Datenschutzgesetz (DSG) Österreich
Datenschutzgesetz Österreich (DSG)
Hallo, ich bin Sophie! 👋 Viele fragen mich: “Was ist eigentlich der Unterschied zwischen DSGVO und DSG?” Das ist eine wichtige Frage, denn als österreichisches Unternehmen müssen Sie beide Regelwerke kennen. Hier erkläre ich Ihnen alles Wichtige zum österreichischen Datenschutzgesetz.
Österreich-spezifisch: Diese Seite behandelt das österreichische DSG als nationale Ergänzung zur DSGVO. Für die EU-weite DSGVO siehe unsere DSGVO-Seite.
Was ist das DSG (Datenschutzgesetz)?
Das Datenschutzgesetz (DSG) ist das österreichische Bundesgesetz zum Schutz personenbezogener Daten. Es ist seit 1978 in Kraft und wurde mehrfach novelliert – zuletzt 2018 zur Anpassung an die DSGVO.
DSG 2000 - Die österreichische Tradition
Österreich hatte bereits vor der DSGVO ein eigenständiges Datenschutzgesetz:
| Version | Zeitraum | Besonderheit |
|---|---|---|
| DSG 1978 | 1978-2000 | Erstes Datenschutzgesetz (weltweit eines der ersten!) |
| DSG 2000 | 2000-2018 | Umfassende Reform, E-Government-Regeln |
| DSG 2018 | seit 2018 | DSGVO-Anpassung, aktuell gültige Fassung |
Österreichische Vorreiterrolle: Österreich war eines der ersten Länder weltweit mit einem Datenschutzgesetz! Der Datenschutz ist in Österreich seit 1978 ein verfassungsrechtlich geschütztes Grundrecht (DSG §1).
Struktur des DSG 2018
Das aktuelle DSG hat 6 Hauptteile:
Teil 1: Grundrecht auf Datenschutz (§1)
Verfassungsbestimmung: Jeder hat das Recht auf Geheimhaltung seiner personenbezogenen Daten.
Teil 2: Allgemeine Bestimmungen (§2-3)
Begriffsbestimmungen und Anwendungsbereich des Gesetzes.
Teil 3: Datenschutzbehörde (§4-23)
Organisation und Befugnisse der österreichischen Aufsichtsbehörde.
Teil 4: Besondere Verarbeitungssituationen (§24-28)
Nationale Regelungen zu Videoüberwachung, Arbeitnehmerdaten, Gesundheitsdaten.
Teil 5: Rechtsschutz und Haftung (§29-33)
Beschwerderecht, Schadensersatz, Strafbestimmungen.
Teil 6: Übergangs- und Schlussbestimmungen (§34-69)
Anpassungsvorschriften und Inkrafttreten.
DSG vs. DSGVO: Was ist der Unterschied?
Das ist tatsächlich eine der häufigsten Fragen, die ich bekomme. Lass mich das aufklären:
Zwei Gesetze, ein Ziel
| Regelwerk | Was ist das? | Geltungsbereich | Inkrafttreten |
|---|---|---|---|
| DSGVO | EU-Verordnung (Datenschutz-Grundverordnung) | Gesamte EU, direkt anwendbar | 25. Mai 2018 |
| DSG | Österreichisches Bundesgesetz | Nur Österreich | 25. Mai 2018 (Novelle) |
Warum gibt es beide?
Die DSGVO (Verordnung EU 2016/679) ist eine EU-Verordnung, die in allen Mitgliedstaaten unmittelbar gilt – Sie müssen sie nicht erst in nationales Recht umsetzen. Sie regelt die Grundprinzipien des Datenschutzes in der gesamten EU.
Das DSG (Datenschutzgesetz) ist das österreichische Begleitgesetz zur DSGVO. Es:
- Ergänzt die DSGVO um nationale Besonderheiten
- Konkretisiert Spielräume, die die DSGVO den Mitgliedstaaten lässt
- Regelt die österreichische Datenschutzbehörde
- Enthält nationale Strafbestimmungen
Wichtig: Das DSG ersetzt nicht die DSGVO – beide gelten gemeinsam! Bei Widersprüchen hat die DSGVO als EU-Recht Vorrang.
