facebook-pixel
L
Lunyb

DSGVO in Österreich: Ihre Rechte als Betroffene 2026

L
Lunyb Sicherheitsteam
··8 min read

Die Datenschutz-Grundverordnung (DSGVO) verleiht Ihnen als Bürgerin oder Bürger in Österreich umfassende Rechte gegenüber Unternehmen, Behörden und Vereinen, die Ihre personenbezogenen Daten verarbeiten. Seit der Anwendbarkeit im Mai 2018 hat sich die Rechtsprechung deutlich weiterentwickelt – insbesondere durch Urteile des Europäischen Gerichtshofs und der österreichischen Datenschutzbehörde. Dieser Leitfaden erklärt Ihnen 2026 verständlich, welche Rechte Sie konkret haben, wie Sie diese durchsetzen und welche Fristen gelten.

Was ist die DSGVO und für wen gilt sie in Österreich?

Die DSGVO (Verordnung (EU) 2016/679) ist eine unmittelbar anwendbare EU-Verordnung, die den Schutz personenbezogener Daten in allen Mitgliedstaaten einheitlich regelt. In Österreich wird sie ergänzt durch das Datenschutzgesetz (DSG) in der Fassung BGBl. I Nr. 165/1999 idgF.

Die Verordnung gilt für jede natürliche oder juristische Person, Behörde oder Einrichtung, die personenbezogene Daten von Personen in der EU verarbeitet – unabhängig davon, ob der Verantwortliche selbst in der EU sitzt. Das bedeutet: Auch US-amerikanische Plattformen wie Meta, Google oder Microsoft müssen Ihre Rechte als österreichische Nutzerin oder Nutzer respektieren.

Personenbezogene Daten – was zählt dazu?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören:

  • Name, Adresse, Geburtsdatum, Telefonnummer
  • E-Mail-Adresse und IP-Adresse
  • Standortdaten und Online-Kennungen (Cookies, Geräte-IDs)
  • Gesundheitsdaten, biometrische Daten, genetische Daten
  • Bilder, Videoaufnahmen, Sprachaufzeichnungen
  • Kontodaten, Kaufhistorien, Bewerbungsunterlagen

Die acht Betroffenenrechte im Überblick

Die DSGVO definiert in den Artikeln 13 bis 22 acht zentrale Rechte für betroffene Personen. Diese Rechte können Sie jederzeit kostenlos gegenüber dem Verantwortlichen geltend machen.

RechtDSGVO-ArtikelFrist zur Beantwortung
InformationspflichtArt. 13, 14Sofort bei Erhebung
AuskunftsrechtArt. 151 Monat (verlängerbar)
BerichtigungArt. 161 Monat
Löschung („Recht auf Vergessenwerden")Art. 171 Monat
Einschränkung der VerarbeitungArt. 181 Monat
DatenübertragbarkeitArt. 201 Monat
WiderspruchArt. 21Unverzüglich
Keine automatisierte EntscheidungArt. 22Bei Anwendung relevant

Das Auskunftsrecht (Art. 15 DSGVO) – Ihr wichtigstes Werkzeug

Das Auskunftsrecht ist das mächtigste Instrument der DSGVO. Sie haben Anspruch darauf zu erfahren, ob ein Unternehmen Daten über Sie verarbeitet, und falls ja, welche.

Welche Informationen müssen Sie erhalten?

  1. Verarbeitungszwecke (Warum werden die Daten genutzt?)
  2. Kategorien der personenbezogenen Daten
  3. Empfänger oder Empfängerkategorien (an wen wurden Daten weitergegeben?)
  4. Geplante Speicherdauer oder Kriterien zur Festlegung
  5. Bestehen der weiteren Betroffenenrechte
  6. Beschwerderecht bei der Datenschutzbehörde
  7. Herkunft der Daten, falls nicht direkt bei Ihnen erhoben
  8. Bestehen automatisierter Entscheidungsfindung inklusive Profiling
  9. Kostenlose Kopie aller verarbeiteten Daten

