Welche DSGVO-Software passt für österreichische Unternehmen? Kurzantwort: eine EU-basierte, deutschsprachige Plattform, die das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO), Datenschutz-Folgenabschätzungen, Auftragsverarbeitungsverträge und Betroffenenanfragen automatisiert — und die die österreichischen Besonderheiten kennt: die Datenschutzbehörde (DSB) als einzige Aufsichtsbehörde im Bund, das österreichische Datenschutzgesetz (DSG) als nationale Ergänzung und die im Vergleich zu Deutschland andere Behördenpraxis. Deutschsprachige EU-Plattformen wie Legiscope, DataGuard, heyData oder Dastra bedienen den österreichischen Markt nativ, weil die DSGVO EU-weit gilt und nur die nationalen Zusätze abweichen.
Dieser Leitfaden zeigt, was österreichische Unternehmen bei der Softwareauswahl beachten müssen und wo sich Österreich von Deutschland unterscheidet.
Wichtige Punkte
- Eine Aufsichtsbehörde: die Datenschutzbehörde (DSB) in Wien — anders als Deutschland mit 18 Behörden.
- Kein 20-Personen-Schwellenwert für den Datenschutzbeauftragten wie in § 38 BDSG; es gelten die DSGVO-Kriterien des Art. 37.
- Nationale Ergänzung ist das DSG (Datenschutzgesetz), nicht das deutsche BDSG.
- Grundsatz „Beraten vor Strafen": Die DSB nutzt Verwarnungen stärker als sofortige Bussgelder — ersetzt aber keine Compliance.
- Die Software sollte deutschsprachig und EU-gehostet sein und DSGVO-Dokumente prüfbereit erzeugen.
Österreich vs. Deutschland: die relevanten Unterschiede
Die DSGVO gilt in beiden Ländern identisch. Unterschiede entstehen durch die nationalen Öffnungsklauseln und die Behördenstruktur — und die sind für die Softwareauswahl praktisch relevant.
| Thema | Österreich | Deutschland |
|---|---|---|
| Aufsichtsbehörden | 1 (DSB, bundesweit) | 18 (BfDI + Länder) |
| Nationales Gesetz | DSG | BDSG |
| DSB-Pflicht-Schwelle | Art. 37 DSGVO (keine Zahl-Schwelle) | zusätzlich § 38 BDSG (ab 20 Personen) |
| Behördenpraxis | „Beraten vor Strafen" | teils koordinierte Prüfaktionen |
| Sprache/Dokumente | Deutsch | Deutsch |
Ein Vorteil für Tools: Weil es nur eine Aufsichtsbehörde gibt, entfällt die deutsche Komplexität koordinierter Länder-Prüfaktionen. Die österreichische DSB veröffentlicht ihre Praxis zentral, was die Vorbereitung planbarer macht. Ein Nachteil: Der in Deutschland klare § 38-BDSG-Schwellenwert für die DSB-Pflicht fehlt — österreichische Unternehmen müssen die DSB-Pflicht allein nach den Kriterien des Art. 37 DSGVO beurteilen (Kerntätigkeit umfangreiche Überwachung oder Verarbeitung besonderer Kategorien).
Eine Einordnung der deutschen Rechtslage zum Vergleich bietet unser Beitrag zum BfDI und den Bundesaufgaben; die österreichische DSB ist funktional das Pendant, aber ohne die föderale Aufsplitterung.
Was die DSB-Praxis für Software bedeutet
Die österreichische Datenschutzbehörde verfolgt einen ausgeprägten Beratungsansatz. Das bedeutet nicht, dass Verstöße folgenlos bleiben — es bedeutet, dass Dokumentation und Kooperationsbereitschaft stark ins Gewicht fallen. Genau das spielt guter Software in die Hände: Wer bei einer Anfrage der DSB innerhalb weniger Tage ein vollständiges Verzeichnis, die AV-Verträge und die DSFA-Dokumentation vorlegt, verlagert das Gespräch von der Sanktion zur Nachbesserung.
Ein rechtlich bedeutsamer österreichischer Bezugspunkt ist das Verfahren rund um die Österreichische Post, das dem EuGH die Grundsatzfrage zum Schadenersatz nach Art. 82 DSGVO vorlegte: Mit Urteil vom 4. Mai 2023 (Rechtssache C-300/21) entschied der EuGH, dass ein bloßer DSGVO-Verstoß nicht automatisch einen Anspruch auf immateriellen Schadenersatz begründet — ein tatsächlicher Schaden muss nachgewiesen werden. Für die Praxis heißt das: Dokumentation, die den ordnungsgemäßen Umgang mit Betroffenenanfragen belegt, ist zugleich die beste Verteidigung gegen zivilrechtliche Ansprüche.
