Verordnung des Vorsitzenden der Volksanwaltschaft vom 20. Juni 1988 zur Durchführung des Datenschutzgesetzes im Wirkungsbereich der Volksanwaltschaft (Datenschutzverordnung - Volksanwaltschaft)

Präambel/Promulgationsklausel

Auf Grund des § 9 des Datenschutzgesetzes (DSG), BGBl. Nr. 565/1978, in der Fassung des Bundesgesetzes BGBl. Nr. 370/1986 wird verordnet:

Geltungsbereich

§ 1. Diese Verordnung gilt für den Wirkungsbereich der Volksanwaltschaft nach Maßgabe ihrer sachlichen Zuständigkeit als Auftraggeber in folgenden Aufgabengebieten:

Datensicherheitsmaßnahmen

§ 2. (1) Die gemäß § 10 DSG zu treffenden Datensicherheitsmaßnahmen sind für jede Organisationseinheit so zu gestalten, daß für die verwendeten Daten die auf Grund ihrer Schutzwürdigkeit angemessene Schutzwirkung erreicht wird. Hiebei dürfen Daten mit geringerer Schutzwürdigkeit mit Daten höherer Schutzwürdigkeit gleich behandelt werden. Die gemäß § 10 DSG erlassenen Datensicherheitsvorschriften sind den jeweiligen technischen und organisatorischen Änderungen umgehend anzupassen und zu dokumentieren.

(2) Der Vorsitzende der Volksanwaltschaft bestimmt jene Organisationseinheit, die die Zutrittsberechtigungen zu den Räumlichkeiten, in denen die Verarbeitung stattfindet, vergibt, ändert, kontrolliert und entzieht.

(3) Der Vorsitzende der Volksanwaltschaft vergibt, ändert, kontrolliert und entzieht die Zugriffsberechtigungen. Hiebei ist eine Identifikation jedes Zugriffsberechtigten vorzusehen. Der Zugriff auf das Betriebssystem einschließlich System- und Netzwerksoftware ist darüber hinaus durch geeignete Maßnahmen zu sichern.

(4) Die Vernichtung unbrauchbarer oder nicht mehr benötigter Ausdrucke sowie sonstiger Datenträger und Programme ist vom Auftraggeber oder Dienstleister durch entsprechende personelle oder vertragliche Maßnahmen sicherzustellen.

(5) Jeder Bedienstete ist über seine Pflichten nach dem Datenschutzgesetz und den innerorganisatorischen Datenschutzvorschriften, insbesondere über die von ihm einzuhaltenden Datensicherheitsvorschriften zu belehren und von diesbezüglichen Änderungen umgehend und nachweislich in Kenntnis zu setzen.

Grundsätze für den Ermittlung, Verarbeitung und Benützung

§ 3. (1) Eine ausdrückliche gesetzliche Ermächtigung für eine Ermittlung und Verarbeitung im Sinne des § 6 DSG liegt nur dann vor, wenn in dieser die zu ermittelnden und verarbeitenden Datenarten, die Betroffenenkreise und die Empfänger der Daten enthalten sind.

(2) Die Ermittlung und Verarbeitung von Daten ist dann als wesentliche Voraussetzung für die Wahrnehmung der gesetzlich übertragenen Aufgaben zu erachten, wenn andere Möglichkeiten, die gesetzlich übertragenen Aufgaben wahrzunehmen, nicht vorliegen oder sie auf Grund des zu erwartenden Aufwandes dem Auftraggeber aus Wirtschaftlichkeits- und Zweckmäßigkeitserwägungen nicht zuzumuten sind.

(3) Wird zur Ermittlung von Daten Amtshilfe in Anspruch genommen, so ist das Amtshilfeersuchen so zu begründen, daß die ersuchte Stelle die Zulässigkeit der Übermittlung gemäß § 7 DSG beurteilen kann. Insbesondere ist darzulegen, durch welche gesetzlichen Bestimmungen dem Auftraggeber jene Aufgaben übertragen sind, zu deren Wahrnehmung die zu ermittelnden Daten eine wesentliche Voraussetzung bilden.

(4) Werden Daten vom Betroffenen ermittelt, so ist dieser vor der Ermittlung darüber zu informieren, ob eine gesetzliche Verpflichtung zur Offenlegung seiner personenbezogenen Daten besteht oder ob die Ermittlung durch seine freiwillige Mitwirkung zustande kommt.

§ 4. (1) Jedes Programm ist vor seinem Einsatz in der Verarbeitung personenbezogener Daten von der durch den Auftraggeber zu bestimmenden Organisationseinheit freizugeben.

(2) Den Daten eines Aufgabengebietes ist nach Maßgabe der Sensibilitätsklassen der zu verarbeitenden Daten gleichartiger Schutz zu gewähren. Die Daten und Programme sind vor Entstellung, Zerstörung und Verlust sowie gegen unbefugte Verwendung und Weitergabe zu schützen.

