P. b. b. Erscheinungsort Wien, VerJugspostamt 1030 Wien
FÜR DIE REPUBLIK ÖSTERREICH
565. Bundesgesetz: Datenschutzgesetz -DSG
(NR: GP XIV RV 72 AB 1024 S. 104. BR: 1893 AB 1895 S.380.)
565. Bundesgesetz vom 18. Oktober 1978
über den Schutz personenbezogener Daten (Datenschutzgesetz -DSG)
Der Nationalrat hat beschlossen:
Artikel 1
(Verfassungsbestimmu ng)
GRUNDRECHT AUF DATENSCHUTZ § 1. (1) Jedermann hat Anspruch auf Geheimhaltung der ihn betreffenden personen bezogenen Daten, soweit er daran ein schutzwürdiges Interesse, insbesondere im Hinblick auf Achtung seines Privatund Familienlebens, hat.
ZUSTÄNDIGKEIT ZUR GESETZGEBUNG UND VOLLZIEHUNG
§ 2. (I) Bundessache ist die Gesetzgebung in Angelegenheiten des Schutzes personenbezogener Daten im automationsunterstützten Datenverkehr.
(2) Die Vollziehung solcher Bundesgesetze steht dem Bund zu. Soweit solche Daten von einem Land, im Auftrag eines Landes, von oder im Auftrag von juristischen Personen, die durch Gesetz eingerichtet sind und deren Einrichtung hinsichtlich der VolIziehung in die Zuständigkeit der Länder fällt, ermittelt, verarbeitet oder übermittelt werden, sind diese Bundesgesetze von den Ländern zu vollziehen, soweit nicht durch Bundesgesetz die Datenschutzkommission, der Datenschutzrat oder Gerichte mit der Vollziehung betraut werden.
Artikel 2
1. Abschnitt
ALLGEMEINE BESTIMMUNGEN
§ 3. Im Sinne dieses Bundesgesetzes bedeuten:
I. Daten: auf einem Datenträger gespeicherte Angaben, die Informationen über eine bestimmte oder mit Wahrscheinlichkeit bestimmbare natürliche oder juristische Person oder handelsrechtliche Personengesellschaft darstellen (personen bezogene Daten);
14 350
3620 193. Stück -Ausgegeben am 28. November 1978 -Nr. 565
verarbeiteten Daten an andere Empfänger als den Betroffenen, den Auftraggeber oder den Verarbeiter. Einer übermittlung ist gleichzuhalten das Verknüpfen von für ein Aufgabengebiet ermittelten oder verarbeiteten Daten mit solchen Daten eines anderen Aufgabengebietes;
§ 4. (1) Die Bestimmungen des 2. Abschnittes sind auf den Datenverkehr von oder im Auftrag von Rechtsträgern anzuwenden, die durch Gesetz eingerichtet sind, soweit es sich nicht um Rechtsträger nach § 5 handelt.
§ 5. (1) Auf die Verarbeitung von Daten von oder im Auftrage von Ländern oder von Rechtsträgern, die durch Gesetze eingerichtet sind, und deren Einrichtung hinsichtlich der Vollziehung in die Zuständigkeit der Länder fällt, sowie von oder im Auftrage von Gemeinden oder Gemeindeverbänden sind die Bestimmungen des 2. Abschnittes mit der Maßgabe anzuwenden, daß die Datenschutzverordnu.ng (§ 9) und die Höhe der Verwaltungsabgabe für die Erteilung einer Auskunft (§ 11 Abs. 3) durch die Landesregierung festzulegen sind.
(2) In einer nach Anhörung des Datenschutzrates zu erlassenden Verordnung der Landesregieru.ng sind Rechtsträger im Sinne des Abs. 1, soweit sie in Formen des Privatrechts tätig sind, für diese Tätigkeitsbereiche von der Anwendung des
2. Abschnittes auszunehmen. Für diese Bereiche findet der 3. Abschnitt Anwendung.
2. Abschnitt
öFFENTLICHER BEREICH
ZULÄSSI(!;KEIT DER ERMITTLUNG UND VERARBEITUNG
§ 6. Daten dürfen zum Zwecke des automationsunterstützten Datenverkehrs nur ermittelt und verarbeitet werden, wenn dafür eine ausdrückliche gesetzliche Ermächtigung besteht, oder soweit dies für den Auftraggeber zur Wahrnehmung der ihm gesetzlich übertragenen Aufgaben eine wesentliche Voraussetzung bildet.
ZULÄSSIGKElT DER üBERMITTLUNG
§ 7. (1) Verarbeitete Daten dürfen nur übermittelt werden, soweit
(2) Eine übermittlung von Daten an Organe des Bundes, der Länder, der Gemeinden, einschließlich der Körperschaften des öffentlichen Rechts ist weiters insoweit zulässig, als die Daten für den Empfänger zur Wahrnehmung der ihm gesetzlich übertragenen Aufgaben eine wesentliche Voraussetzung bilden.
MELDUNG DER VERARBEITUNG
§ 8. (1) Jeder Auftraggeber hat vor der Aufnahme einer Echtverarbeitung von Daten dem Datenverarbeitungsregister (§ 47) eine schriftliche Meldung gemäß Abs. 2 zu erstatten.
