Datenschutzbehörde

	Datenschutzbehörde; Österreichische Behörde
Staatliche Ebene	Bund
Stellung der Behörde	nachgeordnete Dienststelle (weisungsfrei)
Aufsicht	Bundesministerium für Justiz
Gründung	1. Jänner 2014 (Datenschutzkommission 1978)
Hauptsitz	Wien 3., Barichgasse 40–42(davor Wien 8., Wickenburggasse 8–10 und bis Jänner 2018: Wien 1., Hohenstaufengasse 3)
Behördenleitung	Matthias Schmidl
Bedienstete	58 (2025)
Website	www.dsb.gv.at

Die Datenschutzbehörde (abgekürzt DSB) ist seit 1. Jänner 2014 die für den Datenschutz in Österreich hauptsächlich zuständige Behörde. Sie ist Nachfolgerin der Datenschutzkommission (DSK). Eine zweite datenschutzrechtliche Aufsichtsbehörde, das Parlamentarische Datenschutzkomitee, ist seit 1. Jänner 2025 für den Datenschutz im Bereich der parlamentarischen Gesetzgebungsebene (Nationalrat, Bundesrat inkl. Untersuchungsausschüsse, Anfragebeantwortungen, Rechnungshof und Volksanwaltschaft) zuständig.

Geschichte und Organisation

Vorgängerin der Datenschutzbehörde war die Datenschutzkommission, die bis Ende 2013 existierte. Die Datenschutzkommission war mit dem ersten Datenschutzgesetz (BGBl. Nr. 565/1978) installiert worden und hatte ihre erste Sitzung am 25. April 1979. Österreich war damit einer der ersten europäischen Staaten mit einer eigenen Behörde für den Datenschutz.^[2]

Die Datenschutzbehörde ist dem Bundesministerium für Justiz (bis 7. Jänner 2018: dem Bundeskanzleramt) nur organisationstechnisch (Telefonnummer etc.) angegliedert. Sie ist eine weisungsfreie Behörde. Aufgrund der früher engeren organisatorischen Angliederung der (damals noch: Datenschutzkommission) hatte der Europäische Gerichtshof mit Urteil vom 16. Oktober 2012^[3] festgestellt, dass die Datenschutzkommission nicht die von der Richtlinie 95/46/EG (Datenschutzrichtlinie) vorgeschriebene „völlige Unabhängigkeit“ aufwies. Diese Verurteilung ging auf eine Beschwerde der Bürgerrechtsorganisation ARGE Daten bei der Europäischen Kommission zurück. Aufgrund der Beschwerde hatte die Europäische Kommission gegen Österreich ein Vertragsverletzungsverfahren vor dem Europäischen Gerichtshof eingeleitet. In der Folge schlug der Generalanwalt des Europäischen Gerichtshofs in seinem Schlussantrag^[4] dem EuGH vor, der Klage stattzugeben.^[5] Der Europäische Gerichtshof gab der Klage am 16. Oktober 2012 statt.^[3] Durch eine Gesetzesänderung^[6] wurde die Datenschutzkommission daraufhin als unabhängige Behörde eingerichtet und ihre völlige Unabhängigkeit im Sinne der Datenschutz-Richtlinie sichergestellt.^[7]

Im Rahmen der Verwaltungsgerichtsbarkeits-Novelle 2012 wurde die Datenschutzkommission in weiterer Folge mit 1. Jänner 2014 aufgelöst.^[8] Die DSG-Novelle 2014 bewirkte, dass ab 1. Jänner 2014 die Aufgaben der Datenschutzkommission von einer unabhängigen Datenschutzbehörde, die als monokratische Behörde organisiert ist, übernommen wurden.^[9] Mit der Neuregelung soll auch weiterhin dem Urteil des Europäischen Gerichtshofes entsprochen werden. Die Datenschutzbehörde ist eine weisungsfreie Behörde, die auch die innerdienstlichen Aufgaben selbständig ordnet.

