LegalizeVerordnung des Bundeskanzlers über das bei der Datenschutzkommission eingerichtete Datenverarbeitungsregister (Datenverarbeitungsregister- Verordnung 2000 - DVRV)
Präambel/Promulgationsklausel
Auf Grund der §§ 16 bis 22 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999, wird verordnet:
Inhaltsverzeichnis
§ 1 Geltungsbereich
§ 2 Begriffsbestimmungen
§ 3 Einrichtung und Inhalt des Registers
§ 4 Anlass und Zeitpunkt der Meldung
§ 5 Form und Inhalt der Meldungen
§ 6 Unterlagen zur Meldung
§ 7 Verfahrensvorschriften
§ 8 Bearbeitungsnummer
§ 9 Prüfungs- und Verbesserungsverfahren
§ 10 Registrierung
§ 11 Registernummer
§ 12 Registerauszug
§ 13 Verzeichnis der Informationsverbundsysteme
§ 14 Richtigstellung des Registers
§ 15 Übernahme der Registernummer in Rechtsnachfolge
§ 16 Einsicht in das Register
§ 17 Übergangsbestimmungen für Registrierungen
§ 18 Übergangsbestimmungen für Meldungen
§ 19 Inkrafttreten
Geltungsbereich
§ 1. Diese Verordnung regelt das Verfahren zur Registrierung von Datenanwendungen im Datenverarbeitungsregister (§ 16 DSG 2000, BGBl. I Nr. 165/1999) sowie die Einrichtung und Führung des Registers und die Einsichtnahme in dieses.
Begriffsbestimmungen
§ 2. Das Datenverarbeitungsregister wird im Folgenden als "Register", die Meldungen über Auftraggeber und deren Datenanwendungen gemäß §§ 17 und 19 DSG 2000 als "Meldungen" bezeichnet.
Einrichtung und Inhalt des Registers
§ 3. (1) Das Register ist bei der Datenschutzkommission eingerichtet.
(2) Das Register besteht aus
den registrierten Meldungen über Auftraggeber und Datenanwendungen auf dem jeweils letzten Stand,
den Kopien der Registerauszüge (§ 12), die den Meldern anlässlich der Registrierung ihrer Datenanwendungen zugesandt wurden,
einem gesonderten Verzeichnis der Informationsverbundsysteme (§ 13) auf dem jeweils letzten Stand sowie
den Registrierungsakten.
(3) Der Registerinhalt gemäß Abs. 2 Z 1 besteht aus den ausgefüllten Formblättern (§ 5), die anlässlich der Meldung eingereicht und allenfalls im Registrierungsverfahren verbessert oder auf Grund einer nach der Registrierung ergangenen Entscheidung der Datenschutzkommission geändert wurden. Davon ausgenommen sind die bei der Registrierung gemachten allgemeinen Angaben über Datensicherheitsmaßnahmen.
(4) In den Registrierungsakt (Abs. 2 Z 4) sind insbesondere aufzunehmen:
die der Meldung beigeschlossenen Unterlagen,
die unter Verwendung des Formblattes nach Anlage 4 gemachten allgemeinen Angaben über getroffene Datensicherheitsmaßnahmen,
Genehmigungsbescheide der Datenschutzkommission gemäß § 13 DSG 2000,
Bescheide der Datenschutzkommission über Auflagen, die gemäß § 21 Abs. 2 DSG 2000 anlässlich der Registrierung erteilt wurden, sowie
Bescheide der Datenschutzkommission über Änderungen des Registerinhalts gemäß Abs. 2 Z 1.
Anlass und Zeitpunkt der Meldung
§ 4. Zum Zweck der Registrierung hat der Auftraggeber einer Datenanwendung der Datenschutzkommission gemäß §§ 17 und 19 DSG 2000 zu melden:
jede meldepflichtige Datenanwendung vor deren Aufnahme,
jede Änderung oder Ergänzung einer bereits registrierten Datenanwendung vor Aufnahme der geänderten oder ergänzten Datenanwendung,
den Eintritt eines Grundes für die Streichung einer registrierten Datenanwendung, insbesondere den Wegfall ihrer Rechtsgrundlage, unverzüglich nachdem er sich ereignet hat,
jede Änderung des Namens oder der sonstigen Bezeichnung oder der Anschrift des Auftraggebers, unverzüglich nach Eintritt der Änderung,
den Wegfall einer geeigneten Rechtsgrundlage für die im Zusammenhang mit der Registrierung relevanten Tätigkeiten des Auftraggebers, unverzüglich nach Eintritt ihrer rechtlichen Wirksamkeit.
