257. Verordnung des Bundeskanzlers über das bei der Datenschutzkommission eingerichtete Datenverarbeitungsregister (Datenverarbeitungsregister-Verordnung 2012 – DVRV 2012)
Auf Grund des § 16 Abs. 3 und des § 61 Abs. 8 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 51/2012, wird verordnet:Auf Grund des Paragraph 16, Absatz 3 und des Paragraph 61, Absatz 8, des Datenschutzgesetzes 2000 (DSG 2000), Bundesgesetzblatt Teil eins, Nr. 165 aus 1999,, zuletzt geändert durch das Bundesgesetz Bundesgesetzblatt Teil eins, Nr. 51 aus 2012,, wird verordnet:
Inhaltsverzeichnis
1. Abschnitt Allgemeines
|
§ 1.Paragraph eins,
|
Geltungsbereich
|
§ 2.Paragraph 2,
|
Begriffsbestimmungen
|
2. Abschnitt Einrichtung und Inhalt des Datenverarbeitungsregisters
|
§ 3.Paragraph 3,
|
Einrichtung des Datenverarbeitungsregisters
|
§ 4.Paragraph 4,
|
Inhalt des Datenverarbeitungsregisters
|
3. Abschnitt Zugang und Einsicht in das Datenverarbeitungsregister
|
§ 5.Paragraph 5,
|
Zugang zum Datenverarbeitungsregister
|
§ 6.Paragraph 6,
|
Einsichtnahme in das Datenverarbeitungsregister
|
4. Abschnitt Meldungen an das Datenverarbeitungsregister
|
§ 7.Paragraph 7,
|
Form der Meldung
|
§ 8.Paragraph 8,
|
Anlass und Zeitpunkt der Meldung
|
§ 9.Paragraph 9,
|
Inhalt der Meldung
|
§ 10.Paragraph 10,
|
Beilagen zur Meldung
|
§ 11.Paragraph 11,
|
Registrierung
|
§ 12.Paragraph 12,
|
DVR-Nummer und Registrierungsnachweis
|
§ 13.Paragraph 13,
|
Automatische Registrierung von Meldungen
|
5. Abschnitt Identifizierung und Authentifizierung
|
§ 14.Paragraph 14,
|
Identifizierung und Authentifizierung in DVR-Online
|
§ 15.Paragraph 15,
|
Vertretung des Auftraggebers
|
6. Abschnitt Informationsverbundsysteme
|
§ 16.Paragraph 16,
|
Verzeichnis der Informationsverbundsysteme
|
7. Abschnitt Führung des Datenverarbeitungsregisters
|
§ 17.Paragraph 17,
|
Richtigstellung des Datenverarbeitungsregisters
|
§ 18.Paragraph 18,
|
Übernahme der DVR-Nummer bei Rechtsnachfolge
|
§ 19.Paragraph 19,
|
Aufbewahrung von Inhalten des Datenverarbeitungsregisters und der Registrierungsakten
|
8. Abschnitt Meldung und Registrierung bei Betriebsstörungen und für manuelle Dateien
|
§ 20.Paragraph 20,
|
Anwendungsbereich
|
§ 21.Paragraph 21,
|
Meldungen bei Betriebsstörungen und für manuelle Dateien
|
§ 22.Paragraph 22,
|
Registrierung bei Betriebsstörungen und für manuelle Dateien
|
9. Abschnitt Schlussbestimmungen
|
§ 23.Paragraph 23,
|
Verfahrensvorschriften
|
§ 24.Paragraph 24,
|
Inkrafttreten
|
Anlage 1
|
Inhalt des DVR-Online-Formulars und des Formblattes „Angaben zum Auftraggeber“
|
Anlage 2
|
Inhalt des DVR-Online-Formulars und des Formblattes „Meldung einer Datenanwendung“
|
Anlage 3
|
Inhalt des DVR-Online-Formulars (elektronisches Muster) und des Formblattes „Meldung einer Musteranwendung“
|
Anlage 4
|
Inhalt des DVR-Online-Formulars und des Formblattes „Allgemeine Angaben zu ergriffenen Datensicherheitsmaßnahmen“
|
1. Abschnitt
Allgemeines
Geltungsbereich
§ 1.Paragraph eins,
Diese Verordnung regelt die Einrichtung und Führung des Datenverarbeitungsregisters, den Zugang und die Einsichtnahme in das Datenverarbeitungsregister, die Registrierung von Datenanwendungen im Datenverarbeitungsregister sowie das Verzeichnis der Informationsverbundsysteme.
Begriffsbestimmungen
§ 2.Paragraph 2,
Im Sinne dieser Verordnung sind zu verstehen:
Datenverarbeitungsregister: das von der Datenschutzkommission gemäß § 16 Abs. 1 DSG 2000 zu führende Register der Auftraggeber mit den von ihnen betriebenen Datenanwendungen;Datenverarbeitungsregister: das von der Datenschutzkommission gemäß Paragraph 16, Absatz eins, DSG 2000 zu führende Register der Auftraggeber mit den von ihnen betriebenen Datenanwendungen;
Meldung: Eingabe gemäß § 17 DSG 2000 an die Datenschutzkommission zum Zweck der Registrierung im Datenverarbeitungsregister;Meldung: Eingabe gemäß Paragraph 17, DSG 2000 an die Datenschutzkommission zum Zweck der Registrierung im Datenverarbeitungsregister;
Registrierte Meldung: in das Datenverarbeitungsregister aufgenommene Meldungen, bestehend aus den Anlagen 1 bis3;
DVR-Online: Internetanwendung zur Meldung von Datenanwendungen an die Datenschutzkommission und zur Führung des Datenverarbeitungsregisters bei der Datenschutzkommission;
DVR-Online-Formulare: die inhaltlich den Formblättern der Anlage 1 bis4 entsprechenden und im DVR-Online verwendeten Formulare;
DVR-Nummer: vom Datenverarbeitungsregister zugewiesene Registernummer;
bPK: bereichsspezifisches Personenkennzeichen gemäß §§ 9 ff des EbPK: bereichsspezifisches Personenkennzeichen gemäß Paragraphen 9, ff des E-Government-Gesetzes – E-GovG, BGBl. I Nr. 10/2004, in der Fassung des Bundesgesetzes BGBl. I Nr. 111/2010.Government-Gesetzes – E-GovG, Bundesgesetzblatt Teil eins, Nr. 10 aus 2004,, in der Fassung des Bundesgesetzes Bundesgesetzblatt Teil eins, Nr. 111 aus 2010,.
