LegalizeVerordnung des Bundeskanzlers über das bei der Datenschutzkommission eingerichtete Datenverarbeitungsregister (Datenverarbeitungsregister-Verordnung 2002 - DVRV 2002)
Präambel/Promulgationsklausel
Auf Grund der §§ 16 bis 22 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999, wird verordnet:
Inhaltsverzeichnis
§ 1 Geltungsbereich
§ 2 Begriffsbestimmungen
§ 3 Einrichtung und Inhalt des Registers
§ 4 Anlass und Zeitpunkt der Meldung
§ 5 Form und Inhalt der Meldung
§ 6 Unterlagen zur Meldung
§ 7 Verfahrensvorschriften
§ 8 Registrierung
§ 9 Registernummer
§ 10 Registrierungsnachweis (Registerauszug)
§ 11 Verzeichnis der Informationsverbundsysteme
§ 12 Richtigstellung des Registers
§ 13 Übernahme der Registernummer in Rechtsnachfolge
§ 14 Einsicht in das Register
§ 15 Aufbewahrung von Registerinhalten und Registrierungsakten
§ 16 In-Kraft-Treten
Geltungsbereich
§ 1. Diese Verordnung regelt das Verfahren zur Registrierung von Datenanwendungen im Datenverarbeitungsregister (§ 16 DSG 2000, BGBl. I Nr. 165/1999), die Einrichtung und Führung des Registers sowie die Einsichtnahme in das Register.
Begriffsbestimmungen
§ 2. Das Datenverarbeitungsregister wird im Folgenden als “Register”, die Meldungen über Auftraggeber und deren Datenanwendungen gemäß §§ 17 und 19 DSG 2000 als “Meldungen” und die in das Register aufgenommenen Meldungen als “registrierte Meldungen” bezeichnet.
Einrichtung und Inhalt des Registers
§ 3. (1) Das Register ist bei der Datenschutzkommission eingerichtet.
(2) Das Register besteht aus:
den registrierten Meldungen über Auftraggeber und Datenanwendungen,
einem gesonderten Verzeichnis der Informationsverbundsysteme (§ 11) sowie
den Registrierungsakten.
(3) Der Registerinhalt gemäß Abs. 2 Z 1 besteht aus den in das Register aufgenommenen Formblättern nach Anlage 1 bis 3, die vom Auftraggeber ausgefüllt und allenfalls im Registrierungsverfahren verbessert oder auf Grund einer nach der Registrierung ergangenen Entscheidung der Datenschutzkommission geändert wurden. Registrierte Meldungen, die gestrichene oder nicht mehr meldepflichtige Datenanwendungen und ihre Auftraggeber betreffen, sind nicht Registerinhalt.
(4) In den Registrierungsakt (Abs. 2 Z 3) sind insbesondere aufzunehmen:
die der Meldung beigeschlossenen Unterlagen,
die unter Verwendung des Formblattes nach Anlage 4 gemachten allgemeinen Angaben über getroffene Datensicherheitsmaßnahmen,
Genehmigungsbescheide gemäß § 13 DSG 2000,
Bescheide der Datenschutzkommission über Auflagen, die gemäß § 21 Abs. 2 DSG 2000 anlässlich des Prüfungsverfahrens erteilt wurden, sowie
Bescheide der Datenschutzkommission über Änderungen des Registerinhalts gemäß Abs. 2 Z 1.
