Bundesgesetz über den Schutz personenbezogener Daten (Datenschutzgesetz – DSG) | Federal Act concerning the Protection of Personal Data (DSG) |
StF: BGBl. I Nr. 165/1999 (NR: GP XX RV 1613 AB 2028 S. 179. BR: 5992 AB 6034 S. 657.) [CELEX-Nr.: 395L0046] Stammfassung, Bundesgesetzblatt Teil eins, Nr. 165 aus 1999, Nationalrat:, Gesetzgebungsperiode römisch XX Regierungsvorlage 1613 Ausschussbericht 2028 Sitzung 179. Bundesrat:, 5992 Ausschussbericht 6034 Sitzung 657.) [CELEX-Nr.: 395L0046] | ⇐ Original version |
Änderung | as amended by: |
BGBl. I Nr. 136/2001 (NR: GP XXI RV 742 AB 824 S. 81. BR: 6458 AB 6459 S. 681.)Bundesgesetzblatt Teil eins, Nr. 136 aus 2001, Nationalrat:, Gesetzgebungsperiode römisch 21 Regierungsvorlage 742 Ausschussbericht 824 Sitzung 81. Bundesrat:, 6458 Ausschussbericht 6459 Sitzung 681.) | (list of amendments published in the Federal Law Gazette [F. L. G. = BGBl.]) |
BGBl. I Nr. 13/2005 (NR: GP XXII IA 515/A AB 821 S. 96. BR: AB 7228 S. 719.)Bundesgesetzblatt Teil eins, Nr. 13 aus 2005, Nationalrat:, Gesetzgebungsperiode römisch 22 IA 515/A Ausschussbericht 821 Sitzung 96. Bundesrat:, Ausschussbericht 7228 Sitzung 719.) | |
BGBl. I Nr. 2/2008 (1. BVRBG) (NR: GP XXIII RV 314 AB 370 S. 41. BR: 7799 AB 7830 S. 751.)Bundesgesetzblatt Teil eins, Nr. 2 aus 2008, (1. BVRBG) Nationalrat:, Gesetzgebungsperiode römisch 23 Regierungsvorlage 314 Ausschussbericht 370 Sitzung 41. Bundesrat:, 7799 Ausschussbericht 7830 Sitzung 751.) | |
BGBl. I Nr. 133/2009 (NR: GP XXIV RV 472 AB 531 S. 49. BR: 8220 AB 8225 S. 780.)Bundesgesetzblatt Teil eins, Nr. 133 aus 2009, Nationalrat:, Gesetzgebungsperiode römisch 24 Regierungsvorlage 472 Ausschussbericht 531 Sitzung 49. Bundesrat:, 8220 Ausschussbericht 8225 Sitzung 780.) | |
BGBl. I Nr. 135/2009 (NR: GP XXIV RV 485 AB 558 S. 49. BR: 8217 AB 8228 S. 780.)Bundesgesetzblatt Teil eins, Nr. 135 aus 2009, Nationalrat:, Gesetzgebungsperiode römisch 24 Regierungsvorlage 485 Ausschussbericht 558 Sitzung 49. Bundesrat:, 8217 Ausschussbericht 8228 Sitzung 780.) | |
BGBl. I Nr. 112/2011 (NR: GP XXIV RV 1494 AB 1500 S. 130. BR: 8602 AB 8603 S. 802.) [CELEX-Nr.: 32009L0133, 32010L0024]Bundesgesetzblatt Teil eins, Nr. 112 aus 2011, Nationalrat:, Gesetzgebungsperiode römisch 24 Regierungsvorlage 1494 Ausschussbericht 1500 Sitzung 130. Bundesrat:, 8602 Ausschussbericht 8603 Sitzung 802.) [CELEX-Nr.: 32009L0133, 32010L0024] | |
BGBl. I Nr. 51/2012 (NR: GP XXIV RV 1618 AB 1771 S. 155. BR: 8730 AB 8731 S. 809.)Bundesgesetzblatt Teil eins, Nr. 51 aus 2012, Nationalrat:, Gesetzgebungsperiode römisch 24 Regierungsvorlage 1618 Ausschussbericht 1771 Sitzung 155. Bundesrat:, 8730 Ausschussbericht 8731 Sitzung 809.) | |
BGBl. I Nr. 57/2013 (NR: GP XXIV RV 2131 AB 2245 S. 194. BR: AB 8940 S. 819.)Bundesgesetzblatt Teil eins, Nr. 57 aus 2013, Nationalrat:, Gesetzgebungsperiode römisch 24 Regierungsvorlage 2131 Ausschussbericht 2245 Sitzung 194. Bundesrat:, Ausschussbericht 8940 Sitzung 819.) | |
BGBl. I Nr. 83/2013 (NR: GP XXIV RV 2168 AB 2268 S. 200. BR: AB 8968 S. 820.) [CELEX-Nr.: 31995L0046]Bundesgesetzblatt Teil eins, Nr. 83 aus 2013, Nationalrat:, Gesetzgebungsperiode römisch 24 Regierungsvorlage 2168 Ausschussbericht 2268 Sitzung 200. Bundesrat:, Ausschussbericht 8968 Sitzung 820.) [CELEX-Nr.: 31995L0046] | |
BGBl. I Nr. 132/2015 (VfGH)Bundesgesetzblatt Teil eins, Nr. 132 aus 2015, (VfGH) | |
BGBl. I Nr. 120/2017 (NR: GP XXV RV 1664 AB 1761 S. 190. BR: 9824 AB 9856 S. 871.) [CELEX-Nr.: 32016L0680]Bundesgesetzblatt Teil eins, Nr. 120 aus 2017, Nationalrat:, Gesetzgebungsperiode römisch 25 Regierungsvorlage 1664 Ausschussbericht 1761 Sitzung 190. Bundesrat:, 9824 Ausschussbericht 9856 Sitzung 871.) [CELEX-Nr.: 32016L0680] | |
BGBl. I Nr. 23/2018 (NR: GP XXVI IA 188/A AB 99 S. 21. BR: AB 9958 S. 879.)Bundesgesetzblatt Teil eins, Nr. 23 aus 2018, Nationalrat:, Gesetzgebungsperiode römisch 26 IA 188/A Ausschussbericht 99 Sitzung 21. Bundesrat:, Ausschussbericht 9958 Sitzung 879.) | |
BGBl. I Nr. 24/2018 (NR: GP XXVI IA 189/A AB 98 S. 21. BR: AB 9948 S. 879.)Bundesgesetzblatt Teil eins, Nr. 24 aus 2018, Nationalrat:, Gesetzgebungsperiode römisch 26 IA 189/A Ausschussbericht 98 Sitzung 21. Bundesrat:, Ausschussbericht 9948 Sitzung 879.) | |
BGBl. I Nr. 14/2019 (NR: GP XXVI RV 301 AB 463 S. 57. BR: AB 10104 S. 888.)Bundesgesetzblatt Teil eins, Nr. 14 aus 2019, Nationalrat:, Gesetzgebungsperiode römisch 26 Regierungsvorlage 301 Ausschussbericht 463 Sitzung 57. Bundesrat:, Ausschussbericht 10104 Sitzung 888.) | |
BGBl. I Nr. 148/2021 (NR: GP XXVII RV 937 AB 963 S. 117. BR: AB 10729 S. 929.)Bundesgesetzblatt Teil eins, Nr. 148 aus 2021, Nationalrat:, Gesetzgebungsperiode römisch 27 Regierungsvorlage 937 Ausschussbericht 963 Sitzung 117. Bundesrat:, Ausschussbericht 10729 Sitzung 929.) | |
BGBl. I Nr. 2/2023 (VfGH)Bundesgesetzblatt Teil eins, Nr. 2 aus 2023, (VfGH) | ⇐ amendment entailing the latest update of the present translation (the German version is updated to reflect also recent amendments; interim changes are highlighted as deletions and insertions respectively) |
BGBl. I Nr. 62/2024 (NR: GP XXVII IA 4031/A AB 2566 S. 266. BR: 11496 AB 11507 S. 968.)Bundesgesetzblatt Teil eins, Nr. 62 aus 2024, Nationalrat:, Gesetzgebungsperiode römisch 27 IA 4031/A Ausschussbericht 2566 Sitzung 266. Bundesrat:, 11496 Ausschussbericht 11507 Sitzung 968.) | |
BGBl. I Nr. 70/2024 (NR: GP XXVII AB 2594 S. 268. BR: AB 11514 S. 968.)Bundesgesetzblatt Teil eins, Nr. 70 aus 2024, Nationalrat:, Gesetzgebungsperiode römisch 27 Ausschussbericht 2594 Sitzung 268. Bundesrat:, Ausschussbericht 11514 Sitzung 968.) | Click here for checking the up-to-date list of amendments in the Austrian Legal Information System. |
Inhaltsverzeichnis | Table of contents |
Artikel 1 (Verfassungsbestimmung) | Article 1 (Constitutional provision) |
§ 1. Grundrecht auf Datenschutz | § 1. Fundamental right to data protection |
(Anm.: §§ 2 und 3 aufgehoben durch BGBl. I Nr. 14/2019)Anmerkung, Paragraphen 2 und 3 aufgehoben durch Bundesgesetzblatt Teil eins, Nr. 14 aus 2019,) | (Note: § 2 and § 3 repealed by Federal Law Gazette I No 14/2019)(Note: Paragraph 2, and Paragraph 3, repealed by Federal Law Gazette römisch eins No 14/2019) |
Artikel 2 | Article 2 |
1. Hauptstück Durchführung der Datenschutz-Grundverordnung und ergänzende Regelungen | Chapter 1 Implementation of the General Data Protection Regulation and supplementary provisions |
1. Abschnitt Allgemeine Bestimmungen | Part 1 General provisions |
§ 4. Anwendungsbereich und Durchführungsbestimmung | § 4. Scope of application and implementing provision |
§ 5. Datenschutzbeauftragter | § 5. Data protection officer |
§ 6. Datengeheimnis | § 6. Confidentiality of data |
2. Abschnitt Datenverarbeitungen zu spezifischen Zwecken | Part 2 Data processing for specific purposes |
§ 7. Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke | § 7. Processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes |
§ 8. Zurverfügungstellung von Adressen zur Benachrichtigung und Befragung von betroffenen Personen | § 8. Providing addresses to inform and interview data subjects |
§ 9. Freiheit der Meinungsäußerung und Informationsfreiheit | § 9. Freedom of expression and information |
§ 10. Verarbeitung personenbezogener Daten im Katastrophenfall | § 10. Processing of personal data in case of emergency |
§ 11. Verwarnung durch die Datenschutzbehörde | § 11. Reprimand by the Data Protection Authority |
3. Abschnitt Bildverarbeitung | Part 3 Processing of images |
§ 12. Zulässigkeit der Bildaufnahme | § 12. Permissibility of recording images |
§ 13. Besondere Datensicherheitsmaßnahmen und Kennzeichnung | § 13. Special data security measures and referencing |
2. Hauptstück Organe | Chapter 2 Bodies |
1. Abschnitt Datenschutzrat | Part 1 Data Protection Council |
§ 14. Einrichtung und Aufgaben | § 14. Establishment and duties |
§ 15. Zusammensetzung | § 15. Composition |
§ 16. Vorsitz und Geschäftsführung | § 16. Chair and management |
§ 17. Sitzungen und Beschlussfassung | § 17. Meetings and resolutions |
2. Abschnitt Datenschutzbehörde | Part 2 Data Protection Authority |
§ 18. Einrichtung | § 18. Establishment |
§ 19. Unabhängigkeit | § 19. Independent status |
§ 20. Leiter der Datenschutzbehörde | § 20. The head of the Data Protection Authority |
§ 21. Aufgaben | § 21. Tasks |
§ 22. Befugnisse | § 22. Powers |
§ 23. Tätigkeitsbericht und Veröffentlichung von Entscheidungen | § 23. Activity reports and the publication of decisions |
3. Abschnitt Rechtsbehelfe, Haftung und Sanktionen | Part 3 Remedies, liability and penalties |
§ 24. Beschwerde an die Datenschutzbehörde | § 24. Complaints with the Data Protection Authority |
§ 25. Begleitende Maßnahmen im Beschwerdeverfahren | § 25. Accompanying measures in the complaint procedure |
§ 26. Verantwortliche des öffentlichen und des privaten Bereichs | § 26. Public-sector and private-sector controllers |
§ 27. Beschwerde an das Bundesverwaltungsgericht | § 27. Complaints with the Federal Administrative Court |
§ 28. Vertretung von betroffenen Personen | § 28. Representation of data subjects |
§ 29. Haftung und Recht auf Schadenersatz | § 29. Right to compensation and liability |
§ 30. Allgemeine Bedingungen für die Verhängung von Geldbußen | § 30. General conditions for imposing administrative fines |
4. Abschnitt Aufsichtsbehörde nach der Richtlinie (EU) 2016/680 | Part 4 Supervisory authority pursuant to Directive (EU) 2016/680 |
§ 31. Datenschutzbehörde | § 31. Data Protection Authority |
§ 32. Aufgaben der Datenschutzbehörde | § 32. Tasks of the Data Protection Authority |
§ 33. Befugnisse der Datenschutzbehörde | § 33. Powers of the Data Protection Authority |
§ 34. Allgemeine Bestimmungen | § 34. General provisions |
5. Abschnitt Besondere Befugnisse der Datenschutzbehörde | Part 5 Special powers of the Data Protection Authority |
§ 35. | § 35. |
6. Abschnitt Parlamentarisches Datenschutzkomitee | |
§ 35a. Einrichtung | |
§ 35b. Mitglieder | |
§ 35c. Unabhängigkeit | |
§ 35d. Vorsitz und Beschlussfassung | |
§ 35e. Aufgaben, Befugnisse, Tätigkeitsbericht und Veröffentlichung von Entscheidungen | |
§ 35f. Beschwerde an das Parlamentarische Datenschutzkomitee | |
§ 35g. Parteistellung, Rechtsmittellegitimation und Geheimhaltungsverpflichtung | |
§ 35h. Beschwerde an das Bundesverwaltungsgericht | |
7. Abschnitt Vertretung im Europäischen Datenschutzausschuss, zentrale Anlaufstelle und Zusammenarbeit der Aufsichtsbehörden in Angelegenheiten der Europäischen Union | |
§ 35i. Vertretung im Europäischen Datenschutzausschuss, zentrale Anlaufstelle | |
§ 35j. Zusammenarbeit und Kohärenz | |
3. Hauptstück Verarbeitung personenbezogener Daten für Zwecke der Sicherheitspolizei einschließlich des polizeilichen StaatsschutzesVerfassungsschutzes, des militärischen Eigenschutzes, der Aufklärung und Verfolgung von Straftaten, der Strafvollstreckung und des Maßnahmenvollzugs | Chapter 3 Processing of personal data for purposes of the security police, including the protection of public security by the police, the protection of military facilities by the armed forces, the resolution and prosecution of criminal offences, the enforcement of sentences and the enforcement of precautionary measures involving the deprivation of liberty |
1. Abschnitt Allgemeine Bestimmungen | Part 1 General provisions |
§ 36. Anwendungsbereich und Begriffsbestimmungen | § 36. Scope of application, and definitions |
§ 37. Grundsätze für die Datenverarbeitung, Kategorisierung und Datenqualität | § 37. Principles for processing, classification and data quality |
§ 38. Rechtmäßigkeit der Verarbeitung | § 38. Lawfulness of processing |
§ 39. Verarbeitung besonderer Kategorien personenbezogener Daten | § 39. Processing of special categories of personal data |
§ 40. Verarbeitung für andere Zwecke und Übermittlung | § 40. Processing for other purposes, and transfer |
§ 41. Automatisierte Entscheidungsfindung im Einzelfall | § 41. Automated individual decision-making |
2. Abschnitt Rechte der betroffenen Person | Part 2 Rights of the data subject |
§ 42. Grundsätze | § 42. Principles |
§ 43. Information der betroffenen Person | § 43. Information of the data subject |
§ 44. Auskunftsrecht der betroffenen Person | § 44. Right of access by the data subject |
§ 45. Recht auf Berichtigung oder Löschung personenbezogener Daten und auf Einschränkung der Verarbeitung | § 45. Right to rectification or erasure of personal data and to the restriction of processing |
3. Abschnitt Verantwortlicher und Auftragsverarbeiter | Part 3 Controller and processor |
§ 46. Pflichten des Verantwortlichen | § 46. Obligations of the controller |
§ 47. Gemeinsam Verantwortliche | § 47. Joint controllers |
§ 48. Auftragsverarbeiter und Aufsicht über die Verarbeitung | § 48. Processor and the supervision of processing |
§ 49. Verzeichnis von Verarbeitungstätigkeiten | § 49. Records of processing activities |
§ 50. Protokollierung | § 50. Logging |
§ 51. Zusammenarbeit mit der Datenschutzbehörde | § 51. Cooperation with the Data Protection Authority |
§ 52. Datenschutz-Folgenabschätzung | § 52. Data protection impact assessment |
§ 53. Vorherige Konsultation der Datenschutzbehörde | § 53. Prior consultation of the Data Protection Authority |
§ 54. Datensicherheitsmaßnahmen | § 54. Data security measures |
§ 55. Meldung von Verletzungen an die Datenschutzbehörde | § 55. Notification of a breach to the Data Protection Authority |
§ 56. Benachrichtigung der betroffenen Person von Verletzungen | § 56. Communication of personal data breaches to data subjects |
§ 57. Benennung, Stellung und Aufgaben des Datenschutzbeauftragten | § 57. Designation, position and tasks of the data protection officer |
4. Abschnitt Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen | Part 4 Transfers of personal data to third countries or international organisations |
§ 58. Allgemeine Grundsätze für die Übermittlung personenbezogener Daten | § 58. General principles for transfers of personal data |
§ 59. Datenübermittlung an Drittländer oder internationale Organisationen | § 59. Data transfers to third countries or international organisations |
(Anm.: § 60. mit Ablauf des 15.1.2019 außer Kraft getreten (vlg, vgl. BGBl. I Nr. 14/2019) Anmerkung, Paragraph 60, mit Ablauf des 15.1.2019 außer Kraft getreten (vlg, vergleiche Bundesgesetzblatt Teil eins, Nr. 14 aus 2019,) | (Note: § 60 became ineffective as of the end of 15 January 2019 (cf. Federal Law Gazette I No 14/2019)(Note: Paragraph 60, became ineffective as of the end of 15 January 2019 (cf. Federal Law Gazette römisch eins No 14/2019) |
§ 61. aufgehoben durch BGBl. I Nr. 14/2019)Paragraph 61, aufgehoben durch Bundesgesetzblatt Teil eins, Nr. 14 aus 2019,) | § 61 repealed by Federal Law Gazette I No 14/2019)Paragraph 61, repealed by Federal Law Gazette römisch eins No 14/2019) |
4. Hauptstück Besondere Strafbestimmungen | Chapter 4 Special penal provisions |
§ 62. Verwaltungsstrafbestimmung | § 62. Administrative penalties |
§ 63. Datenverarbeitung in Gewinn- oder Schädigungsabsicht | § 63. Processing with the intention to make a profit or to cause harm |
5. Hauptstück Schlussbestimmungen | Chapter 5 Final provisions |
§ 64. Durchführung und Umsetzung von Rechtsakten der EU | § 64. Execution and implementation of EU legal acts |
§ 65. Sprachliche Gleichbehandlung | § 65. Gender-neutral use of language |
§ 66. Erlassung von Verordnungen | § 66. Enactment of regulations |
§ 67. Verweisungen | § 67. References |
§ 68. Vollziehung | § 68. Execution |
§ 69. Übergangsbestimmungen | § 69. Transitional provisions |
§ 70. Inkrafttreten | § 70. Entry into force |
Artikel 1 | Article 1 |
(Verfassungsbestimmung) | (Constitutional provision) |
Grundrecht auf Datenschutz | Fundamental right to data protection |
§ 1.Paragraph eins,(1)Absatz einsJedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.
| § 1.Paragraph eins,(1)Absatz einsEvery person shall have the right to secrecy of the personal data concerning that person, especially with regard to the respect for his or her private and family life, insofar as that person has an interest which deserves such protection. Such an interest is precluded if data cannot be subject to the right to secrecy due to the data’s general availability or because they cannot be traced back to the data subject.
