DSB-Bescheide lesen und verstehen: Wie die österreichische Datenschutzbehörde wirklich entscheidet

Wer eine österreichische Website betreibt und ein Datenschutz-Problem hat, landet im Konfliktfall bei der Datenschutzbehörde (DSB) — der einzigen nationalen Aufsichtsbehörde für die DSGVO und das österreichische Datenschutzgesetz (DSG). Anders als Deutschland mit seinen 16 Landesdatenschutz­behörden plus dem BfDI hat Österreich genau eine zentrale Stelle: die DSB in der Barichgasse 40-42 in Wien.

Diese Anleitung erklärt, wie ein DSB-Verfahren abläuft, wie ein Bescheid aufgebaut ist, welche Sanktionen die DSB tatsächlich verhängt — und wie Sie sich gegen einen für Sie ungünstigen Bescheid wehren können. Wir zitieren reale Bescheide, soweit sie veröffentlicht sind.

Die DSB als zentrale Instanz

Die DSB ist nach § 18 ff. DSG für die DSGVO-Aufsicht in Österreich zuständig. Sie hat im Gegensatz zur deutschen föderalen Struktur keine Landesbehörden unter sich; alle Verfahren laufen bei ihr zentral. Eine Ausnahme bildet der parlamentarische Datenschutz seit 2025, der von einem eigenen Parlamentarischen Datenschutzkomitee überwacht wird — für die meisten Unternehmen ist diese Sondererscheinung aber nicht praxisrelevant.

Aufgaben der DSB:

• Bearbeitung von Beschwerden betroffener Personen
• Verfahren von Amts wegen (auch ohne konkrete Beschwerde)
• Erlassung von Verwaltungsstrafen
• Beratung von Verantwortlichen, soweit Kapazitäten reichen
• Mitwirkung im EDSA (Europäischer Datenschutzausschuss) und im One-Stop-Shop für grenzüberschreitende Verfahren

Aktuelle Statistik aus dem DSB-Datenschutzbericht 2024:

• 73 Verwaltungsstraf-Bescheide im Jahr 2024
• 62 monetäre Geldbußen mit einer Gesamtsumme von EUR 1.684.230
• 11 Verwarnungen (nicht-monetäre Konsequenz)
• Median der einzelnen Bußen: vier- bis fünfstelliger Bereich
• Hohe Spitzenwerte (sechs- bis siebenstellig) treten bei Großverfahren auf

Wie ein DSB-Verfahren abläuft

1. Anlass

Drei typische Auslöser:

• Beschwerde einer betroffenen Person nach Art. 77 DSGVO (z. B. „mein Auskunftsanspruch wurde nicht beantwortet").
• Anzeige durch Dritte oder Hinweis aus den Medien (z. B. ein gemeldetes Datenleck).
• Amtswegige Aufnahme durch die DSB (z. B. Schwerpunktprüfung Cookie-Banner einer Branche).

2. Vorerhebung

Die DSB klärt zunächst, ob sie überhaupt zuständig ist und ob der Sachverhalt eine Verfahrenseinleitung rechtfertigt. Bei klar grenzwertigen Fällen erfolgt eine formlose Beratung; in unklaren Fällen wird eine Aufforderung zur Stellungnahme an den Verantwortlichen versandt.

Die Aufforderung enthält:

• den Sachverhalt aus DSB-Sicht
• die rechtliche Beurteilung
• eine Frist zur Stellungnahme (typischerweise 4 Wochen)
• eine Liste der angeforderten Unterlagen

Verantwortliche müssen innerhalb der Frist substantiiert antworten. Standard­antworten („wir halten alles ein") werden in der Regel als unbefriedigend gewertet und führen zur Verfahrens­eskalation.

3. Förmliches Verfahren

Wird das Verfahren förmlich eingeleitet, gelten die Regeln des Allgemeinen Verwaltungsverfahrens­gesetzes (AVG). Der Verantwortliche hat das Recht auf:

• Akteneinsicht
• Stellungnahme zu allen Beweismitteln
• Anhörung in mündlicher Verhandlung (auf Antrag)
• Beiziehen eines Rechtsbeistands

Die DSB sammelt Beweise (Akteneinsicht in Verarbeitungsverzeichnis, Cookie-Konfiguration, E-Mail-Korrespondenz, Logs), führt ggf. eine mündliche Verhandlung durch und erlässt dann den Bescheid.

