DSGVO in Österreich: Ihre Rechte als Betroffener im Überblick 2026
Seit dem 25. Mai 2018 gilt in Österreich die Datenschutz-Grundverordnung (DSGVO), ergänzt durch das österreichische Datenschutzgesetz (DSG). Diese Regelungen geben Ihnen als Betroffener weitreichende Rechte gegenüber Unternehmen, Behörden und Vereinen, die Ihre personenbezogenen Daten verarbeiten. Doch viele Österreicher kennen ihre konkreten Möglichkeiten nicht – und verschenken damit wirksame Werkzeuge zum Schutz ihrer Privatsphäre.
Dieser Leitfaden erklärt Ihnen verständlich und praxisnah, welche Rechte Sie haben, wie Sie diese durchsetzen und welche Rolle die österreichische Datenschutzbehörde (DSB) dabei spielt.
Was ist die DSGVO und wo gilt sie in Österreich?
Die Datenschutz-Grundverordnung ist eine EU-weite Verordnung, die den Schutz personenbezogener Daten harmonisiert. In Österreich wird sie durch das Datenschutzgesetz (DSG) ergänzt, das nationale Spezialregelungen enthält – etwa zum Bildnisschutz, zu wissenschaftlicher Forschung und zur Aufsichtsbehörde.
Die DSGVO gilt für jede automatisierte Verarbeitung personenbezogener Daten in der EU sowie für nicht-automatisierte Verarbeitungen in Dateisystemen. Erfasst sind also nicht nur Online-Dienste, sondern auch Aktenordner bei Ihrem Arzt, Mitgliederlisten von Vereinen oder Personalakten Ihres Arbeitgebers.
Was sind personenbezogene Daten?
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören:
- Name, Adresse, Geburtsdatum, Sozialversicherungsnummer
- E-Mail-Adresse, IP-Adresse, Cookie-IDs
- Standortdaten, Bewegungsprofile
- Gesundheitsdaten, biometrische Daten, Fotos
- Bonitätsbewertungen, Kontoinformationen, Kaufverhalten
Besonders sensible Daten – etwa zu Gesundheit, Religion, sexueller Orientierung oder politischer Meinung – genießen einen verstärkten Schutz nach Art. 9 DSGVO.
Die acht zentralen Betroffenenrechte nach DSGVO
Die DSGVO räumt Ihnen acht Kernrechte ein. Diese können Sie kostenlos und formlos gegenüber jedem Verantwortlichen geltend machen, der Ihre Daten verarbeitet.
1. Recht auf Information (Art. 13 & 14 DSGVO)
Bereits bei der Datenerhebung muss Sie der Verantwortliche transparent informieren: Wer verarbeitet Ihre Daten? Zu welchem Zweck? Auf welcher Rechtsgrundlage? Wie lange werden sie gespeichert? An wen werden sie weitergegeben? Diese Information erfolgt typischerweise über die Datenschutzerklärung.
2. Recht auf Auskunft (Art. 15 DSGVO)
Sie können von jedem Unternehmen verlangen, dass es Ihnen mitteilt, welche Daten über Sie gespeichert sind. Die Auskunft umfasst:
- Verarbeitungszwecke
- Kategorien der verarbeiteten Daten
- Empfänger oder Empfängerkategorien
- geplante Speicherdauer
- Herkunft der Daten (falls nicht bei Ihnen erhoben)
- Bestehen automatisierter Entscheidungsfindung
Auf Wunsch erhalten Sie eine kostenlose Kopie aller über Sie verarbeiteten Daten. Die Antwortfrist beträgt einen Monat, in komplexen Fällen verlängerbar auf drei Monate.
3. Recht auf Berichtigung (Art. 16 DSGVO)
Sind Ihre Daten unrichtig oder unvollständig, müssen sie auf Ihr Verlangen unverzüglich korrigiert werden. Das ist besonders relevant bei Bonitätsauskunfteien, Versicherungen und Behörden.
4. Recht auf Löschung – „Recht auf Vergessenwerden" (Art. 17 DSGVO)
Sie können die Löschung Ihrer Daten verlangen, wenn:
- der Verarbeitungszweck entfallen ist
- Sie Ihre Einwilligung widerrufen
- die Verarbeitung unrechtmäßig war
- eine gesetzliche Löschpflicht besteht
- Sie erfolgreich Widerspruch eingelegt haben
Ausnahmen gelten bei gesetzlichen Aufbewahrungspflichten (z.B. siebenjährige steuerrechtliche Pflichten in Österreich) oder zur Verteidigung von Rechtsansprüchen.
5. Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
Statt einer Löschung können Sie auch eine „Sperrung" verlangen. Die Daten bleiben gespeichert, dürfen aber nicht weiter verwendet werden. Dies ist sinnvoll, solange die Richtigkeit Ihrer Daten geprüft wird oder Sie Daten zur Beweisführung benötigen.
6. Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Sie haben Anspruch darauf, Ihre Daten in einem strukturierten, gängigen, maschinenlesbaren Format (z.B. CSV, JSON) zu erhalten – und an einen anderen Anbieter übertragen zu lassen. Praktisch relevant ist das beim Wechsel von Streamingdiensten, sozialen Netzwerken oder Cloud-Anbietern.
7. Widerspruchsrecht (Art. 21 DSGVO)
Gegen Verarbeitungen auf Basis berechtigter Interessen können Sie aus persönlichen Gründen Widerspruch einlegen. Bei Direktwerbung gilt ein absolutes Widerspruchsrecht – ein simples „Bitte keine Werbung mehr" reicht aus, und das Unternehmen muss diese Verarbeitung sofort einstellen.
8. Recht auf menschliche Entscheidung (Art. 22 DSGVO)
Werden Sie ausschließlich aufgrund automatisierter Verfahren beurteilt – etwa bei Kreditscoring oder Bewerbungsfiltern – haben Sie Anspruch auf menschliche Überprüfung. Sie dürfen Ihren Standpunkt darlegen und die Entscheidung anfechten.
So setzen Sie Ihre Rechte praktisch durch
Die Geltendmachung Ihrer DSGVO-Rechte ist unkompliziert. Folgen Sie dieser Schritt-für-Schritt-Anleitung:
- Datenschutzkontakt finden: Suchen Sie in der Datenschutzerklärung des Unternehmens nach „Datenschutzbeauftragter" oder einer dedizierten E-Mail-Adresse (oft datenschutz@firma.at).
- Antrag formulieren: Schreiben Sie eine klare E-Mail oder einen Brief mit Ihrem konkreten Anliegen (z.B. „Hiermit beantrage ich Auskunft nach Art. 15 DSGVO").
- Identität nachweisen: Das Unternehmen darf zur Verifikation Ihrer Identität Belege verlangen – aber nur in angemessenem Umfang.
- Frist beachten: Innerhalb eines Monats muss eine Antwort erfolgen. Setzen Sie bei Verzug eine Nachfrist von 14 Tagen.
- Beschwerde einreichen: Bleibt die Antwort aus oder ist sie unzureichend, wenden Sie sich an die Datenschutzbehörde.
Mustertext für Auskunftsbegehren
„Sehr geehrte Damen und Herren, hiermit beantrage ich gemäß Art. 15 DSGVO Auskunft über sämtliche personenbezogene Daten, die Sie über mich verarbeiten. Bitte übermitteln Sie mir auch eine Kopie dieser Daten gemäß Art. 15 Abs. 3 DSGVO. Ich bitte um Antwort innerhalb der Monatsfrist. Mit freundlichen Grüßen, [Name, Adresse, Geburtsdatum]"
Die österreichische Datenschutzbehörde (DSB)
Die Datenschutzbehörde mit Sitz in Wien (Barichgasse 40-42, 1030 Wien) ist die zentrale Aufsichtsbehörde Österreichs. Sie überwacht die Einhaltung der DSGVO, behandelt Beschwerden und kann Bußgelder verhängen.
Wann sollten Sie sich an die DSB wenden?
- Ein Unternehmen reagiert nicht auf Ihren Auskunftsantrag
- Ihre Daten wurden ohne Rechtsgrundlage verarbeitet
- Sie wurden trotz Widerspruchs weiter mit Werbung kontaktiert
- Ein Datenleck wurde Ihnen verschwiegen
- Eine Videoüberwachung erfasst rechtswidrig öffentlichen Raum
Die Beschwerde ist kostenlos und formfrei online über das Portal der DSB möglich. Eine ausführliche Anleitung, was bei einem Datenleck zu tun ist, finden Sie in unserem Notfall-Leitfaden für Betroffene.
