DSGVO in Österreich: Ihre Rechte im Überblick 2026
Die Datenschutz-Grundverordnung (DSGVO) gibt Ihnen als Bürgerin oder Bürger in Österreich weitreichende Rechte gegenüber Unternehmen, Behörden und Organisationen, die Ihre personenbezogenen Daten verarbeiten. Trotz der Einführung im Jahr 2018 wissen viele Betroffene noch immer nicht genau, welche Ansprüche ihnen tatsächlich zustehen und wie sie diese durchsetzen können. Dieser umfassende Leitfaden erklärt Ihnen klar und verständlich Ihre Rechte nach der DSGVO sowie dem österreichischen Datenschutzgesetz (DSG).
Was ist die DSGVO und wie gilt sie in Österreich?
Die DSGVO ist eine EU-weite Verordnung, die seit dem 25. Mai 2018 unmittelbar in allen Mitgliedstaaten gilt. In Österreich wird sie durch das nationale Datenschutzgesetz (DSG) ergänzt. Zuständige Aufsichtsbehörde ist die Österreichische Datenschutzbehörde (DSB) mit Sitz in Wien.
Die Verordnung schützt natürliche Personen bei der Verarbeitung personenbezogener Daten. Dazu zählen alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen: Name, Adresse, IP-Adresse, Gesundheitsdaten, Standortdaten, biometrische Merkmale und vieles mehr.
Wer muss die DSGVO einhalten?
Jede Organisation, die personenbezogene Daten von in der EU lebenden Personen verarbeitet, unterliegt der DSGVO – unabhängig davon, wo das Unternehmen seinen Sitz hat. Das gilt für:
- Österreichische und EU-Unternehmen jeder Grösse
- Behörden und öffentliche Stellen
- Vereine und gemeinnützige Organisationen
- Internationale Konzerne mit EU-Kunden (z. B. US-amerikanische Online-Dienste)
Die sieben zentralen Betroffenenrechte nach DSGVO
Die DSGVO räumt Ihnen sieben grundlegende Rechte ein, die in den Artikeln 15 bis 22 geregelt sind. Diese Rechte können Sie kostenlos und gegenüber jedem Verantwortlichen geltend machen.
1. Recht auf Auskunft (Art. 15 DSGVO)
Sie haben das Recht zu erfahren, ob und welche personenbezogenen Daten ein Unternehmen über Sie speichert. Auf Anfrage muss Ihnen der Verantwortliche eine kostenlose Kopie aller Daten zur Verfügung stellen, einschliesslich Informationen über:
- Verarbeitungszwecke
- Kategorien der verarbeiteten Daten
- Empfänger oder Kategorien von Empfängern
- Geplante Speicherdauer
- Herkunft der Daten (falls nicht bei Ihnen erhoben)
- Bestehen automatisierter Entscheidungsfindung
2. Recht auf Berichtigung (Art. 16 DSGVO)
Sind über Sie gespeicherte Daten unrichtig oder unvollständig, können Sie deren Korrektur verlangen. Das Unternehmen muss die Berichtigung unverzüglich vornehmen.
3. Recht auf Löschung – „Recht auf Vergessenwerden" (Art. 17 DSGVO)
Sie können die Löschung Ihrer Daten verlangen, wenn:
- Die Daten für den ursprünglichen Zweck nicht mehr nötig sind
- Sie Ihre Einwilligung widerrufen
- Sie Widerspruch gegen die Verarbeitung einlegen
- Die Daten unrechtmässig verarbeitet wurden
- Eine gesetzliche Löschpflicht besteht
Ausnahmen gelten u. a. bei gesetzlichen Aufbewahrungspflichten (z. B. steuerrechtliche Belege für 7 Jahre).
4. Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
Statt einer Löschung können Sie auch eine Einschränkung verlangen. Die Daten dürfen dann nur noch gespeichert, aber nicht weiterverarbeitet werden – etwa während der Prüfung eines Widerspruchs.
5. Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format (z. B. CSV, JSON) zu erhalten und an einen anderen Anbieter zu übermitteln. Praktisch relevant ist dies bei Anbieterwechseln, etwa bei sozialen Netzwerken, Cloud-Diensten oder E-Mail-Providern.
6. Widerspruchsrecht (Art. 21 DSGVO)
Gegen die Verarbeitung Ihrer Daten zu Direktwerbung können Sie jederzeit und ohne Begründung Widerspruch einlegen. Bei anderen Verarbeitungen müssen Sie Gründe nennen, die sich aus Ihrer besonderen Situation ergeben.
