Datenschutz-News: Was österreichische Unternehmen jetzt wissen müssen

EU plant große DSGVO-Reform: Das “Digitale Omnibus-Paket”

Am 19. November 2025 präsentierte die EU-Kommission den Entwurf für eine “Digitale Omnibus-Verordnung” – im Grunde eine Sammelnovelle, die mehrere EU-Gesetze gleichzeitig ändern soll, darunter auch die DSGVO.

Was ist eine Omnibus-Verordnung?

Der Begriff “Omnibus” stammt aus dem Lateinischen und bedeutet “für alle”. In der EU-Gesetzgebung bezeichnet er ein Gesetzespaket, das mehrere bestehende Rechtsakte gleichzeitig ändert. In Österreich würde man von einer “Sammelnovelle” sprechen.

Die wichtigsten geplanten DSGVO-Änderungen

1. Neue Definition “personenbezogene Daten”

Was ändert sich?
Eine Person gilt künftig als “nicht identifizierbar”, wenn die verarbeitende Stelle sie nicht identifizieren kann – auch wenn theoretisch andere Stellen dies könnten.

Was bedeutet das für KMUs?
Diese Änderung könnte die Praxis erleichtern: Wenn Sie als Unternehmen nicht über die Mittel verfügen, eine Person zu identifizieren, müssten strengere DSGVO-Pflichten möglicherweise nicht greifen. Vorsicht: Die genaue Auslegung bleibt abzuwarten.

2. KI-Verarbeitung sensibler Daten

Was ändert sich?
Artikel 9 Abs. 2 DSGVO soll erweitert werden: Die Verarbeitung sensibler Daten (z.B. Gesundheitsdaten, ethnische Herkunft) für KI-Entwicklung und -Betrieb wird unter bestimmten Voraussetzungen erlaubt.

Was bedeutet das für KMUs?
Wenn Sie KI-Tools entwickeln oder trainieren wollen, könnten sich neue Möglichkeiten eröffnen. Allerdings werden sicher strenge Schutzmaßnahmen gefordert sein.

3. Cookie-Management wird Teil der DSGVO

Was ändert sich?
Bisher waren Cookies und ähnliche Technologien in der ePrivacy-Richtlinie (Cookie-Richtlinie) geregelt. Diese Regelungen wandern nun in drei neue Artikel der DSGVO (Art. 88a-c).

Was ist die ePrivacy-Richtlinie?
Die ePrivacy-Richtlinie (auch “Cookie-Richtlinie” genannt) regelt seit 2002 den Datenschutz in der elektronischen Kommunikation – also E-Mails, Telefonie und eben auch Cookies auf Websites.

Was bedeutet das für KMUs?
Ihre Cookie-Banner und -Einstellungen werden künftig direkt unter DSGVO-Regelungen fallen. Das könnte die Rechtslage vereinfachen, da nicht mehr zwei verschiedene Rechtsgrundlagen zu beachten sind. Wichtig: Es gibt eine Ausnahme für Medienunternehmen – Details sind noch offen.

4. KI-Entwicklung als “berechtigtes Interesse”

Was ändert sich?
Ein neuer Artikel 88c soll festlegen, dass die Entwicklung oder der Betrieb von KI-Systemen ein “berechtigtes Interesse” im Sinne von Art. 6 Abs. 1 lit. f DSGVO darstellen kann.

Was ist ein “berechtigtes Interesse”?
Das “berechtigte Interesse” ist eine von sechs Rechtsgrundlagen für die Datenverarbeitung nach DSGVO. Sie dürfen Daten verarbeiten, wenn Ihr Interesse oder das Interesse Dritter die Interessen der betroffenen Person überwiegt – und keine Grundrechte beeinträchtigt werden.

Was bedeutet das für KMUs?
Sie könnten künftig KI-Systeme mit Kundendaten trainieren, ohne explizite Einwilligung einzuholen – sofern eine Interessenabwägung zu Ihren Gunsten ausfällt. Achtung: Das wird sicher an strenge Voraussetzungen geknüpft sein.

5. Längere Meldefristen bei Datenpannen

Was ändert sich?
Die Meldefrist für Data Breaches (Datenschutzverletzungen) soll von 72 auf 96 Stunden erhöht werden. Außerdem wird ein einheitliches EU-Portal für Meldungen kommen.

Was ist ein Data Breach?
Ein Data Breach (Datenpanne) liegt vor, wenn personenbezogene Daten verloren gehen, gelöscht, verändert oder unbefugt offengelegt werden – z.B. durch Hackerangriffe, verlorene USB-Sticks oder versehentlich verschickte E-Mails.

Was bedeutet das für KMUs?
Sie gewinnen 24 Stunden mehr Zeit für die Meldung – das klingt nach wenig, kann aber in der Praxis sehr wertvoll sein. Das einheitliche Portal soll Meldungen vereinfachen.

6. Auskunftsrecht kann eingeschränkt werden

Was ändert sich?
Wenn ein Auskunftsersuchen “datenschutzfremde Zwecke” verfolgt (z.B. Schikane), muss nicht geantwortet werden oder es kann eine Gebühr verlangt werden.

Was bedeutet das für KMUs?
Schutz vor missbräuchlichen Auskunftsbegehren – diese können sehr zeitaufwendig sein. Vorsicht: Die Beweislast liegt bei Ihnen. Dokumentieren Sie, warum ein Ersuchen missbräuchlich ist.

Wann kommen die Änderungen?

Nicht so schnell. Die Datenschutzbehörde geht davon aus, dass Rat und Parlament mindestens 2-3 Jahre über die Vorschläge verhandeln werden. Mit einer Umsetzung ist also frühestens 2027/2028 zu rechnen.

Informationsfreiheitsgesetz: Neue Transparenzpflichten seit September

Seit 1. September 2025 gilt in Österreich das Informationsfreiheitsgesetz (IFG). Anders als in Deutschland gewährt dieses Gesetz ein Grundrecht auf Zugang zu behördlichen Informationen.

Was ist das Informationsfreiheitsgesetz?

Das IFG verpflichtet Behörden und bestimmte andere Stellen, Informationen und Dokumente auf Antrag offenzulegen – sofern keine Ausnahmen greifen (z.B. Betriebsgeheimnisse, personenbezogene Daten).

Wen betrifft das IFG?

Grundsätzlich alle “informationspflichtigen Organe”:

• Bundesbehörden
• Landesbehörden (in Bundesländern mit eigenen Regelungen)
• Gemeinden
• Privatrechtlich organisierte Stellen bei Erfüllung öffentlicher Aufgaben

Was bedeutet das für KMUs?

Betroffen sind Sie vor allem, wenn Sie:

• Öffentliche Aufgaben erfüllen (z.B. als ausgelagertes Unternehmen)
• Öffentliche Förderungen erhalten
• Im Auftrag von Behörden arbeiten

Beispiele:

• Ausgegliederte Verkehrsbetriebe
• Sozialeinrichtungen mit öffentlicher Förderung
• IT-Dienstleister für Behörden

Datenschutz vs. Informationsfreiheit

Hier entsteht ein Spannungsfeld: Einerseits sollen Informationen transparent gemacht werden, andererseits müssen personenbezogene Daten geschützt bleiben.

Die Datenschutzbehörde hat dazu einen umfangreichen Leitfaden veröffentlicht mit folgenden Kernaussagen:

1. Interessenabwägung ist entscheidend: Bei jedem Antrag muss abgewogen werden zwischen Transparenzinteresse und Datenschutz
2. Anonymisierung geht vor: Wenn möglich, sollten Daten anonymisiert oder pseudonymisiert werden
3. Dokumentation ist Pflicht: Jede Abwägungsentscheidung muss dokumentiert werden

Praktisches Beispiel:
Ein Journalist beantragt Einsicht in Förderunterlagen Ihres Unternehmens. Namen von Sachbearbeitern können geschwärzt werden, die Fördersumme und der Verwendungszweck sind aber meist offenzulegen.

Zahlen zur bisherigen Praxis

Die Datenschutzbehörde selbst hat seit 1. September 2025:

• 22 Anträge auf Informationszugang erhalten
• 3 Bescheide erlassen (2 davon rechtskräftig)
• Erstmals Fragenkataloge von Schwerpunktprüfungen auf data.gv.at veröffentlicht

Rekordstrafe bestätigt: 1,5 Millionen Euro gegen IKEA

Das Bundesverwaltungsgericht (BVwG) hat im Juli 2025 die von der Datenschutzbehörde verhängte Höchststrafe von 1,5 Millionen Euro gegen IKEA Wien Westbahnhof im Wesentlichen bestätigt. Der Fall ist wegweisend für die Strafbemessung bei DSGVO-Verstößen.

Worum ging es?

IKEA hatte am Standort Wien Westbahnhof eine Videoüberwachungsanlage betrieben, die unrechtmäßig öffentliche Verkehrsflächen erfasste.

Die zentrale Frage: Welcher Umsatz zählt?

IKEA argumentierte, dass nur der Umsatz des einzelnen Einrichtungshauses (das neu eröffnet hatte) für die Strafbemessung relevant sei – nicht der des gesamten Konzerns.

