Verordnung des Bundesministers für wirtschaftliche Angelegenheiten vom 16. Dezember 1987 zur Durchführung des Datenschutzgesetzes im Wirkungsbereich des Bundesministeriums für wirtschaftliche Angelegenheiten (Datenschutzverordnung)

Präambel/Promulgationsklausel

Auf Grund des § 9 des Datenschutzgesetzes (DSG), BGBl. Nr. 565/1978, in der Fassung des Bundesgesetzes BGBl. Nr. 370/1986 wird verordnet:

Geltungsbereich

§ 1. Diese Verordnung gilt für alle Auftraggeber und Dienstleister im Wirkungsbereich des Bundesministeriums für wirtschaftliche Angelegenheiten.

§ 2. Auftraggeber und Dienstleister im Sinne des § 1 sind, soweit sie Aufgaben ihres sachlichen und örtlichen Wirkungsbereiches wahrnehmen:

Datensicherheitsmaßnahmen

§ 3. (1) Die in § 2 genannten Auftraggeber oder Dienstleister haben für die Organisationseinheiten ihres örtlichen und sachlichen Wirkungsbereiches, die Daten verwenden, Datensicherheitsmaßnahmen schriftlich anzuordnen, den technischen und organisatorischen Änderungen umgehend anzupassen und zu dokumentieren.

(2) Der Auftraggeber oder Dienstleister hat für die zu verwendenden Datenarten dem Grad der Schutzwürdigkeit entsprechende Sicherheitsmaßnahmen zu bestimmen.

(3) Der Auftraggeber oder Dienstleister hat jene Organisationseinheit zu bestimmen, die die Zutrittsberechtigung zu den Räumlichkeiten, in denen die Datenverarbeitung stattfindet, vergibt, ändert, kontrolliert und entzieht.

(4) Der Auftraggeber oder Dienstleister hat jene Organisationseinheit zu bestimmen, die Zugriffsberechtigungen vergibt, ändert, kontrolliert und entzieht. Hiebei ist eine Identifikation jedes Zugriffsberechtigten vorzusehen. Der Zugriff auf das Betriebssystem einschließlich System- und Netzwerksoftware ist darüber hinaus durch geeignete Maßnahmen zu sichern.

(5) Der Auftraggeber oder Dienstleister hat jene Organisationseinheit zu bestimmen, die die für die Verarbeitung notwendigen Daten und Programme einschließlich der dazugehörigen Dokumentation außerhalb der Verarbeitungsstätte gesichert aufzubewahren hat.

(6) Die Vernichtung unbrauchbarer oder nicht mehr benötigter Ausdrucke und sonstiger Datenträger ist vom Auftraggeber oder Dienstleister durch entsprechende personelle oder vertragliche Maßnahmen sicherzustellen.

(7) Jeder Bedienstete, dem in Ausübung seines Dienstes Daten anvertraut oder zugänglich sind, ist über seine Pflichten nach dem Datenschutzgesetz und den innerorganisatorischen Datenschutzvorschriften, insbesondere über die von ihm einzuhaltenden Datensicherheitsvorschriften, nachweislich zu belehren und von den Änderungen umgehend und nachweislich in Kenntnis zu setzen.

Grundsätze für die Ermittlung, Verarbeitung und Benützung

§ 4. (1) Eine ausdrückliche gesetzliche Ermächtigung für eine Ermittlung und Verarbeitung im Sinne des § 6 DSG liegt nur dann vor, wenn in dieser die zu ermittelnden und verarbeitenden Datenarten, die Kreise der Betroffenen und die Empfänger der Daten enthalten sind.

(2) Die Ermittlung und Verarbeitung von Daten ist dann eine wesentliche Voraussetzung für die Wahrnehmung der gesetzlich übertragenen Aufgaben, wenn andere Möglichkeiten, die gesetzlich übertragenen Aufgaben wahrzunehmen, nicht vorliegen oder auf Grund des zu erwartenden Aufwandes dem Auftraggeber aus Wirtschaftlichkeits- und Zweckmäßigkeitserwägungen nicht zuzumuten sind.

(3) Werden Daten für eine Datenverarbeitung vom Betroffenen erhoben oder beschafft (ermittelt), so ist dieser vorher darüber zu informieren, ob eine gesetzliche Verpflichtung zur Offenlegung seiner personenbezogenen Daten besteht oder ob die Ermittlung durch seine freiwillige Mitwirkung zustande kommt.

(4) Wird zur Ermittlung von Daten Amtshilfe in Anspruch genommen, so ist das Amtshilfeersuchen so zu begründen, daß die ersuchte Stelle die Zulässigkeit der Übermittlung gemäß § 7 DSG beurteilen kann. Insbesondere ist darzulegen, durch welche gesetzlichen Bestimmungen dem Auftraggeber jene Aufgaben übertragen sind, zu deren Wahrnehmung die zu ermittelnden Daten eine wesentliche Voraussetzung bilden.

