LegalizeVerordnung des Bundesministers für Verkehr vom 3. Oktober 1980 zur Durchführung des Datenschutzgesetzes im Wirkungsbereich der Post- und Telegraphenverwaltung (Datenschutzverordnung-PTV)
Präambel/Promulgationsklausel
Auf Grund des Datenschutzgesetzes (DSG), BGBl. Nr. 565/1978, wird verordnet:
Geltungsbereich und Aufgabengebiete
§ 1. (1) Die Bestimmungen dieser Verordnung gelten für die Auftraggeber (§ 3 Z 3 DSG) und Verarbeiter (§ 3 Z 4 DSG) im Wirkungsbereich der Post- und Telegraphenverwaltung, sofern personenbezogene Daten (§ 3 Z 1 DSG) automationsunterstützt zur Verarbeitung gelangen.
(2) Auftraggeber im Sinne des Abs. 1 sind nach Maßgabe ihrer sachlichen und örtlichen Zuständigkeit:
das Bundesministerium für Verkehr, Generaldirektion für die Post- und Telegraphenverwaltung, im folgenden Generaldirektion genannt,
die Post- und Telegraphendirektion für Steiermark in Graz,
die Post- und Telegraphendirektion für Tirol und Vorarlberg in Innsbruck,
die Post- und Telegraphendirektion für Kärnten in Klagenfurt,
die Post- und Telegraphendirektion für Oberösterreich und Salzburg in Linz,
die Post- und Telegraphendirektion für Wien, Niederösterreich und Burgenland in Wien.
(3) Aufgabengebiete im Bereich der Post- und Telegraphenverwaltung sind:
Fernmeldewesen
Postwesen
Postautowesen
Personalwesen
Wirtschaftswesen.
Geltungsbereich und Aufgabengebiete
§ 1. (1) Die Bestimmungen dieser Verordnung gelten für die Auftraggeber (§ 3 Z 3 DSG) und Dienstleister (§ 3 Z 4 DSG) im Wirkungsbereich der Post- und Telegraphenverwaltung, sofern personenbezogene Daten (§ 3 Z 1 DSG) verwendet werden (§ 3 Z 12 DSG).
(2) Auftraggeber im Sinne des Abs. 1 sind nach Maßgabe ihrer sachlichen und örtlichen Zuständigkeit:
das Bundesministerium für öffentliche Wirtschaft und Verkehr, Generaldirektion für die Post- und Telegraphenverwaltung, im folgenden Generaldirektion genannt,
die Post- und Telegraphendirektion für Steiermark in Graz,
die Post- und Telegraphendirektion für Tirol und Vorarlberg in Innsbruck,
die Post- und Telegraphendirektion für Kärnten in Klagenfurt,
die Post- und Telegraphendirektion für Oberösterreich und Salzburg in Linz,
die Post- und Telegraphendirektion für Wien, Niederösterreich und Burgenland in Wien.
(3) Aufgabengebiete im Bereich der Post- und Telegraphenverwaltung sind:
Fernmeldewesen
Postwesen
Postautowesen
Personalwesen
Wirtschaftswesen.
Begriffsbestimmungen
§ 2. In dieser Verordnung bedeuten:
Auftraggebende Stelle: Die Abteilung des Auftraggebers, die nach der Geschäftseinteilung für die Besorgung einer bestimmten Verwaltungsmaterie zuständig ist.
Datenschutzkoordination: Die für den Bereich eines Auftraggebers nach der Geschäftseinteilung für Koordination und allgemeine rechtliche Belange des Datenschutzes zuständige Stelle.
ADV-Fachdienst: Die für die betreffende Datenverarbeitung zuständige Abteilung der Generaldirektion.
Datenschutzbeauftragter: Das für den Bereich eines Verarbeiters nach der Geschäftseinteilung oder Betriebsordnung für die Wahrnehmung des Datenschutzes und der Datensicherheit zuständige Organ.
Begriffsbestimmungen
§ 2. In dieser Verordnung bedeuten:
Auftraggebende Stelle: Die Abteilung des Auftraggebers, die nach der Geschäftseinteilung für die Besorgung einer bestimmten Verwaltungsmaterie zuständig ist.
Datenschutzkoordination: Die für den Bereich eines Auftraggebers nach der Geschäftseinteilung für Koordination und allgemeine rechtliche Belange des Datenschutzes zuständige Stelle.
ADV-Fachdienst: Die für die betreffende Datenverarbeitung zuständige Abteilung der Generaldirektion.
