facebook-pixel

DSGVO in Österreich: Ihre Rechte als Betroffener im Überblick 2026

L
Lunyb Sicherheitsteam
··8 min read

Die Datenschutz-Grundverordnung (DSGVO) gewährt Ihnen als Bürgerin oder Bürger in Österreich weitreichende Rechte gegenüber Unternehmen, Behörden und Vereinen, die Ihre personenbezogenen Daten verarbeiten. Doch viele Menschen wissen nicht, welche konkreten Ansprüche sie haben – oder wie sie diese durchsetzen können. Dieser Leitfaden erklärt Ihnen verständlich und praxisnah, welche Betroffenenrechte Sie gemäß DSGVO in Österreich haben und wie Sie diese im Alltag effektiv nutzen.

Was ist die DSGVO und wie gilt sie in Österreich?

Die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) ist seit dem 25. Mai 2018 in allen EU-Mitgliedstaaten unmittelbar anwendbar. In Österreich wird sie durch das nationale Datenschutzgesetz (DSG) ergänzt, das insbesondere Sonderregelungen für Behörden, den Beschäftigtendatenschutz und die Datenschutzbehörde (DSB) enthält.

Die DSGVO gilt für jede automatisierte oder strukturierte Verarbeitung personenbezogener Daten – von der Kundendatei eines Wiener Handwerksbetriebs bis zur Nutzerdatenbank eines internationalen Konzerns, sofern dieser sich an Personen in der EU richtet. Einen tiefergehenden Überblick zur nationalen Umsetzung finden Sie in unserem Beitrag Datenschutzgesetz Österreich erklärt.

Was gilt als personenbezogenes Datum?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu zählen unter anderem:

  • Name, Adresse, Geburtsdatum, Sozialversicherungsnummer
  • E-Mail-Adresse, Telefonnummer, IP-Adresse
  • Standortdaten, Cookie-IDs, Gerätekennungen
  • Fotos, Videoaufnahmen, Stimmaufzeichnungen
  • Gesundheitsdaten, biometrische Daten, politische Meinung (besondere Kategorien)

Ihre acht zentralen Rechte nach der DSGVO

Die DSGVO räumt Betroffenen insgesamt acht ausdrücklich geregelte Rechte ein. Diese können Sie kostenlos und formlos gegenüber jedem Verantwortlichen – also jeder Stelle, die über Zweck und Mittel der Datenverarbeitung entscheidet – geltend machen.

1. Recht auf Information (Art. 13 & 14 DSGVO)

Sobald ein Unternehmen Daten von Ihnen erhebt, muss es Sie transparent darüber informieren: Wer verarbeitet Ihre Daten, zu welchem Zweck, auf welcher Rechtsgrundlage, wie lange werden sie gespeichert und an wen werden sie weitergegeben? Diese Information erfolgt üblicherweise über die Datenschutzerklärung auf der Website.

2. Recht auf Auskunft (Art. 15 DSGVO)

Sie haben das Recht zu erfahren, ob und welche Daten ein Unternehmen über Sie gespeichert hat. Auf Anfrage muss Ihnen der Verantwortliche innerhalb eines Monats eine Kopie sämtlicher zu Ihrer Person verarbeiteten Daten kostenlos zur Verfügung stellen. Dieses Recht ist eines der wichtigsten Instrumente, um Transparenz zu schaffen.

3. Recht auf Berichtigung (Art. 16 DSGVO)

Sind Ihre gespeicherten Daten falsch oder unvollständig, können Sie deren Korrektur oder Ergänzung verlangen. Das gilt zum Beispiel für falsch geschriebene Namen, veraltete Adressen oder unrichtige Bonitätsdaten bei Auskunfteien wie dem KSV1870.

4. Recht auf Löschung – „Recht auf Vergessenwerden" (Art. 17 DSGVO)

Sie können die Löschung Ihrer Daten verlangen, wenn:

  1. der Verarbeitungszweck weggefallen ist,
  2. Sie Ihre Einwilligung widerrufen haben und keine andere Rechtsgrundlage besteht,
  3. Sie Widerspruch eingelegt haben und keine überwiegenden berechtigten Interessen bestehen,
  4. die Daten unrechtmäßig verarbeitet wurden,
  5. eine gesetzliche Löschpflicht besteht.