4. Bescheid

Ein DSB-Bescheid hat einen Standard-Aufbau:

• Spruch: das, was die DSB rechtsverbindlich entscheidet — ein „Sie haben Art. X DSGVO verletzt; verhängt wird eine Geldbuße in Höhe von EUR Y"-Satz.
• Begründung: ausführliche Sachverhalts­darstellung und rechtliche Würdigung, oft 20–40 Seiten lang.
• Rechtsmittel­belehrung: Hinweis darauf, dass innerhalb von vier Wochen Bescheid­beschwerde an das BVwG zulässig ist.

Der Bescheid wird per RSb-Brief oder elektronisch über USP zugestellt. Mit Zustellung beginnt die Vier-Wochen-Frist für die Bescheidbeschwerde.

Sanktionen, die die DSB verhängen kann

DSGVO-Geldbußen und DSG-Geldstrafen schließen einander nicht aus. Eine Verarbeitung kann gleichzeitig gegen die DSGVO (Art. 6) und das DSG (§ 1, Grundrecht auf Datenschutz) verstoßen — die DSB kann beide Sanktionen kumulativ verhängen.

Reale Beispielsbescheide

Vier Bescheide, die in der österreichischen Praxis häufig zitiert werden:

Geschäftsführer als Datenschutzbeauftragter (DSB 16.10.2024, EUR 5.000)

Ein KMU hatte den Geschäftsführer auch zum Datenschutzbeauftragten bestellt. Die DSB stellte einen Verstoß gegen Art. 38 Abs. 6 DSGVO fest — Interessenkonflikt, weil der DSB nicht effektiv die Verarbeitung kontrollieren kann, deren Zwecke und Mittel er als Geschäftsführer mitbestimmt. Die Geldbuße: EUR 5.000. Praktiker-Zusammenfassung.

Lehre: Datenschutzbeauftragten-Bestellung muss inhaltlich tragfähig sein, nicht nur formal abgehakt.

Videoüberwachung mit neun Kameras (DSB 16.08.2024, EUR 1.500.000)

Ein Unternehmen hatte neun Außen- und Innenkameras installiert, die teils öffentlichen Raum erfassten und ohne ausreichende rechtliche Grundlage Mitarbeiter und Passanten aufzeichneten. Geldbuße: EUR 1.500.000. Bestätigt durch das BVwG am 25.07.2025 (W258 2299744-1/28E). Praktiker-Zusammenfassung.

Lehre: Videoüberwachung ist die Verstoß­kategorie mit den höchsten DSB-Bußen — wer öffentlichen Raum erfasst, braucht eine wirklich tragfähige Rechtsgrundlage und eine Abwägung der Interessen, die schriftlich dokumentiert ist.

Google Analytics / NOYB (DSB Dezember 2021, veröffentlicht Januar 2022)

Modellbescheid auf Beschwerde von NOYB: Übermittlung von IP-Adressen über Google Analytics in die USA stellte einen Verstoß gegen Art. 44 ff. DSGVO dar. Keine Geldbuße — die DSB stellte nur den Verstoß fest. Bescheid-PDF (NOYB).

Lehre: Datentransfers in Drittländer sind eine eigene Compliance-Disziplin. Wichtige Aktualisierung: das EU-US Data Privacy Framework (Adäquanzbeschluss Juli 2023) hat die Lage geändert; Übermittlungen an US-zertifizierte Empfänger sind seither wieder zulässig. Der Bescheid bleibt für die Methodik der Transferanalyse lehrreich.

ÖPS / Österreichische Post (DSB 2019, „EUR 18 Mio.")

