LegalizeVerordnung des Bundesministers für soziale Verwaltung vom 19. Juli 1980 zur Durchführung des Datenschutzgesetzes im Bereich des Bundesministeriums für soziale Verwaltung
Präambel/Promulgationsklausel
Auf Grund der §§ 9 Abs. 1 und 11 Abs. 3 des Datenschutzgesetzes (DSG), BGBl. Nr. 565/1978, wird verordnet:
ABSCHNITT
Geltungsbereich
§ 1. Diese Verordnung gilt hinsichtlich der beim Datenverarbeitungsregister registrierten Verarbeitungen für folgende im öffentlichen Bereich tätigen Auftraggeber:
das Bundesministerium für soziale Verwaltung;
die Landesarbeitsämter und Arbeitsämter;
die Landesinvalidenämter.
Begriffsbestimmungen
§ 2. (1) Im Sinne dieser Verordnung bedeutet:
Auftraggebende Stelle: jene Stelle (Organisationseinheit) eines Auftraggebers gemäß § 1, der nach den Organisationsvorschriften (zB Geschäftseinteilung des Bundesministeriums für soziale Verwaltung) die Besorgung der einzelnen Verwaltungsangelegenheit übertragen ist und die die Ermittlung, Verarbeitung, Benützung oder Übermittlung von Daten veranlaßt oder selbst durchführt;
Verfügung: den Auftrag zur Ermittlung, Verarbeitung, Benützung oder Übermittlung von Daten;
Sensible Daten: medizinische Daten sowie in den Betriebsordnungen besonders festgelegte Daten;
Datenverarbeitungsverfahren: vom Bundesministerium für soziale Verwaltung festgelegte Verfahren zur Abwicklung einzelner Verarbeitungen.
(2) Im übrigen entsprechen die in dieser Verordnung verwendeten Begriffe denen des Datenschutzgesetzes.
Datengeheimnis und Datensicherheit
§ 3. (1) Allen bei einem Auftraggeber gemäß § 1 tätigen Bediensteten ist unbeschadet sonstiger Verschwiegenheitsverpflichtungen untersagt,
sich Daten unbefugt zu beschaffen;
Daten zu einem anderen als dem zur übertragenen Aufgabenbesorgung gehörigen Zweck zu verwenden;
unzuständigen Stellen oder unbefugten Personen Daten mitzuteilen oder ihnen die Kenntnisnahme zu ermöglichen.
(2) Die im Abs. 1 genannten Personen sind zur Einhaltung dieser Verbote besonders zu verpflichten. Die Pflicht zur Geheimhaltung besteht nach Beendigung der Tätigkeit im Bundesdienst weiter.
(3) Alle Befugnisse und Aufgaben auf Grund dieser Verordnung sind im Sinne des Datenschutzgesetzes und der sonstigen datenschutzrechtlichen Vorschriften auszuüben bzw. wahrzunehmen.
(4) Zur Gewährleistung einer ordnungsgemäßen und sicheren Ermittlung, Verarbeitung, Benützung und Übermittlung von Daten sind bei den auftraggebenden Stellen und bei den Verarbeitern geeignete organisatorische, personelle, technische und bauliche Maßnahmen zu setzen. Für jeden Verarbeiter sind in einer Betriebsordnung nähere Bestimmungen festzulegen, für die auftraggebenden Stellen sind die erforderlichen Dienstanweisungen zu erlassen.
(5) Maßnahmen nach Abs. 4 haben in einem angemessenen Verhältnis zum Aufwand zu stehen und bestehende Risiken in allen schutzbedürftigen Belangen möglichst ausgewogen zu senken.
Verfügung über Daten
§ 4. (1) Die Verfügung über Daten steht grundsätzlich den auftraggebenden Stellen zu. Insbesondere ist dem Verarbeiter eine Verfügung über Daten, hinsichtlich derer er nicht selbst zugleich auftraggebende Stelle ist, nicht gestattet.
(2) Das Bundesministerium für soziale Verwaltung hat das Verfügungsrecht über alle Daten für Zwecke der Leitung des inneren Dienstes, zur Sicherstellung eines einheitlichen und geregelten Geschäftsganges und zur Kontrolle der Einhaltung der Datenschutzbestimmungen.
