DSB-Bescheide verstehen: EUR 1,68 Mio. Bußgeld 2024

Wer eine österreichische Website betreibt und ein Datenschutz-Problem hat, landet im Konfliktfall bei der Datenschutzbehörde (DSB). Sie ist die einzige nationale Aufsichtsbehörde für die DSGVO und das österreichische Datenschutzgesetz (DSG). Anders als Deutschland mit seinen 16 Landesdatenschutzbehörden plus dem BfDI hat Österreich genau eine zentrale Stelle. Die DSB sitzt in der Barichgasse 40-42 in Wien.

Diese Anleitung erklärt, wie ein DSB-Verfahren abläuft. Wie ein Bescheid aufgebaut ist. Welche Sanktionen die DSB tatsächlich verhängt. Und wie Sie sich gegen einen ungünstigen Bescheid wehren können. Wir zitieren reale Bescheide, soweit sie veröffentlicht sind.

Die DSB als zentrale Instanz

Die DSB ist nach § 18 ff. DSG für die DSGVO-Aufsicht in Österreich zuständig. Sie hat im Gegensatz zur deutschen föderalen Struktur keine Landesbehörden unter sich. Alle Verfahren laufen bei ihr zentral. Eine Ausnahme bildet der parlamentarische Datenschutz seit 2025. Dieser wird von einem eigenen Parlamentarischen Datenschutzkomitee überwacht. Für die meisten Unternehmen ist diese Sondererscheinung aber nicht praxisrelevant.

Aufgaben der DSB:

• Bearbeitung von Beschwerden betroffener Personen
• Verfahren von Amts wegen (auch ohne konkrete Beschwerde)
• Erlassung von Verwaltungsstrafen
• Beratung von Verantwortlichen, soweit Kapazitäten reichen
• Mitwirkung im EDSA (Europäischer Datenschutzausschuss) und im One-Stop-Shop für grenzüberschreitende Verfahren

Aktuelle Statistik aus dem DSB-Datenschutzbericht 2024:

• 73 Verwaltungsstraf-Bescheide im Jahr 2024
• 62 monetäre Geldbußen mit einer Gesamtsumme von EUR 1.684.230
• 11 Verwarnungen (nicht-monetäre Konsequenz)
• Median der einzelnen Bußen: vier- bis fünfstelliger Bereich
• Hohe Spitzenwerte (sechs- bis siebenstellig) treten bei Großverfahren auf

Die Zahlen sind im Vergleich zu den deutschen Aufsichtsbehörden niedriger, aber pro Bescheid oft konsequenter. Die DSB erlässt selten Verwarnungen, wenn ein klarer Verstoß vorliegt.

Wie ein DSB-Verfahren abläuft

1. Anlass

Drei typische Auslöser:

• Beschwerde einer betroffenen Person nach Art. 77 DSGVO. Beispiel: „mein Auskunftsanspruch wurde nicht beantwortet".
• Anzeige durch Dritte oder Hinweis aus den Medien. Beispiel: ein gemeldetes Datenleck.
• Amtswegige Aufnahme durch die DSB. Beispiel: Schwerpunktprüfung Cookie-Banner einer Branche.

2. Vorerhebung

Die DSB klärt zunächst, ob sie überhaupt zuständig ist. Sie prüft auch, ob der Sachverhalt eine Verfahrenseinleitung rechtfertigt. Bei klar grenzwertigen Fällen erfolgt eine formlose Beratung. In unklaren Fällen wird eine Aufforderung zur Stellungnahme an den Verantwortlichen versandt.

Die Aufforderung enthält:

• den Sachverhalt aus DSB-Sicht
• die rechtliche Beurteilung
• eine Frist zur Stellungnahme (typischerweise 4 Wochen)
• eine Liste der angeforderten Unterlagen

Verantwortliche müssen innerhalb der Frist substantiiert antworten. Standardantworten („wir halten alles ein") werden in der Regel als unbefriedigend gewertet. Sie führen zur Verfahrenseskalation.

3. Förmliches Verfahren

Wird das Verfahren förmlich eingeleitet, gelten die Regeln des Allgemeinen Verwaltungsverfahrensgesetzes (AVG). Der Verantwortliche hat das Recht auf:

• Akteneinsicht
• Stellungnahme zu allen Beweismitteln
• Anhörung in mündlicher Verhandlung (auf Antrag)
• Beiziehen eines Rechtsbeistands

Die DSB sammelt Beweise. Sie nimmt Akteneinsicht in Verarbeitungsverzeichnis, Cookie-Konfiguration, E-Mail-Korrespondenz und Logs. Bei Bedarf führt sie eine mündliche Verhandlung durch. Dann erlässt sie den Bescheid.

