BUNDESGESETZBLATT
FÜR DIE REPUBLIK ÖSTERREICH

Jahrgang 2012

Ausgegeben am 25. Juli 2012

Teil II

257. Verordnung:

Datenverarbeitungsregister-Verordnung 2012 – DVRV 2012

257. Verordnung des Bundeskanzlers über das bei der Datenschutzkommission eingerichtete Datenverarbeitungsregister (Datenverarbeitungsregister-Verordnung 2012 – DVRV 2012)

Auf Grund des Paragraph 16, Absatz 3 und des Paragraph 61, Absatz 8, des Datenschutzgesetzes 2000 (DSG 2000), Bundesgesetzblatt Teil eins, Nr. 165 aus 1999,, zuletzt geändert durch das Bundesgesetz Bundesgesetzblatt Teil eins, Nr. 51 aus 2012,, wird verordnet:

Inhaltsverzeichnis

1. Abschnitt
Allgemeines

Paragraph eins,

Geltungsbereich

Paragraph 2,

Begriffsbestimmungen

2. Abschnitt
Einrichtung und Inhalt des Datenverarbeitungsregisters

Paragraph 3,

Einrichtung des Datenverarbeitungsregisters

Paragraph 4,

Inhalt des Datenverarbeitungsregisters

3. Abschnitt
Zugang und Einsicht in das Datenverarbeitungsregister

Paragraph 5,

Zugang zum Datenverarbeitungsregister

Paragraph 6,

Einsichtnahme in das Datenverarbeitungsregister

4. Abschnitt
Meldungen an das Datenverarbeitungsregister

Paragraph 7,

Form der Meldung

Paragraph 8,

Anlass und Zeitpunkt der Meldung

Paragraph 9,

Inhalt der Meldung

Paragraph 10,

Beilagen zur Meldung

Paragraph 11,

Registrierung

Paragraph 12,

DVR-Nummer und Registrierungsnachweis

Paragraph 13,

Automatische Registrierung von Meldungen

5. Abschnitt
Identifizierung und Authentifizierung

Paragraph 14,

Identifizierung und Authentifizierung in DVR-Online

Paragraph 15,

Vertretung des Auftraggebers

6. Abschnitt
Informationsverbundsysteme

Paragraph 16,

Verzeichnis der Informationsverbundsysteme

7. Abschnitt
Führung des Datenverarbeitungsregisters

Paragraph 17,

Richtigstellung des Datenverarbeitungsregisters

Paragraph 18,

Übernahme der DVR-Nummer bei Rechtsnachfolge

Paragraph 19,

Aufbewahrung von Inhalten des Datenverarbeitungsregisters und der Registrierungsakten

8. Abschnitt
Meldung und Registrierung bei Betriebsstörungen und für manuelle Dateien

Paragraph 20,

Anwendungsbereich

Paragraph 21,

Meldungen bei Betriebsstörungen und für manuelle Dateien

Paragraph 22,

Registrierung bei Betriebsstörungen und für manuelle Dateien

9. Abschnitt
Schlussbestimmungen

Paragraph 23,

Verfahrensvorschriften

Paragraph 24,

Inkrafttreten

Anlage 1

Inhalt des DVR-Online-Formulars und des Formblattes „Angaben zum Auftraggeber“

Anlage 2

Inhalt des DVR-Online-Formulars und des Formblattes „Meldung einer Datenanwendung“

Anlage 3

Inhalt des DVR-Online-Formulars (elektronisches Muster) und des Formblattes „Meldung einer Musteranwendung“

Anlage 4

Inhalt des DVR-Online-Formulars und des Formblattes „Allgemeine Angaben zu ergriffenen Datensicherheitsmaßnahmen“

1. Abschnitt
Allgemeines

Geltungsbereich

Paragraph eins,

Diese Verordnung regelt die Einrichtung und Führung des Datenverarbeitungsregisters, den Zugang und die Einsichtnahme in das Datenverarbeitungsregister, die Registrierung von Datenanwendungen im Datenverarbeitungsregister sowie das Verzeichnis der Informationsverbundsysteme.

Begriffsbestimmungen

Paragraph 2,

Im Sinne dieser Verordnung sind zu verstehen:

