DSGVO Österreich 2026: DSG-Reform, KI-VO, NISG und Stichtage
· 11 Min Lesezeit
Datenschutzrecht in Österreich besteht 2026 aus mindestens vier Schichten gleichzeitig: der DSGVO als EU-Verordnung, dem nationalen Datenschutzgesetz (DSG) in seiner konsolidierten Fassung, der KI-Verordnung mit ihrem schrittweisen Inkrafttreten und dem neuen Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026). Wer als KMU, Verein oder selbstständiger Berater operiert, muss diese Schichten nicht alle vollständig durchdringen — aber er muss wissen, welche Pflicht wann scharf wird.
Schnell-Antwort: Die DSGVO bleibt 2026 unverändert; was sich in Österreich ändert, ist das nationale DSG (konsolidierte Fassung, harmonisiert mit NISG 2026), die parallele Anwendung der KI-VO und einige Klarstellungen aus dem EU-Digital-Omnibus. Praxis-Folge für KMU: Verzeichnis der Verarbeitungstätigkeiten aktualisieren, KI-Systeme im Personalbereich auf Art. 5/9 DSGVO abklopfen, Cyber-Sicherheits-Meldepflichten gemäß NISG 2026 prüfen. Die Datenschutzbehörde ist und bleibt die zuständige Anlaufstelle.
In diesem Artikel
- Vier Schichten: DSGVO, DSG, KI-VO, NISG
- DSG-Konsolidierung 2026 im Detail
- KI-VO und DSGVO: das Verhältnis
- NISG 2026: Cybersicherheit als Datenschutzthema
- Betroffenenrechte und DSB-Beschwerde
- Bußgelder, Compliance-Stichtage 2026
- Häufige Fragen
Vier Schichten: DSGVO, DSG, KI-VO, NISG
Wer in Österreich personenbezogene Daten verarbeitet, ist 2026 in vier verschiedenen Rechtsschichten zugleich. Die folgende Übersicht ordnet sie:
| Schicht | Geltung | Aufsicht |
|---|---|---|
| DSGVO (EU 2016/679) | EU-weit, direkt anwendbar | Datenschutzbehörde (DSB) |
| DSG (Bundesgesetzblatt) | Österreich, ergänzt DSGVO | DSB |
| KI-VO (EU 2024/1689) | EU-weit, schrittweise scharf | DSB für Hochrisiko-KI mit Personenbezug |
| NISG 2026 (B-VG-konform) | Österreich, NIS-2-Umsetzung | NIS-Behörde + DSB für Datenschutz-Aspekte |
Die DSGVO ist das Fundament. Das DSG füllt nationale Spielräume — etwa bei Bildaufnahmen im öffentlichen Raum, im Beschäftigtendatenschutz oder bei Informations- und Auskunftsrechten gegenüber Behörden. Die KI-Verordnung greift seit Februar 2025 schrittweise; im Februar 2026 wurden weitere Bestimmungen scharf, insbesondere die General-Purpose-AI-Pflichten. Das NISG 2026 ist der Cyber-Sicherheits-Pfeiler — es zwingt mittelständische und größere Unternehmen zu Risikomanagement, Vorfallsmeldung und Lieferkettenkontrolle.
DSG-Konsolidierung 2026 im Detail
Die konsolidierte Fassung des Datenschutzgesetzes ist im Bundesrecht (RIS) abrufbar und hat im Wesentlichen drei Schwerpunkte:
- Harmonisierung mit NISG 2026 — die Meldepflichten zu Datenschutzverletzungen und Cybersicherheit sind nun zwischen DSG, NISG und der DSGVO so abgestimmt, dass eine einheitliche Meldung an mehrere Behörden möglich ist.
- Datenaustausch mit Finanzbehörden — Klarstellungen zur Verarbeitungsgrundlage, wenn Steuer- oder Sozialversicherungsdaten zwischen Behörden ausgetauscht werden.
- Verfahren vor der DSB — Frist- und Beschwerdewege wurden vereinheitlicht und teilweise digitalisiert.
Praktischer Effekt für KMU: Wer bisher zwei Datenschutz-Vorfallsmeldungen schreiben musste (DSB für DSGVO, separater Behörden-Track für IT-Sicherheit), kann ab 2026 den Vorgang in einer Erst-Meldung bündeln. Die DSB hat dazu ein neues Online-Formular bereitgestellt.
KI-VO und DSGVO: das Verhältnis
Eine der häufigsten KMU-Fragen 2026: “Wenn ich ChatGPT für meine Marketing-Texte nutze, ist das nun KI-VO oder DSGVO?” Die Antwort ist beides, aber nicht für jeden Fall gleichzeitig:
- DSGVO greift, sobald personenbezogene Daten in das Modell hineingehen. Eine Bewerbungs-Mail, die durch ein KI-System läuft, ist DSGVO-relevant — Rechtsgrundlage (Art. 6), Information der betroffenen Person (Art. 13), und ggf. Datenschutz-Folgenabschätzung (Art. 35) gelten unverändert.