(2) In der Meldung sind die Rechtsgrundlage, der Zweck der Ermittlung, der Verarbeitung und der übermittlung der Daten, die Art der Daten und der Kreis der Betroffenen anzugeben.
DATENSCHUTZVERORDNUNG
§ 9. (1) Die obersten Organe des Bundes und der Länder haben, unbeschadet der Bestimmungen des Abs. 2, für jeden ihrer Aufsicht unterstehenden Auftraggeber nach Anhörung der Datenschutzkommission eine Datenschutzverordnung zu erlassen, in der je nach Art der zu verarbeitenden Daten die Grundsätze für deren Ermittlung, Verarbeitung, Benützung und übermittlung bei möglichstem Schutz der personenbezogenen Daten festzulegen sind.
193. Stück -Ausgegeben am 28. November 1978 -Nr. 565
(2) Selbstverwaltungskörper sind, soweit sie Daten verarbeiten, zur Erlassung einer Datenschutzverordnung nach Abs. 1 verpflichtet. Die Verordnung bedarf aufsichtsbehördlicher Genehmigung. Die Aufsichtsbehörde hat die Datenschutzkommission anzuhören. Die Genehmigung ist zu erteilen, wenn die Verordnung gesetzlichen Bestimmungen entspricht.
BETRIEBSORDNUNG
§ 10. (1) Für jeden Verarbeiter ist von dem für die Durchführung der Verarbeitung zuständigen Organ eine Betriebsordnung zu erlassen, die der Zustimmung der Datenschutzkommission bedarf. Diese Zustimmung ist, gegebenenfalls mit Auflagen oder Bedingungen, zu erteilen, wenn die Betriebsordnung gesetzlichen Bestimmungen und den auf Grund dieses Bundesgesetzes erlassenen Verordnungen entspricht.
(6) Die Betriebsordnung ist dem Stand der jeweiligen technischen Entwicklung anzupassen, sofern es die im Abs. 2 und Abs. 5 genannten Zwecke erfordern.
AUSKUNFTSRECHT
§ 11. (1) Dem Betroffenen sind bei Nachweis seiner Identität auf schriftlichen Antrag beim Auftraggeber seine Daten in allgemein verständlicher Form sowie deren Herkunft und die Rechtsgrundlage für deren Ermittlung, Verarbeitung, Benützung und übermittlung binnen vier Wochen schriftlich mitzuteilen, soweit es sich dabei nicht um solche Daten handelt, die auf Grund eines Gesetzes oder einer Verordnung bei überwiegendem öffentlichem Interesse auch ihm gegenüber geheimzuhalten sind. Werden oder wurden Daten übermittelt, kann der Betroffene auch Auskunft über den Empfänger verlangen.
satz nicht entrichtet wurde. Ein etwa geleisteter Kostenersatz ist ungeachtet weiterer Schadenersatzansprüche zurückzuerstatten, wenn Daten rechtswidrig ermittelt, verarbeitet oder übermittelt wurden, oder wenn die Auskunft sonst zu einer Richtigstellung geführt hat.
PFLICHT ZUR RICHTIGSTELLUNG ODER LOSCHUNG
§ 12. (t) Jeder Auftraggeber hat unrichtige oder entgegen den Bestimmungen des § 6 ermittelte oder verarbeitete Daten unverzüglich, längstens jedoch \;>innen zwei Wochen nach Feststellung des der Verarbeitung zugrunde zu legenden Sachverhal1es richtigzustellen, zu löschen oder die Richtigstellung oder Löschung zu veranlassen.
(2) Eine Richtigstellung oder Löschung nach Abs. 1 ist durchzuführen oder zu veranlassen
(3) Erfolgt binnen zwölf Wochen nach dem Einlangen -eines Antrages des Betroffenen nicht die
193. Stück -Ausgegeben am 28. November 1978 -Nr. 565
Feststellung des ~er Verarbeitung zugrunde zu legenden Sachverhaltes, so ist dies dem Antragsteller unter Angabe des Grundes unverzüglich schriftlich mitzuteilen.
VERTRAGLICHE INANSPRUCHNAHME
VON DIENSTLEISTUNGEN IM DATENVER
KEHR DURCH DIE IN § 4 UND IN § 5
GENANNTEN RECHTSTRÄGER
§ 13. (1) Soweit Auftraggeber nach § 6 zur Ermittlung und Verarbeitung berechtigt sind, dürfen sie andere Verarbeiter desselben Rechtsträgers oder andere Rechtsträger für Dienstleistungen im Datenverkehr in Anspruch nehmen. Eine solche Inanspruchnahme darf nur erfolgen, soweit dies aus Gründen der Zweckmäßigkeit und Wirtschaftlichkeit der Verwaltung geboten ist und wenn weder schutzwürdige Interessen von Betroffenen noch öffentliche Interessen entgegenstehen.
(2) Im Falle der Inanspruchnahme nach Abs. 1 haben die in § 4 und in § 5 genannten Rechtsträger, soweit die Inanspruchnahme nicht auf Grund einer gesetzlichen Bestimmung erfolgt, vertraglich sicherzustellen, daß bei der Verarbeitung die gesetzlichen Bestimmungen und die Bestimmungen der auf Grund dieses Bundesgesetzes erlassenen Verordnungen eingehalten werden. In solchen Verträgen ist insbesondere eine den Bestimmungen des § 10 entsprechende Betriebsordnung zu vereinbaren.
