BUNDESGESETZBLATT
FÜR DIE REPUBLIK ÖSTERREICH

Jahrgang 2018

Ausgegeben am 23. Mai 2018

Teil II

107. Verordnung:

Pflichtenaufteilungsverordnung und Änderung der IKT-Nutzungsverordnung

107. Verordnung der Bundesregierung, mit der eine Pflichtenaufteilungsverordnung erlassen und die IKT-Nutzungsverordnung geändert wird

Artikel I
Verordnung der Bundesregierung über die Aufteilung der Pflichten gemeinsam Verantwortlicher nach den Bestimmungen der Datenschutz-Grundverordnung für standardisierte IKT-Lösungen und IT-Verfahren des Personalmanagements des Bundes (Pflichtenaufteilungsverordnung – PAV)

Auf Grund des Paragraph 280 b, Absatz 2, des Beamten-Dienstrechtsgesetzes 1979 – BDG 1979, Bundesgesetzblatt Nr. 333 aus 1979,, zuletzt geändert durch das Materien-Datenschutz-Anpassungsgesetz 2018, Bundesgesetzblatt Teil eins, Nr. 32 aus 2018,, wird verordnet:

Gegenstand

Paragraph eins,

Diese Verordnung regelt die Aufteilung der Pflichten für Bereiche, in denen die Leiterinnen und Leiter der Zentralstellen jeweils mit der Bundeskanzlerin oder dem Bundeskanzler oder mit der Bundeskanzlerin oder dem Bundeskanzler und der Bundesministerin oder dem Bundesminister für öffentlichen Dienst und Sport gemeinsam Verantwortliche gemäß Artikel 4, Ziffer 7, in Verbindung mit Artikel 26, der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (im Folgenden: DSGVO), ABl. Nr. L 119 vom 04.05.2016 S. 1, in der Fassung der Berichtigung ABl. Nr. L 314 vom 22.11.2016 S. 72, sind, soweit standardisierte IKT-Lösungen und IT-Verfahren für das Personalmanagement des Bundes zur Anwendung gelangen.

Informationsaustausch

Paragraph 2,

Gemeinsam Verantwortliche haben einander folgende Informationen bekannt zu geben:

  1. Ziffer eins
    Name und Kontaktdaten des Verantwortlichen,
  2. Ziffer 2
    Name und Kontaktdaten der Vertreterin oder des Vertreters des Verantwortlichen,
  3. Ziffer 3
    Name und Kontaktdaten der oder des Datenschutzbeauftragten und
  4. Ziffer 4
    Bezeichnung und Kontaktdaten der innerorganisatorisch zuständigen Stelle, der personenbezogene Daten und besondere Kategorien personenbezogener Daten im Zusammenhang mit der Geltendmachung von Rechten betroffener Personen sowie sonstige Informationen zur Erfüllung der rechtlichen Verpflichtungen oder der Geltendmachung von Rechten gemäß DSGVO übermittelt werden dürfen.