Das BVwG folgte dieser Argumentation nicht und bestätigte:

Konzernumsatz ist maßgeblich

Bei der Strafbemessung nach Art. 83 DSGVO muss der Konzernumsatz berücksichtigt werden, um:

• Wirksamkeit zu gewährleisten
• Abschreckung sicherzustellen
• Verhältnismäßigkeit zu wahren

Was ist ein Konzern im Sinne der DSGVO?

Als “Unternehmen” gilt nach Art. 83 Abs. 4-6 DSGVO eine wirtschaftliche Einheit – also der gesamte Konzern, nicht nur einzelne Tochtergesellschaften.

Rechtliche Grundlagen

Das BVwG stützte sich auf:

1. EuGH-Urteil C-383/23 “ILVA” vom 13.02.2025
2. EDSA-Leitlinien 04/2022 zur Berechnung von Geldbußen

Was sind die EDSA-Leitlinien 04/2022?
Der Europäische Datenschutzausschuss (EDSA) hat einheitliche Leitlinien entwickelt, wie DSGVO-Strafen in ganz Europa berechnet werden sollen. Damit soll verhindert werden, dass in einem Land hohe Strafen, in einem anderen nur symbolische Beträge verhängt werden.

Was bedeutet das für KMUs?

Wichtige Erkenntnis: Bei DSGVO-Verstößen ist nicht Ihre GmbH isoliert betroffen, sondern der gesamte Konzern.

Praktische Auswirkungen:

1. Sie sind Teil eines Konzerns:

• Höhere Strafen sind möglich
• Konzernrichtlinien zum Datenschutz sind wichtiger denn je
• Mutter- oder Schwestergesellschaften haften mit

2. Sie sind eigenständiges KMU:

• Ihr tatsächlicher Jahresumsatz ist Grundlage
• Bei kleinen Unternehmen gilt meist der “statische Strafrahmen” (max. 10 oder 20 Mio. Euro)
• Aber: Strafe muss trotzdem “wirksam” und “abschreckend” sein

Beispielrechnung

• Strafrahmen: 4% vom weltweiten Jahresumsatz ODER 20 Mio. Euro (es gilt der höhere Betrag)
• KMU mit 1 Mio. Umsatz: 4% = 40.000 Euro → Es gilt der statische Rahmen bis 20 Mio.
• Konzern mit 1 Mrd. Umsatz: 4% = 40 Mio. Euro → Es gilt dieser höhere Betrag

Aktueller Stand:

• IKEA hat Revision beim Verwaltungsgerichtshof eingelegt
• Aufschiebende Wirkung wurde gewährt (Strafe muss vorerst nicht gezahlt werden)
• DSB hat Aufhebung der aufschiebenden Wirkung beantragt

Videoüberwachung: Zwei teure Praxisfälle

Die Datenschutzbehörde hat 2025 mehrere empfindliche Strafen wegen unrechtmäßiger Videoüberwachung verhängt. Zwei Fälle zeigen exemplarisch, worauf zu achten ist.

Fall 1: Tesla-Videoüberwachung (600 Euro Strafe)

Der Sachverhalt

Ein Tesla-Fahrer nutzte die eingebaute Videoüberwachungsanlage mit 7 Kameras, die:

• Während der Fahrt manuell speicherbar waren
• Im geparkten Zustand automatisch bei Bewegungen aufzeichneten
• Aufnahmen über einen Monat speicherten
• Keine Hinweisschilder für Passanten vorhanden waren

Die Verstöße

1. Art. 5 Abs. 1 lit. a DSGVO (Rechtmäßigkeit): Keine Rechtsgrundlage für Aufnahmen Dritter
2. Art. 5 Abs. 1 lit. c DSGVO (Datenminimierung): Ein Monat Speicherdauer übermäßig
3. Art. 5 Abs. 1 lit. e DSGVO (Speicherbegrenzung): Zu lange Aufbewahrung
4. Art. 6 Abs. 1 DSGVO (Rechtmäßigkeit der Verarbeitung): Keine gültige Rechtsgrundlage
5. Art. 12, 13 DSGVO (Informationspflicht): Keine Information der Betroffenen

Was bedeutet das für KMUs?

Wichtig zu wissen: Auch Fahrzeugkameras (Dashcams) fallen unter die DSGVO, sobald sie mehr als Ihr eigenes Fahrzeug aufzeichnen.

Rechtmäßige Nutzung von Dashcams:

• Nur für eigene Beweiszwecke nach einem Unfall
• Kurze Loop-Aufzeichnung (z.B. nur letzte Minute dauerhaft)
• Keine permanente Speicherung ohne konkreten Anlass
• Kein Filmen von Passanten im Stand

Fall 2: Bäckerei-Ketten (33.500 Euro Strafe)

Der Sachverhalt

Eine Bäckerei-Kette betrieb an mehreren Standorten 30 unzureichend gekennzeichnete Videokameras:

• Im Kundenbereich
• In reinen Mitarbeiterbereichen (Backstube, Pausenraum)
• Aufzeichnung auch außerhalb der Öffnungszeiten
• Teils öffentliche Bereiche vor dem Geschäft erfasst

Zusätzlicher Verstoß: Aufnahmen wurden über einen Messenger-Dienst geteilt.

Die Verstöße

1. Art. 5 Abs. 1 lit. a, c DSGVO: Keine Rechtsgrundlage, keine Datenminimierung
2. Art. 6 Abs. 1 DSGVO: Keine Rechtsgrundlage für permanente Überwachung
3. Art. 6 Abs. 4 DSGVO: Unrechtmäßige Weiterverarbeitung (Messenger-Versand)

Warum so hoch die Strafe?

Mehrere strafverschärfende Faktoren:

• Dauer: Über ein Jahr
• Umfang: 30 Kameras, mehrere Standorte
• Art: Besonders sensibel (Mitarbeiterüberwachung)
• Weiterverarbeitung: Unkontrollierte Verbreitung über Messenger

Was ist bei Videoüberwachung erlaubt?

Grundprinzip: So wenig wie möglich

1. Rechtsgrundlage prüfen:

• Einwilligung (bei Kunden schwierig)
• Berechtigtes Interesse (muss überwiegend sein)
• Vertrag (nur in Ausnahmefällen)

2. Interessenabwägung durchführen:

• Was ist Ihr Schutzziel? (Einbruch, Diebstahl, Sicherheit)
• Gibt es mildere Mittel? (Alarmanlagen, bessere Beleuchtung, Tresor)
• Wer wird erfasst? (Nur Eingangsbereich oder auch Privatbereiche?)

3. Datenminimierung umsetzen:

• So wenig Bereich wie nötig erfassen
• Verpixelung sensibler Bereiche
• Kurze Speicherdauer (meist 72 Stunden ausreichend)

4. Transparenz gewährleisten:

• Hinweisschilder VOR dem überwachten Bereich
• Name und Kontaktdaten des Verantwortlichen
• Zweck der Überwachung
• Speicherdauer

5. Besondere Vorsicht bei Mitarbeitern:

• Betriebsrat einbinden
• Nur wenn unbedingt nötig (Kassenbereich bei konkretem Verdacht)
• Niemals Sozialräume (WC, Umkleide, Pausenraum)
• Alternative: Zeitlich begrenzte Maßnahmen bei Verdachtsfällen

Checkliste: Rechtmäßige Videoüberwachung

Vor der Installation:

• ☐ Rechtsgrundlage identifiziert (meist: berechtigtes Interesse)
• ☐ Interessenabwägung dokumentiert
• ☐ Alternative Maßnahmen geprüft
• ☐ Bei Mitarbeitern: Betriebsrat informiert
• ☐ Datenschutz-Folgenabschätzung (bei hohem Risiko)

Technische Umsetzung:

• ☐ Mindestanzahl Kameras
• ☐ Erfasster Bereich minimal
• ☐ Öffentliche Bereiche ausgeblendet
• ☐ Speicherdauer: maximal 72 Stunden (außer Sicherheitsvorfälle)
• ☐ Zugriff nur für befugte Personen

Information:

• ☐ Hinweisschilder gut sichtbar VOR dem Bereich
• ☐ Schilder enthalten: Verantwortlicher, Zweck, Kontakt
• ☐ Datenschutzerklärung ergänzt
• ☐ Mitarbeiter informiert

Betrieb:

• ☐ Zugriffsprotokolle führen
• ☐ Regelmäßige Löschung
• ☐ Keine Weitergabe ohne Rechtsgrundlage
• ☐ Bei Anfragen: Auskunft innerhalb 1 Monat

Cookies und Websites: Microsoft 365 und Bonitätsprüfungen

Zwei aktuelle Entscheidungen der Datenschutzbehörde zeigen, worauf österreichische Unternehmen bei Cookies und Datenerhebungen achten müssen.

Fall 1: Microsoft Education 365 (DSB-D135.027)

Der Sachverhalt

Eine österreichische Bundesschule setzte Microsoft Education 365 ein. Eine Schülerin beschwerte sich über:

• Unklare Informationen zum Zweck bestimmter Cookies
• Fehlende Erklärungen zu Begriffen wie “legitime Geschäftstätigkeiten”
• Unrechtmäßigen Cookie-Einsatz

Die Entscheidung der DSB

Verletzung des Auskunftsrechts: Die Schule und Microsoft konnten nicht ausreichend erklären:

• Welche Cookies zu welchem konkreten Zweck eingesetzt werden
• Was mit “legitimen Geschäftstätigkeiten” gemeint ist
• Warum bestimmte Daten verarbeitet werden

Unrechtmäßiger Cookie-Einsatz: Es wurden Cookies gesetzt, die:

• Technisch nicht notwendig waren
• Der eindeutigen Identifizierung von Endgeräten dienten
• Analysezwecken dienten

Folge: Löschung der unrechtmäßig erhobenen Daten angeordnet.