(3) Vor dem Abschluß eines Vertrages im Sinne des Abs. 2 durch einen in § 4 genannten Rechtsträger sind die Datenschutzkommission und -ausgenommen im Anwendungsbereich des § 9 Abs. 2 -das Bundeskanzleramt anzuhören; Inanspruchnahmen durch in § 5 und in § 9 Abs. 2 genannte Rechtsträger sind der Datenschutzkommis:<ion mitzuteilen.
RECHTSSCHUTZ DES BETROFFENEN
§ 14. (1) Die Datenschutzkommission (§ 36) erkennt, soweit nicht der Antrag des Betroffenen auf Auskunft (§ 11), Richtigstellung oder Löschung (§ 12) bereits Gegenstand eines Verfahrens vor der sachlich zuständigen Behörde ist, über Beschwerden wegen Verletzung von Bestimmungen dieses Bundesgesetzes oder der auf Grund dieses Bundesgesetzes erlassenen Durchführungsbestimmungen, soweit der Beschwerdeführer behauptet, dadurch in seinen Rechten verletzt worden zu sein, sowie über Anträge gemäß Abs. 3.
AMTSWEGIGE VERFAHREN
§ 15. (1) Ergibt ein Verfahren nach § 14, daß auch andere Personen in ihren Rechten nach den Bestimmungen dieses Bundesgesetzes oder der auf Grund dieses Bundesgesetzes erlassenen Durchführungsbestimmungen verletzt wurden, so hat dies die Datenschutzkommission bescheidmäßig auszusprechen und dem Auftraggeber und dem Verarbeiter mitzuteilen. Dieser Bescheid ist von der Datenschutzkommission im Amtsblatt zur Wiener Zeitung kundzumachen.
(2) Der Auftraggeber oder der Verarbeiter haben dem Bescheid der Datenschutzkommission binnen einer von dieser festzusetzenden, angemessenen Frist zu entsprechen.
193. Stück -Ausgegeben am 28. November 1978 -Nr. 565
VERBINDUNG EINGELEITETER VERFAHREN
§ 16; Wenn die Zweckmäßigkeit, Raschheit, Einfachheit und Kostenersparnis von Verfahren es erfordern, hat die Datensc~utzkommission eingeleitete Verfahren, die denselben Auftraggeber oder Verarbeiter betreffen, zu verbinden.
3. Abschnitt
PRIVATER BEREICH
ZULÄSSIGKElT DER ERMITILUNG UND VERARBEITUNG
§ 17. Daten dürfen zum Zwecke des automationsunterstützten Datenverkehrs durch einen nicht den Bestimmungen der §§ 4 und 5 unterliegenden Rechtsträger nur ermittelt und verarbeitet werden,
(2) Gesetzliche oder vertragliche Verschwiegenheitspflichten, die der Auftraggeber zu beachten hat, sind auch vom Verarbeiter und seinen beschäftigten Personen einzuhalten. Diese Personen sind vor Aufnahme ihrer Tätigkeit zur Einhaltung der Verschwiegenheitspflichten ausdrücklich tu verpflichten.
DATENGEHEIMNIS
§ 20. (1) Automationsunterstützt verarbeitete Daten, die ausschließlich auf Grund einer berufsmäßigen Beschäftigung anvertraut wurden oder zugänglich geworden sind, dürfen unbeschadet sonstiger Verschwiegenheitspflichten nur auf Grund einer
ausdrücklichen Anordnung des Auftrag-oder Arbeitgebers oder deren Beauftragten übermittelt werden (Datengeheimnis).
(2) Personen, denen berufsmäßig Daten anvertraut
soweit sich dies in Art und Umfang auf den. sind oder zugänglich gemacht werden, sind vor
berechtigten Zweck des Rechtsträgers beschränkt und hiebei schutzwürdige Interessen des Betroffenen, insbesondere im Hinblick auf Achtung seines Privat
und Familienlebens, beachtet werden.
ZULÄSSIGKElT DER üBERMITILUNG
§ 18. (1) Die übermittlung von Daten durch nicht den Bestimmungen der §§ 4 und 5 unterliegende Rechtsträger ist unter Beachtung der im § 17 genannten Bedingungen nur zulässig, soweit:
DIENSTLEISTUNG IM DATENVERKEHR
§ 19. (1) Werden Daten zum Zwecke einer Dienstleistung einem anderen als dem gemäß § 17 berechtigten Rechtsträger überlassen, so hat der Verarbeiter die Daten und etwaige Ergebnisse der Verarbeitung ausschließlich dem Auftraggeber zurückzugeben oder nach dessen Auftrag zu übermitteln. Bei der Auftragserteilung sind die einzuhaltenden Verschwiegenheitspflichten und die besonderen Sorgfaltspflichten festzulegen.
Aufnahme ihrer Tätigkeit zur Einhaltung des Datengeheimnisses ausdrücklich zu verpflichten. Die Pflicht zur Wahrung des Datengeheimnisses besteht
auch nach Beendigung ihrer Tätigkeit.