Anlass und Zeitpunkt der Meldung
§ 4. Zum Zweck der Registrierung hat der Auftraggeber einer Datenanwendung der Datenschutzkommission gemäß §§ 17 und 19 DSG 2000 zu melden:
seine Identität und seine Rechtsgrundlagen (rechtliche Befugnis oder gesetzliche Zuständigkeit) bei der erstmaligen Meldung einer Datenanwendung an die Datenschutzkommission,
jede meldepflichtige Datenanwendung vor deren Aufnahme,
jede Änderung einer meldepflichtigen, bereits registrierten Datenanwendung vor Aufnahme der geänderten Datenanwendung,
jede Änderung des Namens oder der sonstigen Bezeichnung oder der Anschrift des Auftraggebers, unverzüglich nach Eintritt der Änderung,
den Eintritt eines Grundes für die Streichung einer registrierten Datenanwendung, insbesondere den Wegfall ihrer Rechtsgrundlage, unverzüglich nachdem er sich ereignet hat,
den Wegfall einer geeigneten Rechtsgrundlage für die im Zusammenhang mit der Registrierung relevanten Tätigkeiten des Auftraggebers, unverzüglich nach Eintritt ihrer rechtlichen Wirksamkeit.
Form und Inhalt der Meldung
§ 5. (1) Zur Erleichterung und Vereinheitlichung der Meldungen hat die Datenschutzkommission Formblätter mit dem Inhalt der Anlagen 1 bis 4 aufzulegen, deren formale Ausgestaltung von der Datenschutzkommission entsprechend den jeweiligen Erfordernissen festgelegt wird. Die Formblätter sind auch in elektronischer Form, insbesondere abrufbar über Internet, zur Verfügung zu stellen.
(2) Die Meldepflichtigen haben, soweit nicht nach Abs. 8 formlose Änderungsmeldungen zulässig sind, ihre Meldungen mit Hilfe der gemäß Abs. 1 aufgelegten Formblätter zu erstatten.
(3) Für jede Neu- oder Änderungsmeldung betreffend eine Datenanwendung ist - abgesehen von den Fällen des Abs. 8 - ein Formblatt “Meldung einer Datenanwendung” (Anlage 2) vollständig auszufüllen; bei der Meldung einer Musteranwendung ist hiefür das Formblatt “Meldung einer Musteranwendung” (Anlage 3) zu verwenden. Meldet ein Auftraggeber erstmalig an die Datenschutzkommission, so hat er zusätzlich das Formblatt “Angaben zum Auftraggeber” (Anlage 1) auszufüllen. Dieses Formblatt ist, außer in den Fällen des Abs. 8, auch bei Änderungen von Angaben zum Auftraggeber zu verwenden.
(4) Die Liste der Übermittlungsempfänger aus einer Datenanwendung, deren Zweck die Teilnahme an einem Informationsverbundsystem ist, muss insoweit nicht vom Auftraggeber gemeldet werden, als der Datenschutzkommission nachgewiesen wurde, dass die am Informationsverbundsystem teilnehmenden Auftraggeber den Betreiber des Informationsverbundsystems verpflichtet haben, der Datenschutzkommission die jeweils aktuelle Liste der Teilnehmer am Informationsverbundsystem sowie allfällige sonstige Übermittlungsempfänger einschließlich der Rechtsgrundlagen dieser Übermittlungen zu melden.
(5) Die gemäß § 19 Abs. 1 Z 7 DSG 2000 zu machenden allgemeinen Angaben über die getroffenen Datensicherheitsmaßnahmen sind unter Verwendung des gemäß Anlage 4 aufgelegten Formblatts zu erstatten.
(6) Meldungen sind nach Maßgabe technischer und organisatorischer Möglichkeiten des Auftraggebers im Wege der automationsunterstützten Datenübertragung einzubringen. Eine elektronische Meldung gilt als erstattet, wenn sie an der von der Datenschutzkommission im elektronischen Formblatt hiefür angegebenen E-Mail-Adresse eingegangen ist. Dem Auftraggeber ist das Einlangen seiner elektronischen Meldung mittels E-Mail zu bestätigen.