2. Abschnitt
Einrichtung und Inhalt des Datenverarbeitungsregisters
Einrichtung des Datenverarbeitungsregisters
§ 3.Paragraph 3,
Das Datenverarbeitungsregister ist bei der Datenschutzkommission eingerichtet und wird in Form der Internetanwendung DVR-Online geführt. Auftraggeber des Datenverarbeitungsregisters ist die Datenschutzkommission.
Inhalt des Datenverarbeitungsregisters
§ 4.Paragraph 4,
(1)Absatz einsDas Datenverarbeitungsregister besteht aus:
den registrierten Meldungen über Auftraggeber und Datenanwendungen,
einem gesonderten Verzeichnis der Informationsverbundsysteme sowie
(2)Absatz 2In den Registrierungsakt sind aufzunehmen:
die nicht-registrierte Meldung, bestehend aus den DVR-Online-Formularen und Formblättern, sowie die angeschlossenen Beilagen,
Genehmigungsbescheide gemäß § 13 DSG 2000,Genehmigungsbescheide gemäß Paragraph 13, DSG 2000,
Bescheide der Datenschutzkommission über Auflagen, die gemäß § 21 Abs. 2 DSG 2000 anlässlich des Prüfungsverfahrens erteilt wurden,Bescheide der Datenschutzkommission über Auflagen, die gemäß Paragraph 21, Absatz 2, DSG 2000 anlässlich des Prüfungsverfahrens erteilt wurden,
sonstige Bescheide der Datenschutzkommission im Registrierungsverfahren, und
Mitteilung nach § 20 Abs. 5 DSG 2000 über die Ablehnung der Registrierung.Mitteilung nach Paragraph 20, Absatz 5, DSG 2000 über die Ablehnung der Registrierung.
3. Abschnitt
Zugang und Einsicht in das Datenverarbeitungsregister
Zugang zum Datenverarbeitungsregister
§ 5.Paragraph 5,
Der Zugang zum Datenverarbeitungsregister erfolgt nach Maßgabe technischer und organisatorischer Möglichkeiten über DVR-Online. Für den Fall einer Betriebsstörung sowie für manuelle Dateien ist der Zugang nach Maßgabe technischer und organisatorischer Möglichkeiten auf alternativem Weg sicherzustellen.
Einsichtnahme in das Datenverarbeitungsregister
§ 6.Paragraph 6,
(1)Absatz einsÖffentlich einsehbar sind registrierte Meldungen, bestehend aus den Anlagen 1 bis3, sowie das gesonderte Verzeichnis der Informationsverbundsysteme.
(2)Absatz 2In den Registrierungsakt ist Einsicht zu gewähren, wenn der Einsichtswerber glaubhaft macht, dass er Betroffener ist, und soweit nicht überwiegende schutzwürdige Geheimhaltungsinteressen des Auftraggebers oder anderer Personen entgegenstehen. Keiner Einsicht unterliegen die Angaben über Datensicherheitsmaßnahmen.
4. Abschnitt
Meldungen an das Datenverarbeitungsregister
Form der Meldung
§ 7.Paragraph 7,
(1)Absatz einsDie Meldung sowie die zugehörigen Beilagen sind in elektronischer Form über DVR-Online einzubringen. Eine Meldung in Form von E-Mail oder in nicht-elektronischer Form ist nur unter den Voraussetzungen des 8. Abschnittes zulässig. Die Meldung von manuellen Dateien kann entweder in elektronischer Form über DVR-Online oder unter den Voraussetzungen des 8. Abschnittes eingebracht werden.
(2)Absatz 2Zum Einbringen von Meldungen sowie für die Bearbeitung von Verbesserungsaufträgen ist eine Identifizierung und Authentifizierung erforderlich.
(3)Absatz 3Zur Teilnahme an einem Informationsverbundsystem, das bereits auf Grund einer Meldung von zumindest zwei Auftraggebern registriert worden ist, können weitere Auftraggeber in der Folge die Meldung im Umfang des § 19 Abs. 1 Z 3 bis 7 und Abs. 2 DSG 2000 auf einen Verweis durch Übernahme des Inhalts der Meldung eines bereits registrierten Auftraggebers beschränken, wenn sie eine Teilnahme im genau gleichen Umfang anstreben.Zur Teilnahme an einem Informationsverbundsystem, das bereits auf Grund einer Meldung von zumindest zwei Auftraggebern registriert worden ist, können weitere Auftraggeber in der Folge die Meldung im Umfang des Paragraph 19, Absatz eins, Ziffer 3 bis 7 und Absatz 2, DSG 2000 auf einen Verweis durch Übernahme des Inhalts der Meldung eines bereits registrierten Auftraggebers beschränken, wenn sie eine Teilnahme im genau gleichen Umfang anstreben.
