Du hast eine Website, ein paar Tools eingebunden, vielleicht Google Analytics oder ein Kontaktformular. Aber was davon muss eigentlich in deine Datenschutzerklärung? Die Antwort: alles, was personenbezogene Daten verarbeitet. Und das ist mehr, als die meisten denken. In diesem Artikel erfährst du, welche Pflichtangaben die DSGVO und das österreichische DSG für Websites in Österreich vorschreiben.
Wer direkt loslegen möchte, kann mit PrivacyBee eine Datenschutzerklärung erstellen, die automatisch auf die eigene Website zugeschnitten ist.
Warum der Inhalt der Datenschutzerklärung individuell sein muss
Die DSGVO schreibt in Artikel 13 und 14 genau vor, über welche Verarbeitungsvorgänge du informieren musst. Diese Vorgaben sind nicht optional. Sie gelten für jede Website, die personenbezogene Daten erhebt. Das beginnt bereits beim Aufruf der Seite: Schon das Speichern von IP-Adressen im Server-Log gilt als Datenverarbeitung.
Ein generischer Mustertext deckt meist nur die häufigsten Fälle ab. Nutzt du Google Analytics, ein Kontaktformular, einen Newsletter-Dienst oder eingebettete YouTube-Videos, müssen all diese Tools einzeln in der Datenschutzerklärung erwähnt und erläutert werden. Fehlt ein Dienst, ist die Erklärung unvollständig und damit im Zweifelsfall nicht DSGVO-konform.
Die Pflichtangaben nach DSGVO: Das gehört in jede Datenschutzerklärung
Folgende Angaben sind laut DSGVO für jede Website in Österreich verpflichtend:
- Verantwortlicher: Name, Anschrift und Kontaktdaten der Person oder des Unternehmens, das für die Datenverarbeitung verantwortlich ist.
- Kontaktdaten des Datenschutzbeauftragten: Sofern gesetzlich vorgeschrieben, müssen Name und Erreichbarkeit angegeben werden. In Österreich gelten dieselben Schwellenwerte wie in der DSGVO.
- Zweck und Rechtsgrundlage der Verarbeitung: Für jeden Verarbeitungsvorgang muss klar sein, warum die Daten erhoben werden und auf welcher Rechtsgrundlage (z. B. Art. 6 Abs. 1 DSGVO).
- Empfänger der Daten: Werden Daten an Dritte weitergegeben oder an externe Dienstleister übermittelt, muss das transparent gemacht werden.
- Speicherdauer: Wie lange werden die Daten aufbewahrt? Oder nach welchen Kriterien wird die Dauer bestimmt?
- Datenübermittlung in Drittländer: Werden Daten in Länder außerhalb der EU übertragen (z. B. durch US-Dienste wie Google oder Meta), ist das gesondert zu erläutern.
- Betroffenenrechte: Nutzer:innen müssen über ihre Rechte informiert werden: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch.
- Beschwerderecht: In Österreich gibt es eine einzige zuständige Aufsichtsbehörde: die Datenschutzbehörde (DSB) mit Sitz in Wien. Auf das Beschwerderecht bei der DSB muss ausdrücklich hingewiesen werden.
- Widerrufsrecht bei Einwilligungen: Wurde die Verarbeitung auf eine Einwilligung gestützt, muss auf das jederzeitige Widerrufsrecht hingewiesen werden.
Was in Österreich durch das DSG zusätzlich gilt
In Österreich gilt neben der DSGVO das nationale Datenschutzgesetz (DSG). Es enthält einige Besonderheiten, die über die DSGVO hinausgehen:
Das Grundrecht auf Geheimhaltung (§ 1 DSG) ist in Österreich verfassungsrechtlich verankert. Es schützt personenbezogene Daten umfassender als die DSGVO allein. Für die Datenschutzerklärung bedeutet das: Die Informationspflichten sind in Österreich tendenziell strenger auszulegen. Im Zweifel lieber mehr offenlegen als weniger.
Beim Einsatz von Cookies und Tracking-Technologien orientiert sich Österreich an der ePrivacy-Richtlinie, umgesetzt im TKG 2021. Für nicht technisch notwendige Cookies ist eine aktive Einwilligung erforderlich. Das muss in der Datenschutzerklärung klar beschrieben sein, und dein Cookie-Banner muss mit der Datenschutzerklärung konsistent sein.
Aufbau der Datenschutzerklärung: So strukturierst du sie richtig
Ein klar gegliederter Aufbau hilft Nutzer:innen beim Lesen und erleichtert die rechtliche Prüfung. Bewährt hat sich folgende Struktur:
- Allgemeine Hinweise und Pflichtinformationen (Verantwortlicher, Datenschutzbeauftragter)
- Datenerfassung auf der Website (Hosting, Server-Logs)
- Cookies und Einwilligungen
- Einzelne Tools und Dienste (Analytics, Werbung, Social Media, Newsletter)
- Kontaktformular und E-Mail-Kontakt
- Rechte der betroffenen Personen
- Zuständige Aufsichtsbehörde (DSB Wien)
- Aktualität und Änderungen der Datenschutzerklärung
Die Datenschutzerklärung muss jederzeit leicht zugänglich sein. In der Regel über einen gut sichtbaren Link im Footer der Website, zusammen mit dem Impressum. Sie darf nicht hinter einem Login oder einem Klickpfad versteckt sein.
