Bin ich als Kleinunternehmer in Österreich zur Datenschutzerklärung verpflichtet?

Ja. Die DSGVO und das österreichische DSG 2018 gelten unabhängig von der Unternehmensgröße. Jedes Unternehmen in Österreich, das personenbezogene Daten verarbeitet — auch nur durch ein Kontaktformular oder eine E-Mail-Adresse — benötigt eine Datenschutzerklärung. Eine Ausnahme gilt nur für rein private, nicht wirtschaftliche Tätigkeiten.

Welche Bußgelder kann die österreichische Datenschutzbehörde verhängen?

Die DSB kann bei schwerwiegenden Verstößen Bußgelder bis zu EUR 20 Mio. oder 4 % des weltweiten Jahresumsatzes verhängen (Art. 83 Abs 5 DSGVO). Bei weniger schweren Verstößen beträgt der Rahmen bis zu EUR 10 Mio. oder 2 % des weltweiten Jahresumsatzes. In der österreichischen Praxis werden auch gegen KMU Bußgelder im vierstelligen bis fünfstelligen Bereich verhängt.

Muss ich in Österreich einen Datenschutzbeauftragten bestellen?

Eine Pflicht zur Bestellung eines Datenschutzbeauftragten (DSB) besteht in Österreich nach Art. 37 DSGVO für: Behörden, Unternehmen mit umfangreicher Verarbeitung sensibler Daten (z. B. Gesundheitsdaten) und Unternehmen, bei denen die Kerntätigkeit in der umfangreichen, regelmäßigen und systematischen Überwachung von Personen besteht. Für die meisten KMU in Österreich ist keine DSB-Bestellung erforderlich.

Wie lange muss ich Daten in Österreich aufbewahren?

Die Speicherdauer hängt vom Zweck und der Rechtsgrundlage ab. In Österreich gilt für Geschäftsunterlagen eine steuerrechtliche Aufbewahrungspflicht von 7 Jahren (BAO). Für Lohnverrechnungsdaten gelten nach ASVG bis zu 10 Jahre. Für rein auf Einwilligung gestützte Daten (z. B. Newsletter) gilt: Daten sind zu löschen, sobald die Einwilligung widerrufen wird.

Darf ich Google Analytics in Österreich noch verwenden?

Ja, seit Inkrafttreten des EU-US-Data-Privacy-Framework (DPF) im Juli 2023 ist Google Analytics für DPF-zertifizierte Google-Dienste wieder zulässig. Sie müssen jedoch in Ihrer Datenschutzerklärung auf die Datenübermittlung in die USA und das DPF hinweisen sowie einen DSGVO-konformen Cookie-Banner mit vorab einzuholender Einwilligung einsetzen.

Wo muss ich meine Datenschutzerklärung in Österreich veröffentlichen?

Die Datenschutzerklärung muss dauerhaft, leicht auffindbar und kostenlos zugänglich sein. In Österreich ist die Verlinkung im Footer jeder Website-Seite (neben Impressum und AGB) die Standardpraxis. Für Apps genügt ein Link in den App-Store-Einträgen und ein In-App-Zugang. Die DSB prüft die Auffindbarkeit bei Beschwerden.

Muss ich Kunden bei Änderungen der Datenschutzerklärung informieren?

Bei wesentlichen Änderungen, die sich auf die Rechte betroffener Personen auswirken, sind diese in geeigneter Weise zu informieren — z. B. per E-Mail oder durch eine gut sichtbare Ankündigung auf der Website. Bloße stilistische Änderungen erfordern keine aktive Benachrichtigung, sollten aber durch Aktualisierung des Datums in der Erklärung kenntlich gemacht werden.

Gilt die österreichische Datenschutzerklärung auch für EU-Kunden aus anderen Ländern?

Ja. Die DSGVO gilt in der gesamten EU; eine österreichische Datenschutzerklärung nach DSGVO schützt grundsätzlich alle EU-Betroffenen. Bei einer Niederlassung oder gezielter Ansprache von Kunden in anderen EU-Ländern kann je nach Konstellation eine Abstimmung mit der Aufsichtsbehörde des anderen Landes erforderlich sein (One-Stop-Shop-Verfahren).

