LegalizeVerordnung des Bundeskanzlers vom 20. Dezember 1988 zur Durchführung des Datenschutzgesetzes im Wirkungsbereich des Bundeskanzleramtes
Präambel/Promulgationsklausel
Auf Grund des § 9 des Datenschutzgesetzes (DSG), BGBl. Nr. 565/1978, zuletzt geändert durch das Bundesgesetz BGBl. Nr. 605/1987 wird verordnet:
Geltungsbereich
§ 1. Diese Verordnung gilt für alle Auftraggeber und Dienstleister im Wirkungsbereich des Bundeskanzleramtes.
Auftraggeber und Aufgabengebiete
§ 2. (1) Auftraggeber sind nach Maßgabe ihrer örtlichen und sachlichen Zuständigkeit:
Das Bundeskanzleramt
der Verfassungsgerichtshof für die Personalverwaltung, für die Haushaltsführung und für die Entscheidungsdokumentation;
der Verwaltungsgerichtshof für die Personalverwaltung, für die Haushaltsführung und für die Entscheidungsdokumentation;
das Österreichische Statistische Zentralamt für die Personalverwaltung, für die Haushaltsführung, für die Aufgaben der Bundesstatistik und die Korrespondenzverwaltung;
das Datenverarbeitungsregister für die Führung des Datenverarbeitungsregisters;
das Amt der Österreichischen Staatsdruckerei für die Personalverwaltung;
die Verwaltungsakademie des Bundes für die Haushaltsführung und die Kursverwaltung;
das Österreichische Staatsarchiv für die Archivverwaltung;
die Bundesstaatlichen bakteriologisch-serologischen Untersuchungsanstalten Klagenfurt und Linz für die Befundevidenz und die Korrespondenzverwaltung;
die Bundesanstalt für chemische und pharmazeutische Untersuchungen für die Befundevidenz und die Korrespondenzverwaltung;
die Bundesanstalt für Lebensmitteluntersuchung und -forschung für die Befundevidenz und die Korrespondenzverwaltung;
die Bundesanstalt für veterinärmedizinische Untersuchungen Innsbruck für die Befundevidenz und die Korrespondenzverwaltung;
die Bundesanstalt für veterinärmedizinische Untersuchungen Linz für die Befundevidenz und die Gebührenverwaltung.
(2) Die in Abs. 1 genannten Auftraggeber können als Dienstleister im Sinne des § 13 DSG herangezogen werden.
§ 3. Die im § 2 genannten Aufgabengebiete bedeuten:
Personalverwaltung: die Vollziehung des Dienst- und Besoldungsrechtes des Bundes für die aktiven Bundesbediensteten einschließlich der Rechtsvorschriften über die Ausbildung und die Planstellenbewirtschaftung sowie Vollziehung des Bundesministeriengesetzes 1986;
Vollziehung des Bezügegesetzes und die Vollziehung der §§ 4 bis 5g des Verfassungsgerichtshofgesetzes: Vorbereitung der Akte des Bundeskanzlers für die Bezüge und Pensionen der obersten Organe des Bundes und der Mitglieder des Verfassungsgerichtshofes;
Haushaltsführung: die Vollziehung des Bundeshaushaltsgesetzes sowie des Bundesministeriengesetzes 1986;
Dokumentation der Ministerratsprotokolle: die Vollziehung des Bundesministeriengesetzes 1986;
Förderungsverwaltung: Koordination der bundesweiten Finanzierungs- und Förderungseinrichtungen einschließlich der zusammenfassenden Behandlung der Angelegenheiten der Strukturpolitik in Vollziehung des Bundesministeriengesetzes 1986;
Förderung von Presse, Publizistik sowie von politischen Parteien und deren politischer Bildungsarbeit: Förderung politischer Bildungsarbeit und Publizistik in Vollziehung des Bundesgesetzes über die Förderung politischer Bildungsarbeit und Publizistik 1984; Förderung der politischen Parteien in Vollziehung des Parteiengesetzes 1975 und Förderung der österreichischen Tages- und Wochenzeitungen in Vollziehung des Presseförderungsgesetzes 1985;
Das Informationssystem über die im Bundesbereich eingesetzte Hard- und Software: Vollziehung des Bundesministeriengesetzes 1986;
Korrespondenzverwaltung: Vollziehung des Bundesministeriengesetzes 1986;
Kanzleiinformationssystem: Vollziehung des Bundesministeriengesetzes 1986;
Entscheidungsdokumentation des Verfassungsgerichtshofes:
Zentrales Informationssystem über das österreichische Krankenanstaltenwesen: Evidenthaltung und Auswertung von Daten betreffend die Leistungsstatistik der österreichischen Krankenanstalten und die Führung des österreichischen Krankenanstaltenkatasters in Vollziehung des Krankenanstaltengesetzes und des Bundesministeriengesetzes 1986;