Datenschutzbeauftragter: Der/Die für eine Organisationseinheit eines Auftraggebers oder Dienstleisters nach der Geschäftseinteilung oder den Datensicherheitsvorschriften für die Wahrnehmung des Datenschutzes und der Datensicherheit zuständige(n) Organwalter.
Ermittlung von Daten
§ 3. (1) Vor erstmaliger Ermittlung personenbezogener Daten für Zwecke der automationsunterstützten Verarbeitung hat die auftraggebende Stelle die Zulässigkeit nach den Bestimmungen des Datenschutzgesetzes zu prüfen und das Ergebnis der Prüfung in einem schriftlichen Bericht festzuhalten. Der Bericht ist der Datenschutzkoordination zu übermitteln.
(2) Die Datenschutzkoordination hat nach Prüfung der Rechtslage und Abgabe eines Gutachtens dem Leiter des Auftraggebers eine Stellungnahme zur Aufnahme der Ermittlung vorzulegen.
(3) Die Ermittlung darf nur auf Grund der schriftlichen Weisung des Leiters des Auftraggebers aufgenommen werden.
Ermittlung von Daten
§ 3. (1) Die Ermittlung personenbezogener Daten obliegt dem sachlich und örtlich zuständigen Auftraggeber (§ 1 Abs. 2). Er kann sich hiebei auch eines Dienstleisters bedienen.
(2) Vor der erstmaligen Ermittlung personenbezogener Daten für Zwecke der Datenverarbeitung hat die auftraggebende Stelle die Zulässigkeit nach den Bestimmungen des § 6 DSG zu prüfen und das Ergebnis dieser Prüfung in einem Geschäftsstück festzuhalten. Hiebei ist zu beachten:
Eine ausdrückliche gesetzliche Ermächtigung zur Ermittlung und Verarbeitung von Daten im Sinne des § 6 DSG liegt nur dann vor, wenn in dieser die zu ermittelnden und verarbeitenden Datenarten sowie die Betroffenenkreise genannt sind.
Eine wesentliche Voraussetzung, die den Auftraggeber berechtigt Daten zur Wahrnehmung der ihm gesetzlich übertragenen Aufgaben im Sinne des § 6 DSG zu ermitteln und zu verarbeiten, liegt nur dann vor, wenn im Einzelfall andere Möglichkeiten zur Wahrnehmung nicht bestehen oder auf Grund des zu erwartenden Aufwandes nicht zumutbar sind.
(3) Die Ermittlung darf erst nach Feststellung der Zulässigkeit und auf schriftliche Weisung des Leiters der auftraggebenden Stelle aufgenommen werden.
§ 4. (1) Sollen Daten für Zwecke einer gleichartigen Verarbeitung bei zumindest zwei der in § 1 Abs. 2 genannten Auftraggeber ermittelt werden, ist die Zulässigkeit von jedem zuständigen Auftraggeber gemäß § 3 zu prüfen. Das Ergebnis der Prüfung ist der Generaldirektion zu berichten.
(2) Die für die beabsichtigte Verarbeitung gemeinsam zuständige auftraggebende Stelle der Generaldirektion hat die Zulässigkeit nach den Bestimmungen des Datenschutzgesetzes zu überprüfen und einen schriftlichen Bericht zu erstellen. Dieser Bericht ist der Datenschutzkoordination der Generaldirektion zu übermitteln.
(3) Die Datenschutzkoordination der Generaldirektion hat dem Leiter der Generaldirektion eine Erledigung über die Aufnahme der Ermittlung vorzuschlagen.
(4) Die Ermittlung im Bereich eines jeden Auftraggebers darf dessen Leiter nur auf Grund einer schriftlichen Weisung des Leiters der Generaldirektion anordnen.
§ 4. (1) Sollen Daten für Zwecke einer gleichartigen Datenverarbeitung bei zumindest zwei der in § 1 Abs. 2 genannten Auftraggeber ermittelt werden, ist die Zulässigkeit von jedem zuständigen Auftraggeber gemäß § 3 zu prüfen. Das Ergebnis der Prüfung ist der Generaldirektion zu berichten.
(2) Die für die beabsichtigte Datenverarbeitung gemeinsam zuständige auftraggebende Stelle der Generaldirektion hat die Zulässigkeit nach den Bestimmungen des DSG zu überprüfen und über die Zulässigkeit zu entscheiden.
(3) Die Ermittlung im Bereich eines jeden Auftraggebers darf nur auf Grund einer schriftlichen Weisung des Leiters der gemeinsam zuständigen auftraggebenden Stelle der Generaldirektion aufgenommen werden.
