Datenschutz & DSGVO 2026: Was österreichische KMUs jetzt prüfen müssen

Am 25. Mai 2018 trat die Datenschutz-Grundverordnung (DSGVO) in der gesamten Europäischen Union in Kraft. Acht Jahre später ist sie fester Bestandteil des unternehmerischen Alltags – und dennoch haben viele österreichische Klein- und Mittelbetriebe (KMUs) noch immer erhebliche Compliance-Lücken.

Die österreichische Datenschutzbehörde (DSB) ist in den vergangenen Jahren deutlich aktiver geworden. Europaweit verhängten Datenschutzbehörden allein im Jahr 2023 Bußgelder in Höhe von über 1,2 Milliarden Euro. Auch für KMUs sind Strafen keine Seltenheit mehr: In Österreich wurden Bußgelder bis zu 50.000 Euro gegen kleinere Unternehmen dokumentiert.

Dieser Leitfaden gibt einen praxisnahen Überblick über die wichtigsten DSGVO-Anforderungen für österreichische KMUs im Jahr 2026 – mit konkreten Checklisten, häufigen Fehlern und sofort umsetzbaren Maßnahmen.

Die DSGVO gilt für jede Organisation, die personenbezogene Daten von Personen in der EU verarbeitet – unabhängig von Unternehmensgröße, Rechtsform oder Umsatz. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Dazu zählen unter anderem: Namen, E-Mail-Adressen, IP-Adressen, Telefonnummern, Standortdaten und Fotos. Auch scheinbar harmlose Daten wie eine Kundennummer in Kombination mit einem Namen gelten als personenbezogen.

Eine Größenausnahme gibt es nicht. Allerdings gilt der Grundsatz der Verhältnismäßigkeit: Die DSGVO erkennt an, dass ein Einpersonenunternehmen nicht dieselben Ressourcen wie ein Konzern hat. Die Anforderungen an den Aufwand können daher angepasst werden – die grundlegenden Pflichten bleiben jedoch für alle gleich.

Auswertungen der österreichischen Datenschutzbehörde und europäischer Datenschutzbehörden zeigen ein klares Muster: Bestimmte Verstöße treten bei KMUs immer wieder auf. Das Wissen um diese häufigen Fehler ist der erste Schritt zur Vermeidung.

Die häufigsten Problembereiche sind: fehlende oder veraltete Datenschutzerklärungen, nicht DSGVO-konforme Cookie-Banner, fehlende Auftragsverarbeitungsverträge mit Dienstleistern, unzulässige Datenübermittlungen in Drittländer sowie das Fehlen eines Verarbeitungsverzeichnisses. Die folgenden Abschnitte erläutern jeden dieser Punkte im Detail.

Die Website ist für die meisten KMUs der sichtbarste Berührungspunkt mit dem Datenschutzrecht. Hier sind Verstöße am leichtesten zu erkennen – und für Behörden sowie Mitbewerber am einfachsten zu überprüfen. Gleichzeitig lassen sich viele Probleme mit überschaubarem Aufwand beheben.

Besonders häufig beanstandet werden: fehlende oder unvollständige Datenschutzerklärungen, nicht konforme Cookie-Banner sowie die automatische Einbindung externer Ressourcen wie Google Fonts oder Social-Media-Buttons, die Daten an Dritte übertragen, ohne dass Besucher zugestimmt haben.

E-Mail-Marketing ist für viele KMUs ein wichtiger Kanal – und gleichzeitig ein Bereich mit erheblichem Compliance-Risiko. Die DSGVO stellt klare Anforderungen an die Einholung und Dokumentation von Einwilligungen.

Das Double-Opt-in-Verfahren ist der rechtlich sicherste Weg: Der Empfänger trägt sich ein und bestätigt seine Anmeldung anschließend per Klick auf einen Link in einer Bestätigungs-E-Mail. Damit ist die Einwilligung eindeutig dokumentiert. Die Abmeldung muss jederzeit einfach möglich sein – ein Abmeldelink in jeder E-Mail ist Pflicht.

