BGBl. I Nr. 165/1999 (NR: GP XX RV 1613
AB 2028 S. 179.
BR: 5992
AB 6034 S. 657.)
[CELEX-Nr.: 395L0046]
BGBl. I Nr. 136/2001 (NR: GP XXI RV 742 AB 824 S. 81.
BR: 6458 AB 6459 S. 681.)
BGBl. I Nr. 13/2005 (NR: GP XXII IA 515/A AB 821 S. 96. BR:
AB 7228 S. 719.)
Inhaltsverzeichnis
Artikel 1 (Verfassungsbestimmung)
§ 1 Grundrecht auf Datenschutz
§ 2 Zuständigkeit
§ 3 Räumlicher Anwendungsbereich
Artikel 2
1. Abschnitt / Allgemeines
§ 4 Definitionen
§ 5 öffentlicher und privater Bereich
2. Abschnitt / Verwendung von Daten
§ 6 Grundsätze
§ 7 Zulässigkeit der Verwendung von Daten
§ 8 Schutzwürdige Geheimhaltungsinteressen bei Verwendung nicht-sensibler
Daten
§ 9 Schutzwürdige Geheimhaltungsinteressen bei Verwendung sensibler
Daten
§ 10 Zulässigkeit der Überlassung von Daten zur Erbringung von
Dienstleistungen
§ 11 Pflichten des Dienstleisters
§ 12 Genehmigungsfreie Übermittlung und Überlassung von Daten
in das Ausland
§ 13 Genehmigungspflichtige Übermittlung und Überlassung von
Daten ins Ausland
3. Abschnitt / Datensicherheit
§ 14 Datensicherheitsmaßnahmen
§ 15 Datengeheimnis
4. Abschnitt / Publizität
der Datenverarbeitungen
1 Die korrekte Zitierung des Gesetzes
lautet: ”Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999”.
§ 16 Datenverarbeitungsregister
§ 17 Meldepflicht des Auftraggebers
§ 18 Aufnahme der Verarbeitung
§ 19 Notwendiger Inhalt der Meldung
§ 20 Prüfungs- und Verbesserungsverfahren
§ 21 Registrierung
§ 22 Richtigstellung des Registers
§ 23 Pflicht zur Offenlegung nichtmeldepflichtiger Datenanwendungen
§ 24 Informationspflicht des Auftraggebers
§ 25 Pflicht zur Offenlegung der Identität des Auftraggebers
5. Abschnitt / Die Rechte des Betroffenen
§ 26 Auskunftsrecht
§ 27 Recht auf Richtigstellung oder Löschung
§ 28 Widerspruchsrecht
§ 29 Die Rechte des Betroffenen bei Verwendung nur indirekt personenbezogener
Daten
6. Abschnitt / Rechtsschutz
§ 30 Kontrollbefugnisse der Datenschutzkommission
§ 31 Beschwerde an die Datenschutzkommission
§ 32 Anrufung der Gerichte
§ 33 Schadenersatz
§ 34 Gemeinsame Bestimmungen
7. Abschnitt / Kontrollorgane
§ 35 Datenschutzkommission und Datenschutzrat
§ 36 Zusammensetzung der Datenschutzkommission
§ 37 Weisungsfreiheit der Datenschutzkommission
§ 38 Organisation und Geschäftsführung der Datenschutzkommission
§ 39 Beschlüsse der Datenschutzkommission
§ 40 Wirkung von Bescheiden der Datenschutzkommission und des geschäftsführenden
Mitglieds
§ 41 Einrichtung und Aufgaben des Datenschutzrates
§ 42 Zusammensetzung des Datenschutzrates
§ 43 Vorsitz und Geschäftsführung des Datenschutzrates
§ 44 Sitzungen und Beschlußfassung des Datenschutzrates
8. Abschnitt: Besondere Verwendungszwecke von Daten
§ 45 Private Zwecke
§ 46 Wissenschaftliche Forschung und Statistik
§ 47 Zurverfügungstellung von Adressen zur Benachrichtigung und Befragung
von Betroffenen
§ 48 Publizistische Tätigkeit
§ 48a Verwendung von Daten im Katastrophenfall
8. Abschnitt / Besondere Verwendungszwecke von Daten
§ 45 Private Zwecke
§ 46 Wissenschaftliche Forschung und Statistik
§ 47 Zurverfügungstellung von Adressen zur Benachrichtigung und Befragung
von Betroffenen
§ 48 Publizistische Tätigkeit
§ 48a Verwendung von Daten im Katastrophenfall
9. Abschnitt / Besondere Verwendungsarten von Daten
§ 49 Automatisierte Einzelentscheidungen
§ 50 Informationsverbundsysteme
10. Abschnitt / Strafbestimmungen
§ 51 Datenverwendung in Gewinn- oder
Schädigungsabsicht
§ 52 Verwaltungsstrafbestimmung
11. Abschnitt / Übergangs- und Schlußbestimmungen
§ 53 Befreiung von Gebühren,
Verwaltungsabgaben und vom Kostenersatz
§ 54 Mitteilungen an die anderen Mitgliedstaaten der Europäischen
Union und an die
Europäische Kommission
§ 55 Feststellungen der Europäischen
Kommission
§ 56 Verwaltungsangelegenheiten gemäß Art. 30 B-VG
§ 57 Sprachliche Gleichbehandlung
§ 58 Manuelle Dateien
§ 59 Umsetzungshinweis
§ 60
§ 61
Inkrafttreten / Übergangsbestimmungen
§ 62 VerordnungserlassungArtikel 1 (Verfassungsbestimmung) Grundrecht auf Datenschutz
§ 1 (1) Jedermann hat, insbesondere
auch im Hinblick auf die Achtung seines Privat-
und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen
Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen
eines solchen
Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit
oder
wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch
nicht zugänglich sind.
(2) Soweit die Verwendung von personenbezogenen
Daten nicht im lebenswichtigen
Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen
des
Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter
Interessen
eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde
nur auf Grund von
Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum
Schutze der
Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/19582, genannten Gründen
notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die
ihrer Art nach
besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher
Interessen vorsehen
und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen
der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen
darf
der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden
Art vorgenommen
werden.
2 Art. 8 EMRK lautet:
"(1) Jedermann hat Anspruch auf Achtung
seines Privat- und Familienlebens, seiner Wohnung und
seines Briefverkehrs.
(2) Der Eingriff einer öffentlichen
Behörde in die Ausübung dieses Rechts ist nur statthaft, insoweit
dieser Eingriff gesetzlich vorgesehen ist und eine Maßnahme darstellt,
die in einer demokratischen
Gesellschaft für die nationale Sicherheit, die öffentliche Ruhe und
Ordnung, das wirtschaftliche Wohl
des Landes, die Verteidigung der Ordnung und zur Verhinderung von strafbaren
Handlungen, zum
Schutz der Gesundheit und der Moral oder zum Schutz der Rechte und Freiheiten
anderer notwendig
ist."
(3) Jedermann hat, soweit ihn betreffende
personenbezogene Daten zur automationsunterstützten
Verarbeitung oder zur Verarbeitung in manuell, d.h. ohne Automationsunterstützung
geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen
1. das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet,
woher die
Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie
übermittelt werden;
2. das Recht auf Richtigstellung unrichtiger Daten und das Recht auf Löschung
unzulässigerweise verarbeiteter Daten.
(4) Beschränkungen der Rechte nach Abs. 3 sind nur unter den in Abs. 2
genannten
Voraussetzungen zulässig.
(5) Gegen Rechtsträger, die in Formen des Privatrechts eingerichtet sind,
ist, soweit sie
nicht in Vollziehung der Gesetze tätig werden, das Grundrecht auf Datenschutz
mit
Ausnahme des Rechtes auf Auskunft auf dem Zivilrechtsweg geltend zu machen.
In allen
übrigen Fällen ist die Datenschutzkommission zur Entscheidung zuständig,
es sei denn, daß
Akte der Gesetzgebung oder der Gerichtsbarkeit betroffen sind.
Zuständigkeit
§ 2 (1) Bundessache ist die Gesetzgebung in Angelegenheiten des Schutzes
personenbezogener Daten im automationsunterstützten Datenverkehr.
(2) Die Vollziehung solcher Bundesgesetze
steht dem Bund zu. Soweit solche Daten
von einem Land, im Auftrag eines Landes, von oder im Auftrag von juristischen
Personen,
die durch Gesetz eingerichtet sind und deren Einrichtung hinsichtlich der Vollziehung
in die
Zuständigkeit der Länder fällt, verwendet werden, sind diese
Bundesgesetze von den
Ländern zu vollziehen, soweit nicht durch Bundesgesetz die Datenschutzkommission,
der
Datenschutzrat oder Gerichte mit der Vollziehung betraut werden.
Räumlicher Anwendungsbereich
§ 3 (1) Die Bestimmungen dieses Bundesgesetzes sind auf die Verwendung
von
personenbezogenen Daten im Inland anzuwenden. Darüber hinaus ist dieses
Bundesgesetz
auf die Verwendung von Daten im Ausland anzuwenden, soweit diese Verwendung
inanderen
Mitgliedstaaten der Europäischen Union für Zwecke einer in Österreich
gelegenen
Haupt- oder Zweigniederlassung (§ 4 Z 15) eines Auftraggebers (§ 4
Z 4) geschieht.
(2) Abweichend von Abs. 1 ist das Recht
des Sitzstaates des Auftraggebers auf eine
Datenverarbeitung im Inland anzuwenden, wenn ein Auftraggeber des privaten Bereichs
(§ 5
Abs. 3) mit Sitz in einem anderen Mitgliedstaat der Europäischen Union
personenbezogene
Daten in Österreich zu einem Zweck verwendet, der keiner in Österreich
gelegenen
Niederlassung dieses Auftraggebers zuzurechnen ist.
(3) Weiters ist dieses Bundesgesetz nicht anzuwenden, soweit personenbezogene
Daten durch das Inland nur durchgeführt werden.
(4) Von den Abs. 1 bis 3 abweichende gesetzliche Regelungen sind nur in
Angelegenheiten zulässig, die nicht dem Recht der Europäischen Gemeinschaften
unterliegen.
Artikel 2
1. Abschnitt / Allgemeines
Definitionen
§ 4 Im Sinne der folgenden Bestimmungen dieses Bundesgesetzes bedeuten die Begriffe:
1. ”Daten” (”personenbezogene
Daten”): Angaben über Betroffene (Z 3), deren
Identität bestimmt oder bestimmbar ist; ”nur indirekt personenbezogen”
sind Daten
für einen Auftraggeber (Z 4), Dienstleister (Z 5) oder Empfänger einer
Übermittlung
(Z 12) dann, wenn der Personenbezug der Daten derart ist, daß dieser
Auftraggeber, Dienstleister oder Übermittlungsempfänger die Identität
des
Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann;
2. ”sensible Daten” (”besonders schutzwürdige Daten”):
Daten natürlicher Personen
über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit,
religiöse oder philosophische Überzeugung, Gesundheit oder ihr
Sexualleben;
3. ”Betroffener”: jede vom Auftraggeber (Z 4) verschiedene natürliche
oder juristische
Person oder Personengemeinschaft, deren Daten verwendet (Z 8) werden;
4. ”Auftraggeber”: natürliche oder juristische Personen, Personengemeinschaften
oder
Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate
solcher
Organe, wenn sie allein oder gemeinsam mit anderen die Entscheidung getroffen
haben, Daten für einen bestimmten Zweck zu verarbeiten (Z 9), und zwar
unabhängig davon, ob sie die Verarbeitung selbst durchführen oder
hiezu einen
anderen heranziehen. Als Auftraggeber gelten die genannten Personen,
Personengemeinschaften und Einrichtungen auch dann, wenn sie einem anderen
Daten zur Herstellung eines von ihnen aufgetragenen Werkes überlassen und
der
Auftragnehmer die Entscheidung trifft, diese Daten zu verarbeiten. Wurde jedoch
dem Auftragnehmer anläßlich der Auftragserteilung die Verarbeitung
der
überlassenen Daten ausdrücklich untersagt oder hat der Auftragnehmer
die
Entscheidung über die Art und Weise der Verwendung, insbesondere die Vornahme
einer Verarbeitung der überlassenen Daten, auf Grund von Rechtsvorschriften,
Standesregeln oder Verhaltensregeln gemäß § 6 Abs. 4 eigenverantwortlich
zu
treffen, so gilt der mit der Herstellung des Werkes Betraute als datenschutzrechtlicher
Auftraggeber;
5. ”Dienstleister”: natürliche oder juristische Personen, Personengemeinschaften
oder
Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate
solcher
Organe, wenn sie Daten, die ihnen zur Herstellung eines aufgetragenen Werkes
überlassen wurden, verwenden (Z 8);
6. ”Datei”: strukturierte Sammlung von Daten, die nach mindestens
einem Suchkriterium
zugänglich sind;
7. ”Datenanwendung” (früher: ”Datenverarbeitung”):
die Summe der in ihrem Ablauf
logisch verbundenen Verwendungsschritte (Z 8), die zur Erreichung eines inhaltlich
bestimmten Ergebnisses (des Zweckes der Datenanwendung) geordnet sind und
zur Gänze oder auch nur teilweise automationsunterstützt, also maschinell
und
programmgesteuert, erfolgen (automationsunterstützte Datenanwendung);
8. ”Verwenden von Daten”: jede Art der Handhabung von Daten einer
Datenanwendung, also sowohl das Verarbeiten (Z 9) als auch das Übermitteln
(Z 12) von Daten;
9. "Verarbeiten von Daten": das Ermitteln, Erfassen, Speichern, Aufbewahren,
Ordnen,
Vergleichen, Verändern, Verknüpfen, Vervielfältigen, Abfragen,
Ausgeben, Benützen,
Überlassen (Z 11), Sperren, Löschen, Vernichten
oder jede andere Art
der Handhabung von Daten einer Datenanwendung durch den Auftraggeber oder
Dienstleister
mit Ausnahme des Übermittelns (Z 12) von Daten;
10. "Ermitteln von Daten": das Erheben von Daten in der Absicht, sie
in einer
Datenanwendung zu verwenden;
11. ”Überlassen von Daten”: die Weitergabe von Daten vom Auftraggeber
an einen
Dienstleister;
12. ”Übermitteln von Daten”: die Weitergabe von Daten einer Datenanwendung
an
andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister,
insbesondere auch das Veröffentlichen solcher Daten; darüber hinaus
auch die
Verwendung von Daten für ein anderes Aufgabengebiet des Auftraggebers;
13. ”Informationsverbundsystem”: die gemeinsame Verarbeitung von Daten
in einer
Datenanwendung durch mehrere Auftraggeber und die gemeinsame Benützung
der
Daten in der Art, daß jeder Auftraggeber auch auf jene Daten im System
Zugriff hat,
die von den anderen Auftraggebern dem System zur Verfügung gestellt wurden;
14. ”Zustimmung”: die gültige, insbesondere ohne Zwang abgegebene
Willenserklärung
des Betroffenen, daß er in Kenntnis der Sachlage für den konkreten
Fall in die
Verwendung seiner Daten einwilligt;
15. ”Niederlassung”: jede durch feste Einrichtungen an einem bestimmten
Ort räumlich
und funktional abgegrenzte Organisationseinheit mit oder ohne Rechtspersönlichkeit,
die am Ort ihrer Einrichtung auch tatsächlich Tätigkeiten ausübt.
Öffentlicher und privater Bereich
§ 5 (1) Datenanwendungen sind dem öffentlichen Bereich im Sinne dieses
Bundesgesetzes
zuzurechnen, wenn sie für Zwecke eines Auftraggebers des öffentlichen
Bereichs (Abs. 2) durchgeführt werden.
(2) Auftraggeber des öffentlichen
Bereichs sind alle Auftraggeber,
1. die in Formen des öffentlichen Rechts eingerichtet sind, insbesondere
auch als
Organ einer Gebietskörperschaft, oder
2. soweit sie trotz ihrer Einrichtung in Formen des Privatrechts in Vollziehung
der
Gesetze tätig sind.
(3) Die dem Abs. 2 nicht unterliegenden Auftraggeber gelten als Auftraggeber
des
privaten Bereichs im Sinne dieses Bundesgesetzes.
2. Abschnitt / Verwendung von Daten
Grundsätze § 6 (1)
Daten dürfen nur 1.
nach Treu und Glauben und auf rechtmäßige Weise verwendet werden;
2. für festgelegte, eindeutige und rechtmäßige Zwecke ermittelt
und nicht in einer mit
diesen Zwecken unvereinbaren Weise weiterverwendet werden; die Weiterverwendung
für wissenschaftliche oder statistische Zwecke ist nach Maßgabe der
§§ 46 und 47 zulässig;
3. soweit sie für den Zweck der Datenanwendung wesentlich sind, verwendet
werden
und über diesen Zweck nicht hinausgehen;
4. so verwendet werden, daß sie im Hinblick auf den Verwendungszweck im
Ergebnis
sachlich richtig und, wenn nötig, auf den neuesten Stand gebracht sind;
5. solange in personenbezogener Form aufbewahrt werden, als dies für die
Erreichung
der Zwecke, für die sie ermittelt wurden, erforderlich ist; eine längere
Aufbewahrungsdauer kann sich aus besonderen
gesetzlichen, insbesondere archivrechtlichen
Vorschriften ergeben.