§ 5. (1) Nach Feststellung der Zulässigkeit der Ermittlung ist die in Aussicht genommene Verarbeitung für die Erfordernisse des Datenschutzes zu dokumentieren.
Diese Dokumentation hat alle in der Verarbeitung vorkommenden Datenfelder zu enthalten und Aussagen zu treffen über:
Art der Daten
Sensibilität der Daten
Herkunft der Daten
Aufgabengebiet
Kreis der Betroffenen
Zweck der Ermittlung und Verarbeitung
Zulässigkeit der Ermittlung und Verarbeitung
Übermittlungen im Inland
Verknüpfungen mit anderen Aufgabengebieten
Überlassungen in das Ausland oder direkten Zugriff aus dem Ausland
Benützungsberechtigungen
Geheimhaltung gegenüber dem Betroffenen.
(2) Die Ausarbeitung der nach Abs. 1 zu erstellenden Dokumentation obliegt den auftraggebenden Stellen. Der ADV-Fachdienst und/oder Verarbeiter haben über Verlangen der auftraggebenden Stellen beratend mitzuwirken und jegliche Unterstützung zu gewähren.
(3) Im Falle gleichartiger Verarbeitungen für mehr als einen Auftraggeber ist die Dokumentation von der auftraggebenden Stelle der Generaldirektion einvernehmlich mit den auftraggebenden Stellen des betroffenen Auftraggebers zu erstellen. Ansonsten gilt Abs. 2 sinngemäß.
§ 5. (1) Nach Feststellung der Zulässigkeit der Ermittlung ist die in Aussicht genommene Datenverarbeitung für die Erfordernisse des Datenschutzes zu dokumentieren.
Diese Dokumentation hat Aussagen zu treffen über:
Art der Daten
Sensibilität der Daten
Herkunft der Daten
Aufgabengebiet
Kreis der Betroffenen
Zweck der Ermittlung und Datenverarbeitung
Zulässigkeit der Ermittlung und Datenverarbeitung
Übermittlungen im Inland
Überlassungen im Inland
Übermittlungen und Überlassungen in das Ausland
Benützungs- und Zugriffsberechtigungen
Geheimhaltung gegenüber den Betroffenen.
(2) Die Ausarbeitung der nach Abs. 1 zu erstellenden Dokumentation obliegt den auftraggebenden Stellen. Der ADV-Fachdienst und/oder Dienstleister haben über Verlangen der auftraggebenden Stellen beratend mitzuwirken und jegliche Unterstützung zu gewähren.
(3) Im Falle gleichartiger Datenverarbeitungen für mehr als einen Auftraggeber ist die Dokumentation von der auftraggebenden Stelle der Generaldirektion einvernehmlich mit den auftraggebenden Stellen des betroffenen Auftraggebers zu erstellen. Ansonsten gilt Abs. 2 sinngemäß.
Verarbeitung
§ 6. (1) Auf der Grundlage der gemäß § 5 erstellten Dokumentation hat die Datenschutzkoordination
- die Verarbeitung dem Datenverarbeitungsregister gemäß § 8 DSG zu melden
- oder den Antrag auf Registrierung gemäß § 23 DSG zu stellen.
(2) Ist anstelle einer Eintragung in das Datenverarbeitungsregister die Verständigung der Betroffenen gemäß § 22 DSG rechtlich zulässig und wird diese Möglichkeit gewählt, so hat der Leiter des Auftraggebers die Verständigung der Betroffenen anzuordnen.
(3) Der Zeitpunkt, zu dem die gesetzlichen Voraussetzungen für die Aufnahme einer Echtverarbeitung erfüllt sind, ist von der Datenschutzkoordination der (den) auftraggebenden Stelle(n) und den für die Verarbeitung zuständigen Organen schriftlich bekanntzugeben. Vor diesem Zeitpunkt ist die Aufnahme der Echtverarbeitung unzulässig.
Datenverarbeitung
§ 6. (1) Auf der Grundlage der gemäß § 5 erstellten Dokumentation hat die Datenschutzkoordination die Datenverarbeitung dem Datenverarbeitungsregister gemäß § 8 DSG zu melden.
(2) Der Zeitpunkt der Meldung ist von der Datenschutzkoordination der (den) auftraggebenden Stelle(n) und den für die Datenverarbeitung zuständigen Organisationseinheiten schriftlich bekanntzugeben. Vor diesem Zeitpunkt ist die Aufnahme der Datenverarbeitung unzulässig.