Anlass und Zeitpunkt der Meldung
§ 8.Paragraph 8,
Zum Zweck der Registrierung hat der Auftraggeber einer Datenanwendung der Datenschutzkommission gemäß §§ 17 und 19 DSG 2000 zu melden: Zum Zweck der Registrierung hat der Auftraggeber einer Datenanwendung der Datenschutzkommission gemäß Paragraphen 17 und 19 DSG 2000 zu melden:
seine Identität und seine Rechtsgrundlagen (rechtliche Befugnis oder gesetzliche Zuständigkeit) bei der erstmaligen Meldung einer Datenanwendung an die Datenschutzkommission,
jede meldepflichtige Datenanwendung vor deren Aufnahme,
jede Änderung einer meldepflichtigen, bereits registrierten Datenanwendung samt den Rechtsgrundlagen vor Aufnahme der geänderten Datenanwendung,
jede Änderung des Namens oder der sonstigen Bezeichnung oder der Anschrift des Auftraggebers, unverzüglich nach Eintritt der Änderung,
den Eintritt eines Grundes für die Streichung einer registrierten Datenanwendung, insbesondere den Wegfall ihrer Rechtsgrundlage, unverzüglich nachdem er sich ereignet hat,
den Wegfall einer geeigneten Rechtsgrundlage für die im Zusammenhang mit der Registrierung relevanten Tätigkeiten des Auftraggebers, unverzüglich nach Eintritt ihrer rechtlichen Wirksamkeit.
Inhalt der Meldung
§ 9.Paragraph 9,
Für jede Neu- oder Änderungsmeldung betreffend eine Datenanwendung sind im DVR-Online-Formular die Angaben nach der Anlage 2 vollständig anzugeben; bei der Meldung einer Musteranwendung sind hiefür im DVR-Online-Formular die Angaben nach der Anlage 3 vollständig anzugeben. Meldet ein Auftraggeber erstmalig an die Datenschutzkommission oder meldet er Änderungen zu den Angaben zum Auftraggeber, so hat er zusätzlich im DVR-Online-Formular die Angaben nach der Anlage 1 auszufüllen. Die gemäß § 19 Abs. 1 Z 7 DSG 2000 zu machenden allgemeinen Angaben über die getroffenen Datensicherheitsmaßnahmen sind über das DVR-Online-Formular gemäß auszufüllen. Die gemäß Paragraph 19, Absatz eins, Ziffer 7, DSG 2000 zu machenden allgemeinen Angaben über die getroffenen Datensicherheitsmaßnahmen sind über das DVR-Online-Formular gemäß Anlage 4 an die Datenschutzkommission zu übermitteln.
Beilagen zur Meldung
§ 10.Paragraph 10,
Den Meldungen ist insbesondere beizulegen:
bei Datenanwendungen des öffentlichen Bereiches der Nachweis der gesetzlichen Zuständigkeit des Auftraggebers und sonstiger allenfalls notwendiger Rechtsgrundlagen für die Datenanwendung, soweit deren Vorhandensein nicht außer Zweifel steht,
bei Datenanwendungen des privaten Bereiches der Nachweis der Befugnis für die Ausübung der Tätigkeit des Auftraggebers oder, wenn für diese keine Befugnis erforderlich ist, eine diesbezügliche Begründung.
Registrierung
§ 11.Paragraph 11,
(1)Absatz einsDie Registrierung erfolgt durch Übernahme der anlässlich der Meldung über DVR-Online ausgefüllten und im Registrierungsverfahren allenfalls verbesserten DVR-Online-Formulare gemäß Anlage 1 bis3 in das Datenverarbeitungsregister gemäß § 4 Abs. 1 Z 1. in das Datenverarbeitungsregister gemäß Paragraph 4, Absatz eins, Ziffer eins,
(2)Absatz 2Die Registrierung hat unverzüglich zu erfolgen, sobald
das Prüfungsverfahren die Zulässigkeit der Registrierung ergeben hat oder
zwei Monate seit dem Einlangen der Meldung bei der Datenschutzkommission verstrichen sind, ohne dass ein Verbesserungsauftrag gemäß § 20 DSG 2000 erteilt wurde, oderzwei Monate seit dem Einlangen der Meldung bei der Datenschutzkommission verstrichen sind, ohne dass ein Verbesserungsauftrag gemäß Paragraph 20, DSG 2000 erteilt wurde, oder
der Auftraggeber die verlangten Verbesserungen vollständig und fristgerecht vorgenommen hat.
(3)Absatz 3Auflagen für die Vornahme einer Datenanwendung, die dem Auftraggeber gemäß § 21 Abs. 2 DSG 2000 anlässlich der Registrierung mit Bescheid der Datenschutzkommission erteilt wurden, sind durch Eintragung der Bescheidzahl in dem vom Auftraggeber über DVR-Online eingereichten Formular gemäß Auflagen für die Vornahme einer Datenanwendung, die dem Auftraggeber gemäß Paragraph 21, Absatz 2, DSG 2000 anlässlich der Registrierung mit Bescheid der Datenschutzkommission erteilt wurden, sind durch Eintragung der Bescheidzahl in dem vom Auftraggeber über DVR-Online eingereichten Formular gemäß Anlage 2 von Amts wegen ersichtlich zu machen. Der Spruchinhalt ist in der Registrierung als Beilage zur Anlage 2 wiederzugeben.
