LegalizeVerordnung des Bundesministers für Wissenschaft und Forschung vom 10. März 1988 zur Durchführung des Datenschutzgesetzes im Wirkungsbereich des Bundesministeriums für Wissenschaft und Forschung
Präambel/Promulgationsklausel
Auf Grund des Datenschutzgesetzes (DSG), BGBl. Nr. 565/1978, in der Fassung der Bundesgesetze BGBl. Nr. 341/1981, 577/1982 und 370/1986 wird verordnet:
Geltungsbereich
§ 1. Diese Verordnung gilt für alle Auftraggeber und Dienstleister im Wirkungsbereich des Bundesministeriums für Wissenschaft und Forschung.
Auftraggeber und Aufgabengebiete
§ 2. Auftraggeber sind nach Maßgabe ihrer sachlichen und örtlichen Zuständigkeit:
das Bundesministerium für Wissenschaft und Forschung für Personalverwaltung, Haushaltsführung, Hochschulinformation, Hörerevidenz, Studienförderung, Studienberechtigungsprüfung, Studentenheime, Wissenschaftsverwaltung, Denkmalschutz sowie das Büroinformationssystem,
die Studienbeihilfenbehörde für Studienförderung,
die nachgeordneten Dienststellen, soweit sie anweisende Stellen im Sinne des Haushaltsrechtes sind, für die Haushaltsführung.
§ 3. (1) Aufgabengebiete im Sinne dieser Verordnung sind:
Personalverwaltung: die Vollziehung des Dienst- und Besoldungsrechtes für die aktiven Bundesbediensteten einschließlich der Rechtsvorschriften über die Ausbildung und die Planstellenbewirtschaftung sowie die Vollziehung des Bundesgesetzes über die Abgeltung von Lehr- und Prüfungstätigkeit an Hochschulen, BGBl. Nr. 463/1974, jeweils in der geltenden Fassung;
Haushaltsführung: Vollziehung der Haushaltsvorschriften einschließlich der damit in Zusammenhang stehenden Neben- und Hilfsverrechnungen sowie Betriebsabrechnungen;
Hochschulinformation: die Vollziehung des Universitäts-Organisationsgesetzes, BGBl. Nr. 258/1975, des Kunsthochschul-Organisationsgesetzes, BGBl. Nr. 54/1970, der Kunsthochschulordnung, BGBl. Nr. 70/1971, und des Akademie-Organisationsgesetzes, BGBl. Nr. 237/1955, jeweils in der geltenden Fassung;
Hörerevidenz: die Vollziehung des Allgemeinen Hochschul-Studiengesetzes, BGBl. Nr. 177/1966, und des Kunsthochschul-Studiengesetzes, BGBl. Nr. 187/1983, jeweils in der geltenden Fassung;
Studienförderung: die Vollziehung des Studienförderungsgesetzes, BGBl. Nr. 436/1983, jeweils in der geltenden Fassung;
Studienberechtigungsprüfung: die Vollziehung des Studienberechtigungsgesetzes, BGBl. Nr. 292/1985;
Studentenheime: die Vollziehung des Studentenheimgesetzes, BGBl. Nr. 291/1986;
Wissenschaftsverwaltung: die Vollziehung des Forschungsorganisationsgesetzes, BGBl. Nr. 341/1981, des Bundesministeriengesetzes, BGBl. Nr. 76/1986, sowie die Evidenz der Einrichtungen im Sinne des § 4 Abs. 4 Z 5 lit. d und e des Einkommensteuergesetzes 1972, jeweils in der geltenden Fassung;
Denkmalschutz: die Vollziehung des Denkmalschutzgesetzes, BGBl. Nr. 533/1923, jeweils in der geltenden Fassung;
Büroinformationssystem: die Erstellung, Verteilung und Archivierung von Texten.
(2) Ein Aufgabengebiet unterliegt dieser Verordnung nur hinsichtlich jener Daten (§ 3 Z 1 DSG), die zumindest in einer Phase des Verfahrensablaufes Gegenstand eines automationsunterstützten Vorganges sind.
(3) Jedes automationsunterstützt zu vollziehende Aufgabengebiet ist so einzurichten, daß im Außenverhältnis, insbesondere für den Betroffenen, die sachliche und örtliche Zuständigkeit des Auftraggebers ersichtlich ist. Für die Durchführung von Zusendungen und Zustellungen kann sich der Auftraggeber des Dienstleisters bedienen, soweit dies aus Gründen der Sparsamkeit, Wirtschaftlichkeit und Zweckmäßigkeit geboten ist.
