Die Datenschutzregulierung in Österreich und der EU wird immer schärfer. Neue Daten zeigen eine wachsende Kluft zwischen rechtlichen Vorgaben und der Umsetzung in Unternehmen. Während Behörden die DSGVO rigoroser durchsetzen, rücken Zugangsrechte, automatisierte Profilerstellung und der kommende KI-Verordnung in den Fokus.
Rekord an Beschwerden und historische Strafen
Die österreichische Datenschutzbehörde (DSB) verzeichnet einen deutlichen Anstieg der Aktivität. Laut Tätigkeitsberichten vom 21. April 2026 gingen 2025 rund 5.300 individuelle Beschwerden ein – ein signifikanter Sprung gegenüber 3.019 Fällen im Vorjahr. Die Behörde schloss 3.403 Verfahren ab und verhängte 58 Geldbußen.
Die finanziellen Konsequenzen erreichen historische Dimensionen. Einer der prominentesten Fälle ist eine 18-Millionen-Euro-Strafe gegen die Österreichische Post AG. Sie geht auf eine Untersuchung von 2019 zum „Parteien-Affinitäts-Scoring“ ohne rechtliche Grundlage zurück. Weitere bemerkenswerte Sanktionen sind eine 2-Millionen-Euro-Strafe gegen Jö Bonus Club GmbH für unerlaubte Profilbildung und eine 50.000-Euro-Geldbuße gegen A1 Telekom Austria wegen Mängeln in der Datensicherheit.
Rechtsexperten sehen die häufigsten Verstöße aktuell bei Artikel 15 (Auskunftsrecht), den Artikeln 13 und 14 (Informationspflichten) sowie Artikel 28 (Auftragsverarbeitung). Die DSGVO droht mit Strafen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes – eine Schwelle, die Aufsichtsbehörden bei systemischen Versäumnissen zunehmend ausschöpfen.
Systemversagen beim Auskunftsrecht und neue Gesetzespläne
Eine umfassende Studie der Datenschutzorganisation noyb vom April 2026 offenbart ein systemisches Versagen bei der Bearbeitung von Betroffenenanfragen. Die Analyse von 121 Fällen ergab, dass 83,5 % der Auskunftsersuchen nicht rechtskonform beantwortet wurden. 53,7 % der Antworten waren unvollständig, rund 30 % der Anfragen wurden komplett ignoriert. Nur 16,5 % der untersuchten Unternehmen lieferten eine zufriedenstellende Antwort.
Große Technologieplattformen und Händler wie TikTok, AliExpress und WeChat wiesen erhebliche Mängel auf. Eine Microsoft-Tochter fiel durch eine Antwortquote von 0 % in früheren Erhebungszeiträumen auf. Max Schrems, Gründer von noyb, sieht das Kernproblem in der Missachtung rechtlicher Pflichten durch Unternehmen, nicht im angeblichen Missbrauch der Rechte durch Einzelpersonen.
Diese Erkenntnisse kommen zu einem Zeitpunkt, da die EU-Kommission den Entwurf für ein „Digital Omnibus“-Gesetzespaket prüft. Dieser sieht vor, das Auskunftsrecht auf spezifisch definierte Datenschutzzwecke zu beschränken. Während Befürworter einen Missbrauch der Anfragen in Rechtsstreitigkeiten verhindern wollen, legt noybs Forschung nahe, dass über 70 % der Datenschutzbeauftragten keine signifikante administrative Belastung durch diese Anfragen sehen. Kritiker warnen, solche Einschränkungen könnten Transparenz und Rechenschaftspflicht im europäischen Digitalmarkt schwächen.
Neue Haftungsmaßstäbe: Von der privaten PV-Anlage bis zur KI
Die Reichweite von Datenschutz und Verbraucherrechten dehnt sich aus. Am 21. April 2026 bestätigte der österreichische Oberste Gerichtshof (OGH), dass private Haushalte mit Photovoltaik-Anlagen vollen Verbraucherschutz genießen. Die Einspeisung von Solarstrom ins Netz stelle keine gewerbliche Tätigkeit dar. Damit wurden bestimmte „Ausgleichsenergie“-Gebühren von Anbietern wie Spotty Smart Energy für unzulässig erklärt. Betroffene Kunden können Rückzahlungen für vor August 2023 berechnete Gebühren verlangen.