§ 7. Die Verarbeitung von Daten darf nur nach den in Übereinstimmung mit der in § 5 Abs. 1 genannten Dokumentation erstellten und von der (den) auftraggebenden Stelle(n) genehmigten Programmen erfolgen. Die Feststellung der Übereinstimmung der Programme mit der in § 5 Abs. 1 genannten Dokumentation obliegt dem ADV-Fachdienst.
§ 7. Die Datenverarbeitung darf nur nach den in Übereinstimmung mit der in § 5 Abs. 1 genannten Dokumentation erstellten und von der (den) auftraggebenden Stelle(n) genehmigten Programmen erfolgen. Die Feststellung der Übereinstimmung der Programme mit der in § 5 Abs. 1 genannten Dokumentation obliegt dem ADV-Fachdienst.
§ 8. Die Verarbeiter haben für die ordnungsgemäße Durchführung der ihnen übertragenen Verarbeitungsaufträge unter Bedachtnahme auf die für sie geltende(n) Betriebsordnung(en) zu sorgen.
§ 8. (1) Die zuständigen Organisationseinheiten des Auftraggebers und/oder des Dienstleisters haben für die ordnungsgemäße Durchführung der ihnen übertragenen Datenverarbeitungen unter Bedachtnahme auf die für sie geltenden Datensicherheitsvorschriften zu sorgen.
(2) Der Auftraggeber hat, soweit dies mit vertretbarem Arbeitsaufwand möglich ist, die Richtigkeit der Verarbeitungsergebnisse durch Stichproben zu überprüfen.
§ 9. Werden für Dienstleistungen im Datenverkehr nicht zur Post- und Telegraphenverwaltung zugehörige Verarbeiter in Anspruch genommen, ist vom Auftraggeber ein Vertrag gemäß § 13 Abs. 2 DSG abzuschließen.
Benützung
§ 9. Daten dürfen nur von jenen Organisationseinheiten und Organwaltern des/der Auftraggeber(s) oder Dienstleister(s) der Post- und Telegraphenverwaltung benützt werden, soweit sie diese zur Erfüllung der ihnen gemäß Geschäftseinteilung bzw. Arbeitsplatzbeschreibung zukommenden Aufgaben benötigen und soweit dies für den jeweiligen Auftraggeber zur Wahrnehmung der ihm gesetzlich übertragenen Aufgaben eine wesentliche Voraussetzung bildet.
Benützung
§ 10. (1) Daten dürfen nur von jenen Stellen und Organwaltern benützt werden, die sie zur Erfüllung der ihnen gemäß Geschäftseinteilung zukommenden Aufgaben benötigen.
(2) Die auftraggebenden Stellen haben zu jeder Verarbeitung im Rahmen der gemäß § 5 Abs. 1 zu erstellenden Dokumentation festzulegen, welche Stellen des Auftraggebers die Daten benützen dürfen und dementsprechend regelmäßig Ausdrucke erhalten und/oder im Wege der Datenfernverarbeitung Zugriff auf die Daten einer Verarbeitung haben.
(3) Innerhalb der benützungsberechtigten Stellen ist vom Leiter festzulegen, welche Organwalter die Daten benützen dürfen.
(4) Eine im Einzelfall über die Bestimmungen des Abs. 2 hinausgehende Benützung bedarf der Zustimmung des Leiters der auftraggebenden Stelle.
Überlassung
§ 10. (1) Organisationseinheiten der Post- und Telegraphenverwaltung dürfen Daten für Dienstleistungen nach Maßgabe des § 13 DSG nur dann überlassen werden, wenn diese Organisationseinheiten auf Grund einer ausdrücklichen gesetzlichen Ermächtigung oder gemäß der Geschäftseinteilung diese Dienstleistungen zu besorgen haben.
(2) Die Dienstleister im Sinne des Abs. 1 dürfen die Daten nur der auftraggebenden Stelle oder jenen Organisationseinheiten des Auftraggebers überlassen, die vom Auftraggeber festgelegt wurden.
(3) Die Überlassung der Daten durch einen Dienstleister im Sinne des Abs. 1 an einen anderen Dienstleister ist nur über Auftrag des zuständigen Auftraggebers zulässig.
§ 11. Bei Zugriffsberechtigungen im Wege der Datenfernverarbeitung sind personenbezogene Daten durch Software-Einrichtungen mit Kennworten zu schützen, die nur den Benützungsberechtigten bekannt und periodisch zu ändern sind.
