pludi
/
gesetze
mirror of https://git.ludikovsky.name/git/gesetze.git
1
0
Fork 0
Code Issues Releases Activity

Cleanup Markdown DSG2000

This commit is contained in:
Peter 2017-03-27 10:41:48 +02:00
parent 0bd8200777
commit f4eed9d7c8
Signed by: pludi
GPG Key ID: CFBA360E696EDC99
72 changed files with 2415 additions and 508 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

43
dsg2000/art01-par01.md
View File

@ -1,16 +1,45 @@
§1 - Grundrecht auf Datenschutz
===============================
1. Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.
1. Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines
Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn
betreffenden personenbezogenen Daten, soweit ein schutzwürdiges
Interesse daran besteht. Das Bestehen eines solchen Interesses ist
ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit
oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen
einem Geheimhaltungsanspruch nicht zugänglich sind.
2. Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.
2. Soweit die Verwendung von personenbezogenen Daten nicht im
lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung
erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur
Wahrung überwiegender berechtigter Interessen eines anderen
zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf
Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen
Konvention zum Schutze der Menschenrechte und Grundfreiheiten
(EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind.
Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art
nach besonders schutzwürdig sind, nur zur Wahrung wichtiger
öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene
Garantien für den Schutz der Geheimhaltungsinteressen der
Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf
der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum
Ziel führenden Art vorgenommen werden.
3. Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, dh. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen
3. Jedermann hat, soweit ihn betreffende personenbezogene Daten zur
automationsunterstützten Verarbeitung oder zur Verarbeitung in
manuell, dh. ohne Automationsunterstützung geführten Dateien
bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen
1. das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden;
1. das Recht auf Auskunft darüber, wer welche Daten über ihn
verarbeitet, woher die Daten stammen, und wozu sie verwendet
werden, insbesondere auch, an wen sie übermittelt werden;
2. das Recht auf Richtigstellung unrichtiger Daten und das Recht auf Löschung unzulässigerweise verarbeiteter Daten.
2. das Recht auf Richtigstellung unrichtiger Daten und das Recht
auf Löschung unzulässigerweise verarbeiteter Daten.
4. Beschränkungen der Rechte nach Abs. 3 sind nur unter den in Abs. 2
genannten Voraussetzungen zulässig.
5. *(Anm.: Abs. 5 aufgehoben durch BGBl. I Nr. 51/2012)*
4. Beschränkungen der Rechte nach Abs. 3 sind nur unter den in Abs. 2 genannten Voraussetzungen zulässig.
5. *(Anm.: Abs. 5 aufgehoben durch BGBl. I Nr. 51/2012)*

14
dsg2000/art01-par02.md
View File

@ -1,6 +1,16 @@
§2 - Zuständigkeit
==================
1. Bundessache ist die Gesetzgebung in Angelegenheiten des Schutzes personenbezogener Daten im automationsunterstützten Datenverkehr.
1. Bundessache ist die Gesetzgebung in Angelegenheiten des Schutzes
personenbezogener Daten im automationsunterstützten Datenverkehr.
2. Die Vollziehung solcher Bundesgesetze steht dem Bund zu. Soweit
solche Daten von einem Land, im Auftrag eines Landes, von oder im
Auftrag von juristischen Personen, die durch Gesetz eingerichtet
sind und deren Einrichtung hinsichtlich der Vollziehung in die
Zuständigkeit der Länder fällt, verwendet werden, sind diese
Bundesgesetze von den Ländern zu vollziehen, soweit nicht durch
Bundesgesetz die Datenschutzbehörde, der Datenschutzrat oder
Gerichte mit der Vollziehung betraut werden.
2. Die Vollziehung solcher Bundesgesetze steht dem Bund zu. Soweit solche Daten von einem Land, im Auftrag eines Landes, von oder im Auftrag von juristischen Personen, die durch Gesetz eingerichtet sind und deren Einrichtung hinsichtlich der Vollziehung in die Zuständigkeit der Länder fällt, verwendet werden, sind diese Bundesgesetze von den Ländern zu vollziehen, soweit nicht durch Bundesgesetz die Datenschutzbehörde, der Datenschutzrat oder Gerichte mit der Vollziehung betraut werden.

25
dsg2000/art01-par03.md
View File

@ -1,10 +1,27 @@
§3 - Räumlicher Anwendungsbereich
=================================
1. Die Bestimmungen dieses Bundesgesetzes sind auf die Verwendung von personenbezogenen Daten im Inland anzuwenden. Darüber hinaus ist dieses Bundesgesetz auf die Verwendung von Daten im Ausland anzuwenden, soweit diese Verwendung in anderen Mitgliedstaaten der Europäischen Union für Zwecke einer in Österreich gelegenen Haupt- oder Zweigniederlassung (§ 4 Z 15) eines Auftraggebers (§ 4 Z 4) geschieht.
1. Die Bestimmungen dieses Bundesgesetzes sind auf die Verwendung von
personenbezogenen Daten im Inland anzuwenden. Darüber hinaus ist
dieses Bundesgesetz auf die Verwendung von Daten im Ausland
anzuwenden, soweit diese Verwendung in anderen Mitgliedstaaten der
Europäischen Union für Zwecke einer in Österreich gelegenen Haupt-
oder Zweigniederlassung (§ 4 Z 15) eines Auftraggebers (§ 4 Z 4)
geschieht.
2. Abweichend von Abs. 1 ist das Recht des Sitzstaates des Auftraggebers auf eine Datenverarbeitung im Inland anzuwenden, wenn ein Auftraggeber des privaten Bereichs (§ 5 Abs. 3) mit Sitz in einem anderen Mitgliedstaat der Europäischen Union personenbezogene Daten in Österreich zu einem Zweck verwendet, der keiner in Österreich gelegenen Niederlassung dieses Auftraggebers zuzurechnen ist.
2. Abweichend von Abs. 1 ist das Recht des Sitzstaates des
Auftraggebers auf eine Datenverarbeitung im Inland anzuwenden, wenn
ein Auftraggeber des privaten Bereichs (§ 5 Abs. 3) mit Sitz in
einem anderen Mitgliedstaat der Europäischen Union personenbezogene
Daten in Österreich zu einem Zweck verwendet, der keiner in
Österreich gelegenen Niederlassung dieses Auftraggebers
zuzurechnen ist.
3. Weiters ist dieses Bundesgesetz nicht anzuwenden, soweit
personenbezogene Daten durch das Inland nur durchgeführt werden.
4. Von den Abs. 1 bis 3 abweichende gesetzliche Regelungen sind nur in
Angelegenheiten zulässig, die nicht dem Recht der Europäischen
Gemeinschaften unterliegen.
3. Weiters ist dieses Bundesgesetz nicht anzuwenden, soweit personenbezogene Daten durch das Inland nur durchgeführt werden.
4. Von den Abs. 1 bis 3 abweichende gesetzliche Regelungen sind nur in Angelegenheiten zulässig, die nicht dem Recht der Europäischen Gemeinschaften unterliegen.

87
dsg2000/art02-par04.md
View File

@ -1,34 +1,89 @@
§4 - Definitionen
=================
Im Sinne der folgenden Bestimmungen dieses Bundesgesetzes bedeuten die Begriffe:
Im Sinne der folgenden Bestimmungen dieses Bundesgesetzes bedeuten die
Begriffe:
1. „Daten“ („personenbezogene Daten“): Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist; „nur indirekt personenbezogen“ sind Daten für einen Auftraggeber (Z 4), Dienstleister (Z 5) oder Empfänger einer Übermittlung (Z 12) dann, wenn der Personenbezug der Daten derart ist, daß dieser Auftraggeber, Dienstleister oder Übermittlungsempfänger die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann;
1. „Daten“ („personenbezogene Daten“): Angaben über Betroffene (Z 3),
deren Identität bestimmt oder bestimmbar ist; „nur indirekt
personenbezogen“ sind Daten für einen Auftraggeber (Z 4),
Dienstleister (Z 5) oder Empfänger einer Übermittlung (Z 12) dann,
wenn der Personenbezug der Daten derart ist, daß dieser
Auftraggeber, Dienstleister oder Übermittlungsempfänger die
Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht
bestimmen kann;
2. „sensible Daten“ („besonders schutzwürdige Daten“): Daten natürlicher Personen über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder ihr Sexualleben;
2. „sensible Daten“ („besonders schutzwürdige Daten“): Daten
natürlicher Personen über ihre rassische und ethnische Herkunft,
politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder
philosophische Überzeugung, Gesundheit oder ihr Sexualleben;
3. „Betroffener“: jede vom Auftraggeber (Z 4) verschiedene natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet (Z 8) werden;
3. „Betroffener“: jede vom Auftraggeber (Z 4) verschiedene natürliche
oder juristische Person oder Personengemeinschaft, deren Daten
verwendet (Z 8) werden;
4. Auftraggeber: natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie allein oder gemeinsam mit anderen die Entscheidung getroffen haben, Daten zu verwenden (Z 8), unabhängig davon, ob sie die Daten selbst verwenden (Z 8) oder damit einen Dienstleister (Z 5) beauftragen. Sie gelten auch dann als Auftraggeber, wenn der mit der Herstellung eines Werkes beauftragte Dienstleister (Z 5) die Entscheidung trifft, zu diesem Zweck Daten zu verwenden (Z 8), es sei denn dies wurde ihm ausdrücklich untersagt oder der Beauftragte hat auf Grund von Rechtsvorschriften oder Verhaltensregeln über die Verwendung eigenverantwortlich zu entscheiden;
4. Auftraggeber: natürliche oder juristische Personen,
Personengemeinschaften oder Organe einer Gebietskörperschaft
beziehungsweise die Geschäftsapparate solcher Organe, wenn sie
allein oder gemeinsam mit anderen die Entscheidung getroffen haben,
Daten zu verwenden (Z 8), unabhängig davon, ob sie die Daten selbst
verwenden (Z 8) oder damit einen Dienstleister (Z 5) beauftragen.
Sie gelten auch dann als Auftraggeber, wenn der mit der Herstellung
eines Werkes beauftragte Dienstleister (Z 5) die Entscheidung
trifft, zu diesem Zweck Daten zu verwenden (Z 8), es sei denn dies
wurde ihm ausdrücklich untersagt oder der Beauftragte hat auf Grund
von Rechtsvorschriften oder Verhaltensregeln über die Verwendung
eigenverantwortlich zu entscheiden;
5. Dienstleister: natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie Daten nur zur Herstellung eines ihnen aufgetragenen Werkes verwenden (Z 8);
5. Dienstleister: natürliche oder juristische Personen,
Personengemeinschaften oder Organe einer Gebietskörperschaft
beziehungsweise die Geschäftsapparate solcher Organe, wenn sie Daten
nur zur Herstellung eines ihnen aufgetragenen Werkes verwenden (Z
8);
6. „Datei“: strukturierte Sammlung von Daten, die nach mindestens einem Suchkriterium zugänglich sind;
6. „Datei“: strukturierte Sammlung von Daten, die nach mindestens einem
Suchkriterium zugänglich sind;
7. „Datenanwendung“: die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte (Z 8), die zur Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung) geordnet sind und zur Gänze oder auch nur teilweise automationsunterstützt, also maschinell und programmgesteuert, erfolgen (automationsunterstützte Datenanwendung);
7. „Datenanwendung“: die Summe der in ihrem Ablauf logisch verbundenen
Verwendungsschritte (Z 8), die zur Erreichung eines inhaltlich
bestimmten Ergebnisses (des Zweckes der Datenanwendung) geordnet
sind und zur Gänze oder auch nur teilweise automationsunterstützt,
also maschinell und programmgesteuert, erfolgen
(automationsunterstützte Datenanwendung);
8. Verwenden von Daten: jede Art der Handhabung von Daten, also sowohl das Verarbeiten (Z 9) als auch das Übermitteln (Z 12) von Daten;
8. Verwenden von Daten: jede Art der Handhabung von Daten, also sowohl
das Verarbeiten (Z 9) als auch das Übermitteln (Z 12) von Daten;
9. Verarbeiten von Daten: das Ermitteln, Erfassen, Speichern, Aufbewahren, Ordnen, Vergleichen, Verändern, Verknüpfen, Vervielfältigen, Abfragen, Ausgeben, Benützen, Überlassen (Z 11), Sperren, Löschen, Vernichten oder jede andere Art der Handhabung von Daten mit Ausnahme des Übermittelns (Z 12) von Daten;
9. Verarbeiten von Daten: das Ermitteln, Erfassen, Speichern,
Aufbewahren, Ordnen, Vergleichen, Verändern, Verknüpfen,
Vervielfältigen, Abfragen, Ausgeben, Benützen, Überlassen (Z 11),
Sperren, Löschen, Vernichten oder jede andere Art der Handhabung von
Daten mit Ausnahme des Übermittelns (Z 12) von Daten;
10. *(Anm.: Z 10 aufgehoben durch BGBl. I Nr. 133/2009)*
10. *(Anm.: Z 10 aufgehoben durch BGBl. I Nr. 133/2009)*
11. Überlassen von Daten: die Weitergabe von Daten zwischen Auftraggeber und Dienstleister im Rahmen des Auftragsverhältnisses (Z 5);
11. Überlassen von Daten: die Weitergabe von Daten zwischen Auftraggeber
und Dienstleister im Rahmen des Auftragsverhältnisses (Z 5);
12. Übermitteln von Daten: die Weitergabe von Daten an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister, insbesondere auch das Veröffentlichen von Daten; darüber hinaus auch die Verwendung von Daten für ein anderes Aufgabengebiet des Auftraggebers;
12. Übermitteln von Daten: die Weitergabe von Daten an andere Empfänger
als den Betroffenen, den Auftraggeber oder einen Dienstleister,
insbesondere auch das Veröffentlichen von Daten; darüber hinaus auch
die Verwendung von Daten für ein anderes Aufgabengebiet des
Auftraggebers;
13. „Informationsverbundsystem“: die gemeinsame Verarbeitung von Daten in einer Datenanwendung durch mehrere Auftraggeber und die gemeinsame Benützung der Daten in der Art, daß jeder Auftraggeber auch auf jene Daten im System Zugriff hat, die von den anderen Auftraggebern dem System zur Verfügung gestellt wurden;
13. „Informationsverbundsystem“: die gemeinsame Verarbeitung von Daten
in einer Datenanwendung durch mehrere Auftraggeber und die
gemeinsame Benützung der Daten in der Art, daß jeder Auftraggeber
auch auf jene Daten im System Zugriff hat, die von den anderen
Auftraggebern dem System zur Verfügung gestellt wurden;
14. „Zustimmung“: die gültige, insbesondere ohne Zwang abgegebene
Willenserklärung des Betroffenen, daß er in Kenntnis der Sachlage
für den konkreten Fall in die Verwendung seiner Daten einwilligt;
15. „Niederlassung“: jede durch feste Einrichtungen an einem bestimmten
Ort räumlich und funktional abgegrenzte Organisationseinheit mit
oder ohne Rechtspersönlichkeit, die am Ort ihrer Einrichtung auch
tatsächlich Tätigkeiten ausübt.
14. „Zustimmung“: die gültige, insbesondere ohne Zwang abgegebene Willenserklärung des Betroffenen, daß er in Kenntnis der Sachlage für den konkreten Fall in die Verwendung seiner Daten einwilligt;
15. „Niederlassung“: jede durch feste Einrichtungen an einem bestimmten Ort räumlich und funktional abgegrenzte Organisationseinheit mit oder ohne Rechtspersönlichkeit, die am Ort ihrer Einrichtung auch tatsächlich Tätigkeiten ausübt.

25
dsg2000/art02-par05.md
View File

@ -1,14 +1,27 @@
§5 - Öffentlicher und privater Bereich
======================================
1. Datenanwendungen sind dem öffentlichen Bereich im Sinne dieses Bundesgesetzes zuzurechnen, wenn sie für Zwecke eines Auftraggebers des öffentlichen Bereichs (Abs. 2) durchgeführt werden.
1. Datenanwendungen sind dem öffentlichen Bereich im Sinne dieses
Bundesgesetzes zuzurechnen, wenn sie für Zwecke eines Auftraggebers
des öffentlichen Bereichs (Abs. 2) durchgeführt werden.
2. Auftraggeber des öffentlichen Bereichs sind alle Auftraggeber,
2. Auftraggeber des öffentlichen Bereichs sind alle Auftraggeber,
1. die in Formen des öffentlichen Rechts eingerichtet sind, insbesondere auch als Organ einer Gebietskörperschaft, oder
1. die in Formen des öffentlichen Rechts eingerichtet sind,
insbesondere auch als Organ einer Gebietskörperschaft, oder
2. soweit sie trotz ihrer Einrichtung in Formen des Privatrechts in Vollziehung der Gesetze tätig sind.
2. soweit sie trotz ihrer Einrichtung in Formen des Privatrechts in
Vollziehung der Gesetze tätig sind.
3. Die dem Abs. 2 nicht unterliegenden Auftraggeber gelten als
Auftraggeber des privaten Bereichs im Sinne dieses Bundesgesetzes.
4. Gegen Rechtsträger, die in Formen des Privatrechts eingerichtet
sind, ist, soweit sie nicht in Vollziehung der Gesetze tätig werden,
das Grundrecht auf Datenschutz mit Ausnahme des Rechtes auf Auskunft
auf dem Zivilrechtsweg geltend zu machen. In allen übrigen Fällen
ist die Datenschutzbehörde zur Entscheidung zuständig, es sei denn,
dass Akte im Dienste der Gesetzgebung oder der Gerichtsbarkeit
betroffen sind.
3. Die dem Abs. 2 nicht unterliegenden Auftraggeber gelten als Auftraggeber des privaten Bereichs im Sinne dieses Bundesgesetzes.
4. Gegen Rechtsträger, die in Formen des Privatrechts eingerichtet sind, ist, soweit sie nicht in Vollziehung der Gesetze tätig werden, das Grundrecht auf Datenschutz mit Ausnahme des Rechtes auf Auskunft auf dem Zivilrechtsweg geltend zu machen. In allen übrigen Fällen ist die Datenschutzbehörde zur Entscheidung zuständig, es sei denn, dass Akte im Dienste der Gesetzgebung oder der Gerichtsbarkeit betroffen sind.

48
dsg2000/art02-par06.md
View File

@ -1,20 +1,50 @@
§6 - Grundsätze
===============
1. Daten dürfen nur
1. Daten dürfen nur
1. nach Treu und Glauben und auf rechtmäßige Weise verwendet werden;
1. nach Treu und Glauben und auf rechtmäßige Weise verwendet
werden;
2. für festgelegte, eindeutige und rechtmäßige Zwecke ermittelt und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverwendet werden; die Weiterverwendung für wissenschaftliche oder statistische Zwecke ist nach Maßgabe der §§ 46 und 47 zulässig;
2. für festgelegte, eindeutige und rechtmäßige Zwecke ermittelt und
nicht in einer mit diesen Zwecken unvereinbaren Weise
weiterverwendet werden; die Weiterverwendung für
wissenschaftliche oder statistische Zwecke ist nach Maßgabe der
§§ 46 und 47 zulässig;
3. soweit sie für den Zweck der Datenanwendung wesentlich sind, verwendet werden und über diesen Zweck nicht hinausgehen;
3. soweit sie für den Zweck der Datenanwendung wesentlich sind,
verwendet werden und über diesen Zweck nicht hinausgehen;
4. so verwendet werden, daß sie im Hinblick auf den Verwendungszweck im Ergebnis sachlich richtig und, wenn nötig, auf den neuesten Stand gebracht sind;
4. so verwendet werden, daß sie im Hinblick auf den
Verwendungszweck im Ergebnis sachlich richtig und, wenn nötig,
auf den neuesten Stand gebracht sind;
5. solange in personenbezogener Form aufbewahrt werden, als dies für die Erreichung der Zwecke, für die sie ermittelt wurden, erforderlich ist; eine längere Aufbewahrungsdauer kann sich aus besonderen gesetzlichen, insbesondere archivrechtlichen Vorschriften ergeben.
5. solange in personenbezogener Form aufbewahrt werden, als dies
für die Erreichung der Zwecke, für die sie ermittelt wurden,
erforderlich ist; eine längere Aufbewahrungsdauer kann sich aus
besonderen gesetzlichen, insbesondere archivrechtlichen
Vorschriften ergeben.
2. Der Auftraggeber trägt bei jeder seiner Datenanwendungen die Verantwortung für die Einhaltung der in Abs. 1 genannten Grundsätze; dies gilt auch dann, wenn er für die Datenanwendung Dienstleister heranzieht.
2. Der Auftraggeber trägt bei jeder seiner Datenanwendungen die
Verantwortung für die Einhaltung der in Abs. 1 genannten Grundsätze;
dies gilt auch dann, wenn er für die Datenanwendung
Dienstleister heranzieht.
3. Der Auftraggeber einer diesem Bundesgesetz unterliegenden
Datenanwendung hat, wenn er nicht im Gebiet der Europäischen Union
niedergelassen ist, einen in Österreich ansässigen Vertreter zu
benennen, der unbeschadet der Möglichkeit eines Vorgehens gegen den
Auftraggeber selbst namens des Auftraggebers verantwortlich gemacht
werden kann.
4. Zur näheren Festlegung dessen, was in einzelnen Bereichen als
Verwendung von Daten nach Treu und Glauben anzusehen ist, können für
den privaten Bereich die gesetzlichen Interessenvertretungen,
sonstige Berufsverbände und vergleichbare Einrichtungen
Verhaltensregeln ausarbeiten. Solche Verhaltensregeln dürfen nur
veröffentlicht werden, nachdem sie dem Bundeskanzler zur
Begutachtung vorgelegt wurden und dieser ihre Übereinstimmung mit
den Bestimmungen dieses Bundesgesetzes begutachtet und als gegeben
erachtet hat.
3. Der Auftraggeber einer diesem Bundesgesetz unterliegenden Datenanwendung hat, wenn er nicht im Gebiet der Europäischen Union niedergelassen ist, einen in Österreich ansässigen Vertreter zu benennen, der unbeschadet der Möglichkeit eines Vorgehens gegen den Auftraggeber selbst namens des Auftraggebers verantwortlich gemacht werden kann.
4. Zur näheren Festlegung dessen, was in einzelnen Bereichen als Verwendung von Daten nach Treu und Glauben anzusehen ist, können für den privaten Bereich die gesetzlichen Interessenvertretungen, sonstige Berufsverbände und vergleichbare Einrichtungen Verhaltensregeln ausarbeiten. Solche Verhaltensregeln dürfen nur veröffentlicht werden, nachdem sie dem Bundeskanzler zur Begutachtung vorgelegt wurden und dieser ihre Übereinstimmung mit den Bestimmungen dieses Bundesgesetzes begutachtet und als gegeben erachtet hat.

26
dsg2000/art02-par07.md
View File

@ -1,14 +1,28 @@
§7 - Zulässigkeit der Verwendung von Daten
==========================================
1. Daten dürfen nur verarbeitet werden, soweit Zweck und Inhalt der Datenanwendung von den gesetzlichen Zuständigkeiten oder rechtlichen Befugnissen des jeweiligen Auftraggebers gedeckt sind und die schutzwürdigen Geheimhaltungsinteressen der Betroffenen nicht verletzen.
1. Daten dürfen nur verarbeitet werden, soweit Zweck und Inhalt der
Datenanwendung von den gesetzlichen Zuständigkeiten oder rechtlichen
Befugnissen des jeweiligen Auftraggebers gedeckt sind und die
schutzwürdigen Geheimhaltungsinteressen der Betroffenen
nicht verletzen.
2. Daten dürfen nur übermittelt werden, wenn
2. Daten dürfen nur übermittelt werden, wenn
1. sie aus einer gemäß Abs. 1 zulässigen Datenanwendung stammen und
1. sie aus einer gemäß Abs. 1 zulässigen Datenanwendung stammen und
2. der Empfänger dem Übermittelnden seine ausreichende gesetzliche Zuständigkeit oder rechtliche Befugnis soweit diese nicht außer Zweifel steht im Hinblick auf den Übermittlungszweck glaubhaft gemacht hat und
2. der Empfänger dem Übermittelnden seine ausreichende gesetzliche
Zuständigkeit oder rechtliche Befugnis soweit diese nicht
außer Zweifel steht im Hinblick auf den Übermittlungszweck
glaubhaft gemacht hat und
3. durch Zweck und Inhalt der Übermittlung die schutzwürdigen
Geheimhaltungsinteressen des Betroffenen nicht verletzt werden.
3. Die Zulässigkeit einer Datenverwendung setzt voraus, daß die dadurch
verursachten Eingriffe in das Grundrecht auf Datenschutz nur im
erforderlichen Ausmaß und mit den gelindesten zur Verfügung
stehenden Mitteln erfolgen und daß die Grundsätze des § 6
eingehalten werden.
3. durch Zweck und Inhalt der Übermittlung die schutzwürdigen Geheimhaltungsinteressen des Betroffenen nicht verletzt werden.
3. Die Zulässigkeit einer Datenverwendung setzt voraus, daß die dadurch verursachten Eingriffe in das Grundrecht auf Datenschutz nur im erforderlichen Ausmaß und mit den gelindesten zur Verfügung stehenden Mitteln erfolgen und daß die Grundsätze des § 6 eingehalten werden.

80
dsg2000/art02-par08.md
View File

@ -1,40 +1,82 @@
§8 - Schutzwürdige Geheimhaltungsinteressen bei Verwendung nicht-sensibler Daten
================================================================================
1. Schutzwürdige Geheimhaltungsinteressen sind bei Verwendung nicht-sensibler Daten dann nicht verletzt, wenn
1. Schutzwürdige Geheimhaltungsinteressen sind bei Verwendung
nicht-sensibler Daten dann nicht verletzt, wenn
1. eine ausdrückliche gesetzliche Ermächtigung oder Verpflichtung zur Verwendung der Daten besteht oder
1. eine ausdrückliche gesetzliche Ermächtigung oder Verpflichtung
zur Verwendung der Daten besteht oder
2. der Betroffene der Verwendung seiner Daten zugestimmt hat, wobei ein Widerruf jederzeit möglich ist und die Unzulässigkeit der weiteren Verwendung der Daten bewirkt, oder
2. der Betroffene der Verwendung seiner Daten zugestimmt hat, wobei
ein Widerruf jederzeit möglich ist und die Unzulässigkeit der
weiteren Verwendung der Daten bewirkt, oder
3. lebenswichtige Interessen des Betroffenen die Verwendung erfordern oder
3. lebenswichtige Interessen des Betroffenen die Verwendung
erfordern oder
4. überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten die Verwendung erfordern.
4. überwiegende berechtigte Interessen des Auftraggebers oder eines
Dritten die Verwendung erfordern.
2. Bei der Verwendung von zulässigerweise veröffentlichten Daten oder von nur indirekt personenbezogenen Daten gelten schutzwürdige Geheimhaltungsinteressen als nicht verletzt. Das Recht, gegen die Verwendung zulässigerweise veröffentlichter Daten gemäß § 28 Widerspruch zu erheben, bleibt unberührt.
2. Bei der Verwendung von zulässigerweise veröffentlichten Daten oder
von nur indirekt personenbezogenen Daten gelten schutzwürdige
Geheimhaltungsinteressen als nicht verletzt. Das Recht, gegen die
Verwendung zulässigerweise veröffentlichter Daten gemäß § 28
Widerspruch zu erheben, bleibt unberührt.
3. Schutzwürdige Geheimhaltungsinteressen sind aus dem Grunde des Abs. 1 Z 4 insbesondere dann nicht verletzt, wenn die Verwendung der Daten
3. Schutzwürdige Geheimhaltungsinteressen sind aus dem Grunde des Abs.
1 Z 4 insbesondere dann nicht verletzt, wenn die Verwendung der
Daten
1. für einen Auftraggeber des öffentlichen Bereichs eine wesentliche Voraussetzung für die Wahrnehmung einer ihm gesetzlich übertragenen Aufgabe ist oder
1. für einen Auftraggeber des öffentlichen Bereichs eine
wesentliche Voraussetzung für die Wahrnehmung einer ihm
gesetzlich übertragenen Aufgabe ist oder
2. durch Auftraggeber des öffentlichen Bereichs in Erfüllung der Verpflichtung zur Amtshilfe geschieht oder
2. durch Auftraggeber des öffentlichen Bereichs in Erfüllung der
Verpflichtung zur Amtshilfe geschieht oder
3. zur Wahrung lebenswichtiger Interessen eines Dritten erforderlich ist oder
3. zur Wahrung lebenswichtiger Interessen eines Dritten
erforderlich ist oder
4. zur Erfüllung einer vertraglichen Verpflichtung zwischen Auftraggeber und Betroffenem erforderlich ist oder
4. zur Erfüllung einer vertraglichen Verpflichtung zwischen
Auftraggeber und Betroffenem erforderlich ist oder
5. zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen des Auftraggebers vor einer Behörde notwendig ist und die Daten rechtmäßig ermittelt wurden oder
5. zur Geltendmachung, Ausübung oder Verteidigung von
Rechtsansprüchen des Auftraggebers vor einer Behörde notwendig
ist und die Daten rechtmäßig ermittelt wurden oder
6. ausschließlich die Ausübung einer öffentlichen Funktion durch den Betroffenen zum Gegenstand hat oder
6. ausschließlich die Ausübung einer öffentlichen Funktion durch
den Betroffenen zum Gegenstand hat oder
7. im Katastrophenfall, soweit dies zur Hilfeleistung für die von der Katastrophe unmittelbar betroffenen Personen, zur Auffindung und Identifizierung von Abgängigen und Verstorbenen und zur Information von Angehörigen notwendig ist; im letztgenannten Fall gilt § 48a Abs. 3.
7. im Katastrophenfall, soweit dies zur Hilfeleistung für die von
der Katastrophe unmittelbar betroffenen Personen, zur Auffindung
und Identifizierung von Abgängigen und Verstorbenen und zur
Information von Angehörigen notwendig ist; im letztgenannten
Fall gilt § 48a Abs. 3.
4. Die Verwendung von Daten über gerichtlich oder verwaltungsbehördlich strafbare Handlungen oder Unterlassungen, insbesondere auch über den Verdacht der Begehung von Straftaten, sowie über strafrechtliche Verurteilungen oder vorbeugende Maßnahmen verstößt unbeschadet der Bestimmungen des Abs. 2 nur dann nicht gegen schutzwürdige Geheimhaltungsinteressen des Betroffenen, wenn
4. Die Verwendung von Daten über gerichtlich oder verwaltungsbehördlich
strafbare Handlungen oder Unterlassungen, insbesondere auch über den
Verdacht der Begehung von Straftaten, sowie über strafrechtliche
Verurteilungen oder vorbeugende Maßnahmen verstößt unbeschadet der
Bestimmungen des Abs. 2 nur dann nicht gegen schutzwürdige
Geheimhaltungsinteressen des Betroffenen, wenn
1. eine ausdrückliche gesetzliche Ermächtigung oder Verpflichtung zur Verwendung solcher Daten besteht oder
1. eine ausdrückliche gesetzliche Ermächtigung oder Verpflichtung
zur Verwendung solcher Daten besteht oder
2. die Verwendung derartiger Daten für Auftraggeber des öffentlichen Bereichs eine wesentliche Voraussetzung zur Wahrnehmung einer ihnen gesetzlich übertragenen Aufgabe ist oder
2. die Verwendung derartiger Daten für Auftraggeber des
öffentlichen Bereichs eine wesentliche Voraussetzung zur
Wahrnehmung einer ihnen gesetzlich übertragenen Aufgabe ist oder
3. sich sonst die Zulässigkeit der Verwendung dieser Daten aus
gesetzlichen Sorgfaltspflichten oder sonstigen, die
schutzwürdigen Geheimhaltungsinteressen des Betroffenen
überwiegenden berechtigten Interessen des Auftraggebers ergibt
und die Art und Weise, in der die Datenanwendung vorgenommen
wird, die Wahrung der Interessen der Betroffenen nach diesem
Bundesgesetz gewährleistet oder
4. die Datenweitergabe zum Zweck der Erstattung einer Anzeige an
eine zur Verfolgung der angezeigten strafbaren
Handlungen (Unterlassungen) zuständige Behörde erfolgt.
3. sich sonst die Zulässigkeit der Verwendung dieser Daten aus gesetzlichen Sorgfaltspflichten oder sonstigen, die schutzwürdigen Geheimhaltungsinteressen des Betroffenen überwiegenden berechtigten Interessen des Auftraggebers ergibt und die Art und Weise, in der die Datenanwendung vorgenommen wird, die Wahrung der Interessen der Betroffenen nach diesem Bundesgesetz gewährleistet oder
4. die Datenweitergabe zum Zweck der Erstattung einer Anzeige an eine zur Verfolgung der angezeigten strafbaren Handlungen (Unterlassungen) zuständige Behörde erfolgt.

68
dsg2000/art02-par09.md
View File

@ -1,30 +1,70 @@
§9 - Schutzwürdige Geheimhaltungsinteressen bei Verwendung sensibler Daten
==========================================================================
Schutzwürdige Geheimhaltungsinteressen werden bei der Verwendung sensibler Daten ausschließlich dann nicht verletzt, wenn
Schutzwürdige Geheimhaltungsinteressen werden bei der Verwendung
sensibler Daten ausschließlich dann nicht verletzt, wenn
1. der Betroffene die Daten offenkundig selbst öffentlich gemacht hat oder
1. der Betroffene die Daten offenkundig selbst öffentlich gemacht hat
oder
2. die Daten in nur indirekt personenbezogener Form verwendet werden oder
2. die Daten in nur indirekt personenbezogener Form verwendet werden
oder
3. sich die Ermächtigung oder Verpflichtung zur Verwendung aus gesetzlichen Vorschriften ergibt, soweit diese der Wahrung eines wichtigen öffentlichen Interesses dienen, oder
3. sich die Ermächtigung oder Verpflichtung zur Verwendung aus
gesetzlichen Vorschriften ergibt, soweit diese der Wahrung eines
wichtigen öffentlichen Interesses dienen, oder
4. die Verwendung durch Auftraggeber des öffentlichen Bereichs in Erfüllung ihrer Verpflichtung zur Amtshilfe geschieht oder
4. die Verwendung durch Auftraggeber des öffentlichen Bereichs in
Erfüllung ihrer Verpflichtung zur Amtshilfe geschieht oder
5. Daten verwendet werden, die ausschließlich die Ausübung einer öffentlichen Funktion durch den Betroffenen zum Gegenstand haben, oder
5. Daten verwendet werden, die ausschließlich die Ausübung einer
öffentlichen Funktion durch den Betroffenen zum Gegenstand haben,
oder
6. der Betroffene seine Zustimmung zur Verwendung der Daten ausdrücklich erteilt hat, wobei ein Widerruf jederzeit möglich ist und die Unzulässigkeit der weiteren Verwendung der Daten bewirkt, oder
6. der Betroffene seine Zustimmung zur Verwendung der Daten
ausdrücklich erteilt hat, wobei ein Widerruf jederzeit möglich ist
und die Unzulässigkeit der weiteren Verwendung der Daten bewirkt,
oder
7. die Verarbeitung oder Übermittlung zur Wahrung lebenswichtiger Interessen des Betroffenen notwendig ist und seine Zustimmung nicht rechtzeitig eingeholt werden kann oder
7. die Verarbeitung oder Übermittlung zur Wahrung lebenswichtiger
Interessen des Betroffenen notwendig ist und seine Zustimmung nicht
rechtzeitig eingeholt werden kann oder
8. die Verwendung der Daten zur Wahrung lebenswichtiger Interessen eines anderen notwendig ist oder
8. die Verwendung der Daten zur Wahrung lebenswichtiger Interessen
eines anderen notwendig ist oder
9. die Verwendung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen des Auftraggebers vor einer Behörde notwendig ist und die Daten rechtmäßig ermittelt wurden oder
9. die Verwendung zur Geltendmachung, Ausübung oder Verteidigung von
Rechtsansprüchen des Auftraggebers vor einer Behörde notwendig ist
und die Daten rechtmäßig ermittelt wurden oder
10. Daten für private Zwecke gemäß § 45 oder für wissenschaftliche Forschung oder Statistik gemäß § 46, zur Benachrichtigung oder Befragung des Betroffenen gemäß § 47 oder im Katastrophenfall gemäß § 48a verwendet werden oder
10. Daten für private Zwecke gemäß § 45 oder für wissenschaftliche
Forschung oder Statistik gemäß § 46, zur Benachrichtigung oder
Befragung des Betroffenen gemäß § 47 oder im Katastrophenfall gemäß
§ 48a verwendet werden oder
11. die Verwendung erforderlich ist, um den Rechten und Pflichten des Auftraggebers auf dem Gebiet des Arbeits- oder Dienstrechts Rechnung zu tragen, und sie nach besonderen Rechtsvorschriften zulässig ist, wobei die dem Betriebsrat nach dem Arbeitsverfassungsgesetz zustehenden Befugnisse im Hinblick auf die Datenverwendung unberührt bleiben, oder
11. die Verwendung erforderlich ist, um den Rechten und Pflichten des
Auftraggebers auf dem Gebiet des Arbeits- oder Dienstrechts Rechnung
zu tragen, und sie nach besonderen Rechtsvorschriften zulässig ist,
wobei die dem Betriebsrat nach dem Arbeitsverfassungsgesetz
zustehenden Befugnisse im Hinblick auf die Datenverwendung unberührt
bleiben, oder
12. die Daten zum Zweck der Gesundheitsvorsorge, der medizinischen
Diagnostik, der Gesundheitsversorgung oder -behandlung oder für die
Verwaltung von Gesundheitsdiensten erforderlich ist, und die
Verwendung dieser Daten durch ärztliches Personal oder sonstige
Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht
unterliegen, oder
13. nicht auf Gewinn gerichtete Vereinigungen mit politischem,
philosophischem, religiösem oder gewerkschaftlichem Tätigkeitszweck
Daten, die Rückschlüsse auf die politische Meinung oder
weltanschauliche Überzeugung natürlicher Personen zulassen, im
Rahmen ihrer erlaubten Tätigkeit verarbeiten und es sich hiebei um
Daten von Mitgliedern, Förderern oder sonstigen Personen handelt,
die regelmäßig ihr Interesse für den Tätigkeitszweck der Vereinigung
bekundet haben; diese Daten dürfen, sofern sich aus gesetzlichen
Vorschriften nichts anderes ergibt, nur mit Zustimmung der
Betroffenen an Dritte weitergegeben werden.
12. die Daten zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder -behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist, und die Verwendung dieser Daten durch ärztliches Personal oder sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen, oder
13. nicht auf Gewinn gerichtete Vereinigungen mit politischem, philosophischem, religiösem oder gewerkschaftlichem Tätigkeitszweck Daten, die Rückschlüsse auf die politische Meinung oder weltanschauliche Überzeugung natürlicher Personen zulassen, im Rahmen ihrer erlaubten Tätigkeit verarbeiten und es sich hiebei um Daten von Mitgliedern, Förderern oder sonstigen Personen handelt, die regelmäßig ihr Interesse für den Tätigkeitszweck der Vereinigung bekundet haben; diese Daten dürfen, sofern sich aus gesetzlichen Vorschriften nichts anderes ergibt, nur mit Zustimmung der Betroffenen an Dritte weitergegeben werden.

