DSGVO und Indoor-DOOH in Österreich 2026: 22 Fragen zu Bildschirmwerbung in Salons, Wartezimmern und Cafés
Christian Starzengruber
Gründer & CEO Adyoutiser
27. Juni 2026Zuletzt aktualisiert: 13. Juli 202610 Min. Lesezeit7
Indoor-DOOH und DSGVO 2026 in Österreich. 22 konkrete Fragen zu Rollen (Venue, Werbekunde, Plattform), Audience-Measurement, Wartezimmer-Special und DACH-Vergleich — ohne generische Pro-DOOH-Floskeln.
DSGVO und Indoor-DOOH in Österreich 2026: 22 Fragen zu Bildschirmwerbung in Salons, Wartezimmern und Cafés
Plattform-Wahrheit zuerst: Adyoutiser betreibt aktuell 27 Indoor-Screens (Stand Juni 2026: 18 aktiv, 14 in Wien, 4 in Bratislava). Wir betreiben kein Audience-Measurement mit Kameras, kein biometrisches Face-Tracking, keine Bluetooth-Scanner. Wir spielen geplante Werbe-Loops aus. Dieser Text beschreibt, was das datenschutzrechtlich bedeutet — und wo bei anderen Anbietern andere Pflichten greifen.
Wichtig: Das ist kein Rechtsrat. Es ist eine strukturierte FAQ, die Sie in das Gespräch mit Ihrem Datenschutzbeauftragten, Ihrer Rechtsabteilung oder der Datenschutzbehörde mitnehmen können.
TL;DR in drei Sätzen
Ein Indoor-Bildschirm, der nur ein geplantes Loop ausspielt, ist datenschutzrechtlich harmlos — die DSGVO greift erst, wenn Daten über Zuschauer verarbeitet werden. Sobald Kameras, Footfall-Sensoren, Bluetooth-Scanner oder programmatische Targeting-Layer ins Spiel kommen, entsteht eine Verantwortlichkeitskette aus Venue, Werbeplattform und Werbekunde, die sauber vertraglich geregelt sein muss. Für Wartezimmer im Gesundheitsbereich (Arzt, Apotheke, Physio) gelten zusätzlich Art. 9 DSGVO und der enge Heilmittelwerbe-Rahmen.
1. Grundlagen: Wann ist ein Bildschirm DSGVO-relevant?
Frage 1: Ist ein reiner Werbe-Bildschirm im Salon datenschutzrechtlich überhaupt ein Thema?
Nein, solange er ausschließlich Bilder, Videos oder geplante Werbe-Spots abspielt. Ein einseitiger Sender ohne Erfassung von Daten über Zuschauer fällt nicht unter die DSGVO. Die Verordnung greift erst, wenn personenbezogene Daten verarbeitet werden — und reine Zuschauer eines Loops sind keine identifizierten oder identifizierbaren Personen.
Frage 2: Was zählt überhaupt als „personenbezogene Daten" bei Indoor-DOOH?
Personenbezogen sind Daten, die einer natürlichen Person zugeordnet werden können — direkt (Name, E-Mail) oder indirekt (Geräte-ID, Gesichtsbild, eindeutige Wifi-MAC, Standortdaten). Im DOOH-Kontext relevant: Gesichtsbilder aus Kameras, Bluetooth-MAC-Adressen mobiler Geräte, Wifi-Probe-Requests, IP-Adressen bei Online-Verknüpfung, biometrische Merkmale (Alter, Geschlecht aus Bildanalyse). Aggregierte Zähldaten ohne Personenbezug — etwa „heute 240 Passanten" — sind grundsätzlich nicht personenbezogen.
Frage 3: Reicht es, wenn ich „Niemand wird identifiziert" auf den Bildschirm schreibe?
Nein. Der pauschale Hinweis ersetzt keine rechtmäßige Verarbeitungsgrundlage nach Art. 6 DSGVO und keine Informationspflicht nach Art. 13 DSGVO. Wenn überhaupt erfasst wird, müssen Sie sagen wer, was, warum, wie lange, auf welcher Rechtsgrundlage. Wenn nicht erfasst wird, brauchen Sie auch keinen Hinweis.
