LegalizeVerordnung des Bundeskanzlers über das bei der Datenschutzkommission eingerichtete Datenverarbeitungsregister (Datenverarbeitungsregister- Verordnung 2000 - DVRV)
Präambel/Promulgationsklausel
Auf Grund der §§ 16 bis 22 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999, wird verordnet:
Inhaltsverzeichnis
§ 1 Geltungsbereich
§ 2 Begriffsbestimmungen
§ 3 Einrichtung und Inhalt des Registers
§ 4 Anlass und Zeitpunkt der Meldung
§ 5 Form und Inhalt der Meldungen
§ 6 Unterlagen zur Meldung
§ 7 Verfahrensvorschriften
§ 8 Bearbeitungsnummer
§ 9 Prüfungs- und Verbesserungsverfahren
§ 10 Registrierung
§ 11 Registernummer
§ 12 Registerauszug
§ 13 Verzeichnis der Informationsverbundsysteme
§ 14 Richtigstellung des Registers
§ 15 Übernahme der Registernummer in Rechtsnachfolge
§ 16 Einsicht in das Register
§ 17 Übergangsbestimmungen für Registrierungen
§ 18 Übergangsbestimmungen für Meldungen
§ 19 Inkrafttreten
Geltungsbereich
§ 1. Diese Verordnung regelt das Verfahren zur Registrierung von Datenanwendungen im Datenverarbeitungsregister (§ 16 DSG 2000, BGBl. I Nr. 165/1999) sowie die Einrichtung und Führung des Registers und die Einsichtnahme in dieses.
Begriffsbestimmungen
§ 2. Das Datenverarbeitungsregister wird im Folgenden als "Register", die Meldungen über Auftraggeber und deren Datenanwendungen gemäß §§ 17 und 19 DSG 2000 als "Meldungen" bezeichnet.
Einrichtung und Inhalt des Registers
§ 3. (1) Das Register ist bei der Datenschutzkommission eingerichtet.
(2) Das Register besteht aus
den registrierten Meldungen über Auftraggeber und Datenanwendungen auf dem jeweils letzten Stand,
den Kopien der Registerauszüge (§ 12), die den Meldern anlässlich der Registrierung ihrer Datenanwendungen zugesandt wurden,
einem gesonderten Verzeichnis der Informationsverbundsysteme (§ 13) auf dem jeweils letzten Stand sowie
den Registrierungsakten.
(3) Der Registerinhalt gemäß Abs. 2 Z 1 besteht aus den ausgefüllten Formblättern (§ 5), die anlässlich der Meldung eingereicht und allenfalls im Registrierungsverfahren verbessert oder auf Grund einer nach der Registrierung ergangenen Entscheidung der Datenschutzkommission geändert wurden. Davon ausgenommen sind die bei der Registrierung gemachten allgemeinen Angaben über Datensicherheitsmaßnahmen.
(4) In den Registrierungsakt (Abs. 2 Z 4) sind insbesondere aufzunehmen:
die der Meldung beigeschlossenen Unterlagen,
die unter Verwendung des Formblattes nach Anlage 4 gemachten allgemeinen Angaben über getroffene Datensicherheitsmaßnahmen,
Genehmigungsbescheide der Datenschutzkommission gemäß § 13 DSG 2000,
Bescheide der Datenschutzkommission über Auflagen, die gemäß § 21 Abs. 2 DSG 2000 anlässlich der Registrierung erteilt wurden, sowie
Bescheide der Datenschutzkommission über Änderungen des Registerinhalts gemäß Abs. 2 Z 1.
Anlass und Zeitpunkt der Meldung
§ 4. Zum Zweck der Registrierung hat der Auftraggeber einer Datenanwendung der Datenschutzkommission gemäß §§ 17 und 19 DSG 2000 zu melden:
jede meldepflichtige Datenanwendung vor deren Aufnahme,
jede Änderung oder Ergänzung einer bereits registrierten Datenanwendung vor Aufnahme der geänderten oder ergänzten Datenanwendung,
den Eintritt eines Grundes für die Streichung einer registrierten Datenanwendung, insbesondere den Wegfall ihrer Rechtsgrundlage, unverzüglich nachdem er sich ereignet hat,
jede Änderung des Namens oder der sonstigen Bezeichnung oder der Anschrift des Auftraggebers, unverzüglich nach Eintritt der Änderung,
den Wegfall einer geeigneten Rechtsgrundlage für die im Zusammenhang mit der Registrierung relevanten Tätigkeiten des Auftraggebers, unverzüglich nach Eintritt ihrer rechtlichen Wirksamkeit.