Ausnahmen gelten unter anderem für Aufbewahrungspflichten (z. B. steuerrechtliche 7-Jahres-Frist) oder zur Ausübung der Meinungs- und Informationsfreiheit.

5. Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Statt einer vollständigen Löschung können Sie in bestimmten Fällen verlangen, dass Ihre Daten „eingefroren" werden – also zwar gespeichert bleiben, aber nicht mehr aktiv verwendet werden dürfen. Dies ist etwa während der Prüfung eines Berichtigungsantrags sinnvoll.

6. Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie können verlangen, dass Ihnen der Verantwortliche die von Ihnen bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format (z. B. JSON, CSV) zur Verfügung stellt – oder direkt an einen anderen Anbieter überträgt. Praktisch relevant ist dies etwa beim Wechsel des Streaming-Dienstes oder der Bank.

7. Recht auf Widerspruch (Art. 21 DSGVO)

Gegen die Verarbeitung Ihrer Daten auf Grundlage eines „berechtigten Interesses" oder für Direktwerbung können Sie jederzeit Widerspruch einlegen. Bei Direktwerbung ist der Widerspruch absolut – das Unternehmen muss die Verarbeitung sofort einstellen.

8. Recht auf Nicht-Unterwerfung unter automatisierte Entscheidungen (Art. 22 DSGVO)

Entscheidungen, die ausschließlich auf automatisierter Verarbeitung – einschließlich Profiling – beruhen und Ihnen gegenüber rechtliche Wirkung entfalten (z. B. automatisierte Kreditablehnung), dürfen nur unter engen Voraussetzungen getroffen werden. Sie haben das Recht auf menschliche Überprüfung und Anfechtung. Angesichts der Bedeutung von KI-Systemen wird dieses Recht immer wichtiger – lesen Sie dazu unseren Artikel zum KI-Gesetz der EU 2026.

Übersicht: Ihre Rechte auf einen Blick

RechtArtikelFrist des VerantwortlichenKosten
InformationArt. 13, 14Bei Erhebung / max. 1 MonatKostenlos
AuskunftArt. 151 Monat (verlängerbar auf 3)Kostenlos (erste Kopie)
BerichtigungArt. 161 MonatKostenlos
LöschungArt. 171 MonatKostenlos
EinschränkungArt. 181 MonatKostenlos
DatenübertragbarkeitArt. 201 MonatKostenlos
WiderspruchArt. 21Sofort (bei Direktwerbung)Kostenlos
Automatisierte EntscheidungenArt. 221 MonatKostenlos

Wie machen Sie Ihre Rechte praktisch geltend?

Um Ihre Rechte durchzusetzen, benötigen Sie weder einen Anwalt noch ein spezielles Formular. Ein formloses Schreiben oder eine E-Mail genügt in der Regel.

Schritt-für-Schritt-Anleitung

  1. Verantwortlichen identifizieren: Prüfen Sie das Impressum und die Datenschutzerklärung. Dort finden Sie den Namen, die Anschrift und – idealerweise – die Kontaktdaten des Datenschutzbeauftragten.
  2. Antrag formulieren: Geben Sie eindeutig an, welches Recht Sie geltend machen (z. B. „Ich beantrage gemäß Art. 15 DSGVO Auskunft über sämtliche zu meiner Person gespeicherten Daten").
  3. Identität nachweisen: Der Verantwortliche darf einen Identitätsnachweis verlangen, wenn berechtigte Zweifel bestehen. Übermäßige Kopien (etwa unmaskierter Reisepass) sind jedoch unzulässig.
  4. Frist setzen: Verweisen Sie auf die einmonatige Bearbeitungsfrist gemäß Art. 12 Abs. 3 DSGVO.
  5. Antwort dokumentieren: Bewahren Sie Ihren Antrag und die Antwort schriftlich auf – Sie brauchen diese möglicherweise für eine Beschwerde.

