DSGVO in Österreich: Ihre Rechte als Betroffener im Überblick 2026
Die Datenschutz-Grundverordnung (DSGVO) gewährt Ihnen als Bürgerin oder Bürger in Österreich weitreichende Rechte gegenüber Unternehmen, Behörden und Vereinen, die Ihre personenbezogenen Daten verarbeiten. Doch viele Menschen wissen nicht, welche konkreten Ansprüche sie haben – oder wie sie diese durchsetzen können. Dieser Leitfaden erklärt Ihnen verständlich und praxisnah, welche Betroffenenrechte Sie gemäß DSGVO in Österreich haben und wie Sie diese im Alltag effektiv nutzen.
Was ist die DSGVO und wie gilt sie in Österreich?
Die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) ist seit dem 25. Mai 2018 in allen EU-Mitgliedstaaten unmittelbar anwendbar. In Österreich wird sie durch das nationale Datenschutzgesetz (DSG) ergänzt, das insbesondere Sonderregelungen für Behörden, den Beschäftigtendatenschutz und die Datenschutzbehörde (DSB) enthält.
Die DSGVO gilt für jede automatisierte oder strukturierte Verarbeitung personenbezogener Daten – von der Kundendatei eines Wiener Handwerksbetriebs bis zur Nutzerdatenbank eines internationalen Konzerns, sofern dieser sich an Personen in der EU richtet. Einen tiefergehenden Überblick zur nationalen Umsetzung finden Sie in unserem Beitrag Datenschutzgesetz Österreich erklärt.
Was gilt als personenbezogenes Datum?
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu zählen unter anderem:
- Name, Adresse, Geburtsdatum, Sozialversicherungsnummer
- E-Mail-Adresse, Telefonnummer, IP-Adresse
- Standortdaten, Cookie-IDs, Gerätekennungen
- Fotos, Videoaufnahmen, Stimmaufzeichnungen
- Gesundheitsdaten, biometrische Daten, politische Meinung (besondere Kategorien)
Ihre acht zentralen Rechte nach der DSGVO
Die DSGVO räumt Betroffenen insgesamt acht ausdrücklich geregelte Rechte ein. Diese können Sie kostenlos und formlos gegenüber jedem Verantwortlichen – also jeder Stelle, die über Zweck und Mittel der Datenverarbeitung entscheidet – geltend machen.
1. Recht auf Information (Art. 13 & 14 DSGVO)
Sobald ein Unternehmen Daten von Ihnen erhebt, muss es Sie transparent darüber informieren: Wer verarbeitet Ihre Daten, zu welchem Zweck, auf welcher Rechtsgrundlage, wie lange werden sie gespeichert und an wen werden sie weitergegeben? Diese Information erfolgt üblicherweise über die Datenschutzerklärung auf der Website.
2. Recht auf Auskunft (Art. 15 DSGVO)
Sie haben das Recht zu erfahren, ob und welche Daten ein Unternehmen über Sie gespeichert hat. Auf Anfrage muss Ihnen der Verantwortliche innerhalb eines Monats eine Kopie sämtlicher zu Ihrer Person verarbeiteten Daten kostenlos zur Verfügung stellen. Dieses Recht ist eines der wichtigsten Instrumente, um Transparenz zu schaffen.
3. Recht auf Berichtigung (Art. 16 DSGVO)
Sind Ihre gespeicherten Daten falsch oder unvollständig, können Sie deren Korrektur oder Ergänzung verlangen. Das gilt zum Beispiel für falsch geschriebene Namen, veraltete Adressen oder unrichtige Bonitätsdaten bei Auskunfteien wie dem KSV1870.
4. Recht auf Löschung – „Recht auf Vergessenwerden" (Art. 17 DSGVO)
Sie können die Löschung Ihrer Daten verlangen, wenn:
- der Verarbeitungszweck weggefallen ist,
- Sie Ihre Einwilligung widerrufen haben und keine andere Rechtsgrundlage besteht,
- Sie Widerspruch eingelegt haben und keine überwiegenden berechtigten Interessen bestehen,
- die Daten unrechtmäßig verarbeitet wurden,
- eine gesetzliche Löschpflicht besteht.
Ausnahmen gelten unter anderem für Aufbewahrungspflichten (z. B. steuerrechtliche 7-Jahres-Frist) oder zur Ausübung der Meinungs- und Informationsfreiheit.
5. Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
Statt einer vollständigen Löschung können Sie in bestimmten Fällen verlangen, dass Ihre Daten „eingefroren" werden – also zwar gespeichert bleiben, aber nicht mehr aktiv verwendet werden dürfen. Dies ist etwa während der Prüfung eines Berichtigungsantrags sinnvoll.
6. Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Sie können verlangen, dass Ihnen der Verantwortliche die von Ihnen bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format (z. B. JSON, CSV) zur Verfügung stellt – oder direkt an einen anderen Anbieter überträgt. Praktisch relevant ist dies etwa beim Wechsel des Streaming-Dienstes oder der Bank.
7. Recht auf Widerspruch (Art. 21 DSGVO)
Gegen die Verarbeitung Ihrer Daten auf Grundlage eines „berechtigten Interesses" oder für Direktwerbung können Sie jederzeit Widerspruch einlegen. Bei Direktwerbung ist der Widerspruch absolut – das Unternehmen muss die Verarbeitung sofort einstellen.
8. Recht auf Nicht-Unterwerfung unter automatisierte Entscheidungen (Art. 22 DSGVO)
Entscheidungen, die ausschließlich auf automatisierter Verarbeitung – einschließlich Profiling – beruhen und Ihnen gegenüber rechtliche Wirkung entfalten (z. B. automatisierte Kreditablehnung), dürfen nur unter engen Voraussetzungen getroffen werden. Sie haben das Recht auf menschliche Überprüfung und Anfechtung. Angesichts der Bedeutung von KI-Systemen wird dieses Recht immer wichtiger – lesen Sie dazu unseren Artikel zum KI-Gesetz der EU 2026.
Übersicht: Ihre Rechte auf einen Blick
| Recht | Artikel | Frist des Verantwortlichen | Kosten |
|---|---|---|---|
| Information | Art. 13, 14 | Bei Erhebung / max. 1 Monat | Kostenlos |
| Auskunft | Art. 15 | 1 Monat (verlängerbar auf 3) | Kostenlos (erste Kopie) |
| Berichtigung | Art. 16 | 1 Monat | Kostenlos |
| Löschung | Art. 17 | 1 Monat | Kostenlos |
| Einschränkung | Art. 18 | 1 Monat | Kostenlos |
| Datenübertragbarkeit | Art. 20 | 1 Monat | Kostenlos |
| Widerspruch | Art. 21 | Sofort (bei Direktwerbung) | Kostenlos |
| Automatisierte Entscheidungen | Art. 22 | 1 Monat | Kostenlos |
Wie machen Sie Ihre Rechte praktisch geltend?
Um Ihre Rechte durchzusetzen, benötigen Sie weder einen Anwalt noch ein spezielles Formular. Ein formloses Schreiben oder eine E-Mail genügt in der Regel.
Schritt-für-Schritt-Anleitung
- Verantwortlichen identifizieren: Prüfen Sie das Impressum und die Datenschutzerklärung. Dort finden Sie den Namen, die Anschrift und – idealerweise – die Kontaktdaten des Datenschutzbeauftragten.
- Antrag formulieren: Geben Sie eindeutig an, welches Recht Sie geltend machen (z. B. „Ich beantrage gemäß Art. 15 DSGVO Auskunft über sämtliche zu meiner Person gespeicherten Daten").
- Identität nachweisen: Der Verantwortliche darf einen Identitätsnachweis verlangen, wenn berechtigte Zweifel bestehen. Übermäßige Kopien (etwa unmaskierter Reisepass) sind jedoch unzulässig.
- Frist setzen: Verweisen Sie auf die einmonatige Bearbeitungsfrist gemäß Art. 12 Abs. 3 DSGVO.
- Antwort dokumentieren: Bewahren Sie Ihren Antrag und die Antwort schriftlich auf – Sie brauchen diese möglicherweise für eine Beschwerde.
Mustertext für eine Auskunftsanfrage
„Sehr geehrte Damen und Herren, hiermit beantrage ich gemäß Art. 15 DSGVO Auskunft über alle personenbezogenen Daten, die Sie zu meiner Person verarbeiten. Ich bitte um Übermittlung einer Kopie dieser Daten sowie um Informationen zu Verarbeitungszwecken, Empfängerkategorien, geplanter Speicherdauer und Herkunft der Daten. Bitte antworten Sie innerhalb der gesetzlichen Frist von einem Monat."
Was tun, wenn Ihre Rechte missachtet werden?
Reagiert ein Unternehmen nicht, unvollständig oder ablehnend, stehen Ihnen mehrere Eskalationswege offen.
