LegalizeVerordnung des Bundesministers für auswärtige Angelegenheiten vom 10. Jänner 1990 zur Durchführung des Datenschutzgesetzes im Wirkungsbereich des Bundesministeriums für auswärtige Angelegenheiten
Präambel/Promulgationsklausel
Auf Grund des § 9 des Datenschutzgesetzes (DSG), BGBl. Nr. 565/1978, zuletzt geändert durch das Bundesgesetz BGBl. Nr. 233/1988, wird verordnet:
Geltungsbereich
§ 1. Diese Verordnung gilt für alle Auftraggeber und Dienstleister im Wirkungsbereich des Bundesministeriums für auswärtige Angelegenheiten sowie für die Diplomatische Akademie.
Auftraggeber und Aufgabengebiete
§ 2. (1) Auftraggeber sind nach Maßgabe ihrer örtlichen und sachlichen Zuständigkeit:
Das Bundesministerium für auswärtige Angelegenheiten sowie die unterstellten Dienststellen im Ausland (diplomatische, konsularische und andere Vertretungsbehörden; Kulturinstitute) für die Personalverwaltung,
Die Diplomatische Akademie
(2) Die in Abs. 1 genannten Auftraggeber können als Dienstleister im Sinne des § 13 DSG herangezogen werden.
§ 3. Die im § 2 genannten Aufgabengebiete bedeuten:
Personalverwaltung: Die Vollziehung des Dienst- und Besoldungsrechtes des Bundes für die aktiven Bundesbediensteten einschließlich der Rechtsvorschriften über die Ausbildung und die Planstellenbewirtschaftung sowie Vollziehung des Bundesministeriengesetzes 1986;
Haushaltsführung: Die Vollziehung des Bundeshaushaltsgesetzes sowie des Bundesministeriengesetzes 1986;
Korrespondenzverwaltung: Vollziehung des Bundesministeriengesetzes 1986;
Kanzleiinformationssystem: Vollziehung des Bundesministeriengesetzes 1986;
Dokumentation außenpolitisch relevanter Informationen:
Entwicklungshilfeverwaltung: Vollziehung des Entwicklungshilfegesetzes 1974 und des Entwicklungshelfergesetzes 1983 sowie des Bundesministeriengesetzes 1986;
Erfassung und Betreuung akkreditierter ausländischer Personen:
Konsularische Aufgaben: Vollziehung des Strafregistergesetzes 1968, Tilgungsgesetzes 1972, Kraftfahrgesetzes 1967, Fremdenpolizeigesetzes, Waffengesetzes 1986, Paßgesetzes 1969, Meldegesetzes 1972, Zivildienstgesetzes 1986 sowie des Bundesministeriengesetzes 1986;
Kursverwaltung: Vollziehung des Bundesgesetzes über die Diplomatische Akademie BGBl. Nr. 135/1979 sowie des Bundesministeriengesetzes 1986.
Datensicherheitsmaßnahmen
§ 4. (1) Die in § 2 genannten Auftraggeber oder Dienstleister haben für die Organisationseinheiten ihres örtlichen und sachlichen Zuständigkeitsbereiches, die Daten verwenden, Datensicherheitsmaßnahmen schriftlich anzuordnen, den jeweiligen technischen und organisatorischen Änderungen umgehend anzupassen und zu dokumentieren.
(2) Der Auftraggeber oder Dienstleister hat für die zu verwendenden Datenarten entsprechend dem Grad der Schutzwürdigkeit Sensibilitätsklassen festzulegen. Die Sicherheitsmaßnahmen haben sich nach den Sensibilitätsklassen zu bestimmen.
(3) Der Auftraggeber oder Dienstleister hat jene Organisationseinheit zu bestimmen, die die Zutrittsberechtigungen zu den Räumlichkeiten, in denen die Datenverarbeitung stattfindet, vergibt, ändert, kontrolliert und entzieht.
(4) Der Auftraggeber oder Dienstleister hat jene Organisationseinheit zu bestimmen, die nach Maßgabe der technischen Möglichkeiten abgestufte Zugriffsberechtigungen mittels geschützter Benutzeridentifikationen vergibt, ändert, kontrolliert und entzieht. Hiebei ist eine Identifikation jedes Zugriffsberechtigten vorzusehen. Der Zugriff auf das Betriebssystem einschließlich System- und Netzwerksoftware ist darüber hinaus durch geeignete Maßnahmen zu sichern.
(5) Der Auftraggeber oder Dienstleister hat jene Organisationseinheit zu bestimmen, die die für die Verarbeitung notwendigen Daten und Programme einschließlich der dazugehörigen Dokumentation außerhalb der Verarbeitungsstätte gesichert aufzubewahren hat.
