Webdesign

DSGVO Website Österreich 2026: Was KMUs wirklich wissen müssen

Paul Schachner Von
8 Min. Lesezeit
Paul Schachner, Webdesigner aus Lustenau, erklärt DSGVO-Anforderungen für österreichische Websites

Die DSGVO gilt seit 2018 — aber viele Websites österreichischer KMUs sind noch immer nicht vollständig konform. Das ist kein Kavaliersdelikt: Die Datenschutzbehörde Österreich (DSB) verhängt Bußgelder, Abmahnungen sind teuer, und Kunden verlieren das Vertrauen in Unternehmen, die nachlässig mit ihren Daten umgehen. Ich bin Paul Schachner von Schachner Media in Lustenau — und ich erkläre dir in diesem Artikel praxisnah, was eine DSGVO-konforme Website in Österreich braucht, welche Fehler am häufigsten vorkommen und wie du dich schützt.

Wichtiger Hinweis: Dieser Artikel ist kein Rechtsrat. Für verbindliche rechtliche Beurteilung wende dich an einen Rechtsanwalt oder Datenschutzbeauftragten. Die hier dargestellten Informationen sind allgemeiner Natur und dienen zur Orientierung.

Was die DSGVO für Websites bedeutet

Die DSGVO (Datenschutz-Grundverordnung) regelt, wie personenbezogene Daten von EU-Bürgern erhoben, gespeichert und verarbeitet werden dürfen. Für Websites bedeutet das: Jedes Mal, wenn du Daten eines Besuchers erfasst — über ein Kontaktformular, via Google Analytics oder durch das Setzen von Cookies — greift die DSGVO.

Die wichtigsten Grundprinzipien, die du kennen musst:

  • Zweckbindung: Du darfst Daten nur für den Zweck verwenden, für den sie erhoben wurden
  • Datensparsamkeit: Erhebe nur die Daten, die du wirklich brauchst
  • Transparenz: Betroffene müssen wissen, was mit ihren Daten passiert
  • Einwilligung: Für nicht-notwendige Datenverarbeitung brauchst du eine aktive Zustimmung
  • Sicherheit: Daten müssen technisch sicher geschützt sein (HTTPS, sichere Server)
Paul Schachner überprüft die DSGVO-Konformität einer österreichischen KMU-Website

Impressumspflicht in Österreich: Was du angeben musst

Das Impressum ist in Österreich durch das E-Commerce-Gesetz (ECG) und das Mediengesetz vorgeschrieben. Es muss von jeder Seite aus leicht erreichbar sein — zwei Klicks sind das gesetzliche Maximum.

Was ins Impressum muss (für gewerbliche Websites):

  • Name und Anschrift des Unternehmens oder der Person
  • Kontaktdaten: E-Mail-Adresse und Telefonnummer
  • UID-Nummer (Umsatzsteuer-Identifikationsnummer), falls vorhanden
  • Unternehmensregisternummer und zuständiges Gericht, falls eingetragen
  • Zuständige Aufsichtsbehörde, falls reguliertes Gewerbe (z. B. Handwerk, Gesundheit)
  • Kammerzugehörigkeit (WKO-Mitglieder: Angabe der zuständigen Kammer)
  • Angabe der Berufsbezeichnung und des Staates, in dem sie verliehen wurde

Tipp: Eine reine E-Mail-Adresse als Kontakt im Impressum reicht nicht. Du brauchst auch eine Telefonnummer oder eine andere sofortige elektronische Kontaktmöglichkeit.

Datenschutzerklärung: Was drin stehen muss

Die Datenschutzerklärung erklärt Besuchern, welche Daten du erhebst, warum, wie lange du sie speicherst und an wen du sie weitergibst. Jede Form der Datenverarbeitung muss darin genannt sein.