- KI-VO greift unabhängig davon, sobald das System ein Hochrisiko-KI-System ist (Personalauswahl, Bonitätsbewertung, Sicherheitsbehörden) oder allgemeine General-Purpose-AI mit hohem systemischem Risiko betrieben wird.
Für mittelständische Betriebe sind drei Felder besonders relevant:
- Bewerber-Screening — KI-gestützte Vorauswahl ist Hochrisiko (Anhang III KI-VO). Pflicht: DPIA, Transparenzhinweis, menschliche Letztentscheidung.
- Mitarbeiter-Performance-Tracking — typischerweise Art. 9 DSGVO (besondere Kategorien) und KI-VO Art. 5 (verbotene Praktiken bei manipulativem Einsatz).
- Kunden-Profiling im Marketing — Art. 22 DSGVO (automatisierte Einzelfallentscheidung) und KI-VO-Transparenz nur bei Hochrisiko.
Bei datenschutzrechtlichen KI-Fragen ist die DSB der Ansprechpartner; eine zusätzliche KI-Servicestelle besteht in der RTR GmbH und liefert technische Auskünfte.
NISG 2026: Cybersicherheit als Datenschutzthema
Das NISG 2026 setzt die EU-NIS-2-Richtlinie um und betrifft erheblich mehr Unternehmen als sein Vorgänger. Wesentliche Verpflichtungen:
- Risiko-Management-Maßnahmen (Art. 21 NIS-2): technisch-organisatorische Maßnahmen, Lieferketten-Sicherheit, Schulung, Krypto-Standards
- Vorfallsmeldepflicht: erste Meldung binnen 24 Stunden, vollständige Meldung binnen 72 Stunden
- Geschäftsführungs-Verantwortung: Geschäftsführer haften persönlich für die Einhaltung — diese Regelung ist neu
Welche Unternehmen sind betroffen? Im Wesentlichen alle mit ≥ 50 Mitarbeitern oder ≥ 10 Millionen Euro Umsatz in Sektoren wie Energie, Verkehr, Gesundheit, digitale Infrastruktur, Verwaltung, Lebensmittel, digitale Dienste. Kleinunternehmen bleiben außen vor — bis auf Spezialfälle wie Vertrauensdiensteanbieter.
Datenschutz-Brücke: Eine Cyber-Sicherheitslücke, die zu einer Datenschutzverletzung führt, ist in einem Vorgang an DSB und NIS-Behörde zu melden. Das DSG 2026 vereinfacht den parallelen Meldeweg.
Betroffenenrechte und DSB-Beschwerde
Als betroffene Person haben Sie unverändert Anspruch auf:
- Auskunft (Art. 15 DSGVO) — welche Daten verarbeitet werden, woher, an wen weitergegeben
- Berichtigung (Art. 16) und Löschung (Art. 17 — Recht auf Vergessenwerden)
- Einschränkung (Art. 18) und Datenübertragbarkeit (Art. 20)
- Widerspruch (Art. 21), insbesondere bei Direktwerbung
- Beschwerde bei der DSB (Art. 77)
Eine DSB-Beschwerde ist kostenfrei und kann schriftlich (Post, E-Mail) oder über das Online-Formular auf dsb.gv.at eingereicht werden. Erforderlich: Sachverhalt, Beweise (E-Mails, Screenshots), Angabe des Verantwortlichen, ggf. Vollmacht für Vertretung. Die DSB muss binnen drei Monaten entscheiden oder den Stand des Verfahrens kommunizieren. Die Erfolgsquote bei nachgewiesenen Verstößen ist hoch — etwa 60 Prozent der Beschwerden führen zu einer Verwarnung oder Sanktion.
Wer parallel Schadenersatz nach Art. 82 DSGVO einklagen will, wendet sich ans Bezirksgericht (bis 15.000 € Streitwert) oder Landgericht. Solche Klagen sind üblicherweise Anwalts-Sache und können — anders als die DSB-Beschwerde — Kosten verursachen.
Bußgelder, Compliance-Stichtage 2026
| Datum | Pflicht | Wer betroffen |
|---|---|---|
| 1.1.2026 | DSG-Konsolidierung in Kraft | alle Verantwortlichen |
| Q1 2026 | DSB-Leitlinien zu Finanzdaten | öffentl. Stellen, Banken |
| 2.2.2026 | KI-VO General-Purpose-AI-Pflichten scharf | KI-Anbieter, große Nutzer |
| 17.10.2026 | NIS-2 / NISG 2026 voll wirksam | mittl. + große Unternehmen |
| Q4 2026 | EU-Digital-Omnibus Rechtsverordnung | alle EU-Verantwortlichen |
Bußgeldhöhe: Bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Vorjahresumsatzes — der höhere Betrag gilt. Für formale Verstöße (Verzeichnis, Meldung) liegt der Rahmen bei 10 Millionen oder 2 Prozent. Die DSB hat in den letzten Jahren überwiegend Bußgelder im fünf- bis sechsstelligen Bereich verhängt; sieben- und achtstellige Bußgelder bleiben Ausnahmefälle gegenüber Konzernen.