Gekaufte E-Mail-Listen sind grundsätzlich nicht DSGVO-konform, da die Empfänger keine Einwilligung für den Erhalt von Nachrichten des jeweiligen Unternehmens erteilt haben. Auch vorausgefüllte Zustimmungsfelder oder die Kopplung der Newsletter-Anmeldung an einen Vertragsabschluss sind unzulässig.

Arbeitgeber verarbeiten eine erhebliche Menge personenbezogener Daten ihrer Mitarbeiter: von Bewerbungsunterlagen über Lohnabrechnungen bis hin zu Krankenstandsaufzeichnungen. Diese Daten unterliegen der DSGVO und erfordern besondere Sorgfalt.

Zentrale Grundsätze sind Datensparsamkeit (nur notwendige Daten erheben), Zweckbindung (Daten nur für den ursprünglichen Zweck verwenden) und klare Aufbewahrungsfristen. Lohnunterlagen müssen gemäß § 132 BAO sieben Jahre aufbewahrt werden. Bewerbungsunterlagen abgelehnter Kandidaten sollten nach spätestens sechs Monaten gelöscht werden, sofern keine andere Rechtsgrundlage besteht.

Mitarbeiter müssen gemäß Art. 13 DSGVO über die Verarbeitung ihrer Daten informiert werden. Bei Videoüberwachung am Arbeitsplatz ist in Betrieben mit Betriebsrat dessen Zustimmung erforderlich; Mitarbeiter müssen in jedem Fall informiert werden.

Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage gemäß Art. 6 DSGVO. Für Kundendaten kommen in der Praxis vor allem drei Rechtsgrundlagen in Betracht: Vertragserfüllung (Art. 6 Abs. 1 lit. b), rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c) und berechtigte Interessen (Art. 6 Abs. 1 lit. f).

Rechnungen und steuerrelevante Unterlagen müssen gemäß österreichischem Steuerrecht (§ 132 BAO) sieben Jahre aufbewahrt werden. Verträge sollten für die Dauer der Geschäftsbeziehung plus die gesetzliche Verjährungsfrist (in der Regel drei Jahre nach ABGB) aufbewahrt werden. Nach Ablauf der Aufbewahrungsfrist sind die Daten zu löschen.

Die Einwilligung (Art. 6 Abs. 1 lit. a) ist nur dann die richtige Rechtsgrundlage, wenn keine der anderen Grundlagen greift. Sie ist freiwillig, jederzeit widerrufbar und darf nicht zur Bedingung für eine Leistung gemacht werden.

Die DSGVO gewährt betroffenen Personen umfangreiche Rechte: Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21). Unternehmen müssen auf Anfragen innerhalb von einem Monat antworten. Bei komplexen oder zahlreichen Anfragen kann die Frist auf drei Monate verlängert werden – der Betroffene muss jedoch innerhalb des ersten Monats über die Verlängerung informiert werden.

Praktische Empfehlung: Richten Sie einen klaren internen Prozess ein, bevor eine Anfrage eingeht. Definieren Sie, wer zuständig ist, wo welche Kundendaten gespeichert sind und wie eine vollständige Auskunft erteilt werden kann. Die Identität des Anfragenden sollte vor der Herausgabe von Daten verifiziert werden.

Eine Datenpanne (engl. Data Breach) liegt vor, wenn personenbezogene Daten versehentlich oder unrechtmäßig vernichtet, verloren, verändert, unbefugt offengelegt oder zugänglich gemacht werden. Beispiele: ein Hackerangriff auf die Kundendatenbank, eine E-Mail mit Kundendaten an den falschen Empfänger, ein verlorenes Laptop mit unverschlüsselten Daten.

Gemäß Art. 33 DSGVO muss eine Datenpanne, die voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt, der zuständigen Aufsichtsbehörde – in Österreich der Datenschutzbehörde (DSB) – innerhalb von 72 Stunden nach Bekanntwerden gemeldet werden. Ist das Risiko für Betroffene hoch, müssen diese gemäß Art. 34 DSGVO auch direkt informiert werden.