Wer war verantwortlich?

Die DSB stellte fest:

• Gemeinsame Verantwortlichkeit: Schule, Bildungsministerium UND Microsoft
• Microsoft entscheidet maßgeblich über Zwecke und Mittel

Was ist “gemeinsame Verantwortlichkeit”?
Wenn mehrere Stellen gemeinsam über Zwecke und Mittel der Datenverarbeitung entscheiden, sind sie “gemeinsam verantwortlich” (Art. 26 DSGVO). Das bedeutet: Jeder haftet für den gesamten Verstoß.

Was bedeutet das für KMUs?

1. Bei Cookie-Einsatz auf der Website

Technisch notwendige Cookies:

• Dürfen ohne Einwilligung gesetzt werden
• Beispiele: Session-Cookies, Warenkorb, Login-Status
• Müssen trotzdem in der Datenschutzerklärung genannt werden

Analyse- und Marketing-Cookies:

• Brauchen aktive Einwilligung (Opt-in)
• Dazu gehören: Google Analytics, Facebook Pixel, Hotjar etc.
• Einwilligung vor dem Setzen einholen (Cookie-Banner)

Praxis-Check für Ihre Website:

1. Welche Cookies werden aktuell gesetzt? (Browser-Entwicklertools nutzen)
2. Sind alle Cookies in Ihrer Datenschutzerklärung aufgeführt?
3. Zweck jedes Cookies klar benannt?
4. Haben Sie für nicht-notwendige Cookies eine Einwilligung?

2. Bei Nutzung von Cloud-Diensten (Microsoft 365, Google Workspace etc.)

Prüfen Sie:

• Welche Daten werden wo verarbeitet?
• Ist ein Auftragsverarbeitervertrag (AVV) vorhanden?
• Können Sie gegenüber Betroffenen Auskunft geben?
• Werden Daten für andere Zwecke als Ihre Beauftragung genutzt?

Was ist ein Auftragsverarbeitervertrag (AVV)?
Wenn Sie einen externen Dienstleister beauftragen, der für Sie personenbezogene Daten verarbeitet (z.B. Cloud-Anbieter, Newsletter-Tool, Webhosting), brauchen Sie einen AVV nach Art. 28 DSGVO. Darin wird geregelt: Was darf der Dienstleister? Welche Sicherheitsmaßnahmen gelten? Was passiert nach Vertragsende?

Besonderheit Microsoft 365:

• Standardmäßig viele Analysefunktionen aktiv
• Telemetriedaten werden an Microsoft übermittelt
• Konfiguration ist entscheidend: Viele Features sollten für DSGVO-Compliance deaktiviert werden

Fall 2: Adressdaten für Bonitätsprüfungen (DSB-D124.2569/24)

Der Sachverhalt

Ein Adresshändler verkaufte Kontaktdaten (Name, Adresse, Geburtsdatum) an eine Kreditauskunftei. Diese nutzte die Daten:

• Original-Zweck beim Adresshändler: Marketing
• Neuer Zweck bei der Kreditauskunftei: Bonitätsberechnung

Der Betroffene wusste nichts von dieser Weitergabe und Nutzung.

Die Entscheidung der DSB

Verstoß gegen Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO):
Die Weiterverarbeitung für einen völlig anderen Zweck (Bonität statt Marketing) ist unzulässig.

Wichtig: Die Zweckbindung gilt auch für den Empfänger der Daten (hier: Kreditauskunftei), nicht nur für den ursprünglichen Erheber.

Verstoß gegen Informationspflicht:
Der bloße Verweis auf eine Datenschutzerklärung im Internet reicht nicht, wenn Betroffene keine Kenntnis von der Verarbeitung haben.

Was ist die Zweckbindung?

Die Zweckbindung ist ein Kernprinzip der DSGVO (Art. 5 Abs. 1 lit. b):

• Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden
• Sie dürfen nicht für andere Zwecke weiterverarbeitet werden
• Ausnahme: Der neue Zweck ist mit dem ursprünglichen “vereinbar”

Wann sind Zwecke vereinbar?
Nach Art. 6 Abs. 4 DSGVO ist zu prüfen:

• Zusammenhang zwischen den Zwecken
• Kontext der Datenerhebung
• Art der Daten
• Mögliche Folgen für Betroffene
• Geeignete Garantien

Beispiel vereinbarer Zwecke:

• Kundendaten für Vertragsabwicklung → Nutzung für Buchhaltung ✓
• Kundendaten für Online-Shop → Nutzung für Newsletter ✗ (braucht Einwilligung)

Was bedeutet das für KMUs?

1. Wenn Sie Adressdaten kaufen oder nutzen

Kritisch prüfen:

• Für welchen Zweck wurden die Daten ursprünglich erhoben?
• Ist Ihr Nutzungszweck damit vereinbar?
• Haben die Betroffenen von der Weitergabe Kenntnis?

Typische Problemfälle:

• Adresskauf für Cold Calls (meist unzulässig)
• Newsletter an gekaufte Adressen (Einwilligung fehlt)
• Bonitätsprüfungen mit Daten aus anderen Quellen

Rechtssichere Alternative:

• Nutzen Sie nur selbst erhobene Daten
• Oder: Holen Sie explizite Einwilligung für den neuen Zweck ein
• Bei B2B: Berechtigtes Interesse kann greifen (Einzelfallprüfung!)

2. Wenn Sie Daten weitergeben

Pflichten bei Datenweitergabe:

1. Rechtsgrundlage prüfen:

• Liegt eine Einwilligung für die Weitergabe vor?
• Ist die Weitergabe vertraglich notwendig?
• Besteht ein berechtigtes Interesse?

2. Empfänger informieren:

• Für welchen Zweck wurden Daten erhoben?
• Was darf der Empfänger damit machen?
• Schriftlich festhalten (AVV oder Vereinbarung)

3. Betroffene informieren:

• Bei Erhebung über Weitergabe informieren
• Oder: Spätestens bei Weitergabe
• Nicht ausreichend: Versteckt in AGB oder Datenschutzerklärung

3. Cookie-Banner richtig gestalten

Nach dieser Rechtsprechung reicht es nicht aus, wenn:

• Nur ein Link zur Datenschutzerklärung gezeigt wird
• Betroffene nicht wissen, dass überhaupt Cookies gesetzt werden
• Zwecke unklar bleiben (“zur Verbesserung der Website”)

Rechtssicherer Cookie-Banner:

• Klare Information: Was wird getrackt?
• Konkrete Zwecke: “Marketing”, “Analyse”, “Social Media”
• Echte Wahlmöglichkeit: Alle ablehnen genauso einfach wie akzeptieren
• Kein “berechtigtes Interesse” für Marketing-Cookies
• Voreinstellungen: Alle nicht-notwendigen Cookies abgewählt

Praktische Umsetzung für Ihre Website

Schritt 1: Bestandsaufnahme

Welche Cookies/Tracker nutzen Sie?
- Google Analytics?
- Facebook Pixel?
- Google Ads Conversion Tracking?
- Hotjar, Mouseflow, Crazy Egg?
- YouTube-Videos (eingebettet)?
- Google Maps?
- Social Media Plugins?

Schritt 2: Kategorisieren

Technisch notwendig:
- Session-Cookie für Login
- Warenkorb
- CSRF-Schutz

Nicht notwendig (brauchen Einwilligung):
- Alle Tracking-Tools
- Alle Marketing-Tools
- Alle Social-Media-Integrations

Schritt 3: Lösung implementieren

1. Cookie-Consent-Tool einbinden:
   • Borlabs Cookie (WordPress-Plugin, kostenpflichtig)
   • Cookiebot (externe Lösung)
   • Real Cookie Banner (WordPress-Plugin)
   • Complianz (WordPress-Plugin)
2. Nicht-notwendige Cookies blockieren:
   • Erst nach Einwilligung laden
   • Tool muss Scripts tatsächlich blockieren (nicht nur Banner zeigen!)
3. Datenschutzerklärung aktualisieren:
   • Alle Cookies auflisten
   • Zweck konkret benennen
   • Speicherdauer angeben
   • Rechtsgrundlage nennen

Schritt 4: Testen

• Cookies ablehnen → Prüfen: Werden trotzdem welche gesetzt?
• Browser-Entwicklertools öffnen (F12)
• Tab “Application” / “Speicher” → Cookies prüfen

VwGH: Wichtige Klarstellungen zur Strafbemessung

Der Verwaltungsgerichtshof (VwGH) hat im September 2025 ein Erkenntnis (Ra 2025/04/0089) veröffentlicht, das wichtige Grundsätze zur DSGVO-Strafbemessung klarstellt.

Der Fall: Videoüberwachung einer GmbH

Eine GmbH wurde wegen unrechtmäßiger Videoüberwachung (öffentliche Verkehrsflächen erfasst) von der DSB mit 3.190 Euro bestraft. Das BVwG reduzierte die Strafe auf 1.100 Euro, weil sich die wirtschaftliche Lage des Unternehmens verschlechtert hatte.