Wer als Arbeitgeber Personaldaten verarbeitet, sollte parallel den Beitrag zu Arbeitsrecht Österreich konsultieren — speziell zur Entgelttransparenz, die ab Juni 2026 eigene Datenoffenlegungspflichten schafft. Konsumentenrechtlich ergänzt der Beitrag zu Verbraucherschutz beim Online-Kauf das Thema, weil viele DSGVO-Beschwerden aus Online-Bestellprozessen kommen. Im Gewerbebereich verbindet der Beitrag zu Gewährleistung und Reklamation die Themen Vertragsdaten und Belege.
Häufige Fragen
Was hat sich am österreichischen DSG 2026 geändert?
Die konsolidierte Fassung des Datenschutzgesetzes harmonisiert die Meldepflichten für Cybersicherheit mit dem NISG 2026, das die EU-NIS-2-Richtlinie umsetzt. Außerdem werden Bestimmungen zum Datenaustausch mit Finanzbehörden präzisiert. Die Datenschutzbehörde hat zur Auslegung Anfang 2026 aktualisierte Leitlinien veröffentlicht.
Wer ist für KI-Datenschutz in Österreich zuständig?
Die österreichische Datenschutzbehörde, soweit personenbezogene Daten verarbeitet werden. Für Marktüberwachung von Hochrisiko-KI-Systemen ergibt sich die Zuständigkeit aus §§ 18 und 31 DSG. Die KI-VO und die DSGVO gelten parallel — KI-Systeme mit Personenbezug brauchen beide Compliance-Lager.
Welche Bußgelder drohen bei DSGVO-Verstößen in Österreich?
Bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Vorjahresumsatzes — der höhere Betrag gilt. Für formale Verstöße liegt der Rahmen bei 10 Millionen Euro oder 2 Prozent. Die DSB verhängt Bußgelder anlassbezogen; in den letzten Jahren waren mittelständische Verstöße meist im fünf- bis sechsstelligen Bereich.
Wie reiche ich eine Beschwerde bei der Datenschutzbehörde ein?
Schriftlich per Post, E-Mail oder über das Online-Formular auf dsb.gv.at — mit Schilderung des Sachverhalts, Belegen und Angabe des betroffenen Verantwortlichen. Eine Beschwerde ist kostenfrei. Die DSB muss binnen drei Monaten eine Entscheidung treffen oder den Stand des Verfahrens mitteilen.
Was ist der EU-Digital-Omnibus 2026?
Eine Sammelreform, die Verschachtelungen zwischen DSGVO, KI-VO, Data Act, Cyber Resilience Act und Digital Services Act auflöst. Der Schwerpunkt liegt auf Klarstellungen zu Auftragsverarbeitung, KI-Trainingsdaten und Schnittstellen zwischen Aufsichtsbehörden. Für österreichische Verantwortliche ändert sich die Praxis nicht radikal, aber die Dokumentationspflichten werden neu strukturiert.
Müssen alle Unternehmen einen Datenschutzbeauftragten bestellen?
Nein — pflichtig sind Behörden, Unternehmen mit Kerntätigkeit umfangreicher regelmäßiger Datenverarbeitung und Verarbeiter besonderer Kategorien personenbezogener Daten. Ein Online-Shop mit Standard-Tracking braucht in der Regel keinen DSB. Die Bestellung ist trotzdem in vielen mittelständischen Betrieben sinnvoll, weil sie Compliance dokumentierbar macht.
Quellen
- Datenschutzbehörde — KI & Datenschutz — primäre Behördenauskunft zur KI-VO/DSGVO-Schnittstelle
- RIS — Datenschutzgesetz konsolidiert — Volltext der DSG-Fassung 2026
- DSB-Newsletter Nr. 3/2025 — letzte vorbereitende Hinweise zur 2026-Konsolidierung
- BTL Rechtsanwälte — EU-Digital-Omnibus 2026 — fachjurnalistische Übersicht
- RTR — KI-Servicestelle — technische Anlaufstelle für KI-VO-Fragen
Bei komplexen DSGVO- oder NISG-2026-Compliance-Fragen lohnt eine spezialisierte Erstberatung. Über die Vermittlungs-Plattform finden Sie einen Anwalt für IT- und Datenschutzrecht. Affiliate-Hinweis: Bei Mandatierung erhalten wir eine kleine Provision — für Sie entstehen keine Mehrkosten.