Ist HTTPS für eine österreichische Website gesetzlich vorgeschrieben?

Nicht namentlich, aber Art. 32 DSGVO verlangt geeignete technische Maßnahmen für jede Datenverarbeitung. Die Datenschutzbehörde (DSB) wertet fehlendes HTTPS bei Formularen oder Logins durchgehend als Verstoß gegen Art. 32. Praktisch ist HTTPS für jede Unternehmenswebsite Pflicht, weil schon Server-Logs und Kontaktformulare personenbezogene Daten verarbeiten.

Was sind die wichtigsten HTTP-Sicherheitsheader in Österreich?

Sechs Header gelten als Mindeststandard: Strict-Transport-Security, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy und Permissions-Policy. CERT.at empfiehlt diese Reihe in seinen Webhardening-Hinweisen. Sie bedienen Art. 32 Abs. 1 lit. b DSGVO über die dauerhafte Vertraulichkeit und Integrität der Verarbeitung.

Was passiert bei einer Datenpanne auf einer österreichischen Website?

Die Meldung an die Datenschutzbehörde muss innerhalb von 72 Stunden ab Kenntnis erfolgen (Art. 33 DSGVO). Zuständig ist immer die DSB in Wien, anders als in Deutschland gibt es keine Länderaufteilung. Bei hohem Risiko sind zusätzlich die Betroffenen direkt zu informieren (Art. 34 DSGVO). Fehlende technische Maßnahmen verschärfen die Bußgeldbemessung.

Welche Quelle gilt in Österreich als technischer Maßstab für Art. 32 DSGVO?

Das Österreichische Informationssicherheitshandbuch des Bundeskanzleramts ist die zentrale staatliche Referenz. Ergänzend veröffentlicht CERT.at unter cert.at laufend Hinweise zu konkreten Schwachstellen und Patches. Beide werden in DSB-Bescheiden regelmäßig als Stand der Technik herangezogen.

Sicherheit

Website-Sicherheit nach Art. 32 DSGVO in Österreich

Steven | TrustYourWebsite · 12. Mai 2026 · Zuletzt aktualisiert: Mai 2026

Datenschutz auf einer österreichischen Website ist nicht nur ein Papierprozess. Art. 32 DSGVO verlangt von jedem Verantwortlichen „geeignete technische und organisatorische Maßnahmen" für ein dem Risiko angemessenes Sicherheitsniveau. Für KMU-Websites in Österreich konkretisieren das die Datenschutzbehörde (DSB) in ihren Bescheiden, das Österreichische Informationssicherheitshandbuch des Bundeskanzleramts und die laufenden Hinweise von CERT.at.

Wer in Wien eine Tischlerei, in Graz einen Onlineshop oder in Linz eine Kanzlei betreibt, ist gleichermaßen erfasst. Schon ein Kontaktformular und Server-Logs reichen, damit Art. 32 DSGVO greift. Dieser Leitfaden zeigt, was die DSB im Praxisfall prüft, welche sechs Sicherheitsheader CERT.at empfiehlt und wie eine Datenpanne nach Art. 33 DSGVO binnen 72 Stunden korrekt gemeldet wird.

Wollen Sie zuerst Ihren Status sehen? Der kostenlose TrustYourWebsite-Scanner prüft HTTPS, Sicherheitsheader und DSGVO-Kriterien in unter zwei Minuten.

Was Art. 32 DSGVO für österreichische Website-Betreiber bedeutet

Art. 32 DSGVO nennt keine Technologien beim Namen. Stattdessen verlangt er Maßnahmen, die zum Risiko der konkreten Verarbeitung passen. Absatz 1 listet explizit:

Verschlüsselung personenbezogener Daten
Dauerhafte Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme
Rasche Wiederherstellbarkeit bei Zwischenfällen
Verfahren zur regelmäßigen Überprüfung der Wirksamkeit

In Österreich gilt das DSGVO unmittelbar. Das Datenschutzgesetz (DSG 2018) ergänzt es um nationale Verfahrensregeln. Die DSB ist nach §§ 18 ff. DSG die einzige Aufsichtsbehörde für ganz Österreich. Anders als in Deutschland mit seinen 17 Landes- und Bundesaufsichten ist die Zuständigkeitsfrage damit eindeutig.

Der maßgebliche Maßstab für „Stand der Technik" ist in der Praxis das Österreichische Informationssicherheitshandbuch und die Empfehlungen des Computer Emergency Response Team Austria. Beide werden von der DSB regelmäßig in Bescheiden zur Konkretisierung von Art. 32 DSGVO herangezogen. Wer diesen Standard verfehlt, riskiert eine Verwarnung, einen Auftrag zur Beseitigung oder eine Verwaltungsstrafe nach Art. 83 DSGVO.