Wichtig — der Status ist offen. Die DSB verhängte 2019 eine Geldbuße von EUR 18 Mio. wegen Erstellung von „Parteiaffinitäts­profilen". Das BVwG hob den Bescheid am 26.11.2020 (W258 2227269-1/15E) wegen Form-Mängeln auf. Nach dem CJEU-Urteil Deutsche Wohnen (C-807/21, 5.12.2023) hat der VwGH 2024 die BVwG-Aufhebung wieder kassiert; das Verfahren läuft weiter. Die EUR 18 Mio. sind keine rechtskräftige Sanktion. Wer die Zahl unkommentiert zitiert, gibt einen falschen Stand der Dinge wieder.

Lehre: Bei Großverfahren ist der Verfahrensweg lang. Eine als „berühmt" zitierte Bußen-Höhe ist nicht automatisch die endgültige Sanktion.

Rechtsmittel — die Drei-Stufen-Hierarchie

Bei einem ungünstigen DSB-Bescheid haben Sie drei Instanzen:

1. Bundesverwaltungsgericht (BVwG) — Bescheidbeschwerde innerhalb von vier Wochen ab Zustellung. Das BVwG entscheidet in der Sache neu, kann den Bescheid aufheben, abändern oder bestätigen.
2. Verwaltungsgerichtshof (VwGH) — Revision an den VwGH zulässig nur bei „grundsätzlicher Bedeutung" (eine Rechtsfrage, die für viele Fälle relevant ist und vom OGH/VwGH noch nicht entschieden wurde). Sonst kein Rechtsmittel.
3. Verfassungsgerichtshof (VfGH) — bei verfassungs- oder grundrechtlichen Fragen kann zusätzlich der VfGH angerufen werden.

In der Praxis schließen die meisten Verfahren auf BVwG-Ebene ab. VwGH-Revisionen sind selten und überwiegend für Großbußen relevant.

Was tun, wenn Sie Post von der DSB bekommen?

Eine Aufforderung zur Stellungnahme oder ein Verfahrenseinleitungs­bescheid ist kein Grund zur Panik, aber zum sofortigen Handeln:

1. Frist notieren — Aufforderungen haben typischerweise 4 Wochen. Versäumnis kann das Verfahren in Abwesenheit fortsetzen.
2. Rechtsbeistand konsultieren — eine spezialisierte Datenschutz-Anwaltschaft. Die Frühphase des Verfahrens entscheidet oft über Höhe der späteren Sanktion.
3. Beweise sichern — Verarbeitungsverzeichnis, Cookie-Konfiguration, Logs, Auftragsverarbeitungs-Verträge. Die DSB wird diese Unterlagen anfordern; wer nichts vorlegen kann, wirkt fahrlässig.
4. Sachverhalt rekonstruieren — was war wann konfiguriert, wer hatte Zugriff, welche Mitigations­maßnahmen wurden ergriffen?
5. Stellungnahme substantiiert — Standardphrasen vermeiden. Lieber ehrlich Schwachstellen einräumen und die Behebungsmaßnahmen darstellen.

Die DSB belohnt Kooperation und Transparenz mit niedrigeren Sanktionen — sichtbar in vielen Bescheiden, in denen der konstruktive Beitrag des Verantwortlichen ausdrücklich strafmildernd gewürdigt wird.

Ressourcen

• Aktuelle Newsmeldungen der DSB: dsb.gv.at/aktuelles
• Englische Fassung mit ausgewählten Bescheiden: data-protection-authority.gv.at
• Praktiker-Blog mit zeitnaher Bescheid-Analyse: dataprotect.at
• Annotierte DSB-Bescheide auf Englisch: GDPR Hub
• BVwG-Datenschutz-Entscheidungen: bvwg.gv.at

Wenn Sie zur Vorbereitung auf ein mögliches DSB-Verfahren Ihre Website prüfen möchten — die häufigsten technischen Verstoßmuster (Cookies vor Einwilligung, fehlende Datenschutz­erklärung, ungesicherte Form-Übermittlung) erkennen wir automatisiert. Eine kostenlose Erstanalyse zeigt, ob die niedrig hängenden Compliance-Früchte gepflückt sind, bevor jemand Beschwerde erhebt.