(2) Der Auftraggeber trägt bei jeder
seiner Datenanwendungen die Verantwortung für die
Einhaltung der in Abs. 1 genannten Grundsätze; dies gilt auch dann, wenn
er für die
Datenanwendung Dienstleister heranzieht.
(3) Der Auftraggeber einer diesem Bundesgesetz unterliegenden Datenanwendung
hat,
wenn er nicht im Gebiet der Europäischen Union niedergelassen ist, einen
in Österreich
ansässigen Vertreter zu benennen, der unbeschadet der Möglichkeit
eines Vorgehens gegen
den Auftraggeber selbst namens des Auftraggebers verantwortlich gemacht werden
kann.
(4) Zur näheren Festlegung dessen, was in einzelnen Bereichen als Verwendung
von
Daten nach Treu und Glauben anzusehen ist, können für den privaten
Bereich die
gesetzlichen Interessenvertretungen, sonstige Berufsverbände und vergleichbare
Einrichtungen Verhaltensregeln ausarbeiten. Solche Verhaltensregeln dürfen
nur
veröffentlicht werden, nachdem sie dem Bundeskanzler zur Begutachtung vorgelegt
wurden
und dieser ihre Übereinstimmung mit den Bestimmungen dieses Bundesgesetzes
begutachtet
und als gegeben erachtet hat.
Zulässigkeit der Verwendung von Daten
§ 7 (1) Daten dürfen nur verarbeitet
werden, soweit Zweck und Inhalt der Datenanwendung
von den gesetzlichen Zuständigkeiten oder rechtlichen Befugnissen des
jeweiligen Auftraggebers gedeckt sind und die schutzwürdigen Geheimhaltungsinteressen
der Betroffenen nicht verletzen.
(2) Daten dürfen nur übermittelt
werden, wenn
1. sie aus einer gemäß Abs. 1 zulässigen Datenanwendung stammen
und
2. der Empfänger dem Übermittelnden seine ausreichende gesetzliche
Zuständigkeit
oder rechtliche Befugnis - soweit diese nicht außer Zweifel steht - im
Hinblick auf
den Übermittlungszweck glaubhaft gemacht hat und
3. durch Zweck und Inhalt der Übermittlung die schutzwürdigen Geheimhaltungsinteressen
des Betroffenen nicht verletzt werden.
(3) Die Zulässigkeit einer Datenverwendung setzt voraus, daß die
dadurch verursachten
Eingriffe in das Grundrecht auf Datenschutz nur im erforderlichen Ausmaß
und mit den
gelindesten zur Verfügung stehenden Mitteln erfolgen und daß die
Grundsätze des § 6
eingehalten werden.
Schutzwürdige Geheimhaltungsinteressen bei Verwendung nicht-sensibler Daten
§ 8 (1) Gemäß § 1 Abs. 1 bestehende schutzwürdige
Geheimhaltungsinteressen sind
bei Verwendung nicht-sensibler Daten dann nicht verletzt, wenn
1. eine ausdrückliche gesetzliche
Ermächtigung oder Verpflichtung zur Verwendung
der Daten besteht oder
2. der Betroffene der Verwendung seiner Daten zugestimmt hat, wobei ein Widerruf
jederzeit möglich ist und die Unzulässigkeit der weiteren Verwendung
der Daten
bewirkt, oder
3. lebenswichtige Interessen des Betroffenen die Verwendung erfordern oder
4. überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten
die
Verwendung erfordern.
(2) Bei der Verwendung von zulässigerweise veröffentlichten Daten
oder von nur indirekt
personenbezogenen Daten gelten schutzwürdige Geheimhaltungsinteressen als
nicht
verletzt. Das Recht, gegen die Verwendung solcher Daten gemäß §
28 Widerspruch zu
erheben, bleibt unberührt.
(3) Schutzwürdige Geheimhaltungsinteressen
sind aus dem Grunde des Abs. 1 Z 4
insbesondere dann nicht verletzt, wenn die Verwendung der Daten
1. für einen Auftraggeber des öffentlichen Bereichs eine wesentliche
Voraussetzung
für die Wahrnehmung einer ihm gesetzlich übertragenen Aufgabe ist
oder
2. durch Auftraggeber des öffentlichen Bereichs in Erfüllung der Verpflichtung
zur
Amtshilfe geschieht oder
3. zur Wahrung lebenswichtiger Interessen eines Dritten erforderlich ist oder
4. zur Erfüllung einer vertraglichen Verpflichtung zwischen Auftraggeber
und
Betroffenem erforderlich ist oder
5. zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
des
Auftraggebers vor einer Behörde notwendig ist und die Daten rechtmäßig
ermittelt
wurden oder
6. ausschließlich die Ausübung einer öffentlichen Funktion durch
den Betroffenen zum
Gegenstand hat oder
7. im Katastrophenfall, soweit dies zur Hilfeleistung für die von der Katastrophe
unmittelbar betroffenen Personen, zur Auffindung und Identifizierung von
Abgängigen und Verstorbenen und zur Information von Angehörigen notwendig
ist;
im letztgenannten Fall gilt § 48a Abs. 3.
(4) Die Verwendung von Daten über gerichtlich oder verwaltungsbehördlich
strafbare
Handlungen oder Unterlassungen, insbesondere auch über den Verdacht der
Begehung von
Straftaten, sowie über strafrechtliche Verurteilungen oder vorbeugende
Maßnahmen verstößt
-unbeschadet der Bestimmungen des Abs. 2 - nur dann nicht gegen schutzwürdige
Geheimhaltungsinteressen des Betroffenen, wenn
1. eine ausdrückliche gesetzliche Ermächtigung oder Verpflichtung
zur Verwendung
solcher Daten besteht oder
2. die Verwendung derartiger Daten für Auftraggeber des öffentlichen
Bereichs eine
wesentliche Voraussetzung zur Wahrnehmung einer ihnen gesetzlich übertragenen
Aufgabe ist oder
3. sich sonst die Zulässigkeit der Verwendung dieser Daten aus gesetzlichen
Sorgfaltspflichten oder sonstigen, die schutzwürdigen Geheimhaltungsinteressen
des Betroffenen überwiegenden berechtigten Interessen des Auftraggebers
ergibt
und die Art und Weise, in der die Datenanwendung vorgenommen wird, die
Wahrung der Interessen der Betroffenen nach diesem Bundesgesetz gewährleistet.
Schutzwürdige Geheimhaltungsinteressen bei Verwendung sensibler Daten
§ 9 Schutzwürdige Geheimhaltungsinteressen werden bei der Verwendung
sensibler
Daten ausschließlich dann nicht verletzt, wenn
1. der Betroffene die Daten offenkundig
selbst öffentlich gemacht hat oder
2. die Daten in nur indirekt personenbezogener Form verwendet werden oder
3. sich die Ermächtigung oder Verpflichtung zur Verwendung aus gesetzlichen
Vorschriften ergibt, soweit diese der Wahrung eines wichtigen öffentlichen
Interesses dienen, oder
4. die Verwendung durch Auftraggeber des öffentlichen Bereichs in Erfüllung
ihrer
Verpflichtung zur Amtshilfe geschieht oder
5. Daten verwendet werden, die ausschließlich die Ausübung einer
öffentlichen
Funktion durch den Betroffenen zum Gegenstand haben, oder
6. der Betroffene seine Zustimmung zur Verwendung der Daten ausdrücklich
erteilt
hat, wobei ein Widerruf jederzeit möglich ist und die Unzulässigkeit
der weiteren
Verwendung der Daten bewirkt, oder
7. die Verarbeitung oder Übermittlung zur Wahrung lebenswichtiger Interessen
des
Betroffenen notwendig ist und seine Zustimmung nicht rechtzeitig eingeholt werden
kann oder
8. die Verwendung der Daten zur Wahrung lebenswichtiger Interessen eines anderen
notwendig ist oder
9. die Verwendung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
des Auftraggebers vor einer Behörde notwendig ist und die Daten
rechtmäßig ermittelt wurden oder
10. Daten für private Zwecke gemäß § 45 oder für wissenschaftliche
Forschung oder
Statistik gemäß § 46, zur Benachrichtigung oder Befragung des
Betroffenen gemäß
§ 47 oder im Katastrophenfall gemäß § 48a verwendet werden
oder
11. die Verwendung erforderlich ist, um den Rechten und Pflichten des Auftraggebers
auf dem Gebiet des Arbeits- oder Dienstrechts Rechnung zu tragen, und sie nach
besonderen Rechtsvorschriften zulässig ist, wobei die dem Betriebsrat nach
dem
Arbeitsverfassungsgesetz3 zustehenden Befugnisse im Hinblick auf die
Datenverwendung unberührt bleiben, oder
12. die Daten zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik,
der
Gesundheitsversorgung oder -behandlung oder für die Verwaltung von
Gesundheitsdiensten erforderlich ist, und die Verwendung dieser Daten durch
ärztliches Personal oder sonstige Personen erfolgt, die einer entsprechenden
Geheimhaltungspflicht unterliegen, oder
13. nicht auf Gewinn gerichtete Vereinigungen mit politischem, philosophischem,
religiösem oder gewerkschaftlichem Tätigkeitszweck Daten, die Rückschlüsse
auf
die politische Meinung oder weltanschauliche Überzeugung natürlicher
Personen
zulassen, im Rahmen ihrer erlaubten Tätigkeit verarbeiten und es sich hiebei
um
Daten von Mitgliedern, Förderern oder sonstigen Personen handelt, die regelmäßig
ihr Interesse für den Tätigkeitszweck der Vereinigung bekundet haben;
diese Daten
dürfen, sofern sich aus gesetzlichen Vorschriften nichts anderes ergibt,
nur mit
Zustimmung der Betroffenen an Dritte weitergegeben werden.
Zulässigkeit der Überlassung von Daten zur Erbringung von Dienstleistungen
§ 10 (1) Auftraggeber dürfen bei ihren Datenanwendungen Dienstleister
in Anspruch
nehmen, wenn diese ausreichende Gewähr für eine rechtmäßige
und sichere
Datenverwendung bieten. Der Auftraggeber hat mit dem Dienstleister die hiefür
notwendigen
Vereinbarungen zu treffen und sich von ihrer Einhaltung durch Einholung der
erforderlichen
Informationen über die vom Dienstleister tatsächlich getroffenen Maßnahmen
zu überzeugen.
(2) Die beabsichtigte Heranziehung eines
Dienstleisters durch einen Auftraggeber des
öffentlichen Bereichs im Rahmen einer Datenanwendung, die der Vorabkontrolle
gemäß
§ 18 Abs. 2 unterliegt, ist der Datenschutzkommission mitzuteilen, es sei
denn, daß die
Inanspruchnahme des Dienstleisters auf Grund ausdrücklicher gesetzlicher
Ermächtigung
erfolgt oder als Dienstleister eine Organisationseinheit tätig wird, die
mit dem Auftraggeberoder
einem diesem übergeordneten Organ in einem Über-
oder Unterordnungsverhältnis steht.
Kommt die Datenschutzkommission zur
Auffassung, daß die geplante
Inanspruchnahme eines Dienstleisters geeignet ist, schutzwürdige Geheimhaltungsinteressen
der Betroffenen zu gefährden, so hat sie dies dem Auftraggeber unverzüglich
mitzuteilen. I
m übrigen gilt § 30 Abs. 6 Z 4.
Pflichten des Dienstleisters
§ 11 (1) Unabhängig von allfälligen
vertraglichen Vereinbarungen haben Dienstleister
bei der Verwendung von Daten für den Auftraggeber jedenfalls folgende Pflichten:
3. Arbeitsverfassungsgesetz, BGBl. Nr. 22/1974 idgF.
1. die Daten ausschließlich im Rahmen
der Aufträge des Auftraggebers zu verwenden;
insbesondere ist die Übermittlung der verwendeten Daten ohne Auftrag des
Auftraggebers verboten;
2. alle gemäß § 14 erforderlichen Datensicherheitsmaßnahmen
zu treffen;
insbesondere dürfen für die Dienstleistung nur solche Mitarbeiter
herangezogen
werden, die sich dem Dienstleister gegenüber zur Einhaltung des Datengeheimnisses
verpflichtet haben oder einer gesetzlichen Verschwiegenheitspflicht unterliegen;
3. weitere Dienstleister nur mit Billigung des Auftraggebers heranzuziehen und
deshalb den Auftraggeber von der beabsichtigten Heranziehung eines weiteren
Dienstleisters so rechtzeitig zu verständigen, daß er dies allenfalls
untersagen kann;
4. - sofern dies nach der Art der Dienstleistung in Frage kommt - im Einvernehmen
mit
dem Auftraggeber die notwendigen technischen und organisatorischen Voraussetzungen
für die Erfüllung der Auskunfts-, Richtigstellungs- und Löschungspflicht
des Auftraggebers zu schaffen;
5. nach Beendigung der Dienstleistung alle Verarbeitungsergebnisse und Unterlagen,
die Daten enthalten, dem Auftraggeber zu übergeben oder in dessen Auftrag
für ihn
weiter aufzubewahren oder zu vernichten;
6. dem Auftraggeber jene Informationen zur Verfügung zu stellen, die zur
Kontrolle der
Einhaltung der unter Z 1 bis 5 genannten Verpflichtungen notwendig sind.
(2) Vereinbarungen zwischen dem Auftraggeber und dem Dienstleister über
die nähere
Ausgestaltung der in Abs. 1 genannten Pflichten sind zum Zweck der Beweissicherung
schriftlich festzuhalten.
Genehmigungsfreie Übermittlung und Überlassung von Daten in das Ausland
§ 12 (1) Die Übermittlung und
Überlassung von Daten an Empfänger in Mitgliedstaaten
der Europäischen Union ist keinen Beschränkungen im Sinne des §
13 unterworfen. Dies gilt
nicht für den Datenverkehr zwischen Auftraggebern des öffentlichen
Bereichs in
Angelegenheiten, die nicht dem Recht der Europäischen Gemeinschaften unterliegen.
(2) Keiner Genehmigung gemäß
§ 13 bedarf weiters der Datenverkehr mit Empfängern
in Drittstaaten mit angemessenem Datenschutz. Welche Drittstaaten angemessenen
Datenschutz gewährleisten, wird unter Beachtung des § 55 Z 1 durch
Verordnung des
Bundeskanzlers festgestellt4. Maßgebend für die Angemessenheit des
Schutzes ist die
Ausgestaltung der Grundsätze des § 6 Abs. 1 in der ausländischen
Rechtsordnung und das
Vorhandensein wirksamer Garantien für ihre Durchsetzung.
(3) Darüberhinaus ist der Datenverkehr ins Ausland dann genehmigungsfrei,
wenn
1. die Daten im Inland zulässigerweise veröffentlicht wurden oder
2. Daten, die für den Empfänger nur indirekt personenbezogen sind,
übermittelt oder
überlassen werden oder
3. die Übermittlung oder Überlassung von Daten ins Ausland in Rechtsvorschriften
vorgesehen ist, die im innerstaatlichen Recht den Rang eines Gesetzes haben
und
unmittelbar anwendbar sind, oder
4. Daten aus Datenanwendungen für private Zwecke (§ 45) oder für
publizistische
Tätigkeit (§ 48) übermittelt werden oder
5. der Betroffene ohne jeden Zweifel seine Zustimmung zur Übermittlung
oder Überlassung
seiner Daten ins Ausland gegeben hat oder
(4) Verordnung des Bundeskanzlers über den angemessenen Datenschutz in
Drittstaaten
(Datenschutzangemessenheits-
Verordnung - DSAV), BGBl. II Nr. 521/1999.
6. ein vom Auftraggeber mit dem Betroffenen oder mit einem Dritten eindeutig
im
Interesse des Betroffenen abgeschlossener Vertrag nicht anders als durch Übermittlung
der Daten ins Ausland erfüllt werden kann oder
7. die Übermittlung zur Geltendmachung, Ausübung oder Verteidigung
von Rechtsansprüchen
vor ausländischen Behörden erforderlich ist und die Daten rechtmäßig
ermittelt wurden, oder
8. die Übermittlung oder Überlassung in einer Standardverordnung (§
17 Abs. 2 Z 6)
oder Musterverordnung (§ 19 Abs. 2) ausdrücklich angeführt ist
oder
9. es sich um Datenverkehr mit österreichischen Dienststellen im Ausland
handelt oder
10. Übermittlungen oder Überlassungen aus Datenanwendungen erfolgen,
die gemäß
§ 17 Abs. 3 von der Meldepflicht ausgenommen sind.
(4) Wenn eine Übermittlung oder Überlassung von Daten ins Ausland
in Fällen, die von
den vorstehenden Absätzen nicht erfaßt sind,
1. zur Wahrung eines wichtigen öffentlichen Interesses oder
2. zur Wahrung eines lebenswichtigen Interesses einer Person
notwendig und so dringlich ist, daß die gemäß § 13 erforderliche
Genehmigung der
Datenschutzkommission nicht eingeholt werden kann, ohne die genannten Interessen
zu
gefährden, darf sie ohne Genehmigung vorgenommen werden, muß aber
der Datenschutzkommission
umgehend mitgeteilt werden.
