)
Die österreichische Datenschutzbehörde hat heuer angekündigt, gezielt zu prüfen. Die DSGVO-Schwerpunktprüfung 2026 läuft in zwei Teilen und kann jedes Unternehmen treffen, das eine Website betreibt. Nicht nur Konzerne. Auch das kleine Handwerksunternehmen mit drei Mitarbeitern und der Onlineshop, der nebenbei läuft.
Die gute Nachricht zuerst: Wer die zwei Prüfschwerpunkte kennt, kann den Großteil selbst kontrollieren. Es geht nicht um Spitzfindigkeiten, sondern um zwei Dinge, die ohnehin Pflicht sind und bei vielen kleinen Unternehmen lückenhaft bleiben.
Kurz gesagt: Geprüft werden die Sicherheit und Dokumentation Ihrer Datenverarbeitung (Verfahren ab dem Frühjahr) und die Verständlichkeit und Vollständigkeit Ihrer Datenschutzerklärung (zweiter Teil). Die Behörde verschickt dafür Fragebögen an Unternehmen unterschiedlicher Größe und Branchen. Wer ein solches Schreiben bekommt, muss antworten können.
Was die DSGVO-Schwerpunktprüfung 2026 untersucht
Die Datenschutzbehörde hat die Schwerpunkte selbst veröffentlicht. Sie teilen sich in zwei Blöcke.
Teil 1 – Sicherheit und Dokumentation (Verfahren ab März). Im Mittelpunkt steht die Sicherheit der Verarbeitung nach Artikel 32 DSGVO: Sind Ihre Daten technisch und organisatorisch ausreichend geschützt? Dazu kommen die Dokumentationspflichten, allen voran das Verzeichnis von Verarbeitungstätigkeiten (Artikel 30) und, wo nötig, eine Datenschutz-Folgenabschätzung (Artikel 35). Vereinfacht: Die Behörde will sehen, dass Sie Ihre Datenverarbeitung kennen und sauber dokumentiert haben.
Teil 2 – Transparenz und Information. Der zweite Schwerpunkt wurde im Juni 2026 bekannt gegeben und folgt der EU-weit koordinierten Prüfaktion des Europäischen Datenschutzausschusses. Thema sind die Transparenz- und Informationspflichten nach Artikel 12, 13 und 14 DSGVO. Übersetzt heißt das: Ihre Datenschutzerklärung. Die Behörden prüfen nicht nur, ob es eine gibt, sondern ob sie vollständig, verständlich und aktuell ist.
Für ein kleines Unternehmen heißt das: Beide Schwerpunkte berühren Ihre Website. Der zweite sogar fast ausschließlich, denn die Datenschutzerklärung steht öffentlich im Netz und ist für die Behörde mit einem Klick einsehbar.
Die Datenschutzerklärung – der wahrscheinlichste Prüfpunkt für Ihre Website
Von den zwei Schwerpunkten ist dieser der greifbarste. Eine Datenschutzerklärung ist öffentlich. Die Behörde muss niemanden anschreiben, um zu sehen, ob Ihre lückenhaft ist. Sie ruft einfach Ihre Seite auf.
Eine vollständige Datenschutzerklärung nach Artikel 13 DSGVO nennt unter anderem:
wer für die Datenverarbeitung verantwortlich ist (Name, Anschrift, Kontakt),
zu welchen Zwecken Sie Daten verarbeiten und auf welcher Rechtsgrundlage,
an wen Daten weitergegeben werden (etwa an Google, einen Newsletter-Dienst oder Ihren Hoster),
ob Daten in die USA oder andere Drittländer fließen,
wie lange gespeichert wird,
welche Rechte Betroffene haben, samt Beschwerderecht bei der Datenschutzbehörde.
Zwei Dinge gehen dabei besonders oft schief. Erstens die Vollständigkeit: Die Erklärung stammt aus dem Jahr der Website-Erstellung und kennt die Werkzeuge nicht, die später dazukamen. Wer nachträglich ein Buchungssystem, ein Chat-Fenster oder ein neues Analyse-Tool eingebaut hat, ohne die Erklärung anzupassen, hat eine Lücke. Zweitens die Verständlichkeit: Die Behörden prüfen heuer ausdrücklich, ob die Texte lesbar sind. Ein juristisch wasserdichter Textblock, den niemand versteht, erfüllt die Transparenzpflicht nicht.