Frage 4: Gilt die DSGVO auch, wenn der Bildschirm nur drei Stunden am Tag läuft?
Ja. Die DSGVO unterscheidet nicht nach Dauer. Wenn an einem einzigen Tag eine personenbezogene Verarbeitung stattfindet, gelten alle Pflichten — Rechtsgrundlage, Informationspflicht, technische und organisatorische Maßnahmen.
2. Rollen: Wer ist wofür verantwortlich?
Frage 5: Bin ich als Salon-Betreiber automatisch „Verantwortlicher" für den Bildschirm?
Nein — die Rollenzuteilung hängt davon ab, wer über Zwecke und Mittel der Verarbeitung entscheidet (Art. 4 Z 7 DSGVO). Wenn Sie nur die Wand stellen und die Werbeplattform den Inhalt komplett steuert, kann die Plattform Verantwortliche sein. Wenn Sie eigene Inhalte (Hausspots, Termine, Mitarbeiterfotos) zusätzlich ausspielen, sind Sie für diesen Teil Verantwortlicher.
Frage 6: Was ist der Unterschied zwischen Verantwortlichem und Auftragsverarbeiter?
Verantwortlicher entscheidet das „Warum" und „Wie" der Verarbeitung. Auftragsverarbeiter führt die Verarbeitung weisungsgebunden im Auftrag aus. Zwischen beiden muss ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO bestehen — schriftlich, mit Mindestinhalten. Bei Adyoutiser-Setups, in denen nur das Werbe-Loop läuft und keine Zuschauerdaten erfasst werden, ist meist gar keine AVV-Konstellation gegeben — weil keine personenbezogenen Daten verarbeitet werden.
Frage 7: Wann gibt es eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO?
Wenn Venue und Plattform gemeinsam Zweck und Mittel festlegen — typisches Beispiel: ein Programmatic-Setup mit Audience-Targeting, in dem die Venue Standort- und Footfall-Daten beisteuert und die Plattform mit Werbekundendaten matcht. Dann braucht es eine schriftliche Vereinbarung, die festlegt, wer welche Pflicht erfüllt, plus eine Information an die Betroffenen über die wesentlichen Punkte dieser Vereinbarung.
Frage 8: Trägt der Werbekunde überhaupt eine Verantwortung?
Ja, in zwei Konstellationen. Erstens für die Inhalte seines Spots — irreführende Werbung, Heilversprechen, vergleichende Werbung gegen DSGVO-relevante Wettbewerber-Logos. Zweitens, wenn er eigene Tracking-Mechanismen (QR-Code mit Pixel-Tracking, NFC-Tags, Werbekunden-eigene Cookie-Layer auf Landingpage) anschließt — dann wird er für diese Folge-Verarbeitung selbst zum Verantwortlichen.
3. Venue-Seite: Was muss ich im Salon, Café, Hotel tun?
Frage 9: Brauche ich eine Datenschutzerklärung am Bildschirm, wenn dort nur Werbung läuft?
Ohne Datenerfassung: nein. Sobald Sie aber selbst Inhalte mit personenbezogenen Daten ausspielen — etwa Mitarbeiterfotos, Kundenstimmen mit Namen, Live-Termin-Anzeige für identifizierbare Kunden — brauchen Sie eine Rechtsgrundlage (Einwilligung, Vertrag, berechtigtes Interesse) und die Information nach Art. 13 DSGVO an Betroffene.
Frage 10: Darf ich Fotos meiner Kunden auf dem Bildschirm zeigen?
Nur mit ausdrücklicher, dokumentierter Einwilligung. Das gilt auch für „Before/After"-Beispiele im Friseur- oder Beauty-Salon. Die Einwilligung muss freiwillig, informiert, spezifisch und nachweisbar sein. Sie können sie jederzeit widerrufen werden — das müssen Sie technisch umsetzen können (Spot aus dem Loop entfernen).