DATENSICHERUNG
§ 21. (1) Der Verarbeiter hat für den Datenverkehr unter Bedachtnahme auf die wirtschaftliche Vertretbarkeit und auf die technischen Möglichkeiten organisatorische, personelle, technische und bauliche Sicherungsmaßnahmen zu treffen. Diese Maßnahmen sollen je nach Art der Daten und der technischen Ausstattung sowie des Umfanges der Verarbeitung und übermittlung sicherstellen, daß Daten Dritten rechtswidrig weder zur Kenntnis gelangen, noch übermittelt, noch durch nicht berechtigte Personen eingesehen, verarbeitet oder übermittelt werden können.
193. Stück -Ausgegeben am 28. November 1978 -Nr. 565
Methoden der Verarbeitung oder übermittlung oder für bestimmte Arten von Rechtsträgern für verbindlich erklärt werden.
(4) Die Verpflichtungen nach Abs. 1 oder 2 gelten als erfüllt, wenn der Verarbeiter die nach Abs. 3 für solche Verarbeitungen oder übermittlungen verbindlich erklärten öNORMEN eingehalten hat.
VERARBEITUNG FüR EIGENE ZWECKE
§ 22. (1) Werden Daten von Personen ver.arbeitet, die mit dem Auftraggeber dieser Verarbeitung in einem Vertragsverhältnis stehen oder gestanden sind, so sind die Betroffenen bei der Aufnahme der Verarbeitung der Daten aus solchen Rechtsverhältnissen für eigene Zwecke darüber ausdrücklich deutlich lesbar zu informieren; dasselbe giit für Vereine hinsichtlich der Daten ihrer Mitglieder.
(2) Diese Information hat außerdem folgende Angaben zu enthalten:
(3) übermittlungen aus Verarbeitungen gemäß Abs. 1 sind nur zulässig:
REGISTRIERUNG VON VERARBEITUNGEN
§ 23. (1) Auftraggeber von anderen als nach § 22 zulässigen Verarbeitungen haben beim Datenverarbeitungsregister (§ 47) vor der Aufnahme der Echtverarbeitung von Daten die Registrierung zu beantragen.
(2) Der Antrag hat folgeride Angaben zu enthalten:
GEBüHREN
§ 24. Mit dem Antrag auf Registrierung (§ 23) ist eine Gebühr zu entrichten, deren Höhe durch eine vom Bundeskanzler nach Anhörung des Datenschutzrates zu erlassende Verordnung festzulegen ist. Die Gebühren sind so festzulegen, daß der mit den Aufgaben der Registrierung verbundene Verwaltungsaufwand im Durchschnitt gedeckt wird.
AUSKUNFTSRECHT
§ 25. (1) Ein Betroffener kann bei Nachweis seiner Identität beim Auftraggeber Auskunft über die zu seiner Person gespeicherten Daten und über deren Herkunft verlangen. Wurden diese Daten übermittelt, kann der Betroffene auch Auskunft über die Empfänger verlangen. Die Auskunft ist binnen vier Wochen schriftlich in allgemein verständlicher Form zu erteilen, sofern der Betroffene nicht mit einer mündlichen Auskunft einverstanden ist. Mit Zustimmung des Betroffenen kann anstelle der schriftlichen Auskunft die Einsichtnahme und die Möglichkeit der Abschrift oder Ablichtung gegeben werden.
193. Stück -Ausgegeben am 28. November 1978 -Nr. 565
etwa geleistetes Entgelt ist ungeachtet weiterer Schadenersatzansprüche zurückzuerstatten, wenn Daten rechtswidrig ermittelt, verarbeitet oder übermittelt wurden oder wenn die Auskunft sonst zu einer Richtigstellung führte.
PFLICHT ZUR RICHTIGSTELLUNG
§ 26. (1) Daten sind über begründetes Ansuchen des Betroffenen richtigzustellen, wenn sie unrichtig oder unvollständig sind. § 12 Abs. 3, 5, 7 und 8 sind sinngemäß anzuwenden.
(2) Bei der übermittlung und Benützung von Daten, deren Richtigkeit vom Betroffenen bestritten wurde, und bei denen keine Einigung über ihre Richtigkeit oder Unrichtigkeit erzielt werden konnte, ist über Verlangen des Betroffenen ein Vermerk über die Bestreitung beizufügen. Dieser Vermerk darf ohne Zustimmung des Betroffenen nur auf Grund eines rechtskräftigen Urteils gelöscht werden. Ist das Richtigstellungsbegehren (Abs. 1) gerichtlich geltend gemacht, die Klage aber abgewiesen worden, so ist über Verlangen des Auftraggebers im Urteil die Löschung des Vermerks anzuordnen. Der Auftraggeber kann auch unter Nachweis der Richtigkeit der Daten (§ 12 Abs. 5) den Anspruch auf Löschung des Bestreitungsvermerkes gerichtlich geltend machen.
PFLICHT ZUR LOSCHUNG
§ 27. Daten sind zu löschen, wenn
ZIVILRECHTLICHE HAFTUNG
§ 28. (1) Ansprüche gegen nicht den Bestimmungen der §§ 4 und 5 unterliegende Rechtsträger, wie sie sich aus diesem Abschnitt dieses Bundesgesetzes ergeben, sind auf dem ordentlichen Rechtsweg geltend zu machen.
