© WEKA Business Solutions GmbH
A-1200 Wien, Dresdner Straße 45
E-Mail: kundenservice@forum-media.at

14.08.2025 | Datenschutz & IT | ID: 1203474

Informationsfreiheitsgesetz und Datenschutz

Harald Straub

Das Informationsfreiheitsgesetz öffnet Informationen für die Öffentlichkeit, während die DSGVO Daten und Personen schützt. Welche gesetzlichen Anforderungen sind zu erfüllen und wie ist abzuwägen?

Mit 1. September 2025 tritt in Österreich das Informationsfreiheitsgesetz (IFG) in Kraft. Damit endet eine über 100-jährige Ära der Amtsverschwiegenheit in ihrer bisherigen verfassungsrechtlichen Form. Gleichzeitig bleibt die Datenschutz-Grundverordnung (DSGVO) für Unternehmen weiterhin das zentrale Regelwerk zum Schutz personenbezogener Daten.

Anforderungen des IFG

Veröffentlichungspflicht

Behörden und informationspflichtige Stellen sind verpflichtet, bestimmte Informationen von allgemeinem Interesse aktiv zu veröffentlichen. Dazu zählen insbesondere:

  • Verträge ab einem Gegenwert von EUR 100.000,– 
  • Studien, Gutachten und Umfragen
  • Geschäftseinteilungen, Tätigkeitsberichte, Erlässe mit Außenwirkung
  • Abgeschlossene Verträge mit öffentlichem Interesse

Diese Informationen sind auf der zentralen Plattform www.data.gv.at bereitzustellen. Sie müssen barrierefrei, durchsuchbar und mit verpflichtenden Metadaten versehen sein. Eine regelmäßige Aktualisierung ist gesetzlich vorgeschrieben.

Jede Person – egal ob Bürger:in, Unternehmen oder NGO – kann formfrei und unentgeltlich Zugang zu konkreten Informationen verlangen. Die betroffene Stelle hat binnen 4 Wochen zu entscheiden (in Ausnahmefällen verlängerbar auf 8 Wochen). Voraussetzung ist, dass die Information bereits vorhanden und verfügbar ist.

Adressaten der Informationspflicht sind ua:

  • Bundes- und Landesbehörden
  • Gerichte (sofern keine richterliche Entscheidung betroffen ist)
  • Organe der öffentlichen Verwaltung
  • Staatsnahe Unternehmen mit ≥ 50  % Beteiligung durch Bund, Länder oder Gemeinden
  • Private Einrichtungen, die unter Kontrolle des Rechnungshofes stehen

Nicht vom IFG erfasst sind:

  • Persönliche Notizen oder Arbeitsdokumente im Entwurfsstadium
  • Informationen, die erst erzeugt oder aufbereitet werden müssten
  • Anträge, die offensichtlich missbräuchlich oder unverhältnismäßig sind

Anforderungen der DSGVO

Wesentliche Grundprinzipien

  • Rechtmäßigkeit, Transparenz und Zweckbindung: Daten dürfen nur rechtmäßig und für vorher klar definierte Zwecke verarbeitet werden.
  • Datenminimierung und Speicherbegrenzung: Es dürfen nur jene Daten erhoben werden, die für den Zweck erforderlich sind – und auch nur so lange gespeichert werden, wie sie gebraucht werden.
  • Integrität, Vertraulichkeit und Rechenschaftspflicht: Unternehmen müssen technische und organisatorische Maßnahmen zum Schutz der Daten setzen und ihre Einhaltung nachweisen können.

Betroffenenrechte

Die DSGVO gewährt betroffenen Personen umfassende Rechte:

  • Auskunft (Art 15 DSGVO)
  • Berichtigung und Löschung (Art 16, 17 DSGVO)
  • Einschränkung der Verarbeitung (Art 18 DSGVO)
  • Datenübertragbarkeit (Art 20 DSGVO)
  • Widerspruchsrecht (Art 21 DSGVO)

Pflichten für Unternehmen

  • Führung eines Verzeichnisses der Verarbeitungstätigkeiten (Art 30 DSGVO)
  • Abschluss von Auftragsverarbeitungsverträgen (Art 28 DSGVO)
  • Durchführung von Datenschutz-Folgenabschätzungen (Art 35 DSGVO) bei hohem Risiko
  • Meldung von Datenschutzverletzungen an die DSB (Art 33 DSGVO) innerhalb von 72 Stunden

Abwägung zwischen DSGVO und IFG

Ein zentrales Spannungsfeld in der praktischen Anwendung ergibt sich aus der gleichzeitigen Gültigkeit zweier unterschiedlicher Grundrechte: dem Recht auf Datenschutz einerseits und dem Recht auf Zugang zu öffentlichen Informationen andererseits. Während die DSGVO personenbezogene Daten schützt, verpflichtet das IFG zur Offenlegung amtlicher Informationen. Beide Ansprüche stehen in einem verfassungsrechtlichen Gleichrang zueinander.

Weder die DSGVO noch das IFG haben pauschal Vorrang. Stattdessen muss im Einzelfall geprüft werden, ob die Herausgabe einer bestimmten Information datenschutzrechtlich vertretbar ist. Maßgeblich ist, ob der Eingriff in Rechte Dritter verhältnismäßig ist – oder ob ein überwiegendes öffentliches Interesse an der Veröffentlichung besteht.

Beide Gesetze verlangen also keine starren Grenzziehungen, sondern eine verhältnismäßige Abwägung. Das IFG verlangt, dass die Interessen an der Geheimhaltung nur dann den Zugang verhindern dürfen, wenn dies „erforderlich und verhältnismäßig“ ist.

Ähnliche Beiträge

  • Datenschutz durch Technikgestaltung nach DSGVO

    Zum Beitrag

  • Datenschutz beim Einsatz von KI

    Zum Beitrag

  • AML trifft DSGVO: Geldwäscheprävention und Datenschutz im Unternehmen

    Zum Beitrag