Bußgelder und Sanktionen in Österreich
Die DSGVO sieht empfindliche Strafen für Verstöße vor. In Österreich wurden seit 2018 mehrere bemerkenswerte Bußgelder verhängt:
| Verstoßart | Maximales Bußgeld | Beispielfälle Österreich |
|---|---|---|
| Leichte Verstöße (Art. 83 Abs. 4) | bis 10 Mio. € oder 2% Jahresumsatz | Mangelhafte Datenschutzerklärung |
| Schwere Verstöße (Art. 83 Abs. 5) | bis 20 Mio. € oder 4% Jahresumsatz | Unrechtmäßige Datenweitergabe, fehlende Rechtsgrundlage |
| Österreichische Post (2019) | 18 Mio. € (später aufgehoben) | Profilbildung politischer Affinitäten |
| Großbank (2020) | 2 Mio. € | Verletzung der Auskunftspflicht |
Spezielle Konstellationen in Österreich
Datenschutz am Arbeitsplatz
Arbeitgeber dürfen Mitarbeiterdaten nur im Rahmen des Arbeitsverhältnisses verarbeiten. Heimliche Mitarbeiterüberwachung, unzulässige Kameras am Arbeitsplatz oder die ungefragte Veröffentlichung von Fotos sind unzulässig. Der Betriebsrat hat Mitspracherechte bei der Einführung von Kontrollsystemen (§ 96 ArbVG).
Bonität und Kreditschutzverbände
KSV1870 und CRIF speichern Ihre Bonitätsdaten. Sie haben jährlich Anspruch auf eine kostenlose Selbstauskunft. Falsche Einträge müssen umgehend korrigiert werden – das kann erhebliche Auswirkungen auf Kreditvergaben haben.
Videoüberwachung im öffentlichen Raum
Privatpersonen dürfen ihren eigenen Grund überwachen, aber niemals öffentliche Wege oder Nachbargrundstücke. Verstöße kann die DSB ahnden. Das DSG enthält in §§ 12-13 spezifische Regelungen zur Bildverarbeitung.
Cookies und Tracking auf Webseiten
Seit dem Schrems-II-Urteil und dem österreichischen DSB-Bescheid zu Google Analytics (Dezember 2021) ist die Übermittlung von Daten in die USA stark eingeschränkt. Webseitenbetreiber müssen aktive Einwilligungen einholen – stillschweigende Zustimmung reicht nicht.
Praktischer Selbstschutz im Alltag
Neben formalen Rechten können Sie aktiv Datensparsamkeit praktizieren. Drei wirksame Maßnahmen:
- VPN nutzen: Verschleiern Sie Ihre IP-Adresse und schützen Sie sich in öffentlichen WLANs. Welche Lösung passt, erfahren Sie in unserem VPN-Vergleich Kostenlos vs. Bezahlt.
- Tracking-Links vermeiden: Geteilte Links enthalten oft umfangreiche Tracking-Parameter. Mit datenschutzfreundlichen URL-Verkürzern wie Lunyb entfernen Sie Tracking-Parameter automatisch und schützen so die Privatsphäre Ihrer Empfänger.
- Datenminimalismus: Geben Sie nur die wirklich erforderlichen Daten an. Pflichtfelder sind oft enger zu fassen als suggeriert.
Für Unternehmer in Österreich empfehlen wir zusätzlich unseren Leitfaden zur Cybersicherheit für österreichische KMU. Wer mit Schweizer Partnern arbeitet, findet im Datenschutz-Leitfaden für Schweizer Unternehmen wertvolle Informationen zum revDSG.
Häufige Fehlannahmen über die DSGVO
Rund um die DSGVO kursieren zahlreiche Mythen. Diese drei sollten Sie kennen:
- Mythos 1: „Die DSGVO verbietet Klassenfotos." Falsch – mit Einwilligung der Eltern bleibt das problemlos möglich.
- Mythos 2: „Visitenkarten dürfen nicht mehr gespeichert werden." Falsch – berechtigtes Interesse und Geschäftskontaktpflege rechtfertigen die Verarbeitung.
- Mythos 3: „Vereine sind ausgenommen." Falsch – auch Vereine müssen die DSGVO einhalten, insbesondere bei Mitgliederlisten und Newsletter-Versand.
