11.05.2026
Gernot Fritz, Fabian Duschnig
Im April 2026 haben sowohl die Datenschutzbehörde (DSB) als auch das Parlamentarische Datenschutzkomitee (PDK) ihre Tätigkeitsberichte für das Jahr 2025 veröffentlicht.
Gemeinsam gelesen zeigen die beiden Berichte eine Entwicklung, die für die Praxis wichtiger ist als jede einzelne Zahl: Datenschutzaufsicht wird breiter, komplexer und zugleich ressourcenintensiver. Die DSB spricht nicht mehr nur von einem „Datenschutzbericht“, sondern bewusst von einem „Tätigkeitsbericht“. Das ist mehr als eine sprachliche Anpassung. Es zeigt, dass die Behörde längst nicht mehr nur klassische DSGVO-Verfahren bearbeitet, sondern zunehmend auch Aufgaben aus angrenzenden Digitalrechtsakten übernimmt. Dazu zählen insbesondere das Informationsfreiheitsgesetz, die KI-Verordnung, die Verordnung über politische Werbung, NIS 2, die Plattformarbeits-Richtlinie und künftig auch Fragen rund um den Data Act.
Die DSB in Zahlen: Das Beschwerdeaufkommen erreicht eine neue Größenordnung
Besonders deutlich wird die Entwicklung bei den Individualbeschwerden. Im Jahr 2023 sind bei der DSB 2.389 Individualbeschwerden aus dem Inland eingelangt. 2024 waren es 3.019. Im Jahr 2025 stieg diese Zahl auf 5.300. Damit hat sich das Beschwerdeaufkommen innerhalb von zwei Jahren mehr als verdoppelt. Gleichzeitig wurden 2025 insgesamt 3.403 Individualbeschwerden erledigt, davon 2.332 durch Bescheid und 1.071 durch Einstellung.
Diese Zahlen zeigen nicht nur eine hohe Aktivität der Behörde, sondern auch ein strukturelles Ungleichgewicht. Es kommen deutlich mehr Beschwerden herein, als im selben Jahr erledigt werden können. Für Unternehmen bedeutet das nicht zwingend mehr Bescheide in kürzerer Zeit. Im Gegenteil: Verfahren können länger dauern, Säumnisthemen werden relevanter und Rechtsunsicherheit kann über längere Zeit bestehen bleiben. Dazu passt, dass auch die Verfahren vor dem Bundesverwaltungsgericht wieder deutlich zugenommen haben. 2025 wurden 453 Verfahren vor dem BVwG verzeichnet; besonders auffällig ist der Anstieg der Säumnisbeschwerden von 56 im Jahr 2024 auf 108 im Jahr 2025.
KI verändert nicht nur Compliance, sondern auch Beschwerdepraxis
Ein Aspekt des Berichts hat auch medial besondere Aufmerksamkeit bekommen: Die DSB sieht sich zunehmend mit Beschwerden konfrontiert, die offenbar mithilfe von Sprachmodellen erstellt wurden. Erkennbar seien solche Eingaben laut DSB insbesondere an ihrem Umfang und daran, dass sie gezielt auf einschlägige Bestimmungen der DSGVO Bezug nehmen. Dieses Phänomen bindet nach Einschätzung der Behörde erhebliche Ressourcen.
Für die Praxis ist daran weniger die Frage spannend, ob eine Beschwerde „von KI“ formuliert wurde. Entscheidend ist vielmehr: Die Schwelle für die Einbringung strukturierter, rechtlich argumentierter Beschwerden sinkt. Betroffene können ihre Anliegen leichter rechtlich rahmen. Gleichzeitig steigt für Unternehmen die Wahrscheinlichkeit, dass auch alltägliche Datenschutzkonflikte schneller in ein behördliches Verfahren münden. Datenschutz-Compliance wird damit noch stärker zu einer Frage belastbarer Prozesse, sauberer Dokumentation und nachvollziehbarer Kommunikation mit Betroffenen.
Priorisierung als neue Realität der Aufsicht
Die steigenden Fallzahlen treffen auf begrenzte Ressourcen. Ende 2025 umfasste der Personalstand der DSB 58 Bedienstete. Budgetär weist die DSB darauf hin, dass das Budget von EUR 6,1 Mio. im Jahr 2025 auf EUR 5,9 Mio. im Jahr 2026 sinken soll; zugleich bleibt der Personalstand mit 51 FTEs unverändert. Besonders relevant ist, dass die DSB seit Juli 2025 einen Großteil ihrer Verwaltungspraktikant:innen nicht nachbesetzen kann.
Die Folge ist eine klarere Priorisierung. Die DSB legt ihr Schwergewicht auf Beschwerden, weil betroffene Personen ein subjektives Recht auf Behandlung ihrer Beschwerde haben. Verzögerungen bezeichnet die Behörde zugleich als unvermeidlich. Amtswegige Prüfverfahren sollen nur mehr eingeleitet werden, wenn ein hinreichend konkreter Verdacht auf eine schwerwiegende Verletzung der DSGVO oder des DSG besteht. Schützenswerte Gruppen wie Kinder oder Arbeitnehmer:innen sollen dabei besonders berücksichtigt werden. Daneben werden Rechtsauskünfte reduziert, die telefonische Erreichbarkeit eingeschränkt und Stellungnahmen zu Gesetzesvorhaben nur mehr bei grundsätzlichen Datenschutzfragen abgegeben.