Form und Inhalt der Meldungen
§ 5. (1) Zur Erleichterung und Vereinheitlichung der Meldungen hat die Datenschutzkommission Formblätter mit dem Inhalt der Anlagen 1, 2, 3 und 4 aufzulegen, deren formale Ausgestaltung von der Datenschutzkommission entsprechend den jeweiligen Erfordernissen festgelegt wird. Die Formblätter sind auch in elektronischer Form zur Abrufbarkeit über INTERNET zur Verfügung zu stellen.
(2) Die Meldepflichtigen haben, soweit nicht nach Abs. 7 formlose Änderungsmeldungen zulässig sind, ihre Meldungen mit Hilfe der gemäß Abs. 1 aufgelegten Formblätter zu erstatten.
(3) Für jede Neu- oder Änderungsmeldung betreffend eine Datenanwendung ist - abgesehen von den Fällen des Abs. 7 - ein Formblatt "Meldung einer Datenanwendung" (Anlage 2) auszufüllen; bei der Meldung einer Musteranwendung ist hiefür das Formblatt "Meldung einer Musteranwendung" (Anlage 3) zu verwenden. Meldet ein Auftraggeber erstmalig an das Datenverarbeitungsregister, so hat er zusätzlich das Formblatt "Angaben zum Auftraggeber" (Anlage 1) auszufüllen. Dieses Formblatt ist, außer in den Fällen des Abs. 7, auch bei Änderungen von Angaben zum Auftraggeber zu verwenden. Bei bloßen Änderungsmeldungen genügt die eindeutige Bezeichnung jener Erstmeldung, auf die sich die Folgemeldung bezieht, und über die zu ändernden Registerinhalte.
(4) Meldet ein Auftraggeber die Teilnahme an einem Informationsverbundsystem, das bereits im Verzeichnis gemäß § 13 eingetragen ist, so kann er bei der Ausfüllung des gemäß Anlage 2 aufgelegten Formblatts hinsichtlich der Punkte 7 und 8 auf die Eintragungen im Verzeichnis verweisen, wenn seine Datenanwendung dem vollinhaltlich entspricht.
(5) Die gemäß § 19 Abs. 1 Z 7 DSG 2000 zu machenden allgemeinen Angaben über die getroffenen Datensicherheitsmaßnahmen sind unter Verwendung des gemäß Anlage 4 aufgelegten Formblatts zu erstatten.
(6) Meldungen können auch im Wege der automationsunterstützten Datenübertragung eingebracht werden. Eine elektronische Meldung gilt als erstattet, wenn sie an der von der Datenschutzkommission im elektronischen Formblatt hiefür angegebenen E-Mail-Adresse eingangen ist.
(7) Weist eine Meldung keine eigenhändige oder urschriftliche Unterschrift auf, so kann die Datenschutzkommission, wenn sie Zweifel daran hat, dass die Meldung von dem darin genannten Auftraggeber stammt, eine Bestätigung durch ein innerhalb angemessener Frist vorzulegendes schriftliches Anbringen mit eigenhändiger und urschriftlicher Unterschrift auftragen. Diesem Auftrag kann auch durch elektronische Bestätigung mit sicherer elektronischer Signatur im Sinne des § 4 Abs. 1 des Signaturgesetzes, BGBl. I Nr. 190/1999, entsprochen werden. Nach fruchtlosem Ablauf der von der Datenschutzkommission bestimmten Frist ist das Anbringen nicht mehr zu behandeln.
(8) Meldungen, die die Streichung des Auftraggebers oder einer Datenanwendung aus dem Register oder bloße Namens- oder Adressänderungen des Auftraggebers zum Gegenstand haben, können auch ohne Verwendung von Formblättern erfolgen; diesfalls ist der Grund der Änderung oder Streichung, sofern es sich nicht um bloße Adressänderungen handelt, in geeigneter Form nachzuweisen.
Unterlagen zur Meldung
§ 6. Den Meldungen sind beizulegen:
bei Datenanwendungen des öffentliches Bereiches der Nachweis der gesetzlichen Zuständigkeit des Auftraggebers und sonstiger allenfalls notwendiger Rechtsgrundlagen für die Datenanwendung, soweit deren Vorhandensein nicht außer Zweifel steht,
bei Datenanwendungen des privaten Bereiches der Nachweis der Befugnis für die Ausübung der Tätigkeit des Auftraggebers oder, wenn für diese keine Befugnis erforderlich ist, eine diesbezügliche Begründung.
