Digitale Basis für KMU · 2 / 7
Rechtlicher Rahmen
Welche Gesetze gelten für die IT eines österreichischen KMU, und was heißt das in der Praxis?
IT und Recht sind in Österreich eng verknüpft. Neben nationalem Recht gilt EU-Recht unmittelbar, allen voran die DSGVO. Hier stehen die wichtigsten Gesetze mit dem, was sie für den Alltag bedeuten.
Hinweis
Diese Seite vermittelt einen allgemeinen Überblick und ersetzt keine Rechtsberatung. Bei spezifischen Compliance-Fragen empfehlen wir die Wirtschaftskammer Österreich (WKO) oder einen auf IT-Recht spezialisierten Rechtsanwalt.
DSGVO / DSG
Datenschutz-Grundverordnung & nationales Datenschutzgesetz
- Gilt EU-weit für alle Verarbeitungen personenbezogener Daten (Kunden, Mitarbeiter, Interessenten).
- Jede Verarbeitung braucht eine Rechtsgrundlage: Einwilligung, Vertrag oder berechtigtes Interesse.
- Wer SaaS-Tools nutzt, muss einen Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter abschließen.
- Datentransfer in Drittstaaten (z. B. USA) erfordert EU-Standardvertragsklauseln (SCC) oder vergleichbare Garantien.
- Dokumentationspflicht: Verarbeitungsverzeichnis (Art. 30 DSGVO) ist für die meisten Unternehmen Pflicht.
- Bei Datenpannen: Meldung an die Datenschutzbehörde innerhalb von 72 Stunden (Art. 33 DSGVO).
Praxis-Tipp: Vor jedem neuen Tool prüfen: Wo liegen die Daten? Gibt es einen AVV? Werden Daten in die USA übertragen?
ECG §§ 5–9
E-Commerce-Gesetz: Impressumspflicht
- Jede gewerbliche Website muss ein vollständiges Impressum enthalten.
- Mindestangaben: Firmenname (bzw. Vor-/Nachname bei Einzelunternehmern), Anschrift, E-Mail-Adresse.
- Zusätzlich mindestens eine weitere Kontaktmöglichkeit (Telefon oder Webformular).
- Für GmbHs: UID-Nummer, Firmenbuchnummer, Firmenbuchgericht.
- Datenschutzerklärung (DSGVO Art. 13/14) ist ebenfalls verpflichtend.
- Bei Online-Verkauf (B2C): zusätzliche Informationspflichten nach FAGG (AGB, Widerrufsrecht, Preise inkl. MwSt.).
Praxis-Tipp: Das Impressum muss von jeder Seite der Website direkt erreichbar sein, typischerweise im Footer.
TKG 2021 § 174
Telekommunikationsgesetz: Werbung & Cookies
- E-Mail-Werbung ist nur mit vorheriger ausdrücklicher Einwilligung des Empfängers zulässig.
- Ausnahme: bestehende Kundenbeziehung + klare Opt-out-Möglichkeit in jeder E-Mail.
- Verstöße können mit bis zu €50.000 Strafe belegt werden.
- Cookies, die nicht technisch notwendig sind (Tracking, Marketing), erfordern ebenfalls Einwilligung.
- Newsletter-Listen müssen via Double-Opt-In aufgebaut und dokumentiert werden.
Praxis-Tipp: Kein Massenversand ohne dokumentierte Einwilligung. Cookie-Banner korrekt konfigurieren.
BAO § 132 / UGB
Bundesabgabenordnung: Archivierungspflicht
- Buchungsrelevante Unterlagen (Rechnungen, Belege, Verträge, Korrespondenz) müssen 7 Jahre aufbewahrt werden.
- Die Frist beginnt mit Ablauf des Kalenderjahres, in dem die Dokumente entstanden sind.
- Elektronische Archivierung ist erlaubt, aber die Dokumente müssen unveränderbar (WORM-Prinzip) und jederzeit lesbar sein.
- Gescannte Papierbelege sind zulässig, wenn Echtheit und Unversehrtheit nachweisbar sind.
- Elektronische Rechnungen unterliegen denselben Anforderungen wie Papierrechnungen.
Praxis-Tipp: Cloud-Buchhaltungstools müssen 7-jährige Archivierung garantieren, im Vertrag prüfen!