Empfehlung: Erstellen Sie einen einfachen Notfallplan, der festlegt, wer im Falle einer Datenpanne was zu tun hat. Dokumentieren Sie alle Datenpannen intern – auch jene, die nicht meldepflichtig sind.

Ein Datenschutzbeauftragter (DSB) ist gemäß Art. 37 DSGVO in drei Fällen verpflichtend: (1) bei Behörden und öffentlichen Stellen, (2) bei Unternehmen, deren Kerntätigkeit in der umfangreichen Verarbeitung besonderer Datenkategorien (z.B. Gesundheitsdaten, biometrische Daten) besteht, und (3) bei Unternehmen, deren Kerntätigkeit in der umfangreichen, regelmäßigen und systematischen Überwachung von Personen besteht.

Für die meisten KMUs ist ein Datenschutzbeauftragter nicht gesetzlich vorgeschrieben. Die freiwillige Bestellung eines externen DSB ist jedoch empfehlenswert, insbesondere wenn das Unternehmen größere Mengen an Kundendaten verarbeitet oder in sensiblen Branchen tätig ist. Externe Datenschutzbeauftragte sind ab ca. 100–300 Euro pro Monat verfügbar.

DSGVO-Compliance muss kein überwältigendes Projekt sein. Mit einer strukturierten Herangehensweise lassen sich die wichtigsten Lücken in überschaubarer Zeit schließen. Die folgende Checkliste enthält die Maßnahmen mit dem besten Verhältnis von Aufwand zu Wirkung – ideal als Einstieg für KMUs, die ihre Compliance verbessern möchten.

Beginnen Sie mit den sichtbaren Bereichen (Website, Cookie-Banner, Datenschutzerklärung), arbeiten Sie sich dann zu den internen Prozessen vor (Dienstleisterverträge, Mitarbeiterinformation, Notfallplan). Dokumentieren Sie jeden Schritt – die Dokumentation ist im Prüfungsfall Ihr wichtigstes Instrument.

Für österreichische KMUs stehen mehrere kostenlose und offizielle Ressourcen zur Verfügung, die den Einstieg in die DSGVO-Compliance erleichtern.

Die österreichische Datenschutzbehörde (DSB) unter dsb.gv.at bietet offizielle Orientierungshilfen, Musterdokumente und das Online-Meldeportal für Datenpannen. Die Wirtschaftskammer Österreich (WKO) stellt unter wko.at/datenschutz kostenlose Mustervorlagen, Checklisten und branchenspezifische Leitfäden bereit – speziell auf österreichische Unternehmen zugeschnitten.

Die RTR (Rundfunk und Telekom Regulierungs-GmbH) bietet unter rtr.at Orientierungshilfen zu Cookie-Anforderungen und elektronischer Kommunikation. Für deutschsprachige Ressourcen über Österreich hinaus ist datenschutzbeauftragter.de eine umfangreiche Informationsquelle.

DSGVO-Compliance ist mehr als die Vermeidung von Bußgeldern. Unternehmen, die verantwortungsvoll mit Daten umgehen, gewinnen das Vertrauen ihrer Kunden, verbessern die Qualität ihrer Daten und schaffen einen echten Wettbewerbsvorteil – insbesondere gegenüber Mitbewerbern, die das Thema vernachlässigen.

Beginnen Sie mit den Quick Wins: Website-Datenschutzerklärung, Cookie-Banner, Google Fonts. Dokumentieren Sie Ihre Fortschritte. Behandeln Sie Datenschutz als laufenden Prozess, nicht als einmaliges Projekt – denn die rechtlichen Anforderungen und die eingesetzten Tools ändern sich kontinuierlich.

Wer Datenschutz ernst nimmt, schützt nicht nur sich selbst vor rechtlichen Risiken – er schützt auch die Menschen, deren Daten ihm anvertraut wurden. Das ist letztlich der Kern der DSGVO.