  1. Ziffer eins
    Datenverarbeitungsregister: das von der Datenschutzkommission gemäß Paragraph 16, Absatz eins, DSG 2000 zu führende Register der Auftraggeber mit den von ihnen betriebenen Datenanwendungen;
  2. Ziffer 2
    Meldung: Eingabe gemäß Paragraph 17, DSG 2000 an die Datenschutzkommission zum Zweck der Registrierung im Datenverarbeitungsregister;
  3. Ziffer 3
    Registrierte Meldung: in das Datenverarbeitungsregister aufgenommene Meldungen, bestehend aus den Anlagen 1 bis3;
  4. Ziffer 4
    DVR-Online: Internetanwendung zur Meldung von Datenanwendungen an die Datenschutzkommission und zur Führung des Datenverarbeitungsregisters bei der Datenschutzkommission;
  5. Ziffer 5
    DVR-Online-Formulare: die inhaltlich den Formblättern der Anlage 1 bis4 entsprechenden und im DVR-Online verwendeten Formulare;
  6. Ziffer 6
    DVR-Nummer: vom Datenverarbeitungsregister zugewiesene Registernummer;
  7. Ziffer 7
    bPK: bereichsspezifisches Personenkennzeichen gemäß Paragraphen 9, ff des E-Government-Gesetzes – E-GovG, Bundesgesetzblatt Teil eins, Nr. 10 aus 2004,, in der Fassung des Bundesgesetzes Bundesgesetzblatt Teil eins, Nr. 111 aus 2010,.

2. Abschnitt
Einrichtung und Inhalt des Datenverarbeitungsregisters

Einrichtung des Datenverarbeitungsregisters

Paragraph 3,

Das Datenverarbeitungsregister ist bei der Datenschutzkommission eingerichtet und wird in Form der Internetanwendung DVR-Online geführt. Auftraggeber des Datenverarbeitungsregisters ist die Datenschutzkommission.

Inhalt des Datenverarbeitungsregisters

Paragraph 4,

  1. Absatz einsDas Datenverarbeitungsregister besteht aus:
    1. Ziffer eins
      den registrierten Meldungen über Auftraggeber und Datenanwendungen,
    2. Ziffer 2
      einem gesonderten Verzeichnis der Informationsverbundsysteme sowie
    3. Ziffer 3
      den Registrierungsakten.
  2. Absatz 2In den Registrierungsakt sind aufzunehmen:
    1. Ziffer eins
      die nicht-registrierte Meldung, bestehend aus den DVR-Online-Formularen und Formblättern, sowie die angeschlossenen Beilagen,
    2. Ziffer 2
      Verbesserungsaufträge,
    3. Ziffer 3
      Genehmigungsbescheide gemäß Paragraph 13, DSG 2000,
    4. Ziffer 4
      Bescheide der Datenschutzkommission über Auflagen, die gemäß Paragraph 21, Absatz 2, DSG 2000 anlässlich des Prüfungsverfahrens erteilt wurden,
    5. Ziffer 5
      sonstige Bescheide der Datenschutzkommission im Registrierungsverfahren, und
    6. Ziffer 6
      Mitteilung nach Paragraph 20, Absatz 5, DSG 2000 über die Ablehnung der Registrierung.

3. Abschnitt
Zugang und Einsicht in das Datenverarbeitungsregister

Zugang zum Datenverarbeitungsregister

Paragraph 5,

Der Zugang zum Datenverarbeitungsregister erfolgt nach Maßgabe technischer und organisatorischer Möglichkeiten über DVR-Online. Für den Fall einer Betriebsstörung sowie für manuelle Dateien ist der Zugang nach Maßgabe technischer und organisatorischer Möglichkeiten auf alternativem Weg sicherzustellen.

Einsichtnahme in das Datenverarbeitungsregister

Paragraph 6,

  1. Absatz einsÖffentlich einsehbar sind registrierte Meldungen, bestehend aus den Anlagen 1 bis3, sowie das gesonderte Verzeichnis der Informationsverbundsysteme.
  2. Absatz 2In den Registrierungsakt ist Einsicht zu gewähren, wenn der Einsichtswerber glaubhaft macht, dass er Betroffener ist, und soweit nicht überwiegende schutzwürdige Geheimhaltungsinteressen des Auftraggebers oder anderer Personen entgegenstehen. Keiner Einsicht unterliegen die Angaben über Datensicherheitsmaßnahmen.

4. Abschnitt
Meldungen an das Datenverarbeitungsregister

Form der Meldung

Paragraph 7,

  1. Absatz einsDie Meldung sowie die zugehörigen Beilagen sind in elektronischer Form über DVR-Online einzubringen. Eine Meldung in Form von E-Mail oder in nicht-elektronischer Form ist nur unter den Voraussetzungen des 8. Abschnittes zulässig. Die Meldung von manuellen Dateien kann entweder in elektronischer Form über DVR-Online oder unter den Voraussetzungen des 8. Abschnittes eingebracht werden.
  2. Absatz 2Zum Einbringen von Meldungen sowie für die Bearbeitung von Verbesserungsaufträgen ist eine Identifizierung und Authentifizierung erforderlich.
  3. Absatz 3Zur Teilnahme an einem Informationsverbundsystem, das bereits auf Grund einer Meldung von zumindest zwei Auftraggebern registriert worden ist, können weitere Auftraggeber in der Folge die Meldung im Umfang des Paragraph 19, Absatz eins, Ziffer 3 bis 7 und Absatz 2, DSG 2000 auf einen Verweis durch Übernahme des Inhalts der Meldung eines bereits registrierten Auftraggebers beschränken, wenn sie eine Teilnahme im genau gleichen Umfang anstreben.