Verfahrensvorschriften
§ 7. Auf das Registrierungsverfahren ist gemäß Art. II Abs. 2 EGVG das AVG anzuwenden, soweit das DSG 2000 nicht ausdrücklich anderes bestimmt.
Bearbeitungsnummer
§ 8. (1) Bei Einlangen einer Meldung ist für das jeweilige Registrierungsverfahren eine Bearbeitungsnummer zu vergeben. Die Bearbeitungsnummer ist dem Auftraggeber unverzüglich mitzuteilen. Sie dient als Nachweis für das Einlangen der Meldung. Wurde eine Meldung auf elektronischem Wege (§ 5 Abs. 5) eingebracht, ist die Bearbeitungsnummer auf elektronischem Wege bekannt zu geben.
(2) Die Bearbeitungsnummer besteht aus
einer siebenstelligen Zahl, die laufend nach dem Datum des Einlangens der Meldung vergeben wird; wurde vom Register für den Auftraggeber bereits eine Registernummer vergeben, so ist diese als erster Teil der Bearbeitungsnummer zu verwenden; und
aus dem Datum des Einlangens der Meldung in der Form TTMMJJJJ; diese Zahl ist durch einen Schrägstrich von der gemäß Z 1 vergebenen Zahl zu trennen.
Prüfungs- und Verbesserungsverfahren
§ 9. (1) Die Datenschutzkommission hat jede Meldung binnen zwei Monaten nach ihrem Einlangen auf ihre Rechtmäßigkeit, Richtigkeit, Vollständigkeit und Aussagekraft zu prüfen. Wenn sie dabei zur Auffassung kommt, dass eine Meldung mangelhaft ist, so hat sie dem Auftraggeber innerhalb der Prüffrist die Verbesserung des Mangels unter gleichzeitiger Setzung einer angemessenen Frist aufzutragen.
(2) Eine Meldung ist mangelhaft, wenn
Angaben fehlen,
Angaben offenbar unrichtig sind,
Angaben unstimmig oder so unzureichend sind, dass Einsichtnehmer im Hinblick auf die Wahrnehmung ihrer Rechte nach dem DSG 2000 keine hinreichende Information darüber gewinnen können, ob durch die Datenanwendung ihre schutzwürdigen Geheimhaltungsinteressen verletzt sein könnten,
der Inhalt der gemeldeten Datenanwendung in der angegebenen Rechtsgrundlage nicht gedeckt ist,
die Meldung nicht den §§ 5 und 6 entspricht.
(3) Kommt die Datenschutzkommission bei der Prüfung der Meldung zur Auffassung, dass wegen wesentlicher Gefährdung schutzwürdiger Geheimhaltungsinteressen der Betroffenen durch die gemeldete Datenanwendung Gefahr im Verzug vorliegt, so ist die Weiterführung der Datenanwendung mit Bescheid gemäß § 57 Abs. 1 AVG vorläufig zu untersagen. Eine Registrierung kann nicht erfolgen, solange und soweit die Untersagung der Datenanwendung aufrecht ist.
(4) Bei Datenanwendungen, die gemäß § 18 Abs. 2 DSG 2000 der Vorabkontrolle unterliegen, ist gleichzeitig mit einem allfälligen Auftrag zur Verbesserung darüber abzusprechen, ob die Verarbeitung bereits aufgenommen werden darf oder ob dies mangels Nachweises ausreichender Rechtsgrundlagen für die gemeldete Datenanwendung noch nicht zulässig ist.
(5) Wird einem Verbesserungsauftrag nicht fristgerecht entsprochen, so hat die Datenschutzkommission die Registrierung mit Bescheid abzulehnen; andernfalls gilt die Meldung als ursprünglich richtig eingebracht.
(6) Wird innerhalb von zwei Monaten nach Einlangen der Meldung bei der Datenschutzkommission kein Auftrag zur Verbesserung erteilt, gilt die Meldung als ordnungsgemäß eingebracht. Bei Datenanwendungen, die gemäß § 18 Abs. 2 DSG 2000 der Vorabkontrolle unterliegen, darf die Verarbeitung aufgenommen werden.