|
(2)Absatz 2Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Artikel 8, Absatz 2, der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), Bundesgesetzblatt Nr. 210 aus 1958,, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.
| (2)Absatz 2Insofar as personal data are not used in the vital interest of the data subject or with the data subject’s consent, restrictions of the right to secrecy are permitted only to safeguard overriding legitimate interests of another person, namely in the case of interference by a public authority only on the basis of laws which are necessary for the reasons stated in Article 8 para. 2 of the European Convention for the Protection of Human Rights and Fundamental Freedoms (ECHR), Federal Law Gazette No 210/1958. Such laws may provide for the use of data that, due to their nature, deserve special protection only in order to safeguard substantial public interests and, at the same time, shall provide for adequate safeguards for the protection of the data subjects’ interests in confidentiality. Even in the case of permitted restrictions, a fundamental right may only be interfered with using the least intrusive of all effective methods.
|
(3)Absatz 3Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, dh. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen
| (3)Absatz 3Insofar as personal data concerning a person are intended for automated processing or processing in files managed manually, i.e. files managed without automated processing, every person shall, as provided for by law, have
|
das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden;
| the right to obtain information as to who processes what data concerning the person, where the data originated from, for which purpose they are used, and in particular to whom the data are transmitted;
|
das Recht auf Richtigstellung unrichtiger Daten und das Recht auf Löschung unzulässigerweise verarbeiteter Daten.
| the right to rectification of incorrect data and the right to erasure of illegally processed data.
|
(4)Absatz 4Beschränkungen der Rechte nach Abs. 3 sind nur unter den in Abs. 2 genannten Voraussetzungen zulässig.Beschränkungen der Rechte nach Absatz 3, sind nur unter den in Absatz 2, genannten Voraussetzungen zulässig.
| (4)Absatz 4Restrictions of the rights according to para. 3 are only permitted under the conditions laid out in para. 2.
|
(Anm.: Abs. 5 aufgehoben durch BGBl. I Nr. 51/2012)Anmerkung, Absatz 5, aufgehoben durch Bundesgesetzblatt Teil eins, Nr. 51 aus 2012,) | |
Artikel 2 | Article 2 |
1. Hauptstück | Chapter 1 |
Durchführung der Datenschutz-Grundverordnung und ergänzende Regelungen | Implementation of the General Data Protection Regulation and supplementary provisions |
1. Abschnitt | Part 1 |
Allgemeine Bestimmungen | General provisions |
Anwendungsbereich und Durchführungsbestimmung | Scope of application and implementing provision |
§ 4.Paragraph 4,(1)Absatz einsDie Bestimmungen der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, (im Folgenden: DSGVO) und dieses Bundesgesetzes gelten für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten natürlicher Personen sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten natürlicher Personen, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, soweit nicht die spezifischeren Bestimmungen des 3. Hauptstücks dieses Bundesgesetzes vorgehen.Die Bestimmungen der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 Sitzung 1, (im Folgenden: DSGVO) und dieses Bundesgesetzes gelten für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten natürlicher Personen sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten natürlicher Personen, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, soweit nicht die spezifischeren Bestimmungen des 3. Hauptstücks dieses Bundesgesetzes vorgehen.
| § 4.Paragraph 4,(1)Absatz einsThe provisions of Regulation (EU) 2016/679 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation), OJ No L 119 of 4 May 2016, p. 1 (in the following: General Data Protection Regulation) and this federal law shall apply to the processing of personal data of natural persons wholly or partly by automated means and to the processing other than by automated means of personal data of natural persons which form part of a filing system or are intended to form part of a filing system, unless the more specific provisions of Chapter 3 of this federal law prevail.
|
(2)Absatz 2Kann die Berichtigung oder Löschung von automationsunterstützt verarbeiteten personenbezogenen Daten nicht unverzüglich erfolgen, weil diese aus wirtschaftlichen oder technischen Gründen nur zu bestimmten Zeitpunkten vorgenommen werden kann, so ist die Verarbeitung der betreffenden personenbezogenen Daten mit der Wirkung nach Art. 18 Abs. 2 DSGVO bis zu diesem Zeitpunkt einzuschränken.Kann die Berichtigung oder Löschung von automationsunterstützt verarbeiteten personenbezogenen Daten nicht unverzüglich erfolgen, weil diese aus wirtschaftlichen oder technischen Gründen nur zu bestimmten Zeitpunkten vorgenommen werden kann, so ist die Verarbeitung der betreffenden personenbezogenen Daten mit der Wirkung nach Artikel 18, Absatz 2, DSGVO bis zu diesem Zeitpunkt einzuschränken.
| (2)Absatz 2If personal data processed by automated means cannot be rectified or erased immediately because they can be rectified or erased only at certain times for economic or technical reasons, processing of the personal data concerned shall be restricted until that time, with the effect as stipulated in Article 18 para. 2 of the General Data Protection Regulation.römisch eins f personal data processed by automated means cannot be rectified or erased immediately because they can be rectified or erased only at certain times for economic or technical reasons, processing of the personal data concerned shall be restricted until that time, with the effect as stipulated in Article 18 para. 2 of the General Data Protection Regulation.
|
(3)Absatz 3Die Verarbeitung von personenbezogenen Daten über gerichtlich oder verwaltungsbehördlich strafbare Handlungen oder Unterlassungen, insbesondere auch über den Verdacht der Begehung von Straftaten, sowie über strafrechtliche Verurteilungen oder vorbeugende Maßnahmen ist unter Einhaltung der Vorgaben der DSGVO zulässig, wenn
| (3)Absatz 3Processing personal data on acts or omissions punishable by courts or administrative authorities, in particular concerning suspected criminal offences, as well as data on criminal convictions and precautionary measures involving the deprivation of liberty, is permitted if the requirements of the General Data Protection Regulation are met and if
|
eine ausdrückliche gesetzliche Ermächtigung oder Verpflichtung zur Verarbeitung solcher Daten besteht oder
| an explicit legal authorisation or obligation to process such data exists; or
|
sich sonst die Zulässigkeit der Verarbeitung dieser Daten aus gesetzlichen Sorgfaltspflichten ergibt oder die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten gemäß Art. 6 Abs. 1 lit. f DSGVO erforderlich ist, und die Art und Weise, in der die Datenverarbeitung vorgenommen wird, die Wahrung der Interessen der betroffenen Person nach der DSGVO und diesem Bundesgesetz gewährleistet.sich sonst die Zulässigkeit der Verarbeitung dieser Daten aus gesetzlichen Sorgfaltspflichten ergibt oder die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten gemäß Artikel 6, Absatz eins, Litera f, DSGVO erforderlich ist, und die Art und Weise, in der die Datenverarbeitung vorgenommen wird, die Wahrung der Interessen der betroffenen Person nach der DSGVO und diesem Bundesgesetz gewährleistet.
| the legitimacy of the processing of such data is otherwise based on statutory duties of diligence, or processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party pursuant to Article 6 para. 1 (f) of the General Data Protection Regulation, and the manner in which the data are processed safeguards the interests of the data subject according the General Data Protection Regulation and this federal law.
|
(4)Absatz 4Bei einem Angebot von Diensten der Informationsgesellschaft, das einem Kind direkt gemacht wird, ist die Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO zur Verarbeitung der personenbezogenen Daten des Kindes rechtmäßig, wenn das Kind das vierzehnte Lebensjahr vollendet hat.Bei einem Angebot von Diensten der Informationsgesellschaft, das einem Kind direkt gemacht wird, ist die Einwilligung gemäß Artikel 6, Absatz eins, Litera a, DSGVO zur Verarbeitung der personenbezogenen Daten des Kindes rechtmäßig, wenn das Kind das vierzehnte Lebensjahr vollendet hat.
| (4)Absatz 4In the case of an offer of information society services directly to a child, consent to the processing of the personal data of a child pursuant to Article 6 para. 1 (a) of the General Data Protection Regulation shall be lawful where the child is at least 14 years old.
|
(5)Absatz 5Das Recht auf Auskunft der betroffenen Person gemäß Art. 15 DSGVO besteht gegenüber einem hoheitlich tätigen Verantwortlichen unbeschadet anderer gesetzlicher Beschränkungen dann nicht, wenn durch die Erteilung dieser Auskunft die Erfüllung einer dem Verantwortlichen gesetzlich übertragenen Aufgabe gefährdet wird.Das Recht auf Auskunft der betroffenen Person gemäß Artikel 15, DSGVO besteht gegenüber einem hoheitlich tätigen Verantwortlichen unbeschadet anderer gesetzlicher Beschränkungen dann nicht, wenn durch die Erteilung dieser Auskunft die Erfüllung einer dem Verantwortlichen gesetzlich übertragenen Aufgabe gefährdet wird.
| (5)Absatz 5Without prejudice to other statutory restrictions, data subjects shall not have a right of access pursuant to Article 15 of the General Data Protection Regulation in relation to a controller acting with public authority and powers if granting access put at risk performance of a task delegated to the controller by law.
|
(6)Absatz 6Das Recht auf Auskunft der betroffenen Person gemäß Art. 15 DSGVO besteht gegenüber einem Verantwortlichen unbeschadet anderer gesetzlicher Beschränkungen in der Regel dann nicht, wenn durch die Erteilung dieser Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen bzw. Dritter gefährdet würde.Das Recht auf Auskunft der betroffenen Person gemäß Artikel 15, DSGVO besteht gegenüber einem Verantwortlichen unbeschadet anderer gesetzlicher Beschränkungen in der Regel dann nicht, wenn durch die Erteilung dieser Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen bzw. Dritter gefährdet würde.
| (6)Absatz 6Without prejudice to other statutory restrictions, data subjects shall not have a right of access pursuant to Article 15 of the General Data Protection Regulation in relation to a controller if granting access put at risk a trade or business secret of the controller or a third party.
|
(Anm.: Abs. 7 aufgehoben durch Art. 5 Z 3, BGBl. I Nr. 14/2019)Anmerkung, Absatz 7, aufgehoben durch Artikel 5, Ziffer 3,, Bundesgesetzblatt Teil eins, Nr. 14 aus 2019,) | |
Datenschutzbeauftragter | Data protection officer |
§ 5.Paragraph 5,(1)Absatz einsDer Datenschutzbeauftragte und die für ihn tätigen Personen sind unbeschadet sonstiger Verschwiegenheitspflichten bei der Erfüllung der Aufgaben zur Geheimhaltung verpflichtet. Dies gilt insbesondere in Bezug auf die Identität betroffener Personen, die sich an den Datenschutzbeauftragten gewandt haben, sowie über Umstände, die Rückschlüsse auf diese Personen zulassen, es sei denn, es erfolgte eine ausdrückliche Entbindung von der Verschwiegenheit durch die betroffene Person. Der Datenschutzbeauftragte und die für ihn tätigen Personen dürfen die zugänglich gemachten Informationen ausschließlich für die Erfüllung der Aufgaben verwenden und sind auch nach Ende ihrer Tätigkeit zur Geheimhaltung verpflichtet.
| § 5.Paragraph 5,(1)Absatz einsWithout prejudice to other obligations of confidentiality, the data protection officer and the persons working for the data protection officer shall be bound by confidentiality when fulfilling their duties. This shall apply in particular in relation to the identity of data subjects who applied to the data protection officer, and to circumstances that allow identification of these persons, unless the data subject has expressly granted a release from confidentiality. The data protection officer and the persons working for the data protection officer may exclusively use information made available to fulfil their duties and shall be bound by confidentiality even after the end of their activities.
|
(2)Absatz 2Erhält ein Datenschutzbeauftragter bei seiner Tätigkeit Kenntnis von Daten, für die einer der Kontrolle des Datenschutzbeauftragten unterliegenden Stelle beschäftigten Person ein gesetzliches Aussageverweigerungsrecht zusteht, steht dieses Recht auch dem Datenschutzbeauftragten und den für ihn tätigen Personen insoweit zu, als die Person, der das gesetzliche Aussageverweigerungsrecht zusteht, davon Gebrauch gemacht hat. Im Umfang des Aussageverweigerungsrechts des Datenschutzbeauftragten unterliegen seine Akten und andere Schriftstücke einem Sicherstellungs- und Beschlagnahmeverbot.
| (2)Absatz 2If, during his or her activities, a data protection officer obtains knowledge of data in respect of which a person employed with a body subject to the supervision of the data protection officer has a statutory right to refuse to give evidence, the data protection officer and the persons working for the data protection officers shall also have such a right to the extent to which the person who has the right to refuse to give evidence exercised that right. The files and other documents of the data protection officer are subject to a prohibition of seizure and confiscation to the extent of the right of the data protection officer to refuse to give evidence.römisch eins f, during his or her activities, a data protection officer obtains knowledge of data in respect of which a person employed with a body subject to the supervision of the data protection officer has a statutory right to refuse to give evidence, the data protection officer and the persons working for the data protection officers shall also have such a right to the extent to which the person who has the right to refuse to give evidence exercised that right. The files and other documents of the data protection officer are subject to a prohibition of seizure and confiscation to the extent of the right of the data protection officer to refuse to give evidence.
|
(3)Absatz 3Der Datenschutzbeauftragte im öffentlichen Bereich (in Formen des öffentlichen Rechts eingerichtet, insbesondere auch als Organ einer Gebietskörperschaft) ist bezüglich der Ausübung seiner Aufgaben weisungsfrei. Das oberste Organ hat das Recht, sich über die Gegenstände der Geschäftsführung beim Datenschutzbeauftragten im öffentlichen Bereich zu unterrichten. Dem ist vom Datenschutzbeauftragten nur insoweit zu entsprechen, als dies nicht der Unabhängigkeit des Datenschutzbeauftragten im Sinne von Art. 38 Abs. 3 DSGVO widerspricht.Der Datenschutzbeauftragte im öffentlichen Bereich (in Formen des öffentlichen Rechts eingerichtet, insbesondere auch als Organ einer Gebietskörperschaft) ist bezüglich der Ausübung seiner Aufgaben weisungsfrei. Das oberste Organ hat das Recht, sich über die Gegenstände der Geschäftsführung beim Datenschutzbeauftragten im öffentlichen Bereich zu unterrichten. Dem ist vom Datenschutzbeauftragten nur insoweit zu entsprechen, als dies nicht der Unabhängigkeit des Datenschutzbeauftragten im Sinne von Artikel 38, Absatz 3, DSGVO widerspricht.
| (3)Absatz 3Public-sector data protection officers (established in a form provided by public law, in particular also as an officer of a territorial authority) are not bound by any instructions when exercising their duties. The highest governing bodies or officers have the right to obtain information on matters to be dealt with from a public-sector data protection officer. The data protection officer shall provide information only insofar as the independence of the data protection officer as described in Article 38 para. 3 of the General Data Protection Regulation is not impaired by doing so.
|
(4)Absatz 4Im Wirkungsbereich jedes Bundesministeriums sind unter Bedachtnahme auf Art und Umfang der Datenverarbeitungen sowie je nach Einrichtung des Bundesministeriums ein oder mehrere Datenschutzbeauftragte vorzusehen. Diese müssen dem jeweiligen Bundesministerium oder der jeweiligen nachgeordneten Dienststelle oder sonstigen Einrichtung angehören.
| (4)Absatz 4Considering the type and scope of data processing activities and depending on the facilities of a federal ministry, one or several data protection officers shall be appointed in the sphere of responsibilities of each federal ministry. These data protection officers shall be employed by the relevant federal ministry or the relevant subordinate office or other entity.
|
(5)Absatz 5Die Datenschutzbeauftragten im öffentlichen Bereich gemäß Abs. 4 pflegen einen regelmäßigen Erfahrungsaustausch, insbesondere im Hinblick auf die Gewährleistung eines einheitlichen Datenschutzstandards.Die Datenschutzbeauftragten im öffentlichen Bereich gemäß Absatz 4, pflegen einen regelmäßigen Erfahrungsaustausch, insbesondere im Hinblick auf die Gewährleistung eines einheitlichen Datenschutzstandards.
| (5)Absatz 5Public-sector data protection officers pursuant to para. 4 shall regularly exchange information, in particular with regard to ensuring uniform data protection standards.
|
Datengeheimnis | Confidentiality of data |
§ 6.Paragraph 6,(1)Absatz einsDer Verantwortliche, der Auftragsverarbeiter und ihre Mitarbeiter – das sind Arbeitnehmer (Dienstnehmer) und Personen in einem arbeitnehmerähnlichen (dienstnehmerähnlichen) Verhältnis – haben personenbezogene Daten aus Datenverarbeitungen, die ihnen ausschließlich auf Grund ihrer berufsmäßigen Beschäftigung anvertraut wurden oder zugänglich geworden sind, unbeschadet sonstiger gesetzlicher Verschwiegenheitspflichten, geheim zu halten, soweit kein rechtlich zulässiger Grund für eine Übermittlung der anvertrauten oder zugänglich gewordenen personenbezogenen Daten besteht (Datengeheimnis).
| § 6.Paragraph 6,(1)Absatz einsThe controller, the processor and their employees, i.e. employees and persons in a quasi-employee relationship, shall ensure the confidentiality of personal data from data processing activities that have been entrusted or have become accessible to them solely due to their employment, without prejudice to other statutory obligations of confidentiality, unless a legitimate reason for the transmission of the data that have been entrusted or have become accessible to them exists (confidentiality of data).
|
(2)Absatz 2Mitarbeiter dürfen personenbezogene Daten nur auf Grund einer ausdrücklichen Anordnung ihres Arbeitgebers (Dienstgebers) übermitteln. Der Verantwortliche und der Auftragsverarbeiter haben, sofern eine solche Verpflichtung ihrer Mitarbeiter nicht schon kraft Gesetzes besteht, diese vertraglich zu verpflichten, personenbezogene Daten aus Datenverarbeitungen nur aufgrund von Anordnungen zu übermitteln und das Datengeheimnis auch nach Beendigung des Arbeitsverhältnisses (Dienstverhältnisses) zum Verantwortlichen oder Auftragsverarbeiter einzuhalten.
| (2)Absatz 2Employees may transmit personal data only if expressly ordered to do so by their employer. Unless such an obligation of their employees already exists by law, the controller and the processor shall contractually bind their employees to transmit personal data from data processing activities only on the basis of orders and to maintain the confidentiality of data even after the end of their employment with the controller or processor.
|
(3)Absatz 3Der Verantwortliche und der Auftragsverarbeiter haben die von der Anordnung betroffenen Mitarbeiter über die für sie geltenden Übermittlungsanordnungen und über die Folgen einer Verletzung des Datengeheimnisses zu belehren.
| (3)Absatz 3The controller and the processor shall inform the employees affected by these orders about the transmission orders applicable to them and about the consequences of a violation of data confidentiality.
|
(4)Absatz 4Unbeschadet des verfassungsrechtlichen Weisungsrechts darf einem Mitarbeiter aus der Verweigerung der Befolgung einer Anordnung zur unzulässigen Datenübermittlung kein Nachteil erwachsen.
| (4)Absatz 4Without prejudice to the right to give instructions under constitutional law, an employee must not incur any disadvantage from refusing to comply with an order for a prohibited transmission of data.
|
(5)Absatz 5Ein zugunsten eines Verantwortlichen bestehendes gesetzliches Aussageverweigerungsrecht darf nicht durch die Inanspruchnahme eines für diesen tätigen Auftragsverarbeiters, insbesondere nicht durch die Sicherstellung oder Beschlagnahme von automationsunterstützt verarbeiteten Dokumenten, umgangen werden.
| (5)Absatz 5The statutory right of a controller to refuse to give evidence shall not be avoided by questioning a processor working for the controller, and in particular not by seizing or confiscating documents processed by automated means.
|
2. Abschnitt | Part 2 |
Datenverarbeitungen zu spezifischen Zwecken | Data processing for specific purposes |
Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke | Processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes |
§ 7.Paragraph 7,(1)Absatz einsFür im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke, die keine personenbezogenen Ergebnisse zum Ziel haben, darf der Verantwortliche alle personenbezogenen Daten verarbeiten, die
| § 7.Paragraph 7,(1)Absatz einsFor archiving purposes in the public interest, scientific or historical research purposes or statistical purposes whose goal is not to obtain results in a form relating to specific data subjects, the controller may process all personal data that
|
öffentlich zugänglich sind,
|
|
er für andere Untersuchungen oder auch andere Zwecke zulässigerweise ermittelt hat oder
| the controller has lawfully collected for other research projects or other purposes, or
|
für ihn pseudonymisierte personenbezogene Daten sind und der Verantwortliche die Identität der betroffenen Person mit rechtlich zulässigen Mitteln nicht bestimmen kann.
