LegalizeVerordnung des Bundesministers für Verkehr vom 3. Oktober 1980 zur Durchführung des Datenschutzgesetzes im Wirkungsbereich der Post- und Telegraphenverwaltung (Datenschutzverordnung-PTV)
Präambel/Promulgationsklausel
Auf Grund des Datenschutzgesetzes (DSG), BGBl. Nr. 565/1978, wird verordnet:
Geltungsbereich und Aufgabengebiete
§ 1. (1) Die Bestimmungen dieser Verordnung gelten für die Auftraggeber (§ 3 Z 3 DSG) und Verarbeiter (§ 3 Z 4 DSG) im Wirkungsbereich der Post- und Telegraphenverwaltung, sofern personenbezogene Daten (§ 3 Z 1 DSG) automationsunterstützt zur Verarbeitung gelangen.
(2) Auftraggeber im Sinne des Abs. 1 sind nach Maßgabe ihrer sachlichen und örtlichen Zuständigkeit:
das Bundesministerium für Verkehr, Generaldirektion für die Post- und Telegraphenverwaltung, im folgenden Generaldirektion genannt,
die Post- und Telegraphendirektion für Steiermark in Graz,
die Post- und Telegraphendirektion für Tirol und Vorarlberg in Innsbruck,
die Post- und Telegraphendirektion für Kärnten in Klagenfurt,
die Post- und Telegraphendirektion für Oberösterreich und Salzburg in Linz,
die Post- und Telegraphendirektion für Wien, Niederösterreich und Burgenland in Wien.
(3) Aufgabengebiete im Bereich der Post- und Telegraphenverwaltung sind:
Fernmeldewesen
Postwesen
Postautowesen
Personalwesen
Wirtschaftswesen.
Geltungsbereich und Aufgabengebiete
§ 1. (1) Die Bestimmungen dieser Verordnung gelten für die Auftraggeber (§ 3 Z 3 DSG) und Dienstleister (§ 3 Z 4 DSG) im Wirkungsbereich der Post- und Telegraphenverwaltung, sofern personenbezogene Daten (§ 3 Z 1 DSG) verwendet werden (§ 3 Z 12 DSG).
(2) Auftraggeber im Sinne des Abs. 1 sind nach Maßgabe ihrer sachlichen und örtlichen Zuständigkeit:
das Bundesministerium für öffentliche Wirtschaft und Verkehr, Generaldirektion für die Post- und Telegraphenverwaltung, im folgenden Generaldirektion genannt,
die Post- und Telegraphendirektion für Steiermark in Graz,
die Post- und Telegraphendirektion für Tirol und Vorarlberg in Innsbruck,
die Post- und Telegraphendirektion für Kärnten in Klagenfurt,
die Post- und Telegraphendirektion für Oberösterreich und Salzburg in Linz,
die Post- und Telegraphendirektion für Wien, Niederösterreich und Burgenland in Wien.
(3) Aufgabengebiete im Bereich der Post- und Telegraphenverwaltung sind:
Fernmeldewesen
Postwesen
Postautowesen
Personalwesen
Wirtschaftswesen.
Begriffsbestimmungen
§ 2. In dieser Verordnung bedeuten:
Auftraggebende Stelle: Die Abteilung des Auftraggebers, die nach der Geschäftseinteilung für die Besorgung einer bestimmten Verwaltungsmaterie zuständig ist.
Datenschutzkoordination: Die für den Bereich eines Auftraggebers nach der Geschäftseinteilung für Koordination und allgemeine rechtliche Belange des Datenschutzes zuständige Stelle.
ADV-Fachdienst: Die für die betreffende Datenverarbeitung zuständige Abteilung der Generaldirektion.
Datenschutzbeauftragter: Das für den Bereich eines Verarbeiters nach der Geschäftseinteilung oder Betriebsordnung für die Wahrnehmung des Datenschutzes und der Datensicherheit zuständige Organ.
Begriffsbestimmungen
§ 2. In dieser Verordnung bedeuten:
Auftraggebende Stelle: Die Abteilung des Auftraggebers, die nach der Geschäftseinteilung für die Besorgung einer bestimmten Verwaltungsmaterie zuständig ist.
Datenschutzkoordination: Die für den Bereich eines Auftraggebers nach der Geschäftseinteilung für Koordination und allgemeine rechtliche Belange des Datenschutzes zuständige Stelle.