(5) Voraussetzung für die Zulässigkeit jeder Übermittlung oder
Überlassung in das
Ausland ist die Rechtmäßigkeit der Datenanwendung im Inland gemäß
§ 7. Bei
Überlassungen ins Ausland muß darüber hinaus die schriftliche
Zusage des ausländischen
Dienstleisters an den inländischen Auftraggeber - oder in den Fällen
des § 13 Abs. 5 an den
inländischen Dienstleister - vorliegen, daß er die Dienstleisterpflichten
gemäß § 11 Abs. 1
einhalten werde. Dies entfällt, wenn die Dienstleistung im Ausland in Rechtsvorschriften
vorgesehen ist, die im innerstaatlichen Recht den Rang eines Gesetzes haben
und
unmittelbar anwendbar sind.
Genehmigungspflichtige Übermittlung und Überlassung von Daten ins
Ausland
§ 13 (1) Soweit der Datenverkehr mit dem Ausland nicht gemäß
§ 12 genehmigungsfreiist,
hat der Auftraggeber vor der Übermittlung
oder Überlassung von Daten in das Ausland eine
Genehmigung der Datenschutzkommission
(§§ 35 ff) einzuholen. Die Datenschutzkommission
kann die Genehmigung an die Erfüllung von Bedingungen und Auflagen binden.
(2) Die Genehmigung ist unter Beachtung
der gemäß § 55 Z 2 ergangenen
Kundmachungen zu erteilen, wenn die Voraussetzungen des § 12 Abs. 5 vorliegen
und
wenn, ungeachtet des Fehlens eines im Empfängerstaat generell geltenden
angemessenen
Datenschutzniveaus,
1. für die im Genehmigungsantrag angeführte Übermittlung oder
Überlassung im
konkreten Einzelfall angemessener Datenschutz besteht; dies ist unter
Berücksichtigung aller Umstände zu beurteilen, die bei der Datenverwendung
eine
Rolle spielen, wie insbesondere die Art der verwendeten Daten, die
Zweckbestimmung sowie die Dauer der geplanten Verwendung, das Herkunfts- und
das Endbestimmungsland und die in dem betreffenden Drittland geltenden
allgemeinen oder sektoriellen Rechtsnormen, Standesregeln und Sicherheitsstandards;
oder
2. der Auftraggeber glaubhaft macht, daß die schutzwürdigen Geheimhaltungsinteressen
der vom geplanten Datenverkehr Betroffenen auch im Ausland
ausreichend gewahrt werden. Hiefür können insbesondere auch vertragliche
Zusicherungen des Empfängers an den Antragsteller über die näheren
Umstände
der Datenverwendung im Ausland von Bedeutung sein.
(3) Im Genehmigungsverfahren haben Auftraggeber
des öffentlichen Bereichs auch
hinsichtlich der Datenanwendungen, die sie in Vollziehung der Gesetze durchführen,
Parteistellung.
(4) Bei meldepflichtigen Datenanwendungen hat die Datenschutzkommission eine
Ausfertigung jedes Bescheides, mit dem eine Übermittlung oder Überlassung
von Daten in
das Ausland genehmigt wurde, zum Registrierungsakt zu nehmen und die Erteilung
der
Genehmigung im Datenverarbeitungsregister (§ 16) anzumerken.
(5) Abweichend von Abs. 1 kann auch ein inländischer Dienstleister die
Genehmigung
beantragen, wenn er zur Erfüllung seiner vertraglichen Verpflichtungen
gegenüber mehreren
Auftraggebern jeweils einen bestimmten weiteren Dienstleister im Ausland heranziehen
will.
Die tatsächliche Überlassung darf jeweils nur mit Zustimmung des Auftraggebers
erfolgen.
Der Auftraggeber hat der Datenschutzkommission mitzuteilen, aus welcher seiner
meldepflichtigen
Datenanwendungen die dem Dienstleister genehmigte Überlassung erfolgen
soll;
dies ist im Datenverarbeitungsregister anzumerken.
(6) Die Übermittlung von Daten an ausländische Vertretungsbehörden
oder
zwischenstaatliche Einrichtungen in Österreich gilt hinsichtlich der Pflicht
zur Einholung von
Genehmigungen nach Abs. 1 als Datenverkehr mit dem Ausland.
(7) Hat der Bundeskanzler trotz Fehlens eines im Empfängerstaat generell
geltenden
angemessenen Schutzniveaus durch Verordnung festgestellt, daß für
bestimmte Kategorien
des Datenverkehrs mit diesem Empfängerstaat die Voraussetzungen gemäß
Abs. 2 Z 1
zutreffen, tritt an die Stelle der Verpflichtung zur Einholung einer Genehmigung
die Pflicht zur
Anzeige an die Datenschutzkommission. Die Datenschutzkommission hat binnen sechs
Wochen ab Einlangen der Anzeige mit Bescheid den angezeigten Datenverkehr zu
untersagen, wenn er keiner der in der Verordnung geregelten Kategorien zuzurechnen
ist
oder den Voraussetzungen gemäß § 12 Abs. 5 nicht entspricht;
andernfalls ist die Übermittlung
oder Überlassung der Daten in das Ausland zulässig.
3. Abschnitt / Datensicherheit / Datensicherheitsmaßnahmen
§ 14 (1) Für alle Organisationseinheiten eines Auftraggebers oder
Dienstleisters, die
Daten verwenden, sind Maßnahmen zur Gewährleistung der Datensicherheit
zu treffen.
Dabei ist je nach der Art der verwendeten Daten und nach Umfang und Zweck der
Verwendung sowie unter Bedachtnahme auf den Stand der technischen Möglichkeiten
und
auf die wirtschaftliche Vertretbarkeit sicherzustellen, daß die Daten
vor zufälliger oder
unrechtmäßiger Zerstörung und vor Verlust geschützt sind,
daß ihre Verwendung
ordnungsgemäß erfolgt und daß die Daten Unbefugten nicht zugänglich
sind.
(2) Insbesondere ist, soweit dies im Hinblick
auf Abs. 1 letzter Satz erforderlich ist,
1. die Aufgabenverteilung bei der Datenverwendung zwischen den Organisationseinheiten
und zwischen den Mitarbeitern ausdrücklich festzulegen,
2. die Verwendung von Daten an das Vorliegen gültiger Aufträge der
anordnungsbefugten
Organisationseinheiten und Mitarbeiter zu binden,
3. jeder Mitarbeiter über seine nach diesem Bundesgesetz und nach innerorganisatorischen
Datenschutzvorschriften einschließlich der Datensicherheitsvorschriften
bestehenden Pflichten zu belehren,
4. die Zutrittsberechtigung zu den Räumlichkeiten des Auftraggebers oder
Dienstleisters
zu regeln,
5. die Zugriffsberechtigung auf Daten und Programme und der Schutz der Datenträger
vor der Einsicht und Verwendung durch Unbefugte zu regeln,
6. die Berechtigung zum Betrieb der Datenverarbeitungsgeräte festzulegen
und jedes
Gerät durch Vorkehrungen bei den eingesetzten Maschinen oder Programmen
gegen die unbefugte Inbetriebnahme abzusichern,
7. Protokoll zu führen, damit tatsächlich durchgeführte Verwendungsvorgänge,
wie
insbesondere Änderungen, Abfragen und Übermittlungen, im Hinblick
auf ihre
Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können,
8. eine Dokumentation über die nach Z 1 bis 7 getroffenen Maßnahmen
zu führen, um
die Kontrolle und Beweissicherung zu erleichtern.
Diese Maßnahmen müssen unter Berücksichtigung des Standes der
Technik und der bei der
Durchführung erwachsenden Kosten ein Schutzniveau gewährleisten, das
den von der
Verwendung ausgehenden Risiken und der Art der zu schützenden Daten angemessen
ist.
(3) Nicht registrierte Übermittlungen
aus Datenanwendungen, die einer Verpflichtung zur
Auskunftserteilung gemäß § 26 unterliegen, sind so zu protokollieren,
daß dem Betroffenen
Auskunft gemäß § 26 gegeben werden kann. In der Standardverordnung
(§ 17 Abs. 2 Z 6)
oder in der Musterverordnung (§ 19 Abs. 2) vorgesehene Übermittlungen
bedürfen keiner
Protokollierung.
(4) Protokoll- und Dokumentationsdaten dürfen nicht für Zwecke verwendet
werden, die
mit ihrem Ermittlungszweck - das ist die Kontrolle der Zulässigkeit der
Verwendung des
protokollierten oder dokumentierten Datenbestandes - unvereinbar sind. Unvereinbar
ist
insbesondere die Weiterverwendung zum Zweck der Kontrolle von Betroffenen, deren
Daten
im protokollierten Datenbestand enthalten sind, oder zum Zweck der Kontrolle
jener
Personen, die auf den protokollierten Datenbestand zugegriffen haben, aus einem
anderen
Grund als jenem der Prüfung ihrer Zugriffsberechtigung, es sei denn, daß
es sich um die
Verwendung zum Zweck der Verhinderung oder Verfolgung eines Verbrechens nach
§ 278a
StGB (kriminelle Organisation) oder eines Verbrechens mit einer Freiheitsstrafe,
deren
Höchstmaß fünf Jahre übersteigt, handelt.
(5) Sofern gesetzlich nicht ausdrücklich
anderes angeordnet ist, sind Protokoll- und
Dokumentationsdaten drei Jahre lang aufzubewahren. Davon darf in jenem Ausmaß
abgewichen werden, als der von der Protokollierung oder Dokumentation betroffene
Datenbestand zulässigerweise früher gelöscht oder länger
aufbewahrt wird.
(6) Datensicherheitsvorschriften sind so zu erlassen und zur Verfügung
zu halten, daß
sich die Mitarbeiter über die für sie geltenden Regelungen jederzeit
informieren können.
Datengeheimnis
§ 15 (1) Auftraggeber, Dienstleister und ihre Mitarbeiter - das sind Arbeitnehmer
(Dienstnehmer) und Personen in einem arbeitnehmerähnlichen (dienstnehmerähnlichen)
Verhältnis - haben Daten aus Datenanwendungen, die ihnen ausschließlich
auf Grund ihrer
berufsmäßigen Beschäftigung anvertraut wurden oder zugänglich
geworden sind,
unbeschadet sonstiger gesetzlicher Verschwiegenheitspflichten, geheim zu halten,
soweit
kein rechtlich zulässiger Grund für eine Übermittlung der
anvertrauten oder zugänglich
gewordenen Daten besteht (Datengeheimnis).
(2) Mitarbeiter dürfen Daten nur
auf Grund einer ausdrücklichen Anordnung ihres
Arbeitgebers (Dienstgebers) übermitteln. Auftraggeber und Dienstleister
haben, sofern eine
solche Verpflichtung ihrer Mitarbeiter nicht schon kraft Gesetzes besteht, diese
vertraglich zu
verpflichten, daß sie Daten aus Datenanwendungen nur auf Grund von Anordnungen
übermitteln und das Datengeheimnis auch nach Beendigung des Arbeits(Dienst)verhältnisses
zum Auftraggeber oder Dienstleister einhalten werden.
(3) Auftraggeber und Dienstleister dürfen Anordnungen zur Übermittlung
von Daten nur
erteilen, wenn dies nach den Bestimmungen dieses Bundesgesetzes zulässig
ist. Sie haben
die von der Anordnung betroffenen Mitarbeiter über die für sie geltenden
Übermittlungsanordnungen und über die Folgen einer Verletzung des
Datengeheimnisses zu belehren.
(4) Unbeschadet des verfassungsrechtlichen Weisungsrechts darf einem Mitarbeiter
aus
der Verweigerung der Befolgung einer Anordnung zur Datenübermittlung wegen
Verstoßes
gegen die Bestimmungen dieses Bundesgesetzes kein Nachteil erwachsen.
4. Abschnitt / Publizität der Datenanwendungen
Datenverarbeitungsregister
§ 16 (1) Bei der Datenschutzkommission
ist ein Register der Datenanwendungen zum
Zweck der Prüfung ihrer Rechtmäßigkeit und zum Zweck der Information
der Betroffenen
eingerichtet.
(2) Jedermann kann in das Register Einsicht
nehmen. In den Registrierungsakt
einschließlich darin allenfalls enthaltener Genehmigungsbescheide ist
Einsicht zu gewähren,
wenn der Einsichtswerber glaubhaft macht, daß er Betroffener ist, und
soweit nicht
überwiegende schutzwürdige Geheimhaltungsinteressen des Auftraggebers
oder anderer
Personen entgegenstehen.
(3) Der Bundeskanzler hat die näheren Bestimmungen über die Führung
des Registers
durch Verordnung zu erlassen5. Dabei ist auf die Richtigkeit und Vollständigkeit
des
Registers, die Übersichtlichkeit und Aussagekraft der Eintragungen und
die Einfachheit der
5 Datenverarbeitungsregister-Verordnung 2002 (DVRV), BGBl. II Nr. 24/2002,
Einsichtnahme Bedacht zu nehmen. Es ist die Möglichkeit vorzusehen, eine
Meldung (§§ 17
und 19) auf automationsunterstütztem Wege vorzunehmen.
Meldepflicht des Auftraggebers
§ 17 (1) Jeder Auftraggeber hat,
soweit in den Abs. 2 und 3 nicht anderes bestimmt ist,
vor Aufnahme einer Datenanwendung eine Meldung an die Datenschutzkommission
mit dem
in § 19 festgelegten Inhalt zum Zweck der Registrierung im Datenverarbeitungsregister
zu
erstatten. Diese Meldepflicht gilt auch für Umstände, die nachträglich
die Unrichtigkeit und
Unvollständigkeit einer Meldung bewirken.
(2) Nicht meldepflichtig sind Datenanwendungen,
die
1. ausschließlich veröffentlichte Daten enthalten oder
2. die Führung von Registern oder Verzeichnissen zum Inhalt haben, die
von Gesetzes
wegen öffentlich einsehbar sind, sei es auch nur bei Nachweis eines berechtigten
Interesses oder
3. nur indirekt personenbezogene Daten enthalten oder
4. von natürlichen Personen ausschließlich für persönliche
oder familiäre Tätigkeiten
vorgenommen werden (§ 45) oder
5. für publizistische Tätigkeit gemäß § 48 vorgenommen
werden oder
6. einer Standardanwendung entsprechen: Der Bundeskanzler kann durch Verordnung
Typen von Datenanwendungen und Übermittlungen aus diesen zu Standardanwendungen
erklären, wenn sie von einer großen Anzahl von Auftraggebern in
gleichartiger Weise vorgenommen werden und angesichts des Verwendungszwecks
und der verarbeiteten Datenarten die Gefährdung schutzwürdiger Geheimhaltungsinteressen
der Betroffenen unwahrscheinlich ist. In der Verordnung sind für
jede Standardanwendung die zulässigen Datenarten, die Betroffenen- und
Empfängerkreise
und die Höchstdauer der zulässigen Datenaufbewahrung festzulegen6.
(3) Weiters sind Datenanwendungen für Zwecke
1. des Schutzes der verfassungsmäßigen Einrichtungen der Republik
Österreich oder
2. der Sicherung der Einsatzbereitschaft des Bundesheeres oder
3. der Sicherstellung der Interessen der umfassenden Landesverteidigung oder
4. des Schutzes wichtiger außenpolitischer, wirtschaftlicher oder finanzieller
Interessen
der Republik Österreich oder der Europäischen Union oder
5. der Vorbeugung, Verhinderung oder Verfolgung von Straftaten
von der Meldepflicht ausgenommen, soweit dies zur Verwirklichung des Zweckes
der
Datenanwendung notwendig ist.
Aufnahme der Verarbeitung
§ 18 (1) Der Vollbetrieb einer meldepflichtigen
Datenanwendung darf – außer in den
Fällen des Abs. 2 – unmittelbar nach Abgabe der Meldung aufgenommen
werden.
(2) Meldepflichtige Datenanwendungen,
die weder einer Musteranwendung nach
§ 19 Abs. 2 entsprechen, noch innere Angelegenheiten der anerkannten Kirchen
und
Religionsgesellschaften noch die Verwendung von Daten im Katastrophenfall für
die in § 48a
Abs. 1 genannten Zwecke betreffen, dürfen, wenn sie
1. sensible Daten enthalten oder
2. strafrechtlich relevante Daten im Sinne des § 8 Abs. 4 enthalten oder
3. die Auskunftserteilung über die Kreditwürdigkeit der Betroffenen
zum Zweck haben
oder
4. in Form eines Informationsverbundsystems durchgeführt werden sollen,
6 Verordnung des Bundeskanzlers über Standard- und Musteranwendungen nach
dem
Datenschutzgesetz 2000 (Standard- und Muster-Verordnung 2000 - StMV), BGBl. II Nr. 201/2000.
erst nach ihrer Prüfung (Vorabkontrolle) durch die Datenschutzkommission
nach den
näheren Bestimmungen des § 20 aufgenommen werden.
Notwendiger Inhalt der Meldung
§ 19 (1) Eine Meldung im Sinne des
§ 17 hat zu enthalten:
1. den Namen (die sonstige Bezeichnung) und die Anschrift des Auftraggebers
sowie
eines allfälligen Vertreters gemäß § 6 Abs. 3 oder eines
Betreibers gemäß § 50
Abs. 1, weiters die Registernummer des Auftraggebers, sofern ihm eine solche
bereits zugeteilt wurde, und
2. den Nachweis der gesetzlichen Zuständigkeit oder der rechtlichen Befugnis
für die
erlaubte Ausübung der Tätigkeit des Auftraggebers, soweit dies erforderlich
ist, und
3. den Zweck der zu registrierenden Datenanwendung und ihre Rechtsgrundlagen,
soweit sich diese nicht bereits aus den Angaben nach Z 2 ergeben, und
4. die Kreise der von der Datenanwendung Betroffenen und die über sie verarbeiteten
Datenarten und
5. die Kreise der von beabsichtigten Übermittlungen Betroffenen, die zu
übermittelnden Datenarten und die zugehörigen Empfängerkreise
- einschließlich
allfälliger ausländischer Empfängerstaaten - sowie die Rechtsgrundlagen
der
Übermittlung und
6. - soweit eine Genehmigung der Datenschutzkommission notwendig ist - die
Geschäftszahl der Genehmigung durch die Datenschutzkommission sowie
7. allgemeine Angaben über die getroffenen Datensicherheitsmaßnahmen
im Sinne
des § 14, die eine vorläufige Beurteilung der Angemessenheit der Sicherheitsvorkehrungen
erlauben.
