Leitfaden

Website-Compliance in Österreich

Dieser Leitfaden zeigt, welche nationalen Gesetze und EU-Regelungen selbst für vergleichsweise einfache Websites relevant werden können. Wie die Übersicht zeigt, ist Compliance selten einfach und erfordert oft spezialisiertes Fachwissen, um Anforderungen sauber umzusetzen und das Risiko von Geldstrafen, Sanktionen oder anderen rechtlichen Folgen möglichst gering zu halten. Wenn du Fragen zu den Compliance-Pflichten deiner Website hast, besonders im Zusammenhang mit dem European Accessibility Act, melde dich gerne bei uns. Wir helfen dir gerne dabei, deine Anforderungen einzuordnen und die nächsten Schritte sinnvoll zu planen.

Wichtig: Diese Seite ist eine praktische Orientierung und keine Rechtsberatung. Sie soll dir helfen zu erkennen, welche Gesetze bei deiner Website wahrscheinlich zuerst relevant sind, ersetzt aber keine rechtliche Prüfung deines konkreten Geschäftsmodells, deiner Nutzerreisen, deiner Branchenregeln, deiner Vertragslage oder deines realen Durchsetzungsrisikos. Einige der unten genannten EU-Regeln sind Richtlinien und keine in sich abgeschlossenen Bußensysteme. Das bedeutet: Die tatsächliche Exponierung zeigt sich oft erst über österreichische Umsetzungsgesetze, behördliche Schritte, Unterlassungsansprüche, Mitbewerberdruck oder gerichtliche Praxis und nicht über eine einfache einheitliche EU-Bußtabelle.

Website-Typen

Wähle den Website-Typ, der deiner Situation am nächsten kommt

Die hervorgehobenen Karten unten zeigen jene Gesetze und Regelungen, die für einen Website-Typ dieser Art am häufigsten relevant sind und meist als Erstes geprüft werden sollten. Gleichzeitig gilt: Jede Website ist anders. Diese Übersicht ist als allgemeine Orientierung gedacht und sollte nicht als Ersatz für professionelle Rechtsberatung oder eine formelle rechtliche Prüfung verstanden werden.

EU-Gesetze

Diese Gesetze bilden den unionsweiten Grundrahmen. Wenn deine Website EU-Nutzer anspricht, online verkauft, Tracking einsetzt oder eine erfasste digitale Dienstleistung anbietet, beginnt die rechtliche Analyse oft genau hier.

DSGVO

Meist relevant

Anwendungsbereich

Faktisch für fast jede Website relevant, die personenbezogene Daten von Personen im EU- oder EWR-Raum verarbeitet. Dazu gehören typischerweise Kontaktformulare, Analytics, Newsletter, Nutzerkonten, CRM-Strecken, eingebettete Dritttools und viele cookiebasierte Tracker.

Wichtigste Pflichten

  • Für jede Verarbeitung eine tragfähige Rechtsgrundlage verwenden.
  • Eine klare Datenschutzerklärung bereitstellen und erklären, welche Daten wofür und wie lange genutzt werden.
  • Auftragsverarbeiter, Transfers und Sicherheitsmaßnahmen aktiv steuern, statt Tools einfach nur einzubauen.
  • Auskunft, Löschung, Widerspruch und andere Betroffenenrechte auch in echten Arbeitsabläufen erfüllen können.

Mögliche Geldbußen / Exponierung

Verwaltungsstrafen können bis zu EUR 20 Millionen oder 4% des weltweiten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist. Dazu kommen mögliche Anordnungen, Beschwerden und Schadenersatzansprüche.

European Accessibility Act

Meist relevant

Anwendungsbereich

Relevant, wenn die Website oder App der Nutzerkanal für ein erfasstes Produkt oder eine erfasste verbraucherbezogene Dienstleistung ist, zum Beispiel in Teilen des E-Commerce, Bankings, Verkehrs, bei E-Books, Kommunikationsdiensten oder beim Zugang zu audiovisuellen Mediendiensten. Er gilt nicht automatisch für jede reine Image-Website.