ADV-Fachdienst: Die für die betreffende Datenverarbeitung zuständige Abteilung der Generaldirektion.
Datenschutzbeauftragter: Der/Die für eine Organisationseinheit eines Auftraggebers oder Dienstleisters nach der Geschäftseinteilung oder den Datensicherheitsvorschriften für die Wahrnehmung des Datenschutzes und der Datensicherheit zuständige(n) Organwalter.
Ermittlung von Daten
§ 3. (1) Vor erstmaliger Ermittlung personenbezogener Daten für Zwecke der automationsunterstützten Verarbeitung hat die auftraggebende Stelle die Zulässigkeit nach den Bestimmungen des Datenschutzgesetzes zu prüfen und das Ergebnis der Prüfung in einem schriftlichen Bericht festzuhalten. Der Bericht ist der Datenschutzkoordination zu übermitteln.
(2) Die Datenschutzkoordination hat nach Prüfung der Rechtslage und Abgabe eines Gutachtens dem Leiter des Auftraggebers eine Stellungnahme zur Aufnahme der Ermittlung vorzulegen.
(3) Die Ermittlung darf nur auf Grund der schriftlichen Weisung des Leiters des Auftraggebers aufgenommen werden.
Ermittlung von Daten
§ 3. (1) Die Ermittlung personenbezogener Daten obliegt dem sachlich und örtlich zuständigen Auftraggeber (§ 1 Abs. 2). Er kann sich hiebei auch eines Dienstleisters bedienen.
(2) Vor der erstmaligen Ermittlung personenbezogener Daten für Zwecke der Datenverarbeitung hat die auftraggebende Stelle die Zulässigkeit nach den Bestimmungen des § 6 DSG zu prüfen und das Ergebnis dieser Prüfung in einem Geschäftsstück festzuhalten. Hiebei ist zu beachten:
Eine ausdrückliche gesetzliche Ermächtigung zur Ermittlung und Verarbeitung von Daten im Sinne des § 6 DSG liegt nur dann vor, wenn in dieser die zu ermittelnden und verarbeitenden Datenarten sowie die Betroffenenkreise genannt sind.
Eine wesentliche Voraussetzung, die den Auftraggeber berechtigt Daten zur Wahrnehmung der ihm gesetzlich übertragenen Aufgaben im Sinne des § 6 DSG zu ermitteln und zu verarbeiten, liegt nur dann vor, wenn im Einzelfall andere Möglichkeiten zur Wahrnehmung nicht bestehen oder auf Grund des zu erwartenden Aufwandes nicht zumutbar sind.
(3) Die Ermittlung darf erst nach Feststellung der Zulässigkeit und auf schriftliche Weisung des Leiters der auftraggebenden Stelle aufgenommen werden.
§ 4. (1) Sollen Daten für Zwecke einer gleichartigen Verarbeitung bei zumindest zwei der in § 1 Abs. 2 genannten Auftraggeber ermittelt werden, ist die Zulässigkeit von jedem zuständigen Auftraggeber gemäß § 3 zu prüfen. Das Ergebnis der Prüfung ist der Generaldirektion zu berichten.
(2) Die für die beabsichtigte Verarbeitung gemeinsam zuständige auftraggebende Stelle der Generaldirektion hat die Zulässigkeit nach den Bestimmungen des Datenschutzgesetzes zu überprüfen und einen schriftlichen Bericht zu erstellen. Dieser Bericht ist der Datenschutzkoordination der Generaldirektion zu übermitteln.
(3) Die Datenschutzkoordination der Generaldirektion hat dem Leiter der Generaldirektion eine Erledigung über die Aufnahme der Ermittlung vorzuschlagen.
(4) Die Ermittlung im Bereich eines jeden Auftraggebers darf dessen Leiter nur auf Grund einer schriftlichen Weisung des Leiters der Generaldirektion anordnen.
§ 4. (1) Sollen Daten für Zwecke einer gleichartigen Datenverarbeitung bei zumindest zwei der in § 1 Abs. 2 genannten Auftraggeber ermittelt werden, ist die Zulässigkeit von jedem zuständigen Auftraggeber gemäß § 3 zu prüfen. Das Ergebnis der Prüfung ist der Generaldirektion zu berichten.
(2) Die für die beabsichtigte Datenverarbeitung gemeinsam zuständige auftraggebende Stelle der Generaldirektion hat die Zulässigkeit nach den Bestimmungen des DSG zu überprüfen und über die Zulässigkeit zu entscheiden.
