LegalizeVerordnung des Bundesministers für Umwelt, Jugend und Familie zur Durchführung des Datenschutzgesetzes im Wirkungsbereich des Bundesministeriums für Umwelt, Jugend und Familie (Datenschutzverordnung - BMUJF)
Präambel/Promulgationsklausel
Auf Grund des § 9 des Datenschutzgesetzes (DSG), BGBl. Nr. 565/1978, in der Fassung des Bundesgesetzes BGBl. Nr. 233/1988 wird verordnet:
Geltungsbereich
§ 1. Diese Verordnung gilt für alle Auftraggeber und Dienstleister im Wirkungsbereich des Bundesministeriums für Umwelt, Jugend und Familie.
Auftraggeber und Dienstleister
§ 2. (1) Auftraggeber sind nach Maßgabe ihrer örtlichen und sachlichen Zuständigkeit:
das Bundesministerium für Umwelt, Jugend und Familie für die Personalverwaltung,
das Umweltbundesamt
(2) Die in Abs. 1 genannten Auftraggeber können als Dienstleister im Sinne des § 13 DSG herangezogen werden.
Aufgabengebiete
§ 3. (1) Die im § 2 genannten Aufgabengebiete bedeuten:
Personalverwaltung: Vollziehung des Dienst- und Besoldungsrechtes des Bundes für die aktiven Bundesbediensteten einschließlich der Rechtsvorschriften über die Ausbildung und die Planstellenbewirtschaftung sowie Vollziehung des Bundesministeriengesetzes 1986;
Haushaltsführung: Vollziehung des Bundeshaushaltsgesetzes sowie des Bundesministeriengesetzes 1986;
Kanzleiinformationssystem: Vollziehung des Bundesministeriengesetzes 1986;
Umweltkontrolle: Vollziehung des Bundesgesetzes über die Umweltkontrolle, insbesondere Führung von Umweltkatastern;
Ozonüberwachung: Führung des Emissionskatasters der Ozonvorläufersubstanzen nach dem Ozongesetz;
Chemikalienwesen: Vollziehung des Chemikaliengesetzes, insbesondere Führung des Chemikalienregisters;
Abfallwirtschaft: Vollziehung des Abfallwirtschaftsgesetzes, insbesondere Abfallwirtschafts-Datenverbund und Bundes-Abfallwirtschaftsplan;
Altlastensanierung: Vollziehung des Altlastensanierungsgesetzes, insbesondere Führung des Altlastenatlas und des Verdachtsflächenkatasters;
umweltrelevantes Pflanzenschutzmittelwesen: Erstellung von Gutachten über die Umweltauswirkungen von Pflanzenschutzmitteln nach dem Pflanzenschutzmittelgesetz;
umweltrelevantes Tierversuchswesen: Vollziehung des Tierversuchsgesetzes in Angelegenheiten betreffend Maßnahmen des Umweltschutzes sowie in Angelegenheiten des Chemikaliengesetzes;
Schulbuchaktion: Auswertung der jährlichen Schulbuchaktion in Vollziehung des Familienlastenausgleichsgesetzes;
Familienberatungsförderungswesen: Auswertung der Tätigkeit und Abrechnung der Förderungsmittel der nach dem Familienberatungsförderungsgesetz geförderten Familienberatungsstellen;
familienpolitisches Förderungswesen: Förderung von Familienorganisationen und von familienpolitisch relevanten Modellprojekten;
Jugendförderungswesen: Förderung von Einrichtungen und Veranstaltungen der außerschulischen Jugenderziehung sowie von Einrichtungen und Aktionen der Jugendwohlfahrt.
(2) Ein Aufgabengebiet unterliegt dieser Verordnung nur hinsichtlich jener Daten (§ 3 Z 1 DSG), die zumindest in einer Phase des Verfahrensablaufes Gegenstand eines automationsunterstützten Vorganges sind.
Datensicherheitsmaßnahmen
§ 4. (1) Die in § 2 genannten Auftraggeber und Dienstleister haben für die Organisationseinheiten ihres örtlichen und sachlichen Zuständigkeitsbereiches, die Daten verwenden, Datensicherheitsmaßnahmen schriftlich anzuordnen und diese den jeweiligen technischen und organisatorischen Änderungen umgehend anzupassen und zu dokumentieren (Datensicherheitsvorschriften).
(2) Der Auftraggeber bzw. Dienstleister hat jene Organisationseinheit zu bestimmen, die die Zutrittsberechtigungen zu den Räumlichkeiten, in denen die Datenverarbeitung stattfindet, vergibt, ändert, kontrolliert und entzieht.