(4)Absatz 4Meldungen, die der Auftraggeber als vorabkontrollpflichtig bezeichnet hat oder von diesem zulässigerweise nicht über DVR-Online eingebracht wurden, sind auf Mangelhaftigkeit im Sinne des § 19 Abs. 4 DSG 2000 zu prüfen. Ergibt die Prüfung nach § 19 Abs. 4 DSG 2000 eine Mangelhaftigkeit der Meldung, so ist dem Auftraggeber innerhalb von zwei Monaten nach Einlangen der Meldung die Verbesserung unter Setzung einer angemessenen Frist aufzutragen. Im Verbesserungsauftrag ist darauf hinzuweisen, dass für den Fall, dass dem Verbesserungsauftrag nicht entsprochen wird, die Registrierung der Meldung durch eine schriftliche Mitteilung abzulehnen ist. In die Mitteilung sind aufzunehmen:Meldungen, die der Auftraggeber als vorabkontrollpflichtig bezeichnet hat oder von diesem zulässigerweise nicht über DVR-Online eingebracht wurden, sind auf Mangelhaftigkeit im Sinne des Paragraph 19, Absatz 4, DSG 2000 zu prüfen. Ergibt die Prüfung nach Paragraph 19, Absatz 4, DSG 2000 eine Mangelhaftigkeit der Meldung, so ist dem Auftraggeber innerhalb von zwei Monaten nach Einlangen der Meldung die Verbesserung unter Setzung einer angemessenen Frist aufzutragen. Im Verbesserungsauftrag ist darauf hinzuweisen, dass für den Fall, dass dem Verbesserungsauftrag nicht entsprochen wird, die Registrierung der Meldung durch eine schriftliche Mitteilung abzulehnen ist. In die Mitteilung sind aufzunehmen:
die Punkte, in denen der Verbesserungsauftrag nicht erfüllt wurde und
der Hinweis, dass innerhalb von zwei Wochen ab Zustellung bei der Datenschutzkommission ein Antrag gestellt werden kann, über die Ablehnung mit Bescheid abzusprechen.
Nach Absendung der Mitteilung erstattete Verbesserungen sind nicht zu berücksichtigen.
DVR-Nummer und Registrierungsnachweis
§ 12.Paragraph 12,
(1)Absatz einsJedem Auftraggeber ist bei der erstmaligen Registrierung eine DVR-Nummer zuzuteilen. An ein und denselben Auftraggeber darf jeweils nur eine DVR-Nummer vergeben werden.
(2)Absatz 2Ein Auftraggeber darf nur eine DVR-Nummer führen. In jenen Fällen, in denen gemäß § 25 DSG 2000 eine DVR-Nummer zu führen ist, ist sie als siebenstellige Zahl mit der näheren Kennzeichnung „DVR“ zu führen. Zusätze zur DVR-Nummer, die der internen Bezeichnung von Datenanwendungen seitens des Auftraggebers dienen, sind zulässig; sie sind jedoch so zu gestalten, dass die DVR-Nummer als solche erkennbar bleibt.Ein Auftraggeber darf nur eine DVR-Nummer führen. In jenen Fällen, in denen gemäß Paragraph 25, DSG 2000 eine DVR-Nummer zu führen ist, ist sie als siebenstellige Zahl mit der näheren Kennzeichnung „DVR“ zu führen. Zusätze zur DVR-Nummer, die der internen Bezeichnung von Datenanwendungen seitens des Auftraggebers dienen, sind zulässig; sie sind jedoch so zu gestalten, dass die DVR-Nummer als solche erkennbar bleibt.
(3)Absatz 3Die Datenschutzkommission hat dem Auftraggeber die erfolgte Registrierung einer gemeldeten Datenanwendung mitzuteilen.
Automatische Registrierung von Meldungen
§ 13.Paragraph 13,
(1)Absatz einsMeldungen von Datenanwendungen, die nach Angabe des Auftraggebers keiner Vorabkontrolle gemäß § 18 Abs. 2 oder § 50c DSG 2000 unterliegen, sind nur automationsunterstützt auf ihre Vollständigkeit und Plausibilität zu prüfen. Zu diesem Zweck wird insbesondere geprüft, ob vom Auftraggeber keine der Voraussetzungen für eine Vorabkontrolle im Sinne des § 18 Abs. 2 oder des § 50c DSG 2000 angegeben wurden. Ist demnach die Meldung nicht fehlerhaft, so ist sie sofort zu registrieren.Meldungen von Datenanwendungen, die nach Angabe des Auftraggebers keiner Vorabkontrolle gemäß Paragraph 18, Absatz 2, oder Paragraph 50 c, DSG 2000 unterliegen, sind nur automationsunterstützt auf ihre Vollständigkeit und Plausibilität zu prüfen. Zu diesem Zweck wird insbesondere geprüft, ob vom Auftraggeber keine der Voraussetzungen für eine Vorabkontrolle im Sinne des Paragraph 18, Absatz 2, oder des Paragraph 50 c, DSG 2000 angegeben wurden. Ist demnach die Meldung nicht fehlerhaft, so ist sie sofort zu registrieren.
(2)Absatz 2Wird bei der automationsunterstützten Prüfung ein Fehler der Meldung festgestellt, so ist dem Auftraggeber die Möglichkeit zur Verbesserung einzuräumen. Gleichzeitig ist er darauf hinzuweisen, dass die Meldung als nicht eingebracht gilt, wenn keine Verbesserung erfolgt oder er auf die Einbringung der unverbesserten Meldung besteht. Im letztgenannten Fall kann der Einbringer die Meldung schriftlich unter Anschluss der ausgedruckten Fehlermeldung der Datenschutzkommission übermitteln, welche die Meldung auf Mangelhaftigkeit im Sinne des § 19 Abs. 4 DSG 2000 zu prüfen hat.Wird bei der automationsunterstützten Prüfung ein Fehler der Meldung festgestellt, so ist dem Auftraggeber die Möglichkeit zur Verbesserung einzuräumen. Gleichzeitig ist er darauf hinzuweisen, dass die Meldung als nicht eingebracht gilt, wenn keine Verbesserung erfolgt oder er auf die Einbringung der unverbesserten Meldung besteht. Im letztgenannten Fall kann der Einbringer die Meldung schriftlich unter Anschluss der ausgedruckten Fehlermeldung der Datenschutzkommission übermitteln, welche die Meldung auf Mangelhaftigkeit im Sinne des Paragraph 19, Absatz 4, DSG 2000 zu prüfen hat.
