Fragen & Antworten (FAQs)

Aus den „Informationspflichten“ gemäß Art. 13 und 14 DSGVO, die die:den Verantwortliche:n treffen, ist nach ständiger Spruchpraxis der Datenschutzbehörde ein individuelles Recht auf Information einer betroffenen Person ableitbar.

Hierbei handelt es sich – im Gegensatz etwa zum Recht auf Auskunft – um eine „Bringschuld“ der:des Verantwortlichen und sind diese Informationen schon vor einer Datenverarbeitung bereitzustellen.

Es handelt es sich beim Recht auf Information dementsprechend um kein antragsbedürftiges Recht.

Welche Information eine:ein Verantwortliche:r einer betroffenen Person zur Verfügung zu stellen hat, hängt davon ab, ob die personenbezogenen Daten bei der betroffenen Person selbst (Art. 13 DSGVO) oder nicht direkt bei der betroffenen Person (Art. 14 DSGVO) erhoben wurden.

Sollte Ihnen eine:ein Verantwortliche:r entgegen seiner Verpflichtung die Informationen entsprechend Art. 13 oder 14 DSGVO nicht oder unzureichend zur Verfügung stellen, so können Sie eine Beschwerde wegen Verletzung Ihres Rechts auf Information bei der Datenschutzbehörde einbringen.

Mit dem Recht auf Auskunft können Sie sich ein Bild darüber machen, ob eine:ein Verantwortliche:r Ihre personenbezogenen Daten verarbeitet.

Die:Der Verantwortliche hat die über eine betroffene Person gespeicherten personenbezogenen Daten sowie alle in Art. 15 Abs. 1 lit. a bis h gelisteten Informationen (wie etwa Verarbeitungszwecke, Datenempfänger, Speicherdauer) zur Verfügung zu stellen.

Werden keine personenbezogenen Daten verarbeitet, so ist von vom der:dem Verantwortlichen eine sogenannte Negativauskunft zu erteilen.

Beim Recht auf Auskunft handelt es sich um ein antragsbedürftiges Recht. Um dieses Recht auszuüben, müssen Sie als betroffene Person einen Antrag an die:den Verantwortliche:n richten. Der Antrag muss nicht begründet werden. Die Datenschutzbehörde bietet dazu ein unverbindliches Formular an. Die:Der Verantwortliche muss auf diesen Antrag innerhalb eines Monats reagieren. In Ausnahmefällen kann diese Frist auf höchstens drei Monate verlängert werden.

Wenn eine:ein Verantwortliche:r begründete Zweifel an der Identität der Person, die den Antrag stellt, hat, so kann sie:er zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.

Die Pflicht zur Auskunftserteilung trifft die:den Verantwortliche:n, also die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Zur Beauskunftung von Kopien gemäß Art. 15 Abs. 3 DSGVO stellte der EuGH in seinem Urteil vom 4. Mai 2023 (C-487/21) klar, dass das Recht, von der:dem für die Verarbeitung Verantwortlichen eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zu erhalten, bedeutet, dass der betroffenen Person eine originalgetreue und verständliche Reproduktion aller dieser Daten ausgefolgt wird. Dieses Recht setzt das Recht voraus, eine Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken, die u. a. diese Daten enthalten, zu erlangen, wenn die Zurverfügungstellung einer solchen Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung der ihr durch diese Verordnung verliehenen Rechte zu ermöglichen, wobei insoweit die Rechte und Freiheiten anderer zu berücksichtigen sind.

Betroffene Personen haben das Recht, von der:dem Verantwortlichen die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Mit diesem Recht kann zudem eine Vervollständigung eines unvollständigen Datensatzes verlangt werden.

Beim Recht auf Berichtigung handelt es sich um ein antragsbedürftiges Recht. Um dieses Recht auszuüben, müssen Sie als betroffene Person einen Antrag an die:den Verantwortliche:n richten. Die Datenschutzbehörde bietet dazu ein unverbindliches Formular. Die:Der Verantwortliche muss auf diesen Antrag innerhalb eines Monats reagieren. In Ausnahmefällen kann diese Frist verlängert werden.

Wenn ein:e Verantwortliche:r begründete Zweifel an der Identität der Person, die den Antrag stellt, hat, so kann er zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.

Praxistipp:
Bitte verlangen Sie nicht Auskunft und Berichtigung gleichzeitig! Die:Der Verantwortliche könnte eine unzureichende Auskunft erteilen und dann die Daten korrigieren. Eine nachfolgende Kontrolle der Auskunft durch die Datenschutzbehörde ist dann nur noch schwer möglich.

Dieses in der DSGVO auch als „Recht auf Vergessenwerden“ bezeichnete Recht verleiht einer betroffenen Person das Recht, von der:dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten gelöscht werden, sofern einer der in Art. 17 Abs. 1 lit. a bis f DSGVO vorgesehenen Gründe vorliegt.

Zu diesen Gründen zählen:

1. Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.


2. Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.


3. Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein.


4. Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.


5. Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem die:der Verantwortliche unterliegt.


6. Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.

Allerdings finden sich Einschränkungen des Rechts auf Löschung in Art. 17 Abs. 3 DSGVO. Das Recht auf Löschung besteht beispielsweise nicht, wenn die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Um das Recht aus Löschung auszuüben, können Sie als betroffene Person zunächst einen Antrag auf Löschung an die:den Verantwortliche:n richten. Die Datenschutzbehörde bietet dazu ein unverbindliches Formular. Die:Der Verantwortliche hat auf einen solchen Antrag innerhalb eines Monats zu reagieren. In Ausnahmefällen kann diese Frist verlängert werden.

Wenn eine:ein Verantwortliche:r begründete Zweifel an der Identität der Person, die den Antrag stellt, hat, so kann er zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.

Praxistipp
Bitte verlangen Sie nicht Auskunft und Löschung gleichzeitig! Die:Der Verantwortliche könnte eine unzureichende Auskunft erteilen und dann die Daten löschen. Eine nachfolgende Kontrolle der Auskunft durch die Datenschutzbehörde ist dann nur noch schwer möglich.

Dieses Recht dient dazu, den Gebrauch von Daten einzuschränken, ohne sie zu löschen. Die Einschränkung der Verarbeitung kann parallel zum Recht auf Berichtigung und zum Recht auf Widerspruch verlangt werden.

Wenn Sie eine Verarbeitung für unrechtmäßig halten, aber die Löschung ablehnen, können Sie Einschränkung der Verarbeitung beantragen (Art. 18 Abs. 1 lit. b DSGVO).

Beim Recht auf Einschränkung der Verarbeitung handelt es sich um ein antragsbedürftiges Recht. Um dieses Recht auszuüben, müssen Sie als betroffene Person einen Antrag an die:den Verantwortliche:n richten. Die unverbindlichen Formulare der Datenschutzbehörde für das Recht auf Berichtigung und auf Widerspruch enthalten eine Option dazu. Weiters gibt es ein unverbindliches Formular nur für das Recht auf Einschränkung der Verarbeitung. Die:Der Verantwortliche muss auf den Antrag innerhalb eines Monats reagieren. In Ausnahmefällen kann diese Frist verlängert werden.

Wenn eine:ein Verantwortliche:r begründete Zweifel an der Identität der Person, die den Antrag stellt, hat, so kann er zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.

Wenn eine:ein Verantwortliche:r begründete Zweifel an der Identität der Person, die den Antrag stellt, hat, so kann er zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.

Das Recht auf Datenübertragbarkeit gewährt das Recht, Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und diese Daten einer:einem anderen Verantwortlichen zur Verarbeitung zu übermitteln. Das Recht auf Datenübertragbarkeit unterscheidet sich vom Recht auf Auskunft dadurch, dass die Betonung auf der Übertragbarkeit liegt.

Dieses Recht besteht nur, wenn die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht und die Verarbeitung mittels automatisierter Verfahren erfolgt. Es kann somit etwa nicht gegenüber einer Behörde geltend gemacht werden.

Beim Recht auf Datenübertragbarkeit handelt es sich um ein antragsbedürftiges Recht. Um dieses Recht auszuüben, müssen Sie als betroffene Person einen Antrag an die:den Verantwortliche:n richten. Die Datenschutzbehörde bietet dazu ein unverbindliches Formular. Die:Der Verantwortliche muss auf diesen Antrag innerhalb eines Monats reagieren. In Ausnahmefällen kann diese Frist verlängert werden.

