die ordentlichen Gerichte sind für Schadenersatzansprüche nach Art. 82 DSGVO zuständig. Wer durch einen Datenschutzverstoß einen materiellen oder immateriellen Schaden erlitten hat, kann auf Ersatz klagen.

In der Praxis nutzen die meisten Betroffenen zunächst den Weg über die DSB, weil er kostenlos ist und die Behörde über Ermittlungsbefugnisse verfügt, die eine Privatperson nicht hat. Eine erfolgreiche DSB-Beschwerde kann dann als Grundlage für einen anschließenden Schadenersatzprozess dienen. Die Klagemöglichkeit nach Art.Ein viel beachteter oesterreichischer Fall betraf das sogenannte Parteiaffinitaets-Scoring, bei dem die DSB ein hohes Bussgeld verhaengt hatte und das Verfahren in mehreren Instanzen ueberprueft wurde.

🏛️

Beschwerde bei der DSB

Verwaltungsrechtlich

Prüfung durch die Datenschutzbehörde. Kann Bußgelder verhängen und Maßnahmen anordnen (Löschung, Verarbeitungsstopp).

Kosten: Kostenlos
Dauer: Mehrere Monate bis Jahre
Ergebnis: Bescheid + Bußgeld

Vorteil: Kostenlos, Ermittlungsbefugnisse der Behörde

⚖️

Klage vor Gericht

Zivilrechtlich

Schadenersatzklage nach Art. 82 DSGVO. Materieller und immaterieller Schaden einklagbar. Seit EuGH C-300/21 auch bei geringem Schaden möglich.

Kosten: Gerichts-/Anwaltskosten
Dauer: Monate bis Jahre
Ergebnis: Schadenersatz in EUR

Hinweis: Kostenrisiko, aber direkte Entschädigung

Checkliste: DSGVO-Mindeststandards für Unternehmen

Die folgende Checkliste fasst die Mindestanforderungen zusammen, die jedes österreichische Unternehmen unabhängig von seiner Größe erfüllen muss. Ein systematisches Datenschutz-Audit prüft genau diese Punkte. Wer sie vollständig abhaken kann, hat die Grundlage für DSGVO-Compliance gelegt.

✅ Checkliste: DSGVO-Mindeststandards

☑️

Verarbeitungsverzeichnis (Art. 30 DSGVO) — Dokumentation aller Datenverarbeitungen mit Zweck, Rechtsgrundlage, Kategorien betroffener Personen, Empfänger und Löschfristen. Pflicht ab 250 Mitarbeiter, aber auch bei regelmäßiger Verarbeitung oder Risikoverarbeitung.

☑️

Datenschutzerklärung (Art. 13/14 DSGVO) — Vollständig, aktuell und leicht zugänglich auf der Website. Muss Verantwortlichen, Verarbeitungszwecke, Rechtsgrundlagen, Speicherdauer und Betroffenenrechte nennen.

☑️

Auftragsverarbeitungsverträge (Art. 28 DSGVO) — Schriftlicher Vertrag mit jedem Dienstleister, der personenbezogene Daten in Ihrem Auftrag verarbeitet (Cloud, IT, Buchhaltung, Newsletter).

☑️

Technische und organisatorische Maßnahmen (Art. 32 DSGVO) — Verschlüsselung, Zugriffsmanagement, regelmäßige Backups, Mitarbeiterschulungen, Passwort-Richtlinien.

☑️

Prozess für Betroffenenrechte — Interner Ablauf definiert, damit Auskunfts- (Art. 15), Löschungs- (Art. 17) und Berichtigungsbegehren (Art. 16) fristgerecht bearbeitet werden.

☑️

Data-Breach-Meldeprozess (Art. 33/34 DSGVO) — Meldung an die DSB binnen 72 Stunden. Information der Betroffenen bei hohem Risiko. Dokumentation jeder Datenpanne.

☑️

Einwilligungsmanagement — Nachweisbare Einwilligungen für Newsletter, Tracking, Cookies. Opt-in statt Opt-out. Widerruf muss genauso einfach sein wie die Erteilung.

☑️

Datenschutzbeauftragter prüfen (Art. 37 DSGVO) — Pflicht bei Kerngeschäft mit umfangreicher Überwachung oder Verarbeitung sensibler Daten. Im Zweifel prüfen lassen.

Wann brauchen Sie einen Datenschutzbeauftragten?

Art. 37 DSGVO verpflichtet Unternehmen zur Bestellung eines Datenschutzbeauftragten, wenn die Kerntätigkeit in der umfangreichen und systematischen Überwachung von Personen besteht oder wenn besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) in großem Umfang verarbeitet werden. Typische Beispiele: Krankenhäuser, Versicherungen, Kreditauskunfteien, aber auch Unternehmen mit intensivem Kundenprofiling. Die Pflicht hängt nicht von der Mitarbeiterzahl ab — anders als in Deutschland, wo ab 20 Mitarbeitern ein Datenschutzbeauftragter bestellt werden muss, kennt Österreich keine solche Schwelle. Die Bestellung kann intern oder extern erfolgen.