Das Verarbeitungsverzeichnis – das Dokument, das viele KMU übersehen
Das Verzeichnis von Verarbeitungstätigkeiten ist eine interne Liste: Welche Daten verarbeiten Sie, zu welchem Zweck, auf welcher Grundlage, wie lange, mit welchen Dienstleistern? Es steht nicht auf der Website, sondern liegt im Unternehmen, muss aber auf Verlangen der Behörde vorgelegt werden. Genau das passiert bei einer Schwerpunktprüfung.
Hier hält sich ein hartnäckiges Missverständnis: „Wir sind unter 250 Mitarbeiter, das brauchen wir nicht." Diese Ausnahme gibt es zwar, aber sie greift fast nie. Sie fällt weg, sobald die Verarbeitung nicht nur gelegentlich erfolgt oder ein Risiko für Betroffene birgt. Wer regelmäßig Kundendaten, Mitarbeiterdaten oder Newsletter-Adressen verarbeitet, fällt nicht unter die Ausnahme. Das gilt auch für Einzelunternehmer. In der Praxis braucht praktisch jedes Unternehmen mit laufendem Geschäft ein solches Verzeichnis.
Cookie-Banner und Tracking – verwandt, aber nicht der Schwerpunkt
Hier ist eine ehrliche Einordnung wichtig, weil online viel durcheinandergeht: Cookie-Banner sind nicht der formale Gegenstand der Schwerpunktprüfung 2026. Die Einwilligung in Cookies läuft rechtlich über andere Bestimmungen: die DSGVO-Grundlagen zur Einwilligung und § 165 des Telekommunikationsgesetzes. Mit den zwei Schwerpunkten der Prüfung hat das nichts zu tun.
Trotzdem gehört das Thema in jeden Website-Check, aus zwei Gründen. Erstens überschneidet es sich mit der Transparenzpflicht: Ein Banner informiert über die Tracker einer Seite und verweist auf die Datenschutzerklärung. Zweitens sind fehlerhafte Cookie-Banner ohnehin die häufigste Quelle für Beschwerden. Wer gerade hinschaut, prüft sie also gleich mit.
Die zwei häufigsten Fehler: Das Tracking startet schon vor der Einwilligung, also bevor jemand auf „Zustimmen" geklickt hat. Und der Ablehnen-Button ist schwerer erreichbar als der Zustimmen-Button. Beides ist nicht zulässig. Ablehnen muss genauso einfach sein wie Zustimmen.
Checkliste – was Sie an Ihrer Website jetzt durchgehen
Gehen Sie diese Punkte der Reihe nach durch. Das meiste lässt sich in einer halben Stunde grob einschätzen.
Datenschutzerklärung vorhanden und erreichbar? Von jeder Seite aus mit einem Klick, idealerweise im Footer.
Deckt sie alle eingesetzten Werkzeuge ab? Listen Sie auf, was Ihre Seite lädt: Hosting, Schriftarten, Analyse, Werbe-Pixel, Buchungs- oder Chat-Tools, Newsletter. Steht jedes davon drin?
Ist sie verständlich? Lesen Sie sie laut. Wenn Sie selbst nach drei Absätzen aussteigen, tut es die Behörde auch.
Werden US-Dienste offengelegt? Wer Google-Tools, das Meta-Pixel oder andere US-Dienste nutzt, muss die Datenübermittlung benennen und eine Grundlage dafür haben (derzeit meist das EU-US Data Privacy Framework).
Verzeichnis von Verarbeitungstätigkeiten angelegt? Auch als Einzelunternehmer. Eine strukturierte Tabelle genügt als Start.
Cookie-Banner technisch sauber? Kein Tracking vor der Einwilligung, Ablehnen genauso leicht wie Zustimmen.
Schriftarten lokal eingebunden? Werden Google Fonts direkt von Google geladen, fließt bei jedem Seitenaufruf die IP-Adresse des Besuchers in die USA. Lokal gehostet vermeidet das.