(3) Die Ermittlung im Bereich eines jeden Auftraggebers darf nur auf Grund einer schriftlichen Weisung des Leiters der gemeinsam zuständigen auftraggebenden Stelle der Generaldirektion aufgenommen werden.
§ 5. (1) Nach Feststellung der Zulässigkeit der Ermittlung ist die in Aussicht genommene Verarbeitung für die Erfordernisse des Datenschutzes zu dokumentieren.
Diese Dokumentation hat alle in der Verarbeitung vorkommenden Datenfelder zu enthalten und Aussagen zu treffen über:
Art der Daten
Sensibilität der Daten
Herkunft der Daten
Aufgabengebiet
Kreis der Betroffenen
Zweck der Ermittlung und Verarbeitung
Zulässigkeit der Ermittlung und Verarbeitung
Übermittlungen im Inland
Verknüpfungen mit anderen Aufgabengebieten
Überlassungen in das Ausland oder direkten Zugriff aus dem Ausland
Benützungsberechtigungen
Geheimhaltung gegenüber dem Betroffenen.
(2) Die Ausarbeitung der nach Abs. 1 zu erstellenden Dokumentation obliegt den auftraggebenden Stellen. Der ADV-Fachdienst und/oder Verarbeiter haben über Verlangen der auftraggebenden Stellen beratend mitzuwirken und jegliche Unterstützung zu gewähren.
(3) Im Falle gleichartiger Verarbeitungen für mehr als einen Auftraggeber ist die Dokumentation von der auftraggebenden Stelle der Generaldirektion einvernehmlich mit den auftraggebenden Stellen des betroffenen Auftraggebers zu erstellen. Ansonsten gilt Abs. 2 sinngemäß.
§ 5. (1) Nach Feststellung der Zulässigkeit der Ermittlung ist die in Aussicht genommene Datenverarbeitung für die Erfordernisse des Datenschutzes zu dokumentieren.
Diese Dokumentation hat Aussagen zu treffen über:
Art der Daten
Sensibilität der Daten
Herkunft der Daten
Aufgabengebiet
Kreis der Betroffenen
Zweck der Ermittlung und Datenverarbeitung
Zulässigkeit der Ermittlung und Datenverarbeitung
Übermittlungen im Inland
Überlassungen im Inland
Übermittlungen und Überlassungen in das Ausland
Benützungs- und Zugriffsberechtigungen
Geheimhaltung gegenüber den Betroffenen.
(2) Die Ausarbeitung der nach Abs. 1 zu erstellenden Dokumentation obliegt den auftraggebenden Stellen. Der ADV-Fachdienst und/oder Dienstleister haben über Verlangen der auftraggebenden Stellen beratend mitzuwirken und jegliche Unterstützung zu gewähren.
(3) Im Falle gleichartiger Datenverarbeitungen für mehr als einen Auftraggeber ist die Dokumentation von der auftraggebenden Stelle der Generaldirektion einvernehmlich mit den auftraggebenden Stellen des betroffenen Auftraggebers zu erstellen. Ansonsten gilt Abs. 2 sinngemäß.
Verarbeitung
§ 6. (1) Auf der Grundlage der gemäß § 5 erstellten Dokumentation hat die Datenschutzkoordination
- die Verarbeitung dem Datenverarbeitungsregister gemäß § 8 DSG zu melden
- oder den Antrag auf Registrierung gemäß § 23 DSG zu stellen.
(2) Ist anstelle einer Eintragung in das Datenverarbeitungsregister die Verständigung der Betroffenen gemäß § 22 DSG rechtlich zulässig und wird diese Möglichkeit gewählt, so hat der Leiter des Auftraggebers die Verständigung der Betroffenen anzuordnen.
(3) Der Zeitpunkt, zu dem die gesetzlichen Voraussetzungen für die Aufnahme einer Echtverarbeitung erfüllt sind, ist von der Datenschutzkoordination der (den) auftraggebenden Stelle(n) und den für die Verarbeitung zuständigen Organen schriftlich bekanntzugeben. Vor diesem Zeitpunkt ist die Aufnahme der Echtverarbeitung unzulässig.
Datenverarbeitung
§ 6. (1) Auf der Grundlage der gemäß § 5 erstellten Dokumentation hat die Datenschutzkoordination die Datenverarbeitung dem Datenverarbeitungsregister gemäß § 8 DSG zu melden.
