Ist eine Datenschutzerklärung für jede österreichische Website Pflicht?

Ja. Art. 13 DSGVO verpflichtet jede Verantwortliche, die personenbezogene Daten erhebt, zur Information der betroffenen Personen. Das österreichische DSG (BGBl. I Nr. 165/1999 idgF) ergänzt die DSGVO national. Schon das Speichern von IP-Adressen in Server-Logs löst die Informationspflicht aus. Eine reine Visitenkarten-Site ohne Tracking ist die Ausnahme, nicht die Regel.

Was passiert, wenn die Datenschutzerklärung fehlt?

Verstöße gegen Art. 13 DSGVO können nach Art. 83 Abs. 5 DSGVO mit Geldbußen bis EUR 20 Mio. oder 4 Prozent des weltweiten Jahresumsatzes geahndet werden. In der österreichischen Praxis verhängt die DSB allerdings deutlich niedrigere Bußen. Typische DSB-Bescheide für KMU bewegen sich im Bereich EUR 1.000 bis 10.000. Daneben können der VKI § 28a KSchG-Verbandsklagen einbringen.

Muss ich die Datenschutzerklärung aktualisieren, wenn ich neue Tools einbinde?

Ja. Die Datenschutzerklärung muss den aktuellen Verarbeitungsstand widerspiegeln (Grundsatz der Transparenz, Art. 5 Abs. 1 lit. a DSGVO). Neue Analysetools, ein neuer Newsletter-Versender, ein Wechsel des Hosters, eine zusätzliche Drittanbieter-Integration. Alles erfordert eine zeitnahe Aktualisierung der Erklärung.

Reicht ein Generator-Text für die Datenschutzerklärung?

Nur wenn er auf Ihre Website passt und auf österreichisches Recht. Viele frei verfügbare Generatoren produzieren deutsche Texte mit BDSG- und TTDSG-Verweisen, die in Österreich nicht passen. Korrekt sind Verweise auf das DSG, § 165 TKG 2021 für Cookies und die DSB als Aufsichtsbehörde. Generierte Texte müssen außerdem an die tatsächlich genutzten Dienste angepasst werden.

DSGVO & Datenschutz

Datenschutzerklärung Pflicht: Was AT-Websites brauchen

Steven | TrustYourWebsite · 10. Mai 2026 · Zuletzt aktualisiert: Mai 2026

Stand: 12. Mai 2026 · Steven | TrustYourWebsite

Eine Datenschutzerklärung ist auf jeder Website Pflicht, die personenbezogene Daten verarbeitet. Das ist faktisch jede österreichische Website. Schon Server-Logs mit IP-Adressen sind eine Verarbeitung im Sinne der DSGVO. Was viele Generator-Texte nicht abbilden: Österreich hat nationale Ergänzungen zur DSGVO, die in der Erklärung erkennbar sein müssen. Die Aufsichtsbehörde heißt nicht „BfDI" oder „LfDI", sondern DSB.

Wenn Sie zuerst wissen wollen, welche externen Dienste Ihre Site lädt, prüfen Sie sie mit unserem kostenlosen Compliance-Scanner für Österreich. Der Scan dauert zwei Minuten und nennt die Domains, die in Ihrer Datenschutzerklärung erwähnt sein sollten.

Dieser Artikel erklärt die Pflichtangaben, die typischen Lücken in importierten DE-Vorlagen und die häufigsten Beanstandungen der DSB.

Die Pflichtangaben nach Art. 13 DSGVO im Überblick

Die folgende Liste fasst die zwingenden Informationen für jede österreichische Website zusammen. Fehlt einer dieser Punkte, ist die Belehrungspflicht aus Art. 13 DSGVO nicht erfüllt.

Pflichtangabe	Beispielformulierung	Häufige Lücke
Name und Anschrift der/des Verantwortlichen	„Muster GmbH, 1010 Wien, Firmenbuchnummer FN 123456a"	Nur Marke genannt, keine Rechtsperson
Kontaktdaten Datenschutzbeauftragte/-r (falls bestellt)	„dpo@muster.at"	Pflichtprüfung nach Art. 37 DSGVO fehlt
Verarbeitungszwecke und Rechtsgrundlage	„Newsletter, Art. 6 Abs. 1 lit. a DSGVO"	Pauschal „berechtigtes Interesse" ohne Abwägung
Empfänger oder Kategorien von Empfängern	„Stripe Payments Europe, Brevo, Hetzner Online"	„Dritte" ohne Namen
Drittlandübermittlung und Transferbasis	„Google LLC, USA, DPF-zertifiziert"	DPF behauptet ohne Eintrag-Verifikation
Speicherdauer oder Löschkriterium	„Server-Logs 30 Tage, Rechnungen 7 Jahre (§ 132 BAO)"	Floskel „solange erforderlich"
Betroffenenrechte nach Art. 15 bis 21 DSGVO	Auflistung mit Antwortfrist 1 Monat	Widerrufsrecht nach Art. 7 Abs. 3 fehlt
Beschwerderecht bei der DSB	Adresse und Link auf dsb.gv.at	Verweis auf BfDI statt DSB
Pflicht zur Bereitstellung der Daten	„Vertragsabschluss nicht möglich ohne ..."	Hinweis bei Pflichtfeldern fehlt
Automatisierte Entscheidungen (Art. 22)	„Wir nutzen keine automatisierten Entscheidungen"	Aussage fehlt komplett

Wer ist Verantwortliche/-r?