Registrierung
§ 10. (1) Die Registrierung erfolgt durch Eintragung der vorgelegten und im Registrierungsverfahren allenfalls verbesserten Meldungen in das Register. Diese Eintragung hat unverzüglich zu erfolgen, sobald
das Prüfungsverfahren die Zulässigkeit der Registrierung ergeben hat oder
zwei Monate seit dem Einlangen der Meldung bei der Datenschutzkommission verstrichen sind, ohne dass ein Verbesserungsauftrag gemäß § 9 erteilt wurde, oder
der Auftraggeber die verlangten Verbesserungen fristgerecht vorgenommen hat.
(2) Auflagen für die Vornahme einer Datenanwendung, die dem Auftraggeber gemäß § 21 Abs. 2 DSG 2000 anlässlich der Registrierung mit Bescheid der Datenschutzkommission erteilt wurden, sind durch Eintragung der Bescheidzahl in dem vom Auftraggeber eingereichten Formblatt gemäß Anlage 2 von Amts wegen ersichtlich zu machen.
(3) Die Vornahme der Registrierung ist dem Auftraggeber durch Übersendung einer Kopie des Registerauszugs (§ 12) schriftlich mitzuteilen.
Registernummer
§ 11. (1) Jedem Auftraggeber ist bei der erstmaligen Registrierung der in § 8 Abs. 2 Z 1 bezeichnete Teil der Bearbeitungsnummer als Registernummer zuzuteilen. Diese Nummer wird dem Auftraggeber durch Übersendung des Registerauszugs (§ 12) bekannt gegeben.
(2) An einen Auftraggeber darf nur eine Registernummer vergeben werden.
(3) Ein Auftraggeber darf nur eine Registernummer führen. Bei Verwendung der Registernummer gemäß § 25 DSG 2000 ist sie als siebenstellige Zahl mit der näheren Kennzeichnung "DVR" zu führen. Zusätze zur Registernummer, die der internen Bezeichnung von Datenanwendungen seitens des Auftraggebers dienen, sind zulässig; sie sind jedoch so zu gestalten, dass die Registernummer als solche erkennbar bleibt.
Registerauszug
§ 12. (1) Als Nachweis der erfolgten Registrierung einer Meldung ist dem Melder ein Registerauszug zu übersenden.
(2) Ein Registerauszug für die Erstmeldung einer Datenanwendung hat folgende Informationen zu enthalten:
Name (sonstige Bezeichnung) und Anschrift des Auftraggebers der registrierten Datenanwendung sowie eines allfälligen Vertreters oder Zustellungsbevollmächtigten;
die dem Auftraggeber zugeteilte Registernummer;
die Bezeichnung der registrierten Datenanwendung, wobei gesondert anzumerken ist, ob
die Datenanwendung dem öffentlichen oder dem privaten Bereich zugerechnet wird,
die Datenanwendung automationsunterstützt oder manuell erfolgt,
eine Genehmigung der Datenschutzkommission für internationalen Datenverkehr (§ 13 DSG 2000) vorliegt,
die Datenanwendung Teil eines Informationsverbundsystems ist;
im Falle, dass ein Informationsverbundsystem vorliegt:
die Bezeichnung des Informationsverbundsystems und
Name und Anschrift des Betreibers;
Datumsangaben.
(3) Im Falle von Folgemeldungen zu einer bereits registrierten Datenanwendung sind im Registerauszug die Änderungen gegenüber den bisherigen Eintragungen auszuweisen.
Verzeichnis der Informationsverbundsysteme
§ 13. (1) Wird dem Register von einem Auftraggeber erstmalig die Teilnahme an einem Informationsverbundsystem gemeldet und wird diese Meldung nach Durchführung der Vorabkontrolle registriert, so hat das Register die im Abs. 2 genannten Informationen über das Informationsverbundsystem in das Verzeichnis der Informationsverbundsysteme einzutragen. Diese Eintragungen sind zu ergänzen, soweit sich eine diesbezügliche Notwendigkeit auf Grund von Meldungen anderer Teilnehmer am Informationsverbundsystem ergibt.