(2) Der Zeitpunkt der Meldung ist von der Datenschutzkoordination der (den) auftraggebenden Stelle(n) und den für die Datenverarbeitung zuständigen Organisationseinheiten schriftlich bekanntzugeben. Vor diesem Zeitpunkt ist die Aufnahme der Datenverarbeitung unzulässig.
§ 7. Die Verarbeitung von Daten darf nur nach den in Übereinstimmung mit der in § 5 Abs. 1 genannten Dokumentation erstellten und von der (den) auftraggebenden Stelle(n) genehmigten Programmen erfolgen. Die Feststellung der Übereinstimmung der Programme mit der in § 5 Abs. 1 genannten Dokumentation obliegt dem ADV-Fachdienst.
§ 7. Die Datenverarbeitung darf nur nach den in Übereinstimmung mit der in § 5 Abs. 1 genannten Dokumentation erstellten und von der (den) auftraggebenden Stelle(n) genehmigten Programmen erfolgen. Die Feststellung der Übereinstimmung der Programme mit der in § 5 Abs. 1 genannten Dokumentation obliegt dem ADV-Fachdienst.
§ 8. Die Verarbeiter haben für die ordnungsgemäße Durchführung der ihnen übertragenen Verarbeitungsaufträge unter Bedachtnahme auf die für sie geltende(n) Betriebsordnung(en) zu sorgen.
§ 8. (1) Die zuständigen Organisationseinheiten des Auftraggebers und/oder des Dienstleisters haben für die ordnungsgemäße Durchführung der ihnen übertragenen Datenverarbeitungen unter Bedachtnahme auf die für sie geltenden Datensicherheitsvorschriften zu sorgen.
(2) Der Auftraggeber hat, soweit dies mit vertretbarem Arbeitsaufwand möglich ist, die Richtigkeit der Verarbeitungsergebnisse durch Stichproben zu überprüfen.
§ 9. Werden für Dienstleistungen im Datenverkehr nicht zur Post- und Telegraphenverwaltung zugehörige Verarbeiter in Anspruch genommen, ist vom Auftraggeber ein Vertrag gemäß § 13 Abs. 2 DSG abzuschließen.
Benützung
§ 9. Daten dürfen nur von jenen Organisationseinheiten und Organwaltern des/der Auftraggeber(s) oder Dienstleister(s) der Post- und Telegraphenverwaltung benützt werden, soweit sie diese zur Erfüllung der ihnen gemäß Geschäftseinteilung bzw. Arbeitsplatzbeschreibung zukommenden Aufgaben benötigen und soweit dies für den jeweiligen Auftraggeber zur Wahrnehmung der ihm gesetzlich übertragenen Aufgaben eine wesentliche Voraussetzung bildet.
Benützung
§ 10. (1) Daten dürfen nur von jenen Stellen und Organwaltern benützt werden, die sie zur Erfüllung der ihnen gemäß Geschäftseinteilung zukommenden Aufgaben benötigen.
(2) Die auftraggebenden Stellen haben zu jeder Verarbeitung im Rahmen der gemäß § 5 Abs. 1 zu erstellenden Dokumentation festzulegen, welche Stellen des Auftraggebers die Daten benützen dürfen und dementsprechend regelmäßig Ausdrucke erhalten und/oder im Wege der Datenfernverarbeitung Zugriff auf die Daten einer Verarbeitung haben.
(3) Innerhalb der benützungsberechtigten Stellen ist vom Leiter festzulegen, welche Organwalter die Daten benützen dürfen.
(4) Eine im Einzelfall über die Bestimmungen des Abs. 2 hinausgehende Benützung bedarf der Zustimmung des Leiters der auftraggebenden Stelle.
Überlassung
§ 10. (1) Organisationseinheiten der Post- und Telegraphenverwaltung dürfen Daten für Dienstleistungen nach Maßgabe des § 13 DSG nur dann überlassen werden, wenn diese Organisationseinheiten auf Grund einer ausdrücklichen gesetzlichen Ermächtigung oder gemäß der Geschäftseinteilung diese Dienstleistungen zu besorgen haben.
Dieses Dokument ersetzt nicht die offizielle Publikation im Bundesgesetzblatt. Für eventuelle Ungenauigkeiten bei der Übertragung in dieses Format wird keine Haftung übernommen.