Anlass und Zeitpunkt der Meldung

Paragraph 8,

Zum Zweck der Registrierung hat der Auftraggeber einer Datenanwendung der Datenschutzkommission gemäß Paragraphen 17 und 19 DSG 2000 zu melden:

  1. Ziffer eins
    seine Identität und seine Rechtsgrundlagen (rechtliche Befugnis oder gesetzliche Zuständigkeit) bei der erstmaligen Meldung einer Datenanwendung an die Datenschutzkommission,
  2. Ziffer 2
    jede meldepflichtige Datenanwendung vor deren Aufnahme,
  3. Ziffer 3
    jede Änderung einer meldepflichtigen, bereits registrierten Datenanwendung samt den Rechtsgrundlagen vor Aufnahme der geänderten Datenanwendung,
  4. Ziffer 4
    jede Änderung des Namens oder der sonstigen Bezeichnung oder der Anschrift des Auftraggebers, unverzüglich nach Eintritt der Änderung,
  5. Ziffer 5
    den Eintritt eines Grundes für die Streichung einer registrierten Datenanwendung, insbesondere den Wegfall ihrer Rechtsgrundlage, unverzüglich nachdem er sich ereignet hat,
  6. Ziffer 6
    den Wegfall einer geeigneten Rechtsgrundlage für die im Zusammenhang mit der Registrierung relevanten Tätigkeiten des Auftraggebers, unverzüglich nach Eintritt ihrer rechtlichen Wirksamkeit.

Inhalt der Meldung

Paragraph 9,

Für jede Neu- oder Änderungsmeldung betreffend eine Datenanwendung sind im DVR-Online-Formular die Angaben nach der Anlage 2 vollständig anzugeben; bei der Meldung einer Musteranwendung sind hiefür im DVR-Online-Formular die Angaben nach der Anlage 3 vollständig anzugeben. Meldet ein Auftraggeber erstmalig an die Datenschutzkommission oder meldet er Änderungen zu den Angaben zum Auftraggeber, so hat er zusätzlich im DVR-Online-Formular die Angaben nach der Anlage 1 auszufüllen. Die gemäß Paragraph 19, Absatz eins, Ziffer 7, DSG 2000 zu machenden allgemeinen Angaben über die getroffenen Datensicherheitsmaßnahmen sind über das DVR-Online-Formular gemäß Anlage 4 an die Datenschutzkommission zu übermitteln.

Beilagen zur Meldung

Paragraph 10,

Den Meldungen ist insbesondere beizulegen:

  1. Ziffer eins
    bei Datenanwendungen des öffentlichen Bereiches der Nachweis der gesetzlichen Zuständigkeit des Auftraggebers und sonstiger allenfalls notwendiger Rechtsgrundlagen für die Datenanwendung, soweit deren Vorhandensein nicht außer Zweifel steht,
  2. Ziffer 2
    bei Datenanwendungen des privaten Bereiches der Nachweis der Befugnis für die Ausübung der Tätigkeit des Auftraggebers oder, wenn für diese keine Befugnis erforderlich ist, eine diesbezügliche Begründung.

Registrierung

Paragraph 11,

  1. Absatz einsDie Registrierung erfolgt durch Übernahme der anlässlich der Meldung über DVR-Online ausgefüllten und im Registrierungsverfahren allenfalls verbesserten DVR-Online-Formulare gemäß Anlage 1 bis3 in das Datenverarbeitungsregister gemäß Paragraph 4, Absatz eins, Ziffer eins,
  2. Absatz 2Die Registrierung hat unverzüglich zu erfolgen, sobald
    1. Ziffer eins
      das Prüfungsverfahren die Zulässigkeit der Registrierung ergeben hat oder
    2. Ziffer 2
      zwei Monate seit dem Einlangen der Meldung bei der Datenschutzkommission verstrichen sind, ohne dass ein Verbesserungsauftrag gemäß Paragraph 20, DSG 2000 erteilt wurde, oder
    3. Ziffer 3
      der Auftraggeber die verlangten Verbesserungen vollständig und fristgerecht vorgenommen hat.
  3. Absatz 3Auflagen für die Vornahme einer Datenanwendung, die dem Auftraggeber gemäß Paragraph 21, Absatz 2, DSG 2000 anlässlich der Registrierung mit Bescheid der Datenschutzkommission erteilt wurden, sind durch Eintragung der Bescheidzahl in dem vom Auftraggeber über DVR-Online eingereichten Formular gemäß Anlage 2 von Amts wegen ersichtlich zu machen. Der Spruchinhalt ist in der Registrierung als Beilage zur Anlage 2 wiederzugeben.
  4. Absatz 4Meldungen, die der Auftraggeber als vorabkontrollpflichtig bezeichnet hat oder von diesem zulässigerweise nicht über DVR-Online eingebracht wurden, sind auf Mangelhaftigkeit im Sinne des Paragraph 19, Absatz 4, DSG 2000 zu prüfen. Ergibt die Prüfung nach Paragraph 19, Absatz 4, DSG 2000 eine Mangelhaftigkeit der Meldung, so ist dem Auftraggeber innerhalb von zwei Monaten nach Einlangen der Meldung die Verbesserung unter Setzung einer angemessenen Frist aufzutragen. Im Verbesserungsauftrag ist darauf hinzuweisen, dass für den Fall, dass dem Verbesserungsauftrag nicht entsprochen wird, die Registrierung der Meldung durch eine schriftliche Mitteilung abzulehnen ist. In die Mitteilung sind aufzunehmen:
    1. Ziffer eins
      die Punkte, in denen der Verbesserungsauftrag nicht erfüllt wurde und
    2. Ziffer 2
      der Hinweis, dass innerhalb von zwei Wochen ab Zustellung bei der Datenschutzkommission ein Antrag gestellt werden kann, über die Ablehnung mit Bescheid abzusprechen.
    Nach Absendung der Mitteilung erstattete Verbesserungen sind nicht zu berücksichtigen.