(3) Für die Verfügung über sensible Daten sind in den Betriebsordnungen zusätzliche Regelungen zu erlassen, um dem erhöhten Schutzbedürfnis derartiger Daten Rechnung zu tragen.
Vertragliche Inanspruchnahme von Dienstleistungen
im Datenverkehr
§ 5. Die Vergabe von Aufträgen durch auftraggebende Stellen zur Erbringung von Dienstleistungen im Datenverkehr bedarf der Genehmigung des Bundesministeriums für soziale Verwaltung.
Datenverarbeitungsprojekte
§ 6. Datenverarbeitungsprojekte (beinhaltend die Ermittlung, Verarbeitung, Benützung oder Übermittlung von Daten) sind unter genauer Festlegung des Projektes, insbesondere des Inhaltes und Umfanges der Daten und unter Festlegung der Verfahren in den wesentlichen Schritten, von der auftraggebenden Stelle dem Bundesministerium für soziale Verwaltung zur Genehmigung vorzulegen. Die Anträge müssen auch alle zur Beurteilung der Zulässigkeit vom Standpunkt des Datenschutzes erforderlichen Angaben enthalten.
ABSCHNITT
Grundsätze für die Ermittlung
§ 7. (1) Die Ermittlung der Daten obliegt dem Auftraggeber im Rahmen seiner sachlichen und örtlichen Zuständigkeit. Er kann sich hiebei des Verarbeiters bedienen, soweit die Ermittlung automationsunterstützt durchgeführt werden kann; dies ist nur mit Genehmigung des Bundesministeriums für soziale Verwaltung zulässig.
(2) Wird zur Ermittlung von Daten Amtshilfe in Anspruch genommen, so ist das Amtshilfeersuchen derart zu begründen, daß die ersuchte Stelle die Zulässigkeit der Übermittlung gemäß § 7 DSG beurteilen kann. Die Begründung kann entfallen, wenn die Zulässigkeit der Übermittlung für die ersuchte Stelle offenkundig ist oder anläßlich eines vorangegangenen Amtshilfeersuchens gleicher Art festgestellt wurde.
Grundsätze für die Verarbeitung
§ 8. (1) Daten dürfen nur auf Grund von schriftlichen Aufträgen eingegeben werden; vorhandene Eingabeprotokolle sind zu überprüfen und aufzubewahren. Die Ermächtigung zur Erteilung von Verarbeitungsaufträgen ist in den jeweiligen Vorschriften für die Verfahren zur Abwicklung einzelner Verarbeitungen enthalten. Diese sind vom Bundesministerium für soziale Verwaltung zu erlassen.
(2) Werden Daten für verschiedene Zwecke der Verarbeitung mit Hilfe derselben technischen Einrichtungen verarbeitet, so ist sicherzustellen, daß Verknüpfungen von Daten verschiedener Zwecke der Verarbeitung nur in den im § 7 DSG genannten Fällen erfolgen.
(3) Den Daten ist bei jedem Verarbeiter nach Maßgabe der von ihm vorzunehmenden Verarbeitungsschritte der gleiche Schutz zu gewähren. Die Daten sind vor Entstellung, Zerstörung und Verlust sowie gegen unbefugte Verwendung und Weitergabe zu schützen.
(4) Der Vernichtung unbrauchbarer oder nicht mehr benötigter Ausdrucke und sonstiger Datenträger hat zumindest ein Bediensteter des Auftraggebers oder des Verarbeiters als Zeuge beizuwohnen. Besteht für den Fall der Vernichtung von Datenträgern durch Dritte diese Möglichkeit nicht, so ist der Dritte zur Nichtverwendung der Daten, zur ehebaldigsten Vernichtung und zur Geheimhaltung sowie zu einem allfälligen Schadenersatz zu verpflichten.
§ 9. (1) Der Auftraggeber hat, soweit ihm das mit vertretbarem Arbeitsaufwand möglich ist, die Richtigkeit der Verarbeitungsergebnisse durch Stichproben zu überprüfen.
