LegalizeVerordnung des Bundesministers für Finanzen vom 12. August 1987 zur Durchführung des Datenschutzgesetzes im Wirkungsbereich des Bundesministeriums für Finanzen
Präambel/Promulgationsklausel
Auf Grund des Datenschutzgesetzes (DSG), BGBl. Nr. 565/1978, in der Fassung des Bundesgesetzes BGBl. Nr. 314/1981, der Kundmachung BGBl. Nr. 577/1982 sowie der Datenschutzgesetz-Novelle 1986, BGBl. Nr. 370, wird verordnet:
Geltungsbereich
§ 1. Diese Verordnung gilt für alle Auftraggeber und Dienstleister im Wirkungsbereich des Bundesministeriums für Finanzen.
Auftraggeber und Dienstleister
§ 2. (1) Auftraggeber sind nach Maßgabe ihrer örtlichen und sachlichen Zuständigkeit:
das Bundesministerium für Finanzen für die Personalverwaltung, die Haushaltsführung, das Geld- und Kreditwesen sowie das Büroinformationssystem;
die Finanzlandesdirektionen für die Personalverwaltung, die Haushaltsführung und das Büroinformationssystem;
die Finanzprokuratur, das Hauptpunzierungs- und Probieramt, die Verwertungsstelle des Österreichischen Branntweinmonopols, die Österreichische Glücksspielmonopolverwaltung, das Österreichische Hauptmünzamt, das Österreichische Postsparkassenamt und der Vorsitzende des Vorstandes der Österreichischen Salinen AG für die Personalverwaltung und die Haushaltsführung;
das Bundesrechenamt für die Pensionsangelegenheiten, die Personalverwaltung, die Haushaltsführung und das Büroinformationssystem;
die Finanzämter und Zollämter für die Abgabenverwaltung und das Büroinformationssystem;
die Oesterreichische Nationalbank für das Geld- und Kreditwesen.
(2) Dienstleister im Sinne des § 1 sind das Bundesrechenamt und die im Abs. 1 genannten Auftraggeber, letztere soweit sie für andere Auftraggeber Tätigkeiten im Sinne des § 3 Z 7 DSG verrichten, insbesondere die Eingabe und Abfrage von Daten im Rahmen der Datenfernverarbeitung.
Aufgabengebiete
§ 3. (1) Die im § 2 genannten Aufgabengebiete bedeuten:
Personalverwaltung: die Vollziehung des Dienst- und Besoldungsrechtes des Bundes für die aktiven Bundesbediensteten einschließlich der Rechtsvorschriften über die Ausbildung und die Planstellenbewirtschaftung;
Haushaltsführung: die Erstellung des Bundesvoranschlages und die Vollziehung jener Aufgaben, bei denen das Bundesrechenamt gemäß § 2 Abs. 1 Z 9 bis 11 Bundesrechenamtsgesetz, BGBl. Nr. 123/1978, als Dienstleister mitwirkt;
Geld- und Kreditwesen: die Vollziehung des Geld- und Kreditrechtes einschließlich der Devisenbewirtschaftung, der Währungs- und Kreditpolitik sowie der Vertragsversicherungsaufsicht;
Pensionsangelegenheiten: die Vollziehung des Pensionsrechtes der Bundesbediensteten sowie die Berechnung und Zahlbarstellung der vom Bundespräsidenten gewährten außerordentlichen Versorgungsgenüsse und außerordentlichen Zuwendungen;
Abgabenverwaltung: die in Vollziehung des Abgabenrechtes und des Finanzstrafrechtes wahrzunehmenden Aufgaben;
Büroinformationssystem: die Erstellung, Verteilung und Archivierung von Texten.
(2) Ein Aufgabengebiet unterliegt dieser Verordnung nur hinsichtlich jener Daten (§ 3 Z 1 DSG), die zumindest in einer Phase des Verfahrensablaufes Gegenstand eines automationsunterstützten Vorganges sind.
