DSGVO-Checkliste Österreich: 35 Punkte (2026)

Die Datenschutzbehörde (DSB) hat ihre Kontrolltätigkeit gegenüber KMU 2024 und 2025 deutlich intensiviert. Beschwerden über fehlerhafte Cookie-Banner gehen zu einem erheblichen Teil über noyb-Massenbeschwerden ein. Sie führen zu strukturierten Prüfverfahren der DSB. § 165 Abs. 3 TKG 2021 und die DSGVO geben der Behörde klare Prüfmaßstäbe.

In Österreich kommt der Verbraucherschutz von zwei Seiten. Erstens die Datenschutzbehörde nach DSGVO und DSG. Zweitens der Verein für Konsumenteninformation (VKI) und der Klagsverband nach § 28a KSchG bei systematischen Verstößen. Anders als in Deutschland gibt es keine vergleichbare „Abmahnkultur" durch Mitbewerber. Hauptakteur ist die Behörde, ergänzt durch die Verbraucherschutzschiene.

Diese Checkliste deckt 35 Prüfpunkte in zehn Bereichen ab. Unser kostenloser DSGVO-Scanner prüft Cookie-Banner, Tracking-Skripte und Sicherheitsheader automatisch. Er zeigt Ihnen in zwei Minuten, was auf Ihrer Website angepasst werden muss.

Auf einen Blick: die 35 Prüfpunkte

1. Datenschutzerklärung (Art. 13/14 DSGVO): 8 Punkte
2. Cookie-Einwilligung nach § 165 TKG 2021: 6 Punkte
3. Rechtsgrundlage für jede Verarbeitung (Art. 6 DSGVO): 5 Punkte
4. Auftragsverarbeitung: AVV nach Art. 28 DSGVO: 6 Punkte
5. Speicherdauer und Löschkonzept: 6 Punkte
6. Datenpannen-Meldung (Art. 33 DSGVO): 4 Punkte
7. Technische Sicherheit (Art. 32 DSGVO): 5 Punkte
8. Betroffenenrechte (Art. 15-22 DSGVO): 6 Punkte
9. Besondere Kategorien (Art. 9 DSGVO): 3 Punkte
10. Drittlandtransfer (Art. 44-46 DSGVO): 4 Punkte

1. Datenschutzerklärung (Art. 13/14 DSGVO)

Nach Art. 13 DSGVO sind Sie verpflichtet, Besucher Ihrer Website bei der Datenerhebung zu informieren. Das gilt ab dem Moment, wo Ihre Website irgendetwas erhebt, also auch Server-Logs mit IP-Adressen, eingebettete Drittinhalte oder ein einfaches Kontaktformular.

• Datenschutzerklärung ist vorhanden und im Footer auf jeder Seite verlinkt
• Linktext lautet „Datenschutz" oder „Datenschutzerklärung", nicht „Rechtliches"
• Name, Anschrift und E-Mail-Adresse des Verantwortlichen sind angegeben
• Für jede Verarbeitungsaktivität ist eine Rechtsgrundlage nach Art. 6 DSGVO genannt
• Alle eingebundenen Dienste sind aufgeführt: Analytics, Fonts, Zahlungsanbieter, CDN
• Speicherdauer ist für jede Datenkategorie konkret angegeben, nicht nur „solange gesetzlich nötig"
• Alle Betroffenenrechte nach Art. 15 bis 22 DSGVO sind beschrieben
• Kontakt zur Datenschutzbehörde ist angegeben (Barichgasse 40-42, 1030 Wien)

In Österreich ist die zuständige Aufsichtsbehörde immer die Datenschutzbehörde. Anders als in Deutschland gibt es keine länderspezifische Aufteilung. Das macht die Angabe in der Datenschutzerklärung einfacher: ein Eintrag genügt für alle österreichischen Verantwortlichen.