DVR-Nummer und Registrierungsnachweis

Paragraph 12,

  1. Absatz einsJedem Auftraggeber ist bei der erstmaligen Registrierung eine DVR-Nummer zuzuteilen. An ein und denselben Auftraggeber darf jeweils nur eine DVR-Nummer vergeben werden.
  2. Absatz 2Ein Auftraggeber darf nur eine DVR-Nummer führen. In jenen Fällen, in denen gemäß Paragraph 25, DSG 2000 eine DVR-Nummer zu führen ist, ist sie als siebenstellige Zahl mit der näheren Kennzeichnung „DVR“ zu führen. Zusätze zur DVR-Nummer, die der internen Bezeichnung von Datenanwendungen seitens des Auftraggebers dienen, sind zulässig; sie sind jedoch so zu gestalten, dass die DVR-Nummer als solche erkennbar bleibt.
  3. Absatz 3Die Datenschutzkommission hat dem Auftraggeber die erfolgte Registrierung einer gemeldeten Datenanwendung mitzuteilen.

Automatische Registrierung von Meldungen

Paragraph 13,

  1. Absatz einsMeldungen von Datenanwendungen, die nach Angabe des Auftraggebers keiner Vorabkontrolle gemäß Paragraph 18, Absatz 2, oder Paragraph 50 c, DSG 2000 unterliegen, sind nur automationsunterstützt auf ihre Vollständigkeit und Plausibilität zu prüfen. Zu diesem Zweck wird insbesondere geprüft, ob vom Auftraggeber keine der Voraussetzungen für eine Vorabkontrolle im Sinne des Paragraph 18, Absatz 2, oder des Paragraph 50 c, DSG 2000 angegeben wurden. Ist demnach die Meldung nicht fehlerhaft, so ist sie sofort zu registrieren.
  2. Absatz 2Wird bei der automationsunterstützten Prüfung ein Fehler der Meldung festgestellt, so ist dem Auftraggeber die Möglichkeit zur Verbesserung einzuräumen. Gleichzeitig ist er darauf hinzuweisen, dass die Meldung als nicht eingebracht gilt, wenn keine Verbesserung erfolgt oder er auf die Einbringung der unverbesserten Meldung besteht. Im letztgenannten Fall kann der Einbringer die Meldung schriftlich unter Anschluss der ausgedruckten Fehlermeldung der Datenschutzkommission übermitteln, welche die Meldung auf Mangelhaftigkeit im Sinne des Paragraph 19, Absatz 4, DSG 2000 zu prüfen hat.

5. Abschnitt
Identifizierung und Authentifizierung

Identifizierung und Authentifizierung in DVR-Online

Paragraph 14,

  1. Absatz einsDie Identifizierung und Authentifizierung erfolgt bei der Anmeldung zu DVR-Online mit der Bürgerkarte oder über das Unternehmensserviceportal oder über technische Voraussetzungen, die auch eine Einbeziehung von Anwendungen der Gebietskörperschaften, sonstiger Körperschaften des öffentlichen Rechts oder anderer staatliche Aufgaben besorgender Institutionen ermöglichen (Portalverbund).
  2. Absatz 2Es ist sicherzustellen, dass alle verfügbaren technischen Umsetzungen der Bürgerkarte verwendet werden können, einschließlich jener mittels Mobiltelefon (Handy-Signatur).