| are pseudonymised personal data for the controller, and the controller cannot establish the identity of the data subject by legal means.
|
(2)Absatz 2Bei Datenverarbeitungen für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke, die nicht unter Abs. 1 fallen, dürfen personenbezogene Daten nurBei Datenverarbeitungen für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke, die nicht unter Absatz eins, fallen, dürfen personenbezogene Daten nur
| (2)Absatz 2In the case of processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes that do not fall under para. 1, personal data may be processed only
|
gemäß besonderen gesetzlichen Vorschriften,
| pursuant to specific legal provisions,
|
mit Einwilligung der betroffenen Person oder
| with the consent of the data subject, or
|
mit Genehmigung der Datenschutzbehörde gemäß Abs. 3mit Genehmigung der Datenschutzbehörde gemäß Absatz 3,
| with a permit of the Data Protection Authority pursuant to para. 3.
|
verarbeitet werden. | |
(3)Absatz 3Eine Genehmigung der Datenschutzbehörde für die Verarbeitung von personenbezogenen Daten für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke ist auf Antrag des Verantwortlichen der Untersuchung zu erteilen, wenn
| (3)Absatz 3A permit of the Data Protection Authority for the processing of personal data for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes shall be granted at the request of the controller ordering the research project, if
|
die Einholung der Einwilligung der betroffenen Person mangels ihrer Erreichbarkeit unmöglich ist oder sonst einen unverhältnismäßigen Aufwand bedeutet,
| the consent of the data subject is impossible to obtain because the data subject cannot be reached or the effort would otherwise be unreasonable,
|
ein öffentliches Interesse an der beantragten Verarbeitung besteht und
| there is a public interest in the processing for which a permit is sought, and
|
die fachliche Eignung des Verantwortlichen glaubhaft gemacht wird.
| the professional aptitude of the controller has been satisfactorily demonstrated.
|
Sollen besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) ermittelt werden, muss ein wichtiges öffentliches Interesse an der Untersuchung vorliegen; weiters muss gewährleistet sein, dass die personenbezogenen Daten beim Verantwortlichen der Untersuchung nur von Personen verarbeitet werden, die hinsichtlich des Gegenstandes der Untersuchung einer gesetzlichen Verschwiegenheitspflicht unterliegen oder deren diesbezügliche Verlässlichkeit sonst glaubhaft ist. Die Datenschutzbehörde hat die Genehmigung an die Erfüllung von Bedingungen und Auflagen zu knüpfen, soweit dies zur Wahrung der schutzwürdigen Interessen der betroffenen Person notwendig ist.Sollen besondere Kategorien personenbezogener Daten (Artikel 9, DSGVO) ermittelt werden, muss ein wichtiges öffentliches Interesse an der Untersuchung vorliegen; weiters muss gewährleistet sein, dass die personenbezogenen Daten beim Verantwortlichen der Untersuchung nur von Personen verarbeitet werden, die hinsichtlich des Gegenstandes der Untersuchung einer gesetzlichen Verschwiegenheitspflicht unterliegen oder deren diesbezügliche Verlässlichkeit sonst glaubhaft ist. Die Datenschutzbehörde hat die Genehmigung an die Erfüllung von Bedingungen und Auflagen zu knüpfen, soweit dies zur Wahrung der schutzwürdigen Interessen der betroffenen Person notwendig ist. | If special categories of personal data (Article 9 of the General Data Protection Regulation) are to be collected, an important public interest in the research project must exist; furthermore, it must be ensured that the personal data are processed at the premises of the controller ordering the research project only by persons who are subject to a statutory obligation of confidentiality regarding the subject matter of the research project or whose reliability in this respect is credible. The Data Protection Authority shall issue the permit subject to terms and conditions, insofar as this is necessary to safeguard the data subjects’ interests which deserve protection.römisch eins f special categories of personal data (Article 9 of the General Data Protection Regulation) are to be collected, an important public interest in the research project must exist; furthermore, it must be ensured that the personal data are processed at the premises of the controller ordering the research project only by persons who are subject to a statutory obligation of confidentiality regarding the subject matter of the research project or whose reliability in this respect is credible. The Data Protection Authority shall issue the permit subject to terms and conditions, insofar as this is necessary to safeguard the data subjects’ interests which deserve protection. |
(4)Absatz 4Einem Antrag nach Abs. 3 ist jedenfalls eine vom Verfügungsbefugten über die Datenbestände, aus denen die personenbezogenen Daten ermittelt werden sollen, unterfertigte Erklärung anzuschließen, dass er dem Verantwortlichen die Datenbestände für die Untersuchung zur Verfügung stellt. Anstelle dieser Erklärung kann auch ein diese Erklärung ersetzender Exekutionstitel (§ 367 Abs. 1 der Exekutionsordnung – EO, RGBl. Nr. 79/1896) vorgelegt werden.Einem Antrag nach Absatz 3, ist jedenfalls eine vom Verfügungsbefugten über die Datenbestände, aus denen die personenbezogenen Daten ermittelt werden sollen, unterfertigte Erklärung anzuschließen, dass er dem Verantwortlichen die Datenbestände für die Untersuchung zur Verfügung stellt. Anstelle dieser Erklärung kann auch ein diese Erklärung ersetzender Exekutionstitel (Paragraph 367, Absatz eins, der Exekutionsordnung – EO, RGBl. Nr. 79/1896) vorgelegt werden.
| (4)Absatz 4A request according to para. 3 must, however, be accompanied by a statement signed by the person authorised to exercise rights in respect of the data files from which the personal data are to be collected, stating that this person is making the data files available for the research project. Instead of this statement, a writ of enforcement (§ 367 para. 1 of the Enforcement Code, Imperial Law Gazette No 79/1896) replacing this statement may be submitted.A request according to para. 3 must, however, be accompanied by a statement signed by the person authorised to exercise rights in respect of the data files from which the personal data are to be collected, stating that this person is making the data files available for the research project. Instead of this statement, a writ of enforcement (Paragraph 367, para. 1 of the Enforcement Code, Imperial Law Gazette No 79/1896) replacing this statement may be submitted.
|
(5)Absatz 5Auch in jenen Fällen, in welchen die Verarbeitung von personenbezogenen Daten für Zwecke der wissenschaftlichen Forschung oder Statistik in personenbezogener Form zulässig ist, ist der Personenbezug unverzüglich zu verschlüsseln, wenn in einzelnen Phasen der wissenschaftlichen oder statistischen Arbeit mit personenbezogenen Daten gemäß Abs. 1 Z 3 das Auslangen gefunden werden kann. Sofern gesetzlich nicht ausdrücklich anderes vorgesehen ist, ist der Personenbezug der Daten gänzlich zu beseitigen, sobald er für die wissenschaftliche oder statistische Arbeit nicht mehr notwendig ist.Auch in jenen Fällen, in welchen die Verarbeitung von personenbezogenen Daten für Zwecke der wissenschaftlichen Forschung oder Statistik in personenbezogener Form zulässig ist, ist der Personenbezug unverzüglich zu verschlüsseln, wenn in einzelnen Phasen der wissenschaftlichen oder statistischen Arbeit mit personenbezogenen Daten gemäß Absatz eins, Ziffer 3, das Auslangen gefunden werden kann. Sofern gesetzlich nicht ausdrücklich anderes vorgesehen ist, ist der Personenbezug der Daten gänzlich zu beseitigen, sobald er für die wissenschaftliche oder statistische Arbeit nicht mehr notwendig ist.
| (5)Absatz 5Even in cases where the processing of personal data for scientific research purposes or statistical purposes is permitted in a form which allows the identification of data subjects, the data shall be coded without delay so that the data subjects are no longer identifiable if specific phases of scientific or statistical work can be performed with personal data pursuant to para. 1 subpara. 3. Unless otherwise expressly provided for by law, data in a form which allows the identification of data subjects shall be rendered unidentifiable as soon as it is no longer necessary for scientific or statistical work to keep them identifiable.
|
(6)Absatz 6Rechtliche Beschränkungen der Zulässigkeit der Benützung von personenbezogenen Daten aus anderen, insbesondere urheberrechtlichen Gründen, bleiben unberührt.
| (6)Absatz 6Legal restrictions on the right to use personal data for other reasons, in particular for copyright reasons, shall not be affected.
|
Zurverfügungstellung von Adressen zur Benachrichtigung und Befragung von betroffenen Personen | Providing addresses to inform and interview data subjects |
§ 8.Paragraph 8,(1)Absatz einsSoweit gesetzlich nicht ausdrücklich anderes bestimmt ist, bedarf die Übermittlung von Adressdaten eines bestimmten Kreises von betroffenen Personen zum Zweck ihrer Benachrichtigung oder Befragung der Einwilligung der betroffenen Personen.
| § 8.Paragraph 8,(1)Absatz einsUnless otherwise expressly provided for by law, providing address data of a certain group of data subjects in order to inform or interview them shall require the consent of the data subjects.
|
(2)Absatz 2Wenn allerdings eine Beeinträchtigung der Geheimhaltungsinteressen der betroffenen Personen angesichts der Auswahlkriterien für den Betroffenenkreis und des Gegenstands der Benachrichtigung oder Befragung unwahrscheinlich ist, bedarf es keiner Einwilligung, wenn
| (2)Absatz 2If, however, an infringement of the data subject’s interests in confidentiality is unlikely, considering the selection criteria for the group of data subjects and the subject of the information or interview, no consent shall be requiredrömisch eins f, however, an infringement of the data subject’s interests in confidentiality is unlikely, considering the selection criteria for the group of data subjects and the subject of the information or interview, no consent shall be required
|
Daten desselben Verantwortlichen verarbeitet werden oder
| if data from the same controller are processed, or
|
bei einer beabsichtigten Übermittlung der Adressdaten an Dritte
| in the case of an intended transfer of address data to third parties,
|
an der Benachrichtigung oder Befragung auch ein öffentliches Interesse besteht oder
| if there is also a public interest in the information or interview, or
|
keinerkeine der betroffenen Personen nach entsprechender Information über Anlass und Inhalt der Übermittlung innerhalb angemessener Frist Widerspruch gegen die Übermittlung erhoben hat.
| if none of the data subjects, after having received appropriate information on the reason and content of the transfer, has objected to the transfer within a reasonable period.
|
(3)Absatz 3Liegen die Voraussetzungen des Abs. 2 nicht vor und würde die Einholung der Einwilligung der betroffenen Personen gemäß Abs. 1 einen unverhältnismäßigen Aufwand erfordern, ist die Übermittlung der Adressdaten mit Genehmigung der Datenschutzbehörde gemäß Abs. 4 zulässig, falls die Übermittlung an DritteLiegen die Voraussetzungen des Absatz 2, nicht vor und würde die Einholung der Einwilligung der betroffenen Personen gemäß Absatz eins, einen unverhältnismäßigen Aufwand erfordern, ist die Übermittlung der Adressdaten mit Genehmigung der Datenschutzbehörde gemäß Absatz 4, zulässig, falls die Übermittlung an Dritte
| (3)Absatz 3If the requirements of para. 2 are not met and if obtaining the consent of the data subjects pursuant to para. 1 would require a disproportionate effort, the transfer of the address data shall be permissible with a permit of the Data Protection Authority pursuant to para. 4 if the data are to be transferred to third partiesrömisch eins f the requirements of para. 2 are not met and if obtaining the consent of the data subjects pursuant to para. 1 would require a disproportionate effort, the transfer of the address data shall be permissible with a permit of the Data Protection Authority pursuant to para. 4 if the data are to be transferred to third parties
|
zum Zweck der Benachrichtigung oder Befragung aus einem wichtigen Interesse des Betroffenender betroffenen Personen selbst,
| for the purpose of information or an interview due to an important interest of the data subject,
|
aus einem wichtigen öffentlichen Benachrichtigungs- oder Befragungsinteresse oder
| due to an important public interest in the information or interview, or
|
zur Befragung der betroffenen Personen für wissenschaftliche oder statistische Zwecke
| for an interview of the data subjects for scientific or statistical purposes.
|
erfolgen soll. | |
(4)Absatz 4Die Datenschutzbehörde hat auf Antrag eines Verantwortlichen, der Adressdaten verarbeitet, die Genehmigung zur Übermittlung zu erteilen, wenn der Antragsteller das Vorliegen der in Abs. 3 genannten Voraussetzungen glaubhaft macht und überwiegende schutzwürdige Geheimhaltungsinteressen der betroffenen Personen der Übermittlung nicht entgegenstehen. Die Datenschutzbehörde hat die Genehmigung an die Erfüllung von Bedingungen und Auflagen zu knüpfen, soweit dies zur Wahrung der schutzwürdigen Interessen der betroffenen Personen notwendig ist.Die Datenschutzbehörde hat auf Antrag eines Verantwortlichen, der Adressdaten verarbeitet, die Genehmigung zur Übermittlung zu erteilen, wenn der Antragsteller das Vorliegen der in Absatz 3, genannten Voraussetzungen glaubhaft macht und überwiegende schutzwürdige Geheimhaltungsinteressen der betroffenen Personen der Übermittlung nicht entgegenstehen. Die Datenschutzbehörde hat die Genehmigung an die Erfüllung von Bedingungen und Auflagen zu knüpfen, soweit dies zur Wahrung der schutzwürdigen Interessen der betroffenen Personen notwendig ist.
| (4)Absatz 4At the request of a controller processing address data, the Data Protection Authority shall grant the permit for their transfer if the controller has satisfactorily demonstrated that the requirements stipulated in para. 3 have been met and no overriding interests in confidentiality which deserve protection on the part of the data subjects represent an obstacle to the transfer. The Data Protection Authority shall issue the permit subject to terms and conditions, insofar as this is necessary to safeguard interests of the data subjects which deserve protection.
|
(5)Absatz 5Die übermittelten Adressdaten dürfen ausschließlich für den genehmigten Zweck verarbeitet werden und sind zu löschen, sobald sie für die Benachrichtigung oder Befragung nicht mehr benötigt werden.
| (5)Absatz 5The transferred address data shall only be processed for the permitted purpose and shall be erased as soon as they are no longer needed for information or interviews.
|
(6)Absatz 6Sofern es gemäß den vorstehenden Bestimmungen zulässig ist, Namen und Adresse von Personen, die einem bestimmten Betroffenenkreis angehören, zu übermitteln, dürfen auch die zum Zweck der Auswahl der zu übermittelnden Adressdaten notwendigen Verarbeitungen vorgenommen werden.
| (6)Absatz 6If it is lawful pursuant to the aforementioned provisions to transfer the names and addresses of persons belonging to a certain group of data subjects, the processing required for selecting the address data to be transferred shall also be permitted.römisch eins f it is lawful pursuant to the aforementioned provisions to transfer the names and addresses of persons belonging to a certain group of data subjects, the processing required for selecting the address data to be transferred shall also be permitted.
|
Freiheit der Meinungsäußerung und Informationsfreiheit | Freedom of expression and information |
§ 9.Paragraph 9,(1)Absatz einsAufFür die Verarbeitung von personenbezogenenpersonenbezogener Daten durch Medieninhaber, Herausgeber, Medienmitarbeiter und Arbeitnehmer eines Medienunternehmens oder Mediendienstes im Sinne des Mediengesetzes – MedienG, BGBl. Nr. 314/1981, sowie durch sonstige Personen, die in einem Medienunternehmen oder Mediendienst auf Grundlage eines Vertrages an der inhaltlichen Gestaltung eines Mediums oder der inhaltlichen Gestaltung der Mitteilungen eines Mediendienstes journalistisch mitwirken, zu journalistischen Zwecken des Medienunternehmens oder Mediendienstes findengelten die Bestimmungen der DSGVO sowie dieses Bundesgesetzes sowie von der DSGVO die Kapitel II (Grundsätze), III (Rechte der betroffenen Person), IV (Verantwortlicher und Auftragsverarbeiter), V (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen), VI (Unabhängige Aufsichtsbehörden), VII (Zusammenarbeit und Kohärenz) und IX (Vorschriften für besondere Verarbeitungssituationen) keine Anwendung. Die Datenschutzbehörde hat bei Ausübung ihrer Befugnisse gegenüber den im ersten Satz genannten Personen den Schutz des Redaktionsgeheimnisses (§ 31 MedienG) zu beachten.mit folgenden Maßgaben:AufFür die Verarbeitung von personenbezogenenpersonenbezogener Daten durch Medieninhaber, Herausgeber, Medienmitarbeiter und Arbeitnehmer eines Medienunternehmens oder Mediendienstes im Sinne des Mediengesetzes – MedienG, Bundesgesetzblatt Nr. 314 aus 1981,, sowie durch sonstige Personen, die in einem Medienunternehmen oder Mediendienst auf Grundlage eines Vertrages an der inhaltlichen Gestaltung eines Mediums oder der inhaltlichen Gestaltung der Mitteilungen eines Mediendienstes journalistisch mitwirken, zu journalistischen Zwecken des Medienunternehmens oder Mediendienstes findengelten die Bestimmungen der DSGVO sowie dieses Bundesgesetzes sowie von der DSGVO die Kapitel römisch II (Grundsätze), römisch III (Rechte der betroffenen Person), römisch IV (Verantwortlicher und Auftragsverarbeiter), römisch fünf (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen), römisch VI (Unabhängige Aufsichtsbehörden), römisch VII (Zusammenarbeit und Kohärenz) und römisch IX (Vorschriften für besondere Verarbeitungssituationen) keine Anwendung. Die Datenschutzbehörde hat bei Ausübung ihrer Befugnisse gegenüber den im ersten Satz genannten Personen den Schutz des Redaktionsgeheimnisses (Paragraph 31, MedienG) zu beachten.mit folgenden Maßgaben:
| § 9. (1) The provisions of this federal law and Chapter II (principles), Chapter III (rights of the data subject), Chapter IV (controller and processor), Chapter V (transfer of personal data to third countries or international organisations), Chapter VI (independent supervisory authorities), Chapter VII (cooperation and consistency) and Chapter IX (specific data processing situations) of the General Data Protection Regulation shall not apply to the processing of personal data by media owners, editors, copy editors and employees of a media undertaking or a media service as defined in the Media Act, Federal Law Gazette No 314/1981, for journalistic purposes of the media undertaking or media service. In exercising its powers in relation to the persons referred to in the first sentence, the Data Protection Authority shall take into consideration the protection of editorial confidentiality (§ 31 of the Media Act).Paragraph 9, (1) The provisions of this federal law and Chapter römisch II (principles), Chapter römisch III (rights of the data subject), Chapter römisch IV (controller and processor), Chapter römisch fünf (transfer of personal data to third countries or international organisations), Chapter römisch VI (independent supervisory authorities), Chapter römisch VII (cooperation and consistency) and Chapter römisch IX (specific data processing situations) of the General Data Protection Regulation shall not apply to the processing of personal data by media owners, editors, copy editors and employees of a media undertaking or a media service as defined in the Media Act, Federal Law Gazette No 314/1981, for journalistic purposes of the media undertaking or media service. In exercising its powers in relation to the persons referred to in the first sentence, the Data Protection Authority shall take into consideration the protection of editorial confidentiality (Paragraph 31, of the Media Act). |
Der Verantwortliche ist gegenüber der betroffenen Person nicht zur Offenlegung von Informationen verpflichtet, die dem Schutz des Redaktionsgeheimnisses (§ 31 MedienG) unterliegen (datenschutzrechtliches Redaktionsgeheimnis); § 31 Abs. 2 MedienG ist anzuwenden. In Verfahren vor Gerichten und Behörden, die Angelegenheiten des Datenschutzes zum Gegenstand haben, gilt § 31 MedienG mit der Maßgabe, dass der Verantwortliche die Beantwortung von Fragen im Sinne des § 31 Abs. 1 MedienG nicht nur als Zeuge, sondern auch als sonst Verfahrensbeteiligter verweigern darf. § 321 Abs. 1 der Zivilprozessordnung – ZPO, RGBl. Nr. 113/1895, ist sinngemäß anzuwenden. Die Datenschutzbehörde hat bei Ausübung ihrer Befugnisse den Schutz des Redaktionsgeheimnisses zu beachten.Der Verantwortliche ist gegenüber der betroffenen Person nicht zur Offenlegung von Informationen verpflichtet, die dem Schutz des Redaktionsgeheimnisses (Paragraph 31, MedienG) unterliegen (datenschutzrechtliches Redaktionsgeheimnis); Paragraph 31, Absatz 2, MedienG ist anzuwenden. In Verfahren vor Gerichten und Behörden, die Angelegenheiten des Datenschutzes zum Gegenstand haben, gilt Paragraph 31, MedienG mit der Maßgabe, dass der Verantwortliche die Beantwortung von Fragen im Sinne des Paragraph 31, Absatz eins, MedienG nicht nur als Zeuge, sondern auch als sonst Verfahrensbeteiligter verweigern darf. Paragraph 321, Absatz eins, der Zivilprozessordnung – ZPO, RGBl. Nr. 113/1895, ist sinngemäß anzuwenden. Die Datenschutzbehörde hat bei Ausübung ihrer Befugnisse den Schutz des Redaktionsgeheimnisses zu beachten.