Datensicherungsmaßnahmen
§ 4. (1) Die gemäß § 10 DSG zu treffenden Datensicherheitsmaßnahmen sind für jede Organisationseinheit so zu gestalten, daß für die verwendeten Daten die auf Grund ihrer Schutzwürdigkeit angemessene Schutzwirkung erreicht wird. Hiebei dürfen Daten mit geringerer Schutzwürdigkeit mit Daten höherer Schutzwürdigkeit gleich behandelt werden. Die gemäß § 10 DSG erlassenen Datensicherheitsvorschriften sind den jeweiligen technischen und organisatorischen Änderungen umgehend anzupassen und zu dokumentieren.
(2) Das Bundesministerium für Wissenschaft und Forschung hat jene Organisationseinheit zu bestimmen, die die Zutrittsberechtigungen zu den Räumlichkeiten, in denen die Verarbeitung stattfindet, vergibt, ändert, kontrolliert und entzieht.
(3) Das Bundesministerium für Wissenschaft und Forschung hat jene Organisationseinheit zu bestimmen, die Zugriffsberechtigungen vergibt, ändert, kontrolliert und entzieht. Hiebei ist eine Identifikation jedes Zugriffsberechtigten vorzusehen. Der Zugriff auf das Betriebssystem einschließlich System- und Netzwerksoftware ist darüber hinaus durch geeignete Maßnahmen zu sichern.
(4) Die Vernichtung unbrauchbarer oder nicht mehr benötigter Ausdrucke und sonstiger Datenträger ist vom Auftraggeber oder Dienstleister durch entsprechende personelle oder vertragliche Maßnahmen sicherzustellen.
(5) Jeder Bedienstete ist über seine Pflichten nach dem Datenschutzgesetz und den innerorganisatorischen Datenschutzvorschriften, insbesondere über die von ihm einzuhaltenden Datensicherheitsvorschriften zu belehren und von diesbezüglichen Änderungen umgehend und nachweislich in Kenntnis zu setzen.
Grundsätze für die Ermittlung, Verarbeitung und Benützung
§ 5. (1) Wird zur Ermittlung und Verarbeitung von Daten Amtshilfe in Anspruch genommen, so ist das Amtshilfeersuchen so zu begründen, daß die ersuchte Stelle die Zulässigkeit der Übermittlung gemäß § 7 DSG beurteilen kann. Insbesondere ist darzulegen, durch welche gesetzliche Bestimmungen dem Auftraggeber jene Aufgaben übertragen sind, zu deren Wahrnehmung die zu ermittelnden Daten eine wesentliche Voraussetzung bilden. Die Begründung kann entfallen, wenn die Zulässigkeit der Übermittlung für die ersuchte Stelle offenkundig ist oder anläßlich eines vorangegangenen Amtshilfeersuchens gleicher Art festgestellt wurde.
(2) Eine ausdrückliche gesetzliche Ermächtigung für eine Ermittlung und Verarbeitung im Sinne des § 6 DSG liegt nur dann vor, wenn in dieser die zu ermittelnden und verarbeitenden Datenarten, die Kreise der Betroffenen und die Empfänger der Daten enthalten sind.
(3) Die Ermittlung und Verarbeitung von Daten ist dann als wesentliche Voraussetzung für die Wahrnehmung der gesetzlich übertragenen Aufgaben zu erachten, wenn andere Möglichkeiten, die gesetzlich übertragenen Aufgaben wahrzunehmen, nicht vorliegen oder sie auf Grund des zu erwartenden Aufwandes dem Auftraggeber nicht zuzumuten sind.
(4) Werden Daten vom Betroffenen ermittelt, so ist dieser vor der Ermittlung darüber zu informieren, ob eine gesetzliche Verpflichtung zur Offenlegung seiner personenbezogenen Daten besteht oder ob die Ermittlung durch seine freiwillige Mitwirkung zustande kommt.
§ 6. (1) Jedes Programm ist vor seinem Einsatz in der Verarbeitung personenbezogener Daten von der durch das Bundesministerium für Wissenschaft und Forschung zu bestimmenden Organisationseinheit freizugeben.