(6) Die Vernichtung unbrauchbarer oder nicht mehr benötigter Ausdrucke und sonstiger Datenträger ist vom Auftraggeber oder Dienstleister durch entsprechende personelle oder vertragliche Maßnahmen sicherzustellen.
(7) Jeder Bedienstete, dem in Ausübung seines Dienstes Daten anvertraut oder zugänglich sind, ist über seine Pflichten nach dem Datenschutzgesetz und den innerorganisatorischen Datenschutzvorschriften, insbesondere über die von ihm einzuhaltenden Datensicherheitsvorschriften nachweislich zu belehren und von deren Änderungen umgehend und nachweislich in Kenntnis zu setzen.
Grundsätze für die Ermittlung, Verarbeitung und Benützung
§ 5. (1) Eine ausdrückliche gesetzliche Ermächtigung für eine Ermittlung und Verarbeitung im Sinne des § 6 DSG liegt nur dann vor, wenn in dieser die zu ermittelnden und verarbeitenden Datenarten, die Betroffenenkreise und die Empfänger der Daten enthalten sind.
(2) Die Ermittlung und Verarbeitung von Daten ist dann als wesentliche Voraussetzung für die Wahrnehmung der gesetzlich übertragenen Aufgaben zu erachten, wenn andere Möglichkeiten, die gesetzlich übertragenen Aufgaben wahrzunehmen, nicht vorliegen oder sie auf Grund des zu erwartenden Aufwandes dem Auftraggeber aus Wirtschaftlichkeits- und Zweckmäßigkeitserwägungen nicht zuzumuten sind.
(3) Werden Daten vom Betroffenen ermittelt, so ist dieser vor der Ermittlung darüber zu informieren, ob eine gesetzliche Verpflichtung zur Offenlegung seiner personenbezogenen Daten besteht oder ob die Ermittlung durch seine freiwillige Mitwirkung zustande kommt.
(4) Wird zur Ermittlung von Daten Amtshilfe in Anspruch genommen, so ist das Amtshilfeersuchen so zu begründen, daß die ersuchte Stelle die Zulässigkeit der Übermittlung gemäß § 7 DSG beurteilen kann. Insbesondere ist darzulegen, durch welche gesetzlichen Bestimmungen dem Auftraggeber jene Aufgaben übertragen sind, zu deren Wahrnehmung die zu ermittelnden Daten eine wesentliche Voraussetzung bilden.
§ 6. (1) Jedes Programm ist vor seinem Einsatz in der Verarbeitung personenbezogener Daten von der durch den Auftraggeber zu bestimmenden Organisationseinheit freizugeben.
(2) Den Daten eines Aufgabengebietes ist nach Maßgabe der Sensibilitätsklassen der zu verarbeitenden Daten (§ 4 Abs. 2) gleichartiger Schutz zu gewähren. Die Daten und Programme sind vor Entstellung, Zerstörung und Verlust sowie gegen unbefugte Verwendung und Weitergabe zu schützen.
(3) Wird ein Aufgabengebiet für mehrere Auftraggeber mit Hilfe derselben technischen Einrichtung oder im Netzwerkverbund vollzogen, so ist sicherzustellen, daß jeder Auftraggeber nur über die in seine Zuständigkeit fallenden Daten verfügen kann. Dasselbe gilt, wenn die Daten für verschiedene Aufgabengebiete mit Hilfe derselben technischen Einrichtung oder im Netzwerkverbund verarbeitet werden.
(4) Daten dürfen nur auf Grund von schriftlichen Aufträgen verarbeitet werden.
(5) Der Auftraggeber hat die Richtigkeit der Verarbeitungsergebnisse durch Stichproben oder sonstige geeignete Methoden zu überprüfen.
(6) Wird ein Fehler festgestellt, so hat der Auftraggeber die Fehlerbehebung umgehend einzuleiten und die Fehlerursache zu beheben. Der betreffende Dienstleister ist unverzüglich zu verständigen, wenn zu vermuten ist, daß die Fehlerursache in seinem Tätigkeitsbereich liegt.
(7) Die Benützung der Daten darf nur in der Art und in dem Umfang erfolgen, als dies für den Auftraggeber zur Wahrnehmung der ihm gesetzlich übertragenen Aufgaben erforderlich ist.
(8) Die Bediensteten des Auftraggebers dürfen nur jene Daten benützen, die sie zur Erfüllung der ihnen übertragenen Aufgaben benötigen.