Die zentrale Frage

Welcher Jahresumsatz ist für die Strafbemessung maßgeblich?

• Der zum Zeitpunkt der Entscheidung der DSB?
• Oder der zum Zeitpunkt der Entscheidung des BVwG (bei Beschwerde)?

Die Entscheidung des VwGH

Der VwGH ließ die Frage im konkreten Fall offen, weil:

• Der Umsatz in beiden Jahren so niedrig war, dass ohnehin der statische Strafrahmen (max. 10 oder 20 Mio. Euro) zur Anwendung kam
• Nicht der dynamische Strafrahmen (2% oder 4% vom Jahresumsatz)

Was ist der Unterschied?

Statischer Strafrahmen (Art. 83 Abs. 4, 5 DSGVO):

• Bis zu 10 Mio. Euro für “einfachere” Verstöße (z.B. fehlende Informationen)
• Bis zu 20 Mio. Euro für schwere Verstöße (z.B. keine Rechtsgrundlage)
• Gilt für kleinere Unternehmen

Dynamischer Strafrahmen (Art. 83 Abs. 4, 5 DSGVO):

• Bis zu 2% vom weltweiten Jahresumsatz (bei “einfacheren” Verstößen)
• Bis zu 4% vom weltweiten Jahresumsatz (bei schweren Verstößen)
• Gilt nur, wenn dieser Betrag höher als 10/20 Mio. ist
• Für große Unternehmen und Konzerne

Beispiel:

Jahresumsatz: 500 Millionen Euro
4% = 20 Millionen Euro
→ Dynamischer Rahmen gilt NICHT, weil 20 Mio. = statischer Maximalrahmen

Jahresumsatz: 1 Milliarde Euro
4% = 40 Millionen Euro
→ Dynamischer Rahmen gilt (40 Mio. > 20 Mio.)

Die wegweisenden Aussagen des VwGH

Auch wenn die konkrete Frage offen blieb, hat der VwGH grundsätzliche Aussagen zur Strafbemessung getroffen:

1. Unterscheidung: Strafrahmen vs. Strafbemessung

Strafrahmen festlegen:

• Welcher Höchstbetrag gilt? (statisch oder dynamisch)
• Dafür ist der Jahresumsatz relevant

Strafe bemessen:

• Wie hoch ist die konkrete Strafe innerhalb des Rahmens?
• Hier müssen Art. 83 Abs. 2 DSGVO-Kriterien berücksichtigt werden
• UND die tatsächliche finanzielle Leistungsfähigkeit

2. Drei Ziele der Strafe

Jede DSGVO-Strafe muss sein:

1. Wirksam: Die Strafe muss tatsächlich “wehtun”
2. Abschreckend: Andere sollen abgeschreckt werden
3. Verhältnismäßig: Nicht zu hart für den konkreten Verstoß

3. Leistungsfähigkeit beachten

Bei der Bemessung der Strafe muss die DSB berücksichtigen:

• Tatsächliche finanzielle Leistungsfähigkeit des Unternehmens
• Nicht nur formaler Jahresumsatz
• Auch: Gehört das Unternehmen zu einem Konzern?

Warum ist das wichtig?
Eine Strafe von 50.000 Euro:

• Ist für ein Startup mit 100.000 Euro Umsatz existenzbedrohend
• Ist für einen Konzern mit 500 Mio. Umsatz ein Pappenstiel (und damit nicht “abschreckend”)

4. Art. 83 Abs. 2 DSGVO-Kriterien

Bei jeder Strafe müssen folgende Faktoren berücksichtigt werden:

Strafmildernd:

• Kooperation mit der Behörde
• Proaktive Maßnahmen zur Schadensbegrenzung
• Erstverstoß
• Betroffene wurden informiert
• Technische und organisatorische Maßnahmen waren vorhanden
• Selbstanzeige

Strafverschärfend:

• Vorsätzliches oder fahrlässiges Handeln
• Viele Betroffene
• Sensibler Datentyp (Gesundheit, Kinder, etc.)
• Lange Dauer
• Wiederholungstäter
• Keine Kooperation
• Hoher Schaden

5. Ermessensentscheidung nur begrenzt überprüfbar

Der VwGH kann die konkrete Strafbemessung nur eingeschränkt prüfen:

• Ist die Strafe vertretbar?
• Wurden die Bemessungsgründe berücksichtigt?
• Ist die Begründung nachvollziehbar?

Aber: Der VwGH setzt nicht einfach seine eigene Einschätzung an die Stelle der DSB.

Was bedeutet das für KMUs?

1. Bei drohenden Strafen

Was Sie tun können, um Strafen zu reduzieren:

Kooperieren Sie mit der DSB:

• Antworten Sie schnell und vollständig
• Geben Sie Fehler zu
• Zeigen Sie, was Sie verbessert haben

Ergreifen Sie Sofortmaßnahmen:

• Beseitigen Sie den Verstoß sofort
• Informieren Sie Betroffene proaktiv
• Dokumentieren Sie Ihre Maßnahmen

Weisen Sie auf Ihre finanzielle Situation hin:

• Bei wirtschaftlichen Schwierigkeiten: Belegen Sie diese
• Zeigen Sie, dass eine hohe Strafe existenzbedrohend wäre
• Aber: Das ersetzt keine Compliance-Bemühungen

Zeigen Sie Ihre Compliance-Bemühungen:

• Hatten Sie Datenschutzmaßnahmen getroffen?
• War es ein Einzelfall oder systematisch?
• Schulen Sie Ihre Mitarbeiter?

2. Generelle Compliance-Strategie

Risiko-Einschätzung:

• Als kleines KMU drohen Ihnen realistisch Strafen bis ca. 50.000 Euro
• Bei schweren Verstößen auch höher
• Aber: Selten der absolute Maximalrahmen

Investition vs. Risiko:

Datenschutz-Grundausstattung: ca. 1.000-3.000 Euro/Jahr
Mögliche Strafe bei Verstoß: 5.000-50.000 Euro
→ Compliance lohnt sich

Was ist die “Grundausstattung”?

• Datenschutzerklärung (Generator: ca. 100 Euro/Jahr)
• Cookie-Consent-Tool (ca. 50-200 Euro/Jahr)
• Verzeichnis Verarbeitungstätigkeiten (einmalig erstellen)
• Auftragsverarbeiterverträge (meist kostenlos von Anbietern)
• Grundschulung Mitarbeiter (1-2 Stunden)

3. Bei Beschwerdeverfahren

Wenn gegen Sie eine Strafe verhängt wurde:

Beschwerde beim BVwG kann sinnvoll sein, wenn:

• Die Strafe deutlich zu hoch erscheint
• Wichtige mildernde Umstände nicht berücksichtigt wurden
• Ihre finanzielle Situation sich verschlechtert hat
• Rechtsfragen offen sind

Coordinated Enforcement Framework 2026: Transparenzpflichten im Fokus

Der Europäische Datenschutzausschuss (EDSA) hat sein Thema für die koordinierte Durchsetzungsmaßnahme 2026 bekanntgegeben: Transparenz- und Informationspflichten nach Art. 12, 13 und 14 DSGVO.

Was ist das Coordinated Enforcement Framework (CEF)?

Das CEF ist eine koordinierte Prüfungsaktion aller europäischen Datenschutzbehörden zu einem gemeinsamen Thema:

• Alle Länder prüfen gleichzeitig das gleiche Thema
• Bei verschiedenen Unternehmen/Branchen
• Ergebnisse werden ausgetauscht
• Ziel: Einheitliche Durchsetzung in ganz Europa

Warum ist das wichtig?

• Unternehmen in verschiedenen EU-Ländern werden gleich behandelt
• “Forum Shopping” (Suche nach laschester Aufsichtsbehörde) wird verhindert
• Best Practices werden geteilt

Frühere CEF-Aktionen

• 2023: Social Media Plattformen und Targeting
• 2024: Right to Data Portability (Datenübertragbarkeit)
• 2025: Datenschutz-Folgenabschätzungen
• 2026: Transparenz- und Informationspflichten ← NEU

Was wird 2026 geprüft?

Die Datenschutzbehörden werden prüfen, ob Unternehmen ihre Informationspflichten nach Art. 12-14 DSGVO erfüllen:

Art. 12 DSGVO: Transparente Information und Kommunikation

Was ist gefordert?

• Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form
• In klarer und einfacher Sprache
• Schriftlich oder elektronisch
• Kostenlos

Häufige Fehler:

• Juristisches Kauderwelsch statt verständlicher Sprache
• Informationen versteckt oder schwer auffindbar
• Keine Infos in der Sprache des Nutzers
• Auskunftsanfragen werden nicht beantwortet

Art. 13 DSGVO: Informationspflicht bei Erhebung

Wann gilt das?
Wenn Sie Daten direkt bei der betroffenen Person erheben (z.B. Kontaktformular, Registrierung, Vertragsabschluss).

Was muss mitgeteilt werden?