(2) Die Daten und Programme sind vor Entstellung, Zerstörung und Verlust sowie gegen unbefugte Verwendung und Weitergabe zu schützen.
(3) Daten dürfen nur auf Grund von schriftlichen Aufträgen verarbeitet werden.
(4) Der Auftraggeber hat, soweit ihm dies mit vertretbarem Arbeitsaufwand möglich ist, die Richtigkeit der Verarbeitungsergebnisse durch Stichproben oder sonstige geeignete Methoden zu überprüfen.
(5) Wird ein Fehler festgestellt, so hat der Auftraggeber die Fehlerbehebung umgehend einzuleiten und die Fehlerursache zu beheben. Der betreffende Dienstleister ist unverzüglich zu verständigen, wenn zu vermuten ist, daß die Fehlerursache in seinem Tätigkeitsbereich liegt.
(6) Die Benützung der Daten darf nur in der Art und in dem Umfang erfolgen, als hiefür eine ausdrückliche gesetzliche Ermächtigung besteht oder die Benützung für den Auftraggeber zur Wahrnehmung der ihm gesetzlich übertragenen Aufgaben eine wesentliche Voraussetzung bildet.
(7) Die Bediensteten des Auftraggebers dürfen nur jene Daten benützen, die zur Erfüllung der ihnen übertragenen Aufgaben erforderlich sind.
Grundsätze für die Übermittlung
§ 7. (1) Eine ausdrückliche gesetzliche Ermächtigung für eine Ermittlung und Verarbeitung im Sinne des § 6 DSG liegt nur dann vor, wenn in dieser die zu ermittelnden und verarbeitenden Datenarten, die Kreise der Betroffenen und die Empfänger der Daten enthalten sind.
(2) Übermittlungen von Daten durch den Auftraggeber bedürfen, sofern sie sich nicht auf eine ausdrückliche gesetzliche Ermächtigung stützen, eines schriftlichen Auftrages; der Auftrag kann als Einzel- oder Dauerauftrag erteilt werden. Im Auftrag ist anzugeben, auf Grund welcher Bestimmung des § 7 DSG die Übermittlung zulässig ist. Die Kompetenz für die Auftragserteilung liegt im Bundesministerium für Wissenschaft und Forschung beim zuständigen Abteilungsleiter, bei nachgeordneten Dienststellen beim Dienststellenleiter; der Dienststellenleiter kann in der Personal- und Geschäftseinteilung andere Bedienstete zur Auftragserteilung ermächtigen.
(3) Die Zustimmung des Betroffenen zur Datenübermittlung gemäß § 7 Abs. 1 Z 2 DSG gilt dann als erteilt, wenn der Betroffene sein Einverständnis zur Datenübermittlung ausdrücklich mit seiner Unterschrift getrennt von etwaigen sonstigen Vereinbarungen gegeben hat. Eine Zustimmungserklärung liegt nur dann vor, wenn die zu übermittelnden Datenarten und die Übermittlungsempfänger ausdrücklich genannt sind und der Betroffene in allgemein verständlicher Form über den Übermittlungszweck informiert wird. Der Betroffene ist nachweislich über die Möglichkeit des schriftlichen Widerrufes seiner Zustimmung zu informieren.
(4) Der Auftraggeber hat zu veranlassen, daß vom Österreichischen Statistischen Zentralamt im Anschluß an die anonymisierte Verarbeitung gemäß § 7 Abs. 1 Z 3 DSG die personenbezogenen Daten dem übermittelnden Organ zurückgegeben, gelöscht oder auftragsgemäß aufbewahrt oder verarbeitet werden.
(5) Werden die Daten für verschiedene Aufgabengebiete mit Hilfe derselben technischen Einrichtungen verarbeitet, so ist sicherzustellen, daß Verknüpfungen von Daten verschiedener Aufgabengebiete nur in den im § 7 DSG genannten Fällen erfolgen.
§ 8. Einem Ersuchen um Übermittlung von Daten gemäß § 7 Abs. 2 DSG darf nur entsprochen werden, wenn es auf einen Einzelfall gerichtet ist. Hiebei ist festzustellen, durch welche gesetzliche Bestimmungen dem Empfänger jene Aufgaben übertragen sind, zu deren Wahrnehmung die zu übermittelnden Daten eine wesentliche Voraussetzung sind. Um die Darlegung der für die Beurteilung der Zulässigkeit der Übermittlung maßgeblichen Sach- und Rechtslage ist zu ersuchen, es sei denn, die Zulässigkeit der Übermittlung ist offenkundig.