Was regelt nur das DSG?
| DSG-Paragraf | Regelungsinhalt | Besonderheit |
|---|---|---|
| §1 | Grundrecht auf Datenschutz | Verfassungsbestimmung! |
| §4-23 | Datenschutzbehörde (DSB) | Nationale Aufsichtsbehörde |
| §24 | Meldung von Verletzungen | ”Unverzüglich” statt 72h |
| §5 | Einwilligungsvoraussetzungen | Teilweise strenger als DSGVO |
| §11 | Beschäftigtendatenschutz | Arbeitnehmerspezifisch |
| §12-13 | Videoüberwachung | Detaillierte nationale Regeln |
DSG §1: Das Grundrecht auf Datenschutz
Das Besondere am österreichischen Datenschutz: §1 DSG ist eine Verfassungsbestimmung.
Verfassungsrang: Der Datenschutz ist in Österreich nicht nur ein einfaches Gesetz, sondern ein verfassungsrechtlich geschütztes Grundrecht. Das bedeutet höchsten rechtlichen Schutz!
DSG §1 Abs. 1 im Wortlaut:
“Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht.”
Was bedeutet das praktisch?
| Aspekt | Bedeutung |
|---|---|
| Geheimhaltung | Daten dürfen nur mit Rechtsgrundlage verarbeitet werden |
| Schutzwürdiges Interesse | Je sensibler die Daten, desto höher der Schutz |
| Verfassungsbeschwerde | Sie können bis zum Verfassungsgerichtshof klagen! |
| Abwägung | Bei Konflikten müssen Gerichte Datenschutz abwägen |
Unterschiede im Detail
Die Datenschutzbehörde (DSB)
Die Datenschutzbehörde ist Ihre erste Anlaufstelle für alle Datenschutzfragen in Österreich.
Wer ist die DSB?
| Aspekt | Details |
|---|---|
| Name | Österreichische Datenschutzbehörde (DSB) |
| Adresse | Barichgasse 40-42, 1030 Wien |
| Website | www.dsb.gv.at |
| dsb@dsb.gv.at | |
| Telefon | +43 1 52152-0 |
Was macht die DSB?
Aufsicht
Die DSB überwacht die Einhaltung der DSGVO und des DSG durch alle Verantwortlichen in Österreich – also auch durch Ihr Unternehmen.
Beschwerden
Sie können bei der DSB kostenlos Beschwerde einreichen, wenn Sie glaubst, dass Ihre Datenschutzrechte verletzt wurden.
Beratung
Die DSB gibt Empfehlungen und Leitlinien heraus, die Ihnen helfen, datenschutzkonform zu handeln.
Strafen
Bei Verstößen kann die DSB Geldbußen verhängen – bis zu €20 Millionen oder 4% des weltweiten Jahresumsatzes.
So reichst Sie eine Beschwerde ein
Wenn Sie glaubst, dass ein Unternehmen Ihre Daten unrechtmäßig verarbeitet:
Direkter Kontakt (IMMER zuerst!)
Kontaktieren Sie das Unternehmen direkt und fordern Sie Auskunft, Löschung oder Berichtigung. Frist: 1 Monat.
Formular downloaden (wenn keine Reaktion)
Lade das Beschwerdeformular von dsb.gv.at herunter.
Sachverhalt schildern
Beschreibe genau:
- Welches Unternehmen hat Ihre Daten?
- Welche Daten sind betroffen?
- Welcher Verstoß liegt vor?
- Was haben Sie bereits unternommen? (Kontaktversuche)
Beweise beifügen
Füge relevante Dokumente bei:
- E-Mail-Korrespondenz mit dem Unternehmen
- Screenshots von Datenschutzerklärungen
- Verträge oder Einwilligungen
- Ablehnungsschreiben
Einreichen
3 Wege zur Einreichung:
| Weg | Details | Dauer |
|---|---|---|
| Online | dsb.gv.at/beschwerde | Sofort |
| dsb@dsb.gv.at | 1 Werktag | |
| Post | Barichgasse 40-42, 1030 Wien | 2-3 Werktage |
Verfahren abwarten
Die DSB prüft Ihre Beschwerde und kontaktiert das Unternehmen. Typische Verfahrensdauer: 3-12 Monate.
Tipp: Bevor Sie Beschwerde einreichen, kontaktieren Sie das Unternehmen direkt. Oft lassen sich Datenschutzfragen schneller klären, wenn Sie Ihr Auskunfts- oder Löschungsrecht direkt geltend machen.
Was passiert nach der Beschwerde?