| |
Der Verantwortliche ist berechtigt, personenbezogene Daten einschließlich der in Art. 9 Abs. 1 DSGVO genannten besonderen Kategorien personenbezogener Daten sowie personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln (Art. 10 DSGVO) zu verarbeiten, soweit dies für journalistische Zwecke erfolgt. Art. 10 letzter Satz DSGVO bleibt unberührt. Die §§ 12 und 13 dieses Bundesgesetzes sind nicht anwendbar.Der Verantwortliche ist berechtigt, personenbezogene Daten einschließlich der in Artikel 9, Absatz eins, DSGVO genannten besonderen Kategorien personenbezogener Daten sowie personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln (Artikel 10, DSGVO) zu verarbeiten, soweit dies für journalistische Zwecke erfolgt. Artikel 10, letzter Satz DSGVO bleibt unberührt. Die Paragraphen 12 und 13 dieses Bundesgesetzes sind nicht anwendbar.
| |
Art. 5 Abs. 1 lit. a DSGVO gilt in Bezug auf den Grundsatz der Transparenz mit der Maßgabe, dass die Verarbeitung personenbezogener Daten für die betroffene Person nur insoweit nachvollziehbar sein muss, als dadurch die Meinungsäußerungs- und Informationsfreiheit nicht unverhältnismäßig beeinträchtigt wird, und nur insoweit, als die Bestimmungen dieses Absatzes nicht anderes vorsehen.Artikel 5, Absatz eins, Litera a, DSGVO gilt in Bezug auf den Grundsatz der Transparenz mit der Maßgabe, dass die Verarbeitung personenbezogener Daten für die betroffene Person nur insoweit nachvollziehbar sein muss, als dadurch die Meinungsäußerungs- und Informationsfreiheit nicht unverhältnismäßig beeinträchtigt wird, und nur insoweit, als die Bestimmungen dieses Absatzes nicht anderes vorsehen.
| |
Die Art. 13 und 14 (Informationspflicht) sowie Art. 21 Abs. 1 (Widerspruchsrecht) DSGVO sind nicht anwendbar.Die Artikel 13 und 14 (Informationspflicht) sowie Artikel 21, Absatz eins, (Widerspruchsrecht) DSGVO sind nicht anwendbar.
| |
Das Auskunftsrecht (Art. 15 DSGVO) ist in Bezug auf personenbezogene Daten, auf deren Grundlage noch keine Veröffentlichung erfolgt ist, nicht anwendbar. Im Übrigen gilt das Auskunftsrecht (Art. 15 DSGVO) mit der Maßgabe, dass die betroffene Person Auskünfte nur in Bezug auf bestimmte, im Antrag auf Auskunft konkret zu bezeichnende Veröffentlichungen verlangen darf und ihre Betroffenheit individuell zu begründen hat und der Verantwortliche abweichend von Art. 12 Abs. 5 erster Satz DSGVO berechtigt ist, für die Bearbeitung von Auskunftsersuchen ein Entgelt von 9 Euro zu verlangen; unterlässt die betroffene Person die konkrete Bezeichnung einer Veröffentlichung, die individuelle Begründung ihrer Betroffenheit oder legt sie keinen Nachweis für die Bezahlung des Entgelts vor, so kann der Verantwortliche sich weigern, aufgrund des Antrags tätig zu werden. Der Verantwortliche ist berechtigt, die Auskunft zu verweigern, soweit dies im Einzelfall zum Schutz der Meinungsäußerungs- und Informationsfreiheit erforderlich und verhältnismäßig ist; in solchen Fällen muss der Verantwortliche bei der Beantwortung des Auskunftsersuchens gegenüber der betroffenen Person nicht offenlegen, ob ihre personenbezogenen Daten verarbeitet werden, soweit dadurch der Zweck der Auskunftsverweigerung unterlaufen würde. Das Recht auf Kopie (Art. 15 Abs. 3 DSGVO) ist ausgeschlossen.Das Auskunftsrecht (Artikel 15, DSGVO) ist in Bezug auf personenbezogene Daten, auf deren Grundlage noch keine Veröffentlichung erfolgt ist, nicht anwendbar. Im Übrigen gilt das Auskunftsrecht (Artikel 15, DSGVO) mit der Maßgabe, dass die betroffene Person Auskünfte nur in Bezug auf bestimmte, im Antrag auf Auskunft konkret zu bezeichnende Veröffentlichungen verlangen darf und ihre Betroffenheit individuell zu begründen hat und der Verantwortliche abweichend von Artikel 12, Absatz 5, erster Satz DSGVO berechtigt ist, für die Bearbeitung von Auskunftsersuchen ein Entgelt von 9 Euro zu verlangen; unterlässt die betroffene Person die konkrete Bezeichnung einer Veröffentlichung, die individuelle Begründung ihrer Betroffenheit oder legt sie keinen Nachweis für die Bezahlung des Entgelts vor, so kann der Verantwortliche sich weigern, aufgrund des Antrags tätig zu werden. Der Verantwortliche ist berechtigt, die Auskunft zu verweigern, soweit dies im Einzelfall zum Schutz der Meinungsäußerungs- und Informationsfreiheit erforderlich und verhältnismäßig ist; in solchen Fällen muss der Verantwortliche bei der Beantwortung des Auskunftsersuchens gegenüber der betroffenen Person nicht offenlegen, ob ihre personenbezogenen Daten verarbeitet werden, soweit dadurch der Zweck der Auskunftsverweigerung unterlaufen würde. Das Recht auf Kopie (Artikel 15, Absatz 3, DSGVO) ist ausgeschlossen.
| |
Art. 16 (Recht auf Berichtigung), Art. 17 (Recht auf Löschung) und Art. 18 (Recht auf Einschränkung der Verarbeitung) DSGVO sind nicht anzuwendenArtikel 16, (Recht auf Berichtigung), Artikel 17, (Recht auf Löschung) und Artikel 18, (Recht auf Einschränkung der Verarbeitung) DSGVO sind nicht anzuwenden
| |
in Bezug auf personenbezogene Daten, auf deren Grundlage noch keine Veröffentlichung erfolgt ist;
| |
in Bezug auf personenbezogene Daten, die in einem Medium im Sinne des § 1 Abs. 1 Z 1 MedienG veröffentlicht wurden;in Bezug auf personenbezogene Daten, die in einem Medium im Sinne des Paragraph eins, Absatz eins, Ziffer eins, MedienG veröffentlicht wurden;
| |
soweit eine konkurrierende Anspruchsgrundlage wegen Verletzung der Persönlichkeitsrechte der betroffenen Person nach bürgerlichem Recht, insbesondere nach § 20 oder § 1330 des Allgemeinen bürgerlichen Gesetzbuches, JGS Nr. 946/1811, oder nach § 78 des Urheberrechtsgesetzes, BGBl. I Nr. 111/1936, besteht.soweit eine konkurrierende Anspruchsgrundlage wegen Verletzung der Persönlichkeitsrechte der betroffenen Person nach bürgerlichem Recht, insbesondere nach Paragraph 20, oder Paragraph 1330, des Allgemeinen bürgerlichen Gesetzbuches, JGS Nr. 946/1811, oder nach Paragraph 78, des Urheberrechtsgesetzes, Bundesgesetzblatt Teil eins, Nr. 111 aus 1936,, besteht.
| |
In allen anderen Fällen ist der Verantwortliche im Falle einer Geltendmachung der in Art. 16 und 18 DSGVO genannten Rechte durch die betroffene Person berechtigt, die Berichtigung oder die Einschränkung der Verarbeitung zu verweigern, soweit dies im Einzelfall zum Schutz der Meinungsäußerungs- und Informationsfreiheit erforderlich und verhältnismäßig ist.In allen anderen Fällen ist der Verantwortliche im Falle einer Geltendmachung der in Artikel 16 und 18 DSGVO genannten Rechte durch die betroffene Person berechtigt, die Berichtigung oder die Einschränkung der Verarbeitung zu verweigern, soweit dies im Einzelfall zum Schutz der Meinungsäußerungs- und Informationsfreiheit erforderlich und verhältnismäßig ist. | |
In den Fällen der Z 5 zweiter und dritter Satz, Z 6 zweiter Satz und Art. 17 Abs. 3 DSGVO ist die betroffene Person berechtigt, eine Überprüfung der Rechtmäßigkeit der Verweigerung der Auskunft, Berichtigung, Einschränkung der Verarbeitung oder Löschung durch die Datenschutzbehörde zu verlangen. Der Verantwortliche hat die betroffene Person über dieses Recht zu unterrichten. Wird dieses Recht ausgeübt, hat der Verantwortliche das Vorliegen der Voraussetzungen der bezüglichen Einschränkung glaubhaft zu machen. § 25 Abs. 3 ist mit der Maßgabe anzuwenden, dass die Datenschutzbehörde die betroffene Person nur darüber zu unterrichten hat, dass alle erforderlichen Prüfungen oder eine Überprüfung durch die Datenschutzbehörde erfolgt sind, es sei denn, dass die Datenschutzbehörde zum Ergebnis gelangt, dass die betreffende Einschränkung unzulässig war. Die Datenschutzbehörde hat zudem die betroffene Person über ihr Recht zu unterrichten, Beschwerde an das Bundesverwaltungsgericht zu erheben.In den Fällen der Ziffer 5, zweiter und dritter Satz, Ziffer 6, zweiter Satz und Artikel 17, Absatz 3, DSGVO ist die betroffene Person berechtigt, eine Überprüfung der Rechtmäßigkeit der Verweigerung der Auskunft, Berichtigung, Einschränkung der Verarbeitung oder Löschung durch die Datenschutzbehörde zu verlangen. Der Verantwortliche hat die betroffene Person über dieses Recht zu unterrichten. Wird dieses Recht ausgeübt, hat der Verantwortliche das Vorliegen der Voraussetzungen der bezüglichen Einschränkung glaubhaft zu machen. Paragraph 25, Absatz 3, ist mit der Maßgabe anzuwenden, dass die Datenschutzbehörde die betroffene Person nur darüber zu unterrichten hat, dass alle erforderlichen Prüfungen oder eine Überprüfung durch die Datenschutzbehörde erfolgt sind, es sei denn, dass die Datenschutzbehörde zum Ergebnis gelangt, dass die betreffende Einschränkung unzulässig war. Die Datenschutzbehörde hat zudem die betroffene Person über ihr Recht zu unterrichten, Beschwerde an das Bundesverwaltungsgericht zu erheben.
| |
Zum Schutz des datenschutzrechtlichen Redaktionsgeheimnisses, sowie soweit dies sonst zum Schutz der Meinungsäußerungs- und Informationsfreiheit, insbesondere im Hinblick auf Z 4 sowie Einschränkungen nach Z 5, erforderlich und verhältnismäßig ist, sind Verantwortliche im Sinne des Abs. 1 erster Satz sowie weitere Verantwortliche, die gemeinsam mit diesen personenbezogene Daten zu den in Abs. 1 erster Satz genannten Zwecken verarbeiten, nicht zur Offenlegung gemäß Art. 26 Abs. 2 zweiter Satz DSGVO verpflichtet.Zum Schutz des datenschutzrechtlichen Redaktionsgeheimnisses, sowie soweit dies sonst zum Schutz der Meinungsäußerungs- und Informationsfreiheit, insbesondere im Hinblick auf Ziffer 4, sowie Einschränkungen nach Ziffer 5,, erforderlich und verhältnismäßig ist, sind Verantwortliche im Sinne des Absatz eins, erster Satz sowie weitere Verantwortliche, die gemeinsam mit diesen personenbezogene Daten zu den in Absatz eins, erster Satz genannten Zwecken verarbeiten, nicht zur Offenlegung gemäß Artikel 26, Absatz 2, zweiter Satz DSGVO verpflichtet.
| |
Art. 33 DSGVO (Meldung einer Datenschutzverletzung an die Aufsichtsbehörde) ist mit der Maßgabe anzuwenden, dass eine Verletzung des Schutzes personenbezogener Daten nur dann an die Datenschutzbehörde zu melden ist, wenn sie voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat. Eine Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person gemäß Art. 34 DSGVO ist nur nach Maßgabe einer Anweisung der Datenschutzbehörde gemäß Art. 58 Abs. 2 lit. e DSGVO und, soweit das datenschutzrechtliche Redaktionsgeheimnis dadurch nicht beeinträchtigt wird, erforderlich.Artikel 33, DSGVO (Meldung einer Datenschutzverletzung an die Aufsichtsbehörde) ist mit der Maßgabe anzuwenden, dass eine Verletzung des Schutzes personenbezogener Daten nur dann an die Datenschutzbehörde zu melden ist, wenn sie voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat. Eine Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person gemäß Artikel 34, DSGVO ist nur nach Maßgabe einer Anweisung der Datenschutzbehörde gemäß Artikel 58, Absatz 2, Litera e, DSGVO und, soweit das datenschutzrechtliche Redaktionsgeheimnis dadurch nicht beeinträchtigt wird, erforderlich.
| |
Art. 38 DSGVO (Stellung des Datenschutzbeauftragten) gilt mit der Maßgabe, dass der Verantwortliche oder der Auftragsverarbeiter den Zugang des Datenschutzbeauftragten zu personenbezogenen Daten, die zu journalistischen Zwecken verarbeitet werden, einschränken kann, soweit dies zum Schutz der Meinungsäußerungs- und Informationsfreiheit erforderlich und verhältnismäßig ist.Artikel 38, DSGVO (Stellung des Datenschutzbeauftragten) gilt mit der Maßgabe, dass der Verantwortliche oder der Auftragsverarbeiter den Zugang des Datenschutzbeauftragten zu personenbezogenen Daten, die zu journalistischen Zwecken verarbeitet werden, einschränken kann, soweit dies zum Schutz der Meinungsäußerungs- und Informationsfreiheit erforderlich und verhältnismäßig ist.
| |
Der Verantwortliche und der Auftragsverarbeiter sind nicht zur Einhaltung der Vorschriften des Kapitel V der DSGVO (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen) verpflichtet. Unbeschadet des Art. 24 DSGVO (Verantwortung des für die Verarbeitung Verantwortlichen) haben der Verantwortliche und der Auftragsverarbeiter geeignete Maßnahmen zu treffen, um sicherzustellen, dass die Rechte und Freiheiten der betroffenen Person im Falle einer Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen nicht unverhältnismäßig beeinträchtigt werden.Der Verantwortliche und der Auftragsverarbeiter sind nicht zur Einhaltung der Vorschriften des Kapitel römisch fünf der DSGVO (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen) verpflichtet. Unbeschadet des Artikel 24, DSGVO (Verantwortung des für die Verarbeitung Verantwortlichen) haben der Verantwortliche und der Auftragsverarbeiter geeignete Maßnahmen zu treffen, um sicherzustellen, dass die Rechte und Freiheiten der betroffenen Person im Falle einer Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen nicht unverhältnismäßig beeinträchtigt werden.
| |
In Verhaltensregeln gemäß Art. 40 Abs. 2 DSGVO können Einschränkungen gemäß Z 5 dritter Satz und Z 6 zweiter Satz sowie geeignete Maßnahmen im Sinne der Z 11 zweiter Satz dieses Absatzes näher präzisiert werden. Die Datenschutzbehörde hat in Verfahren gemäß Art. 40 Abs. 5 DSGVO eine Stellungnahme der Kommunikationsbehörde Austria („KommAustria“) (§ 1 Abs. 1 KommAustriaG – KOG, BGBl. I Nr. 32/2001) zum Entwurf der Verhaltensregeln bzw. zum Entwurf zu deren Änderung oder Erweiterung einzuholen.In Verhaltensregeln gemäß Artikel 40, Absatz 2, DSGVO können Einschränkungen gemäß Ziffer 5, dritter Satz und Ziffer 6, zweiter Satz sowie geeignete Maßnahmen im Sinne der Ziffer 11, zweiter Satz dieses Absatzes näher präzisiert werden. Die Datenschutzbehörde hat in Verfahren gemäß Artikel 40, Absatz 5, DSGVO eine Stellungnahme der Kommunikationsbehörde Austria („KommAustria“) (Paragraph eins, Absatz eins, KommAustriaG – KOG, Bundesgesetzblatt Teil eins, Nr. 32 aus 2001,) zum Entwurf der Verhaltensregeln bzw. zum Entwurf zu deren Änderung oder Erweiterung einzuholen.
| |
Art. 56 (Zuständigkeit der federführenden Aufsichtsbehörde) und Kapitel VII der DSGVO (Zusammenarbeit und Kohärenz) sind nicht anwendbar.Artikel 56, (Zuständigkeit der federführenden Aufsichtsbehörde) und Kapitel römisch VII der DSGVO (Zusammenarbeit und Kohärenz) sind nicht anwendbar.