§ 9. (1) Eine Übermittlung in den Fällen des § 7 Abs. 3 DSG ist zulässig, wenn andere Möglichkeiten, das berechtigte Interesse des Dritten zu wahren, nicht vorliegen oder nicht zumutbar sind. Auch in diesem Fall ist die Übermittlung nur zulässig, wenn das schutzwürdige Interesse des Betroffenen an der Geheimhaltung nicht überwiegt. Derartige Übermittlungen sind zu protokollieren.
(2) Daten gelten dann als veröffentlicht, wenn sie einem generell bestimmten Personenkreis zugänglich gemacht wurden.
Grundsätze für die Überlassung
§ 10. (1) Die in § 2 genannten Auftraggeber dürfen unter den in § 13 DSG genannten Voraussetzungen Dienstleister in Anspruch nehmen.
(2) Die Überlassung der Daten darf nur in der Art und in dem Umfang erfolgen, als Auftraggeber zu deren Ermittlung und Verarbeitung berechtigt sind, die Überlassung auf Grund ausdrücklicher gesetzlicher Bestimmungen zulässig oder aus Gründen der Zweckmäßigkeit und Wirtschaftlichkeit der Verwaltung geboten ist und schutzwürdige Interessen Betroffener oder öffentliche Interessen nicht entgegenstehen.
(3) Die Überlassung der Daten ist nur mit vorheriger Genehmigung des Bundesministeriums für Wissenschaft und Forschung zulässig; dies gilt auch für die Überlassung durch einen Dienstleister an einen weiteren. Wurde dem Auftraggeber von der Datenschutzkommission die Auffassung mitgeteilt, daß der Inanspruchnahme eines Dienstleisters schutzwürdige Interessen Betroffener oder öffentliche Interessen entgegenstehen, so hat der Auftraggeber entweder der Rechtsanschauung der Datenschutzkommission zu entsprechen oder andernfalls die begründete Entscheidung über die weitere Vorgangsweise zu dokumentieren.
(4) Die Einhaltung der Pflichten der Dienstleister gemäß §§ 13 und 19 DSG ist durch das Bundesministerium für Wissenschaft und Forschung zu kontrollieren.
Auskunftsrecht
§ 11. (1) Der Betroffene hat in seinem Antrag auf Auskunft gemäß § 11 DSG diejenigen Datenverarbeitungen im Sinne des § 8 DSG zu bezeichnen, bezüglich derer er die Auskunft wünscht, oder durch Vorlage von Unterlagen oder die Beschreibung von Lebensumständen glaubhaft zu machen, aus welchen Gründen anzunehmen ist, daß seine Daten irrtümlich oder mißbräuchlich in Datenbeständen des Auftraggebers enthalten sind. Eine allfällige Aufforderung zur Verbesserung eines Antrages auf Auskunft gemäß § 11 DSG hat ohne unnötigen Verzug zu erfolgen.
(2) Der aktuelle Datenbestand im Sinne des § 11 Abs. 4 DSG umfaßt jene Daten, die in der betreffenden Datenverarbeitung dem Direktzugriff unterliegen oder - mangels eines solchen - den letztgültigen Datenbestand.
(3) Wirkt der Betroffene im Auskunftsverfahren im Sinne des § 11 Abs. 2 DSG nicht oder nur unvollständig mit, so ist er vom Auftraggeber unverzüglich aufzufordern, dieser Verpflichtung nachzukommen.
(4) Eine Auskunft gemäß § 11 DSG darf nur auf Grund eines unbedenklichen Identitätsnachweises und gegen Empfangsbestätigung ausgefolgt oder zu eigenen Handen zugestellt werden. Eine Auskunftserteilung ist hinsichtlich des Aufgabengebietes und des Zeitpunktes der Erledigung zu dokumentieren.
(5) Dem Betroffenen gegenüber sind, unbeschadet der ihm nach den maßgeblichen Verfahrensvorschriften zustehenden Rechte, wegen überwiegenden öffentlichen Interesses geheimzuhalten:
Daten, die im Zuge eines gerichtlichen oder verwaltungsbehördlichen Strafverfahrens oder eines Disziplinarverfahrens sowie diesbezüglicher Vorerhebungen ermittelt wurden, solange das Verfahren noch nicht rechtskräftig abgeschlossen ist;
die Empfänger übermittelter Daten, sofern die Übermittlung für Zwecke eines gerichtlichen oder verwaltungsbehördlichen Strafverfahrens oder eines Disziplinarverfahrens durchgeführt wurde.