(2) Sind Daten entgegen den Bestimmungen dieses Bundesgesetzes oder den auf Grund dieses Bundesgesetzes erlassenen Durchführungsbestimmungen verarbeitet, benützt oder übermittelt worden, so hat der Betroffene, unbeschadet etwaiger Ansprüche auf Schadenersatz, Anspruch auf Unterlassung und Beseitigung des diesem Bundesgesetz oder den auf Grund dieses Bundesgesetzes erlassenen Durchführungsbestimmungen widerstreitenden Zustandes.
ZIVILGERICHTLICHES VERFAHREN
§ 29. (1) Für Klagen nach diesem Bundesgesetz ist in erster Instanz das mit der Ausübung der Gerichtsbarkeit in bürgerlichen Rechtssachen betraute Landesgericht des Landes, in dem der Betroffene seinen gewöhnlichen Aufenthalt oder Sitz hat, zuständig. Klagen des Betroffenen können auch beim Landesgericht des Landes erhoben werden, in dem der Auftraggeber seinen gewöhnlichen Aufenthalt oder Sitz hat. Liegt der gewöhnliche Aufenthalt oder Sitz in Niederösterreich, ist das Landesgericht für Zivilrechtssachen Wien ausschließlich zuständig. Dieses Gericht ist auch zuständig, wenn sonst keine Zuständigkeit im Inland nach dem ersten Satz gegeben ist.
EINSTWEILIGE VERFüGUNGEN
§ 30. Zur. Sicherung der auf dieses Bundesgesetz gestützten Ansprüche auf Unterlassung können einstweilige Verfügungen erlassen werden, auch wenn die im § 381 EO bezeichneten Voraussetzungen nicht zutreffen. Zuständig zur Erlassung von einstweiligen Verfügungen, die vor Einleitung eines Rechtsstreites beantragt werden, ist das im § 29 Abs. 1 bezeichnete Landesgericht.
RECHTE DES BETRIEBSRATES
§ 31. Die Einsichtsrechte des Betriebsrates nach § 89 Z. 1 und, bei Zustimmung des Arbeitnehmers, nach § 89 Z. 4 des Arbeitsverfassungsgesetzes (BGBI. Nr. 22/1974) und die Zustimmungsrechte des
193. Stück -Ausgegeben am 28. November 1978 -Nr. 565
Betriebsrates nach § 96 Abs. 1 des Arbeitsverfassungsgesetzes werden durch dieses Bundesgesetz nicht berührt. Das Datengeheimnis ist auch von den Mitgliedern des Betriebsrates zu wahren.
4. Abschnitt
INTERNATIONALER DATENVERKEHR
VORAUSSETZUNGEN FüR üBERLASSUNGEN VON DATEN IN DAS AUSLAND
§ 32. (1) Die überlassung von automationsunterstützt verarbeiteten Daten aus österreich durch die in den §§ 4, 5 und 17 genannten Rechtsträger in das Ausland ist unter den in § 7 oder § 18 genannten Voraussetzungen zulässig. Sie bedarf der Genehmigung der Datenschutzkommission.
(2) In folgenden Fällen bedarf jedoch die überlassung durch unter den 3. Abschnitt fallende Rechtsträger keiner Genehmigung der Datenschutzkommission:
(3) Eine nach Abs. 1 notwendige Genehmigung ist zu erteilen, wenn
VERARBEITUNG IN öSTERREICH FüR DAS AUSLAND
§ 33. Die Verarbeitung von Daten in österreich für ausländische Rechtsträger ist dem Datenverarbei
*) Berichtigt gemäß Kundmachung BGBI. Nr. 577/
tungsregister zu melden (§ 47 Abs. 4 und 5), Sie
unterliegt einer Genehmigung der Datenschutzkommission, soweit dies in völkerrechtlichen Vereinbarungen vorgesehen ist.
DIRf:KTER ZUGRIFF ZU DATEN
§ 34. (1) ,§ 32 findet auch Anwendung, wenn nur ein Arbeitsgang der Verarbeitung im Ausland oder für das Ausland stattfindet oder ein direkter Zugriff auf im Bundesgebiet gelegene Anlagen der automationsunterstützten Datenverarbeitung aus dem Ausland möglich ist.
(2) Wenn vom Bundesgebiet aus ein direkter Zugriff auf in Anlagen der automationsunterstützten Verarbeitung im Ausland gespeicherte Daten möglich ist, findet §' 33 Anwendung.
5. Abschnitt
DATENSc:f.iUTZKOMMISSION, DATEN
SCHUTZRAT UND DATENVERARBEI
TUNGSREGISTER
KONTROLLORGANE
§ 35. (1) Zur Wahrung des Datenschutzes im Sinne dieses Bundesgesetzes -unbeschadet der Zuständigkeit der ordentlichen Gerichte -werden eine Datenschutzkommission und ein Datenschutzrat eingerichtet.