§ 5. (1) Jedes Programm ist vor seinem Einsatz in der Verarbeitung personenbezogener Daten von der durch den Autraggeber zu bestimmenden Organisationseinheit freizugeben.

(2) Die Daten und Programme sind vor Entstellung, Zerstörung und Verlust sowie gegen unbefugte Weitergabe zu schützen.

(3) Wird ein Aufgabengebiet für mehrere Auftraggeber mit Hilfe derselben technischen Einrichtung oder im Netzwerkverbund vollzogen, so ist sicherzustellen, daß jeder Auftraggeber nur über die in seine Zuständigkeit fallenden Daten verfügen kann. Dasselbe gilt, wenn die Daten für verschiedene Aufgabengebiete mit Hilfe derselben technischen Einrichtung oder im Netzwerkverbund verarbeitet werden.

(4) Daten dürfen nur über schriftliche Anordnung des Auftraggebers verarbeitet werden.

(5) Der Auftraggeber hat die Richtigkeit der Verarbeitungsergebnisse durch Stichproben oder sonstige geeignete Methoden zu überprüfen.

(6) Wird ein Fehler festgestellt, so hat der Auftraggeber die Fehlerbehebung umgehend einzuleiten und die Fehlerursache zu beheben. Der betreffende Dienstleister ist unverzüglich zu verständigen, wenn zu vermuten ist, daß die Fehlerursache in seinem Tätigkeitsbereich liegt.

(7) Die Benützung der Daten darf nur in der Art und in dem Umfang erfolgen, wie dies für den Auftraggeber zur Wahrnehmung der ihm gesetzlich übertragenen Aufgaben erforderlich ist.

(8) Die Bediensteten des Auftraggebers dürfen nur jene Daten benützen, die sie zur Erfüllung der ihnen übertragenen Aufgaben benötigen.

Grundsätze für die Übermittlung von Daten

§ 6. (1) Eine ausdrückliche gesetzliche Ermächtigung für die Übermittlung von Daten liegt dann vor, wenn die zu übermittelnden Datenarten und der Zweck der Übermittlung ausdrücklich genannt, die Kreise der Betroffenen umschrieben und die Empfänger der Daten festgelegt sind.

(2) Übermittlungen von Daten durch den Auftraggeber bedürfen, sofern sie sich nicht auf eine ausdrückliche gesetzliche Ermächtigung stützen, eines schriftlichen Auftrages des zuständigen Organs. Der Auftrag kann als Einzel- oder Dauerauftrag erteilt werden. Im Auftrag ist anzugeben, auf Grund welcher Bestimmung des § 7 DSG die Übermittlung zulässig ist.

(3) Die Zustimmung des Betroffenen zur Datenübermittlung gemäß § 7 Abs. 1 Z 2 DSG gilt dann als erteilt, wenn der Betroffene sein Einverständnis zur Datenübermittlung ausdrücklich mit seiner Unterschrift getrennt von etwaigen sonstigen Vereinbarungen gegeben hat. Eine Zustimmungserklärung liegt nur dann vor, wenn die zu übermittelnden Datenarten und die Übermittlungsempfänger ausdrücklich genannt sind und der Betroffene in allgemein verständlicher Form über den Übermittlungszweck informiert wird. Der Betroffene ist nachweislich über die Möglichkeit des schriftlichen Widerrufes seiner Zustimmung zu informieren.

§ 7. Einem Ersuchen um Übermittlung von Daten gemäß § 7 Abs. 2 DSG ist nur zu entsprechen, wenn es auf einen Einzelfall gerichtet ist. Hiebei ist festzustellen, durch welche gesetzlichen Bestimmungen dem Empfänger jene Aufgaben übertragen sind, zu deren Wahrnehmung die zu übermittelnden Daten eine wesentliche Voraussetzung sind. Um die Darlegung der für die Beurteilung der Zulässigkeit der Übermittlung maßgeblichen Sach- und Rechtslage ist zu ersuchen, es sei denn, die Zulässigkeit der Übermittlung ist offenkundig.

§ 8. (1) Eine Übermittlung in den Fällen des § 7 Abs. 3 DSG ist zulässig, wenn andere Möglichkeiten, das berechtigte Interesse des Dritten zu wahren, nicht vorliegen oder nicht zumutbar sind. Auch in diesem Fall ist die Übermittlung nur zulässig, wenn das schutzwürdige Interesse des Betroffenen an der Geheimhaltung nicht überwiegt.

(2) Daten gelten dann als veröffentlicht, wenn sie einem generell bestimmten Personenkreis zugänglich gemacht worden sind.

Grundsätze für die Überlassung von Daten

§ 9. (1) Die in § 2 genannten Auftraggeber können unter den in § 13 DSG genannten Voraussetzungen Dienstleister in Anspruch nehmen.