Musterformulierung für einen Auskunftsantrag

„Sehr geehrte Damen und Herren,
gemäß Artikel 15 DSGVO ersuche ich um vollständige Auskunft über alle personenbezogenen Daten, die Sie zu meiner Person verarbeiten. Bitte übermitteln Sie mir auch eine Kopie dieser Daten gemäß Art. 15 Abs. 3 DSGVO. Die Beantwortung soll innerhalb der gesetzlichen Frist von einem Monat erfolgen.
Mit freundlichen Grüßen, [Name, Geburtsdatum, Adresse]"

Das Recht auf Löschung (Art. 17 DSGVO)

Das „Recht auf Vergessenwerden" verpflichtet Verantwortliche, Ihre Daten unter bestimmten Voraussetzungen zu löschen. Dieses Recht ist jedoch nicht absolut.

Wann besteht ein Löschungsanspruch?

  • Die Daten sind für den ursprünglichen Zweck nicht mehr erforderlich
  • Sie widerrufen Ihre Einwilligung und es gibt keine andere Rechtsgrundlage
  • Sie legen Widerspruch ein und es bestehen keine überwiegenden Gründe
  • Die Daten wurden unrechtmäßig verarbeitet
  • Eine gesetzliche Löschungspflicht besteht
  • Die Daten wurden bei einem Kind erhoben (Online-Dienste)

Wann darf gelöscht nicht werden?

Der Löschungsanspruch entfällt insbesondere, wenn gesetzliche Aufbewahrungspflichten bestehen – etwa nach BAO (sieben Jahre für Rechnungen) oder UGB. Auch zur Geltendmachung von Rechtsansprüchen oder bei überwiegendem öffentlichen Interesse (Archivzwecke, Wissenschaft) bleibt die Speicherung zulässig.

Widerspruchsrecht und Direktwerbung (Art. 21 DSGVO)

Sie können der Verarbeitung Ihrer Daten widersprechen, wenn diese auf berechtigtem Interesse (Art. 6 Abs. 1 lit. f DSGVO) basiert. Bei Direktwerbung ist der Widerspruch jederzeit und ohne Begründung möglich – dies gilt absolut und ohne Interessenabwägung.

Nach einem Werbe-Widerspruch dürfen Ihre Daten nicht mehr für Marketing-Zwecke verwendet werden. Das Unternehmen muss eine sogenannte „Robinson-Liste" führen, um sicherzustellen, dass Sie nicht erneut kontaktiert werden.

Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format (z. B. JSON, CSV, XML) zu erhalten und an einen anderen Anbieter zu übertragen. Dieses Recht gilt, wenn:

  • die Verarbeitung auf Einwilligung oder Vertrag beruht
  • die Verarbeitung automatisiert erfolgt

Praktische Anwendung: Sie können beispielsweise Ihre Spotify-Playlists, Google-Fotos oder Bank-Transaktionsdaten exportieren und zu einem Konkurrenten mitnehmen.

So setzen Sie Ihre Rechte konkret durch – 6-Schritte-Anleitung

  1. Verantwortlichen identifizieren: Prüfen Sie das Impressum oder die Datenschutzerklärung der Website oder des Dienstes.
  2. Antrag schriftlich formulieren: Nutzen Sie E-Mail oder Einschreiben. Geben Sie Art. 15, 16, 17 oder 21 DSGVO ausdrücklich an.
  3. Identität nachweisen: Bei Zweifeln darf der Verantwortliche eine Identitätsprüfung verlangen (z. B. Kopie des Ausweises – sensible Daten dürfen Sie schwärzen).
  4. Frist setzen: Die gesetzliche Frist beträgt einen Monat ab Eingang. Bei komplexen Anfragen kann sie um zwei Monate verlängert werden – mit Begründung.
  5. Antwort prüfen: Ist die Auskunft vollständig? Wurden alle Empfänger genannt? Wurde eine Kopie übermittelt?
  6. Beschwerde einreichen: Bei fehlender oder unvollständiger Reaktion können Sie sich an die Österreichische Datenschutzbehörde wenden.

Sonderregelungen in Österreich: Das DSG

Das österreichische Datenschutzgesetz ergänzt die DSGVO in einigen Bereichen. Besonders relevant:

Datenschutz für juristische Personen

Eine österreichische Besonderheit: § 1 DSG schützt auch juristische Personen (GmbH, AG, Vereine) in begrenztem Umfang vor Datenmissbrauch – im Gegensatz zur DSGVO, die nur natürliche Personen erfasst.

