Österreichs Datenschutzgesetz tritt in neuer Fassung in Kraft

Ab heute gilt in Österreich eine aktualisierte Version des nationalen Datenschutzgesetzes. Die Neufassung integriert wichtige Änderungen zur Betrugsbekämpfung und bereitet den Weg für die EU-Cybersicherheitsrichtlinie NIS-2.

Konsolidierte Fassung fasst Jahresend-Änderungen zusammen

Die nun veröffentlichte konsolidierte Fassung des Datenschutzgesetzes (DSG) markiert den Abschluss eines arbeitsreichen Gesetzgebungsmonats. Während die EU-Datenschutzgrundverordnung (DSGVO) den übergeordneten Rahmen bildet, legt das österreichische DSG entscheidende nationale Spezifikationen fest. Die neue Version integriert Änderungen aus dem Abgabenänderungsgesetz 2025 und dem Betrugsbekämpfungsgesetz 2025, die erst vor wenigen Tagen im Bundesgesetzblatt veröffentlicht wurden.

Diese Novellen bringen erhebliche Anpassungen für den Umgang mit personenbezogenen Daten zwischen Behörden mit sich. Konkret klären sie die Rechtsgrundlage für Datentransfers zwischen Finanzbehörden und anderen Bundesstellen zur Betrugserkennung. Der konsolidierte Text schafft nun Rechtssicherheit für Unternehmen und öffentliche Stellen, die mit diesen neuen Meldepflichten konfrontiert sind.

Neue Regelungen zu Datenabgleichen und Meldepflichten machen Ihr Verzeichnis der Verarbeitungstätigkeiten zur Prüfungsquelle. Mit unserer kostenlosen Excel‑Vorlage erstellen Sie das Verarbeitungsverzeichnis nach Art. 30 DSGVO prüfungssicher: vorgefertigte Felder für Behörden‑Datentransfers, Anleitung zu Risikokategorien und Checklisten für technisch‑organisatorische Maßnahmen. Ideal für Datenschutzbeauftragte und Compliance‑Verantwortliche, die sofort Anpassungen vornehmen müssen. Die Vorlage lässt sich in weniger als einer Stunde an Ihre Systeme anpassen und reduziert das Risiko teurer Bußgelder bei Prüfungen. Verarbeitungsverzeichnis‑Vorlage jetzt kostenlos herunterladen

Anpassung an NIS-2 und Cybersicherheits-Standards

Ein wesentlicher Treiber der jüngsten Änderungen ist die Harmonisierung mit dem Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026), das die EU-NIS-2-Richtlinie umsetzt. Obwohl das NISG 2026 selbst erst später im Jahr 2026 vollständig anwendbar wird, wurde das DSG bereits aktualisiert, um terminologische und verfahrenstechnische Konsistenz zu gewährleisten.

Die konsolidierte Fassung klärt das Zusammenspiel zwischen dem Schutz personenbezogener Daten und den neuen Cybersicherheits-Meldepflichten. Das DSG enthält nun aktualisierte Verweise auf die Rolle der Datenschutzbehörde (DSB) bei der Überwachung von Sicherheitsvorfällen, die Datenschutzverletzungen beinhalten. Diese Abstimmung ist entscheidend, um Doppelbelastungen und widersprüchliche Meldefristen für österreichische Unternehmen zu vermeiden.

Rechtsexperten zufolge löst der aktualisierte DSG-Text potenzielle Konflikte bezüglich der 72-Stunden-Meldefrist bei Datenschutzverletzungen. Diese wird nun mit der 24-Stunden-“Frühwarn”-Pflicht für Sicherheitsvorfälle unter dem neuen Cybersicherheits-Regime in Einklang gebracht.

Auswirkungen auf die Unternehmens-Compliance 2026

Für österreichische Unternehmen signalisiert das Inkrafttreten dieser konsolidierten Version die Notwendigkeit sofortiger Compliance-Prüfungen. Die Änderungen sind nicht nur administrativer Natur, sondern beeinflussen konkret den Umgang mit Daten in bestimmten Branchen.

Zu den wichtigsten Neuerungen für die Privatwirtschaft zählen:
* Datenabgleiche zur Betrugsprävention: Neue Regelungen ermöglichen umfangreichere Datenabgleiche in branchen, die anfällig für Steuerbetrug sind. Betroffene Unternehmen müssen ihre Verarbeitungsverzeichnisse entsprechend aktualisieren.
* Hinweisgeberschutz: Der konsolidierte Text finalisiert die datenschutzrechtlichen Aspekte der Hinweisgebersysteme und stellt sicher, dass die Identität der meldenden Personen geschützt wird.
* Technisch-organisatorische Maßnahmen (TOMs): Der aktualisierte Text bekräftigt die Anforderung an den Stand der Technik bei Sicherheitsmaßnahmen und verknüpft diesen explizit mit den Standards des neuen NISG-Rahmens.

Branchenreaktionen und Ausblick

Rechtsexperten betrachten die Veröffentlichung des konsolidierten DSG als notwendige “Aufräumarbeit”, bevor die Durchsetzung 2026 an Intensität gewinnt. “Die konsolidierte Version bietet die saubere Ausgangslage, die wir für 2026 brauchen”, erklärt ein Compliance-Analyst aus Wien. “Bei den sich überschneidenden Anforderungen aus KI-Gesetz, NIS-2 und Data Act ist ein klarer, aktueller nationaler Datenschutzrechtstext für die Rechtssicherheit unerlässlich.”

Die österreichische Datenschutzbehörde (DSB) wird voraussichtlich Anfang Januar 2026 aktualisierte Leitlinien veröffentlichen, um Datenverantwortlichen bei der Auslegung der neuen Bestimmungen zum Datenaustausch mit Finanzbehörden zu helfen.

Das Jahr 2026 verspricht, ein Wendepunkt für das österreichische Datenschutzrecht zu werden. Mit dem Informationsfreiheitsgesetz, das im September 2026 weitere Änderungen an der Datentransparenz bringen soll, bleibt das DSG ein lebendiges Dokument. Für den Moment gilt jedoch die heute in Kraft tretende Fassung als maßgeblicher Text. Unternehmen wird geraten, ihre Rechtsabonnements und internen Compliance-Dokumente entsprechend zu aktualisieren.

PS: Die Abstimmung mit NIS‑2 bringt neue 24‑Stunden‑Meldepflichten und technische Anforderungen, die viele Unternehmen noch nicht vollständig umgesetzt haben. Unser kostenloses E‑Book “Cyber Security Awareness Trends” erklärt praxisnah, wie Sie Meldeprozesse harmonisieren, Doppelmeldungen vermeiden und angemessene technisch‑organisatorische Maßnahmen (TOMs) nach dem NISG‑Rahmen implementieren. Perfekt für Geschäftsführer und IT‑Verantwortliche, die Compliance‑Lücken schnell schließen wollen. Jetzt gratis Cyber‑Security‑Guide herunterladen