Frage 11: Wenn der Bildschirm hinter der Theke einen Kamera-Footfall-Sensor hat — was muss ich tun?
Sieben Pflichten parallel: (1) Rechtsgrundlage prüfen (meist berechtigtes Interesse, Art. 6 Abs. 1 lit. f), (2) Datenschutz-Folgenabschätzung nach Art. 35 DSGVO machen, falls systematische Überwachung öffentlich zugänglicher Bereiche, (3) Informationspflicht nach Art. 13 erfüllen (Hinweisschild + Datenschutzerklärung), (4) AVV mit dem Sensor-Lieferanten schließen, (5) Aufbewahrungsfristen festlegen, (6) Rechte der Betroffenen umsetzen (Auskunft, Löschung), (7) ins Verarbeitungsverzeichnis nach Art. 30 aufnehmen. Adyoutiser empfiehlt: bevor Sie das tun, prüfen Sie, ob Sie die Daten überhaupt brauchen — die meisten Mikro-Venues kommen ohne aus.
Frage 12: Reicht ein Schild „Hier wird gefilmt"?
Nein. Die Information nach Art. 13 DSGVO umfasst Verantwortlichen, Kontakt, Zwecke, Rechtsgrundlage, Empfänger, Speicherdauer, Betroffenenrechte, Beschwerderecht. Ein Piktogramm plus QR-Code zur ausführlichen Datenschutzerklärung ist die WKO-empfohlene Standardlösung — der reine Aufkleber „Videoüberwachung" reicht seit 2018 nicht mehr.
Frage 13: Wie lange darf ich Footfall-/Sensor-Daten aufbewahren?
So lange wie für den definierten Zweck nötig — und nicht länger. Die DSB Österreich hat in mehreren Bescheiden klargestellt, dass aggregierte Zähldaten (Personen pro Stunde, ohne Bildmaterial) auch über Monate gespeichert werden können, weil sie nach Aggregation nicht mehr personenbezogen sind. Roh-Bildmaterial dagegen muss in der Regel binnen 72 Stunden gelöscht werden, sofern kein konkreter Anlass (Vorfall, Anzeige) dokumentiert ist.
4. Werbekunden-Seite: Was darf ich auf den Bildschirm legen?
Frage 14: Darf ich als Werbekunde personenbezogene Daten in meinem Spot zeigen?
Nur mit Einwilligung der gezeigten Person — Mitarbeiter, Kunden, Influencer. Bei Mitarbeiterfotos genügt nicht der Arbeitsvertrag; eine separate, jederzeit widerrufbare Einwilligung ist nötig. Bei Testimonials muss schriftlich festgehalten werden, in welchem Medium, welcher Region, welcher Dauer das Bild gezeigt werden darf.
Frage 15: Was ist mit Stock-Fotos und KI-generierten Gesichtern?
Stock-Fotos sind lizenztechnisch geklärt, datenschutzrechtlich aber heikel, wenn die abgebildete Person nicht in eine kommerzielle Verwendung in DOOH eingewilligt hat — Lizenzverträge schließen das meist explizit ein, prüfen Sie das. KI-generierte Gesichter (Synthetic Media) sind nicht personenbezogen, solange sie tatsächlich keiner realen Person zugeordnet werden können — ab 2026 greift aber zusätzlich der EU AI Act mit Transparenzpflichten bei synthetischen Inhalten (Art. 50 AI Act).
Frage 16: Wenn mein Spot einen QR-Code zeigt — was ändert sich?
Sobald der QR-Code zu einer Landingpage führt, die Cookies setzt, Pixel feuert oder IPs loggt, sind Sie als Werbekunde dafür Verantwortlicher. Dann brauchen Sie auf der Landingpage einen DSGVO-konformen Consent-Layer mit Reject-Equal-Prominence-Button (Schwerpunkt der DSB-Prüfungen 2026 nach Art. 32 + Art. 12-14 DSGVO). Der Bildschirm selbst und die Plattform sind dafür nicht verantwortlich — das ist Ihre Webseite, Ihre Pflicht.