Phase 1
Eingangsbestätigung (1 Woche)
Die DSB bestätigt den Eingang Ihrer Beschwerde und prüft:
- Ist die DSB zuständig? (österreichisches Unternehmen)
- Ist die Beschwerde vollständig?
- Gibt es offensichtliche Mängel?
Mögliche Ergebnisse:
- ✅ Beschwerde wird bearbeitet
- ❌ Beschwerde wird abgelehnt (z.B. ausländisches Unternehmen)
- 📋 Nachforderung von Unterlagen
DSB vs. EDPB: Was ist der Unterschied?
| Institution | Ebene | Zuständigkeit |
|---|---|---|
| DSB | National | Beschwerden gegen Unternehmen in Österreich |
| EDPB | EU-weit | Abstimmung zwischen nationalen Behörden, Richtlinien |
Der Europäische Datenschutzausschuss (EDPB) ist das Gremium aller nationalen Datenschutzbehörden. Er sorgt für eine einheitliche Anwendung der DSGVO in der EU. Ihre Beschwerde reichst Sie aber immer bei der DSB ein.
Österreich-spezifische Regelungen
DSG §24: Meldung von Datenschutzverletzungen
Wenn es zu einer Datenpanne kommt (z.B. ein Datenleck), müssen Sie handeln:
| Anforderung | DSGVO Art. 33 | DSG §24 |
|---|---|---|
| Frist | ”Unverzüglich, 72 Stunden" | "Unverzüglich” |
| An wen | Aufsichtsbehörde | Datenschutzbehörde (DSB) |
| Wie | Keine Vorgabe | Formular auf dsb.gv.at |
“Unverzüglich” bedeutet: Sobald Sie von der Verletzung erfährst, müssen Sie handeln. Die 72-Stunden-Frist der DSGVO ist die Obergrenze – nicht die Zielzeit!
Was muss gemeldet werden?
- Verlust von Kundendaten (z.B. gestohlener Laptop)
- Unbefugter Zugriff auf Datenbanken
- Versehentlicher Versand personenbezogener Daten an falsche Empfänger
- Ransomware-Angriffe mit Datenzugriff
Was muss NICHT gemeldet werden?
- Verletzungen, bei denen Daten verschlüsselt waren und kein Zugriff möglich war
- Rein technische Störungen ohne Datenzugriff
DSG §5: Einwilligung
Das DSG konkretisiert die Anforderungen an eine gültige Einwilligung:
| DSGVO-Anforderung | DSG-Konkretisierung |
|---|---|
| Freiwillig | Keine Nachteile bei Verweigerung |
| Informiert | Verständliche Sprache, vollständige Info |
| Ausdrücklich | Bei sensiblen Daten: schriftlich empfohlen |
| Widerrufbar | Widerruf muss so einfach sein wie Erteilung |
DSG §12-13: Videoüberwachung
In Österreich gelten strenge Regeln für Kameraüberwachung:
| Aspekt | Anforderung |
|---|---|
| Kennzeichnung | Deutlich sichtbare Hinweisschilder |
| Speicherdauer | Maximal 72 Stunden (Ausnahmen möglich) |
| Zweck | Nur für konkrete, legitime Zwecke |
| Arbeitsplatz | Besondere Einschränkungen (Betriebsrat!) |
Achtung: Videoüberwachung am Arbeitsplatz erfordert in der Regel eine Betriebsvereinbarung mit dem Betriebsrat. Ohne diese drohen hohe Strafen!
Marketing & Werbung in Österreich
In Österreich gelten für Marketing-Aktivitäten besondere Regeln, die über die DSGVO hinausgehen.
§174 TKG 2021: E-Mail-Marketing
Das Telekommunikationsgesetz 2021 regelt elektronische Werbung streng:
Newsletter
Newsletter & Marketing-E-Mails
Grundsatz: Jede Werbe-E-Mail erfordert eine vorherige Einwilligung (Opt-in)!
Anforderungen an die Einwilligung:
- Aktive Handlung (kein vorausgefülltes Häkchen!)