(2) Der Auftraggeber hat dem Dienstleister die beabsichtigte Heranziehung eines weiteren Dienstleisters zu untersagen, wenn öffentliche Interessen dies verlangen oder zu befürchten ist, daß berechtigte schutzwürdige Interessen von Betroffenen gefährdet sind.

(3) Wurde dem Auftraggeber von der Datenschutzkommission die Auffassung mitgeteilt, daß der Inanspruchnahme eines Dienstleisters schutzwürdige Interessen Betroffener oder öffentliche Interessen entgegenstehen, so hat der Auftraggeber entweder der Rechtsanschauung der Datenschutzkommission zu entsprechen oder andernfalls die begründete Entscheidung über die weitere Vorgangsweise zu dokumentieren.

Auskunftsrecht

§ 10. (1) Eine Auskunft gemäß § 11 DSG darf nur auf Grund eines unbedenklichen Identitätsnachweises und gegen Empfangsbestätigung ausgefolgt oder zu eigenen Handen zugestellt werden.

(2) Die Mitwirkung eines Betroffenen am Auskunftsverfahren liegt vor, wenn

(3) Der aktuelle Datenbestand im Sinne des § 11 Abs. 4 DSG umfaßt jene Daten, die in der betreffenden Datenverarbeitung dem Direktzugriff unterliegen, oder mangels eines solchen den letztgültigen Datenbestand.

§ 11. (1) Für die Erteilung einer entgeltlichen Auskunft im Sinne des § 11 Abs. 4 DSG werden folgende pauschalierte Kostenersätze festgelegt:

(2) Die in Abs. 1 angeführten Kostenersätze sind nicht zu entrichten, wenn der Aufwand geringfügig ist.

(3) Dem Antragsteller ist der zu entrichtende Kostenersatz unverzüglich mitzuteilen.

(4) Von der Bearbeitung eines Auskunftsantrages ist abzusehen, wenn der gemäß Abs. 3 mitgeteilte Kostenersatz nicht entrichtet wurde oder der Betroffene trotz Aufforderung des Auftraggebers am Verfahren nicht ausreichend mitwirkt.

(5) Die in § 11 Abs. 1 DSG enthaltene Frist für die Erteilung von entgeltlichen Auskünften beginnt mit dem Einlagen des Kostenersatzes zu laufen.

Richtigstellung und Löschung

§ 12. (1) Eine logische Richtigstellung oder Löschung von Daten hat durch solche Maßnahmen zu erfolgen, die bei einer Abfrage die Unrichtigkeit der verarbeiteten Daten angeben und auf die richtigen Daten verweisen oder den Umstand der Löschung anzeigen.

(2) Die für Zwecke der Dokumentation oder der internen Kontrolle aufzubewahrenden Daten dürfen nur durch einen entsprechenden Vermerk richtiggestellt und vor Ablauf der Aufbewahrungsfrist nur mit einem Löschungsvermerk versehen werden.

(3) Durch geeignete organisatorische Maßnahmen ist sicherzustellen, daß im Falle eines Rückgriffes auf die zu Sicherungszwecken aufbewahrten Datenbestände allfällige Richtigstellungen und Löschungen wirksam bleiben.

(4) Das Begehren eines Betroffenen, dessen Daten nach einer Übermittlung richtiggestellt oder gelöscht werden, auf Verständigung des Empfängers von der Richtigstellung bzw. Löschung ist schriftlich zu stellen.

(5) Rechtsverbindlich festgestellte Daten dürfen nur auf Grund einer Entscheidung des für die Feststellung zuständigen Organs richtiggestellt oder gelöscht werden.

Angabe der Registernummer

§ 13. (1) Der Auftraggeber hat die ihm zugeteilte Registernummer bei Übermittlung von Daten und Mitteilungen an den Betroffenen auf jedem Schriftstück, das automationsunterstützt verarbeitete Daten enthält, anzuführen.

(2) Bei Übermittlungen im Sinne des § 3 Z 9 DSG und Mitteilungen an den Betroffenen, die in schriftlicher Form ergehen und verarbeitete Daten zum Inhalt haben, ist die Registernummer auf jedem Schriftstück anzugeben.

Inkrafttreten

§ 14. (1) Diese Verordnung tritt mit 1. Jänner 1988 in Kraft.

(2) Mit Inkrafttreten dieser Verordnung treten die Verordnung des Bundesministers für Bauten und Technik vom 2. Juli 1980, BGBl. Nr. 337, in der Fassung der Verordnung BGBl. Nr. 529/1986 und die Verordnung des Bundesministers für Handel, Gewerbe und Industrie vom 27. Juni 1980, BGBl. Nr. 300, in der Fassung BGBl. Nr. 191/1985 außer Kraft.