1. Name und Kontaktdaten des Verantwortlichen
2. Kontaktdaten des Datenschutzbeauftragten (falls vorhanden)
3. Zwecke der Verarbeitung (konkret!)
4. Rechtsgrundlage (Einwilligung, Vertrag, berechtigtes Interesse etc.)
5. Berechtigte Interessen (wenn das die Rechtsgrundlage ist)
6. Empfänger der Daten (wer bekommt die Daten?)
7. Absicht der Übermittlung in Drittland (z.B. USA)
8. Speicherdauer oder Kriterien dafür
9. Betroffenenrechte (Auskunft, Löschung, Widerspruch etc.)
10. Widerrufsrecht (bei Einwilligung)
11. Beschwerderecht bei Aufsichtsbehörde
12. Vertragliche Notwendigkeit der Datenangabe
13. Automatisierte Entscheidungen (inkl. Profiling)

Zeitpunkt: Bei Erhebung der Daten

Art. 14 DSGVO: Informationspflicht bei indirekter Erhebung

Wann gilt das?
Wenn Sie Daten nicht direkt bei der betroffenen Person erheben (z.B. Adresskauf, Daten aus öffentlichen Registern, von Partnerunternehmen).

Was muss zusätzlich zu Art. 13 mitgeteilt werden?

• Kategorien der Daten (welche Art von Daten?)
• Quelle der Daten (woher haben Sie die Daten?)
• Ob aus öffentlichen Quellen

Zeitpunkt:

• Innerhalb eines Monats nach Erhalt der Daten
• Bei Kontaktaufnahme: spätestens dann
• Bei Weitergabe: spätestens bei der ersten Weitergabe

Ausnahme: Information kann entfallen, wenn:

• Betroffene die Infos bereits hat
• Information unmöglich oder unverhältnismäßig aufwendig ist
• Gesetzliche Geheimhaltungspflicht besteht

Was wird die DSB konkret prüfen?

Basierend auf früheren CEF-Aktionen ist zu erwarten:

1. Website-Check:

• Ist Datenschutzerklärung leicht auffindbar?
• Ist sie verständlich formuliert?
• Sind alle Pflichtinformationen enthalten?
• Ist sie aktuell?

2. Erhebungssituationen:

• Bei Formularen: Werden Zwecke klar benannt?
• Bei Newsletter-Anmeldung: Klare Info über Nutzung?
• Bei Kundenregistrierung: Alle Pflichtangaben?

3. Auskunftsersuchen:

• Werden Auskunftsersuchen innerhalb eines Monats beantwortet?
• Ist die Auskunft vollständig?
• Ist sie verständlich?

4. Indirekte Datenerhebung:

• Bei Adresskäufen: Wurden Betroffene informiert?
• Quelle der Daten benannt?

Welche Branchen sind betroffen?

Basierend auf früheren Aktionen könnten im Fokus stehen:

• Online-Handel (viele Kundendaten)
• Marketing-Agenturen (indirekte Datenerhebung)
• Finanzdienstleister (sensible Daten)
• Gesundheitssektor (höchste Anforderungen)
• Online-Plattformen (komplexe Datenflüsse)

Aber: Jedes Unternehmen kann betroffen sein.

So bereiten Sie sich vor

Checkliste: Transparenz-Compliance

Datenschutzerklärung:

• ☐ Auf jeder Website-Seite verlinkt (z.B. im Footer)?
• ☐ Alle 13 Pflichtangaben nach Art. 13 DSGVO enthalten?
• ☐ In verständlicher Sprache (nicht nur Juristendeutsch)?
• ☐ Aktuell (alle Tools/Dienste aufgeführt)?
• ☐ Bei mehreren Sprachen: Übersetzungen vorhanden?

Cookie-Banner:

• ☐ Erscheint vor dem Setzen von Cookies?
• ☐ Klare Kategorien (notwendig, Analyse, Marketing)?
• ☐ Link zur ausführlichen Datenschutzerklärung?
• ☐ “Alle ablehnen” genauso einfach wie “Akzeptieren”?

Formulare:

• ☐ Bei jedem Formular: Zweck klar benannt?
• ☐ Link zur Datenschutzerklärung direkt beim Formular?
• ☐ Pflichtfelder vs. optionale Felder klar gekennzeichnet?
• ☐ Bei Newsletter: Double-Opt-In-Verfahren?

Verträge:

• ☐ Datenschutzhinweise in AGB integriert?
• ☐ Bei Vertragsabschluss: Alle Infos nach Art. 13 DSGVO?
• ☐ Unterschrift/Bestätigung für Datenschutzhinweise?

Auskunftsprozess:

• ☐ Haben Sie einen Prozess für Auskunftsersuchen?
• ☐ Ist klar, wer zuständig ist?
• ☐ Können Sie innerhalb eines Monats antworten?
• ☐ Haben Sie eine Vorlage für Auskünfte?

Indirekte Erhebung:

• ☐ Liste: Welche Daten erheben Sie aus externen Quellen?
• ☐ Prozess: Wie informieren Sie Betroffene?
• ☐ Dokumentation: Wann wurde wer informiert?

Typische Fehler vermeiden

Fehler 1: “Rechtsabteilung” statt verständlich

Falsch: "Die Verarbeitung erfolgt gem. Art. 6 Abs. 1 lit. f DSGVO 
zur Wahrung berechtigter Interessen."

Richtig: "Wir nutzen Ihre Daten, um Ihnen passende Produktempfehlungen 
zu zeigen. Das ist erlaubt, weil unser Interesse daran Ihre Rechte 
nicht überwiegt (berechtigtes Interesse nach DSGVO)."

Fehler 2: Versteckte Datenschutzerklärung

Falsch: Klein im Footer: "Datenschutz"

Richtig: Gut sichtbar im Footer und Header: "Datenschutzerklärung"
Bei Formularen: Direkt beim Absende-Button Link zur Datenschutzerklärung

Fehler 3: Allgemeine Zwecke

Falsch: "Zur Verbesserung unseres Angebots"

Richtig: "Um zu sehen, welche Seiten unserer Website am häufigsten 
besucht werden, nutzen wir Google Analytics. So können wir beliebte 
Inhalte ausbauen."

Fehler 4: Fehlende Updates

Problem: Sie nutzen seit Monaten ein neues Newsletter-Tool, aber 
es steht nicht in der Datenschutzerklärung.

Lösung: Datenschutzerklärung aktualisieren, sobald sich etwas ändert.
Tipp: Quartalsweiser Check als Erinnerung einrichten.

Fehler 5: Keine Information bei indirekter Erhebung

Beispiel: Sie kaufen Adressen für B2B-Marketing.

Falsch: Direkt anrufen ohne vorherige Info.

Richtig: 
1. E-Mail mit Datenschutzinfos verschicken
2. Oder: Brief mit Opt-Out-Möglichkeit
3. Erst danach Kontakt aufnehmen

Mögliche Konsequenzen bei Verstößen

Bei CEF-Prüfungen drohen:

• Verwarnung
• Anordnung zur Nachbesserung
• Geldbußen (bei Art. 12-14: bis zu 20 Mio. Euro oder 4% vom Jahresumsatz)
• Öffentliche Bekanntmachung

Typische Strafen für Transparenzverstöße:

• Fehlende/unvollständige Datenschutzerklärung: 5.000-50.000 Euro
• Keine Reaktion auf Auskunftsersuchen: 10.000-100.000 Euro
• Systematische Verstöße bei indirekter Erhebung: 50.000-500.000 Euro

So nutzen Sie die Zeit bis 2026

Q4 2025 / Q1 2026:

1. Vollständigkeits-Check: Ist Ihre Datenschutzerklärung komplett?
2. Verständlichkeits-Check: Kann ein Laie sie verstehen?
3. Prozess-Check: Funktioniert Ihr Auskunftsprozess?

Q2 2026:

• Interne Schulung zu Transparenzpflichten
• Testlauf: Mitarbeiter sendet sich selbst Auskunftsersuchen
• Dokumentation: Wie gehen wir mit Anfragen um?

Österreich macht mit:
Die österreichische Datenschutzbehörde hat bestätigt, dass sie sich an der CEF-Aktion 2026 beteiligen wird. Details werden noch bekanntgegeben.

Neue Angemessenheitsbeschlüsse: Was ändert sich bei Datenübermittlungen?

Die EU-Kommission hat 2025 wichtige Entscheidungen zu internationalen Datenübermittlungen getroffen.

Was ist ein Angemessenheitsbeschluss?

Ein Angemessenheitsbeschluss nach Art. 45 DSGVO ist eine offizielle Feststellung der EU-Kommission, dass ein Drittland (oder eine internationale Organisation) ein angemessenes Datenschutzniveau bietet.

Vorteil: Datenübermittlung in dieses Land ist ohne zusätzliche Garantien möglich – als wäre es ein EU-Mitgliedstaat.

Ohne Angemessenheitsbeschluss brauchen Sie:

• Standardvertragsklauseln (SCCs)
• Binding Corporate Rules
• Oder andere Garantien nach Art. 46 DSGVO

Neu: Europäische Patentorganisation (EPO)

Seit: 15. Juli 2025

Bedeutung: Erstmals wurde ein Angemessenheitsbeschluss für eine internationale Organisation (nicht einen Staat) erlassen.

Was bedeutet das für KMUs?
Wenn Sie Patente anmelden oder mit der EPO zusammenarbeiten:

• Datenübermittlung ist unkompliziert möglich
• Keine zusätzlichen Verträge nötig
• EPO-Datenschutzrahmen ist DSGVO-ähnlich

Praktische Relevanz: Eher gering für die meisten KMUs, aber wichtig für forschungsintensive Unternehmen.