24
dsg2000/art02-par10.md
View File

@ -1,6 +1,26 @@
§10 - Zulässigkeit der Überlassung von Daten zur Erbringung von Dienstleistungen
================================================================================
1. Auftraggeber dürfen bei ihren Datenanwendungen Dienstleister in Anspruch nehmen, wenn diese ausreichende Gewähr für eine rechtmäßige und sichere Datenverwendung bieten. Der Auftraggeber hat mit dem Dienstleister die hiefür notwendigen Vereinbarungen zu treffen und sich von ihrer Einhaltung durch Einholung der erforderlichen Informationen über die vom Dienstleister tatsächlich getroffenen Maßnahmen zu überzeugen.
1. Auftraggeber dürfen bei ihren Datenanwendungen Dienstleister in
Anspruch nehmen, wenn diese ausreichende Gewähr für eine rechtmäßige
und sichere Datenverwendung bieten. Der Auftraggeber hat mit dem
Dienstleister die hiefür notwendigen Vereinbarungen zu treffen und
sich von ihrer Einhaltung durch Einholung der erforderlichen
Informationen über die vom Dienstleister tatsächlich getroffenen
Maßnahmen zu überzeugen.
2. Die beabsichtigte Heranziehung eines Dienstleisters durch einen
Auftraggeber des öffentlichen Bereichs im Rahmen einer
Datenanwendung, die der Vorabkontrolle gemäß § 18 Abs. 2 unterliegt,
ist der Datenschutzbehörde mitzuteilen, es sei denn, daß die
Inanspruchnahme des Dienstleisters auf Grund ausdrücklicher
gesetzlicher Ermächtigung erfolgt oder als Dienstleister eine
Organisationseinheit tätig wird, die mit dem Auftraggeber oder einem
diesem übergeordneten Organ in einem Über- oder
Unterordnungsverhältnis steht. Kommt die Datenschutzbehörde zur
Auffassung, daß die geplante Inanspruchnahme eines Dienstleisters
geeignet ist, schutzwürdige Geheimhaltungsinteressen der Betroffenen
zu gefährden, so hat sie dies dem Auftraggeber
unverzüglich mitzuteilen. Im übrigen gilt § 30 Abs. 6 Z 4.
2. Die beabsichtigte Heranziehung eines Dienstleisters durch einen Auftraggeber des öffentlichen Bereichs im Rahmen einer Datenanwendung, die der Vorabkontrolle gemäß § 18 Abs. 2 unterliegt, ist der Datenschutzbehörde mitzuteilen, es sei denn, daß die Inanspruchnahme des Dienstleisters auf Grund ausdrücklicher gesetzlicher Ermächtigung erfolgt oder als Dienstleister eine Organisationseinheit tätig wird, die mit dem Auftraggeber oder einem diesem übergeordneten Organ in einem Über- oder Unterordnungsverhältnis steht. Kommt die Datenschutzbehörde zur Auffassung, daß die geplante Inanspruchnahme eines Dienstleisters geeignet ist, schutzwürdige Geheimhaltungsinteressen der Betroffenen zu gefährden, so hat sie dies dem Auftraggeber unverzüglich mitzuteilen. Im übrigen gilt § 30 Abs. 6 Z 4.

42
dsg2000/art02-par11.md
View File

@ -1,18 +1,44 @@
§11 - Pflichten des Dienstleisters
==================================
1. Unabhängig von allfälligen vertraglichen Vereinbarungen haben Dienstleister bei der Verwendung von Daten für den Auftraggeber jedenfalls folgende Pflichten:
1. Unabhängig von allfälligen vertraglichen Vereinbarungen haben
Dienstleister bei der Verwendung von Daten für den Auftraggeber
jedenfalls folgende Pflichten:
1. die Daten ausschließlich im Rahmen der Aufträge des Auftraggebers zu verwenden; insbesondere ist die Übermittlung der verwendeten Daten ohne Auftrag des Auftraggebers verboten;
1. die Daten ausschließlich im Rahmen der Aufträge des
Auftraggebers zu verwenden; insbesondere ist die Übermittlung
der verwendeten Daten ohne Auftrag des Auftraggebers verboten;
2. alle gemäß § 14 erforderlichen Datensicherheitsmaßnahmen zu treffen; insbesondere dürfen für die Dienstleistung nur solche Mitarbeiter herangezogen werden, die sich dem Dienstleister gegenüber zur Einhaltung des Datengeheimnisses verpflichtet haben oder einer gesetzlichen Verschwiegenheitspflicht unterliegen;
2. alle gemäß § 14 erforderlichen Datensicherheitsmaßnahmen zu
treffen; insbesondere dürfen für die Dienstleistung nur solche
Mitarbeiter herangezogen werden, die sich dem Dienstleister
gegenüber zur Einhaltung des Datengeheimnisses verpflichtet
haben oder einer gesetzlichen Verschwiegenheitspflicht
unterliegen;
3. weitere Dienstleister nur mit Billigung des Auftraggebers heranzuziehen und deshalb den Auftraggeber von der beabsichtigten Heranziehung eines weiteren Dienstleisters so rechtzeitig zu verständigen, daß er dies allenfalls untersagen kann;
3. weitere Dienstleister nur mit Billigung des Auftraggebers
heranzuziehen und deshalb den Auftraggeber von der
beabsichtigten Heranziehung eines weiteren Dienstleisters so
rechtzeitig zu verständigen, daß er dies allenfalls untersagen
kann;
4. sofern dies nach der Art der Dienstleistung in Frage kommt im Einvernehmen mit dem Auftraggeber die notwendigen technischen und organisatorischen Voraussetzungen für die Erfüllung der Auskunfts-, Richtigstellungs- und Löschungspflicht des Auftraggebers zu schaffen;
4. sofern dies nach der Art der Dienstleistung in Frage kommt
im Einvernehmen mit dem Auftraggeber die notwendigen technischen
und organisatorischen Voraussetzungen für die Erfüllung der
Auskunfts-, Richtigstellungs- und Löschungspflicht des
Auftraggebers zu schaffen;
5. nach Beendigung der Dienstleistung alle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, dem Auftraggeber zu übergeben oder in dessen Auftrag für ihn weiter aufzubewahren oder zu vernichten;
5. nach Beendigung der Dienstleistung alle Verarbeitungsergebnisse
und Unterlagen, die Daten enthalten, dem Auftraggeber zu
übergeben oder in dessen Auftrag für ihn weiter aufzubewahren
oder zu vernichten;
6. dem Auftraggeber jene Informationen zur Verfügung zu stellen,
die zur Kontrolle der Einhaltung der unter Z 1 bis 5 genannten
Verpflichtungen notwendig sind.
2. Vereinbarungen zwischen dem Auftraggeber und dem Dienstleister über
die nähere Ausgestaltung der in Abs. 1 genannten Pflichten sind zum
Zweck der Beweissicherung schriftlich festzuhalten.
6. dem Auftraggeber jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der unter Z 1 bis 5 genannten Verpflichtungen notwendig sind.
2. Vereinbarungen zwischen dem Auftraggeber und dem Dienstleister über die nähere Ausgestaltung der in Abs. 1 genannten Pflichten sind zum Zweck der Beweissicherung schriftlich festzuhalten.

81
dsg2000/art02-par12.md
View File

@ -1,38 +1,83 @@
§12 - Genehmigungsfreie Übermittlung und Überlassung von Daten in das Ausland
=============================================================================
1. Die Übermittlung und Überlassung von Daten an Empfänger in Vertragsstaaten des Europäischen Wirtschaftsraumes ist keinen Beschränkungen im Sinne des § 13 unterworfen. Dies gilt nicht für den Datenverkehr zwischen Auftraggebern des öffentlichen Bereichs in Angelegenheiten, die nicht dem Recht der Europäischen Gemeinschaften unterliegen.
1. Die Übermittlung und Überlassung von Daten an Empfänger in
Vertragsstaaten des Europäischen Wirtschaftsraumes ist keinen
Beschränkungen im Sinne des § 13 unterworfen. Dies gilt nicht für
den Datenverkehr zwischen Auftraggebern des öffentlichen Bereichs in
Angelegenheiten, die nicht dem Recht der Europäischen
Gemeinschaften unterliegen.
2. Keiner Genehmigung gemäß § 13 bedarf weiters der Datenverkehr mit Empfängern in Drittstaaten mit angemessenem Datenschutz. Welche Drittstaaten angemessenen Datenschutz gewährleisten, wird unter Beachtung des § 55 Z 1 durch Verordnung des Bundeskanzlers festgestellt. Maßgebend für die Angemessenheit des Schutzes ist die Ausgestaltung der Grundsätze des § 6 Abs. 1 in der ausländischen Rechtsordnung und das Vorhandensein wirksamer Garantien für ihre Durchsetzung.
2. Keiner Genehmigung gemäß § 13 bedarf weiters der Datenverkehr mit
Empfängern in Drittstaaten mit angemessenem Datenschutz. Welche
Drittstaaten angemessenen Datenschutz gewährleisten, wird unter
Beachtung des § 55 Z 1 durch Verordnung des
Bundeskanzlers festgestellt. Maßgebend für die Angemessenheit des
Schutzes ist die Ausgestaltung der Grundsätze des § 6 Abs. 1 in der
ausländischen Rechtsordnung und das Vorhandensein wirksamer
Garantien für ihre Durchsetzung.
3. Darüberhinaus ist der Datenverkehr ins Ausland dann genehmigungsfrei, wenn
3. Darüberhinaus ist der Datenverkehr ins Ausland dann
genehmigungsfrei, wenn
1. die Daten im Inland zulässigerweise veröffentlicht wurden oder
1. die Daten im Inland zulässigerweise veröffentlicht wurden oder
2. Daten, die für den Empfänger nur indirekt personenbezogen sind, übermittelt oder überlassen werden oder
2. Daten, die für den Empfänger nur indirekt personenbezogen sind,
übermittelt oder überlassen werden oder
3. die Übermittlung oder Überlassung von Daten ins Ausland in Rechtsvorschriften vorgesehen ist, die im innerstaatlichen Recht den Rang eines Gesetzes haben und unmittelbar anwendbar sind, oder
3. die Übermittlung oder Überlassung von Daten ins Ausland in
Rechtsvorschriften vorgesehen ist, die im innerstaatlichen Recht
den Rang eines Gesetzes haben und unmittelbar anwendbar sind,
oder
4. Daten aus Datenanwendungen für private Zwecke (§ 45) oder für publizistische Tätigkeit (§ 48) übermittelt werden oder
4. Daten aus Datenanwendungen für private Zwecke (§ 45) oder für
publizistische Tätigkeit (§ 48) übermittelt werden oder
5. der Betroffene ohne jeden Zweifel seine Zustimmung zur Übermittlung oder Überlassung seiner Daten ins Ausland gegeben hat oder
5. der Betroffene ohne jeden Zweifel seine Zustimmung zur
Übermittlung oder Überlassung seiner Daten ins Ausland gegeben
hat oder
6. ein vom Auftraggeber mit dem Betroffenen oder mit einem Dritten eindeutig im Interesse des Betroffenen abgeschlossener Vertrag nicht anders als durch Übermittlung der Daten ins Ausland erfüllt werden kann oder
6. ein vom Auftraggeber mit dem Betroffenen oder mit einem Dritten
eindeutig im Interesse des Betroffenen abgeschlossener Vertrag
nicht anders als durch Übermittlung der Daten ins Ausland
erfüllt werden kann oder
7. die Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor ausländischen Behörden erforderlich ist und die Daten rechtmäßig ermittelt wurden, oder
7. die Übermittlung zur Geltendmachung, Ausübung oder Verteidigung
von Rechtsansprüchen vor ausländischen Behörden erforderlich ist
und die Daten rechtmäßig ermittelt wurden, oder
8. die Übermittlung oder Überlassung in einer Standardverordnung (§ 17 Abs. 2 Z 6) oder Musterverordnung (§ 19 Abs. 2) ausdrücklich angeführt ist oder
8. die Übermittlung oder Überlassung in einer Standardverordnung (§
17 Abs. 2 Z 6) oder Musterverordnung (§ 19 Abs. 2) ausdrücklich
angeführt ist oder
9. es sich um Datenverkehr mit österreichischen Dienststellen im Ausland handelt oder
9. es sich um Datenverkehr mit österreichischen Dienststellen im
Ausland handelt oder
10. Übermittlungen oder Überlassungen aus Datenanwendungen erfolgen, die gemäß § 17 Abs. 3 von der Meldepflicht ausgenommen sind.
10. Übermittlungen oder Überlassungen aus Datenanwendungen erfolgen,
die gemäß § 17 Abs. 3 von der Meldepflicht ausgenommen sind.
4. Wenn eine Übermittlung oder Überlassung von Daten ins Ausland in Fällen, die von den vorstehenden Absätzen nicht erfaßt sind,
4. Wenn eine Übermittlung oder Überlassung von Daten ins Ausland in
Fällen, die von den vorstehenden Absätzen nicht erfaßt sind,
1. zur Wahrung eines wichtigen öffentlichen Interesses oder
1. zur Wahrung eines wichtigen öffentlichen Interesses oder
2. zur Wahrung eines lebenswichtigen Interesses einer Person
2. zur Wahrung eines lebenswichtigen Interesses einer Person
notwendig und so dringlich ist, daß die gemäß § 13 erforderliche
Genehmigung der Datenschutzbehörde nicht eingeholt werden kann, ohne
die genannten Interessen zu gefährden, darf sie ohne Genehmigung
vorgenommen werden, muß aber der Datenschutzbehörde umgehend
mitgeteilt werden.
5. Voraussetzung für die Zulässigkeit jeder Übermittlung oder
Überlassung in das Ausland ist die Rechtmäßigkeit der Datenanwendung
im Inland gemäß § 7. Bei Überlassungen ins Ausland muß darüber
hinaus die schriftliche Zusage des ausländischen Dienstleisters an
den inländischen Auftraggeber oder in den Fällen des § 13 Abs. 5
an den inländischen Dienstleister vorliegen, daß er die
Dienstleisterpflichten gemäß § 11 Abs. 1 einhalten werde. Dies
entfällt, wenn die Dienstleistung im Ausland in Rechtsvorschriften
vorgesehen ist, die im innerstaatlichen Recht den Rang eines
Gesetzes haben und unmittelbar anwendbar sind.
notwendig und so dringlich ist, daß die gemäß § 13 erforderliche Genehmigung der Datenschutzbehörde nicht eingeholt werden kann, ohne die genannten Interessen zu gefährden, darf sie ohne Genehmigung vorgenommen werden, muß aber der Datenschutzbehörde umgehend mitgeteilt werden.
5. Voraussetzung für die Zulässigkeit jeder Übermittlung oder Überlassung in das Ausland ist die Rechtmäßigkeit der Datenanwendung im Inland gemäß § 7. Bei Überlassungen ins Ausland muß darüber hinaus die schriftliche Zusage des ausländischen Dienstleisters an den inländischen Auftraggeber oder in den Fällen des § 13 Abs. 5 an den inländischen Dienstleister vorliegen, daß er die Dienstleisterpflichten gemäß § 11 Abs. 1 einhalten werde. Dies entfällt, wenn die Dienstleistung im Ausland in Rechtsvorschriften vorgesehen ist, die im innerstaatlichen Recht den Rang eines Gesetzes haben und unmittelbar anwendbar sind.

68
dsg2000/art02-par13.md
View File

@ -1,18 +1,70 @@
§13 - Genehmigungspflichtige Übermittlung und Überlassung von Daten ins Ausland
===============================================================================
1. Soweit der Datenverkehr mit dem Ausland nicht gemäß § 12 genehmigungsfrei ist, hat der Auftraggeber vor der Übermittlung oder Überlassung von Daten in das Ausland eine Genehmigung der Datenschutzbehörde (§§ 35 ff) einzuholen. Die Datenschutzbehörde kann die Genehmigung an die Erfüllung von Bedingungen und Auflagen binden.
1. Soweit der Datenverkehr mit dem Ausland nicht gemäß § 12
genehmigungsfrei ist, hat der Auftraggeber vor der Übermittlung oder
Überlassung von Daten in das Ausland eine Genehmigung der
Datenschutzbehörde (§§ 35 ff) einzuholen. Die Datenschutzbehörde
kann die Genehmigung an die Erfüllung von Bedingungen und
Auflagen binden.
2. Die Genehmigung ist unter Beachtung der gemäß § 55 Z 2 ergangenen Kundmachungen zu erteilen, wenn die Voraussetzungen des § 12 Abs. 5 vorliegen und wenn, ungeachtet des Fehlens eines im Empfängerstaat generell geltenden angemessenen Datenschutzniveaus,
2. Die Genehmigung ist unter Beachtung der gemäß § 55 Z 2 ergangenen
Kundmachungen zu erteilen, wenn die Voraussetzungen des § 12 Abs. 5
vorliegen und wenn, ungeachtet des Fehlens eines im Empfängerstaat
generell geltenden angemessenen Datenschutzniveaus,
1. für die im Genehmigungsantrag angeführte Übermittlung oder Überlassung im konkreten Einzelfall angemessener Datenschutz besteht; dies ist unter Berücksichtigung aller Umstände zu beurteilen, die bei der Datenverwendung eine Rolle spielen, wie insbesondere die Art der verwendeten Daten, die Zweckbestimmung sowie die Dauer der geplanten Verwendung, das Herkunfts- und das Endbestimmungsland und die in dem betreffenden Drittland geltenden allgemeinen oder sektoriellen Rechtsnormen, Standesregeln und Sicherheitsstandards; oder
1. für die im Genehmigungsantrag angeführte Übermittlung oder
Überlassung im konkreten Einzelfall angemessener Datenschutz
besteht; dies ist unter Berücksichtigung aller Umstände zu
beurteilen, die bei der Datenverwendung eine Rolle spielen, wie
insbesondere die Art der verwendeten Daten, die Zweckbestimmung
sowie die Dauer der geplanten Verwendung, das Herkunfts- und das
Endbestimmungsland und die in dem betreffenden Drittland
geltenden allgemeinen oder sektoriellen Rechtsnormen,
Standesregeln und Sicherheitsstandards; oder
2. der Auftraggeber glaubhaft macht, daß die schutzwürdigen Geheimhaltungsinteressen der vom geplanten Datenverkehr Betroffenen auch im Ausland ausreichend gewahrt werden. Hiefür können insbesondere auch vertragliche Zusicherungen des Empfängers sowie einseitige Zusagen des Antragstellers (§ 19 Abs. 2) im Genehmigungsantrag über die näheren Umstände der Datenverwendung im Ausland von Bedeutung sein. Einseitige Zusagen des Antragstellers werden für diesen mit der Registrierung durch die Datenschutzbehörde verbindlich.
2. der Auftraggeber glaubhaft macht, daß die schutzwürdigen
Geheimhaltungsinteressen der vom geplanten Datenverkehr
Betroffenen auch im Ausland ausreichend gewahrt werden. Hiefür
können insbesondere auch vertragliche Zusicherungen des
Empfängers sowie einseitige Zusagen des Antragstellers (§
19 Abs. 2) im Genehmigungsantrag über die näheren Umstände der
Datenverwendung im Ausland von Bedeutung sein. Einseitige
Zusagen des Antragstellers werden für diesen mit der
Registrierung durch die Datenschutzbehörde verbindlich.
3. Bei meldepflichtigen Datenanwendungen hat die Datenschutzbehörde eine Ausfertigung jedes Bescheides, mit dem eine Übermittlung oder Überlassung von Daten in das Ausland genehmigt wurde, zum Registrierungsakt zu nehmen und die Erteilung der Genehmigung im Datenverarbeitungsregister (§ 16) anzumerken.
3. Bei meldepflichtigen Datenanwendungen hat die Datenschutzbehörde
eine Ausfertigung jedes Bescheides, mit dem eine Übermittlung oder
Überlassung von Daten in das Ausland genehmigt wurde, zum
Registrierungsakt zu nehmen und die Erteilung der Genehmigung im
Datenverarbeitungsregister (§ 16) anzumerken.
4. Abweichend von Abs. 1 kann auch ein inländischer Dienstleister die Genehmigung beantragen, wenn er zur Erfüllung seiner vertraglichen Verpflichtungen gegenüber mehreren Auftraggebern jeweils einen bestimmten weiteren Dienstleister im Ausland heranziehen will. Die tatsächliche Überlassung darf jeweils nur mit Zustimmung des Auftraggebers erfolgen. Der Auftraggeber hat der Datenschutzbehörde mitzuteilen, aus welcher seiner meldepflichtigen Datenanwendungen die dem Dienstleister genehmigte Überlassung erfolgen soll; dies ist im Datenverarbeitungsregister anzumerken.
4. Abweichend von Abs. 1 kann auch ein inländischer Dienstleister die
Genehmigung beantragen, wenn er zur Erfüllung seiner vertraglichen
Verpflichtungen gegenüber mehreren Auftraggebern jeweils einen
bestimmten weiteren Dienstleister im Ausland heranziehen will. Die
tatsächliche Überlassung darf jeweils nur mit Zustimmung des
Auftraggebers erfolgen. Der Auftraggeber hat der Datenschutzbehörde
mitzuteilen, aus welcher seiner meldepflichtigen Datenanwendungen
die dem Dienstleister genehmigte Überlassung erfolgen soll; dies ist
im Datenverarbeitungsregister anzumerken.
5. Die Übermittlung von Daten an ausländische Vertretungsbehörden oder
zwischenstaatliche Einrichtungen in Österreich gilt hinsichtlich der
Pflicht zur Einholung von Genehmigungen nach Abs. 1 als Datenverkehr
mit dem Ausland.
6. Hat der Bundeskanzler trotz Fehlens eines im Empfängerstaat generell
geltenden angemessenen Schutzniveaus durch Verordnung festgestellt,
daß für bestimmte Kategorien des Datenverkehrs mit diesem
Empfängerstaat die Voraussetzungen gemäß Abs. 2 Z 1 zutreffen, tritt
an die Stelle der Verpflichtung zur Einholung einer Genehmigung die
Pflicht zur Anzeige an die Datenschutzbehörde. Die
Datenschutzbehörde hat binnen sechs Wochen ab Einlangen der Anzeige
mit Bescheid den angezeigten Datenverkehr zu untersagen, wenn er
keiner der in der Verordnung geregelten Kategorien zuzurechnen ist
oder den Voraussetzungen gemäß § 12 Abs. 5 nicht entspricht;
andernfalls ist die Übermittlung oder Überlassung der Daten in das
Ausland zulässig.
5. Die Übermittlung von Daten an ausländische Vertretungsbehörden oder zwischenstaatliche Einrichtungen in Österreich gilt hinsichtlich der Pflicht zur Einholung von Genehmigungen nach Abs. 1 als Datenverkehr mit dem Ausland.
6. Hat der Bundeskanzler trotz Fehlens eines im Empfängerstaat generell geltenden angemessenen Schutzniveaus durch Verordnung festgestellt, daß für bestimmte Kategorien des Datenverkehrs mit diesem Empfängerstaat die Voraussetzungen gemäß Abs. 2 Z 1 zutreffen, tritt an die Stelle der Verpflichtung zur Einholung einer Genehmigung die Pflicht zur Anzeige an die Datenschutzbehörde. Die Datenschutzbehörde hat binnen sechs Wochen ab Einlangen der Anzeige mit Bescheid den angezeigten Datenverkehr zu untersagen, wenn er keiner der in der Verordnung geregelten Kategorien zuzurechnen ist oder den Voraussetzungen gemäß § 12 Abs. 5 nicht entspricht; andernfalls ist die Übermittlung oder Überlassung der Daten in das Ausland zulässig.

84
dsg2000/art02-par14.md
View File

@ -1,32 +1,86 @@
§14 - Datensicherheitsmaßnahmen
===============================
1. Für alle Organisationseinheiten eines Auftraggebers oder Dienstleisters, die Daten verwenden, sind Maßnahmen zur Gewährleistung der Datensicherheit zu treffen. Dabei ist je nach der Art der verwendeten Daten und nach Umfang und Zweck der Verwendung sowie unter Bedachtnahme auf den Stand der technischen Möglichkeiten und auf die wirtschaftliche Vertretbarkeit sicherzustellen, daß die Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust geschützt sind, daß ihre Verwendung ordnungsgemäß erfolgt und daß die Daten Unbefugten nicht zugänglich sind.
1. Für alle Organisationseinheiten eines Auftraggebers oder
Dienstleisters, die Daten verwenden, sind Maßnahmen zur
Gewährleistung der Datensicherheit zu treffen. Dabei ist je nach der
Art der verwendeten Daten und nach Umfang und Zweck der Verwendung
sowie unter Bedachtnahme auf den Stand der technischen Möglichkeiten
und auf die wirtschaftliche Vertretbarkeit sicherzustellen, daß die
Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust
geschützt sind, daß ihre Verwendung ordnungsgemäß erfolgt und daß
die Daten Unbefugten nicht zugänglich sind.
2. Insbesondere ist, soweit dies im Hinblick auf Abs. 1 letzter Satz erforderlich ist,
2. Insbesondere ist, soweit dies im Hinblick auf Abs. 1 letzter Satz
erforderlich ist,
1. die Aufgabenverteilung bei der Datenverwendung zwischen den Organisationseinheiten und zwischen den Mitarbeitern ausdrücklich festzulegen,
1. die Aufgabenverteilung bei der Datenverwendung zwischen den
Organisationseinheiten und zwischen den Mitarbeitern
ausdrücklich festzulegen,
2. die Verwendung von Daten an das Vorliegen gültiger Aufträge der anordnungsbefugten Organisationseinheiten und Mitarbeiter zu binden,
2. die Verwendung von Daten an das Vorliegen gültiger Aufträge der
anordnungsbefugten Organisationseinheiten und Mitarbeiter zu
binden,
3. jeder Mitarbeiter über seine nach diesem Bundesgesetz und nach innerorganisatorischen Datenschutzvorschriften einschließlich der Datensicherheitsvorschriften bestehenden Pflichten zu belehren,
3. jeder Mitarbeiter über seine nach diesem Bundesgesetz und nach
innerorganisatorischen Datenschutzvorschriften einschließlich
der Datensicherheitsvorschriften bestehenden Pflichten zu
belehren,
4. die Zutrittsberechtigung zu den Räumlichkeiten des Auftraggebers oder Dienstleisters zu regeln,
4. die Zutrittsberechtigung zu den Räumlichkeiten des Auftraggebers
oder Dienstleisters zu regeln,
5. die Zugriffsberechtigung auf Daten und Programme und der Schutz der Datenträger vor der Einsicht und Verwendung durch Unbefugte zu regeln,
5. die Zugriffsberechtigung auf Daten und Programme und der Schutz
der Datenträger vor der Einsicht und Verwendung durch Unbefugte
zu regeln,
6. die Berechtigung zum Betrieb der Datenverarbeitungsgeräte festzulegen und jedes Gerät durch Vorkehrungen bei den eingesetzten Maschinen oder Programmen gegen die unbefugte Inbetriebnahme abzusichern,
6. die Berechtigung zum Betrieb der Datenverarbeitungsgeräte
festzulegen und jedes Gerät durch Vorkehrungen bei den
eingesetzten Maschinen oder Programmen gegen die unbefugte
Inbetriebnahme abzusichern,
7. Protokoll zu führen, damit tatsächlich durchgeführte Verwendungsvorgänge, wie insbesondere Änderungen, Abfragen und Übermittlungen, im Hinblick auf ihre Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können,
7. Protokoll zu führen, damit tatsächlich durchgeführte
Verwendungsvorgänge, wie insbesondere Änderungen, Abfragen und
Übermittlungen, im Hinblick auf ihre Zulässigkeit im notwendigen
Ausmaß nachvollzogen werden können,
8. eine Dokumentation über die nach Z 1 bis 7 getroffenen Maßnahmen zu führen, um die Kontrolle und Beweissicherung zu erleichtern.
8. eine Dokumentation über die nach Z 1 bis 7 getroffenen Maßnahmen
zu führen, um die Kontrolle und Beweissicherung zu erleichtern.
Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik und der bei der Durchführung erwachsenden Kosten ein Schutzniveau gewährleisten, das den von der Verwendung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist.
Diese Maßnahmen müssen unter Berücksichtigung des Standes der
Technik und der bei der Durchführung erwachsenden Kosten ein
Schutzniveau gewährleisten, das den von der Verwendung ausgehenden
Risiken und der Art der zu schützenden Daten angemessen ist.
3. Nicht registrierte Übermittlungen aus Datenanwendungen, die einer Verpflichtung zur Auskunftserteilung gemäß § 26 unterliegen, sind so zu protokollieren, daß dem Betroffenen Auskunft gemäß § 26 gegeben werden kann. In der Standardverordnung (§ 17 Abs. 2 Z 6) oder in der Musterverordnung (§ 19 Abs. 2) vorgesehene Übermittlungen bedürfen keiner Protokollierung.
3. Nicht registrierte Übermittlungen aus Datenanwendungen, die einer
Verpflichtung zur Auskunftserteilung gemäß § 26 unterliegen, sind so
zu protokollieren, daß dem Betroffenen Auskunft gemäß § 26 gegeben
werden kann. In der Standardverordnung (§ 17 Abs. 2 Z 6) oder in der
Musterverordnung (§ 19 Abs. 2) vorgesehene Übermittlungen bedürfen
keiner Protokollierung.
4. Protokoll- und Dokumentationsdaten dürfen nicht für Zwecke verwendet werden, die mit ihrem Ermittlungszweck das ist die Kontrolle der Zulässigkeit der Verwendung des protokollierten oder dokumentierten Datenbestandes unvereinbar sind. Unvereinbar ist insbesondere die Weiterverwendung zum Zweck der Kontrolle von Betroffenen, deren Daten im protokollierten Datenbestand enthalten sind, oder zum Zweck der Kontrolle jener Personen, die auf den protokollierten Datenbestand zugegriffen haben, aus einem anderen Grund als jenem der Prüfung ihrer Zugriffsberechtigung, es sei denn, daß es sich um die Verwendung zum Zweck der Verhinderung oder Verfolgung eines Verbrechens nach § 278a StGB (kriminelle Organisation) oder eines Verbrechens mit einer Freiheitsstrafe, deren Höchstmaß fünf Jahre übersteigt, handelt.
4. Protokoll- und Dokumentationsdaten dürfen nicht für Zwecke verwendet
werden, die mit ihrem Ermittlungszweck das ist die Kontrolle der
Zulässigkeit der Verwendung des protokollierten oder dokumentierten
Datenbestandes unvereinbar sind. Unvereinbar ist insbesondere die
Weiterverwendung zum Zweck der Kontrolle von Betroffenen, deren
Daten im protokollierten Datenbestand enthalten sind, oder zum Zweck
der Kontrolle jener Personen, die auf den protokollierten
Datenbestand zugegriffen haben, aus einem anderen Grund als jenem
der Prüfung ihrer Zugriffsberechtigung, es sei denn, daß es sich um
die Verwendung zum Zweck der Verhinderung oder Verfolgung eines
Verbrechens nach § 278a StGB (kriminelle Organisation) oder eines
Verbrechens mit einer Freiheitsstrafe, deren Höchstmaß fünf Jahre
übersteigt, handelt.
5. Sofern gesetzlich nicht ausdrücklich anderes angeordnet ist, sind
Protokoll- und Dokumentationsdaten drei Jahre lang aufzubewahren.
Davon darf in jenem Ausmaß abgewichen werden, als der von der
Protokollierung oder Dokumentation betroffene Datenbestand
zulässigerweise früher gelöscht oder länger aufbewahrt wird.
6. Datensicherheitsvorschriften sind so zu erlassen und zur Verfügung
zu halten, daß sich die Mitarbeiter über die für sie geltenden
Regelungen jederzeit informieren können.
5. Sofern gesetzlich nicht ausdrücklich anderes angeordnet ist, sind Protokoll- und Dokumentationsdaten drei Jahre lang aufzubewahren. Davon darf in jenem Ausmaß abgewichen werden, als der von der Protokollierung oder Dokumentation betroffene Datenbestand zulässigerweise früher gelöscht oder länger aufbewahrt wird.
6. Datensicherheitsvorschriften sind so zu erlassen und zur Verfügung zu halten, daß sich die Mitarbeiter über die für sie geltenden Regelungen jederzeit informieren können.

33
dsg2000/art02-par15.md
View File

@ -1,10 +1,35 @@
§15 - Datengeheimnis
====================
1. Auftraggeber, Dienstleister und ihre Mitarbeiter das sind Arbeitnehmer (Dienstnehmer) und Personen in einem arbeitnehmerähnlichen (dienstnehmerähnlichen) Verhältnis haben Daten aus Datenanwendungen, die ihnen ausschließlich auf Grund ihrer berufsmäßigen Beschäftigung anvertraut wurden oder zugänglich geworden sind, unbeschadet sonstiger gesetzlicher Verschwiegenheitspflichten, geheim zu halten, soweit kein rechtlich zulässiger Grund für eine Übermittlung der anvertrauten oder zugänglich gewordenen Daten besteht (Datengeheimnis).
1. Auftraggeber, Dienstleister und ihre Mitarbeiter das sind
Arbeitnehmer (Dienstnehmer) und Personen in einem
arbeitnehmerähnlichen (dienstnehmerähnlichen) Verhältnis haben
Daten aus Datenanwendungen, die ihnen ausschließlich auf Grund ihrer
berufsmäßigen Beschäftigung anvertraut wurden oder zugänglich
geworden sind, unbeschadet sonstiger gesetzlicher
Verschwiegenheitspflichten, geheim zu halten, soweit kein rechtlich
zulässiger Grund für eine Übermittlung der anvertrauten oder
zugänglich gewordenen Daten besteht (Datengeheimnis).
2. Mitarbeiter dürfen Daten nur auf Grund einer ausdrücklichen Anordnung ihres Arbeitgebers (Dienstgebers) übermitteln. Auftraggeber und Dienstleister haben, sofern eine solche Verpflichtung ihrer Mitarbeiter nicht schon kraft Gesetzes besteht, diese vertraglich zu verpflichten, daß sie Daten aus Datenanwendungen nur auf Grund von Anordnungen übermitteln und das Datengeheimnis auch nach Beendigung des Arbeits(Dienst)verhältnisses zum Auftraggeber oder Dienstleister einhalten werden.
2. Mitarbeiter dürfen Daten nur auf Grund einer ausdrücklichen
Anordnung ihres Arbeitgebers (Dienstgebers) übermitteln.
Auftraggeber und Dienstleister haben, sofern eine solche
Verpflichtung ihrer Mitarbeiter nicht schon kraft Gesetzes besteht,
diese vertraglich zu verpflichten, daß sie Daten aus
Datenanwendungen nur auf Grund von Anordnungen übermitteln und das
Datengeheimnis auch nach Beendigung des Arbeits(Dienst)verhältnisses
zum Auftraggeber oder Dienstleister einhalten werden.
3. Auftraggeber und Dienstleister dürfen Anordnungen zur Übermittlung
von Daten nur erteilen, wenn dies nach den Bestimmungen dieses
Bundesgesetzes zulässig ist. Sie haben die von der Anordnung
betroffenen Mitarbeiter über die für sie geltenden
Übermittlungsanordnungen und über die Folgen einer Verletzung des
Datengeheimnisses zu belehren.
4. Unbeschadet des verfassungsrechtlichen Weisungsrechts darf einem
Mitarbeiter aus der Verweigerung der Befolgung einer Anordnung zur
Datenübermittlung wegen Verstoßes gegen die Bestimmungen dieses
Bundesgesetzes kein Nachteil erwachsen.
3. Auftraggeber und Dienstleister dürfen Anordnungen zur Übermittlung von Daten nur erteilen, wenn dies nach den Bestimmungen dieses Bundesgesetzes zulässig ist. Sie haben die von der Anordnung betroffenen Mitarbeiter über die für sie geltenden Übermittlungsanordnungen und über die Folgen einer Verletzung des Datengeheimnisses zu belehren.
4. Unbeschadet des verfassungsrechtlichen Weisungsrechts darf einem Mitarbeiter aus der Verweigerung der Befolgung einer Anordnung zur Datenübermittlung wegen Verstoßes gegen die Bestimmungen dieses Bundesgesetzes kein Nachteil erwachsen.

19
dsg2000/art02-par16.md
View File

@ -1,8 +1,21 @@
§16 - Datenverarbeitungsregister
================================
1. Die Datenschutzbehörde hat ein Register der Auftraggeber mit den von ihnen betriebenen Datenanwendungen zum Zweck der Information der Betroffenen zu führen.
1. Die Datenschutzbehörde hat ein Register der Auftraggeber mit den von
ihnen betriebenen Datenanwendungen zum Zweck der Information der
Betroffenen zu führen.
2. Jedermann kann in das Register Einsicht nehmen. In den
Registrierungsakt einschließlich darin allenfalls enthaltener
Genehmigungsbescheide ist Einsicht zu gewähren, wenn der
Einsichtswerber glaubhaft macht, daß er Betroffener ist, und soweit
nicht überwiegende schutzwürdige Geheimhaltungsinteressen des
Auftraggebers oder anderer Personen entgegenstehen.
3. Der Bundeskanzler hat die näheren Bestimmungen über die Führung des
Registers durch Verordnung zu erlassen. Dabei ist auf die
Richtigkeit und Vollständigkeit des Registers, die Übersichtlichkeit
und Aussagekraft der Eintragungen und die Einfachheit der
Einsichtnahme Bedacht zu nehmen.
2. Jedermann kann in das Register Einsicht nehmen. In den Registrierungsakt einschließlich darin allenfalls enthaltener Genehmigungsbescheide ist Einsicht zu gewähren, wenn der Einsichtswerber glaubhaft macht, daß er Betroffener ist, und soweit nicht überwiegende schutzwürdige Geheimhaltungsinteressen des Auftraggebers oder anderer Personen entgegenstehen.
3. Der Bundeskanzler hat die näheren Bestimmungen über die Führung des Registers durch Verordnung zu erlassen. Dabei ist auf die Richtigkeit und Vollständigkeit des Registers, die Übersichtlichkeit und Aussagekraft der Eintragungen und die Einfachheit der Einsichtnahme Bedacht zu nehmen.

65
dsg2000/art02-par17.md
View File

@ -1,34 +1,67 @@
§17 - Meldepflicht des Auftraggebers
====================================
1. Jeder Auftraggeber hat, soweit in den Abs. 2 und 3 nicht anderes bestimmt ist, vor Aufnahme einer Datenanwendung eine Meldung an die Datenschutzbehörde mit dem in § 19 festgelegten Inhalt zum Zweck der Registrierung im Datenverarbeitungsregister zu erstatten. Diese Meldepflicht gilt auch für Umstände, die nachträglich die Unrichtigkeit und Unvollständigkeit einer Meldung bewirken (Änderungsmeldung). Für manuelle Dateien besteht eine Meldepflicht nur, soweit die Inhalte zumindest einen der Tatbestände des § 18 Abs. 2 Z 1 bis 3 erfüllen.
1. Jeder Auftraggeber hat, soweit in den Abs. 2 und 3 nicht anderes
bestimmt ist, vor Aufnahme einer Datenanwendung eine Meldung an die
Datenschutzbehörde mit dem in § 19 festgelegten Inhalt zum Zweck der
Registrierung im Datenverarbeitungsregister zu erstatten. Diese
Meldepflicht gilt auch für Umstände, die nachträglich die
Unrichtigkeit und Unvollständigkeit einer Meldung
bewirken (Änderungsmeldung). Für manuelle Dateien besteht eine
Meldepflicht nur, soweit die Inhalte zumindest einen der Tatbestände
des § 18 Abs. 2 Z 1 bis 3 erfüllen.
1a. Die Meldung ist in elektronischer Form im Wege der vom Bundeskanzler bereit zu stellenden Internetanwendung einzubringen. Die Identifizierung und Authentifizierung kann insbesondere durch die Bürgerkarte (§ 2 Z 10 des E-Government-Gesetzes, BGBl. I Nr. 10/2004) erfolgen. Nähere Bestimmungen über die Identifizierung und Authentifizierung sind in die gemäß § 16 Abs. 3 zu erlassende Verordnung aufzunehmen. Eine Meldung in Form von E-Mail oder in nicht-elektronischer Form ist für manuelle Dateien sowie bei einem längeren technischen Ausfall der Internetanwendung zulässig.
1a. Die Meldung ist in elektronischer Form im Wege der vom
Bundeskanzler bereit zu stellenden Internetanwendung einzubringen.
Die Identifizierung und Authentifizierung kann insbesondere durch
die Bürgerkarte (§ 2 Z 10 des E-Government-Gesetzes, BGBl. I Nr.
10/2004) erfolgen. Nähere Bestimmungen über die Identifizierung und
Authentifizierung sind in die gemäß § 16 Abs. 3 zu erlassende
Verordnung aufzunehmen. Eine Meldung in Form von E-Mail oder in
nicht-elektronischer Form ist für manuelle Dateien sowie bei einem
längeren technischen Ausfall der Internetanwendung zulässig.
2. Nicht meldepflichtig sind Datenanwendungen, die
2. Nicht meldepflichtig sind Datenanwendungen, die
1. ausschließlich veröffentlichte Daten enthalten oder
1. ausschließlich veröffentlichte Daten enthalten oder
2. die Führung von Registern oder Verzeichnissen zum Inhalt haben, die von Gesetzes wegen öffentlich einsehbar sind, sei es auch nur bei Nachweis eines berechtigten Interesses oder
2. die Führung von Registern oder Verzeichnissen zum Inhalt haben,
die von Gesetzes wegen öffentlich einsehbar sind, sei es auch
nur bei Nachweis eines berechtigten Interesses oder
3. nur indirekt personenbezogene Daten enthalten oder
3. nur indirekt personenbezogene Daten enthalten oder
4. von natürlichen Personen ausschließlich für persönliche oder familiäre Tätigkeiten vorgenommen werden (§ 45) oder
4. von natürlichen Personen ausschließlich für persönliche oder
familiäre Tätigkeiten vorgenommen werden (§ 45) oder
5. für publizistische Tätigkeit gemäß § 48 vorgenommen werden oder
5. für publizistische Tätigkeit gemäß § 48 vorgenommen werden oder
6. einer Standardanwendung entsprechen: Der Bundeskanzler kann durch Verordnung Typen von Datenanwendungen und Übermittlungen aus diesen zu Standardanwendungen erklären, wenn sie von einer großen Anzahl von Auftraggebern in gleichartiger Weise vorgenommen werden und angesichts des Verwendungszwecks und der verarbeiteten Datenarten die Gefährdung schutzwürdiger Geheimhaltungsinteressen der Betroffenen unwahrscheinlich ist. In der Verordnung sind für jede Standardanwendung die zulässigen Datenarten, die Betroffenen- und Empfängerkreise und die Höchstdauer der zulässigen Datenaufbewahrung festzulegen.
6. einer Standardanwendung entsprechen: Der Bundeskanzler kann
durch Verordnung Typen von Datenanwendungen und Übermittlungen
aus diesen zu Standardanwendungen erklären, wenn sie von einer
großen Anzahl von Auftraggebern in gleichartiger Weise
vorgenommen werden und angesichts des Verwendungszwecks und der
verarbeiteten Datenarten die Gefährdung schutzwürdiger
Geheimhaltungsinteressen der Betroffenen unwahrscheinlich ist.
In der Verordnung sind für jede Standardanwendung die zulässigen
Datenarten, die Betroffenen- und Empfängerkreise und die
Höchstdauer der zulässigen Datenaufbewahrung festzulegen.
3. Weiters sind Datenanwendungen für Zwecke
3. Weiters sind Datenanwendungen für Zwecke
1. des Schutzes der verfassungsmäßigen Einrichtungen der Republik Österreich oder
1. des Schutzes der verfassungsmäßigen Einrichtungen der Republik
Österreich oder
2. der Sicherung der Einsatzbereitschaft des Bundesheeres oder
2. der Sicherung der Einsatzbereitschaft des Bundesheeres oder
3. der Sicherstellung der Interessen der umfassenden Landesverteidigung oder
3. der Sicherstellung der Interessen der umfassenden
Landesverteidigung oder
4. des Schutzes wichtiger außenpolitischer, wirtschaftlicher oder finanzieller Interessen der Republik Österreich oder der Europäischen Union oder
4. des Schutzes wichtiger außenpolitischer, wirtschaftlicher oder
finanzieller Interessen der Republik Österreich oder der
Europäischen Union oder
5. der Vorbeugung, Verhinderung oder Verfolgung von Straftaten
5. der Vorbeugung, Verhinderung oder Verfolgung von Straftaten
von der Meldepflicht ausgenommen, soweit dies zur Verwirklichung des Zweckes der Datenanwendung notwendig ist.
von der Meldepflicht ausgenommen, soweit dies zur Verwirklichung des
Zweckes der Datenanwendung notwendig ist.