5. Abschnitt
Identifizierung und Authentifizierung
Identifizierung und Authentifizierung in DVR-Online
§ 14.Paragraph 14,
(1)Absatz einsDie Identifizierung und Authentifizierung erfolgt bei der Anmeldung zu DVR-Online mit der Bürgerkarte oder über das Unternehmensserviceportal oder über technische Voraussetzungen, die auch eine Einbeziehung von Anwendungen der Gebietskörperschaften, sonstiger Körperschaften des öffentlichen Rechts oder anderer staatliche Aufgaben besorgender Institutionen ermöglichen (Portalverbund).
(2)Absatz 2Es ist sicherzustellen, dass alle verfügbaren technischen Umsetzungen der Bürgerkarte verwendet werden können, einschließlich jener mittels Mobiltelefon (Handy-Signatur).
Vertretung des Auftraggebers
§ 15.Paragraph 15,
Soll vertretungsweise eine Meldung an das Datenverarbeitungsregister erfolgen und ist dafür die Verwendung der Bürgerkarte mit Vertretungsvollmacht nicht möglich und wird auch keine andere Voraussetzung gemäß § 14 Abs. 1 verwendet, muss das Vertretungsrecht für diesen Auftraggeber bei der Datenschutzkommission beantragt und nachgewiesen werden. Die Rechte der zur berufsmäßigen Parteienvertretung befugten Person nach § 10 Abs. 1 des Allgemeinen Verwaltungsverfahrensgesetzes 1991 – AVG, BGBl. Nr. 51/1991, in der Fassung des Bundesgesetzes BGBl. I Nr. 100/2011, bleiben davon unberührt. Soll vertretungsweise eine Meldung an das Datenverarbeitungsregister erfolgen und ist dafür die Verwendung der Bürgerkarte mit Vertretungsvollmacht nicht möglich und wird auch keine andere Voraussetzung gemäß Paragraph 14, Absatz eins, verwendet, muss das Vertretungsrecht für diesen Auftraggeber bei der Datenschutzkommission beantragt und nachgewiesen werden. Die Rechte der zur berufsmäßigen Parteienvertretung befugten Person nach Paragraph 10, Absatz eins, des Allgemeinen Verwaltungsverfahrensgesetzes 1991 – AVG, Bundesgesetzblatt Nr. 51 aus 1991,, in der Fassung des Bundesgesetzes Bundesgesetzblatt Teil eins, Nr. 100 aus 2011,, bleiben davon unberührt.
6. Abschnitt
Informationsverbundsysteme
Verzeichnis der Informationsverbundsysteme
§ 16.Paragraph 16,
(1)Absatz einsAus den der Datenschutzkommission erstatteten Meldungen über Datenanwendungen, die die Teilnahme an einem Informationsverbundsystem zum Inhalt haben, hat die Datenschutzkommission ein über DVR-Online geführtes Verzeichnis der Informationsverbundsysteme zu erstellen, das die im Abs. 2 bezeichneten Informationen auf dem jeweils neuesten Stand enthält.Aus den der Datenschutzkommission erstatteten Meldungen über Datenanwendungen, die die Teilnahme an einem Informationsverbundsystem zum Inhalt haben, hat die Datenschutzkommission ein über DVR-Online geführtes Verzeichnis der Informationsverbundsysteme zu erstellen, das die im Absatz 2, bezeichneten Informationen auf dem jeweils neuesten Stand enthält.
(2)Absatz 2Das Verzeichnis der Informationsverbundsysteme hat folgende Angaben zu enthalten:
Bezeichnung und Zweck des Informationsverbundsystems,
Rechtsgrundlagen des Systems,
Name oder sonstige Bezeichnung und Anschrift, weiters Telefonnummer sowie E-Mail-Adresse des Betreibers,
Liste der am Informationsverbundsystem teilnehmenden Auftraggeber,
die in der Anlage 2 unter Punkt 7 bis 9 verlangten Meldeangaben mit Bezug auf das gesamte Informationsverbundsystem sowie
allfällige Auflagen, Bedingungen oder Befristungen für die Führung des Informationsverbundsystems, die gemäß § 21 Abs. 2 DSG 2000 von der Datenschutzkommission erteilt wurden.allfällige Auflagen, Bedingungen oder Befristungen für die Führung des Informationsverbundsystems, die gemäß Paragraph 21, Absatz 2, DSG 2000 von der Datenschutzkommission erteilt wurden.
(3)Absatz 3Die Datenschutzkommission kann die Eintragung weiterer Angaben anordnen, soweit dies zur zweckmäßigen Organisation und Führung des Verzeichnisses der Informationsverbundsysteme notwendig ist.
(4)Absatz 4Weitere Angaben gemäß § 50 Abs. 2 DSG 2000 sind auf Antrag der Auftraggeber bzw. ihres ausgewiesenen Vertreters einzutragen.Weitere Angaben gemäß Paragraph 50, Absatz 2, DSG 2000 sind auf Antrag der Auftraggeber bzw. ihres ausgewiesenen Vertreters einzutragen.
7. Abschnitt
Führung des Datenverarbeitungsregisters
Richtigstellung des Datenverarbeitungsregisters
§ 17.Paragraph 17,
(1)Absatz einsErlangt die Datenschutzkommission aus amtlichen Verlautbarungen davon Kenntnis, dass ein eingetragener Auftraggeber verstorben oder untergegangen ist, ist die Streichung aus dem Datenverarbeitungsregister von Amts wegen durchzuführen.