Form und Inhalt der Meldungen
§ 5. (1) Zur Erleichterung und Vereinheitlichung der Meldungen hat die Datenschutzkommission Formblätter mit dem Inhalt der Anlagen 1, 2, 3 und 4 aufzulegen, deren formale Ausgestaltung von der Datenschutzkommission entsprechend den jeweiligen Erfordernissen festgelegt wird. Die Formblätter sind auch in elektronischer Form zur Abrufbarkeit über INTERNET zur Verfügung zu stellen.
(2) Die Meldepflichtigen haben, soweit nicht nach Abs. 7 formlose Änderungsmeldungen zulässig sind, ihre Meldungen mit Hilfe der gemäß Abs. 1 aufgelegten Formblätter zu erstatten.
(3) Für jede Neu- oder Änderungsmeldung betreffend eine Datenanwendung ist - abgesehen von den Fällen des Abs. 7 - ein Formblatt "Meldung einer Datenanwendung" (Anlage 2) auszufüllen; bei der Meldung einer Musteranwendung ist hiefür das Formblatt "Meldung einer Musteranwendung" (Anlage 3) zu verwenden. Meldet ein Auftraggeber erstmalig an das Datenverarbeitungsregister, so hat er zusätzlich das Formblatt "Angaben zum Auftraggeber" (Anlage 1) auszufüllen. Dieses Formblatt ist, außer in den Fällen des Abs. 7, auch bei Änderungen von Angaben zum Auftraggeber zu verwenden. Bei bloßen Änderungsmeldungen genügt die eindeutige Bezeichnung jener Erstmeldung, auf die sich die Folgemeldung bezieht, und über die zu ändernden Registerinhalte.
(4) Meldet ein Auftraggeber die Teilnahme an einem Informationsverbundsystem, das bereits im Verzeichnis gemäß § 13 eingetragen ist, so kann er bei der Ausfüllung des gemäß Anlage 2 aufgelegten Formblatts hinsichtlich der Punkte 7 und 8 auf die Eintragungen im Verzeichnis verweisen, wenn seine Datenanwendung dem vollinhaltlich entspricht.
(5) Die gemäß § 19 Abs. 1 Z 7 DSG 2000 zu machenden allgemeinen Angaben über die getroffenen Datensicherheitsmaßnahmen sind unter Verwendung des gemäß Anlage 4 aufgelegten Formblatts zu erstatten.
(6) Meldungen können auch im Wege der automationsunterstützten Datenübertragung eingebracht werden. Eine elektronische Meldung gilt als erstattet, wenn sie an der von der Datenschutzkommission im elektronischen Formblatt hiefür angegebenen E-Mail-Adresse eingangen ist.
(7) Weist eine Meldung keine eigenhändige oder urschriftliche Unterschrift auf, so kann die Datenschutzkommission, wenn sie Zweifel daran hat, dass die Meldung von dem darin genannten Auftraggeber stammt, eine Bestätigung durch ein innerhalb angemessener Frist vorzulegendes schriftliches Anbringen mit eigenhändiger und urschriftlicher Unterschrift auftragen. Diesem Auftrag kann auch durch elektronische Bestätigung mit sicherer elektronischer Signatur im Sinne des § 4 Abs. 1 des Signaturgesetzes, BGBl. I Nr. 190/1999, entsprochen werden. Nach fruchtlosem Ablauf der von der Datenschutzkommission bestimmten Frist ist das Anbringen nicht mehr zu behandeln.
(8) Meldungen, die die Streichung des Auftraggebers oder einer Datenanwendung aus dem Register oder bloße Namens- oder Adressänderungen des Auftraggebers zum Gegenstand haben, können auch ohne Verwendung von Formblättern erfolgen; diesfalls ist der Grund der Änderung oder Streichung, sofern es sich nicht um bloße Adressänderungen handelt, in geeigneter Form nachzuweisen.
Unterlagen zur Meldung
§ 6. Den Meldungen sind beizulegen:
bei Datenanwendungen des öffentliches Bereiches der Nachweis der gesetzlichen Zuständigkeit des Auftraggebers und sonstiger allenfalls notwendiger Rechtsgrundlagen für die Datenanwendung, soweit deren Vorhandensein nicht außer Zweifel steht,
bei Datenanwendungen des privaten Bereiches der Nachweis der Befugnis für die Ausübung der Tätigkeit des Auftraggebers oder, wenn für diese keine Befugnis erforderlich ist, eine diesbezügliche Begründung.
Verfahrensvorschriften
§ 7. Auf das Registrierungsverfahren ist gemäß Art. II Abs. 2 EGVG das AVG anzuwenden, soweit das DSG 2000 nicht ausdrücklich anderes bestimmt.