27
dsg2000/art02-par18.md
View File

@ -1,16 +1,29 @@
§18 - Aufnahme der Verarbeitung
===============================
1. Der Vollbetrieb einer meldepflichtigen Datenanwendung darf außer in den Fällen des Abs. 2 unmittelbar nach Abgabe der Meldung aufgenommen werden.
1. Der Vollbetrieb einer meldepflichtigen Datenanwendung darf außer
in den Fällen des Abs. 2 unmittelbar nach Abgabe der Meldung
aufgenommen werden.
2. Meldepflichtige Datenanwendungen, die weder einer Musteranwendung nach § 19 Abs. 2 entsprechen, noch innere Angelegenheiten der anerkannten Kirchen und Religionsgesellschaften noch die Verwendung von Daten im Katastrophenfall für die in § 48a Abs. 1 genannten Zwecke betreffen, dürfen, wenn sie
2. Meldepflichtige Datenanwendungen, die weder einer Musteranwendung
nach § 19 Abs. 2 entsprechen, noch innere Angelegenheiten der
anerkannten Kirchen und Religionsgesellschaften noch die Verwendung
von Daten im Katastrophenfall für die in § 48a Abs. 1 genannten
Zwecke betreffen, dürfen, wenn sie
1. sensible Daten enthalten oder
1. sensible Daten enthalten oder
2. strafrechtlich relevante Daten im Sinne des § 8 Abs. 4 enthalten oder
2. strafrechtlich relevante Daten im Sinne des § 8 Abs. 4 enthalten
oder
3. die Auskunftserteilung über die Kreditwürdigkeit der Betroffenen zum Zweck haben oder
3. die Auskunftserteilung über die Kreditwürdigkeit der Betroffenen
zum Zweck haben oder
4. in Form eines Informationsverbundsystems durchgeführt werden
sollen,
erst nach ihrer Prüfung (Vorabkontrolle) durch die
Datenschutzbehörde nach den näheren Bestimmungen des § 20
aufgenommen werden.
4. in Form eines Informationsverbundsystems durchgeführt werden sollen,
erst nach ihrer Prüfung (Vorabkontrolle) durch die Datenschutzbehörde nach den näheren Bestimmungen des § 20 aufgenommen werden.

78
dsg2000/art02-par19.md
View File

@ -1,32 +1,80 @@
§19 - Notwendiger Inhalt der Meldung
====================================
1. Eine Meldung im Sinne des § 17 hat zu enthalten:
1. Eine Meldung im Sinne des § 17 hat zu enthalten:
1. den Namen (die sonstige Bezeichnung) und die Anschrift des Auftraggebers sowie eines allfälligen Vertreters gemäß § 6 Abs. 3 oder eines Betreibers gemäß § 50 Abs. 1, weiters die Registernummer des Auftraggebers, sofern ihm eine solche bereits zugeteilt wurde, und
1. den Namen (die sonstige Bezeichnung) und die Anschrift des
Auftraggebers sowie eines allfälligen Vertreters gemäß § 6 Abs.
3 oder eines Betreibers gemäß § 50 Abs. 1, weiters die
Registernummer des Auftraggebers, sofern ihm eine solche bereits
zugeteilt wurde, und
2. den Nachweis der gesetzlichen Zuständigkeit oder der rechtlichen Befugnis für die erlaubte Ausübung der Tätigkeit des Auftraggebers, soweit dies erforderlich ist, und
2. den Nachweis der gesetzlichen Zuständigkeit oder der rechtlichen
Befugnis für die erlaubte Ausübung der Tätigkeit des
Auftraggebers, soweit dies erforderlich ist, und
3. den Zweck der zu registrierenden Datenanwendung und ihre Rechtsgrundlagen, soweit sich diese nicht bereits aus den Angaben nach Z 2 ergeben, und
3. den Zweck der zu registrierenden Datenanwendung und ihre
Rechtsgrundlagen, soweit sich diese nicht bereits aus den
Angaben nach Z 2 ergeben, und
a. die Erklärung, ob die Datenanwendung einen oder mehrere der in § 18 Abs. 2 Z 1 bis 4 oder § 50c Abs. 1 zweiter Satz genannten Tatbestände für die Vorabkontrollpflicht erfüllt, und
a. die Erklärung, ob die Datenanwendung einen oder mehrere der
in § 18 Abs. 2 Z 1 bis 4 oder § 50c Abs. 1 zweiter Satz
genannten Tatbestände für die Vorabkontrollpflicht erfüllt,
und
4. die Kreise der von der Datenanwendung Betroffenen und die über sie verarbeiteten Datenarten und
4. die Kreise der von der Datenanwendung Betroffenen und die über
sie verarbeiteten Datenarten und
5. die Kreise der von beabsichtigten Übermittlungen Betroffenen, die zu übermittelnden Datenarten und die zugehörigen Empfängerkreise einschließlich allfälliger ausländischer Empfängerstaaten sowie die Rechtsgrundlagen der Übermittlung und
5. die Kreise der von beabsichtigten Übermittlungen Betroffenen,
die zu übermittelnden Datenarten und die zugehörigen
Empfängerkreise einschließlich allfälliger ausländischer
Empfängerstaaten sowie die Rechtsgrundlagen der Übermittlung
und
6. soweit eine Genehmigung der Datenschutzbehörde notwendig ist die Geschäftszahl der Genehmigung durch die Datenschutzbehörde sowie
6. soweit eine Genehmigung der Datenschutzbehörde notwendig ist
die Geschäftszahl der Genehmigung durch die Datenschutzbehörde
sowie
7. allgemeine Angaben über die getroffenen Datensicherheitsmaßnahmen im Sinne des § 14, die eine vorläufige Beurteilung der Angemessenheit der Sicherheitsvorkehrungen erlauben.
7. allgemeine Angaben über die getroffenen
Datensicherheitsmaßnahmen im Sinne des § 14, die eine vorläufige
Beurteilung der Angemessenheit der
Sicherheitsvorkehrungen erlauben.
2. Der Auftrageber kann bei Einbringung der Meldung oder danach bis zum Abschluss des Registrierungsverfahrens zusagen, dass er sich beim Betrieb der Datenanwendung bestimmten Auflagen oder Bedingungen unterwerfen oder die Datenanwendung nur befristet betreiben wird. Eine derartige Zusage wird für den Auftraggeber mit der Registrierung durch die Datenschutzbehörde rechtsverbindlich. Eine Registrierung darf nur erfolgen, wenn die zugesagte Auflage, Bedingung oder Befristung derart bestimmt ist, dass sie auch von der Datenschutzbehörde nach § 21 Abs. 2 ausgesprochen werden könnte.
2. Der Auftrageber kann bei Einbringung der Meldung oder danach bis zum
Abschluss des Registrierungsverfahrens zusagen, dass er sich beim
Betrieb der Datenanwendung bestimmten Auflagen oder Bedingungen
unterwerfen oder die Datenanwendung nur befristet betreiben wird.
Eine derartige Zusage wird für den Auftraggeber mit der
Registrierung durch die Datenschutzbehörde rechtsverbindlich. Eine
Registrierung darf nur erfolgen, wenn die zugesagte Auflage,
Bedingung oder Befristung derart bestimmt ist, dass sie auch von der
Datenschutzbehörde nach § 21 Abs. 2 ausgesprochen werden könnte.
3. Wenn eine größere Anzahl von Auftraggebern gleichartige Datenanwendungen vorzunehmen hat und die Voraussetzungen für die Erklärung zur Standardanwendung nicht vorliegen, kann der Bundeskanzler durch Verordnung Musteranwendungen festlegen. Meldungen über Datenanwendungen, die inhaltlich einer Musteranwendung entsprechen, müssen nur folgendes enthalten:
3. Wenn eine größere Anzahl von Auftraggebern gleichartige
Datenanwendungen vorzunehmen hat und die Voraussetzungen für die
Erklärung zur Standardanwendung nicht vorliegen, kann der
Bundeskanzler durch Verordnung Musteranwendungen festlegen.
Meldungen über Datenanwendungen, die inhaltlich einer
Musteranwendung entsprechen, müssen nur folgendes enthalten:
1. die Bezeichnung der Datenanwendung gemäß der Musterverordnung und
1. die Bezeichnung der Datenanwendung gemäß der Musterverordnung
und
2. die Bezeichnung und Anschrift des Auftraggebers sowie den Nachweis seiner gesetzlichen Zuständigkeit oder seiner rechtlichen Befugnis, soweit dies erforderlich ist, und
2. die Bezeichnung und Anschrift des Auftraggebers sowie den
Nachweis seiner gesetzlichen Zuständigkeit oder seiner
rechtlichen Befugnis, soweit dies erforderlich ist, und
3. die Registernummer des Auftraggebers, sofern ihm eine solche
bereits zugeteilt wurde.
4. Eine Meldung ist mangelhaft, wenn Angaben fehlen, offenbar
unrichtig, unstimmig oder so unzureichend sind, daß Einsichtnehmer
im Hinblick auf die Wahrnehmung ihrer Rechte nach diesem
Bundesgesetz keine hinreichende Information darüber gewinnen können,
ob durch die Datenanwendung ihre schutzwürdigen
Geheimhaltungsinteressen verletzt sein könnten. Unstimmigkeit liegt
insbesondere auch dann vor, wenn der Inhalt einer gemeldeten
Datenanwendung durch die gemeldeten Rechtsgrundlagen nicht
gedeckt ist.
3. die Registernummer des Auftraggebers, sofern ihm eine solche bereits zugeteilt wurde.
4. Eine Meldung ist mangelhaft, wenn Angaben fehlen, offenbar unrichtig, unstimmig oder so unzureichend sind, daß Einsichtnehmer im Hinblick auf die Wahrnehmung ihrer Rechte nach diesem Bundesgesetz keine hinreichende Information darüber gewinnen können, ob durch die Datenanwendung ihre schutzwürdigen Geheimhaltungsinteressen verletzt sein könnten. Unstimmigkeit liegt insbesondere auch dann vor, wenn der Inhalt einer gemeldeten Datenanwendung durch die gemeldeten Rechtsgrundlagen nicht gedeckt ist.

43
dsg2000/art02-par20.md
View File

@ -1,18 +1,45 @@
§20 - Prüfungs- und Verbesserungsverfahren
==========================================
1. Meldungen von Datenanwendungen, die nach Angabe des Auftraggebers nicht einen der Tatbestände des § 18 Abs. 2 Z 1 bis 4 erfüllen, sind nur automationsunterstützt auf ihre Vollständigkeit und Plausibilität zu prüfen. Ist demnach die Meldung nicht fehlerhaft, so ist sie sofort zu registrieren.
1. Meldungen von Datenanwendungen, die nach Angabe des Auftraggebers
nicht einen der Tatbestände des § 18 Abs. 2 Z 1 bis 4 erfüllen, sind
nur automationsunterstützt auf ihre Vollständigkeit und
Plausibilität zu prüfen. Ist demnach die Meldung nicht fehlerhaft,
so ist sie sofort zu registrieren.
2. Wird bei der automationsunterstützten Prüfung ein Fehler der Meldung festgestellt, so ist dem Auftraggeber die Möglichkeit zur Verbesserung einzuräumen. Gleichzeitig ist er darauf hinzuweisen, dass die Meldung als nicht eingebracht gilt, wenn keine Verbesserung erfolgt oder er auf der Einbringung der unverbesserten Meldung besteht. Im letztgenannten Fall kann der Einbringer die Meldung schriftlich unter Anschluss der ausgedruckten Fehlermeldung der Datenschutzbehörde übermitteln, welche die Meldung auf Mangelhaftigkeit im Sinn des § 19 Abs. 4 zu prüfen hat.
2. Wird bei der automationsunterstützten Prüfung ein Fehler der Meldung
festgestellt, so ist dem Auftraggeber die Möglichkeit zur
Verbesserung einzuräumen. Gleichzeitig ist er darauf hinzuweisen,
dass die Meldung als nicht eingebracht gilt, wenn keine Verbesserung
erfolgt oder er auf der Einbringung der unverbesserten
Meldung besteht. Im letztgenannten Fall kann der Einbringer die
Meldung schriftlich unter Anschluss der ausgedruckten Fehlermeldung
der Datenschutzbehörde übermitteln, welche die Meldung auf
Mangelhaftigkeit im Sinn des § 19 Abs. 4 zu prüfen hat.
3. Meldungen, die der Auftraggeber als vorabkontrollpflichtig bezeichnet hat oder von diesem zulässigerweise nicht im Wege der Internetanwendung (§ 17 Abs. 1a) eingebracht wurden, sind auf Mangelhaftigkeit im Sinn des § 19 Abs. 4 zu prüfen.
3. Meldungen, die der Auftraggeber als vorabkontrollpflichtig
bezeichnet hat oder von diesem zulässigerweise nicht im Wege der
Internetanwendung (§ 17 Abs. 1a) eingebracht wurden, sind auf
Mangelhaftigkeit im Sinn des § 19 Abs. 4 zu prüfen.
4. Ergibt die Prüfung nach § 19 Abs. 4 eine Mangelhaftigkeit der Meldung, so ist dem Auftraggeber innerhalb von zwei Monaten nach Einlangen der Meldung die Verbesserung unter Setzung einer angemessenen Frist aufzutragen. Im Verbesserungsauftrag ist auf die Rechtsfolgen einer Nichtbefolgung nach Abs. 5 hinzuweisen.
4. Ergibt die Prüfung nach § 19 Abs. 4 eine Mangelhaftigkeit der
Meldung, so ist dem Auftraggeber innerhalb von zwei Monaten nach
Einlangen der Meldung die Verbesserung unter Setzung einer
angemessenen Frist aufzutragen. Im Verbesserungsauftrag ist auf die
Rechtsfolgen einer Nichtbefolgung nach Abs. 5 hinzuweisen.
5. Wird dem Verbesserungsauftrag nicht entsprochen, ist die Registrierung der Meldung durch eine schriftliche Mitteilung abzulehnen. In die Mitteilung sind aufzunehmen:
5. Wird dem Verbesserungsauftrag nicht entsprochen, ist die
Registrierung der Meldung durch eine schriftliche
Mitteilung abzulehnen. In die Mitteilung sind aufzunehmen:
1. die Punkte, in denen der Verbesserungsauftrag nicht erfüllt wurde und
1. die Punkte, in denen der Verbesserungsauftrag nicht erfüllt
wurde und
2. der Hinweis, dass innerhalb von zwei Wochen ab Zustellung bei
der Datenschutzbehörde ein Antrag gestellt werden kann, über die
Ablehnung mit Bescheid abzusprechen.
Nach Absendung der Mitteilung erstattete Verbesserungen sind nicht
zu berücksichtigen.
2. der Hinweis, dass innerhalb von zwei Wochen ab Zustellung bei der Datenschutzbehörde ein Antrag gestellt werden kann, über die Ablehnung mit Bescheid abzusprechen.
Nach Absendung der Mitteilung erstattete Verbesserungen sind nicht zu berücksichtigen.

41
dsg2000/art02-par21.md
View File

@ -1,22 +1,43 @@
§21 - Registrierung
===================
1. Meldungen gemäß § 19 sind in das Datenverarbeitungsregister einzutragen, wenn
1. Meldungen gemäß § 19 sind in das Datenverarbeitungsregister
einzutragen, wenn
1. das Prüfungsverfahren nach § 20 Abs. 1 keinen Fehler ergeben hat oder
1. das Prüfungsverfahren nach § 20 Abs. 1 keinen Fehler ergeben hat
oder
2. das Prüfungsverfahren nach § 20 Abs. 2 und 3 keine Mangelhaftigkeit der Meldung ergeben hat oder
2. das Prüfungsverfahren nach § 20 Abs. 2 und 3 keine
Mangelhaftigkeit der Meldung ergeben hat oder
3. nach Einlangen einer auf Mangelhaftigkeit zu prüfenden Meldung bei der Datenschutzbehörde zwei Monate verstrichen sind, ohne dass ein Verbesserungsauftrag gemäß § 20 Abs. 4 erteilt wurde oder
3. nach Einlangen einer auf Mangelhaftigkeit zu prüfenden Meldung
bei der Datenschutzbehörde zwei Monate verstrichen sind, ohne
dass ein Verbesserungsauftrag gemäß § 20 Abs. 4 erteilt wurde
oder
4. der Auftraggeber die aufgetragenen Verbesserungen (§ 20 Abs. 2 und 4) vorgenommen hat.
4. der Auftraggeber die aufgetragenen Verbesserungen (§ 20 Abs. 2
und 4) vorgenommen hat.
Die in der Meldung enthaltenen Angaben über Datensicherheitsmaßnahmen sind im Register nicht ersichtlich zu machen.
Die in der Meldung enthaltenen Angaben über
Datensicherheitsmaßnahmen sind im Register nicht ersichtlich
zu machen.
2. Bei Datenanwendungen, die gemäß § 18 der Vorabkontrolle unterliegen, können auf Grund der Ergebnisse des Prüfungsverfahrens dem Auftraggeber Auflagen, Bedingungen oder Befristungen für die Vornahme der Datenanwendung durch Bescheid erteilt werden, soweit dies zur Wahrung der durch dieses Bundesgesetz geschützten Interessen der Betroffenen notwendig ist.
2. Bei Datenanwendungen, die gemäß § 18 der Vorabkontrolle unterliegen,
können auf Grund der Ergebnisse des Prüfungsverfahrens dem
Auftraggeber Auflagen, Bedingungen oder Befristungen für die
Vornahme der Datenanwendung durch Bescheid erteilt werden, soweit
dies zur Wahrung der durch dieses Bundesgesetz geschützten
Interessen der Betroffenen notwendig ist.
3. Der Auftraggeber ist von der Durchführung und vom Inhalt der Registrierung in geeigneter Weise zu verständigen.
3. Der Auftraggeber ist von der Durchführung und vom Inhalt der
Registrierung in geeigneter Weise zu verständigen.
4. Jedem Auftraggeber ist bei der erstmaligen Registrierung eine
Registernummer zuzuteilen.
5. Hat die automationsunterstützte Prüfung nach § 20 Abs. 1 keine
Fehlerhaftigkeit der Meldung ergeben, so ist in die Registrierung
ein Vermerk aufzunehmen, dass der Meldungsinhalt nur
automationsunterstützt geprüft wurde.
4. Jedem Auftraggeber ist bei der erstmaligen Registrierung eine Registernummer zuzuteilen.
5. Hat die automationsunterstützte Prüfung nach § 20 Abs. 1 keine Fehlerhaftigkeit der Meldung ergeben, so ist in die Registrierung ein Vermerk aufzunehmen, dass der Meldungsinhalt nur automationsunterstützt geprüft wurde.

33
dsg2000/art02-par22.md
View File

@ -1,10 +1,35 @@
§22 - Richtigstellung des Registers und Rechtsnachfolge
=======================================================
1. Streichungen aus dem Register und sonstige Änderungen des Registers sind auf Grund einer Änderungsmeldung des registrierten Auftraggebers oder von Amts wegen in den Fällen des Abs. 2, des § 22a Abs. 2 und des § 30 Abs. 6a vorzunehmen. Derartige Änderungen sind für die Dauer von sieben Jahren ersichtlich zu machen.
1. Streichungen aus dem Register und sonstige Änderungen des Registers
sind auf Grund einer Änderungsmeldung des registrierten
Auftraggebers oder von Amts wegen in den Fällen des Abs. 2, des §
22a Abs. 2 und des § 30 Abs. 6a vorzunehmen. Derartige Änderungen
sind für die Dauer von sieben Jahren ersichtlich zu machen.
2. Gelangen der Datenschutzbehörde aus amtlichen Verlautbarungen Änderungen in der Bezeichnung oder der Anschrift des Auftraggebers zur Kenntnis, so sind die Eintragungen von Amts wegen zu berichtigen. Ergibt sich aus einer amtlichen Verlautbarung der Wegfall der Rechtsgrundlage des Auftraggebers, ist dieser von Amts wegen aus dem Register zu streichen. Außerdem ist eine registrierte Datenanwendung zu streichen, wenn eine Befristung des Betriebes (§ 19 Abs. 2, § 21 Abs. 2) abgelaufen ist oder der Datenschutzbehörde zur Kenntnis gelangt, dass die Datenanwendung dauerhaft nicht mehr betrieben wird.
2. Gelangen der Datenschutzbehörde aus amtlichen Verlautbarungen
Änderungen in der Bezeichnung oder der Anschrift des Auftraggebers
zur Kenntnis, so sind die Eintragungen von Amts wegen
zu berichtigen. Ergibt sich aus einer amtlichen Verlautbarung der
Wegfall der Rechtsgrundlage des Auftraggebers, ist dieser von Amts
wegen aus dem Register zu streichen. Außerdem ist eine registrierte
Datenanwendung zu streichen, wenn eine Befristung des Betriebes (§
19 Abs. 2, § 21 Abs. 2) abgelaufen ist oder der Datenschutzbehörde
zur Kenntnis gelangt, dass die Datenanwendung dauerhaft nicht mehr
betrieben wird.
3. Berichtigungen oder Streichungen nach Abs. 2 sind ohne weiteres
Ermittlungsverfahren durch Mandatsbescheid (§ 57 des Allgemeinen
Verwaltungsverfahrensgesetzes 1991 AVG, BGBl. Nr. 51/1991)
zu verfügen.
4. Der Rechtsnachfolger eines registrierten Auftraggebers kann einzelne
oder alle registrierten Meldungen des Rechtsvorgängers übernehmen,
wenn er innerhalb von sechs Monaten nach Wirksamkeit der
Rechtsnachfolge eine entsprechend glaubhaft gemachte Erklärung
gegenüber der Datenschutzbehörde abgibt. Dem Rechtsnachfolger kann
auf Antrag auch die Registernummer des Rechtsvorgängers übertragen
werden, wenn der Rechtsvorgänger jegliche Verarbeitung
personenbezogener Daten in Auftraggebereigenschaft eingestellt hat.
3. Berichtigungen oder Streichungen nach Abs. 2 sind ohne weiteres Ermittlungsverfahren durch Mandatsbescheid (§ 57 des Allgemeinen Verwaltungsverfahrensgesetzes 1991 AVG, BGBl. Nr. 51/1991) zu verfügen.
4. Der Rechtsnachfolger eines registrierten Auftraggebers kann einzelne oder alle registrierten Meldungen des Rechtsvorgängers übernehmen, wenn er innerhalb von sechs Monaten nach Wirksamkeit der Rechtsnachfolge eine entsprechend glaubhaft gemachte Erklärung gegenüber der Datenschutzbehörde abgibt. Dem Rechtsnachfolger kann auf Antrag auch die Registernummer des Rechtsvorgängers übertragen werden, wenn der Rechtsvorgänger jegliche Verarbeitung personenbezogener Daten in Auftraggebereigenschaft eingestellt hat.

45
dsg2000/art02-par22a.md
View File

@ -1,14 +1,47 @@
§22a - Verfahren zur Überprüfung der Erfüllung der Meldepflicht
===============================================================
1. Die Datenschutzbehörde kann jederzeit die Erfüllung der Meldepflicht durch einen Auftraggeber prüfen. Dies gilt sowohl für die Mangelhaftigkeit einer registrierten Meldung im Sinn des § 19 Abs. 4 als auch für die rechtswidrige Unterlassung von Meldungen.
1. Die Datenschutzbehörde kann jederzeit die Erfüllung der Meldepflicht
durch einen Auftraggeber prüfen. Dies gilt sowohl für die
Mangelhaftigkeit einer registrierten Meldung im Sinn des § 19 Abs. 4
als auch für die rechtswidrige Unterlassung von Meldungen.
2. Bei Vorliegen des Verdachtes der Nichterfüllung der Meldepflicht infolge Mangelhaftigkeit einer registrierten Meldung (Abs. 1) oder Unterlassung der Meldung, die über die Fälle des § 22 Abs. 2 hinausgeht, ist ein Verfahren zur Berichtigung des Datenverarbeitungsregisters durchzuführen. Das Verfahren wird durch begründete Verfahrensanordnung eingeleitet, die dem meldepflichtigen Auftraggeber mit einem Auftrag zur Verbesserung (§ 20 Abs. 4) oder einer Aufforderung zur Nachmeldung (§ 17 Abs. 1) innerhalb gesetzter Frist zuzustellen ist.
2. Bei Vorliegen des Verdachtes der Nichterfüllung der Meldepflicht
infolge Mangelhaftigkeit einer registrierten Meldung (Abs. 1) oder
Unterlassung der Meldung, die über die Fälle des § 22 Abs. 2
hinausgeht, ist ein Verfahren zur Berichtigung des
Datenverarbeitungsregisters durchzuführen. Das Verfahren wird durch
begründete Verfahrensanordnung eingeleitet, die dem meldepflichtigen
Auftraggeber mit einem Auftrag zur Verbesserung (§ 20 Abs. 4) oder
einer Aufforderung zur Nachmeldung (§ 17 Abs. 1) innerhalb gesetzter
Frist zuzustellen ist.
3. Wird einem im Verfahren nach Abs. 2 erteilten Verbesserungsauftrag nicht entsprochen, so ist die Streichung der Meldung mit Bescheid der Datenschutzbehörde zu verfügen. Die Streichung kann sich, wenn dies technisch möglich, im Hinblick auf den Zweck der Datenanwendung sinnvoll und zur Herstellung des rechtmäßigen Zustandes ausreichend ist, auch nur auf Teile der Meldung beschränken.
3. Wird einem im Verfahren nach Abs. 2 erteilten Verbesserungsauftrag
nicht entsprochen, so ist die Streichung der Meldung mit Bescheid
der Datenschutzbehörde zu verfügen. Die Streichung kann sich, wenn
dies technisch möglich, im Hinblick auf den Zweck der Datenanwendung
sinnvoll und zur Herstellung des rechtmäßigen Zustandes ausreichend
ist, auch nur auf Teile der Meldung beschränken.
4. Wird einer im Verfahren nach Abs. 2 erteilten Aufforderung zur Nachmeldung nicht entsprochen und die Unterlassung einer Meldung entgegen § 17 Abs. 1 erwiesen, so ist mit Bescheid der Datenschutzbehörde der weitere Betrieb der Datenanwendung, soweit er vom Registerstand abweicht, zu untersagen und gleichzeitig Anzeige nach § 52 Abs. 2 Z 1 an die zuständige Behörde zu erstatten.
4. Wird einer im Verfahren nach Abs. 2 erteilten Aufforderung zur
Nachmeldung nicht entsprochen und die Unterlassung einer Meldung
entgegen § 17 Abs. 1 erwiesen, so ist mit Bescheid der
Datenschutzbehörde der weitere Betrieb der Datenanwendung, soweit er
vom Registerstand abweicht, zu untersagen und gleichzeitig Anzeige
nach § 52 Abs. 2 Z 1 an die zuständige Behörde zu erstatten.
5. Ergibt das Verfahren nach Abs. 2 alleine die Unangemessenheit oder
die Nichteinhaltung von nach § 19 Abs. 1 Z 7 erklärten
Datensicherheitsmaßnahmen, so ist dies mit Bescheid festzustellen
und gleichzeitig eine angemessene Frist zur Herstellung
ausreichender Datensicherheit zu setzen. Der Auftraggeber hat
innerhalb dieser Frist der Datenschutzbehörde die getroffenen
Maßnahmen mitzuteilen. Sind diese nicht ausreichend, so ist die
Streichung der Datenanwendung zu verfügen.
6. Die Einleitung und der Stand eines Berichtigungsverfahrens nach Abs.
2 ist bei registrierten Meldungen im Datenverarbeitungsregister bis
zur Einstellung oder bis zur Herstellung eines rechtmäßigen
Zustandes durch Maßnahmen nach den Abs. 3 bis 6 geeignet anzumerken.
5. Ergibt das Verfahren nach Abs. 2 alleine die Unangemessenheit oder die Nichteinhaltung von nach § 19 Abs. 1 Z 7 erklärten Datensicherheitsmaßnahmen, so ist dies mit Bescheid festzustellen und gleichzeitig eine angemessene Frist zur Herstellung ausreichender Datensicherheit zu setzen. Der Auftraggeber hat innerhalb dieser Frist der Datenschutzbehörde die getroffenen Maßnahmen mitzuteilen. Sind diese nicht ausreichend, so ist die Streichung der Datenanwendung zu verfügen.
6. Die Einleitung und der Stand eines Berichtigungsverfahrens nach Abs. 2 ist bei registrierten Meldungen im Datenverarbeitungsregister bis zur Einstellung oder bis zur Herstellung eines rechtmäßigen Zustandes durch Maßnahmen nach den Abs. 3 bis 6 geeignet anzumerken.

8
dsg2000/art02-par23.md
View File

@ -1,6 +1,10 @@
§23 - Pflicht zur Offenlegung nicht-meldepflichtiger Datenanwendungen
=====================================================================
1. Auftraggeber einer Standardanwendung haben jedermann auf Anfrage mitzuteilen, welche Standardanwendungen sie tatsächlich vornehmen.
1. Auftraggeber einer Standardanwendung haben jedermann auf Anfrage
mitzuteilen, welche Standardanwendungen sie tatsächlich vornehmen.
2. Nicht-meldepflichtige Datenanwendungen sind der Datenschutzbehörde
bei Ausübung ihrer Kontrollaufgaben gemäß § 30 offenzulegen.
2. Nicht-meldepflichtige Datenanwendungen sind der Datenschutzbehörde bei Ausübung ihrer Kontrollaufgaben gemäß § 30 offenzulegen.

64
dsg2000/art02-par24.md
View File

@ -1,30 +1,66 @@
§24 - Informationspflicht des Auftraggebers
===========================================
1. Der Auftraggeber einer Datenanwendung hat aus Anlaß der Ermittlung von Daten die Betroffenen in geeigneter Weise
1. Der Auftraggeber einer Datenanwendung hat aus Anlaß der Ermittlung
von Daten die Betroffenen in geeigneter Weise
1. über den Zweck der Datenanwendung, für die die Daten ermittelt werden, und
1. über den Zweck der Datenanwendung, für die die Daten ermittelt
werden, und
2. über Namen und Adresse des Auftraggebers,
2. über Namen und Adresse des Auftraggebers,
zu informieren, sofern diese Informationen dem Betroffenen nach den Umständen des Falles nicht bereits vorliegen.
zu informieren, sofern diese Informationen dem Betroffenen nach den
Umständen des Falles nicht bereits vorliegen.
2. Über Abs. 1 hinausgehende Informationen sind in geeigneter Weise zu geben, wenn dies für eine Verarbeitung nach Treu und Glauben erforderlich ist; dies gilt insbesondere dann, wenn
2. Über Abs. 1 hinausgehende Informationen sind in geeigneter Weise zu
geben, wenn dies für eine Verarbeitung nach Treu und Glauben
erforderlich ist; dies gilt insbesondere dann, wenn
1. gegen eine beabsichtigte Verarbeitung oder Übermittlung von Daten ein Widerspruchsrecht des Betroffenen gemäß § 28 besteht oder
1. gegen eine beabsichtigte Verarbeitung oder Übermittlung von
Daten ein Widerspruchsrecht des Betroffenen gemäß § 28 besteht
oder
2. es für den Betroffenen nach den Umständen des Falles nicht klar erkennbar ist, ob er zur Beantwortung der an ihn gestellten Fragen rechtlich verpflichtet ist, oder
2. es für den Betroffenen nach den Umständen des Falles nicht klar
erkennbar ist, ob er zur Beantwortung der an ihn gestellten
Fragen rechtlich verpflichtet ist, oder
3. Daten in einem Informationsverbundsystem verarbeitet werden sollen, ohne daß dies gesetzlich vorgesehen ist.
3. Daten in einem Informationsverbundsystem verarbeitet werden
sollen, ohne daß dies gesetzlich vorgesehen ist.
a. Wird dem Auftraggeber bekannt, dass Daten aus einer seiner Datenanwendungen systematisch und schwerwiegend unrechtmäßig verwendet wurden und den Betroffenen Schaden droht, hat er darüber unverzüglich die Betroffenen in geeigneter Form zu informieren. Diese Verpflichtung besteht nicht, wenn die Information angesichts der Drohung eines nur geringfügigen Schadens der Betroffenen einerseits oder der Kosten der Information aller Betroffenen andererseits einen unverhältnismäßigen Aufwand erfordert.
a. Wird dem Auftraggeber bekannt, dass Daten aus einer seiner
Datenanwendungen systematisch und schwerwiegend unrechtmäßig
verwendet wurden und den Betroffenen Schaden droht, hat er
darüber unverzüglich die Betroffenen in geeigneter Form
zu informieren. Diese Verpflichtung besteht nicht, wenn die
Information angesichts der Drohung eines nur geringfügigen
Schadens der Betroffenen einerseits oder der Kosten der
Information aller Betroffenen andererseits einen
unverhältnismäßigen Aufwand erfordert.
3. Werden Daten nicht durch Befragung des Betroffenen, sondern durch Übermittlung von Daten aus anderen Aufgabengebieten desselben Auftraggebers oder aus Anwendungen anderer Auftraggeber ermittelt, darf die Information gemäß Abs. 1 entfallen, wenn
3. Werden Daten nicht durch Befragung des Betroffenen, sondern durch
Übermittlung von Daten aus anderen Aufgabengebieten desselben
Auftraggebers oder aus Anwendungen anderer Auftraggeber ermittelt,
darf die Information gemäß Abs. 1 entfallen, wenn
1. die Datenverwendung durch Gesetz oder Verordnung vorgesehen ist oder
1. die Datenverwendung durch Gesetz oder Verordnung vorgesehen ist
oder
2. die Information im Hinblick auf die mangelnde Erreichbarkeit von Betroffenen unmöglich ist oder
2. die Information im Hinblick auf die mangelnde Erreichbarkeit von
Betroffenen unmöglich ist oder
3. wenn sie angesichts der Unwahrscheinlichkeit einer
Beeinträchtigung der Betroffenenrechte einerseits und der Kosten
der Information aller Betroffenen andererseits einen
unverhältnismäßigen Aufwand erfordert. Dies liegt insbesondere
dann vor, wenn Daten für Zwecke der wissenschaftlichen Forschung
oder Statistik gemäß § 46 oder Adreßdaten im Rahmen des § 47
ermittelt werden und die Information des Betroffenen in diesen
Bestimmungen nicht ausdrücklich vorgeschrieben ist. Der
Bundeskanzler kann durch Verordnung weitere Fälle festlegen, in
welchen die Pflicht zur Information entfällt.
4. Keine Informationspflicht nach Abs. 1 besteht bei jenen
Datenanwendungen, die gemäß § 17 Abs. 2 und 3 nicht
meldepflichtig sind.
3. wenn sie angesichts der Unwahrscheinlichkeit einer Beeinträchtigung der Betroffenenrechte einerseits und der Kosten der Information aller Betroffenen andererseits einen unverhältnismäßigen Aufwand erfordert. Dies liegt insbesondere dann vor, wenn Daten für Zwecke der wissenschaftlichen Forschung oder Statistik gemäß § 46 oder Adreßdaten im Rahmen des § 47 ermittelt werden und die Information des Betroffenen in diesen Bestimmungen nicht ausdrücklich vorgeschrieben ist. Der Bundeskanzler kann durch Verordnung weitere Fälle festlegen, in welchen die Pflicht zur Information entfällt.
4. Keine Informationspflicht nach Abs. 1 besteht bei jenen Datenanwendungen, die gemäß § 17 Abs. 2 und 3 nicht meldepflichtig sind.

20
dsg2000/art02-par25.md
View File

@ -1,6 +1,22 @@
§25 - Pflicht zur Offenlegung der Identität des Auftraggebers
=============================================================
1. Bei Übermittlungen und bei Mitteilungen an Betroffene hat der Auftraggeber seine Identität in geeigneter Weise offenzulegen, sodaß den Betroffenen die Verfolgung ihrer Rechte möglich ist. Bei meldepflichtigen Datenanwendungen ist in Mitteilungen an Betroffene die Registernummer des Auftraggebers anzuführen.
1. Bei Übermittlungen und bei Mitteilungen an Betroffene hat der
Auftraggeber seine Identität in geeigneter Weise offenzulegen, sodaß
den Betroffenen die Verfolgung ihrer Rechte möglich ist. Bei
meldepflichtigen Datenanwendungen ist in Mitteilungen an Betroffene
die Registernummer des Auftraggebers anzuführen.
2. Werden Daten aus einer Datenanwendung für Zwecke einer vom
Auftraggeber verschiedenen Person verwendet, ohne daß diese
ihrerseits ein Verfügungsrecht über die verwendeten Daten und damit
die Eigenschaft eines Auftraggebers in Bezug auf die Daten erlangt,
dann ist bei Mitteilungen an den Betroffenen neben der Identität der
Person, für deren Zwecke die Daten verwendet werden, auch die
Identität des Auftraggebers anzugeben, aus dessen Datenanwendung die
Daten stammen. Handelt es sich hiebei um eine meldepflichtige
Datenanwendung, ist die Registernummer des Auftraggebers beizufügen.
Diese Pflicht trifft sowohl den Auftraggeber als auch denjenigen, in
dessen Namen die Mitteilung an den Betroffenen erfolgt.
2. Werden Daten aus einer Datenanwendung für Zwecke einer vom Auftraggeber verschiedenen Person verwendet, ohne daß diese ihrerseits ein Verfügungsrecht über die verwendeten Daten und damit die Eigenschaft eines Auftraggebers in Bezug auf die Daten erlangt, dann ist bei Mitteilungen an den Betroffenen neben der Identität der Person, für deren Zwecke die Daten verwendet werden, auch die Identität des Auftraggebers anzugeben, aus dessen Datenanwendung die Daten stammen. Handelt es sich hiebei um eine meldepflichtige Datenanwendung, ist die Registernummer des Auftraggebers beizufügen. Diese Pflicht trifft sowohl den Auftraggeber als auch denjenigen, in dessen Namen die Mitteilung an den Betroffenen erfolgt.

