Ihre Rechte als betroffene Person

Die:Der Verantwortliche ist entsprechend Art. 13 bzw. Art. 14 DSGVO verpflichtet, die betroffene Person über eine Datenverarbeitung zu informieren.

Hierbei handelt es sich um eine „Bringschuld“ der:des Verantwortlichen und sind die Informationen schon vor einer Datenverarbeitung bereitzustellen. Das Recht auf Information ist kein antragsbedürftiges Recht.

Welche Information ein:eVerantwortliche:r einer betroffenen Person zur Verfügung zu stellen hat, hängt davon ab, ob die personenbezogenen Daten bei der betroffenen Person selbst oder nicht direkt bei der betroffenen Person erhoben wurden.

Unter die zu erteilenden Informationen fallen etwa der Namen und die Kontaktdaten der:des Verantwortlichen und die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen.

Sollte Ihnen ein:e Verantwortliche:r entgegen der Verpflichtung die Informationen entsprechend Art. 13 bzw. Art 14 DSGVO nicht oder unzureichend zur Verfügung stellen, können Sie eine Beschwerde wegen Verletzung Ihres Rechts auf Information bei der Datenschutzbehörde einbringen.

Mit dem Recht auf Auskunft nach Art. 15 DSGVO können Sie sich ein Bild darüber machen, ob ein:e Verantwortliche:r Ihre personenbezogenen Daten verarbeitet.

Die:Der Verantwortliche hat die gespeicherten personenbezogenen Daten sowie alle in Art. 15 Abs. 1 lit. a bis h DSGVO gelisteten Informationen (wie etwa Verarbeitungszwecke, Datenempfänger:innen, Speicherdauer) der betroffenen Person zur Verfügung zu stellen.

Werden keine personenbezogenen Daten verarbeitet, so hat die:der Verantwortliche eine sogenannte Negativauskunft zu erteilen. Diesfalls teilt die:der Verantwortliche mit, dass keine personenbezogenen Daten verarbeitet werden.

Die Pflicht zur Auskunftserteilung trifft die:den Verantwortliche:n, also die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Die:Der Verantwortliche:r muss die Informationen in einem gängigen elektronischen Format bereitstellen, wenn im Auskunftsbegehren nichts anderes angegeben ist.

Das Recht auf Auskunft besteht nicht unbeschränkt. Es besteht etwa nicht gegenüber einer:einem hoheitlich tätigen Verantwortlichen, wenn durch die Erteilung dieser Auskunft die Erfüllung einer der:dem Verantwortlichen gesetzlich übertragenen Aufgabe gefährdet wird, oder wenn durch die Erteilung dieser Auskunft ein Geschäfts- oder Betriebsgeheimnis der:des Verantwortlichen bzw. Dritter gefährdet würde.

Beim Recht auf Auskunft handelt es sich um ein antragsbedürftiges Recht. Um dieses Recht auszuüben, müssen Sie als betroffene Person einen Antrag an die:den Verantwortliche:n richten. Der Antrag muss nicht begründet werden. Die Datenschutzbehörde bietet dazu ein unverbindliches Formular an. Die:Der Verantwortliche ist verpflichtet, auf diesen Antrag innerhalb eines Monats zu reagieren. In Ausnahmefällen kann diese Frist auf höchstens drei Monate verlängert werden.

Sollte ein:e Verantwortliche:r eine beantragte Auskunft nicht oder unzureichend erteilen, steht es Ihnen frei, eine Beschwerde wegen Verletzung Ihres Rechts auf Auskunft bei der Datenschutzbehörde einzubringen.

Bitte verlangen Sie nicht Auskunft und Löschung oder Auskunft und Berichtigung gleichzeitig! Die:Der Verantwortliche könnte eine unzureichende Auskunft erteilen und dann die Daten löschen oder berichtigen. Eine nachfolgende Kontrolle durch die Datenschutzbehörde ist dann nur noch schwer möglich.

Mit dem Recht auf Berichtigung nach Art. 16 DSGVO können Sie von der:dem Verantwortlichen die Berichtigung Sie betreffender unrichtiger personenbezogener Daten verlangen. Weiters haben Sie das Recht, die Vervollständigung eines unvollständigen Datensatzes zu verlangen.

Beim Recht auf Berichtigung handelt es sich um ein antragsbedürftiges Recht. Um dieses Recht auszuüben, müssen Sie als betroffene Person einen Antrag an die:den Verantwortliche:n richten. Die Datenschutzbehörde bietet dazu ein unverbindliches Formular. Die:Der Verantwortliche ist verpflichtet, auf diesen Antrag innerhalb eines Monats zu reagieren. In Ausnahmefällen kann diese Frist auf höchstens drei Monate verlängert werden.

Sollte ein:e Verantwortliche:r eine beantragte Berichtigung nicht durchführen, steht es Ihnen frei, eine Beschwerde wegen Verletzung Ihres Rechts auf Berichtigung bei der Datenschutzbehörde einzubringen.

Bitte verlangen Sie nicht Auskunft und Berichtigung gleichzeitig! Die:Der Verantwortliche könnte eine unzureichende Auskunft erteilen und dann die Daten berichtigen. Eine nachfolgende Kontrolle der Auskunft durch die Datenschutzbehörde ist dann nur noch schwer möglich.

Sie haben entsprechend Art. 17 DSGVO in bestimmten Fällen das Recht auf Löschung Ihrer Daten bei einer:einem Verantwortlichen.

Das Recht auf Löschung besteht in folgenden Fällen:

• Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig


• Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung stützt, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung


• Die betroffene Person legt einen Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt Widerspruch gegen die Verarbeitung für Zwecke der Direktwerbung ein


• Die personenbezogenen Daten wurden unrechtmäßig verarbeitet


• Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem die:der Verantwortliche unterliegt


• Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft für Kinder erhoben (vgl. Art. 8 Abs. 1 DSGVO)

Allerdings gilt das Recht auf Löschung nicht unbedingt, es gibt Einschränkungen des Rechts auf Löschung (vgl. Art. 17 Abs. 3 DSGVO). Sofern eine solche Einschränkung vorliegt, hat ein:e Verantwortliche:r Ihre personenbezogenen Daten nicht zu löschen. Dies ist etwa der Fall, wenn die Daten zur Erfüllung einer rechtlichen Verpflichtung oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt, erforderlich ist oder etwa wenn eine Verarbeitung der Verteidigung von Rechtsansprüchen dient.

Um das Recht auf Löschung auszuüben, steht es der betroffenen Person frei, vorab einen Antrag auf Löschung an die:den Verantwortliche:n zu richten. Die Datenschutzbehörde bietet dazu unverbindlich ein Formular.

Sollte ein:e Verantwortliche:r eine Löschung nicht durchführen, steht es Ihnen frei, eine Beschwerde wegen Verletzung Ihres Rechts auf Löschung bei der Datenschutzbehörde einzubringen.

Bitte verlangen Sie nicht Auskunft und Löschung gleichzeitig! Die:Der Verantwortliche könnte eine unzureichende Auskunft erteilen und dann die Daten löschen. Eine nachfolgende Kontrolle durch die Datenschutzbehörde ist dann nur noch schwer möglich.

Entsprechend dem Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO können Sie unter Umständen die Einschränkung einer Verarbeitung von einer:einem Verantwortlichen verlangen.

Die Einschränkung der Verarbeitung kann etwa parallel zum Recht auf Berichtigung und zum Recht auf Widerspruch verlangt werden. Dieses Recht dient dazu, den Gebrauch von Daten einzuschränken, ohne sie zu löschen.

Wenn Sie eine Verarbeitung für unrechtmäßig halten, aber die Löschung ablehnen, können Sie Einschränkung der Verarbeitung beantragen (Art. 18 Abs. 1 lit. b DSGVO).

Beim Recht auf Einschränkung der Verarbeitung handelt es sich um ein antragsbedürftiges Recht. Um dieses Recht auszuüben, müssen Sie als betroffene Person einen Antrag an die:den Verantwortliche:n richten. Die Datenschutzbehörde bietet dazu ein unverbindliches Formular. Die:Der Verantwortliche ist verpflichtet, auf diesen Antrag innerhalb eines Monats zu reagieren. In Ausnahmefällen kann diese Frist auf höchstens drei Monate verlängert werden.

Sollte ein:e Verantwortliche:r dem Antrag auf Einschränkung der Verarbeitung nicht nachkommen, steht es Ihnen frei, eine Beschwerde wegen Verletzung Ihres Rechts auf Einschränkung der Verarbeitung bei der Datenschutzbehörde einzubringen.

Entsprechend Art. 20 DSGVO haben Sie das Recht auf Datenübertragbarkeit. Dieses Recht ermöglicht Ihnen, Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und diese Daten einer:einem anderen Verantwortlichen zur Verarbeitung zu übermitteln.

Das Recht auf Datenübertragbarkeit unterscheidet sich vom Recht auf Auskunft dadurch, dass das Augenmerk auf der Übertragung der Daten liegt.

Das Recht auf Datenübertragbarkeit besteht nur, wenn die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht und die Verarbeitung mittels automatisierter Verfahren erfolgt. Es kann daher etwa nicht gegenüber einer Behörde geltend gemacht werden.

Beim Recht auf Datenübertragbarkeit handelt es sich um ein antragsbedürftiges Recht. Um dieses Recht auszuüben, müssen Sie als betroffene Person einen Antrag an die:den Verantwortliche:n richten. Die Datenschutzbehörde bietet dazu ein unverbindliches Formular. Die:Der Verantwortliche ist verpflichtet, auf diesen Antrag innerhalb eines Monats zu reagieren. In Ausnahmefällen kann diese Frist auf höchstens drei Monate verlängert werden.