Beschwerde bei der österreichischen Datenschutzbehörde
Die Datenschutzbehörde (DSB) mit Sitz in Wien ist die zuständige Aufsichtsbehörde in Österreich. Sie können dort kostenlos und formlos Beschwerde einlegen – online über das Formular auf dsb.gv.at, per E-Mail oder postalisch. Die DSB prüft den Fall und kann Bußgelder bis zu 20 Millionen Euro oder 4 % des weltweiten Konzernumsatzes verhängen.
Zivilrechtliche Ansprüche
Zusätzlich können Sie vor dem zuständigen Landesgericht auf Schadenersatz klagen (Art. 82 DSGVO). Auch immaterielle Schäden – etwa Rufschädigung oder emotionaler Stress durch einen Datenleak – sind ersatzfähig. Der Oberste Gerichtshof (OGH) hat in mehreren Entscheidungen Schmerzengeld zwischen 500 und 2.000 Euro zugesprochen.
Verbraucherschutzorganisationen einschalten
Organisationen wie der Verein für Konsumenteninformation (VKI), die Arbeiterkammer oder NGOs wie noyb (European Center for Digital Rights) unterstützen Betroffene mit Musterverfahren und juristischer Expertise.
Besondere Bereiche: Wo Ihre Rechte häufig verletzt werden
Datenbroker und Adresshandel
Ein wachsendes Problem sind Unternehmen, die Ihre Daten ohne Ihr Wissen sammeln, aggregieren und weiterverkaufen. Häufig erfahren Betroffene erst durch unerwünschte Werbung von der Datenverarbeitung. Wie Sie sich effektiv wehren, erklären wir ausführlich in unserem Artikel Datenbroker: Wer verkauft Ihre Daten.
Tracking und Cookies
Viele Websites setzen Tracking-Cookies ohne wirksame Einwilligung. Die DSB hat wiederholt entschieden, dass vorangekreuzte Kästchen und irreführende „Cookie-Banner" unzulässig sind. Nutzen Sie datenschutzfreundliche Browser – eine Übersicht finden Sie in unserem Vergleich datenschutzfreundliche Browser 2026.
Link-Shortener und Klick-Tracking
Auch scheinbar harmlose Werkzeuge wie URL-Kürzer verarbeiten personenbezogene Daten – etwa IP-Adressen der Klickenden. Achten Sie darauf, DSGVO-konforme Anbieter zu nutzen. Dienste wie Lunyb setzen auf Datensparsamkeit, EU-Serverstandorte und transparente Datenschutzerklärungen – ein wichtiger Vorteil gegenüber vielen US-Anbietern. Details dazu in unserem Vergleich der besten Bitly-Alternativen 2026.
Arbeitsverhältnis
Auch als Arbeitnehmer haben Sie umfassende Rechte. Ihr Arbeitgeber darf nur solche Daten verarbeiten, die für das Beschäftigungsverhältnis erforderlich sind. Videoüberwachung am Arbeitsplatz, Keylogger oder GPS-Tracking von Dienstfahrzeugen unterliegen strengen Grenzen und meist der Zustimmung des Betriebsrats.
Grenzen der Betroffenenrechte
Ihre Rechte sind nicht unbegrenzt. Die DSGVO und das österreichische DSG sehen Einschränkungen vor, etwa wenn:
- gesetzliche Aufbewahrungspflichten bestehen (Steuerrecht, Handelsrecht),
- überwiegende Rechte Dritter betroffen sind (z. B. Presse- und Meinungsfreiheit),
- die Verarbeitung zur Geltendmachung von Rechtsansprüchen erforderlich ist,
- ein Antrag „offenkundig unbegründet oder exzessiv" ist (Art. 12 Abs. 5 DSGVO).
In diesen Fällen kann der Verantwortliche den Antrag ablehnen oder ein angemessenes Entgelt verlangen – muss dies aber begründen.
Ausblick: Datenschutz in Österreich 2026 und darüber hinaus
Der Datenschutz entwickelt sich dynamisch weiter. Mit dem Data Act, dem Digital Services Act und dem KI-Gesetz kommen weitere Regelwerke hinzu, die Ihre Rechte teils erweitern (etwa bei automatisierten Entscheidungen) und teils neue Pflichten für Unternehmen schaffen. Die österreichische Datenschutzbehörde hat angekündigt, 2026 verstärkt Prüfungen im Bereich KI-gestützter Datenverarbeitung, Datenbrokerage und internationaler Datentransfers durchzuführen.