131
dsg2000/art02-par26.md
View File

@ -1,36 +1,133 @@
§26 - Auskunftsrecht
====================
1. Ein Auftraggeber hat jeder Person oder Personengemeinschaft, die dies schriftlich verlangt und ihre Identität in geeigneter Form nachweist, Auskunft über die zu dieser Person oder Personengemeinschaft verarbeiteten Daten zu geben. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen eines Betroffenen sind auch Namen und Adressen von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Wenn zur Person des Auskunftswerbers keine Daten vorhanden sind, genügt die Bekanntgabe dieses Umstandes (Negativauskunft). Mit Zustimmung des Auskunftswerbers kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.
1. Ein Auftraggeber hat jeder Person oder Personengemeinschaft, die
dies schriftlich verlangt und ihre Identität in geeigneter Form
nachweist, Auskunft über die zu dieser Person oder
Personengemeinschaft verarbeiteten Daten zu geben. Mit Zustimmung
des Auftraggebers kann das Auskunftsbegehren auch mündlich
gestellt werden. Die Auskunft hat die verarbeiteten Daten, die
Informationen über ihre Herkunft, allfällige Empfänger oder
Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung
sowie die Rechtsgrundlagen hiefür in allgemein verständlicher
Form anzuführen. Auf Verlangen eines Betroffenen sind auch Namen und
Adressen von Dienstleistern bekannt zu geben, falls sie mit der
Verarbeitung seiner Daten beauftragt sind. Wenn zur Person des
Auskunftswerbers keine Daten vorhanden sind, genügt die Bekanntgabe
dieses Umstandes (Negativauskunft). Mit Zustimmung des
Auskunftswerbers kann anstelle der schriftlichen Auskunft auch eine
mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der
Abschrift oder Ablichtung gegeben werden.
2. Die Auskunft ist nicht zu erteilen, soweit dies zum Schutz des Auskunftswerbers aus besonderen Gründen notwendig ist oder soweit überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten, insbesondere auch überwiegende öffentliche Interessen, der Auskunftserteilung entgegenstehen. Überwiegende öffentliche Interessen können sich hiebei aus der Notwendigkeit
2. Die Auskunft ist nicht zu erteilen, soweit dies zum Schutz des
Auskunftswerbers aus besonderen Gründen notwendig ist oder soweit
überwiegende berechtigte Interessen des Auftraggebers oder eines
Dritten, insbesondere auch überwiegende öffentliche Interessen, der
Auskunftserteilung entgegenstehen. Überwiegende öffentliche
Interessen können sich hiebei aus der Notwendigkeit
1. des Schutzes der verfassungsmäßigen Einrichtungen der Republik Österreich oder
1. des Schutzes der verfassungsmäßigen Einrichtungen der Republik
Österreich oder
2. der Sicherung der Einsatzbereitschaft des Bundesheeres oder
2. der Sicherung der Einsatzbereitschaft des Bundesheeres oder
3. der Sicherung der Interessen der umfassenden Landesverteidigung oder
3. der Sicherung der Interessen der umfassenden Landesverteidigung
oder
4. des Schutzes wichtiger außenpolitischer, wirtschaftlicher oder finanzieller Interessen der Republik Österreich oder der Europäischen Union oder
4. des Schutzes wichtiger außenpolitischer, wirtschaftlicher oder
finanzieller Interessen der Republik Österreich oder der
Europäischen Union oder
5. der Vorbeugung, Verhinderung oder Verfolgung von Straftaten
5. der Vorbeugung, Verhinderung oder Verfolgung von Straftaten
ergeben. Die Zulässigkeit der Auskunftsverweigerung aus den Gründen der Z 1 bis 5 unterliegt der Kontrolle durch die Datenschutzbehörde nach § 30 Abs. 3 und dem besonderen Beschwerdeverfahren vor der Datenschutzbehörde gemäß § 31 Abs. 4.
ergeben. Die Zulässigkeit der Auskunftsverweigerung aus den Gründen
der Z 1 bis 5 unterliegt der Kontrolle durch die Datenschutzbehörde
nach § 30 Abs. 3 und dem besonderen Beschwerdeverfahren vor der
Datenschutzbehörde gemäß § 31 Abs. 4.
3. Der Auskunftswerber hat am Auskunftsverfahren über Befragung in dem ihm zumutbaren Ausmaß mitzuwirken, um ungerechtfertigten und unverhältnismäßigen Aufwand beim Auftraggeber zu vermeiden.
3. Der Auskunftswerber hat am Auskunftsverfahren über Befragung in dem
ihm zumutbaren Ausmaß mitzuwirken, um ungerechtfertigten und
unverhältnismäßigen Aufwand beim Auftraggeber zu vermeiden.
4. Innerhalb von acht Wochen nach Einlangen des Begehrens ist die Auskunft zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird. Von der Erteilung der Auskunft kann auch deshalb abgesehen werden, weil der Auskunftswerber am Verfahren nicht gemäß Abs. 3 mitgewirkt oder weil er den Kostenersatz nicht geleistet hat.
4. Innerhalb von acht Wochen nach Einlangen des Begehrens ist die
Auskunft zu erteilen oder schriftlich zu begründen, warum sie nicht
oder nicht vollständig erteilt wird. Von der Erteilung der Auskunft
kann auch deshalb abgesehen werden, weil der Auskunftswerber am
Verfahren nicht gemäß Abs. 3 mitgewirkt oder weil er den
Kostenersatz nicht geleistet hat.
5. In jenen Bereichen der Vollziehung, die mit der Wahrnehmung der in Abs. 2 Z 1 bis 5 bezeichneten Aufgaben betraut sind, ist, soweit dies zum Schutz jener öffentlichen Interessen notwendig ist, die eine Auskunftsverweigerung erfordert, folgendermaßen vorzugehen:
5. In jenen Bereichen der Vollziehung, die mit der Wahrnehmung der
in Abs. 2 Z 1 bis 5 bezeichneten Aufgaben betraut sind, ist, soweit
dies zum Schutz jener öffentlichen Interessen notwendig ist, die
eine Auskunftsverweigerung erfordert, folgendermaßen vorzugehen:
Es ist in allen Fällen, in welchen keine Auskunft erteilt wird also auch weil tatsächlich keine Daten verwendet werden , anstelle einer inhaltlichen Begründung der Hinweis zu geben, daß keine der Auskunftspflicht unterliegenden Daten über den Auskunftswerber verwendet werden. Die Zulässigkeit dieser Vorgangsweise unterliegt der Kontrolle durch die Datenschutzbehörde nach § 30 Abs. 3 und dem besonderen Beschwerdeverfahren vor der Datenschutzbehörde nach § 31 Abs. 4.
Es ist in allen Fällen, in welchen keine Auskunft erteilt wird
also auch weil tatsächlich keine Daten verwendet werden , anstelle
einer inhaltlichen Begründung der Hinweis zu geben, daß keine der
Auskunftspflicht unterliegenden Daten über den Auskunftswerber
verwendet werden. Die Zulässigkeit dieser Vorgangsweise unterliegt
der Kontrolle durch die Datenschutzbehörde nach § 30 Abs. 3 und dem
besonderen Beschwerdeverfahren vor der Datenschutzbehörde nach §
31 Abs. 4.
6. Die Auskunft ist unentgeltlich zu erteilen, wenn sie den aktuellen Datenbestand einer Datenanwendung betrifft und wenn der Auskunftswerber im laufenden Jahr noch kein Auskunftsersuchen an den Auftraggeber zum selben Aufgabengebiet gestellt hat. In allen anderen Fällen kann ein pauschalierter Kostenersatz von 18,89 Euro verlangt werden, von dem wegen tatsächlich erwachsender höherer Kosten abgewichen werden darf. Ein etwa geleisteter Kostenersatz ist ungeachtet allfälliger Schadenersatzansprüche zurückzuerstatten, wenn Daten rechtswidrig verwendet wurden oder wenn die Auskunft sonst zu einer Richtigstellung geführt hat.
6. Die Auskunft ist unentgeltlich zu erteilen, wenn sie den aktuellen
Datenbestand einer Datenanwendung betrifft und wenn der
Auskunftswerber im laufenden Jahr noch kein Auskunftsersuchen an den
Auftraggeber zum selben Aufgabengebiet gestellt hat. In allen
anderen Fällen kann ein pauschalierter Kostenersatz von 18,89 Euro
verlangt werden, von dem wegen tatsächlich erwachsender höherer
Kosten abgewichen werden darf. Ein etwa geleisteter Kostenersatz ist
ungeachtet allfälliger Schadenersatzansprüche zurückzuerstatten,
wenn Daten rechtswidrig verwendet wurden oder wenn die Auskunft
sonst zu einer Richtigstellung geführt hat.
7. Ab dem Zeitpunkt der Kenntnis von einem Auskunftsverlangen darf der Auftraggeber Daten über den Auskunftswerber innerhalb eines Zeitraums von vier Monaten und im Falle der Erhebung einer Beschwerde gemäß § 31 an die Datenschutzbehörde bis zum rechtskräftigen Abschluß des Verfahrens nicht vernichten. Diese Frist gilt nicht, wenn einem Löschungsantrag des Auskunftswerbers nach § 27 Abs. 1 Z 2 oder § 28 zu entsprechen ist.
7. Ab dem Zeitpunkt der Kenntnis von einem Auskunftsverlangen darf der
Auftraggeber Daten über den Auskunftswerber innerhalb eines
Zeitraums von vier Monaten und im Falle der Erhebung einer
Beschwerde gemäß § 31 an die Datenschutzbehörde bis zum
rechtskräftigen Abschluß des Verfahrens nicht vernichten. Diese
Frist gilt nicht, wenn einem Löschungsantrag des Auskunftswerbers
nach § 27 Abs. 1 Z 2 oder § 28 zu entsprechen ist.
8. In dem Umfang, in dem eine Datenanwendung für eine Person oder Personengemeinschaft hinsichtlich der zu ihr verarbeiteten Daten von Gesetzes wegen einsehbar ist, hat diese das Recht auf Auskunft nach Maßgabe der das Einsichtsrecht vorsehenden Bestimmungen. Für das Verfahren der Einsichtnahme (einschließlich deren Verweigerung) gelten die näheren Regelungen des Gesetzes, das das Einsichtsrecht vorsieht. In Abs. 1 genannte Bestandteile einer Auskunft, die vom Einsichtsrecht nicht umfasst sind, können dennoch nach diesem Bundesgesetz geltend gemacht werden.
8. In dem Umfang, in dem eine Datenanwendung für eine Person oder
Personengemeinschaft hinsichtlich der zu ihr verarbeiteten Daten von
Gesetzes wegen einsehbar ist, hat diese das Recht auf Auskunft nach
Maßgabe der das Einsichtsrecht vorsehenden Bestimmungen. Für das
Verfahren der Einsichtnahme (einschließlich deren Verweigerung)
gelten die näheren Regelungen des Gesetzes, das das
Einsichtsrecht vorsieht. In Abs. 1 genannte Bestandteile einer
Auskunft, die vom Einsichtsrecht nicht umfasst sind, können dennoch
nach diesem Bundesgesetz geltend gemacht werden.
9. Für Auskünfte aus dem Strafregister gelten die besonderen
Bestimmungen des Strafregistergesetzes 1968
über Strafregisterbescheinigungen.
10. Ergibt sich eine Auftraggeberstellung auf Grund von
Rechtsvorschriften, obwohl die Datenverarbeitung für Zwecke der
Auftragserfüllung für einen Dritten erfolgt (§ 4 Abs. 1 Z 4 letzter
Satz), kann der Auskunftswerber sein Auskunftsbegehren zunächst auch
an denjenigen richten, der die Herstellung des Werkes
aufgetragen hat. Dieser hat dem Auskunftswerber, soweit ihm dies
nicht ohnehin bekannt ist, binnen zwei Wochen unentgeltlich Namen
und Adresse des tatsächlichen Auftraggebers mitzuteilen, damit der
Auskunftswerber sein Auskunftsrecht gemäß Abs. 1 gegen diesen
geltend machen kann. Wird ein Auskunftsbegehren an einen
Dienstleister gerichtet und lässt dieses erkennen, dass der
Auskunftswerber ihn irrtümlich für den Auftraggeber der von ihm
betriebenen Datenanwendung hält, hat der Dienstleister das
Auskunftsbegehren unverzüglich an den Auftraggeber weiterzuleiten
und dem Auskunftswerber mitzuteilen, dass in seinem Auftrag keine
Daten verwendet werden. Der Auftraggeber hat innerhalb von acht
Wochen ab Einlangen des Auskunftsbegehrens beim Dienstleister dem
Auskunftswerber Auskunft zu erteilen oder schriftlich zu begründen,
warum sie nicht oder nicht vollständig erteilt wird. In jenen
Bereichen der Vollziehung, die mit der Wahrnehmung der in Abs. 2 Z 1
bis 5 bezeichneten Aufgaben betraut sind, ist, soweit dies zum
Schutz jener öffentlichen Interessen notwendig ist, von einer
Auskunftserteilung abzusehen. Wird jedoch in weiterer Folge das
Ersuchen direkt an den Auftraggeber gestellt, so hat dieser
nach Abs. 5 vorzugehen. Für Betreiber von
Informationsverbundsystemen gilt jedoch ausschließlich § 50 Abs. 1.
9. Für Auskünfte aus dem Strafregister gelten die besonderen Bestimmungen des Strafregistergesetzes 1968 über Strafregisterbescheinigungen.
10. Ergibt sich eine Auftraggeberstellung auf Grund von Rechtsvorschriften, obwohl die Datenverarbeitung für Zwecke der Auftragserfüllung für einen Dritten erfolgt (§ 4 Abs. 1 Z 4 letzter Satz), kann der Auskunftswerber sein Auskunftsbegehren zunächst auch an denjenigen richten, der die Herstellung des Werkes aufgetragen hat. Dieser hat dem Auskunftswerber, soweit ihm dies nicht ohnehin bekannt ist, binnen zwei Wochen unentgeltlich Namen und Adresse des tatsächlichen Auftraggebers mitzuteilen, damit der Auskunftswerber sein Auskunftsrecht gemäß Abs. 1 gegen diesen geltend machen kann. Wird ein Auskunftsbegehren an einen Dienstleister gerichtet und lässt dieses erkennen, dass der Auskunftswerber ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenanwendung hält, hat der Dienstleister das Auskunftsbegehren unverzüglich an den Auftraggeber weiterzuleiten und dem Auskunftswerber mitzuteilen, dass in seinem Auftrag keine Daten verwendet werden. Der Auftraggeber hat innerhalb von acht Wochen ab Einlangen des Auskunftsbegehrens beim Dienstleister dem Auskunftswerber Auskunft zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird. In jenen Bereichen der Vollziehung, die mit der Wahrnehmung der in Abs. 2 Z 1 bis 5 bezeichneten Aufgaben betraut sind, ist, soweit dies zum Schutz jener öffentlichen Interessen notwendig ist, von einer Auskunftserteilung abzusehen. Wird jedoch in weiterer Folge das Ersuchen direkt an den Auftraggeber gestellt, so hat dieser nach Abs. 5 vorzugehen. Für Betreiber von Informationsverbundsystemen gilt jedoch ausschließlich § 50 Abs. 1.

93
dsg2000/art02-par27.md
View File

@ -1,32 +1,95 @@
§27 - Recht auf Richtigstellung oder Löschung
=============================================
1. Jeder Auftraggeber hat unrichtige oder entgegen den Bestimmungen dieses Bundesgesetzes verarbeitete Daten richtigzustellen oder zu löschen, und zwar
1. Jeder Auftraggeber hat unrichtige oder entgegen den Bestimmungen
dieses Bundesgesetzes verarbeitete Daten richtigzustellen oder zu
löschen, und zwar
1. aus eigenem, sobald ihm die Unrichtigkeit von Daten oder die Unzulässigkeit ihrer Verarbeitung bekannt geworden ist, oder
1. aus eigenem, sobald ihm die Unrichtigkeit von Daten oder die
Unzulässigkeit ihrer Verarbeitung bekannt geworden ist, oder
2. auf begründeten Antrag des Betroffenen.
2. auf begründeten Antrag des Betroffenen.
Der Pflicht zur Richtigstellung nach Z 1 unterliegen nur solche Daten, deren Richtigkeit für den Zweck der Datenanwendung von Bedeutung ist. Die Unvollständigkeit verwendeter Daten bewirkt nur dann einen Berichtigungsanspruch, wenn sich aus der Unvollständigkeit im Hinblick auf den Zweck der Datenanwendung die Unrichtigkeit der Gesamtinformation ergibt. Sobald Daten für den Zweck der Datenanwendung nicht mehr benötigt werden, gelten sie als unzulässig verarbeitete Daten und sind zu löschen, es sei denn, daß ihre Archivierung rechtlich zulässig ist und daß der Zugang zu diesen Daten besonders geschützt ist. Die Weiterverwendung von Daten für einen anderen Zweck ist nur zulässig, wenn eine Übermittlung der Daten für diesen Zweck zulässig ist; die Zulässigkeit der Weiterverwendung für wissenschaftliche oder statistische Zwecke ergibt sich aus den §§ 46 und 47.
Der Pflicht zur Richtigstellung nach Z 1 unterliegen nur solche
Daten, deren Richtigkeit für den Zweck der Datenanwendung von
Bedeutung ist. Die Unvollständigkeit verwendeter Daten bewirkt nur
dann einen Berichtigungsanspruch, wenn sich aus der
Unvollständigkeit im Hinblick auf den Zweck der Datenanwendung die
Unrichtigkeit der Gesamtinformation ergibt. Sobald Daten für den
Zweck der Datenanwendung nicht mehr benötigt werden, gelten sie als
unzulässig verarbeitete Daten und sind zu löschen, es sei denn, daß
ihre Archivierung rechtlich zulässig ist und daß der Zugang zu
diesen Daten besonders geschützt ist. Die Weiterverwendung von Daten
für einen anderen Zweck ist nur zulässig, wenn eine Übermittlung der
Daten für diesen Zweck zulässig ist; die Zulässigkeit der
Weiterverwendung für wissenschaftliche oder statistische Zwecke
ergibt sich aus den §§ 46 und 47.
2. Der Beweis der Richtigkeit der Daten obliegt sofern gesetzlich nicht ausdrücklich anderes angeordnet ist dem Auftraggeber, soweit die Daten nicht ausschließlich auf Grund von Angaben des Betroffenen ermittelt wurden.
2. Der Beweis der Richtigkeit der Daten obliegt sofern gesetzlich
nicht ausdrücklich anderes angeordnet ist dem Auftraggeber, soweit
die Daten nicht ausschließlich auf Grund von Angaben des Betroffenen
ermittelt wurden.
3. Eine Richtigstellung oder Löschung von Daten ist ausgeschlossen, soweit der Dokumentationszweck einer Datenanwendung nachträgliche Änderungen nicht zuläßt. Die erforderlichen Richtigstellungen sind diesfalls durch entsprechende zusätzliche Anmerkungen zu bewirken.
3. Eine Richtigstellung oder Löschung von Daten ist ausgeschlossen,
soweit der Dokumentationszweck einer Datenanwendung nachträgliche
Änderungen nicht zuläßt. Die erforderlichen Richtigstellungen sind
diesfalls durch entsprechende zusätzliche Anmerkungen zu bewirken.
4. Innerhalb von acht Wochen nach Einlangen eines Antrags auf Richtigstellung oder Löschung ist dem Antrag zu entsprechen und dem Betroffenen davon Mitteilung zu machen oder schriftlich zu begründen, warum die verlangte Löschung oder Richtigstellung nicht vorgenommen wird.
4. Innerhalb von acht Wochen nach Einlangen eines Antrags auf
Richtigstellung oder Löschung ist dem Antrag zu entsprechen und dem
Betroffenen davon Mitteilung zu machen oder schriftlich zu
begründen, warum die verlangte Löschung oder Richtigstellung nicht
vorgenommen wird.
5. In jenen Bereichen der Vollziehung, die mit der Wahrnehmung der in § 26 Abs. 2 Z 1 bis 5 bezeichneten Aufgaben betraut sind, ist, soweit dies zum Schutz jener öffentlichen Interessen notwendig ist, die eine Geheimhaltung erfordern, mit einem Richtigstellungs- oder Löschungsantrag folgendermaßen zu verfahren: Die Richtigstellung oder Löschung ist vorzunehmen, wenn das Begehren des Betroffenen nach Auffassung des Auftraggebers berechtigt ist. Die gemäß Abs. 4 erforderliche Mitteilung an den Betroffenen hat in allen Fällen dahingehend zu lauten, daß die Überprüfung der Datenbestände des Auftraggebers im Hinblick auf das Richtigstellungs- oder Löschungsbegehren durchgeführt wurde. Die Zulässigkeit dieser Vorgangsweise unterliegt der Kontrolle durch die Datenschutzbehörde nach § 30 Abs. 3 und dem besonderen Beschwerdeverfahren vor der Datenschutzbehörde nach § 31 Abs. 4.
5. In jenen Bereichen der Vollziehung, die mit der Wahrnehmung der in §
26 Abs. 2 Z 1 bis 5 bezeichneten Aufgaben betraut sind, ist, soweit
dies zum Schutz jener öffentlichen Interessen notwendig ist, die
eine Geheimhaltung erfordern, mit einem Richtigstellungs- oder
Löschungsantrag folgendermaßen zu verfahren: Die Richtigstellung
oder Löschung ist vorzunehmen, wenn das Begehren des Betroffenen
nach Auffassung des Auftraggebers berechtigt ist. Die gemäß Abs. 4
erforderliche Mitteilung an den Betroffenen hat in allen Fällen
dahingehend zu lauten, daß die Überprüfung der Datenbestände des
Auftraggebers im Hinblick auf das Richtigstellungs- oder
Löschungsbegehren durchgeführt wurde. Die Zulässigkeit dieser
Vorgangsweise unterliegt der Kontrolle durch die Datenschutzbehörde
nach § 30 Abs. 3 und dem besonderen Beschwerdeverfahren vor der
Datenschutzbehörde nach § 31 Abs. 4.
6. Wenn die Löschung oder Richtigstellung von Daten auf ausschließlich automationsunterstützt lesbaren Datenträgern aus Gründen der Wirtschaftlichkeit nur zu bestimmten Zeitpunkten vorgenommen werden kann, sind bis dahin die zu löschenden Daten für den Zugriff zu sperren und die zu berichtigenden Daten mit einer berichtigenden Anmerkung zu versehen.
6. Wenn die Löschung oder Richtigstellung von Daten auf ausschließlich
automationsunterstützt lesbaren Datenträgern aus Gründen der
Wirtschaftlichkeit nur zu bestimmten Zeitpunkten vorgenommen werden
kann, sind bis dahin die zu löschenden Daten für den Zugriff zu
sperren und die zu berichtigenden Daten mit einer berichtigenden
Anmerkung zu versehen.
7. Werden Daten verwendet, deren Richtigkeit der Betroffene bestreitet, und läßt sich weder ihre Richtigkeit noch ihre Unrichtigkeit feststellen, so ist auf Verlangen des Betroffenen ein Vermerk über die Bestreitung beizufügen. Der Bestreitungsvermerk darf nur mit Zustimmung des Betroffenen oder auf Grund einer Entscheidung des zuständigen Gerichtes oder der Datenschutzbehörde gelöscht werden.
7. Werden Daten verwendet, deren Richtigkeit der Betroffene bestreitet,
und läßt sich weder ihre Richtigkeit noch ihre Unrichtigkeit
feststellen, so ist auf Verlangen des Betroffenen ein Vermerk über
die Bestreitung beizufügen. Der Bestreitungsvermerk darf nur mit
Zustimmung des Betroffenen oder auf Grund einer Entscheidung des
zuständigen Gerichtes oder der Datenschutzbehörde gelöscht werden.
8. Wurden im Sinne des Abs. 1 richtiggestellte oder gelöschte Daten vor der Richtigstellung oder Löschung übermittelt, so hat der Auftraggeber die Empfänger dieser Daten hievon in geeigneter Weise zu verständigen, sofern dies keinen unverhältnismäßigen Aufwand, insbesondere im Hinblick auf das Vorhandensein eines berechtigten Interesses an der Verständigung, bedeutet und die Empfänger noch feststellbar sind.
8. Wurden im Sinne des Abs. 1 richtiggestellte oder gelöschte Daten vor
der Richtigstellung oder Löschung übermittelt, so hat der
Auftraggeber die Empfänger dieser Daten hievon in geeigneter Weise
zu verständigen, sofern dies keinen unverhältnismäßigen Aufwand,
insbesondere im Hinblick auf das Vorhandensein eines berechtigten
Interesses an der Verständigung, bedeutet und die Empfänger noch
feststellbar sind.
9. Die Regelungen der Abs. 1 bis 8 gelten für das gemäß Strafregistergesetz 1968 geführte Strafregister sowie für öffentliche Bücher und Register, die von Auftraggebern des öffentlichen Bereichs geführt werden, nur insoweit als für
9. Die Regelungen der Abs. 1 bis 8 gelten für das gemäß
Strafregistergesetz 1968 geführte Strafregister sowie für
öffentliche Bücher und Register, die von Auftraggebern des
öffentlichen Bereichs geführt werden, nur insoweit als für
1. die Verpflichtung zur Richtigstellung und Löschung von Amts wegen oder
1. die Verpflichtung zur Richtigstellung und Löschung von Amts
wegen oder
2. das Verfahren der Durchsetzung und die Zuständigkeit zur
Entscheidung über Berichtigungs- und Löschungsanträge von
Betroffenen
durch Bundesgesetz nicht anderes bestimmt ist.
2. das Verfahren der Durchsetzung und die Zuständigkeit zur Entscheidung über Berichtigungs- und Löschungsanträge von Betroffenen
durch Bundesgesetz nicht anderes bestimmt ist.

15
dsg2000/art02-par28.md
View File

@ -1,8 +1,17 @@
§28 - Widerspruchsrecht
=======================
1. Sofern die Verwendung von Daten nicht gesetzlich vorgesehen ist, hat jeder Betroffene das Recht, gegen die Verwendung seiner Daten wegen Verletzung überwiegender schutzwürdiger Geheimhaltungsinteressen, die sich aus seiner besonderen Situation ergeben, beim Auftraggeber der Datenanwendung Widerspruch zu erheben. Der Auftraggeber hat bei Vorliegen dieser Voraussetzungen die Daten des Betroffenen binnen acht Wochen aus seiner Datenanwendung zu löschen und allfällige Übermittlungen zu unterlassen.
1. Sofern die Verwendung von Daten nicht gesetzlich vorgesehen ist, hat
jeder Betroffene das Recht, gegen die Verwendung seiner Daten wegen
Verletzung überwiegender schutzwürdiger Geheimhaltungsinteressen,
die sich aus seiner besonderen Situation ergeben, beim Auftraggeber
der Datenanwendung Widerspruch zu erheben. Der Auftraggeber hat bei
Vorliegen dieser Voraussetzungen die Daten des Betroffenen binnen
acht Wochen aus seiner Datenanwendung zu löschen und allfällige
Übermittlungen zu unterlassen.
2. *(Anm.: Abs. 2 aufgehoben durch VfGH, BGBl. I Nr. 132/2015)*
3. § 27 Abs. 4 bis 6 gelten auch in den Fällen der Abs. 1 und 2.
2. *(Anm.: Abs. 2 aufgehoben durch VfGH, BGBl. I Nr. 132/2015)*
3. § 27 Abs. 4 bis 6 gelten auch in den Fällen der Abs. 1 und 2.

3
dsg2000/art02-par29.md
View File

@ -1,4 +1,5 @@
§29 - Die Rechte des Betroffenen bei der Verwendung nur indirekt personenbezogener Daten
========================================================================================
Die durch die §§ 26 bis 28 gewährten Rechte können nicht geltend gemacht werden, soweit nur indirekt personenbezogene Daten verwendet werden.
Die durch die §§ 26 bis 28 gewährten Rechte können nicht geltend gemacht
werden, soweit nur indirekt personenbezogene Daten verwendet werden.

101
dsg2000/art02-par30.md
View File

@ -1,26 +1,103 @@
§30 - Kontrollbefugnisse der Datenschutzbehörde
===============================================
1. Jedermann kann sich wegen einer behaupteten Verletzung seiner Rechte oder ihn betreffender Pflichten eines Auftraggebers oder Dienstleisters nach diesem Bundesgesetz mit einer Eingabe an die Datenschutzbehörde wenden.
1. Jedermann kann sich wegen einer behaupteten Verletzung seiner Rechte
oder ihn betreffender Pflichten eines Auftraggebers oder
Dienstleisters nach diesem Bundesgesetz mit einer Eingabe an die
Datenschutzbehörde wenden.
2. Die Datenschutzbehörde kann im Fall eines begründeten Verdachtes auf Verletzung der im Abs. 1 genannten Rechte und Pflichten Datenanwendungen überprüfen. Hiebei kann sie vom Auftraggeber oder Dienstleister der überprüften Datenanwendung insbesondere alle notwendigen Aufklärungen verlangen und Einschau in Datenanwendungen und diesbezügliche Unterlagen begehren.
2. Die Datenschutzbehörde kann im Fall eines begründeten Verdachtes auf
Verletzung der im Abs. 1 genannten Rechte und Pflichten
Datenanwendungen überprüfen. Hiebei kann sie vom Auftraggeber oder
Dienstleister der überprüften Datenanwendung insbesondere alle
notwendigen Aufklärungen verlangen und Einschau in Datenanwendungen
und diesbezügliche Unterlagen begehren.
a. Sofern sich eine zulässige Eingabe nach Abs. 1 oder ein begründeter Verdacht nach Abs. 2 auf eine meldepflichtige Datenanwendung (Datei) bezieht, kann die Datenschutzbehörde die Erfüllung der Meldepflicht überprüfen und erforderlichenfalls nach den §§ 22 und 22a vorgehen.
a. Sofern sich eine zulässige Eingabe nach Abs. 1 oder ein
begründeter Verdacht nach Abs. 2 auf eine meldepflichtige
Datenanwendung (Datei) bezieht, kann die Datenschutzbehörde die
Erfüllung der Meldepflicht überprüfen und erforderlichenfalls
nach den §§ 22 und 22a vorgehen.
3. Datenanwendungen, die der Vorabkontrolle gemäß § 18 Abs. 2 unterliegen, dürfen auch ohne Vorliegen eines Verdachts auf rechtswidrige Datenverwendung überprüft werden. Dies gilt auch für jene Bereiche der Vollziehung, in welchen ein Auftraggeber des öffentlichen Bereichs die grundsätzliche Anwendbarkeit der §§ 26 Abs. 5 und 27 Abs. 5 in Anspruch nimmt.
3. Datenanwendungen, die der Vorabkontrolle gemäß § 18 Abs. 2
unterliegen, dürfen auch ohne Vorliegen eines Verdachts auf
rechtswidrige Datenverwendung überprüft werden. Dies gilt auch für
jene Bereiche der Vollziehung, in welchen ein Auftraggeber des
öffentlichen Bereichs die grundsätzliche Anwendbarkeit der §§
26 Abs. 5 und 27 Abs. 5 in Anspruch nimmt.
4. Zum Zweck der Einschau ist die Datenschutzbehörde nach Verständigung des Inhabers der Räumlichkeiten und des Auftraggebers (Dienstleisters) berechtigt, Räume, in welchen Datenanwendungen vorgenommen werden, zu betreten, Datenverarbeitungsanlagen in Betrieb zu setzen, die zu überprüfenden Verarbeitungen durchzuführen sowie Kopien von Datenträgern in dem für die Ausübung der Kontrollbefugnisse unbedingt erforderlichen Ausmaß herzustellen. Der Auftraggeber (Dienstleister) hat die für die Einschau notwendige Unterstützung zu leisten. Die Kontrolltätigkeit ist unter möglichster Schonung der Rechte des Auftraggebers (Dienstleisters) und Dritter auszuüben.
4. Zum Zweck der Einschau ist die Datenschutzbehörde nach Verständigung
des Inhabers der Räumlichkeiten und des
Auftraggebers (Dienstleisters) berechtigt, Räume, in welchen
Datenanwendungen vorgenommen werden, zu betreten,
Datenverarbeitungsanlagen in Betrieb zu setzen, die zu überprüfenden
Verarbeitungen durchzuführen sowie Kopien von Datenträgern in dem
für die Ausübung der Kontrollbefugnisse unbedingt erforderlichen
Ausmaß herzustellen. Der Auftraggeber (Dienstleister) hat die für
die Einschau notwendige Unterstützung zu leisten. Die
Kontrolltätigkeit ist unter möglichster Schonung der Rechte des
Auftraggebers (Dienstleisters) und Dritter auszuüben.
5. Informationen, die der Datenschutzbehörde oder ihren Beauftragten bei der Kontrolltätigkeit zukommen, dürfen ausschließlich für die Kontrolle im Rahmen der Vollziehung datenschutzrechtlicher Vorschriften verwendet werden. Dazu zählt auch die Verwendung für Zwecke der gerichtlichen Rechtsverfolgung durch den Einschreiter oder die Datenschutzbehörde nach § 32. Im Übrigen besteht die Pflicht zur Verschwiegenheit auch gegenüber Gerichten und Verwaltungsbehörden, insbesondere Abgabenbehörden; dies allerdings mit der Maßgabe, dass dann, wenn die Einschau den Verdacht einer strafbaren Handlung nach den §§ 51 oder 52 dieses Bundesgesetzes, einer strafbaren Handlung nach den §§ 118a, 119, 119a, 126a bis 126c, 148a oder § 278a des Strafgesetzbuches, BGBl. Nr. 60/1974, oder eines Verbrechens mit einer Freiheitsstrafe, deren Höchstmaß fünf Jahre übersteigt, ergibt, Anzeige zu erstatten ist und hinsichtlich solcher Verbrechen und Vergehen auch Ersuchen nach § 76 der Strafprozessordnung, BGBl. Nr. 631/1975, zu entsprechen ist.
5. Informationen, die der Datenschutzbehörde oder ihren Beauftragten
bei der Kontrolltätigkeit zukommen, dürfen ausschließlich für die
Kontrolle im Rahmen der Vollziehung datenschutzrechtlicher
Vorschriften verwendet werden. Dazu zählt auch die Verwendung für
Zwecke der gerichtlichen Rechtsverfolgung durch den Einschreiter
oder die Datenschutzbehörde nach § 32. Im Übrigen besteht die
Pflicht zur Verschwiegenheit auch gegenüber Gerichten und
Verwaltungsbehörden, insbesondere Abgabenbehörden; dies allerdings
mit der Maßgabe, dass dann, wenn die Einschau den Verdacht einer
strafbaren Handlung nach den §§ 51 oder 52 dieses Bundesgesetzes,
einer strafbaren Handlung nach den §§ 118a, 119, 119a, 126a bis
126c, 148a oder § 278a des Strafgesetzbuches, BGBl. Nr. 60/1974,
oder eines Verbrechens mit einer Freiheitsstrafe, deren Höchstmaß
fünf Jahre übersteigt, ergibt, Anzeige zu erstatten ist und
hinsichtlich solcher Verbrechen und Vergehen auch Ersuchen nach § 76
der Strafprozessordnung, BGBl. Nr. 631/1975, zu entsprechen ist.
6. Zur Herstellung des rechtmäßigen Zustandes kann die Datenschutzbehörde, sofern nicht Maßnahmen nach den §§ 22 und 22a oder nach Abs. 6a zu treffen sind, Empfehlungen aussprechen, für deren Befolgung erforderlichenfalls eine angemessene Frist zu setzen ist. Wird einer solchen Empfehlung innerhalb der gesetzten Frist nicht entsprochen, so kann die Datenschutzbehörde je nach der Art des Verstoßes von Amts wegen insbesondere
6. Zur Herstellung des rechtmäßigen Zustandes kann die
Datenschutzbehörde, sofern nicht Maßnahmen nach den §§ 22 und 22a
oder nach Abs. 6a zu treffen sind, Empfehlungen aussprechen, für
deren Befolgung erforderlichenfalls eine angemessene Frist zu
setzen ist. Wird einer solchen Empfehlung innerhalb der gesetzten
Frist nicht entsprochen, so kann die Datenschutzbehörde je nach der
Art des Verstoßes von Amts wegen insbesondere
1. Strafanzeige nach §§ 51 oder 52 erstatten, oder
1. Strafanzeige nach §§ 51 oder 52 erstatten, oder
2. bei schwerwiegenden Verstößen durch Auftraggeber des privaten Bereichs Klage vor dem zuständigen Gericht gemäß § 32 Abs. 5 erheben, oder
2. bei schwerwiegenden Verstößen durch Auftraggeber des privaten
Bereichs Klage vor dem zuständigen Gericht gemäß § 32 Abs. 5
erheben, oder
3. bei Verstößen von Auftraggebern, die Organe einer Gebietskörperschaft sind, das zuständige oberste Organ befassen. Dieses Organ hat innerhalb einer angemessenen, jedoch zwölf Wochen nicht überschreitenden Frist entweder dafür Sorge zu tragen, dass der Empfehlung der Datenschutzbehörde entsprochen wird, oder der Datenschutzbehörde mitzuteilen, warum der Empfehlung nicht entsprochen wurde. Die Begründung darf von der Datenschutzbehörde der Öffentlichkeit in geeigneter Weise zur Kenntnis gebracht werden, soweit dem nicht die Amtsverschwiegenheit entgegensteht.
3. bei Verstößen von Auftraggebern, die Organe einer
Gebietskörperschaft sind, das zuständige oberste Organ befassen.
Dieses Organ hat innerhalb einer angemessenen, jedoch zwölf
Wochen nicht überschreitenden Frist entweder dafür Sorge zu
tragen, dass der Empfehlung der Datenschutzbehörde entsprochen
wird, oder der Datenschutzbehörde mitzuteilen, warum der
Empfehlung nicht entsprochen wurde. Die Begründung darf von der
Datenschutzbehörde der Öffentlichkeit in geeigneter Weise zur
Kenntnis gebracht werden, soweit dem nicht die
Amtsverschwiegenheit entgegensteht.
a. Liegt durch den Betrieb einer Datenanwendung eine
wesentliche unmittelbare Gefährdung schutzwürdiger
Geheimhaltungsinteressen der Betroffenen (Gefahr im Verzug)
vor, so kann die Datenschutzbehörde die Weiterführung der
Datenanwendung mit Bescheid gemäß § 57 Abs. 1 des
Allgemeinen Verwaltungsverfahrensgesetzes 1991 AVG, BGBl.
Nr. 51, untersagen. Wenn dies technisch möglich, im Hinblick
auf den Zweck der Datenanwendung sinnvoll und zur
Beseitigung der Gefährdung ausreichend scheint, kann die
Weiterführung auch nur teilweise untersagt werden. Wird
einer Untersagung nicht sogleich Folge geleistet, ist
Strafanzeige nach § 52 Abs. 1 Z 3 zu erstatten. Nach
Rechtskraft einer Untersagung nach diesem Absatz ist ein
Berichtigungsverfahren nach § 22a Abs. 2
formlos einzustellen. Die Datenanwendung ist im Umfang der
Untersagung aus dem Register zu streichen.
7. Der Einschreiter ist darüber zu informieren, wie mit seiner Eingabe
verfahren wurde.
a. Liegt durch den Betrieb einer Datenanwendung eine wesentliche unmittelbare Gefährdung schutzwürdiger Geheimhaltungsinteressen der Betroffenen (Gefahr im Verzug) vor, so kann die Datenschutzbehörde die Weiterführung der Datenanwendung mit Bescheid gemäß § 57 Abs. 1 des Allgemeinen Verwaltungsverfahrensgesetzes 1991 AVG, BGBl. Nr. 51, untersagen. Wenn dies technisch möglich, im Hinblick auf den Zweck der Datenanwendung sinnvoll und zur Beseitigung der Gefährdung ausreichend scheint, kann die Weiterführung auch nur teilweise untersagt werden. Wird einer Untersagung nicht sogleich Folge geleistet, ist Strafanzeige nach § 52 Abs. 1 Z 3 zu erstatten. Nach Rechtskraft einer Untersagung nach diesem Absatz ist ein Berichtigungsverfahren nach § 22a Abs. 2 formlos einzustellen. Die Datenanwendung ist im Umfang der Untersagung aus dem Register zu streichen.
7. Der Einschreiter ist darüber zu informieren, wie mit seiner Eingabe verfahren wurde.