- Dokumentiert und nachweisbar
- Jederzeit widerrufbar (Abmeldelink in jeder E-Mail)
- Getrennt von anderen Einwilligungen
Die einzige Ausnahme (Bestandskundenregel):
Sie darfst Bestandskunden ohne neue Einwilligung kontaktieren, wenn:
- Die E-Mail-Adresse im Rahmen eines Kaufs erhalten wurde
- Es um ähnliche Produkte/Dienstleistungen geht
- Der Kunde nicht widersprochen hat
- Bei jeder E-Mail eine Abmeldemöglichkeit besteht
BuchhaltGenie-Tipp: Wir senden Ihnen nur E-Mails zu Ihrem Account und Service-Updates. Marketing-E-Mails erhalten Sie nur mit Ihrer ausdrücklichen Einwilligung.
Dokumentation von Einwilligungen
Als Unternehmen müssen Sie nachweisen können, dass eine Einwilligung vorliegt:
| Was dokumentieren? | Wie lange aufbewahren? |
|---|---|
| Zeitpunkt der Einwilligung | Bis 3 Jahre nach Widerruf |
| Inhalt der Einwilligung | Bis 3 Jahre nach Widerruf |
| Art der Einholung (Double-Opt-in) | Bis 3 Jahre nach Widerruf |
| IP-Adresse (optional) | Bis 3 Jahre nach Widerruf |
Betroffenenrechte nach DSG
Die DSGVO gibt Ihnen umfassende Rechte – das DSG konkretisiert diese für Österreich.
Ihr Recht auf Auskunft (Art. 15 DSGVO + DSG)
Sie haben das Recht zu erfahren, welche Daten über Sie gespeichert sind:
| Was Sie verlangen können | Frist | Kostenlos? |
|---|---|---|
| Welche Daten gespeichert sind | 1 Monat | Ja (1. Auskunft) |
| Woher die Daten stammen | 1 Monat | Ja |
| Wofür die Daten genutzt werden | 1 Monat | Ja |
| An wen die Daten weitergegeben wurden | 1 Monat | Ja |
| Wie lange die Daten gespeichert werden | 1 Monat | Ja |
| Kopie der Daten | 1 Monat | Ja (weitere Kopien: Gebühr) |
BuchhaltGenie-Tipp: In Ihren Einstellungen können Sie jederzeit eine vollständige Datenauskunft anfordern. Sie erhalten dann eine JSON-Datei mit allen Ihren gespeicherten Daten.
Ihr Recht auf Löschung (Art. 17 DSGVO + DSG)
Sie können die Löschung Ihrer Daten verlangen, wenn:
- Die Daten nicht mehr benötigt werden
- Sie Ihre Einwilligung widerrufen haben
- Sie der Verarbeitung widersprochen haben
- Die Daten unrechtmäßig verarbeitet wurden
ABER: Ausnahmen gelten bei:
| Grund | Beispiel | Rechtsgrundlage |
|---|---|---|
| Gesetzliche Aufbewahrungspflicht | Rechnungen | BAO §132 (7 Jahre) |
| Rechtliche Verpflichtung | Lohnzettel | ASVG (7 Jahre) |
| Rechtsansprüche | Gewährleistung | UGB §18 (3-7 Jahre) |
| Öffentliches Interesse | Gesundheitsdaten | GSG |
BAO vs. DSG: Bei Buchhaltungsdaten gilt die 7-Jahres-Frist des BAO §132. Ihre persönlichen Daten werden aber anonymisiert, sodass kein Personenbezug mehr besteht. Nach 7 Jahren erfolgt die vollständige Löschung automatisch.
Ihr Recht auf Berichtigung (Art. 16 DSGVO)
Wenn Daten über Sie falsch sind, haben Sie das Recht auf sofortige Korrektur.
Beispiele:
- Falsch geschriebener Name
- Veraltete Adresse
- Fehlerhafte Bankverbindung
- Falsche Umsatzsteuernummer
Ihr Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Sie können Ihre Daten in einem maschinenlesbaren Format erhalten:
| Format | Zweck | BuchhaltGenie |
|---|---|---|
| JSON | Technisch weiterverarbeiten | ✅ Verfügbar |
| CSV | Excel/Tabellenkalkulation | ✅ Verfügbar |
| XML | Standardisierter Austausch | ✅ Verfügbar (FinanzOnline) |
Portabilität: Sie können Ihre Buchhaltungsdaten jederzeit exportieren und zu einem anderen Anbieter übertragen. Wir sperren Sie niemals ein!