Ein häufiger Fehler bei Generator-Texten: Die Erklärung nennt Dienste, die gar nicht mehr genutzt werden, oder verschweigt neue Tools, die nach der Erstellung eingebunden wurden. Für eine vertiefende Prüfung: Was muss in eine Datenschutzerklärung.

2. Cookie-Einwilligung nach § 165 TKG 2021

§ 165 Abs. 3 TKG 2021 regelt den Zugriff auf Endgeräte-Informationen, also das Setzen und Auslesen von Cookies und vergleichbaren Technologien. Bevor Ihre Website nicht-notwendige Cookies setzt oder auf lokalen Speicher zugreift, braucht sie die ausdrückliche Einwilligung der Nutzer:in. Das gilt für Analytics-Cookies, Marketing-Pixel und Social-Media-Buttons. Nicht erfasst sind technisch zwingend notwendige Cookies, etwa Session-Cookies für den Warenkorb.

Die Datenschutzbehörde hat 2021 Cookie-Leitlinien veröffentlicht, die für alle österreichischen Website-Betreiber als Maßstab gelten und in der Praxis strenger ausgelegt werden als die deutsche DSK-Praxis.

• Cookie-Banner erscheint beim ersten Besuch, bevor Tracking-Skripte laden
• „Ablehnen" ist auf der ersten Bannerebene direkt anklickbar
• Akzeptieren-Button und Ablehnen-Button sind optisch gleichwertig gestaltet
• Keine Tracking-Anfragen gehen an Drittanbieter, bevor die Nutzer:in eine Wahl getroffen hat
• Einwilligung ist über einen dauerhaften Footer-Link jederzeit widerrufbar
• Einwilligungsdatum und -umfang werden durch die CMP protokolliert

Die häufigste Beanstandung der DSB: Tracking-Skripte laden im Hintergrund, während der Banner noch angezeigt wird. Das ist ein technischer Fehler, den Sie mit den Browser-Entwicklertools leicht selbst prüfen können. Öffnen Sie DevTools (F12), Reiter Netzwerk, laden Sie Ihre Seite neu und schauen Sie, ob Anfragen an google-analytics.com oder facebook.net gehen, noch bevor Sie den Banner weggeklickt haben.

Zur detaillierten Prüfung Ihres Banners: DSGVO-konformer Cookie-Banner und die Spruchpraxis-Vertiefung in Cookie-Einwilligung nach § 165 TKG 2021.

3. Rechtsgrundlage für jede Verarbeitung (Art. 6 DSGVO)

Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage. „Wir nutzen Ihre Daten zur Verbesserung unserer Angebote" ist keine Rechtsgrundlage, das ist eine Zweckbeschreibung. Beides muss in der Datenschutzerklärung vorhanden sein.

• Einwilligung (lit. a): für Newsletter, nicht-notwendige Cookies, Marketing-E-Mails
• Vertragserfüllung (lit. b): für Bestellabwicklung, Versand, Kundensupport
• Rechtliche Verpflichtung (lit. c): für Buchhaltungsunterlagen und steuerliche Aufbewahrung
• Berechtigtes Interesse (lit. f): Interessenabwägung ist dokumentiert und begründet
• Jede Rechtsgrundlage ist in der Datenschutzerklärung für die entsprechende Aktivität benannt

Die DSB legt das berechtigte Interesse, wie alle europäischen Aufsichtsbehörden, restriktiv aus. Für Tracking und personalisiertes Marketing trägt es in der Regel nicht. Für Direktwerbung per E-Mail an Bestandskunden gibt es nach § 174 TKG 2021 eine enge Ausnahme. Auch dort muss ein Widerspruchsrecht aktiv und kostenlos angeboten werden. Details dazu in B2B-E-Mail nach § 174 TKG 2021.

