§ 1 Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999 idF BGBl. I Nr. 133/2009 normiert das Grundrecht auf Datenschutz, das natürlichen wie juristischen Personen Anspruch auf Geheimhaltung der sie betreffenden Angaben verleiht.
Unter "Daten" sind nicht nur Name, Geburtsdatum oder Adresse zu verstehen, sondern generell Informationen über eine bestimmte Person. Auch Bilder, Stimme und biometrische Daten, wie etwa der Fingerabdruck zählen zu den personenbezogenen Daten. Der Grundrechtsschutz besteht nicht für Daten, die allgemein verfügbar oder nicht personenbezogen sind, also keinen Aufschluss über die Identität der Person zulassen. Aber auch wenn ein Geheimhaltungsanspruch besteht, kann dieser unter bestimmten Voraussetzungen rechtmäßig eingeschränkt werden (d.h.: die Daten können von anderen als der betroffenen Person ermittelt, übermittelt, verarbeitet werden). Dies ist der Fall, wenn die Verwendung der Daten (etwa die Ermittlung, Übermittlung, Speicherung) im lebenswichtigen Interesse des Betroffenen, mit seiner Zustimmung oder zur Wahrung überwiegender berechtigter Interessen eines anderen erfolgt. Aber auch zulässige Beschränkungen dürfen nur in der gelindesten, zum Ziel führenden Art vorgenommen werden. Wenn eine staatliche Behörde tätig wird, so darf dies im Prinzip nur auf Grundlage eines Gesetzes geschehen. Es muss also grundsätzlich eine gesetzliche Grundlage geben, die zur Sicherung eines wichtigen öffentlichen Interesses (z.B. nationale Sicherheit, Verhinderung von strafbaren Handlungen, Schutz der Gesundheit, Schutz der Rechte und Freiheiten anderer) "notwendig", das heißt geeignet, erforderlich und verhältnismäßig ist.
Weiters hat jedermann das Recht auf Auskunft über die verwendeten Daten sowie auf Richtigstellung unrichtiger Daten oder Löschung unzulässigerweise verarbeiteter Daten.
Verletzungen des Grundrechts auf Datenschutz können entweder vor den Zivilgerichten (bei Ansprüchen gegen Auftraggeber des privaten Bereichs) oder der Datenschutzkommission geltend gemacht werden.
Datenschutz ist in Österreich bereits seit 1978 gesetzlich verankert. Die europäische Datenschutzrichtlinie (RL 95/46/EG), die 1995 verabschiedet wurde, machte eine Revision der Datenschutzvorschriften erforderlich. Das daraufhin erlassene Datenschutzgesetz 2000, BGBl. I Nr. 165/1999 (DSG 2000), trat mit 1. Jänner 2000 in Kraft. Darüber hinaus gibt es weitere Rechtsakte auf europäischer Ebene, wie etwa die Datenschutzrichtlinie für elektronische Kommunikation (RL 2002/58/EG) oder die Datenschutzkonvention des Europarates. Außerdem wird zurzeit über die Erlassung eines Rahmenbeschlusses des europäischen Rates für den Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen diskutiert.