Aufgaben und Personalien

Datenschutzrechtliche Aufgaben

Aufgaben der Datenschutzbehörde sind insbesondere:

Kontrolle der Einhaltung des Datenschutzgesetzes und der Datenschutz-Grundverordnung^[10]
Entscheidung über Beschwerden von Betroffenen wegen Verletzungen der DSGVO und des DSG (soweit die Beschwerde nicht gegen Organe der Gesetzgebung oder Gerichtsbarkeit gerichtet ist)
Durchführung von Datenschutzüberprüfungen^[11]
Entgegennahme und Bearbeitung von Data Breach-Meldungen^[12]
Genehmigung von durch Branchenverbände erstellte Verhaltenskodizes im Rahmen der Datenschutz-Grundverordnung
Genehmigung von Binding Corporate Rules^[13]
Beratung des Österreichischen Parlaments und der Bundesregierung^[14]
Sensibilisierung der Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten^[15]
Verhängung von Verwaltungsstrafen bei Verstößen gegen die DSGVO oder das DSG^[16]

Die Datenschutzbehörde überwacht als nationale Kontrollinstanz in Österreich die Rechtmäßigkeit der Verarbeitung personenbezogener Daten im N.SIS (Nationales Schengener Informationssystem)^[17] und N-VIS (Nationales Visa-Informationssystem).^[18] Sie ist verpflichtet, Audits des nationalen Einreise-/Ausreisesystems durchzuführen.^[1]

Der Leiter der Datenschutzbehörde agiert als Vertreter Österreichs im Europäischen Datenschutzausschuss.^[19]

Aufgaben im Rahmen der KI-Verordnung

Die Datenschutzbehörde wurde als eine für den Schutz der Grundrechte zuständige Behörde im Rahmen der Verordnung über künstliche Intelligenz (KI-Verordnung) benannt (Art. 77 KI-VO).^[1]

Aufgaben im Rahmen der TTPA-Verordnung

Gemeinsam mit der Kommunikationsbehörde Austria agiert die Datenschutzbehörde als Aufsichtsbehörde für die TTPA-Verordnung in Österreich.^[1]

Aufgaben im Rahmen der Informationsfreiheit

§ 15 Informationsfreiheitsgesetz (IFG) weist der Datenschutzbehörde die Beratung und Unterstützung informationspflichtiger Organe bzw. Einrichtungen durch die Bereitstellung von Leitfäden und Angebote zur Fortbildung in datenschutzrechtlichen Belangen der Vollziehung der Informationsfreiheit zu. Sie hat einen diesbezüglichen Leitfaden veröffentlicht.^[20]

Personalien

Leiter der Datenschutzbehörde ist seit 1. Jänner 2024 Matthias Schmidl, davor war dies ab 2014 Andrea Jelinek. Geschäftsführendes Mitglied der DSK war davor seit 1. Juli 2010 Eva Souhrada-Kirchmayer, vorher Waltraut Kotschy. Diese Personen sind bzw. waren auch Vertreter Österreichs in der Artikel-29-Datenschutzgruppe. Die Behörden sind darüber hinaus Mitglieder der Internationalen Konferenz der Beauftragten für den Datenschutz und den Schutz der Privatsphäre. Der Personalstand der Datenschutzbehörde umfasste im Jahr 2025 insgesamt 58 Personen.^[1]

Rechtsschutz

Gegen Bescheide der Datenschutzbehörde und wegen Verletzung ihrer Entscheidungspflicht kann Beschwerde an das Bundesverwaltungsgericht (BVwG) erhoben werden.^[21]

Entscheidungen des Bundesverwaltungsgerichts können gemäß Art. 133 B-VG mit Revision beim Verwaltungsgerichtshof oder gemäß Art. 144 B-VG mit Beschwerde an den Verfassungsgerichtshof bekämpft werden.