Entscheidungsdokumentation des Verwaltungsgerichtshofes:
Die Aufgaben der Bundesstatistik: die Vollziehung des Bundesstatistikgesetzes 1965, des Straßen- und Schienenverkehrsstatistikgesetzes, des LFBIS-Gesetzes, des Kraftfahrgesetzes 1967, des Güterbeförderungsgesetzes, des Zivilluftfahrt-Statistikgesetzes, des Krebsstatistikgesetzes, des Arbeitsstättenzählungsgesetzes, und des Handelsstatistischen Gesetzes 1987;
Führung des Datenverarbeitungsregisters: Vollziehung des Datenschutzgesetzes;
Kursverwaltung: Vollziehung des Verwaltungsakademiegesetzes;
Archivverwaltung: Verwaltung und Erschließung von Archivbeständen in Vollziehung des Bundesministeriengesetzes 1986;
Zentrale Evidenz der Ärzte: Evidenthaltung der in Österreich zur Ausübung des ärztlichen Berufs berechtigten Personen in Vollziehung des Reichssanitätsgesetzes und des Bundesministeriengesetzes 1986;
Befundevidenz: Erstellung und Evidenthaltung von Befunden und Gutachten im Rahmen der Vollziehung von Rechtsvorschriften zur Bekämpfung übertragbarer Krankheiten, zur Gesundheitsvorsorge sowie auf dem Gebiet des Arzneimittelwesens, der Lebensmittel- und Chemikalienkontrolle, des Strahlenschutzes und des Veterinärwesens;
Zentrale Suchtgiftevidenz und -auskunftstelle: Evidenz von Suchtgiftfällen sowie Erteilung von Auskünften nach dem Suchtgiftgesetz und sonstigen suchtgiftrechtlichen Vorschriften;
Pharmazeutisches Informationssystem: Evidenthaltung von Daten und Informationen im Rahmen der Vollziehung arzneimittelrechtlicher Vorschriften;
Diagnosenerfassung: Evidenthaltung von Entlassungsdiagnosen in Vollziehung des Krankenanstaltengesetzes;
Gebührenverwaltung: Vollziehung des Bangseuchen-Gesetzes und des Rinderleukosegesetzes;
Lebensmittelimportkontrolle: Vollziehung des Lebensmittelgesetzes;
Giftevidenz: Evidenthaltung von Daten für die Giftliste in Vollziehung des Chemikaliengesetzes.
Datensicherheitsmaßnahmen
§ 4. (1) Die in § 2 genannten Auftraggeber oder Dienstleister haben für die Organisationseinheiten ihres örtlichen und sachlichen Zuständigkeitsbereiches, die Daten verwenden, Datensicherheitsmaßnahmen schriftlich anzuordnen, den jeweiligen technischen und organisatorischen Änderungen umgehend anzupassen und zu dokumentieren.
(2) Der Auftraggeber oder Dienstleister hat für die zu verwendenden Datenarten entsprechend dem Grad der Schutzwürdigkeit Sensibilitätsklassen festzulegen. Die Sicherheitsmaßnahmen haben sich nach den Sensibilitätsklassen zu bestimmen.
(3) Der Auftraggeber oder Dienstleister hat jene Organisationseinheit zu bestimmen, die die Zutrittsberechtigungen zu den Räumlichkeiten, in denen die Datenverarbeitung stattfindet, vergibt, ändert, kontrolliert und entzieht.
(4) Der Auftraggeber oder Dienstleister hat jene Organisationseinheit zu bestimmen, die nach Maßgabe der technischen Möglichkeiten abgestufte Zugriffsberechtigungen mittels geschützter Benutzeridentifikationen vergibt, ändert, kontrolliert und entzieht. Hiebei ist eine Identifikation jedes Zugriffsberechtigten vorzusehen. Der Zugriff auf das Betriebssystem einschließlich System- und Netzwerksoftware ist darüber hinaus durch geeignete Maßnahmen zu sichern.
(5) Der Auftraggeber oder Dienstleister hat jene Organisationseinheit zu bestimmen, die die für die Verarbeitung notwendigen Daten und Programme einschließlich der dazugehörigen Dokumentation außerhalb der Verarbeitungsstätte gesichert aufzubewahren hat.
(6) Die Vernichtung unbrauchbarer oder nicht mehr benötigter Ausdrucke und sonstiger Datenträger ist vom Auftraggeber oder Dienstleister durch entsprechende personelle oder vertragliche Maßnahmen sicherzustellen.
(7) Jeder Bedienstete, dem in Ausübung seines Dienstes Daten anvertraut oder zugänglich sind, ist über seine Pflichten nach dem Datenschutzgesetz, dieser Verordnung und den innerorganisatorischen Datenschutzvorschriften, insbesondere über die von ihm einzuhaltenden Datensicherheitsvorschriften nachweislich zu belehren und von deren Änderungen umgehend und nachweislich in Kenntnis zu setzen.