(2) Wenn eine größere Anzahl von Auftraggebern gleichartige Datenanwendungen
vorzunehmen hat und die Voraussetzungen für die Erklärung zur Standardanwendung
nicht
vorliegen, kann der Bundeskanzler durch Verordnung Musteranwendungen festlegen7.
Meldungen über Datenanwendungen, die inhaltlich einer Musteranwendung entsprechen,
müssen nur folgendes enthalten:
1. die Bezeichnung der Datenanwendung gemäß der Musterverordnung
und
2. die Bezeichnung und Anschrift des Auftraggebers sowie den Nachweis seiner
gesetzlichen Zuständigkeit oder seiner rechtlichen Befugnis, soweit dies
erforderlich
ist, und
3. die Registernummer des Auftraggebers, sofern ihm eine solche bereits zugeteilt
wurde.
(3) Eine Meldung ist mangelhaft, wenn Angaben fehlen, offenbar unrichtig, unstimmig
oder so unzureichend sind, daß Einsichtnehmer im Hinblick auf die Wahrnehmung
ihrer
Rechte nach diesem Bundesgesetz keine hinreichende Information darüber
gewinnen
können, ob durch die Datenanwendung ihre schutzwürdigen Geheimhaltungsinteressen
verletzt sein könnten. Unstimmigkeit liegt insbesondere auch dann vor,
wenn der Inhalt einer
gemeldeten Datenanwendung durch die gemeldeten Rechtsgrundlagen nicht gedeckt
ist.
Prüfungs- und Verbesserungsverfahren
§ 20 (1) Die Datenschutzkommission hat alle Meldungen binnen zwei Monaten
zu
prüfen. Kommt sie hiebei zur Auffassung, daß eine Meldung im Sinne
des § 19 Abs. 3
mangelhaft ist, so ist dem Auftraggeber längstens innerhalb von zwei Monaten
nach
Einlangen der Meldung die Verbesserung des Mangels unter Setzung einer Frist
aufzutragen.
(2) Liegt wegen wesentlicher Gefährdung
schutzwürdiger Geheimhaltungsinteressen der
Betroffenen durch die gemeldete Datenanwendung Gefahr im Verzug vor, so hat
die
7 Siehe FN 6. Datenschutzkommission die Weiterführung der Datenanwendung
mit Bescheid
gemäß § 57
Abs. 1 AVG vorläufig zu untersagen.
(3) Bei Datenanwendungen, die gemäß
§ 18 Abs. 2 der Vorabkontrolle unterliegen, ist
gleichzeitig mit einem allfälligen Auftrag zur Verbesserung darüber
abzusprechen, ob die
Verarbeitung bereits aufgenommen werden darf oder ob dies mangels Nachweises
ausreichender Rechtsgrundlagen für die gemeldete Datenanwendung nicht zulässig
ist.
(4) Wird einem Verbesserungsauftrag nicht fristgerecht entsprochen, so hat die
Datenschutzkommission die Registrierung mit Bescheid abzulehnen; andernfalls
gilt die
Meldung als ursprünglich richtig eingebracht.
(5) Wird innerhalb von zwei Monaten nach Erstattung der Meldung kein Auftrag
zur
Verbesserung erteilt, gilt die Meldepflicht als erfüllt. Bei Datenanwendungen,
die der
Vorabkontrolle gemäß § 18 Abs. 2 unterliegen, darf die Verarbeitung
aufgenommen werden.
(6) Im Registrierungsverfahren haben Auftraggeber des öffentlichen Bereichs
auch
hinsichtlich der Datenanwendungen, die sie in Vollziehung der Gesetze durchführen,
Parteistellung.
Registrierung
§ 21 (1) Meldungen gemäß
§ 19 sind in das Datenverarbeitungsregister einzutragen,
wenn
1. das Prüfungsverfahren die Zulässigkeit
der Registrierung ergeben hat oder
2. zwei Monate nach Einlangung der Meldung bei der Datenschutzkommission
verstrichen sind, ohne daß ein Verbesserungsauftrag gemäß §
20 Abs. 1 erteilt
wurde oder
3. der Auftraggeber die verlangten Verbesserungen fristgerecht vorgenommen hat.
Die in der Meldung enthaltenen Angaben über Datensicherheitsmaßnahmen
sind im
Register nicht ersichtlich zu machen.
(2) Bei Datenanwendungen, die gemäß
§ 18 Abs. 2 der Vorabkontrolle unterliegen,
können auf Grund der Ergebnisse des Prüfungsverfahrens dem Auftraggeber
Auflagen für
die Vornahme der Datenanwendung durch Bescheid erteilt werden, soweit dies zur
Wahrung
der durch dieses Bundesgesetz geschützten Interessen der Betroffenen notwendig
ist.
(3) Dem Auftraggeber ist die Durchführung der Registrierung schriftlich
in Form eines
Registerauszuges mitzuteilen.
(4) Jedem Auftraggeber ist bei der erstmaligen Registrierung eine Registernummer
zuzuteilen.
Richtigstellung des Registers
§ 22 (1) Streichungen und Änderungen
im Datenverarbeitungsregister sind auf Antrag
des Eingetragenen oder in den Fällen der Abs. 2 und 4 von Amts wegen durchzuführen.
(2) Gelangen der Datenschutzkommission
aus amtlichen Verlautbarungen Änderungen
in der Bezeichnung oder der Anschrift des Auftraggebers zur Kenntnis, so sind
die
Eintragungen von Amts wegen zu berichtigen. Ergibt sich aus einer amtlichen
Verlautbarung
der Wegfall der Rechtsgrundlage des Auftraggebers, ist von Amts wegen die Streichung
aus
dem Register anzuordnen.
(3) Änderungen oder Streichungen nach Abs. 2 sind ohne weiteres Ermittlungsverfahren
durch Bescheid zu verfügen.
(4) Werden der Datenschutzkommission andere als die in Abs. 2 bezeichneten
Umstände bekannt, die den Verdacht der Mangelhaftigkeit einer Registrierung
im Sinne des
§ 19 Abs. 3 oder der rechtswidrigen Unterlassung einer Meldung begründen,
so hat die
Datenschutzkommission ein Verfahren zur Feststellung des für die Erfüllung
der Meldepflicht
erheblichen Sachverhalts einzuleiten und das Datenverarbeitungsregister entsprechend
dem
Ergebnis des Verfahrens zu berichtigen.
Pflicht zur Offenlegung nicht-meldepflichtiger Datenanwendungen
§ 23 (1) Auftraggeber einer Standardanwendung
haben jedermann auf Anfrage
mitzuteilen, welche Standardanwendungen sie tatsächlich vornehmen.
(2) Nicht-meldepflichtige Datenanwendungen
sind der Datenschutzkommission bei
Ausübung ihrer Kontrollaufgaben gemäß § 30 offenzulegen.
Informationspflicht des Auftraggebers
§ 24 (1) Der Auftraggeber einer Datenanwendung hat aus Anlaß der
Ermittlung von
Daten die Betroffenen in geeigneter Weise
1. über den Zweck der Datenanwendung,
für die die Daten ermittelt werden, und
2. über Namen und Adresse des Auftraggebers,
zu informieren, sofern diese Informationen dem Betroffenen nach den Umständen
des Falles
nicht bereits vorliegen.
(2) Über Abs. 1 hinausgehende Informationen sind in geeigneter Weise zu
geben, wenn
dies für eine Verarbeitung nach Treu und Glauben erforderlich ist; dies
gilt insbesondere
dann, wenn
1. gegen eine beabsichtigte Verarbeitung oder Übermittlung von Daten ein
Widerspruchsrecht
des Betroffenen gemäß § 28 besteht oder
2. es für den Betroffenen nach den Umständen des Falles nicht klar
erkennbar ist, ob
er zur Beantwortung der an ihn gestellten Fragen rechtlich verpflichtet ist,
oder
3. Daten in einem Informationsverbundsystem verarbeitet werden sollen, ohne
daß
dies gesetzlich vorgesehen ist.
(3) Werden Daten nicht durch Befragung des Betroffenen, sondern durch Übermittlung
von Daten aus anderen Aufgabengebieten desselben Auftraggebers oder aus Anwendungen
anderer Auftraggeber ermittelt, darf die Information gemäß Abs. 1
entfallen, wenn
1. die Datenverwendung durch Gesetz oder Verordnung vorgesehen ist oder
2. die Information im Hinblick auf die mangelnde Erreichbarkeit von Betroffenen
unmöglich ist oder
3. wenn sie angesichts der Unwahrscheinlichkeit einer Beeinträchtigung
der
Betroffenenrechte einerseits und der Kosten der Information aller Betroffenen
andererseits einen unverhältnismäßigen Aufwand erfordert. Dies
liegt insbesondere
dann vor, wenn Daten für Zwecke der wissenschaftlichen Forschung oder Statistik
gemäß § 46 oder Adreßdaten im Rahmen des § 47 ermittelt
werden und die
Information des Betroffenen in diesen Bestimmungen nicht ausdrücklich
vorgeschrieben ist. Der Bundeskanzler kann durch Verordnung weitere Fälle
festlegen, in welchen die Pflicht zur Information entfällt.
(4) Keine Informationspflicht besteht bei jenen Datenanwendungen, die gemäß
§ 17
Abs. 2 und 3 nicht meldepflichtig sind.
Pflicht zur Offenlegung der Identität des Auftraggebers
§ 25 (1) Bei Übermittlungen und bei Mitteilungen an Betroffene hat
der Auftraggeber
seine Identität in geeigneter Weise offenzulegen, sodaß den Betroffenen
die Verfolgung ihrer
Rechte möglich ist. Bei meldepflichtigen Datenanwendungen ist in Mitteilungen
an Betroffene
die Registernummer des Auftraggebers anzuführen.
(2) Werden Daten aus einer Datenanwendung
für Zwecke einer vom Auftraggeber
verschiedenen Person verwendet, ohne daß diese ihrerseits ein Verfügungsrecht
über die
verwendeten Daten und damit die Eigenschaft eines Auftraggebers in Bezug auf
die Daten
erlangt, dann ist bei Mitteilungen an den Betroffenen neben der Identität
der Person, für
deren Zwecke die Daten verwendet werden, auch die Identität des Auftraggebers
anzugeben, aus dessen Datenanwendung die Daten stammen. Handelt es sich hiebei
um
eine meldepflichtige Datenanwendung, ist die Registernummer des Auftraggebers
beizufügen. Diese Pflicht trifft sowohl den Auftraggeber als auch denjenigen,
in dessen
Namen die Mitteilung an den Betroffenen erfolgt.
5. Abschnitt
Die Rechte des Betroffenen
Auskunftsrecht
§ 26 (1) Der Auftraggeber hat dem
Betroffenen Auskunft über die zu seiner Person
verarbeiteten Daten zu geben, wenn der Betroffene dies schriftlich verlangt
und seine
Identität in geeigneter Form nachweist. Mit Zustimmung des Auftraggebers
kann das
Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten
Daten,
die verfügbaren Informationen über ihre Herkunft, allfällige
Empfänger oder Empfängerkreise v
on Übermittlungen, den Zweck der
Datenverwendung sowie die Rechtsgrundlagen hiefür in
allgemein verständlicher Form anzuführen. Auf Verlangen des Betroffenen
sind auch Namen
und Adresse von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung
seiner
Daten beauftragt sind. Mit Zustimmung des Betroffenen kann anstelle der schriftlichen
Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme
und der
Abschrift oder Ablichtung gegeben werden.
(2) Die Auskunft ist nicht zu erteilen,
soweit dies zum Schutz des Betroffenen aus
besonderen Gründen notwendig ist oder soweit überwiegende berechtigte
Interessen des
Auftraggebers oder eines Dritten, insbesondere auch überwiegende öffentliche
Interessen,
der Auskunftserteilung entgegenstehen. Überwiegende öffentliche Interessen
können sich
hiebei aus der Notwendigkeit
1. des Schutzes der verfassungsmäßigen Einrichtungen der Republik
Österreich oder
2. der Sicherung der Einsatzbereitschaft des Bundesheeres oder
3. der Sicherung der Interessen der umfassenden Landesverteidigung oder
4. des Schutzes wichtiger außenpolitischer, wirtschaftlicher oder finanzieller
Interessen
der Republik Österreich oder der Europäischen Union oder
5. der Vorbeugung, Verhinderung oder Verfolgung von Straftaten
ergeben. Die Zulässigkeit der Auskunftsverweigerung aus den Gründen
der Z 1 bis 5
unterliegt der Kontrolle durch die Datenschutzkommission nach § 30 Abs.
3 und dem
besonderen Beschwerdeverfahren vor der Datenschutzkommission gemäß
§ 31 Abs. 4.
(3) Der Betroffene hat am Auskunftsverfahren über Befragung in dem ihm
zumutbaren
Ausmaß mitzuwirken, um ungerechtfertigten und unverhältnismäßigen
Aufwand beim
Auftraggeber zu vermeiden.
(4) Innerhalb von acht Wochen nach Einlangen des Begehrens ist die Auskunft
zu
erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig
erteilt wird. Von
der Erteilung der Auskunft kann auch deshalb abgesehen werden, weil der Betroffene
am
Verfahren nicht gemäß Abs. 3 mitgewirkt oder weil er den Kostenersatz
nicht geleistet hat.
(5) In jenen Bereichen der Vollziehung, die mit der Wahrnehmung der in Abs.
2 Z 1 bis 5
bezeichneten Aufgaben betraut sind, ist, soweit dies zum Schutz jener öffentlichen
Interessen notwendig ist, die eine Auskunftsverweigerung erfordert, folgendermaßen
vorzugehen: Es ist in allen Fällen, in welchen keine Auskunft erteilt wird
– also auch weil
tatsächlich keine Daten verwendet werden –, anstelle einer inhaltlichen
Begründung der
Hinweis zu geben, daß keine der Auskunftspflicht unterliegenden Daten
über den
Betroffenen verwendet werden. Die Zulässigkeit dieser Vorgangsweise unterliegt
der
Kontrolle durch die Datenschutzkommission nach § 30 Abs. 3 und dem besonderen
Beschwerdeverfahren vor der Datenschutzkommission nach § 31 Abs. 4.
(6) Die Auskunft ist unentgeltlich zu erteilen, wenn sie den aktuellen Datenbestand
einer
Datenanwendung betrifft und wenn der Betroffene im laufenden Jahr noch kein
Auskunftsersuchen an den Auftraggeber zum selben Aufgabengebiet gestellt hat.
In allen
anderen Fällen kann ein pauschalierter Kostenersatz von 18,89 Euro verlangt
werden, von
dem wegen tatsächlich erwachsender höherer Kosten abgewichen werden
darf. Ein etwa
geleisteter Kostenersatz ist ungeachtet allfälliger Schadenersatzansprüche
zurückzuerstatten,
wenn Daten rechtswidrig verwendet wurden oder wenn die Auskunft sonst zu
einer Richtigstellung geführt hat.
(7) Ab dem Zeitpunkt der Kenntnis von einem Auskunftsverlangen darf der Auftraggeber
Daten über den Betroffenen innerhalb eines Zeitraums von vier Monaten und
im Falle der
Erhebung einer Beschwerde gemäß § 31 an die Datenschutzkommission
bis zum
rechtskräftigen Abschluß des Verfahrens nicht vernichten.
(8) Soweit Datenanwendungen von Gesetzes wegen öffentlich einsehbar sind,
hat der
Betroffene ein Recht auf Auskunft in dem Umfang, in dem ein Einsichtsrecht besteht.
Für das
Verfahren der Einsichtnahme gelten die näheren Regelungen der das öffentliche
Buch oder
Register einrichtenden Gesetze.
(9) Für Auskünfte aus dem Strafregister gelten die besonderen Bestimmungen
des
Strafregistergesetzes 1968 über Strafregisterbescheinigungen.
(10) Im Falle der auf Grund von Rechtsvorschriften, Standesregeln oder Verhaltensregeln
gemäß § 6 Abs. 4 eigenverantwortlichen Entscheidung über
die Durchführung einer
Datenanwendung durch einen Auftragnehmer gemäß § 4 Z 4, dritter
Satz, kann der
Betroffene sein Auskunftsbegehren zunächst auch an denjenigen richten,
der die Herstellung
des Werkes aufgetragen hat. Dieser hat dem Betroffenen, soweit dies nicht ohnehin
bekannt
ist, binnen zwei Wochen unentgeltlich Namen und Adresse des eigenverantwortlichen
Auftragnehmers mitzuteilen, damit der Betroffene sein Auskunftsrecht gemäß
Abs. 1 gegen
diesen geltend machen kann.
