Datenschutzverordnung des Präsidenten des Nationalrates vom 26. Jänner 1988 für den Wirkungsbereich der Parlamentsdirektion

Präambel/Promulgationsklausel

Auf Grund des Datenschutzgesetzes, BGBl. Nr. 565/1978, in der Fassung BGBl. Nr. 370/1986 wird verordnet:

Geltungsbereich und Aufgabengebiete

§ 1. (1) Die Bestimmungen dieser Verordnung gelten für die Parlamentsdirektion nach Maßgabe ihrer sachlichen Zuständigkeit als Auftraggeber in folgenden Aufgabengebieten:

(2) Ein Aufgabengebiet unterliegt dieser Verordnung nur hinsichtlich jener Daten, die Gegenstand einer Datenverarbeitung sind.

(3) Umfaßt ein Aufgabengebiet die Auszahlung von Geldleistungen, so endet dieses Aufgabengebiet und damit die Verantwortlichkeit des Auftraggebers für die weitere Verwendung der Daten mit der Übermittlung der Datenträger für den Zahlungsverkehr an eine Kreditunternehmung.

(4) Die Bestimmungen der §§ 4 Abs. 2 und 5 gelten nicht für das im § 1 Abs. 1 Z 4 genannte Aufgabengebiet. Das Verarbeiten von Daten der Benützer der Literaturdokumentation ist unzulässig.

Datensicherheitsmaßnahmen

§ 2. (1) Die gemäß § 10 DSG zu treffenden Datensicherheitsmaßnahmen sind für jede Organisationseinheit so zu gestalten, daß für die verwendeten Daten die auf Grund ihrer Schutzwürdigkeit angemessene Schutzwirkung erreicht wird. Hiebei dürfen Daten mit geringerer Schutzwürdigkeit mit Daten höherer Schutzwürdigkeit gleich behandelt werden. Die gemäß § 10 DSG erlassenen Datensicherheitsvorschriften sind den jeweiligen technischen und organisatorischen Änderungen umgehend anzupassen und zu dokumentieren.

(2) Die Vernichtung unbrauchbarer oder nicht mehr benötigter Ausdrucke und sonstiger Datenträger ist vom Auftraggeber oder Dienstleister durch entsprechende personelle oder vertragliche Maßnahmen sicherzustellen.

(3) Jeder Bedienstete ist über seine Pflichten nach dem Datenschutzgesetz und den innerorganisatorischen Datenschutzvorschriften, insbesondere über die von ihm einzuhaltenden Datensicherheitsvorschriften zu belehren und von diesbezüglichen Änderungen umgehend und nachweislich in Kenntnis zu setzen.

Grundsätze für die Ermittlung, Verarbeitung und Benützung

§ 3. (1) Wird zur Ermittlung von Daten Amtshilfe in Anspruch genommen, so ist das Amtshilfeersuchen derart zu begründen, daß die ersuchte Stelle die Zulässigkeit einer Übermittlung gemäß § 7 DSG beurteilen kann. Die Begründung kann entfallen, wenn die Zulässigkeit einer Übermittlung für die ersuchte Stelle offenkundig ist oder anläßlich eines vorangegangenen Amtshilfeersuchens gleicher Art festgestellt wurde.

(2) Werden Daten vom Betroffenen ermittelt, so ist dieser vor der Ermittlung darüber zu informieren, ob eine gesetzliche Verpflichtung zur Offenlegung seiner personenbezogenen Daten besteht oder ob die Ermittlung durch seine freiwillige Mitwirkung zustande kommt.

(3) Eine ausdrückliche gesetzliche Ermächtigung für eine Ermittlung und Verarbeitung im Sinne des § 6 Datenschutzgesetz liegt nur dann vor, wenn in dieser die zu ermittelnden und verarbeitenden Datenarten, die Betroffenenkreise und die Empfänger der Daten enthalten sind.

§ 4. (1) Die Daten sind vor Entstellung, Zerstörung und Verlust sowie gegen unbefugte Verwendung und Weitergabe zu schützen.

(2) Daten dürfen nur auf Grund von schriftlichen Aufträgen verarbeitet werden.

(3) Der Auftraggeber hat, soweit ihm dies mit vertretbarem Arbeitsaufwand möglich ist, die Richtigkeit der Verarbeitungsergebnisse durch Stichproben oder sonstige geeignete Methoden zu überprüfen.

(4) Wird ein Fehler festgestellt, so hat der Auftraggeber die Fehlerbehebung umgehend einzuleiten und die Fehlerursache zu beheben. Der betreffende Dienstleister ist unverzüglich zu verständigen, wenn zu vermuten ist, daß die Fehlerursache in seinem Tätigkeitsbereich liegt.