Bearbeitungsnummer
§ 8. (1) Bei Einlangen einer Meldung ist für das jeweilige Registrierungsverfahren eine Bearbeitungsnummer zu vergeben. Die Bearbeitungsnummer ist dem Auftraggeber unverzüglich mitzuteilen. Sie dient als Nachweis für das Einlangen der Meldung. Wurde eine Meldung auf elektronischem Wege (§ 5 Abs. 5) eingebracht, ist die Bearbeitungsnummer auf elektronischem Wege bekannt zu geben.
(2) Die Bearbeitungsnummer besteht aus
einer siebenstelligen Zahl, die laufend nach dem Datum des Einlangens der Meldung vergeben wird; wurde vom Register für den Auftraggeber bereits eine Registernummer vergeben, so ist diese als erster Teil der Bearbeitungsnummer zu verwenden; und
aus dem Datum des Einlangens der Meldung in der Form TTMMJJJJ; diese Zahl ist durch einen Schrägstrich von der gemäß Z 1 vergebenen Zahl zu trennen.
Prüfungs- und Verbesserungsverfahren
§ 9. (1) Die Datenschutzkommission hat jede Meldung binnen zwei Monaten nach ihrem Einlangen auf ihre Rechtmäßigkeit, Richtigkeit, Vollständigkeit und Aussagekraft zu prüfen. Wenn sie dabei zur Auffassung kommt, dass eine Meldung mangelhaft ist, so hat sie dem Auftraggeber innerhalb der Prüffrist die Verbesserung des Mangels unter gleichzeitiger Setzung einer angemessenen Frist aufzutragen.
(2) Eine Meldung ist mangelhaft, wenn
Angaben fehlen,
Angaben offenbar unrichtig sind,
Angaben unstimmig oder so unzureichend sind, dass Einsichtnehmer im Hinblick auf die Wahrnehmung ihrer Rechte nach dem DSG 2000 keine hinreichende Information darüber gewinnen können, ob durch die Datenanwendung ihre schutzwürdigen Geheimhaltungsinteressen verletzt sein könnten,
der Inhalt der gemeldeten Datenanwendung in der angegebenen Rechtsgrundlage nicht gedeckt ist,
die Meldung nicht den §§ 5 und 6 entspricht.
(3) Kommt die Datenschutzkommission bei der Prüfung der Meldung zur Auffassung, dass wegen wesentlicher Gefährdung schutzwürdiger Geheimhaltungsinteressen der Betroffenen durch die gemeldete Datenanwendung Gefahr im Verzug vorliegt, so ist die Weiterführung der Datenanwendung mit Bescheid gemäß § 57 Abs. 1 AVG vorläufig zu untersagen. Eine Registrierung kann nicht erfolgen, solange und soweit die Untersagung der Datenanwendung aufrecht ist.
(4) Bei Datenanwendungen, die gemäß § 18 Abs. 2 DSG 2000 der Vorabkontrolle unterliegen, ist gleichzeitig mit einem allfälligen Auftrag zur Verbesserung darüber abzusprechen, ob die Verarbeitung bereits aufgenommen werden darf oder ob dies mangels Nachweises ausreichender Rechtsgrundlagen für die gemeldete Datenanwendung noch nicht zulässig ist.
(5) Wird einem Verbesserungsauftrag nicht fristgerecht entsprochen, so hat die Datenschutzkommission die Registrierung mit Bescheid abzulehnen; andernfalls gilt die Meldung als ursprünglich richtig eingebracht.
(6) Wird innerhalb von zwei Monaten nach Einlangen der Meldung bei der Datenschutzkommission kein Auftrag zur Verbesserung erteilt, gilt die Meldung als ordnungsgemäß eingebracht. Bei Datenanwendungen, die gemäß § 18 Abs. 2 DSG 2000 der Vorabkontrolle unterliegen, darf die Verarbeitung aufgenommen werden.
Registrierung
§ 10. (1) Die Registrierung erfolgt durch Eintragung der vorgelegten und im Registrierungsverfahren allenfalls verbesserten Meldungen in das Register. Diese Eintragung hat unverzüglich zu erfolgen, sobald
das Prüfungsverfahren die Zulässigkeit der Registrierung ergeben hat oder
zwei Monate seit dem Einlangen der Meldung bei der Datenschutzkommission verstrichen sind, ohne dass ein Verbesserungsauftrag gemäß § 9 erteilt wurde, oder
der Auftraggeber die verlangten Verbesserungen fristgerecht vorgenommen hat.