Aufteilung der Pflichten gemäß DSGVO

Paragraph 3,

  1. Absatz einsDie sich aus der DSGVO ergebenden Pflichten, insbesondere im Zusammenhang mit den Rechten der betroffenen Personen, sind, soweit diese Verordnung nicht ausdrücklich anderes regelt, von der Leiterin oder dem Leiter der Zentralstelle wahrzunehmen, die oder der mit der Bundeskanzlerin oder dem Bundeskanzler gemeinsam Verantwortlicher ist.
  2. Absatz 2Die Bundeskanzlerin oder der Bundeskanzler richtet im ESS-Serviceportal des Bundes einen Bereich zur Information gemäß DSGVO ein. Sie oder er erfüllt die Informationspflichten gemäß DSGVO in Bezug auf jene Personen in einem aktiven Rechtsverhältnis gemäß Paragraph 280, Absatz eins, Beamten-Dienstrechtsgesetz 1979 – BDG 1979, Bundesgesetzblatt Nr. 333 aus 1979,, die am 25. Mai 2018 einen aktivierten Zugang zum ESS-Serviceportal des Bundes haben und nicht von Paragraph 5, Absatz 3, Bundespensionsamtübertragungs-Gesetz, Bundesgesetzblatt Teil eins, Nr. 89 aus 2006,, erfasst sind (Erstinformation). Insbesondere sind Personen, die am 25. Mai 2018 in keinem aktiven Rechtsverhältnis gemäß Paragraph 280, Absatz eins, BDG 1979 standen oder Personen, die am 25. Mai 2018 keinen aktivierten Zugang zum ESS-Serviceportal des Bundes hatten, von der Leiterin oder dem Leiter der Zentralstelle zu informieren, die oder der mit der Bundeskanzlerin oder dem Bundeskanzler gemeinsam Verantwortlicher ist.
  3. Absatz 3Macht eine betroffene Person ihre Rechte gemäß DSGVO geltend, so haben dies die gemeinsam Verantwortlichen einander unverzüglich mitzuteilen. Erforderlichenfalls haben gemeinsam Verantwortliche einander bei der Erfüllung der Pflichten gemäß DSGVO zu unterstützen.
  4. Absatz 4Die Bundeskanzlerin oder der Bundeskanzler hat der Leiterin oder dem Leiter der Zentralstelle, die mit der Bundeskanzlerin oder dem Bundeskanzler gemeinsam Verantwortlicher ist, in Bezug auf die in den IKT-Lösungen und IT-Verfahren für das Personalmanagement des Bundes verarbeiteten personenbezogenen Daten oder besonderen Kategorien personenbezogener Daten standardisierte Berichte und Abfragen für die Erfüllung der Pflichten gemäß DSGVO zur Verfügung zu stellen. Die Bundeskanzlerin oder der Bundeskanzler hat die Leiterin oder den Leiter der jeweiligen Zentralstelle nach Bekanntgabe der durchgeführten standardisierten Berichte und Abfragen in Bezug auf die in den IKT-Lösungen und IT-Verfahren für das Personalmanagement des Bundes über die Vollständigkeit der darin enthaltenen personenbezogenen Daten und besonderen Kategorien personenbezogener Daten zu informieren. Soweit diese Daten einer betroffenen Person nicht vollständig aus den durchgeführten standardisierten Berichten und Abfragen hervorgehen, hat die Bundeskanzlerin oder der Bundeskanzler der Leiterin oder dem Leiter der jeweiligen Zentralstelle diese Daten zur Verfügung zu stellen.

Aufteilung der Pflichten gemäß DSGVO im Bereich Bewerbungsmanagement und Jobbörse

Paragraph 4,

  1. Absatz einsDie sich aus der DSGVO ergebenden Pflichten, insbesondere im Zusammenhang mit den Rechten der betroffenen Personen, sind, soweit diese Verordnung nicht ausdrücklich anderes regelt, von der Leiterin oder dem Leiter der Zentralstelle wahrzunehmen, die oder der mit der Bundeskanzlerin oder dem Bundeskanzler und der Bundesministerin oder dem Bundesminister für öffentlichen Dienst und Sport gemeinsam Verantwortlicher ist.
  2. Absatz 2Die Bundesministerin oder der Bundesminister für öffentlichen Dienst und Sport erstellt für das Bewerbungsmanagement und die Jobbörse eine Information, die bei der Registrierung als Bewerberin oder Bewerber aufscheint und die Informationspflichten gemäß DSGVO erfüllt.
  3. Absatz 3Macht eine betroffene Person ihre Rechte gemäß DSGVO geltend, so haben dies die gemeinsam Verantwortlichen einander unverzüglich mitzuteilen. Erforderlichenfalls haben gemeinsam Verantwortliche einander bei der Erfüllung der Pflichten gemäß DSGVO zu unterstützen.
  4. Absatz 4Die Bundeskanzlerin oder der Bundeskanzler hat der Leiterin oder dem Leiter der Zentralstelle, die mit der Bundeskanzlerin oder dem Bundeskanzler und der Bundesministerin oder dem Bundesminister für öffentlichen Dienst und Sport gemeinsam Verantwortlicher ist, in Bezug auf die in den IKT-Lösungen und IT-Verfahren für das Personalmanagement des Bundes verarbeiteten personenbezogenen Daten oder besonderen Kategorien personenbezogener Daten standardisierte Berichte und Abfragen für die Erfüllung der Pflichten gemäß DSGVO zur Verfügung zu stellen. Die Bundeskanzlerin oder der Bundeskanzler hat die Leiterin oder den Leiter der jeweiligen Zentralstelle und die Bundesministerin oder den Bundesminister für öffentlichen Dienst und Sport nach Bekanntgabe der durchgeführten standardisierten Berichte und Abfragen in Bezug auf die in den IKT-Lösungen und IT-Verfahren für das Personalmanagement des Bundes über die Vollständigkeit der darin enthaltenen personenbezogenen Daten und besonderen Kategorien personenbezogener Daten zu informieren. Soweit diese Daten einer betroffenen Person nicht vollständig aus den durchgeführten standardisierten Berichten und Abfragen hervorgehen, haben die Bundeskanzlerin oder der Bundeskanzler und die Bundesministerin oder der Bundesminister für öffentlichen Dienst und Sport jeweils im Rahmen ihrer Zuständigkeit der Leiterin oder dem Leiter der jeweiligen Zentralstelle diese Daten zur Verfügung zu stellen.