Grundsätze für die Ermittlung, Verarbeitung und Benützung
§ 5. (1) Eine ausdrückliche gesetzliche Ermächtigung für eine Ermittlung und Verarbeitung im Sinne des § 6 DSG liegt nur dann vor, wenn in dieser die zu ermittelnden und verarbeitenden Datenarten und die Betroffenenkreise enthalten sind.
(2) Die Ermittlung und Verarbeitung von Daten ist dann als wesentliche Voraussetzung für die Wahrnehmung der gesetzlich übertragenen Aufgaben zu erachten, wenn andere Möglichkeiten, die gesetzlich übertragenen Aufgaben wahrzunehmen, nicht vorliegen oder sie auf Grund des zu erwartenden Aufwandes dem Auftraggeber aus Wirtschaftlichkeits- und Zweckmäßigkeitserwägungen nicht zuzumuten sind.
(3) Werden vom Betroffenen Daten ermittelt, so ist für den Fall, daß keine gesetzliche Verpflichtung zur Offenlegung besteht, auf die Freiwilligkeit einer Mitwirkung hinzuweisen.
(4) Wird zur Ermittlung von Daten Amtshilfe in Anspruch genommen, so ist das Amtshilfeersuchen so zu begründen, daß die ersuchte Stelle die Zulässigkeit der Übermittlung gemäß § 7 DSG beurteilen kann. Insbesondere ist darzulegen, durch welche gesetzlichen Bestimmungen dem Auftraggeber jene Aufgaben übertragen sind, zu deren Wahrnehmung die zu ermittelnden Daten eine wesentliche Voraussetzung bilden.
§ 6. (1) Jedes Programm ist vor seinem Einsatz in der Verarbeitung personenbezogener Daten von der durch den Auftraggeber zu bestimmenden Organisationseinheit freizugeben.
(2) Den Daten eines Aufgabengebietes ist nach Maßgabe der Sensibilitätsklassen der zu verarbeitenden Daten (§ 4 Abs. 2) gleichartiger Schutz zu gewähren. Die Daten und Programme sind vor Entstellung, Zerstörung und Verlust sowie gegen unbefugte Verwendung und Weitergabe zu schützen.
(3) Wird ein Aufgabengebiet für mehrere Auftraggeber mit Hilfe derselben technischen Einrichtung oder im Netzwerkverbund vollzogen, so ist sicherzustellen, daß jeder Auftraggeber nur über die in seine Zuständigkeit fallenden Daten verfügen kann. Dasselbe gilt, wenn die Daten für verschiedene Aufgabengebiete mit Hilfe derselben technischen Einrichtung oder im Netzwerkverbund verarbeitet werden.
(4) Daten dürfen nur auf Grund von schriftlichen Aufträgen verarbeitet werden.
(5) Der Auftraggeber hat die Richtigkeit der Verarbeitungsergebnisse durch Stichproben oder sonstige geeignete Methoden zu überprüfen.
(6) Wird ein Fehler festgestellt, so hat der Auftraggeber die Fehlerbehebung umgehend einzuleiten und die Fehlerursache zu beheben. Der betreffende Dienstleister ist unverzüglich zu verständigen, wenn zu vermuten ist, daß die Fehlerursache in seinem Tätigkeitsbereich liegt.
(7) Die Benützung der Daten darf nur in der Art und in dem Umfang erfolgen, als dies für den Auftraggeber zur Wahrnehmung der ihm gesetzlich übertragenen Aufgaben erforderlich ist.
(8) Die Bediensteten des Auftraggebers dürfen nur jene Daten benützen, die sie zur Erfüllung der ihnen übertragenen Aufgaben benötigen.
Grundsätze für die Übermittlung von Daten
§ 7. (1) Eine ausdrückliche gesetzliche Ermächtigung für die Übermittlung von Daten liegt dann vor, wenn die zu übermittelnden Datenarten und der Zweck der Übermittlung ausdrücklich genannt, die Betroffenenkreise umschrieben und die Empfänger der Daten festgelegt sind.
(2) Übermittlungen von Daten durch den Auftraggeber bedürfen, sofern sie sich nicht auf eine ausdrückliche gesetzliche Ermächtigung stützen, eines schriftlichen Auftrages des zuständigen Organs. Der Auftrag kann als Einzel- oder Dauerauftrag erteilt werden. Im Auftrag ist anzugeben, auf Grund welcher Bestimmungen des § 7 DSG die Übermittlung zulässig ist. Die durchgeführte Übermittlung ist außer im Fall ihrer Registrierung (§ 7 Abs. 4 DSG) so zu dokumentieren, daß Auskunft gemäß § 11 DSG erteilt werden kann.