7. Recht bezüglich automatisierter Entscheidungen (Art. 22 DSGVO)
Sie haben das Recht, nicht ausschliesslich automatisierten Entscheidungen – einschliesslich Profiling – unterworfen zu werden, die rechtliche Wirkung entfalten. Das betrifft etwa Kreditscoring oder automatisierte Bewerbungsverfahren.
Überblick: Ihre Rechte in der Tabelle
| Recht | Artikel | Wann anwendbar? | Reaktionsfrist |
|---|---|---|---|
| Auskunft | Art. 15 | Jederzeit | 1 Monat |
| Berichtigung | Art. 16 | Bei falschen Daten | 1 Monat |
| Löschung | Art. 17 | Bei Wegfall des Zwecks | 1 Monat |
| Einschränkung | Art. 18 | Bei Prüfung/Streit | 1 Monat |
| Datenübertragbarkeit | Art. 20 | Bei Vertrag/Einwilligung | 1 Monat |
| Widerspruch | Art. 21 | Bei berechtigtem Interesse | 1 Monat |
| Beschwerde bei DSB | Art. 77 | Bei Verstössen | Keine feste Frist |
So setzen Sie Ihre Rechte praktisch durch
Die theoretischen Rechte nützen wenig, wenn Sie nicht wissen, wie Sie diese praktisch geltend machen. Hier eine schrittweise Anleitung:
Schritt 1: Den richtigen Ansprechpartner identifizieren
Jedes Unternehmen muss in der Datenschutzerklärung Kontaktdaten für Datenschutzanfragen angeben. Bei grösseren Unternehmen ist dies meist ein Datenschutzbeauftragter (DSB). Suchen Sie auf der Website nach „Datenschutzerklärung", „Impressum" oder „Privacy Policy".
Schritt 2: Anfrage schriftlich formulieren
Eine Datenschutzanfrage sollte folgende Elemente enthalten:
- Klare Bezugnahme auf die DSGVO und das konkrete Recht (z. B. „Auskunftsrecht nach Art. 15 DSGVO")
- Identifikation der betroffenen Person (Name, ggf. Kundennummer)
- Konkrete Forderung (Auskunft, Löschung, etc.)
- Angabe einer Frist (üblicherweise 30 Tage)
- Kontaktdaten für die Antwort
Schritt 3: Anfrage versenden und Frist überwachen
Senden Sie die Anfrage nachweisbar – per E-Mail mit Lesebestätigung oder eingeschriebenem Brief. Die DSGVO sieht eine Reaktionsfrist von einem Monat vor, die in Ausnahmefällen um zwei weitere Monate verlängert werden kann.
Schritt 4: Bei Nichtreaktion: Beschwerde einlegen
Reagiert das Unternehmen nicht oder unzureichend, können Sie eine Beschwerde bei der Österreichischen Datenschutzbehörde einreichen. Dies ist kostenlos und kann online über www.dsb.gv.at erfolgen.
Besonders geschützte Datenkategorien
Bestimmte Datenarten unterliegen einem erhöhten Schutz nach Art. 9 DSGVO. Deren Verarbeitung ist grundsätzlich verboten – mit engen Ausnahmen. Dazu gehören:
- Rassische und ethnische Herkunft
- Politische Meinungen
- Religiöse oder weltanschauliche Überzeugungen
- Gewerkschaftszugehörigkeit
- Genetische und biometrische Daten
- Gesundheitsdaten
- Daten zum Sexualleben oder zur sexuellen Orientierung
Wenn ein Unternehmen solche Daten ohne ausdrückliche Einwilligung oder andere Rechtsgrundlage verarbeitet, liegt ein schwerwiegender Verstoss vor.
Datenschutzverletzungen: Ihre Rechte bei Datenpannen
Kommt es zu einer Datenpanne mit einem hohen Risiko für Ihre Rechte, muss das Unternehmen Sie nach Art. 34 DSGVO unverzüglich informieren. Die Information muss klar verständlich sein und Folgendes enthalten:
- Art der Datenschutzverletzung
- Wahrscheinliche Folgen
- Ergriffene Massnahmen
- Kontaktdaten für Rückfragen
Wurden Zugangsdaten kompromittiert, sollten Sie umgehend Ihre Passwörter ändern. Eine Anleitung zur Prüfung kompromittierter Passwörter hilft Ihnen dabei, betroffene Konten zu identifizieren.