Was du erhebstMuss in der Datenschutzerklärung stehen
KontaktformularWelche Daten, Zweck, Speicherdauer, Empfänger (z. B. E-Mail-Anbieter)
Google AnalyticsDatenübertragung an Google, IP-Anonymisierung, Opt-out-Möglichkeit
NewsletterDouble-Opt-in, Anbieter (z. B. Mailchimp), Abmeldemöglichkeit
Server-LogsAutomatisch gespeicherte IP-Adressen, Speicherdauer
HostingName und Standort des Hosting-Anbieters
Social Media EinbindungenDatenübertragung an Plattformen, Zweck

Eine generische Vorlage aus dem Internet reicht meist nicht aus — sie muss auf deine konkrete Website zugeschnitten sein. Was auf meiner Website passiert, ist anders als was auf deiner passiert.

Drittdienste: Google, Facebook & Co. richtig einbinden

Jeder Drittdienst auf deiner Website, der Daten über Besucher erfasst, ist ein potenzielles DSGVO-Problem. Die häufigsten:

  • Google Analytics / Google Tag Manager: Darf erst nach Einwilligung geladen werden. IP-Anonymisierung muss aktiviert sein. Datenverarbeitungsvertrag mit Google muss abgeschlossen sein.
  • Google Maps: Einbettung via iFrame überträgt bereits beim Laden Daten an Google. Lösung: Zwei-Klick-Lösung oder statisches Vorschaubild mit Hinweis.
  • Google Fonts: Das direkte Laden von Google-Servern überträgt die IP-Adresse des Besuchers. Lösung: Fonts lokal hosten (bei Schachner Media ist das Standard).
  • YouTube-Videos: Einbettung überträgt Daten an YouTube auch ohne Abspielen. Lösung: Erweiterten Datenschutzmodus nutzen oder Zwei-Klick-Lösung.
  • Facebook Pixel / Meta Pixel: Darf erst nach ausdrücklicher Einwilligung geladen werden — und nur, wenn der Nutzer dem zugestimmt hat.

Praxis-Tipp: Wenn du einen Website-Relaunch planst, ist das der ideale Zeitpunkt, alle Drittdienste zu überprüfen und DSGVO-konform einzubinden. Mehr zum Website Relaunch in Vorarlberg.

Kontaktformulare und Newsletter DSGVO-konform gestalten

Kontaktformulare erheben personenbezogene Daten — Name, E-Mail, manchmal Telefon und Nachricht. Das ist vollkommen in Ordnung, wenn folgende Punkte eingehalten werden:

  • Hinweis auf die Datenschutzerklärung direkt beim Formular
  • Nur die nötigsten Felder: Nicht mehr erfragen als für die Kontaktaufnahme nötig
  • Sichere Übertragung via HTTPS
  • Klarer Hinweis, wer die Daten empfängt (du oder dein E-Mail-Anbieter)

Für Newsletter gilt zusätzlich das Double-Opt-in-Verfahren: Der Nutzer muss erst das Formular ausfüllen und dann seine Anmeldung via E-Mail bestätigen. Eine automatische Anmeldung durch das Ausfüllen eines Kontaktformulars ist nicht erlaubt.

Häufige DSGVO-Fehler auf KMU-Websites in Österreich

Diese Fehler sehe ich bei der Überprüfung von KMU-Websites in Vorarlberg und Österreich am häufigsten:

  1. Google Fonts von Google-Servern laden: Jeder Seitenaufruf überträgt die IP-Adresse des Besuchers an Google — ohne Einwilligung. Lösung: Fonts lokal hosten.
  2. Cookie-Banner ohne echte Ablehnoption: Nur ein "Alles akzeptieren"-Button, kein gleichwertiges "Ablehnen". Das ist seit Jahren bekannt rechtswidrig.
  3. Veraltete oder generische Datenschutzerklärungen: Eine Vorlage aus 2018, die nie aktualisiert wurde und Dienste nicht erwähnt, die gar nicht mehr verwendet werden.
  4. Google Maps direkt eingebettet: Ohne Zwei-Klick-Lösung oder Einwilligung nicht erlaubt.
  5. Fehlendes oder unvollständiges Impressum: Fehlende UID-Nummer, keine Telefonnummer, falsche Angabe der Aufsichtsbehörde.