Ihr Widerspruchsrecht (Art. 21 DSGVO)
Sie können der Datenverarbeitung widersprechen bei:
- Direktwerbung: Jederzeit und ohne Begründung
- Berechtigtem Interesse: Wenn Ihre Interessen überwiegen
- Profiling: Automatisierte Entscheidungen über Sie
Newsletter-Abmeldung: Jede Werbe-E-Mail muss einen Abmeldelink enthalten. Ein Klick genügt – keine Begründung nötig!
Arbeitnehmer-Datenschutz (DSG §11)
In Österreich gibt es besondere Schutzbestimmungen für Arbeitnehmer-Daten.
Für EPU/Kleinunternehmer: Diese Regeln gelten, sobald Sie Mitarbeiter beschäftigen. Als Ein-Personen-Unternehmen ohne Angestellte sind Sie davon nicht betroffen.
Was ist erlaubt?
Stammdaten
Mitarbeiter-Stammdaten
Ohne besondere Einwilligung verarbeiten darfst Sie:
- Name, Adresse, Geburtsdatum
- Sozialversicherungsnummer
- Bankverbindung (für Gehalt)
- Qualifikationen (soweit stellenrelevant)
- Krankenstände (nur Dauer, nicht Diagnose!)
Nur mit Einwilligung:
- Notfallkontakte
- Private Telefonnummer
- Foto (für Mitarbeiterausweis)
Rolle des Betriebsrats
In Unternehmen mit Betriebsrat hat dieser wichtige Mitspracherechte:
| Maßnahme | Betriebsrat-Einbindung |
|---|---|
| Personalinformationssystem | Information + Beratung |
| Leistungsüberwachung | Betriebsvereinbarung erforderlich |
| Videoüberwachung Arbeitsplatz | Betriebsvereinbarung erforderlich |
| Neue Software mit Kontrollfunktion | Information + Beratung |
Wie BuchhaltGenie das DSG umsetzt
Als österreichisches Unternehmen für österreichische Kunden nehmen wir Datenschutz besonders ernst.
Server-Standort
| Aspekt | Details |
|---|---|
| Primärer Standort | AWS Frankfurt (eu-central-1) |
| Backup-Standort | AWS Dublin (eu-west-1) |
| Datentransfer außerhalb EU | Nein, niemals! |
| Cloud-Provider | Supabase (EU-basiert) |
100% EU: Ihre Daten verlassen niemals die Europäische Union. Wir nutzen keine US-Cloud-Dienste ohne EU-Datenhaltung.
Verschlüsselung
| Schicht | Technologie |
|---|---|
| Datenübertragung | TLS 1.3 (höchster Standard) |
| Datenspeicherung | AES-256 (Militärstandard) |
| Backups | Separat verschlüsselt |
| Passwörter | Bcrypt gehasht (nie im Klartext) |
Auftragsverarbeitung
Wir haben mit allen unseren Dienstleistern Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO abgeschlossen:
| Dienstleister | Zweck | AVV | Standort |
|---|---|---|---|
| Supabase | Datenbank | ✅ | EU (Frankfurt) |
| AWS | Infrastruktur | ✅ | EU (Frankfurt) |
| Anthropic | KI (Sophie) | ✅ | USA (SCCs) |
| Stripe | Zahlung | ✅ | EU/USA (SCCs) |
Der BAO vs. DSG Konflikt
Ein häufiges Problem: Das DSG gibt Ihnen das Recht auf Löschung, aber das BAO §132 verlangt 7 Jahre Aufbewahrung. Wie lösen wir das?
Konkret bedeutet das:
- Ihr Name wird zu “Anonymer Benutzer #12345”
- E-Mail und Telefon werden gelöscht
- Rechnungen bleiben erhalten (Rechnungsnummer, Betrag)
- Nach 7 Jahren: vollständige Löschung
Mehr dazu: BAO §132 Aufbewahrungspflicht
Praktische Beispiele für EPU und KMU
Beispiel 1: Der Online-Shop (EPU)
Situation: Sie betreiben einen kleinen Webshop für handgemachte Produkte.
| Datenschutz-Anforderung | Konkrete Umsetzung |
|---|---|
| Datenschutzerklärung | Muss auf jeder Seite verlinkt sein |
| Newsletter-Einwilligung | Double-Opt-in-Verfahren (TKG §174) |
| Kundenbestellungen | 7 Jahre aufbewahren (BAO §132) |
| Kundenkonto-Löschung | Auf Anfrage innerhalb 30 Tagen |
| Cookies | Cookie-Banner mit Opt-in |
Tipp: BuchhaltGenie hilft Ihnen bei der BAO-konformen Aufbewahrung Ihrer Kundenrechnungen – DSGVO-konform mit automatischer Löschung nach 7 Jahren.