§ 11. (1) Dienstleistern, die zu Auftraggebern der Post- und Telegraphenverwaltung (§ 1 Abs. 2) nicht in einem Unter- oder Überordnungsverhältnis stehen und die auch nicht auf Grund einer ausdrücklichen gesetzlichen Ermächtigung zu Dienstleistungen herangezogen werden, dürfen Daten nach Maßgabe des § 13 DSG nur zur Erfüllung der ihnen erteilten Aufträge überlassen werden.
(2) Dienstleister im Sinne des Abs. 1 dürfen nur vom zuständigen Auftraggeber zu Dienstleistungen herangezogen werden.
(3) Die beabsichtigte Heranziehung eines Dienstleisters im Sinne des Abs. 1 ist von der zuständigen auftraggebenden Stelle (§ 2 Z 1) der Datenschutzkommission zu melden. Äußert die Datenschutzkommission Bedenken, daß dieser Heranziehung schutzwürdige Interessen Betroffener oder öffentliche Interessen entgegenstehen und können diese Bedenken auch bei einer neuerlichen Befassung der Datenschutzkommission nicht ausgeräumt werden, ist von der Heranziehung des Dienstleisters Abstand zu nehmen.
§ 11a. Dienstleister dürfen die überlassenen Daten nur in dem Umfang benützen, als dies zur Erfüllung ihres Auftrages erforderlich ist. Dienstleister, die zu Auftraggebern der Post- und Telegraphenverwaltung nicht in einem Unter- oder Überordnungsverhältnis stehen und die auch nicht auf Grund einer ausdrücklichen gesetzlichen Ermächtigung zu Dienstleistungen herangezogen werden, sind auf die in § 19 DSG normierten Verpflichtungen ausdrücklich hinzuweisen.
Übermittlung
§ 12. (1) Regelmäßige Übermittlungen von Daten dürfen nur in dem Umfang erfolgen, als sie in der entsprechenden Registereintragung Deckung finden. In Fällen des § 6 Abs. 2 ist die Zulässigkeit regelmäßiger Übermittlungen unter Beachtung der gesetzlichen Bestimmungen in der Dokumentation festzulegen.
(2) Bei Ersuchen um Übermittlungen im Rahmen der Amtshilfe hat das ersuchende Organ die Rechtsgrundlage für die geforderte Übermittlung bekanntzugeben. Die Übermittlung darf nur erfolgen, wenn die Notwendigkeit im Sinne des § 7 Abs. 2 DSG glaubhaft gemacht wurde. Hierüber entscheidet der Leiter der gemäß § 10 benützungsberechtigten Stelle.
(3) Sonstige Übermittlungen im Einzelfall dürfen nur im Rahmen der Zulässigkeit des § 7 DSG erfolgen. Die Genehmigung obliegt dem Leiter des Auftraggebers.
Übermittlung
§ 12. (1) Daten dürfen nur nach Maßgabe des § 7 DSG übermittelt werden. Hiebei ist zu beachten:
Eine ausdrückliche gesetzliche Übermittlungsermächtigung im Sinne des § 7 Abs. 1 Z 1 DSG liegt nur dann vor, wenn die zu übermittelnden Datenarten, die Betroffenenkreise, der Übermittlungszweck und die Datenempfänger festgelegt sind.
Eine ausdrückliche schriftliche Zustimmung des Betroffenen im Sinne des § 7 Abs. 1 Z 2 DSG liegt nur dann vor, wenn der Betroffene sein Einverständnis zur Datenübermittlung ausdrücklich mit Unterschrift, getrennt von etwaigen anderen Vereinbarungen abgegeben hat und in der Zustimmungserklärung die zu übermittelnden Datenarten, die Datenempfänger sowie in allgemein verständlicher Form der Übermittlungszweck genannt werden und der Betroffene über die Möglichkeit des Widerrufs nachweislich informiert wurde.
Die Daten sind für den Empfänger nur dann eine wesentliche Voraussetzung zur Wahrnehmung der ihm gesetzlich übertragenen Aufgaben im Sinne des § 7 Abs. 2 DSG, wenn anders für den Empfänger deren Wahrnehmung nicht möglich oder nicht zumutbar ist.
Übermittlungen im Sinne des § 7 Abs. 3 DSG sind nur dann zulässig, wenn andere Möglichkeiten, das berechtigte Interesse des Dritten zu wahren, nicht vorliegen oder nicht zumutbar sind und das schutzwürdige Interesse des Betroffenen an der Geheimhaltung nicht überwiegt.