(2) Im Verzeichnis nach Abs. 1 sind folgende Angaben über Informationsverbundsysteme einzutragen:
Bezeichnung und Zweck des gesamten Informationsverbundsystems,
Rechtsgrundlagen des Systems,
Name oder sonstige Bezeichnung und Anschrift, weiters Telefon- und Faxnummer sowie E-Mail-Adresse des Betreibers,
Liste der am Informationsverbundsystem teilnehmenden Auftraggeber, wobei auch anzugeben ist, ob und welcher ausländischen Datenschutzrechtsordnung einzelne Auftraggeber allenfalls unterliegen,
die in der Anlage 2 unter Punkt 6 bis 8 verlangten Meldeangaben mit Bezug auf das gesamte Informationsverbundsystem sowie
allfällige Auflagen für die Vornahme der Datenanwendung, die gemäß § 21 Abs. 2 von der Datenschutzkommission anlässlich der Registrierung mit Bescheid erteilt wurden.
(3) Die Datenschutzkommission kann die Eintragung weiterer Angaben anordnen, soweit dies zur zweckmäßigen Organisation und Führung des Verzeichnisses der Informationsverbundsysteme notwendig ist.
(4) Die Eintragungen - einschließlich der notwendigen Änderungen und Streichungen - gemäß Abs. 2 und 3 sind von Amts wegen auf Grund der Meldungen der Auftraggeber, auf Grund der im Zuge des Vorabkontrollverfahrens hervorgekommenen Umstände sowie auf Grund von Auskünften des Betreibers oder von Auftraggebern, die vom Register allenfalls verlangt wurden, zu erstellen.
(5) Weitere Angaben gemäß § 50 Abs. 2 DSG 2000 sind auf Antrag der Auftraggeber bzw. ihres ausgewiesenen Vertreters einzutragen.
(6) Der Betreiber des Informationsverbundsystems ist von den im Verzeichnis vorgenommenen Eintragungen durch Zusendung einer Abschrift der Eintragung zu verständigen.
Richtigstellung des Registers
§ 14. (1) Streichungen und Änderungen sind im Register auf Antrag des eingetragenen Auftraggebers vorzunehmen.
(2) Gelangen der Datenschutzkommission aus amtlichen Verlautbarungen Änderungen in der Bezeichnung oder der Anschrift des Auftraggebers oder der Wegfall der Rechtsgrundlagen des Auftraggebers zur Kenntnis, so hat sie diese Änderungen oder Streichungen mit Bescheid gemäß § 22 Abs. 3 DSG 2000 zu verfügen und ihre Durchführung im Register nach Eintritt der Rechtskraft des Bescheides von Amts wegen vorzunehmen.
(3) Erlangt die Datenschutzkommission davon Kenntnis, dass ein eingetragener Auftraggeber verstorben oder untergegangen ist, ist die Streichung aus dem Register von Amts wegen durchzuführen.
(4) Im Falle der Streichung eines Auftraggebers oder einer Datenanwendung ist dies im Register bei der registrierten Meldung unter Beifügung des Datums der Streichung anzumerken. Nach Ablauf von fünf Jahren ist im Register nur mehr die Registernummer und der Name des Auftraggebers bzw. die Bezeichnung der Datenanwendung mit dem Zusatz "gestrichen" zu belassen.
(5) Werden der Datenschutzkommission andere als die in § 22 Abs. 2 DSG 2000 bezeichneten Umstände bekannt, die den Verdacht der Mangelhaftigkeit einer Registrierung im Sinne des § 19 Abs. 3 DSG 2000 oder der rechtswidrigen Unterlassung einer Meldung begründen, so hat die Datenschutzkommission ein Verfahren zur Feststellung des für die Erfüllung der Meldepflicht erheblichen Sachverhalts einzuleiten und das Register entsprechend dem Ergebnis des Verfahrens zu berichtigen.
(6) Die Datenschutzkommission kann Schreibfehler oder diesen gleichzuhaltende, offenbar auf einem Versehen oder offenbar ausschließlich auf technisch mangelhaftem Betrieb einer automationsunterstützten Datenverarbeitungsanlage beruhende Unrichtigkeiten im Register jederzeit von Amts wegen berichtigen.
Rechtsnachfolge
§ 15. Der Rechtsnachfolger eines registrierten Auftraggebers hat eine neuerliche Meldung als Auftraggeber unter Verwendung des Formblatts gemäß Anlage 1 zu erstatten. Die vom Rechtsvorgänger gemeldeten Datenanwendungen können auf Antrag des Rechtsnachfolgers auf diesen übertragen werden, wenn der als Auftraggeber registrierte Rechtsvorgänger diese Datenanwendungen nicht mehr vornimmt. Auch die Registernummer kann auf Antrag auf den Rechtsnachfolger übertragen werden, falls der Rechtsvorgänger jegliche Verarbeitung personenbezogener Daten in Auftraggebereigenschaft eingestellt hat.