(5) Die Benützung der Daten darf nur in der Art und in dem Umfang erfolgen, als hiefür eine ausdrückliche gesetzliche Ermächtigung besteht oder die Benützung für den Auftraggeber zur Wahrnehmung der ihm gesetzlich übertragenen Aufgaben eine wesentliche Voraussetzung bildet.

(6) Die Bediensteten des Auftraggebers dürfen nur jene Daten benützen, die zur Erfüllung der ihnen übertragenen Aufgaben erforderlich sind.

Grundsätze für die Übermittlung

§ 5. (1) Übermittlungen von Daten durch den Auftraggeber bedürfen - in den Fällen des § 7 Abs. 1 Z 1 und 3 sowie der Abs. 2 und 3 DSG auf Grund einer vom Präsidenten des Nationalrates gemäß § 53 DSG erteilten Zustimmung - eines schriftlichen Auftrages. Dieser Auftrag ist, sofern er als Dauerauftrag erfolgt, durch den Parlamentsdirektor, in anderen Fällen durch den Leiter des Rechts- und Administrativen Dienstes zu erteilen. Zur Durchführung von Übermittlungen kann sich der Auftraggeber des Dienstleisters bedienen.

(2) In den Aufträgen gemäß Abs. 1 ist anzugeben, auf Grund welcher Bestimmungen des § 7 DSG die Übermittlung zulässig ist. Gründet sich der Auftrag auf § 7 Abs. 2 bzw. 3 DSG, ist darzulegen, durch welche gesetzlichen Bestimmungen dem Empfänger jene Aufgaben übertragen sind, zu deren Wahrnehmung die zu übermittelnden Daten eine wesentliche Voraussetzung bilden bzw. aus welchen Gründen die Interessen an der Übermittlung die schutzwürdigen Interessen des Betroffenen an der Geheimhaltung überwiegen.

(3) Eine ausdrückliche gesetzliche Ermächtigung für die Übermittlung von Daten liegt nur dann vor, wenn die zu übermittelnden Datenarten und der Zweck der Übermittlung ausdrücklich genannt, die Betroffenenkreise umschrieben und die Empfänger der Daten festgelegt sind.

(4) Die Zustimmung des Betroffenen zur Datenübermittlung gemäß § 7 Abs. 1 Z 2 Datenschutzgesetz gilt dann als erteilt, wenn der Betroffene sein Einverständnis zur Datenübermittlung ausdrücklich mit seiner Unterschrift, getrennt von etwaigen sonstigen Vereinbarungen, gegeben hat. Eine Zustimmungserklärung liegt nur dann vor, wenn die zu übermittelnden Datenarten und die Übermittlungsempfänger ausdrücklich genannt sind und der Betroffene in allgemein verständlicher Form über den Übermittlungszweck informiert wird. Der Betroffene ist nachweislich über die Möglichkeit des schriftlichen Widerrufs seiner Zustimmung zu informieren.

(5) Einem Ersuchen um Übermittlung von Daten darf im Zweifelsfall nur entsprochen werden, wenn das Ersuchen auf einen Einzelfall gerichtet ist und die ersuchende Stelle an der Klärung der für die Beurteilung der Zulässigkeit der Übermittlung maßgebenden Sach- und Rechtslage mitwirkt. Um die Mitwirkung ist erforderlichenfalls zu ersuchen, es sei denn, daß die Zulässigkeit der Übermittlung offenkundig ist.

(6) Eine Übermittlung in den Fällen des § 7 Abs. 3 Datenschutzgesetz ist zulässig, wenn andere Möglichkeiten, das berechtigte Interesse des Dritten zu wahren, nicht vorliegen oder dem Auftraggeber nicht zumutbar sind. Auch in diesem Fall ist die Übermittlung nur dann zulässig, wenn das schutzwürdige Interesse des Betroffenen an der Geheimhaltung nicht überwiegt.

(7) Werden die Daten für verschiedene Aufgabengebiete mit Hilfe derselben technischen Einrichtungen verarbeitet, so ist sicherzustellen, daß Verknüpfungen von Daten verschiedener Aufgabengebiete nur in den im § 7 DSG genannten Fällen erfolgen.

Grundsätze für die Überlassung

§ 6. (1) Die Überlassung der Daten an Dienstleister darf nur in der Art und in dem Umfang erfolgen, als der Auftraggeber zu deren Ermittlung und Verarbeitung berechtigt ist, die Überlassung auf Grund ausdrücklicher gesetzlicher Bestimmungen zulässig oder aus Gründen der Zweckmäßigkeit und Wirtschaftlichkeit der Verwaltung geboten ist und schutzwürdige Interessen Betroffener oder öffentliche Interessen nicht entgegenstehen.