Verlängerung: Vereinigtes Königreich

Status: Bis 27. Dezember 2025 verlängert

Hintergrund:

• Ursprüngliche Angemessenheitsbeschlüsse von Juni 2021 liefen aus
• UK reformiert gerade sein Datenschutzrecht
• EU-Kommission will Reform erst prüfen, bevor sie dauerhaft entscheidet

Was bedeutet das für KMUs?

Aktuell (bis Ende Dezember 2025):

• Datenübermittlung nach UK ohne Zusatzmaßnahmen möglich
• Gilt für DSGVO und Strafverfolgungsrichtlinie

Ab 2026:

• Unsicherheit: Weitere Verlängerung oder neuer Beschluss?
• Vorbereitet sein: Standardvertragsklauseln (SCCs) vorbereiten
• Worst Case: UK-Angemessenheitsbeschluss läuft aus

Praktische Relevanz:

• Wenn Sie mit UK-Dienstleistern arbeiten (z.B. Cloud-Anbieter)
• Wenn Sie UK-Kunden haben
• Wenn Sie UK-Mitarbeiter beschäftigen

Was ist ein Transfer Impact Assessment (TIA)?
Seit dem Schrems-II-Urteil des EuGH müssen Sie bei Drittland-Übermittlungen prüfen, ob das Datenschutzniveau tatsächlich angemessen ist – auch bei Standardvertragsklauseln. Das TIA dokumentiert diese Prüfung.

Kommend: Brasilien

Status: Vorschlag liegt vor, Beschluss steht noch aus (Stand: Dezember 2025)

Hintergrund:

• Brasilien hat 2020 ein DSGVO-ähnliches Datenschutzgesetz erlassen (LGPD)
• EU-Kommission prüft Angleichung seit 2023
• EDSA hat positiv Stellung genommen (November 2025)

Was bedeutet das für KMUs?
Sobald der Beschluss kommt (vermutlich Q1 2026):

• Datenübermittlung nach Brasilien vereinfacht
• Wichtig für Unternehmen mit brasilianischen Tochtergesellschaften
• Oder: Zusammenarbeit mit brasilianischen Dienstleistern

Praktische Relevanz:

• Eher gering für österreichische KMUs
• Aber: Brasilien ist wichtiger Markt für bestimmte Branchen (Tech, E-Commerce)

Übersicht: Aktuelle Angemessenheitsbeschlüsse

Staaten mit Angemessenheitsbeschluss:

• Andorra
• Argentinien
• Kanada (nur kommerzieller Bereich)
• Färöer-Inseln
• Guernsey
• Isle of Man
• Israel
• Japan
• Jersey
• Neuseeland
• Republik Korea (Südkorea)
• Schweiz
• Vereinigtes Königreich (bis Ende 2025)
• Uruguay

Internationale Organisationen:

• Europäische Patentorganisation (EPO) – NEU seit Juli 2025

Kommend:

• Brasilien (Beschluss erwartet Q1 2026)

Wichtig: USA hat einen Angemessenheitsbeschluss im Rahmen des Data Privacy Framework (DPF), aber nur für zertifizierte Unternehmen.

Praktische Checkliste: Internationale Datenübermittlungen

Schritt 1: Wo übermitteln Sie Daten hin?

Liste erstellen:
- Cloud-Anbieter (wo stehen Server?)
- Newsletter-Tools (Sitz des Anbieters?)
- CRM-Systeme
- Zahlungsdienstleister
- Analyse-Tools (Google Analytics → USA!)

Schritt 2: Liegt ein Angemessenheitsbeschluss vor?

Ja → Keine weiteren Maßnahmen nötig (aber dokumentieren!)
Nein → Schritt 3

Schritt 3: Welche Garantien nutzen Sie?

Optionen:
- Standardvertragsklauseln (SCCs) mit Anbieter abschließen
- Data Privacy Framework (nur USA, nur zertifizierte Unternehmen)
- Binding Corporate Rules (nur für Konzerne)
- Einwilligung (nur in Ausnahmefällen)

Schritt 4: Transfer Impact Assessment (TIA)

Prüfen Sie:
- Rechtslage im Drittland (Zugriff durch Behörden?)
- Zusätzliche Schutzmaßnahmen (Verschlüsselung etc.)
- Gibt es Alternativlösungen? (EU-Anbieter?)

Schritt 5: Dokumentieren

Halten Sie fest:
- An wen übermitteln Sie welche Daten?
- Auf welcher Rechtsgrundlage?
- Welche Garantien existieren?
- Ergebnis des TIA
- Datum der Prüfung

Typische Probleme und Lösungen

Problem 1: Google Analytics

• Google LLC hat Sitz in USA
• Datenübermittlung in die USA erfolgt
• Lösung: Google ist DPF-zertifiziert, aber trotzdem TIA durchführen
• Alternative: EU-basierte Analysetools (Matomo, Plausible, Simple Analytics)

Problem 2: Microsoft 365

• Microsoft Corp. hat Sitz in USA
• Standardvertragsklauseln vorhanden
• Lösung: EU-Rechenzentren nutzen + TIA durchführen
• Tipp: Microsoft 365 kann so konfiguriert werden, dass Daten in EU bleiben

Problem 3: Newsletter-Tools (Mailchimp, etc.)

• Viele beliebte Tools haben Sitz in USA
• Lösung: Entweder DPF-Zertifizierung prüfen oder auf EU-Alternative umsteigen
• Alternativen: CleverReach (Deutschland), Mailjet (Frankreich), Brevo/Sendinblue (Frankreich)

Problem 4: Social Media Plugins

• Facebook, Instagram, TikTok: Datenübermittlung bei Einbindung
• Lösung: 2-Klick-Lösung (Plugin lädt erst nach Einwilligung)
• Noch besser: Verzicht auf direkte Einbindung, nur Links

Tool-Tipp:
Der adsimple Datenschutz-Generator berücksichtigt automatisch internationale Datenübermittlungen und gibt entsprechende Hinweise in Ihrer Datenschutzerklärung.

Wichtige Gerichtsentscheidungen für die Praxis

BVwG: Ordnungsstrafe für beleidigende Eingaben

Erkenntnis: 7. Oktober 2025, W137 2307782-1

Der Fall

Eine Person stellte ein Auskunftsbegehren an die Datenschutzbehörde. Die Formulierungen enthielten:

• Beschimpfungen gegen Behördenmitarbeiter
• Vorwürfe schwerer charakterlicher Mängel
• Unterstellungen strafrechtlich relevanten Fehlverhaltens

Die DSB verhängte eine Ordnungsstrafe von 450 Euro nach § 34 Abs. 3 AVG (Allgemeines Verwaltungsverfahrensgesetz).

Die Entscheidung des BVwG

Das BVwG bestätigte die Ordnungsstrafe und stellte klar:

1. Auskunftsbegehren sind “Eingaben”:
Auch Anträge nach dem Auskunftspflichtgesetz oder Informationsfreiheitsgesetz fallen unter § 34 AVG.

2. Objektive Beleidigung reicht:

• Es kommt nicht auf die Absicht an
• Auch “milieu-bedingte Sprachwahl” ist kein Entschuldigungsgrund
• Mindestanforderungen des Anstands müssen gewahrt bleiben

3. Keine Analogie zum Strafrecht:
Die Maßstäbe des Strafrechts gelten hier nicht – es geht um Verwaltungsverfahren.

Was bedeutet das für KMUs?

Bei Auskunftsersuchen oder Beschwerden:

Sachlich bleiben:

• Auch wenn Sie frustriert sind: Höflich formulieren
• Kritik ist erlaubt, Beleidigungen nicht
• Fokus auf Sachargumente

Vermeiden:

• Persönliche Angriffe auf Mitarbeiter
• Unterstellungen ohne Beweise
• Übermäßig emotionale Sprache
• Drohungen

Beispiele:

✓ Gut: "Ich bin mit der Bearbeitung meines Auskunftsersuchens 
unzufrieden, da die Antwort unvollständig ist. Bitte ergänzen 
Sie folgende Punkte..."

✗ Schlecht: "Ihre inkompetenten Mitarbeiter haben wieder 
einmal bewiesen, dass Sie von Datenschutz keine Ahnung haben..."

VfGH: Datenschutz vs. Informationsfreiheit bei juristischen Personen

Erkenntnis: 7. Oktober 2025, G 62/2025

Der Fall

Ein Journalist wollte im Zusammenhang mit möglicher Sanktionsumgehung gegen Russland Daten aus dem Wirtschaftliche Eigentümer Register (WiEReG) einsehen. Ihm wurde der Zugang zu bestimmten Informationen verwehrt.

Was ist das WiEReG?
Das Wirtschaftliche Eigentümer Register erfasst, wer hinter Unternehmen, Stiftungen und Vereinen steckt (“wirtschaftliche Eigentümer”). Ziel: Geldwäsche und Terrorismusfinanzierung verhindern.

Die Entscheidung des VfGH

Der Verfassungsgerichtshof stellte fest:
Die Verweigerung des Zugangs für Journalisten zu bestimmten WiEReG-Daten war verfassungswidrig.

Interessenabwägung:

• Informationsfreiheit (Art. 10 EMRK) der Journalisten
• vs. Datenschutz (Art. 8 EMRK, § 1 DSG) der Unternehmen

Ergebnis:

• Informationsinteresse von Journalisten (“Public Watchdogs”) wiegt schwerer
• Datenschutz von hauptsächlich juristischen Personen (Unternehmen) wiegt leichter

Wichtig: Es geht hier um Unternehmen, Vereine, Stiftungen – nicht um natürliche Personen.