Als Betroffener bleibt Ihre wichtigste Waffe die eigene Aufmerksamkeit: Wer seine Rechte kennt und regelmäßig ausübt, schafft nicht nur Transparenz in eigener Sache, sondern trägt auch zu einer datenschutzfreundlicheren digitalen Umgebung bei.
Häufig gestellte Fragen (FAQ)
Kostet die Ausübung meiner DSGVO-Rechte Geld?
Nein. Die Ausübung Ihrer Betroffenenrechte ist grundsätzlich kostenlos. Lediglich bei „offenkundig unbegründeten oder exzessiven" Anträgen – etwa bei extrem häufigen Wiederholungsanfragen – darf der Verantwortliche ein angemessenes Entgelt verlangen oder die Bearbeitung verweigern. Auch für weitere Kopien Ihrer Daten kann eine geringe Gebühr anfallen.
Wie lange darf ein Unternehmen für die Beantwortung meiner Auskunftsanfrage brauchen?
Der Verantwortliche hat gemäß Art. 12 Abs. 3 DSGVO grundsätzlich einen Monat Zeit. Diese Frist kann bei komplexen oder zahlreichen Anfragen um maximal zwei weitere Monate verlängert werden – Sie müssen jedoch innerhalb des ersten Monats über die Verlängerung und deren Gründe informiert werden.
Was passiert, wenn das Unternehmen nicht antwortet?
Reagiert der Verantwortliche gar nicht oder unzureichend, können Sie Beschwerde bei der österreichischen Datenschutzbehörde (dsb.gv.at) einlegen. Diese prüft den Fall kostenlos und kann Bußgelder verhängen. Zusätzlich steht Ihnen der zivilrechtliche Weg über die Landesgerichte offen, insbesondere bei Schadenersatzforderungen.
Gilt die DSGVO auch für Unternehmen außerhalb der EU?
Ja, sofern diese Waren oder Dienstleistungen an Personen in der EU anbieten oder deren Verhalten beobachten (Marktortprinzip, Art. 3 DSGVO). US-Konzerne wie Google, Meta oder Amazon müssen die DSGVO gegenüber österreichischen Nutzern vollumfänglich einhalten und haben in der Regel einen EU-Vertreter benannt.
Kann ich meine Rechte auch für verstorbene Angehörige geltend machen?
Die DSGVO gilt nur für lebende natürliche Personen. In Österreich sieht das nationale DSG jedoch vor, dass nahe Angehörige unter bestimmten Voraussetzungen Rechte im Namen Verstorbener geltend machen können – etwa bei ehrverletzenden Datenverarbeitungen. Für Social-Media-Konten gelten oft eigene Gedenkzustandsregelungen der Plattformen.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
Datenschutzgesetz Österreich Erklärt: Der Komplette Leitfaden 2026
Das Datenschutzgesetz Österreich regelt gemeinsam mit der DSGVO den Umgang mit personenbezogenen Daten. Dieser Leitfaden erklärt Rechte, Pflichten, Meldefristen und Strafen – praxisnah für 2026. Ihre Checkliste für rechtssichere Compliance in Österreich.
KI-Gesetz der EU 2026: Was sich für Unternehmen jetzt ändert
Das KI-Gesetz der EU verändert ab 2026 grundlegend, wie Unternehmen künstliche Intelligenz einsetzen dürfen. Erfahren Sie in diesem Praxis-Leitfaden, welche Pflichten, Fristen und Bußgelder gelten – und wie Sie Ihr Unternehmen mit einer 8-Schritte-Checkliste rechtssicher aufstellen.
DSGVO Einfach Erklärt 2026: Der Praxis-Leitfaden für Unternehmen
Die DSGVO ist seit 2018 in Kraft – doch 2026 bringt durch KI-Verordnung, Data Act und neue Rechtsprechung erhebliche Änderungen. Dieser Leitfaden erklärt verständlich, was Unternehmen jetzt wissen müssen, welche Pflichten gelten und wie Sie hohe Bußgelder vermeiden.
Österreichische Datenschutzbehörde: Beschwerde Einreichen 2026
Wenn Ihre Datenschutzrechte verletzt wurden, ist die österreichische Datenschutzbehörde (DSB) Ihr Ansprechpartner. Dieser Leitfaden zeigt Schritt für Schritt, wie Sie 2026 eine wirksame Beschwerde einreichen, welche Fristen gelten und welche Ergebnisse Sie erwarten können.