Mustertext für eine Auskunftsanfrage

„Sehr geehrte Damen und Herren, hiermit beantrage ich gemäß Art. 15 DSGVO Auskunft über alle personenbezogenen Daten, die Sie zu meiner Person verarbeiten. Ich bitte um Übermittlung einer Kopie dieser Daten sowie um Informationen zu Verarbeitungszwecken, Empfängerkategorien, geplanter Speicherdauer und Herkunft der Daten. Bitte antworten Sie innerhalb der gesetzlichen Frist von einem Monat."

Was tun, wenn Ihre Rechte missachtet werden?

Reagiert ein Unternehmen nicht, unvollständig oder ablehnend, stehen Ihnen mehrere Eskalationswege offen.

Beschwerde bei der österreichischen Datenschutzbehörde

Die Datenschutzbehörde (DSB) mit Sitz in Wien ist die zuständige Aufsichtsbehörde in Österreich. Sie können dort kostenlos und formlos Beschwerde einlegen – online über das Formular auf dsb.gv.at, per E-Mail oder postalisch. Die DSB prüft den Fall und kann Bußgelder bis zu 20 Millionen Euro oder 4 % des weltweiten Konzernumsatzes verhängen.

Zivilrechtliche Ansprüche

Zusätzlich können Sie vor dem zuständigen Landesgericht auf Schadenersatz klagen (Art. 82 DSGVO). Auch immaterielle Schäden – etwa Rufschädigung oder emotionaler Stress durch einen Datenleak – sind ersatzfähig. Der Oberste Gerichtshof (OGH) hat in mehreren Entscheidungen Schmerzengeld zwischen 500 und 2.000 Euro zugesprochen.

Verbraucherschutzorganisationen einschalten

Organisationen wie der Verein für Konsumenteninformation (VKI), die Arbeiterkammer oder NGOs wie noyb (European Center for Digital Rights) unterstützen Betroffene mit Musterverfahren und juristischer Expertise.

Besondere Bereiche: Wo Ihre Rechte häufig verletzt werden

Datenbroker und Adresshandel

Ein wachsendes Problem sind Unternehmen, die Ihre Daten ohne Ihr Wissen sammeln, aggregieren und weiterverkaufen. Häufig erfahren Betroffene erst durch unerwünschte Werbung von der Datenverarbeitung. Wie Sie sich effektiv wehren, erklären wir ausführlich in unserem Artikel Datenbroker: Wer verkauft Ihre Daten.

Tracking und Cookies

Viele Websites setzen Tracking-Cookies ohne wirksame Einwilligung. Die DSB hat wiederholt entschieden, dass vorangekreuzte Kästchen und irreführende „Cookie-Banner" unzulässig sind. Nutzen Sie datenschutzfreundliche Browser – eine Übersicht finden Sie in unserem Vergleich datenschutzfreundliche Browser 2026.

Link-Shortener und Klick-Tracking

Auch scheinbar harmlose Werkzeuge wie URL-Kürzer verarbeiten personenbezogene Daten – etwa IP-Adressen der Klickenden. Achten Sie darauf, DSGVO-konforme Anbieter zu nutzen. Dienste wie Lunyb setzen auf Datensparsamkeit, EU-Serverstandorte und transparente Datenschutzerklärungen – ein wichtiger Vorteil gegenüber vielen US-Anbietern. Details dazu in unserem Vergleich der besten Bitly-Alternativen 2026.

Arbeitsverhältnis

Auch als Arbeitnehmer haben Sie umfassende Rechte. Ihr Arbeitgeber darf nur solche Daten verarbeiten, die für das Beschäftigungsverhältnis erforderlich sind. Videoüberwachung am Arbeitsplatz, Keylogger oder GPS-Tracking von Dienstfahrzeugen unterliegen strengen Grenzen und meist der Zustimmung des Betriebsrats.