GeschäftlichAT

Datenschutzerklärung Vorlage für Österreich

Erstellen Sie eine DSGVO-konforme Datenschutzerklärung für Ihr Unternehmen in Österreich — angepasst an das österreichische Datenschutzgesetz (DSG 2018) und die Anforderungen der österreichischen Datenschutzbehörde (DSB). Unsere Vorlage deckt alle Pflichtangaben nach Art. 13 und 14 DSGVO ab und ermöglicht Ihnen, Ihre Datenschutzerklärung in wenigen Minuten als professionelles PDF herunterzuladen.

Datenschutzerklärung erstellen

Kostenlos nutzbarSofort als PDFKein Konto erforderlich

DATENSCHUTZERKLÄRUNG

Gemäß Art 13 / 14 DSGVO Ivm Datenschutzgesetz (DSG) · Österreich

Diese Datenschutzerklärung informiert Sie über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten durch AlpenTech Handels GmbH, FN FN 234567 m, HG Wien, UID-Nr. ATU45678901 im Rahmen seiner Geschäftstätigkeit, beim Besuch der Webseite, bei Inanspruchnahme von Dienstleistungen sowie bei Kontaktaufnahme. Die Verarbeitung erfolgt unter strikter Beachtung der Grundsätze des Art 5 DSGVO — Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung sowie Integrität und Vertraulichkeit. Soweit die DSGVO einschlägig ist, wird sie ergänzt durch das österreichische Datenschutzgesetz (DSG).

VERANTWORTLICHER IM SINNE DES ART 4 Z 7 DSGVO

Verantwortlich für die Verarbeitung personenbezogener Daten im Sinne des Art 4 Z 7 DSGVO ist die nachfolgend bezeichnete Stelle. Für Fragen zum Datenschutz, zur Ausübung Ihrer Rechte oder für sonstige datenschutzrechtliche Anliegen können Sie sich jederzeit an die angegebenen Kontaktdaten wenden.

Verantwortlicher	AlpenTech Handels GmbH
Anschrift	Mariahilfer Straße 88, 1070 Wien
E-Mail	datenschutz@alpentech.at
Telefon	+43 1 522 33 44
Webseite	https://www.alpentech.at
Firmenbuch	FN 234567 m, HG Wien
UID	ATU45678901

KATEGORIEN VERARBEITETER PERSONENBEZOGENER DATEN

Wir verarbeiten folgende Kategorien personenbezogener Daten iSd Art 4 Z 1 DSGVO:
• Stammdaten (Name, Vorname, akademischer Grad)
• E-Mail-Adresse
• Telefonnummer / Mobilnummer
• Postanschrift
• Zahlungs- und Bankdaten (IBAN, Kreditkartendaten)
• Verbindungsdaten (IP-Adresse, Logfiles, Browsertyp, Referrer-URL, Zeitstempel)
• Cookies und sonstige Tracking-Daten (Art 4 Z 1 DSGVO)

Die Daten werden in der Regel direkt bei Ihnen erhoben (z.B. durch Eingabe in Kontakt- oder Bestellformulare, beim Vertragsschluss). Im Einzelfall erfolgt eine Erhebung aus öffentlich zugänglichen Quellen oder aus berechtigten Anlässen bei Dritten. Besondere Kategorien personenbezogener Daten iSd Art 9 DSGVO werden nur verarbeitet, wenn dies gesetzlich zulässig oder mit Ihrer ausdrücklichen Einwilligung erfolgt.

ZWECKE DER VERARBEITUNG

Personenbezogene Daten werden ausschließlich zu festgelegten, eindeutigen und legitimen Zwecken verarbeitet (Grundsatz der Zweckbindung, Art 5 Abs 1 lit b DSGVO):
• Anbahnung, Abschluss, Abwicklung und Abrechnung von Verträgen
• Versand von Newslettern, Marketing- und Werbekommunikation
• Webanalyse und Verbesserung des Angebots
• Gewährleistung der IT-Sicherheit, Missbrauchs- und Betrugsabwehr
• Erfüllung gesetzlicher Aufbewahrungs-, Melde- und Auskunftspflichten
• Kundenbetreuung, Bearbeitung von Anfragen und Beschwerden

Eine Verarbeitung zu anderen als den ursprünglichen Zwecken erfolgt nur, wenn die neuen Zwecke mit den ursprünglichen vereinbar sind (Art 6 Abs 4 DSGVO), Sie eine neue Einwilligung erteilt haben oder eine gesetzliche Grundlage besteht.