Vertretung des Auftraggebers

Paragraph 15,

Soll vertretungsweise eine Meldung an das Datenverarbeitungsregister erfolgen und ist dafür die Verwendung der Bürgerkarte mit Vertretungsvollmacht nicht möglich und wird auch keine andere Voraussetzung gemäß Paragraph 14, Absatz eins, verwendet, muss das Vertretungsrecht für diesen Auftraggeber bei der Datenschutzkommission beantragt und nachgewiesen werden. Die Rechte der zur berufsmäßigen Parteienvertretung befugten Person nach Paragraph 10, Absatz eins, des Allgemeinen Verwaltungsverfahrensgesetzes 1991 – AVG, Bundesgesetzblatt Nr. 51 aus 1991,, in der Fassung des Bundesgesetzes Bundesgesetzblatt Teil eins, Nr. 100 aus 2011,, bleiben davon unberührt.

6. Abschnitt
Informationsverbundsysteme

Verzeichnis der Informationsverbundsysteme

Paragraph 16,

  1. Absatz einsAus den der Datenschutzkommission erstatteten Meldungen über Datenanwendungen, die die Teilnahme an einem Informationsverbundsystem zum Inhalt haben, hat die Datenschutzkommission ein über DVR-Online geführtes Verzeichnis der Informationsverbundsysteme zu erstellen, das die im Absatz 2, bezeichneten Informationen auf dem jeweils neuesten Stand enthält.
  2. Absatz 2Das Verzeichnis der Informationsverbundsysteme hat folgende Angaben zu enthalten:
    1. Ziffer eins
      Bezeichnung und Zweck des Informationsverbundsystems,
    2. Ziffer 2
      Rechtsgrundlagen des Systems,
    3. Ziffer 3
      Name oder sonstige Bezeichnung und Anschrift, weiters Telefonnummer sowie E-Mail-Adresse des Betreibers,
    4. Ziffer 4
      Liste der am Informationsverbundsystem teilnehmenden Auftraggeber,
    5. Ziffer 5
      die in der Anlage 2 unter Punkt 7 bis 9 verlangten Meldeangaben mit Bezug auf das gesamte Informationsverbundsystem sowie
    6. Ziffer 6
      allfällige Auflagen, Bedingungen oder Befristungen für die Führung des Informationsverbundsystems, die gemäß Paragraph 21, Absatz 2, DSG 2000 von der Datenschutzkommission erteilt wurden.
  3. Absatz 3Die Datenschutzkommission kann die Eintragung weiterer Angaben anordnen, soweit dies zur zweckmäßigen Organisation und Führung des Verzeichnisses der Informationsverbundsysteme notwendig ist.
  4. Absatz 4Weitere Angaben gemäß Paragraph 50, Absatz 2, DSG 2000 sind auf Antrag der Auftraggeber bzw. ihres ausgewiesenen Vertreters einzutragen.

7. Abschnitt
Führung des Datenverarbeitungsregisters

Richtigstellung des Datenverarbeitungsregisters

Paragraph 17,

  1. Absatz einsErlangt die Datenschutzkommission aus amtlichen Verlautbarungen davon Kenntnis, dass ein eingetragener Auftraggeber verstorben oder untergegangen ist, ist die Streichung aus dem Datenverarbeitungsregister von Amts wegen durchzuführen.
  2. Absatz 2Die Datenschutzkommission kann Schreibfehler oder diesen gleichzuhaltende, offenbar auf einem Versehen oder offenbar ausschließlich auf technisch mangelhaftem Betrieb einer automationsunterstützten Datenverarbeitungsanlage beruhende Unrichtigkeiten im Datenverarbeitungsregister jederzeit von Amts wegen berichtigen. Der betroffene Auftraggeber ist von der Richtigstellung zu verständigen.

Übernahme der DVR-Nummer bei Rechtsnachfolge

Paragraph 18,

Der Rechtsnachfolger eines registrierten Auftraggebers kann einzelne oder alle registrierten Meldungen des Rechtsvorgängers übernehmen, wenn er innerhalb von sechs Monaten nach Wirksamkeit der Rechtsnachfolge eine entsprechend glaubhaft gemachte Erklärung gegenüber der Datenschutzkommission abgibt. Dem Rechtsnachfolger kann auf Antrag auch die DVR-Nummer des Rechtsvorgängers übertragen werden, wenn der Rechtsvorgänger jegliche Verarbeitung personenbezogener Daten in der Auftraggebereigenschaft eingestellt hat.

Aufbewahrung von Inhalten des Datenverarbeitungsregisters und der Registrierungsakten

Paragraph 19,

Inhalte des Datenverarbeitungsregisters zu registrierten Meldungen über Auftraggeber und Datenanwendungen, die in Papierform vorhanden und zusätzlich auf elektronischen Datenträgern gespeichert sind, müssen nur in elektronischer Form aufbewahrt werden. Die nur in Papierform vorhandenen Inhalte des Datenverarbeitungsregisters müssen weiterhin aufbewahrt werden.