Name und Kontaktdaten der/des Verantwortlichen, typischerweise das Unternehmen, das die Website betreibt. Bei einer NL-Rechtsperson mit AT-Aktivität bleibt die NL-BV Verantwortliche. Die Adresse muss korrekt sein. Eine vorgeschützte österreichische Adresse einer ausländischen Rechtsperson ist als Identifikationsfehler verfolgbar.

Wenn Sie eine/-n Datenschutzbeauftragte/-n (DSB) benannt haben, Pflicht in den engeren Fällen des Art. 37 Abs. 1 DSGVO und § 5 DSG, muss deren Kontakt angegeben werden.

Welche Daten werden verarbeitet und warum?

Für jeden Verarbeitungsvorgang anzugeben:

Art der Daten (z. B. IP-Adressen, E-Mail-Adressen, Bestelldaten, Zahlungsdaten)
Zweck der Verarbeitung (Analyse, Vertragsabwicklung, Newsletter, Sicherheits-Logging)
Rechtsgrundlage nach Art. 6 DSGVO: Einwilligung (lit. a), Vertragserfüllung (lit. b), gesetzliche Verpflichtung (lit. c), berechtigtes Interesse (lit. f)
Empfänger, also welche Drittanbieter Daten erhalten (z. B. Stripe, Google Analytics, Brevo, Hosting-Provider)

Ergänzend ist § 1 Abs. 2 DSG zu nennen, wenn die Verarbeitung in das Grundrecht auf Datenschutz eingreift. Bei den meisten kommerziellen Websites ist das stillschweigend gegeben. Bei sensiblen Daten (Gesundheit, Religion, politische Überzeugung) braucht es eine ausdrückliche Begründung.

Internationale Datenübermittlungen

Wenn Daten außerhalb des EWR übermittelt werden, also Google Analytics auf US-Servern, AWS US-Instanzen, Meta Pixel, Brevo (EU/FR) oder Mailchimp (US), muss die Erklärung konkret den Empfänger und die Transferbasis nennen. Die folgende Matrix zeigt die typischen Konstellationen.

Drittland	Rechtsgrundlage	Zusatzanforderung
USA, DPF-zertifizierter Empfänger	Angemessenheitsbeschluss DPF	Eintrag auf dataprivacyframework.gov verifizieren
USA, nicht DPF-zertifiziert	EU-Standardvertragsklauseln (SCC)	Transfer Impact Assessment (TIA) dokumentieren
Vereinigtes Königreich	Angemessenheitsbeschluss UK 2021	Verlängerung bis 2025 prüfen
Schweiz	Angemessenheitsbeschluss CH 2000	Keine SCC nötig
Indien, sonstige Drittstaaten	SCC plus TIA	Ggf. zusätzliche Schutzmaßnahmen

Die DSB hat im Bescheid D213.679/0006-DSB/2021 vom 22. Dezember 2021 (Bescheid-PDF auf noyb.eu) als erste EU-Aufsichtsbehörde ein Google-Analytics-Setup gegen Art. 44 ff. DSGVO beanstandet. Die Entscheidung betraf eine Beschwerde von noyb gegen einen österreichischen Medizin-Verlag. Mit dem DPF-Angemessenheitsbeschluss vom 10. Juli 2023 hat sich die Lage geändert. Die DSB akzeptiert das DPF als Transferbasis, wenn der konkrete Empfänger DPF-zertifiziert ist und die Verarbeitung von der Zertifizierung erfasst ist.