4. Auftragsverarbeitung: AVV nach Art. 28 DSGVO

Wer externe Dienstleister nutzt, die in seinem Auftrag personenbezogene Daten verarbeitet, muss mit diesen einen Auftragsverarbeitungsvertrag (AVV) schließen. In Österreich hat sich „AVV" ebenso wie in Deutschland als Begriff für Vereinbarungen nach Art. 28 DSGVO etabliert.

• AVV mit Hosting-Provider oder Managed-Server-Betreiber abgeschlossen
• AVV mit E-Mail-Marketing-Plattform (Mailchimp, Brevo, Klaviyo o.ä.)
• AVV mit Web-Analytics-Tool, auch bei datenschutzfreundlichen Alternativen
• AVV mit Zahlungsanbieter, sofern Kundendaten übertragen werden
• AVV mit Live-Chat- oder Helpdesk-System
• Nachweis der Unterzeichnung oder Portalakzeptanz ist archiviert

Viele SaaS-Anbieter stellen AVV-Vorlagen im Kundenportal bereit. Das Problem: viele Betreiber haben diese einmal akzeptiert, aber keinen Nachweis gespeichert. Die DSB fragt diesen Nachweis im Verfahren konkret ab. Für einen Schritt-für-Schritt-Audit aller AVV-Pflichten: DSGVO-Website-Audit.

5. Speicherdauer und Löschkonzept

Art. 5 Abs. 1 lit. e DSGVO verlangt das Speicherbegrenzungsprinzip: Daten nur so lange halten, wie es der Verarbeitungszweck erfordert. In Österreich kommen Aufbewahrungsfristen aus dem § 212 UGB und der Bundesabgabenordnung, § 132 BAO hinzu. Diese verlangen zum Teil eine längere Aufbewahrung.

• Buchhaltungsunterlagen und Belege: mindestens 7 Jahre (§ 132 BAO, § 212 UGB)
• Steuerrelevante Unterlagen mit Grundstücks- oder Umsatzsteuerbezug: bis zu 22 Jahre (§ 132 Abs. 2 BAO)
• Allgemeine Geschäftsbriefe: typisch 3 Jahre Verjährung nach KSchG
• Kontaktformular-Eingaben ohne Kaufbezug: bis Anfrage bearbeitet, dann löschen
• Newsletter-Adressen: bis zur Abmeldung, danach umgehend löschen oder anonymisieren
• Server-Logs mit IP-Adressen: typisch 7 bis 14 Tage, maximal 90 Tage ohne weiteren Zweck

Wichtig, Unterschied zu Deutschland: Die österreichische Grundfrist für steuer- und buchführungsrelevante Unterlagen ist 7 Jahre (§ 132 BAO), nicht 10 Jahre wie nach deutschem HGB. Wer ein deutsches Löschkonzept 1:1 übernimmt, behält Daten unnötig lange. Das verstößt wiederum gegen das Speicherbegrenzungsprinzip.

Ein Löschkonzept ist dann vollständig, wenn der Prozess technisch umgesetzt ist, nicht nur auf Papier festgehalten. Die DSB fragt bei Prüfungen nach dem Nachweis der tatsächlichen Löschung.

6. Datenpannen-Meldung (Art. 33 DSGVO)

Jede Datenpanne, die ein Risiko für Betroffene darstellt, muss innerhalb von 72 Stunden bei der Datenschutzbehörde gemeldet werden. In Österreich gibt es nur eine zuständige Behörde, die DSB. Das vereinfacht den Meldeprozess gegenüber der föderalen Struktur in Deutschland strukturell.

• Verfahren für die Erstbeurteilung einer Datenpanne ist schriftlich festgehalten
• DSB-Meldekontakt ist bekannt (Online-Formular der DSB)
• Entscheidungsbaum „meldepflichtig ja/nein" ist bekannt oder intern verfügbar
• Benachrichtigungspflicht gegenüber Betroffenen nach Art. 34 DSGVO ist bekannt

Die DSB stellt unter dsb.gv.at ein Online-Meldeformular bereit. Für den Notfall: Die 72-Stunden-Frist beginnt ab dem Moment, wo Sie von der Panne wissen, nicht ab dem technischen Vorfall.