Pauschalierter Kostenersatz
§ 12. (1) Für die Erteilung einer entgeltlichen Auskunft im Sinne des § 11 Abs. 4 DSG werden folgende pauschalierte Kostenersätze festgelegt:
für die Auskunft über den aktuellen Stand der Daten des Antragstellers, wenn dieser im laufenden Jahr bereits ein Auskunftsbegehren über dasselbe Aufgabengebiet gestellt hat, 100 S je Datenverarbeitung;
für jede darüber hinausgehende Auskunft 500 S je Datenverarbeitung; in jenen Fällen, in denen die Auskunftserteilung einen besonderen hohen technischen oder organisatorischen Aufwand erfordert, 1 000 S je Datenverarbeitung.
(2) Die in Abs. 1 angeführten Kostenersätze sind nicht zu entrichten:
wenn der Antragsteller nachweist, daß sein monatliches Einkommen die Richtsätze der Ausgleichszulagen nach dem ASVG nicht überschreitet oder
wenn der Aufwand für die Auskunftserteilung geringfügig ist.
(3) Dem Antragsteller ist der zu entrichtende Kostenersatz unverzüglich mitzuteilen.
(4) Von der Bearbeitung eines Auskunftsantrages ist abzusehen, wenn der gemäß Abs. 3 mitgeteilte Kostenersatz nicht entrichtet wurde oder der Betroffene am Verfahren nicht ausreichend mitgewirkt hat.
(5) Die in § 11 Abs. 1 DSG enthaltene Frist für die Erteilung von entgeltlichen Auskünften beginnt mit dem Einlangen des Kostenersatzes zu laufen.
Richtigstellung und Löschung
§ 13. (1) Eine logische Richtigstellung oder Löschung von Daten hat durch solche Maßnahmen zu erfolgen, die bei einer Abfrage die Unrichtigkeit der verarbeiteten Daten angeben und auf die richtigen Daten verweisen oder den Umstand der Löschung anzeigen.
(2) Die für Zwecke der Dokumentation oder der internen Kontrolle aufzubewahrenden Daten dürfen nur durch einen entsprechenden Vermerk richtiggestellt und vor Ablauf der Aufbewahrungsfrist nur mit einem Löschungsvermerk versehen werden.
(3) Durch geeignete organisatorische Maßnahmen ist sicherzustellen, daß im Falle eines Rückgriffes auf die zu Sicherungszwecken aufbewahrten Datenbestände allfällige Richtigstellungen und Löschungen wirksam bleiben.
(4) Ein Betroffener, dessen Daten nach einer Übermittlung richtiggestellt oder gelöscht werden, hat ein Begehren auf Verständigung des Empfängers von der Richtigstellung bzw. Löschung schriftlich zu stellen.
(5) Rechtsverbindlich festgestellte Daten dürfen nur auf Grund einer Entscheidung des für die Feststellung zuständigen Organs richtiggestellt oder gelöscht werden.
Angabe der Registernummer
§ 14. (1) Der Auftraggeber hat die ihm zugeteilte Registernummer bei Übermittlungen von Daten bzw. Mitteilungen an den Betroffenen auf jedem Schriftstück, das automationsunterstützt verarbeitete Daten enthält, anzuführen.
(2) Bei Übermittlungen im Sinne des § 3 Z 9 DSG und Mitteilungen an den Betroffenen mittels maschinell lesbarer Datenträger, soweit es sich nicht um maschinell lesbare Schriftstücke handelt, ist die Registernummer auf den Begleitpapieren anzugeben.
Inkrafttreten
§ 15. Diese Verordnung tritt am 1. April 1988 in Kraft. Mit Wirksamkeit vom gleichen Zeitpunkt tritt die Verordnung des Bundesministers für Wissenschaft und Forschung vom 22. Juli 1980, BGBl. Nr. 361, außer Kraft.
Dieses Dokument ersetzt nicht die offizielle Publikation im Bundesgesetzblatt. Für eventuelle Ungenauigkeiten bei der Übertragung in dieses Format wird keine Haftung übernommen.