DSGVO in Österreich: Ihre Rechte im Überblick 2026
Die Datenschutz-Grundverordnung (DSGVO) räumt Ihnen als Bürgerin oder Bürger in Österreich umfangreiche Rechte gegenüber Unternehmen, Behörden und Vereinen ein, die Ihre personenbezogenen Daten verarbeiten. Doch viele Österreicherinnen und Österreicher wissen nicht genau, welche Ansprüche sie tatsächlich haben – und wie sie diese durchsetzen. Dieser Leitfaden erklärt Ihnen Ihre acht zentralen Betroffenenrechte, gibt Ihnen konkrete Musterformulierungen an die Hand und zeigt, wie Sie sich bei der österreichischen Datenschutzbehörde (DSB) wirksam beschweren.
Was ist die DSGVO und wie gilt sie in Österreich?
Die DSGVO (Verordnung EU 2016/679) ist ein europaweit einheitliches Datenschutzgesetz, das seit dem 25. Mai 2018 unmittelbar in allen EU-Mitgliedstaaten gilt. In Österreich wird sie durch das Datenschutzgesetz (DSG) ergänzt, das nationale Besonderheiten regelt – etwa zur Bild- und Videoüberwachung oder zum Datenschutz im Beschäftigungsverhältnis.
Zuständige Aufsichtsbehörde in Österreich ist die Datenschutzbehörde (DSB) mit Sitz in Wien. Sie überwacht die Einhaltung der DSGVO, bearbeitet Beschwerden und kann Bußgelder bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes verhängen.
Für wen gilt die DSGVO?
Die DSGVO gilt für alle natürlichen und juristischen Personen, die personenbezogene Daten von EU-Bürgerinnen und -Bürgern verarbeiten – unabhängig davon, ob das Unternehmen in Österreich, Deutschland, den USA oder Asien sitzt. Das umfasst:
- Unternehmen jeder Größe (auch Ein-Personen-Unternehmen)
- Vereine und Organisationen
- Behörden und öffentliche Stellen
- Selbstständige und Freiberuflerinnen
- Online-Dienste und Plattformen mit EU-Nutzerinnen
Ausgenommen sind ausschließlich rein private oder familiäre Tätigkeiten – etwa Ihr privates Adressbuch am Handy.
Die 8 zentralen Betroffenenrechte nach DSGVO
Als betroffene Person haben Sie in Österreich acht klar definierte Rechte, die in den Artikeln 12 bis 22 DSGVO geregelt sind. Jedes Recht können Sie kostenlos gegenüber dem sogenannten „Verantwortlichen" (dem Unternehmen oder der Stelle, die Ihre Daten verarbeitet) geltend machen.
1. Recht auf Information (Art. 13 & 14 DSGVO)
Sie haben Anspruch darauf, bei der Erhebung Ihrer Daten transparent informiert zu werden: Wer verarbeitet Ihre Daten? Zu welchem Zweck? Auf welcher Rechtsgrundlage? Wie lange werden sie gespeichert? An wen werden sie weitergegeben? Diese Informationen finden Sie üblicherweise in der Datenschutzerklärung einer Website.
2. Recht auf Auskunft (Art. 15 DSGVO)
Das wohl wichtigste Recht: Sie können jederzeit von jedem Unternehmen verlangen zu erfahren, welche Daten über Sie gespeichert sind. Die Auskunft muss enthalten:
- Eine Kopie aller verarbeiteten Daten
- Die Verarbeitungszwecke
- Die Kategorien der Daten
- Empfänger oder Kategorien von Empfängern
- Geplante Speicherdauer
- Herkunft der Daten (falls nicht bei Ihnen erhoben)
Die Frist beträgt ein Monat ab Antragstellung und die Auskunft muss kostenlos erteilt werden.
3. Recht auf Berichtigung (Art. 16 DSGVO)
Sind Ihre Daten unrichtig oder unvollständig, können Sie deren Korrektur verlangen. Das gilt beispielsweise für falsch geschriebene Namen, veraltete Adressen oder fehlerhafte Schufa-ähnliche Bonitätsdaten beim Kreditschutzverband (KSV1870).
4. Recht auf Löschung / „Recht auf Vergessenwerden" (Art. 17 DSGVO)
Sie können die Löschung Ihrer Daten verlangen, wenn:
- Die Daten für den ursprünglichen Zweck nicht mehr benötigt werden
- Sie Ihre Einwilligung widerrufen haben
- Die Verarbeitung unrechtmäßig erfolgt
- Sie erfolgreich Widerspruch eingelegt haben
- Eine gesetzliche Löschpflicht besteht
Details zur Antragstellung finden Sie in unserem detaillierten Ratgeber „Recht auf Vergessenwerden: So Stellen Sie den Antrag 2026".
5. Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
Statt Löschung können Sie auch die vorübergehende „Sperrung" Ihrer Daten verlangen – etwa während der Prüfung, ob eine Löschung tatsächlich zulässig ist. Die Daten bleiben dann gespeichert, dürfen aber nicht weiter verarbeitet werden.
6. Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Sie haben Anspruch darauf, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format (meist CSV, JSON oder XML) zu erhalten – etwa um sie zu einem anderen Anbieter mitzunehmen. Praktisch relevant ist das bei Social-Media-Plattformen, E-Mail-Anbietern oder Streaming-Diensten.
7. Widerspruchsrecht (Art. 21 DSGVO)
Gegen die Verarbeitung Ihrer Daten zu Zwecken der Direktwerbung können Sie jederzeit ohne Begründung Widerspruch einlegen. Bei anderen Verarbeitungen (etwa auf Basis „berechtigten Interesses") ist eine Interessenabwägung erforderlich.
8. Recht auf Nichtunterwerfung unter automatisierte Entscheidungen (Art. 22 DSGVO)
Entscheidungen, die Sie erheblich beeinträchtigen (z. B. Kreditablehnung, Bewerbungsauswahl), dürfen nicht ausschließlich durch Algorithmen getroffen werden. Sie haben Anspruch auf menschliche Überprüfung und Erläuterung der Entscheidung.
Übersicht: Ihre Rechte und Fristen im Vergleich
| Recht | Rechtsgrundlage | Frist | Kosten |
|---|---|---|---|
| Auskunft | Art. 15 DSGVO | 1 Monat (verlängerbar auf 3) | Kostenlos |
| Berichtigung | Art. 16 DSGVO | 1 Monat | Kostenlos |
| Löschung | Art. 17 DSGVO | 1 Monat | Kostenlos |
| Einschränkung | Art. 18 DSGVO | 1 Monat | Kostenlos |
| Datenübertragbarkeit | Art. 20 DSGVO | 1 Monat | Kostenlos |
| Widerspruch | Art. 21 DSGVO | Sofortige Wirkung | Kostenlos |
| Beschwerde bei DSB | Art. 77 DSGVO | Bearbeitung 3-6 Monate | Kostenlos |
So stellen Sie einen DSGVO-Antrag in der Praxis
Ein DSGVO-Antrag ist an keine Form gebunden – Sie können ihn per E-Mail, Brief oder sogar mündlich stellen. Wir empfehlen jedoch die schriftliche Form aus Beweisgründen. Gehen Sie in fünf Schritten vor:
- Verantwortlichen identifizieren: Suchen Sie in der Datenschutzerklärung die Kontaktadresse des Datenschutzbeauftragten oder die allgemeine Datenschutz-E-Mail (oft datenschutz@unternehmen.at).
- Antrag formulieren: Geben Sie klar an, welches Recht Sie ausüben möchten (Auskunft, Löschung etc.) und identifizieren Sie sich eindeutig.
- Identitätsnachweis: Das Unternehmen darf Ihre Identität prüfen – aber nur so weit wie nötig. Ein Ausweis-Foto ist meist nicht erforderlich.
- Frist notieren: Ab Eingang läuft die Ein-Monats-Frist. Setzen Sie sich eine Erinnerung.
- Antwort prüfen: Ist die Antwort unvollständig oder ausbleibend, folgen Sie mit einer Erinnerung und ggf. einer Beschwerde bei der DSB.
Mustertext für einen Auskunftsantrag
„Sehr geehrte Damen und Herren,
hiermit mache ich gemäß Art. 15 DSGVO mein Recht auf Auskunft geltend. Bitte teilen Sie mir mit, welche personenbezogenen Daten Sie über mich verarbeiten, zu welchen Zwecken, auf welcher Rechtsgrundlage, wie lange die Speicherung erfolgt und an welche Empfänger die Daten weitergegeben werden. Ich bitte um Übermittlung einer Kopie der Daten innerhalb der gesetzlichen Frist von einem Monat.
Mit freundlichen Grüßen, [Ihr Name, Adresse, Geburtsdatum]"
Beschwerde bei der Datenschutzbehörde (DSB)
Reagiert ein Unternehmen nicht, unvollständig oder ablehnend, können Sie sich kostenlos bei der österreichischen Datenschutzbehörde beschweren. Die Beschwerde können Sie online, per Post oder per E-Mail einreichen.
Kontaktdaten der DSB
- Adresse: Barichgasse 40-42, 1030 Wien
- Telefon: +43 1 52 152-0
- E-Mail: dsb@dsb.gv.at
- Online-Formular: verfügbar auf dsb.gv.at
Was gehört in eine Beschwerde?