Auch wenn kein Risiko für Betroffene besteht und damit keine Meldepflicht ausgelöst wird, sollten Sie die Panne intern dokumentieren. Art. 33 Abs. 5 DSGVO verlangt diese interne Aufzeichnung unabhängig von der Meldepflicht. Im Falle einer späteren DSB-Anfrage schützt sie Sie. Wie ein DSB-Bescheid aufgebaut ist und welche Argumente in der Stellungnahme zählen: DSB-Bescheide verstehen.

7. Technische Sicherheit (Art. 32 DSGVO)

Art. 32 DSGVO schreibt keine konkrete Maßnahmenliste vor, sondern „dem Risiko angemessene" Schutzmaßnahmen. In Österreich ist das Österreichische Informationssicherheitshandbuch des Bundeskanzleramts die zentrale Referenz, ergänzt durch die Empfehlungen des Computer Emergency Response Team Austria (CERT.at). Als methodisch vergleichbare Quelle wird gelegentlich auch der deutsche IT-Grundschutz des BSI herangezogen.

• HTTPS auf allen Seiten aktiv, HTTP-Anfragen werden weitergeleitet
• TLS-Zertifikat ist gültig und aktuell
• CMS, Themes und Plugins sind auf dem aktuellen Sicherheitsstand
• Sicherheitsheader HSTS, Content-Security-Policy und X-Content-Type-Options sind gesetzt
• Admin-Zugänge sind durch starke Passwörter und 2-Faktor-Authentifizierung gesichert

Die DSB hat in mehreren Bescheiden klargestellt, dass unzureichende technische Maßnahmen einen eigenständigen Verstoß gegen Art. 32 DSGVO darstellen, auch ohne tatsächliche Datenpanne. Im Verfahren werden technische Maßnahmen routinemäßig mitgeprüft.

8. Betroffenenrechte (Art. 15-22 DSGVO)

Betroffene können Auskunft über ihre Daten verlangen, Berichtigung, Löschung und in bestimmten Fällen Datenübertragbarkeit. Sie müssen als Verantwortlicher innerhalb von vier Wochen (Standardfrist nach Art. 12 Abs. 3 DSGVO) antworten können.

• Kontaktmöglichkeit für Datenschutzanfragen ist auf der Website angegeben
• Auskunftsanfragen nach Art. 15 können innerhalb von vier Wochen beantwortet werden
• Löschung nach Art. 17 kann technisch umgesetzt werden
• Widerspruchsrecht nach Art. 21 ist in der Datenschutzerklärung erklärt
• Datenübertragbarkeit nach Art. 20 ist für einwilligungsbasierte Verarbeitung möglich
• Fristverlängerung bei komplexen Anfragen ist intern bekannt (bis zu drei Monate bei Begründung)

Vier Wochen ist die gesetzliche Standardfrist. Bei besonders umfangreichen Anfragen dürfen Sie um weitere zwei Monate verlängern, müssen das aber dem Anfragenden innerhalb der ersten vier Wochen mitteilen. In der DSB-Spruchpraxis ist die nicht oder verspätet beantwortete Auskunftsanfrage einer der häufigsten Beschwerdegründe.

9. Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)

Für die meisten E-Commerce-Websites kein Thema, aber prüfen Sie:

• Verarbeitet Ihre Website implizit besondere Kategorien? (z.B. Apotheke, Fitnessstudio, religiöse Organisation, politische Vereinigung)
• Wenn ja: ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a ist eingeholt
• Verarbeitung ist auf das Notwendige beschränkt und dokumentiert

Eine Fitness-App, die Trainingsdaten erhebt, kann Gesundheitsdaten berühren. Ein Online-Shop für Nahrungsergänzungsmittel mit Kundenprofilen kann in die Nähe gesundheitsbezogener Daten kommen. Im Zweifel gilt Art. 9 bereits dann, wenn die Verarbeitung Rückschlüsse auf besondere Kategorien erlaubt.