(3) Jedes automationsunterstützt zu vollziehende Aufgabengebiet ist so einzurichten, daß im Außenverhältnis, insbesondere für den Betroffenen, die sachliche und örtliche Zuständigkeit des Auftraggebers ersichtlich ist. Für die Durchführung von Zusendungen und Zustellungen kann sich der Auftraggeber des Dienstleisters bedienen, soweit dies aus Gründen der Sparsamkeit, Wirtschaftlichkeit und Zweckmäßigkeit geboten ist.
(4) Umfaßt ein Aufgabengebiet die Auszahlung von Geldleistungen, so endet dieses Aufgabengebiet und damit die Verantwortlichkeit des Auftraggebers für die weitere Verwendung der Daten mit der Übermittlung der Datenträger für den Zahlungsverkehr an eine Bank.
(5) Wird ein Aufgabengebiet für mehrere Auftraggeber mit Hilfe derselben technischen Einrichtungen oder im Netzwerkverbund vollzogen, so ist sicherzustellen, daß jedem Auftraggeber die in die Zuständigkeit eines anderen Auftraggebers fallenden Daten nur in den im § 7 DSG genannten Fällen zugänglich gemacht werden. Dasselbe gilt, wenn die Daten für verschiedene Aufgabengebiete mit Hilfe derselben technischen Einrichtungen oder im Netzwerkverbund verarbeitet werden.
Datensicherheitsmaßnahmen
§ 4. (1) Die gemäß § 10 DSG zu treffenden Datensicherheitsmaßnahmen sind für jede Organisationseinheit so zu gestalten, daß für die verwendeten Daten die auf Grund ihrer Schutzwürdigkeit angemessene Schutzwirkung erreicht wird. Hiebei dürfen Daten mit geringerer Schutzwürdigkeit mit Daten höherer Schutzwürdigkeit gleich behandelt werden. Die gemäß § 10 DSG erlassenen Datensicherheitsvorschriften sind den jeweiligen technischen und organisatorischen Änderungen umgehend anzupassen und zu dokumentieren.
(2) Das Bundesministerium für Finanzen hat jene Organisationseinheit zu bestimmen, die die Zutrittsberechtigungen zu den Räumlichkeiten, in denen die Verarbeitung stattfindet, vergibt, ändert, kontrolliert und entzieht.
(3) Das Bundesministerium für Finanzen hat jene Organisationseinheit zu bestimmen, die Zugriffsberechtigungen mittels geschützter Benutzeridentifikationen vergibt, ändert, kontrolliert und entzieht. Hiebei ist eine Identifikation jedes Zugriffsberechtigten vorzusehen. Der Zugriff auf das Betriebssystem einschließlich System- und Netzwerksoftware ist darüber hinaus durch geeignete Maßnahmen zu sichern.
(4) Die Vernichtung unbrauchbarer oder nicht mehr benötigter Ausdrucke und sonstiger Datenträger ist vom Auftraggeber oder Dienstleister durch entsprechende personelle oder vertragliche Maßnahmen sicherzustellen.
(5) Jeder Bedienstete ist über seine Pflichten nach dem Datenschutzgesetz und den innerorganisatorischen Datenschutzvorschriften, insbesondere über die von ihm einzuhaltenden Datensicherheitsvorschriften zu belehren und von diesbezüglichen Änderungen umgehend und nachweislich in Kenntnis zu setzen.
Grundsätze für die Ermittlung, Verarbeitung und Benützung
§ 5. (1) Die Ermittlung der Daten obliegt dem sachlich und örtlich zuständigen Auftraggeber. Er kann sich hiebei des Dienstleisters bedienen. Dies ist nur mit Genehmigung des Bundesministeriums für Finanzen zulässig. Bei der Oesterreichischen Nationalbank ist für die Genehmigung das Direktorium zuständig.