Beispiel 2: Der Handwerksbetrieb (3 Mitarbeiter)
Situation: Sie führen einen Tischlerbetrieb mit 3 Angestellten.
| Bereich | Datenschutz-Regel | Praktische Umsetzung |
|---|---|---|
| Mitarbeiterdaten | Nur dienstlich notwendig | Gehalt, SVN, Bankdaten OK – keine privaten Hobbys! |
| Zeiterfassung | Erlaubt ohne Betriebsvereinbarung | Stempeluhr oder Excel-Liste |
| Kundendaten | BAO §132 (7 Jahre) | Aufträge und Rechnungen archivieren |
| Lieferantendaten | Nur für Bestellungen | Nach Vertragsende löschen (außer Rechnungen) |
| E-Mail-Archivierung | Nur geschäftlich | Private Mails NICHT archivieren! |
Beispiel 3: Der Steuerberater (10 Mitarbeiter)
Situation: Sie sind Steuerberater mit Kanzlei und 10 Angestellten.
| Datenschutz-Pflicht | Warum? | Lösung |
|---|---|---|
| Datenschutzbeauftragter | Umfangreiche Verarbeitung sensibler Daten | Extern beauftragen oder intern bestellen |
| Auftragsverarbeitung | Mandanten vertrauen Ihnen Daten an | AVV mit Software-Anbietern (BuchhaltGenie!) |
| Verschlüsselung | Sensible Finanzdaten | TLS für E-Mails, verschlüsselte Cloud |
| Betriebsvereinbarung | E-Mail-Kontrolle gewünscht | Mit Betriebsrat verhandeln |
| Verarbeitungsverzeichnis | DSGVO Art. 30 Pflicht | Dokumentation aller Verarbeitungen |
Wichtig für Steuerberater: Sie sind Auftragsverarbeiter für Ihre Mandanten. Sie brauchen daher mit jedem Mandanten einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO!
Beispiel 4: Der Fotograf (EPU)
Situation: Sie sind selbstständiger Fotograf für Events und Hochzeiten.
| Datenschutz-Thema | Challenge | Lösung |
|---|---|---|
| Fotos von Personen | Bildnisschutz (DSGVO Art. 6) | Einwilligung einholen (Model Release) |
| Hochzeitsfotos | Gäste ohne Einwilligung | Gruppenbild-Ausnahme (berechtigtes Interesse) |
| Fotos auf Website | Öffentliche Veröffentlichung | Ausdrückliche schriftliche Einwilligung |
| Cloud-Speicherung | Fotos in Dropbox/Google | EU-Server wählen oder AVV abschließen |
| Kundendaten | Kontakte, Angebote, Rechnungen | BAO §132: 7 Jahre aufbewahren |
Häufige Fragen
Was passiert, wenn ich gegen das DSG verstoße?
Die Datenschutzbehörde kann Geldbußen verhängen:
DSGVO-Bußgelder (Art. 83):
| Verstoß | Maximale Strafe |
|---|---|
| Leichte Verstöße (z.B. keine Datenschutzerklärung) | Bis €10 Millionen oder 2% Jahresumsatz |
| Schwere Verstöße (z.B. Verarbeitung ohne Rechtsgrundlage) | Bis €20 Millionen oder 4% Jahresumsatz |
| Ignorieren von DSB-Anordnungen | Zusätzliche Strafen |
DSG-Strafen (§30):
| Verstoß | Strafe (DSG) |
|---|---|
| Verletzung Datengeheimnis | Bis €25.000 |
| Widerrechtliche Übermittlung | Bis €25.000 |
| Unterlassung Meldepflicht (Datenpanne) | Bis €10.000 |
| Missachtung DSB-Bescheid | Bis €10.000 |
Achtung: DSG-Strafen kommen ZUSÄTZLICH zu DSGVO-Bußgeldern! Im schlimmsten Fall zahlen Sie also doppelt.
Praxis-Beispiele aus Österreich:
| Fall | Verstoß | Strafe | Jahr |
|---|---|---|---|
| Österreichische Post AG | Adresshandel ohne Einwilligung | €18 Millionen | 2019 |
| Online-Shop | Keine Datenschutzerklärung | €5.000 | 2020 |
| KMU | Kundendaten nicht gelöscht nach Anfrage | €3.000 | 2021 |
| Arbeitgeber | Videoüberwachung ohne Information | €8.000 | 2022 |
Brauche ich einen Datenschutzbeauftragten?