Recht auf Richtigstellung oder Löschung
§ 27 (1) Jeder Auftraggeber hat unrichtige
oder entgegen den Bestimmungen dieses
Bundesgesetzes verarbeitete Daten richtigzustellen oder zu löschen, und
zwar
1. aus eigenem, sobald ihm die Unrichtigkeit
von Daten oder die Unzulässigkeit ihrer
Verarbeitung bekannt geworden ist, oder
2. auf begründeten Antrag des Betroffenen.
Der Pflicht zur Richtigstellung nach Z 1 unterliegen nur solche Daten, deren
Richtigkeit für
den Zweck der Datenanwendung von Bedeutung ist. Die Unvollständigkeit verwendeter
Daten bewirkt nur dann einen Berichtigungsanspruch, wenn sich aus der Unvollständigkeit
im Hinblick auf den Zweck der Datenanwendung die Unrichtigkeit der Gesamtinformation
ergibt. Sobald Daten für den Zweck der Datenanwendung nicht mehr benötigt
werden, gelten
sie als unzulässig verarbeitete Daten und sind zu löschen, es sei
denn, daß ihre Archivierung
rechtlich zulässig ist und daß der Zugang zu diesen Daten besonders
geschützt ist. Die
Weiterverwendung von Daten für einen anderen Zweck ist nur zulässig,
wenn eine
Übermittlung der Daten für diesen Zweck zulässig ist; die Zulässigkeit
der Weiterverwendung
für wissenschaftliche oder statistische Zwecke ergibt sich aus den §§
46 und 47.
(2) Der Beweis der Richtigkeit der Daten
obliegt – sofern gesetzlich nicht ausdrücklich
anderes angeordnet ist – dem Auftraggeber, soweit die Daten nicht ausschließlich
auf Grund
von Angaben des Betroffenen ermittelt wurden.
(3) Eine Richtigstellung oder Löschung von Daten ist ausgeschlossen, soweit
der
Dokumentationszweck einer Datenanwendung nachträgliche Änderungen
nicht zuläßt. Die
erforderlichen Richtigstellungen sind diesfalls durch entsprechende zusätzliche
Anmerkungen zu bewirken.
(4) Innerhalb von acht Wochen nach Einlangen eines Antrags auf Richtigstellung
oder
Löschung ist dem Antrag zu entsprechen und dem Betroffenen davon Mitteilung
zu machen
oder schriftlich zu begründen, warum die verlangte Löschung oder Richtigstellung
nicht
vorgenommen wird.
(5) In jenen Bereichen der Vollziehung, die mit der Wahrnehmung der in §
26 Abs. 2 Z 1
bis 5 bezeichneten Aufgaben betraut sind, ist, soweit dies zum Schutz jener
öffentlichen
Interessen notwendig ist, die eine Geheimhaltung erfordern, mit einem Richtigstellungs-
oder
Löschungsantrag folgendermaßen zu verfahren: Die Richtigstellung
oder Löschung ist
vorzunehmen, wenn das Begehren des Betroffenen nach Auffassung des Auftraggebers
berechtigt ist. Die gemäß Abs. 4 erforderliche Mitteilung an den
Betroffenen hat in allen
Fällen dahingehend zu lauten, daß die Überprüfung der Datenbestände
des Auftraggebers
im Hinblick auf das Richtigstellungs- oder Löschungsbegehren durchgeführt
wurde. Die
Zulässigkeit dieser Vorgangsweise unterliegt der Kontrolle durch die
Datenschutzkommission nach § 30 Abs. 3 und dem besonderen Beschwerdeverfahren
vor
der Datenschutzkommission nach § 31 Abs. 4.
(6) Wenn die Löschung oder Richtigstellung von Daten auf ausschließlich
automationsunterstützt lesbaren Datenträgern aus Gründen der
Wirtschaftlichkeit nur zu
bestimmten Zeitpunkten vorgenommen werden kann, sind bis dahin die zu löschenden
Daten für den Zugriff zu sperren und die zu berichtigenden Daten mit einer
berichtigenden
Anmerkung zu versehen.
(7) Werden Daten verwendet, deren Richtigkeit der Betroffene bestreitet, und
läßt sich
weder ihre Richtigkeit noch ihre Unrichtigkeit feststellen, so ist auf Verlangen
des
Betroffenen ein Vermerk über die Bestreitung beizufügen. Der Bestreitungsvermerk
darf nur
mit Zustimmung des Betroffenen oder auf Grund einer Entscheidung des zuständigen
Gerichtes oder der Datenschutzkommission gelöscht werden.
(8) Wurden im Sinne des Abs. 1 richtiggestellte oder gelöschte Daten vor
der
Richtigstellung oder Löschung übermittelt, so hat der Auftraggeber
die Empfänger dieser
Daten hievon in geeigneter Weise zu verständigen, sofern dies keinen unverhältnismäßigen
Aufwand, insbesondere im Hinblick auf das Vorhandensein eines berechtigten Interesses
an
der Verständigung, bedeutet und die Empfänger noch feststellbar sind.
(9) Die Regelungen der Abs. 1 bis 8 gelten für das gemäß Strafregistergesetz
1968
geführte Strafregister sowie für öffentliche Bücher und
Register, die von Auftraggebern des
öffentlichen Bereichs geführt werden, nur insoweit als für
1. die Verpflichtung zur Richtigstellung und Löschung von Amts wegen oder
2. das Verfahren der Durchsetzung und die Zuständigkeit zur Entscheidung
über
Berichtigungs- und Löschungsanträge von Betroffenen
durch Bundesgesetz nicht anderes bestimmt ist.
Widerspruchsrecht
§ 28 (1) Sofern die Verwendung von
Daten nicht gesetzlich vorgesehen ist, hat jeder
Betroffene das Recht, gegen die Verwendung seiner Daten wegen Verletzung überwiegender
schutzwürdiger Geheimhaltungsinteressen, die sich aus seiner besonderen
Situation ergeben, beim Auftraggeber der Datenanwendung Widerspruch zu erheben.
Der
Auftraggeber hat bei Vorliegen dieser Voraussetzungen die Daten des Betroffenen
binnen
acht Wochen aus seiner Datenanwendung zu löschen und allfällige
Übermittlungen zu
unterlassen.
(2) Gegen eine nicht gesetzlich angeordnete
Aufnahme in eine öffentlich zugängliche
Datei kann der Betroffene jederzeit auch ohne Begründung seines Begehrens
Widerspruch
erheben. Die Daten sind binnen acht Wochen zu löschen.
Die Rechte des Betroffenen bei der Verwendung nur indirekt personenbezogener
Daten
§ 29 Die durch die §§ 26 bis 28 gewährten Rechte können
nicht geltend gemacht
werden, soweit nur indirekt personenbezogene Daten verwendet werden.
6. Abschnitt / Rechtsschutz
Kontrollbefugnisse der Datenschutzkommission
§ 30 (1) Jedermann kann sich wegen
einer behaupteten Verletzung seiner Rechte oder
ihn betreffender Pflichten eines Auftraggebers oder Dienstleisters nach diesem
Bundesgesetz mit einer Eingabe an die Datenschutzkommission wenden.
(2) Die Datenschutzkommission kann im
Fall eines begründeten Verdachtes auf
Verletzung der im Abs. 1 genannten Rechte und Pflichten Datenanwendungen überprüfen.
Hiebei kann sie vom Auftraggeber oder Dienstleister der überprüften
Datenanwendung
insbesondere alle notwendigen Aufklärungen verlangen und Einschau in Datenanwendungen
und diesbezügliche Unterlagen begehren.
(3) Datenanwendungen, die der Vorabkontrolle gemäß § 18 Abs.
2 unterliegen, dürfen
auch ohne Vorliegen eines Verdachts auf rechtswidrige Datenverwendung überprüft
werden.
Dies gilt auch für jene Bereiche der Vollziehung, in welchen ein Auftraggeber
des
öffentlichen Bereichs die grundsätzliche Anwendbarkeit der §§
26 Abs. 5 und 27 Abs. 5 in
Anspruch nimmt.
(4) Zum Zweck der Einschau ist die Datenschutzkommission nach Verständigung
des
Inhabers der Räumlichkeiten und des Auftraggebers (Dienstleisters) berechtigt,
Räume, in
welchen Datenanwendungen vorgenommen werden, zu betreten, Datenverarbeitungsanlagen
in Betrieb zu setzen, die zu überprüfenden Verarbeitungen durchzuführen
sowie
Kopien von Datenträgern in dem für die Ausübung der Kontrollbefugnisse
unbedingt
erforderlichen Ausmaß herzustellen. Der Auftraggeber (Dienstleister) hat
die für die Einschau
notwendige Unterstützung zu leisten. Die Kontrolltätigkeit ist unter
möglichster Schonung der
Rechte des Auftraggebers (Dienstleisters) und Dritter auszuüben.
(5) Informationen, die der Datenschutzkommission oder ihren Beauftragten bei
der
Kontrolltätigkeit zukommen, dürfen ausschließlich für die
Kontrolle im Rahmen der
Vollziehung datenschutzrechtlicher Vorschriften verwendet werden. Die Pflicht
zur
Verschwiegenheit besteht auch gegenüber Gerichten und Verwaltungsbehörden,
insbesondere Abgabenbehörden; dies allerdings mit der Maßgabe, daß
dann, wenn die
Einschau den Verdacht einer strafbaren Handlung nach den §§ 51 oder
52 dieses
Bundesgesetzes oder eines Verbrechens nach § 278a StGB (kriminelle Organisation)
oder
eines Verbrechens mit einer Freiheitsstrafe, deren Höchstmaß fünf
Jahre übersteigt, ergibt,
Anzeige zu erstatten ist und hinsichtlich solcher Verbrechen und Vergehen auch
dem
Ersuchen der Strafgerichte nach § 26 StPO zu entsprechen ist.
(6) Zur Herstellung des rechtmäßigen Zustandes kann die Datenschutzkommission
Empfehlungen aussprechen, für deren Befolgung erforderlichenfalls eine
angemessene Frist
zu setzen ist. Wird einer solchen Empfehlung innerhalb der gesetzten Frist nicht
entsprochen, so kann die Datenschutzkommission je nach der Art des Verstoßes
von Amts
wegen insbesondere
1. ein Verfahren zur Überprüfung der Registrierung gemäß
§ 22 Abs. 4 einleiten, oder
2. Strafanzeige nach §§ 51 oder 52 erstatten, oder
3. bei schwerwiegenden Verstößen durch Auftraggeber des privaten
Bereichs Klage
vor dem zuständigen Gericht gemäß § 32 Abs. 5 erheben,
oder
4. bei Verstößen von Auftraggebern, die Organe einer Gebietskörperschaft
sind, das
zuständige oberste Organ befassen. Dieses Organ hat innerhalb einer
angemessenen, jedoch zwölf Wochen nicht überschreitenden Frist entweder
dafür
Sorge zu tragen, daß der Empfehlung der Datenschutzkommission entsprochen
wird, oder der Datenschutzkommission mitzuteilen, warum der Empfehlung nicht
entsprochen wurde. Die Begründung darf von der Datenschutzkommission der
Öffentlichkeit in geeigneter Weise zur Kenntnis gebracht werden, soweit
dem nicht
die Amtsverschwiegenheit entgegensteht.
(7) Der Einschreiter ist darüber
zu informieren, wie mit seiner Eingabe verfahren wurde.
Beschwerde an die Datenschutzkommission
§ 31 (1) Die Datenschutzkommission erkennt auf Antrag des Betroffenen über
behauptete Verletzungen des Rechtes auf Auskunft gemäß § 26
durch den Auftraggeber
einer Datenanwendung, soweit sich das Auskunftsbegehren nicht auf die Verwendung
von
Daten für Akte der Gesetzgebung oder der Gerichtsbarkeit bezieht.
(2) Zur Entscheidung über behauptete
Verletzungen der Rechte eines Betroffenen auf
Geheimhaltung, auf Richtigstellung oder auf Löschung nach diesem Bundesgesetz
ist die
Datenschutzkommission dann zuständig, wenn der Betroffene seine Beschwerde
gegen
einen Auftraggeber des öffentlichen Bereichs richtet, der nicht als Organ
der Gesetzgebung
oder der Gerichtsbarkeit tätig ist.
(3) Bei Gefahr im Verzug kann die Datenschutzkommission im Zuge der Behandlung
einer Beschwerde nach Abs. 2 die weitere Verwendung von Daten zur Gänze
oder teilweise
untersagen oder auch – bei Streitigkeiten über die Richtigkeit von
Daten – dem Auftraggeber
die Anbringung eines Bestreitungsvermerks auftragen.
(4) Beruft sich ein Auftraggeber des öffentlichen Bereichs bei einer Beschwerde
wegen
Verletzung des Auskunfts-, Richtigstellungs- oder Löschungsrechts gegenüber
der
Datenschutzkommission auf die §§ 26 Abs. 5 oder 27 Abs. 5, so hat
diese nach Überprüfung
der Notwendigkeit der Geheimhaltung die geschützten öffentlichen Interessen
in ihrem
Verfahren zu wahren. Kommt sie zur Auffassung, daß die Geheimhaltung von
verarbeiteten
Daten gegenüber dem Betroffenen nicht gerechtfertigt war, ist die Offenlegung
der Daten mit
Bescheid aufzutragen. Gegen diese Entscheidung der Datenschutzkommission kann
die
belangte Behörde Beschwerde an den Verwaltungsgerichtshof erheben. Wurde
keine
derartige Beschwerde eingebracht und wird dem Bescheid der Datenschutzkommission
binnen acht Wochen nicht entsprochen, so hat die Datenschutzkommission die Offenlegung
der Daten gegenüber dem Betroffenen selbst vorzunehmen und ihm die verlangte
Auskunft
zu erteilen oder ihm mitzuteilen, welche Daten bereits berichtigt oder gelöscht
wurden.
Anrufung der Gerichte
§ 32 (1) Ansprüche gegen Auftraggeber des privaten Bereichs wegen
Verletzung der
Rechte des Betroffenen auf Geheimhaltung, auf Richtigstellung oder auf Löschung
sind vom
Betroffenen auf dem Zivilrechtsweg geltend zu machen.
(2) Sind Daten entgegen den Bestimmungen
dieses Bundesgesetzes verwendet
worden, so hat der Betroffene Anspruch auf Unterlassung und Beseitigung des
diesem
Bundesgesetz widerstreitenden Zustandes.
(3) Zur Sicherung der auf dieses Bundesgesetz gestützten Ansprüche
auf Unterlassung
können einstweilige Verfügungen erlassen werden, auch wenn die in
§ 381 EO bezeichneten
Voraussetzungen nicht zutreffen. Dies gilt auch für Verfügungen über
die Verpflichtung zur
Anbringung eines Bestreitungsvermerks.
(4) Für Klagen und Anträge auf Erlassung einer einstweiligen Verfügung
nach diesem
Bundesgesetz ist in erster Instanz das mit der Ausübung der Gerichtsbarkeit
in bürgerlichen
Rechtssachen betraute Landesgericht zuständig, in dessen Sprengel der Betroffene
seinen
gewöhnlichen Aufenthalt oder Sitz hat. Klagen des Betroffenen können
aber auch bei dem
Landesgericht erhoben werden, in dessen Sprengel der Auftraggeber oder der Dienstleister
seinen gewöhnlichen Aufenthalt oder Sitz hat.
(5) Die Datenschutzkommission hat in Fällen,
in welchen der begründete Verdacht einer
schwerwiegenden Datenschutzverletzung durch einen Auftraggeber des privaten
Bereichs
besteht, gegen diesen eine Feststellungsklage (§ 228 ZPO) bei dem gemäß
Abs. 4 zweiter
Satz zuständigen Gericht zu erheben.
(6) Die Datenschutzkommission hat, wenn ein Betroffener es verlangt und es zur
Wahrung der nach diesem Bundesgesetz geschützten Interessen einer größeren
Zahl von
Betroffenen geboten ist, einem Rechtsstreit auf Seiten des Betroffenen als
Nebenintervenient (§§ 17 ff ZPO) beizutreten.
Schadenersatz
§ 33 (1) Ein Auftraggeber oder Dienstleister,
der Daten schuldhaft entgegen den
Bestimmungen dieses Bundesgesetzes verwendet, hat dem Betroffenen den erlittenen
Schaden nach den allgemeinen Bestimmungen des bürgerlichen Rechts zu ersetzen.
Werden durch die öffentlich zugängliche Verwendung der in § 18
Abs. 2 Z 1 bis 3 genannten
Datenarten schutzwürdige Geheimhaltungsinteressen eines Betroffenen in
einer Weise
verletzt, die einer Eignung zur Bloßstellung gemäß § 7
Abs. 1 des Mediengesetzes, BGBl.
Nr. 314/1981, gleichkommt, so gilt diese Bestimmung auch in Fällen, in
welchen die
öffentlich zugängliche Verwendung nicht in Form der Veröffentlichung
in einem Medium
geschieht. Der Anspruch auf angemessene Entschädigung für die erlittene
Kränkung ist
gegen den Auftraggeber der Datenverwendung geltend zu machen.
(2) Der Auftraggeber und der Dienstleister
haften auch für das Verschulden ihrer Leute,
soweit deren Tätigkeit für den Schaden ursächlich war.
(3) Der Auftraggeber kann sich von seiner Haftung befreien, wenn er nachweist,
daß der
Umstand, durch den der Schaden eingetreten ist, ihm und seinen Leuten (Abs.