(2)Absatz 2Die Datenschutzkommission kann Schreibfehler oder diesen gleichzuhaltende, offenbar auf einem Versehen oder offenbar ausschließlich auf technisch mangelhaftem Betrieb einer automationsunterstützten Datenverarbeitungsanlage beruhende Unrichtigkeiten im Datenverarbeitungsregister jederzeit von Amts wegen berichtigen. Der betroffene Auftraggeber ist von der Richtigstellung zu verständigen.
Übernahme der DVR-Nummer bei Rechtsnachfolge
§ 18.Paragraph 18,
Der Rechtsnachfolger eines registrierten Auftraggebers kann einzelne oder alle registrierten Meldungen des Rechtsvorgängers übernehmen, wenn er innerhalb von sechs Monaten nach Wirksamkeit der Rechtsnachfolge eine entsprechend glaubhaft gemachte Erklärung gegenüber der Datenschutzkommission abgibt. Dem Rechtsnachfolger kann auf Antrag auch die DVR-Nummer des Rechtsvorgängers übertragen werden, wenn der Rechtsvorgänger jegliche Verarbeitung personenbezogener Daten in der Auftraggebereigenschaft eingestellt hat.
Aufbewahrung von Inhalten des Datenverarbeitungsregisters und der Registrierungsakten
§ 19.Paragraph 19,
Inhalte des Datenverarbeitungsregisters zu registrierten Meldungen über Auftraggeber und Datenanwendungen, die in Papierform vorhanden und zusätzlich auf elektronischen Datenträgern gespeichert sind, müssen nur in elektronischer Form aufbewahrt werden. Die nur in Papierform vorhandenen Inhalte des Datenverarbeitungsregisters müssen weiterhin aufbewahrt werden.
8. Abschnitt
Meldung und Registrierung bei Betriebsstörungen und für manuelle Dateien
Anwendungsbereich
§ 20.Paragraph 20,
(1)Absatz einsEine Meldung in Form von E-Mail oder in nicht-elektronischer Form ist nur für manuelle Dateien, soweit deren Inhalte zumindest einen der Tatbestände des § 18 Abs. 2 Z 1 bis 3 DSG 2000 erfüllen und daher meldepflichtig sind, sowie bei einem länger als 48 Stunden durchgehend andauernden technischen Ausfall von DVR-Online zulässig. Einem solchen durchgehend andauernden technischen Ausfall wird jener Fall gleichgehalten, in dem der technische Ausfall in einem länger als 48 Stunden dauernden Zeitraum wiederholt über eine Dauer von mehreren Stunden auftritt. Für die Fälle einer derartigen Betriebsstörung und für die Meldung von meldepflichtigen manuellen Dateien finden die Bestimmungen des 3. bis 5. Abschnittes mit den in den §§ 21 und 22 angeführten Änderungen Anwendung.Eine Meldung in Form von E-Mail oder in nicht-elektronischer Form ist nur für manuelle Dateien, soweit deren Inhalte zumindest einen der Tatbestände des Paragraph 18, Absatz 2, Ziffer eins bis 3 DSG 2000 erfüllen und daher meldepflichtig sind, sowie bei einem länger als 48 Stunden durchgehend andauernden technischen Ausfall von DVR-Online zulässig. Einem solchen durchgehend andauernden technischen Ausfall wird jener Fall gleichgehalten, in dem der technische Ausfall in einem länger als 48 Stunden dauernden Zeitraum wiederholt über eine Dauer von mehreren Stunden auftritt. Für die Fälle einer derartigen Betriebsstörung und für die Meldung von meldepflichtigen manuellen Dateien finden die Bestimmungen des 3. bis 5. Abschnittes mit den in den Paragraphen 21 und 22 angeführten Änderungen Anwendung.
(2)Absatz 2Der Fristenlauf für eine Verbesserung der Meldung ist für die Dauer eines technischen Ausfalls gehemmt. Es besteht die Möglichkeit, im Fall eines länger als 48 Stunden andauernden technischen Ausfalls die Verbesserung in Form von E-Mail oder in nicht-elektronischer Form einzubringen.
Meldungen bei Betriebsstörungen und für manuelle Dateien
§ 21.Paragraph 21,
(1)Absatz einsZur Meldung bei Betriebsstörungen und für manuelle Dateien hat die Datenschutzkommission Formblätter mit dem Inhalt der Anlagen 1 bis 4 aufzulegen, deren formale Ausgestaltung von der Datenschutzkommission entsprechend den jeweiligen Erfordernissen festgelegt wird. Die Formblätter sind auch in elektronischer Form zur Verfügung zu stellen. Die Meldepflichtigen haben ihre Meldungen mit Hilfe der aufgelegten Formblätter zu erstatten. Soweit dies nach Maßgabe technischer und organisatorischer Möglichkeiten des Auftraggebers und im Rahmen einer Betriebsstörung technisch möglich ist, sind Meldungen in elektronischer Form einzubringen.
(2)Absatz 2Für jede Neu- oder Änderungsmeldung betreffend eine Datenanwendung ist ein Formblatt „Meldung einer Datenanwendung“ gemäß Anlage 2 und das Formblatt „Allgemeine Angaben zu ergriffenen Datensicherheitsmaßnahmen“ gemäß Anlage 4 vollständig auszufüllen; bei der Meldung einer Musteranwendung ist hiefür das Formblatt „Meldung einer Musteranwendung“ gemäß Anlage 3 zu verwenden. Meldet ein Auftraggeber erstmalig an die Datenschutzkommission, so hat er zusätzlich das Formblatt „Angaben zum Auftraggeber“ gemäß Anlage 1 auszufüllen. Dieses Formblatt ist auch bei Änderungen von Angaben zum Auftraggeber zu verwenden.