Betroffene Personen haben gemäß Art. 21 Abs. 1 DSGVO das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten Widerspruch einzulegen, sofern die personenbezogenen Daten zur Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt verarbeitet werden (Art. 6 Absatz 1 Buchstabe e DSGVO) oder die Verarbeitung zur Wahrung der berechtigten Interessen der:des Verantwortlichen oder eines Dritten erforderlich ist (Art. 6 Abs. 1 lit. f DSGVO).

Hervorzuheben ist, dass die betroffene Person besondere persönliche Gründe nachweisen muss, warum die Verarbeitung unzulässig ist.

Weiters gibt es ein absolutes Recht auf Widerspruch nach Art. 21 Abs. 2 DSGVO. Mit diesem kann eine betroffene Person Datenverarbeitungen zum Zwecke der Direktwerbung untersagen. Hierfür sind keine weiteren Voraussetzungen erforderlich und muss einem solchen Antrag von der:dem vom Verantwortlichen jedenfalls nachgekommen werden (siehe auch Direktwerbung).

Beim Recht auf Widerspruch handelt es sich um ein antragsbedürftiges Recht. Um dieses Recht auszuüben, müssen Sie als betroffene Person einen Antrag an die:den Verantwortliche:n richten. Die Datenschutzbehörde bietet dazu ein unverbindliches Formular. Die:Der Verantwortliche muss auf diesen Antrag innerhalb eines Monats reagieren. In Ausnahmefällen kann diese Frist verlängert werden.

Wenn eine:ein Verantwortliche:r begründete Zweifel an der Identität der Person, die den Antrag stellt, hat, so kann er zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.

Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung - einschließlich Profiling - beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Dies gilt in bestimmten Fällen allerdings nicht, etwa wenn die Entscheidung für einen Vertragsabschluss erforderlich ist, auf einer gesetzlichen Grundlage basiert oder bei Zustimmung der betroffenen Person.

Systematisch ist Art. 22 DSGVO als Betroffenenrecht eingeordnet. Es handelt sich jedoch vielmehr um eine Pflicht der:des Verantwortlichen, die ihm in bestimmten Datenverarbeitungskonstellationen ein Verarbeitungsverbot auferlegt.

In § 1 Abs. 1 DSG ist das verfassungsmäßig gewährleistete Recht auf Geheimhaltung verankert.

Dieses besagt, dass jedermann Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten hat, soweit ein schutzwürdiges Interesse daran besteht. Das bedeutet, dass Ihre personenbezogenen Daten grundsätzlich vertraulich zu behandeln sind, und etwa anderen nicht zugänglich gemacht werden dürfen.

Das Grundrecht auf Datenschutz besteht auch bei Geltung der DSGVO. Zur Auslegung des Rechts auf Geheimhaltung sind die Regelungen der DSGVO und die darin verankerten Grundsätze heranzuziehen.

Damit die Verarbeitung personenbezogener Daten zulässig ist, muss zum einen zumindest eine der in Art. 6 Abs. 1 DSGVO angeführten Bedingungen bzw. Erlaubnistatbestände erfüllt sein (wie beispielsweise ein berechtigtes Interesse oder eine Einwilligung vorliegen), und müssen zum anderen die in Art. 5 Abs. 1 DSGVO aufgestellten Grundsätze für die Verarbeitung eingehalten werden (vgl. zur insofern vergleichbaren Rechtslage nach der Richtlinie 95/46/EG das Urteil des EuGH vom 13. Mai 2014, [Google Spain] C 131/12 Rz 71 mwN).

Verstöße gegen § 1 Abs. 1 DSG können sehr verschieden gelagert sein.

Vom Schutzbereich des Rechts auf Geheimhaltung sind alle Verarbeitungsformen umfasst.
Wenn Sie sich durch eine Datenverarbeitung im Recht auf Geheimhaltung als verletzt erachten, können Sie eine Beschwerde bei der Datenschutzbehörde einbringen. Bitte beachten Sie, dass Sie immer von der Datenverarbeitung persönlich betroffen sein müssen.

Sollten Sie der Ansicht sein, dass ein:e Verantwortliche:r durch eine Datenverarbeitung gegen die DSGVO verstößt, ohne persönlich davon betroffen zu sein, so können sie ein amtswegiges Prüfverfahren anregen bzw. eine Strafanzeige erstatten.