HTTPS und TLS als Basisanforderung

Jede österreichische Website, die personenbezogene Daten überträgt, braucht HTTPS. Praktisch trifft das auf jede Website zu, weil bereits Kontaktformulare und Server-Logs erfasst sind. Erforderlich ist ein gültiges TLS-Zertifikat, korrekt konfiguriert und aktuell gehalten.

Nicht mehr akzeptabel sind:

HTTP ohne Weiterleitung auf HTTPS
Abgelaufenes SSL- oder TLS-Zertifikat
TLS 1.0 oder TLS 1.1 (von allen großen Browsern 2020 abgeschaltet)
Mixed Content, also HTTPS-Seiten mit nachgeladenen HTTP-Ressourcen

TLS 1.2 ist der aktuelle Mindeststandard. TLS 1.3 ist empfohlen und bietet zusätzliche Sicherheit durch kürzere Handshakes. Kostenlose Zertifikate liefert Let's Encrypt, automatisch eingebunden bei fast allen österreichischen Hostern wie World4You, Hosttech, Easyname oder IPAX. Zertifikate laufen nach 90 Tagen ab. Prüfen Sie, ob die automatische Erneuerung bei Ihrem Hoster aktiv ist.

Die sechs HTTP-Sicherheitsheader

Browser

HTTP-Anfrage →

← HTTP-Antwort

Server

Sicherheitsheader in der Antwort

Strict-Transport-Security
Content-Security-Policy
X-Frame-Options
X-Content-Type-Options
Referrer-Policy
Permissions-Policy

Sicherheitsheader sind Metadaten, die der Server bei jeder Antwort mitschickt. Sie kosten nichts und schließen eine ganze Klasse von Angriffen. CERT.at listet sie in seinen Webhardening-Hinweisen, die DSB beachtet sie routinemäßig bei Beschwerdeverfahren. Die folgende Tabelle fasst die Empfehlung zusammen.

Header	Empfohlener Wert	Schutzwirkung	DSGVO-Bezug
Strict-Transport-Security	`max-age=31536000; includeSubDomains`	Erzwingt HTTPS, verhindert SSL-Stripping	Art. 32 Abs. 1 lit. a (Verschlüsselung)
Content-Security-Policy	`default-src 'self'` plus Allowlist	Schützt vor Cross-Site-Scripting	Art. 32 Abs. 1 lit. b (Integrität)
X-Frame-Options	`DENY`	Verhindert Clickjacking durch fremde iframes	Art. 32 Abs. 1 lit. b (Integrität)
X-Content-Type-Options	`nosniff`	Verhindert Datei-MIME-Manipulation	Art. 32 Abs. 1 lit. b (Integrität)
Referrer-Policy	`strict-origin-when-cross-origin`	Begrenzt Datenabfluss bei externen Klicks	Art. 5 Abs. 1 lit. c (Datenminimierung)
Permissions-Policy	`camera=(), microphone=(), geolocation=()`	Deaktiviert ungenutzte Browser-APIs	Art. 25 (Datenschutz durch Voreinstellung)

Header werden in der Server-Konfiguration gesetzt. Bei Apache in der .htaccess oder httpd.conf, bei Nginx in der server-Direktive. Viele österreichische Hoster erlauben das auch im Control Panel. WordPress-Betreiber:innen nutzen Plugins wie „HTTP Headers" ohne Serverzugriff. Die Konfiguration prüfen Sie kostenlos auf securityheaders.com.

Patch-Kadenz und Veraltete Software

Ungepatchte CMS-Installationen sind nach DSB-Erfahrung der häufigste Eintrittspunkt für Angriffe auf österreichische KMU-Websites. Sobald CERT.at eine kritische Schwachstelle veröffentlicht, beginnen automatisierte Angriffe innerhalb weniger Stunden. Art. 32 Abs. 1 lit. d DSGVO verlangt ein Verfahren zur regelmäßigen Überprüfung der Maßnahmen. Wer Updates ignoriert, verstößt direkt gegen diese Pflicht.

Eine praktikable Kadenz für KMU:

WordPress-Core, Themes und Plugins wöchentlich prüfen
Sicherheits-Patches innerhalb von 72 Stunden nach Veröffentlichung einspielen
Nicht verwendete Plugins löschen, nicht nur deaktivieren
Automatische Updates für Core-Sicherheitspatches aktivieren
Plugins ohne Update in den letzten zwölf Monaten ersetzen

Für Shopware, Typo3 und Joomla gilt dasselbe Prinzip. Ein monatlicher Wartungstermin mit Dokumentation reicht in den meisten Fällen, um den DSB-Maßstab zu erfüllen.