(2) Die Geschäftsführung der in Abs. 1 genannten Organe obliegt dem Bundeskanzleramt. Der Bundeskanzler hat diesen Organen das notwendige Personal auf Vorschlag des Datenschutzrates zur Verfügung zu stellen. Im Rahmen ihrer Tätigkeit für diese Organe sind solche Personen an die Weisungen des jeweiligen Vorsitzenden oder der in den Geschäftsordnungen bezeichneten Mitglieder der in Abs. 1 genannten Organe gebunden.
AUFGABEN DER DATENSCHUTZKOMMISSION
§ 36. (1) Der Datenschutzkommission obliegen abgesehen von den in den § 9 Abs. 1, § 9 Abs. 2, § 10 Abs. 1, § 12 Abs. 2 Z. 4, § 13 Abs. 3, § 16, § 37, § 38 Abs.6, § 39 Abs. 1, § 44 Abs.2, § 45 Abs. 3 und 4, § 50 Abs. 5 und § 52 Abs. 3 genannten Befugnissen folgende Aufgaben:
den Bescheiden (§ 47); | |||||
---|---|---|---|---|---|
4. die | Erteilung | der | für | den | internationalen |
Datenverkehr | notwendigen | Bewilligungen | |||
(§§ 32 bis 34); |
5. die Erlassung ihrer Geschäftsordnung.
(2) (Verfassungsbestimmung) Weiters obliegen der Datenschutzkommission die Abfassung der Berichte
193. Stück -Ausgegeben am 28. November 1978 -Nr. 565
nach § 46 Abs.l, von Empfehlungen nach § 41, Gutachten oder Zustimmungen zu Entwürfen von Rechtsvorschriften, die die Verarbeitung personenbezogener Daten betreffen, und zu Maßnahmen nach § 13 sowie Beteiligungen an gerichtlichen Verfahren.
WIRKUNG VON BESCHEIDEN
§ 37. (1) Wenn die Datenschutzkommission eine Verletzung von Bestimmungen dieses Bundesgesetzes oder der auf Grund dieses Bundesgesetzes erlassenen Durchführungsbestimmungen festgestellt hat, so sind die Verwaltungsbehörden verpflichtet, mit den ihnen zu Gebote stehenden rechtlichen Mitteln unverzüglich den der Rechtsanschauung der Datenschutzkommission entsprechenden Zustand herzustellen. In den Bescheiden der Datenschutzkommission ist die Behörde zu bestimmen, die den Bescheid zu vollstrecken hat. Das Vollstreckungsverfahren richtet sich nach den für diese Behorde sonst geltenden Vorschriften.
(2) Bei Gefahr im Verzug für den Betroffenen kann die Datenschutzkommission die Benützung oder übermittlung der Daten oder einzelne Verarbeitungsvorgänge bis zur Entscheidung der Datenschutzkommission nach § 14 oder § 15 untersagen.
ZUSAMMENSETZUNG DER DATENSCHUTZKOMMISSION
§ 38. (1) Die Datenschutzkommission besteht aus vier Mitgliedern, die über Vorschlag der Bundesregierung vom Bundespräsidenten für die Dauer von fünf Jahren bestellt werden. Wiederbestellungen sind zulässig. Ein Mitglied muß dem Richterstand angehören. Die Mitglieder sollen Erfahrungen auf dem Gebiet des Datenschutzes aufweisen.
(2) Die Vorbereitung des Vorschlages der Bundesregierung für die Bestellung der Mitglieder der Datenschutzkommission obliegt dem Bundeskanzler. Er hat dabei Bedacht zu nehmen auf:
(5) Der Datenschutzkommission können nicht angehören:
VORSITZENDER UND GESCHÄFTSFüH-RUNG DER DATENSCHUTZKOMMISSION
§ 39. (1) Das richterliche Mitglied führt den Vorsitz in der Datenschutzkommission. Die Datenschutzkommission wählt aus ihrer Mitte einen stellvertretenden Vorsitzenden.
193. Stück -Ausgegeben am 28. November 1978 -Nr. 565
WEISUNGSFREIHEIT DER MITGLIEDER DER DATENSCHUTZKOMMISSION
§ 40. (Verfassungsbestimmung) Die Mitglieder der Datenschutzkommission sind in Ausübung ihres Amtes unabhängig und an keine Weisungen gebunden.
EMPFEHLUNGEN DER DATENSCHUTZKOMMISSION
§ 41. Hat die Datenschutzkommission gegen die Rechtmäßigkeit einer Ermittlung, Verarbeitung, Benützung oder übermittlung von Daten von oder für Rechtsträger nach § 4 oder § 5 Bedenken, so hat sie diese Bedenken samt Begründung und einer Empfehlung über die Herstellung des rechtmäßigen Zustandes dem für den Auftrag zur betreffenden Verarbeitung zuständigen obersten Verwaltungsorgan mitzuteilen. Dieses Organ hat innerhalb einer angemessenen, jedoch zwölf Wochen nicht überschreitenden Frist entweder diesen Empfehlungen zu entsprechen und dies der Datenschutzkommission mitzuteilen oder schriftlich zu begründen, warum den Empfehlungen nicht entsprochen wurde.