(7) Weist eine Meldung keine eigenhändige und urschriftliche Unterschrift auf, so kann die Datenschutzkommission, wenn sie Zweifel daran hat, dass die Meldung von dem darin genannten Auftraggeber stammt, eine Bestätigung durch ein innerhalb angemessener Frist vorzulegendes schriftliches Anbringen mit eigenhändiger und urschriftlicher Unterschrift auftragen. Diesem Auftrag kann auch durch elektronische Bestätigung mit sicherer elektronischer Signatur im Sinne des § 4 Abs. 1 des Signaturgesetzes, BGBl. I Nr. 190/1999, entsprochen werden. Nach fruchtlosem Ablauf der von der Datenschutzkommission bestimmten Frist ist das Anbringen nicht mehr zu behandeln.
(8) Meldungen, die die Streichung des Auftraggebers oder einer Datenanwendung aus dem Register oder eine bloße Namens- oder Adressänderung des Auftraggebers zum Gegenstand haben, können auch ohne Verwendung von Formblättern erfolgen; bei einer Namensänderung ist in diesem Fall der Nachweis der Änderung anzuschließen. Diese Änderungen sind von der Datenschutzkommission mit Hilfe des Formblattes Anlage 1 im Register ersichtlich zu machen.
Unterlagen zur Meldung
§ 6. Den Meldungen sind beizulegen:
bei Datenanwendungen des öffentlichen Bereiches der Nachweis der gesetzlichen Zuständigkeit des Auftraggebers und sonstiger allenfalls notwendiger Rechtsgrundlagen für die Datenanwendung, soweit deren Vorhandensein nicht außer Zweifel steht,
bei Datenanwendungen des privaten Bereiches der Nachweis der Befugnis für die Ausübung der Tätigkeit des Auftraggebers oder, wenn für diese keine Befugnis erforderlich ist, eine diesbezügliche Begründung.
Verfahrensvorschriften
§ 7. Auf das Registrierungsverfahren ist gemäß Art. II Abs. 2 EGVG das AVG anzuwenden, soweit das DSG 2000 nicht ausdrücklich anderes bestimmt.
Registrierung
§ 8. (1) Die Registrierung erfolgt durch Übernahme der anlässlich der Meldung vorgelegten und im Registrierungsverfahren allenfalls verbesserten Formblätter gemäß Anlage 1 bis 3 in das Register. Die Registrierung hat unverzüglich zu erfolgen, sobald
das Prüfungsverfahren die Zulässigkeit der Registrierung ergeben hat oder
zwei Monate seit dem Einlangen der Meldung bei der Datenschutzkommission verstrichen sind, ohne dass ein Verbesserungsauftrag gemäß § 20 DSG 2000 erteilt wurde, oder
der Auftraggeber die verlangten Verbesserungen fristgerecht vorgenommen hat.
(2) Auflagen für die Vornahme einer Datenanwendung, die dem Auftraggeber gemäß § 21 Abs. 2 DSG 2000 anlässlich der Registrierung mit Bescheid der Datenschutzkommission erteilt wurden, sind durch Eintragung der Bescheidzahl in dem vom Auftraggeber eingereichten Formblatt gemäß Anlage 2 von Amts wegen ersichtlich zu machen. Der Spruchinhalt ist in der Registrierung als Beilage zur Anlage 2 wiederzugeben.
(3) Die Vornahme der Registrierung ist dem Auftraggeber schriftlich mitzuteilen (§ 10).
Registernummer
§ 9. (1) Jedem Auftraggeber ist bei der erstmaligen Registrierung eine Registernummer zuzuteilen. Diese Nummer wird dem Auftraggeber schriftlich bekannt gegeben (§ 10). An einen Auftraggeber darf nur eine Registernummer vergeben werden.
(2) Ein Auftraggeber darf nur eine Registernummer führen. In jenen Fällen, in denen gemäß § 25 DSG 2000 eine Registernummer zu führen ist, ist sie als siebenstellige Zahl mit der näheren Kennzeichnung “DVR” zu führen. Zusätze zur Registernummer, die der internen Bezeichnung von Datenanwendungen seitens des Auftraggebers dienen, sind zulässig; sie sind jedoch so zu gestalten, dass die Registernummer als solche erkennbar bleibt.