Was bedeutet das für KMUs?

1. Transparenzpflichten nehmen zu:
Informationen über Ihr Unternehmen können künftig leichter öffentlich gemacht werden – gerade wenn öffentliches Interesse besteht.

2. Juristische vs. natürliche Personen:
Der Datenschutz von Unternehmen wird vom VfGH als weniger schützenswert eingestuft als der von Privatpersonen.

Praktische Auswirkungen:

• WiEReG-Daten: Können für Recherchen genutzt werden
• Firmenbuchdaten: Ohnehin öffentlich
• Bei Förderungen: Transparenzdatenbank zeigt, wer wieviel erhält
• Bei öffentlichen Aufträgen: Informationen sind leichter zugänglich

Was können Sie tun?

• Wenig – die Transparenzpflichten sind gesetzlich vorgegeben
• Aber: Bereiten Sie sich auf mögliche Anfragen vor
• Halten Sie Ihre öffentlichen Daten aktuell
• Bei kritischen Themen: Proaktive Kommunikation ist besser als Gerüchte

VwGH: Keine gesetzliche Grundlage nötig bei Einwilligung

Beschluss: 1. August 2025, Ra 2023/04/0058-5

Der Fall

Ein Wasserverband betrieb intelligente Wasserzähler. Die DSB untersagte dies zunächst, weil eine gesetzliche Grundlage fehlte.

Argument der DSB: Als “Verantwortlicher des öffentlichen Bereichs” benötigt der Wasserverband eine gesetzliche Ermächtigung.

Argument des Wasserverbands: Die Kunden haben eingewilligt.

Das BVwG hob die Entscheidung der DSB auf – der Wasserverband hatte Einwilligungen.

Die Klarstellung des VwGH

Der VwGH bestätigte die Rechtsauffassung des BVwG:

Eine gesetzliche Grundlage ist nur dann erforderlich, wenn:

1. Keine Einwilligung der betroffenen Personen vorliegt, UND
2. Kein lebenswichtiges Interesse der betroffenen Person gegeben ist

Aber: Der Verantwortliche muss das Vorliegen der Einwilligung jederzeit nachweisen können.

Was bedeutet das für KMUs?

Wichtige Erkenntnis:
Auch wenn Sie als öffentliche Stelle (oder für öffentliche Stellen) tätig sind, können Sie sich auf Einwilligungen stützen – eine spezielle gesetzliche Ermächtigung ist dann nicht nötig.

Aber Vorsicht:

1. Freiwilligkeit muss gegeben sein:

• Bei Behörden oft problematisch (Machtungleichgewicht)
• Bei Verträgen: Einwilligung darf nicht Vertragsbedingung sein (Kopplungsverbot)

2. Nachweis ist Ihre Pflicht:

• Dokumentieren Sie die Einwilligung
• Am besten: Schriftlich oder elektronisch protokolliert
• Inhalt: Zweck, Widerrufsmöglichkeit, Freiwilligkeit

3. Widerruf ist jederzeit möglich:

• Betroffene können Einwilligung zurückziehen
• Dann müssen Sie die Verarbeitung stoppen
• (Außer: Andere Rechtsgrundlage greift)

Praktisches Beispiel:
Wenn Sie als Gemeinde oder kommunales Unternehmen Smart-Meter, intelligente Beleuchtung oder ähnliches einsetzen wollen:

• Einwilligung der Betroffenen einholen (kann ausreichen)
• Aber: Saubere Dokumentation ist unerlässlich
• Freiwilligkeit muss glaubhaft sein
• Bei Zweifeln: Rechtliche Beratung einholen

Praktischer Leitfaden: DSGVO-Compliance für österreichische KMUs

Nach all diesen Entwicklungen und Entscheidungen: Was sollten Sie als österreichisches KMU jetzt konkret tun?

Sofortmaßnahmen (bis Ende 2025)

1. Website-Check (2 Stunden)

Datenschutzerklärung:

• ☐ Auf jeder Seite verlinkt?
• ☐ Aktuell (alle Tools aufgeführt)?
• ☐ Verständlich formuliert?
• ☐ Alle Pflichtangaben nach Art. 13 DSGVO?

Tool: adsimple Datenschutz-Generator – generiert vollständige, aktuelle Datenschutzerklärung

Cookies:

• ☐ Cookie-Banner vorhanden?
• ☐ Echte Wahlmöglichkeit (“Ablehnen” einfach wie “Akzeptieren”)?
• ☐ Werden nicht-notwendige Cookies erst nach Einwilligung geladen?
• ☐ Cookie-Liste in Datenschutzerklärung aktuell?

Tool: Borlabs Cookie, Real Cookie Banner, Complianz

2. Videoüberwachungs-Check (1 Stunde)

Falls Sie Kameras betreiben:

• ☐ Hinweisschilder VOR dem überwachten Bereich?
• ☐ Öffentliche Bereiche ausgeblendet?
• ☐ Speicherdauer max. 72 Stunden (außer Sicherheitsvorfall)?
• ☐ Mitarbeiterbereiche nur bei zwingendem Grund?
• ☐ Interessenabwägung dokumentiert?

Bei Mängeln: Sofort beheben – die DSB prüft verstärkt

3. Cloud-Dienste-Check (2 Stunden)

Listen Sie alle Cloud-Dienste auf:

• ☐ Wo stehen die Server (EU, USA, andere)?
• ☐ Auftragsverarbeitervertrag (AVV) vorhanden?
• ☐ Bei Drittland: Angemessenheitsbeschluss oder SCCs?
• ☐ Transfer Impact Assessment durchgeführt?

Kritische Dienste:

• Google Workspace / Microsoft 365
• Newsletter-Tools (Mailchimp → USA)
• CRM-Systeme (HubSpot, Salesforce → USA)
• Analyse-Tools (Google Analytics → USA)

Action: Fehlende AVVs anfordern, TIA durchführen

4. UK-Daten-Check (1 Stunde)

Bis 27. Dezember 2025:

• ☐ Liste: Welche Daten gehen nach UK?
• ☐ Wichtigkeit: Geschäftskritisch oder verzichtbar?
• ☐ Vorbereitung: SCCs mit UK-Partnern ready?

Strategie:

• Geschäftskritische UK-Verbindungen: SCCs jetzt vorbereiten
• Weniger wichtig: Abwarten, ob Verlängerung kommt

Mittelfristige Maßnahmen (Q1-Q2 2026)

5. Transparenz-Offensive (vor CEF 2026)

Vorbereitung auf koordinierte Prüfung:

• ☐ Alle Informationspflichten umgesetzt?
• ☐ Auskunftsprozess getestet?
• ☐ Mitarbeiter geschult?
• ☐ Dokumentation vollständig?

Schulung (1-2 Stunden):

• Was sind Betroffenenrechte?
• Wie reagieren wir auf Auskunftsersuchen?
• Wo finden Mitarbeiter Unterstützung?

6. Verarbeitungsverzeichnis aktualisieren

Was ist das Verarbeitungsverzeichnis?
Nach Art. 30 DSGVO müssen Sie dokumentieren:

• Welche Verarbeitungstätigkeiten führen Sie durch?
• Zu welchen Zwecken?
• Welche Kategorien von Daten?
• Welche Empfänger?
• Welche Löschfristen?

Wer muss es führen?

• Unternehmen mit 250+ Mitarbeitern: Immer
• Kleinere Unternehmen: Nur bei regelmäßiger Verarbeitung oder sensiblen Daten

Realistisch: Fast jedes Unternehmen braucht es

Aufwand: 2-4 Stunden initial, dann jährliches Update

Vorlage: Österreichische DSB stellt Muster zur Verfügung

7. Auftragsverarbeiterverträge (AVVs) checken

Mit wem brauchen Sie AVVs?

• Webhoster
• Cloud-Anbieter (Dropbox, Google Drive etc.)
• Newsletter-Tools
• CRM-Systeme
• Buchhaltungssoftware (wenn Cloud-basiert)
• Lohnverrechner
• IT-Dienstleister mit Zugriff auf Ihre Systeme

Checkliste pro AVV:

• ☐ Schriftlich vorhanden?
• ☐ Alle Pflichtinhalte nach Art. 28 DSGVO?
• ☐ Von beiden Seiten unterschrieben?
• ☐ Aktuell (bei Änderungen angepasst)?

Fehlende AVVs:
Kontaktieren Sie Ihre Dienstleister – die meisten bieten Standard-AVVs an.

Langfristige Strategie (2026+)

8. DSGVO-Reform beobachten

Was kommt möglicherweise?

• Neue Cookie-Regelungen in der DSGVO
• KI-spezifische Verarbeitungsgrundlagen
• Vereinfachungen für KMUs?
• Strengere Vorgaben für bestimmte Technologien

Handlung: Nicht jetzt schon umsetzen, aber im Hinterkopf behalten.