Grundsätze für die Übermittlung von Daten
§ 7. (1) Eine ausdrückliche gesetzliche Ermächtigung für die Übermittlung von Daten liegt dann vor, wenn die zu übermittelnden Datenarten und der Zweck der Übermittlung ausdrücklich genannt, die Betroffenenkreise umschrieben und die Empfänger der Daten festgelegt sind.
(2) Übermittlungen von Daten durch den Auftraggeber bedürfen, sofern sie sich nicht auf eine ausdrückliche gesetzliche Ermächtigung stützen, eines schriftlichen Auftrages des zuständigen Organs. Der Auftrag kann als Einzel- oder Dauerauftrag erteilt werden. Im Auftrag ist anzugeben, auf Grund welcher Bestimmungen des § 7 DSG die Übermittlung zulässig ist.
(3) Die Zustimmung des Betroffenen zur Datenübermittlung gemäß § 7 Abs. 1 Z 2 DSG gilt dann als erteilt, wenn der Betroffene sein Einverständnis zur Datenübermittlung ausdrücklich mit seiner Unterschrift getrennt von etwaigen sonstigen Vereinbarungen abgegeben hat. Eine Zustimmungserklärung liegt nur dann vor, wenn die zu übermittelnden Datenarten und die Übermittlungsempfänger ausdrücklich genannt sind und der Betroffene in allgemein verständlicher Form über den Übermittlungszweck informiert wird. Der Betroffene ist nachweislich über die Möglichkeit des schriftlichen Widerrufes seiner Zustimmung zu informieren.
(4) Der Auftraggeber hat zu veranlassen, daß vom Österreichischen Statistischen Zentralamt im Anschluß an die anonymisierte Verarbeitung gemäß § 7 Abs. 1 Z 3 DSG die personenbezogenen Daten dem übermittelnden Organ zurückgegeben, gelöscht oder auftragsgemäß aufbewahrt oder verarbeitet werden.
§ 8. Einem Ersuchen um Übermittlung von Daten gemäß § 7 Abs. 2 DSG ist nur zu entsprechen, wenn es auf einen Einzelfall gerichtet ist. Hiebei ist festzustellen, durch welche gesetzlichen Bestimmungen dem Empfänger jene Aufgaben übertragen sind, zu deren Wahrnehmung die zu übermittelnden Daten eine wesentliche Voraussetzung bilden. Um die Darlegung der für die Beurteilung der Zulässigkeit der Übermittlung maßgeblichen Sach- und Rechtslage ist zu ersuchen, es sei denn, die Zulässigkeit der Übermittlung ist offenkundig.
§ 9. (1) Eine Übermittlung in den Fällen des § 7 Abs. 3 DSG ist zulässig, wenn andere Möglichkeiten, das berechtigte Interesse zu wahren, nicht vorliegen oder nicht zumutbar sind.
(2) Daten gelten dann als veröffentlicht (§ 32 Abs. 2 Z 3 DSG), wenn sie einem generell bestimmten Personenkreis zugänglich gemacht wurden.
Grundsätze für die Überlassung von Daten
§ 10. (1) Die in § 2 genannten Organisationseinheiten der Auftraggeber können unter den in § 13 DSG genannten Voraussetzungen Dienstleister in Anspruch nehmen.
(2) Der Auftraggeber hat dem Dienstleister die beabsichtigte Heranziehung eines weiteren Dienstleisters zu untersagen, wenn öffentliche Interessen dies verlangen oder zu befürchten ist, daß berechtigte schutzwürdige Interessen von Betroffenen gefährdet sind.
(3) Wurde dem Auftraggeber von der Datenschutzkommission die Auffassung mitgeteilt, daß der Inanspruchnahme eines Dienstleisters schutzwürdige Interessen Betroffener oder öffentliche Interessen entgegenstehen, so hat der Auftraggeber entweder der Rechtsanschauung der Datenschutzkommission zu entsprechen oder andernfalls die begründete Entscheidung über die weitere Vorgangsweise zu dokumentieren.
Auskunftsrecht
§ 11. (1) Eine Auskunft gemäß § 11 DSG darf nur auf Grund eines unbedenklichen Identitätsnachweises und gegen Empfangsbestätigung ausgefolgt oder zu eigenen Handen zugestellt werden.
(2) Die Mitwirkung eines Betroffenen am Auskunftsverfahren liegt vor, wenn
diejenigen Datenverarbeitungen im Sinne des § 8 DSG bezeichnet werden, bezüglich derer er Betroffener sein kann; oder
insbesondere durch die Vorlage von Unterlagen oder die Beschreibung von Lebensumständen glaubhaft ist, daß Daten des Betroffenen irrtümlich oder mißbräuchlich in Datenbeständen des Auftraggebers enthalten sind.