Wichtigste Pflichten

  • Die erfasste digitale Nutzerreise barrierefrei machen und nicht nur einzelne Seiten.
  • Inhalte, Formulare, Navigation und Transaktionen so gestalten, dass sie für Menschen mit Behinderungen wahrnehmbar und bedienbar sind.
  • Informationen zur Barrierefreiheit bereitstellen und in zugänglicher Form verfügbar halten.
  • Remediation- und Nachweisprozesse aufbauen, statt Accessibility als einmaligen Design-Check zu behandeln.

Mögliche Geldbußen / Exponierung

Der Rechtsrahmen kommt aus der Richtlinie, die Strafen selbst sind aber national. In Österreich liegt das praktische Durchsetzungsrisiko vor allem in der BaFG-Umsetzung auf der rechten Seite.

E-Commerce-Richtlinie

Meist relevant

Anwendungsbereich

Für Anbieter von Diensten der Informationsgesellschaft, also vor allem kommerzielle Websites, Online-Dienste, Webshops und viele digitale Plattform- oder Vermittlungsmodelle.

Wichtigste Pflichten

  • Klare Anbieterinformationen bereitstellen, damit Nutzer wissen, wer hinter dem Dienst steht.
  • Kommerzielle Kommunikation als solche kenntlich machen und nicht irreführend gestalten.
  • Bei Online-Vertragsschlüssen für transparente Vertragsinformationen sorgen.
  • Bei Vermittlungs- oder Plattformmodellen das Haftungs- und Notice-Regime verstehen und nicht von automatischer Vollimmunität ausgehen.

Mögliche Geldbußen / Exponierung

Die Richtlinie selbst kennt keine harmonisierte EU-Bußtabelle. In Österreich erscheint das konkrete Risiko meist über ECG-Tatbestände, Lauterkeitsrecht, Gerichte oder Behörden.

ePrivacy-Richtlinie und Cookie-Regeln

Meist relevant

Anwendungsbereich

Relevant für jede Website, die Informationen auf Endgeräten speichert oder von dort ausliest, besonders über Analytics-Cookies, Marketing-Pixel, A/B-Testing-Tools, Chat-Widgets, Replay-Tools und ähnliche Tracker.

Wichtigste Pflichten

  • Vor nicht notwendigen Cookies oder ähnlichen Technologien eine wirksame Einwilligung einholen.
  • Ablehnung genauso leicht und sichtbar machen wie Zustimmung; keine manipulative Banner-Gestaltung.
  • Notwendige Cookies sauber von optionalen Mess- oder Marketingtools trennen.
  • Analytics- oder Werbeskripte nicht vor der Einwilligung laden.

Mögliche Geldbußen / Exponierung

Die Richtlinie selbst enthält keine einheitliche EU-Bußengrenze. In Österreich zeigt sich das praktische Risiko meist über das TKG 2021 auf der rechten Seite, oft zusammen mit DSGVO-Folgethemen.

Österreichische Gesetze

Diese Gesetze machen den EU-Rahmen in Österreich greifbar. Genau hier tauchen in der Praxis oft Impressumspflichten, Cookie-Durchsetzung, österreichische Offenlegungsregeln oder nationale Accessibility-Umsetzung auf.

Datenschutzgesetz (DSG)

Eher nachrangig

Anwendungsbereich

Die nationale Datenschutzebene neben der DSGVO. Für Websites ist es vor allem als österreichische Ergänzung zu Verfahren, Behördenpraxis und bestimmten lokalen Datenschutzfragen relevant.

Wichtigste Pflichten

  • Österreichischen Datenschutz als Zusammenspiel aus DSGVO und lokaler Umsetzung verstehen, nicht als DSGVO allein.
  • Hinweise, Beschwerdeabläufe und interne Datenschutzprozesse an die österreichische Vollzugspraxis anpassen.
  • Prüfen, ob lokale Erwartungen Einfluss darauf haben, wie Formulare, Support oder interne Datenabläufe organisiert sind.

Mögliche Geldbußen / Exponierung

Bei den meisten kommerziellen Websites kommt das größte Geldstrafenrisiko weiterhin aus dem DSGVO-Regime. Das DSG ist aber für Beschwerden, Durchsetzung und den lokalen Verfahrenskontext sehr wichtig.

Barrierefreiheitsgesetz (BaFG)

Meist relevant

Anwendungsbereich

Die österreichische Umsetzungsebene des European Accessibility Act. Relevant wird sie, wenn ein österreichisches Unternehmen ein erfasstes Produkt oder eine erfasste verbraucherbezogene Dienstleistung anbietet und die Website oder App Teil dieses Angebotskanals ist.