4. Bescheid

Ein DSB-Bescheid hat einen Standard-Aufbau:

• Spruch: das, was die DSB rechtsverbindlich entscheidet. Ein typischer Satz lautet „Sie haben Art. X DSGVO verletzt. Verhängt wird eine Geldbuße in Höhe von EUR Y".
• Begründung: ausführliche Sachverhaltsdarstellung und rechtliche Würdigung, oft 20 bis 40 Seiten lang.
• Rechtsmittelbelehrung: Hinweis darauf, dass innerhalb von vier Wochen Bescheidbeschwerde an das BVwG zulässig ist.

Der Bescheid wird per RSb-Brief oder elektronisch über USP zugestellt. Mit Zustellung beginnt die Vier-Wochen-Frist für die Bescheidbeschwerde.

Sanktionen, die die DSB verhängen kann

DSGVO-Geldbußen und DSG-Geldstrafen schließen einander nicht aus. Eine Verarbeitung kann gleichzeitig gegen die DSGVO (Art. 6) und das DSG (§ 1, Grundrecht auf Datenschutz) verstoßen. Die DSB kann beide Sanktionen kumulativ verhängen.

Die DSGVO-Höchstgrenzen sind in Art. 83 DSGVO geregelt. Die unionsrechtliche Auslegung dieser Vorschrift hat der EuGH im Urteil Deutsche Wohnen präzisiert (siehe unten).

Reale Beispielsbescheide

Vier Bescheide, die in der österreichischen Praxis häufig zitiert werden:

Geschäftsführer als Datenschutzbeauftragter (DSB 16.10.2024, EUR 5.000)

Ein KMU hatte den Geschäftsführer auch zum Datenschutzbeauftragten bestellt. Die DSB stellte einen Verstoß gegen Art. 38 Abs. 6 DSGVO fest. Der Grund: Interessenkonflikt. Der Datenschutzbeauftragte kann nicht effektiv eine Verarbeitung kontrollieren, deren Zwecke und Mittel er als Geschäftsführer mitbestimmt. Die Geldbuße: EUR 5.000. Praktiker-Zusammenfassung. Rechtsgrundlage: Art. 38 DSGVO.

Lehre: Die Bestellung eines Datenschutzbeauftragten muss inhaltlich tragfähig sein. Eine bloß formale Abhakung reicht nicht.

Videoüberwachung mit neun Kameras (DSB 16.08.2024, EUR 1.500.000)

Ein Unternehmen hatte neun Außen- und Innenkameras installiert. Sie erfassten teils öffentlichen Raum. Mitarbeiter und Passanten wurden ohne ausreichende rechtliche Grundlage aufgezeichnet. Geldbuße: EUR 1.500.000. Bestätigt durch das BVwG am 25.07.2025 (W258 2299744-1/28E). Praktiker-Zusammenfassung.

Lehre: Videoüberwachung ist die Verstoßkategorie mit den höchsten DSB-Bußen. Wer öffentlichen Raum erfasst, braucht eine wirklich tragfähige Rechtsgrundlage. Die Interessenabwägung muss schriftlich dokumentiert sein.

Google Analytics / NOYB (DSB Dezember 2021, veröffentlicht Januar 2022)

Modellbescheid auf Beschwerde von NOYB: Die Übermittlung von IP-Adressen über Google Analytics in die USA stellte einen Verstoß gegen Art. 44 ff. DSGVO dar. Keine Geldbuße. Die DSB stellte nur den Verstoß fest. Bescheid-PDF (NOYB).

Lehre: Datentransfers in Drittländer sind eine eigene Compliance-Disziplin. Wichtige Aktualisierung: Das EU-US Data Privacy Framework (Adäquanzbeschluss Juli 2023, Durchführungsbeschluss (EU) 2023/1795) hat die Lage geändert. Übermittlungen an US-zertifizierte Empfänger sind seither wieder zulässig. Der Bescheid bleibt für die Methodik der Transferanalyse lehrreich.

ÖPS / Österreichische Post (DSB 2019, „EUR 18 Mio.")

Wichtig: der Status ist offen. Die DSB verhängte 2019 eine Geldbuße von EUR 18 Mio. wegen Erstellung von „Parteiaffinitätsprofilen". Das BVwG hob den Bescheid am 26.11.2020 (W258 2227269-1/15E) wegen Form-Mängeln auf. Nach dem EuGH-Urteil Deutsche Wohnen (C-807/21 vom 5.12.2023) hat der VwGH 2024 die BVwG-Aufhebung wieder kassiert. Das Verfahren läuft weiter. Aktuelle Lage beim BVwG dokumentiert. Die EUR 18 Mio. sind keine rechtskräftige Sanktion. Wer die Zahl unkommentiert zitiert, gibt einen falschen Stand der Dinge wieder.

Lehre: Bei Großverfahren ist der Verfahrensweg lang. Eine als „berühmt" zitierte Bußenhöhe ist nicht automatisch die endgültige Sanktion.