Einsicht in das Register
§ 16. (1) Jedermann hat das Recht, in die in § 3 Abs. 2 Z 1 bis 3 bezeichneten Teile des Registers Einsicht zu nehmen.
(2) In den Registrierungsakt (§ 3 Abs. 2 Z 4) ist Einsicht zu gewähren, wenn der Einsichtswerber glaubhaft macht, dass er Betroffener ist, und wenn nicht überwiegende schutzwürdige Geheimhaltungsinteressen des Auftraggebers oder anderer Personen entgegenstehen. Keiner Einsicht unterliegen jedenfalls die Angaben über Datensicherheitsmaßnahmen.
(3) Die Einsicht in das Register ist gebührenfrei.
(4) Die Registerinhalte gemäß § 3 Abs. 2 Z 1 bis 3 sind der Öffentlichkeit nach Maßgabe technischer und organisatorischer Möglichkeiten auch über das Internet zur Einsicht bereitzustellen. Dabei sind technische Vorkehrungen dahingehend zu treffen, dass zur Abfrage als Suchkriterien nur der Name (die Bezeichnung) und die Registernummer des Auftraggebers verwendet werden können. Die Bereitstellung im Internet hat unentgeltlich zu erfolgen.
Übergangsbestimmungen für Registrierungen
§ 17. (1) Vor Inkrafttreten des DSG 2000 und dieser Verordnung durchgeführte Registrierungen gelten als Registrierungen im Sinne des § 21 DSG 2000.
(2) Vor Inkrafttreten des DSG 2000 registrierte Standardverarbeitungen gelten nach Maßgabe der Anlage 5 als registrierte Musteranwendungen weiter.
(3) Sofern die Registrierung eines Auftraggebers auf Grund des Wegfalles der Meldepflicht für alle seine Datenanwendungen gegenstandslos geworden ist, ist die Registernummer nach Ablauf von fünf Jahren zu streichen und im Register nur mehr mit dem Zusatz "gestrichen" sichtbar zu machen. Der Auftraggeber ist hievon zu verständigen.
Übergangsbestimmungen für Meldungen
§ 18. (1) Verfahren über Meldungen, die vor dem Inkrafttreten des DSG 2000 an das Datenverarbeitungsregister erstattet wurden, sind, soweit sie im Zeitpunkt des Inkrafttretens dieser Verordnung noch nicht beendet sind und soweit gemäß § 17 DSG 2000 nach wie vor Meldepflicht besteht, nach den Bestimmungen dieser Verordnung weiterzuführen, wobei bereits begonnene Datenanwendungen, die nunmehr der Vorabkontrolle gemäß § 18 Abs. 2 DSG 2000 unterliegen, bis zur Entscheidung über die Registrierung jedenfalls weitergeführt werden dürfen.
(2) Verfahren über Meldungen, die nach der neuen Rechtslage gegenstandslos geworden sind, sind einzustellen. Die Einstellung ist bei der Bearbeitungsnummer anzumerken. Der jeweilige Registrierungswerber ist von der Einstellung des Verfahrens mit dem Hinweis, dass die gemeldete Datenanwendung nicht mehr meldepflichtig ist, zu verständigen.
(3) Soweit gemäß § 58 DSG 2000 meldepflichtige manuelle Dateien am 1. Jänner 2000 bereits eingerichtet sind, sind sie bis spätestens 1. Jänner 2003 zum Zweck der Registrierung der Datenschutzkomission zu melden. Dies gilt auch für die am 1. Jänner 2000 bestehenden automationsunterstützten Datenanwendungen, für die im Gegensatz zur bisherigen Rechtslage nunmehr Meldepflicht gemäß § 17 Abs. 3 DSG 2000 besteht.
Inkrafttreten
§ 19. (1) Diese Verordnung tritt mit 1. Jänner 2000 in Kraft.
(2) Die Verordnung des Bundesministers für Gesundheit und öffentlicher Dienst vom 11. Juni 1987 über das Datenverarbeitungsregister (DVR-VO 1987), BGBl. Nr. 260/1987, tritt mit Ablauf des 31. Dezember 1999 außer Kraft.