RECHTSGRUNDLAGEN DER VERARBEITUNG

Die Rechtmäßigkeit unserer Verarbeitung stützt sich primär auf folgende Grundlage: Erfüllung eines Vertrags oder Durchführung vorvertraglicher Maßnahmen (Art 6 Abs 1 lit b DSGVO).

Im Einzelnen können — je nach Verarbeitungstätigkeit — auch folgende Rechtsgrundlagen einschlägig sein:
• Einwilligung der betroffenen Person (Art 6 Abs 1 lit a DSGVO iVm Art 7 DSGVO);
• Vertragserfüllung oder vorvertragliche Maßnahmen (Art 6 Abs 1 lit b DSGVO);
• Erfüllung rechtlicher Verpflichtungen (Art 6 Abs 1 lit c DSGVO; z.B. § 132 BAO, § 18 Abs 10 UStG);
• Schutz lebenswichtiger Interessen (Art 6 Abs 1 lit d DSGVO);
• berechtigtes Interesse des Verantwortlichen oder eines Dritten (Art 6 Abs 1 lit f DSGVO).

Bei besonderen Kategorien personenbezogener Daten (Art 9 DSGVO) ist zusätzlich eine spezifische Erlaubnisnorm gemäß Art 9 Abs 2 DSGVO erforderlich (z.B. ausdrückliche Einwilligung, arbeitsrechtliche Notwendigkeit, Geltendmachung von Rechtsansprüchen).

EMPFÄNGER UND AUFTRAGSVERARBEITER (ART 28 DSGVO)

Im Rahmen unserer Geschäftstätigkeit übermitteln wir personenbezogene Daten an Empfänger bzw. Kategorien von Empfängern, die für uns Auftragsverarbeitungen durchführen. Mit allen Auftragsverarbeitern wurden Auftragsverarbeitungsverträge gemäß Art 28 DSGVO abgeschlossen, welche die Einhaltung der DSGVO und die Datensicherheit verbindlich regeln. Die Auftragsverarbeiter dürfen die Daten ausschließlich zu den vereinbarten Zwecken verarbeiten und sind zur Verschwiegenheit verpflichtet.

Empfänger bzw. Kategorien von Empfängern Ihrer Daten:
A1 Telekom Austria AG (Hosting, Wien), Stripe Payments Europe Ltd. (Zahlungsabwicklung, Dublin), Sendinblue / Brevo SAS (Newsletter-Versand, Paris), Microsoft Ireland Operations Ltd. (Cloud-Infrastruktur, Dublin)

Mögliche Kategorien von Empfängern: IT-Dienstleister (Hosting, E-Mail, Cloud-Speicher), Zahlungsdienstleister, Versanddienstleister, Steuerberater und Wirtschaftsprüfer, Rechtsanwälte, Banken sowie Behörden zur Erfüllung gesetzlicher Mitteilungspflichten.

ÜBERMITTLUNG IN DRITTLÄNDER (ART 44 FF. DSGVO)

Eine Übermittlung in Drittländer (insbesondere USA, Vereinigtes Königreich, sonstige Staaten außerhalb EU/EWR) erfolgt nur unter Einhaltung der Voraussetzungen der Art 44 ff. DSGVO. Schutzgrundlage: EU-Standardvertragsklauseln (Standard Contractual Clauses, SCC) gemäß Beschluss (EU) 2021/914 iVm zusätzlichen Garantien (Art 46 Abs 2 lit c DSGVO; ergänzende technische Maßnahmen wie Verschlüsselung, Pseudonymisierung).

Eine Liste der von der Europäischen Kommission anerkannten Drittländer mit angemessenem Datenschutzniveau ist abrufbar unter https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_de.

SPEICHERDAUER UND LÖSCHUNG

Personenbezogene Daten werden für die Dauer der gesetzlichen Aufbewahrungspflichten gespeichert — insbesondere 7 Jahre gemäß § 132 BAO (Bücher, Aufzeichnungen, Belege), 7 Jahre gemäß § 18 Abs 10 UStG (umsatzsteuerrelevante Unterlagen) sowie ggf. 30 Jahre für mit einem Grundstück zusammenhängende Unterlagen. Nach Ablauf dieser Fristen werden die Daten gelöscht oder anonymisiert.

Die Speicherdauer richtet sich nach dem Zweck der Verarbeitung sowie den anwendbaren gesetzlichen Aufbewahrungspflichten (insb. § 132 BAO, § 18 UStG, § 212 ABGB). Personenbezogene Daten, die für die Aufgabenerfüllung nicht mehr erforderlich sind, werden unverzüglich gelöscht oder anonymisiert (Art 5 Abs 1 lit e DSGVO).