2) nicht zur
Last gelegt werden kann. Dasselbe gilt für die Haftungsbefreiung des Dienstleisters.
Für den
Fall eines Mitverschuldens des Geschädigten oder einer Person, deren Verhalten
er zu
vertreten hat, gilt § 1304 ABGB.
(4) Die Zuständigkeit für Klagen nach Abs. 1 richtet sich nach §
32 Abs. 4.
Gemeinsame Bestimmungen
§ 34 (1) Der Anspruch auf Behandlung
einer Eingabe nach § 30, einer Beschwerde nach
§ 31 oder einer Klage nach § 32 erlischt, wenn der Einschreiter sie
nicht binnen eines
Jahres, nachdem er Kenntnis von dem beschwerenden Ereignis erlangt hat, längstens
aber
binnen drei Jahren, nachdem das Ereignis behauptetermaßen stattgefunden
hat, einbringt.
Dies ist dem Einschreiter im Falle einer verspäteten Eingabe gemäß
§ 30 mitzuteilen;
verspätete Beschwerden nach § 31 und Klagen nach § 32 sind abzuweisen.
(2) Eingaben nach § 30, Beschwerden
nach § 31, Klagen nach § 32 sowie
Schadenersatzansprüche nach § 33 können nicht nur auf die Verletzung
der Vorschriften
dieses Bundesgesetzes, sondern auch auf die Verletzung von datenschutzrechtlichen
Vorschriften eines anderen Mitgliedstaates der Europäischen Union gegründet
werden,
soweit solche Vorschriften gemäß § 3 im Inland anzuwenden sind.
(3) Ist die vermutete Verletzung schutzwürdiger Geheimhaltungsinteressen
eines
Betroffenen im Inland gemäß § 3 nach der Rechtsordnung eines
anderen Mitgliedstaats der
Europäischen Union zu beurteilen, so kann die Datenschutzkommission im
Falle ihrer
Befassung die zuständige ausländische Datenschutzkontrollstelle um
Unterstützung
ersuchen.
(4) Die Datenschutzkommission hat den
Unabhängigen Datenschutzkontrollstellen der
anderen Mitgliedstaaten der Europäischen Union über Ersuchen Amtshilfe
zu leisten.
7. Abschnitt / Kontrollorgane
Datenschutzkommission und Datenschutzrat
§ 35 (1) Zur Wahrung des Datenschutzes
sind nach den näheren Bestimmungen dieses
Bundesgesetzes – unbeschadet der Zuständigkeit des Bundeskanzlers
und der ordentlichen
Gerichte – die Datenschutzkommission und der Datenschutzrat berufen.
(2) (Verfassungsbestimmung) Die Datenschutzkommission
übt ihre Befugnisse auch
gegenüber den in Art. 19 B-VG bezeichneten obersten Organen der Vollziehung
aus.
Zusammensetzung der Datenschutzkommission
§ 36 (1) Die Datenschutzkommission besteht aus sechs Mitgliedern, die auf
Vorschlag
der Bundesregierung vom Bundespräsidenten für die Dauer von fünf
Jahren bestellt werden.
Wiederbestellungen sind zulässig. Die Mitglieder müssen rechtskundig
sein. Ein Mitglied
muß dem Richterstand angehören.
(2) Die Vorbereitung des Vorschlages der
Bundesregierung für die Bestellung der
Mitglieder der Datenschutzkommission obliegt dem Bundeskanzler. Er hat dabei
Bedacht zu
nehmen auf:
1. einen Dreiervorschlag des Präsidenten des Obersten Gerichtshofs für
das
richterliche Mitglied,
2. einen Vorschlag der Länder für zwei Mitglieder,
3. einen Dreiervorschlag der Bundeskammer für Arbeiter und Angestellte
für ein
Mitglied,
4. einen Dreiervorschlag der Wirtschaftskammer Österreich für ein
Mitglied.
Alle vorgeschlagenen Personen sollen Erfahrung auf dem Gebiet des Datenschutzes
besitzen.
(3) Ein Mitglied ist aus dem Kreise der rechtskundigen Bundesbeamten vorzuschlagen.
(4) Für jedes Mitglied ist ein Ersatzmitglied zu bestellen. Das Ersatzmitglied
tritt bei
Verhinderung des Mitglieds an dessen Stelle. Die Funktionsperiode des Ersatzmitglieds
endet mit der Funktionsperiode des Mitglieds; für den Fall der vorzeitigen
Beendigung der
Funktionsperiode des Mitglieds gilt Abs. 8.
(5) Der Datenschutzkommission können nicht angehören:
1. Mitglieder der Bundesregierung oder einer Landesregierung sowie Staatssekretäre;
2. Personen, die zum Nationalrat nicht wählbar sind.
(6) Hat ein Mitglied der Datenschutzkommission Einladungen zu drei aufeinanderfolgenden
Sitzungen ohne genügende Entschuldigung keine Folge geleistet oder tritt
bei einem Mitglied ein Ausschließungsgrund des Abs. 5 nachträglich
ein, so hat dies nach
seiner Anhörung die Datenschutzkommission festzustellen. Diese Feststellung
hat den
Verlust der Mitgliedschaft zur Folge. Im übrigen kann ein Mitglied der
Datenschutzkommission nur aus einem schwerwiegenden Grund durch Beschluß
der
Datenschutzkommission, dem mindestens drei ihrer Mitglieder zustimmen müssen,
seines
Amtes für verlustig erklärt werden. Die Mitgliedschaft endet auch,
wenn das Mitglied seine
Funktion durch schriftliche Erklärung an den Bundeskanzler zurücklegt.
(7) Auf die Ersatzmitglieder sind die
Abs. 2, 3, 5 und 6 wie auf Mitglieder anzuwenden.
(8) Scheidet ein Mitglied wegen Todes, freiwillig oder gemäß Abs.
6 vorzeitig aus, so
wird das betreffende Ersatzmitglied (Abs. 4) Mitglied der Datenschutzkommission
bis zum
Ablauf der Funktionsperiode des ausgeschiedenen Mitglieds. Unter Anwendung der
Abs. 2
und 3 ist für diese Zeit ein neues Ersatzmitglied zu bestellen. Scheidet
ein Ersatzmitglied
vorzeitig aus, ist unverzüglich ein neues Ersatzmitglied zu bestellen.
(9) Die Mitglieder und Ersatzmitglieder der Datenschutzkommission haben Anspruch
auf
Ersatz der Reisekosten (Gebührenstufe 38) nach Maßgabe der für
Bundesbeamte geltenden
Rechtsvorschriften. Sie haben ferner Anspruch auf eine dem Zeit- und Arbeitsaufwand
entsprechende Vergütung, die auf Antrag des Bundeskanzlers von der Bundesregierung
durch Verordnung festzusetzen ist9.
Weisungsfreiheit der Datenschutzkommission (Verfassungsbestimmung)
§ 37 (1) Die Mitglieder der Datenschutzkommission
sind in Ausübung ihres Amtes
unabhängig und an keine Weisungen gebunden. >
(2) Die in der Geschäftsstelle der
Datenschutzkommission tätigen Bediensteten
unterstehen fachlich nur den Weisungen des Vorsitzenden oder des geschäftsführenden
Mitglieds der Datenschutzkommission.
Organisation und Geschäftsführung der Datenschutzkommission
§ 38 (1) (Verfassungsbestimmung)
Die Datenschutzkommission hat sich eine
Geschäftsordnung zu geben, in der eines ihrer Mitglieder mit der Führung
der laufenden
Geschäfte zu betrauen ist (geschäftsführendes Mitglied). Diese
Betrauung umfaßt auch die
Erlassung von verfahrensrechtlichen Bescheiden und von Mandatsbescheiden im
Registrierungsverfahren gemäß § 20 Abs. 2 oder § 22 Abs.
3. Inwieweit einzelne fachlich
geeignete Bedienstete der Geschäftsstelle der Datenschutzkommission zum
Handeln für die
Datenschutzkommission oder das geschäftsführende Mitglied ermächtigt
werden, bestimmt
die Geschäftsordnung.
(2) Für die Unterstützung in
der Geschäftsführung der Datenschutzkommission hat der
Bundeskanzler eine Geschäftsstelle einzurichten und die notwendige Sach-
und
Personalausstattung bereitzustellen.
(3) Die Datenschutzkommission ist vor Erlassung von Verordnungen anzuhören,
die auf
der Grundlage dieses Bundesgesetzes ergehen oder sonst wesentliche Fragen des
Datenschutzes unmittelbar betreffen.
(4) Die Datenschutzkommission hat spätestens alle zwei Jahre einen Bericht
über ihre
Tätigkeit zu erstellen und in geeigneter Weise zu veröffentlichen.
Der Bericht ist dem
Bundeskanzler zur Kenntnis zu übermitteln.
8 Gebührenstufe 3 nach der Reisegebührenvorschrift 1955, BGBl. Nr.
133/1955 idgF.
9 Seit 1. Mai 2006 gilt die Verordnung der Bundesregierung über die Vergütungen
für die Mitglieder
der Datenschutzkommission (DSK-Vergütungsverordnung), BGBl. II Nr. 145/2006
(vorher galt die
Verordnung der Bundesregierung vom 30. September 1980 über die Vergütungen
für die Mitglieder
der Datenschutzkommission, BGBl. Nr. 427/1980)
Beschlüsse der Datenschutzkommission
§ 39 (1) Die Datenschutzkommission
ist bei Anwesenheit aller sechs Mitglieder
beschlußfähig. Für den Fall der Verhinderung eines Mitglieds
gilt § 36 Abs. 4.
(2) Das richterliche Mitglied führt
den Vorsitz.
(3) Für einen gültigen Beschluß der Datenschutzkommission ist
die Zustimmung der
Mehrheit der abgegebenen Stimmen notwendig. Bei Stimmengleichheit gibt die Stimme
des
Vorsitzenden den Ausschlag. Stimmenthaltung ist unzulässig.
(4) Entscheidungen der Datenschutzkommission von grundsätzlicher Bedeutung
für die
Allgemeinheit sind von der Datenschutzkommission unter Beachtung der Erfordernisse
der
Amtsverschwiegenheit in geeigneter Weise zu veröffentlichen.
Wirkung von Bescheiden der Datenschutzkommission und des geschäftsführenden Mitglieds
§ 40 (1) Gegen Bescheide, die das geschäftsführende Mitglied
der Datenschutzkommission
gemäß § 20 Abs. 2 oder § 22 Abs. 3 in Verbindung mit §
38 Abs. 1 erlassen hat,
ist die Vorstellung an die Datenschutzkommission gemäß § 57
Abs. 2 AVG zulässig. Eine
Vorstellung gegen einen gemäß § 22 Abs. 3 ergangenen Bescheid
hat aufschiebende
Wirkung.
(2) Gegen Bescheide der Datenschutzkommission
ist kein Rechtsmittel zulässig. Sie
unterliegen nicht der Aufhebung oder Abänderung im Verwaltungsweg. Die
Anrufung des
Verwaltungsgerichtshofes durch die Parteien des Verfahrens ist außer in
den Fällen des
Abs. 1 zulässig. Dies gilt auch für die in Vollziehung der Gesetze
tätigen Auftraggeber des
öffentlichen Bereichs in jenen Fällen, in welchen ihnen gemäß
§ 13 Abs. 3 oder § 20 Abs. 6
Parteistellung zukommt oder durch Gesetz ausdrücklich ein Beschwerderecht
an den
Verwaltungsgerichtshof eingeräumt wurde.
(3) Bescheide, mit welchen gemäß § 13 Übermittlungen oder
Überlassungen von Daten
ins Ausland genehmigt wurden, sind zu widerrufen, wenn die rechtlichen und tatsächlichen
Voraussetzungen für die Erteilung der Genehmigung, insbesondere auch infolge
einer
gemäß § 55 ergangenen Kundmachung des Bundeskanzlers, nicht
mehr bestehen.
(4) Wenn die Datenschutzkommission eine Verletzung von Bestimmungen dieses
Bundesgesetzes durch einen Auftraggeber des öffentlichen Bereichs festgestellt
hat, so hat
dieser mit den ihm zu Gebote stehenden rechtlichen Mitteln unverzüglich
den der
Rechtsanschauung der Datenschutzkommission entsprechenden Zustand herzustellen.
Einrichtung und Aufgaben des Datenschutzrates
§ 41 (1) Beim Bundeskanzleramt ist ein Datenschutzrat eingerichtet.
(2) Der Datenschutzrat berät die
Bundesregierung und die Landesregierungen auf deren
Ersuchen in rechtspolitischen Fragen des Datenschutzes. Zur Erfüllung dieser
Aufgabe
1. kann der Datenschutzrat Fragen von grundsätzlicher Bedeutung für
den Datenschutz
in Beratung ziehen;
2. ist dem Datenschutzrat Gelegenheit zur Stellungnahme zu Gesetzesentwürfen
der
Bundesministerien zu geben, soweit diese datenschutzrechtlich von Bedeutung
sind;
3. haben Auftraggeber des öffentlichen Bereichs ihre Vorhaben dem Datenschutzrat
zur Stellungnahme zuzuleiten, soweit diese datenschutzrechtlich von Bedeutung
sind;
4. hat der Datenschutzrat das Recht, von Auftraggebern des öffentlichen
Bereichs
Auskünfte und Berichte sowie die Einsicht in Unterlagen zu verlangen, soweit
dies
zur datenschutzrechtlichen Beurteilung von Vorhaben mit wesentlichen
Auswirkungen auf den Datenschutz in Österreich notwendig ist;
5. kann der Datenschutzrat Auftraggeber des privaten Bereichs oder auch ihre
gesetzliche Interessenvertretung zur Stellungnahme zu Entwicklungen von
allgemeiner Bedeutung auffordern, die aus datenschutzrechtlicher Sicht Anlaß
zu
Bedenken, zumindest aber Anlaß zur Beobachtung geben;
6. kann der Datenschutzrat seine Beobachtungen, Bedenken und allfälligen
Anregungen zur Verbesserung des Datenschutzes in Österreich der Bundesregierung
und den Landesregierungen mitteilen, sowie über Vermittlung dieser
Organe den gesetzgebenden Körperschaften zur Kenntnis bringen.
(3) Abs. 2 Z 3 und 4 gilt nicht, soweit innere Angelegenheiten der anerkannten
Kirchen
und Religionsgesellschaften betroffen sind.
Zusammensetzung des Datenschutzrates § 42 (1)
Dem Datenschutzrat gehören an: 1.
Vertreter der politischen Parteien: Von der im
Hauptausschuß des Nationalrates
am
stärksten vertretenen Partei sind vier Vertreter, von der am zweitstärksten
vertretenen Partei sind drei Vertreter und von jeder anderen im Hauptausschuß
des
Nationalrates vertretenen Partei ist ein Vertreter in den Datenschutzrat zu
entsenden. Bei Mandatsgleichheit der beiden im Nationalrat am stärksten
vertretenen Parteien entsendet jede dieser Parteien drei Vertreter;
2. je ein Vertreter der Bundeskammer für Arbeiter und Angestellte und der
Wirtschaftskammer Österreich;
3. zwei Vertreter der Länder;
4. je ein Vertreter des Gemeindebundes und des Städtebundes;
5. ein vom Bundeskanzler zu ernennender Vertreter des Bundes.
(2) Die in Abs. 1 Z 3, 4 und 5 genannten Vertreter sollen berufliche Erfahrung
auf dem
Gebiet der Informatik und des Datenschutzes haben.
(3) Für jedes Mitglied ist ein Ersatzmitglied namhaft zu machen.
(4) Dem Datenschutzrat können Mitglieder der Bundesregierung oder einer
Landesregierung sowie Staatssekretäre und weiters Personen, die zum Nationalrat
nicht
wählbar sind, nicht angehören.
(5) Die Mitglieder gehören dem Datenschutzrat solange an, bis sie dem Bundeskanzler
schriftlich ihr Ausscheiden mitteilen oder, mangels einer solchen Mitteilung,
von der
entsendenden Stelle (Abs. 1) dem Bundeskanzler ein anderer Vertreter namhaft
gemacht
wird.
(6) Die Tätigkeit der Mitglieder des Datenschutzrates ist ehrenamtlich.
Mitglieder des
Datenschutzrates, die außerhalb von Wien wohnen, haben im Fall der Teilnahme
an
Sitzungen des Datenschutzrates Anspruch auf Ersatz der Reisekosten (Gebührenstufe
3)
nach Maßgabe der für Bundesbeamte geltenden Rechtsvorschriften.
Vorsitz und Geschäftsführung des Datenschutzrates
§ 43 (1) Der Datenschutzrat gibt sich mit Beschluß eine Geschäftsordnung.
(2) Der Datenschutzrat hat aus seiner
Mitte einen Vorsitzenden und zwei
stellvertretende Vorsitzende zu wählen. Die Funktionsperiode des Vorsitzenden
und der
stellvertretenden Vorsitzenden dauert - unbeschadet des § 42 Abs. 5 - fünf
Jahre.
Wiederbestellungen
sind zulässig.
(3) Die Geschäftsführung des
Datenschutzrates obliegt dem Bundeskanzleramt. Der
Bundeskanzler hat das hiefür notwendige Personal zur Verfügung zu
stellen. Bei ihrer
Tätigkeit für den Datenschutzrat sind die Bediensteten des Bundeskanzleramtes
fachlich an
die Weisungen des Vorsitzenden des Datenschutzrates gebunden.