Registrierungsnachweis (Registerauszug)
§ 10. (1) Die Datenschutzkommission hat dem Auftraggeber die erfolgte Registrierung einer gemeldeten Datenanwendung unter Anschluss einer Kopie der ins Register übernommenen Formblätter schriftlich mitzuteilen. Wurde eine Meldung elektronisch eingebracht, ist eine Kopie der registrierten Meldung elektronisch zuzusenden.
(2) Bei Meldungen, die die Streichung eines Auftraggebers oder einer Datenanwendung aus dem Register oder eine Namens- oder Adressenänderung eines Auftraggebers zum Gegenstand haben, ist diesem schriftlich mitzuteilen, dass die Datenschutzkommission diese Meldung zur Kenntnis genommen hat.
Verzeichnis der Informationsverbundsysteme
§ 11. (1) Aus den der Datenschutzkommission erstatteten Meldungen über Datenanwendungen, die die Teilnahme an einem Informationsverbundsystem zum Inhalt haben, hat die Datenschutzkommission ein Verzeichnis der Informationsverbundsysteme zu erstellen, das die im Abs. 2 bezeichneten Informationen auf dem jeweils neuesten Stand enthält.
(2) Im Verzeichnis der Informationsverbundsysteme sind folgende Angaben einzutragen:
Bezeichnung und Zweck des Informationsverbundsystems,
Rechtsgrundlagen des Systems,
Name oder sonstige Bezeichnung und Anschrift, weiters Telefon- und Faxnummer sowie E-Mail-Adresse des Betreibers,
Liste der am Informationsverbundsystem teilnehmenden Auftraggeber,
die in der Anlage 2 unter Punkt 7 bis 9 verlangten Meldeangaben mit Bezug auf das gesamte Informationsverbundsystem sowie
allfällige Auflagen für die Führung des Informationsverbundsystems, die gemäß § 21 Abs. 2 DSG 2000 von der Datenschutzkommission erteilt wurden.
(3) Die Datenschutzkommission kann die Eintragung weiterer Angaben anordnen, soweit dies zur zweckmäßigen Organisation und Führung des Verzeichnisses der Informationsverbundsysteme notwendig ist.
(4) Weitere Angaben gemäß § 50 Abs. 2 DSG 2000 sind auf Antrag der Auftraggeber bzw. ihres ausgewiesenen Vertreters einzutragen.
(5) Der Betreiber des Informationsverbundsystems ist von den im Verzeichnis vorgenommenen Eintragungen durch Zusendung einer Abschrift der Eintragung zu verständigen.
Richtigstellung des Registers
§ 12. (1) Erlangt die Datenschutzkommission aus amtlichen Verlautbarungen davon Kenntnis, dass ein eingetragener Auftraggeber verstorben oder untergegangen ist, ist die Streichung aus dem Register von Amts wegen durchzuführen.
(2) Die Datenschutzkommission kann Schreibfehler oder diesen gleichzuhaltende, offenbar auf einem Versehen oder offenbar ausschließlich auf technisch mangelhaftem Betrieb einer automationsunterstützten Datenverarbeitungsanlage beruhende Unrichtigkeiten im Register jederzeit von Amts wegen berichtigen. Der betroffene Auftraggeber ist von der Richtigstellung zu verständigen.
Übernahme der Registernummer in Rechtsnachfolge
§ 13. Dem Rechtsnachfolger eines registrierten Auftraggebers kann auf Antrag die Registernummer des Rechtsvorgängers übertragen werden, wenn der Rechtsvorgänger jegliche Verarbeitung personenbezogener Daten in Auftraggebereigenschaft eingestellt hat und die Rechtsnachfolge glaubhaft gemacht wird. Der Rechtsnachfolger hat in diesem Fall eine neue Meldung als Auftraggeber für die von ihm durchgeführten Datenanwendungen unter Verwendung der Formblätter gemäß den Anlagen 1 bis 4 DVRV 2002 zu erstatten.