(2) Regelmäßige Übermittlungen von Daten dürfen überdies nur in dem Umfang erfolgen, als sie in der entsprechenden Registrierungseingabe Deckung finden.
(3) Bei Ersuchen um Übermittlung im Rahmen der Amtshilfe hat das ersuchende Organ die Rechtsgrundlage für die geforderte Übermittlung bekanntzugeben. Die Übermittlung darf nur erfolgen, wenn die Notwendigkeit im Sinne des § 7 Abs. 2 DSG glaubhaft gemacht wurde. Hierüber entscheidet der Leiter der auftraggebenden Stelle.
(4) Bei sonstigen Übermittlungen im Einzelfall obliegt die Genehmigung dem Leiter der auftraggebenden Stelle.
§ 13. (1) Art und Umfang der Protokollierung sind für Verarbeiter im Sinne des DSG in der Betriebsordnung, für sonstige Stellen durch Weisung des Stellenleiters zu regeln. Hiebei ist sicherzustellen, daß über die übermittelten Daten und die Empfänger der Daten Auskunft gemäß § 11 DSG gegeben werden kann.
(2) Bei regelmäßigen oder systematischen Übermittlungen kann eine gesonderte Protokollierung entfallen, wenn sie so dokumentiert und organisiert sind, daß eine Feststellung der Empfänger, des Kreises der Betroffenen und der Art der Daten möglich ist und dem Auskunftsrecht der Betroffenen gemäß § 11 DSG Folge geleistet werden kann.
(3) Übermittlungen im Rahmen der Amtshilfe und sonstige Übermittlungen im Einzelfall sind in den diesbezüglichen Geschäftsstücken derart festzuhalten, daß dem Auskunftsrecht der Betroffenen gemäß § 11 DSG entsprochen werden kann.
(4) Übermittlungen, die über Verlangen oder mit Einverständnis der Betroffenen (zB. Mitteilungen an Finanzämter, Sozialversicherungsträger, Kreditinstitute) erfolgen, können anstatt in Geschäftsstücken auch in diesbezüglichen Hilfsaufzeichnungen vermerkt werden.
§ 13. (1) Art und Umfang der Protokollierung sind für alle Organisationseinheiten des Auftraggebers oder Dienstleisters in den Datensicherheitsvorschriften zu regeln.
(2) Bei regelmäßigen oder systematischen Übermittlungen kann eine gesonderte Protokollierung entfallen, wenn sie so dokumentiert und organisiert sind, daß eine Feststellung der Empfänger, des Kreises der Betroffenen und der Art der Daten möglich ist und dem Auskunftsrecht der Betroffenen gemäß § 11 DSG Folge geleistet werden kann.
(3) Übermittlungen im Rahmen der Amtshilfe und sonstige Übermittlungen im Einzelfall sind in den diesbezüglichen Geschäftsstücken derart festzuhalten, daß dem Auskunftsrecht der Betroffenen gemäß § 11 DSG entsprochen werden kann.
(4) Gemäß § 7 DSG zulässige Übermittlungen, die über Verlangen oder mit Einverständnis der Betroffenen erfolgen (zB Mitteilungen an Finanzämter, Sozialversicherungsträger, Kreditinstitute), können anstatt in Geschäftsstücken auch in den diesbezüglichen Hilfsaufzeichnungen vermerkt werden. Diese Übermittlungen müssen in den Hilfsaufzeichnungen derart festgehalten werden, daß dem Auskunftsrecht des Betroffenen gemäß § 11 DSG entsprochen werden kann.
§ 13a. (1) Die gemäß § 10 DSG erforderlichen Maßnahmen zur Gewährleistung der Datensicherheit sind durch die auftraggebende Stelle oder durch den/die Dienstleister zu treffen, wobei vom/von den Dienstleister(n) die Zustimmung der auftraggebenden Stelle einzuholen ist. Hiebei ist sicherzustellen, daß auf der Grundlage des § 10 DSG jene Maßnahmen zur Gewährleistung der Datensicherheit getroffen werden, die für die Art des Datenverkehrs (Verwenden von Daten) in der jeweiligen Organisationseinheit unter Bedachtnahme auf die Sensibilität der Daten (§ 5) erforderlich und angemessen sind.
(2) Die Datensicherheitsvorschriften sind entsprechend den Bestimmungen der Kanzleiordnung für die Post- und Telegraphenverwaltung zu erlassen.