Sitzungen und Beschlußfassung des Datenschutzrates
§ 44 (1) Die Sitzungen des Datenschutzrates
werden vom Vorsitzenden nach Bedarf
einberufen. Begehrt ein Mitglied die Einberufung einer Sitzung, so hat der Vorsitzende
die
Sitzung so einzuberufen, daß sie binnen vier Wochen stattfinden kann.
(2) Zu den Sitzungen kann der Vorsitzende nach Bedarf Sachverständige zuziehen.
(3) Für Beratungen und Beschlußfassungen im Datenschutzrat ist die
Anwesenheit von
mehr als der Hälfte seiner Mitglieder erforderlich. Zur Beschlußfassung
genügt die einfache
Mehrheit der abgegebenen Stimmen. Bei Stimmengleichheit gibt die Stimme des
Vorsitzenden den Ausschlag. Stimmenthaltung ist unzulässig. Die Beifügung
von
Minderheitenvoten ist zulässig
(4) Der Datenschutzrat kann aus seiner Mitte ständige oder nichtständige
Arbeitsausschüsse bilden, denen er die Vorbereitung, Begutachtung und Bearbeitung
einzelner Angelegenheiten übertragen kann. Er ist auch berechtigt, die
Geschäftsführung,
Vorbegutachtung und die Bearbeitung einzelner Angelegenheiten einem einzelnen
Mitglied
(Berichterstatter) zu übertragen.
(5) Jedes Mitglied des Datenschutzrates ist verpflichtet, an den Sitzungen -
außer im
Fall der gerechtfertigten Verhinderung - teilzunehmen. Ist ein Mitglied an der
Teilnahme
verhindert, hat es hievon unverzüglich das Ersatzmitglied zu verständigen.
(6) Mitglieder der Datenschutzkommission, die dem Datenschutzrat nicht angehören,
sind berechtigt, an den Sitzungen des Datenschutzrates oder seiner Arbeitsausschüsse
teilzunehmen. Ein Stimmrecht steht ihnen nicht zu.
(7) Die Beratungen in der Sitzung des Datenschutzrates sind, soweit er nicht
selbst
anderes beschließt, vertraulich.
(8) Die Mitglieder des Datenschutzrates, die anwesenden Mitglieder der
Datenschutzkommission und die zur Sitzung gemäß Abs. 2 zugezogenen
Sachverständigen
sind zur Verschwiegenheit über alle ihnen ausschließlich aus ihrer
Tätigkeit im
Datenschutzrat bekanntgewordenen Tatsachen verpflichtet, sofern die Geheimhaltung
im
öffentlichen Interesse oder im Interesse einer Partei geboten ist.
8. Abschnitt / Besondere Verwendungszwecke von Daten
Private Zwecke
§ 45 (1) Für ausschließlich
persönliche oder familiäre Tätigkeiten dürfen natürliche
Personen Daten verarbeiten, wenn sie ihnen vom Betroffenen selbst mitgeteilt
wurden oder
ihnen sonst rechtmäßigerweise, insbesondere in Übereinstimmung
mit § 7 Abs. 2,
zugekommen sind.
(2) Daten, die eine natürliche Person
für ausschließlich persönliche oder familiäre
Tätigkeiten verarbeitet, dürfen, soweit gesetzlich nicht ausdrücklich
anderes vorgesehen ist,
für andere Zwecke nur mit Zustimmung des Betroffenen übermittelt werden.
Wissenschaftliche Forschung und Statistik
§ 46 (1) Für Zwecke wissenschaftlicher oder statistischer Untersuchungen,
die keine
personenbezogenen Ergebnisse zum Ziel haben, darf der Auftraggeber der Untersuchung
alle Daten verwenden, die
1. öffentlich zugänglich sind
oder
2. der Auftraggeber für andere Untersuchungen oder auch andere Zwecke zulässigerweise
ermittelt hat oder
3. für den Auftraggeber nur indirekt personenbezogen sind.
Andere Daten dürfen nur unter den Voraussetzungen des Abs. 2 Z 1 bis 3
verwendet
werden.
(2) Bei Datenanwendungen für Zwecke wissenschaftlicher Forschung und Statistik,
die
nicht unter Abs. 1 fallen, dürfen Daten, die nicht öffentlich zugänglich
sind, nur
1. gemäß besonderen gesetzlichen Vorschriften oder
2. mit Zustimmung des Betroffenen oder
3. mit Genehmigung der Datenschutzkommission gemäß Abs. 3
verwendet werden.
(3) Eine Genehmigung der Datenschutzkommission für die Verwendung von Daten
für
Zwecke der wissenschaftlichen Forschung oder Statistik ist zu erteilen, wenn
1. die Einholung der Zustimmung der Betroffenen mangels ihrer Erreichbarkeit
unmöglich ist oder sonst einen unverhältnismäßigen Aufwand
bedeutet und
2. ein öffentliches Interesse an der beantragten Verwendung besteht und
3. die fachliche Eignung des Antragstellers glaubhaft gemacht wird.
Sollen sensible Daten übermittelt werden, muß ein wichtiges öffentliches
Interesse an der
Untersuchung vorliegen; weiters muß gewährleistet sein, daß
die Daten beim Empfänger nur
von Personen verwendet werden, die hinsichtlich des Gegenstandes der Untersuchung
einer
gesetzlichen Verschwiegenheitspflicht unterliegen oder deren diesbezügliche
Verläßlichkeit
sonst glaubhaft ist. Die Datenschutzkommission kann die Genehmigung an die Erfüllung
von
Bedingungen und Auflagen knüpfen, soweit dies zur Wahrung der schutzwürdigen
Interessen
der Betroffenen, insbesondere bei der Verwendung sensibler Daten, notwendig
ist.
(4) Rechtliche Beschränkungen der Zulässigkeit der Benützung
von Daten aus anderen,
insbesondere urheberrechtlichen Gründen bleiben unberührt.
(5) Auch in jenen Fällen, in welchen gemäß den vorstehenden
Bestimmungen die
Verwendung von Daten für Zwecke der wissenschaftlichen Forschung oder Statistik
in
personenbezogener Form zulässig ist, ist der direkte Personsbezug unverzüglich
zu
verschlüsseln, wenn in einzelnen Phasen der wissenschaftlichen oder statistischen
Arbeit mit
nur indirekt personenbezogenen Daten das Auslangen gefunden werden kann. Sofern
gesetzlich nicht ausdrücklich anderes vorgesehen ist, ist der Personsbezug
der Daten
gänzlich zu beseitigen, sobald er für die wissenschaftliche oder statistische
Arbeit nicht mehr
notwendig ist.
Zurverfügungstellung von Adressen
zur Benachrichtigung und Befragung von Betroffenen
§ 47 (1) Soweit gesetzlich nicht ausdrücklich anderes bestimmt ist,
bedarf die
Übermittlung von Adreßdaten eines bestimmten Kreises von Betroffenen
zum Zweck ihrer
Benachrichtigung oder Befragung der Zustimmung der Betroffenen.
(2) Wenn allerdings angesichts der Auswahlkriterien
für den Betroffenenkreis und des
Gegenstands der Benachrichtigung oder Befragung eine Beeinträchtigung der
Geheimhaltungsinteressen der Betroffenen unwahrscheinlich ist, bedarf es keiner
Zustimmung, wenn
1. Daten desselben Auftraggebers verwendet werden oder
2. bei einer beabsichtigten Übermittlung der Adreßdaten an Dritte
a) an der Benachrichtigung oder Befragung auch ein öffentliches Interesse
besteht
oder
b) der Betroffene nach entsprechender Information über Anlaß und
Inhalt derÜbermittlung
innerhalb angemessener Frist keinen Widerspruch gegen die Übermittlung
erhoben hat.
(3) Liegen die Voraussetzungen des Abs.
2 nicht vor und würde die Einholung der
Zustimmung der Betroffenen gemäß Abs. 1 einen unverhältnismäßigen
Aufwand erfordern,
ist die Übermittlung der Adreßdaten mit Genehmigung der Datenschutzkommission
gemäß
Abs. 4 zulässig, falls die Übermittlung an Dritte
1. zum Zweck der Benachrichtigung oder Befragung aus einem wichtigen Interesse
des Betroffenen selbst oder
2. aus einem wichtigen öffentlichen Benachrichtigungs- oder Befragungsinteresse
oder
3. zur Befragung der Betroffenen für wissenschaftliche oder statistische
Zwecke
erfolgen soll.
(4) Die Datenschutzkommission hat die Genehmigung zur Übermittlung zu erteilen,
wenn der Antragsteller das Vorliegen der in Abs. 3 genannten Voraussetzungen
glaubhaft
macht und überwiegende schutzwürdige Geheimhaltungsinteressen der
Betroffenen der
Übermittlung nicht entgegenstehen. Die Datenschutzkommission kann die Genehmigung
an
die Erfüllung von Bedingungen und Auflagen knüpfen, soweit dies zur
Wahrung der
schutzwürdigen Interessen der Betroffenen, insbesondere bei der Verwendung
sensibler
Daten als Auswahlkriterium, notwendig ist.
(5) Die übermittelten Adreßdaten dürfen ausschließlich
für den genehmigten Zweck
verwendet werden und sind zu löschen, sobald sie für die Benachrichtigung
oder Befragung
nicht mehr benötigt werden.
(6) In jenen Fällen, in welchen es gemäß den vorstehenden Bestimmungen
zulässig ist,
Namen und Adresse von Personen, die einem bestimmten Betroffenenkreis angehören,
zu
übermitteln, dürfen auch die zum Zweck der Auswahl der zu übermittelnden
Adreßdaten
notwendigen Verarbeitungen vorgenommen werden.
Publizistische Tätigkeit
§ 48 (1) Soweit Medienunternehmen, Mediendienste oder ihre Mitarbeiter
Daten
unmittelbar für ihre publizistische Tätigkeit im Sinne des Mediengesetzes
verwenden, sind
von den einfachgesetzlichen Bestimmungen des vorliegenden Bundesgesetzes nur
die §§ 4
bis 6, 10, 11, 14 und 15 anzuwenden.
(2) Die Verwendung von Daten für
Tätigkeiten nach Abs. 1 ist insoweit zulässig, als dies
zur Erfüllung der Informationsaufgabe der Medienunternehmer, Mediendienste
und ihrer
Mitarbeiter in Ausübung des Grundrechtes auf freie Meinungsäußerung
gemäß Art. 10
Abs. 1 EMRK erforderlich ist.
(3) Im übrigen gelten die Bestimmungen des Mediengesetzes, insbesondere
seines
dritten Abschnitts über den Persönlichkeitsschutz.
Verwendung von Daten im Katastrophenfall
§ 48a. (1) Auftraggeber des öffentlichen Bereiches sind im Katastrophenfall
ermächtigt,
Daten zu verwenden, soweit dies zur Hilfeleistung für die von der Katastrophe
unmittelbar
betroffenen Personen, zur Auffindung und Identifizierung von Abgängigen
und Verstorbenen
und zur Information von Angehörigen notwendig ist. Zu diesem Zweck sind
auch
Hilfsorganisationen (Abs. 6) nach Maßgabe der ihnen zukommenden Aufgaben
und
rechtlichen Befugnis ermächtigt, Daten zu verwenden. Wenn dies zur raschen
Bewältigung
der Katastrophe notwendig ist, darf eine Datenverwendung in Form der Teilnahme
an einem
Informationsverbundsystem erfolgen. Wer rechtmäßig über Daten
verfügt, darf diese an
Auftraggeber des öffentlichen Bereiches und Hilfsorganisationen übermitteln,
sofern diese
die Daten zur Bewältigung der Katastrophe für die genannten Zwecke
benötigen. Die Daten
sind unverzüglich zu löschen, wenn sie für die Erfüllung
des konkreten Zwecks nicht mehr
benötigt werden.
(2) Eine Überlassung oder Übermittlung
von Daten in das Ausland ist zulässig, soweit
dies für die Erfüllung der in Abs. 1 genannten Zwecke notwendig ist.
Wenn dies zur raschen
Bewältigung der Katastrophe notwendig ist, darf eine Datenverwendung durch
Auftraggeber
des öffentlichen Bereichs und Hilfsorganisationen in Form der Teilnahme
an einem
Informationsverbundsystem, an dem auch ausländische Auftraggeber beteiligt
sind, erfolgen.
Die Übermittlung erkennungsdienstlicher und sensibler Daten zu Identifizierungszwecken
an
ein derartiges System darf erst stattfinden, wenn auf Grund von Erhebungen konkrete
Anhaltspunkte dafür vorliegen, dass die vermisste Person verstorben sein
dürfte. Daten, die
für sich allein den Betroffenen strafrechtlich belasten, dürfen nicht
übermittelt werden, es sei
denn, dass diese zur Identifizierung im Einzelfall unbedingt notwendig sind.
Die Übermittlung
von Daten Angehöriger darf nur in pseudonymisierter Form erfolgen. Daten
dürfen in Staaten
ohne angemessenes Datenschutzniveau nur übermittelt oder überlassen
werden, wenn der
Auftraggeber auf Grund schriftlicher Vereinbarungen mit dem Empfänger oder
auf Grund
schriftlicher Zusagen des Empfängers oder, wenn dies nach den Umständen
nicht oder nicht
in angemessener Zeit möglich ist, durch Erteilung von Auflagen an den Empfänger
davon
ausgehen kann, dass die schutzwürdigen Geheimhaltungsinteressen der vom
geplanten
Datenverkehr Betroffenen auch im Ausland ausreichend gewahrt werden. Eine Übermittlungoder
Überlassung hat dann zu unterbleiben, wenn Grund zur Annahme besteht, dass
der
Empfänger nicht für den gebotenen Schutz der Geheimhaltungsinteressen
der Betroffenen
Sorge tragen oder ausdrückliche datenschutzrechtliche Auflagen des Auftraggebers
missachten werde. Während der Dauer der Katastrophensituation entfällt
im Hinblick auf
§ 12 Abs. 3 Z 3 die Genehmigungspflicht. Die Datenschutzkommission ist
von den
veranlassten Übermittlungen und Überlassungen und den näheren
Umständen des Anlass
gebenden Sachverhaltes jedoch unverzüglich zu verständigen. Die Datenschutzkommission
kann zum Schutz der Betroffenenrechte Datenübermittlungen oder -überlassungen
untersagen, wenn der durch die Datenweitergabe bewirkte Eingriff in das Grundrecht
auf
Datenschutz durch die besonderen Umstände der Katastrophensituation nicht
gerechtfertigt ist.
(3) Auf Grund einer konkreten Anfrage eines nahen Angehörigen einer tatsächlich
oder vermutlich von der Katastrophe unmittelbar betroffenen Person sind Auftraggeber
ermächtigt, dem Anfragenden Daten über die Reise in das und aus dem
Katastrophengebiet,
Aufenthaltsdaten im Katastrophengebiet sowie Daten über den Stand der Ausforschung
von
betroffenen Personen zu übermitteln, wenn der Angehörige folgende
Daten bekannt gibt:
1. Vor- und Zuname, Geburtsdatum sowie
Wohnadresse der tatsächlich oder
vermutlich von der Katastrophe betroffenen Person und
2. seinen Vor- und Zunamen, sein Geburtsdatum, seine Wohnadresse und sonstige
Erreichbarkeit sowie seine Angehörigeneigenschaft zur betroffenen Person.
Bestehen Zweifel an der Angehörigeneigenschaft und können diese durch
Überprüfungen
nicht ausgeräumt werden, ist ein Nachweis der Identität und Angehörigeneigenschaft
notwendig.
(4) Über Abs. 3 hinaus dürfen
nahen Angehörigen von Auftraggebern des öffentlichen
Bereiches und Hilfsorganisationen Daten einschließlich sensibler Daten
über tatsächlich oder
vermutlich unmittelbar von der Katastrophe betroffene Personen nur übermittelt
werden,
wenn sie ihre Identität und ihre Angehörigeneigenschaft nachweisen
und die Auskunft zur
Wahrung ihrer Rechte oder jener der betroffenen Person erforderlich ist. Die
Sozialversicherungsträger sind verpflichtet, die Auftraggeber des öffentlichen
Bereiches und
Hilfsorganisationen bei der Überprüfung der Daten gemäß
Abs. 3 und der Angehörigenbeziehung
zu unterstützen. Behörden sind ermächtigt, die zur Überprüfung
dieser Angaben
notwendigen Daten im Wege der Amtshilfe zu ermitteln und für diesen Zweck
zu verwenden.
(5) Als nahe Angehörige im Sinne dieser Bestimmung sind Eltern, Kinder,
Ehegatten
und Lebensgefährten der Betroffenen zu verstehen. Andere Angehörige
dürfen die
erwähnten Auskünfte unter denselben Voraussetzungen wie nahe Angehörige
dann
erhalten, wenn sie eine besondere Nahebeziehung zu der von der Katastrophe tatsächlich
oder vermutlich unmittelbar betroffenen Person glaubhaft machen.
(6) Eine Hilfsorganisation im Sinne dieser Bestimmung ist eine allgemein anerkannte
gemeinnützige Organisation, die statuten- oder satzungsgemäß
das Ziel hat, Menschen in
Notsituationen zu unterstützen und von der angenommen werden kann, dass
sie in
wesentlichem Ausmaß eine Hilfeleistung im Katastrophenfall erbringen kann.
(7) Alle Datenverwendungen sind im Sinne des § 14 Abs. 2 Z 7 zu protokollieren.