In Österreich ist ein Datenschutzbeauftragter (DSB) erforderlich bei:
Pflicht
Wann Datenschutzbeauftragter PFLICHT ist
DSGVO Art. 37 + DSG §5:
| Situation | Beispiel |
|---|---|
| Öffentliche Stelle | Gemeinde, Behörde, öffentliche Schule |
| Umfangreiche systematische Überwachung | Detektei, Videoüberwachungsunternehmen |
| Umfangreiche Verarbeitung sensibler Daten | Krankenhaus, Versicherung, Steuerberater (>250 MA) |
| Kerntätigkeit: regelmäßige Datenverarbeitung | Online-Werbefirma mit Profiling |
Achtung: “Umfangreich” ist nicht genau definiert. Als Faustregel: >250 Mitarbeiter oder >5.000 betroffene Personen pro Jahr.
BuchhaltGenie-Tipp: Wir haben mit allen unseren Subdienstleistern (Supabase, AWS, Anthropic, Stripe) Auftragsverarbeitungsverträge abgeschlossen. Ihre Daten sind rechtlich abgesichert – auch ohne eigenen Datenschutzbeauftragten!
Muss ich ein Verarbeitungsverzeichnis führen?
Grundsätzlich JA, aber es gibt Ausnahmen:
Pflicht
Verarbeitungsverzeichnis ist PFLICHT
DSGVO Art. 30 gilt für:
| Unternehmensgröße | Verarbeitungsverzeichnis? |
|---|---|
| ≥250 Mitarbeiter | ✅ Immer verpflichtend |
| <250 Mitarbeiter | ⚠️ Nur bei Ausnahmen NICHT |
Achtung: Die Ausnahme für <250 MA greift NUR, wenn Sie:
- Keine regelmäßige Datenverarbeitung betreiben
- Kein Risiko für Betroffene besteht
- Keine besonderen Kategorien verarbeiten (Gesundheit, Religion, etc.)
Fazit: Fast jedes Unternehmen braucht ein Verarbeitungsverzeichnis!
BuchhaltGenie-Tipp: In Ihren Einstellungen finden Sie einen automatisch generierten Überblick über die Datenverarbeitung durch BuchhaltGenie, den Sie für Ihr Verarbeitungsverzeichnis verwenden können.
Was ist der Unterschied zwischen DSB und EDPB?
Das verwechseln viele! Hier die Klarstellung:
| Institution | Ebene | Rolle | Kontakt |
|---|---|---|---|
| DSB (Datenschutzbehörde) | National (Österreich) | Aufsicht, Beschwerden, Strafen in Österreich | dsb@dsb.gv.at |
| EDPB (European Data Protection Board) | EU-weit | Koordination, Richtlinien, grenzüberschreitende Fälle | Kein direkter Kontakt |
Konkret:
- Sie haben eine Beschwerde? → DSB (national)
- Grenzüberschreitender Fall (z.B. Facebook)? → DSB leitet an federführende Behörde weiter (z.B. Irland)
- Richtlinienfrage zur DSGVO? → EDPB gibt Leitlinien heraus (über DSB-Website)
Was sind Standard-Vertragsklauseln (SCCs)?
Problem: Datenübermittlung in Drittländer (z.B. USA) ist nach DSGVO verboten, außer es gibt angemessene Garantien.
Lösung: Standard-Vertragsklauseln (Standard Contractual Clauses, SCCs)
| Aspekt | Details |
|---|---|
| Was sind SCCs? | EU-genehmigte Musterverträge für Datenübermittlung außerhalb EU |
| Wer braucht sie? | Jedes Unternehmen, das Daten in Nicht-EU-Länder sendet |
| Beispiele | E-Mail an US-Server (Microsoft), Cloud-Speicher (AWS USA), CRM (Salesforce) |
| Rechtsgrundlage | DSGVO Art. 46 Abs. 2 lit. c |
BuchhaltGenie-Praxis:
| Dienstleister | Land | Schutzmaßnahme |
|---|---|---|
| Supabase | EU (Frankfurt) | Keine SCCs nötig (EU-intern) |
| AWS | EU (Frankfurt) | Keine SCCs nötig (EU-Datacenter) |
| Anthropic | USA | SCCs + No-Training-Klausel |
| Stripe | USA/EU | SCCs + PCI DSS |
BuchhaltGenie-Garantie: Ihre Buchhaltungsdaten bleiben IMMER in der EU (Frankfurt). Sophie AI nutzt zwar US-Dienste (Anthropic), aber auch hier gelten SCCs und Ihre Daten werden NIEMALS zum Training verwendet.