(3) Der Auftraggeber bzw. Dienstleister hat jene Organisationseinheit zu bestimmen, die Zugriffsberechtigungen mittels geschützter Benützeridentifikationen vergibt, ändert, kontrolliert und entzieht. Hiebei ist eine Identifikation jedes Zugriffsberechtigten vorzusehen. Der Zugriff auf das Betriebssystem einschließlich System- und Netzwerk-Sofware ist darüberhinaus durch geeignete Maßnahmen zu sichern.
(4) Der Auftraggeber bzw. Dienstleister hat jene Organisationseinheit zu bestimmen, die die für die Verarbeitung notwendigen Daten und Programme einschließlich der dazugehörigen Dokumentation außerhalb der Verarbeitungsstätte gesichert aufzubewahren hat.
(5) Die Vernichtung unbrauchbarer oder nicht mehr benötigter Ausdrucke und sonstiger Datenträger ist vom Auftraggeber oder Dienstleister durch entsprechende personelle oder vertragliche Maßnahmen sicherzustellen.
(6) Jede/r Bedienstete, der/dem in Ausübung ihres/seines Dienstes Daten anvertraut oder zugänglich sind, ist über ihre/seine Pflichten nach dem Datenschutzgesetz, dieser Verordnung und den zu erlassenden innerorganisatorischen Datensicherheitsvorschriften (Abs. 1) nachweislich zu belehren und von deren Änderungen umgehend und nachweislich in Kenntnis zu setzen. Die genannten Datensicherheitsvorschriften sind so zur Verfügung zu halten, daß sich die Bediensteten über die für sie geltenden Regelungen jederzeit informieren können.
Grundsätze für die Ermittlung, Verarbeitung und Benützung
§ 5. (1) Eine ausdrückliche gesetzliche Ermächtigung für eine Ermittlung und Verarbeitung im Sinne des § 6 DSG liegt nur dann vor, wenn in dieser die zu ermittelnden und verarbeitenden Datenarten, die Betroffenenkreise und die Empfängerkreise der Daten enthalten sind.
(2) Die Ermittlung und Verarbeitung von Daten ist dann als wesentliche Voraussetzung für die Wahrnehmung der gesetzlich übertragenen Aufgaben zu erachten, wenn andere Möglichkeiten, die gesetzlich übertragenen Aufgaben wahrzunehmen, nicht vorliegen oder sie auf Grund des zu erwartenden Aufwandes dem Auftraggeber aus Wirtschaftlichkeits- und Zweckmäßigkeitserwägungen nicht zuzumuten sind.
(3) Wird zur Ermittlung von Daten Amtshilfe in Anspruch genommen, so ist das Amtshilfeersuchen so zu begründen, daß die ersuchte Stelle die Zulässigkeit der Übermittlung gemäß § 7 DSG beurteilen kann. Insbesondere ist darzulegen, durch welche gesetzlichen Bestimmungen dem Auftraggeber jene Aufgaben übertragen sind, zu deren Wahrnehmung die zu ermittelnden Daten eine wesentliche Voraussetzung bilden. Die Begründung kann entfallen, wenn die Zulässigkeit der Übermittlung für die ersuchte Stelle offenkundig ist oder anläßlich eines vorangegangenen Amtshilfeersuchens gleicher Art festgestellt wurde.
§ 6. (1) Jedes Programm ist vor seinem Einsatz in der Verarbeitung personenbezogener Daten von der durch den Auftraggeber zu bestimmenden Organisationseinheit freizugeben.
(2) Soweit die Verarbeitung von Daten eines Aufgabengebietes durch mehrere Dienstleister erfolgt, ist den Daten bei jedem Dienstleister gleichartiger Schutz zu gewähren. Die Daten und Programme sind vor Entstellung, Zerstörung und Verlust sowie gegen unbefugte Verwendung und Weitergabe zu schützen.
(3) Wird ein Aufgabengebiet für mehrere Auftraggeber mit Hilfe derselben technischen Einrichtung oder im Netzwerkverbund vollzogen, so ist sicherzustellen, daß jeder Auftraggeber nur über die in seine Zuständigkeit fallenden Daten verfügen kann. Dasselbe gilt, wenn die Daten für verschiedene Aufgabengebiete mit Hilfe der selben technischen Einrichtung oder im Netzwerkverbund verarbeitet werden.
(4) Daten dürfen nur auf Grund von schriftlichen Aufträgen verarbeitet werden. Soferne die Aufträge nicht als Einzel- oder Daueraufträge erteilt werden, müssen sie aus den vorhandenen Stellenbeschreibungen der Organisationseinheit in Zusammenhang mit einer entsprechenden Dokumentation der Verarbeitung abgeleitet werden können.
(5) Der Auftraggeber hat die Richtigkeit der Verarbeitungsergebnisse durch Stichproben oder sonstige geeignete Methoden zu überprüfen.