IHRE RECHTE ALS BETROFFENE PERSON (ART 15-22 DSGVO)

Als betroffene Person haben Sie nach DSGVO und DSG insbesondere folgende Rechte:
• Recht auf Auskunft (Art 15 DSGVO): Sie können Auskunft darüber verlangen, ob und welche personenbezogenen Daten wir über Sie verarbeiten, einschließlich Verarbeitungszwecken, Empfängern, Speicherdauer und Datenherkunft.
• Recht auf Berichtigung (Art 16 DSGVO): Sie können die Berichtigung unrichtiger sowie die Vervollständigung unvollständiger Daten verlangen.
• Recht auf Löschung (Art 17 DSGVO, „Recht auf Vergessenwerden“): Sie können die Löschung Ihrer Daten verlangen, sofern keine Aufbewahrungspflicht entgegensteht.
• Recht auf Einschränkung der Verarbeitung (Art 18 DSGVO): Sie können in den dort genannten Fällen die Einschränkung der Verarbeitung verlangen.
• Recht auf Datenübertragbarkeit (Art 20 DSGVO): Sie können verlangen, dass Sie betreffende Daten in einem strukturierten, gängigen und maschinenlesbaren Format an Sie oder an einen anderen Verantwortlichen übermittelt werden.
• Widerspruchsrecht (Art 21 DSGVO): Sie können der Verarbeitung — insbesondere zu Zwecken der Direktwerbung sowie bei Verarbeitungen auf Grundlage berechtigter Interessen — jederzeit widersprechen.
• Recht auf Widerruf der Einwilligung (Art 7 Abs 3 DSGVO): Erteilte Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen.
• Recht auf Beschwerde (Art 77 DSGVO, § 24 DSG): Sie haben das Recht, sich bei der Aufsichtsbehörde zu beschweren — siehe nachstehend.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an die oben angeführten Kontaktdaten. Wir werden Ihr Anliegen unverzüglich, spätestens jedoch binnen eines Monats ab Eingang des Antrags, beantworten (Art 12 Abs 3 DSGVO). Eine Identitätsprüfung kann zum Schutz Ihrer Daten verlangt werden.

COOKIES UND VERGLEICHBARE TECHNOLOGIEN (§ 165 TKG 2021)

Unsere Webseite verwendet Cookies — kleine Textdateien, die im Browser des Endgeräts abgelegt werden — sowie vergleichbare Technologien (Local Storage, Pixel, Browser-Fingerprinting). Das Setzen sämtlicher nicht technisch notwendiger Cookies bedarf nach § 165 Abs 3 TKG 2021 iVm Art 6 Abs 1 lit a DSGVO Ihrer ausdrücklichen, informierten und widerrufbaren Einwilligung.
• Technisch notwendige Cookies: Für den Betrieb der Webseite zwingend erforderlich (z.B. Session-IDs, Sicherheitstoken). Setzen keine Einwilligung voraus.
• Analyse-Cookies: Anonymisierte Reichweiten- und Nutzungsmessung (Verweildauer, Klickpfade). Verarbeitung nur bei Einwilligung.
• Marketing-Cookies: Personalisierte Werbung und Retargeting auf Drittplattformen. Verarbeitung nur bei ausdrücklicher Einwilligung.
• Präferenz-Cookies: Speichern Spracheinstellungen, Region und sonstige Benutzerwahl. Verarbeitung bei berechtigtem Interesse oder Einwilligung.

Sie können Ihre Cookie-Einstellungen jederzeit über unsere Cookie-Consent-Lösung anpassen oder widerrufen. Nicht technisch notwendige Cookies werden ausschließlich nach Ihrer aktiven Einwilligung gesetzt (Opt-in-Prinzip).

10.