UStG / E-Rechnung
Umsatzsteuergesetz & E-Rechnungspflicht
- Ab 2025: Rechnungen an Bund, Länder und Gemeinden müssen elektronisch im PEPPOL/XRechnung-Format übermittelt werden.
- Übermittlung über das PEPPOL-Netzwerk oder zertifizierte Portale (z. B. Bundesbeschaffung GmbH).
- Die elektronische Rechnung muss ebenfalls 7 Jahre archiviert werden.
- Im B2B-Bereich ist E-Rechnung noch freiwillig (Zustimmung des Empfängers nötig).
- UVA (Umsatzsteuervoranmeldung) ist elektronisch via FinanzOnline einzureichen.
Praxis-Tipp: Buchhaltungssoftware muss PEPPOL-Export unterstützen, wenn man mit der öffentlichen Hand arbeitet.
NIS2 / NISG 2026
NIS2-Richtlinie & IT-Sicherheitsgesetz
- NIS2 betrifft primär Unternehmen in kritischen Sektoren mit >50 Mitarbeitern oder >€10 Mio. Umsatz.
- Kleine KMUs und EPUs sind in der Regel nicht direkt betroffen.
- Indirekt relevant: Großkunden (z. B. Behörden, Krankenhäuser) können Sicherheitsnachweise verlangen.
- NIS2 fordert: dokumentierte Sicherheitsmaßnahmen, MFA, regelmäßige Updates, Incident-Reporting (24–72 Stunden).
- Österreichische Umsetzung durch das NISG 2026 (in Ausarbeitung, Stand 2026).
- Best Practice für alle: MFA aktivieren, Backups testen, Passwortrichtlinien einführen.
Praxis-Tipp: Auch ohne NIS2-Pflicht: MFA + regelmäßige Backups + aktuelle Software sind Mindeststandard.
PSD2 / PCI-DSS
Zahlungsdiensterichtlinie & Kartendatenschutz
- PSD2 schreibt Starke Kundenauthentifizierung (2-Faktor) für Online-Zahlungen vor.
- Als Händler übernimmt der Payment-Provider (Stripe, PayPal etc.) die PCI-DSS-Compliance für Kartendaten.
- Kreditkartendaten dürfen nie auf eigenen Servern gespeichert werden.
- Im AVV mit dem Payment-Provider ist die Datenverarbeitung geregelt.
Praxis-Tipp: Einen zertifizierten Payment-Provider (Stripe, Payrexx, Klarna) nutzen. Niemals Kartendaten selbst verarbeiten.
Übersichtstabelle: Wer muss was?
| Gesetz | Pflicht | Wer | Strafe |
|---|---|---|---|
| DSGVO | AVV, Verarbeitungsverzeichnis, Datenpannen-Meldung | Alle | Bis 4 % Jahresumsatz |
| ECG § 5 | Impressum auf Website | Alle gewerblichen Websites | Bis €3.000 |
| TKG § 174 | Einwilligung für Werbe-E-Mails | Alle | Bis €50.000 |
| BAO § 132 | 7-Jahres-Archivierung | Alle buchführungspflichtigen Unternehmen | Steuerliche Nachteile |
| E-Rechnung | PEPPOL-Format bei Rechnungen an öffentliche Hand | B2G-Rechnungssteller | Ablehnung der Rechnung |
| NIS2 | Sicherheitsdokumentation, Incident-Reporting | Kritische Sektoren >50 MA | Bis €10 Mio. oder 2 % Umsatz |
Wo bekomme ich aktuelle Informationen?
- WKO Österreich: wko.at (Impressumspflicht, E-Commerce-Recht, Archivierungsregeln)
- Datenschutzbehörde: dsb.gv.at (DSGVO, AVV-Vorlagen, Muster-Datenschutzerklärungen)
- FinanzOnline: finanzonline.bmf.gv.at (UVA, E-Rechnungsportal)
- Bundesbeschaffung: bbg.gv.at (PEPPOL-Anbindung für E-Rechnungen)
Compliance-Check für Ihr Unternehmen
Wir prüfen Ihre IT-Infrastruktur auf DSGVO-Konformität und zeigen, was noch fehlt.
Jetzt anfragen