(6) Wird ein Fehler festgestellt, so hat der Auftraggeber die Fehlerbehebung umgehend einzuleiten und die Fehlerursache zu beheben. Der betreffende Dienstleister ist unverzüglich zu verständigen, wenn zu vermuten ist, daß die Fehlerursache in seinem Tätigkeitsbereich liegt.
(7) Die Benützung der Daten darf nur in der Art und in dem Umfang erfolgen, als dies für den Auftraggeber zur Wahrnehmung der ihm gesetzlich übertragenen Aufgaben erforderlich ist.
(8) Die Bediensteten des Auftraggebers dürfen nur jene Daten benützen, die sie zur Erfüllung der ihnen übertragenen Aufgaben benötigen.
Grundsätze für die Übermittlung von Daten
§ 7. (1) Eine ausdrückliche gesetzliche Ermächtigung für die Übermittlung von Daten liegt dann vor, wenn die zu übermittelnden Datenarten und der Zweck der Übermittlung ausdrücklich genannt, die Betroffenenkreise umschrieben und die Empfängerkreise der Daten festgelegt sind.
(2) Übermittlungen von Daten durch den Auftraggeber bedürfen, soferne sie sich nicht auf eine ausdrückliche gesetzliche Ermächtigung stützen, eines schriftlichen Auftrages im Sinne des § 6 Abs. 4.
(3) Die Zustimmung der/des Betroffenen zur Datenübermittlung gemäß § 7 Abs. 1 Z 2 DSG gilt dann als erteilt, wenn die/der Betroffene ihr/sein Einverständnis zur Datenübermittlung ausdrücklich mit ihrer/seiner Unterschrift getrennt von etwaigen sonstigen Vereinbarungen abgegeben hat. Eine Zustimmungserklärung liegt nur dann vor, wenn die zu übermittelnden Datenarten und die Übermittlungsempfänger ausdrücklich genannt sind und die/der Betroffene in allgemein verständlicher Form über den Übermittlungszweck informiert wird. Die/der Betroffene ist nachweislich über die Möglichkeit des schriftlichen Widerrufes ihrer/seiner Zustimmung zu informieren.
§ 8. Bei Vorliegen eines Ersuchens um Übermittlung von Daten gemäß § 7 Abs. 2 DSG im Einzelfall ist festzustellen, durch welche gesetzlichen Bestimmungen dem Empfänger jene Aufgaben übertragen sind, zu deren Wahrnehmung die zu übermittelnden Daten eine wesentliche Voraussetzung bilden. Um die Darlegung der für die Beurteilung der Zulässigkeit der Übermittlung maßgeblichen Sach- und Rechtslage ist zu ersuchen, es sei denn, die Zulässigkeit der Übermittlung ist offenkundig.
§ 9. (1) Eine Übermittlung in den Fällen des § 7 Abs. 3 DSG ist zulässig, wenn andere Möglichkeiten, das berechtigte Interesse des Dritten zu wahren, nicht vorliegen oder nicht zumutbar sind.
(2) Daten gelten dann als veröffentlicht, wenn sie einem generell bestimmten Personenkreis zugänglich gemacht wurden.
Grundsätze für die Überlassung von Daten
§ 10. (1) Die in § 2 genannten Auftraggeber können unter den in § 13 DSG genannten Voraussetzungen Dienstleister in Anspruch nehmen.
(2) Der Auftraggeber hat dem Dienstleister die beabsichtigte Heranziehung eines weiteren Dienstleisters zu untersagen, wenn öffentliche Interessen dies verlangen oder zu befürchten ist, daß berechtigte schutzwürdige Interessen von Betroffenen gefährdet sind.
(3) Wurde dem Auftraggeber von der Datenschutzkommission die Auffassung mitgeteilt, daß der Inanspruchnahme eines Dienstleisters schutzwürdige Interessen Betroffener oder öffentliche Interessen entgegenstehen, so hat der Auftraggeber entweder der Rechtsanschauung der Datenschutzkommission zu entsprechen oder andernfalls die begründete Entscheidung über die weitere Vorgangsweise zu dokumentieren.
Auskunftsrecht
§ 11. (1) Eine Auskunft gemäß § 11 DSG darf bei persönlicher Vorsprache nur auf Grund der Vorlage eines Lichtbildausweises erteilt werden. Bei amtsbekannten Personen kann darauf verzichtet werden. Langt der Auskunftsantrag im Postweg oder fernschriftlich ein, ist die Auskunft an die im Antrag angeführte Adresse durch Zustellung zu eigenen Handen des Antragstellers vorzunehmen.