(3) Daten dürfen nur auf Grund von schriftlichen Aufträgen verarbeitet werden.

(4) Der Auftraggeber hat die Richtigkeit der Verarbeitungsergebnisse durch Stichproben oder sonstige geeignete Methoden zu überprüfen.

(5) Wird ein Fehler festgestellt, so hat der Auftraggeber die Fehlerbehebung umgehend einzuleiten und die Fehlerursache zu beheben. Der betreffende Dienstleister ist unverzüglich zu verständigen, wenn zu vermuten ist, daß die Fehlerursache in seinem Tätigkeitsbereich liegt.

(6) Die Benützung der Daten darf nur in der Art und in dem Umfang erfolgen, als dies für den Auftraggeber zur Wahrnehmung der ihm gesetzlich übertragenen Aufgaben erforderlich ist.

(7) Die Bediensteten des Auftraggebers dürfen nur jene Daten benützen, die sie zur Erfüllung der ihnen übertragenen Aufgaben benötigen.

Grundsätze für die Übermittlung von Daten

§ 5. (1) Eine ausdrückliche gesetzliche Ermächtigung für die Übermittlung von Daten liegt dann vor, wenn die zu übermittelnden Datenarten und der Zweck der Übermittlung ausdrücklich genannt, die Kreise der Betroffenen umschrieben und die Empfänger der Daten festgelegt sind.

(2) Übermittlungen von Daten durch den Auftraggeber bedürfen, sofern sie sich nicht auf eine ausdrückliche gesetzliche Ermächtigung stützen, eines schriftlichen Auftrages des zuständigen Organs. Der Auftrag kann als Einzel- oder Dauerauftrag erteilt werden. Im Auftrag ist anzugeben, auf Grund welcher Bestimmungen des § 7 DSG die Übermittlung zulässig ist.

(3) Die Zustimmung des Betroffenen zur Datenübermittlung gemäß § 7 Abs. 1 Z 2 DSG gilt dann als erteilt, wenn der Betroffene sein Einverständnis zur Datenübermittlung ausdrücklich mit seiner Unterschrift getrennt von etwaigen sonstigen Vereinbarungen abgegeben hat. Eine Zustimmungserklärung liegt nur dann vor, wenn die zu übermittelnden Datenarten und die Übermittlungsempfänger ausdrücklich genannt sind und der Betroffene in allgemein verständlicher Form über den Übermittlungszweck informiert wird. Der Betroffene ist nachweislich über die Möglichkeit des schriftlichen Widerrufes seiner Zustimmung zu informieren.

(4) Werden die Daten für verschiedene Aufgabengebiete mit Hilfe derselben technischen Einrichtungen verarbeitet, so ist sicherzustellen, daß die Verwendung von Daten für ein anderes Aufgabengebiet nur in den im § 7 DSG genannten Fällen erfolgt.

§ 6. (1) Einem Ersuchen um Übermittlung von Daten gemäß § 7 Abs. 2 DSG ist nur zu entsprechen, wenn es auf einen Einzelfall gerichtet ist. Hiebei ist festzustellen, durch welche gesetzlichen Bestimmungen dem Empfänger jene Aufgaben übertragen sind, zu deren Wahrnehmung die zu übermittelnden Daten eine wesentliche Voraussetzung bilden. Um die Darlegung der für die Beurteilung der Zulässigkeit der Übermittlung maßgeblichen Sach- und Rechtslage ist zu ersuchen, es sei denn, die Zulässigkeit der Übermittlung ist offenkundig.

(2) Eine Übermittlung in den Fällen des § 7 Abs. 3 DSG ist zulässig, wenn andere Möglichkeiten, das berechtigte Interesse des Dritten zu wahren, nicht vorliegen oder nicht zumutbar sind. Auch in diesem Fall ist die Übermittlung nur zulässig, wenn das schutzwürdige Interesse des Betroffenen an der Geheimhaltung nicht überwiegt.

Grundsätze für die Überlassung von Daten

§ 7. (1) Die Volksanwaltschaft kann unter den in § 13 DSG genannten Voraussetzungen Dienstleister in Anspruch nehmen.

(2) Der Auftraggeber hat dem Dienstleister die beabsichtigte Heranziehung eines weiteren Dienstleisters zu untersagen, wenn öffentliche Interessen dies verlangen oder zu befürchten ist, daß berechtigte schutzwürdige Interessen von Betroffenen gefährdet sind.

(3) Wurde dem Auftraggeber von der Datenschutzkommission die Auffassung mitgeteilt, daß der Inanspruchnahme eines Dienstleisters schutzwürdige Interessen Betroffener oder öffentliche Interessen entgegenstehen, so ist entweder der Rechtsanschauung der Datenschutzkommission zu entsprechen oder andernfalls die begründete Entscheidung über die weitere Vorgangsweise zu dokumentieren.