Grenzen der Betroffenenrechte

Ihre Rechte sind nicht unbegrenzt. Die DSGVO und das österreichische DSG sehen Einschränkungen vor, etwa wenn:

  • gesetzliche Aufbewahrungspflichten bestehen (Steuerrecht, Handelsrecht),
  • überwiegende Rechte Dritter betroffen sind (z. B. Presse- und Meinungsfreiheit),
  • die Verarbeitung zur Geltendmachung von Rechtsansprüchen erforderlich ist,
  • ein Antrag „offenkundig unbegründet oder exzessiv" ist (Art. 12 Abs. 5 DSGVO).

In diesen Fällen kann der Verantwortliche den Antrag ablehnen oder ein angemessenes Entgelt verlangen – muss dies aber begründen.

Ausblick: Datenschutz in Österreich 2026 und darüber hinaus

Der Datenschutz entwickelt sich dynamisch weiter. Mit dem Data Act, dem Digital Services Act und dem KI-Gesetz kommen weitere Regelwerke hinzu, die Ihre Rechte teils erweitern (etwa bei automatisierten Entscheidungen) und teils neue Pflichten für Unternehmen schaffen. Die österreichische Datenschutzbehörde hat angekündigt, 2026 verstärkt Prüfungen im Bereich KI-gestützter Datenverarbeitung, Datenbrokerage und internationaler Datentransfers durchzuführen.

Als Betroffener bleibt Ihre wichtigste Waffe die eigene Aufmerksamkeit: Wer seine Rechte kennt und regelmäßig ausübt, schafft nicht nur Transparenz in eigener Sache, sondern trägt auch zu einer datenschutzfreundlicheren digitalen Umgebung bei.

Häufig gestellte Fragen (FAQ)

Kostet die Ausübung meiner DSGVO-Rechte Geld?

Nein. Die Ausübung Ihrer Betroffenenrechte ist grundsätzlich kostenlos. Lediglich bei „offenkundig unbegründeten oder exzessiven" Anträgen – etwa bei extrem häufigen Wiederholungsanfragen – darf der Verantwortliche ein angemessenes Entgelt verlangen oder die Bearbeitung verweigern. Auch für weitere Kopien Ihrer Daten kann eine geringe Gebühr anfallen.

Wie lange darf ein Unternehmen für die Beantwortung meiner Auskunftsanfrage brauchen?

Der Verantwortliche hat gemäß Art. 12 Abs. 3 DSGVO grundsätzlich einen Monat Zeit. Diese Frist kann bei komplexen oder zahlreichen Anfragen um maximal zwei weitere Monate verlängert werden – Sie müssen jedoch innerhalb des ersten Monats über die Verlängerung und deren Gründe informiert werden.

Was passiert, wenn das Unternehmen nicht antwortet?

Reagiert der Verantwortliche gar nicht oder unzureichend, können Sie Beschwerde bei der österreichischen Datenschutzbehörde (dsb.gv.at) einlegen. Diese prüft den Fall kostenlos und kann Bußgelder verhängen. Zusätzlich steht Ihnen der zivilrechtliche Weg über die Landesgerichte offen, insbesondere bei Schadenersatzforderungen.

Gilt die DSGVO auch für Unternehmen außerhalb der EU?

Ja, sofern diese Waren oder Dienstleistungen an Personen in der EU anbieten oder deren Verhalten beobachten (Marktortprinzip, Art. 3 DSGVO). US-Konzerne wie Google, Meta oder Amazon müssen die DSGVO gegenüber österreichischen Nutzern vollumfänglich einhalten und haben in der Regel einen EU-Vertreter benannt.

Kann ich meine Rechte auch für verstorbene Angehörige geltend machen?

Die DSGVO gilt nur für lebende natürliche Personen. In Österreich sieht das nationale DSG jedoch vor, dass nahe Angehörige unter bestimmten Voraussetzungen Rechte im Namen Verstorbener geltend machen können – etwa bei ehrverletzenden Datenverarbeitungen. Für Social-Media-Konten gelten oft eigene Gedenkzustandsregelungen der Plattformen.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles