Internet Ombudsstelle - Kostenlose Schlichtung und Hilfe bei Problemen im Internet
Konsument:in Unternehmen
Beschwerde einreichen Frage stellen

Wie verlange ich Auskunft über meine Daten?

  • Jede betroffene Person kann vom Verantwortlichen Auskunft darüber verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden.
  • Das Auskunftsbegehren können Sie grundsätzlich formlos stellen. Sie müssen auch nicht begründen, wieso Sie eine Auskunft wollen.
  • Der Verantwortliche kann allerdings einen Identitätsnachweis von Ihnen verlangen. 

Das datenschutzrechtliche Auskunftsrecht ist in Art 8 Abs 2 der Europäischen Grunderechte-Charta und § 1 Abs 3 Datenschutzgesetz (DSG) als Grundrecht verankert. Es ist ein wichtiges Instrument, um Ihre Rechte im Datenschutz zu wahrnehmen zu können. Denn mit Hilfe des Auskunftsrechts können Sie herausfinden, welche Daten über Sie konkret verarbeitet werden und ob dies rechtmäßig geschieht. Im Unterschied zur Datenschutzerklärung („Welche Informationen muss ich bekommen?“) müssen Sie konkrete Auskunft über die Sie betreffenden Daten bekommen und nicht nur die generischen Informationen aus der Datenschutzerklärung erhalten (z. B. die Information „männlich“ und nicht „Geschlecht“).

Formloses Auskunftsersuchen

Sie können einfach per E-Mail Auskunft über die Sie betreffenden Daten verlangen. In der Datenschutzerklärung ("Datenschutzbestimmungen", "Privacy Policy" o. Ä.) sollten Sie eine E-Mail-Adresse des Verantwortlichen oder einen Link auf ein Formular finden, über das Sie Auskunft über Ihre Daten verlangen können.

Sie müssen für Ihr Auskunftsbegehren eventuell Ihre Identität nachweisen, wenn der Verantwortliche Zweifel hat, dass wirklich Sie hinter dem Auskunftsbegehren stecken. Dabei können vom Verantwortlichen – je nach Risiko der Herausgabe der Daten an eine falsche Person – unterschiedliche Wege gewählt werden (z. B. Übermittlung einer Ausweiskopie, ID Austria, Bekanntgabe von Benutzername und Passwort, speziell vereinbarten Kennwörtern oder von nicht-öffentlichen Informationen wie Geburtsdatum oder Postleitzahl usw.).

Muster der Datenschutzbehörde: "Antrag gemäß Auskunft nach Art 15 DSGVO"

Beispiel: Anton Berger stellt von seiner E-Mail-Adresse schlauer-fuchs@gmx.at ein datenschutzrechtliches Auskunftsbegehren an den Onlineshop Contact GmbH. Die Contact GmbH kann im konkreten Fall einen Nachweis darüber verlangen, dass sich hinter der E-Mail-Adresse schlauer-fuchs@gmx.at tatsächlich Anton Berger steckt, zumal Anton sein Kundenkonto beim Onlineshop unter einer anderen E-Mail-Adresse registriert hatte. Abhängig von der Sensibilität der Daten sollte die Identität mehr oder weniger streng geprüft werden. Damit soll sichergestellt werden, dass die Datenauskunft zu „Anton Berger“ nicht an die falsche Person übermittelt werden.

Auskunft über bestimmte Punkte

Wenn der Verantwortliche allerdings personenbezogene Daten von Ihnen verarbeitet, muss er Ihnen Auskunft insbesondere über die folgenden Punkte geben:

  • die Daten, die über Sie verarbeitet werden
  • der Zweck der Datenverarbeitung
  • nach herrschender Ansicht auch die Rechtmäßigkeitsgrundlage (vertragliche Zwecke, berechtigte Interessen usw.)
  • die Empfänger:innen (soweit bekannt, vgl. EuGH 12. Jänner 2023, C-154/21) oder Kategorien von Empfänger:innen, an Ihre personenbezogene Daten offengelegt wurden oder noch werden
  • die geplante Speicherdauer oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
  • alle verfügbaren Informationen über die Herkunft der Daten, sofern die Daten nicht direkt bei Ihnen erhoben wurden
  • bei Bestehen einer automatisierten Entscheidungsfindung Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen

Auch wenn der Verantwortlich keine Daten über Sie verarbeitet, muss er auf Ihr Auskunftsersuchen dennoch reagieren. In diesem Fall muss er Ihnen mitteilen, dass er eben keine Daten über Sie verarbeitet („Negativauskunft“).

Beispiel: Der Student Jürgen beantragt bei einer Bank einen Kredit, um ein Auto kaufen zu können. Die Bank gewährt Jürgen allerdings keinen Kredit, weil eine automatisierte Bonitätsprüfung negativ ausfiel. Nach einem entsprechenden Ersuchen muss die Bank unter anderem Auskunft darüber geben, wie die Entscheidung über Jürgens fehlende Bonität zustande kam.  Außerdem muss die Bank darüber informieren, dass Jürgen eine Beschwerde an die Datenschutzbehörde erheben kann.

Kann ich eine Kopie von Unterlagen verlangen?

Der Verantwortliche muss Ihnen nach Art 15 Abs 3 DSGVO kostenlos eine Kopie Ihrer personenbezogenen Daten in Papierform oder in einem gängigen elektronischen Format zur Verfügung stellen. Nach Möglichkeit sollte Ihnen auch ein Fernzugang ermöglicht werden (zum Beispiel ein Zugang zu einer elektronischen Datenbank, in dem Ihre personenbezogenen Daten gespeichert werden).

Sie haben das Recht auf eine Kopie von Auszügen aus Dokumenten, von ganzen Dokumenten oder auch von Auszügen aus Datenbanken, sofern die Zurverfügungstellung einer solchen Kopie unerlässlich sei, um Ihnen die wirksame Ausübung der Datenschutzrechte zu ermöglichen (EuGH 4. Mai 2023, C‑487/21, CRIF). Das Auskunftsrecht gibt Ihnen etwa das Recht, eine Kopie ihrer Krankengeschichte bzw. Ihrer Patientenakte kostenlos zu erhalten. Davon umfasst sind u.a. Diagnosen, Befunde, Nachweise über durchgeführte Untersuchungen und Behandlungen, Operationsberichte etc. Es ist unzulässig einen Kostenersatz für die erste Kopie der Krankengeschichte zu verlangen, sei es in Form von Kopierkosten oder Kosten als Ersatz für Verwaltungsaufwand (EuGH 26. Oktober 2023, C‑307/22 und 6 Ob 233/23t). Als Bankkunde haben Sie auch ein Recht auf die Duplikate von Kontoauszügen, die Ihnen die Bank grundsätzlich kostenlos zur Verfügung stellen muss (BwVG 24.5.2019, W258 2205602-1/8E).

Bis wann muss ich Auskunft bekommen?

Der Verantwortliche muss Ihrem Auskunftsbegehren innerhalb eines Monats nachkommen. In begründeten Fällen kann die Frist um weitere zwei Monate verlängert werden. Für eine Auskunft darf außerdem kein Entgelt verlangt werden. Nur bei offenkundig unbegründeten oder exzessiven Anträgen (z B. bei mehrfachen Auskunftsersuchen innerhalb kurzer Zeitabstände) kann für die Erfüllung des Auskunftsbegehrens ein angemessenes Entgelt verlangt werden oder diese verweigert werden. Wird die Frist von einem oder drei Monaten überschritten, können Sie eine Beschwerde bei der Datenschutzbehörde einreichen. Wenn der Verantwortliche nach Einleitung des Beschwerdeverfahrens die Informationen nachliefert und Sie damit die verlangte Auskunft bekommen, ist das Beschwerdeverfahren nach § 24 Abs 6 DSG formlos einzustellen.

Beispiel: Die Pensionistin Selma erhält seit einiger Zeit Zusendungen von einem Unternehmen, das ihr nicht bekannt ist. Selma kann vom Unternehmen Auskunft darüber verlangen, welche personenbezogenen Daten das Unternehmen von ihr besitzt und woher es diese Daten hat. Sie kann vom Unternehmen verlangen, ihr diese Informationen in Papierform zu schicken. Wenn Selma innerhalb eines Monats keine Auskunft und auch sonst keine Antwort vom Unternehmen erhält, kann sie eine Beschwerde bei der Datenschutzbehörde wegen Verletzung des Auskunftsrechts einbringen.

Wie kann ich meine Daten löschen lassen?

Datenschutzrecht

Hier erfahren Sie, wie Sie vorgehen, wenn Sie Ihre Daten gelöscht haben wollen. Aber Vorsicht: Sie haben nicht immer ein Recht auf Löschung Ihrer Daten.

Mehr lesen

Weitere Fragen und Antworten?

Sie suchen weitere Fragen und Antworten (FAQs) zum Thema "Datenschutzrecht"? Sie haben eine andere Frage?

Zu allen FAQs Frage stellen

Letzte Änderung: 16.01.2025