Auskunftsverfahren
§ 14. (1) Auskunftsersuchen gemäß § 11 DSG sind schriftlich beim jeweils zuständigen Auftraggeber einzubringen. Auskünfte sind schriftlich ausschließlich mit RSa-Brief und an die im entsprechenden Arbeitsgebiet für den Betroffenen gespeicherte Adresse zu erteilen. Verlangt der Betroffene die Zustellung an eine andere als die gespeicherte Adresse, so hat er seine Identität postordnungsgemäß nachzuweisen.
(2) Dem Betroffenen gegenüber sind, unbeschadet der ihm nach den maßgeblichen Verfahrensvorschriften zustehenden Rechte, die Empfänger übermittelter Daten geheimzuhalten, sofern die Übermittlung für Zwecke eines gerichtlichen oder verwaltungsbehördlichen Strafverfahrens oder eines Disziplinarverfahrens durchgeführt wurde und es sich um solche Daten handelt, die wegen überwiegendem öffentlichen Interesses auch gegenüber dem Betroffenen geheimzuhalten sind. In anderen Rechtsvorschriften festgelegte Auskunftsbeschränkungen werden hiedurch nicht berührt.
(3) Werden oder wurden Daten übermittelt, so sind dem Betroffenen auf Verlangen die Empfänger der übermittelten Daten bekanntzugeben.
§ 15. (1) Für die Erteilung einer Auskunft im Sinne des § 11 Abs. 1 des Datenschutzgesetzes werden folgende pauschalierte Kostenersätze festgelegt:
für jede Auskunft über den aktuellen Stand der Daten des Antragstellers 100 S je Zweck der Verarbeitung;
für jede darüber hinausgehende Auskunft 500 S je Zweck der Verarbeitung; in jenen Fällen, in denen die Auskunftserteilung einen besonders hohen technischen oder organisatorischen Aufwand erfordert, 1 000 S je Zweck der Verarbeitung.
(2) Die in Abs. 1 angeführten Kostenersätze sind nicht zu entrichten:
wenn der Antragsteller nachweist, daß sein monatliches Einkommen die Richtsätze der Ausgleichszulagen nach dem ASVG nicht überschreitet oder
wenn der Aufwand für die Auskunftserteilung geringfügig ist.
(3) Dem Antragsteller ist der für die Auskunftserteilung zu entrichtende Kostenersatz mitzuteilen.
(4) Von der Bearbeitung eines Auskunftsantrages ist abzusehen, wenn der gemäß Abs. 3 mitgeteilte Kostenersatz nicht entrichtet wurde.
(5) Die in § 11 DSG enthaltene Frist für die Erteilung von Auskünften beginnt erst zu laufen, sobald die Entrichtung des mitgeteilten Kostenersatzes nachgewiesen wird.
§ 15. (1) Für die Erteilung einer Auskunft im Sinne des § 11 Abs. 1 DSG werden, sofern diese nicht gemäß § 11 Abs. 4 DSG unentgeltlich zu erfolgen hat, folgende pauschalierte Kostenersätze festgelegt:
für jede Auskunft über den aktuellen Stand der Daten des Antragstellers 100 S je Zweck der Verarbeitung;
für jede darüber hinausgehende Auskunft 500 S je Zweck der Verarbeitung; in jenen Fällen, in denen die Auskunftserteilung einen besonders hohen technischen oder organisatorischen Aufwand erfordert, 1 000 S je Zweck der Verarbeitung.
(2) Die in Abs. 1 angeführten Kostenersätze sind nicht zu entrichten:
wenn der Antragsteller nachweist, daß sein monatliches Einkommen die Richtsätze der Ausgleichszulagen nach dem ASVG nicht überschreitet oder
wenn der Aufwand für die Auskunftserteilung geringfügig ist.
(3) Dem Antragsteller ist der für die Auskunftserteilung zu entrichtende Kostenersatz mitzuteilen.
(4) Von der Bearbeitung eines Auskunftsersuchens ist abzusehen, wenn der Betroffene nicht am Verfahren mitwirkt (§ 11 Abs. 2 DSG) oder der mitgeteilte Kostenersatz nicht entrichtet wurde.
(5) Die in § 11 DSG genannte Frist für die Erteilung von Auskünften beginnt ab dem Zeitpunkt zu laufen, ab dem der Betroffene am Verfahren mitgewirkt hat und ein mitgeteilter Kostenersatz entrichtet wurde.
§ 16. Die Bestimmungen der §§ 14 und 15 sind, wenn der Auskunftswerber nicht ausdrücklich eine Auskunft nach § 11 DSG verlangt, auf die Fälle nicht anzuwenden, für die in Rechtsvorschriften des Bundes oder sonstigen Dienstvorschriften der Post- und Telegraphenverwaltung besondere Auskunftsrechte außerhalb des Datenschutzgesetzes festgelegt sind.