EINSATZ VON ANALYSE- UND MARKETINGDIENSTEN

Wir setzen die nachstehend angeführten Drittanbieter-Dienste ein, um die Nutzung unserer Webseite auszuwerten und unser Angebot zu verbessern. Sämtliche Dienste werden — soweit es sich nicht um technisch notwendige Komponenten handelt — ausschließlich nach Ihrer Einwilligung aktiviert (Art 6 Abs 1 lit a DSGVO):
• Google Analytics 4 (Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland) — Webanalyse mit IP-Anonymisierung. Datenübermittlung in die USA möglich; Rechtsgrundlage: Einwilligung gem. Art 6 Abs 1 lit a DSGVO iVm § 165 Abs 3 TKG 2021.
• Google Tag Manager (Google Ireland Ltd.) — Tag-Management-System; setzt selbst keine Cookies, ermöglicht aber das Auslösen weiterer Tracking-Tags.
• Hotjar / Microsoft Clarity (Hotjar Ltd., Malta / Microsoft Ireland Operations Ltd.) — Heatmaps und Session-Recording. Rechtsgrundlage: Einwilligung.

Detaillierte Informationen zu Verarbeitungszwecken, Verarbeitungsumfang und Aufbewahrungsdauer der jeweiligen Dienste finden Sie in den verlinkten Datenschutzerklärungen der Anbieter. Sie können Ihre Einwilligung jederzeit über unser Consent-Management-Tool widerrufen.

11.

NEWSLETTER UND DIREKTWERBUNG

Mit Ihrer ausdrücklichen Einwilligung (Art 6 Abs 1 lit a DSGVO iVm § 174 TKG 2021) abonnieren Sie unseren Newsletter. Die Anmeldung erfolgt im Double-Opt-in-Verfahren: Nach Eintragung Ihrer E-Mail-Adresse senden wir Ihnen eine Bestätigungsmail, die Sie aktiv bestätigen müssen.

Verarbeitete Daten: E-Mail-Adresse, Anmeldedatum und -zeitpunkt, IP-Adresse zum Zeitpunkt der Anmeldung (Nachweis nach Art 7 DSGVO). Die Bestätigungs- und Anmeldedaten werden für die Dauer des Abonnements zur Erfüllung der Nachweispflicht aufbewahrt.

Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen — etwa über den Abmelde-Link in jedem Newsletter oder per E-Mail an die in Punkt 1 angeführte Adresse. Nach Widerruf werden Ihre Daten unverzüglich aus dem Verteiler gelöscht; die Anmeldedaten werden zu Nachweiszwecken weitere drei Jahre aufbewahrt und sodann gelöscht.

12.

BEWERBERDATENVERARBEITUNG

Bewerbungsunterlagen (Lebenslauf, Lichtbild, Zeugnisse, Anschreiben, sonstige übermittelte Dokumente) verarbeiten wir ausschließlich zum Zweck der Bewerberauswahl und Anbahnung eines Dienstverhältnisses (Art 6 Abs 1 lit b DSGVO iVm § 4 Abs 4 ASVG bzw. § 17 GlBG; bei Daten gem. Art 9 DSGVO zusätzlich Art 9 Abs 2 lit b DSGVO).

Im Falle einer erfolgreichen Bewerbung werden die Unterlagen Bestandteil der Personalakte. Bei nicht erfolgreicher Bewerbung werden die Bewerbungsunterlagen — vorbehaltlich Ihrer ausdrücklichen Zustimmung zur Aufnahme in einen Bewerber-Pool — spätestens 7 Monate nach Abschluss des Auswahlverfahrens gelöscht. Diese Frist berücksichtigt die einjährige Verjährungsfrist nach § 15 GlBG (Anspruch wegen Diskriminierung) sowie eine angemessene Bearbeitungs- und Reaktionszeit.

13.

SOZIALE MEDIEN-PLUGINS UND -PROFILE

Auf unserer Webseite kommen Plugins und Verlinkungen zu sozialen Netzwerken (Facebook / Meta, Instagram, LinkedIn, X / Twitter, YouTube) zum Einsatz. Wir verwenden — soweit möglich — die „Zwei-Klick-Lösung“ bzw. „Shariff“-Verfahren, sodass beim bloßen Aufruf unserer Webseite noch keine Daten an die Plugin-Anbieter übermittelt werden. Erst nach Ihrer aktiven Aktivierung (z.B. Klick auf das deaktivierte Symbol) werden Daten an die jeweiligen Anbieter übertragen (Art 6 Abs 1 lit a DSGVO).

Soweit wir auf den genannten Plattformen eigene Unternehmensseiten betreiben (Fanpages), erfolgt die Verarbeitung in gemeinsamer Verantwortlichkeit mit dem jeweiligen Plattformbetreiber (Art 26 DSGVO). Die jeweils geltende Vereinbarung zur gemeinsamen Verantwortlichkeit ist auf Anfrage abrufbar.

14.

