Datenschutz & DSGVO in Österreich und Deutschland: Was Unternehmen wissen müssen

Die 7 DSGVO-Grundsätze: Die Basis für alles

Jede Verarbeitung personenbezogener Daten muss mit den sieben Grundsätzen der DSGVO vereinbar sein. Diese gelten in Österreich und Deutschland gleichermaßen:

• ✅ Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz: Daten dürfen nur mit Rechtsgrundlage und nachvollziehbar verarbeitet werden.
• ✅ Zweckbindung: Daten dürfen nur für den Zweck genutzt werden, für den sie erhoben wurden.
• ✅ Datenminimierung: Es dürfen nur so viele Daten erhoben werden, wie für den Zweck notwendig.
• ✅ Richtigkeit: Daten müssen aktuell und korrekt gehalten werden.
• ✅ Speicherbegrenzung: Daten dürfen nicht länger als nötig gespeichert werden.
• ✅ Integrität und Vertraulichkeit: Daten müssen durch geeignete Maßnahmen geschützt werden.
• ✅ Rechenschaftspflicht: Der Verantwortliche muss die Einhaltung nachweisen können.

Rechtsgrundlagen: Wann darf ich Daten verarbeiten?

Ohne Rechtsgrundlage ist jede Datenverarbeitung unzulässig. Die DSGVO kennt sechs mögliche Rechtsgrundlagen (Art. 6 DSGVO). Für Unternehmen sind in der Praxis vor allem drei relevant:

1. Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Die betroffene Person willigt freiwillig, informiert und unmissverständlich ein. Im Arbeitsverhältnis ist Einwilligung kritisch zu sehen – aufgrund des Machtgefälles zwischen Arbeitgeber und Arbeitnehmer wird Freiwilligkeit oft angezweifelt. In Österreich und Deutschland gelten hier strenge Maßstäbe.

2. Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

Die Verarbeitung ist zur Erfüllung eines Vertrags erforderlich – etwa die Verarbeitung von Bankdaten zur Lohnzahlung oder Adressdaten zur Lieferung.

3. Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

Der Verantwortliche hat ein berechtigtes Interesse, das die Interessen der betroffenen Person überwiegt. Diese Abwägung ist stets im Einzelfall zu dokumentieren und besonders bei Mitarbeiterüberwachung (GPS, E-Mail-Kontrolle, Videoüberwachung) relevant.

Arbeitnehmerdatenschutz: Besondere Pflichten im Beschäftigungsverhältnis

Die Verarbeitung von Mitarbeiterdaten ist einer der sensibelsten Bereiche der DSGVO – und gleichzeitig einer, in dem besonders viele Verstöße passieren. Was Arbeitgeber beachten müssen:

Österreich: § 11 DSG

Das österreichische Datenschutzgesetz enthält in § 11 eine spezifische Regelung für die Verarbeitung von Mitarbeiterdaten. Danach ist die Verarbeitung zulässig, wenn sie zur Erfüllung des Arbeitsvertrags notwendig ist, auf einer Betriebsvereinbarung beruht oder schutzwürdige Interessen nicht überwiegen. Betriebsvereinbarungen nach dem ArbVG können dabei als Rechtsgrundlage für die Datenverarbeitung dienen – ein wichtiges Instrument, das in Deutschland nicht in dieser Form existiert.

Deutschland: §§ 26, 87 BDSG / BetrVG

In Deutschland regelt § 26 BDSG die Verarbeitung von Beschäftigtendaten. Besonders relevant: Daten dürfen zur Aufdeckung von Straftaten nur verarbeitet werden, wenn tatsächliche Anhaltspunkte vorliegen und die Verhältnismäßigkeit gewahrt ist. Der Betriebsrat hat nach § 87 BetrVG weitreichende Mitbestimmungsrechte bei technischen Überwachungseinrichtungen – also auch bei Zeiterfassungssystemen, GPS-Tracking und Videokameras.

GPS-Tracking von Mitarbeitern: Was ist erlaubt?

GPS-Ortung im Außendienst, auf Firmenfahrzeugen oder bei Lieferdiensten ist weit verbreitet – aber rechtlich nur unter engen Voraussetzungen zulässig. Folgende Grundsätze gelten in Österreich und Deutschland:

• ✅ GPS-Tracking ausschließlich während der Arbeitszeit – nicht in der Freizeit
• ✅ Transparente Information der Mitarbeiter über Art, Umfang und Zweck
• ✅ Verhältnismäßigkeit: Der Zweck muss das Tracking rechtfertigen (z. B. Tourenplanung, Nachweis der Einsatzzeiten)
• ✅ In Österreich: Betriebsvereinbarung erforderlich (ArbVG § 96 Abs. 1 Z 3)
• ✅ In Deutschland: Betriebsratsabstimmung nach § 87 Abs. 1 Nr. 6 BetrVG
• ✅ Dauerhafte Überwachung ohne konkreten Anlass ist in beiden Ländern unzulässig

Praxis-Tipp: Dokumentieren Sie den Zweck des GPS-Trackings schriftlich, legen Sie fest, wer Zugriff auf die Standortdaten hat, und regeln Sie Löschfristen. Eine fehlende Betriebsvereinbarung kann das gesamte System unzulässig machen – auch wenn die Technik bereits im Einsatz ist.