5. Audience Measurement: Was geht, was nicht?
Frage 17: Sind Kameras zur Zielgruppen-Messung am Bildschirm in Österreich erlaubt?
Schwierig — die Messlatte ist seit 2024 deutlich gestiegen. Kamera-basierte Bildanalyse (Alter, Geschlecht, Verweildauer) gilt als systematische Auswertung von Bildmaterial in öffentlich zugänglichen Bereichen und löst regelmäßig eine Datenschutz-Folgenabschätzung aus. Anbieter wie Quividi argumentieren mit „Privacy by Design" (kein Bild verlässt das Gerät, sofortige Aggregation), aber das ändert nichts an der DSGVO-Pflicht zur Rechtsgrundlage und Information. Branchenrealität 2026: viele Werbeplattformen migrieren weg von Kameras hin zu camera-free Methoden, weil die Aufsichtsbehörden in DACH strenger werden.
Frage 18: Was sind „camera-free" Audience-Measurement-Methoden — und sind die unkritisch?
Üblich sind drei Wege: (1) Aggregierte Mobilfunk-Standortdaten von Spezialanbietern wie Adsquare oder Statista-Adsquare (nur anonyme Heatmaps), (2) Wifi-Probe-Counting mit hashed MAC und sofortiger Löschung, (3) reine Schätzmodelle aus statistischen Schwesterdaten (DOOH Impression Multiplier auf Basis Statistik Austria). Variante 1 und 3 sind in Standardsetups unkritisch. Variante 2 ist Grenzfall — die deutsche DSK hat 2023 klargestellt, dass auch gehashte MACs personenbezogen sein können, wenn die Wiedererkennbarkeit über Zeit gegeben ist.
Frage 19: Brauche ich für Audience-Measurement eine Einwilligung der Passanten?
Bei aggregierten, nicht-personenbezogenen Modellen: nein. Bei Roh-Datenerfassung mit Re-Identifizierungs-Möglichkeit (Wifi-Probe, Bluetooth, Kamera): praktisch ja, weil eine andere Rechtsgrundlage in öffentlichen Indoor-Bereichen schwer haltbar ist — und Einwilligung dort technisch kaum sauber einholbar. Genau deshalb verschiebt sich die Branche zu Methoden, die ohne Einwilligung auskommen, weil sie ohne Personenbezug operieren.
6. Gesundheitswesen: Wartezimmer-Special
Frage 20: Was gilt zusätzlich für Arzt-, Apotheken- und Physio-Wartezimmer?
Drei Layer. Erstens: Art. 9 DSGVO bei besonderen Kategorien — Gesundheitsdaten sind besonders geschützt, jede Datenverarbeitung in dem Umfeld muss diesen erhöhten Standard erfüllen. Zweitens: ärztliche Verschwiegenheitspflicht (§ 54 ÄrzteG) und Apothekenrecht — die haben Vorrang vor jeder Werbe-Logik. Drittens: das Heilmittelwerbegesetz (HWG) und das Bundesgesetz über Werbebeschränkungen — bestimmte Werbeinhalte sind dort generell unzulässig oder genehmigungspflichtig. Wir haben das für Apotheken separat beschrieben: Werbung in Apotheken.
Frage 21: Darf ein Arzt-Wartezimmer-Bildschirm Patientennamen oder Nummern aufrufen?
Ja, wenn das die organisatorische Funktion ist — aber dann ist das eine eigenständige Verarbeitung der Praxis, nicht der Werbeplattform. Wenn auf demselben Bildschirm zusätzlich Werbung läuft, müssen beide Verarbeitungen klar getrennt sein: Patientendaten unter Verantwortung der Praxis, Werbe-Loop unter Verantwortung der Plattform. Die Praxis braucht für die Namens-/Nummernaufrufe eine eigene Information nach Art. 13 (meist im Aushang und Praxisleitfaden enthalten).