Wenn Art. 9 gilt, sind die Anforderungen erheblich strenger: Die Einwilligung muss ausdrücklich und spezifisch sein, eine bloße Zustimmung zu den AGB reicht nicht. Die DSB prüft bei Unternehmen mit Gesundheitsbezug besonders genau. Speziell im Apotheken- und Therapeut:innen-Sektor gab es seit 2023 mehrere Verfahren zu Online-Terminbuchungen.

10. Drittlandtransfer (Art. 44-46 DSGVO)

Wer US-amerikanische Dienste nutzt, überträgt Daten in ein Drittland. Seit Juli 2023 gilt das EU-US Data Privacy Framework als Angemessenheitsbeschluss der Europäischen Kommission, aber nur für zertifizierte Unternehmen.

• Alle US-Dienste identifiziert, die Daten empfangen (Google, Mailchimp, Stripe, AWS, Microsoft usw.)
• Für jeden Dienst geprüft, ob er unter dem Data Privacy Framework zertifiziert ist
• Drittlandtransfer und Rechtsgrundlage in der Datenschutzerklärung erwähnt
• Für nicht zertifizierte Dienste: Standardvertragsklauseln (SCC) vereinbart

Die österreichische DSB hat im Januar 2022 den NOYB-Bescheid erlassen, mit dem der Einsatz von Google Analytics ohne ausreichende Schutzmaßnahmen als rechtswidrig qualifiziert wurde. Es war der erste Bescheid einer EU-Aufsichtsbehörde nach dem Schrems-II-Urteil und international wegweisend. Auch nach dem Data Privacy Framework gilt: Die DSB prüft Drittlandtransfers besonders genau und akzeptiert Standardvertragsklauseln nur mit konkreter Risikoeinschätzung.

Konkret: Prüfen Sie für jeden US-Dienst, ob es eine europäisch gehostete Alternative gibt (z.B. Matomo statt Google Analytics, Brevo mit EU-Hosting statt Mailchimp, Hetzner statt AWS us-east). Das schützt nicht nur vor einem möglichen Schrems-III-Urteil, sondern macht Ihre Datenschutzerklärung auch einfacher.

Auswertung

Zählen Sie die abgehakten Punkte:

• 30 oder mehr: Ihre Website ist gut aufgestellt. Wiederholen Sie die Prüfung, wenn Sie neue Tools oder Dienstleister einbinden.
• 20 bis 29: Es gibt Lücken. Priorisieren Sie Cookie-Einwilligung und Datenschutzerklärung, die die DSB am häufigsten prüft.
• Unter 20: Mehrere grundlegende Pflichten sind nicht erfüllt. Beginnen Sie mit Datenschutzerklärung, Cookie-Banner und AVV-Verträgen.

Wiederholen Sie die Prüfung mindestens einmal jährlich, außerdem immer dann, wenn Sie ein neues Plugin, einen neuen Dienst oder ein neues Formular einbinden. Jede Änderung kann neue Verarbeitungen einführen, die in Datenschutzerklärung und Banner nachgezogen werden müssen.

Eine Checkliste zeigt, wo Lücken sind, aber nicht alles, was technisch auf Ihrer Website passiert. Unser kostenloser DSGVO-Scanner prüft Cookie-Banner, Tracking-Skripte, externe Verbindungen und Sicherheitsheader automatisch. Er zeigt Ihnen in zwei Minuten, was auf technischer Ebene angepasst werden muss.

Diese Checkliste ist die österreichische Fassung unserer paneuropäischen DSGVO-Compliance-Checkliste.

---

Dieser Artikel ist technische Analyse, kein Rechtsrat. Für Fragen zu Ihrer konkreten Situation wenden Sie sich an eine Datenschutzfachperson oder Rechtsanwältin in Österreich.