Parallel bereitet sich die Wirtschaft auf die volle Anwendbarkeit der EU-KI-Verordnung vor. Während allgemeine Regeln bereits seit Anfang 2025 gelten, treten umfassende Compliance-Pflichten am 2. August 2026 in Kraft. Verstöße können noch härter bestraft werden als unter der DSGVO: bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes.
Unternehmen wird geraten, KI-Register einzurichten, Risikoklassifizierungen vorzunehmen und die „KI-Kompetenz“ der Mitarbeiter gemäß Artikel 4 der Verordnung sicherzustellen. Dieser regulatorische Shift geht einher mit verschärfter Durchsetzung der NIS-2-Richtlinie und des deutschen BSI-Gesetzes. Letzteres verlangt von Unternehmen den Schritt weg von jährlichen Penetrationstests hin zu kontinuierlichem, messbarem Monitoring der Cybersicherheit. Die Registrierungsfrist für betroffene Firmen lief bereits am 6. März 2026 ab – und markiert eine neue Ära der Führungshaftung für digitale Infrastruktur.
Europäische Präzedenzfälle: Vom Data-Scraping bis zum Mietregister
Grenzüberschreitende Klagen definieren die Grenzen der Datennutzung durch Tech-Giganten neu. Ein Mailänder Gericht ließ am 21. April 2026 die erste europäische Sammelklage gegen Meta zu. Sie betrifft einen Datenskandal von 2021, der weltweit über 500 Millionen Nutzer, darunter 35 Millionen in Italien, betraf. Die Klage fordert Schadensersatz von bis zu 1.500 Euro pro betroffener Person. Die Verhandlung ist für Oktober 2026 angesetzt. Das Gericht wies Metas Einwand zurück, die Verbraucherorganisation dürfe nur lokale Einwohner vertreten – ein möglicher Wegbereiter für breitere, paneuropäre Klagen.
In einer parallelen Entwicklung für regionale Transparenz kündigte Berlin am 22. April 2026 die Einführung eines digitalen Mietregisters für 1,75 Millionen Wohnungen an. Vermieter müssen künftig detaillierte Informationen wie Nettomieten, Betriebskosten und Modernisierungsumlagen offenlegen. Ein KI-System soll automatisch Verstöße gegen die Mietpreisbremse erkennen und verdächtige Fälle der Staatsanwaltschaft melden. Mieterverbände begrüßen den Schritt, während Vermietervertreter die Vereinbarkeit dieses „gläsernen Vermieters“ mit dem Datenschutzrecht in Frage stellen.
Ausblick: KI-Verordnung und Kinderschutz im Fokus
In den kommenden Monaten dürfte der Fokus europäischer Regulierer auf der Schnittstelle von Datenschutz und Kindersicherung liegen. Der britische Medienregulator Ofcom leitete am 22. April 2026 eine Untersuchung gegen Telegram wegen der mutmaßlichen Verbreitung verbotener Inhalte ein. Dabei drohen Strafen von bis zu 10 % des globalen Umsatzes. Telegram wies die Vorwürfe kategorisch zurück.
Für die Privatwirtschaft bleibt der 2. August 2026 der entscheidende Meilenstein, wenn die KI-Verordnung voll anwendbar wird. Unternehmen beobachten auch die globale Einführung von Altersverifikationstechnologien, wie sie Sony für PlayStation-Dienste ab Juni 2026 in Großbritannien und Irland angekündigt hat. Diese Entwicklungen werden entscheiden, ob der aktuelle Trend zu hohen Strafen anhält oder neue Gesetzesrahmen spezifischere – und möglicherweise engere – Leitplanken für die Datenverarbeitung im ausgehenden Jahrzehnt setzen.