(2) Wird zur Ermittlung von Daten Amtshilfe in Anspruch genommen, so ist das Amtshilfeersuchen derart zu begründen, daß die ersuchte Stelle die Zulässigkeit einer Übermittlung gemäß § 7 DSG beurteilen kann. Die Begründung kann entfallen, wenn die Zulässigkeit einer Übermittlung für die ersuchte Stelle offenkundig ist oder anläßlich eines vorangegangenen Amtshilfeersuchens gleicher Art festgestellt wurde.
(3) Werden Daten vom Betroffenen ermittelt, so ist dieser vor der Ermittlung darüber zu informieren, ob eine gesetzliche Verpflichtung zur Offenlegung seiner personenbezogenen Daten besteht oder ob die Ermittlung durch seine freiwillige Mitwirkung zustandekommt.
§ 6. (1) Jedes Programm ist vor seinem Einsatz in der Verarbeitung personenbezogener Daten von der durch das Bundesministerium für Finanzen zu bestimmenden Organisationseinheit freizugeben.
(2) Die Daten und Programme sind vor Entstellung, Zerstörung und Verlust sowie gegen unbefugte Verwendung und Weitergabe zu schützen.
(3) Daten dürfen nur auf Grund von schriftlichen Aufträgen verarbeitet werden.
(4) Der Auftraggeber hat, soweit ihm dies mit vertretbarem Arbeitsaufwand möglich ist, die Richtigkeit der Verarbeitungsergebnisse durch Stichproben oder sonstige geeignete Methoden zu überprüfen.
(5) Wird ein Fehler festgestellt, so hat der Auftraggeber die Fehlerbehebung umgehend einzuleiten und die Fehlerursache zu beheben. Der betreffende Dienstleister ist unverzüglich zu verständigen, wenn zu vermuten ist, daß die Fehlerursache in seinem Tätigkeitsbereich liegt.
(6) Die Benützung der Daten darf nur in der Art und in dem Umfang erfolgen, als hiefür eine ausdrückliche gesetzliche Ermächtigung besteht oder die Benützung für den Auftraggeber zur Wahrnehmung der ihm gesetzlich übertragenen Aufgaben eine wesentliche Voraussetzung bildet.
(7) Die Bediensteten des Auftraggebers dürfen nur jene Daten benützen, die zur Erfüllung der ihnen übertragenen Aufgaben erforderlich sind.
Grundsätze für die Übermittlung
§ 7. (1) Übermittlungen von Daten durch den Auftraggeber bedürfen eines schriftlichen Auftrages; der Auftrag kann als Einzel- oder Dauerauftrag erteilt werden. Die Kompetenz für die Auftragserteilung liegt im Bundesministerium für Finanzen beim zuständigen Abteilungsleiter, bei nachgeordneten Dienststellen beim Dienststellenleiter; der Dienststellenleiter kann in der Personal- und Geschäftseinteilung andere Bedienstete zur Auftragserteilung ermächtigen. Bei der Oesterreichischen Nationalbank sind für die Auftragserteilung das Direktorium oder die von ihm ermächtigten Bediensteten zuständig. In den Aufträgen ist anzugeben, auf Grund welcher Bestimmungen des § 7 DSG die Übermittlung zulässig ist.
(2) Zur Durchführung von Übermittlungen kann sich der Auftraggeber des Dienstleisters bedienen. Dies ist nur mit Genehmigung des Bundesministeriums für Finanzen zulässig. Bei der Oesterreichischen Nationalbank ist für die Genehmigung das Direktorium zuständig.
(3) Einem Ersuchen um Übermittlung von Daten darf nur entsprochen werden, wenn die ersuchende Stelle an der Klärung der für die Beurteilung der Zulässigkeit der Übermittlung maßgeblichen Sach- und Rechtslage mitwirkt. Um die Mitwirkung ist erforderlichenfalls zu ersuchen, es sei denn, daß die Zulässigkeit der Übermittlung offenkundig ist.
(4) Werden die Daten für verschiedene Aufgabengebiete mit Hilfe derselben technischen Einrichtungen verarbeitet, so ist sicherzustellen, daß Verknüpfungen von Daten verschiedener Aufgabengebiete nur in den im § 7 DSG genannten Fällen erfolgen.