DATENSCHUTZBEAUFTRAGTE/-R (DSB) — § 26 DSG IVM ART 37 DSGVO

Wir haben — entweder aufgrund gesetzlicher Verpflichtung oder freiwillig — eine/n Datenschutzbeauftragte/n (DSB) gemäß Art 37-39 DSGVO bestellt. Die/der DSB überwacht die Einhaltung der datenschutzrechtlichen Bestimmungen, berät die Geschäftsleitung und steht den betroffenen Personen als Anlaufstelle zur Verfügung:

Mag. Anna Steiner, LL.M.
E-Mail: datenschutz@alpentech.at

15.

DATENSICHERHEIT — TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN (ART 32 DSGVO)

Wir treffen unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen (TOM):
• SSL/TLS-Verschlüsselung sämtlicher Datenübertragungen (HTTPS)
• Firewalls, Intrusion-Detection-Systeme und regelmäßige Sicherheitsupdates
• Regelmäßige verschlüsselte Datensicherungen mit räumlicher Trennung
• Restriktive Zugriffskontrollen, Rollen- und Berechtigungskonzepte
• Verschlüsselung gespeicherter Daten (At-Rest-Encryption)
• Regelmäßige Datenschutzschulungen aller Mitarbeitenden

Verletzungen des Schutzes personenbezogener Daten werden — sofern voraussichtlich ein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht — unverzüglich, möglichst binnen 72 Stunden nach Bekanntwerden, der Datenschutzbehörde gemeldet (Art 33 DSGVO). Bei voraussichtlich hohem Risiko werden die betroffenen Personen unverzüglich informiert (Art 34 DSGVO).

16.

ÄNDERUNGEN DIESER DATENSCHUTZERKLÄRUNG

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, etwa um sie an geänderte Rechtsgrundlagen, neue technische Entwicklungen oder veränderte Verarbeitungstätigkeiten anzupassen. Die jeweils aktuelle Fassung ist auf unserer Webseite abrufbar; maßgeblich ist die zum Zeitpunkt der Datenverarbeitung gültige Fassung.

Stand: 15. April 2026

17.

AUFSICHTSBEHÖRDE UND BESCHWERDERECHT (ART 77 DSGVO, § 24 DSG)

Sie haben das Recht, sich unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs bei einer Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt. Zuständige Aufsichtsbehörde in Österreich ist die:

Österreichische Datenschutzbehörde (DSB)
Barichgasse 40-42
1030 Wien
Telefon: +43 1 521 52-25 69
E-Mail: dsb@dsb.gv.at
Webseite: www.dsb.gv.at

Unbeschadet dessen steht Ihnen der zivilrechtliche Weg nach §§ 1330 ff. ABGB sowie nach Art 79, 82 DSGVO zum Schutz Ihrer Persönlichkeit und zur Geltendmachung allfälliger Schadenersatzansprüche offen.

AlpenTech Handels GmbH · Mariahilfer Straße 88, 1070 Wien · Stand: 15. April 2026

Was ist eine Datenschutzerklärung?

Eine Datenschutzerklärung ist ein rechtlich vorgeschriebenes Dokument, mit dem Unternehmen und Organisationen ihre Kunden, Nutzer und sonstige betroffene Personen umfassend darüber informieren, welche personenbezogenen Daten sie erheben, zu welchen Zwecken sie diese verarbeiten, auf welcher Rechtsgrundlage die Verarbeitung erfolgt und welche Rechte den betroffenen Personen zustehen. Die Pflicht zur Bereitstellung dieser Informationen ergibt sich aus Art. 13 DSGVO (bei direkter Datenerhebung) und Art. 14 DSGVO (bei indirekter Erhebung, z. B. von Dritten). Die Datenschutzerklärung muss in klarer, verständlicher Sprache verfasst sein — juristische Fachsprache ohne Erläuterung genügt nicht.

In der Praxis ist die Datenschutzerklärung für nahezu jedes Unternehmen unverzichtbar: Onlineshops, Dienstleistungsunternehmen, Vereine, Arztpraxen, Rechtsanwaltskanzleien und alle anderen Einrichtungen, die personenbezogene Daten erheben — sei es durch Kontaktformulare, Newsletter, Cookies oder die bloße Verwaltung von Kundendaten. Eine fehlende oder unvollständige Datenschutzerklärung ist in Österreich eine Ordnungswidrigkeit und kann zu Bußgeldern der österreichischen Datenschutzbehörde (DSB) sowie zu Abmahnungen durch Mitbewerber führen.