89
dsg2000/art02-par31.md
View File

@ -1,30 +1,91 @@
§31 - Beschwerde an die Datenschutzbehörde
==========================================
1. Die Datenschutzbehörde erkennt über Beschwerden von Personen oder Personengemeinschaften, die behaupten, in ihrem Recht auf Auskunft nach § 26 oder nach § 50 Abs. 1 dritter Satz oder in ihrem Recht auf Darlegung einer automatisierten Einzelentscheidung nach § 49 Abs. 3 verletzt zu sein, soweit sich das Auskunftsverlangen (der Antrag auf Darlegung oder Bekanntgabe) nicht auf die Verwendung von Daten für Akte im Dienste der Gesetzgebung oder der Gerichtsbarkeit bezieht.
1. Die Datenschutzbehörde erkennt über Beschwerden von Personen oder
Personengemeinschaften, die behaupten, in ihrem Recht auf Auskunft
nach § 26 oder nach § 50 Abs. 1 dritter Satz oder in ihrem Recht auf
Darlegung einer automatisierten Einzelentscheidung nach § 49 Abs. 3
verletzt zu sein, soweit sich das Auskunftsverlangen (der Antrag auf
Darlegung oder Bekanntgabe) nicht auf die Verwendung von Daten für
Akte im Dienste der Gesetzgebung oder der Gerichtsbarkeit bezieht.
2. Die Datenschutzbehörde erkennt weiters über Beschwerden von Personen oder Personengemeinschaften, die behaupten, in ihrem Recht auf Geheimhaltung (§ 1 Abs. 1) oder in ihrem Recht auf Richtigstellung oder auf Löschung (§§ 27 und 28) verletzt zu sein, sofern der Anspruch nicht nach § 32 Abs. 1 vor einem Gericht geltend zu machen ist oder sich gegen ein Organ im Dienste der Gesetzgebung oder der Gerichtsbarkeit richtet.
2. Die Datenschutzbehörde erkennt weiters über Beschwerden von Personen
oder Personengemeinschaften, die behaupten, in ihrem Recht auf
Geheimhaltung (§ 1 Abs. 1) oder in ihrem Recht auf Richtigstellung
oder auf Löschung (§§ 27 und 28) verletzt zu sein, sofern der
Anspruch nicht nach § 32 Abs. 1 vor einem Gericht geltend zu machen
ist oder sich gegen ein Organ im Dienste der Gesetzgebung oder der
Gerichtsbarkeit richtet.
3. Die Beschwerde hat zu enthalten:
3. Die Beschwerde hat zu enthalten:
1. die Bezeichnung des als verletzt erachteten Rechts,
1. die Bezeichnung des als verletzt erachteten Rechts,
2. soweit dies zumutbar ist, die Bezeichnung des Rechtsträgers oder Organs, dem die behauptete Rechtsverletzung zugerechnet wird (Beschwerdegegner),
2. soweit dies zumutbar ist, die Bezeichnung des Rechtsträgers oder
Organs, dem die behauptete Rechtsverletzung zugerechnet wird
(Beschwerdegegner),
3. den Sachverhalt, aus dem die Rechtsverletzung abgeleitet wird,
3. den Sachverhalt, aus dem die Rechtsverletzung abgeleitet wird,
4. die Gründe, auf die sich die Behauptung der Rechtswidrigkeit stützt,
4. die Gründe, auf die sich die Behauptung der Rechtswidrigkeit
stützt,
5. das Begehren, die behauptete Rechtsverletzung festzustellen und
5. das Begehren, die behauptete Rechtsverletzung festzustellen und
6. die Angaben, die erforderlich sind, um zu beurteilen, ob die Beschwerde rechtzeitig eingebracht ist.
6. die Angaben, die erforderlich sind, um zu beurteilen, ob die
Beschwerde rechtzeitig eingebracht ist.
4. Einer Beschwerde nach Abs. 1 sind außerdem das zu Grunde liegende Auskunftsverlangen (der Antrag auf Darlegung oder Bekanntgabe) und eine allfällige Antwort des Beschwerdegegners anzuschließen. Einer Beschwerde nach Abs. 2 sind außerdem der zu Grunde liegende Antrag auf Richtigstellung oder Löschung und eine allfällige Antwort des Beschwerdegegners anzuschließen.
4. Einer Beschwerde nach Abs. 1 sind außerdem das zu Grunde liegende
Auskunftsverlangen (der Antrag auf Darlegung oder Bekanntgabe) und
eine allfällige Antwort des Beschwerdegegners anzuschließen. Einer
Beschwerde nach Abs. 2 sind außerdem der zu Grunde liegende Antrag
auf Richtigstellung oder Löschung und eine allfällige Antwort des
Beschwerdegegners anzuschließen.
5. Die der Datenschutzbehörde durch § 30 Abs. 2 bis 4 eingeräumten Kontrollbefugnisse kommen ihr auch in Beschwerdeverfahren nach Abs. 1 und 2 gegenüber dem Beschwerdegegner zu. Ebenso besteht auch hinsichtlich dieser Verfahren die Verschwiegenheitspflicht nach § 30 Abs. 5.
5. Die der Datenschutzbehörde durch § 30 Abs. 2 bis 4 eingeräumten
Kontrollbefugnisse kommen ihr auch in Beschwerdeverfahren nach Abs.
1 und 2 gegenüber dem Beschwerdegegner zu. Ebenso besteht auch
hinsichtlich dieser Verfahren die Verschwiegenheitspflicht nach §
30 Abs. 5.
6. Im Fall der Einbringung einer zulässigen Beschwerde nach Abs. 1 oder 2 ist ein auf Grund einer Eingabe nach § 30 Abs. 1 über denselben Gegenstand eingeleitetes Kontrollverfahren durch eine entsprechende Information (§ 30 Abs. 7) zu beenden. Die Datenschutzbehörde kann aber dennoch auch während der Anhängigkeit des Beschwerdeverfahrens von Amts wegen nach § 30 Abs. 2 vorgehen, wenn ein begründeter Verdacht einer über den Beschwerdefall hinausgehenden Verletzung datenschutzrechtlicher Verpflichtungen besteht. § 30 Abs. 3 bleibt unberührt.
6. Im Fall der Einbringung einer zulässigen Beschwerde nach Abs. 1 oder
2 ist ein auf Grund einer Eingabe nach § 30 Abs. 1 über denselben
Gegenstand eingeleitetes Kontrollverfahren durch eine entsprechende
Information (§ 30 Abs. 7) zu beenden. Die Datenschutzbehörde kann
aber dennoch auch während der Anhängigkeit des Beschwerdeverfahrens
von Amts wegen nach § 30 Abs. 2 vorgehen, wenn ein begründeter
Verdacht einer über den Beschwerdefall hinausgehenden Verletzung
datenschutzrechtlicher Verpflichtungen besteht. § 30 Abs. 3
bleibt unberührt.
7. Soweit sich eine Beschwerde nach Abs. 1 oder 2 als berechtigt
erweist, ist ihr Folge zu geben und die
Rechtsverletzung festzustellen. Ist eine festgestellte Verletzung im
Recht auf Auskunft (Abs. 1) einem Auftraggeber des privaten Bereichs
zuzurechnen, so ist diesem auf Antrag zusätzlich die allenfalls
erneute Reaktion auf das Auskunftsbegehren nach § 26 Abs. 4, 5
oder 10 in jenem Umfang aufzutragen, der erforderlich ist, um die
festgestellte Rechtsverletzung zu beseitigen. Soweit sich die
Beschwerde als nicht berechtigt erweist, ist sie abzuweisen.
8. Ein Beschwerdegegner, gegen den wegen Verletzung in Rechten nach den
§§ 26 bis 28 Beschwerde erhoben wurde, kann bis zum Abschluss des
Verfahrens vor der Datenschutzbehörde durch Reaktionen gegenüber dem
Beschwerdeführer gemäß § 26 Abs. 4 oder § 27 Abs. 4 die behauptete
Rechtsverletzung nachträglich beseitigen. Erscheint der
Datenschutzbehörde durch derartige Reaktionen des Beschwerdegegners
die Beschwerde als gegenstandslos, so hat sie den Beschwerdeführer
dazu zu hören. Gleichzeitig ist er darauf aufmerksam zu machen, dass
die Datenschutzbehörde das Verfahren formlos einstellen wird, wenn
er nicht innerhalb einer angemessenen Frist begründet, warum er die
ursprünglich behauptete Rechtsverletzung zumindest teilweise nach
wie vor als nicht beseitigt erachtet. Wird durch eine derartige
Äußerung des Beschwerdeführers die Sache ihrem Wesen nach geändert
(§ 13 Abs. 8 AVG), so ist von der Zurückziehung der ursprünglichen
Beschwerde und der gleichzeitigen Einbringung einer neuen
Beschwerde auszugehen. Auch diesfalls ist das ursprüngliche
Beschwerdeverfahren formlos einzustellen und der Beschwerdeführer
davon zu verständigen. Verspätete Äußerungen sind nicht
zu berücksichtigen.
7. Soweit sich eine Beschwerde nach Abs. 1 oder 2 als berechtigt erweist, ist ihr Folge zu geben und die Rechtsverletzung festzustellen. Ist eine festgestellte Verletzung im Recht auf Auskunft (Abs. 1) einem Auftraggeber des privaten Bereichs zuzurechnen, so ist diesem auf Antrag zusätzlich die allenfalls erneute Reaktion auf das Auskunftsbegehren nach § 26 Abs. 4, 5 oder 10 in jenem Umfang aufzutragen, der erforderlich ist, um die festgestellte Rechtsverletzung zu beseitigen. Soweit sich die Beschwerde als nicht berechtigt erweist, ist sie abzuweisen.
8. Ein Beschwerdegegner, gegen den wegen Verletzung in Rechten nach den §§ 26 bis 28 Beschwerde erhoben wurde, kann bis zum Abschluss des Verfahrens vor der Datenschutzbehörde durch Reaktionen gegenüber dem Beschwerdeführer gemäß § 26 Abs. 4 oder § 27 Abs. 4 die behauptete Rechtsverletzung nachträglich beseitigen. Erscheint der Datenschutzbehörde durch derartige Reaktionen des Beschwerdegegners die Beschwerde als gegenstandslos, so hat sie den Beschwerdeführer dazu zu hören. Gleichzeitig ist er darauf aufmerksam zu machen, dass die Datenschutzbehörde das Verfahren formlos einstellen wird, wenn er nicht innerhalb einer angemessenen Frist begründet, warum er die ursprünglich behauptete Rechtsverletzung zumindest teilweise nach wie vor als nicht beseitigt erachtet. Wird durch eine derartige Äußerung des Beschwerdeführers die Sache ihrem Wesen nach geändert (§ 13 Abs. 8 AVG), so ist von der Zurückziehung der ursprünglichen Beschwerde und der gleichzeitigen Einbringung einer neuen Beschwerde auszugehen. Auch diesfalls ist das ursprüngliche Beschwerdeverfahren formlos einzustellen und der Beschwerdeführer davon zu verständigen. Verspätete Äußerungen sind nicht zu berücksichtigen.

35
dsg2000/art02-par31a.md
View File

@ -1,10 +1,37 @@
§31a - Begleitende Maßnahmen im Beschwerdeverfahren
===================================================
1. Sofern sich eine zulässige Beschwerde nach § 31 Abs. 2 auf eine meldepflichtige Datenanwendung (Datei) bezieht, kann die Datenschutzbehörde die Erfüllung der Meldepflicht überprüfen und erforderlichenfalls nach den §§ 22 und 22a vorgehen.
1. Sofern sich eine zulässige Beschwerde nach § 31 Abs. 2 auf eine
meldepflichtige Datenanwendung (Datei) bezieht, kann die
Datenschutzbehörde die Erfüllung der Meldepflicht überprüfen und
erforderlichenfalls nach den §§ 22 und 22a vorgehen.
2. Macht der Beschwerdeführer im Rahmen einer Beschwerde nach § 31 Abs. 2 eine wesentliche Beeinträchtigung seiner schutzwürdigen Geheimhaltungsinteressen durch die Verwendung seiner Daten glaubhaft, so kann die Datenschutzbehörde nach § 30 Abs. 6a vorgehen.
2. Macht der Beschwerdeführer im Rahmen einer Beschwerde nach § 31 Abs.
2 eine wesentliche Beeinträchtigung seiner schutzwürdigen
Geheimhaltungsinteressen durch die Verwendung seiner Daten
glaubhaft, so kann die Datenschutzbehörde nach § 30 Abs.
6a vorgehen.
3. Ist in einem Verfahren nach § 31 Abs. 2 die Richtigkeit von Daten
strittig, so ist vom Beschwerdegegner bis zum Abschluss des
Verfahrens ein Bestreitungsvermerk anzubringen. Erforderlichenfalls
hat dies die Datenschutzbehörde auf Antrag des Beschwerdeführers mit
Mandatsbescheid anzuordnen.
4. Beruft sich ein Auftraggeber des öffentlichen Bereichs bei einer
Beschwerde wegen Verletzung des Auskunfts-, Richtigstellungs- oder
Löschungsrechts gegenüber der Datenschutzbehörde auf die §§ 26 Abs.
5 oder 27 Abs. 5, so hat diese nach Überprüfung der Notwendigkeit
der Geheimhaltung die geschützten öffentlichen Interessen in ihrem
Verfahren zu wahren. Kommt sie zur Auffassung, dass die
Geheimhaltung von verarbeiteten Daten gegenüber dem Betroffenen
nicht gerechtfertigt war, ist die Offenlegung der Daten mit
Bescheid aufzutragen. Wurde keine Beschwerde erhoben und wird dem
Bescheid der Datenschutzbehörde binnen acht Wochen nicht
entsprochen, so hat die Datenschutzbehörde die Offenlegung der Daten
gegenüber dem Betroffenen selbst vorzunehmen und ihm die verlangte
Auskunft zu erteilen oder ihm mitzuteilen, welche Daten bereits
berichtigt oder gelöscht wurden. Die ersten beiden Sätze gelten in
Verfahren nach § 30 sinngemäß.
3. Ist in einem Verfahren nach § 31 Abs. 2 die Richtigkeit von Daten strittig, so ist vom Beschwerdegegner bis zum Abschluss des Verfahrens ein Bestreitungsvermerk anzubringen. Erforderlichenfalls hat dies die Datenschutzbehörde auf Antrag des Beschwerdeführers mit Mandatsbescheid anzuordnen.
4. Beruft sich ein Auftraggeber des öffentlichen Bereichs bei einer Beschwerde wegen Verletzung des Auskunfts-, Richtigstellungs- oder Löschungsrechts gegenüber der Datenschutzbehörde auf die §§ 26 Abs. 5 oder 27 Abs. 5, so hat diese nach Überprüfung der Notwendigkeit der Geheimhaltung die geschützten öffentlichen Interessen in ihrem Verfahren zu wahren. Kommt sie zur Auffassung, dass die Geheimhaltung von verarbeiteten Daten gegenüber dem Betroffenen nicht gerechtfertigt war, ist die Offenlegung der Daten mit Bescheid aufzutragen. Wurde keine Beschwerde erhoben und wird dem Bescheid der Datenschutzbehörde binnen acht Wochen nicht entsprochen, so hat die Datenschutzbehörde die Offenlegung der Daten gegenüber dem Betroffenen selbst vorzunehmen und ihm die verlangte Auskunft zu erteilen oder ihm mitzuteilen, welche Daten bereits berichtigt oder gelöscht wurden. Die ersten beiden Sätze gelten in Verfahren nach § 30 sinngemäß.

49
dsg2000/art02-par32.md
View File

@ -1,16 +1,51 @@
§32 - Anrufung der Gerichte
===========================
1. Ansprüche wegen Verletzung der Rechte einer Person oder Personengemeinschaft auf Geheimhaltung, auf Richtigstellung oder auf Löschung gegen natürliche Personen, Personengemeinschaften oder Rechtsträger, die in Formen des Privatrechts eingerichtet sind, sind, soweit diese Rechtsträger bei der behaupteten Verletzung nicht in Vollziehung der Gesetze tätig geworden sind, auf dem Zivilrechtsweg geltend zu machen.
1. Ansprüche wegen Verletzung der Rechte einer Person oder
Personengemeinschaft auf Geheimhaltung, auf Richtigstellung oder auf
Löschung gegen natürliche Personen, Personengemeinschaften oder
Rechtsträger, die in Formen des Privatrechts eingerichtet sind,
sind, soweit diese Rechtsträger bei der behaupteten Verletzung nicht
in Vollziehung der Gesetze tätig geworden sind, auf dem
Zivilrechtsweg geltend zu machen.
2. Sind Daten entgegen den Bestimmungen dieses Bundesgesetzes verwendet worden, so hat der Betroffene Anspruch auf Unterlassung und Beseitigung des diesem Bundesgesetz widerstreitenden Zustandes.
2. Sind Daten entgegen den Bestimmungen dieses Bundesgesetzes verwendet
worden, so hat der Betroffene Anspruch auf Unterlassung und
Beseitigung des diesem Bundesgesetz widerstreitenden Zustandes.
3. Zur Sicherung der auf dieses Bundesgesetz gestützten Ansprüche auf Unterlassung können einstweilige Verfügungen erlassen werden, auch wenn die in § 381 EO bezeichneten Voraussetzungen nicht zutreffen. Dies gilt auch für Verfügungen über die Verpflichtung zur Anbringung eines Bestreitungsvermerks.
3. Zur Sicherung der auf dieses Bundesgesetz gestützten Ansprüche auf
Unterlassung können einstweilige Verfügungen erlassen werden, auch
wenn die in § 381 EO bezeichneten Voraussetzungen nicht zutreffen.
Dies gilt auch für Verfügungen über die Verpflichtung zur Anbringung
eines Bestreitungsvermerks.
4. Für Klagen und Anträge auf Erlassung einer einstweiligen Verfügung nach diesem Bundesgesetz ist in erster Instanz das mit der Ausübung der Gerichtsbarkeit in bürgerlichen Rechtssachen betraute Landesgericht zuständig, in dessen Sprengel der Kläger (Antragsteller) seinen gewöhnlichen Aufenthalt oder Sitz hat. Klagen (Anträge) können aber auch bei dem Landesgericht erhoben werden, in dessen Sprengel der Beklagte seinen gewöhnlichen Aufenthalt oder Sitz oder eine Niederlassung hat.
4. Für Klagen und Anträge auf Erlassung einer einstweiligen Verfügung
nach diesem Bundesgesetz ist in erster Instanz das mit der Ausübung
der Gerichtsbarkeit in bürgerlichen Rechtssachen betraute
Landesgericht zuständig, in dessen Sprengel der
Kläger (Antragsteller) seinen gewöhnlichen Aufenthalt oder Sitz hat.
Klagen (Anträge) können aber auch bei dem Landesgericht erhoben
werden, in dessen Sprengel der Beklagte seinen gewöhnlichen
Aufenthalt oder Sitz oder eine Niederlassung hat.
5. Die Datenschutzbehörde hat in Fällen, in welchen der begründete Verdacht einer schwerwiegenden Datenschutzverletzung durch einen Auftraggeber des privaten Bereichs besteht, gegen diesen eine Feststellungsklage (§ 228 ZPO) bei dem gemäß Abs. 4 zweiter Satz zuständigen Gericht zu erheben.
5. Die Datenschutzbehörde hat in Fällen, in welchen der begründete
Verdacht einer schwerwiegenden Datenschutzverletzung durch einen
Auftraggeber des privaten Bereichs besteht, gegen diesen eine
Feststellungsklage (§ 228 ZPO) bei dem gemäß Abs. 4 zweiter Satz
zuständigen Gericht zu erheben.
6. Die Datenschutzbehörde hat, wenn ein Einschreiter (§ 30 Abs. 1) es
verlangt und es zur Wahrung der nach diesem Bundesgesetz geschützten
Interessen einer größeren Zahl von natürlichen Personen geboten ist,
einem Rechtsstreit auf Seiten des Einschreiters als
Nebenintervenient (§§ 17 ff ZPO) beizutreten.
7. Anlässlich einer zulässigen Klage nach Abs. 1, die sich auf eine
nach Ansicht des Gerichts meldepflichtige Datenanwendung bezieht,
kann das Gericht die Datenschutzbehörde um Überprüfung nach den §§
22 und 22a ersuchen. Die Datenschutzbehörde hat das Gericht vom
Ergebnis der Überprüfung zu verständigen. Dieses ist sodann vom
Gericht auch den Parteien bekannt zu geben, sofern das Verfahren
noch nicht rechtskräftig beendet ist.
6. Die Datenschutzbehörde hat, wenn ein Einschreiter (§ 30 Abs. 1) es verlangt und es zur Wahrung der nach diesem Bundesgesetz geschützten Interessen einer größeren Zahl von natürlichen Personen geboten ist, einem Rechtsstreit auf Seiten des Einschreiters als Nebenintervenient (§§ 17 ff ZPO) beizutreten.
7. Anlässlich einer zulässigen Klage nach Abs. 1, die sich auf eine nach Ansicht des Gerichts meldepflichtige Datenanwendung bezieht, kann das Gericht die Datenschutzbehörde um Überprüfung nach den §§ 22 und 22a ersuchen. Die Datenschutzbehörde hat das Gericht vom Ergebnis der Überprüfung zu verständigen. Dieses ist sodann vom Gericht auch den Parteien bekannt zu geben, sofern das Verfahren noch nicht rechtskräftig beendet ist.

30
dsg2000/art02-par33.md
View File

@ -1,10 +1,32 @@
§33 - Schadenersatz
===================
1. Ein Auftraggeber oder Dienstleister, der Daten schuldhaft entgegen den Bestimmungen dieses Bundesgesetzes verwendet, hat dem Betroffenen den erlittenen Schaden nach den allgemeinen Bestimmungen des bürgerlichen Rechts zu ersetzen. Werden durch die öffentlich zugängliche Verwendung der in § 18 Abs. 2 Z 1 bis 3 genannten Datenarten schutzwürdige Geheimhaltungsinteressen eines Betroffenen in einer Weise verletzt, die einer Eignung zur Bloßstellung gemäß § 7 Abs. 1 des Mediengesetzes, BGBl. Nr. 314/1981, gleichkommt, so gilt diese Bestimmung auch in Fällen, in welchen die öffentlich zugängliche Verwendung nicht in Form der Veröffentlichung in einem Medium geschieht. Der Anspruch auf angemessene Entschädigung für die erlittene Kränkung ist gegen den Auftraggeber der Datenverwendung geltend zu machen.
1. Ein Auftraggeber oder Dienstleister, der Daten schuldhaft entgegen
den Bestimmungen dieses Bundesgesetzes verwendet, hat dem
Betroffenen den erlittenen Schaden nach den allgemeinen Bestimmungen
des bürgerlichen Rechts zu ersetzen. Werden durch die öffentlich
zugängliche Verwendung der in § 18 Abs. 2 Z 1 bis 3 genannten
Datenarten schutzwürdige Geheimhaltungsinteressen eines Betroffenen
in einer Weise verletzt, die einer Eignung zur Bloßstellung gemäß §
7 Abs. 1 des Mediengesetzes, BGBl. Nr. 314/1981, gleichkommt, so
gilt diese Bestimmung auch in Fällen, in welchen die öffentlich
zugängliche Verwendung nicht in Form der Veröffentlichung in einem
Medium geschieht. Der Anspruch auf angemessene Entschädigung für die
erlittene Kränkung ist gegen den Auftraggeber der Datenverwendung
geltend zu machen.
2. Der Auftraggeber und der Dienstleister haften auch für das Verschulden ihrer Leute, soweit deren Tätigkeit für den Schaden ursächlich war.
2. Der Auftraggeber und der Dienstleister haften auch für das
Verschulden ihrer Leute, soweit deren Tätigkeit für den Schaden
ursächlich war.
3. Der Auftraggeber kann sich von seiner Haftung befreien, wenn er
nachweist, daß der Umstand, durch den der Schaden eingetreten ist,
ihm und seinen Leuten (Abs. 2) nicht zur Last gelegt werden kann.
Dasselbe gilt für die Haftungsbefreiung des Dienstleisters. Für den
Fall eines Mitverschuldens des Geschädigten oder einer Person, deren
Verhalten er zu vertreten hat, gilt § 1304 ABGB.
4. Die Zuständigkeit für Klagen nach Abs. 1 richtet sich nach § 32 Abs.
4.
3. Der Auftraggeber kann sich von seiner Haftung befreien, wenn er nachweist, daß der Umstand, durch den der Schaden eingetreten ist, ihm und seinen Leuten (Abs. 2) nicht zur Last gelegt werden kann. Dasselbe gilt für die Haftungsbefreiung des Dienstleisters. Für den Fall eines Mitverschuldens des Geschädigten oder einer Person, deren Verhalten er zu vertreten hat, gilt § 1304 ABGB.
4. Die Zuständigkeit für Klagen nach Abs. 1 richtet sich nach § 32 Abs. 4.

28
dsg2000/art02-par34.md
View File

@ -1,10 +1,30 @@
§34 - Gemeinsame Bestimmungen
=============================
1. Der Anspruch auf Behandlung einer Eingabe nach § 30, einer Beschwerde nach § 31 oder einer Klage nach § 32 erlischt, wenn der Einschreiter sie nicht binnen eines Jahres, nachdem er Kenntnis von dem beschwerenden Ereignis erlangt hat, längstens aber binnen drei Jahren, nachdem das Ereignis behauptetermaßen stattgefunden hat, einbringt. Dies ist dem Einschreiter im Falle einer verspäteten Eingabe gemäß § 30 mitzuteilen; verspätete Beschwerden nach § 31 und Klagen nach § 32 sind zurückzuweisen.
1. Der Anspruch auf Behandlung einer Eingabe nach § 30, einer
Beschwerde nach § 31 oder einer Klage nach § 32 erlischt, wenn der
Einschreiter sie nicht binnen eines Jahres, nachdem er Kenntnis von
dem beschwerenden Ereignis erlangt hat, längstens aber binnen drei
Jahren, nachdem das Ereignis behauptetermaßen stattgefunden
hat, einbringt. Dies ist dem Einschreiter im Falle einer verspäteten
Eingabe gemäß § 30 mitzuteilen; verspätete Beschwerden nach § 31 und
Klagen nach § 32 sind zurückzuweisen.
2. Eingaben nach § 30, Beschwerden nach § 31, Klagen nach § 32 sowie Schadenersatzansprüche nach § 33 können nicht nur auf die Verletzung der Vorschriften dieses Bundesgesetzes, sondern auch auf die Verletzung von datenschutzrechtlichen Vorschriften eines anderen Mitgliedstaates der Europäischen Union gegründet werden, soweit solche Vorschriften gemäß § 3 im Inland anzuwenden sind.
2. Eingaben nach § 30, Beschwerden nach § 31, Klagen nach § 32 sowie
Schadenersatzansprüche nach § 33 können nicht nur auf die Verletzung
der Vorschriften dieses Bundesgesetzes, sondern auch auf die
Verletzung von datenschutzrechtlichen Vorschriften eines anderen
Mitgliedstaates der Europäischen Union gegründet werden, soweit
solche Vorschriften gemäß § 3 im Inland anzuwenden sind.
3. Ist ein von der Datenschutzbehörde zu prüfender Sachverhalt gemäß §
3 nach der Rechtsordnung eines anderen Vertragsstaates des
Europäischen Wirtschaftsraumes zu beurteilen, so kann die
Datenschutzbehörde die zuständige ausländische
Datenschutzkontrollstelle um Unterstützung ersuchen.
4. Die Datenschutzbehörde hat den Unabhängigen
Datenschutzkontrollstellen der anderen Vertragsstaaten des
Europäischen Wirtschaftsraumes über Ersuchen Amtshilfe zu leisten.
3. Ist ein von der Datenschutzbehörde zu prüfender Sachverhalt gemäß § 3 nach der Rechtsordnung eines anderen Vertragsstaates des Europäischen Wirtschaftsraumes zu beurteilen, so kann die Datenschutzbehörde die zuständige ausländische Datenschutzkontrollstelle um Unterstützung ersuchen.
4. Die Datenschutzbehörde hat den Unabhängigen Datenschutzkontrollstellen der anderen Vertragsstaaten des Europäischen Wirtschaftsraumes über Ersuchen Amtshilfe zu leisten.

11
dsg2000/art02-par35.md
View File

@ -1,6 +1,13 @@
§35 - Datenschutzbehörde und Datenschutzrat
===========================================
1. Zur Wahrung des Datenschutzes sind nach den näheren Bestimmungen dieses Bundesgesetzes unbeschadet der Zuständigkeit des Bundeskanzlers und der ordentlichen Gerichte die Datenschutzbehörde und der Datenschutzrat berufen.
1. Zur Wahrung des Datenschutzes sind nach den näheren Bestimmungen
dieses Bundesgesetzes unbeschadet der Zuständigkeit des
Bundeskanzlers und der ordentlichen Gerichte die
Datenschutzbehörde und der Datenschutzrat berufen.
2. (**Verfassungsbestimmung**) Die Datenschutzbehörde übt ihre
Befugnisse auch gegenüber den in Art. 19 B-VG bezeichneten obersten
Organen der Vollziehung aus.
2. (**Verfassungsbestimmung**) Die Datenschutzbehörde übt ihre Befugnisse auch gegenüber den in Art. 19 B-VG bezeichneten obersten Organen der Vollziehung aus.

65
dsg2000/art02-par36.md
View File

@ -1,30 +1,67 @@
§36 - Einrichtung der Datenschutzbehörde
========================================
1. Der Datenschutzbehörde steht ein Leiter vor. Dieser wird vom Bundespräsidenten auf Vorschlag der Bundesregierung für eine Dauer von fünf Jahren bestellt; die Wiederbestellung ist zulässig. Dem Vorschlag hat eine Ausschreibung zur allgemeinen Bewerbung voranzugehen. Die Ausschreibung ist vom Bundeskanzler zu veranlassen. Die Funktion des Leiters der Datenschutzbehörde ist auf der beim Bundeskanzleramt eingerichteten Website „Karriere Öffentlicher Dienst“ auszuschreiben. Die Ausschreibung ist zusätzlich im „Amtsblatt zur Wiener Zeitung“ kundzumachen.
1. Der Datenschutzbehörde steht ein Leiter vor. Dieser wird vom
Bundespräsidenten auf Vorschlag der Bundesregierung für eine Dauer
von fünf Jahren bestellt; die Wiederbestellung ist zulässig. Dem
Vorschlag hat eine Ausschreibung zur allgemeinen
Bewerbung voranzugehen. Die Ausschreibung ist vom Bundeskanzler
zu veranlassen. Die Funktion des Leiters der Datenschutzbehörde ist
auf der beim Bundeskanzleramt eingerichteten Website „Karriere
Öffentlicher Dienst“ auszuschreiben. Die Ausschreibung ist
zusätzlich im „Amtsblatt zur Wiener Zeitung“ kundzumachen.
2. Der Leiter der Datenschutzbehörde hat
2. Der Leiter der Datenschutzbehörde hat
1. das Studium der Rechtswissenschaften oder die rechts- und staatswissenschaftlichen Studien abgeschlossen zu haben,
1. das Studium der Rechtswissenschaften oder die rechts- und
staatswissenschaftlichen Studien abgeschlossen zu haben,
2. die persönliche und fachliche Eignung durch eine entsprechende Vorbildung und einschlägige Berufserfahrung in den von der Datenschutzbehörde zu besorgenden Angelegenheiten aufzuweisen,
2. die persönliche und fachliche Eignung durch eine entsprechende
Vorbildung und einschlägige Berufserfahrung in den von der
Datenschutzbehörde zu besorgenden Angelegenheiten aufzuweisen,
3. über ausgezeichnete Kenntnisse des österreichischen Datenschutzrechtes, des Unionsrechtes und der Grundrechte zu verfügen und
3. über ausgezeichnete Kenntnisse des österreichischen
Datenschutzrechtes, des Unionsrechtes und der Grundrechte zu
verfügen und
4. über eine mindestens fünfjährige juristische Berufserfahrung zu verfügen.
4. über eine mindestens fünfjährige juristische Berufserfahrung
zu verfügen.
3. Zum Leiter der Datenschutzbehörde dürfen nicht bestellt werden:
3. Zum Leiter der Datenschutzbehörde dürfen nicht bestellt werden:
1. Mitglieder der Bundesregierung, Staatssekretäre, Mitglieder einer Landesregierung, Mitglieder des Nationalrates, des Bundesrates oder sonst eines allgemeinen Vertretungskörpers oder des Europäischen Parlaments, ferner Volksanwälte und der Präsident des Rechnungshofes,
1. Mitglieder der Bundesregierung, Staatssekretäre, Mitglieder
einer Landesregierung, Mitglieder des Nationalrates, des
Bundesrates oder sonst eines allgemeinen Vertretungskörpers oder
des Europäischen Parlaments, ferner Volksanwälte und der
Präsident des Rechnungshofes,
2. Personen, die eine der in der Z 1 genannten Funktionen innerhalb der letzten zwei Jahre ausgeübt haben, und
2. Personen, die eine der in der Z 1 genannten Funktionen innerhalb
der letzten zwei Jahre ausgeübt haben, und
3. Personen, die von der Wählbarkeit in den Nationalrat ausgeschlossen sind.
3. Personen, die von der Wählbarkeit in den Nationalrat
ausgeschlossen sind.
4. Der Leiter der Datenschutzbehörde darf für die Dauer seines Amtes keine Tätigkeit ausüben, die Zweifel an der unabhängigen Ausübung seines Amtes oder die Vermutung einer Befangenheit hervorrufen könnte oder die ihn an der Erfüllung seiner dienstlichen Aufgaben behindert oder wesentliche dienstliche Interessen gefährdet. Er ist verpflichtet, Tätigkeiten, die er neben seiner Tätigkeit als Leiter der Datenschutzbehörde ausübt, unverzüglich dem Bundeskanzler zur Kenntnis zu bringen.
4. Der Leiter der Datenschutzbehörde darf für die Dauer seines Amtes
keine Tätigkeit ausüben, die Zweifel an der unabhängigen Ausübung
seines Amtes oder die Vermutung einer Befangenheit hervorrufen
könnte oder die ihn an der Erfüllung seiner dienstlichen Aufgaben
behindert oder wesentliche dienstliche Interessen gefährdet. Er ist
verpflichtet, Tätigkeiten, die er neben seiner Tätigkeit als Leiter
der Datenschutzbehörde ausübt, unverzüglich dem Bundeskanzler zur
Kenntnis zu bringen.
5. Die Funktion des Leiters der Datenschutzbehörde endet durch Zeitablauf, Tod, Verzicht oder bei Verlust der Wählbarkeit zum Nationalrat.
5. Die Funktion des Leiters der Datenschutzbehörde endet durch
Zeitablauf, Tod, Verzicht oder bei Verlust der Wählbarkeit
zum Nationalrat.
6. Bei Beendigung der Funktion des Leiters der Datenschutzbehörde ist
nach Maßgabe der Abs. 1 bis 3 unverzüglich ein neuer Leiter
zu bestellen.
7. Vom Bundespräsidenten wird auf Vorschlag der Bundesregierung ein
Stellvertreter des Leiters der Datenschutzbehörde nach Maßgabe
der Abs. 1 bis 3 bestellt. Für den Stellvertreter des Leiters der
Datenschutzbehörde gelten die Abs. 4 bis 6 sinngemäß. Er vertritt
den Leiter der Datenschutzbehörde in dessen Abwesenheit.
6. Bei Beendigung der Funktion des Leiters der Datenschutzbehörde ist nach Maßgabe der Abs. 1 bis 3 unverzüglich ein neuer Leiter zu bestellen.
7. Vom Bundespräsidenten wird auf Vorschlag der Bundesregierung ein Stellvertreter des Leiters der Datenschutzbehörde nach Maßgabe der Abs. 1 bis 3 bestellt. Für den Stellvertreter des Leiters der Datenschutzbehörde gelten die Abs. 4 bis 6 sinngemäß. Er vertritt den Leiter der Datenschutzbehörde in dessen Abwesenheit.

38
dsg2000/art02-par37.md
View File

@ -1,14 +1,40 @@
§37 - Organisation und Unabhängigkeit der Datenschutzbehörde
============================================================
1. Der Leiter der Datenschutzbehörde ist in Ausübung seines Amtes unabhängig und an keine Weisungen gebunden.
1. Der Leiter der Datenschutzbehörde ist in Ausübung seines Amtes
unabhängig und an keine Weisungen gebunden.
2. Die Datenschutzbehörde ist eine Dienstbehörde und Personalstelle. Im Bundesfinanzgesetz ist die notwendige Sach- und Personalausstattung sicherzustellen. Die Bediensteten der Datenschutzbehörde unterstehen nur den Weisungen des Leiters der Datenschutzbehörde. Der Leiter der Datenschutzbehörde übt die Diensthoheit über die Bediensteten der Datenschutzbehörde aus.
2. Die Datenschutzbehörde ist eine Dienstbehörde und Personalstelle. Im
Bundesfinanzgesetz ist die notwendige Sach- und
Personalausstattung sicherzustellen. Die Bediensteten der
Datenschutzbehörde unterstehen nur den Weisungen des Leiters
der Datenschutzbehörde. Der Leiter der Datenschutzbehörde übt die
Diensthoheit über die Bediensteten der Datenschutzbehörde aus.
3. Der Bundeskanzler kann sich beim Leiter der Datenschutzbehörde über die Gegenstände der Geschäftsführung unterrichten. Dem ist vom Leiter der Datenschutzbehörde nur insoweit zu entsprechen, als dies nicht der völligen Unabhängigkeit der Kontrollstelle im Sinne von Art. 28 Abs. 1 UAbs. 2 der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. Nr. L 281 vom 23.11.1995 S. 31, widerspricht.
3. Der Bundeskanzler kann sich beim Leiter der Datenschutzbehörde über
die Gegenstände der Geschäftsführung unterrichten. Dem ist vom
Leiter der Datenschutzbehörde nur insoweit zu entsprechen, als dies
nicht der völligen Unabhängigkeit der Kontrollstelle im Sinne
von Art. 28 Abs. 1 UAbs. 2 der Richtlinie 95/46/EG zum Schutz
natürlicher Personen bei der Verarbeitung personenbezogener Daten
und zum freien Datenverkehr, ABl. Nr. L 281 vom 23.11.1995 S.
31, widerspricht.
4. Die Datenschutzbehörde ist vor Erlassung von Bundesgesetzen, die wesentliche Fragen des Datenschutzes unmittelbar betreffen, sowie von Verordnungen des Bundes, die auf der Grundlage dieses Bundesgesetzes ergehen oder sonstige wesentliche Fragen des Datenschutzes unmittelbar betreffen, anzuhören.
4. Die Datenschutzbehörde ist vor Erlassung von Bundesgesetzen, die
wesentliche Fragen des Datenschutzes unmittelbar betreffen, sowie
von Verordnungen des Bundes, die auf der Grundlage dieses
Bundesgesetzes ergehen oder sonstige wesentliche Fragen des
Datenschutzes unmittelbar betreffen, anzuhören.
5. Die Datenschutzbehörde hat bis zum 31. März eines jeden Jahres einen
Bericht über ihre Tätigkeit im vorangegangenen Kalenderjahr zu
erstellen, dem Bundeskanzler vorzulegen und in geeigneter Weise
zu veröffentlichen. Der Bericht ist vom Bundeskanzler dem
Nationalrat und dem Bundesrat vorzulegen.
6. Entscheidungen der Datenschutzbehörde von grundsätzlicher Bedeutung
für die Allgemeinheit sind von der Datenschutzbehörde unter
Beachtung der Erfordernisse der Amtsverschwiegenheit in geeigneter
Weise zu veröffentlichen.
5. Die Datenschutzbehörde hat bis zum 31. März eines jeden Jahres einen Bericht über ihre Tätigkeit im vorangegangenen Kalenderjahr zu erstellen, dem Bundeskanzler vorzulegen und in geeigneter Weise zu veröffentlichen. Der Bericht ist vom Bundeskanzler dem Nationalrat und dem Bundesrat vorzulegen.
6. Entscheidungen der Datenschutzbehörde von grundsätzlicher Bedeutung für die Allgemeinheit sind von der Datenschutzbehörde unter Beachtung der Erfordernisse der Amtsverschwiegenheit in geeigneter Weise zu veröffentlichen.