Rechtsmittel: die Drei-Stufen-Hierarchie

Bei einem ungünstigen DSB-Bescheid haben Sie drei Instanzen:

1. Bundesverwaltungsgericht (BVwG): Bescheidbeschwerde innerhalb von vier Wochen ab Zustellung. Das BVwG entscheidet in der Sache neu. Es kann den Bescheid aufheben, abändern oder bestätigen.
2. Verwaltungsgerichtshof (VwGH): Revision an den VwGH zulässig nur bei „grundsätzlicher Bedeutung". Das ist eine Rechtsfrage, die für viele Fälle relevant ist und vom VwGH noch nicht entschieden wurde. Sonst ist kein Rechtsmittel zulässig.
3. Verfassungsgerichtshof (VfGH): Bei verfassungs- oder grundrechtlichen Fragen kann zusätzlich der VfGH angerufen werden.

In der Praxis schließen die meisten Verfahren auf BVwG-Ebene ab. VwGH-Revisionen sind selten und überwiegend für Großbußen relevant. Die VwGH-Entscheidung im Fall ÖPS zeigt allerdings, dass unionsrechtliche Klarstellungen (wie Deutsche Wohnen) auch laufende österreichische Verfahren grundlegend ändern können.

Was tun, wenn Sie Post von der DSB bekommen?

Eine Aufforderung zur Stellungnahme oder ein Verfahrenseinleitungsbescheid ist kein Grund zur Panik. Aber zum sofortigen Handeln:

1. Frist notieren: Aufforderungen haben typischerweise 4 Wochen. Versäumnis kann das Verfahren in Abwesenheit fortsetzen.
2. Rechtsbeistand konsultieren: eine spezialisierte Datenschutz-Anwaltschaft. Die Frühphase des Verfahrens entscheidet oft über die Höhe der späteren Sanktion.
3. Beweise sichern: Verarbeitungsverzeichnis, Cookie-Konfiguration, Logs, Auftragsverarbeitungs-Verträge. Die DSB wird diese Unterlagen anfordern. Wer nichts vorlegen kann, wirkt fahrlässig.
4. Sachverhalt rekonstruieren: Was war wann konfiguriert? Wer hatte Zugriff? Welche Mitigationsmaßnahmen wurden ergriffen?
5. Stellungnahme substantiiert: Standardphrasen vermeiden. Lieber ehrlich Schwachstellen einräumen und die Behebungsmaßnahmen darstellen.

Die DSB belohnt Kooperation und Transparenz mit niedrigeren Sanktionen. Das ist in vielen Bescheiden sichtbar, in denen der konstruktive Beitrag des Verantwortlichen ausdrücklich strafmildernd gewürdigt wird.

Wann lohnt sich der Gang zum BVwG?

Eine Bescheidbeschwerde kostet Aufwand und Anwaltshonorare. Sie macht Sinn, wenn einer dieser Punkte zutrifft:

• Der Sachverhalt im Spruch trifft nicht zu, weil die DSB Beweise falsch gewürdigt hat.
• Die rechtliche Würdigung ignoriert relevante Aspekte (etwa eine berechtigte Interessenabwägung).
• Die Strafzumessung ist im Vergleich zu ähnlichen Bescheiden auffällig hoch.
• Der Bescheid leidet an formalen Mängeln (fehlende Begründung, falsche Adressatenangabe).

Das BVwG hebt regelmäßig Bescheide aus formalen Gründen auf. Der Fall ÖPS zeigt aber auch: Auf jeder Stufe kann die Entscheidung wieder gedreht werden. Wer Beschwerde erhebt, muss mit einem mehrjährigen Verfahren rechnen.

Ressourcen

• Aktuelle Newsmeldungen der DSB: dsb.gv.at/aktuelles
• Englische Fassung mit ausgewählten Bescheiden: data-protection-authority.gv.at
• Praktiker-Blog mit zeitnaher Bescheid-Analyse: dataprotect.at
• Annotierte DSB-Bescheide auf Englisch: GDPR Hub
• BVwG-Datenschutz-Entscheidungen: bvwg.gv.at
• DSGVO-Volltext (EUR-Lex): VO (EU) 2016/679
• DSG-Volltext (RIS): BGBl. I Nr. 165/1999 idgF

Wenn Sie zur Vorbereitung auf ein mögliches DSB-Verfahren Ihre Website prüfen möchten, erkennen wir die häufigsten technischen Verstoßmuster automatisiert. Dazu zählen Cookies vor Einwilligung, fehlende Datenschutzerklärung und ungesicherte Form-Übermittlung. Eine kostenlose Erstanalyse zeigt, ob die niedrig hängenden Compliance-Früchte gepflückt sind, bevor jemand Beschwerde erhebt.