Bussgelder und Sanktionen bei DSGVO-Verstössen
Die DSGVO sieht empfindliche Strafen vor. Diese Sanktionen schrecken Unternehmen ab und stärken Ihre Position als Betroffene:
| Verstoss | Maximales Bussgeld |
|---|---|
| Leichte Verstösse (z. B. Dokumentationsmängel) | 10 Mio. € oder 2 % des Jahresumsatzes |
| Schwere Verstösse (z. B. unrechtmässige Verarbeitung) | 20 Mio. € oder 4 % des Jahresumsatzes |
| Schadenersatz für Betroffene | Materieller und immaterieller Schaden |
In Österreich wurden bereits zahlreiche Bussgelder verhängt – von kleinen Beträgen bei lokalen Unternehmen bis zu Millionenbussen bei internationalen Konzernen.
DSGVO im Alltag: Praktische Beispiele
Online-Shopping
Ein Online-Shop darf Ihre Kaufhistorie nicht unbegrenzt für Werbung nutzen. Sie können der Werbeverarbeitung jederzeit widersprechen, ohne Ihren Account zu verlieren.
Soziale Netzwerke
Plattformen wie Facebook oder Instagram müssen Ihnen auf Anfrage alle gespeicherten Daten zur Verfügung stellen – einschliesslich Schattenprofilen, die aus dem Verhalten von Kontakten generiert wurden.
Arbeitsverhältnis
Ihr Arbeitgeber unterliegt ebenfalls der DSGVO. Auch hier haben Sie Auskunfts- und Berichtigungsrechte bezüglich Ihrer Personalakte. Für österreichische KMU empfiehlt sich unser Praxisleitfaden zur Cybersicherheit 2026, der auch Datenschutzaspekte abdeckt.
Tracking und Cookies
Webseiten müssen vor dem Setzen nicht-essenzieller Cookies Ihre ausdrückliche Einwilligung einholen. Eine pauschale Zustimmung über vorausgewählte Checkboxen ist unzulässig. Tools wie URL-Kürzer können Tracking enthalten – seriöse Anbieter wie Lunyb setzen jedoch auf datenschutzfreundliche Kürzung ohne aufdringliches Profiling, was sie zu einer transparenten Alternative macht. Einen Überblick bietet unser Vergleich der URL-Kürzungsdienste 2026.
DSGVO vs. nationale Regelungen: Was gilt in Österreich zusätzlich?
Das österreichische Datenschutzgesetz (DSG) ergänzt die DSGVO um nationale Spezifika. Wichtige Unterschiede zu anderen Ländern:
- Datenschutz für juristische Personen: Österreich kannte ursprünglich auch Datenschutz für Unternehmen – dieser wurde 2018 weitgehend abgeschafft.
- Bildverarbeitung: Das DSG enthält besondere Regeln zur Videoüberwachung (§§ 12-13 DSG).
- Forschungsklauseln: Erleichterungen für wissenschaftliche und historische Forschung.
Für Unternehmen, die grenzüberschreitend tätig sind – etwa zwischen Österreich und der Schweiz – sind zusätzlich die Regeln des revidierten Schweizer Datenschutzgesetzes relevant. Mehr dazu in unserem Leitfaden zum revDSG 2026.
Beschwerde bei der Datenschutzbehörde: So funktioniert es
Die Österreichische Datenschutzbehörde (DSB) ist Ihre zentrale Anlaufstelle bei Verstössen. So gehen Sie vor:
- Vorab: Versuchen Sie zunächst, das Problem direkt mit dem Verantwortlichen zu klären.
- Beschwerde einreichen: Über das Online-Formular auf www.dsb.gv.at oder schriftlich per Post.
- Inhalt der Beschwerde: Sachverhalt, betroffener Verantwortlicher, verletztes Recht, beigefügte Beweise (E-Mails, Screenshots).
- Verfahren: Die DSB prüft den Fall, hört beide Seiten und entscheidet per Bescheid.
- Rechtsmittel: Gegen Bescheide der DSB ist Beschwerde beim Bundesverwaltungsgericht möglich.
Tipps zum aktiven Schutz Ihrer Daten
Neben der Durchsetzung Ihrer Rechte können Sie selbst viel tun, um Ihre Privatsphäre zu schützen:
- Datensparsamkeit: Geben Sie nur notwendige Daten an. Pflichtfelder sind oft mit * gekennzeichnet – alles andere ist freiwillig.
- Privatsphäre-Einstellungen prüfen: Kontrollieren Sie regelmässig Ihre Einstellungen bei Online-Diensten.
- Starke, einzigartige Passwörter: Nutzen Sie einen Passwortmanager und aktivieren Sie Zwei-Faktor-Authentifizierung.
- Datenschutzfreundliche Tools: Wählen Sie Browser und Suchmaschinen, die Tracking minimieren. Auch bei der URL-Verkürzung lohnt sich der Blick auf transparente Anbieter wie Lunyb.
- Regelmässige Checks: Prüfen Sie, ob Ihre Zugangsdaten in bekannten Datenlecks auftauchen.