AUFGABEN DES DATENSCHUTZRATES
§ 42. (1) Dem Datenschutzrat obliegen -abgesehen von den in den § 4 Abs. 2, § 4 Ab!;. 3 Z. 3, § 5 Abs. 2, § 11 Abs. 3, § 21 Abs. 3, § 22 Abs. 4, § 24, § 35 Abs. 2, § 44, § 45 Abs. 3 und 4, § 47 Abs. 3 und § 52 Abs. 3 genannten Befugnissen -folgende Aufgaben:
(2) Die zuständigen Bundesminister und Landesregierungen haben auf Ersuchen des Datenschutzrates diesem über Erfahrungen auf dem Gebiete des Datenschutzes aus ihrem Bereich zu berichten.
(3) Gerichtliche Entscheidungen und Vergleiche in Verfahren auf Grund dieses Bundesgesetzes sind dem Datenschutzrat zuzustellen.
ZUSAMMENSETZUNG DES DATENSCHUTZRATES
§ 43. (1) Dem Datenschutzrat gehören an:
VORSITZ UND GESCHÄFTSFüHRUNG DES PATENSCHUTZRATES
§ 44. (1) Der Datenschutzrat wählt aus seiner Mitte einen Vorsitzenden und zwei stellvertretende Vorsitzende. Die Funktionsperiode des Vorsitzenden (stellvertretenden Vorsitzenden) dauert, unbeschadet der Änderung der Vertretung gemäß § 43 Abs. 5, fünf Jahre. Wiederbestellungen sind zulässig.
(2) Die Sitzungen des Datenschutzrates sind nach Bedarf einzuberufen. Begehrt ein Mitglied oder die Datenschutzkommission die Einberufung einer Sitzung, so hat der Vorsitzende eine Sitzung einzuberufen, die binnen vier Wochen stattzufinden hat.
193. Stück -Ausgegeben am 28. November 1978 -Nr. 565
GEMEINSAME BESTIMMUNGEN FüR
DATENSCHUTZKOMMISSION UND DATEN
SCHUTZRAT
§ 45. (1) (Verfassungsbestimmung) Alle Organe von Rechtsträgern nach §§ 4 und 5 haben die Datenschutzkommission und den Datenschutzrat bei der Besorgung ihrer Aufgaben zu unterstützen, ihnen Einsicht in Akten, Datenträger und sonstige Einrichtungen der Ermittlung, Verarbeitung und übermittlu.ng zu gewähren und auf Verlangen die erforderlichen Auskünfte zu erteilen.
DATENSCHUTZBERICHTE
§ 46. (1) Die Datenschutzkommission verfaßt jedes zweite Jahr einen Bericht über ihre Tätigkeit und die hiebei gesammelten Erfahrungen und übermittelt diesen Bericht dem Bundeskanzler.
(2) Der Bundeskanzler legt diesen Bericht mit einer Stellungnahme der Bundesregierung und des Datenschutzrates (§ 42 Abs. 1 Z. 2) sowie mit Aussagen über die Entwicklung der Verarbeitung und des Schutzes von Daten im Ausland und mit allfälligen Empfehlungen dem Nationalrat vor. Soweit sich der Bericht auf die Verarbeitung von Daten im Bereich der Länder (§ 5) bezieht, übermittelt der Bundeskanzler den Bericht mit der Stellungnahme des Datenschutzrates den Ländern.
DATENVERARBEITUNGSREGISTER
§ 47. (1) Beim Österreichischen Statistischen Zentralamt ist ein Register der automationsunterstützten Verarbeitungen von Daten (Datenverarbeitungsregister) einzurichten. Die Führung des Datenverarbeitungsregisters obliegt dem Osterreichischen Statistischen Zentralamt nach den Anordnungen des Bundeskanzleramtes.
3630 193. Stück -Ausgegeben am 28. November 1978 -Nr. 565
der automationsunterstützten Datenverarbeitung erstellt werden, bedürfen sie weder einer Unterschrift noch einer Beglaubigung; sie haben aber den Namen des die Eingabe genehmigenden Organs zu enthalten.
6. Abschnitt
STRAFBESTIMMUNGEN GEHEIMNISBRUCH § 48. (1) Wer Daten widerrechtlich offenbart oder verwertet, die ihm ausschließlich kraft seiner berufsmäßigen Beschäftigung mit Aufgaben der Verarbeitung anvertraut worden oder zugänglich geworden sind, und deren Offenbarung oder Verwertung geeignet ist, ein berechtigtes Interesse des Betroffenen zu verletzen, ist, wenn die Tat nicht nach einer anderen Bestimmung mit strengerer Strafe bedroht ist, vom Gericht mit Freiheitsstrafe bis zu einem Jahr zu bestrafen.
UNBEFUGTE EINGRIFFE IN VERARBEITUNGEN
§ 49. Wer widerrechtlich einem anderen in seinen Rechten dadurch absichtlich einen Schaden zufügt, daß er automationsunterstützt verarbeitete Daten löscht, verfälscht oder sonst verändert oder daß e'r sich automationsunterstützt verarbeitete Daten verschafft, ist, wenn die Tat nicht nach einer anderen Bestimmung mit strengerer Strafe bedroht ist, vom Gericht mit Freiheitsstrafe bis zu einem Jahr zu bestrafen.