Viele dieser Fehler entstehen nicht aus böser Absicht, sondern weil die Websites Jahre alt sind und nie datenschutzrechtlich überprüft wurden. Ein Website-Relaunch oder ein professioneller DSGVO-Check ist oft die effizienteste Lösung. Schau auch, welche häufigen Fehler auf Firmenwebsites es darüber hinaus gibt.

Häufige Fragen zur DSGVO-konformen Website in Österreich

Was muss eine DSGVO-konforme Website in Österreich haben?
Eine DSGVO-konforme Website in Österreich braucht mindestens: Impressum mit vollständigen Angaben (Name, Adresse, Kontakt), Datenschutzerklärung die alle Datenverarbeitungen erklärt, Cookie-Banner mit echter Einwilligungsmöglichkeit vor dem Setzen nicht-notwendiger Cookies, und sichere Datenübertragung via HTTPS/SSL. Zusätzlich müssen alle Drittdienste (Google Analytics, Maps, Fonts) korrekt eingebunden sein.

Muss ich wirklich einen Cookie-Banner haben?
Ja, wenn deine Website nicht-notwendige Cookies setzt — also zum Beispiel Google Analytics, Facebook Pixel oder ähnliche Tracking-Tools. Der Banner muss vor dem Setzen dieser Cookies erscheinen und eine echte Ablehnoption bieten. Ein Banner, bei dem man nur "Alle akzeptieren" klicken kann, ist nicht DSGVO-konform und kann zu Bußgeldern führen.

Was kostet ein Verstoß gegen die DSGVO in Österreich?
DSGVO-Bußgelder können bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen. Für KMUs sind die Strafen in der Praxis deutlich niedriger, aber schon ein Abmahnschreiben kann teuer werden. Die Datenschutzbehörde Österreich (DSB) ist aktiv und verfolgt Beschwerden — besonders häufig bei fehlenden Cookie-Bannern und Google Fonts von externen Servern.

Muss das Impressum auf jeder Seite erreichbar sein?
Ja. Das Impressum muss von jeder Seite aus leicht erreichbar sein — üblicherweise über einen Link im Footer. Zwei Klicks bis zum Impressum sind das gesetzliche Maximum. Beim Impressum müssen Name, Adresse, E-Mail, Telefon, UID-Nummer (falls vorhanden) und Aufsichtsbehörde angegeben sein.

Gilt die DSGVO auch für kleine Unternehmen und Einzelunternehmer in Österreich?
Ja, die DSGVO gilt für jedes Unternehmen, das personenbezogene Daten von EU-Bürgern verarbeitet — unabhängig von der Größe. Für Einzelunternehmer und Kleinstunternehmen gibt es keine Ausnahme. Kontaktformulare, Newsletter, Google Analytics — all das fällt unter die DSGVO. Die Pflichten sind dieselben, nur der Aufwand für die Umsetzung variiert.

DSGVO-konforme Website für dein Unternehmen?

Bei Schachner Media sind DSGVO-Konformität, lokale Font-Einbindung und ein korrekter Cookie-Banner von Anfang an Standard — keine teure Nacharbeit. In einem kostenlosen Gespräch zeige ich dir, was deine aktuelle Website braucht.

Bewertet von lokalen KMUs in Vorarlberg Bewertungen lesen
Kostenloses Erstgespräch anfragen →
Paul Schachner, Webdesigner & GEO-Experte, Schachner Media Lustenau
Paul Schachner

Webdesigner & GEO-Experte — Schachner Media, Lustenau, Vorarlberg

Paul hilft KMUs in Vorarlberg dabei, mit modernen, schnellen Websites mehr Anfragen zu gewinnen — und bei Google, ChatGPT und anderen KI-Suchen sichtbar zu werden.