| |
(1a)Absatz eins aFür die nicht von Abs. 1 erfasste Verarbeitung personenbezogener Daten zu journalistischen Zwecken gilt Abs. 1 Z 1, 4 und 13; Abs. 1 Z 3 gilt mit der Maßgabe, dass sich der Verweis auf die Bestimmungen in Abs. 1 Z 1, 4 und 13 und Abs. 1a bezieht. Der Verantwortliche ist berechtigt, personenbezogene Daten, aus denen politische Meinungen oder religiöse oder weltanschauliche Überzeugungen hervorgehen (Art. 9 Abs. 1 DSGVO), sowie personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln (Art. 10 DSGVO) zur Wahrung berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) zu verarbeiten, soweit dies zur Ausübung der Meinungsäußerungs- und Informationsfreiheit erforderlich und verhältnismäßig ist. Art. 10 letzter Satz DSGVO bleibt unberührt. In Bezug auf personenbezogene Daten, die in einem Medium im Sinne des § 1 Abs. 1 Z 1 MedienG veröffentlicht wurden, sind die Art. 16 (Recht auf Berichtigung), 17 (Recht auf Löschung) und 18 (Recht auf Einschränkung der Verarbeitung) DSGVO nicht anzuwenden. Im Übrigen ist der Verantwortliche berechtigt, in Bezug auf zu journalistischen Zwecken verarbeitete personenbezogene Daten, auf deren Grundlage noch keine Veröffentlichung erfolgt ist, im Falle einer Geltendmachung der in den Art. 15 bis 18 DSGVO genannten Rechte durch die betroffene Person die Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung zu verweigern, soweit dies im Einzelfall zum Schutz der Meinungsäußerungs- und Informationsfreiheit erforderlich und verhältnismäßig ist; § 25 Abs. 3 ist anzuwenden. Derartige Einschränkungen können in Verhaltensregeln gemäß Art. 40 Abs. 2 DSGVO näher präzisiert werden. Die Datenschutzbehörde hat in Verfahren gemäß Art. 40 Abs. 5 DSGVO eine Stellungnahme der KommAustria zum Entwurf der Verhaltensregeln bzw. zum Entwurf zu deren Änderung oder Erweiterung einzuholen.Für die nicht von Absatz eins, erfasste Verarbeitung personenbezogener Daten zu journalistischen Zwecken gilt Absatz eins, Ziffer eins,, 4 und 13; Absatz eins, Ziffer 3, gilt mit der Maßgabe, dass sich der Verweis auf die Bestimmungen in Absatz eins, Ziffer eins,, 4 und 13 und Absatz eins a, bezieht. Der Verantwortliche ist berechtigt, personenbezogene Daten, aus denen politische Meinungen oder religiöse oder weltanschauliche Überzeugungen hervorgehen (Artikel 9, Absatz eins, DSGVO), sowie personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln (Artikel 10, DSGVO) zur Wahrung berechtigter Interessen (Artikel 6, Absatz eins, Litera f, DSGVO) zu verarbeiten, soweit dies zur Ausübung der Meinungsäußerungs- und Informationsfreiheit erforderlich und verhältnismäßig ist. Artikel 10, letzter Satz DSGVO bleibt unberührt. In Bezug auf personenbezogene Daten, die in einem Medium im Sinne des Paragraph eins, Absatz eins, Ziffer eins, MedienG veröffentlicht wurden, sind die Artikel 16, (Recht auf Berichtigung), 17 (Recht auf Löschung) und 18 (Recht auf Einschränkung der Verarbeitung) DSGVO nicht anzuwenden. Im Übrigen ist der Verantwortliche berechtigt, in Bezug auf zu journalistischen Zwecken verarbeitete personenbezogene Daten, auf deren Grundlage noch keine Veröffentlichung erfolgt ist, im Falle einer Geltendmachung der in den Artikel 15 bis 18 DSGVO genannten Rechte durch die betroffene Person die Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung zu verweigern, soweit dies im Einzelfall zum Schutz der Meinungsäußerungs- und Informationsfreiheit erforderlich und verhältnismäßig ist; Paragraph 25, Absatz 3, ist anzuwenden. Derartige Einschränkungen können in Verhaltensregeln gemäß Artikel 40, Absatz 2, DSGVO näher präzisiert werden. Die Datenschutzbehörde hat in Verfahren gemäß Artikel 40, Absatz 5, DSGVO eine Stellungnahme der KommAustria zum Entwurf der Verhaltensregeln bzw. zum Entwurf zu deren Änderung oder Erweiterung einzuholen.
| |
(2)Absatz 2Soweit dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen, finden von der DSGVO die Kapitel II (Grundsätze), mit Ausnahme des Art. 5, Kapitel III (Rechte der betroffenen Person), Kapitel IV (Verantwortlicher und Auftragsverarbeiter), mit Ausnahme der Art. 28, 29 und 32, Kapitel V (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen), Kapitel VI (Unabhängige Aufsichtsbehörden), Kapitel VII (Zusammenarbeit und Kohärenz) und Kapitel IX (Vorschriften für besondere Verarbeitungssituationen) auf die Verarbeitung, die zu wissenschaftlichen, künstlerischen oder literarischen Zwecken erfolgt, keine Anwendung. Von den Bestimmungen dieses Bundesgesetzes ist in solchen Fällen § 6 (Datengeheimnis) anzuwenden.Soweit dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen, finden von der DSGVO die Kapitel römisch II (Grundsätze), mit Ausnahme des Artikel 5,, Kapitel römisch III (Rechte der betroffenen Person), Kapitel römisch IV (Verantwortlicher und Auftragsverarbeiter), mit Ausnahme der Artikel 28,, 29 und 32, Kapitel römisch fünf (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen), Kapitel römisch VI (Unabhängige Aufsichtsbehörden), Kapitel römisch VII (Zusammenarbeit und Kohärenz) und Kapitel römisch IX (Vorschriften für besondere Verarbeitungssituationen) auf die Verarbeitung, die zu wissenschaftlichen, künstlerischen oder literarischen Zwecken erfolgt, keine Anwendung. Von den Bestimmungen dieses Bundesgesetzes ist in solchen Fällen Paragraph 6, (Datengeheimnis) anzuwenden.
| (2)Absatz 2If it is necessary to reconcile the right to the protection of personal data with the freedom of expression and information, Chapter II (principles), with the exception of Article 5, Chapter III (rights of the data subject), Chapter IV (controller and processor), with the exception of Articles 28, 29 and 32, Chapter V (transfer of personal data to third countries or international organisations), Chapter VI (independent supervisory authorities), Chapter VII (cooperation and consistency) and Chapter IX (specific data processing situations) of the General Data Protection Regulation shall not apply to processing for the purposes of academic, artistic or literary expression. Of the provisions of this federal law, § 6 (confidentiality of data) shall be applied in such cases.römisch eins f it is necessary to reconcile the right to the protection of personal data with the freedom of expression and information, Chapter römisch II (principles), with the exception of Article 5, Chapter römisch III (rights of the data subject), Chapter römisch IV (controller and processor), with the exception of Articles 28, 29 and 32, Chapter römisch fünf (transfer of personal data to third countries or international organisations), Chapter römisch VI (independent supervisory authorities), Chapter römisch VII (cooperation and consistency) and Chapter römisch IX (specific data processing situations) of the General Data Protection Regulation shall not apply to processing for the purposes of academic, artistic or literary expression. Of the provisions of this federal law, Paragraph 6, (confidentiality of data) shall be applied in such cases.
|
Verarbeitung personenbezogener Daten im Katastrophenfall | Processing of personal data in case of emergency |
§ 10.Paragraph 10,(1)Absatz einsVerantwortliche des öffentlichen Bereichs und Hilfsorganisationen sind im Katastrophenfall ermächtigt, personenbezogene Daten gemeinsam zu verarbeiten, soweit dies zur Hilfeleistung für die von der Katastrophe unmittelbar betroffenen Personen, zur Auffindung und Identifizierung von Abgängigen und Verstorbenen und zur Information von Angehörigen notwendig ist.
| § 10.Paragraph 10,(1)Absatz einsIn case of emergency, public-sector controllers and relief organisations shall be authorised to jointly process data to the extent that this is necessary to assist persons directly affected by a disaster, to locate and identify missing or deceased persons and to provide information to their relatives.
|
(2)Absatz 2Wer rechtmäßig über personenbezogene Daten verfügt, darf diese an Verantwortliche des öffentlichen Bereichs und Hilfsorganisationen übermitteln, sofern diese die personenbezogenen Daten zur Bewältigung der Katastrophe für die in Abs. 1 genannten Zwecke benötigen.Wer rechtmäßig über personenbezogene Daten verfügt, darf diese an Verantwortliche des öffentlichen Bereichs und Hilfsorganisationen übermitteln, sofern diese die personenbezogenen Daten zur Bewältigung der Katastrophe für die in Absatz eins, genannten Zwecke benötigen.
| (2)Absatz 2Anybody who lawfully possesses personal data shall be permitted to transfer these data to public-sector controllers and relief organisations if these controllers and organisations need this personal data to manage a disaster for the purposes specified in para. 1.
|
(3)Absatz 3Eine Übermittlung von personenbezogenen Daten in das Ausland ist zulässig, soweit dies für die Erfüllung der in Abs. 1 genannten Zwecke unbedingt notwendig ist. Daten, die für sich allein die betroffene Person strafrechtlich belasten, dürfen nicht übermittelt werden, es sei denn, dass diese zur Identifizierung im Einzelfall unbedingt notwendig sind. Die Datenschutzbehörde ist von den veranlassten Übermittlungen und den näheren Umständen des Anlass gebenden Sachverhaltes unverzüglich zu verständigen. Die Datenschutzbehörde hat zum Schutz der Betroffenenrechte weitere Datenübermittlungen zu untersagen, wenn der durch die Datenweitergabe bewirkte Eingriff in das Grundrecht auf Datenschutz durch die besonderen Umstände der Katastrophensituation nicht gerechtfertigt ist.Eine Übermittlung von personenbezogenen Daten in das Ausland ist zulässig, soweit dies für die Erfüllung der in Absatz eins, genannten Zwecke unbedingt notwendig ist. Daten, die für sich allein die betroffene Person strafrechtlich belasten, dürfen nicht übermittelt werden, es sei denn, dass diese zur Identifizierung im Einzelfall unbedingt notwendig sind. Die Datenschutzbehörde ist von den veranlassten Übermittlungen und den näheren Umständen des Anlass gebenden Sachverhaltes unverzüglich zu verständigen. Die Datenschutzbehörde hat zum Schutz der Betroffenenrechte weitere Datenübermittlungen zu untersagen, wenn der durch die Datenweitergabe bewirkte Eingriff in das Grundrecht auf Datenschutz durch die besonderen Umstände der Katastrophensituation nicht gerechtfertigt ist.
| (3)Absatz 3The transfer abroad of personal data is permitted insofar as this is absolutely necessary to fulfil the purposes mentioned in para. 1. Data that by themselves would make the data subject liable to criminal prosecution shall not be transferred unless they are absolutely necessary for identification in a particular case. The Data Protection Authority shall be informed immediately about the data transfers performed and about the circumstances of the motivating incident. The Data Protection Authority shall prohibit further data transfers if the interference with the fundamental right to data protection resulting from the data transfer is not justified by the special circumstances caused by a disaster.
|
(4)Absatz 4Auf Grund einer konkreten Anfrage eines nahen Angehörigen einer tatsächlich oder vermutlich von der Katastrophe unmittelbar betroffenen Person sind Verantwortliche ermächtigt, dem Anfragenden personenbezogene Daten zum Aufenthalt der betroffenen Person und dem Stand der Ausforschung zu übermitteln, wenn der Angehörige seine Identität und das Naheverhältnis glaubhaft darlegt.
| (4)Absatz 4Based on a specific inquiry of a close relative of a person who has actually or presumably been directly affected by a disaster, controllers are authorised to transfer to the inquiring person personal data regarding the whereabouts of the data subject and on the progress of the search, if the relative satisfactorily demonstrates his or her identity and close relationship to the data subject.
|
Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) dürfen an nahe Angehörige nur übermittelt werden, wenn sie ihre Identität und ihre Angehörigeneigenschaft nachweisen und die Übermittlung zur Wahrung ihrer Rechte oder jener der betroffenen Person erforderlich ist. Die Sozialversicherungsträger und Behörden sind verpflichtet, die Verantwortlichen des öffentlichen Bereichs und Hilfsorganisationen zu unterstützen, soweit dies zur Überprüfung der Angaben des Anfragenden erforderlich ist.Besondere Kategorien personenbezogener Daten (Artikel 9, DSGVO) dürfen an nahe Angehörige nur übermittelt werden, wenn sie ihre Identität und ihre Angehörigeneigenschaft nachweisen und die Übermittlung zur Wahrung ihrer Rechte oder jener der betroffenen Person erforderlich ist. Die Sozialversicherungsträger und Behörden sind verpflichtet, die Verantwortlichen des öffentlichen Bereichs und Hilfsorganisationen zu unterstützen, soweit dies zur Überprüfung der Angaben des Anfragenden erforderlich ist. | Special categories of personal data (Article 9 of the General Data Protection Regulation) may be transferred to close relatives only if they prove their identity and their capacity as a relative and if the transfer is necessary to safeguard their rights or the rights of the data subject. The social insurance agencies and authorities are obliged to assist the public-sector controllers and relief organisations if this is necessary to verify the information provided by the inquiring person. |
(5)Absatz 5Als nahe Angehörige im Sinne dieser Bestimmung sind Eltern, Kinder, Ehegatten, eingetragene Partner und Lebensgefährten der betroffenen Personen zu verstehen. Andere Angehörige dürfen die erwähnten Auskünfte unter denselben Voraussetzungen wie nahe Angehörige dann erhalten, wenn sie eine besondere Nahebeziehung zu der von der Katastrophe tatsächlich oder vermutlich unmittelbar betroffenen Person glaubhaft machen.
| (5)Absatz 5Close relatives pursuant to this provision means parents, children, spouses, registered partners and companions in life of the data subjects. Other relatives may receive the aforementioned information under the same conditions as close relatives if they satisfactorily demonstrate a special close relationship to the person actually or presumably directly affected by a disaster.
|
(6)Absatz 6Die zu Zwecken der Bewältigung des Katastrophenfalles verarbeiteten personenbezogenen Daten sind unverzüglich zu löschen, wenn sie für die Erfüllung des konkreten Zwecks nicht mehr benötigt werden.
| (6)Absatz 6The personal data processed for the purposes of managing a disaster shall be deleted immediately if they are no longer required to fulfil the specific purpose.
|
Verwarnung durch die Datenschutzbehörde | Reprimand by the Data Protection Authority |
§ 11.Paragraph 11, Die Datenschutzbehörde wird den Katalog des Art. 83 Abs. 2 bis 6 DSGVO so zur Anwendung bringen, dass die Verhältnismäßigkeit gewahrt wird. Insbesondere bei erstmaligen Verstößen wird die Datenschutzbehörde im Einklang mit Art. 58 DSGVO von ihren Abhilfebefugnissen insbesondere durch Verwarnen Gebrauch machen. Die Datenschutzbehörde wird den Katalog des Artikel 83, Absatz 2 bis 6 DSGVO so zur Anwendung bringen, dass die Verhältnismäßigkeit gewahrt wird. Insbesondere bei erstmaligen Verstößen wird die Datenschutzbehörde im Einklang mit Artikel 58, DSGVO von ihren Abhilfebefugnissen insbesondere durch Verwarnen Gebrauch machen. | § 11. The Data Protection Authority shall apply the catalogue of Paragraph 11, The Data Protection Authority shall apply the catalogue of Article Article Article 83 paras. 2 to 6 of the General Data Protection Regulation in a manner so as to observe proportionality. In the case of first-time infringements, in particular, the Data Protection Authority shall use its corrective powers in accordance with Article Article Article 58 of the General Data Protection Regulation, in particular by issuing reprimands. |
3. Abschnitt | Part 3 |
Bildverarbeitung | Processing of images |
Zulässigkeit der Bildaufnahme | Permissibility of recording images |
§ 12.Paragraph 12,(1)Absatz einsEine Bildaufnahme im Sinne dieses Abschnittes bezeichnet die durch Verwendung technischer Einrichtungen zur Bildverarbeitung vorgenommene Feststellung von Ereignissen im öffentlichen oder nicht-öffentlichen Raum zu privaten Zwecken. Zur Bildaufnahme gehören auch dabei mitverarbeitete akustische Informationen. Für eine derartige Bildaufnahme gilt dieser Abschnitt, soweit nicht durch andere Gesetze Besonderes bestimmt ist.
| § 12.Paragraph 12,(1)Absatz einsFor the purposes of this Part, recording images means observing occurrences in public or non-public space for private purposes, using technical devices for the processing of images. Recording images also includes acoustic information processed together with the images. This Part shall apply to such recording of images unless other laws provide for more specific provisions.
|
(2)Absatz 2Eine Bildaufnahme ist unter Berücksichtigung der Vorgaben gemäß § 13 zulässig, wennEine Bildaufnahme ist unter Berücksichtigung der Vorgaben gemäß Paragraph 13, zulässig, wenn
| (2)Absatz 2Considering the requirements pursuant to § 13, recording images is permitted ifConsidering the requirements pursuant to Paragraph 13,, recording images is permitted if
|
sie im lebenswichtigen Interesse einer Person erforderlich ist,
| it is necessary in the vital interest of a person,
|
die betroffene Person zur Verarbeitung ihrer personenbezogenen Daten eingewilligt hat,
| the data subject has consented to the processing of the data subject’s personal data,
|
sie durch besondere gesetzliche Bestimmungen angeordnet oder erlaubt ist, oder
| it is ordered or permitted by special statutory provisions, or
|
im Einzelfall überwiegende berechtigte Interessen des Verantwortlichen oder eines Dritten bestehen und die Verhältnismäßigkeit gegeben ist.
| there are overriding legitimate interests of the controller or a third party in a particular case, and proportionality is given.
|
(3)Absatz 3Eine Bildaufnahme ist gemäß Abs. 2 Z 4 insbesondere dann zulässig, wennEine Bildaufnahme ist gemäß Absatz 2, Ziffer 4, insbesondere dann zulässig, wenn
| (3)Absatz 3Recording images pursuant to para. 2 subpara. 4 is permitted, in particular, if
|
sie dem vorbeugenden Schutz von Personen oder Sachen auf privaten Liegenschaften, die ausschließlich vom Verantwortlichen genutzt werden, dient, und räumlich nicht über die Liegenschaft hinausreicht, mit Ausnahme einer zur Zweckerreichung allenfalls unvermeidbaren Einbeziehung öffentlicher Verkehrsflächen,
| it serves the precautionary protection of persons and items on private land exclusively used by the controller and does not reach beyond the boundaries of the piece of land, except when it includes public traffic areas, which may be unavoidable to fulfil the purpose of the image recording.
|
sie für den vorbeugenden Schutz von Personen oder Sachen an öffentlich zugänglichen Orten, die dem Hausrecht des Verantwortlichen unterliegen, aufgrund bereits erfolgter Rechtsverletzungen oder eines in der Natur des Ortes liegenden besonderen Gefährdungspotenzials erforderlich ist, oder
| it is required for the precautionary protection of persons or items in publicly accessible places that are subject to the controller’s right to undisturbed possession because that right has already been infringed or because the place, by its nature, has a special risk potential, or
|
sie ein privates Dokumentationsinteresse verfolgt, das nicht auf die identifizierende Erfassung unbeteiligter Personen oder die gezielte Erfassung von Objekten, die sich zur mittelbaren Identifizierung solcher Personen eignen, gerichtet ist.
| it serves a private documentary interest and does not aim to record uninvolved persons to identify them or to record, in a targeted manner, items that are appropriate for indirectly identifying such persons.
|
(4)Absatz 4Unzulässig ist
| (4)Absatz 4It is not permitted to:römisch eins t is not permitted to:
|
eine Bildaufnahme ohne ausdrückliche Einwilligung der betroffenen Person in deren höchstpersönlichen Lebensbereich,
| record images in a data subject’s most private sphere without the express consent of the data subject,
|
eine Bildaufnahme zum Zweck der Kontrolle von Arbeitnehmern,
| record images to monitor employees,
|
der automationsunterstützte Abgleich von mittels Bildaufnahmen gewonnenen personenbezogenen Daten ohne ausdrückliche Einwilligung und für das Erstellen von Persönlichkeitsprofilen mit anderen personenbezogenen Daten oder
| align with other personal data, in an automated manner without express consent and for creating personal profiles, personal data obtained from image recordings, or
|
die Auswertung von mittels Bildaufnahmen gewonnenen personenbezogenen Daten anhand von besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) als Auswahlkriterium.die Auswertung von mittels Bildaufnahmen gewonnenen personenbezogenen Daten anhand von besonderen Kategorien personenbezogener Daten (Artikel 9, DSGVO) als Auswahlkriterium.
| analyse personal data obtained from image recordings on the basis of special categories of personal data (Article 9 of the General Data Protection Regulation) as selection criteria.
|
(5)Absatz 5Im Wege einer zulässigen Bildaufnahme ermittelte personenbezogene Daten dürfen im erforderlichen Ausmaß übermittelt werden, wenn für die Übermittlung eine der Voraussetzungen des Abs. 2 Z 1 bis 4 gegeben ist. Abs. 4 gilt sinngemäß.Im Wege einer zulässigen Bildaufnahme ermittelte personenbezogene Daten dürfen im erforderlichen Ausmaß übermittelt werden, wenn für die Übermittlung eine der Voraussetzungen des Absatz 2, Ziffer eins bis 4 gegeben ist. Absatz 4, gilt sinngemäß.
| (5)Absatz 5Data collected by means of permitted image recording may be transferred to the extent required, if one of the requirements of para. 2 subparas. 1 to 4 is met. Para. 4 shall apply accordingly.
|
Besondere Datensicherheitsmaßnahmen und Kennzeichnung | Special data security measures and warning sign |
§ 13.Paragraph 13,(1)Absatz einsDer Verantwortliche hat dem Risiko des Eingriffs angepasste geeignete Datensicherheitsmaßnahmen zu ergreifen und dafür zu sorgen, dass der Zugang zur Bildaufnahme und eine nachträgliche Veränderung derselben durch Unbefugte ausgeschlossen ist.