Praxistipps: So vermeiden Sie DSGVO-Strafen wirksam

Aus den bisherigen DSB-Verfahren lassen sich konkrete Lehren für Unternehmen ableiten. Die folgenden Empfehlungen basieren auf der Auswertung der häufigsten Beschwerdegründe und der Begründungen in DSB-Bescheiden. Wer bei gesellschaftsrechtlichen Fragen generell professionelle Strukturen etabliert hat, wird auch beim Datenschutz weniger Angriffsfläche bieten.

💡 Praxistipp 1: Auskunftsbegehren sofort bearbeiten

Richten Sie einen festen Prozess ein, wer im Unternehmen Auskunftsbegehren nach Art. 15 DSGVO entgegennimmt und bearbeitet. Die Ein-Monats-Frist beginnt mit Eingang des Begehrens. Legen Sie eine interne Frist von zwei Wochen fest, um Puffer für Rückfragen zu haben.

💡 Praxistipp 2: Jährliches Datenschutz-Audit durchführen

Überprüfen Sie einmal jährlich Ihr Verarbeitungsverzeichnis, Ihre Auftragsverarbeitungsverträge und Ihre technischen Maßnahmen. Die DSGVO verlangt, dass Maßnahmen dem Stand der Technik entsprechen (Art. 32 Abs 1 DSGVO). Was 2020 ausreichend war, muss es 2026 nicht mehr sein.

💡 Praxistipp 3: Kooperation mit der DSB zahlt sich aus

Bei einem laufenden Verfahren ist Kooperation ein ausdrücklicher Milderungsgrund nach Art. 83 Abs 2 lit f DSGVO. Reagieren Sie prompt auf Stellungnahme-Aufforderungen, legen Sie Unterlagen proaktiv vor und zeigen Sie, welche Maßnahmen Sie bereits ergriffen haben.

💡 Praxistipp 4: Cookie-Banner und Tracking rechtssicher gestalten

Seit dem Planet49-Urteil des EuGH ist klar: Vorausgefüllte Checkboxen sind keine gültige Einwilligung. Setzen Sie auf ein Cookie-Consent-Tool, das Tracking erst nach aktiver Einwilligung startet. Dokumentieren Sie die Einwilligungen revisionssicher.

Häufige Fehler beim betrieblichen Datenschutz

In unserer Praxis sehen wir bei Mandanten immer wieder dieselben Versäumnisse. Viele davon wären mit überschaubarem Aufwand vermeidbar. Gerade bei der Gründung oder Umstrukturierung eines Unternehmens — etwa bei der Erstellung von AGB — wird der Datenschutz oft mitbehandelt und dann vergessen.

Datenschutzerklärung aus dem Baukasten

Generische Vorlagen aus Online-Generatoren passen selten zur tatsächlichen Datenverarbeitung des Unternehmens. Fehlende oder falsche Angaben zu eingesetzten Cookies, Analyse-Tools oder Zahlungsdienstleistern sind ein häufiger Beschwerdegrund.

Auskunftsbegehren ignorieren oder verschleppen

Das Auskunftsrecht nach Art. 15 DSGVO ist der häufigste Beschwerdegrund bei der DSB. Wer nicht innerhalb eines Monats vollständig antwortet, riskiert ein Verfahren. Auch eine Teilantwort ist besser als keine Antwort.

Auftragsverarbeiter ohne Vertrag einsetzen

Viele Unternehmen nutzen Cloud-Dienste, Newsletter-Tools oder externe Buchhaltung, ohne einen AVV nach Art. 28 DSGVO abgeschlossen zu haben. Bei einem Datenleck haften Verantwortlicher und Auftragsverarbeiter gemeinsam.

Datenpanne nicht melden

Art. 33 DSGVO verlangt die Meldung an die DSB binnen 72 Stunden nach Bekanntwerden. Viele Unternehmen wissen nicht einmal, was als „Datenpanne“ gilt: verlorene USB-Sticks, falsch adressierte E-Mails und Ransomware-Angriffe fallen alle darunter.

„Wir sind zu klein für die DSGVO“

Ein verbreiteter Irrglaube. Die DSGVO gilt unabhängig von der Unternehmensgröße für jede Organisation, die personenbezogene Daten verarbeitet. Auch ein Einzelunternehmer mit einer Kundendatenbank unterliegt der Verordnung.

Sonderfälle: Besondere Risikobereiche

Videoüberwachung: Die Verarbeitung von Bilddaten unterliegt in Österreich sowohl der DSGVO als auch den besonderen Bestimmungen des § 12 DSG. Unternehmen, die Videoüberwachung einsetzen, müssen dies im Verarbeitungsverzeichnis dokumentieren, Hinweisschilder anbringen und die Speicherdauer auf das Notwendige beschränken (in der Regel maximal 72 Stunden). Die DSB hat hier wiederholt Verstöße festgestellt, insbesondere bei fehlender Beschilderung und zu langer Speicherung.