Grundsätze für die Überlassung
§ 8. (1) Die in § 2 genannten Auftraggeber dürfen unter den in § 13 DSG genannten Voraussetzungen Dienstleister in Anspruch nehmen.
(2) Die Überlassung der Daten darf nur in der Art und in dem Umfang erfolgen, als Auftraggeber zu deren Ermittlung und Verarbeitung berechtigt sind, die Überlassung auf Grund ausdrücklicher gesetzlicher Bestimmungen zulässig oder aus Gründen der Zweckmäßigkeit und Wirtschaftlichkeit der Verwaltung geboten ist und schutzwürdige Interessen Betroffener oder öffentliche Interessen nicht entgegenstehen.
(3) Die Überlassung der Daten ist nur mit vorheriger Genehmigung oder auf Anordnung des Bundesministeriums für Finanzen zulässig; dies gilt auch für die Überlassung durch einen Dienstleister an einen weiteren. Bei der Oesterreichischen Nationalbank ist für die Genehmigung das Direktorium zuständig.
(4) Die Einhaltung der Pflichten der Dienstleister gem. §§ 13 und 19 DSG ist durch das Bundesministerium für Finanzen zu kontrollieren.
Auskunftsrecht
§ 9. (1) Die Mitwirkung eines Betroffenen am Auskunftsverfahren liegt vor, wenn
diejenigen Datenverarbeitungen im Sinne des § 8 DSG bezeichnet werden, bezüglich derer er Betroffener sein kann; oder
insbesondere durch die Vorlage von Unterlagen oder die Beschreibung von Lebensumständen glaubhaft ist, daß Daten des Betroffenen irrtümlich oder mißbräuchlich in Datenbeständen des Auftraggebers enthalten sind.
(2) Der aktuelle Datenbestand im Sinne des § 11 Abs. 4 DSG umfaßt jene Daten, die in der betreffenden Datenverarbeitung dem Direktzugriff unterliegen, oder - mangels eines solchen - den letztgültigen Datenbestand.
(3) Eine Auskunft gemäß § 11 DSG darf nur auf Grund eines unbedenklichen Identitätsnachweises und gegen Empfangsbestätigung ausgefolgt oder zu eigenen Handen zugestellt werden.
(4) Dem Betroffenen gegenüber sind, unbeschadet der ihm nach den maßgeblichen Verfahrensvorschriften zustehenden Rechte, wegen überwiegenden öffentlichen Interesses geheimzuhalten:
Daten, die im Zuge eines gerichtlichen oder verwaltungsbehördlichen Strafverfahrens oder eines Disziplinarverfahrens sowie diesbezüglicher Vorerhebungen ermittelt wurden, solange das Verfahren noch nicht rechtskräftig abgeschlossen ist;
die Empfänger übermittelter Daten, sofern die Übermittlung für Zwecke eines gerichtlichen oder verwaltungsbehördlichen Strafverfahrens, eines Disziplinarverfahrens oder eines Nachrichtenaustausches gemäß § 114 Bundesabgabenordnung durchgeführt wurde.
In anderen Rechtsvorschriften festgelegte Auskunftsbeschränkungen werden hiedurch nicht berührt.
(5) Werden oder wurden Daten übermittelt, so sind dem Betroffenen auf Verlangen die Empfänger der übermittelten Daten bekanntzugeben. Handelt es sich um Übermittlungen, die im Rahmen eines automationsunterstützten Verfahrens organisatorisch vorgesehen sind, oder verursacht die Feststellung der Emfänger übermittelter Daten im Einzelfall unverhältnismäßig hohe Kosten oder einen nicht zumutbaren Arbeitsaufwand, so sind dem Betroffenen die auf Grund der Verfahrensorganisation bzw. der Sach- und Rechtslage für solche Übermittlungen in Betracht kommenden Empfänger mitzuteilen.