Verzeichnis von Verarbeitungstätigkeiten

Paragraph 5,

Die Bundeskanzlerin oder der Bundeskanzler führt bezüglich der IKT-Lösungen und IT-Verfahren für das Personalmanagement des Bundes ein Verzeichnis von Verarbeitungstätigkeiten gemäß Artikel 30, DSGVO und stellt dieses Verzeichnis den jeweils gemeinsam Verantwortlichen und auf Anfrage der Datenschutzbehörde in diesem Umfang zur Verfügung.

Schlussbestimmungen

Paragraph 6,

Diese Verordnung tritt mit 25. Mai 2018 in Kraft.

Artikel II
Änderung der IKT-Nutzungsverordnung (IKT-NV)

Auf Grund des Paragraph 79 d, des Beamten-Dienstrechtsgesetzes 1979 – BDG 1979, Bundesgesetzblatt Nr. 333 aus 1979,, zuletzt geändert durch das Materien-Datenschutz-Anpassungsgesetz 2018, Bundesgesetzblatt Teil eins, Nr. 32 aus 2018,, und des Paragraph 29 n, des Vertragsbedienstetengesetzes 1948 – VBG, Bundesgesetzblatt Nr. 86 aus 1948,, zuletzt geändert durch das Materien-Datenschutz-Anpassungsgesetz 2018, Bundesgesetzblatt Teil eins, Nr. 32 aus 2018,, wird verordnet:

Die IKT-Nutzungsverordnung – IKT-NV, Bundesgesetzblatt Teil 2, Nr. 281 aus 2009,, wird wie folgt geändert:

Novellierungsanordnung 1, Nach Paragraph 5, wird folgender Paragraph 5 a, samt Überschrift eingefügt:

„Soziale Medien

Paragraph 5 a,

  1. Absatz einsDie Bediensteten dürfen die Registrierungen und Profile des Dienstgebers in sozialen Medien nicht für private Zwecke verwenden, soweit nicht durch ressort- oder arbeitsplatzspezifische Nutzungsregelungen Abweichendes festgelegt ist.
  2. Absatz 2Bedienstete dürfen im Rahmen der Verwendung privater Registrierungen und Profile in sozialen Medien nicht den Anschein erwecken, dass die Nutzung im Namen, Interesse oder mit Wissen des Dienstgebers vorgenommen wird.
  3. Absatz 3Darüber hinaus gelten die Paragraphen 3 bis 5 sinngemäß für die Verwendung von Registrierungen und Profilen in sozialen Medien.“

Novellierungsanordnung 2, In Paragraph 6, wird der Ausdruck „4 und 5“ durch den Ausdruck „3 bis 5a“ ersetzt.

3. In Paragraph 7, Absatz eins, wird die Wortfolge „des Datenschutzgesetzes 2000, Bundesgesetzblatt Teil eins, Nr. 165 aus 1999,,“ durch die Wortfolge „der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1, in der Fassung der Berichtigung ABl. Nr. L 314 vom 22.11.2016 S. 72, des Datenschutzgesetzes, Bundesgesetzblatt Teil eins, Nr. 165 aus 1999,, und der weiteren datenschutzrechtlichen Vorgaben“ ersetzt.

Novellierungsanordnung 4, Nach Paragraph 7, wird folgender Paragraph 8, samt Überschrift eingefügt:

„Schlussbestimmungen

Paragraph 8,

  1. Absatz einsParagraph 5 a, samt Überschrift, Paragraph 6,, Paragraph 7, Absatz eins und Paragraph 8, samt Überschrift in der Fassung der Verordnung Bundesgesetzblatt Teil 2, Nr. 107 aus 2018, treten mit 25. Mai 2018 in Kraft.“

Kurz   Strache   Hartinger-Klein   Faßmann   Schramböck   Blümel   Kneissl   Löger
Bogner-Strauß   Kickl   Kunasek   Köstinger   Moser   Hofer