In Österreich gilt die DSGVO unmittelbar als EU-Recht; das nationale Datenschutzgesetz (DSG 2018) ergänzt und präzisiert die DSGVO in Bereichen wie Videoüberwachung, Datenverarbeitung im Beschäftigungskontext und Strafbestimmungen. Die zuständige Aufsichtsbehörde in Österreich ist die Datenschutzbehörde (DSB) mit Sitz in Wien; bei grenzüberschreitenden Datenverarbeitungen gilt das One-Stop-Shop-Prinzip der DSGVO. Österreichische Unternehmen, die Daten in Drittstaaten übermitteln, müssen geeignete Garantien nach Art. 46 DSGVO (z. B. EU-Standardvertragsklauseln, SCC) vorweisen. Die österreichische Datenschutzbehörde hat in zahlreichen Entscheidungen klargestellt, dass eine transparente und vollständige Datenschutzerklärung ein zentrales Element der datenschutzrechtlichen Compliance ist.

Was diese Vorlage enthält

Die Doxuno-Datenschutzerklärungsvorlage für Österreich deckt alle Pflichtangaben nach Art. 13 und 14 DSGVO sowie die Besonderheiten des österreichischen DSG 2018 ab.

Verantwortlicher und Kontakt

Vollständige Angaben zum Verantwortlichen nach Art. 13 Abs 1 lit a DSGVO — Name, Adresse, UID-Nummer und Kontaktdaten für Datenschutzanfragen.

Datenschutzbeauftragter (optional)

Angabe der Kontaktdaten des Datenschutzbeauftragten (DSB), sofern eine Bestellungspflicht nach Art. 37 DSGVO oder DSG besteht.

Verarbeitungszwecke

Transparente Darstellung aller Verarbeitungszwecke — von der Vertragserfüllung über Marketing bis hin zu Cookies und Webanalyse.

Rechtsgrundlagen (Art. 6 DSGVO)

Klare Zuordnung jedes Verarbeitungszwecks zu einer Rechtsgrundlage nach Art. 6 DSGVO (Einwilligung, Vertrag, rechtliche Verpflichtung, berechtigtes Interesse).

Empfänger und Drittlandübermittlung

Offenlegung aller Datenempfänger und allfälliger Übermittlungen in Drittstaaten mit Angabe der Garantien nach Art. 46 DSGVO.

Speicherdauer

Spezifische Angaben zur Speicherdauer für jede Datenkategorie — oder die Kriterien zur Festlegung der Dauer nach Art. 13 Abs 2 lit a DSGVO.

Betroffenenrechte

Vollständige Auflistung aller Rechte nach Art. 15–22 DSGVO: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch.

Beschwerderecht bei der DSB

Hinweis auf das Recht, bei der österreichischen Datenschutzbehörde (DSB) in Wien Beschwerde einzulegen.

Cookie-Hinweis

Informationen zu Cookies, Web-Tracking und eingesetzten Analysetools (z. B. Google Analytics) nach der ePrivacy-Richtlinie.

Newsletter und E-Mail-Marketing

Datenschutzhinweise für Newsletter-Abonnements einschließlich Double-Opt-in-Verfahren und Widerrufsmöglichkeit.

Soziale Medien und eingebettete Inhalte

Hinweise zur Datenverarbeitung durch Social-Media-Plugins und eingebettete Drittanbieter-Inhalte.

Aktualisierungsvermerk

Datum der letzten Aktualisierung und Hinweis auf mögliche Änderungen der Datenschutzerklärung.

So erstellen Sie Ihre Datenschutzerklärung

In vier Schritten zu einer DSGVO-konformen Datenschutzerklärung für Ihr Unternehmen in Österreich.