14
dsg2000/art02-par38.md
View File

@ -1,8 +1,16 @@
§38 - Bescheide der Datenschutzbehörde
======================================
1. Partei in Verfahren vor der Datenschutzbehörde sind auch die Auftraggeber des öffentlichen Bereichs.
1. Partei in Verfahren vor der Datenschutzbehörde sind auch die
Auftraggeber des öffentlichen Bereichs.
2. Bescheide, mit denen gemäß § 13 Übermittlungen oder Überlassungen
von Daten ins Ausland genehmigt wurden, sind zu widerrufen, wenn die
rechtlichen oder tatsächlichen Voraussetzungen für die Erteilung der
Genehmigung, insbesondere auch infolge einer gemäß § 55 ergangenen
Kundmachung des Bundeskanzlers, nicht mehr bestehen.
3. Parteien gemäß Abs. 1 können Beschwerde an das
Bundesverwaltungsgericht erheben.
2. Bescheide, mit denen gemäß § 13 Übermittlungen oder Überlassungen von Daten ins Ausland genehmigt wurden, sind zu widerrufen, wenn die rechtlichen oder tatsächlichen Voraussetzungen für die Erteilung der Genehmigung, insbesondere auch infolge einer gemäß § 55 ergangenen Kundmachung des Bundeskanzlers, nicht mehr bestehen.
3. Parteien gemäß Abs. 1 können Beschwerde an das Bundesverwaltungsgericht erheben.

24
dsg2000/art02-par39.md
View File

@ -1,10 +1,26 @@
§39 - Verfahren vor dem Bundesverwaltungsgericht
================================================
1. Das Bundesverwaltungsgericht entscheidet in Verfahren über Beschwerden gegen Bescheide sowie wegen Verletzung der Entscheidungspflicht in den Angelegenheiten dieses Bundesgesetzes durch Senat.
1. Das Bundesverwaltungsgericht entscheidet in Verfahren über
Beschwerden gegen Bescheide sowie wegen Verletzung der
Entscheidungspflicht in den Angelegenheiten dieses Bundesgesetzes
durch Senat.
2. Der Senat besteht aus einem Vorsitzenden und je einem fachkundigen Laienrichter aus dem Kreis der Arbeitgeber und aus dem Kreis der Arbeitnehmer. Die fachkundigen Laienrichter werden auf Vorschlag der Wirtschaftskammer Österreich und der Bundeskammer für Arbeiter und Angestellte bestellt. Es sind entsprechende Vorkehrungen zu treffen, dass zeitgerecht eine hinreichende Anzahl von fachkundigen Laienrichtern zur Verfügung steht.
2. Der Senat besteht aus einem Vorsitzenden und je einem fachkundigen
Laienrichter aus dem Kreis der Arbeitgeber und aus dem Kreis
der Arbeitnehmer. Die fachkundigen Laienrichter werden auf Vorschlag
der Wirtschaftskammer Österreich und der Bundeskammer für Arbeiter
und Angestellte bestellt. Es sind entsprechende Vorkehrungen zu
treffen, dass zeitgerecht eine hinreichende Anzahl von fachkundigen
Laienrichtern zur Verfügung steht.
3. Die fachkundigen Laienrichter müssen eine mindestens fünfjährige
einschlägige Berufserfahrung und besondere Kenntnisse des
Datenschutzrechtes besitzen.
4. Der Vorsitzende hat den fachkundigen Laienrichtern alle
entscheidungsrelevanten Dokumente unverzüglich zu übermitteln bzw.,
wenn dies untunlich oder zur Wahrung der Vertraulichkeit von
Dokumenten unbedingt erforderlich ist, zur Verfügung zu stellen.
3. Die fachkundigen Laienrichter müssen eine mindestens fünfjährige einschlägige Berufserfahrung und besondere Kenntnisse des Datenschutzrechtes besitzen.
4. Der Vorsitzende hat den fachkundigen Laienrichtern alle entscheidungsrelevanten Dokumente unverzüglich zu übermitteln bzw., wenn dies untunlich oder zur Wahrung der Vertraulichkeit von Dokumenten unbedingt erforderlich ist, zur Verfügung zu stellen.

3
dsg2000/art02-par40.md
View File

@ -1,4 +1,5 @@
§40 - Revision beim Verwaltungsgerichtshof
==========================================
Revision beim Verwaltungsgerichtshof können auch Parteien gemäß § 38 Abs. 1 erheben.
Revision beim Verwaltungsgerichtshof können auch Parteien gemäß § 38
Abs. 1 erheben.

43
dsg2000/art02-par41.md
View File

@ -1,22 +1,45 @@
§41 - Einrichtung und Aufgaben des Datenschutzrates
===================================================
1. Beim Bundeskanzleramt ist ein Datenschutzrat eingerichtet.
1. Beim Bundeskanzleramt ist ein Datenschutzrat eingerichtet.
2. Der Datenschutzrat berät die Bundesregierung und die Landesregierungen auf deren Ersuchen in rechtspolitischen Fragen des Datenschutzes. Zur Erfüllung dieser Aufgabe
2. Der Datenschutzrat berät die Bundesregierung und die
Landesregierungen auf deren Ersuchen in rechtspolitischen Fragen
des Datenschutzes. Zur Erfüllung dieser Aufgabe
1. kann der Datenschutzrat Fragen von grundsätzlicher Bedeutung für den Datenschutz in Beratung ziehen und dazu Gutachten erstellen oder in Auftrag geben;
1. kann der Datenschutzrat Fragen von grundsätzlicher Bedeutung für
den Datenschutz in Beratung ziehen und dazu Gutachten erstellen
oder in Auftrag geben;
2. ist dem Datenschutzrat Gelegenheit zur Stellungnahme zu Gesetzesentwürfen der Bundesministerien zu geben, soweit diese datenschutzrechtlich von Bedeutung sind;
2. ist dem Datenschutzrat Gelegenheit zur Stellungnahme zu
Gesetzesentwürfen der Bundesministerien zu geben, soweit diese
datenschutzrechtlich von Bedeutung sind;
3. haben Auftraggeber des öffentlichen Bereichs ihre Vorhaben dem Datenschutzrat zur Stellungnahme zuzuleiten, soweit diese datenschutzrechtlich von Bedeutung sind;
3. haben Auftraggeber des öffentlichen Bereichs ihre Vorhaben dem
Datenschutzrat zur Stellungnahme zuzuleiten, soweit diese
datenschutzrechtlich von Bedeutung sind;
4. hat der Datenschutzrat das Recht, von Auftraggebern des öffentlichen Bereichs Auskünfte und Berichte sowie die Einsicht in Unterlagen zu verlangen, soweit dies zur datenschutzrechtlichen Beurteilung von Vorhaben mit wesentlichen Auswirkungen auf den Datenschutz in Österreich notwendig ist;
4. hat der Datenschutzrat das Recht, von Auftraggebern des
öffentlichen Bereichs Auskünfte und Berichte sowie die Einsicht
in Unterlagen zu verlangen, soweit dies zur
datenschutzrechtlichen Beurteilung von Vorhaben mit wesentlichen
Auswirkungen auf den Datenschutz in Österreich notwendig ist;
a. (Anm.: Z 4a aufgehoben durch BGBl. I Nr. /2013)
a. (Anm.: Z 4a aufgehoben durch BGBl. I Nr. /2013)
5. kann der Datenschutzrat Auftraggeber des privaten Bereichs oder auch ihre gesetzliche Interessenvertretung zur Stellungnahme zu Entwicklungen von allgemeiner Bedeutung auffordern, die aus datenschutzrechtlicher Sicht Anlaß zu Bedenken, zumindest aber Anlaß zur Beobachtung geben;
5. kann der Datenschutzrat Auftraggeber des privaten Bereichs oder
auch ihre gesetzliche Interessenvertretung zur Stellungnahme zu
Entwicklungen von allgemeiner Bedeutung auffordern, die aus
datenschutzrechtlicher Sicht Anlaß zu Bedenken, zumindest aber
Anlaß zur Beobachtung geben;
6. kann der Datenschutzrat seine Beobachtungen, Bedenken und
allfälligen Anregungen zur Verbesserung des Datenschutzes in
Österreich der Bundesregierung und den Landesregierungen
mitteilen, sowie über Vermittlung dieser Organe den
gesetzgebenden Körperschaften zur Kenntnis bringen.
3. Abs. 2 Z 3 und 4 gilt nicht, soweit innere Angelegenheiten der
anerkannten Kirchen und Religionsgesellschaften betroffen sind.
6. kann der Datenschutzrat seine Beobachtungen, Bedenken und allfälligen Anregungen zur Verbesserung des Datenschutzes in Österreich der Bundesregierung und den Landesregierungen mitteilen, sowie über Vermittlung dieser Organe den gesetzgebenden Körperschaften zur Kenntnis bringen.
3. Abs. 2 Z 3 und 4 gilt nicht, soweit innere Angelegenheiten der anerkannten Kirchen und Religionsgesellschaften betroffen sind.

46
dsg2000/art02-par42.md
View File

@ -1,24 +1,48 @@
§42 - Zusammensetzung des Datenschutzrates
==========================================
1. Dem Datenschutzrat gehören an:
1. Dem Datenschutzrat gehören an:
1. Vertreter der politischen Parteien: Von der im Hauptausschuss des Nationalrates am stärksten vertretenen Partei sind vier Vertreter, von der am zweitstärksten vertretenen Partei sind drei Vertreter und von jeder anderen im Hauptausschuss des Nationalrates vertretenen Partei ist ein Vertreter in den Datenschutzrat zu entsenden, wobei es allein auf die Stärke im Zeitpunkt der Entsendung ankommt. Bei Mandatsgleichheit zweier Parteien im Hauptausschuss ist die Stimmenstärke bei der letzten Wahl zum Nationalrat ausschlaggebend;
1. Vertreter der politischen Parteien: Von der im Hauptausschuss
des Nationalrates am stärksten vertretenen Partei sind vier
Vertreter, von der am zweitstärksten vertretenen Partei sind
drei Vertreter und von jeder anderen im Hauptausschuss des
Nationalrates vertretenen Partei ist ein Vertreter in den
Datenschutzrat zu entsenden, wobei es allein auf die Stärke im
Zeitpunkt der Entsendung ankommt. Bei Mandatsgleichheit zweier
Parteien im Hauptausschuss ist die Stimmenstärke bei der letzten
Wahl zum Nationalrat ausschlaggebend;
2. je ein Vertreter der Bundeskammer für Arbeiter und Angestellte und der Wirtschaftskammer Österreich;
2. je ein Vertreter der Bundeskammer für Arbeiter und Angestellte
und der Wirtschaftskammer Österreich;
3. zwei Vertreter der Länder;
3. zwei Vertreter der Länder;
4. je ein Vertreter des Gemeindebundes und des Städtebundes;
4. je ein Vertreter des Gemeindebundes und des Städtebundes;
5. ein vom Bundeskanzler zu ernennender Vertreter des Bundes.
5. ein vom Bundeskanzler zu ernennender Vertreter des Bundes.
2. Die in Abs. 1 Z 3, 4 und 5 genannten Vertreter sollen berufliche Erfahrung auf dem Gebiet der Informatik und des Datenschutzes haben.
2. Die in Abs. 1 Z 3, 4 und 5 genannten Vertreter sollen berufliche
Erfahrung auf dem Gebiet der Informatik und des Datenschutzes haben.
3. Für jedes Mitglied ist ein Ersatzmitglied namhaft zu machen.
3. Für jedes Mitglied ist ein Ersatzmitglied namhaft zu machen.
4. Dem Datenschutzrat können Mitglieder der Bundesregierung oder einer Landesregierung sowie Staatssekretäre und weiters Personen, die zum Nationalrat nicht wählbar sind, nicht angehören.
4. Dem Datenschutzrat können Mitglieder der Bundesregierung oder einer
Landesregierung sowie Staatssekretäre und weiters Personen, die zum
Nationalrat nicht wählbar sind, nicht angehören.
5. Die Mitglieder gehören dem Datenschutzrat solange an, bis sie dem
Bundeskanzler schriftlich ihr Ausscheiden mitteilen oder, mangels
einer solchen Mitteilung, von der entsendenden Stelle (Abs. 1) dem
Bundeskanzler ein anderer Vertreter namhaft gemacht wird. Mitglieder
nach Abs. 1 Z 1 scheiden außerdem aus, sobald der Hauptausschuss
nach den §§ 29 und 30 des Geschäftsordnungsgesetzes 1975, BGBl. Nr.
410, neu gewählt wurde, und sie nicht neuerlich entsendet werden.
6. Die Tätigkeit der Mitglieder des Datenschutzrates ist ehrenamtlich.
Mitglieder des Datenschutzrates, die außerhalb von Wien wohnen,
haben im Fall der Teilnahme an Sitzungen des Datenschutzrates
Anspruch auf Ersatz der Reisekosten (Gebührenstufe 3) nach Maßgabe
der für Bundesbeamte geltenden Rechtsvorschriften.
5. Die Mitglieder gehören dem Datenschutzrat solange an, bis sie dem Bundeskanzler schriftlich ihr Ausscheiden mitteilen oder, mangels einer solchen Mitteilung, von der entsendenden Stelle (Abs. 1) dem Bundeskanzler ein anderer Vertreter namhaft gemacht wird. Mitglieder nach Abs. 1 Z 1 scheiden außerdem aus, sobald der Hauptausschuss nach den §§ 29 und 30 des Geschäftsordnungsgesetzes 1975, BGBl. Nr. 410, neu gewählt wurde, und sie nicht neuerlich entsendet werden.
6. Die Tätigkeit der Mitglieder des Datenschutzrates ist ehrenamtlich. Mitglieder des Datenschutzrates, die außerhalb von Wien wohnen, haben im Fall der Teilnahme an Sitzungen des Datenschutzrates Anspruch auf Ersatz der Reisekosten (Gebührenstufe 3) nach Maßgabe der für Bundesbeamte geltenden Rechtsvorschriften.

16
dsg2000/art02-par43.md
View File

@ -1,8 +1,18 @@
§43 - Vorsitz und Geschäftsführung des Datenschutzrates
=======================================================
1. Der Datenschutzrat gibt sich mit Beschluß eine Geschäftsordnung.
1. Der Datenschutzrat gibt sich mit Beschluß eine Geschäftsordnung.
2. Der Datenschutzrat hat aus seiner Mitte einen Vorsitzenden und zwei
stellvertretende Vorsitzende zu wählen. Die Funktionsperiode des
Vorsitzenden und der stellvertretenden Vorsitzenden dauert
unbeschadet des § 42 Abs. 5 fünf Jahre. Wiederbestellungen
sind zulässig.
3. Die Geschäftsführung des Datenschutzrates obliegt
dem Bundeskanzleramt. Der Bundeskanzler hat das hiefür notwendige
Personal zur Verfügung zu stellen. Bei ihrer Tätigkeit für den
Datenschutzrat sind die Bediensteten des Bundeskanzleramtes fachlich
an die Weisungen des Vorsitzenden des Datenschutzrates gebunden.
2. Der Datenschutzrat hat aus seiner Mitte einen Vorsitzenden und zwei stellvertretende Vorsitzende zu wählen. Die Funktionsperiode des Vorsitzenden und der stellvertretenden Vorsitzenden dauert unbeschadet des § 42 Abs. 5 fünf Jahre. Wiederbestellungen sind zulässig.
3. Die Geschäftsführung des Datenschutzrates obliegt dem Bundeskanzleramt. Der Bundeskanzler hat das hiefür notwendige Personal zur Verfügung zu stellen. Bei ihrer Tätigkeit für den Datenschutzrat sind die Bediensteten des Bundeskanzleramtes fachlich an die Weisungen des Vorsitzenden des Datenschutzrates gebunden.

44
dsg2000/art02-par44.md
View File

@ -1,18 +1,46 @@
§44 - Sitzungen und Beschlußfassung des Datenschutzrates
========================================================
1. Die Sitzungen des Datenschutzrates werden vom Vorsitzenden nach Bedarf einberufen. Begehrt ein Mitglied die Einberufung einer Sitzung, so hat der Vorsitzende die Sitzung so einzuberufen, daß sie binnen vier Wochen stattfinden kann.
1. Die Sitzungen des Datenschutzrates werden vom Vorsitzenden nach
Bedarf einberufen. Begehrt ein Mitglied die Einberufung einer
Sitzung, so hat der Vorsitzende die Sitzung so einzuberufen, daß sie
binnen vier Wochen stattfinden kann.
2. Zu den Sitzungen kann der Vorsitzende nach Bedarf Sachverständige zuziehen.
2. Zu den Sitzungen kann der Vorsitzende nach Bedarf
Sachverständige zuziehen.
3. Für Beratungen und Beschlußfassungen im Datenschutzrat ist die Anwesenheit von mehr als der Hälfte seiner Mitglieder erforderlich. Zur Beschlußfassung genügt die einfache Mehrheit der abgegebenen Stimmen. Bei Stimmengleichheit gibt die Stimme des Vorsitzenden den Ausschlag. Stimmenthaltung ist unzulässig. Die Beifügung von Minderheitenvoten ist zulässig.
3. Für Beratungen und Beschlußfassungen im Datenschutzrat ist die
Anwesenheit von mehr als der Hälfte seiner Mitglieder erforderlich.
Zur Beschlußfassung genügt die einfache Mehrheit der
abgegebenen Stimmen. Bei Stimmengleichheit gibt die Stimme des
Vorsitzenden den Ausschlag. Stimmenthaltung ist unzulässig. Die
Beifügung von Minderheitenvoten ist zulässig.
4. Der Datenschutzrat kann aus seiner Mitte ständige oder nichtständige Arbeitsausschüsse bilden, denen er die Vorbereitung, Begutachtung und Bearbeitung einzelner Angelegenheiten übertragen kann. Er ist auch berechtigt, die Geschäftsführung, Vorbegutachtung und die Bearbeitung einzelner Angelegenheiten einem einzelnen Mitglied (Berichterstatter) zu übertragen.
4. Der Datenschutzrat kann aus seiner Mitte ständige oder nichtständige
Arbeitsausschüsse bilden, denen er die Vorbereitung, Begutachtung
und Bearbeitung einzelner Angelegenheiten übertragen kann. Er ist
auch berechtigt, die Geschäftsführung, Vorbegutachtung und die
Bearbeitung einzelner Angelegenheiten einem einzelnen
Mitglied (Berichterstatter) zu übertragen.
5. Jedes Mitglied des Datenschutzrates ist verpflichtet, an den Sitzungen außer im Fall der gerechtfertigten Verhinderung teilzunehmen. Ist ein Mitglied an der Teilnahme verhindert, hat es hievon unverzüglich das Ersatzmitglied zu verständigen.
5. Jedes Mitglied des Datenschutzrates ist verpflichtet, an den
Sitzungen außer im Fall der gerechtfertigten Verhinderung
teilzunehmen. Ist ein Mitglied an der Teilnahme verhindert, hat es
hievon unverzüglich das Ersatzmitglied zu verständigen.
6. Der Leiter der Datenschutzbehörde ist berechtigt, an den Sitzungen des Datenschutzrates oder seiner Arbeitsausschüsse teilzunehmen. Ein Stimmrecht steht ihm nicht zu.
6. Der Leiter der Datenschutzbehörde ist berechtigt, an den Sitzungen
des Datenschutzrates oder seiner Arbeitsausschüsse teilzunehmen. Ein
Stimmrecht steht ihm nicht zu.
7. Die Beratungen in der Sitzung des Datenschutzrates sind, soweit er
nicht selbst anderes beschließt, vertraulich.
8. Die Mitglieder des Datenschutzrates, der Leiter der
Datenschutzbehörde und die zur Sitzung gemäß Abs. 2 zugezogenen
Sachverständigen sind zur Verschwiegenheit über alle ihnen
ausschließlich aus ihrer Tätigkeit im Datenschutzrat
bekanntgewordenen Tatsachen verpflichtet, sofern die Geheimhaltung
im öffentlichen Interesse oder im Interesse einer Partei
geboten ist.
7. Die Beratungen in der Sitzung des Datenschutzrates sind, soweit er nicht selbst anderes beschließt, vertraulich.
8. Die Mitglieder des Datenschutzrates, der Leiter der Datenschutzbehörde und die zur Sitzung gemäß Abs. 2 zugezogenen Sachverständigen sind zur Verschwiegenheit über alle ihnen ausschließlich aus ihrer Tätigkeit im Datenschutzrat bekanntgewordenen Tatsachen verpflichtet, sofern die Geheimhaltung im öffentlichen Interesse oder im Interesse einer Partei geboten ist.

13
dsg2000/art02-par45.md
View File

@ -1,6 +1,15 @@
§45 - Private Zwecke
====================
1. Für ausschließlich persönliche oder familiäre Tätigkeiten dürfen natürliche Personen Daten verarbeiten, wenn sie ihnen vom Betroffenen selbst mitgeteilt wurden oder ihnen sonst rechtmäßigerweise, insbesondere in Übereinstimmung mit § 7 Abs. 2, zugekommen sind.
1. Für ausschließlich persönliche oder familiäre Tätigkeiten dürfen
natürliche Personen Daten verarbeiten, wenn sie ihnen vom
Betroffenen selbst mitgeteilt wurden oder ihnen sonst
rechtmäßigerweise, insbesondere in Übereinstimmung mit § 7 Abs. 2,
zugekommen sind.
2. Daten, die eine natürliche Person für ausschließlich persönliche
oder familiäre Tätigkeiten verarbeitet, dürfen, soweit gesetzlich
nicht ausdrücklich anderes vorgesehen ist, für andere Zwecke nur mit
Zustimmung des Betroffenen übermittelt werden.
2. Daten, die eine natürliche Person für ausschließlich persönliche oder familiäre Tätigkeiten verarbeitet, dürfen, soweit gesetzlich nicht ausdrücklich anderes vorgesehen ist, für andere Zwecke nur mit Zustimmung des Betroffenen übermittelt werden.

74
dsg2000/art02-par46.md
View File

@ -1,36 +1,76 @@
§46 - Wissenschaftliche Forschung und Statistik
===============================================
1. Für Zwecke wissenschaftlicher oder statistischer Untersuchungen, die keine personenbezogenen Ergebnisse zum Ziel haben, darf der Auftraggeber der Untersuchung alle Daten verwenden, die
1. Für Zwecke wissenschaftlicher oder statistischer Untersuchungen, die
keine personenbezogenen Ergebnisse zum Ziel haben, darf der
Auftraggeber der Untersuchung alle Daten verwenden, die
1. öffentlich zugänglich sind oder
1. öffentlich zugänglich sind oder
2. er für andere Untersuchungen oder auch andere Zwecke zulässigerweise ermittelt hat oder
2. er für andere Untersuchungen oder auch andere Zwecke
zulässigerweise ermittelt hat oder
3. für ihn nur indirekt personenbezogen sind.
3. für ihn nur indirekt personenbezogen sind.
Andere Daten dürfen nur unter den Voraussetzungen des Abs. 2 Z 1 bis 3 verwendet werden.
Andere Daten dürfen nur unter den Voraussetzungen des Abs. 2 Z 1 bis
3 verwendet werden.
2. Bei Datenanwendungen für Zwecke wissenschaftlicher Forschung und Statistik, die nicht unter Abs. 1 fallen, dürfen Daten nur
2. Bei Datenanwendungen für Zwecke wissenschaftlicher Forschung und
Statistik, die nicht unter Abs. 1 fallen, dürfen Daten nur
1. gemäß besonderen gesetzlichen Vorschriften oder
1. gemäß besonderen gesetzlichen Vorschriften oder
2. mit Zustimmung des Betroffenen oder
2. mit Zustimmung des Betroffenen oder
3. mit Genehmigung der Datenschutzbehörde gemäß Abs. 3 verwendet werden.
3. mit Genehmigung der Datenschutzbehörde gemäß Abs. 3
verwendet werden.
3. Eine Genehmigung der Datenschutzbehörde für die Verwendung von Daten für Zwecke der wissenschaftlichen Forschung oder Statistik ist auf Antrag des Auftraggebers der Untersuchung zu erteilen, wenn
3. Eine Genehmigung der Datenschutzbehörde für die Verwendung von Daten
für Zwecke der wissenschaftlichen Forschung oder Statistik ist auf
Antrag des Auftraggebers der Untersuchung zu erteilen, wenn
1. die Einholung der Zustimmung der Betroffenen mangels ihrer Erreichbarkeit unmöglich ist oder sonst einen unverhältnismäßigen Aufwand bedeutet und
1. die Einholung der Zustimmung der Betroffenen mangels ihrer
Erreichbarkeit unmöglich ist oder sonst einen
unverhältnismäßigen Aufwand bedeutet und
2. ein öffentliches Interesse an der beantragten Verwendung besteht und
2. ein öffentliches Interesse an der beantragten Verwendung besteht
und
3. die fachliche Eignung des Antragstellers glaubhaft gemacht wird.
3. die fachliche Eignung des Antragstellers glaubhaft gemacht wird.
Sollen sensible Daten ermittelt werden, muß ein wichtiges öffentliches Interesse an der Untersuchung vorliegen; weiters muß gewährleistet sein, daß die Daten beim Auftraggeber der Untersuchung nur von Personen verwendet werden, die hinsichtlich des Gegenstandes der Untersuchung einer gesetzlichen Verschwiegenheitspflicht unterliegen oder deren diesbezügliche Verläßlichkeit sonst glaubhaft ist. Die Datenschutzbehörde kann die Genehmigung an die Erfüllung von Bedingungen und Auflagen knüpfen, soweit dies zur Wahrung der schutzwürdigen Interessen der Betroffenen, insbesondere bei der Verwendung sensibler Daten, notwendig ist.
Sollen sensible Daten ermittelt werden, muß ein wichtiges
öffentliches Interesse an der Untersuchung vorliegen; weiters muß
gewährleistet sein, daß die Daten beim Auftraggeber der Untersuchung
nur von Personen verwendet werden, die hinsichtlich des Gegenstandes
der Untersuchung einer gesetzlichen Verschwiegenheitspflicht
unterliegen oder deren diesbezügliche Verläßlichkeit sonst
glaubhaft ist. Die Datenschutzbehörde kann die Genehmigung an die
Erfüllung von Bedingungen und Auflagen knüpfen, soweit dies zur
Wahrung der schutzwürdigen Interessen der Betroffenen, insbesondere
bei der Verwendung sensibler Daten, notwendig ist.
a. Einem Antrag nach Abs. 3 ist jedenfalls eine vom Verfügungsbefugten über die Datenbestände, aus denen die Daten ermittelt werden sollen, oder einem sonst darüber Verfügungsbefugten unterfertigte Erklärung anzuschließen, dass er dem Auftraggeber die Datenbestände für die Untersuchung zur Verfügung stellt. Anstelle dieser Erklärung kann auch ein diese Erklärung ersetzender Exekutionstitel (§ 367 Abs. 1 der Exekutionsordnung EO, RGBl. Nr. 79/1896) vorgelegt werden.
a. Einem Antrag nach Abs. 3 ist jedenfalls eine vom
Verfügungsbefugten über die Datenbestände, aus denen die Daten
ermittelt werden sollen, oder einem sonst darüber
Verfügungsbefugten unterfertigte Erklärung anzuschließen, dass
er dem Auftraggeber die Datenbestände für die Untersuchung zur
Verfügung stellt. Anstelle dieser Erklärung kann auch ein diese
Erklärung ersetzender Exekutionstitel (§ 367 Abs. 1 der
Exekutionsordnung EO, RGBl. Nr. 79/1896) vorgelegt werden.
4. Rechtliche Beschränkungen der Zulässigkeit der Benützung von Daten
aus anderen, insbesondere urheberrechtlichen Gründen
bleiben unberührt.
5. Auch in jenen Fällen, in welchen gemäß den vorstehenden Bestimmungen
die Verwendung von Daten für Zwecke der wissenschaftlichen Forschung
oder Statistik in personenbezogener Form zulässig ist, ist der
direkte Personsbezug unverzüglich zu verschlüsseln, wenn in
einzelnen Phasen der wissenschaftlichen oder statistischen Arbeit
mit nur indirekt personenbezogenen Daten das Auslangen gefunden
werden kann. Sofern gesetzlich nicht ausdrücklich anderes vorgesehen
ist, ist der Personsbezug der Daten gänzlich zu beseitigen, sobald
er für die wissenschaftliche oder statistische Arbeit nicht mehr
notwendig ist.
4. Rechtliche Beschränkungen der Zulässigkeit der Benützung von Daten aus anderen, insbesondere urheberrechtlichen Gründen bleiben unberührt.
5. Auch in jenen Fällen, in welchen gemäß den vorstehenden Bestimmungen die Verwendung von Daten für Zwecke der wissenschaftlichen Forschung oder Statistik in personenbezogener Form zulässig ist, ist der direkte Personsbezug unverzüglich zu verschlüsseln, wenn in einzelnen Phasen der wissenschaftlichen oder statistischen Arbeit mit nur indirekt personenbezogenen Daten das Auslangen gefunden werden kann. Sofern gesetzlich nicht ausdrücklich anderes vorgesehen ist, ist der Personsbezug der Daten gänzlich zu beseitigen, sobald er für die wissenschaftliche oder statistische Arbeit nicht mehr notwendig ist.

61
dsg2000/art02-par47.md
View File

@ -1,30 +1,63 @@
§47 - Zurverfügungstellung von Adressen zur Benachrichtigung und Befragung von Betroffenen
==========================================================================================
1. Soweit gesetzlich nicht ausdrücklich anderes bestimmt ist, bedarf die Übermittlung von Adreßdaten eines bestimmten Kreises von Betroffenen zum Zweck ihrer Benachrichtigung oder Befragung der Zustimmung der Betroffenen.
1. Soweit gesetzlich nicht ausdrücklich anderes bestimmt ist, bedarf
die Übermittlung von Adreßdaten eines bestimmten Kreises von
Betroffenen zum Zweck ihrer Benachrichtigung oder Befragung der
Zustimmung der Betroffenen.
2. Wenn allerdings angesichts der Auswahlkriterien für den Betroffenenkreis und des Gegenstands der Benachrichtigung oder Befragung eine Beeinträchtigung der Geheimhaltungsinteressen der Betroffenen unwahrscheinlich ist, bedarf es keiner Zustimmung, wenn
2. Wenn allerdings angesichts der Auswahlkriterien für den
Betroffenenkreis und des Gegenstands der Benachrichtigung oder
Befragung eine Beeinträchtigung der Geheimhaltungsinteressen der
Betroffenen unwahrscheinlich ist, bedarf es keiner Zustimmung, wenn
1. Daten desselben Auftraggebers verwendet werden oder
1. Daten desselben Auftraggebers verwendet werden oder
2. bei einer beabsichtigten Übermittlung der Adreßdaten an Dritte
2. bei einer beabsichtigten Übermittlung der Adreßdaten an Dritte
a. an der Benachrichtigung oder Befragung auch ein öffentliches Interesse besteht oder
a. an der Benachrichtigung oder Befragung auch ein öffentliches
Interesse besteht oder
b. der Betroffene nach entsprechender Information über Anlaß und Inhalt der Übermittlung innerhalb angemessener Frist keinen Widerspruch gegen die Übermittlung erhoben hat.
b. der Betroffene nach entsprechender Information über Anlaß
und Inhalt der Übermittlung innerhalb angemessener Frist
keinen Widerspruch gegen die Übermittlung erhoben hat.
3. Liegen die Voraussetzungen des Abs. 2 nicht vor und würde die Einholung der Zustimmung der Betroffenen gemäß Abs. 1 einen unverhältnismäßigen Aufwand erfordern, ist die Übermittlung der Adreßdaten mit Genehmigung der Datenschutzbehörde gemäß Abs. 4 zulässig, falls die Übermittlung an Dritte
3. Liegen die Voraussetzungen des Abs. 2 nicht vor und würde die
Einholung der Zustimmung der Betroffenen gemäß Abs. 1 einen
unverhältnismäßigen Aufwand erfordern, ist die Übermittlung der
Adreßdaten mit Genehmigung der Datenschutzbehörde gemäß Abs. 4
zulässig, falls die Übermittlung an Dritte
1. zum Zweck der Benachrichtigung oder Befragung aus einem wichtigen Interesse des Betroffenen selbst oder
1. zum Zweck der Benachrichtigung oder Befragung aus einem
wichtigen Interesse des Betroffenen selbst oder
2. aus einem wichtigen öffentlichen Benachrichtigungs- oder Befragungsinteresse oder
2. aus einem wichtigen öffentlichen Benachrichtigungs- oder
Befragungsinteresse oder
3. zur Befragung der Betroffenen für wissenschaftliche oder statistische Zwecke
3. zur Befragung der Betroffenen für wissenschaftliche oder
statistische Zwecke
erfolgen soll.
erfolgen soll.
4. Die Datenschutzbehörde hat auf Antrag eines Auftraggebers, der Adressdaten verarbeitet, die Genehmigung zur Übermittlung zu erteilen, wenn der Antragsteller das Vorliegen der in Abs. 3 genannten Voraussetzungen glaubhaft macht und überwiegende schutzwürdige Geheimhaltungsinteressen der Betroffenen der Übermittlung nicht entgegenstehen. Die Datenschutzbehörde kann die Genehmigung an die Erfüllung von Bedingungen und Auflagen knüpfen, soweit dies zur Wahrung der schutzwürdigen Interessen der Betroffenen, insbesondere bei der Verwendung sensibler Daten als Auswahlkriterium, notwendig ist.
4. Die Datenschutzbehörde hat auf Antrag eines Auftraggebers, der
Adressdaten verarbeitet, die Genehmigung zur Übermittlung zu
erteilen, wenn der Antragsteller das Vorliegen der in Abs. 3
genannten Voraussetzungen glaubhaft macht und überwiegende
schutzwürdige Geheimhaltungsinteressen der Betroffenen der
Übermittlung nicht entgegenstehen. Die Datenschutzbehörde kann die
Genehmigung an die Erfüllung von Bedingungen und Auflagen knüpfen,
soweit dies zur Wahrung der schutzwürdigen Interessen der
Betroffenen, insbesondere bei der Verwendung sensibler Daten als
Auswahlkriterium, notwendig ist.
5. Die übermittelten Adreßdaten dürfen ausschließlich für den
genehmigten Zweck verwendet werden und sind zu löschen, sobald sie
für die Benachrichtigung oder Befragung nicht mehr benötigt werden.
6. In jenen Fällen, in welchen es gemäß den vorstehenden Bestimmungen
zulässig ist, Namen und Adresse von Personen, die einem bestimmten
Betroffenenkreis angehören, zu übermitteln, dürfen auch die zum
Zweck der Auswahl der zu übermittelnden Adreßdaten notwendigen
Verarbeitungen vorgenommen werden.
5. Die übermittelten Adreßdaten dürfen ausschließlich für den genehmigten Zweck verwendet werden und sind zu löschen, sobald sie für die Benachrichtigung oder Befragung nicht mehr benötigt werden.
6. In jenen Fällen, in welchen es gemäß den vorstehenden Bestimmungen zulässig ist, Namen und Adresse von Personen, die einem bestimmten Betroffenenkreis angehören, zu übermitteln, dürfen auch die zum Zweck der Auswahl der zu übermittelnden Adreßdaten notwendigen Verarbeitungen vorgenommen werden.

17
dsg2000/art02-par48.md
View File

@ -1,8 +1,19 @@
§48 - Publizistische Tätigkeit
==============================
1. Soweit Medienunternehmen, Mediendienste oder ihre Mitarbeiter Daten unmittelbar für ihre publizistische Tätigkeit im Sinne des Mediengesetzes verwenden, sind von den einfachgesetzlichen Bestimmungen des vorliegenden Bundesgesetzes nur die §§ 4 bis 6, 10, 11, 14 und 15 anzuwenden.
1. Soweit Medienunternehmen, Mediendienste oder ihre Mitarbeiter Daten
unmittelbar für ihre publizistische Tätigkeit im Sinne des
Mediengesetzes verwenden, sind von den einfachgesetzlichen
Bestimmungen des vorliegenden Bundesgesetzes nur die §§ 4 bis 6, 10,
11, 14 und 15 anzuwenden.
2. Die Verwendung von Daten für Tätigkeiten nach Abs. 1 ist insoweit
zulässig, als dies zur Erfüllung der Informationsaufgabe der
Medienunternehmer, Mediendienste und ihrer Mitarbeiter in Ausübung
des Grundrechtes auf freie Meinungsäußerung gemäß Art. 10 Abs. 1
EMRK erforderlich ist.
3. Im übrigen gelten die Bestimmungen des Mediengesetzes, insbesondere
seines dritten Abschnitts über den Persönlichkeitsschutz.
2. Die Verwendung von Daten für Tätigkeiten nach Abs. 1 ist insoweit zulässig, als dies zur Erfüllung der Informationsaufgabe der Medienunternehmer, Mediendienste und ihrer Mitarbeiter in Ausübung des Grundrechtes auf freie Meinungsäußerung gemäß Art. 10 Abs. 1 EMRK erforderlich ist.
3. Im übrigen gelten die Bestimmungen des Mediengesetzes, insbesondere seines dritten Abschnitts über den Persönlichkeitsschutz.