8. Abschnitt
Meldung und Registrierung bei Betriebsstörungen und für manuelle Dateien

Anwendungsbereich

Paragraph 20,

  1. Absatz einsEine Meldung in Form von E-Mail oder in nicht-elektronischer Form ist nur für manuelle Dateien, soweit deren Inhalte zumindest einen der Tatbestände des Paragraph 18, Absatz 2, Ziffer eins bis 3 DSG 2000 erfüllen und daher meldepflichtig sind, sowie bei einem länger als 48 Stunden durchgehend andauernden technischen Ausfall von DVR-Online zulässig. Einem solchen durchgehend andauernden technischen Ausfall wird jener Fall gleichgehalten, in dem der technische Ausfall in einem länger als 48 Stunden dauernden Zeitraum wiederholt über eine Dauer von mehreren Stunden auftritt. Für die Fälle einer derartigen Betriebsstörung und für die Meldung von meldepflichtigen manuellen Dateien finden die Bestimmungen des 3. bis 5. Abschnittes mit den in den Paragraphen 21 und 22 angeführten Änderungen Anwendung.
  2. Absatz 2Der Fristenlauf für eine Verbesserung der Meldung ist für die Dauer eines technischen Ausfalls gehemmt. Es besteht die Möglichkeit, im Fall eines länger als 48 Stunden andauernden technischen Ausfalls die Verbesserung in Form von E-Mail oder in nicht-elektronischer Form einzubringen.

Meldungen bei Betriebsstörungen und für manuelle Dateien

Paragraph 21,

  1. Absatz einsZur Meldung bei Betriebsstörungen und für manuelle Dateien hat die Datenschutzkommission Formblätter mit dem Inhalt der Anlagen 1 bis 4 aufzulegen, deren formale Ausgestaltung von der Datenschutzkommission entsprechend den jeweiligen Erfordernissen festgelegt wird. Die Formblätter sind auch in elektronischer Form zur Verfügung zu stellen. Die Meldepflichtigen haben ihre Meldungen mit Hilfe der aufgelegten Formblätter zu erstatten. Soweit dies nach Maßgabe technischer und organisatorischer Möglichkeiten des Auftraggebers und im Rahmen einer Betriebsstörung technisch möglich ist, sind Meldungen in elektronischer Form einzubringen.
  2. Absatz 2Für jede Neu- oder Änderungsmeldung betreffend eine Datenanwendung ist ein Formblatt „Meldung einer Datenanwendung“ gemäß Anlage 2 und das Formblatt „Allgemeine Angaben zu ergriffenen Datensicherheitsmaßnahmen“ gemäß Anlage 4 vollständig auszufüllen; bei der Meldung einer Musteranwendung ist hiefür das Formblatt „Meldung einer Musteranwendung“ gemäß Anlage 3 zu verwenden. Meldet ein Auftraggeber erstmalig an die Datenschutzkommission, so hat er zusätzlich das Formblatt „Angaben zum Auftraggeber“ gemäß Anlage 1 auszufüllen. Dieses Formblatt ist auch bei Änderungen von Angaben zum Auftraggeber zu verwenden.
  3. Absatz 3Weist eine Meldung keine eigenhändige und urschriftliche Unterschrift auf, so kann die Datenschutzkommission, wenn sie Zweifel daran hat, dass die Meldung von dem darin genannten Auftraggeber stammt, eine Bestätigung durch ein innerhalb angemessener Frist vorzulegendes schriftliches Anbringen mit eigenhändiger und urschriftlicher Unterschrift auftragen. Nach fruchtlosem Ablauf der von der Datenschutzkommission bestimmten Frist ist das Anbringen nicht mehr zu behandeln.

Registrierung bei Betriebsstörungen und für manuelle Dateien

Paragraph 22,

  1. Absatz einsDie Registrierung erfolgt durch Übernahme der anlässlich der Meldung vorgelegten und im Registrierungsverfahren allenfalls verbesserten Formblätter gemäß Anlage 1 bis 3 in das Datenverarbeitungsregister gemäß Paragraph 4, Absatz eins, Ziffer eins, Die Registrierung hat unverzüglich zu erfolgen, sobald
    1. Ziffer eins
      das Prüfungsverfahren die Zulässigkeit der Registrierung ergeben hat oder
    2. Ziffer 2
      zwei Monate seit dem Einlangen der Meldung bei der Datenschutzkommission verstrichen sind, ohne dass ein Verbesserungsauftrag gemäß Paragraph 20, DSG 2000 erteilt wurde, oder
    3. Ziffer 3
      der Auftraggeber die verlangten Verbesserungen fristgerecht vorgenommen hat.
  2. Absatz 2Auflagen für die Vornahme einer Datenanwendung, die dem Auftraggeber gemäß Paragraph 21, Absatz 2, DSG 2000 anlässlich der Registrierung mit Bescheid der Datenschutzkommission erteilt wurden, sind durch Eintragung der Bescheidzahl in dem vom Auftraggeber eingereichten Formblatt gemäß Anlage 2 von Amts wegen ersichtlich zu machen. Der Spruchinhalt ist in der Registrierung wiederzugeben.
  3. Absatz 3Die Vornahme der Registrierung ist dem Auftraggeber schriftlich mitzuteilen.
  4. Absatz 4Jedem Auftraggeber ist bei der erstmaligen Registrierung eine DVR-Nummer zuzuteilen. Diese Nummer wird dem Auftraggeber schriftlich bekannt gegeben. An einen Auftraggeber darf nur eine DVR-Nummer vergeben werden.