Frage 22: Können Krankenkassen, Pharmaunternehmen oder Versicherungen als Werbekunden im Wartezimmer auftreten?
Krankenkassen ja, mit redaktioneller Vorsicht (kein Wettbewerb gegen andere Kassen, keine Übertretung des § 26 ASVG). Pharmaunternehmen nur im Rahmen des HWG: für apothekenpflichtige Arzneimittel ist Publikumswerbung in vielen Fällen eingeschränkt oder verboten — der Werbeinhalt entscheidet, nicht das Medium. Versicherungen ja, sind aber an UWG und WAG-Compliance gebunden, wenn versicherungsvermittelnde Inhalte gezeigt werden. Adyoutiser hat aktuell keine aktiven Gesundheits-Wartezimmer im Netz und prüft jede solche Buchung einzeln vor.
7. DACH-Mini-Vergleich: AT — DE — CH
Hinweis: Die Tabelle ist eine Übersicht für die Planung, kein Rechtsrat. Praxis-Bußgelder variieren je Einzelfall.
Was Adyoutiser konkret tut
Wir sind transparent darüber, was wir nicht tun: keine Kameras, kein biometrisches Targeting, keine Bluetooth-Scanner, keine Wifi-MAC-Erfassung an unseren Screens. Wir spielen Werbe-Loops aus Buchungen aus, plus optional Partner-eigenen Content im Round-Robin. Unser Audience-Measurement basiert auf statistischen Modellen (Impression Multiplier aus Verweildauer und Tageszeit, kein Tracking).
Wenn ein Partner-Venue eigene Daten erfasst (Footfall-Sensor am Eingang, Kassensystem mit Loyalty), läuft das vollständig getrennt von der Werbeplattform und liegt in der alleinigen Verantwortung des Venue. Wir koppeln diese Daten nicht in unsere Targeting-Logik.
Was wir vertraglich regeln: Auftragsverarbeitungsvereinbarung (AVV) nur dort, wo wir tatsächlich personenbezogene Daten im Auftrag verarbeiten — etwa bei Kontaktdaten der Partner-Organisation im Abrechnungsfall. Für die reine Werbe-Ausspielung ohne Zuschauer-Daten ist keine AVV nötig, weil keine personenbezogene Verarbeitung stattfindet.
WKO, Datenschutz-Materialien zu Bildverarbeitung (wko.at/datenschutz)
IAB Europe, DOOH Measurement Guide 2025
EU Verordnung 2024/1689 (AI Act), insb. Art. 50 zu Transparenz bei synthetischen Inhalten
Datenschutzkonferenz DSK, Beschluss zu MAC-Adressen und Personenbezug, 2023
Dieser Beitrag ist nach bestem Wissen erstellt und ersetzt keine Rechtsberatung. Bei konkreten Setups ziehen Sie Datenschutzbeauftragten oder Anwalt:in hinzu.
Aspekt
Österreich (DSG + DSGVO)
Deutschland (BDSG + DSGVO)
Schweiz (revDSG ab 2023)
Aufsichtsbehörde
DSB (dsb.gv.at)
17 Landesdatenschutzbehörden + BfDI
EDÖB (edoeb.admin.ch)
Schwerpunkt 2026
Art. 32 + Art. 12-14 (DSB-Ankündigung)
EU AI Act + Werbe-Tracking (DSK)
Profiling mit hohem Risiko
DSFA-Schwellenwert
Liste der DSB, u.a. systematische Überwachung
Liste BfDI + DSK, u.a. biometrische Verfahren
Hoher Risikoprofiling-Test nach revDSG
Bußgeldpraxis Indoor-DOOH
überwiegend 5-30 k EUR
überwiegend 10-50 k EUR + Abmahnungen Mitbewerb
bis 250 k CHF gegen verantwortliche Personen
AI-Act-Vorlauf
gleich EU, ab 2026
gleich EU, ab 2026
revDSG bereits in Kraft, AI-Anpassung 2026 in Arbeit