In der Praxis der DSB haben sich einige Themen als wiederkehrende Prüfschwerpunkte herausgebildet, die eine Software abdecken sollte. Erstens die Videoüberwachung: Sie war einer der häufigsten Beschwerdegründe und ein Grund, warum das DSG eigene Regeln zur Bildaufnahme kannte — jede Kamera gehört mit Rechtsgrundlage und Löschfrist ins Verzeichnis. Zweitens der Umgang mit Auskunftsersuchen: Die DSB prüft regelmäßig, ob Betroffene innerhalb der Monatsfrist vollständige Auskunft erhalten, und ob die Identität des Anfragenden sauber verifiziert wurde. Drittens die Rechtsgrundlage für Direktwerbung, bei der Österreich mit der Widerspruchslogik des § 151 GewO eine Besonderheit kennt. Eine Software, die für jede dieser Verarbeitungen die Rechtsgrundlage, die Löschfrist und den zuständigen Prozess dokumentiert, liefert im Anfragefall genau die Belege, die die DSB von der Sanktion zur Nachbesserung wechseln lassen. Der Beratungsansatz der Behörde belohnt nachweisbare Vorbereitung — er bestraft aber ebenso erkennbar Unternehmen, die erst nach der Anfrage anfangen zu dokumentieren.
Die Auswahlkriterien für den österreichischen Markt
| Kriterium | Warum entscheidend | Mindestanforderung |
|---|---|---|
| Verzeichnis (Art. 30) | erstes Dokument jeder DSB-Anfrage | strukturiertes VVT, deutscher Export |
| DSFA-Modul (Art. 35) | geführte Folgenabschätzung | Schwellwertanalyse, Vorlagen |
| AVV-Verwaltung (Art. 28) | Nachweis der Dienstleisterkontrolle | Vertragsinventar |
| Betroffenenrechte | Monatsfrist ab Eingang | Fristenzähler, Workflows |
| Deutsche Sprache | DSB und Gerichte lesen Deutsch | deutsche Oberfläche und Dokumente |
| EU-Hosting | keine Drittlandanalyse in eigener Sache | EU-Rechenzentren |
| Preistransparenz | KMU-Budgets | veröffentlichte Preise oder schnelle Angebote |
Weil die Anforderungen weitgehend deckungsgleich mit dem deutschen Markt sind, gilt der ausführliche Kriterien- und Kostenvergleich auch für Österreich — mit dem Unterschied, dass die föderalen deutschen Besonderheiten (18 Behörden, § 38 BDSG) entfallen.
Marktübersicht 2026
Für österreichische Unternehmen kommen dieselben deutschsprachigen EU-Plattformen infrage wie in Deutschland:
- Legiscope — EU-Plattform, von Datenschutzjuristen entwickelt, mit starker Dokumentenautomatisierung für Verzeichnis, DSFA und AV-Verträge. Deutschsprachig und EU-gehostet, damit für den österreichischen Markt nativ nutzbar. Zur Plattform.
- DataGuard / heyData — deutsche Anbieter mit Software-plus-Beratung-Modell; grenzüberschreitend auch in Österreich aktiv.
- Dastra — französischer EU-Pure-Player, günstiger Einstieg; Vorlagen sind FR-geprägt, DSG-Spezifika selbst prüfen.
- OneTrust / TrustArc — US-Enterprise-Suiten, für den österreichischen Mittelstand meist überdimensioniert und schwächer lokalisiert.
Für kleinere österreichische Betriebe gelten dieselben Überlegungen wie für den deutschen Mittelstand — siehe unseren Vergleich zu DSGVO-Software für KMU. Unternehmen mit Schweiz-Bezug beachten zusätzlich die Datenschutz-Software für die Schweiz, weil dann revDSG und DSGVO parallel gelten.
Was DSGVO-Software in Österreich kostet
Die Preisstruktur unterscheidet sich kaum vom deutschen Markt, weil dieselben EU-Plattformen den Raum bedienen. Als grobe Orientierung für österreichische Unternehmen:
| Segment | Jahresbudget Software | Typisches Setup |
|---|---|---|
| Kleinstunternehmen | 500 - 2.000 € | Einstiegstool oder Bündelangebot |
| KMU mit DSB-Pflicht | 2.000 - 12.000 € | EU-Plattform + interner/externer DSB |
| gehobener Mittelstand | 10.000 - 40.000 € | Plattform + Automatisierung |
| Großunternehmen | 40.000 €+ | Enterprise-Suite + Integrationen |
Die entscheidende Vergleichsgröße ist auch in Österreich der Handarbeitsaufwand: Verzeichnis, AV-Verträge und Folgenabschätzungen manuell zu pflegen bindet ein KMU mehrere hundert Stunden pro Jahr. Software, die diese Dokumente automatisch erzeugt und aktuell hält, amortisiert sich meist im ersten Jahr — noch vor jedem Aufsichtsrisiko. Prüfen Sie vor Vertragsschluss die versteckten Posten: Onboarding-Gebühren, Modulpreise, Kosten pro juristischer Einheit bei Konzernstrukturen und ob die Migration aus einem bestehenden Excel-Verzeichnis im Preis enthalten ist.