(2) Wird ein Fehler festgestellt, so hat der Auftraggeber alles zu unternehmen, um das Schadensausmaß gering zu halten, den Betroffenen unnötige Mühe zu ersparen, die Fehlerbehebung raschest einzuleiten und Folgefehler zu verhindern. Der zuständige Verarbeiter ist unverzüglich zu verständigen, wenn zu vermuten ist, daß die Fehlerursache in seinem Tätigkeitsbereich gelegen ist.
§ 10. Umfaßt eine Verarbeitung die Auszahlung von Geldleistungen, so endet diese Verarbeitung und damit die Verantwortlichkeit des Auftraggebers und des Verarbeiters für die weitere Verwendung von Daten mit der Übermittlung der Datenträger für den Zahlungsverkehr an eine Kreditunternehmung.
Grundsätze für die Benützung
§ 11. (1) Die Benützung der Daten darf nur in der Art und in dem Umfang erfolgen, als dies für den Auftraggeber zur Wahrnehmung der ihm gesetzlich übertragenen Aufgaben eine wesentliche Voraussetzung bildet.
(2) Beim Auftraggeber dürfen die Bediensteten nur jene Daten benützen, die sie zur Erfüllung der ihnen übertragenen Aufgaben benötigen.
§ 12. In den Betriebsordnungen gemäß § 3 sind besondere Maßnahmen vorzusehen, die sicherstellen, daß Daten nur durch Verfügungsberechtigte verwendet werden.
Grundsätze für die Übermittlung
§ 13. (1) Übermittlungen von Daten, die nicht bereits in einem genehmigten Datenverarbeitungsverfahren bzw. den dazu ergangenen Vorschriften vorgesehen sind, bedürfen der gesonderten Genehmigung des Bundesministeriums für soziale Verwaltung.
(2) Ersuchen um Übermittlung von Daten sind erst dann dem Bundesministerium für soziale Verwaltung vorzulegen, wenn die Rechtsgrundlage sowie alle für die Beurteilung vom Standpunkt des Datenschutzes erforderlichen Angaben im Ersuchen enthalten sind. Dies gilt auch für Ersuchen im Rahmen der Amtshilfe.
(3) Zur Durchführung von Übermittlungen kann sich der Auftraggeber des Verarbeiters bedienen. Dies ist nur mit Genehmigung des Bundesministeriums für soziale Verwaltung zulässig.
(4) Übermittlungen sind, soweit dies zur Auskunftserteilung über die Empfänger der Daten erforderlich ist, aktenkundig zu machen; dies gilt nicht in den Fällen des § 15.
ABSCHNITT
Auskunft
§ 14. (1) Eine Auskunft gemäß § 11 DSG darf nur auf Grund eines unbedenklichen Identitätsnachweises erteilt werden; sie ist nur gegen Empfangsbestätigung auszufolgen oder zu eigenen Handen zuzustellen.
(2) In anderen Rechtsvorschriften festgelegte Auskunftsbeschränkungen werden durch § 11 DSG nicht berührt.
§ 15. Werden oder wurden Daten übermittelt, so sind dem Betroffenen auf Verlangen die Empfänger der übermittelten Daten bekanntzugeben. Würde die Feststellung der Empfänger übermittelter Daten im Einzelfall unverhältnismäßig hohe Kosten oder einen im Verhältnis zu den Interessen der Betroffenen nicht zumutbaren Arbeitsaufwand verursachen, insbesondere bei im Rahmen eines automationsunterstützten Verfahrens organisatorisch vorgesehenen Übermittlungen, so sind den Betroffenen die auf Grund der Verfahrensorganisation oder der Sach- und Rechtslage in Betracht kommenden Empfänger mitzuteilen.
§ 16. (1) Für die Erteilung einer Auskunft werden folgende pauschalierte Kostenersätze festgelegt:
für jede Auskunft über den aktuellen Stand der Daten des Antragstellers 100 S je Zweck der Verarbeitung (§ 8 Abs. 2 DSG);
für jede darüber hinausgehende Auskunft 500 S je Zweck der Verarbeitung; in jenen Fällen, in denen die Kosten 1 000 S wesentlich übersteigen, 1 000 S je Zweck der Verarbeitung.