FAQ: Häufige Fragen zur DSGVO in Österreich
Wie lange darf ein Unternehmen mit der Auskunft warten?
Grundsätzlich einen Monat ab Antragseingang. Bei besonders komplexen oder zahlreichen Anfragen kann sich die Frist um zwei weitere Monate verlängern, wobei das Unternehmen Sie darüber innerhalb des ersten Monats informieren muss.
Kostet eine Beschwerde bei der österreichischen Datenschutzbehörde Geld?
Nein. Die Beschwerde bei der DSB ist kostenfrei. Das Verfahren dauert je nach Komplexität mehrere Monate bis über ein Jahr. Sie können online, schriftlich oder persönlich Beschwerde einreichen.
Kann ich Schadenersatz fordern, wenn meine Rechte verletzt wurden?
Ja, Art. 82 DSGVO sieht einen Anspruch auf Ersatz materiellen und immateriellen Schadens vor. Österreichische Gerichte haben mittlerweile Schmerzensgelder zwischen 100 und mehreren tausend Euro zugesprochen – etwa bei unrechtmäßigem Profiling, Datenlecks oder unzulässigem Tracking.
Gilt die DSGVO auch für US-Konzerne wie Google oder Meta?
Ja, sofern sie Dienste für EU-Bürger anbieten oder deren Verhalten beobachten (Art. 3 DSGVO). Sie können Ihre Rechte direkt bei den EU-Niederlassungen (Google Ireland, Meta Ireland) geltend machen – Beschwerden gehen meist an die irische Datenschutzbehörde, die DSB kann jedoch unterstützen.
Was ist der Unterschied zwischen DSGVO und österreichischem DSG?
Die DSGVO ist EU-weit unmittelbar geltendes Recht. Das österreichische DSG ergänzt sie an den Stellen, wo die DSGVO Spielraum für nationale Regelungen lässt – etwa bei Bildverarbeitung, Forschung, Strafverfolgung und der Organisation der Aufsichtsbehörde.
Fazit: Nutzen Sie Ihre Rechte aktiv
Die DSGVO ist eines der stärksten Datenschutzgesetze weltweit – aber nur, wenn Bürger ihre Rechte auch tatsächlich einfordern. Mit einem einfachen Auskunftsantrag erfahren Sie, was Unternehmen über Sie wissen. Mit einem Löschungsantrag stoppen Sie unerwünschte Verarbeitungen. Und mit einer Beschwerde bei der DSB sorgen Sie dafür, dass auch andere Betroffene besser geschützt werden.
Datenschutz ist kein abstraktes Konzept, sondern ein Bürgerrecht – machen Sie aktiv Gebrauch davon.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
KI-Gesetz der EU: Was Sich 2026 für Unternehmen und Bürger Ändert
Das KI-Gesetz der EU verändert ab 2025 fundamental, wie Unternehmen Künstliche Intelligenz entwickeln und einsetzen dürfen. Wir erklären die vier Risikoklassen, den Zeitplan, drohende Bußgelder bis 35 Mio. € und welche Pflichten konkret auf Sie zukommen.
EDÖB: So Reichen Sie eine Beschwerde Ein - Anleitung 2026
Sie möchten eine Beschwerde beim Eidgenössischen Datenschutzbeauftragten (EDÖB) einreichen? Dieser umfassende Leitfaden erklärt Schritt für Schritt, wann und wie Sie sich beim EDÖB beschweren können. Mit praktischen Tipps und allen wichtigen Kontaktdaten für 2026.
Datenschutzgesetz Österreich Erklärt: Der Komplette Leitfaden 2026
Das österreichische Datenschutzgesetz (DSG) ergänzt die DSGVO und regelt den Umgang mit personenbezogenen Daten in Österreich. Dieser umfassende Leitfaden erklärt Ihre Rechte, die Pflichten von Unternehmen sowie die wichtigsten Bestimmungen verständlich und praxisnah.
Österreichische Datenschutzbehörde: Beschwerde Einreichen - Schritt-für-Schritt Anleitung 2026
Wenn Ihre Datenschutzrechte verletzt wurden, können Sie bei der Österreichischen Datenschutzbehörde (DSB) eine Beschwerde einreichen. Dieser Leitfaden erklärt Ihnen Schritt für Schritt, wie Sie vorgehen, welche Fristen gelten und welche Erfolgsaussichten bestehen.