Datenschutz aus Sicht der DSB 2026: Priorisierung wird zur Überlebensfrage
Der diesjährige Jahresempfang des Vereins österreichischer Datenschutzbeauftragter bot heuer ungewöhnlich klare Worte. Dr. Matthias Schmidl, Leiter der Österreichische Datenschutzbehörde, sprach offen über eine Realität, die in Fachkreisen längst bekannt ist, aber selten so deutlich ausgesprochen wird: Die Datenschutzaufsicht steht unter strukturellem Dauerstress und muss sich neu erfinden.
Zunehmend entfernt sich die Arbeit der Datenschutzbehörde vom klassischen „Kerngeschäft“ der DSGVO alleine. Informationsfreiheit, KI-Verordnung, politische Werbung oder Plattformarbeit sind eigenständige Rechtsfelder mit eigenen Vollzugslogiken. Entscheidungen der Behörde erfolgen nicht mehr ausschließlich als Datenschutzaufsicht, sondern als Sonder- oder künftig sogar als Marktüberwachungsbehörde. Dieser Rollenwandel ist kein theoretisches Konstrukt, sondern hat ganz konkrete Auswirkungen auf Arbeitsweise, Zuständigkeiten und Ressourcen.
Gleichzeitig bleibt die personelle Situation bei der DSB eng. Zwar konnte der Personalstand formal stabil gehalten werden, real sinkt jedoch die Schlagkraft. Sinkende Sachbudgets, inflationsbedingte Mehrkosten und massiv eingeschränkte Verwaltungspraktika führen dazu, dass immer mehr Arbeit auf gleich vielen Schultern lastet. Das eingespielte Kernteam kompensiert vieles, doch Dr. Schmidl ließ keinen Zweifel daran, dass dieses Modell an Grenzen stößt.
Besonders spürbar ist der Druck im Beschwerdebereich. Die Zahl der Verfahren steigt, ebenso deren technischer und rechtlicher Komplexitätsgrad. Zusätzlich nehmen missbräuchlich erhobene Beschwerden sowie KI-generierte Eingaben zu. Letztere sind oft formal sauber, aber inhaltlich diffus und binden erhebliche Ressourcen. Die Datenschutzbehörde reagiert darauf zunehmend konsequent, indem sie offenkundig unbegründete oder rechtsmissbräuchliche Beschwerden frühzeitig ausscheidet und auch Kostenersätze in den Raum stellt. Die Botschaft ist klar: Datenschutz darf kein Vehikel für Publicity oder Ersatzkonflikte sein.
Vor diesem Hintergrund wird Priorisierung zur strategischen Notwendigkeit. Beschwerden mit subjektiven Rechten, schwere DSGVO-Verstöße und die Umsetzung neuer Digitalrechtsakte haben Vorrang. Andere Aufgaben, etwa die Beteiligung an jeder einzelnen Gesetzesbegutachtung, müssen reduziert werden. Diese Schwerpunktsetzung ist kein Rückzug, sondern eine Form verantwortungsvoller Governance unter realen Rahmenbedingungen.
Ein weiterer zentraler Themenblock ist die Informationsfreiheit. Mit dem Informationsfreiheitsgesetz übernimmt die Datenschutzbehörde Schulungs- und Evaluierungsaufgaben, entscheidet jedoch nicht über konkrete IFG-Streitfälle. Dr. Schmidl ordnete diesen österreichischen Sonderweg kritisch ein und verwies auf europäische Modelle, in denen Datenschutz und Informationsfreiheit bewusst in einer Behörde gebündelt sind. Die laufende Evaluierung soll auf Basis belastbarer Daten zeigen, ob der österreichische Weg dauerhaft tragfähig ist.
Der eigentliche Systembruch steht jedoch mit der KI-Verordnung bevor. Sie macht die Datenschutzbehörde nicht nur zur Grundrechtsinstanz, sondern auch zur sektoralen Marktüberwachungsbehörde für besonders eingriffsintensive Hochrisiko-KI-Systeme. Dazu gehören die Bereiche Biometrie, Strafverfolgung oder demokratische Prozesse.
Marktüberwachung ist etwas grundlegend anderes als Datenschutzvollzug.
Sie erfordert technisches Spezialwissen, neue Verfahren und klare gesetzliche Rahmenbedingungen. Ohne zusätzliches und anders qualifiziertes Personal ist diese Aufgabe langfristig nicht zu bewältigen.
Inhaltlich zeigte sich auch die Spannung zwischen DSGVO und KI-Systemen deutlich. Klassische Konzepte wie Zweckbindung oder das Recht auf Berichtigung stoßen bei probabilistischen Modellen an faktische Grenzen. Die KI-Verordnung ist dabei keine allgemeine Rechtsgrundlage für Datenverarbeitung. Geplante „Digital Omnibus“-Verordnungen sollen diese Reibungsflächen entschärfen. Ob das gelingt, bleibt abzuwarten.
Bemerkenswert klar fiel schließlich die Haltung von Dr. Schmidl zur vielfach geforderten Deregulierung aus. Die KI-Verordnung sei im Kern Produktsicherheitsrecht und kein Innovationshemmnis. Auch im digitalen Raum gelte, dass nicht alles erlaubt sein könne, was technisch machbar ist. Regulierung sei hier nicht der Gegner von Fortschritt, sondern dessen Voraussetzung.
Fazit
Der Vortrag von Dr. Schmidl macht deutlich, dass Datenschutz 2026 nicht mehr nur Vollzug bedeutet, sondern strategische Steuerung im digitalen Raum. Die Datenschutzbehörde befindet sich in einem tiefgreifenden Rollenwandel, von der klassischen Aufsicht hin zu einer hybriden Grundrechts- und Regulierungsbehörde. Ob dieser Übergang gelingt, wird weniger von juristischen Konzepten abhängen als von einer politischen Grundsatzentscheidung: Können Aufgaben, Kompetenzen und Ressourcen in diesen Bereichen in Einklang gebracht werden?