(4) Die Überlassung der Daten darf nur in der Art und in dem Umfang erfolgen, als deren Überlassung auf Grund ausdrücklicher gesetzlicher Bestimmungen zulässig oder aus Gründen der Zweckmäßigkeit und Wirtschaftlichkeit der Verwaltung geboten ist und schutzwürdige Interessen Betroffener oder öffentliche Interessen nicht entgegenstehen.

(5) Die Überlassung der Daten ist nur mit vorheriger Genehmigung oder auf Anordnung des Vorsitzenden der Volksanwaltschaft zulässig; dies gilt auch für die Überlassung durch einen Dienstleister an einen weiteren.

(6) Die Einhaltung der Pflichten der Dienstleister gemäß §§ 13 und 19 DSG ist durch die Volksanwaltschaft zu kontrollieren.

Auskunftsrecht

§ 8. (1) Eine Auskunft gemäß § 11 DSG darf nur auf Grund eines unbedenklichen Identitätsnachweises und gegen Empfangsbestätigung ausgefolgt oder zu eigenen Handen zugestellt werden.

(2) Die Mitwirkung eines Betroffenen am Auskunftsverfahren liegt vor, wenn

(3) Wirkt der Betroffene am Auskunftsverfahren im Sinne des § 11 Abs. 2 DSG nicht oder nur unvollständig mit, so ist er vom Auftraggeber unverzüglich aufzufordern, dieser Verpflichtung nachzukommen.

(4) Der aktuelle Datenbestand im Sinne des § 11 Abs. 4 DSG umfaßt jene Daten, die in der betreffenden Datenverarbeitung dem Direktzugriff unterliegen, oder - mangels eines solchen - den letztgültigen Datenbestand.

§ 9. (1) Für die Erteilung einer entgeltlichen Auskunft im Sinne des § 11 Abs. 4 DSG werden folgende pauschalierte Kostenersätze festgelegt:

(2) Die in Abs. 1 angeführten Kostenersätze sind nicht zu entrichten, wenn der Aufwand für die Auskunftserteilung geringfügig ist.

(3) Dem Antragsteller ist der zu entrichtende Kostenersatz unverzüglich mitzuteilen.

(4) Von der Bearbeitung eines Auskunftsantrages ist abzusehen, wenn der gemäß Abs. 3 mitgeteilte Kostenersatz nicht entrichtet wurde oder der Betroffene am Verfahren nicht ausreichend mitgewirkt hat.

(5) Die in § 11 Abs. 1 DSG enthaltene Frist für die Erteilung von entgeltlichen Auskünften beginnt mit dem Einlangen des Kostenersatzes zu laufen. Die Auskunft ist nach Einlangen des Kostenersatzes ohne unnötigen Verzug zu erteilen.

Richtigstellung und Löschung

§ 10. (1) Eine logische Richtigstellung oder Löschung von Daten hat durch solche Maßnahmen zu erfolgen, die bei einer Abfrage die Unrichtigkeit der verarbeiteten Daten angeben und auf die richtigen Daten verweisen oder den Umstand der Löschung anzeigen.

(2) Die für Zwecke der Dokumentation oder der internen Kontrolle aufzubewahrenden Daten dürfen nur durch einen entsprechenden Vermerk richtiggestellt und vor Ablauf der Aufbewahrungsfrist nur mit einem Löschungsvermerk versehen werden.

(3) Durch geeignete organisatorische Maßnahmen ist sicherzustellen, daß im Falle eines Rückgriffes auf die zu Sicherungszwecken aufbewahrten Datenbestände allfällige Richtigstellungen und Löschungen wirksam bleiben.

(4) Ein Betroffener, dessen Daten nach einer Übermittlung richtiggestellt oder gelöscht werden, hat ein Begehren auf Verständigung des Empfängers von der Richtigstellung bzw. Löschung schriftlich zu stellen.

(5) Rechtsverbindlich festgestellte Daten dürfen nur auf Grund einer Entscheidung des für die Feststellung zuständigen Organs richtiggestellt oder gelöscht werden.

Angabe der Registernummer

§ 11. (1) Der Auftraggeber hat die ihm zugeteilte Registernummer bei Übermittlungen von Daten und Mitteilungen an den Betroffenen auf jedem Schriftstück, das automationsunterstützt verarbeitete Daten enthält, anzuführen.

(2) Bei Übermittlungen im Sinne des § 3 Z 9 DSG und Mitteilungen an den Betroffenen, die in schriftlicher Form ergehen und verarbeitete Daten zum Inhalt haben, ist die Registernummer auf jedem Schriftstück anzugeben.

Außerkrafttreten

§ 12. Die Verordnung der Volksanwaltschaft vom 22. Juli 1980, BGBl. Nr. 357, zur Durchführung des Datenschutzgesetzes im Wirkungsbereich der Volksanwaltschaft tritt außer Kraft.