Verträge mit Dienstleistern (Auftragsverarbeitung)? Mit Hoster, Newsletter-Dienst und ähnlichen Anbietern brauchen Sie einen Auftragsverarbeitungsvertrag. Den stellen die Anbieter meist selbst bereit.
Wenn Sie bei mehreren Punkten ins Stocken kommen, ist das kein Grund zur Panik, aber ein guter Zeitpunkt, alles vor dem nächsten Behördenschreiben zu ordnen.
Was Technik ist und was Rechtsthema bleibt
Ein ehrliches Wort zur Aufteilung, denn hier wird oft zu viel versprochen. Der größere Teil der DSGVO-Pflichten ist kein Technikproblem, sondern Recht und Organisation: die juristisch saubere Datenschutzerklärung, das Verzeichnis, die Bewertung von Risiken. Das gehört in die Hände von jemandem, der Datenschutzrecht kann, im Zweifel ein spezialisierter Berater oder Anwalt.
Was davon auf der Website liegt, ist Technik. Die lässt sich richtig oder falsch umsetzen. Ob das Tracking erst nach der Einwilligung lädt, ob Schriftarten lokal eingebunden sind, ob der Ablehnen-Button gleichwertig ist, ob Tools datenschutzfreundlich angebunden werden: Das entscheidet sich beim Bau der Seite. Wer ohnehin einen Relaunch plant, lässt diese Punkte am besten gleich mitdenken, statt sie später nachzurüsten. Genau diese technische Basis bringen wir mit, wenn wir eine Website von Anfang an datenschutzfreundlich aufsetzen. Die juristische Prüfung ersetzt das nicht, aber es nimmt Ihnen die halbe Baustelle ab.
Kein Rechtsrat. Dieser Beitrag erklärt die Schwerpunktprüfung und gibt eine technische Orientierung. Er ersetzt keine Rechtsberatung im Einzelfall.
Fragen zur DSGVO-Schwerpunktprüfung?
Ja. Die Datenschutzbehörde schreibt ausdrücklich Verantwortliche unterschiedlicher Größe und Branchen an. Die Datenschutzerklärung ist ohnehin öffentlich einsehbar, unabhängig von der Unternehmensgröße. Klein zu sein schützt nicht vor der Prüfung.
Der gesetzliche Rahmen reicht hoch: Verstöße gegen die Informationspflichten können nach Artikel 83 DSGVO mit bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes geahndet werden. In der Praxis steht bei einer Schwerpunktprüfung aber zuerst die Erhebung des Ist-Stands über einen Fragebogen, dann meist die Aufforderung zur Nachbesserung. Wer reagiert und korrigiert, landet selten beim Höchstbetrag.
In den allermeisten Fällen ja. Die Ausnahme für kleine Organisationen greift nur, wenn die Verarbeitung gelegentlich erfolgt und kein Risiko birgt. Wer regelmäßig Kunden- oder Newsletter-Daten verarbeitet, erfüllt das nicht. Die Rechtsform spielt dabei keine Rolle.
Als Ausgangspunkt ist ein guter Generator brauchbar, aber nur, wenn Sie ihn ehrlich und vollständig ausfüllen und das Ergebnis an Ihre tatsächlich eingesetzten Tools anpassen. Eine generische Vorlage, die Dienste auflistet, die Sie gar nicht nutzen, oder welche verschweigt, die Sie sehr wohl nutzen, ist genau die Lücke, nach der 2026 gesucht wird. Die Schwerpunktprüfung ist kein Grund zur Aufregung, sondern ein guter Anlass, einmal systematisch hinzuschauen. Wer die technische Seite seiner Website sauber aufgesetzt haben will, bevor das nächste Behördenschreiben kommt, kann das in einer kostenlosen Erstberatung mit uns durchgehen.
Brauchen Sie Unterstützung bei einem bestimmten Thema?
In einem kostenlosen Erstgespräch schauen wir gemeinsam auf Ihre Situation – ehrlich, unverbindlich und mit klaren nächsten Schritten.