Information:

• Newsletter der DSB abonnieren
• adsimple-Blog folgen
• 1x jährlich Datenschutz-Update durchführen

9. Datenschutz-Kultur etablieren

Über Compliance hinaus:

• Datenschutz als Wettbewerbsvorteil nutzen
• “Privacy by Design”: Datenschutz von Anfang an mitdenken
• Mitarbeiter sensibilisieren
• Kunden-Vertrauen aufbauen

Praxis-Tipps:

• Jährliche kurze Schulung (1 Stunde)
• Datenschutz in Produktentwicklung integrieren
• “Datenschutz-Champion” im Team benennen
• Bei Unsicherheit: Externe Expertise einholen

10. Incident Response Plan

Was ist das?
Ein Plan, wie Sie auf Datenpannen (Data Breaches) reagieren:

• Wer ist zuständig?
• Wie wird der Vorfall bewertet?
• Wann muss die DSB informiert werden? (innerhalb 72h!)
• Wann müssen Betroffene informiert werden?
• Wie dokumentieren wir?

Warum wichtig?
Im Ernstfall haben Sie keine Zeit, nachzudenken. Mit Plan reagieren Sie schnell und korrekt.

Aufwand: 2-3 Stunden, einmalig (dann nur aktualisieren)

Vorlage: DSB stellt Muster zur Verfügung

Kosten-Nutzen-Analyse: Lohnt sich DSGVO-Compliance?

Eine ehrliche Betrachtung für österreichische KMUs:

Die Kosten

Einmalig:

• Datenschutz-Generator: ca. 100-500 Euro
• Cookie-Consent-Tool: ca. 50-300 Euro
• Verarbeitungsverzeichnis erstellen: 4 Stunden Eigenzeit oder 500-1.000 Euro extern
• AVV-Check und -Beschaffung: 2-4 Stunden
• Website-Anpassungen: 2-8 Stunden
• Gesamt einmalig: ca. 1.000-3.000 Euro (oder Eigenleistung)

Jährlich:

• Datenschutz-Generator: 100-200 Euro/Jahr
• Cookie-Tool: 50-200 Euro/Jahr
• Schulungen: 2 Stunden/Mitarbeiter
• Updates und Checks: 4-8 Stunden/Jahr
• Gesamt jährlich: ca. 500-1.000 Euro (oder Eigenleistung)

Optional:

• Externer Datenschutzbeauftragter: 1.000-5.000 Euro/Jahr (abhängig von Unternehmensgröße)
• Datenschutz-Audit: 2.000-10.000 Euro (einmalig)

Die Risiken ohne Compliance

DSGVO-Strafen (Beispiele aus 2025):

• Tesla Dashcam: 600 Euro
• Bäckerei-Videoüberwachung: 33.500 Euro
• IKEA Videoüberwachung: 1,5 Millionen Euro
• Typischer Bereich für KMUs: 5.000-50.000 Euro

Weitere Risiken:

• Abmahnungen von Wettbewerbern (selten, aber möglich)
• Schadensersatzforderungen von Betroffenen (Art. 82 DSGVO)
• Reputationsschaden
• Kundenvertrauen leidet

Wahrscheinlichkeit einer Strafe:

• Bei offensichtlichen Verstößen: Mittel bis hoch
• Bei Beschwerden: Hoch (DSB muss nachgehen)
• Bei Zufallsprüfungen: Gering (aber steigend mit CEF)

Der Nutzen

Direkt messbar:

• Vermeidung von Strafen (siehe oben)
• Keine Unterlassungsansprüche
• Keine Schadensersatzforderungen

Indirekt:

• Kundenvertrauen (“Wir nehmen Datenschutz ernst”)
• Wettbewerbsvorteil (gerade in EU vs. US-Anbieter)
• Bessere Prozesse (Nebeneffekt: Datenschutz zwingt zu Struktur)
• Vorbereitet auf Wachstum (bei Skalierung nicht alles neu machen)
• Attraktiv für Partner/Investoren (Due Diligence)

Das Fazit

Rechnung für typisches KMU (20 Mitarbeiter, 1 Mio. Umsatz):

Investition Jahr 1: 2.000 Euro (mit Eigenleistung: 500 Euro)
Jährliche Kosten: 800 Euro (mit Eigenleistung: 200 Euro)

Mögliche Strafe bei Verstoß: 5.000-50.000 Euro
Durchschnitt: 15.000 Euro

→ Compliance ist günstiger als Strafe
→ Bereits nach einem vermiedenen Verstoß hat es sich gelohnt

Zusätzlich:

• Imagegewinn
• Strukturiertere Prozesse
• Weniger Stress im Alltag (keine Angst vor Beschwerden)

Ihr Aktionsplan: Die nächsten Schritte

Diese Woche (Aufwand: 2-3 Stunden)

1. Website-Check:
   • ☐ Ist Datenschutzerklärung aktuell?
   • ☐ Funktioniert Cookie-Banner richtig?
2. Quick-Wins:
   • ☐ Fehlende Hinweisschilder bestellen (bei Videoüberwachung)
   • ☐ AVV-Liste erstellen: Welche fehlen?
3. Newsletter abonnieren:
   • ☐ Österreichische Datenschutzbehörde
   • ☐ adsimple.at Blog

Dieser Monat (Aufwand: 1 Tag)

1. Vollständiger Datenschutz-Check:
   • Alle Punkte aus “Sofortmaßnahmen” abarbeiten
   • adsimple Datenschutz-Generator nutzen
   • Fehlende AVVs anfordern
2. UK-Vorbereitung:
   • Liste UK-Datenflüsse
   • SCCs vorbereiten (bei wichtigen Verbindungen)
3. Interne Kommunikation:
   • Team über wichtigste Datenschutz-Regeln informieren
   • Zuständigkeiten klären (wer beantwortet Auskunftsersuchen?)

Q1 2026 (Aufwand: 2-3 Tage)

1. CEF-Vorbereitung:
   • Transparenz-Check nach obiger Checkliste
   • Auskunftsprozess testen
   • Mitarbeiter-Schulung (1-2 Stunden)
2. Verarbeitungsverzeichnis:
   • Erstellen oder aktualisieren
   • Mit aktuellen Dienstleistern abgleichen
3. Dokumentation:
   • TIA für Drittland-Übermittlungen
   • Incident Response Plan erstellen

Laufend (quartalsweise)

• Q1: Datenschutzerklärung aktualisieren, UK-Situation prüfen
• Q2: CEF 2026 beobachten, interne Schulung auffrischen
• Q3: Verarbeitungsverzeichnis aktualisieren, neue Dienstleister prüfen
• Q4: Jahres-Datenschutz-Check, DSGVO-Reform-Updates checken

Nützliche Links und Ressourcen

Behörden

• Österreichische Datenschutzbehörde: https://www.dsb.gv.at
• Europäischer Datenschutzausschuss (EDSA): https://edpb.europa.eu
• EU-Kommission Datenschutz: https://ec.europa.eu/info/law/law-topic/data-protection_de

Tools und Generator

• adsimple Datenschutz-Generator: https://www.adsimple.at/datenschutz-generator
• Cookie-Consent-Checker: https://www.adsimple.at/cookie-consent-checker
• DSGVO-Checkliste: https://www.dsb.gv.at/checkliste

Leitfäden

• DSB Informationsfreiheitsgesetz: https://dsb.gv.at/informationsfreiheitsgesetz
• DSB Videoüberwachung: https://www.dsb.gv.at/videoueberwachung
• DSB Verarbeitungsverzeichnis (Vorlage): https://www.dsb.gv.at/verarbeitungsverzeichnis
• WKO Datenschutz-Leitfaden: https://www.wko.at/datenschutz

Newsletter & Updates

• DSB Newsletter: https://www.dsb.gv.at/newsletter
• adsimple Blog: https://www.adsimple.at/blog
• EDSA Newsletter (Englisch): https://edpb.europa.eu/newsletter

Fazit: Datenschutz als Chance begreifen

Die Entwicklungen im Datenschutz 2025 zeigen: Das Thema bleibt dynamisch und die Anforderungen steigen. Gleichzeitig wird deutlich, dass die Behörden es ernst meinen – die Strafen werden höher, die Prüfungen gezielter.

Aber: DSGVO-Compliance ist kein Hexenwerk. Mit den richtigen Tools, etwas Zeiteinsatz und einer strukturierten Herangehensweise ist sie für jedes österreichische KMU machbar.

Die wichtigsten Erkenntnisse:

1. Transparenz wird 2026 geprüft – nutzen Sie die Zeit zur Vorbereitung
2. Videoüberwachung bleibt Risiko Nr. 1 – prüfen Sie bestehende Anlagen
3. Cookie-Banner müssen echt funktionieren – nicht nur schön aussehen
4. Bei Konzernzugehörigkeit drohen höhere Strafen – Compliance ist Chefsache
5. UK-Situation bleibt unsicher – bereiten Sie SCCs vor

Sie brauchen Unterstützung?

Das Team von adsimple.at hilft österreichischen Unternehmen seit Jahren bei der DSGVO-Compliance – mit praktischen Tools, verständlichen Erklärungen und ohne Juristendeutsch.

➡️ Jetzt Datenschutzerklärung erstellen
➡️ Mehr über adsimple erfahren
➡️ Kontakt aufnehmen

Haben Sie Fragen zu diesem Beitrag oder benötigen Sie Unterstützung bei Ihrer Datenschutz-Compliance? Schreiben Sie uns – wir helfen gerne weiter!

Aktualisiert: Dezember 2025 | Quelle: Newsletter der österreichischen Datenschutzbehörde Nr. 3/2025