Videoüberwachung am Arbeitsplatz

Kameras im Betrieb sind nur unter strengen Voraussetzungen erlaubt. In beiden Ländern gilt: offene Videoüberwachung (also für Mitarbeiter sichtbare Kameras) zu legitimen Zwecken wie Einbruchschutz oder Kassenüberwachung kann zulässig sein – verdeckte Überwachung ist grundsätzlich verboten.

In Österreich regelt das DSG i.V.m. dem ArbVG die Videoüberwachung von Mitarbeitern. Eine Betriebsvereinbarung ist Pflicht, wenn die Überwachung die Menschenwürde berührt (§ 96 Abs. 1 Z 3 ArbVG). In Deutschland ist der Betriebsrat nach § 87 Abs. 1 Nr. 6 BetrVG zwingend einzubeziehen. Fehlt die Zustimmung, sind die aufgenommenen Daten in einem Verfahren unter Umständen nicht verwertbar.

DSGVO im Homeoffice: Datenschutz endet nicht an der Bürotür

Wer im Homeoffice arbeitet, verarbeitet oft genauso sensible Daten wie im Büro – nur ohne die physische Sicherheitsinfrastruktur des Unternehmens. Arbeitgeber bleiben auch für den Heimarbeitsplatz verantwortlich. Die wichtigsten Maßnahmen:

• ✅ VPN-Pflicht für den Zugriff auf Unternehmenssysteme
• ✅ Nur dienstliche oder MDM-gesicherte Geräte für die Verarbeitung von Geschäftsdaten
• ✅ Bildschirmsperren und sichere Passwörter verpflichtend
• ✅ Keine privaten Cloud-Dienste (Google Drive, Dropbox etc.) für Arbeitsdokumente
• ✅ Physische Dokumente sicher verwahren – kein Blick Dritter auf sensible Unterlagen
• ✅ Datenschutzweisung für Homeoffice schriftlich aushändigen und vom Mitarbeiter bestätigen lassen

Das Verarbeitungsverzeichnis: Pflicht für jeden Betrieb

Jedes Unternehmen mit mehr als 250 Mitarbeitern ist nach Art. 30 DSGVO verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen. Kleinere Betriebe sind nur dann ausgenommen, wenn ihre Verarbeitungen kein Risiko für die Betroffenen darstellen und nicht regelmäßig erfolgen – in der Praxis trifft diese Ausnahme kaum einen Betrieb.

Das Verzeichnis muss für jede Verarbeitungstätigkeit enthalten: Zweck, Kategorien der betroffenen Personen und Daten, Empfänger, Drittlandtransfers, Löschfristen sowie technische und organisatorische Maßnahmen (TOMs).

Datenschutzbeauftragter: Wann ist er Pflicht?

In Deutschland ist ein Datenschutzbeauftragter (DSB) Pflicht, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 BDSG). In Österreich kennt das DSG keine vergleichbare nationale Schwelle – die DSGVO-Pflicht (Art. 37) greift bei umfangreicher Verarbeitung sensibler Daten oder systematischer Überwachung. In der Praxis empfehlen die Aufsichtsbehörden beider Länder kleinen und mittleren Unternehmen, freiwillig einen DSB zu benennen.

Bußgelder: Was droht bei Verstößen?

Die DSGVO sieht empfindliche Strafen vor. Je nach Schwere des Verstoßes drohen Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (für weniger schwere Verstöße) bzw. bis zu 20 Millionen Euro oder 4 % des Umsatzes (für schwere Verstöße wie unzulässige Datenverarbeitung oder Verletzung der Betroffenenrechte).

Die zuständigen Aufsichtsbehörden sind in Österreich die Datenschutzbehörde (DSB) und in Deutschland die jeweiligen Landesdatenschutzbehörden (z. B. BayLDA, LfDI Baden-Württemberg, DSK auf Bundesebene). Beide Behörden haben in den vergangenen Jahren ihre Kontrollaktivitäten deutlich intensiviert.

Fazit: Datenschutz ist kein Projekt – er ist Dauerbetrieb

DSGVO-Konformität ist keine einmalige Aufgabe, die man abhaken kann. Datenverarbeitungen ändern sich, neue Tools kommen hinzu, Mitarbeiter wechseln, Homeoffice wird ausgebaut. Wer Datenschutz als laufenden Prozess versteht – mit gepflegtem Verarbeitungsverzeichnis, regelmäßigen Schulungen und klaren Weisungen – schützt nicht nur seine Kunden und Mitarbeiter, sondern auch das Unternehmen selbst vor kostspieligen Konsequenzen.

Investieren Sie in Datenschutz, bevor ein Vorfall passiert. Die Kosten einer sauberen DSGVO-Struktur sind ein Bruchteil dessen, was ein einziger Verstoß kosten kann.