(3)Absatz 3Weist eine Meldung keine eigenhändige und urschriftliche Unterschrift auf, so kann die Datenschutzkommission, wenn sie Zweifel daran hat, dass die Meldung von dem darin genannten Auftraggeber stammt, eine Bestätigung durch ein innerhalb angemessener Frist vorzulegendes schriftliches Anbringen mit eigenhändiger und urschriftlicher Unterschrift auftragen. Nach fruchtlosem Ablauf der von der Datenschutzkommission bestimmten Frist ist das Anbringen nicht mehr zu behandeln.
Registrierung bei Betriebsstörungen und für manuelle Dateien
§ 22.Paragraph 22,
(1)Absatz einsDie Registrierung erfolgt durch Übernahme der anlässlich der Meldung vorgelegten und im Registrierungsverfahren allenfalls verbesserten Formblätter gemäß Anlage 1 bis 3 in das Datenverarbeitungsregister gemäß § 4 Abs. 1 Z 1. Die Registrierung hat unverzüglich zu erfolgen, sobald in das Datenverarbeitungsregister gemäß Paragraph 4, Absatz eins, Ziffer eins, Die Registrierung hat unverzüglich zu erfolgen, sobald
das Prüfungsverfahren die Zulässigkeit der Registrierung ergeben hat oder
zwei Monate seit dem Einlangen der Meldung bei der Datenschutzkommission verstrichen sind, ohne dass ein Verbesserungsauftrag gemäß § 20 DSG 2000 erteilt wurde, oderzwei Monate seit dem Einlangen der Meldung bei der Datenschutzkommission verstrichen sind, ohne dass ein Verbesserungsauftrag gemäß Paragraph 20, DSG 2000 erteilt wurde, oder
der Auftraggeber die verlangten Verbesserungen fristgerecht vorgenommen hat.
(2)Absatz 2Auflagen für die Vornahme einer Datenanwendung, die dem Auftraggeber gemäß § 21 Abs. 2 DSG 2000 anlässlich der Registrierung mit Bescheid der Datenschutzkommission erteilt wurden, sind durch Eintragung der Bescheidzahl in dem vom Auftraggeber eingereichten Formblatt gemäß Auflagen für die Vornahme einer Datenanwendung, die dem Auftraggeber gemäß Paragraph 21, Absatz 2, DSG 2000 anlässlich der Registrierung mit Bescheid der Datenschutzkommission erteilt wurden, sind durch Eintragung der Bescheidzahl in dem vom Auftraggeber eingereichten Formblatt gemäß Anlage 2 von Amts wegen ersichtlich zu machen. Der Spruchinhalt ist in der Registrierung wiederzugeben.
(3)Absatz 3Die Vornahme der Registrierung ist dem Auftraggeber schriftlich mitzuteilen.
(4)Absatz 4Jedem Auftraggeber ist bei der erstmaligen Registrierung eine DVR-Nummer zuzuteilen. Diese Nummer wird dem Auftraggeber schriftlich bekannt gegeben. An einen Auftraggeber darf nur eine DVR-Nummer vergeben werden.
9. Abschnitt
Schlussbestimmungen
Verfahrensvorschriften
§ 23.Paragraph 23,
Auf das Registrierungsverfahren ist gemäß Art. I Abs. 2 des Einführungsgesetzes zu den Verwaltungsverfahrensgesetzen 2008 – EGVG, BGBl. I Nr. 87/2008, in der Fassung des Bundesgesetzes BGBl. I Nr. 53/2012, das AVG anzuwenden, soweit das DSG 2000 nicht ausdrücklich anderes bestimmt. Auf das Registrierungsverfahren ist gemäß Art. römisch eins Absatz 2, des Einführungsgesetzes zu den Verwaltungsverfahrensgesetzen 2008 – EGVG, Bundesgesetzblatt Teil eins, Nr. 87 aus 2008,, in der Fassung des Bundesgesetzes Bundesgesetzblatt Teil eins, Nr. 53 aus 2012,, das AVG anzuwenden, soweit das DSG 2000 nicht ausdrücklich anderes bestimmt.
Inkrafttreten
§ 24.Paragraph 24,
(1)Absatz einsDiese Verordnung tritt mit 1. September 2012 in Kraft; gleichzeitig tritt die Datenverarbeitungsregister-Verordnung 2002 – DVRV 2002, BGBl. II Nr. 24/2002, außer Kraft.Diese Verordnung tritt mit 1. September 2012 in Kraft; gleichzeitig tritt die Datenverarbeitungsregister-Verordnung 2002 – DVRV 2002, Bundesgesetzblatt Teil 2, Nr. 24 aus 2002,, außer Kraft.
(2)Absatz 2Im Zeitpunkt des Inkrafttretens dieser Verordnung im Datenverarbeitungsregister anhängige Verfahren sind nach der DVRV 2002 zu Ende zu führen.