Siehe auch

Weblinks

Website der Datenschutzbehörde

Einzelnachweise

1 2 3 4 5 Datenschutzbehörde: Tätigkeitsbericht 2025. (PDF) März 2026, abgerufen am 12. April 2026.
↑ Über uns. (Memento vom 21. Juli 2016 im Internet Archive) dsb.gv.at; abgerufen am 19. April 2024.
1 2 Urteil des Europäischen Gerichtshofs vom 16. Oktober 2012, Rs C-614/10. (Memento vom 23. Oktober 2012 im Internet Archive) dsk.gv.at
↑ Schlussantrag vor dem EuGH vom 3. Juli 2012 im Verfahren C-614/10. curia.europa.eu
↑ EuGH-Anwalt: Österreich verstößt gegen Datenschutzrichtlinie. orf.at; abgerufen am 3. Juli 2012.
↑ BGBl. I Nr. 57/2013: Novelle 2013.
↑ Erläuterungen zur Regierungsvorlage. (PDF; 86 kB) parlament.gv.at; abgerufen am 3. September 201.
↑ Art. 151 Abs. 51 Z 8 und Z 25 der Anlage „Aufgelöste unabhängige Verwaltungsbehörden“ des Bundes-Verfassungsgesetz in der Fassung der Verwaltungsgerichtsbarkeits-Novelle (BGBl. I Nr. 51/2012)
↑ DSG-Novelle 2014 (BGBl. I Nr. 83/2013)
↑ § 24 DSG
↑ Art. 58 Abs. 1 lit. b DSGVO
↑ Art. 33–34 DSGVO
↑ Art. 57 Abs. 1 lit. s DSGVO
↑ Art. 57 Abs. 1 lit. c DSGVO
↑ Art. 57 Abs. 1 lit. b DSGVO
↑ Art. 58 Abs. 2 lit. i DSGVO und § 30 DSG
↑ Schengener Informationssystem (SIS). Abgerufen am 28. Februar 2026.
↑ Das Visa Informationssystem (VIS). Abgerufen am 28. Februar 2026.
↑ § 35i DSG
↑ Leitfaden zum Informationsfreiheitsgesetz. (PDF) 30. Juni 2025, abgerufen am 22. Februar 2026.
↑ § 27 DSG

[:1-1] 1 2 3 4 5 Datenschutzbehörde: Tätigkeitsbericht 2025. (PDF) März 2026, abgerufen am 12. April 2026.

[dsb_about-2] Über uns. (Memento vom 21. Juli 2016 im Internet Archive) dsb.gv.at; abgerufen am 19. April 2024.

[eugh-3] 1 2 Urteil des Europäischen Gerichtshofs vom 16. Oktober 2012, Rs C-614/10. (Memento vom 23. Oktober 2012 im Internet Archive) dsk.gv.at

[4] Schlussantrag vor dem EuGH vom 3. Juli 2012 im Verfahren C-614/10. curia.europa.eu

[5] EuGH-Anwalt: Österreich verstößt gegen Datenschutzrichtlinie. orf.at; abgerufen am 3. Juli 2012.

[6] BGBl. I Nr. 57/2013: Novelle 2013.

[7] Erläuterungen zur Regierungsvorlage. (PDF; 86 kB) parlament.gv.at; abgerufen am 3. September 201.

[8] Art. 151 Abs. 51 Z 8 und Z 25 der Anlage „Aufgelöste unabhängige Verwaltungsbehörden“ des Bundes-Verfassungsgesetz in der Fassung der Verwaltungsgerichtsbarkeits-Novelle (BGBl. I Nr. 51/2012)

[9] DSG-Novelle 2014 (BGBl. I Nr. 83/2013)

[10] § 24 DSG

[11] Art. 58 Abs. 1 lit. b DSGVO

[12] Art. 33–34 DSGVO

[13] Art. 57 Abs. 1 lit. s DSGVO

[14] Art. 57 Abs. 1 lit. c DSGVO

[15] Art. 57 Abs. 1 lit. b DSGVO

[16] Art. 58 Abs. 2 lit. i DSGVO und § 30 DSG

[17] Schengener Informationssystem (SIS). Abgerufen am 28. Februar 2026.

[18] Das Visa Informationssystem (VIS). Abgerufen am 28. Februar 2026.

[19] § 35i DSG

[20] Leitfaden zum Informationsfreiheitsgesetz. (PDF) 30. Juni 2025, abgerufen am 22. Februar 2026.

[21] § 27 DSG

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]