DSGVO Website Österreich: Was Unternehmen beachten müssen
Impressumspflicht, Datenschutzerklärung, Cookie-Banner, Google Fonts: Die rechtlichen Anforderungen an eine Website sind in Österreich umfangreich. Dieser Überblick zeigt, was Pflicht ist, was häufig übersehen wird – und wie man typische Fehler vermeidet.
Eine Website zu betreiben bedeutet in Österreich, Verantwortung für personenbezogene Daten zu übernehmen. Das gilt für das Einzelunternehmen genauso wie für den Mittelständler – Ausnahmen für kleine Betriebe kennt die DSGVO nicht. Die gute Nachricht: Wer die wesentlichen Bausteine kennt und korrekt umsetzt, ist auf der sicheren Seite. Die schlechte: Viele Websites sind es nicht, und die Anzahl der Abmahnungen und Beschwerden bei der Datenschutzbehörde steigt.
Impressumspflicht: Was in Österreich Pflicht ist
In Österreich ist das Impressum durch das E-Commerce-Gesetz (ECG) geregelt. Pflichtangaben für gewerblich betriebene Websites sind Name und Adresse des Unternehmens, Kontaktdaten (E-Mail, Telefon), der Unternehmensgegenstand, die zuständige Aufsichtsbehörde sowie bei Kapitalgesellschaften Firmenbuchnummer und -gericht. Das Impressum muss von jeder Unterseite aus leicht erreichbar sein – ein Link im Footer reicht, solange er klar erkennbar ist.
Datenschutzerklärung: Was sie enthalten muss
Die Datenschutzerklärung informiert Nutzer darüber, welche Daten erhoben werden, zu welchem Zweck, auf welcher Rechtsgrundlage und wie lange sie gespeichert werden. Außerdem müssen Betroffenenrechte erklärt werden: Auskunft, Berichtigung, Löschung, Einschränkung und Widerspruch. Eine allgemeine Vorlage aus dem Internet reicht in der Regel nicht – die Erklärung muss die tatsächlich eingesetzten Tools und Prozesse abbilden. Wer Google Analytics, ein Kontaktformular oder einen Newsletter-Dienst nutzt, muss diese explizit nennen.
Cookie-Banner: Wann er nötig ist und worauf es ankommt
Nicht jede Website braucht einen Cookie-Banner – aber jede, die nicht technisch notwendige Cookies oder Tracking-Tools einsetzt. Das betrifft praktisch alle Websites mit Google Analytics, Google Ads, Facebook Pixel oder ähnlichen Diensten. Entscheidend: Der Banner muss eine echte Wahlmöglichkeit bieten. Vorausgewählte Häkchen, Dark Patterns oder das Gleichsetzen von „Ablehnen" mit dem Schließen des Banners sind nicht zulässig. Consent Mode v2 von Google ist mittlerweile Pflicht für alle, die Google Ads oder GA4 einsetzen wollen.
Google Fonts und externe Ressourcen
Ein häufig unterschätztes Risiko: Wer Google Fonts, YouTube-Embeds oder andere externe Ressourcen direkt vom Fremdserver lädt, überträgt dabei die IP-Adresse des Nutzers – ohne dessen Einwilligung. Österreichische Gerichte haben das bereits als DSGVO-Verstoß gewertet. Die Lösung ist in den meisten Fällen einfach: Google Fonts lokal einbinden, YouTube-Videos nur mit Klick laden (Privacy-Enhanced Mode oder Thumbnail-Fallback) und bei anderen Drittdiensten prüfen, ob sie erst nach Einwilligung geladen werden.
Kontaktformulare und E-Mail-Verarbeitung
Jedes Kontaktformular verarbeitet personenbezogene Daten. Das erfordert eine klare Information darüber, was mit den Daten passiert, einen Hinweis auf die Datenschutzerklärung und – wenn Daten an Dritte weitergegeben werden (etwa ein CRM oder E-Mail-Dienst) – einen entsprechenden Passus im Auftragsverarbeitungsvertrag. Der Grundsatz der Datensparsamkeit gilt: Es dürfen nur die Daten abgefragt werden, die für die Bearbeitung der Anfrage tatsächlich benötigt werden.
Praxis-Checkliste für DSGVO-konforme Websites
- Impressum vollständig und von jeder Seite erreichbar
- Datenschutzerklärung aktuell und auf die tatsächlich eingesetzten Tools zugeschnitten
- Cookie-Banner mit echten Wahlmöglichkeiten, kein Opt-out als Default
- Google Fonts lokal eingebunden
- Externe Skripte (Analytics, Ads, Pixel) erst nach Einwilligung laden
- Kontaktformular mit Datenschutzhinweis, nur notwendige Felder
- SSL-Zertifikat aktiv (https) – Grundvoraussetzung für sichere Datenübertragung
- Auftragsverarbeitungsverträge mit allen Dienstleistern, die Daten verarbeiten
Dieser Artikel dient der allgemeinen Information. Für eine rechtssichere Beurteilung im Einzelfall empfehlen wir die Beratung durch einen auf Datenschutz spezialisierten Rechtsanwalt.
Häufige Fragen
- Braucht jede Website in Österreich ein Impressum?
- Ja. In Österreich gilt die Impressumspflicht nach dem E-Commerce-Gesetz für alle gewerblich betriebenen Websites. Pflichtangaben sind Name, Adresse, Kontaktdaten, Unternehmensgegenstand, Aufsichtsbehörde und bei GmbH/AG die Firmenbuchnummer.
- Ist ein Cookie-Banner für jede Website Pflicht?
- Nicht für jede, aber für die meisten. Sobald nicht technisch notwendige Cookies oder Tracking-Tools eingesetzt werden – etwa Google Analytics oder Google Ads – ist ein Consent-Banner mit echter Wahlmöglichkeit rechtlich erforderlich.
- Was muss eine Datenschutzerklärung enthalten?
- Informationen darüber, welche Daten erhoben werden, zu welchem Zweck, auf welcher Rechtsgrundlage, wie lange sie gespeichert werden, ob sie an Dritte weitergegeben werden und welche Rechte Betroffene haben.
- Welche Strafen drohen bei DSGVO-Verstößen auf der Website?
- Die DSGVO sieht Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes vor. In der Praxis werden bei kleineren Unternehmen häufig Abmahnungen ausgesprochen, die mit Anwaltskosten verbunden sind.
- Muss Google Fonts lokal eingebunden werden?
- Ja, wenn Sie auf Rechtssicherheit setzen. Wird Google Fonts über den Google-Server eingebunden, werden IP-Adressen ohne Einwilligung übertragen. Die sichere Lösung ist das lokale Einbinden der Schriftdateien auf dem eigenen Server.
- Gilt die DSGVO auch für kleine Unternehmen?
- Ja. Die DSGVO gilt für alle Unternehmen und Selbstständigen, die personenbezogene Daten von EU-Bürgern verarbeiten – unabhängig von Unternehmensgröße oder Umsatz.