VERWALTUNGSSTRAFBESTIMMUNG § 50. (1) Eine Verwaltungsübertretung, die mit einer Geldstrafe bis zu 150000 S zu ahnden ist, begeht, wer Daten automationsunterstützt verarbeitet, ohne die ihm nach diesem Bundesgesetz obliegenden Genehmigungs-, Melde-, Informationsoder Registrierungspflichten erfüllt zu haben, oder wer Daten entgegen den Bestimmungen des § 47 Abs. 4 übermittelt.
(6) Rechtskräftige Entscheidungen nach Abs. 4 sind der Datenschutzkommission zu übermitteln.
7. Abschnitt
üBERGANGS- UND SCHLUSSBESTIMMUNGEN
GEMEINSAME VERARBEITUNG VON
DIENSTSTELLEN DESSELBEN VERWALTUNGSBEREICHES
§ 51. (1) Im Bereich der unmittelbaren Bundesverwaltung kann die Verarbeitung abweichend von § 6 von einem Bundesministerium als sachlich in Betracht kommende Oberbehörde für die Unterbehörden oder von einer Unterbehörde für andere Unterbehörden desselben Bundesministeriums geführt werden.
(2) Abs. 1 ist sinngemäß für die Landesverwaltung und die mittelbare Bundesverwaltung anzuwenden. Deren Datenverarbeitung kann durch die Landesregierung oder durch eine sonstige Einrichtung der Landesverwaltung geführt werden.
ERPROBUNG NEUER ARBEITSWEISEN UND TECHNIKEN DER VERWALTUNG
§ 52. (1) Die Bestimmungen der §§ 6, 7, 9 und 10 finden keine Anwendung auf Verarbeitungen, soweit diese von den in den §§ 4 und 5 genannten Rechtsträgern eingesetzt werden zur Erprobung neuer Arbeitsweisen und Techniken der Verwaltung, bevor diese zum allgemeinen Einsatz gelangen.
ANWENDllING DES § 7 AUF VERWALTUNGSANGELEGfNHEITEN GEMÄSS ART. 30 B-VG
§ 53. § 7 findet auf Daten aus dem Bereich der dem Präsidenten des Nationalrates gemäß Art. 30 B-VG übertragenen Verwaltungsange19~. Stück -Ausgegeben am
legenheiten mit der Maßgabe Anwendung, daß, sofern der Betroffene nicht ausdrücklich schriftlich zugestimmt hat, diese Daten jeweils nur mit Zustimmung des Präsidenten des Nationalrates übermittelt werden dürfen.
AUSNAHME FüR MEDIENUNTERNEHMEN
§ 54. Bis zum Inkrafttreten von Datenschutzbestimmungen eines Mediengesetzes finden die einfachgesetzlichen Bestimmungen dieses Bundesgesetzes keine Anwendung, insoweit Medienunternehmen oder redaktionelle Hilfsunternehmen Daten ausschließlich für ihre publizistische Tätigkeit ermittein, verarbeiten, benützen oder übermitteln.
VERHÄLTNIS ZU ANDEREN RECHTSVORSCHRIFTEN
§ 55. (1) Die den gesetzlich anerkannten ReligionsgeseIlschaften nach § 118 Abs.2 BAO, BGBI. Nr.194/1961, zustehenden Rechte bleiben unberührt.
GEBüHREN-UND ABGABENBEFREIUNG
§ 56. Die durch dieses Bundesgesetz unmittelbar veranlaßten Eingaben der Betroffenen zur Wahrung ihrer Interessen sind von den Stempelgebühren und von den Verwaltungsabgaben des Bundes befreit.
EIGENER WIRKUNGSBEREICH DER GEMEINDE
§ 57. Soweit dieses Bundesgesetz auf die Verarbeitung von Daten von oder im Auftrage von Gemeinden anzuwenden ist, sind von der Gemeinde nach diesem Bundesgesetz durchzuführende Aufgaben solche des eigenen Wirkungsbereiches, soweit die Daten ausschließlich oder überwiegend im Interesse der Gemeinde ermittelt, verarbeitet, benützt oder übermittelt werden.
INKRAFTTRETEN
§ 58. (1) Dieses Bundesgesetz tritt, soweit in den folgenden Absätzen nicht anderes bestimmt ist, mit
1. Jänner 1980 in Kraft.
(2) Verarbeitungen nach den §§ 8 und 23, die am
1. Jänner 1980 bereits in Betrieb stehen, sind bis zum
I. April 1980 für das Datenverarbeitungsregister anzumelden. Die Frist des § 23 Abs. 4 gilt für solche
28. November 1978 -Nr. 565 3631
Anmeldungen nicht; übermittlungen dürfen in dem Umfang, in dem sie im Zeitpunkt der Anmeldung durchgeführt wurden, bis sechs Wochen nach der Vergabe der Registernummer ohne deren Beifügung erfolgen.
Vorschriften frühestens sechs Monate nach ihrer Erlassung in Kraft.
VOLLZIEHUNG
§ 59. Mit der Vollziehung dieses Bundesgesetzes sind, soweit sie nicht der Bundesregierung oder den Landesregierungen obliegt, der Bundeskanzler und die anderen Bundesminister im Rahmen ihres Wirkungsbereiches betraut.
Kirehsehläger
Kreisky Androseh Pahr Moser
Leodolter Staribaeher Lane Broda
Rösch Weißen berg Sinowatz Lauseeker
Firnberg