(2) Wurde dem Auftraggeber von der Datenschutzkommission die Auffassung mitgeteilt, daß der Inanspruchnahme eines Dienstleisters schutzwürdige Interessen Betroffener oder öffentliche Interessen entgegenstehen, so hat der Auftraggeber entweder der Rechtsanschauung der Datenschutzkommission zu entsprechen oder andernfalls die begründete Entscheidung über die weitere Vorgangsweise zu dokumentieren.

Auskunftsrecht

§ 7. (1) Der Betroffene hat in seinem Antrag auf Auskunft gemäß § 11 DSG diejenigen Datenverarbeitungen im Sinne des § 8 DSG zu bezeichnen, bezüglich derer er die Auskunft wünscht, oder durch Vorlage von Unterlagen oder die Beschreibung von Lebensumständen glaubhaft zu machen, aus welchen Gründen anzunehmen ist, daß seine Daten irrtümlich oder mißbräuchlich in Datenbeständen des Auftraggebers enthalten sind. Eine allfällige Aufforderung zur Verbesserung eines Antrages auf Auskunft gemäß § 11 DSG hat ohne unnötigen Verzug zu erfolgen.

(2) Der aktuelle Datenbestand im Sinne des § 11 Abs. 4 DSG umfaßt jene Daten, die in der betreffenden Datenverarbeitung dem Direktzugriff unterliegen oder - mangels eines solchen - den letztgültigen Datenbestand.

(3) Eine Auskunft gemäß § 11 DSG darf nur auf Grund eines unbedenklichen Identitätsnachweises und gegen Empfangsbestätigung ausgefolgt oder zu eigenen Handen zugestellt werden. Eine Auskunftserteilung ist hinsichtlich des Aufgabengebietes und des Zeitpunktes der Erledigung zu dokumentieren.

§ 8. (1) Für die Erteilung einer Auskunft im Sinne des § 11 Abs. 4 DSG werden folgende pauschalierte Kostenersätze festgelegt:

(2) Die in Abs. 1 angeführten Kostenersätze sind nicht zu entrichten, wenn der Aufwand für die Auskunftserteilung geringfügig ist.

(3) Dem Antragsteller ist der zu entrichtende Kostenersatz unverzüglich mitzuteilen.

(4) Von der Bearbeitung eines Auskunftsantrages ist abzusehen, wenn der gemäß Abs. 3 mitgeteilte Kostenersatz nicht entrichtet wurde oder der Betroffene am Verfahren nicht ausreichend mitgewirkt hat.

(5) Die in § 11 Abs. 1 DSG enthaltene Frist für die Erteilung von entgeltlichen Auskünften beginnt mit dem Einlangen des Kostenersatzes. Die Auskunft ist nach Einlangen des Kostenersatzes ohne unnötigen Verzug zu erteilen.

Richtigstellung und Löschung

§ 9. (1) Eine logische Richtigstellung oder Löschung von Daten hat durch solche Maßnahmen zu erfolgen, die bei einer Abfrage die Unrichtigkeit der verarbeiteten Daten angeben und auf die richtigen Daten verweisen oder den Umstand der Löschung anzeigen.

(2) Die für Zwecke der Dokumentation oder der internen Kontrolle aufzubewahrenden Daten dürfen nur durch einen entsprechenden Vermerk richtiggestellt und vor Ablauf der Aufbewahrungsfrist nur mit einem Löschungsvermerk versehen werden.

(3) Durch geeignete organisatorische Maßnahmen ist sicherzustellen, daß im Falle eines Rückgriffes auf die zu Sicherungszwecken aufbewahrten Datenbestände allfällige Richtigstellungen und Löschungen wirksam bleiben.

(4) Ein Betroffener, dessen Daten nach einer Übermittlung richtiggestellt oder gelöscht werden, hat ein Begehren auf Verständigung des Empfängers von der Richtigstellung bzw. Löschung schriftlich zu stellen.

Angabe der Registernummer

§ 10. (1) Bei Übermittlungen im Sinne des § 3 Z 9 DSG und Mitteilungen an den Betroffenen, die in schriftlicher Form ergehen und automationsunterstützt verarbeitete Daten enthalten, ist die Registernummer anzugeben.

(2) Bei Übermittlungen im Sinne des § 3 Z 9 DSG und Mitteilungen an den Betroffenen auf nur maschinell lesbaren Datenträgern ist die Registernummer entweder auf den Begleitpapieren oder auf dem Datenträger anzugeben.

Schlußbestimmung

§ 11. Die Verordnung des Präsidenten des Nationalrates BGBl. Nr. 32/1982 tritt außer Kraft.