- Ihre vollständigen Kontaktdaten
- Name und Anschrift des beschuldigten Unternehmens
- Beschreibung des Sachverhalts (chronologisch)
- Kopien Ihres ursprünglichen Antrags und der (Nicht-)Antwort
- Konkreter Antrag (z. B. „Ich beantrage die Feststellung, dass mein Recht auf Auskunft verletzt wurde")
Besondere DSGVO-Themen in Österreich
Videoüberwachung
Private und gewerbliche Videoüberwachung unterliegt in Österreich strengen Regeln nach § 12 und § 13 DSG. Kameras müssen gekennzeichnet sein, dürfen keine öffentlichen Bereiche filmen und die Aufnahmen sind grundsätzlich nach 72 Stunden zu löschen. Als betroffene Person können Sie Auskunft verlangen und Aufnahmen einsehen.
Datenschutz am Arbeitsplatz
Ihr Arbeitgeber darf nur Daten verarbeiten, die für das Arbeitsverhältnis notwendig sind. Umfassende Kontrollmaßnahmen (Zeiterfassung mit Biometrie, GPS-Tracking von Dienstfahrzeugen, E-Mail-Überwachung) bedürfen einer Betriebsvereinbarung und sind ohne diese meist unzulässig.
Kinder und Jugendliche
In Österreich gilt die Einwilligungsfähigkeit für digitale Dienste ab dem 14. Lebensjahr (§ 4 Abs. 4 DSG) – niedriger als in Deutschland (16 Jahre). Jüngere Kinder benötigen die Zustimmung eines Erziehungsberechtigten. Wenn Sie den Standort Ihrer Kinder überwachen möchten, lesen Sie unseren Ratgeber „Standort Sicher mit der Familie Teilen".
DSGVO und Online-Tools: Was Sie beachten sollten
Viele kostenlose Online-Dienste finanzieren sich über Datensammlung – oft in Ländern außerhalb der EU. Nach dem Schrems-II-Urteil des EuGH ist die Übermittlung personenbezogener Daten in die USA nur unter strengen Voraussetzungen zulässig. Achten Sie deshalb bei der Auswahl von Tools auf:
- Serverstandort innerhalb der EU/EWR
- Transparente Datenschutzerklärung
- Möglichkeit zur Anonymisierung (kein Login-Zwang)
- Keine unnötige Weitergabe an Drittanbieter
Auch bei alltäglichen Werkzeugen wie URL-Kürzern lohnt sich ein Blick auf die Datenschutzpraxis. Dienste wie Lunyb setzen auf DSGVO-konforme Verarbeitung mit EU-Servern und minimaler Datenerhebung – im Gegensatz zu vielen US-basierten Alternativen. Einen detaillierten Vergleich finden Sie in unserem Artikel „Lunyb vs Bitly: Der große URL-Shortener-Vergleich 2026".
Sanktionen bei DSGVO-Verstößen in Österreich
Die DSB kann bei Verstößen empfindliche Strafen verhängen. In Österreich wurden bereits mehrere Millionenstrafen ausgesprochen – etwa gegen die Österreichische Post AG (18 Mio. Euro, später reduziert) wegen unzulässiger Parteiaffinitätsprofile. Auch kleinere Unternehmen wurden bereits mit fünf- bis sechsstelligen Bußgeldern belegt.
Typische Verstöße
- Fehlende oder mangelhafte Datenschutzerklärung
- Nicht-Beantwortung von Auskunftsersuchen
- Unrechtmäßige Newsletter-Werbung ohne Einwilligung
- Unzureichende technische Schutzmaßnahmen (Datenlecks)
- Cookie-Banner ohne echte Ablehnungsmöglichkeit
Weiterführende Schutzmaßnahmen für Ihre Privatsphäre
Die DSGVO gibt Ihnen zwar starke Rechte, doch aktiver Selbstschutz bleibt unerlässlich. Zu den empfehlenswerten Maßnahmen zählen:
- Verwendung datenschutzfreundlicher Browser (Firefox, Brave)
- Einsatz verschlüsselter DNS-Dienste (DoH/DoT)
- Regelmäßige Cookie-Löschung und Tracker-Blocker
- Zwei-Faktor-Authentifizierung bei allen wichtigen Konten
- Minimale Datenpreisgabe bei Online-Formularen
Ausführliche Tipps finden Sie in unserem umfassenden Guide „Online-Privatsphäre in Österreich schützen".