Richtigstellung und Löschung
§ 17. (1) Richtigstellungen und Löschungen gemäß § 12 DSG hat der Auftraggeber zu veranlassen. Hiebei ist zu beachten, daß rechtsverbindlich festgestellte Daten wegen ihrer Unrichtigkeit nur auf Grund einer Entscheidung des für die Feststellung zuständigen Organs richtiggestellt oder gelöscht werden dürfen.
(2) Daten, die für Zwecke der Dokumentation und der internen Kontrolle aufbewahrt werden, dürfen nicht richtiggestellt und vor Ablauf der Aufbewahrungsfrist nicht gelöscht werden.
(3) Durch geeignete organisatorische Maßnahmen ist sicherzustellen, daß im Falle eines Rückgriffes auf die zu Sicherungszwecken aufbewahrten Datenbestände allfällige Richtigstellungen und Löschungen wirksam bleiben.
Richtigstellung und Löschung
§ 17. (1) Richtigstellungen und Löschungen gemäß § 12 DSG hat der Auftraggeber zu veranlassen. Daten sind in erster Linie physisch zu löschen oder richtigzustellen. Wenn dies im Hinblick auf den damit verbundenen Aufwand nicht gerechtfertigt ist oder nur zu bestimmten Zeitpunkten erfolgen kann, sind die Daten zunächst logisch zu löschen oder richtigzustellen. Die physische Löschung oder Richtigstellung hat spätestens beim nächsten Reorganisationslauf zu erfolgen. Hiebei ist zu beachten, daß rechtsverbindlich festgestellte Daten wegen ihrer Unrichtigkeit nur auf Grund einer Entscheidung des für die Feststellung zuständigen Organs richtiggestellt oder gelöscht werden dürfen.
(2) Daten, die für Zwecke der Dokumentation und der internen Kontrolle aufbewahrt werden, dürfen nicht richtiggestellt und vor Ablauf der Aufbewahrungsfrist nicht gelöscht werden.
(3) Durch geeignete organisatorische Maßnahmen ist sicherzustellen, daß im Falle eines Rückgriffes auf die zu Sicherungszwecken aufbewahrten Datenbestände allfällige Richtigstellungen und Löschungen wirksam bleiben.
Angabe der Registernummer
§ 18. (1) Bei Übermittlungen im Sinne des § 3 Z 8 DSG und Mitteilungen an den Betroffenen, die in schriftlicher Form ergehen und verarbeitete Daten zum Inhalt haben, ist die Registernummer auf jedem Schriftstück anzugeben.
(2) Bei Übermittlungen im Sinne des § 3 Z 8 DSG und Mitteilungen an den Betroffenen mittels maschinell lesbarer Datenträger, soweit es sich nicht um maschinell lesbare Schriftstücke handelt, ist die Registernummer auf den Begleitpapieren anzugeben.
(3) Erfolgte eine Übermittlung im Sinne des § 3 Z 8 DSG oder eine Mitteilung an den Betroffenen im Namen mehrerer Auftraggeber, so ist lediglich die Registernummer eines der Auftraggeber mit dem Zusatz "ua" anzugeben.
Angabe der Registernummer
§ 18. (1) Bei Übermittlungen im Sinne des § 3 Z 9 DSG und Mitteilungen an den Betroffenen, die in schriftlicher Form ergehen und verarbeitete Daten zum Inhalt haben, ist die Registernummer auf jedem Schriftstück anzugeben.
(2) Bei Übermittlungen im Sinne des § 3 Z 9 DSG und Mitteilungen an den Betroffenen mittels maschinell lesbarer Datenträger, soweit es sich nicht um maschinell lesbare Schriftstücke handelt, ist die Registernummer auf den Begleitpapieren anzugeben.
(3) Erfolgte eine Übermittlung im Sinne des § 3 Z 9 DSG oder eine Mitteilung an den Betroffenen im Namen mehrerer Auftraggeber, so ist lediglich die Registernummer eines der Auftraggeber mit dem Zusatz "ua" anzugeben.
Inkrafttreten
§ 19. Diese Verordnung tritt sechs Monate nach ihrer Kundmachung im Bundesgesetzblatt in Kraft. Gleichzeitig tritt die Verordnung des Bundesministers für Verkehr vom 21. Dezember 1979, BGBl. Nr. 584, für den Wirkungsbereich der Post- und Telegraphenverwaltung außer Kraft.