Speicherdauer

Wie lange werden Daten gespeichert? Vage „solange gesetzlich erforderlich"-Formulierungen reichen der DSB nicht. Pro Datenkategorie sollten Sie nennen:

Eine konkrete Frist (z. B. „30 Tage für Server-Logs", „7 Jahre für Rechnungsdaten gemäß § 132 BAO und § 212 UGB")
Oder ein konkretes Löschkriterium (z. B. „bis zur Beendigung des Kundenverhältnisses plus Aufbewahrungsfristen")

Rechte der Betroffenen

Art. 13 Abs. 2 DSGVO verlangt explizit einen Hinweis auf:

Auskunftsrecht (Art. 15 DSGVO)
Recht auf Berichtigung (Art. 16)
Recht auf Löschung (Art. 17)
Recht auf Einschränkung der Verarbeitung (Art. 18)
Recht auf Datenübertragbarkeit (Art. 20)
Widerspruchsrecht (Art. 21)
Widerrufsrecht bei Einwilligungsbasis (Art. 7 Abs. 3)
Beschwerderecht bei der zuständigen Aufsichtsbehörde (Art. 77)

Die zuständige Aufsichtsbehörde in Österreich ist die Datenschutzbehörde (DSB), Barichgasse 40-42, 1030 Wien. Anders als in Deutschland mit 17 Datenschutz-Aufsichten (Bund plus 16 Länder plus ULD) gibt es in Österreich genau eine zentrale Stelle. Der Hinweis ist entsprechend einfacher zu formulieren.

Was in deutschen Generator-Texten oft falsch ist

Generator-Tools wie e-recht24.de, datenschutz-generator.de oder die WordPress-Plugins Borlabs Cookie und Real Cookie Banner produzieren solide deutsche Grundtexte. Importiert auf eine österreichische Site sind sie typischerweise an drei Stellen falsch:

DE-Vorlage	Korrekt für AT
§ 25 TTDSG bzw. § 25 DDG für Cookies	§ 165 Abs. 3 TKG 2021
BDSG (Bundesdatenschutzgesetz) als Ergänzung	DSG (Datenschutzgesetz, BGBl. I Nr. 165/1999 idgF)
BfDI / HmbBfDI / LfDI als Aufsicht	DSB (Datenschutzbehörde, Wien)
§ 7 UWG für Newsletter-Werbung	§ 174 TKG 2021 (parallel § 7 UWG-AT)
§ 312g und § 356 BGB für Widerrufsrecht	§§ 11, 18 FAGG (Rücktritt)
TMG für Impressum-Verweise	§ 5 ECG plus § 25 MedienG

Ein importierter DE-Text mit „BDSG" und „BfDI" ist für eine österreichische Site nicht nur Foreignness-Signal. Er macht die Beschwerderechts-Belehrung aus Art. 13 Abs. 2 lit. d DSGVO faktisch unwirksam. Nutzer:innen werden auf eine deutsche Behörde verwiesen, die für sie nicht zuständig ist.

Was in jeder Generator-Vorlage angepasst werden muss

Selbst korrekt für Österreich gelokalisierte Generator-Texte erfordern Anpassung an die tatsächlich auf Ihrer Site genutzten Dienste. Häufig vergessene Dienste:

Dienst	Was übermittelt wird	Muss erwähnt werden?
Google Fonts (extern)	IP-Adresse an Google	Ja
Google Maps eingebettet	IP, Standortdaten	Ja
YouTube-Einbettung	IP, Cookies	Ja
Cloudflare (CDN)	IP, HTTP-Header	Ja
Hosting-Provider (Hetzner, AWS, Azure)	Server-Logs, IP	Ja
Stripe / PayPal	Zahlungs- und Kontodaten	Ja
Brevo / Mailchimp / CleverReach	E-Mail-Adressen, Newsletter-Profile	Ja
Calendly / Cal.com	Buchungsdaten	Ja
Meta Pixel / TikTok Pixel	Conversion-Events, Nutzer-IDs	Ja
Hotjar / Microsoft Clarity	Session-Recordings, Klickpfade	Ja

Prüfen Sie Ihre Website mit dem kostenlosen Compliance-Scanner. Er erkennt extern geladene Domains und gibt Ihnen einen Anhaltspunkt, was in der Datenschutzerklärung erwähnt sein sollte.

Wo muss die Datenschutzerklärung stehen?

Wie das Impressum: „leicht erkennbar" erreichbar. Footer-Link auf jeder Seite, Linktext „Datenschutzerklärung" oder „Datenschutz". Vermeiden Sie „Rechtliches", „Hinweise" oder „Info" als alleinigen Linktext.

Besondere Pflicht bei Kontaktformularen. Beim Formular selbst muss ein kurzer Datenschutzhinweis stehen, der auf die vollständige Erklärung verweist. Beispiel: „Ihre Daten werden gemäß unserer [Datenschutzerklärung] verarbeitet." Die DSB hat in mehreren Verfahren Formulare beanstandet, bei denen weder vor dem Absende-Button noch in einer Tooltip-Information ein Datenschutzhinweis stand.

Bei Newsletter-Anmeldungen. Im Anmeldeformular muss die Verarbeitungsgrundlage (Einwilligung, Art. 6 Abs. 1 lit. a DSGVO plus § 174 TKG 2021) und der Empfänger (welcher E-Mail-Versender) erkennbar sein. Details in Newsletter und DSGVO in Österreich.