Bildaufnahmen (§§ 12-13 DSG)

Videoüberwachung an öffentlich zugänglichen Orten ist in Österreich speziell geregelt. Hinweisschilder sind verpflichtend, und Aufnahmen dürfen grundsätzlich nur 72 Stunden gespeichert werden – außer bei begründetem Bedarf.

Verarbeitung im Beschäftigungskontext

Mitarbeiter haben in Österreich besondere Schutzrechte. Die Überwachung am Arbeitsplatz unterliegt strengen Vorgaben des ArbVG und erfordert oft die Zustimmung des Betriebsrats.

Schadenersatz nach Art. 82 DSGVO

Bei einem Datenschutzverstoß haben Sie Anspruch auf materiellen und immateriellen Schadenersatz. Der Europäische Gerichtshof hat 2023 und 2024 mehrfach klargestellt, dass auch der bloße „Kontrollverlust" über Daten einen ersatzfähigen Schaden darstellen kann.

Typische Beispiele aus der österreichischen Rechtsprechung:

  • Unrechtmäßige Bonitätsabfragen: 800–2.500 €
  • Datenlecks mit veröffentlichten Klardaten: 500–5.000 €
  • Fehlende Auskunft trotz Antrag: 100–1.000 €
  • Profiling ohne Rechtsgrundlage: bis zu 4.000 €

Praktische Privatsphäre-Maßnahmen im Alltag

Neben den rechtlichen Möglichkeiten sollten Sie auch technisch handeln, um Ihre Daten zu schützen. Empfehlenswerte Maßnahmen:

  • Verschlüsseltes DNS (DoH/DoT) im Browser aktivieren
  • Tracking-Schutz in Firefox oder Brave nutzen
  • Cookie-Banner bewusst ablehnen, nicht nur „Akzeptieren" klicken
  • Sichere Passwortmanager verwenden (Bitwarden, KeePassXC)
  • Zwei-Faktor-Authentifizierung überall aktivieren
  • Beim Teilen von Links datenschutzfreundliche Dienste wie Lunyb nutzen, die keine umfangreichen Profile anlegen

Für Unternehmen empfehlen wir zusätzlich unseren Leitfaden zur Cybersicherheit für österreichische KMU, der die DSGVO-Anforderungen mit konkreten IT-Maßnahmen verknüpft.

Häufige Irrtümer rund um die DSGVO

„Ich muss bei jeder Anfrage einen Ausweis schicken"

Falsch. Der Verantwortliche darf eine Identitätsprüfung nur bei begründeten Zweifeln verlangen. Sensible Daten (z. B. Lichtbild, Sozialversicherungsnummer) dürfen Sie schwärzen.

„Auskunft kostet Geld"

Falsch. Die erste Auskunft ist immer kostenlos. Nur bei offensichtlich unbegründeten oder exzessiven Anträgen (z. B. mehrfach pro Monat) darf ein angemessenes Entgelt verlangt werden.

„Daten in der Cloud (USA) sind verloren"

Nicht ganz. Auch US-Anbieter müssen sich an die DSGVO halten, sofern sie Dienste in der EU anbieten. Seit dem EU-US Data Privacy Framework (2023) bestehen wieder rechtliche Grundlagen für Datenübermittlungen – wenn auch umstritten.

FAQ – Häufig gestellte Fragen zur DSGVO in Österreich

Wie lange darf ein Unternehmen für die Beantwortung meines DSGVO-Antrags brauchen?

Grundsätzlich einen Monat ab Eingang des Antrags. Bei besonders komplexen Anfragen oder hoher Anzahl von Anträgen kann die Frist um zwei Monate verlängert werden – das Unternehmen muss Sie jedoch innerhalb des ersten Monats darüber informieren und die Verlängerung begründen.

Was kostet eine Beschwerde bei der österreichischen Datenschutzbehörde?