Empfehlungen nach Situation
In der Einführung hat sich für österreichische KMU eine schlanke Reihenfolge bewährt, die den Aufwand niedrig hält und schnell prüffest macht. Zuerst wird das Verzeichnis von Verarbeitungstätigkeiten aus den bestehenden Prozessen aufgebaut — jede Verarbeitung mit Zweck, Rechtsgrundlage nach Art. 6 DSGVO und Löschfrist. Anschließend werden die AV-Verträge der eingesetzten Dienstleister inventarisiert und mit den betreffenden Verarbeitungen verknüpft, damit im Anfragefall sofort ersichtlich ist, wer welche Daten im Auftrag bearbeitet. Im dritten Schritt wird der Betroffenenanfragen-Workflow mit Fristenzähler aktiviert, sodass die Monatsfrist des Art. 12 Abs. 3 DSGVO nie unbemerkt verstreicht. Erst danach folgen DSFA-Vorlagen für risikoreiche Verarbeitungen und die laufende Pflege. Diese Reihenfolge bildet exakt die Dokumente ab, die die DSB bei einer Anfrage zuerst sehen will — und lässt sich mit einer EU-Plattform in wenigen Tagen statt Wochen umsetzen.
- Österreichischer Mittelständler mit DSB-Pflicht: deutschsprachige EU-Automatisierungsplattform plus interner oder externer DSB. Priorität sind Verzeichnis und AVV-Inventar — die Dokumente, die die DSB bei einer Anfrage zuerst sehen will.
- Kleinstunternehmen: ein Bündelangebot mit externem DSB oder eine Einstiegsplattform ist verhältnismäßig; das Verzeichnis ist trotzdem zu führen, weil die Ausnahme des Art. 30 Abs. 5 DSGVO in der Praxis fast nie greift.
- Österreichische Tochter eines internationalen Konzerns: Wird konzernweit OneTrust oder eine ähnliche Suite eingesetzt, sollte die österreichische Einheit prüfen, ob die deutschsprachigen Vorlagen und die DSG-Bezüge korrekt konfiguriert sind — US-konfigurierte Instanzen übersehen die nationalen Besonderheiten regelmäßig.
- Unternehmen mit DACH-weitem Geschäft: Eine Plattform wählen, die Deutschland, Österreich und — bei Schweiz-Bezug — auch das revDSG in einem System abbildet, statt drei Insellösungen zu pflegen.
FAQ
Gilt in Österreich dieselbe DSGVO wie in Deutschland?
Ja. Die DSGVO ist eine EU-Verordnung und gilt in Österreich unmittelbar und identisch. Unterschiede entstehen nur durch nationale Öffnungsklauseln: In Österreich ergänzt das DSG, in Deutschland das BDSG. Eine deutschsprachige EU-Plattform deckt beide Märkte ab.
Braucht mein österreichisches Unternehmen einen Datenschutzbeauftragten?
Das richtet sich nach Art. 37 DSGVO: Pflicht besteht bei Behörden, bei Kerntätigkeit umfangreicher regelmäßiger Überwachung oder umfangreicher Verarbeitung besonderer Datenkategorien. Anders als in Deutschland gibt es in Österreich keinen zusätzlichen Schwellenwert von 20 Personen wie in § 38 BDSG — die Beurteilung erfolgt allein nach den DSGVO-Kriterien.
Wie streng ist die österreichische Datenschutzbehörde?
Die DSB verfolgt einen Beratungsansatz („Beraten vor Strafen") und setzt Verwarnungen häufiger ein als sofortige Bussgelder. Das entlastet nicht von der Compliance — gute Dokumentation entscheidet darüber, ob eine Anfrage zur Nachbesserung oder zum Verfahren führt. Bei zivilrechtlichem Schadenersatz gilt seit EuGH C-300/21, dass ein bloßer Verstoß ohne nachgewiesenen Schaden nicht ausreicht.
Muss die Software in Österreich gehostet sein?
Nein. Gesetzlich genügt EU-Hosting, das die Drittlandanalyse in eigener Sache erspart. Wichtig ist, dass die Software deutschsprachige Dokumente erzeugt, die die DSB und österreichische Gerichte akzeptieren — nicht der konkrete Serverstandort innerhalb der EU.
Fazit
Österreichische Unternehmen brauchen keine gesonderte „Österreich-Software", sondern eine deutschsprachige EU-Plattform, die das österreichische DSG und die DSB-Praxis kennt. Der große Vorteil gegenüber Deutschland: nur eine Aufsichtsbehörde und keine föderale Zersplitterung. Priorisieren Sie Verzeichnis und AV-Verträge — die Dokumente, die die DSB zuerst anfordert. Den DSGVO-Volltext finden Sie bei EUR-Lex, die Praxis der Aufsicht bei der Datenschutzbehörde und beim Europäischen Datenschutzausschuss. Einen Überblick über die Sanktionspraxis im deutschsprachigen Raum bietet unser Beitrag zu DSGVO-Bußgeldern.
See Legiscope in action
AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.
Request a demo