Verfahren bei der DSB und Sanktionen

Anders als in Deutschland gibt es in Österreich kein verbreitetes Abmahnwesen durch Wettbewerber für DSGVO-Verstöße. Die Hauptdurchsetzung läuft über zwei Wege:

DSB-Verfahren auf Beschwerde einer betroffenen Person:

Aufforderung zur Stellungnahme (typisch vier Wochen)
Verwaltungsstrafverfahren mit Bußgeld nach Art. 83 DSGVO bei festgestelltem Verstoß
Berufung an das BVwG möglich

VKI-Verbandsklagen nach § 28a KSchG, wenn eine fehlerhafte Datenschutzerklärung konsumentenrechtlich relevante Klauseln enthält.

DSB-Bußgelder für KMU bewegen sich in der bisherigen Praxis im Bereich EUR 1.000 bis 10.000 für reine Erklärungsmängel. Bei systematischer Datenverarbeitung ohne Einwilligung können sie deutlich höher ausfallen.

Kennzahl	Wert	Quelle
DSB-Bescheide mit Verwaltungsstrafe 2024	73	Datenschutzbericht 2024
Gesamtsumme verhängter Strafen 2024	EUR 1.684.230	Datenschutzbericht 2024
Typische KMU-Buße bei Erklärungsmängeln	EUR 1.000 bis 10.000	DSB-Spruchpraxis

Wann muss die Datenschutzerklärung aktualisiert werden?

Wenn Sie einen neuen Dienst (Analytics, Chat, CRM, Zahlungsanbieter, Newsletter) einbinden
Wenn sich der Empfängerstaat ändert (z. B. Wechsel von einem EU-Hoster zu einem US-Hoster)
Wenn sich die Übermittlungsgrundlage ändert (DPF-Zertifizierung des Empfängers verloren? SCC hinzugefügt?)
Wenn Sie Daten zu neuen Zwecken nutzen
Wenn die Rechtslage ändert (z. B. neue Richtlinien der DSB, EuGH-Urteile zu Drittstaaten)

Es gibt keine Pflicht zur jährlichen Aktualisierung. Die Erklärung muss aber immer den aktuellen Stand der tatsächlichen Verarbeitung widerspiegeln. In der Praxis ist eine halbjährliche Stichprobenprüfung sinnvoll: was hat das Marketing-Team neu eingebunden, was hat die Entwicklung in den letzten Monaten geändert.

Fazit

Eine Datenschutzerklärung ist kein einmal kopiertes Boilerplate, sondern ein lebendiges Dokument. In Österreich kommt hinzu, dass selbst gut gepflegte deutsche Vorlagen an drei systematischen Stellen falsch sind: TTDSG statt TKG, BDSG statt DSG, BfDI statt DSB. Die Korrektur dieser drei Stellen ist Pflicht. Die Anpassung an Ihre tatsächliche Verarbeitung ist die eigentliche Arbeit.

Prüfen Sie jetzt Ihre österreichische Website kostenlos mit dem Compliance-Scanner. Er listet, welche externen Dienste Ihre Website tatsächlich lädt, damit Ihre Datenschutzerklärung wirklich vollständig ist.

Artikel teilen

Ihre Website jetzt prüfen

Scannen Sie Ihre Website auf DSGVO & Datenschutz-Probleme und 30+ weitere Prüfungen.

Website kostenlos scannen

Website-Leitfäden

DSB-Verfahren wegen KI-gebauter Website: Wer zahlt?

Ihre Agentur hat mit Cursor oder Lovable gearbeitet. Bei DSGVO- oder Cookie-Verstößen sanktioniert die DSB Sie, nicht OpenAI. Was sich am 9.12.2026 ändert.

DSGVO-konformer Cookie-Banner in Österreich: Anforderungen

DSGVO-konformer Cookie-Banner in Österreich: § 165 Abs. 3 TKG 2021 plus DSGVO. DSB-Leitlinien, Dark Patterns und technische Pflichten im Überblick.

Auftragsverarbeitungsvertrag (AVV): Wann ist er Pflicht?

AVV nach Art. 28 DSGVO: Wann Sie einen Auftragsverarbeitungsvertrag brauchen, welche Dienstleister betroffen sind und was hineingehört.

Google Maps DSGVO-konform einbetten: So geht es richtig

Google Maps DSGVO-konform einbetten: wann Sie eine Einwilligung brauchen, welche EU-Alternativen es gibt und wie Sie Karten rechtssicher einbinden.

WhatsApp Business und DSGVO in Österreich: § 174 TKG 2021

WhatsApp Business DSGVO Österreich: § 174 TKG 2021 und § 7 UWG parallel. Was die DSB prüft, welche Strafen drohen und welche Alternativen rechtssicher sind.