1
Verantwortlichen und Datenverarbeitungen erfassen
Geben Sie die vollständigen Unternehmensdaten ein und listen Sie alle Kategorien personenbezogener Daten auf, die Sie verarbeiten: Kontaktformulardaten, Bestelldaten, Browserdaten durch Cookies, E-Mail-Adressen für Newsletter usw.
2
Rechtsgrundlagen zuordnen
Ordnen Sie jede Datenverarbeitung einer Rechtsgrundlage nach Art. 6 DSGVO zu. Häufige Grundlagen in Österreich: Vertragserfüllung (lit b), rechtliche Verpflichtung (lit c) und berechtigtes Interesse (lit f). Einwilligung (lit a) ist nur dort erforderlich, wo keine andere Grundlage greift.
3
Drittempfänger und Tools angeben
Listen Sie alle Auftragsverarbeiter und sonstigen Datenempfänger auf — z. B. Hosting-Anbieter, Zahlungsdienstleister, E-Mail-Marketingtools und Analysetools. Bei US-Anbietern prüfen Sie, ob ein Data Privacy Framework (DPF) oder EU-Standardvertragsklauseln (SCC) vorliegen.
4
Vorlage anpassen und veröffentlichen
Passen Sie die Vorlage an Ihre spezifische Situation an, laden Sie die fertige Datenschutzerklärung als PDF herunter und veröffentlichen Sie sie dauerhaft und leicht auffindbar auf Ihrer Website — in Österreich typischerweise im Footer verlinkt.

Rechtliche Hinweise für Österreich

Datenschutzrechtliche Compliance in Österreich erfordert die Beachtung sowohl der DSGVO als auch des nationalen DSG 2018 und der Praxis der österreichischen Datenschutzbehörde.

Diese Vorlage dient ausschließlich zu Informationszwecken und stellt keine Rechtsberatung dar. Für eine auf Ihre Situation zugeschnittene Beratung wenden Sie sich an einen zugelassenen Rechtsanwalt in Österreich.

Geprüft für österreichisches Recht

Österreichisches DSG 2018 als Ergänzung zur DSGVO

Das österreichische Datenschutzgesetz (DSG 2018) ergänzt die DSGVO in Bereichen, in denen der EU-Gesetzgeber den Mitgliedstaaten Spielraum gelassen hat. In Österreich sind dies insbesondere: Videoüberwachung (§§ 12 f. DSG), Datenverarbeitung im Beschäftigungskontext (§ 11 DSG), Strafbestimmungen (§ 62 DSG) und die Regelungen zur österreichischen Datenschutzbehörde (DSB). Die DSB kann Geldbußen bis zu EUR 20 Mio. oder 4 % des weltweiten Jahresumsatzes verhängen (Art. 83 DSGVO). Die österreichische Datenschutzbehörde hat in ihrer Spruchpraxis mehrfach betont, dass auch Klein- und Mittelbetriebe in Österreich vollständige Datenschutzerklärungen benötigen.

Cookies und Tracking in Österreich nach DSB-Praxis

Die österreichische Datenschutzbehörde hat in mehreren Entscheidungen (u. a. zur Verwendung von Google Analytics und Facebook-Pixel) klargestellt, dass der Einsatz von US-amerikanischen Tracking-Tools ohne geeignete Garantien nach Art. 46 DSGVO unzulässig ist, solange kein ausreichendes Datenschutzniveau in den USA garantiert ist. Seit Inkrafttreten des EU-US-Data-Privacy-Framework (DPF) im Jahr 2023 ist die Übermittlung an DPF-zertifizierte US-Unternehmen wieder zulässig. Österreichische Websitebetreiber sollten ihren Cookie-Banner und ihre Datenschutzerklärung entsprechend aktualisieren und die Einwilligung für nicht notwendige Cookies vorab einholen.

Betroffenenrechte und Beschwerdeweg in Österreich

Betroffene Personen haben in Österreich das Recht, bei der österreichischen Datenschutzbehörde (DSB, Barichgasse 40–42, 1030 Wien, dsb@dsb.gv.at) Beschwerde einzulegen, wenn sie der Meinung sind, dass ihre Datenschutzrechte verletzt wurden. Österreichische Unternehmen müssen Auskunftsersuchen nach Art. 15 DSGVO innerhalb eines Monats beantworten. Anträge auf Löschung (Art. 17 DSGVO) oder Einschränkung der Verarbeitung (Art. 18 DSGVO) sind unverzüglich zu prüfen und zu bearbeiten. Die Datenschutzerklärung muss diese Rechte und den Beschwerdeweg klar und verständlich beschreiben.

Häufig gestellte Fragen

Jetzt Datenschutzerklärung für Österreich erstellen

Erstellen Sie Ihre DSGVO- und DSG-konforme Datenschutzerklärung in Minuten — vollständig angepasst an die Anforderungen der österreichischen Datenschutzbehörde (DSB).

Datenschutzerklärung erstellen Alle Vorlagen ansehen

Kostenlos · Sofort PDF · Kein Konto erforderlich