DSG-Compliance: Praktische Checkliste für EPU/KMU
Diese Checkliste hilft Ihnen, die wichtigsten DSG-Anforderungen zu erfüllen:
Basis-Compliance (MUSS für alle)
Datenschutzerklärung erstellen
- Auf jeder Seite Ihrer Website verlinkt
- Beschreibt alle Datenverarbeitungen
- Nennt Rechtsgrundlagen
- Enthält Kontaktdaten + DSB-Kontakt (falls vorhanden)
Generator: Die WKO bietet einen kostenlosen Datenschutz-Generator für KMU.
Cookie-Banner implementieren
- Opt-in für Marketing-Cookies (TKG §174)
- Technisch notwendige Cookies ohne Zustimmung OK
- Cookie-Liste mit Zweck und Speicherdauer
- Widerruf jederzeit möglich
Verarbeitungsverzeichnis führen
Dokumentieren Sie:
- Welche Daten Sie verarbeiten (Kunden, Lieferanten, Mitarbeiter)
- Wozu Sie die Daten nutzen (Rechnungsstellung, Marketing)
- Wie lange Sie die Daten speichern (7 Jahre BAO)
- Wer Zugriff hat (Mitarbeiter, Dienstleister)
Vorlage: DSB-Vorlage für Verarbeitungsverzeichnis
Auftragsverarbeitungsverträge (AVV) abschließen
Mit ALLEN Dienstleistern, die Zugriff auf Kundendaten haben:
| Dienstleister | AVV erforderlich? |
|---|---|
| BuchhaltGenie | ✅ Ja (automatisch bei Registrierung) |
| Hosting-Anbieter | ✅ Ja |
| E-Mail-Provider | ✅ Ja |
| Newsletter-Tool | ✅ Ja |
| Cloud-Speicher (Dropbox, Google Drive) | ✅ Ja |
| Steuerberater | ⚠️ Nein (aber umgekehrt: Steuerberater braucht AVV mit Ihnen!) |
Betroffenenrechte ermöglichen
Prozess einrichten für:
- Auskunftsanfragen (1 Monat Frist)
- Löschanfragen (1 Monat Frist)
- Berichtigungsanfragen (sofort)
- Widerspruch gegen Marketing (sofort)
Erweiterte Compliance (empfohlen für KMU >10 MA)
Mitarbeiterdaten
Mitarbeiter-Datenschutz
- Dienstvertrag regelt Datenverarbeitung
- Betriebsvereinbarung bei Überwachung (E-Mail, Zeiterfassung)
- Verpflichtung auf Datengeheimnis (schriftlich!)
- Zugriffsbeschränkungen (nicht jeder sieht alles)
- Austrittsprozess (Zugänge löschen, Geräte zurück)
Muster: DSB bietet Vertragsmuster für Mitarbeiter
Weiterführende Themen
🔒 Auskunft, Löschung, Datenexport – Ihre EU-weiten Rechte
DSGVO & Ihre Rechte📁 7-Jahres-Frist und der Konflikt mit dem Löschungsrecht
BAO §132 Aufbewahrung🚫 Wie Sie Marketing und Tracking widersprechen können
DSGVO Art. 21 WiderspruchOffizielle Quellen
Für weiterführende Informationen empfehle ich diese offiziellen Quellen:
- Datenschutzbehörde: www.dsb.gv.at
- DSG Volltext (RIS): ris.bka.gv.at
- DSGVO Volltext (EUR-Lex): eur-lex.europa.eu
- TKG 2021 (RIS): ris.bka.gv.at
Rechtlicher Hinweis: Diese Dokumentation dient der allgemeinen Information und ersetzt keine individuelle Rechtsberatung. Bei konkreten datenschutzrechtlichen Fragen wende Sie bitte an einen Rechtsanwalt, einen Datenschutzexperten oder die Datenschutzbehörde. Stand: Jänner 2025.
Zurück zur Übersicht: Compliance →