Anlage 1
Inhalt des Formblattes "Angaben zum Auftraggeber"
Angabe, ob Erst- oder Folgemeldung
Registernummer (bei Erstmeldungen vom Register anlässlich der Registrierung einzutragen)
Name oder sonstige Bezeichnung und Anschrift, weiters Telefon- und Faxnummer sowie E-Mail-Adresse des Auftraggebers
Rechtsgrundlagen des Auftraggebers im Sinne des § 7 Abs. 1 DSG 2000
Firmenbuchnummer des Auftraggebers (sofern vorhanden)
Name oder sonstige Bezeichnung und Anschrift des Vertreters eines Auftraggebers, der keine Niederlassung in der Europäischen Union hat
Name und Anschrift eines allfälligen Zustellungsbevollmächtigten
Name und Telefonnummer des Sachbearbeiters beim Auftraggeber
Angaben über die Unterlagen zur Meldung (im Sinne des § 6)
Anlage 2
Inhalt des Formblattes "Meldung einer Datenanwendung"
Angabe, ob Erst- oder Folgemeldung
Registernummer (sofern eine solche bereits zugeteilt wurde)
Name oder sonstige Bezeichnung und Anschrift, weiters Telefon- und Faxnummer sowie E-Mail-Adresse des Auftraggebers
Name und Telefonnummer des Sachbearbeiters beim Auftraggeber
Bezeichnung und Zweck der Datenanwendung
allgemeine Angaben zur Datenanwendung betreffend:
besondere Rechtsgrundlagen der Datenanwendung, soweit sich diese nicht bereits aus den allgemeinen Rechtsgrundlagen des Auftraggebers ergeben
Zugehörigkeit zum öffentlichen oder privaten Bereich
Vorliegen automationsunterstützter oder manueller Datenanwendung
Anwendbarkeit der Vorabkontrolle:
aa) Verwendung von sensiblen Daten
bb) Verwendung von strafrechtlich relevanten Daten
cc) Vorliegen eines Kreditinformationssystems
dd) Teilnahme an einem Informationsverbundsystem
im Falle, dass die Datenanwendung die Teilnahme an einem Informationsverbundsystem darstellt:
Bezeichnung des gesamten Informationsverbundsystems
Rechtsgrundlagen des gesamten Informationsverbundsystems, soweit sich diese nicht bereits aus den Angaben zu Punkt 6 a) ergeben und
Name oder sonstige Bezeichnung und Anschrift, weiters Telefon- und Faxnummer sowie E-Mail-Adresse des Betreibers
besondere Angaben zum Inhalt der Datenanwendung:
die Kreise der von der Datenanwendung Betroffenen und die über sie verarbeiteten Datenarten
im Falle von beabsichtigten Übermittlungen:
aa) die Kreise der Betroffenen
bb) die zu übermittelnden Datenarten
cc) die zugehörigen Empfängerkreise - einschließlich Angaben über allfällige ausländische Empfängerstaaten sowie Zugehörigkeit der Übermittlungsempfänger zum gleichen Informationsverbundsystem -
dd) die Rechtsgrundlagen der Übermittlungen
Geschäftszahlen der Bescheide der Datenschutzkommission, mit welchen Auflagen gemäß § 21 Abs. 2 DSG 2000 erteilt wurden (diese sind vom Register anlässlich der Registrierung einzutragen)
soweit eine Genehmigung der Datenschutzkommission für Datenübermittlungen oder Überlassungen ins Ausland notwendig ist, die Geschäftszahl der Genehmigung durch die Datenschutzkommission
Angaben über die Unterlagen zur Meldung (im Sinne des § 6)
Anlage 3
Inhalt des Formblattes "Meldung einer Musteranwendung"
Angabe, ob Erst- oder Folgemeldung
Registernummer (sofern eine solche bereits zugeteilt wurde)
Name oder sonstige Bezeichnung und Anschrift, weiters Telefon- und Faxnummer sowie E-Mail-Adresse des Auftraggebers
Bezeichnung der Musteranwendung
Angaben über die Unterlagen zur Meldung (im Sinne des § 6)
Anlage 4
Inhalt des Formblattes "Allgemeine Angaben zu ergriffenen
Datensicherheitsmaßnahmen"
Es ist insbesondere anzugeben, ob
die Aufgabenverteilung bei der Datenverwendung zwischen den Organisationseinheiten und zwischen den Mitarbeitern ausdrücklich festgelegt ist,
die Verwendung von Daten an das Vorliegen gültiger Aufträge der anordnungsbefugten Organisationseinheiten und Mitarbeiter gebunden ist,
jeder Mitarbeiter über seine nach dem DSG 2000 und nach innerorganisatorischen Datenschutzvorschriften einschließlich der Datensicherheitsvorschriften bestehenden Pflichten belehrt wurde,
die Zutrittsberechtigung zu den Räumlichkeiten des Auftraggebers oder Dienstleisters geregelt ist und Maßnahmen gegen den Zutritt Unbefugter ergriffen sind,
die Zugriffsberechtigung auf Daten und Programme und der Schutz der Datenträger vor der Einsicht und Verwendung durch Unbefugte geregelt ist,
die Berechtigung zum Betrieb der Datenverarbeitungsgeräte festgelegt ist und jedes Gerät durch Vorkehrungen bei den eingesetzten Maschinen oder Programmen gegen die unbefugte Inbetriebnahme abgesichert ist,
Protokoll geführt wird, damit tatsächlich durchgeführte Verwendungsvorgänge, wie insbesondere Änderungen, Abfragen und Übermittlungen, im Hinblick auf ihre Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können,
zur Erleichterung der Kontrolle und Beweissicherung eine Dokumentation über die nach Z 1 bis 7 getroffenen Maßnahmen geführt wird.