109
dsg2000/art02-par48a.md
View File

@ -1,24 +1,111 @@
§48a - Verwendung von Daten im Katastrophenfall
===============================================
1. Auftraggeber des öffentlichen Bereiches sind im Katastrophenfall ermächtigt, Daten zu verwenden, soweit dies zur Hilfeleistung für die von der Katastrophe unmittelbar betroffenen Personen, zur Auffindung und Identifizierung von Abgängigen und Verstorbenen und zur Information von Angehörigen notwendig ist. Zu diesem Zweck sind auch Hilfsorganisationen (Abs. 6) nach Maßgabe der ihnen zukommenden Aufgaben und rechtlichen Befugnis ermächtigt, Daten zu verwenden. Wenn dies zur raschen Bewältigung der Katastrophe notwendig ist, darf eine Datenverwendung in Form der Teilnahme an einem Informationsverbundsystem erfolgen. Wer rechtmäßig über Daten verfügt, darf diese an Auftraggeber des öffentlichen Bereiches und Hilfsorganisationen übermitteln, sofern diese die Daten zur Bewältigung der Katastrophe für die genannten Zwecke benötigen. Die Daten sind unverzüglich zu löschen, wenn sie für die Erfüllung des konkreten Zwecks nicht mehr benötigt werden.
1. Auftraggeber des öffentlichen Bereiches sind im Katastrophenfall
ermächtigt, Daten zu verwenden, soweit dies zur Hilfeleistung für
die von der Katastrophe unmittelbar betroffenen Personen, zur
Auffindung und Identifizierung von Abgängigen und Verstorbenen und
zur Information von Angehörigen notwendig ist. Zu diesem Zweck sind
auch Hilfsorganisationen (Abs. 6) nach Maßgabe der ihnen zukommenden
Aufgaben und rechtlichen Befugnis ermächtigt, Daten zu verwenden.
Wenn dies zur raschen Bewältigung der Katastrophe notwendig ist,
darf eine Datenverwendung in Form der Teilnahme an einem
Informationsverbundsystem erfolgen. Wer rechtmäßig über Daten
verfügt, darf diese an Auftraggeber des öffentlichen Bereiches und
Hilfsorganisationen übermitteln, sofern diese die Daten zur
Bewältigung der Katastrophe für die genannten Zwecke benötigen. Die
Daten sind unverzüglich zu löschen, wenn sie für die Erfüllung des
konkreten Zwecks nicht mehr benötigt werden.
2. Eine Überlassung oder Übermittlung von Daten in das Ausland ist zulässig, soweit dies für die Erfüllung der in Abs. 1 genannten Zwecke notwendig ist. Wenn dies zur raschen Bewältigung der Katastrophe notwendig ist, darf eine Datenverwendung durch Auftraggeber des öffentlichen Bereichs und Hilfsorganisationen in Form der Teilnahme an einem Informationsverbundsystem, an dem auch ausländische Auftraggeber beteiligt sind, erfolgen. Die Übermittlung erkennungsdienstlicher und sensibler Daten zu Identifizierungszwecken an ein derartiges System darf erst stattfinden, wenn auf Grund von Erhebungen konkrete Anhaltspunkte dafür vorliegen, dass die vermisste Person verstorben sein dürfte. Daten, die für sich allein den Betroffenen strafrechtlich belasten, dürfen nicht übermittelt werden, es sei denn, dass diese zur Identifizierung im Einzelfall unbedingt notwendig sind. Die Übermittlung von Daten Angehöriger darf nur in pseudonymisierter Form erfolgen. Daten dürfen in Staaten ohne angemessenes Datenschutzniveau nur übermittelt oder überlassen werden, wenn der Auftraggeber auf Grund schriftlicher Vereinbarungen mit dem Empfänger oder auf Grund schriftlicher Zusagen des Empfängers oder, wenn dies nach den Umständen nicht oder nicht in angemessener Zeit möglich ist, durch Erteilung von Auflagen an den Empfänger davon ausgehen kann, dass die schutzwürdigen Geheimhaltungsinteressen der vom geplanten Datenverkehr Betroffenen auch im Ausland ausreichend gewahrt werden. Eine Übermittlung oder Überlassung hat dann zu unterbleiben, wenn Grund zur Annahme besteht, dass der Empfänger nicht für den gebotenen Schutz der Geheimhaltungsinteressen der Betroffenen Sorge tragen oder ausdrückliche datenschutzrechtliche Auflagen des Auftraggebers missachten werde. Während der Dauer der Katastrophensituation entfällt im Hinblick auf § 12 Abs. 3 Z 3 die Genehmigungspflicht. Die Datenschutzbehörde ist von den veranlassten Übermittlungen und Überlassungen und den näheren Umständen des Anlass gebenden Sachverhaltes jedoch unverzüglich zu verständigen. Die Datenschutzbehörde kann zum Schutz der Betroffenenrechte Datenübermittlungen oder -überlassungen untersagen, wenn der durch die Datenweitergabe bewirkte Eingriff in das Grundrecht auf Datenschutz durch die besonderen Umstände der Katastrophensituation nicht gerechtfertigt ist.
2. Eine Überlassung oder Übermittlung von Daten in das Ausland ist
zulässig, soweit dies für die Erfüllung der in Abs. 1 genannten
Zwecke notwendig ist. Wenn dies zur raschen Bewältigung der
Katastrophe notwendig ist, darf eine Datenverwendung durch
Auftraggeber des öffentlichen Bereichs und Hilfsorganisationen in
Form der Teilnahme an einem Informationsverbundsystem, an dem auch
ausländische Auftraggeber beteiligt sind, erfolgen. Die Übermittlung
erkennungsdienstlicher und sensibler Daten zu
Identifizierungszwecken an ein derartiges System darf erst
stattfinden, wenn auf Grund von Erhebungen konkrete Anhaltspunkte
dafür vorliegen, dass die vermisste Person verstorben sein dürfte.
Daten, die für sich allein den Betroffenen strafrechtlich belasten,
dürfen nicht übermittelt werden, es sei denn, dass diese zur
Identifizierung im Einzelfall unbedingt notwendig sind. Die
Übermittlung von Daten Angehöriger darf nur in pseudonymisierter
Form erfolgen. Daten dürfen in Staaten ohne angemessenes
Datenschutzniveau nur übermittelt oder überlassen werden, wenn der
Auftraggeber auf Grund schriftlicher Vereinbarungen mit dem
Empfänger oder auf Grund schriftlicher Zusagen des Empfängers oder,
wenn dies nach den Umständen nicht oder nicht in angemessener Zeit
möglich ist, durch Erteilung von Auflagen an den Empfänger davon
ausgehen kann, dass die schutzwürdigen Geheimhaltungsinteressen der
vom geplanten Datenverkehr Betroffenen auch im Ausland ausreichend
gewahrt werden. Eine Übermittlung oder Überlassung hat dann zu
unterbleiben, wenn Grund zur Annahme besteht, dass der Empfänger
nicht für den gebotenen Schutz der Geheimhaltungsinteressen der
Betroffenen Sorge tragen oder ausdrückliche datenschutzrechtliche
Auflagen des Auftraggebers missachten werde. Während der Dauer der
Katastrophensituation entfällt im Hinblick auf § 12 Abs. 3 Z 3
die Genehmigungspflicht. Die Datenschutzbehörde ist von den
veranlassten Übermittlungen und Überlassungen und den näheren
Umständen des Anlass gebenden Sachverhaltes jedoch unverzüglich
zu verständigen. Die Datenschutzbehörde kann zum Schutz der
Betroffenenrechte Datenübermittlungen oder -überlassungen
untersagen, wenn der durch die Datenweitergabe bewirkte Eingriff in
das Grundrecht auf Datenschutz durch die besonderen Umstände der
Katastrophensituation nicht gerechtfertigt ist.
3. Auf Grund einer konkreten Anfrage eines nahen Angehörigen einer tatsächlich oder vermutlich von der Katastrophe unmittelbar betroffenen Person sind Auftraggeber ermächtigt, dem Anfragenden Daten über die Reise in das und aus dem Katastrophengebiet, Aufenthaltsdaten im Katastrophengebiet sowie Daten über den Stand der Ausforschung von betroffenen Personen zu übermitteln, wenn der Angehörige folgende Daten bekannt gibt:
3. Auf Grund einer konkreten Anfrage eines nahen Angehörigen einer
tatsächlich oder vermutlich von der Katastrophe unmittelbar
betroffenen Person sind Auftraggeber ermächtigt, dem Anfragenden
Daten über die Reise in das und aus dem Katastrophengebiet,
Aufenthaltsdaten im Katastrophengebiet sowie Daten über den Stand
der Ausforschung von betroffenen Personen zu übermitteln, wenn der
Angehörige folgende Daten bekannt gibt:
1. Vor- und Zuname, Geburtsdatum sowie Wohnadresse der tatsächlich oder vermutlich von der Katastrophe betroffenen Person und
1. Vor- und Zuname, Geburtsdatum sowie Wohnadresse der tatsächlich
oder vermutlich von der Katastrophe betroffenen Person und
2. seinen Vor- und Zunamen, sein Geburtsdatum, seine Wohnadresse und sonstige Erreichbarkeit sowie seine Angehörigeneigenschaft zur betroffenen Person.
2. seinen Vor- und Zunamen, sein Geburtsdatum, seine Wohnadresse
und sonstige Erreichbarkeit sowie seine Angehörigeneigenschaft
zur betroffenen Person.
Bestehen Zweifel an der Angehörigeneigenschaft und können diese durch Überprüfungen nicht ausgeräumt werden, ist ein Nachweis der Identität und Angehörigeneigenschaft notwendig.
Bestehen Zweifel an der Angehörigeneigenschaft und können diese
durch Überprüfungen nicht ausgeräumt werden, ist ein Nachweis der
Identität und Angehörigeneigenschaft notwendig.
4. Über Abs. 3 hinaus dürfen nahen Angehörigen von Auftraggebern des öffentlichen Bereiches und Hilfsorganisationen Daten einschließlich sensibler Daten über tatsächlich oder vermutlich unmittelbar von der Katastrophe betroffene Personen nur übermittelt werden, wenn sie ihre Identität und ihre Angehörigeneigenschaft nachweisen und die Auskunft zur Wahrung ihrer Rechte oder jener der betroffenen Person erforderlich ist. Die Sozialversicherungsträger sind verpflichtet, die Auftraggeber des öffentlichen Bereiches und Hilfsorganisationen bei der Überprüfung der Daten gemäß Abs. 3 und der Angehörigenbeziehung zu unterstützen. Behörden sind ermächtigt, die zur Überprüfung dieser Angaben notwendigen Daten im Wege der Amtshilfe zu ermitteln und für diesen Zweck zu verwenden.
4. Über Abs. 3 hinaus dürfen nahen Angehörigen von Auftraggebern des
öffentlichen Bereiches und Hilfsorganisationen Daten einschließlich
sensibler Daten über tatsächlich oder vermutlich unmittelbar von der
Katastrophe betroffene Personen nur übermittelt werden, wenn sie
ihre Identität und ihre Angehörigeneigenschaft nachweisen und die
Auskunft zur Wahrung ihrer Rechte oder jener der betroffenen Person
erforderlich ist. Die Sozialversicherungsträger sind verpflichtet,
die Auftraggeber des öffentlichen Bereiches und Hilfsorganisationen
bei der Überprüfung der Daten gemäß Abs. 3 und der
Angehörigenbeziehung zu unterstützen. Behörden sind ermächtigt, die
zur Überprüfung dieser Angaben notwendigen Daten im Wege der
Amtshilfe zu ermitteln und für diesen Zweck zu verwenden.
5. Als nahe Angehörige im Sinne dieser Bestimmung sind Eltern, Kinder, Ehegatten, eingetragene Partner und Lebensgefährten der Betroffenen zu verstehen. Andere Angehörige dürfen die erwähnten Auskünfte unter denselben Voraussetzungen wie nahe Angehörige dann erhalten, wenn sie eine besondere Nahebeziehung zu der von der Katastrophe tatsächlich oder vermutlich unmittelbar betroffenen Person glaubhaft machen.
5. Als nahe Angehörige im Sinne dieser Bestimmung sind Eltern, Kinder,
Ehegatten, eingetragene Partner und Lebensgefährten der Betroffenen
zu verstehen. Andere Angehörige dürfen die erwähnten Auskünfte unter
denselben Voraussetzungen wie nahe Angehörige dann erhalten, wenn
sie eine besondere Nahebeziehung zu der von der Katastrophe
tatsächlich oder vermutlich unmittelbar betroffenen Person
glaubhaft machen.
6. Eine Hilfsorganisation im Sinne dieser Bestimmung ist eine allgemein anerkannte gemeinnützige Organisation, die statuten- oder satzungsgemäß das Ziel hat, Menschen in Notsituationen zu unterstützen und von der angenommen werden kann, dass sie in wesentlichem Ausmaß eine Hilfeleistung im Katastrophenfall erbringen kann.
6. Eine Hilfsorganisation im Sinne dieser Bestimmung ist eine allgemein
anerkannte gemeinnützige Organisation, die statuten- oder
satzungsgemäß das Ziel hat, Menschen in Notsituationen zu
unterstützen und von der angenommen werden kann, dass sie in
wesentlichem Ausmaß eine Hilfeleistung im Katastrophenfall
erbringen kann.
7. Alle Datenverwendungen sind im Sinne des § 14 Abs. 2 Z 7
zu protokollieren.
8. Die Zulässigkeit von Datenverwendungen auf der Grundlage anderer in
den §§ 8 und 9 genannter Tatbestände bleibt unberührt.
7. Alle Datenverwendungen sind im Sinne des § 14 Abs. 2 Z 7 zu protokollieren.
8. Die Zulässigkeit von Datenverwendungen auf der Grundlage anderer in den §§ 8 und 9 genannter Tatbestände bleibt unberührt.

27
dsg2000/art02-par49.md
View File

@ -1,14 +1,29 @@
§49 - Automatisierte Einzelentscheidungen
=========================================
1. Niemand darf einer für ihn rechtliche Folgen nach sich ziehenden oder einer ihn erheblich beeinträchtigenden Entscheidung unterworfen werden, die ausschließlich auf Grund einer automationsunterstützten Verarbeitung von Daten zum Zweck der Bewertung einzelner Aspekte seiner Person ergeht, wie beispielsweise seiner beruflichen Leistungsfähigkeit, seiner Kreditwürdigkeit, seiner Zuverlässigkeit oder seines Verhaltens.
1. Niemand darf einer für ihn rechtliche Folgen nach sich ziehenden
oder einer ihn erheblich beeinträchtigenden Entscheidung unterworfen
werden, die ausschließlich auf Grund einer automationsunterstützten
Verarbeitung von Daten zum Zweck der Bewertung einzelner Aspekte
seiner Person ergeht, wie beispielsweise seiner beruflichen
Leistungsfähigkeit, seiner Kreditwürdigkeit, seiner Zuverlässigkeit
oder seines Verhaltens.
2. Abweichend von Abs. 1 darf eine Person einer ausschließlich automationsunterstützt erzeugten Entscheidung unterworfen werden, wenn
2. Abweichend von Abs. 1 darf eine Person einer ausschließlich
automationsunterstützt erzeugten Entscheidung unterworfen werden,
wenn
1. dies gesetzlich ausdrücklich vorgesehen ist oder
1. dies gesetzlich ausdrücklich vorgesehen ist oder
2. die Entscheidung im Rahmen des Abschlusses oder der Erfüllung eines Vertrages ergeht und dem Ersuchen des Betroffenen auf Abschluß oder Erfüllung des Vertrages stattgegeben wurde oder
2. die Entscheidung im Rahmen des Abschlusses oder der Erfüllung
eines Vertrages ergeht und dem Ersuchen des Betroffenen auf
Abschluß oder Erfüllung des Vertrages stattgegeben wurde oder
3. die Wahrung der berechtigten Interessen des Betroffenen durch
geeignete Maßnahmen beispielsweise die Möglichkeit, seinen
Standpunkt geltend zu machen garantiert wird.
3. Dem Betroffenen ist bei automatisierten Einzelentscheidungen auf
Antrag der logische Ablauf der autom
3. die Wahrung der berechtigten Interessen des Betroffenen durch geeignete Maßnahmen beispielsweise die Möglichkeit, seinen Standpunkt geltend zu machen garantiert wird.
3. Dem Betroffenen ist bei automatisierten Einzelentscheidungen auf Antrag der logische Ablauf der autom

49
dsg2000/art02-par50.md
View File

@ -1,10 +1,51 @@
§50 - Informationsverbundsysteme
================================
1. Die Auftraggeber eines Informationsverbundsystems haben, soweit dies nicht bereits durch Gesetz geregelt ist, einen geeigneten Betreiber für das System zu bestellen. Name (Bezeichnung) und Anschrift des Betreibers sind in der Meldung zwecks Eintragung in das Datenverarbeitungsregister bekannt zu geben. Unbeschadet des Rechtes des Betroffenen auf Auskunft nach § 26 hat der Betreiber jedem Betroffenen auf Antrag binnen zwölf Wochen alle Auskünfte zu geben, die notwendig sind, um den für die Verarbeitung seiner Daten im System verantwortlichen Auftraggeber festzustellen; in Fällen, in welchen der Auftraggeber gemäß § 26 Abs. 5 vorzugehen hätte, hat der Betreiber mitzuteilen, daß kein der Pflicht zur Auskunftserteilung unterliegender Auftraggeber benannt werden kann. Abgesehen von der abweichenden Frist gilt § 26 Abs. 3 bis 10 sinngemäß. Die Unterstützungspflicht des Betreibers gilt auch bei Anfragen von Behörden. Den Betreiber trifft überdies die Verantwortung für die notwendigen Maßnahmen der Datensicherheit (§ 14) im Informationsverbundsystem. Von der Haftung für diese Verantwortung kann sich der Betreiber unter den gleichen Voraussetzungen, wie sie in § 33 Abs. 3 vorgesehen sind, befreien. Wird ein Informationsverbundsystem geführt, ohne daß eine entsprechende Meldung an die Datenschutzbehörde unter Angabe eines Betreibers erfolgt ist, treffen jeden einzelnen Auftraggeber die Pflichten des Betreibers.
1. Die Auftraggeber eines Informationsverbundsystems haben, soweit dies
nicht bereits durch Gesetz geregelt ist, einen geeigneten Betreiber
für das System zu bestellen. Name (Bezeichnung) und Anschrift des
Betreibers sind in der Meldung zwecks Eintragung in das
Datenverarbeitungsregister bekannt zu geben. Unbeschadet des Rechtes
des Betroffenen auf Auskunft nach § 26 hat der Betreiber jedem
Betroffenen auf Antrag binnen zwölf Wochen alle Auskünfte zu geben,
die notwendig sind, um den für die Verarbeitung seiner Daten im
System verantwortlichen Auftraggeber festzustellen; in Fällen, in
welchen der Auftraggeber gemäß § 26 Abs. 5 vorzugehen hätte, hat der
Betreiber mitzuteilen, daß kein der Pflicht zur Auskunftserteilung
unterliegender Auftraggeber benannt werden kann. Abgesehen von der
abweichenden Frist gilt § 26 Abs. 3 bis 10 sinngemäß. Die
Unterstützungspflicht des Betreibers gilt auch bei Anfragen
von Behörden. Den Betreiber trifft überdies die Verantwortung für
die notwendigen Maßnahmen der Datensicherheit (§ 14)
im Informationsverbundsystem. Von der Haftung für diese
Verantwortung kann sich der Betreiber unter den gleichen
Voraussetzungen, wie sie in § 33 Abs. 3 vorgesehen sind, befreien.
Wird ein Informationsverbundsystem geführt, ohne daß eine
entsprechende Meldung an die Datenschutzbehörde unter Angabe eines
Betreibers erfolgt ist, treffen jeden einzelnen Auftraggeber die
Pflichten des Betreibers.
2. Durch entsprechenden Rechtsakt können auch weitere Auftraggeberpflichten, insbesondere auch die Vornahme der Meldung des Informationsverbundsystems, auf den Betreiber übertragen werden. Allein für die Übertragung der Meldepflicht ist die Vorlage von Vollmachten nach § 10 AVG nicht erforderlich. Soweit der Pflichtenübergang nicht durch Gesetz angeordnet ist, ist er gegenüber Dritten nur wirksam, wenn er auf Grund einer entsprechenden Meldung an die Datenschutzbehörde aus der Registrierung im Datenverarbeitungsregister ersichtlich ist.
2. Durch entsprechenden Rechtsakt können auch weitere
Auftraggeberpflichten, insbesondere auch die Vornahme der Meldung
des Informationsverbundsystems, auf den Betreiber übertragen werden.
Allein für die Übertragung der Meldepflicht ist die Vorlage von
Vollmachten nach § 10 AVG nicht erforderlich. Soweit der
Pflichtenübergang nicht durch Gesetz angeordnet ist, ist er
gegenüber Dritten nur wirksam, wenn er auf Grund einer
entsprechenden Meldung an die Datenschutzbehörde aus der
Registrierung im Datenverarbeitungsregister ersichtlich ist.
a. Wird ein Informationsverbundsystem auf Grund einer Meldung von
zumindest zwei Auftraggebern registriert, so können
Auftraggeber, die in der Folge die Teilnahme an dem
Informationsverbundsystem anstreben, die Meldung im Umfang des §
19 Abs. 1 Z 3 bis 7 auf einen Verweis auf den Inhalt der Meldung
eines bereits registrierten Auftraggebers beschränken, wenn sie
eine Teilnahme im genau gleichen Umfang anstreben.
3. Die Bestimmungen der Abs. 1 und 2 gelten nicht, soweit infolge der
besonderen, insbesondere internationalen Struktur eines bestimmten
Informationsverbundsystems gesetzlich ausdrücklich anderes
vorgesehen ist.
a. Wird ein Informationsverbundsystem auf Grund einer Meldung von zumindest zwei Auftraggebern registriert, so können Auftraggeber, die in der Folge die Teilnahme an dem Informationsverbundsystem anstreben, die Meldung im Umfang des § 19 Abs. 1 Z 3 bis 7 auf einen Verweis auf den Inhalt der Meldung eines bereits registrierten Auftraggebers beschränken, wenn sie eine Teilnahme im genau gleichen Umfang anstreben.
3. Die Bestimmungen der Abs. 1 und 2 gelten nicht, soweit infolge der besonderen, insbesondere internationalen Struktur eines bestimmten Informationsverbundsystems gesetzlich ausdrücklich anderes vorgesehen ist.

84
dsg2000/art02-par50a.md
View File

@ -1,34 +1,86 @@
§50a - Allgemeines
==================
1. Videoüberwachung im Sinne dieses Abschnittes bezeichnet die systematische, insbesondere fortlaufende Feststellung von Ereignissen, die ein bestimmtes Objekt (überwachtes Objekt) oder eine bestimmte Person (überwachte Person) betreffen, durch technische Bildaufnahme- oder Bildübertragungsgeräte. Für derartige Überwachungen gelten die folgenden Absätze, sofern nicht durch andere Gesetze Besonderes bestimmt ist.
1. Videoüberwachung im Sinne dieses Abschnittes bezeichnet die
systematische, insbesondere fortlaufende Feststellung von
Ereignissen, die ein bestimmtes Objekt (überwachtes Objekt) oder
eine bestimmte Person (überwachte Person) betreffen, durch
technische Bildaufnahme- oder Bildübertragungsgeräte. Für derartige
Überwachungen gelten die folgenden Absätze, sofern nicht durch
andere Gesetze Besonderes bestimmt ist.
2. Für Videoüberwachung gelten die §§ 6 und 7, insbesondere der Verhältnismäßigkeitsgrundsatz (§ 7 Abs. 3). Rechtmäßige Zwecke einer Videoüberwachung, insbesondere der Auswertung und Übermittlung der dabei ermittelten Daten, sind jedoch vorbehaltlich des Abs. 5 nur der Schutz des überwachten Objekts oder der überwachten Person oder die Erfüllung rechtlicher Sorgfaltspflichten, jeweils einschließlich der Beweissicherung, im Hinblick auf Ereignisse nach Abs. 1. Persönlichkeitsrechte nach § 16 ABGB bleiben unberührt.
2. Für Videoüberwachung gelten die §§ 6 und 7, insbesondere der
Verhältnismäßigkeitsgrundsatz (§ 7 Abs. 3). Rechtmäßige Zwecke einer
Videoüberwachung, insbesondere der Auswertung und Übermittlung der
dabei ermittelten Daten, sind jedoch vorbehaltlich des Abs. 5 nur
der Schutz des überwachten Objekts oder der überwachten Person oder
die Erfüllung rechtlicher Sorgfaltspflichten, jeweils einschließlich
der Beweissicherung, im Hinblick auf Ereignisse nach Abs. 1.
Persönlichkeitsrechte nach § 16 ABGB bleiben unberührt.
3. Ein Betroffener ist durch eine Videoüberwachung dann nicht in seinen schutzwürdigen Geheimhaltungsinteressen (§ 7 Abs. 2 Z 3) verletzt, wenn
3. Ein Betroffener ist durch eine Videoüberwachung dann nicht in seinen
schutzwürdigen Geheimhaltungsinteressen (§ 7 Abs. 2 Z 3) verletzt,
wenn
1. diese im lebenswichtigen Interesse einer Person erfolgt, oder
1. diese im lebenswichtigen Interesse einer Person erfolgt, oder
2. Daten über ein Verhalten verarbeitet werden, das ohne jeden Zweifel den Schluss zulässt, dass es darauf gerichtet war, öffentlich wahrgenommen zu werden, oder
2. Daten über ein Verhalten verarbeitet werden, das ohne jeden
Zweifel den Schluss zulässt, dass es darauf gerichtet war,
öffentlich wahrgenommen zu werden, oder
3. er der Verwendung seiner Daten im Rahmen der Überwachung ausdrücklich zugestimmt hat.
3. er der Verwendung seiner Daten im Rahmen der Überwachung
ausdrücklich zugestimmt hat.
4. Ein Betroffener ist darüber hinaus durch eine Videoüberwachung ausschließlich dann nicht in seinen schutzwürdigen Geheimhaltungsinteressen (§ 7 Abs. 2 Z 3) verletzt, wenn sie nicht im Rahmen der Vollziehung hoheitlicher Aufgaben erfolgt und
4. Ein Betroffener ist darüber hinaus durch eine Videoüberwachung
ausschließlich dann nicht in seinen schutzwürdigen
Geheimhaltungsinteressen (§ 7 Abs. 2 Z 3) verletzt, wenn sie nicht
im Rahmen der Vollziehung hoheitlicher Aufgaben erfolgt und
1. bestimmte Tatsachen die Annahme rechtfertigen, das überwachte Objekt oder die überwachte Person könnte das Ziel oder der Ort eines gefährlichen Angriffs werden, oder
1. bestimmte Tatsachen die Annahme rechtfertigen, das überwachte
Objekt oder die überwachte Person könnte das Ziel oder der Ort
eines gefährlichen Angriffs werden, oder
2. unmittelbar anwendbare Rechtsvorschriften des Völker- oder des Gemeinschaftsrechts, Gesetze, Verordnungen, Bescheide oder gerichtliche Entscheidungen dem Auftraggeber spezielle Sorgfaltspflichten zum Schutz des überwachten Objekts oder der überwachten Person auferlegen, oder
2. unmittelbar anwendbare Rechtsvorschriften des Völker- oder des
Gemeinschaftsrechts, Gesetze, Verordnungen, Bescheide oder
gerichtliche Entscheidungen dem Auftraggeber spezielle
Sorgfaltspflichten zum Schutz des überwachten Objekts oder der
überwachten Person auferlegen, oder
3. sich die Überwachung in einer bloßen Echtzeitwiedergabe von das überwachte Objekt/die überwachte Person betreffenden Ereignisse erschöpft, diese also weder gespeichert (aufgezeichnet) noch in sonst einer anderen Form weiterverarbeitet werden (Echtzeitüberwachung), und sie zum Zweck des Schutzes von Leib, Leben oder Eigentum des Auftraggebers erfolgt.
3. sich die Überwachung in einer bloßen Echtzeitwiedergabe von das
überwachte Objekt/die überwachte Person betreffenden Ereignisse
erschöpft, diese also weder gespeichert (aufgezeichnet) noch in
sonst einer anderen Form weiterverarbeitet werden
(Echtzeitüberwachung), und sie zum Zweck des Schutzes von Leib,
Leben oder Eigentum des Auftraggebers erfolgt.
5. Mit einer Videoüberwachung nach Abs. 4 dürfen nicht Ereignisse an Orten festgestellt werden, die zum höchstpersönlichen Lebensbereich eines Betroffenen zählen. Weiters ist die Videoüberwachung zum Zweck der Mitarbeiterkontrolle an Arbeitsstätten untersagt.
5. Mit einer Videoüberwachung nach Abs. 4 dürfen nicht Ereignisse an
Orten festgestellt werden, die zum höchstpersönlichen Lebensbereich
eines Betroffenen zählen. Weiters ist die Videoüberwachung zum Zweck
der Mitarbeiterkontrolle an Arbeitsstätten untersagt.
6. Schutzwürdige Geheimhaltungsinteressen Betroffener sind auch dann nicht verletzt, wenn durch Videoüberwachung aufgezeichnete Daten über eine Verwendung entsprechend den Abs. 2 bis 4 hinaus in folgenden Fällen übermittelt werden:
6. Schutzwürdige Geheimhaltungsinteressen Betroffener sind auch dann
nicht verletzt, wenn durch Videoüberwachung aufgezeichnete Daten
über eine Verwendung entsprechend den Abs. 2 bis 4 hinaus in
folgenden Fällen übermittelt werden:
1. an die zuständige Behörde oder das zuständige Gericht, weil beim Auftraggeber der begründete Verdacht entstanden ist, die Daten könnten eine von Amts wegen zu verfolgende gerichtlich strafbare Handlung dokumentieren, oder
1. an die zuständige Behörde oder das zuständige Gericht, weil beim
Auftraggeber der begründete Verdacht entstanden ist, die Daten
könnten eine von Amts wegen zu verfolgende gerichtlich strafbare
Handlung dokumentieren, oder
2. an Sicherheitsbehörden zur Ausübung der diesen durch § 53 Abs. 5 des Sicherheitspolizeigesetzes SPG, BGBl. Nr. 566/1991, eingeräumten Befugnisse,
2. an Sicherheitsbehörden zur Ausübung der diesen durch § 53 Abs. 5
des Sicherheitspolizeigesetzes SPG, BGBl. Nr. 566/1991,
eingeräumten Befugnisse,
auch wenn sich die Handlung oder der Angriff nicht gegen das
überwachte Objekt oder die überwachte Person richtet. Die Befugnisse
von Behörden und Gerichten zur Durchsetzung der Herausgabe von
Beweismaterial und zur Beweismittelsicherung sowie damit
korrespondierende Verpflichtungen des Auftraggebers
bleiben unberührt.
7. Mit einer Videoüberwachung gewonnene Daten von Betroffenen dürfen
nicht automationsunterstützt mit anderen Bilddaten abgeglichen und
nicht nach sensiblen Daten als Auswahlkriterium durchsucht werden.
auch wenn sich die Handlung oder der Angriff nicht gegen das überwachte Objekt oder die überwachte Person richtet. Die Befugnisse von Behörden und Gerichten zur Durchsetzung der Herausgabe von Beweismaterial und zur Beweismittelsicherung sowie damit korrespondierende Verpflichtungen des Auftraggebers bleiben unberührt.
7. Mit einer Videoüberwachung gewonnene Daten von Betroffenen dürfen nicht automationsunterstützt mit anderen Bilddaten abgeglichen und nicht nach sensiblen Daten als Auswahlkriterium durchsucht werden.

16
dsg2000/art02-par50b.md
View File

@ -1,6 +1,18 @@
§50b - Besondere Protokollierungs- und Löschungspflicht
=======================================================
1. Jeder Verwendungsvorgang einer Videoüberwachung ist zu protokollieren. Dies gilt nicht für Fälle der Echtzeitüberwachung.
1. Jeder Verwendungsvorgang einer Videoüberwachung ist
zu protokollieren. Dies gilt nicht für Fälle
der Echtzeitüberwachung.
2. Aufgezeichnete Daten sind, sofern sie nicht aus konkretem Anlass für
die Verwirklichung der zu Grunde liegenden Schutz- oder
Beweissicherungszwecke oder für Zwecke nach § 50a Abs. 6 benötigt
werden, spätestens nach 72 Stunden zu löschen. § 33 Abs. 2 AVG gilt.
Eine beabsichtigte längere Aufbewahrungsdauer ist in der Meldung
anzuführen und zu begründen. In diesem Fall darf die
Datenschutzbehörde die Videoüberwachung nur registrieren, wenn dies
aus besonderen Gründen zur Zweckerreichung regelmäßig
erforderlich ist.
2. Aufgezeichnete Daten sind, sofern sie nicht aus konkretem Anlass für die Verwirklichung der zu Grunde liegenden Schutz- oder Beweissicherungszwecke oder für Zwecke nach § 50a Abs. 6 benötigt werden, spätestens nach 72 Stunden zu löschen. § 33 Abs. 2 AVG gilt. Eine beabsichtigte längere Aufbewahrungsdauer ist in der Meldung anzuführen und zu begründen. In diesem Fall darf die Datenschutzbehörde die Videoüberwachung nur registrieren, wenn dies aus besonderen Gründen zur Zweckerreichung regelmäßig erforderlich ist.

29
dsg2000/art02-par50c.md
View File

@ -1,12 +1,31 @@
§50c - Meldepflicht und Registrierungsverfahren
===============================================
1. Videoüberwachungen unterliegen der Meldepflicht gemäß den §§ 17 ff. Sofern der Auftraggeber nicht in der Meldung zusagt, die Videoüberwachungsdaten zu verschlüsseln und unter Hinterlegung des einzigen Schlüssels bei der Datenschutzbehörde sicherzustellen, dass eine Auswertung der Videoaufzeichnungen nur im begründeten Anlassfall durch eine bestimmte Stelle stattfindet, unterliegen sie der Vorabkontrolle (§ 18 Abs. 2). Bestimmte Tatsachen im Sinn von § 50a Abs. 4 Z 1 müssen bei Erstattung der Meldung glaubhaft gemacht werden. Soweit gemäß § 96a des Arbeitsverfassungsgesetzes 1974 ArbVG, BGBl. Nr. 22, Betriebsvereinbarungen abzuschließen sind, sind diese im Registrierungsverfahren vorzulegen.
1. Videoüberwachungen unterliegen der Meldepflicht gemäß den §§ 17 ff.
Sofern der Auftraggeber nicht in der Meldung zusagt, die
Videoüberwachungsdaten zu verschlüsseln und unter Hinterlegung des
einzigen Schlüssels bei der Datenschutzbehörde sicherzustellen, dass
eine Auswertung der Videoaufzeichnungen nur im begründeten
Anlassfall durch eine bestimmte Stelle stattfindet, unterliegen sie
der Vorabkontrolle (§ 18 Abs. 2). Bestimmte Tatsachen im Sinn von §
50a Abs. 4 Z 1 müssen bei Erstattung der Meldung glaubhaft
gemacht werden. Soweit gemäß § 96a des Arbeitsverfassungsgesetzes
1974 ArbVG, BGBl. Nr. 22, Betriebsvereinbarungen abzuschließen
sind, sind diese im Registrierungsverfahren vorzulegen.
2. Eine Videoüberwachung ist über § 17 Abs. 2 und 3 hinaus von der Meldepflicht ausgenommen
2. Eine Videoüberwachung ist über § 17 Abs. 2 und 3 hinaus von der
Meldepflicht ausgenommen
1. in Fällen der Echtzeitüberwachung oder
1. in Fällen der Echtzeitüberwachung oder
2. wenn eine Speicherung (Aufzeichnung) nur auf einem analogen
Speichermedium erfolgt.
3. Mehrere überwachte Objekte oder überwachte Personen, für deren
Videoüberwachung derselbe Auftraggeber eine gesetzliche
Zuständigkeit oder rechtliche Befugnis (§ 7 Abs. 1) hat, können auf
Grund ihrer gleichartigen Beschaffenheit oder ihrer räumlichen
Verbundenheit in einer Meldung zusammengefasst werden, wenn sich
diese auf die gleiche Rechtsgrundlage stützt.
2. wenn eine Speicherung (Aufzeichnung) nur auf einem analogen Speichermedium erfolgt.
3. Mehrere überwachte Objekte oder überwachte Personen, für deren Videoüberwachung derselbe Auftraggeber eine gesetzliche Zuständigkeit oder rechtliche Befugnis (§ 7 Abs. 1) hat, können auf Grund ihrer gleichartigen Beschaffenheit oder ihrer räumlichen Verbundenheit in einer Meldung zusammengefasst werden, wenn sich diese auf die gleiche Rechtsgrundlage stützt.

15
dsg2000/art02-par50d.md
View File

@ -1,6 +1,17 @@
§50d - Information durch Kennzeichnung
======================================
1. Der Auftraggeber einer Videoüberwachung hat diese geeignet zu kennzeichnen. Aus der Kennzeichnung hat jedenfalls der Auftraggeber eindeutig hervorzugehen, es sei denn, dieser ist den Betroffenen nach den Umständen des Falles bereits bekannt. Die Kennzeichnung hat örtlich derart zu erfolgen, dass jeder potentiell Betroffene, der sich einem überwachten Objekt oder einer überwachten Person nähert, tunlichst die Möglichkeit hat, der Videoüberwachung auszuweichen.
1. Der Auftraggeber einer Videoüberwachung hat diese geeignet
zu kennzeichnen. Aus der Kennzeichnung hat jedenfalls der
Auftraggeber eindeutig hervorzugehen, es sei denn, dieser ist den
Betroffenen nach den Umständen des Falles bereits bekannt. Die
Kennzeichnung hat örtlich derart zu erfolgen, dass jeder potentiell
Betroffene, der sich einem überwachten Objekt oder einer überwachten
Person nähert, tunlichst die Möglichkeit hat, der
Videoüberwachung auszuweichen.
2. Keine Kennzeichnungsverpflichtung besteht bei Videoüberwachungen im
Rahmen der Vollziehung hoheitlicher Aufgaben, die nach § 17 Abs. 3
von der Meldepflicht ausgenommen sind.
2. Keine Kennzeichnungsverpflichtung besteht bei Videoüberwachungen im Rahmen der Vollziehung hoheitlicher Aufgaben, die nach § 17 Abs. 3 von der Meldepflicht ausgenommen sind.

28
dsg2000/art02-par50e.md
View File

@ -1,8 +1,30 @@
§50e - Auskunftsrecht
=====================
1. Abweichend von § 26 Abs. 1 ist dem Auskunftswerber, nachdem dieser den Zeitraum, in dem er möglicherweise von der Überwachung betroffen war, und den Ort möglichst genau benannt und seine Identität in geeigneter Form nachgewiesen hat, Auskunft über die zu seiner Person verarbeiteten Daten durch Übersendung einer Kopie der zu seiner Person verarbeiteten Daten in einem üblichen technischen Format zu gewähren. Alternativ kann der Auskunftswerber eine Einsichtnahme auf Lesegeräten des Auftraggebers verlangen, wobei ihm auch in diesem Fall die Ausfolgung einer Kopie zusteht. Die übrigen Bestandteile der Auskunft (verfügbare Informationen über die Herkunft, Empfänger oder Empfängerkreise von Übermittlungen, Zweck, Rechtsgrundlagen sowie allenfalls Dienstleister) sind auch im Fall der Überwachung schriftlich zu erteilen, wenn nicht der Auskunftswerber einer mündlichen Auskunftserteilung zustimmt.
1. Abweichend von § 26 Abs. 1 ist dem Auskunftswerber, nachdem dieser
den Zeitraum, in dem er möglicherweise von der Überwachung betroffen
war, und den Ort möglichst genau benannt und seine Identität in
geeigneter Form nachgewiesen hat, Auskunft über die zu seiner Person
verarbeiteten Daten durch Übersendung einer Kopie der zu seiner
Person verarbeiteten Daten in einem üblichen technischen Format
zu gewähren. Alternativ kann der Auskunftswerber eine Einsichtnahme
auf Lesegeräten des Auftraggebers verlangen, wobei ihm auch in
diesem Fall die Ausfolgung einer Kopie zusteht. Die übrigen
Bestandteile der Auskunft (verfügbare Informationen über die
Herkunft, Empfänger oder Empfängerkreise von Übermittlungen, Zweck,
Rechtsgrundlagen sowie allenfalls Dienstleister) sind auch im Fall
der Überwachung schriftlich zu erteilen, wenn nicht der
Auskunftswerber einer mündlichen Auskunftserteilung zustimmt.
2. § 26 Abs. 2 ist mit der Maßgabe anzuwenden, dass in dem Fall, dass
eine Auskunft wegen überwiegender berechtigter Interessen Dritter
oder des Auftraggebers nicht in der in Abs. 1 geregelten Form
erteilt werden kann, der Auskunftswerber Anspruch auf eine
schriftliche Beschreibung seines von der Überwachung verarbeiteten
Verhaltens oder auf eine Auskunft unter Unkenntlichmachung der
anderen Personen hat.
3. In Fällen der Echtzeitüberwachung ist ein
Auskunftsrecht ausgeschlossen.
2. § 26 Abs. 2 ist mit der Maßgabe anzuwenden, dass in dem Fall, dass eine Auskunft wegen überwiegender berechtigter Interessen Dritter oder des Auftraggebers nicht in der in Abs. 1 geregelten Form erteilt werden kann, der Auskunftswerber Anspruch auf eine schriftliche Beschreibung seines von der Überwachung verarbeiteten Verhaltens oder auf eine Auskunft unter Unkenntlichmachung der anderen Personen hat.
3. In Fällen der Echtzeitüberwachung ist ein Auskunftsrecht ausgeschlossen.

11
dsg2000/art02-par51.md
View File

@ -1,4 +1,13 @@
§51 - Datenverwendung in Gewinn- oder Schädigungsabsicht
========================================================
Wer mit dem Vorsatz, sich oder einen Dritten dadurch unrechtmäßig zu bereichern, oder mit der Absicht, einen anderen dadurch in seinem von § 1 Abs. 1 gewährleisteten Anspruch zu schädigen, personenbezogene Daten, die ihm ausschließlich auf Grund seiner berufsmäßigen Beschäftigung anvertraut oder zugänglich geworden sind oder die er sich widerrechtlich verschafft hat, selbst benützt, einem anderen zugänglich macht oder veröffentlicht, obwohl der Betroffene an diesen Daten ein schutzwürdiges Geheimhaltungsinteresse hat, ist, wenn die Tat nicht nach einer anderen Bestimmung mit strengerer Strafe bedroht ist, vom Gericht mit Freiheitsstrafe bis zu einem Jahr zu bestrafen.
Wer mit dem Vorsatz, sich oder einen Dritten dadurch unrechtmäßig zu
bereichern, oder mit der Absicht, einen anderen dadurch in seinem von §
1 Abs. 1 gewährleisteten Anspruch zu schädigen, personenbezogene Daten,
die ihm ausschließlich auf Grund seiner berufsmäßigen Beschäftigung
anvertraut oder zugänglich geworden sind oder die er sich widerrechtlich
verschafft hat, selbst benützt, einem anderen zugänglich macht oder
veröffentlicht, obwohl der Betroffene an diesen Daten ein schutzwürdiges
Geheimhaltungsinteresse hat, ist, wenn die Tat nicht nach einer anderen
Bestimmung mit strengerer Strafe bedroht ist, vom Gericht mit
Freiheitsstrafe bis zu einem Jahr zu bestrafen.