| § 13.Paragraph 13,(1)Absatz einsThe controller shall take appropriate measures corresponding to the risk posed by an interference and ensure that unauthorised persons cannot access or subsequently change the image recording.
|
(2)Absatz 2Der Verantwortliche hat – außer in den Fällen einer Echtzeitüberwachung – jeden Verarbeitungsvorgang zu protokollieren.
| (2)Absatz 2Except in the case of real-time surveillance, the controller shall keep logs of every processing operation.
|
(3)Absatz 3Aufgenommene personenbezogene Daten sind vom Verantwortlichen zu löschen, wenn sie für den Zweck, für den sie ermittelt wurden, nicht mehr benötigt werden und keine andere gesetzlich vorgesehene Aufbewahrungspflicht besteht. Eine länger als 72 Stunden andauernde Aufbewahrung muss verhältnismäßig sein und ist gesondert zu protokollieren und zu begründen.
| (3)Absatz 3The controller shall erase personal data recorded if they are no longer necessary in relation to the purposes for which they were collected and if there is no other statutory obligation to maintain the data. Maintaining data for more than 72 hours must be proportionate; separate logs must kept of these data, and reasons must be stated.
|
(4)Absatz 4Die Abs. 1 bis 3 finden keine Anwendung auf Bildaufnahmen nach § 12 Abs. 3 Z 3.Die Absatz eins bis 3 finden keine Anwendung auf Bildaufnahmen nach Paragraph 12, Absatz 3, Ziffer 3,
| (4)Absatz 4Paras. 1 to 3 shall not be applied to image recordings pursuant to § 12 para. 3 subpara. 3.Paras. 1 to 3 shall not be applied to image recordings pursuant to Paragraph 12, para. 3 subpara. 3.
|
(5)Absatz 5Der Verantwortliche einer Bildaufnahme hat diese geeignet zu kennzeichnen. Aus der Kennzeichnung hat jedenfalls der Verantwortliche eindeutig hervorzugehen, es sei denn, dieser ist den betroffenen Personen nach den Umständen des Falles bereits bekannt.
| (5)Absatz 5The controller of an image recording must appropriately mark the recording. The warning sign shall clearly specify the controller, unless the controller is already known to the data subjects based on the circumstances of the case.
|
(6)Absatz 6Die Kennzeichnungspflicht gilt nicht in den Fällen des § 12 Abs. 3 Z 3 und für zeitlich strikt zu begrenzende Verarbeitungen im Einzelfall, deren Zweck ausschließlich mittels einer verdeckten Ermittlung erreicht werden kann, unter der Bedingung, dass der Verantwortliche ausreichende Garantien zur Wahrung der Betroffeneninteressen vorsieht, insbesondere durch eine nachträgliche Information der betroffenen Personen.Die Kennzeichnungspflicht gilt nicht in den Fällen des Paragraph 12, Absatz 3, Ziffer 3 und für zeitlich strikt zu begrenzende Verarbeitungen im Einzelfall, deren Zweck ausschließlich mittels einer verdeckten Ermittlung erreicht werden kann, unter der Bedingung, dass der Verantwortliche ausreichende Garantien zur Wahrung der Betroffeneninteressen vorsieht, insbesondere durch eine nachträgliche Information der betroffenen Personen.
| (6)Absatz 6The obligation to warning sign the data shall not apply in the cases referred to in § 12 para. 3 subpara. 3 and, in particular cases, to processing operations that must be strictly limited in terms of time and whose purpose can exclusively be achieved by means of covert investigation, provided that the controller ensures there are sufficient safeguards for the data subjects’ interests, in particular by subsequent notification of the data subject.The obligation to warning sign the data shall not apply in the cases referred to in Paragraph 12, para. 3 subpara. 3 and, in particular cases, to processing operations that must be strictly limited in terms of time and whose purpose can exclusively be achieved by means of covert investigation, provided that the controller ensures there are sufficient safeguards for the data subjects’ interests, in particular by subsequent notification of the data subject.
|
(7)Absatz 7Werden entgegen Abs. 5 keine ausreichenden Informationen bereitgestellt, kann jeder von einer Verarbeitung potenziell Betroffene vom Eigentümer oder Nutzungsberechtigten einer Liegenschaft oder eines Gebäudes oder sonstigen Objekts, von dem aus eine solche Verarbeitung augenscheinlich ausgeht, Auskunft über die Identität des Verantwortlichen begehren. Die unbegründete Nichterteilung einer derartigen Auskunft ist einer Verweigerung der Auskunft nach Art. 15 DSGVO gleichzuhalten.Werden entgegen Absatz 5, keine ausreichenden Informationen bereitgestellt, kann jeder von einer Verarbeitung potenziell Betroffene vom Eigentümer oder Nutzungsberechtigten einer Liegenschaft oder eines Gebäudes oder sonstigen Objekts, von dem aus eine solche Verarbeitung augenscheinlich ausgeht, Auskunft über die Identität des Verantwortlichen begehren. Die unbegründete Nichterteilung einer derartigen Auskunft ist einer Verweigerung der Auskunft nach Artikel 15, DSGVO gleichzuhalten.
| (7)Absatz 7If, in violation of para. 5, sufficient information is not provided, every data subject potentially affected by a processing operation can request information on the identity of the controller from the owner of, or person authorised to use, the piece of land or building or other property from which the processing operation evidently originates. Failure to provide such information without giving reasons shall be deemed a refusal to provide access pursuant to Article 15 of the General Data Protection Regulation.römisch eins f, in violation of para. 5, sufficient information is not provided, every data subject potentially affected by a processing operation can request information on the identity of the controller from the owner of, or person authorised to use, the piece of land or building or other property from which the processing operation evidently originates. Failure to provide such information without giving reasons shall be deemed a refusal to provide access pursuant to Article 15 of the General Data Protection Regulation.
|
2. Hauptstück | Chapter 2 |
Organe | Bodies |
1. Abschnitt | Part 1 |
Datenschutzrat | Data Protection Council |
Einrichtung und Aufgaben | Establishment and duties |
§ 14.Paragraph 14,(1)Absatz einsBeim Bundesministerium für Verfassung, Reformen, Deregulierung und Justiz ist ein Datenschutzrat eingerichtet. Dieser nimmt zu Fragen von grundsätzlicher Bedeutung für den Datenschutz Stellung, fördert die einheitliche Fortentwicklung des Datenschutzes und berät die Bundesregierung in rechtspolitischer Hinsicht bei datenschutzrechtlich relevanten Vorhaben.
| § 14.Paragraph 14,(1)Absatz einsA Data Protection Council has been established at the Federal Ministry of Constitutional Affairs, Reforms, Deregulation and Justice. The Data Protection Council shall comment on questions of fundamental importance for data protection, promote the uniform further development of data protection, and advise the Federal Government on legal policy in the case of projects relevant to data protection.
|
(2)Absatz 2Zur Erfüllung seiner Aufgaben nach Abs. 1Zur Erfüllung seiner Aufgaben nach Absatz eins,
| (2)Absatz 2To fulfil its duties pursuant to para. 1,
|
kann der Datenschutzrat Empfehlungen in datenschutzrechtlicher Hinsicht an die Bundesregierung und die Bundesminister richten;
| the Data Protection Council can make recommendations relating to data protection to the Federal Government and the federal ministers;
|
kann der Datenschutzrat Gutachten erstellen oder in Auftrag geben;
| the Data Protection Council can prepare opinions or commission such opinions;
|
ist dem Datenschutzrat Gelegenheit zur Stellungnahme zu Gesetzesentwürfen der Bundesministerien, soweit diese datenschutzrechtlich von Bedeutung sind, sowie zu Verordnungen im Vollzugsbereich des Bundes, die wesentliche Fragen des Datenschutzes betreffen, zu geben;
| the Data Protection Council shall be given the opportunity to comment on draft bills of federal ministries, insofar as these are significant for data protection law, and on regulations to be implemented by the Federal Government concerning essential issues of data protection;
|
hat der Datenschutzrat das Recht, von Verantwortlichen des öffentlichen Bereichs Auskünfte und Berichte zu verlangen, soweit dies zur datenschutzrechtlichen Beurteilung von Vorhaben mit wesentlichen Auswirkungen auf den Datenschutz in Österreich notwendig ist;
| the Data Protection Council shall have the right to request information and reports from public-sector controllers insofar as this is necessary to evaluate, from the viewpoint of data protection law, projects of significant impact on data protection in Austria;
|
kann der Datenschutzrat seine Beobachtungen, Bedenken und Anregungen veröffentlichen und den Verantwortlichen des öffentlichen Bereichs zur Kenntnis bringen.
| the Data Protection Council can publish its observations, concerns and suggestions and submit them to the public-sector controllers.
|
(3)Absatz 3Abs. 2 Z 3 und 4 gilt nicht, soweit innere Angelegenheiten der anerkannten Kirchen und Religionsgesellschaften betroffen sind.Absatz 2, Ziffer 3 und 4 gilt nicht, soweit innere Angelegenheiten der anerkannten Kirchen und Religionsgesellschaften betroffen sind.
| (3)Absatz 3Para. 2 subparas. 3 and 4 shall not apply insofar as internal affairs of recognised churches and religious communities are concerned.
|
Zusammensetzung | Composition |
§ 15.Paragraph 15,(1)Absatz einsDem Datenschutzrat gehören an:
| § 15.Paragraph 15,(1)Absatz einsThe Data Protection Council shall have the following members:
|
Vertreter der politischen Parteien: Zwölf Mitglieder entsenden die politischen Parteien nach dem System von d’Hondt im Verhältnis ihrer Mandatsstärke im Hauptausschuss des Nationalrates. Jede im Hauptausschuss des Nationalrates vertretene politische Partei hat Anspruch, im Datenschutzrat vertreten zu sein. Eine im Hauptausschuss des Nationalrates vertretene Partei, der nach der obigen Berechnung kein Mitglied zukommt, kann ein Mitglied namhaft machen;
| representatives of the political parties: The political parties shall delegate twelve members according to the d’Hondt method in proportion to the seats they have in the Main Committee of the National Council. Every political party represented in the Main Committee of the National Council has the right to be represented in the Data Protection Council. A party represented in the Main Committee of the National Council that cannot delegate a member according to the above calculation method can name a member;
|
je ein Vertreter der Bundeskammer für Arbeiter und Angestellte und der Wirtschaftskammer Österreich;
| one representative each of the Federal Chamber of Labour and the Austrian Federal Economic Chamber;
|
zwei Vertreter der Länder;
| two representatives of the provinces;
|
je ein Vertreter des Gemeindebundes und des Städtebundes;
| one representative each of the Association of Austrian Municipalities and the Association of Austrian Cities and Towns;
|
ein vom Bundesministervon der Bundesministerin für Verfassung, Reformen, Deregulierung und Justiz zu entsendender Vertreter des Bundes;
| one representative of the Federal Government to be delegated by the Federal Minister of Constitutional Affairs, Reforms, Deregulation and Justice;
|
ein von der Bundesregierung zu entsendender Vertreter aus dem Kreis der Datenschutzbeauftragten der Bundesministerien;
| one representative to be delegated by the Federal Government from among the data protection officers of the federal ministries;
|
zwei vom Datenschutzrat nach seiner Konstituierung zu benennende nationale oder internationale Experten aus dem Bereich des Datenschutzes.
| two national or international experts in data protection to be named by the Data Protection Council after its constitution.
|
(2)Absatz 2Die in Abs. 1 genannten Vertreter sollen Kenntnisse sowie Erfahrungen auf den Gebieten des Datenschutzrechtes, des Unionsrechtes und der Grundrechte haben.Die in Absatz eins, genannten Vertreter sollen Kenntnisse sowie Erfahrungen auf den Gebieten des Datenschutzrechtes, des Unionsrechtes und der Grundrechte haben.
| (2)Absatz 2The representatives mentioned in para. 1 should have knowledge of and experience in data protection law, Union law, and fundamental rights.
|
(3)Absatz 3Für jedes Mitglied gemäß Abs. 1 Z 1 bis 6 ist ein Ersatzmitglied zu entsenden, welches bei Verhinderung des Mitgliedes an dessen Stelle tritt. Die Entsendung der Mitglieder und Ersatzmitglieder ist dem Bundesministerium für Verfassung, Reformen, Deregulierung und Justiz schriftlich mitzuteilen.Für jedes Mitglied gemäß Absatz eins, Ziffer eins bis 6 ist ein Ersatzmitglied zu entsenden, welches bei Verhinderung des Mitgliedes an dessen Stelle tritt. Die Entsendung der Mitglieder und Ersatzmitglieder ist dem Bundesministerium für Verfassung, Reformen, Deregulierung und Justiz schriftlich mitzuteilen.
| (3)Absatz 3For each member pursuant to para. 1 subparas. 1 to 6, a substitute member shall be delegated who shall replace the member if the member is incapacitated or unavailable. The Federal Ministry of Constitutional Affairs, Reforms, Deregulation and Justice shall be notified in writing of the delegation of the members and substitute members.
|
(4)Absatz 4Nicht angehören können dem Datenschutzrat Mitglieder der Bundesregierung oder einer Landesregierung sowie Staatssekretäre und weiters Personen, die zum Nationalrat nicht wählbar sind.
| (4)Absatz 4Members of the Federal Government or of a provincial government and state secretaries as well as persons who may not be elected to the National Council cannot be members of the Data Protection Council.
|
(5)Absatz 5Die Funktionsperiode der Mitglieder und Ersatzmitglieder gemäß Abs. 1 Z 1 bis 6 beginnt mit deren Entsendung in den Datenschutzrat und endetDie Funktionsperiode der Mitglieder und Ersatzmitglieder gemäß Absatz eins, Ziffer eins bis 6 beginnt mit deren Entsendung in den Datenschutzrat und endet
| (5)Absatz 5The term of office of the members and substitute members pursuant to para. 1 subparas. 1 to 6 starts when they are delegated to the Data Protection Council and ends
|
mit der Abberufung durch die entsendende Stelle (Abs. 1) im Wege einer schriftlichen Mitteilung an das Bundesministerium für Verfassung, Reformen, Deregulierung und Justiz unter gleichzeitiger Namhaftmachung eines neuen Mitgliedes oder Ersatzmitgliedes,mit der Abberufung durch die entsendende Stelle (Absatz eins,) im Wege einer schriftlichen Mitteilung an das Bundesministerium für Verfassung, Reformen, Deregulierung und Justiz unter gleichzeitiger Namhaftmachung eines neuen Mitgliedes oder Ersatzmitgliedes,
| when they are dismissed by the entity or body delegating them (para. 1) by means of a written notification to the Federal Ministry of Constitutional Affairs, Reforms, Deregulation and Justice, with a new member or substitute member being named at the same time,
|
mit der Bekanntgabe des Ausscheidens durch das Mitglied oder Ersatzmitglied im Wege einer schriftlicheschriftlichen Mitteilung an das Bundesministerium für Verfassung, Reformen, Deregulierung und Justiz oder
| when the member or substitute member announces his or her resignation by means of a written notification to the Federal Ministry of Constitutional Affairs, Reforms, Deregulation and Justice, or
|
spätestens mit der Neuwahl des Hauptausschusses des Nationalrates nach den §§ 29 und 30 des Geschäftsordnungsgesetzes 1975, BGBl. Nr. 410/1975.spätestens mit der Neuwahl des Hauptausschusses des Nationalrates nach den Paragraphen 29 und 30 des Geschäftsordnungsgesetzes 1975, Bundesgesetzblatt Nr. 410 aus 1975,.
| no later than when a new Main Committee of the National Council is elected pursuant to § 29 and § 30 of the Rules of Procedure Law of 1975, Federal Law Gazette No 410/1975.no later than when a new Main Committee of the National Council is elected pursuant to Paragraph 29, and Paragraph 30, of the Rules of Procedure Law of 1975, Federal Law Gazette No 410/1975.
|
Auf gemäß Abs. 1 Z 7 benannte Mitglieder des Datenschutzrates findet Z 3 Anwendung.Auf gemäß Absatz eins, Ziffer 7, benannte Mitglieder des Datenschutzrates findet Ziffer 3, Anwendung. | Subpara. 3 shall not apply to members of the Data Protection Council named pursuant to para. 1 subpara. 7. |
(6)Absatz 6Nach Neuwahl des Hauptausschusses des Nationalrates (Abs. 5 Z 3) führt das bisherige Präsidium gemäß § 17 Abs. 4 die Geschäfte bis zur konstituierenden Sitzung der neubestellten Mitglieder und Ersatzmitglieder fort. Binnen eines Zeitraumes von zwei Wochen ab der Neuwahl des Hauptausschusses des Nationalrates haben die entsendenden Stellen eine dem Abs. 1 entsprechende Anzahl von Mitgliedern und Ersatzmitgliedern dem Bundesministerium für Verfassung, Reformen, Deregulierung und Justiz schriftlich bekannt zu geben. Die Wiederbestellung von Mitgliedern und Ersatzmitgliedern ist zulässig.Nach Neuwahl des Hauptausschusses des Nationalrates (Absatz 5, Ziffer 3,) führt das bisherige Präsidium gemäß Paragraph 17, Absatz 4, die Geschäfte bis zur konstituierenden Sitzung der neubestellten Mitglieder und Ersatzmitglieder fort. Binnen eines Zeitraumes von zwei Wochen ab der Neuwahl des Hauptausschusses des Nationalrates haben die entsendenden Stellen eine dem Absatz eins, entsprechende Anzahl von Mitgliedern und Ersatzmitgliedern dem Bundesministerium für Verfassung, Reformen, Deregulierung und Justiz schriftlich bekannt zu geben. Die Wiederbestellung von Mitgliedern und Ersatzmitgliedern ist zulässig.
| (6)Absatz 6After the election of the new Main Committee of the National Council (para. 5 subpara. 3), the previous Executive Board pursuant to § 17 para. 4 shall continue to manage the business of the Council until the constitutive meeting of the newly appointed members and substitute members. The entities or bodies delegating the members and substitute members shall notify the Federal Ministry of Constitutional Affairs, Reforms, Deregulation and Justice in writing within a period of two weeks of the election of the new Main Committee of the National Council of the members and substitute members, the number of whom must correspond to para. 1. Reappointment of the members and substitute members is permitted.After the election of the new Main Committee of the National Council (para. 5 subpara. 3), the previous Executive Board pursuant to Paragraph 17, para. 4 shall continue to manage the business of the Council until the constitutive meeting of the newly appointed members and substitute members. The entities or bodies delegating the members and substitute members shall notify the Federal Ministry of Constitutional Affairs, Reforms, Deregulation and Justice in writing within a period of two weeks of the election of the new Main Committee of the National Council of the members and substitute members, the number of whom must correspond to para. 1. Reappointment of the members and substitute members is permitted.
|
(7)Absatz 7Die konstituierende Sitzung des Datenschutzrates hat spätestens sechs Wochen nach der Wahl des Hauptausschusses des Nationalrates stattzufinden und ist vom Bundesministerium für Verfassung, Reformen, Deregulierung und Justiz einzuberufen.
| (7)Absatz 7The constitutive meeting of the Data Protection Council shall take place no later than six weeks after the election of the Main Committee of the National Council and shall be convened by the Federal Ministry of Constitutional Affairs, Reforms, Deregulation and Justice.
|
(8)Absatz 8Die Tätigkeit der Mitglieder und Ersatzmitglieder des Datenschutzrates ist ehrenamtlich. Mitglieder und Ersatzmitglieder des Datenschutzrates, die außerhalb von Wien wohnen, haben im Fall der Teilnahme an Sitzungen des Datenschutzrates Anspruch auf Ersatz der angemessenen Reisekosten nach Maßgabe der Reisegebührenvorschriften des Bundes. Die Vergütungen und Erstattungen sind im Nachhinein quartalsweise vom Bundesministerium für Verfassung, Reformen, Deregulierung und Justiz anzuweisen.
| (8)Absatz 8The members and substitute members of the Data Protection Council shall serve in an honorary capacity. Members and substitute members of the Data Protection Council living outside of Vienna shall be entitled to receive compensation for reasonable travel expenses according to the federal regulations on travelling fees if they attend meetings of the Data Protection Council. The Federal Ministry of Constitutional Affairs, Reforms, Deregulation and Justice shall order reimbursements and refunds of the travel expenses to be paid every quarter in arrears.