Anlage 5
Die vor Inkrafttreten des DSG 2000 gemäß der Standard-Verordnung, BGBl. Nr. 261/1987 in der geltenden Fassung, registrierten Standardverarbeitungen gelten mit Inkrafttreten dieser Verordnung als nachstehend angeführte registrierte Musteranwendungen weiter:
registrierte Standardverarbeitungen "9101 Kundenverkehr" gelten weiter als registrierte Musteranwendungen "M001 Kundenverkehr",
registrierte Standardverarbeitungen "9102 Lieferantenverkehr" gelten weiter als registrierte Musteranwendungen "M002 Lieferantenverkehr",
registrierte Standardverarbeitungen "9103 Personalverwaltung" gelten weiter als registrierte Musteranwendungen "M003 Personalverwaltung",
registrierte Standardverarbeitungen "9104 Finanzbuchhaltung" gelten weiter als registrierte Musteranwendungen "M004 Finanzbuchhaltung",
registrierte Standardverarbeitungen "9105 Personentransport- und Hotelreservierung" gelten weiter als registrierte Musteranwendungen "M005 Personentransport- und Hotelreservierung",
registrierte Standardverarbeitungen
registrierte Standardverarbeitungen "9201 Abgabenverwaltung der Gemeinden und Gemeindeverbände" gelten weiter als registrierte Musteranwendungen "M007 Abgabenverwaltung der Gemeinden und Gemeindeverbände",
registrierte Standardverarbeitungen "9206 Haushaltsführung der Gebietskörperschaften und Körperschaften öffentlichen Rechts" gelten weiter als registrierte Musteranwendungen "M008 Haushaltsführung der Gebietskörperschaften und Körperschaften öffentlichen Rechts",
registrierte Standardverarbeitungen "9207 Geschworenen- und Schöffenverzeichnisse" gelten weiter als registrierte Musteranwendungen "M009 Geschworenen- und Schöffenverzeichnisse",
registrierte Standardverarbeitungen "9208 Verwaltung von Benutzerkennzeichen" gelten weiter als registrierte Musteranwendungen "M010 Verwaltung von Benutzerkennzeichen",
registrierte Standardverarbeitungen
registrierte Standardverarbeitungen
registrierte Standardverarbeitungen "9211 Melderegister" gelten weiter als registrierte Musteranwendungen "M013 Melderegister",
registrierte Standardverarbeitungen "9212 Wählerevidenz, Wählerverzeichnisse und Stimmlisten" gelten weiter als registrierte Musteranwendungen "M014 Wählerevidenz, Wählerverzeichnisse und Stimmlisten",
registrierte Standardverarbeitungen "9213 Europa-Wählerevidenz und Wählerverzeichnisse" gelten weiter als registrierte Musteranwendungen "M015 Europa-Wählerevidenz und Wählerverzeichnisse",
registrierte Standardverarbeitungen "9214 Personalverwaltung des Bundes" gelten weiter als registrierte Musteranwendungen "M016 Personalverwaltung des Bundes",
registrierte Standardverarbeitungen "9215 Inventarverwaltung" gelten weiter als registrierte Musteranwendungen "M017 Inventarverwaltung".