(3) Wirkt der Betroffene am Auskunftsverfahren im Sinne des § 11 Abs. 2 DSG nicht oder nicht ausreichend mit, so ist er vom Auftraggeber unverzüglich aufzufordern, dieser Verpflichtung nachzukommen.
(4) Der aktuelle Datenbestand im Sinne des § 11 Abs. 4 DSG umfaßt jene Daten, die in der betreffenden Datenverarbeitung dem Direktzugriff unterliegen, oder - mangels eines solchen - den letztgültigen Datenbestand.
§ 12. (1) Für die Erteilung einer entgeltlichen Auskunft im Sinne des § 11 Abs. 4 DSG werden folgende pauschalierte Kostenersätze festgelegt:
für die Auskunft über den aktuellen Stand der Daten des Antragstellers, wenn dieser im laufenden Jahr bereits ein Auskunftsbegehren über dasselbe Aufgabengebiet gestellt hat, 100 S je Datenverarbeitung;
für jede darüber hinausgehende Auskunft 500 S je Datenverarbeitung; in jenen Fällen, in denen die Auskunftserteilung einen besonders hohen technischen oder organisatorischen Aufwand erfordert, 1 000 S je Datenverarbeitung.
(2) Die in Abs. 1 angeführten Kostenersätze sind nicht zu entrichten, wenn der Aufwand für die Auskunftserteilung geringfügig ist.
(3) Dem Antragsteller ist der zu entrichtende Kostenersatz unverzüglich mitzuteilen.
(4) Von der Bearbeitung eines Auskunftsantrages ist abzusehen, wenn der gemäß Abs. 3 mitgeteilte Kostenersatz nicht entrichtet wurde oder der Betroffene am Verfahren nicht ausreichend mitgewirkt hat.
(5) Die in § 11 Abs. 1 DSG enthaltene Frist für die Erteilung von entgeltlichen Auskünften beginnt mit dem Einlangen des Kostenersatzes zu laufen.
Richtigstellung und Löschung
§ 13. (1) Eine logische Richtigstellung oder Löschung von Daten hat durch solche Maßnahmen zu erfolgen, die bei einer Abfrage die Unrichtigkeit der verarbeiteten Daten angeben und auf die richtigen Daten verweisen oder den Umstand der Löschung anzeigen.
(2) Die für Zwecke der Dokumentation oder der internen Kontrolle aufzubewahrenden Daten dürfen nur durch einen entsprechenden Vermerk richtiggestellt und vor Ablauf der Aufbewahrungsfrist nur mit einem Löschungsvermerk versehen werden.
(3) Durch geeignete organisatorische Maßnahmen ist sicherzustellen, daß im Falle eines Rückgriffes auf die zu Sicherungszwecken aufbewahrten Datenbestände allfällige Richtigstellungen und Löschungen wirksam bleiben.
(4) Ein Betroffener, dessen Daten nach einer Übermittlung richtiggestellt oder gelöscht werden, hat ein Begehren auf Verständigung des Empfängers von der Richtigstellung bzw. Löschung schriftlich zu stellen.
(5) Rechtsverbindlich festgestellte Daten dürfen nur auf Grund einer Entscheidung des für die Feststellung zuständigen Organs richtiggestellt oder gelöscht werden.
Angabe der Registernummer
§ 14. Der Auftraggeber hat die ihm zugeteilte Registernummer bei Übermittlung von Daten und Mitteilungen an den Betroffenen auf jedem Schriftstück, das automationsunterstützt verarbeitete Daten enthält, anzuführen. Bei Übermittlungen und Mitteilungen an den Betroffenen mittels maschinell lesbarer Datenträger ist die Registernummer auf den Begleitpapieren oder auf den Datenträgern anzugeben.
Inkrafttreten
§ 15. (1) Die Verordnung tritt mit 1. Februar 1990 in Kraft.
(2) Mit dem Inkrafttreten dieser Verordnung tritt die Verordnung des Bundesministers für auswärtige Angelegenheiten zur Durchführung des Datenschutzgesetzes im Wirkungsbereich des Bundesministeriums für auswärtige Angelegenheiten, BGBl. Nr. 369/1980, außer Kraft.
Dieses Dokument ersetzt nicht die offizielle Publikation im Bundesgesetzblatt. Für eventuelle Ungenauigkeiten bei der Übertragung in dieses Format wird keine Haftung übernommen.