(8) Die Zulässigkeit von Datenverwendungen auf der Grundlage anderer in
den §§ 8
und 9 genannter Tatbestände bleibt unberührt.
9. Abschnitt / Besondere Verwendungsarten von Daten
Automatisierte Einzelentscheidungen
§ 49 (1) Niemand darf einer für
ihn rechtliche Folgen nach sich ziehenden oder einer ihn
erheblich beeinträchtigenden Entscheidung unterworfen werden, die ausschließlich
auf
Grund einer automationsunterstützten Verarbeitung von Daten zum Zweck der
Bewertung
einzelner Aspekte seiner Person ergeht, wie beispielsweise seiner beruflichen
Leistungsfähigkeit, seiner Kreditwürdigkeit, seiner Zuverlässigkeit
oder seines Verhaltens.
(2) Abweichend von Abs. 1 darf eine Person
einer ausschließlich automationsunterstützt
erzeugten Entscheidung unterworfen werden, wenn
1. dies gesetzlich ausdrücklich vorgesehen ist oder
2. die Entscheidung im Rahmen des Abschlusses oder der Erfüllung eines
Vertrages
ergeht und dem Ersuchen des Betroffenen auf Abschluß oder Erfüllung
des
Vertrages stattgegeben wurde oder
3. die Wahrung der berechtigten Interessen des Betroffenen durch geeignete
Maßnahmen – beispielsweise die Möglichkeit, seinen Standpunkt
geltend zu
machen – garantiert wird.
(3) Dem Betroffenen ist bei automatisierten Einzelentscheidungen auf Antrag
der
logische Ablauf der automatisierten Entscheidungsfindung in allgemein verständlicher
Form
darzulegen.
Informationsverbundsysteme
§ 50 (1) Die Auftraggeber eines Informationsverbundsystems
haben, soweit dies nicht
bereits durch Gesetz geregelt ist, einen geeigneten Betreiber für das System
zu bestellen.
Name (Bezeichnung) und Anschrift des Betreibers sind in der Meldung zwecks Eintragung
in
das Datenverarbeitungsregister bekannt zu geben. Unbeschadet des Rechtes des
Betroffenen auf Auskunft nach § 26 hat der Betreiber jedem Betroffenen
auf Antrag binnen
zwölf Wochen alle Auskünfte zu geben, die notwendig sind, um den für
die Verarbeitung
seiner Daten im System verantwortlichen Auftraggeber festzustellen; in Fällen,
in welchen
der Auftraggeber gemäß § 26 Abs. 5 vorzugehen hätte, hat
der Betreiber mitzuteilen, daß
kein der Pflicht zur Auskunftserteilung unterliegender Auftraggeber benannt
werden kann.
Die Unterstützungspflicht des Betreibers gilt auch bei Anfragen von Behörden.
Den Betreiber
trifft überdies die Verantwortung für die notwendigen Maßnahmen
der Datensicherheit (§ 14)
im Informationsverbundsystem. Von der Haftung für diese Verantwortung kann
sich der
Betreiber unter den gleichen Voraussetzungen, wie sie in § 33 Abs. 3 vorgesehen
sind,
befreien. Wird ein Informationsverbundsystem geführt, ohne daß eine
entsprechende
Meldung an die Datenschutzkommission unter Angabe eines Betreibers erfolgt ist,
treffen
jeden einzelnen Auftraggeber die Pflichten des Betreibers.
(2) Durch entsprechenden Rechtsakt können
auch weitere Auftraggeberpflichten auf den
Betreiber übertragen werden. Soweit dies nicht durch Gesetz geschehen ist,
ist dieser
Pflichtenübergang gegenüber den Betroffenen und den für die Vollziehung
dieses
Bundesgesetzes zuständigen Behörden nur wirksam, wenn er - auf Grund
einer
entsprechenden Meldung an die Datenschutzkommission - aus der Registrierung
im Datenverarbeitungsregister
ersichtlich ist.
(3) Die Bestimmungen der Abs. 1 und 2 gelten nicht, soweit infolge der besonderen,
insbesondere internationalen Struktur eines bestimmten Informationsverbundsystems
gesetzlich ausdrücklich anderes vorgesehen ist.
10. Abschnitt Strafbestimmungen
Datenverwendung in Gewinn- oder Schädigungsabsicht
§ 51.(1) Wer in der Absicht, sich
einen Vermögensvorteil zu verschaffen oder einem
anderen einen Nachteil zuzufügen, personenbezogene Daten, die ihm ausschließlich
auf
Grund seiner berufsmäßigen Beschäftigung anvertraut oder zugänglich
geworden sind oder
die er sich widerrechtlich verschafft hat, selbst benützt, einem anderen
zugänglich macht
oder veröffentlicht, obwohl der Betroffene an diesen Daten ein schutzwürdiges
Geheimhaltungsinteresse hat, ist, wenn die Tat nicht nach einer anderen Bestimmung
mit
strengerer Strafe bedroht ist, vom Gericht mit Freiheitsstrafe bis zu einem
Jahr zu bestrafen.
(2) Der Täter ist nur mit Ermächtigung des Verletzten zu verfolgen.
Verwaltungsstrafbestimmung
§ 52 (1) Sofern die Tat nicht den
Tatbestand einer in die Zuständigkeit der Gerichte
fallenden strafbaren Handlung bildet oder nach anderen Verwaltungsstrafbestimmungen
mit
strengerer Strafe bedroht ist, begeht eine Verwaltungsübertretung, die
mit Geldstrafe bis zu
18 890 Euro zu ahnden ist, wer
1. sich vorsätzlich widerrechtlichen
Zugang zu einer Datenanwendung verschafft oder
einen erkennbar widerrechtlichen Zugang vorsätzlich aufrechterhält
oder
2. Daten vorsätzlich in Verletzung des Datengeheimnisses (§ 15) übermittelt,
insbesondere Daten, die ihm gemäß §§ 46 oder 47 anvertraut
wurden, vorsätzlich
für andere Zwecke verwendet oder
3. Daten entgegen einem rechtskräftigen Urteil oder Bescheid verwendet,
nicht
beauskunftet, nicht richtigstellt oder nicht löscht oder
4. Daten vorsätzlich entgegen § 26 Abs. 7 löscht;
5. sich unter Vortäuschung falscher Tatsachen vorsätzlich Daten gemäß
§ 48a
verschafft.
(2) Sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der
Gerichte fallenden
strafbaren Handlung bildet, begeht eine Verwaltungsübertretung, die mit
Geldstrafe bis zu
9 445 Euro zu ahnden ist, wer
1. Daten ermittelt, verarbeitet oder übermittelt, ohne seine Meldepflicht
gemäß § 17
erfüllt zu haben oder
2. Daten ins Ausland übermittelt oder überläßt, ohne die
erforderliche Genehmigung
der Datenschutzkommission gemäß § 13 eingeholt zu haben oder
3. seine Offenlegungs- oder Informationspflichten gemäß den §§
23, 24 oder 25
verletzt oder
4. die gemäß § 14 erforderlichen Sicherheitsmaßnahmen
gröblich außer Acht läßt.
(3) Der Versuch ist strafbar.
(4) Die Strafe des Verfalls von Datenträgern und Programmen kann ausgesprochen
werden (§§ 10, 17 und 18 VStG), wenn diese Gegenstände mit einer
Verwaltungsübertretung nach Abs. 1 oder 2 in Zusammenhang stehen.
(5) Zuständig für Entscheidungen nach Abs. 1 bis 4 ist die Bezirksverwaltungsbehörde,
in deren Sprengel der Auftraggeber (Dienstleister) seinen gewöhnlichen
Aufenthalt oder Sitz
hat. Falls ein solcher im Inland nicht gegeben ist, ist die am Sitz der Datenschutzkommission
eingerichtete Bezirksverwaltungsbehörde zuständig.
11. Abschnitt / Übergangs- und Schlußbestimmungen
Befreiung von Gebühren, Abgaben und vom Kostenersatz
§ 53 (1) Die durch dieses Bundesgesetz
unmittelbar veranlaßten Eingaben der
Betroffenen zur Wahrung ihrer Interessen sowie die Eingaben im Registrierungsverfahren
und die gemäß § 21 Abs. 3 zu erstellenden Registerauszüge
sind von den Stempelgebühren
und von den Verwaltungsabgaben des Bundes befreit. >
(2) Für Abschriften aus dem Datenverarbeitungsregister,
die ein Betroffener zur
Verfolgung seiner Rechte benötigt, ist kein Kostenersatz zu verlangen.
Mitteilungen an die Europäische Kommission und an die anderen Mitgliedstaaten der Europäischen Union
§ 54 (1) Von der Erlassung eines
Bundesgesetzes, das die Zulässigkeit der Verarbeitung
sensibler Daten betrifft, hat der Bundeskanzler anläßlich der Kundmachung
des Gesetzes im
Bundesgesetzblatt der Europäischen Kommission Mitteilung zu machen.
(2) Die Datenschutzkommission hat den
anderen Mitgliedstaaten der Europäischen
Union und der Europäischen Kommission mitzuteilen, in welchen Fällen
1. keine Genehmigung für den Datenverkehr in ein Drittland erteilt wurde,
weil die
Voraussetzungen des § 13 Abs. 2 Z 1 nicht als gegeben erachtet wurden;
2. der Datenverkehr in ein Drittland ohne angemessenes Datenschutzniveau
genehmigt wurde, weil die Voraussetzungen des § 13 Abs. 2 Z 2 als gegeben erachtet wurden.
Feststellungen der Europäischen Kommission
§ 55 Der Inhalt der in einem Verfahren gemäß Art. 31 Abs. 2
der Richtlinie 95/46/EG des
Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher
Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr,
ABl. Nr. L 281 vom 23. November 1995, S. 31, getroffenen Feststellungen der
Europäischen
Kommission über
1. das Vorliegen oder Nichtvorliegen eines
angemessenen Datenschutzniveaus in einem Drittland oder
2. die Eignung bestimmter Standardvertragsklauseln oder Verpflichtungserklärungen
zur Gewährleistung eines ausreichenden Schutzes der Datenverwendung in
einem Drittland
ist vom Bundeskanzler im Bundesgesetzblatt gemäß § 2 Abs. 3
BGBlG, BGBl. Nr. 660/1996,
kundzumachen.
Verwaltungsangelegenheiten gemäß Art. 30 B-VG
§ 56 Der Präsident des Nationalrats
ist Auftraggeber jener Datenanwendungen, die für
Zwecke der ihm gemäß Art. 30 B-VG übertragenen Angelegenheiten
durchgeführt werden.
Übermittlungen von Daten aus solchen Datenanwendungen dürfen nur über
Auftrag des
Präsidenten des Nationalrats vorgenommen werden. Der Präsident trifft
Vorsorge dafür,
dass im Falle eines Übermittlungsauftrags die Voraussetzungen
des § 7 Abs. 2 vorliegen
und insbesondere die Zustimmung des Betroffenen
in jenen Fällen eingeholt wird, in welchen
dies gemäß § 7 Abs. 2 mangels einer anderen Rechtsgrundlage
für die Übermittlung notwendig ist.
Sprachliche Gleichbehandlung
§ 57 Soweit in diesem Artikel auf
natürliche Personen bezogene Bezeichnungen nur in
männlicher Form angeführt sind, beziehen sie sich auf Frauen und Männer
in gleicher
Weise. Bei der Anwendung der Bezeichnungen auf bestimmte natürliche Personen
ist die
jeweils geschlechtsspezifische Form zu verwenden.
Manuelle Dateien
§ 58 Soweit manuell, d.h. ohne Automationsunterstützung
geführte Dateien für Zwecke
solcher Angelegenheiten bestehen, in denen die Zuständigkeit zur Gesetzgebung
Bundessache ist, gelten sie als Datenanwendungen im Sinne des § 4 Z 7.
§ 17 gilt mit der
Maßgabe, daß die Meldepflicht nur für solche Dateien besteht,
deren Inhalt gemäß § 18
Abs. 2 der Vorabkontrolle unterliegt.
Umsetzungshinweis
§ 59 Mit diesem Bundesgesetz wird
die Richtlinie 95/46/EG des Europäischen
Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen
bei der
Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. Nr. L
281 vom
23. November 1995, S 31, umgesetzt.
Inkrafttreten § 60 (1) (Verfassungsbestimmung) Die Verfassungsbestimmungen des Art. 1,
der
§§ 35 Abs. 2, 37, 38 Abs. 1 und 61 Abs. 4 und 7 treten mit 1. Jänner
2000 in Kraft. Mit dem
Inkrafttreten dieses Bundesgesetzes tritt das Datenschutzgesetz, BGBl. Nr. 565/1978
in der
geltenden Fassung, außer Kraft.
(2) Die übrigen Bestimmungen dieses
Bundesgesetzes treten ebenfalls mit 1. Jänner 2000 in Kraft.
(3) §§ 26 Abs. 6 und 52 Abs. 1 und 2 in der Fassung des Bundesgesetzes
BGBl. I Nr. 136/2001 treten
mit 1. Jänner 2002 in Kraft.
Übergangsbestimmungen
§ 61 (1) Meldungen, die vor Inkrafttreten
dieses Bundesgesetzes an das Datenverarbeitungsregister
erstattet wurden, gelten als Meldungen im Sinne des § 17, soweit sie nicht
im Hinblick auf das Entfallen von Meldepflichten gemäß § 17
Abs. 2 oder 3 gegenstandslos
geworden sind. Desgleichen gelten vor Inkrafttreten dieses Bundesgesetzes durchgeführte
Registrierungen als Registrierungen im Sinne des § 21.
(2) Soweit nach der neuen Rechtslage eine
Genehmigung für die Übermittlung vonDaten ins Ausland
erforderlich
ist, muß für Übermittlungen, für die eine Genehmigung vor
Inkrafttreten dieses
Bundesgesetzes erteilt wurde, eine Genehmigung vor dem
1. Jänner 2003 neu beantragt werden.
Wird der Antrag rechtzeitig gestellt, dürfen
solche Übermittlungen bis zur rechtskräftigen Entscheidung
über den
Genehmigungsantrag fortgeführt werden.
(3) Datenschutzverletzungen, die vor dem Inkrafttreten dieses Bundesgesetzes
stattgefunden haben, sind, soweit es sich um die Feststellung der Rechtmäßigkeit
oder
Rechtswidrigkeit eines Sachverhalts handelt, nach der Rechtslage zum Zeitpunkt
der
Verwirklichung des Sachverhalts zu beurteilen; soweit es sich um die Verpflichtung
zu einer
Leistung oder Unterlassung handelt, ist die Rechtslage im Zeitpunkt der Entscheidung
in
erster Instanz zugrundezulegen. Ein strafbarer Tatbestand ist nach jener Rechtslage
zu
beurteilen, die für den Täter in ihrer Gesamtauswirkung günstiger
ist; dies gilt auch für das
Rechtsmittelverfahren.
(4) (Verfassungsbestimmung) Datenanwendungen, die für die in § 17
Abs. 3
genannten Zwecke notwendig sind, dürfen auch bei Fehlen einer im Sinne
des § 1 Abs. 2
ausreichenden gesetzlichen Grundlage bis 31. Dezember 2007 vorgenommen werden,
in
den Fällen des § 17 Abs. 3 Z 1 bis 3 jedoch bis zur Erlassung von
bundesgesetzlichen
Regelungen über die Aufgaben und Befugnisse in diesen Bereichen.
(5) Manuelle Datenanwendungen, die gemäß § 58 der Meldepflicht
unterliegen, sind,
soweit sie schon im Zeitpunkt des Inkrafttretens dieses Bundesgesetzes bestanden
haben,
dem Datenverarbeitungsregister bis spätestens 1. Jänner 2003 zu melden.
Dasselbe gilt für
automationsunterstützte Datenanwendungen gemäß § 17 Abs.
3, für die durch die nunmehr
geltende Rechtslage die Meldepflicht neu eingeführt wurde.
(6) Die zum Zeitpunkt des Inkrafttretens dieses Gesetzes im Amt befindliche
Datenschutzkommission übernimmt für den Zeitraum von sechs Monaten
ab Inkrafttreten
dieses Gesetzes die Funktion der Datenschutzkommission gemäß §
35.
(7) (Verfassungsbestimmung) Soweit in einzelnen Vorschriften Verweise auf das
Datenschutzgesetz, BGBl. Nr. 565/1978, enthalten sind, gelten diese bis zu ihrer
Anpassung
an dieses Bundesgesetz sinngemäß weiter.
Verordnungserlassung
§ 62 Verordnungen auf Grund dieses
Bundesgesetzes in seiner jeweiligen Fassung
dürfen bereits von dem Tag an erlassen werden, der der Kundmachung der
durchzuführenden Gesetzesbestimmungen folgt; sie dürfen jedoch nicht
vor den
durchzuführenden Gesetzesbestimmungen in Kraft treten.
Verweisungen
§ 63 Soweit in diesem Bundesgesetz
auf Bestimmungen anderer Bundesgesetze
verwiesen wird, sind diese in ihrer jeweils geltenden Fassung anzuwenden.
Vollziehung
§ 64 Mit der Vollziehung dieses Bundesgesetzes
sind, soweit sie nicht der Bundesregierung
oder den Landesregierungen obliegt, der Bundeskanzler und die anderen Bundesminister
im Rahmen ihres Wirkungsbereiches betraut.
www.dsk.gv.at - dsk@dsk.gv.at