Das ist für Unternehmen keine Entwarnung. Es bedeutet nicht weniger Aufsicht, sondern eine andere Aufsicht. Weniger abstrakte Beratung, weniger breite amtswegige Tätigkeit, dafür stärkere Konzentration auf konkrete Beschwerden, Datenschutzverletzungen und schwerwiegende Verdachtslagen. Wer erst im Anlassfall beginnt, Prozesse und Nachweise zusammenzutragen, wird zunehmend unter Zeitdruck geraten.
Datenschutzverletzungen und Sicherheitsvorfälle bleiben ein praktischer Schwerpunkt
Neben den Beschwerden lohnt auch ein Blick auf die Meldungen von Datenschutzverletzungen. Die DSB verzeichnete 2025 insgesamt 1.855 Sicherheitsverletzungen, nach 1.319 im Jahr 2024. Die Meldungen nach Art 33 DSGVO stiegen von 1.216 im Jahr 2024 auf 1.704 im Jahr 2025.
Auch das passt zum Gesamtbild. Datenschutzaufsicht wird nicht nur durch Betroffenenrechte getrieben, sondern zunehmend auch durch operative Sicherheitsvorfälle. Für Unternehmen bleibt daher zentral, Datenschutz nicht isoliert als Rechtsmaterie zu betrachten. Incident Response, IT-Sicherheit, Meldeketten, interne Verantwortlichkeiten und Kommunikationsprozesse sind Teil derselben Compliance-Realität.
Die DSB wird zur Digitalaufsichtsbehörde mit Datenschutzkern
Der Bericht macht zudem deutlich, dass sich die Rolle der DSB über den klassischen Vollzug der DSGVO hinaus verschiebt. Die Behörde verweist ausdrücklich auf neue Aufgaben aus dem Informationsfreiheitsgesetz, der KI-Verordnung, der Verordnung über politische Werbung, der Plattformarbeits-Richtlinie, NIS 2 und dem Data Act. Diese Materien haben unterschiedliche Regelungsziele, berühren aber regelmäßig personenbezogene Daten, Transparenz, algorithmische Systeme oder digitale Infrastruktur.
Gerade die KI-Verordnung zeigt diese Entwicklung deutlich. Die DSB wird nicht zur allgemeinen KI-Marktaufsichtsbehörde für alle Fragen künstlicher Intelligenz. Sie wird aber dort relevant, wo KI-Systeme personenbezogene Daten verarbeiten oder Grundrechte berühren. Ähnliche Schnittstellen entstehen bei politischer Werbung, Plattformarbeit, Informationsfreiheit und Datenzugang. Für Unternehmen bedeutet das: Datenschutzrecht bleibt nicht stehen. Es wird immer stärker zur Schnittstelle zwischen Digitalregulierung, Governance und technischer Umsetzung.
Das PDK: Neue Aufsicht über Datenschutz in der Gesetzgebung
Parallel dazu hat mit dem Parlamentarischen Datenschutzkomitee eine zweite Datenschutzaufsichtsbehörde in Österreich ihre Tätigkeit aufgenommen. Anlass war das EuGH-Urteil vom 16. Jänner 2024 in der Rechtssache C-33/22. Mit dem PDK wurde eine Aufsichtslücke geschlossen: Datenverarbeitungen im Bereich der Gesetzgebung, insbesondere im Zusammenhang mit parlamentarischer Kontrolle, unterliegen nun einer eigenen unabhängigen Aufsicht.
Das PDK ist insbesondere für Datenverarbeitungen im Bereich von Nationalrat, Bundesrat sowie deren Hilfsorganen wie Rechnungshof und Volksanwaltschaft zuständig. Im ersten Tätigkeitsjahr stand naturgemäß der organisatorische Aufbau im Vordergrund. Dennoch führte das PDK bereits an die 20 Verfahren, überwiegend Individualbeschwerdeverfahren, daneben Verfahren im Zusammenhang mit Datenschutzverletzungen und ein amtswegiges Prüfverfahren. Die geringe Zahl erklärt das PDK vor allem mit der noch geringen Bekanntheit der neuen Behörde und der schrittweisen Schaffung der landesverfassungsrechtlichen Grundlagen für eine österreichweite Zuständigkeit gegenüber Gesetzgebungsorganen der Länder und deren Hilfsorganen.
Inhaltlich ist das PDK besonders spannend, weil es Datenschutz in einem Umfeld durchsetzen muss, das strukturell auf Öffentlichkeit, Kontrolle und Transparenz angelegt ist. Das Spannungsverhältnis liegt auf der Hand: Parlamentarische Kontrolle soll sichtbar sein. Datenschutz schützt gerade davor, dass personenbezogene Informationen ohne ausreichende Grundlage öffentlich gemacht werden.