FAQ – Häufige Fragen zur DSGVO in Österreich
Wie lange darf ein Unternehmen für eine Auskunftsanfrage brauchen?
Grundsätzlich muss das Unternehmen innerhalb eines Monats nach Eingang der Anfrage antworten. Bei komplexen Anfragen oder vielen Anfragen kann die Frist um zwei weitere Monate verlängert werden – dies muss Ihnen aber innerhalb des ersten Monats mit Begründung mitgeteilt werden.
Was kostet eine Beschwerde bei der österreichischen Datenschutzbehörde?
Die Beschwerde bei der DSB ist kostenlos. Sie zahlen keine Gebühren für die Prüfung. Lediglich bei mutwillig oder schikanös wiederholten Beschwerden kann die Behörde eine angemessene Gebühr verlangen oder die Bearbeitung verweigern.
Kann ich Schadenersatz bei einem DSGVO-Verstoss verlangen?
Ja, Art. 82 DSGVO gewährt einen Anspruch auf Ersatz materieller und immaterieller Schäden. In Österreich haben Gerichte bereits Schadenersatz für Persönlichkeitsverletzungen, Identitätsdiebstahl-Risiken und psychische Belastungen zugesprochen. Die Höhe variiert stark – von einigen hundert bis mehreren tausend Euro.
Gilt die DSGVO auch für ausländische Unternehmen wie Google oder Meta?
Ja. Sobald ein Unternehmen Dienstleistungen für Personen in der EU anbietet oder deren Verhalten beobachtet, gilt die DSGVO – unabhängig vom Firmensitz. Sie können Ihre Rechte auch gegenüber US-Konzernen oder asiatischen Plattformen geltend machen.
Was passiert, wenn ich meine Einwilligung widerrufe?
Der Widerruf einer Einwilligung ist jederzeit möglich und muss so einfach sein wie die Erteilung. Die bis zum Widerruf erfolgte Verarbeitung bleibt rechtmässig, ab dem Widerruf darf jedoch nicht weiterverarbeitet werden – es sei denn, eine andere Rechtsgrundlage (z. B. Vertrag, gesetzliche Pflicht) besteht.
Fazit: Werden Sie zum Souverän Ihrer Daten
Die DSGVO ist eines der stärksten Datenschutzinstrumente weltweit – aber sie wirkt nur, wenn Sie Ihre Rechte aktiv nutzen. Mit der Auskunfts-, Lösch- und Berichtigungsmöglichkeit haben Sie effektive Werkzeuge in der Hand, um zu erfahren, wer was über Sie weiss, und um Falschinformationen zu korrigieren oder unzulässige Verarbeitungen zu beenden.
Nutzen Sie diese Rechte regelmässig, dokumentieren Sie Ihre Anfragen und scheuen Sie sich nicht, im Konfliktfall die Datenschutzbehörde einzuschalten. Je mehr Bürgerinnen und Bürger ihre Rechte einfordern, desto sorgfältiger werden Unternehmen mit Ihren Daten umgehen.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
BfDI Beschwerde Einreichen: Schritt für Schritt Anleitung 2026
Erfahren Sie in dieser umfassenden Schritt-für-Schritt-Anleitung, wie Sie 2026 eine Beschwerde bei der BfDI einreichen. Mit Hinweisen zu Zuständigkeit, Formularen, Fristen und typischen Fehlern – damit Ihre Datenschutzbeschwerde erfolgreich bearbeitet wird.
Österreichische Datenschutzbehörde: Beschwerde Einreichen (Leitfaden 2026)
Erfahren Sie Schritt für Schritt, wie Sie eine wirksame Beschwerde bei der österreichischen Datenschutzbehörde einreichen. Mit Mustervorlage, Fristen und praxisnahen Tipps zur erfolgreichen Durchsetzung Ihrer DSGVO-Rechte im Jahr 2026.
Datenschutzgesetz Österreich Erklärt: Der Komplette Leitfaden 2026
Das österreichische Datenschutzgesetz (DSG) regelt zusammen mit der DSGVO den Schutz personenbezogener Daten. Dieser Leitfaden erklärt Rechte, Pflichten, Bußgelder und praktische Umsetzung für Privatpersonen und Unternehmen verständlich und kompakt.
KI-Gesetz der EU: Was Sich 2026 Ändert (AI Act Leitfaden)
Das EU-KI-Gesetz ist die weltweit erste umfassende Regulierung künstlicher Intelligenz. Erfahren Sie, welche Risikoklassen es gibt, welche Pflichten ab 2026 gelten und wie sich Unternehmen und Verbraucher vorbereiten können.