Sollte ein:e Verantwortliche:r dem Antrag auf Datenübertragbarkeit nicht nachkommen, steht es Ihnen frei, eine Beschwerde wegen Verletzung Ihres Rechts auf Datenübertragbarkeit bei der Datenschutzbehörde einzubringen.

Sie haben als betroffene Person gemäß Art. 21 DSGVO das Recht auf Widerspruch.

Hier sind zwei unterschiedliche Fallkonstellationen zu unterscheiden:
Einerseits haben Sie nach Art. 21 Abs. 1 DSGVO das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogener Daten Widerspruch einzulegen, sofern die personenbezogenen Daten zur Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt verarbeitet werden oder die Verarbeitung zur Wahrung der berechtigten Interessen der:des Verantwortlichen oder einer:eines Dritten erforderlich ist.

Hierzu ist festzuhalten, dass die betroffene Person die besonderen persönlichen Gründe nachzuweisen hat, warum die Verarbeitung unzulässig ist.

Andererseits haben Sie nach Art. 21 Abs. 2 DSGVO das Recht auf Widerspruch gegen Direktwerbung. Damit können Sie als betroffene Person jederzeit Datenverarbeitungen zum Zwecke der Direktwerbung untersagen (etwa Newsletter, Werbe-E-Mails etc.).

Beim Recht auf Widerspruch handelt es sich um ein antragsbedürftiges Recht. Um dieses Recht auszuüben, müssen Sie als betroffene Person einen Antrag an die:den Verantwortliche:n richten. Die Datenschutzbehörde bietet dazu ein unverbindliches Formular. Die:Der Verantwortliche ist verpflichtet, auf diesen Antrag innerhalb eines Monats zu reagieren. In Ausnahmefällen kann diese Frist auf höchstens drei Monate verlängert werden.

Sollte ein:e Verantwortliche:r dem Antrag auf Widerspruch nicht nachkommen, steht es Ihnen frei, eine Beschwerde wegen Verletzung Ihres Rechts auf Widerspruch bei der Datenschutzbehörde einzubringen

Nach Art. 22 DSGVO haben Sie das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung - einschließlich Profiling - beruhenden Entscheidung unterworfen zu werden, die Ihnen gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

Das Recht nach Art. 22 DSGVO besteht allerdings nicht unbedingt. Es besteht etwa nicht, wenn die Entscheidung für einen Vertragsabschluss erforderlich ist, auf einer gesetzlichen Grundlage basiert oder bei Zustimmung der betroffenen Person.

Sollte Sie der Auffassung sein, entgegen der Bestimmung des Art. 22 DSGVO einer ausschließlich auf einer automatisierten Verarbeitung - einschließlich Profiling - beruhenden Entscheidung unterworfen zu sein, können Sie eine Beschwerde wegen Verletzung Ihres Rechts auf Art. 22 DSGVO bei der Datenschutzbehörde einbringen.

In § 1 Abs. 1 DSG ist das verfassungsmäßig gewährleistete Recht auf Geheimhaltung verankert. Demnach haben Sie einen Anspruch auf Geheimhaltung der Sie betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht.

Vom Schutzbereich des Rechts auf Geheimhaltung sind alle Verarbeitungsformen umfasst.

Das Grundrecht auf Datenschutz besteht auch bei Geltung der DSGVO. Zur Auslegung des Rechts auf Geheimhaltung werden die Regelungen der DSGVO und die darin verankerten Grundsätze von der Datenschutzbehörde herangezogen.

Damit eine Verarbeitung personenbezogener Daten zulässig ist, muss zum einen zumindest eine der in Art. 6 Abs. 1 DSGVO angeführten Bedingungen bzw. Erlaubnistatbestände erfüllt sein (wie beispielsweise ein berechtigtes Interesse oder eine Einwilligung vorliegen), und müssen zum anderen die in Art. 5 Abs. 1 DSGVO aufgestellten Grundsätze für die Verarbeitung eingehalten werden.

Verstöße gegen § 1 Abs. 1 DSG können sehr verschieden gelagert sein (vgl. etwa „Einzelfälle“). Darunter könnten etwa Datenverarbeitungen durch Videokameras fallen oder die Offenlegung von Daten an unberechtigte Dritte.

Wenn Sie sich im Recht auf Geheimhaltung als verletzt erachten, können Sie eine Beschwerde wegen Verletzung Ihres Rechts auf Geheimhaltung bei der Datenschutzbehörde einbringen.

Bitte beachten Sie, dass Sie immer von der Datenverarbeitung persönlich betroffen sein müssen. Sollten Sie der Ansicht sein, dass ein:e Verantwortliche:r durch eine Datenverarbeitung gegen die DSGVO verstößt, ohne persönlich davon betroffen zu sein, können sie ein amtswegiges Prüfverfahren anregen bzw. eine Strafanzeige erstatten.

Gemäß Art. 77 DSGVO hat die betroffene Person das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.

Es ist daher möglich, dass Sie Beschwerde wegen Verstößen gegen andere Bestimmungen der DSGVO bei der Datenschutzbehörde erheben.