Wichtigste Pflichten

  • Die erfasste digitale Dienstleistung in der Praxis barrierefrei machen, inklusive zentraler Nutzerwege.
  • Informationen zur Barrierefreiheit bereitstellen und für Nutzer verfügbar halten.
  • Accessibility in Design, Beschaffung, Content und Releases verankern, statt nur am Ende zu prüfen.
  • Dokumentation und Remediation-Logik bereithalten, falls Marktüberwachung oder Behörden nachfragen.

Mögliche Geldbußen / Exponierung

Das Risiko ist hier deutlich ernster als bei einem typischen Impressumsfehler. Die österreichische Umsetzung kann zu erheblichen Verwaltungsstrafen und formellen Nachbesserungsanordnungen führen, vor allem bei dauerhaften Accessibility-Mängeln in erfassten Diensten.

Telekommunikationsgesetz 2021 (TKG 2021)

Meist relevant

Anwendungsbereich

Besonders wichtig für Cookies und ähnliche Technologien, den Zugriff auf Endgeräte und bestimmte elektronische Marketingpraktiken. Sobald Analytics, Pixel, Consent-Banner oder Ähnliches eingebaut sind, wird dieses Gesetz schnell relevant.

Wichtigste Pflichten

  • Nicht notwendige Analytics- oder Marketing-Cookies nicht vor einer wirksamen Einwilligung setzen.
  • Ein Cookie-Banner mit echter Ablehnungsmöglichkeit und echter Einstellungsmöglichkeit verwenden.
  • Widerruf und spätere Änderung der Einwilligung ermöglichen, statt Zustimmung als Einbahnstraße zu gestalten.
  • Tracking- und Marketingströme zusammen prüfen und den Banner nicht als rein optische Schicht behandeln.

Mögliche Geldbußen / Exponierung

Verwaltungsstrafen sind möglich, und Cookie-Fehler können schnell teuer werden, weil sie oft neben DSGVO-Risiken stehen und diese nicht ersetzen.

E-Commerce-Gesetz (ECG)

Meist relevant

Anwendungsbereich

Ein zentrales österreichisches Gesetz für kommerzielle Websites, Webshops und viele Online-Dienstleister. Wenn eine Website professionell betrieben wird und online vermarktet oder verkauft, gehören ECG-Themen meist zu den ersten Pflichtchecks.

Wichtigste Pflichten

  • Vollständige Anbieter- und Kontaktdaten in einem rechtlich brauchbaren Impressum veröffentlichen.
  • Firmenbuch-, UID- und allenfalls berufsrechtliche Angaben ergänzen, wenn sie einschlägig sind.
  • Kommerzielle Kommunikation und Informationen im Bestellprozess transparent gestalten.
  • Sicherstellen, dass Rechtstexte und Anbieterangaben zu dem Unternehmen passen, das die Website tatsächlich betreibt.

Mögliche Geldbußen / Exponierung

Verwaltungsstrafen sind möglich. In der Praxis ist das größere Risiko aber oft Mitbewerberdruck, Unterlassungsansprüche und vermeidbare Sanierungskosten wegen fehlender oder fehlerhafter Anbieterangaben.

Mediengesetz

Eher nachrangig

Anwendungsbereich

Besonders relevant, wenn eine Website redaktionelle, publizistische oder wiederkehrend öffentlich-informierende Merkmale hat, etwa bei Online-Magazinen, Unternehmensmedien, inhaltsstarken Blogs oder meinungsbildenden Publikationsformaten.

Wichtigste Pflichten

  • Prüfen, ob die Website über ein Standard-Impressum hinaus österreichische Offenlegungsangaben braucht.
  • Medieninhaber-, Herausgeber- und Verantwortlichkeitsangaben dort ergänzen, wo das Medienrecht es verlangt.
  • Publikationsähnliche Bereiche mit mehr Sorgfalt behandeln als eine reine Broschüren-Seite.

Mögliche Geldbußen / Exponierung

Verwaltungsstrafen und medienrechtliche Ansprüche können entstehen, besonders wenn erforderliche Offenlegungsangaben fehlen oder eine Website wie ein Medium auftritt, ohne die passenden rechtlichen Angaben mitzuführen.