Fazit: Nutzen Sie Ihre Rechte aktiv
Die DSGVO ist eines der stärksten Datenschutzgesetze der Welt – doch sie wirkt nur, wenn Sie Ihre Rechte auch tatsächlich einfordern. Ein Auskunftsantrag ist in fünf Minuten geschrieben und kann Ihnen wertvolle Einblicke geben, welche Unternehmen ein umfangreiches Profil über Sie führen. Nutzen Sie diese Möglichkeit regelmäßig, insbesondere bei Datenhändlern, Bonitätsauskunfteien und großen Plattformen.
Sollten Ihre Rechte verletzt werden, zögern Sie nicht, sich an die Datenschutzbehörde zu wenden. Die Beschwerde ist kostenlos, unkompliziert und oft der einzige Weg, säumige Unternehmen zum Handeln zu bewegen.
Häufig gestellte Fragen (FAQ)
Wie lange darf ein Unternehmen für die Beantwortung meines DSGVO-Antrags brauchen?
Die gesetzliche Frist beträgt ein Monat ab Eingang des Antrags (Art. 12 Abs. 3 DSGVO). Bei besonders komplexen oder zahlreichen Anträgen kann die Frist um weitere zwei Monate verlängert werden – das Unternehmen muss Sie darüber jedoch innerhalb des ersten Monats informieren und die Verlängerung begründen.
Muss ich für eine DSGVO-Auskunft meinen Ausweis vorlegen?
Grundsätzlich nein. Das Unternehmen darf nur so viele Identitätsprüfungsdaten verlangen, wie zur Zuordnung tatsächlich nötig sind. Bei einem bestehenden Kundenkonto reicht meist die Anmeldung oder die Angabe der Kundennummer. Ein Ausweis-Scan ist nur in Ausnahmefällen zulässig – und selbst dann sollten Sie sensible Daten (wie die Ausweisnummer) unkenntlich machen.
Was kann ich tun, wenn ein Unternehmen nicht auf meinen Antrag reagiert?
Setzen Sie zunächst eine schriftliche Nachfrist von 14 Tagen. Reagiert das Unternehmen weiterhin nicht, reichen Sie eine kostenlose Beschwerde bei der österreichischen Datenschutzbehörde (dsb.gv.at) ein. Fügen Sie Kopien Ihres ursprünglichen Antrags, der Zustellnachweise und der Nachfrist bei.
Gilt die DSGVO auch für Unternehmen außerhalb der EU?
Ja, sofern diese Waren oder Dienstleistungen an EU-Bürgerinnen anbieten oder deren Verhalten beobachten (Marktortprinzip, Art. 3 DSGVO). Damit unterliegen auch US-Konzerne wie Google, Meta oder Amazon der DSGVO – und Sie können Ihre Rechte gegen diese Unternehmen genauso geltend machen wie gegen österreichische Firmen.
Kann ich Schadensersatz bei DSGVO-Verstößen fordern?
Ja, nach Art. 82 DSGVO haben Sie Anspruch auf Ersatz materieller und immaterieller Schäden. Der EuGH hat 2023 klargestellt, dass auch bloße Kontrollverluste oder emotionale Belastungen ersatzfähig sein können – allerdings müssen Sie den konkreten Schaden nachweisen. Klagen erfolgen vor den ordentlichen österreichischen Gerichten, nicht bei der DSB.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
EDÖB Beschwerde Einreichen: Der Komplette Leitfaden für die Schweiz 2026
Erfahren Sie, wie Sie eine Beschwerde beim EDÖB einreichen. Dieser umfassende Leitfaden erklärt Voraussetzungen, Ablauf, Fristen und Ihre Rechte nach dem revidierten Schweizer Datenschutzgesetz Schritt für Schritt.
Datenschutzgesetz Österreich Erklärt: Der Komplette Leitfaden 2026
Das österreichische Datenschutzgesetz (DSG) ergänzt die DSGVO auf nationaler Ebene und stellt Unternehmen vor zahlreiche Pflichten. Dieser Leitfaden erklärt Rechte, Pflichten, Bußgelder und praktische Umsetzung 2026.
DSGVO Einfach Erklärt 2026: Der Komplette Leitfaden für Unternehmen und Nutzer
Die DSGVO einfach erklärt: Dieser Leitfaden 2026 zeigt alle Rechte, Pflichten und Bußgelder verständlich auf – mit den wichtigsten Neuerungen durch AI Act und Data Act. Praxisnah für Unternehmen, Selbstständige und Privatpersonen.
KI-Gesetz der EU: Was Sich 2026 Ändert (Vollständiger Leitfaden)
Das KI-Gesetz der EU verändert grundlegend, wie KI-Systeme entwickelt und eingesetzt werden dürfen. Dieser Leitfaden erklärt Risikoklassen, Fristen, Pflichten und Bußgelder – und zeigt, was Unternehmen jetzt konkret tun sollten.