(3) Die Zustimmung des Betroffenen zur Datenübermittlung gemäß § 7 Abs. 1 Z 2 DSG gilt dann als erteilt, wenn der Betroffene sein Einverständnis zur Datenübermittlung ausdrücklich mit seiner Unterschrift getrennt von etwaigen sonstigen Vereinbarungen abgegeben hat. Eine Zustimmungserklärung liegt nur dann vor, wenn die zu übermittelnden Datenarten und die Übermittlungsempfänger ausdrücklich genannt sind und der Betroffene in allgemein verständlicher Form über den Übermittlungszweck informiert wird. Der Betroffene ist nachweislich über die Möglichkeit des schriftlichen Widerrufes seiner Zustimmung zu informieren.
(4) Der Auftraggeber hat zu veranlassen, daß vom Österreichischen Statistischen Zentralamt im Anschluß an die anonymisierte Verarbeitung gemäß § 7 Abs. 1 Z 3 DSG die personenbezogenen Daten dem übermittelnden Organ zurückgegeben, sicher aufbewahrt oder vernichtet werden.
§ 8. Einem Ersuchen um Übermittlung von Daten gemäß § 7 Abs. 2 DSG ist nur zu entsprechen, wenn es auf einen Einzelfall gerichtet ist. Hiebei ist festzustellen, durch welche gesetzlichen Bestimmungen dem Empfänger jene Aufgaben übertragen sind, zu deren Wahrnehmung die zu übermittelnden Daten eine wesentliche Voraussetzung bilden. Um die Darlegung der für die Beurteilung der Zulässigkeit der Übermittlung maßgeblichen Sach- und Rechtslage ist zu ersuchen, es sei denn, die Zulässigkeit der Übermittlung ist offenkundig.
§ 9. (1) Eine Übermittlung in den Fällen des § 7 Abs. 3 DSG ist zulässig, wenn andere Möglichkeiten, das berechtigte Interesse zu wahren, nicht vorliegen oder nicht zumutbar sind.
(2) Daten gelten dann als veröffentlicht (§ 32 Abs. 2 Z 3 DSG), wenn sie einem generell bestimmten Personenkreis zugänglich gemacht wurden.
Grundsätze für die Überlassung von Daten
§ 10. (1) Die in § 2 genannten Auftraggeber können unter den in § 13 DSG genannten Voraussetzungen Dienstleister in Anspruch nehmen.
(2) Der Auftraggeber hat dem Dienstleister die beabsichtigte Heranziehung eines weiteren Dienstleisters zu untersagen, wenn öffentliche Interessen dies verlangen oder zu befürchten ist, daß berechtigte schutzwürdige Interessen von Betroffenen gefährdet sind.
(3) Wurde dem Auftraggeber von der Datenschutzkommission die Auffassung mitgeteilt, daß der Inanspruchnahme eines Dienstleisters schutzwürdige Interessen Betroffener oder öffentliche Interessen entgegenstehen, so hat der Auftraggeber entweder der Rechtsanschauung der Datenschutzkommission zu entsprechen oder die begründete Entscheidung über die abweichende Vorgangsweise zu dokumentieren.
Auskunftsrecht
§ 11. (1) Eine Auskunft gemäß § 11 DSG darf nur auf Grund eines unbedenklichen Identitätsnachweises und gegen Empfangsbestätigung ausgefolgt oder zu eigenen Handen zugestellt werden.
(2) Die Mitwirkung eines Betroffenen am Auskunftsverfahren liegt vor, wenn
diejenigen Datenverarbeitungen im Sinne des § 8 DSG bezeichnet werden, bezüglich derer er Betroffener sein kann; oder
insbesondere durch die Vorlage von Unterlagen oder die Beschreibung von Lebensumständen glaubhaft gemacht wird, daß Daten des Betroffenen irrtümlich oder mißbräuchlich in Datenbeständen des Auftraggebers enthalten sind.
(3) Wirkt der Betroffene am Auskunftsverfahren im Sinne des § 11 Abs. 2 DSG nicht oder nicht ausreichend mit, so ist er vom Auftraggeber unverzüglich aufzufordern, dieser Verpflichtung nachzukommen.
(4) Der aktuelle Datenbestand im Sinne des § 11 Abs. 4 DSG umfaßt jene Daten, die in der betreffenden Datenverarbeitung dem Direktzugriff unterliegen oder - mangels eines solchen - den letztgültigen Datenbestand.
§ 12. (1) Für die Erteilung einer entgeltlichen Auskunft im Sinne des § 11 Abs. 4 DSG werden folgende pauschalierte Kostenersätze festgelegt:
Dieses Dokument ersetzt nicht die offizielle Publikation im Bundesgesetzblatt. Für eventuelle Ungenauigkeiten bei der Übertragung in dieses Format wird keine Haftung übernommen.