Pauschalierter Kostenersatz
§ 10. (1) Für die Erteilung einer entgeltlichen Auskunft im Sinne des § 11 Abs. 4 DSG werden folgende pauschalierte Kostenersätze festgelegt:
für die Auskunft über den aktuellen Stand der Daten des Antragstellers, wenn dieser im laufenden Jahr bereits ein Auskunftsbegehren über dasselbe Aufgabengebiet gestellt hat, 100 S je Datenverarbeitung;
für jede darüber hinausgehende Auskunft 500 S je Datenverarbeitung; in jenen Fällen, in denen die Auskunftserteilung einen besonders hohen technischen oder organisatorischen Aufwand erfordert, 1 000 S je Datenverarbeitung.
(2) Die in Abs. 1 angeführten Kostenersätze sind nicht zu entrichten, wenn der Aufwand für die Auskunftserteilung geringfügig ist.
(3) Dem Antragsteller ist der zu entrichtende Kostenersatz unverzüglich mitzuteilen.
(4) Von der Bearbeitung eines Auskunftsantrages ist abzusehen, wenn der gemäß Abs. 3 mitgeteilte Kostenersatz nicht entrichtet wurde oder der Betroffene am Verfahren nicht ausreichend mitgewirkt hat.
(5) Die in § 11 Abs. 1 DSG enthaltene Frist für die Erteilung von entgeltlichen Auskünften beginnt mit dem Einlangen des Kostenersatzes zu laufen.
Richtigstellung und Löschung
§ 11. (1) Eine logische Richtigstellung oder Löschung von Daten hat durch solche Maßnahmen zu erfolgen, die bei einer Abfrage die Unrichtigkeit der verarbeiteten Daten angeben und auf die richtigen Daten verweisen oder den Umstand der Löschung anzeigen.
(2) Die für Zwecke der Dokumentation oder der internen Kontrolle aufzubewahrenden Daten dürfen nur durch einen entsprechenden Vermerk richtiggestellt und vor Ablauf der Aufbewahrungsfrist nur mit einem Löschungsvermerk versehen werden.
(3) Durch geeignete organisatorische Maßnahmen ist sicherzustellen, daß im Falle eines Rückgriffes auf die zu Sicherungszwecken aufbewahrten Datenbestände allfällige Richtigstellungen und Löschungen wirksam bleiben.
(4) Ein Betroffener, dessen Daten nach einer Übermittlung richtiggestellt oder gelöscht werden, hat ein Begehren auf Verständigung des Empfängers von der Richtigstellung bzw. Löschung schriftlich zu stellen.
(5) Rechtsverbindlich festgestellte Daten dürfen nur auf Grund einer Entscheidung des für die Feststellung zuständigen Organs richtiggestellt oder gelöscht werden.
Angabe der Registernummer
§ 12. (1) Der Auftraggeber hat die ihm zugeteilte Registernummer bei Übermittlungen von Daten bzw. Mitteilungen an den Betroffenen auf jedem Schriftstück, das automationsunterstützt verarbeitete Daten enthält, anzuführen.
(2) Bei Übermittlungen im Sinne des § 3 Z 9 DSG und Mitteilungen an den Betroffenen mittels maschinell lesbarer Datenträger, soweit es sich nicht um maschinell lesbare Schriftstücke handelt, ist die Registernummer auf den Begleitpapieren anzugeben.
(3) Erfolgt eine Übermittlung im Sinne des § 3 Z 9 DSG oder eine Mitteilung an den Betroffenen im Namen mehrerer Auftraggeber, so ist lediglich die Registernummer eines der Auftraggeber mit dem Zusatz „ua.“ anzugeben.
Inkrafttreten
§ 13. Diese Verordnung tritt am 15. September 1987 in Kraft. Mit Wirksamkeit vom gleichen Zeitpunkt wird die Verordnung des Bundesministers für Finanzen vom 8. Juni 1980, BGBl. Nr. 252, aufgehoben.
Dieses Dokument ersetzt nicht die offizielle Publikation im Bundesgesetzblatt. Für eventuelle Ungenauigkeiten bei der Übertragung in dieses Format wird keine Haftung übernommen.