Faymann
Anlage 1
Inhalt des DVR-Online-Formulars und des Formblattes „Angaben zum Auftraggeber“
Angabe, ob Erst-, Änderungs- oder Streichungsmeldung
DVR-Nummer (sofern vorhanden)
Name oder sonstige Bezeichnung und Anschrift, weiters Telefonnummer sowie E-Mail-Adresse des Auftraggebers
Rechtsgrundlagen des Auftraggebers im Sinne des § 7 Abs. 1 DSG 2000Rechtsgrundlagen des Auftraggebers im Sinne des Paragraph 7, Absatz eins, DSG 2000
Nummer des Registers bei Auftraggebern, die aufgrund ihrer Tätigkeit in einem öffentlichen Register eingetragen sind (sofern vorhanden)
Name oder sonstige Bezeichnung und Anschrift des Vertreters eines Auftraggebers, der keine Niederlassung in der Europäischen Union hat
Name, Anschrift und E-Mail-Adresse eines allfälligen Zustellungsbevollmächtigten
Name und Telefonnummer des allfälligen Sachbearbeiters beim Auftraggeber
Angaben über die Beilagen zur Meldung
Anlage 2
Inhalt des DVR-Online-Formulars und des Formblattes „Meldung einer Datenanwendung“
Angabe, ob Neu-, Änderungs- oder Streichungsmeldung (bei Streichungsmeldung verkürztes DVR-Online-Formular möglich)
DVR-Nummer (sofern eine solche bereits zugeteilt wurde)
Name oder sonstige Bezeichnung und Anschrift, weiters Telefonnummer sowie E-Mail-Adresse des Auftraggebers
Name, Anschrift und E-Mail-Adresse eines allfälligen Zustellungsbevollmächtigten
Name und Telefonnummer des allfälligen Sachbearbeiters beim Auftraggeber
Bezeichnung und Zweck der Datenanwendung
allgemeine Angaben zur Datenanwendung betreffend:
besondere Rechtsgrundlagen der Datenanwendung, soweit sich diese nicht bereits aus den allgemeinen Rechtsgrundlagen des Auftraggebers ergeben
Zugehörigkeit zum öffentlichen oder privaten Bereich
Vorliegen automationsunterstützter oder manueller Datenanwendung
Anwendbarkeit der Vorabkontrolle:
Verwendung von sensiblen Daten
Verwendung von strafrechtlich relevanten Daten
Vorliegen eines Kreditinformationssystems
Teilnahme an einem Informationsverbundsystem
Videoüberwachung (gemäß § 50c DSG 2000)Videoüberwachung (gemäß Paragraph 50 c, DSG 2000)
im Falle, dass die Datenanwendung die Teilnahme an einem Informationsverbundsystem darstellt:
Bezeichnung des gesamten Informationsverbundsystems
Rechtsgrundlagen des gesamten Informationsverbundsystems, soweit sich diese nicht bereits aus den Angaben zu Punkt 7a) ergeben und
Name oder sonstige Bezeichnung und Anschrift, weiters Telefonnummer sowie E-Mail-Adresse des Betreibers
besondere Angaben zum Inhalt der Datenanwendung:
die Kreise der von der Datenanwendung Betroffenen und die über sie verarbeiteten Datenarten
im Falle von beabsichtigten Übermittlungen:
die Kreise der Betroffenen
die zu übermittelnden Datenarten
die zugehörigen Empfängerkreise einschließlich Angaben über allfällige ausländische Empfängerstaaten sowie Zugehörigkeit der Übermittlungsempfänger zum gleichen Informationsverbundsystem
die Rechtsgrundlagen der Übermittlungen
Geschäftszahlen der Bescheide der Datenschutzkommission, mit welchen Auflagen, Bedingungen oder Befristungen gemäß § 21 Abs. 2 DSG 2000 erteilt wurden (diese sind vom Datenverarbeitungsregister anlässlich der Registrierung einzutragen)Geschäftszahlen der Bescheide der Datenschutzkommission, mit welchen Auflagen, Bedingungen oder Befristungen gemäß Paragraph 21, Absatz 2, DSG 2000 erteilt wurden (diese sind vom Datenverarbeitungsregister anlässlich der Registrierung einzutragen)
soweit eine Genehmigung der Datenschutzkommission für Datenübermittlungen oder Überlassungen ins Ausland notwendig ist, die Geschäftszahl der Genehmigung durch die Datenschutzkommission
Angaben über die Beilagen zur Meldung
Anlage 3
Inhalt des DVR-Online-Formulars (elektronisches Muster) und des Formblattes „Meldung einer Musteranwendung“
Angabe, ob Neu-, Änderungs- oder Streichungsmeldung
DVR-Nummer (sofern eine solche bereits zugeteilt wurde)
Name oder sonstige Bezeichnung und Anschrift, weiters Telefonnummer sowie E-Mail-Adresse des Auftraggebers
Bezeichnung der Musteranwendung
Angaben über die Beilagen zur Meldung
Anlage 4
Inhalt des DVR-Online-Formulars und des Formblattes „Allgemeine Angaben zu ergriffenen Datensicherheitsmaßnahmen“
Es ist insbesondere anzugeben, ob
die Aufgabenverteilung bei der Datenverwendung zwischen den Organisationseinheiten und zwischen den Mitarbeitern ausdrücklich festgelegt ist,
die Verwendung von Daten an das Vorliegen gültiger Aufträge der anordnungsbefugten Organisationseinheiten und Mitarbeiter gebunden ist,
jeder Mitarbeiter über seine nach dem DSG 2000 und nach innerorganisatorischen Datenschutzvorschriften einschließlich der Datensicherheitsvorschriften bestehenden Pflichten belehrt wurde,
die Zutrittsberechtigung zu den Räumlichkeiten des Auftraggebers oder Dienstleisters, in denen Daten und Programme verwendet werden, geregelt wurde und Maßnahmen gegen den Zutritt Unbefugter ergriffen wurden,
die Zugriffsberechtigung auf Daten und Programme und der Schutz der Datenträger vor der Einsicht und Verwendung durch Unbefugte geregelt ist,
die Berechtigung zum Betrieb der Datenverarbeitungsgeräte festgelegt ist und jedes Gerät durch Vorkehrungen bei den eingesetzten Maschinen oder Programmen gegen die unbefugte Inbetriebnahme abgesichert ist,
Protokoll geführt wird, damit Verwendungen von Daten, wie insbesondere Änderungen, Abfragen und Übermittlungen von Daten, auf ihre Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können,
zur Erleichterung der Kontrolle und Beweissicherung eine Dokumentation über die nach Z 1 bis 7 getroffenen Maßnahmen geführt wird.zur Erleichterung der Kontrolle und Beweissicherung eine Dokumentation über die nach Ziffer eins bis 7 getroffenen Maßnahmen geführt wird.