|
Vorsitz und Geschäftsführung | Chair and management |
§ 16.Paragraph 16,(1)Absatz einsDer Datenschutzrat gibt sich mit Beschluss eine Geschäftsordnung.
| § 16.Paragraph 16,(1)Absatz einsThe Data Protection Council shall adopt its rules of procedure by a resolution.
|
(2)Absatz 2Der Datenschutzrat hat in der konstituierenden Sitzung aus den vorliegenden Wahlvorschlägen mit einfacher Mehrheit aus seiner Mitte einen Vorsitzenden und zwei stellvertretende Vorsitzende zu wählen. Stichwahlen sind zulässig. Die Wahlvorschläge sind den Mitgliedern und Ersatzmitgliedern gleichzeitig mit der Einladung zur konstituierenden Sitzung bekannt zu geben. Die Wiederwahl ist zulässig.
| (2)Absatz 2In the constitutive meeting, the Data Protection Council shall elect, by a simple majority, a chair and two deputy chairs from among its members on the basis of the list of candidates proposed for election. Run-off elections are permitted. The list of candidates proposed for election shall be made known to the members and substitute members together with the invitation to the constitutive meeting. Re-election is permitted.
|
(3)Absatz 3Die Funktionsperiode des Vorsitzenden und der stellvertretenden Vorsitzenden endet
| (3)Absatz 3The term of office of the chair and the deputy chairs ends
|
mit Eintritt einer der Voraussetzungen des § 15 Abs. 5 Z 1 bis 3,mit Eintritt einer der Voraussetzungen des Paragraph 15, Absatz 5, Ziffer eins bis 3,
| when the requirements of § 15 para. 5 subparas. 1 to 3 are met,when the requirements of Paragraph 15, para. 5 subparas. 1 to 3 are met,
|
mit Bekanntgabe der Zurücklegung der Funktion durch den Vorsitzenden oder einen der stellvertretenden Vorsitzenden im Wege einer Erklärung in der Sitzung des Datenschutzrates oder einer schriftlichen Mitteilung an das Bundesministerium für Verfassung, Reformen, Deregulierung und Justiz oder
| when the chair or one of the deputy chairs announces his or her resignation from his or her function by means of a declaration in the meeting of the Data Protection Council or a written notification to the Federal Ministry of Constitutional Affairs, Reforms, Deregulation and Justice, or
|
nach Abwahl durch den Datenschutzrat mit einfacher Mehrheit der abgegebenen Stimmen und Anwesenheit von mehr als zwei Drittel seiner Mitglieder oder Ersatzmitglieder.
| after the chair or one of the deputy chairs has been voted out of office by the Data Protection Council by a simple majority of the votes cast, with more than two thirds of its members or substitute members having to be present at the vote.
|
Nach dem Ende der Funktionsperiode des Vorsitzenden oder eines stellvertretenden Vorsitzenden ist umgehend ein neuer Vorsitzender oder ein neuer stellvertretender Vorsitzender zu wählen. | After the end of the term of office of the chair or one of the deputy chairs, a new chair or a new deputy chair shall be elected without delay. |
(4)Absatz 4Der gemäß Abs. 2 gewählte Vorsitzende vertritt den Datenschutzrat nach außen.Der gemäß Absatz 2, gewählte Vorsitzende vertritt den Datenschutzrat nach außen.
| (4)Absatz 4The chair elected pursuant to para. 2 shall represent the Data Protection Council vis-á-vis third parties.
|
(5)Absatz 5Die Geschäftsführung des Datenschutzrates obliegt dem Bundesministerium für Verfassung, Reformen, Deregulierung und Justiz. Der Bundesminister für Verfassung, Reformen, Deregulierung undJustiz. Die Bundesministerin für Justiz hat das hierfür notwendige Personal zur Verfügung zu stellen. Bei ihrer Tätigkeit für den Datenschutzrat sind die Bediensteten des Bundesministeriums für Verfassung, Reformen, Deregulierung und Justiz fachlich an die Weisungen des Vorsitzenden des Datenschutzrates gebunden.
| (5)Absatz 5The Federal Ministry of Constitutional Affairs, Reforms, Deregulation and Justice shall be responsible for the management of the Data Protection Council. The Federal Minister of Constitutional Affairs, Reforms, Deregulation and Justice shall supply the necessary personnel for that purpose. While working for the Data Protection Council, the employees of the Federal Ministry of Constitutional Affairs, Reforms, Deregulation and Justice shall be bound by the instructions of the chair of the Data Protection Council with regard to their work.
|
Sitzungen und Beschlussfassung | Meetings and resolutions |
§ 17.Paragraph 17,(1)Absatz einsDie Sitzungen des Datenschutzrates werden vom Vorsitzenden nach Bedarf einberufen. Jedes Mitglied des Datenschutzrates kann schriftlich die Einberufung des Datenschutzrates unter Angabe des gewünschten Verhandlungsgegenstandes begehren. Liegt ein solches Begehren vor, so hat der Vorsitzende die Sitzung so anzuberaumen, dass sie spätestens vier Wochen nach Einlangen des Begehrens stattfindet.
| § 17.Paragraph 17,(1)Absatz einsThe meetings of the Data Protection Council shall be convened by the chair whenever the need arises. Every member of the Data Protection Council can request in writing that the Data Protection Council be convened, stating the requested topic of discussion. If such a request has been made, the chair shall schedule a meeting that must take place no later than four weeks after receipt of the request.The meetings of the Data Protection Council shall be convened by the chair whenever the need arises. Every member of the Data Protection Council can request in writing that the Data Protection Council be convened, stating the requested topic of discussion. römisch eins f such a request has been made, the chair shall schedule a meeting that must take place no later than four weeks after receipt of the request.
|
(2)Absatz 2Jedes Mitglied des Datenschutzrates ist – außer im Fall der gerechtfertigten Verhinderung – verpflichtet, an den Sitzungen des Datenschutzrates teilzunehmen. Nur bei Verhinderung des Mitglieds nimmt das Ersatzmitglied an der Sitzung teil.
| (2)Absatz 2Every member of the Data Protection Council must attend the meetings of the Data Protection Council unless the member is incapacitated or unavailable for justifiable reasons. A substitute member shall attend a meeting only if a member is incapacitated or unavailable.
|
(3)Absatz 3Für Beratungen und Beschlussfassung im Datenschutzrat ist die Anwesenheit von mehr als der Hälfte seiner Mitglieder oder Ersatzmitglieder erforderlich. Zur Beschlussfassung genügt die einfache Mehrheit der abgegebenen Stimmen. Bei Stimmengleichheit gibt die Stimme des Vorsitzenden den Ausschlag. Stimmenthaltung ist unzulässig. Minderheitenvoten sind zulässig.
| (3)Absatz 3Deliberations and resolutions of the Data Protection Council shall require the presence of more than half of its members or substitute members. Resolutions shall be passed by a simple majority of votes cast. In the case of a parity of votes, the chair shall have a casting vote. An abstention from the vote is not permitted. Dissenting opinions are permitted.
|
(4)Absatz 4Bei dringlichen Angelegenheiten kann der Vorsitzende die stellvertretenden Vorsitzenden und je einen Vertreter der politischen Parteien (§ 15 Abs. 1 Z 1) zu einer außerordentlichen Sitzung (Präsidium) einladen.Bei dringlichen Angelegenheiten kann der Vorsitzende die stellvertretenden Vorsitzenden und je einen Vertreter der politischen Parteien (Paragraph 15, Absatz eins, Ziffer eins,) zu einer außerordentlichen Sitzung (Präsidium) einladen.
| (4)Absatz 4In urgent matters, the chair can invite the deputy chairs and one representative of each political party (§ 15 para. 1 subpara. 1) to attend an extraordinary meeting (Executive Board).In urgent matters, the chair can invite the deputy chairs and one representative of each political party (Paragraph 15, para. 1 subpara. 1) to attend an extraordinary meeting (Executive Board).
|
(5)Absatz 5Der Datenschutzrat kann aus seiner Mitte ständige oder nichtständige Arbeitsausschüsse bilden, denen er die Vorbereitung, Begutachtung und Bearbeitung einzelner Angelegenheiten übertragen kann. Er ist auch berechtigt, die Geschäftsführung, Vorbegutachtung und die Bearbeitung einzelner Angelegenheiten einem einzelnen Mitglied (Berichterstatter) zu übertragen.
| (5)Absatz 5The Data Protection Council may establish permanent or non-permanent working groups from among its members which it may entrust with the preparation, appraisal and handling of specific issues. The Data Protection Council may also delegate the management, pre-appraisal and handling of specific issues to an individual member (rapporteur).
|
(6)Absatz 6Der Leiter der Datenschutzbehörde istund der Vorsitzende des Parlamentarischen Datenschutzkomitees sind berechtigt, an den Sitzungen des Datenschutzrates oder seiner Arbeitsausschüsse teilzunehmen. Ein Stimmrecht steht ihmihnen nicht zu.
| (6)Absatz 6The head of the Data Protection Authority shall have the right to attend the meetings of the Data Protection Council or its working groups. The head of the Data Protection Authority shall not have a voting right.
|
(7)Absatz 7Der Vorsitzende kann bei Bedarf Sachverständige zu den Sitzungen des Datenschutzrates oder zu Arbeitsausschüssen beiziehen. Auch zur Vorbereitung von Sitzungen des Datenschutzrates oder Arbeitsausschüssen kann der Vorsitzende des Datenschutzrates Experten des jeweiligen Fachgebietes beiziehen, soweit dies zur Klärung von Fragen von besonderer Bedeutung für den Datenschutz erforderlich ist.
| (7)Absatz 7If required, the chair can ask experts to attend the meetings of the Data Protection Council or the working groups. The chair of the Data Protection Council can also ask experts in the relevant field to assist in preparing meetings of the Data Protection Council or of working groups if this is required to clarify issues of special significance for data protection.römisch eins f required, the chair can ask experts to attend the meetings of the Data Protection Council or the working groups. The chair of the Data Protection Council can also ask experts in the relevant field to assist in preparing meetings of the Data Protection Council or of working groups if this is required to clarify issues of special significance for data protection.
|
(8)Absatz 8Die Beratungen in den Sitzungen des Datenschutzrates sind, soweit er nicht selbst anderes beschließt, nicht öffentlich. Die Mitglieder und Ersatzmitglieder des Datenschutzrates, der Leiter der Datenschutzbehörde sowie sein Stellvertreter, der Vorsitzende des Parlamentarischen Datenschutzkomitees und die zur Sitzung zugezogenen Sachverständigen sind zur Verschwiegenheit über alle ihnen ausschließlich aus ihrer Tätigkeit im Datenschutzrat bekanntgewordenen Tatsachen verpflichtet.
| (8)Absatz 8The deliberations of the Data Protection Council shall not be public unless the Data Protection Council itself decides otherwise. The members and substitute members of the Data Protection Council, the head and deputy head of the Data Protection Authority, and the experts asked to attend meetings are obliged to keep confidential all facts that have become known to them exclusively on the basis of their activities in the Data Protection Council.
|
2. Abschnitt | Part 2 |
Datenschutzbehörde | Data Protection Authority |
Einrichtung | Establishment |
§ 18.Paragraph 18,(1)Absatz einsDie Datenschutzbehörde wird als nationale Aufsichtsbehörde gemäß Art. 51 DSGVO eingerichtet.Die Datenschutzbehörde wird als nationale Aufsichtsbehörde gemäß Artikel 51, DSGVO eingerichtet.
| § 18.Paragraph 18,(1)Absatz einsThe Data Protection Authority is established as a national supervisory authority pursuant to Article 51 of the General Data Protection Regulation.
|
(2)Absatz 2Der Datenschutzbehörde steht ein Leiter vor. In seiner Abwesenheit leitet sein Stellvertreter die Datenschutzbehörde. Auf ihn finden die Regelungen hinsichtlich des Leiters der Datenschutzbehörde Anwendung.
| (2)Absatz 2The Data Protection Authority is managed by its head. If the head is absent, his or her deputy shall manage the Data Protection Authority. The rules regarding the head of the Data Protection Authority shall also apply to the deputy.The Data Protection Authority is managed by its head. römisch eins f the head is absent, his or her deputy shall manage the Data Protection Authority. The rules regarding the head of the Data Protection Authority shall also apply to the deputy.
|
Unabhängigkeit | Independent status |
§ 19.Paragraph 19,(1)Absatz einsDie Datenschutzbehörde ist eine Dienstbehörde und Personalstelle.
| § 19.Paragraph 19,(1)Absatz einsThe Data Protection Authority acts as an authority supervising staff and as a human resource department.
|
(2)Absatz 2Der Leiter darf für die Dauer seines Amtes keine Tätigkeit ausüben, die
| (2)Absatz 2During his or her term of office, the head must not exercise any function that
|
Zweifel an der unabhängigen Ausübung seines Amtes oder seiner Unbefangenheit hervorrufen könnte,
| could cast doubt on the independent exercise of his or her office or impartiality,
|
ihn bei der Erfüllung seiner dienstlichen Aufgaben behindert oder
| prevents him or her from performing their professional duties, or
|
wesentliche dienstliche Interessen gefährdet.
| puts essential official interests at risk.
|
Er ist verpflichtet, Tätigkeiten, die er neben seiner Tätigkeit als Leiter der Datenschutzbehörde ausübt, unverzüglich dem Bundesminister für Verfassung, Reformen, Deregulierung undder Bundesministerin für Justiz zur Kenntnis zu bringen. | The head is required to report functions that he or she exercises alongside his or her office as the head of the Data Protection Authority to the Federal Minister of Constitutional Affairs, Reforms, Deregulation and Justice without delay. |
(3)Absatz 3Der Bundesminister für Verfassung, Reformen, Deregulierung und(3) Die Bundesministerin für Justiz kann sich beim Leiter der Datenschutzbehörde über die Gegenstände der Geschäftsführung unterrichten. Dem ist vom Leiter der Datenschutzbehörde nur insoweit zu entsprechen, als dies nicht der völligen Unabhängigkeit der Aufsichtsbehörde im Sinne von Art. 52 DSGVO widerspricht.Der Bundesminister für Verfassung, Reformen, Deregulierung und(3) Die Bundesministerin für Justiz kann sich beim Leiter der Datenschutzbehörde über die Gegenstände der Geschäftsführung unterrichten. Dem ist vom Leiter der Datenschutzbehörde nur insoweit zu entsprechen, als dies nicht der völligen Unabhängigkeit der Aufsichtsbehörde im Sinne von Artikel 52, DSGVO widerspricht.
| (3)Absatz 3The Federal Minister of Constitutional Affairs, Reforms, Deregulation and Justice can request information from the head of the Data Protection Authority on matters to be dealt with by the Authority. The head of the Data Protection Authority has to meet this request only insofar as it does not impair the complete independence of the supervisory authority as described in Article 52 of the General Data Protection Regulation.
|
Leiter der Datenschutzbehörde | The head of the Data Protection Authority |
§ 20.Paragraph 20,(1)Absatz einsDer Leiter der Datenschutzbehörde wird vom Bundespräsidenten auf Vorschlag der Bundesregierung für eine Dauer von fünf Jahren bestellt; die Wiederbestellung ist zulässig. Dem Vorschlag hat eine Ausschreibung zur allgemeinen Bewerbung voranzugehen.
| § 20.Paragraph 20,(1)Absatz einsThe head of the Data Protection Authority is appointed for a term of five years by the Federal President on the basis of a proposal by the Federal Government; re-appointment is permitted. The proposal is to be preceded by an advertisement for the position permitting general applications.
|
(2)Absatz 2Der Leiter der Datenschutzbehörde hat
| (2)Absatz 2The head of the Data Protection Authority must
|
das Studium der Rechtswissenschaften abgeschlossen zu haben,
| have completed a law degree,
|
die persönliche und fachliche Eignung durch eine entsprechende Vorbildung und einschlägige Berufserfahrung in den von der Datenschutzbehörde zu besorgenden Angelegenheiten aufzuweisen,
| have the necessary personal and professional aptitude through prior education and appropriate professional experience in the matters to be handled by the Data Protection Authority,
|
über ausgezeichnete Kenntnisse des österreichischen Datenschutzrechtes, des Unionsrechtes und der Grundrechte zu verfügen und
| possess an excellent knowledge of Austrian data protection law, Union law and fundamental rights, and
|
über eine mindestens fünfjährige juristische Berufserfahrung zu verfügen.
| have at least five years of professional experience in the legal field.
|
(3)Absatz 3Zum Leiter der Datenschutzbehörde dürfen nicht bestellt werden:
| (3)Absatz 3The following persons may not be appointed head of the Data Protection Authority:
|
Mitglieder der Bundesregierung, Staatssekretäre, Mitglieder einer Landesregierung, Mitglieder des Nationalrates, des Bundesrates oder sonst eines allgemeinen Vertretungskörpers oder des Europäischen Parlaments, ferner Volksanwälte und der Präsident des Rechnungshofes,
| members of the Federal Government, state secretaries, members of a provincial government, members of the National Council, the Federal Council or any other general representative body or of the European Parliament, as well as members of the Ombudsman Board, and the president of the Court of Audit;
|
Personen, die eine in Z 1 genannte Funktion innerhalb der letzten zwei Jahre ausgeübt haben, undPersonen, die eine in Ziffer eins, genannte Funktion innerhalb der letzten zwei Jahre ausgeübt haben, und
| persons who have held one of the positions listed in subpara. 1 in the last two years;
|
Personen, die von der Wählbarkeit in den Nationalrat ausgeschlossen sind.
| persons who may not be elected to the National Council.
|
(4)Absatz 4Die Enthebung des Leiters ist auf Vorschlag der Bundesregierung durch den Bundespräsidenten vorzunehmen.
| (4)Absatz 4The head of the Data Protection Authority shall be dismissed by the Federal President on the basis of a proposal by the Federal Government.
|
(5)Absatz 5Der Stellvertreter des Leiters der Datenschutzbehörde wird vom Bundespräsidenten auf Vorschlag der Bundesregierung nach Maßgabe der Abs. 1 bis 3 bestellt. Auf die Enthebung des Stellvertreters findet Abs. 4 Anwendung.Der Stellvertreter des Leiters der Datenschutzbehörde wird vom Bundespräsidenten auf Vorschlag der Bundesregierung nach Maßgabe der Absatz eins bis 3 bestellt. Auf die Enthebung des Stellvertreters findet Absatz 4, Anwendung.
| (5)Absatz 5The deputy head of the Data Protection Authority is appointed for a term of five years by the Federal President on the basis of a proposal by the Federal Government in accordance with paras. 1 to 3. Para. 4 applies to the dismissal of the deputy.
|
Aufgaben | Tasks |
§ 21.Paragraph 21,(1)Absatz einsDie Datenschutzbehörde berät die Ausschüsse des Nationalrates und des Bundesrates, die Bundesregierung und die Landesregierungen auf deren Ersuchen über legislative und administrative Maßnahmen. Die Datenschutzbehörde ist vor Erlassung von Bundesgesetzen sowie von Verordnungen im Vollzugsbereich des Bundes, die Fragen des Datenschutzes unmittelbar betreffen, anzuhören.
| § 21.Paragraph 21,(1)Absatz einsAt their request, the Data Protection Authority advises the committees of the National Council and the Federal Council, the Federal Government and the provincial governments on legislative and administrative measures. Before federal laws as well as regulations to be implemented by the Federal Government that directly concern issues of data protection law are adopted, the Federal Data Protection Authority shall be consulted.
|
(2)Absatz 2Die Datenschutzbehörde hat die Listen nach Art. 35 Abs. 4 und 5 DSGVO im Wege einer Verordnung im Bundesgesetzblatt kundzumachen.Die Datenschutzbehörde hat die Listen nach Artikel 35, Absatz 4 und 5 DSGVO im Wege einer Verordnung im Bundesgesetzblatt kundzumachen.
| (2)Absatz 2The Data Protection Authority shall make public, by way of a regulation in the Federal Law Gazette, the lists pursuant to Article 35 paras. 4 and 5 of the General Data Protection Regulation.