(2) Auflagen für die Vornahme einer Datenanwendung, die dem Auftraggeber gemäß § 21 Abs. 2 DSG 2000 anlässlich der Registrierung mit Bescheid der Datenschutzkommission erteilt wurden, sind durch Eintragung der Bescheidzahl in dem vom Auftraggeber eingereichten Formblatt gemäß Anlage 2 von Amts wegen ersichtlich zu machen.
(3) Die Vornahme der Registrierung ist dem Auftraggeber durch Übersendung einer Kopie des Registerauszugs (§ 12) schriftlich mitzuteilen.
Registernummer
§ 11. (1) Jedem Auftraggeber ist bei der erstmaligen Registrierung der in § 8 Abs. 2 Z 1 bezeichnete Teil der Bearbeitungsnummer als Registernummer zuzuteilen. Diese Nummer wird dem Auftraggeber durch Übersendung des Registerauszugs (§ 12) bekannt gegeben.
(2) An einen Auftraggeber darf nur eine Registernummer vergeben werden.
(3) Ein Auftraggeber darf nur eine Registernummer führen. Bei Verwendung der Registernummer gemäß § 25 DSG 2000 ist sie als siebenstellige Zahl mit der näheren Kennzeichnung "DVR" zu führen. Zusätze zur Registernummer, die der internen Bezeichnung von Datenanwendungen seitens des Auftraggebers dienen, sind zulässig; sie sind jedoch so zu gestalten, dass die Registernummer als solche erkennbar bleibt.
Registerauszug
§ 12. (1) Als Nachweis der erfolgten Registrierung einer Meldung ist dem Melder ein Registerauszug zu übersenden.
(2) Ein Registerauszug für die Erstmeldung einer Datenanwendung hat folgende Informationen zu enthalten:
Name (sonstige Bezeichnung) und Anschrift des Auftraggebers der registrierten Datenanwendung sowie eines allfälligen Vertreters oder Zustellungsbevollmächtigten;
die dem Auftraggeber zugeteilte Registernummer;
die Bezeichnung der registrierten Datenanwendung, wobei gesondert anzumerken ist, ob
die Datenanwendung dem öffentlichen oder dem privaten Bereich zugerechnet wird,
die Datenanwendung automationsunterstützt oder manuell erfolgt,
eine Genehmigung der Datenschutzkommission für internationalen Datenverkehr (§ 13 DSG 2000) vorliegt,
die Datenanwendung Teil eines Informationsverbundsystems ist;
im Falle, dass ein Informationsverbundsystem vorliegt:
die Bezeichnung des Informationsverbundsystems und
Name und Anschrift des Betreibers;
Datumsangaben.
(3) Im Falle von Folgemeldungen zu einer bereits registrierten Datenanwendung sind im Registerauszug die Änderungen gegenüber den bisherigen Eintragungen auszuweisen.
Verzeichnis der Informationsverbundsysteme
§ 13. (1) Wird dem Register von einem Auftraggeber erstmalig die Teilnahme an einem Informationsverbundsystem gemeldet und wird diese Meldung nach Durchführung der Vorabkontrolle registriert, so hat das Register die im Abs. 2 genannten Informationen über das Informationsverbundsystem in das Verzeichnis der Informationsverbundsysteme einzutragen. Diese Eintragungen sind zu ergänzen, soweit sich eine diesbezügliche Notwendigkeit auf Grund von Meldungen anderer Teilnehmer am Informationsverbundsystem ergibt.
(2) Im Verzeichnis nach Abs. 1 sind folgende Angaben über Informationsverbundsysteme einzutragen:
Bezeichnung und Zweck des gesamten Informationsverbundsystems,
Rechtsgrundlagen des Systems,
Name oder sonstige Bezeichnung und Anschrift, weiters Telefon- und Faxnummer sowie E-Mail-Adresse des Betreibers,
Liste der am Informationsverbundsystem teilnehmenden Auftraggeber, wobei auch anzugeben ist, ob und welcher ausländischen Datenschutzrechtsordnung einzelne Auftraggeber allenfalls unterliegen,
die in der Anlage 2 unter Punkt 6 bis 8 verlangten Meldeangaben mit Bezug auf das gesamte Informationsverbundsystem sowie
allfällige Auflagen für die Vornahme der Datenanwendung, die gemäß § 21 Abs. 2 von der Datenschutzkommission anlässlich der Registrierung mit Bescheid erteilt wurden.
Dieses Dokument ersetzt nicht die offizielle Publikation im Bundesgesetzblatt. Für eventuelle Ungenauigkeiten bei der Übertragung in dieses Format wird keine Haftung übernommen.