Passwörter und Zugangskontrolle

Der Admin-Bereich ist der direkte Zugang zu allen gespeicherten Nutzer:innendaten. Brute-Force-Angriffe auf österreichische WordPress-Seiten laufen rund um die Uhr. Die Mindestanforderungen:

Mindestens 16 Zeichen, zufällig generiert (Passwortmanager wie Bitwarden, KeePass)
Kein Admin-Account mit dem Benutzernamen „admin"
Eigener Account je Administrator:in, keine geteilten Zugangsdaten
Zwei-Faktor-Authentifizierung (2FA) für jeden Account mit Admin-Rechten
Sperre nach fünf Fehlversuchen

Die DSB hat in mehreren Bescheiden festgehalten, dass fehlende 2FA bei einem Datenleck als organisatorischer Mangel im Sinne von Art. 32 DSGVO gewertet wird. Plugins wie Wordfence oder WP 2FA decken die Anforderung ab.

Backups nach Art. 32 Abs. 1 lit. c DSGVO

Backups sind in Art. 32 Abs. 1 lit. c DSGVO ausdrücklich als Schutzziel benannt: die Fähigkeit, Verfügbarkeit und Zugang bei Zwischenfällen rasch wiederherzustellen. Ein Ransomware-Angriff ohne Backup führt zum Verlust aller Kund:innendaten und ist damit gleichzeitig eine meldepflichtige Datenpanne.

Konkret heißt das:

Tägliche Backups für aktive Shops, wöchentlich für statischere Seiten
Speicherung außerhalb des Hauptservers, idealerweise in der EU
Quartalsweise Wiederherstellungstest
Verschlüsselung der Backups, da sie alle personenbezogenen Daten enthalten
Löschung älterer Backups nach definierter Frist

Viele österreichische Hoster bieten tägliche Backups. Prüfen Sie, ob sie automatisch aktiv sind, wie lange aufbewahrt wird und ob das Backup nicht denselben Server nutzt.

Datenpanne: Die 72-Stunden-Meldung an die DSB

Wenn eine Panne passiert, ob durch Hack, versehentliche Veröffentlichung oder Datenverlust, greifen Art. 33 und Art. 34 DSGVO. Die Frist beginnt mit dem Moment, in dem die Verantwortliche von der Panne erfährt, nicht erst mit vollständiger Klärung.

Der Ablauf in fünf Schritten:

Erkennung. Der Vorfall wird intern bemerkt (Monitoring, Hinweis, IT-Dienstleister).
Interne Bewertung. Welche Daten, welche Personen, welches Risiko? Ergebnis dokumentieren.
Meldung an die DSB. Innerhalb von 72 Stunden über das Online-Meldeformular der DSB einreichen. Eine unvollständige Erstmeldung ist besser als keine.
Information der Betroffenen. Bei hohem Risiko (Passwörter, Zahlungsdaten, Gesundheitsdaten) direkte Benachrichtigung nach Art. 34 DSGVO mit konkreten Handlungsempfehlungen.
Dokumentation. Eintrag im internen Pannen-Register: Datum, Art, betroffene Daten, getroffene Maßnahmen. Wird bei einer Prüfung der DSB vorgelegt.

Die DSB stellt das Formular unter dsb.gv.at bereit. Wer die 72-Stunden-Frist verpasst oder keine Dokumentation hat, riskiert eine eigenständige Verwaltungsstrafe nach Art. 83 Abs. 4 DSGVO. War die Panne auf fehlende technische Maßnahmen zurückzuführen, verschlechtert das die Ausgangslage zusätzlich. Die DSB hat 2024 laut Datenschutzbericht 2024 73 Verwaltungsstrafen in Höhe von insgesamt EUR 1.684.230 verhängt.

Server-Logs und Aufbewahrung

Der Webserver protokolliert standardmäßig jede Anfrage mit IP-Adresse, Zeitstempel, URL und Browser-Information. IP-Adressen sind nach Art. 4 Nr. 1 DSGVO personenbezogene Daten. Server-Logs sind damit eine Verarbeitung und müssen in der Datenschutzerklärung erwähnt werden.

Eine Aufbewahrung von 7 bis 30 Tagen ist für Sicherheitszwecke ausreichend. Längere Speicherung bedarf einer eigenständigen Rechtfertigung. Logs müssen außerdem zugriffsgeschützt sein, sodass nur befugte Administrator:innen sie einsehen können.

Kurzcheckliste Website-Sicherheit für Österreich

Vertiefung zu verwandten Pflichten: DSGVO-Checkliste Österreich, DSGVO-Website-Audit selbst durchführen und Kontaktformular und DSGVO. Prüfen Sie Ihre Website jetzt auf Sicherheitslücken und DSGVO-Compliance mit dem kostenlosen Scanner.

Dieser Artikel ist technische Analyse, kein Rechtsrat. Für Fragen zu Ihrer konkreten Situation wenden Sie sich an eine Datenschutzfachperson oder Rechtsanwältin in Österreich.

Artikel teilen

Ihre Website jetzt prüfen

Scannen Sie Ihre Website auf Sicherheit-Probleme und 30+ weitere Prüfungen.

Website kostenlos scannen