Die Beschwerde bei der DSB ist kostenlos. Sie tragen kein Kostenrisiko, selbst wenn Ihre Beschwerde abgewiesen wird. Lediglich für eine anschließende Bescheidbeschwerde an das Bundesverwaltungsgericht fallen Eingabegebühren an (derzeit 30 €).

Gilt die DSGVO auch für rein private Aktivitäten?

Nein. Die DSGVO gilt nicht für rein persönliche oder familiäre Tätigkeiten (Haushaltsausnahme nach Art. 2 Abs. 2 lit. c DSGVO). Wenn Sie aber etwa Fotos auf öffentlichen Social-Media-Profilen teilen oder einen Blog betreiben, kann die DSGVO sehr wohl greifen.

Kann ich meine Rechte auch gegenüber Behörden geltend machen?

Ja. Die DSGVO gilt grundsätzlich auch für österreichische Behörden und Gemeinden. Es gibt jedoch Ausnahmen, etwa für Strafverfolgung (Richtlinie 2016/680) oder nationale Sicherheit. Bei Konflikten ist ebenfalls die Datenschutzbehörde zuständig.

Was passiert, wenn ein Unternehmen meine Löschungsanfrage einfach ignoriert?

Sie haben drei Möglichkeiten: Erstens können Sie eine Erinnerung mit Fristsetzung schicken. Zweitens reichen Sie eine Beschwerde bei der Datenschutzbehörde ein. Drittens steht Ihnen der Zivilrechtsweg offen – einschließlich Schadenersatzklage nach Art. 82 DSGVO. Bei systematischen Verstößen drohen den Unternehmen Bußgelder bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes.

Fazit: Nutzen Sie Ihre Rechte aktiv

Die DSGVO bietet Ihnen in Österreich ein außergewöhnlich starkes Schutzniveau – aber nur, wenn Sie Ihre Rechte auch tatsächlich ausüben. Eine einfache E-Mail mit einem Auskunftsantrag genügt oft, um Klarheit über die Datenverarbeitung zu erlangen. Bei Verstößen stehen Ihnen wirksame Mechanismen zur Verfügung, von der kostenlosen Beschwerde bis hin zum Schadenersatzanspruch.

Wenn Sie als Unternehmen in Österreich tätig sind, empfehlen wir Ihnen, sich frühzeitig mit den Compliance-Anforderungen auseinanderzusetzen. Auch ein Blick über die Grenze in unseren Schweizer revDSG-Leitfaden kann lehrreich sein. Für den privaten Bereich finden Sie in unserer Anleitung zum sicheren Standort-Teilen weitere praktische Hinweise.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles

Österreichische Datenschutzbehörde: Beschwerde Einreichen 2026

Die Österreichische Datenschutzbehörde (DSB) ist Ihre zentrale Anlaufstelle bei Datenschutzverletzungen. Erfahren Sie Schritt für Schritt, wie Sie eine wirksame Beschwerde nach DSGVO einreichen, welche Fristen gelten und welche Ergebnisse Sie realistisch erwarten können.

8 min

KI-Gesetz der EU: Was Sich 2026 Ändert – Der Komplette Leitfaden

Das EU-KI-Gesetz verändert grundlegend den Einsatz Künstlicher Intelligenz in Europa. Erfahren Sie, welche Risikoklassen gelten, welche Pflichten Unternehmen erfüllen müssen und welche Rechte Bürger künftig haben. Ein umfassender Leitfaden zum AI Act mit allen Fristen bis 2027.

8 min

Datenschutzgesetz Österreich Erklärt: Der Vollständige Leitfaden 2026

Das österreichische Datenschutzgesetz regelt gemeinsam mit der DSGVO den Umgang mit personenbezogenen Daten. Erfahren Sie alles über Ihre Rechte, die Pflichten von Unternehmen und die Sanktionen bei Verstößen – mit praktischen Beispielen und Tipps.

8 min

DSG: Das Schweizer Datenschutzgesetz einfach erklärt (2026)

Das revidierte Schweizer Datenschutzgesetz (DSG) gilt seit September 2023 und bringt zahlreiche neue Pflichten für Unternehmen. Dieser Leitfaden erklärt verständlich die Grundsätze, Unterschiede zur DSGVO, Bussen und die praktische Umsetzung im Unternehmen.

9 min