Das häufigste Problem: Die Datenschutzerklärung wird nicht aktualisiert
Einmalig erstellt, danach vergessen. Das ist die häufigste Ursache für eine nicht konforme Datenschutzerklärung. Jedes neu eingebundene Tool, jede Änderung eines Dienstleisters und jede neue Rechtslage kann dazu führen, dass der Text veraltet ist.
In Österreich ist das Risiko etwas anders gelagert als in Deutschland: Wettbewerbsrechtliche Abmahnungen sind seltener, aber die Datenschutzbehörde kann Verwaltungsstrafen verhängen. Die DSGVO sieht dafür empfindliche Bußgelder vor. Das Risiko lässt sich einfach vermeiden: mit einer vollständigen, aktuellen Datenschutzerklärung.
PrivacyBee löst genau dieses Problem. PrivacyBee scannt deine Website kontinuierlich und hält die Datenschutzerklärung automatisch aktuell. Ohne manuellen Aufwand.
DSGVO-konforme Datenschutzerklärung: Was das wirklich bedeutet
Eine DSGVO-konforme Datenschutzerklärung erfüllt drei Kernbedingungen: Sie ist vollständig, aktuell und verständlich. Vollständig heißt, dass alle Verarbeitungsvorgänge abgedeckt sind. Aktuell heißt, dass Änderungen an der Website oder der Rechtslage zeitnah eingearbeitet werden. Verständlich heißt, dass die Erklärung in klarer Sprache verfasst ist. Juristische Fachbegriffe müssen erklärt oder vermieden werden.
Generatoren, die einen einmaligen Standardtext ausgeben, erfüllen diese Anforderungen strukturell nicht. Neben der Datenschutzerklärung gehören auch ein korrektes Impressum und ein Cookie-Banner, der die Anforderungen der DSGVO und des TKG 2021 erfüllt, zur vollständig abgesicherten Website.
PrivacyBee auf WordPress, Wix und anderen CMS einrichten
PrivacyBee lässt sich direkt in dein CMS integrieren und übernimmt dort automatisch die Pflege von Datenschutzerklärung, Impressum und Cookie-Banner:
- WordPress: Das PrivacyBee WordPress-Plugin bindet Datenschutzerklärung, Impressum und Cookie-Banner direkt in deine WordPress-Website ein.
- Weitere CMS (Wix, Jimdo, Shopify, Squarespace, Webflow u. a.): Alle Integrationsmöglichkeiten findest du in der Übersicht aller Integrationen.
So bleibt deine Datenschutzerklärung dauerhaft DSGVO-konform
Der Inhalt einer Datenschutzerklärung ist kein einmaliges Dokument, sondern ein laufend zu pflegender Bestandteil jeder Website. Wer alle Pflichtangaben nach DSGVO und DSG vollständig abbildet und die Erklärung regelmäßig aktualisiert, ist auf der sicheren Seite.
PrivacyBee übernimmt genau das automatisch. PrivacyBee scannt deine Website, erkennt alle datenschutzrelevanten Dienste und hält Datenschutzerklärung, Impressum und Cookie-Banner ohne manuellen Aufwand aktuell.
Was muss eine Datenschutzerklärung in Österreich enthalten?
Eine Datenschutzerklärung muss gemäß Art. 13 und 14 DSGVO mindestens folgende Angaben enthalten: Name und Kontakt des Verantwortlichen, Zweck und Rechtsgrundlage der Datenverarbeitung, Empfänger der Daten, Speicherdauer sowie die Rechte der betroffenen Personen. Zusätzlich müssen alle auf der Website eingesetzten Tools und Dienste einzeln aufgeführt werden. In Österreich kommt der explizite Hinweis auf die DSB als zuständige Aufsichtsbehörde hinzu.
Wie oft muss die Datenschutzerklärung aktualisiert werden?
Immer dann, wenn sich die Datenverarbeitungsprozesse auf der Website ändern. Also bei jedem neu eingebundenen Tool, bei Änderungen bestehender Dienste oder bei neuen gesetzlichen Anforderungen.
Welche Aufsichtsbehörde ist in Österreich zuständig?
In Österreich gibt es eine einzige Datenschutz-Aufsichtsbehörde: die Datenschutzbehörde (DSB) mit Sitz in Wien. Anders als in Deutschland, wo 16 Landesdatenschutzbehörden zuständig sind, ist die DSB für alle datenschutzrechtlichen Beschwerden in ganz Österreich verantwortlich.
Was passiert, wenn die Datenschutzerklärung fehlt oder unvollständig ist?
Eine fehlende oder unvollständige Datenschutzerklärung kann in Österreich durch die Datenschutzbehörde geahndet werden. Die DSGVO sieht empfindliche Bußgelder vor. Wettbewerbsrechtliche Abmahnungen durch Mitbewerber:innen kommen in Österreich seltener vor als in Deutschland, sind aber ebenfalls möglich. Das Risiko lässt sich einfach vermeiden: mit einer vollständigen, aktuellen Datenschutzerklärung.
LegalTech Experte
Datenschutz Anwalt
- Zuletzt aktualisisert: 16. April 2026