(2) Auch eine Auskunft, daß Daten des Betroffenen in einem Zweck einer Verarbeitung nicht vorhanden sind, unterliegt der Kostenersatzpflicht je Zweck der Verarbeitung im Sinne dieser Verordnung.
(3) Die im Abs. 1 angeführten Kostenersätze sind nicht zu entrichten,
wenn der Antragsteller nachweist, daß sein monatliches Einkommen die Richtsätze für Ausgleichszulagen nach dem ASVG nicht überschreitet, oder
wenn der Aufwand für die Auskunftserteilung geringfügig ist.
(4) Dem Antragsteller ist der für die Auskunftserteilung zu entrichtende Kostenersatz mitzuteilen. Von der Bearbeitung eines Auskunftsantrages ist abzusehen, wenn der mitgeteilte Kostenersatz nicht entrichtet wurde.
(5) Die in § 11 DSG enthaltene Frist für die Auskunftserteilung beginnt erst zu laufen, sobald die Entrichtung des mitgeteilten Kostenersatzes nachgewiesen wird.
§ 17. (1) Ein für eine Auskunft geleisteter Kostenersatz ist zurückzuerstatten, wenn Daten rechtswidrig ermittelt, verarbeitet oder übermittelt wurden oder wenn die Auskunft sonst zu einer Richtigstellung geführt hat.
(2) Nicht als Richtigstellung ist es anzusehen, wenn die zu ändernden Daten auf Angaben des Betroffenen selbst beruhen.
(3) Ein Anlaß zu einer Richtigstellung ist nicht gegeben, wenn eine Abweichung in der Art der Darstellung der Daten durch den Stand der Technik im automationsunterstützten Datenverkehr oder durch die zweckmäßige und wirtschaftliche Gestaltung eines Datenverarbeitungsverfahrens bedingt ist.
Richtigstellung und Löschung
§ 18. (1) Richtigstellungen und Löschungen gemäß § 12 DSG hat die auftraggebende Stelle unter Anwendung des für den Zweck der Verarbeitung vorgesehenen Änderungsdienstes durchzuführen oder zu veranlassen.
(2) Rechtsverbindlich festgestellte Daten dürfen nur auf Grund einer Entscheidung des für die Feststellung zuständigen Organs richtiggestellt oder gelöscht werden.
(3) Daten, die für Zwecke der Dokumentation und der internen Kontrolle aufbewahrt werden, dürfen nicht richtiggestellt und vor Ablauf der Aufbewahrungsfrist nicht gelöscht werden.
(4) Durch geeignete organisatorische Maßnahmen ist sicherzustellen, daß im Falle eines Rückgriffes auf die zu Sicherungszwecken sowie zu Zwecken der Dokumentation und der internen Kontrolle aufbewahrten Datenbestände allfällige Richtigstellungen und Löschungen wirksam bleiben.
Angabe der Registernummer
§ 19. (1) Bei Übermittlungen und Mitteilungen an den Betroffenen, die in schriftlicher Form ergehen und verarbeitete Daten zum Inhalt haben, ist die Registernummer auf jedem Schriftstück anzugeben. Dies gilt nicht für die vom Datenverarbeitungsregister bekanntgegebene Bearbeitungsnummer.
(2) Bei Übermittlungen mittels maschinell lesbarer Datenträger ist die Registernummer auf den Begleitpapieren anzugeben.
(3) Erfolgt eine Übermittlung oder eine Mitteilung an den Betroffenen im Namen mehrerer Auftraggeber, so ist lediglich die Registernummer eines der Auftraggeber mit dem Zusatz "ua."
anzugeben.
ABSCHNITT
Inkrafttreten
§ 20. Diese Verordnung tritt am 1. März 1981 in Kraft. Mit Wirksamkeit vom gleichen Zeitpunkt wird die Verordnung des Bundesministers für soziale Verwaltung vom 20. Dezember 1979, BGBl. Nr. 582, aufgehoben.
Dieses Dokument ersetzt nicht die offizielle Publikation im Bundesgesetzblatt. Für eventuelle Ungenauigkeiten bei der Übertragung in dieses Format wird keine Haftung übernommen.