Einsicht in das Register
§ 14. (1) Jedermann hat das Recht, in die in § 3 Abs. 2 Z 1 und 2 bezeichneten Teile des Registers Einsicht zu nehmen.
(2) In den Registrierungsakt (§ 3 Abs. 2 Z 3) ist Einsicht zu gewähren, wenn der Einsichtswerber glaubhaft macht, dass er Betroffener ist, und soweit nicht überwiegende schutzwürdige Geheimhaltungsinteressen des Auftraggebers oder anderer Personen entgegenstehen. Keiner Einsicht unterliegen jedenfalls die Angaben über Datensicherheitsmaßnahmen.
(3) Die Einsicht in das Register ist gebührenfrei.
(4) Die Registerinhalte gemäß § 3 Abs. 2 Z 1 und 2 sind der Öffentlichkeit nach Maßgabe technischer und organisatorischer Möglichkeiten auch über das Internet zur Einsicht bereitzustellen. Dabei sind technische Vorkehrungen dahingehend zu treffen, dass zur Abfrage als Suchkriterien hinsichtlich Z 1 nur der Name (die Bezeichnung) und die Registernummer des Auftraggebers, als Suchkriterien hinsichtlich Z 2 die Bezeichnung des Informationsverbundsystems der Name (die Bezeichnung) des Betreibers und die Namen (die Bezeichnungen) der Auftraggeber verwendet werden können. Die Bereitstellung im Internet hat unentgeltlich zu erfolgen.
Aufbewahrung von Registerinhalten und Registrierungsakten
§ 15. (1) Registerinhalte gemäß § 3 Abs. 2 Z 1, die in Papierform vorhanden und zusätzlich auf elektronischen Datenträgern gespeichert sind, sind nur in elektronischer Form aufzubewahren.
(2) Registrierte Meldungen, die gestrichene oder nicht mehr meldepflichtige Datenanwendungen zum Gegenstand haben, sind für Zwecke des Nachweises der Rechtmäßigkeit der Geschäftsführung jedenfalls drei Jahre nach Streichung bzw. Wegfall der Meldepflicht aufzubewahren.
(3) Die Abs. 1 und 2 sind auch auf die diesbezüglichen Registrierungsakten (§ 3 Abs. 4) anzuwenden.
In-Kraft-Treten
§ 16. (1) Diese Verordnung tritt mit 1. Jänner 2002 in Kraft.
(2) Die Verordnung des Bundeskanzlers über das bei der Datenschutzkommission eingerichtete Datenverarbeitungsregister (Datenverarbeitungsregister-Verordnung 2000 - DVRV), BGBl. II Nr. 520/1999, tritt mit Ablauf des 31. Dezember 2001 außer Kraft.
Anlage 1
Inhalt des Formblattes “Angaben zum Auftraggeber”
Angabe, ob Erst-, Änderungs- oder Streichungsmeldung
Registernummer (bei Erstmeldungen vom Register anlässlich der Registrierung einzutragen)
Name oder sonstige Bezeichnung und Anschrift, weiters Telefon- und Faxnummer sowie E-Mail-Adresse des Auftraggebers
Rechtsgrundlagen des Auftraggebers im Sinne des § 7 Abs. 1 DSG 2000
Firmenbuchnummer des Auftraggebers (sofern vorhanden)
Name oder sonstige Bezeichnung und Anschrift des Vertreters eines Auftraggebers, der keine Niederlassung in der Europäischen Union hat
Name und Anschrift eines allfälligen Zustellungsbevollmächtigten
Name und Telefonnummer des Sachbearbeiters beim Auftraggeber
Dieses Dokument ersetzt nicht die offizielle Publikation im Bundesgesetzblatt. Für eventuelle Ungenauigkeiten bei der Übertragung in dieses Format wird keine Haftung übernommen.