9. Abschnitt
Schlussbestimmungen

Verfahrensvorschriften

Paragraph 23,

Auf das Registrierungsverfahren ist gemäß Art. römisch eins Absatz 2, des Einführungsgesetzes zu den Verwaltungsverfahrensgesetzen 2008 – EGVG, Bundesgesetzblatt Teil eins, Nr. 87 aus 2008,, in der Fassung des Bundesgesetzes Bundesgesetzblatt Teil eins, Nr. 53 aus 2012,, das AVG anzuwenden, soweit das DSG 2000 nicht ausdrücklich anderes bestimmt.

Inkrafttreten

Paragraph 24,

  1. Absatz einsDiese Verordnung tritt mit 1. September 2012 in Kraft; gleichzeitig tritt die Datenverarbeitungsregister-Verordnung 2002 – DVRV 2002, Bundesgesetzblatt Teil 2, Nr. 24 aus 2002,, außer Kraft.
  2. Absatz 2Im Zeitpunkt des Inkrafttretens dieser Verordnung im Datenverarbeitungsregister anhängige Verfahren sind nach der DVRV 2002 zu Ende zu führen.

Faymann

Anlage 1

Inhalt des DVR-Online-Formulars und des Formblattes „Angaben zum Auftraggeber“

  1. Ziffer eins
    Angabe, ob Erst-, Änderungs- oder Streichungsmeldung
  2. Ziffer 2
    DVR-Nummer (sofern vorhanden)
  3. Ziffer 3
    Name oder sonstige Bezeichnung und Anschrift, weiters Telefonnummer sowie E-Mail-Adresse des Auftraggebers
  4. Ziffer 4
    Rechtsgrundlagen des Auftraggebers im Sinne des Paragraph 7, Absatz eins, DSG 2000
  5. Ziffer 5
    Nummer des Registers bei Auftraggebern, die aufgrund ihrer Tätigkeit in einem öffentlichen Register eingetragen sind (sofern vorhanden)
  6. Ziffer 6
    Name oder sonstige Bezeichnung und Anschrift des Vertreters eines Auftraggebers, der keine Niederlassung in der Europäischen Union hat
  7. Ziffer 7
    Name, Anschrift und E-Mail-Adresse eines allfälligen Zustellungsbevollmächtigten
  8. Ziffer 8
    Name und Telefonnummer des allfälligen Sachbearbeiters beim Auftraggeber
  9. Ziffer 9
    Angaben über die Beilagen zur Meldung

Anlage 2

Inhalt des DVR-Online-Formulars und des Formblattes „Meldung einer Datenanwendung“