Erste Konturen: Datenschutz im Untersuchungsausschuss
Besonders anschaulich wird das an einer der ersten Entscheidungen des PDK. In einem Verfahren zur Veröffentlichung eines wörtlichen Protokolls über eine öffentliche Befragung im BVT-Untersuchungsausschuss stellte das PDK teilweise eine Verletzung im Recht auf Geheimhaltung fest. Der Beschwerdeführer war im veröffentlichten Protokoll mit vollständigem Vor- und Nachnamen genannt worden. Dem Nationalrat wurde aufgetragen, den Namen im veröffentlichten Protokoll zu entfernen.
Diese Entscheidung zeigt, dass Datenschutz im parlamentarischen Bereich nicht bloß theoretische Bedeutung hat. Es geht um sehr praktische Fragen: Welche personenbezogenen Daten dürfen in parlamentarischen Materialien veröffentlicht werden? Wann überwiegt das öffentliche Interesse an Transparenz? Wann muss anonymisiert oder gelöscht werden? Und wer ist für eine fortgesetzte Veröffentlichung auf parlamentarischen Websites verantwortlich?
Gerade hier wird das PDK künftig eine wichtige Rolle spielen. Untersuchungsausschüsse, parlamentarische Anfragen, Anfragebeantwortungen, Rechnungshofberichte und andere Formen parlamentarischer Kontrolle können erhebliche personenbezogene Informationen enthalten. Die datenschutzrechtliche Bewertung wird daher regelmäßig mit verfassungsrechtlichen, demokratiepolitischen und transparenzbezogenen Erwägungen verschränkt sein.
Auch das PDK bekommt neue Digitalaufgaben
Wie die DSB ist auch das PDK nicht nur im klassischen Datenschutzrecht verankert. Der Bericht zeigt, dass das PDK ebenfalls in neue unionsrechtliche Strukturen eingebunden wird. Es wurde unter anderem als Grundrechtsbehörde im Sinne des Art 77 KI-Verordnung benannt. Ab 2. August 2026 können solche Grundrechtsbehörden unter bestimmten Voraussetzungen Dokumentation zu Hochrisiko-KI-Systemen anfordern und einsehen; reicht dies nicht aus, kann ein technischer Test über die Marktüberwachungsbehörde angestoßen werden.
Zudem ist das PDK in seinem Zuständigkeitsbereich seit 10. Oktober 2025 auch für bestimmte Aspekte der Verordnung über Transparenz und Targeting politischer Werbung zuständig, insbesondere für Vorgaben zu Targeting- und Anzeigenschaltungsverfahren im Zusammenhang mit politischer Werbung, soweit personenbezogene Daten verarbeitet werden.
Damit wird auch beim PDK deutlich: Datenschutzaufsicht ist nicht mehr nur DSGVO-Aufsicht. Sie wird zur Querschnittsaufsicht über Datenverarbeitung in politisch, technisch und gesellschaftlich besonders sensiblen Bereichen.
Fazit: Mehr Anlassfälle, mehr Schnittstellen, weniger Puffer
Die Tätigkeitsberichte von DSB und PDK zeigen keine spektakuläre Einzeländerung. Sie zeigen etwas Wichtigeres: eine strukturelle Verschiebung der Datenschutzaufsicht in Österreich.
Die DSB ist mit stark steigenden Beschwerdezahlen, mehr Datenschutzverletzungen, KI-gestützten Eingaben und zusätzlichen unionsrechtlichen Aufgaben konfrontiert. Gleichzeitig bleiben Ressourcen begrenzt. Die Reaktion ist Priorisierung: Beschwerden und schwerwiegende Anlassfälle rücken in den Vordergrund, allgemeine Beratung und breite amtswegige Tätigkeit treten zurück.
Das PDK etabliert zugleich eine neue Aufsichtsebene für den Bereich der Gesetzgebung. Dort wird Datenschutz in besonders sensiblen Konstellationen relevant: parlamentarische Kontrolle, Öffentlichkeit, Transparenz und Persönlichkeitsschutz müssen miteinander in Einklang gebracht werden.
Für Unternehmen und öffentliche Stellen folgt daraus eine klare praktische Konsequenz: Datenschutz-Compliance muss belastbarer, dokumentierter und anlassfester werden. Wer Betroffenenrechte, Löschprozesse, Auskunftsprozesse, Datenschutzverletzungen, KI-Einsatz und interne Zuständigkeiten nur punktuell behandelt, wird in einer stärker beschwerdegetriebenen Aufsicht schneller unter Druck geraten.
Die Richtung ist klar: mehr Verfahren, mehr Schnittstellen, mehr Digitalregulierung und weniger behördlicher Puffer. Datenschutz wird damit nicht weniger wichtig, sondern operativer.
Wir unterstützen Sie gerne dabei, diese Entwicklungen einzuordnen und Ihre datenschutzrechtlichen Prozesse entsprechend auszurichten. Sprechen Sie uns an.