(2) Die Mitwirkung einer/eines Betroffenen am Auskunftsverfahren liegt vor, wenn
diejenigen Datenverarbeitungen im Sinne des § 8 DSG bezeichnet werden, bezüglich derer sie/er Betroffene/r sein kann; oder
insbesondere durch die Vorlage von Unterlagen oder die Beschreibung von Lebensumständen glaubhaft ist, daß Daten der/des Betroffenen irrtümlich oder mißbräuchlich in Datenbeständen des Auftraggebers enthalten sind.
(3) Wirkt die/der Betroffene am Auskunftsverfahren im Sinne des § 11 Abs. 2 DSG nicht oder nur unvollständig mit, so ist sie/er vom Auftraggeber unverzüglich aufzufordern, dieser Verpflichtung nachzukommen. Verweigert die/der Betroffene die Mitwirkung, so ist sie/er darauf aufmerksam zu machen, daß von einer Bearbeitung des Auskunftsantrages abgesehen werden muß.
(4) Der aktuelle Datenbestand im Sinne des § 11 Abs. 4 DSG umfaßt jene Daten, die in der betreffenden Datenverarbeitung dem Direktzugriff unterliegen, oder - mangels eines solchen - den letztgültigen Datenbestand.
§ 12. (1) Die Auskunft ist unentgeltlich zu erteilen, wenn die/der Betroffene im laufenden Kalenderjahr noch kein Auskunftsansuchen an den Auftraggeber - dasselbe Aufgabengebiet betreffend - gestellt hat und die Auskunft den aktuellen Datenbestand (§ 11 Abs. 4) betrifft.
(2) Für die Erteilung einer entgeltlichen Auskunft im Sinne des § 11 Abs. 4 DSG werden folgende pauschalierte Kostenersätze festgelegt:
für die Auskunft über den aktuellen Stand der Daten der Antragstellerin/des Antragstellers, wenn diese/r im laufenden Jahr bereits ein Auskunftsbegehren über dasselbe Aufgabengebiet gestellt hat, 100 S je Datenverarbeitung;
für jede darüberhinausgehende Auskunft 500 S je Datenverarbeitung; in jenen Fällen, in denen die Auskunfttserteilung einen besonders hohen technischen oder organisatorischen Aufwand erfordert, 1 000 S je Datenverarbeitung.
(3) Die in Abs. 1 angeführten Kostenersätze sind nicht zu entrichten, wenn der Aufwand für die Auskunftserteilung geringfügig ist.
(4) Der Antragstellerin/dem Antragsteller ist der zu entrichtende Kostenersatz unverzüglich mitzuteilen.
(5) Von der Bearbeitung eines Auskunftsantrages ist abzusehen, wenn der gemäß Abs. 3 mitgeteilte Kostenersatz nicht entrichtet wurde.
(6) Die in § 11 Abs. 1 DSG enthaltene Frist für die schriftliche Mitteilung der Auskunft beginnt im Falle einer entgeltlichen Auskunftserteilung mit dem Einlagen des Kostenersatzes zu laufen.
Richtigstellung und Löschung
§ 13. (1) Unrichtige Daten oder solche, deren Ermittlung oder Verarbeitung rechtlich unzulässig ist, unterliegen der Pflicht zur Richtigstellung oder Löschung. Für die Richtigkeit, Vollständigkeit und Aktualität der Daten ist stets Sorge zu tragen.
(2) Aus Gründen der Wirtschaftlichkeit kann zunächst eine logische Richtigstellung oder Löschung von Daten und sodann nur zu bestimmten Zeitpunkten eine physische Richtigstellung oder Löschung vorgenommen werden.
(3) Ein/e Betroffene/r, deren/dessen Daten nach einer Übermittlung rückwirkend richtiggestellt oder gelöscht werden, hat ein Begehren auf Verständigung des Empfängers von der Richtigstellung bzw. Löschung schriftlich zu stellen.
(4) Rechtsverbindlich festgestellte Daten dürfen nur auf Grund einer Entscheidung des für die Feststellung sachlich zuständigen Organs richtiggestellt oder gelöscht werden.
Angabe der Registernummer
§ 14. Der Auftraggeber hat die ihm zugeteilte Registernummer bei Übermittlungen von Daten und Mitteilungen an den Betroffenen auf jedem Schriftstück, das automationsunterstützt verarbeitete Daten enthält, anzuführen. Bei Übermittlungen und Mitteilungen an den Betroffenen mittels maschinell lesbarer Datenträger ist die Registernummer auf den Begleitpapieren oder auf den Datenträgern anzugeben.
Dieses Dokument ersetzt nicht die offizielle Publikation im Bundesgesetzblatt. Für eventuelle Ungenauigkeiten bei der Übertragung in dieses Format wird keine Haftung übernommen.