  1. Ziffer eins
    Angabe, ob Neu-, Änderungs- oder Streichungsmeldung (bei Streichungsmeldung verkürztes DVR-Online-Formular möglich)
  2. Ziffer 2
    DVR-Nummer (sofern eine solche bereits zugeteilt wurde)
  3. Ziffer 3
    Name oder sonstige Bezeichnung und Anschrift, weiters Telefonnummer sowie E-Mail-Adresse des Auftraggebers
  4. Ziffer 4
    Name, Anschrift und E-Mail-Adresse eines allfälligen Zustellungsbevollmächtigten
  5. Ziffer 5
    Name und Telefonnummer des allfälligen Sachbearbeiters beim Auftraggeber
  6. Ziffer 6
    Bezeichnung und Zweck der Datenanwendung
  7. Ziffer 7
    allgemeine Angaben zur Datenanwendung betreffend:
    1. Litera a
      besondere Rechtsgrundlagen der Datenanwendung, soweit sich diese nicht bereits aus den allgemeinen Rechtsgrundlagen des Auftraggebers ergeben
    2. Litera b
      Zugehörigkeit zum öffentlichen oder privaten Bereich
    3. Litera c
      Vorliegen automationsunterstützter oder manueller Datenanwendung
    4. Litera d
      Anwendbarkeit der Vorabkontrolle:
      1. Sub-Litera, a, a
        Verwendung von sensiblen Daten
      2. Sub-Litera, b, b
        Verwendung von strafrechtlich relevanten Daten
      3. Sub-Litera, c, c
        Vorliegen eines Kreditinformationssystems
      4. Sub-Litera, d, d
        Teilnahme an einem Informationsverbundsystem
      5. Sub-Litera, e, e
        Videoüberwachung (gemäß Paragraph 50 c, DSG 2000)
  8. Ziffer 8
    im Falle, dass die Datenanwendung die Teilnahme an einem Informationsverbundsystem darstellt:
    1. Litera a
      Bezeichnung des gesamten Informationsverbundsystems
    2. Litera b
      Rechtsgrundlagen des gesamten Informationsverbundsystems, soweit sich diese nicht bereits aus den Angaben zu Punkt 7a) ergeben und
    3. Litera c
      Name oder sonstige Bezeichnung und Anschrift, weiters Telefonnummer sowie E-Mail-Adresse des Betreibers
  9. Ziffer 9
    besondere Angaben zum Inhalt der Datenanwendung:
    1. Litera a
      die Kreise der von der Datenanwendung Betroffenen und die über sie verarbeiteten Datenarten
    2. Litera b
      im Falle von beabsichtigten Übermittlungen:
      1. Sub-Litera, a, a
        die Kreise der Betroffenen
      2. Sub-Litera, b, b
        die zu übermittelnden Datenarten
      3. Sub-Litera, c, c
        die zugehörigen Empfängerkreise einschließlich Angaben über allfällige ausländische Empfängerstaaten sowie Zugehörigkeit der Übermittlungsempfänger zum gleichen Informationsverbundsystem
      4. Sub-Litera, d, d
        die Rechtsgrundlagen der Übermittlungen
  10. Ziffer 10
    Geschäftszahlen der Bescheide der Datenschutzkommission, mit welchen Auflagen, Bedingungen oder Befristungen gemäß Paragraph 21, Absatz 2, DSG 2000 erteilt wurden (diese sind vom Datenverarbeitungsregister anlässlich der Registrierung einzutragen)
  11. Ziffer 11
    soweit eine Genehmigung der Datenschutzkommission für Datenübermittlungen oder Überlassungen ins Ausland notwendig ist, die Geschäftszahl der Genehmigung durch die Datenschutzkommission
  12. Ziffer 12
    Angaben über die Beilagen zur Meldung

Anlage 3

Inhalt des DVR-Online-Formulars (elektronisches Muster) und des Formblattes „Meldung einer Musteranwendung“

  1. Ziffer eins
    Angabe, ob Neu-, Änderungs- oder Streichungsmeldung
  2. Ziffer 2
    DVR-Nummer (sofern eine solche bereits zugeteilt wurde)
  3. Ziffer 3
    Name oder sonstige Bezeichnung und Anschrift, weiters Telefonnummer sowie E-Mail-Adresse des Auftraggebers
  4. Ziffer 4
    Bezeichnung der Musteranwendung
  5. Ziffer 5
    Angaben über die Beilagen zur Meldung

Anlage 4

Inhalt des DVR-Online-Formulars und des Formblattes „Allgemeine Angaben zu ergriffenen Datensicherheitsmaßnahmen“

Es ist insbesondere anzugeben, ob

  1. Ziffer eins
    die Aufgabenverteilung bei der Datenverwendung zwischen den Organisationseinheiten und zwischen den Mitarbeitern ausdrücklich festgelegt ist,
  2. Ziffer 2
    die Verwendung von Daten an das Vorliegen gültiger Aufträge der anordnungsbefugten Organisationseinheiten und Mitarbeiter gebunden ist,
  3. Ziffer 3
    jeder Mitarbeiter über seine nach dem DSG 2000 und nach innerorganisatorischen Datenschutzvorschriften einschließlich der Datensicherheitsvorschriften bestehenden Pflichten belehrt wurde,
  4. Ziffer 4
    die Zutrittsberechtigung zu den Räumlichkeiten des Auftraggebers oder Dienstleisters, in denen Daten und Programme verwendet werden, geregelt wurde und Maßnahmen gegen den Zutritt Unbefugter ergriffen wurden,
  5. Ziffer 5
    die Zugriffsberechtigung auf Daten und Programme und der Schutz der Datenträger vor der Einsicht und Verwendung durch Unbefugte geregelt ist,
  6. Ziffer 6
    die Berechtigung zum Betrieb der Datenverarbeitungsgeräte festgelegt ist und jedes Gerät durch Vorkehrungen bei den eingesetzten Maschinen oder Programmen gegen die unbefugte Inbetriebnahme abgesichert ist,
  7. Ziffer 7
    Protokoll geführt wird, damit Verwendungen von Daten, wie insbesondere Änderungen, Abfragen und Übermittlungen von Daten, auf ihre Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können,
  8. Ziffer 8
    zur Erleichterung der Kontrolle und Beweissicherung eine Dokumentation über die nach Ziffer eins bis 7 getroffenen Maßnahmen geführt wird.