77
dsg2000/art02-par52.md
View File

@ -1,38 +1,79 @@
§52 - Verwaltungsstrafbestimmung
================================
1. Sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet oder nach anderen Verwaltungsstrafbestimmungen mit strengerer Strafe bedroht ist, begeht eine Verwaltungsübertretung, die mit Geldstrafe bis zu 25 000 Euro zu ahnden ist, wer
1. Sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der
Gerichte fallenden strafbaren Handlung bildet oder nach anderen
Verwaltungsstrafbestimmungen mit strengerer Strafe bedroht ist,
begeht eine Verwaltungsübertretung, die mit Geldstrafe bis zu 25 000
Euro zu ahnden ist, wer
1. sich vorsätzlich widerrechtlichen Zugang zu einer Datenanwendung verschafft oder einen erkennbar widerrechtlichen Zugang vorsätzlich aufrechterhält oder
1. sich vorsätzlich widerrechtlichen Zugang zu einer Datenanwendung
verschafft oder einen erkennbar widerrechtlichen Zugang
vorsätzlich aufrechterhält oder
2. Daten vorsätzlich in Verletzung des Datengeheimnisses (§ 15) übermittelt, insbesondere Daten, die ihm gemäß §§ 46 oder 47 anvertraut wurden, vorsätzlich für andere Zwecke verwendet oder
2. Daten vorsätzlich in Verletzung des Datengeheimnisses (§ 15)
übermittelt, insbesondere Daten, die ihm gemäß §§ 46 oder 47
anvertraut wurden, vorsätzlich für andere Zwecke verwendet oder
3. Daten entgegen einem rechtskräftigen Urteil oder Bescheid verwendet, nicht beauskunftet, nicht richtigstellt oder nicht löscht oder
3. Daten entgegen einem rechtskräftigen Urteil oder Bescheid
verwendet, nicht beauskunftet, nicht richtigstellt oder nicht
löscht oder
4. Daten vorsätzlich entgegen § 26 Abs. 7 löscht;
4. Daten vorsätzlich entgegen § 26 Abs. 7 löscht;
5. sich unter Vortäuschung falscher Tatsachen vorsätzlich Daten gemäß § 48a verschafft.
5. sich unter Vortäuschung falscher Tatsachen vorsätzlich Daten
gemäß § 48a verschafft.
2. Sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet, begeht eine Verwaltungsübertretung, die mit Geldstrafe bis zu 10 000 Euro zu ahnden ist, wer
2. Sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der
Gerichte fallenden strafbaren Handlung bildet, begeht eine
Verwaltungsübertretung, die mit Geldstrafe bis zu 10 000 Euro zu
ahnden ist, wer
1. Daten ermittelt, verarbeitet oder übermittelt, ohne seine Meldepflicht gemäß den §§ 17 oder 50c erfüllt zu haben oder eine Datenanwendung auf eine von der Meldung abweichende Weise betreibt oder
1. Daten ermittelt, verarbeitet oder übermittelt, ohne seine
Meldepflicht gemäß den §§ 17 oder 50c erfüllt zu haben oder eine
Datenanwendung auf eine von der Meldung abweichende Weise
betreibt oder
2. Daten ins Ausland übermittelt oder überlässt, ohne die erforderliche Genehmigung der Datenschutzbehörde gemäß § 13 Abs. 1 eingeholt zu haben oder
2. Daten ins Ausland übermittelt oder überlässt, ohne die
erforderliche Genehmigung der Datenschutzbehörde gemäß § 13 Abs.
1 eingeholt zu haben oder
3. gegen gemäß § 13 Abs. 2 Z 2, § 19 oder § 50c Abs. 1 abgegebene Zusagen oder von der Datenschutzbehörde gemäß § 13 Abs. 1 oder § 21 Abs. 2 erteilte Auflagen verstößt oder
3. gegen gemäß § 13 Abs. 2 Z 2, § 19 oder § 50c Abs. 1 abgegebene
Zusagen oder von der Datenschutzbehörde gemäß § 13 Abs. 1 oder §
21 Abs. 2 erteilte Auflagen verstößt oder
4. seine Offenlegungs- oder Informationspflichten gemäß den §§ 23, 24, 25 oder 50d verletzt oder
4. seine Offenlegungs- oder Informationspflichten gemäß den §§ 23,
24, 25 oder 50d verletzt oder
5. die gemäß § 14 erforderlichen Sicherheitsmaßnahmen gröblich außer Acht lässt oder
5. die gemäß § 14 erforderlichen Sicherheitsmaßnahmen gröblich
außer Acht lässt oder
6. die gemäß § 50a Abs. 7 und § 50b Abs. 1 erforderlichen Sicherheitsmaßnahmen außer Acht lässt oder
6. die gemäß § 50a Abs. 7 und § 50b Abs. 1 erforderlichen
Sicherheitsmaßnahmen außer Acht lässt oder
7. Daten nach Ablauf der in § 50b Abs. 2 vorgesehene Löschungsfrist nicht löscht.
7. Daten nach Ablauf der in § 50b Abs. 2 vorgesehene Löschungsfrist
nicht löscht.
a. Sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet oder nach anderen Verwaltungsstrafbestimmungen mit strengerer Strafe bedroht ist, begeht eine Verwaltungsübertretung, die mit einer Strafe bis zu 500 Euro zu ahnden ist, wer Daten entgegen den §§ 26, 27 oder 28 nicht fristgerecht beauskunftet, richtigstellt oder löscht.
a. Sofern die Tat nicht den Tatbestand einer in die Zuständigkeit
der Gerichte fallenden strafbaren Handlung bildet oder nach
anderen Verwaltungsstrafbestimmungen mit strengerer Strafe
bedroht ist, begeht eine Verwaltungsübertretung, die mit einer
Strafe bis zu 500 Euro zu ahnden ist, wer Daten entgegen den §§
26, 27 oder 28 nicht fristgerecht beauskunftet, richtigstellt
oder löscht.
3. Der Versuch ist strafbar.
3. Der Versuch ist strafbar.
4. Die Strafe des Verfalls von Datenträgern und Programmen sowie
Bildübertragungs- und Bildaufzeichnungsgeräten kann ausgesprochen
werden (§§ 10, 17 und 18 VStG), wenn diese Gegenstände mit einer
Verwaltungsübertretung nach Abs. 1 oder 2 in Zusammenhang stehen.
5. Zuständig für Entscheidungen nach Abs. 1 bis 4 ist die
Bezirksverwaltungsbehörde, in deren Sprengel der
Auftraggeber (Dienstleister) seinen gewöhnlichen Aufenthalt oder
Sitz hat. Falls ein solcher im Inland nicht gegeben ist, ist die am
Sitz der Datenschutzbehörde eingerichtete
Bezirksverwaltungsbehörde zuständig.
4. Die Strafe des Verfalls von Datenträgern und Programmen sowie Bildübertragungs- und Bildaufzeichnungsgeräten kann ausgesprochen werden (§§ 10, 17 und 18 VStG), wenn diese Gegenstände mit einer Verwaltungsübertretung nach Abs. 1 oder 2 in Zusammenhang stehen.
5. Zuständig für Entscheidungen nach Abs. 1 bis 4 ist die Bezirksverwaltungsbehörde, in deren Sprengel der Auftraggeber (Dienstleister) seinen gewöhnlichen Aufenthalt oder Sitz hat. Falls ein solcher im Inland nicht gegeben ist, ist die am Sitz der Datenschutzbehörde eingerichtete Bezirksverwaltungsbehörde zuständig.

12
dsg2000/art02-par53.md
View File

@ -1,6 +1,14 @@
§53 - Anm.: Befreiung von Gebühren, Abgaben und vom Kostenersatz
================================================================
1. Die durch dieses Bundesgesetz unmittelbar veranlaßten Eingaben der Betroffenen zur Wahrung ihrer Interessen sowie die Eingaben im Registrierungsverfahren und die gemäß § 21 Abs. 3 zu erstellenden Registerauszüge sind von den Stempelgebühren und von den Verwaltungsabgaben des Bundes befreit.
1. Die durch dieses Bundesgesetz unmittelbar veranlaßten Eingaben der
Betroffenen zur Wahrung ihrer Interessen sowie die Eingaben im
Registrierungsverfahren und die gemäß § 21 Abs. 3 zu erstellenden
Registerauszüge sind von den Stempelgebühren und von den
Verwaltungsabgaben des Bundes befreit.
2. Für Abschriften aus dem Datenverarbeitungsregister, die ein
Betroffener zur Verfolgung seiner Rechte benötigt, ist kein
Kostenersatz zu verlangen.
2. Für Abschriften aus dem Datenverarbeitungsregister, die ein Betroffener zur Verfolgung seiner Rechte benötigt, ist kein Kostenersatz zu verlangen.

19
dsg2000/art02-par54.md
View File

@ -1,10 +1,21 @@
§54 - Mitteilungen an die Europäische Kommission und an die anderen Mitgliedstaaten der Europäischen Union
==========================================================================================================
1. Von der Erlassung eines Bundesgesetzes, das die Zulässigkeit der Verarbeitung sensibler Daten betrifft, hat der Bundeskanzler anläßlich der Kundmachung des Gesetzes im Bundesgesetzblatt der Europäischen Kommission Mitteilung zu machen.
1. Von der Erlassung eines Bundesgesetzes, das die Zulässigkeit der
Verarbeitung sensibler Daten betrifft, hat der Bundeskanzler
anläßlich der Kundmachung des Gesetzes im Bundesgesetzblatt der
Europäischen Kommission Mitteilung zu machen.
2. Die Datenschutzbehörde hat den anderen Mitgliedstaaten der Europäischen Union und der Europäischen Kommission mitzuteilen, in welchen Fällen
2. Die Datenschutzbehörde hat den anderen Mitgliedstaaten der
Europäischen Union und der Europäischen Kommission mitzuteilen, in
welchen Fällen
1. keine Genehmigung für den Datenverkehr in ein Drittland erteilt
wurde, weil die Voraussetzungen des § 13 Abs. 2 Z 1 nicht als
gegeben erachtet wurden;
2. der Datenverkehr in ein Drittland ohne angemessenes
Datenschutzniveau genehmigt wurde, weil die Voraussetzungen des
§ 13 Abs. 2 Z 2 als gegeben erachtet wurden.
1. keine Genehmigung für den Datenverkehr in ein Drittland erteilt wurde, weil die Voraussetzungen des § 13 Abs. 2 Z 1 nicht als gegeben erachtet wurden;
2. der Datenverkehr in ein Drittland ohne angemessenes Datenschutzniveau genehmigt wurde, weil die Voraussetzungen des § 13 Abs. 2 Z 2 als gegeben erachtet wurden.

16
dsg2000/art02-par55.md
View File

@ -1,10 +1,18 @@
§55 - Feststellungen der Europäischen Kommission
================================================
Der Inhalt der in einem Verfahren gemäß Art. 31 Abs. 2 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. Nr. L 281 vom 23. November 1995, S. 31, getroffenen Feststellungen der Europäischen Kommission über
Der Inhalt der in einem Verfahren gemäß Art. 31 Abs. 2 der Richtlinie
95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995
zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener
Daten und zum freien Datenverkehr, ABl. Nr. L 281 vom 23. November 1995,
S. 31, getroffenen Feststellungen der Europäischen Kommission über
1. das Vorliegen oder Nichtvorliegen eines angemessenen Datenschutzniveaus in einem Drittland oder
1. das Vorliegen oder Nichtvorliegen eines angemessenen
Datenschutzniveaus in einem Drittland oder
2. die Eignung bestimmter Standardvertragsklauseln oder Verpflichtungserklärungen zur Gewährleistung eines ausreichenden Schutzes der Datenverwendung in einem Drittland
2. die Eignung bestimmter Standardvertragsklauseln oder
Verpflichtungserklärungen zur Gewährleistung eines ausreichenden
Schutzes der Datenverwendung in einem Drittland
ist vom Bundeskanzler im Bundesgesetzblatt gemäß § 4 des Bundesgesetzblattgesetzes, BGBl. I Nr. 100/2003, kundzumachen.
ist vom Bundeskanzler im Bundesgesetzblatt gemäß § 4 des
Bundesgesetzblattgesetzes, BGBl. I Nr. 100/2003, kundzumachen.

10
dsg2000/art02-par56.md
View File

@ -1,4 +1,12 @@
§56 - Verwaltungsangelegenheiten gemäß Art. 30 B-VG
===================================================
Der Präsident des Nationalrats ist Auftraggeber jener Datenanwendungen, die für Zwecke der ihm gemäß Art. 30 B-VG übertragenen Angelegenheiten durchgeführt werden. Übermittlungen von Daten aus solchen Datenanwendungen dürfen nur über Auftrag des Präsidenten des Nationalrats vorgenommen werden. Der Präsident trifft Vorsorge dafür, daß im Falle eines Übermittlungsauftrags die Voraussetzungen des § 7 Abs. 2 vorliegen und insbesondere die Zustimmung des Betroffenen in jenen Fällen eingeholt wird, in welchen dies gemäß § 7 Abs. 2 mangels einer anderen Rechtsgrundlage für die Übermittlung notwendig ist.
Der Präsident des Nationalrats ist Auftraggeber jener Datenanwendungen,
die für Zwecke der ihm gemäß Art. 30 B-VG übertragenen Angelegenheiten
durchgeführt werden. Übermittlungen von Daten aus solchen
Datenanwendungen dürfen nur über Auftrag des Präsidenten des
Nationalrats vorgenommen werden. Der Präsident trifft Vorsorge dafür,
daß im Falle eines Übermittlungsauftrags die Voraussetzungen des § 7
Abs. 2 vorliegen und insbesondere die Zustimmung des Betroffenen in
jenen Fällen eingeholt wird, in welchen dies gemäß § 7 Abs. 2 mangels
einer anderen Rechtsgrundlage für die Übermittlung notwendig ist.

6
dsg2000/art02-par57.md
View File

@ -1,4 +1,8 @@
§57 - Sprachliche Gleichbehandlung
==================================
Soweit in diesem Artikel auf natürliche Personen bezogene Bezeichnungen nur in männlicher Form angeführt sind, beziehen sie sich auf Frauen und Männer in gleicher Weise. Bei der Anwendung der Bezeichnungen auf bestimmte natürliche Personen ist die jeweils geschlechtsspezifische Form zu verwenden.
Soweit in diesem Artikel auf natürliche Personen bezogene Bezeichnungen
nur in männlicher Form angeführt sind, beziehen sie sich auf Frauen und
Männer in gleicher Weise. Bei der Anwendung der Bezeichnungen auf
bestimmte natürliche Personen ist die jeweils geschlechtsspezifische
Form zu verwenden.

7
dsg2000/art02-par58.md
View File

@ -1,4 +1,9 @@
§58 - Manuelle Dateien
======================
Soweit manuell, dh. ohne Automationsunterstützung geführte Dateien für Zwecke solcher Angelegenheiten bestehen, in denen die Zuständigkeit zur Gesetzgebung Bundessache ist, gelten sie als Datenanwendungen im Sinne des § 4 Z 7. § 17 gilt mit der Maßgabe, daß die Meldepflicht nur für solche Dateien besteht, deren Inhalt gemäß § 18 Abs. 2 der Vorabkontrolle unterliegt.
Soweit manuell, dh. ohne Automationsunterstützung geführte Dateien für
Zwecke solcher Angelegenheiten bestehen, in denen die Zuständigkeit zur
Gesetzgebung Bundessache ist, gelten sie als Datenanwendungen im Sinne
des § 4 Z 7. § 17 gilt mit der Maßgabe, daß die Meldepflicht nur für
solche Dateien besteht, deren Inhalt gemäß § 18 Abs. 2 der
Vorabkontrolle unterliegt.

5
dsg2000/art02-par59.md
View File

@ -1,4 +1,7 @@
§59 - Umsetzungshinweis
=======================
Mit diesem Bundesgesetz wird die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. Nr. L 281 vom 23. November 1995, S 31, umgesetzt.
Mit diesem Bundesgesetz wird die Richtlinie 95/46/EG des Europäischen
Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher
Personen bei der Verarbeitung personenbezogener Daten und zum freien
Datenverkehr, ABl. Nr. L 281 vom 23. November 1995, S 31, umgesetzt.

61
dsg2000/art02-par60.md
View File

@ -1,20 +1,63 @@
§60 - Inkrafttreten
===================
1. _(Anm.: Abs. 1 durch Art. 2 § 2 Abs. 1 Z 24 und Abs. 2 Z 71, BGBl. I Nr. 2/2008, als nicht mehr geltend festgestellt.)_
1. *(Anm.: Abs. 1 durch Art. 2 § 2 Abs. 1 Z 24 und Abs. 2 Z 71, BGBl.
I Nr. 2/2008, als nicht mehr geltend festgestellt.)*
2. Die übrigen Bestimmungen dieses Bundesgesetzes treten ebenfalls mit 1. Jänner 2000 in Kraft.
2. Die übrigen Bestimmungen dieses Bundesgesetzes treten ebenfalls
mit 1. Jänner 2000 in Kraft.
3. §§ 26 Abs. 6 und 52 Abs. 1 und 2 in der Fassung des Bundesgesetzes BGBl. I Nr. 136/2001 treten mit 1. Jänner 2002 in Kraft.
3. §§ 26 Abs. 6 und 52 Abs. 1 und 2 in der Fassung des
Bundesgesetzes BGBl. I Nr. 136/2001 treten mit 1. Jänner 2002
in Kraft.
4. § 48a Abs. 5 in der Fassung des Bundesgesetzes BGBl. I Nr. 135/2009 tritt mit 1. Jänner 2010 in Kraft.
4. § 48a Abs. 5 in der Fassung des Bundesgesetzes BGBl. I Nr. 135/2009
tritt mit 1. Jänner 2010 in Kraft.
5. Das Inhaltsverzeichnis, § 4 Abs. 1 Z 4, 5, 7 bis 9, 11 und 12, § 8 Abs. 1, 2 und 4, § 12 Abs. 1, die Umnummerierung der Absätze in § 13, § 16 Abs. 1 und 3, § 17 Abs. 1, 1a und 4, § 19 Abs. 1 Z 3a und Abs. 2, die Umnummerierung der Absätze in § 19, die §§ 20 bis 22a samt Überschriften, § 24 Abs. 2a, § 24 Abs. 4, § 26 Abs. 1 bis 8 und 10, § 28 Abs. 3, § 30 Abs. 2a, 5 bis 6a, die §§ 31 und 31a samt Überschriften, § 32 Abs. 1, 4, 6 und 7, § 34 Abs. 1, 3 und 4, § 36 Abs. 3, 3a und 9, § 39 Abs. 5, § 40 Abs. 1 und 2, § 41 Abs. 2 Z 4a, § 42 Abs. 1 Z 1, § 42 Abs. 5, § 46 Abs. 1 Z 2 und 3, Abs. 2 bis 3a, § 47 Abs. 4, § 49 Abs. 3, § 50 Abs. 1 bis 2a, der 9a. Abschnitt, § 51, § 52 Abs. 2 und 4, § 55, § 61 Abs. 6 bis 9 sowie § 64 in der Fassung des Bundesgesetzes BGBl. I Nr. 133/2009 treten mit 1. Jänner 2010 in Kraft. Gleichzeitig treten § 4 Abs. 1 Z 10, § 13 Abs. 3 sowie § 51 Abs. 2 außer Kraft.
5. Das Inhaltsverzeichnis, § 4 Abs. 1 Z 4, 5, 7 bis 9, 11 und 12, §
8 Abs. 1, 2 und 4, § 12 Abs. 1, die Umnummerierung der Absätze in §
13, § 16 Abs. 1 und 3, § 17 Abs. 1, 1a und 4, § 19 Abs. 1 Z 3a
und Abs. 2, die Umnummerierung der Absätze in § 19, die §§ 20 bis
22a samt Überschriften, § 24 Abs. 2a, § 24 Abs. 4, § 26 Abs. 1 bis 8
und 10, § 28 Abs. 3, § 30 Abs. 2a, 5 bis 6a, die §§ 31 und 31a samt
Überschriften, § 32 Abs. 1, 4, 6 und 7, § 34 Abs. 1, 3 und 4, §
36 Abs. 3, 3a und 9, § 39 Abs. 5, § 40 Abs. 1 und 2, § 41 Abs. 2 Z
4a, § 42 Abs. 1 Z 1, § 42 Abs. 5, § 46 Abs. 1 Z 2 und 3, Abs. 2 bis
3a, § 47 Abs. 4, § 49 Abs. 3, § 50 Abs. 1 bis 2a, der 9a. Abschnitt,
§ 51, § 52 Abs. 2 und 4, § 55, § 61 Abs. 6 bis 9 sowie § 64 in der
Fassung des Bundesgesetzes BGBl. I Nr. 133/2009 treten mit 1. Jänner
2010 in Kraft. Gleichzeitig treten § 4 Abs. 1 Z 10, § 13 Abs. 3
sowie § 51 Abs. 2 außer Kraft.
6. § 36 Abs. 6 in der Fassung des Bundesgesetzes BGBl. I Nr. 133/2009 tritt am 1. Juli 2010 in Kraft.
6. § 36 Abs. 6 in der Fassung des Bundesgesetzes BGBl. I Nr. 133/2009
tritt am 1. Juli 2010 in Kraft.
a. § 37 Abs. 2, § 38 Abs. 2 und § 61 Abs. 9 in der Fassung des Bundesgesetzes BGBl. I Nr. 57/2013 treten mit 1. Mai 2013 in Kraft.
a. § 37 Abs. 2, § 38 Abs. 2 und § 61 Abs. 9 in der Fassung des
Bundesgesetzes BGBl. I Nr. 57/2013 treten mit 1. Mai 2013
in Kraft.
7. Das Inhaltverzeichnis, § 5 Abs. 4, § 10 Abs. 2, § 12 Abs. 4, §
13 Abs. 1, 2 Z 2, Abs. 3, 4 und 6, § 16 Abs. 1, § 17 Abs. 1, §
18 Abs. 2, § 19 Abs. 1 Z 6 und Abs. 2, § 20 Abs. 2 und 5 Z 2, §
21 Abs. 1 Z 3, § 22 Abs. 2 bis 4, § 22a Abs. 1, 3 bis 5, § 23 Abs.
2, § 26 Abs. 2, 5 und 7, § 27 Abs. 5 und 7, die Überschrift zu § 30,
§ 30 Abs. 1, 2, 2a, 4 bis 6a, die Überschrift zu § 31, § 31 Abs. 1,
2, 5, 6 und 8, § 31a, § 32 Abs. 5 bis 7, § 34 Abs. 3 und 4, die
Überschrift zu § 35, § 35 Abs. 1, §§ 36 bis 40 samt Überschriften, §
41 Abs. 2 Z 1, § 44 Abs. 6 und 8, § 46 Abs. 2 Z 3 und Abs. 3, §
47 Abs. 3 und 4, § 48a Abs. 2, § 50 Abs. 1 und 2, § 50b Abs. 2, §
50c Abs. 1, § 52 Abs. 2 Z 2 und 3 sowie Abs. 5, § 54 Abs. 2 und §
61 Abs. 8 bis 10 in der Fassung des Bundesgesetzes BGBl. I Nr.
83/2013 treten mit 1. Jänner 2014 in Kraft. Gleichzeitig treten §
41 Abs. 2 Z 4a und die DSK-Vergütungsverordnung, BGBl. II Nr.
145/2006, außer Kraft. Die für die Bestellung des Leiters der
Datenschutzbehörde und seines Stellvertreters notwendigen
organisatorischen und personellen Maßnahmen können bereits vor
Inkrafttreten des Bundesgesetzes BGBl. I Nr. 83/2013
getroffen werden.
8. (**Verfassungsbestimmung**) § 2 Abs. 2 und § 35 Abs. 2 in der
Fassung des Bundesgesetzes BGBl. I Nr. 83/2013 treten mit 1. Jänner
2014 in Kraft.
7. Das Inhaltverzeichnis, § 5 Abs. 4, § 10 Abs. 2, § 12 Abs. 4, § 13 Abs. 1, 2 Z 2, Abs. 3, 4 und 6, § 16 Abs. 1, § 17 Abs. 1, § 18 Abs. 2, § 19 Abs. 1 Z 6 und Abs. 2, § 20 Abs. 2 und 5 Z 2, § 21 Abs. 1 Z 3, § 22 Abs. 2 bis 4, § 22a Abs. 1, 3 bis 5, § 23 Abs. 2, § 26 Abs. 2, 5 und 7, § 27 Abs. 5 und 7, die Überschrift zu § 30, § 30 Abs. 1, 2, 2a, 4 bis 6a, die Überschrift zu § 31, § 31 Abs. 1, 2, 5, 6 und 8, § 31a, § 32 Abs. 5 bis 7, § 34 Abs. 3 und 4, die Überschrift zu § 35, § 35 Abs. 1, §§ 36 bis 40 samt Überschriften, § 41 Abs. 2 Z 1, § 44 Abs. 6 und 8, § 46 Abs. 2 Z 3 und Abs. 3, § 47 Abs. 3 und 4, § 48a Abs. 2, § 50 Abs. 1 und 2, § 50b Abs. 2, § 50c Abs. 1, § 52 Abs. 2 Z 2 und 3 sowie Abs. 5, § 54 Abs. 2 und § 61 Abs. 8 bis 10 in der Fassung des Bundesgesetzes BGBl. I Nr. 83/2013 treten mit 1. Jänner 2014 in Kraft. Gleichzeitig treten § 41 Abs. 2 Z 4a und die DSK-Vergütungsverordnung, BGBl. II Nr. 145/2006, außer Kraft. Die für die Bestellung des Leiters der Datenschutzbehörde und seines Stellvertreters notwendigen organisatorischen und personellen Maßnahmen können bereits vor Inkrafttreten des Bundesgesetzes BGBl. I Nr. 83/2013 getroffen werden.
8. (**Verfassungsbestimmung**) § 2 Abs. 2 und § 35 Abs. 2 in der Fassung des Bundesgesetzes BGBl. I Nr. 83/2013 treten mit 1. Jänner 2014 in Kraft.

94
dsg2000/art02-par61.md
View File

@ -1,22 +1,96 @@
§61 - Übergangsbestimmungen
===========================
1. Meldungen, die vor Inkrafttreten dieses Bundesgesetzes an das Datenverarbeitungsregister erstattet wurden, gelten als Meldungen im Sinne des § 17, soweit sie nicht im Hinblick auf das Entfallen von Meldepflichten gemäß § 17 Abs. 2 oder 3 gegenstandslos geworden sind. Desgleichen gelten vor Inkrafttreten dieses Bundesgesetzes durchgeführte Registrierungen als Registrierungen im Sinne des § 21.
1. Meldungen, die vor Inkrafttreten dieses Bundesgesetzes an das
Datenverarbeitungsregister erstattet wurden, gelten als Meldungen im
Sinne des § 17, soweit sie nicht im Hinblick auf das Entfallen von
Meldepflichten gemäß § 17 Abs. 2 oder 3 gegenstandslos
geworden sind. Desgleichen gelten vor Inkrafttreten dieses
Bundesgesetzes durchgeführte Registrierungen als Registrierungen im
Sinne des § 21.
2. Soweit nach der neuen Rechtslage eine Genehmigung für die Übermittlung von Daten ins Ausland erforderlich ist, muß für Übermittlungen, für die eine Genehmigung vor Inkrafttreten dieses Bundesgesetzes erteilt wurde, eine Genehmigung vor dem 1. Jänner 2003 neu beantragt werden. Wird der Antrag rechtzeitig gestellt, dürfen solche Übermittlungen bis zur rechtskräftigen Entscheidung über den Genehmigungsantrag fortgeführt werden.
2. Soweit nach der neuen Rechtslage eine Genehmigung für die
Übermittlung von Daten ins Ausland erforderlich ist, muß für
Übermittlungen, für die eine Genehmigung vor Inkrafttreten dieses
Bundesgesetzes erteilt wurde, eine Genehmigung vor dem 1. Jänner
2003 neu beantragt werden. Wird der Antrag rechtzeitig gestellt,
dürfen solche Übermittlungen bis zur rechtskräftigen Entscheidung
über den Genehmigungsantrag fortgeführt werden.
3. Datenschutzverletzungen, die vor dem Inkrafttreten dieses Bundesgesetzes stattgefunden haben, sind, soweit es sich um die Feststellung der Rechtmäßigkeit oder Rechtswidrigkeit eines Sachverhalts handelt, nach der Rechtslage zum Zeitpunkt der Verwirklichung des Sachverhalts zu beurteilen; soweit es sich um die Verpflichtung zu einer Leistung oder Unterlassung handelt, ist die Rechtslage im Zeitpunkt der Entscheidung in erster Instanz zugrundezulegen. Ein strafbarer Tatbestand ist nach jener Rechtslage zu beurteilen, die für den Täter in ihrer Gesamtauswirkung günstiger ist; dies gilt auch für das Rechtsmittelverfahren.
3. Datenschutzverletzungen, die vor dem Inkrafttreten dieses
Bundesgesetzes stattgefunden haben, sind, soweit es sich um die
Feststellung der Rechtmäßigkeit oder Rechtswidrigkeit eines
Sachverhalts handelt, nach der Rechtslage zum Zeitpunkt der
Verwirklichung des Sachverhalts zu beurteilen; soweit es sich um die
Verpflichtung zu einer Leistung oder Unterlassung handelt, ist die
Rechtslage im Zeitpunkt der Entscheidung in erster
Instanz zugrundezulegen. Ein strafbarer Tatbestand ist nach jener
Rechtslage zu beurteilen, die für den Täter in ihrer
Gesamtauswirkung günstiger ist; dies gilt auch für
das Rechtsmittelverfahren.
4. (**Verfassungsbestimmung**) Datenanwendungen, die für die in § 17 Abs. 3 genannten Zwecke notwendig sind, dürfen auch bei Fehlen einer im Sinne des § 1 Abs. 2 ausreichenden gesetzlichen Grundlage bis 31. Dezember 2007 vorgenommen werden, in den Fällen des § 17 Abs. 3 Z 1 bis 3 jedoch bis zur Erlassung von bundesgesetzlichen Regelungen über die Aufgaben und Befugnisse in diesen Bereichen.
4. (**Verfassungsbestimmung**) Datenanwendungen, die für die in §
17 Abs. 3 genannten Zwecke notwendig sind, dürfen auch bei Fehlen
einer im Sinne des § 1 Abs. 2 ausreichenden gesetzlichen Grundlage
bis 31. Dezember 2007 vorgenommen werden, in den Fällen des §
17 Abs. 3 Z 1 bis 3 jedoch bis zur Erlassung von bundesgesetzlichen
Regelungen über die Aufgaben und Befugnisse in diesen Bereichen.
5. Manuelle Datenanwendungen, die gemäß § 58 der Meldepflicht unterliegen, sind, soweit sie schon im Zeitpunkt des Inkrafttretens dieses Bundesgesetzes bestanden haben, dem Datenverarbeitungsregister bis spätestens 1. Jänner 2003 zu melden. Dasselbe gilt für automationsunterstützte Datenanwendungen gemäß § 17 Abs. 3, für die durch die nunmehr geltende Rechtslage die Meldepflicht neu eingeführt wurde.
5. Manuelle Datenanwendungen, die gemäß § 58 der Meldepflicht
unterliegen, sind, soweit sie schon im Zeitpunkt des Inkrafttretens
dieses Bundesgesetzes bestanden haben, dem
Datenverarbeitungsregister bis spätestens 1. Jänner 2003 zu melden.
Dasselbe gilt für automationsunterstützte Datenanwendungen gemäß §
17 Abs. 3, für die durch die nunmehr geltende Rechtslage die
Meldepflicht neu eingeführt wurde.
6. Videoüberwachungen, die vor dem Inkrafttreten der §§ 50a bis 50e registriert wurden, bleiben in ihrer registrierten Form rechtmäßig, wenn sie den am 31. Dezember 2009 geltenden datenschutzrechtlichen Bestimmungen genügen und die Datenschutzkommission keine Befristung verfügt hat. Hat die Datenschutzkommission hingegen eine Befristung einer solchen Videoüberwachung verfügt, bleibt diese bis zum Ablauf der Befristung, längstens aber bis zum 31. Dezember 2012 rechtmäßig.
6. Videoüberwachungen, die vor dem Inkrafttreten der §§ 50a bis 50e
registriert wurden, bleiben in ihrer registrierten Form rechtmäßig,
wenn sie den am 31. Dezember 2009 geltenden datenschutzrechtlichen
Bestimmungen genügen und die Datenschutzkommission keine Befristung
verfügt hat. Hat die Datenschutzkommission hingegen eine Befristung
einer solchen Videoüberwachung verfügt, bleibt diese bis zum Ablauf
der Befristung, längstens aber bis zum 31. Dezember 2012 rechtmäßig.
7. Soweit in einzelnen Vorschriften Verweise auf das Datenschutzgesetz, BGBl. Nr. 565/1978, enthalten sind, gelten diese bis zu ihrer Anpassung an dieses Bundesgesetz sinngemäß weiter.
7. Soweit in einzelnen Vorschriften Verweise auf das
Datenschutzgesetz, BGBl. Nr. 565/1978, enthalten sind, gelten diese
bis zu ihrer Anpassung an dieses Bundesgesetz sinngemäß weiter.
8. Die Verordnung nach § 16 Abs. 3 ist vom Bundeskanzler nach Maßgabe der technischen Möglichkeiten des Datenverarbeitungsregisters bis spätestens 1. September 2012 neu zu erlassen. Bis zum Inkrafttreten dieser Verordnung sind die §§ 16 bis 22, § 30 Abs. 3 und 6 sowie § 40 Abs. 1 (letzterer mit Ausnahme des Verweises auf § 31a Abs. 3) in der Fassung vor dem Bundesgesetz BGBl. I Nr. 133/2009 anzuwenden; § 22a, § 30 Abs. 2a und 6a, § 31a Abs. 1 und 2 sowie § 32 Abs. 7 sind bis dahin nicht anzuwenden. § 31 Abs. 3 in der Fassung vor dem Bundesgesetz BGBl. I Nr. 133/2009 ist bis dahin zusätzlich weiter anzuwenden. Die Erklärung, ob eine Datenanwendung einen oder mehrere der in § 18 Abs. 2 Z 1 bis 4 genannten Tatbestände erfüllt (§ 19 Abs. 1 Z 3a), ist der Datenschutzbehörde bei im Zeitpunkt des Inkrafttretens der neuen Verordnung nach § 16 Abs. 3 registrierten Datenanwendungen anlässlich der ersten über eine Streichung hinausgehenden Änderungsmeldung zu melden, die nach diesem Zeitpunkt erstattet wird. Eine Meldung allein im Hinblick auf § 19 Abs. 1 Z 3a ist nicht erforderlich.
8. Die Verordnung nach § 16 Abs. 3 ist vom Bundeskanzler nach Maßgabe
der technischen Möglichkeiten des Datenverarbeitungsregisters bis
spätestens 1. September 2012 neu zu erlassen. Bis zum Inkrafttreten
dieser Verordnung sind die §§ 16 bis 22, § 30 Abs. 3 und 6 sowie §
40 Abs. 1 (letzterer mit Ausnahme des Verweises auf § 31a Abs. 3) in
der Fassung vor dem Bundesgesetz BGBl. I Nr. 133/2009 anzuwenden; §
22a, § 30 Abs. 2a und 6a, § 31a Abs. 1 und 2 sowie § 32 Abs. 7 sind
bis dahin nicht anzuwenden. § 31 Abs. 3 in der Fassung vor dem
Bundesgesetz BGBl. I Nr. 133/2009 ist bis dahin zusätzlich
weiter anzuwenden. Die Erklärung, ob eine Datenanwendung einen oder
mehrere der in § 18 Abs. 2 Z 1 bis 4 genannten Tatbestände erfüllt
(§ 19 Abs. 1 Z 3a), ist der Datenschutzbehörde bei im Zeitpunkt des
Inkrafttretens der neuen Verordnung nach § 16 Abs. 3 registrierten
Datenanwendungen anlässlich der ersten über eine Streichung
hinausgehenden Änderungsmeldung zu melden, die nach diesem Zeitpunkt
erstattet wird. Eine Meldung allein im Hinblick auf § 19 Abs. 1 Z 3a
ist nicht erforderlich.
9. Mit Ablauf des 31. Dezember 2013 tritt die Datenschutzbehörde an die
Stelle der Datenschutzkommission. Zum Zeitpunkt des Inkrafttretens
des Bundesgesetzes BGBl. I Nr. 83/2013 bei der Datenschutzkommission
anhängige Verfahren sind nach Maßgabe der Bestimmungen dieses
Bundesgesetzes in der Fassung des Bundesgesetzes BGBl. I Nr. 83/2013
von der Datenschutzbehörde fortzuführen. Erledigungen der
Datenschutzkommission gelten als entsprechende Erledigungen
der Datenschutzbehörde. Die Bestimmungen des
Verwaltungsgerichtsbarkeits-Übergangsgesetzes, BGBl. I Nr. 83/2013,
bleiben unberührt. Nach Beendigung des Verfahrens vor dem
Verwaltungsgerichtshof betreffend den Bescheid oder die Säumnis der
Datenschutzkommission oder vor dem Verfassungsgerichtshof betreffend
den Bescheid der Datenschutzkommission ist das Verfahren von der
Datenschutzbehörde fortzusetzen.
10. Die Bediensteten der Datenschutzkommission werden mit Inkrafttreten
des BGBl. I Nr. 83/2013 als Bedienstete der
Datenschutzbehörde übernommen.
9. Mit Ablauf des 31. Dezember 2013 tritt die Datenschutzbehörde an die Stelle der Datenschutzkommission. Zum Zeitpunkt des Inkrafttretens des Bundesgesetzes BGBl. I Nr. 83/2013 bei der Datenschutzkommission anhängige Verfahren sind nach Maßgabe der Bestimmungen dieses Bundesgesetzes in der Fassung des Bundesgesetzes BGBl. I Nr. 83/2013 von der Datenschutzbehörde fortzuführen. Erledigungen der Datenschutzkommission gelten als entsprechende Erledigungen der Datenschutzbehörde. Die Bestimmungen des Verwaltungsgerichtsbarkeits-Übergangsgesetzes, BGBl. I Nr. 83/2013, bleiben unberührt. Nach Beendigung des Verfahrens vor dem Verwaltungsgerichtshof betreffend den Bescheid oder die Säumnis der Datenschutzkommission oder vor dem Verfassungsgerichtshof betreffend den Bescheid der Datenschutzkommission ist das Verfahren von der Datenschutzbehörde fortzusetzen.
10. Die Bediensteten der Datenschutzkommission werden mit Inkrafttreten des BGBl. I Nr. 83/2013 als Bedienstete der Datenschutzbehörde übernommen.

6
dsg2000/art02-par62.md
View File

@ -1,4 +1,8 @@
§62 - Verordnungserlassung
==========================
Verordnungen auf Grund dieses Bundesgesetzes in seiner jeweiligen Fassung dürfen bereits von dem Tag an erlassen werden, der der Kundmachung der durchzuführenden Gesetzesbestimmungen folgt; sie dürfen jedoch nicht vor den durchzuführenden Gesetzesbestimmungen in Kraft treten.
Verordnungen auf Grund dieses Bundesgesetzes in seiner jeweiligen
Fassung dürfen bereits von dem Tag an erlassen werden, der der
Kundmachung der durchzuführenden Gesetzesbestimmungen folgt; sie dürfen
jedoch nicht vor den durchzuführenden Gesetzesbestimmungen in Kraft
treten.

4
dsg2000/art02-par63.md
View File

@ -1,4 +1,6 @@
§63 - Verweisungen
==================
Soweit in diesem Bundesgesetz auf Bestimmungen anderer Bundesgesetze verwiesen wird, sind diese in ihrer jeweils geltenden Fassung anzuwenden.
Soweit in diesem Bundesgesetz auf Bestimmungen anderer Bundesgesetze
verwiesen wird, sind diese in ihrer jeweils geltenden Fassung
anzuwenden.

4
dsg2000/art02-par64.md
View File

@ -1,4 +1,6 @@
§64 - Vollziehung
=================
Mit der Vollziehung dieses Bundesgesetzes sind, soweit sie nicht der Bundesregierung obliegt, der Bundeskanzler und die anderen Bundesminister im Rahmen ihres Wirkungsbereiches betraut.
Mit der Vollziehung dieses Bundesgesetzes sind, soweit sie nicht der
Bundesregierung obliegt, der Bundeskanzler und die anderen
Bundesminister im Rahmen ihres Wirkungsbereiches betraut.