Mitarbeiterdaten: Die Verarbeitung von Mitarbeiterdaten ist ein häufig unterschätztes Thema. E-Mail-Überwachung, GPS-Tracking von Firmenfahrzeugen und biometrische Zeiterfassung werfen jeweils eigene datenschutzrechtliche Fragen auf. In Betrieben mit Betriebsrat ist zusätzlich § 96 Abs 1 Z 3 Arbeitsverfassungsgesetz (ArbVG) zu beachten, der für bestimmte Kontrollmaßnahmen die Zustimmung des Betriebsrats verlangt.

Datenübermittlung in Drittstaaten: Seit dem Schrems-II-Urteil des EuGH (C-311/18) und dem nachfolgenden EU-US Data Privacy Framework ist die Übermittlung personenbezogener Daten in die USA wieder auf einer rechtlichen Grundlage möglich — allerdings nur an zertifizierte US-Unternehmen. Für andere Drittstaaten ohne Angemessenheitsbeschluss sind Standardvertragsklauseln (SCCs) nach Art. 46 Abs 2 lit c DSGVO erforderlich, ergänzt um ein Transfer Impact Assessment.

Häufige Fragen zu DSGVO-Strafen in Österreich

Können auch kleine Unternehmen in Österreich DSGVO-Strafen erhalten?

Ja. Die DSGVO unterscheidet nicht nach Unternehmensgröße. Auch Einzelunternehmen und KMU können Bußgelder erhalten, wenn sie gegen die Verordnung verstoßen. Die Strafhöhe wird allerdings an die wirtschaftliche Leistungsfähigkeit angepasst — ein KMU wird nicht mit Millionenstrafen rechnen müssen, aber Beträge im vier- bis fünfstelligen Bereich sind realistisch.

Wie lange dauert ein Verfahren vor der Datenschutzbehörde?

Die Verfahrensdauer variiert stark. Einfache Beschwerden wegen Auskunftsrechtsverletzungen können in wenigen Monaten abgeschlossen sein. Komplexe Fälle wie das Post-Verfahren ziehen sich über mehrere Jahre, insbesondere wenn Rechtsmittel eingelegt werden. Im Durchschnitt sollten Unternehmen mit sechs bis zwölf Monaten rechnen.

Was sollte ich tun, wenn ich eine Aufforderung zur Stellungnahme von der DSB erhalte?

Nehmen Sie die Aufforderung ernst und lassen Sie sich anwaltlich beraten, bevor Sie antworten. Die Stellungnahme ist Ihre wichtigste Gelegenheit, den Sachverhalt aus Ihrer Sicht darzustellen und Milderungsgründe vorzubringen. Kooperation wirkt sich strafmildernd aus, aber unbedachte Eingeständnisse können nachteilig sein. Halten Sie die gesetzte Frist unbedingt ein.

Das Wichtigste auf einen Blick: DSGVO-Strafen in Österreich

📌 Das Wichtigste auf einen Blick

1. Die DSGVO sieht Bußgelder bis EUR 20 Mio. oder 4 % des weltweiten Jahresumsatzes vor. In Österreich hat die DSB in einzelnen Fällen Bußgelder im zweistelligen Millionenbereich verhängt; deren Rechtskraft wird in den Instanzen weiter geprüft.

2. Die häufigsten Beschwerden betreffen Auskunftsrechtsverletzungen (Art. 15), mangelhafte Datenschutzerklärungen (Art. 13/14) und fehlende Auftragsverarbeitungsverträge (Art. 28).

3. Betroffene können sich kostenlos bei der DSB beschweren oder auf Schadenersatz klagen (Art. 82 DSGVO). Beide Wege sind parallel möglich.

4. Kooperation mit der DSB ist ein ausdrücklicher Milderungsgrund (Art. 83 Abs 2 lit f DSGVO). Nicht reagieren verschärft die Strafe.

5. Die DSGVO gilt für jedes Unternehmen unabhängig von der Größe. Ein jährliches Datenschutz-Audit ist der beste Schutz vor Sanktionen.

6. Mindeststandards umfassen: Verarbeitungsverzeichnis, vollständige Datenschutzerklärung, AVV mit allen Dienstleistern, Meldeprozess bei Datenpannen und ein Verfahren für Betroffenenrechte.

Jetzt unverbindlich anfragen

Füllen Sie das Formular aus und beschreiben Sie Ihre Situation. Wir melden uns in Kürze bei Ihnen.

Schritt 1 von 3Ihre Kontaktdaten

Vorname(erforderlich)

Nachname(erforderlich)

E-Mail-Adresse(erforderlich)

Telefonnummer(erforderlich)

Wie wir Ihnen helfen können

Wir beraten Unternehmen bei der Umsetzung ihrer DSGVO-Pflichten und vertreten sie in Verfahren vor der Datenschutzbehörde. Ob Sie ein Datenschutz-Audit Ihres Unternehmens benötigen, eine DSB-Beschwerde erhalten haben oder Ihr Verarbeitungsverzeichnis und Ihre Auftragsverarbeitungsverträge auf den aktuellen Stand bringen wollen — kontaktieren Sie uns. Wir klären Ihre Situation und zeigen Ihnen die besten Handlungsoptionen auf.

Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung im Einzelfall. Die Rechtslage kann sich nach dem Veröffentlichungszeitpunkt ändern. Stand: April 2026.