|
(3)Absatz 3Die Datenschutzbehörde hat die nach Art. 57 Abs. 1 lit. p DSGVO festzulegenden Kriterien im Wege einer Verordnung kundzumachen. Sie fungiert zugleich als einzige nationale Akkreditierungsstelle gemäß Art. 43 Abs. 1 lit. a DSGVO.Die Datenschutzbehörde hat die nach Artikel 57, Absatz eins, Litera p, DSGVO festzulegenden Kriterien im Wege einer Verordnung kundzumachen. Sie fungiert zugleich als einzige nationale Akkreditierungsstelle gemäß Artikel 43, Absatz eins, Litera a, DSGVO.
| (3)Absatz 3The Data Protection Authority shall make public, by way of a regulation, the criteria to be specified pursuant to Article 57 para. 1 (p) of the General Data Protection Regulation. At the same time, the Data Protection Authority shall serve as the only national accreditation body pursuant to Article 43 para. 1 (a) of the General Data Protection Regulation.
|
Befugnisse | Powers |
§ 22.Paragraph 22,(1)Absatz einsDie Datenschutzbehörde kann vom Verantwortlichen oder Auftragsverarbeiter der überprüften Datenverarbeitung insbesondere alle notwendigen Aufklärungen verlangen und Einschau in Datenverarbeitungen und diesbezügliche Unterlagen begehren. Der Verantwortliche oder Auftragsverarbeiter hat die notwendige Unterstützung zu leisten. Die Kontrolltätigkeit ist unter möglichster Schonung der Rechte des Verantwortlichen oder des Auftragsverarbeiters und Dritter auszuüben.
| § 22.Paragraph 22,(1)Absatz einsThe Data Protection Authority can request from the controller or the processor of the examined processing all necessary clarifications and inspect data processing activities and relevant documents. The controller or processor shall render the necessary assistance. Supervisory activities are to be exercised in a way that least interferes with the rights of the controller or processor and third parties.
|
(2)Absatz 2Zum Zweck der Einschau ist die Datenschutzbehörde nach Verständigung des Inhabers der Räumlichkeiten und des Verantwortlichen oder des Auftragsverarbeiters berechtigt, Räume, in welchen Datenverarbeitungen vorgenommen werden, zu betreten, Datenverarbeitungsanlagen in Betrieb zu setzen, die zu überprüfenden Verarbeitungen durchzuführen sowie Kopien von Datenträgern in dem für die Ausübung der Kontrollbefugnisse unbedingt erforderlichen Ausmaß herzustellen.
| (2)Absatz 2For purposes of the inspection, the Data Protection Authority shall have the right, after having informed the owner of the premises and the controller or processor, to enter rooms where data processing operations are carried out, put data processing equipment into operation, carry out the processing operations to be examined and make copies of the storage media to the extent strictly necessary to exercise its supervisory powers.
|
(3)Absatz 3Informationen, die der Datenschutzbehörde oder den von ihr Beauftragten bei der Kontrolltätigkeit zukommen, dürfen ausschließlich für die Kontrolle im Rahmen der Vollziehung datenschutzrechtlicher Vorschriften verwendet werden. Im Übrigen besteht die Pflicht zur Verschwiegenheit auch gegenüber Gerichten und Verwaltungsbehörden, insbesondere Abgabenbehörden; dies allerdings mit der Maßgabe, dass dann, wenn die Einschau den Verdacht einer strafbaren Handlung nach § 63 dieses Bundesgesetzes oder nach §§ 118a, 119, 119a, 126a bis 126c, 148a oder § 278a des Strafgesetzbuches – StGB, BGBl. Nr. 60/1974, oder eines Verbrechens mit einer Freiheitsstrafe, deren Höchstmaß fünf Jahre übersteigt, ergibt, Anzeige zu erstatten ist und hinsichtlich solcher Verbrechen und Vergehen auch Ersuchen nach § 76 der Strafprozeßordnung – StPO, BGBl. Nr. 631/1975, zu entsprechen ist.Informationen, die der Datenschutzbehörde oder den von ihr Beauftragten bei der Kontrolltätigkeit zukommen, dürfen ausschließlich für die Kontrolle im Rahmen der Vollziehung datenschutzrechtlicher Vorschriften verwendet werden. Im Übrigen besteht die Pflicht zur Verschwiegenheit auch gegenüber Gerichten und Verwaltungsbehörden, insbesondere Abgabenbehörden; dies allerdings mit der Maßgabe, dass dann, wenn die Einschau den Verdacht einer strafbaren Handlung nach Paragraph 63, dieses Bundesgesetzes oder nach Paragraphen 118 a,, 119, 119a, 126a bis 126c, 148a oder Paragraph 278 a, des Strafgesetzbuches – StGB, Bundesgesetzblatt Nr. 60 aus 1974,, oder eines Verbrechens mit einer Freiheitsstrafe, deren Höchstmaß fünf Jahre übersteigt, ergibt, Anzeige zu erstatten ist und hinsichtlich solcher Verbrechen und Vergehen auch Ersuchen nach Paragraph 76, der Strafprozeßordnung – StPO, Bundesgesetzblatt Nr. 631 aus 1975,, zu entsprechen ist.
| (3)Absatz 3Information acquired by the Data Protection Authority or persons authorised by it during any examination shall be used only for supervisory purposes in the context of the execution of data protection regulations. Incidentally, the obligation of confidentiality also exists before courts and administrative authorities, in particular fiscal authorities, with the reservation that, if the inspection leads to the suspicion that a crime pursuant to § 63 of this federal law or pursuant to § 118a, § 119, § 119a, § 126a to § 126c, § 148a or § 278a of the Criminal Code, Federal Law Gazette No 60/1974, or any crime punishable with more than five years of imprisonment has been committed, this shall be reported to the police, and requests pursuant to § 76 of the Code of Criminal Procedure, Federal Law Gazette No 631/1975, regarding such crimes and offences shall also be complied with.Information acquired by the Data Protection Authority or persons authorised by it during any examination shall be used only for supervisory purposes in the context of the execution of data protection regulations. Incidentally, the obligation of confidentiality also exists before courts and administrative authorities, in particular fiscal authorities, with the reservation that, if the inspection leads to the suspicion that a crime pursuant to Paragraph 63, of this federal law or pursuant to Paragraph 118 a,, Paragraph 119,, Paragraph 119 a,, Paragraph 126 a, to Paragraph 126 c,, Paragraph 148 a, or Paragraph 278 a, of the Criminal Code, Federal Law Gazette No 60/1974, or any crime punishable with more than five years of imprisonment has been committed, this shall be reported to the police, and requests pursuant to Paragraph 76, of the Code of Criminal Procedure, Federal Law Gazette No 631/1975, regarding such crimes and offences shall also be complied with.
|
(4)Absatz 4Liegt durch den Betrieb einer Datenverarbeitung eine wesentliche unmittelbare Gefährdung schutzwürdiger Geheimhaltungsinteressen der betroffenen Personen (Gefahr im Verzug) vor, so kann die Datenschutzbehörde die Weiterführung der Datenverarbeitung mit Bescheid gemäß § 57 Abs. 1 des Allgemeinen Verwaltungsverfahrensgesetzes 1991 – AVG, BGBl. Nr. 51/1991, untersagen. Wenn dies technisch möglich, im Hinblick auf den Zweck der Datenverarbeitung sinnvoll und zur Beseitigung der Gefährdung ausreichend scheint, kann die Weiterführung auch nur teilweise untersagt werden. Ebenso kann die Datenschutzbehörde auf Antrag einer betroffenen Person eine Einschränkung der Verarbeitung nach Art. 18 DSGVO mit Bescheid gemäß § 57 Abs. 1 AVG anordnen, wenn der Verantwortliche einer diesbezüglichen Verpflichtung nicht fristgerecht nachkommt. Wird einer Untersagung nicht unverzüglich Folge geleistet, hat die Datenschutzbehörde nach Art. 83 Abs. 5 DSGVO vorzugehen.Liegt durch den Betrieb einer Datenverarbeitung eine wesentliche unmittelbare Gefährdung schutzwürdiger Geheimhaltungsinteressen der betroffenen Personen (Gefahr im Verzug) vor, so kann die Datenschutzbehörde die Weiterführung der Datenverarbeitung mit Bescheid gemäß Paragraph 57, Absatz eins, des Allgemeinen Verwaltungsverfahrensgesetzes 1991 – AVG, Bundesgesetzblatt Nr. 51 aus 1991,, untersagen. Wenn dies technisch möglich, im Hinblick auf den Zweck der Datenverarbeitung sinnvoll und zur Beseitigung der Gefährdung ausreichend scheint, kann die Weiterführung auch nur teilweise untersagt werden. Ebenso kann die Datenschutzbehörde auf Antrag einer betroffenen Person eine Einschränkung der Verarbeitung nach Artikel 18, DSGVO mit Bescheid gemäß Paragraph 57, Absatz eins, AVG anordnen, wenn der Verantwortliche einer diesbezüglichen Verpflichtung nicht fristgerecht nachkommt. Wird einer Untersagung nicht unverzüglich Folge geleistet, hat die Datenschutzbehörde nach Artikel 83, Absatz 5, DSGVO vorzugehen.
| (4)Absatz 4In case a data processing operation causes serious immediate danger to the interests of confidentiality of the data subject which deserve protection (imminent danger), the Data Protection Authority may prohibit the continuation of the data processing operation by an administrative decision pursuant to § 57 para. 1 of the General Administrative Procedure Act 1991, Federal Law Gazette No 51/1991. The continuation may also be prohibited only partially if this seems technically possible, meaningful with regard to the purpose of the data processing operation and sufficient to eliminate the danger. At the request of a data subject, the Data Protection Authority can also order, by an administrative decision pursuant to § 57 para. 1 of the General Administrative Procedure Act, the restriction of processing pursuant to Article 18 of the General Data Protection Regulation if the controller does not comply with an obligation to that effect within the period specified. If prohibition is not complied with immediately, the Data Protection Authority shall proceed pursuant to Article 83 para. 5 of the General Data Protection Regulation.In case a data processing operation causes serious immediate danger to the interests of confidentiality of the data subject which deserve protection (imminent danger), the Data Protection Authority may prohibit the continuation of the data processing operation by an administrative decision pursuant to Paragraph 57, para. 1 of the General Administrative Procedure Act 1991, Federal Law Gazette No 51/1991. The continuation may also be prohibited only partially if this seems technically possible, meaningful with regard to the purpose of the data processing operation and sufficient to eliminate the danger. At the request of a data subject, the Data Protection Authority can also order, by an administrative decision pursuant to Paragraph 57, para. 1 of the General Administrative Procedure Act, the restriction of processing pursuant to Article 18 of the General Data Protection Regulation if the controller does not comply with an obligation to that effect within the period specified. römisch eins f prohibition is not complied with immediately, the Data Protection Authority shall proceed pursuant to Article 83 para. 5 of the General Data Protection Regulation.
|
(5)Absatz 5Der Datenschutzbehörde obliegt im Rahmen ihrer Zuständigkeit die Verhängung von Geldbußen gegenüber natürlichen und juristischen Personen.
| (5)Absatz 5As part of its responsibilities, the Data Protection Authority is responsible for imposing administrative fines on natural and legal persons.
|
(6)Absatz 6Bestehen im Zuge einer auf § 29 gestützten Klage einer betroffenen Person, die sich von einer Einrichtung, Organisation oder Vereinigung im Sinne des Art. 80 Abs. 1 DSGVO vertreten lässt, Zweifel am Vorliegen der diesbezüglichen Kriterien, trifft die Datenschutzbehörde auf Antrag des Einbringungsgerichtes entsprechende Feststellungen mit Bescheid. Diese Einrichtung, Organisation oder Vereinigung hat im Verfahren Parteistellung. Gegen einen negativen Feststellungsbescheid steht ihr die Beschwerde an das Bundesverwaltungsgericht offen.Bestehen im Zuge einer auf Paragraph 29, gestützten Klage einer betroffenen Person, die sich von einer Einrichtung, Organisation oder Vereinigung im Sinne des Artikel 80, Absatz eins, DSGVO vertreten lässt, Zweifel am Vorliegen der diesbezüglichen Kriterien, trifft die Datenschutzbehörde auf Antrag des Einbringungsgerichtes entsprechende Feststellungen mit Bescheid. Diese Einrichtung, Organisation oder Vereinigung hat im Verfahren Parteistellung. Gegen einen negativen Feststellungsbescheid steht ihr die Beschwerde an das Bundesverwaltungsgericht offen.
| (6)Absatz 6If, with regard to a claim based on § 29 by a data subject represented by a body, organisation or association as referred to in Article 80 para. 1 of the General Data Protection Regulation, there are doubts whether the relevant criteria have been met, the Data Protection Authority shall, at the request of the court where the claim is filed, make appropriate findings in an administrative decision. Such body, organisation or association shall have the position of a party in the proceedings. It has the right to lodge a complaint against a negative declaratory decision with the Federal Administrative Court.römisch eins f, with regard to a claim based on Paragraph 29, by a data subject represented by a body, organisation or association as referred to in Article 80 para. 1 of the General Data Protection Regulation, there are doubts whether the relevant criteria have been met, the Data Protection Authority shall, at the request of the court where the claim is filed, make appropriate findings in an administrative decision. Such body, organisation or association shall have the position of a party in the proceedings. römisch eins t has the right to lodge a complaint against a negative declaratory decision with the Federal Administrative Court.
|
Tätigkeitsbericht und Veröffentlichung von Entscheidungen | Activity reports and the publication of decisions |
§ 23.Paragraph 23,(1)Absatz einsDie Datenschutzbehörde hat bis zum 31. März eines jeden Jahres einen dem Art. 59 DSGVO entsprechenden Tätigkeitsbericht zu erstellen und dem Bundesministerder Bundesministerin für Verfassung, Reformen, Deregulierung und Justiz vorzulegen. Der Bericht ist vom Bundesminister für Verfassung, Reformen, Deregulierung undvon der Bundesministerin für Justiz der Bundesregierung, dem Nationalrat und dem Bundesrat vorzulegen. Die Datenschutzbehörde hat den Bericht der Öffentlichkeit, der Europäischen Kommission, dem Europäischen Datenschutzausschuss (Art. 68 DSGVO) und dem Datenschutzrat zugänglich zu machen.Die Datenschutzbehörde hat bis zum 31. März eines jeden Jahres einen dem Artikel 59, DSGVO entsprechenden Tätigkeitsbericht zu erstellen und dem Bundesministerder Bundesministerin für Verfassung, Reformen, Deregulierung und Justiz vorzulegen. Der Bericht ist vom Bundesminister für Verfassung, Reformen, Deregulierung undvon der Bundesministerin für Justiz der Bundesregierung, dem Nationalrat und dem Bundesrat vorzulegen. Die Datenschutzbehörde hat den Bericht der Öffentlichkeit, der Europäischen Kommission, dem Europäischen Datenschutzausschuss (Artikel 68, DSGVO) und dem Datenschutzrat zugänglich zu machen.
| § 23.Paragraph 23,(1)Absatz einsThe Data Protection Authority shall prepare an activity report complying with Article 59 of the General Data Protection Regulation by 31 March of every year and submit it to the Federal Minister of Constitutional Affairs, Reforms, Deregulation and Justice. The Federal Minister of Constitutional Affairs, Reforms, Deregulation and Justice shall submit the report to the Federal Government, the National Council and the Federal Council. The Data Protection Authority shall make the report accessible to the public, the European Commission, the European Data Protection Board (Article 68 of the General Data Protection Regulation) and the Data Protection Council.
|
(2)Absatz 2Entscheidungen der Datenschutzbehörde von grundsätzlicher Bedeutung für die Allgemeinheit sind von der Datenschutzbehörde unter Beachtung der Erfordernisse der Amtsverschwiegenheit in geeigneter Weise zu veröffentlichen.
| (2)Absatz 2Decisions made by the Data Protection Authority which are of fundamental importance to the general public shall be published by the Data Protection Authority in an appropriate manner while respecting official secrecy rules.
|
3. Abschnitt | Part 3 |
Rechtsbehelfe, Haftung und Sanktionen | Remedies, liability and penalties |
Beschwerde an die Datenschutzbehörde | Complaints with the Data Protection Authority |
§ 24.Paragraph 24,(1)Absatz einsJede betroffene Person hat das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder gegen § 1 oder Artikel 2 1. Hauptstück verstößt. Dies gilt nicht, soweit ein Recht auf Beschwerde beim Parlamentarischen Datenschutzkomitee gemäß § 35f Abs. 1 besteht.Jede betroffene Person hat das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder gegen Paragraph eins, oder Artikel 2 1. Hauptstück verstößt. Dies gilt nicht, soweit ein Recht auf Beschwerde beim Parlamentarischen Datenschutzkomitee gemäß Paragraph 35 f, Absatz eins, besteht.
| § 24.Paragraph 24,(1)Absatz einsEvery data subject has the right to lodge a complaint with the Data Protection Authority if the data subject is of the opinion that the processing of the personal data concerning the data subject infringes the General Data Protection Regulation or § 1 or Chapter 1, Article 2.Every data subject has the right to lodge a complaint with the Data Protection Authority if the data subject is of the opinion that the processing of the personal data concerning the data subject infringes the General Data Protection Regulation or Paragraph eins, or Chapter 1, Article 2.
|
(2)Absatz 2Die Beschwerde hat zu enthalten:
| (2)Absatz 2The complaint must contain:
|
die Bezeichnung des als verletzt erachteten Rechts,
| the description of the right considered to have been infringed,
|
soweit dies zumutbar ist, die Bezeichnung des Rechtsträgers oder Organs, dem die behauptete Rechtsverletzung zugerechnet wird (Beschwerdegegner),
| to the extent reasonable, the description of the legal entity or the executive body or officer that is deemed to be responsible for the alleged infringement (respondent to the complaint),
|
den Sachverhalt, aus dem die Rechtsverletzung abgeleitet wird,
| the facts from which the infringement is derived,
|
die Gründe, auf die sich die Behauptung der Rechtswidrigkeit stützt,
| the reasons for which the unlawfulness is alleged,
|
das Begehren, die behauptete Rechtsverletzung festzustellen und
| the request to find that the alleged infringement has been committed, and
|
die Angaben, die erforderlich sind, um zu beurteilen, ob die Beschwerde rechtzeitig eingebracht ist.
| the details which are necessary in order to decide whether the complaint has been lodged in due time.
|
(3)Absatz 3Einer Beschwerde sind gegebenenfalls der zu Grunde liegende Antrag und eine allfällige Antwort des Beschwerdegegners anzuschließen. Die Datenschutzbehörde hat im Falle einer Beschwerde auf Ersuchen der betroffenen Person weitere Unterstützung zu leisten.
| (3)Absatz 3A complaint must be accompanied by the request on which it is based and the answer of the respondent to the complaint, if any. In the case of a complaint, the Data Protection Authority shall provide further assistance on request of the data subject.
|
(4)Absatz 4Der Anspruch auf Behandlung einer Beschwerde erlischt, wenn der Einschreiter sie nicht binnen eines Jahres, nachdem er Kenntnis von dem beschwerenden Ereignis erlangt hat, längstens aber binnen drei Jahren, nachdem das Ereignis behaupteter Maßen stattgefunden hat, einbringt. Verspätete Beschwerden sind zurückzuweisen.
| (4)Absatz 4The right to have a complaint dealt with expires if the intervening party does not lodge the complaint within a year after having gained knowledge of the incident that gave rise to the complaint, but no later than within three years after the incident allegedly occurred. Late complaints shall be rejected.
|
(5)Absatz 5Soweit sich eine Beschwerde als berechtigt erweist, ist ihr Folge zu geben. Ist eine Verletzung einem Verantwortlichen des privaten Bereichs zuzurechnen, so ist diesem aufzutragen, den Anträgen des Beschwerdeführers auf Auskunft, Berichtigung, Löschung, Einschränkung oder Datenübertragung in jenem Umfang zu entsprechen, der erforderlich ist, um die festgestellte Rechtsverletzung zu beseitigen. Soweit sich die Beschwerde als nicht berechtigt erweist, ist sie abzuweisen.
| (5)Absatz 5To the extent the complaint is shown to be justified, it is to be granted. If an infringement can be attributed to a private-sector controller, the controller shall be instructed to comply with the complainant’s requests for information, rectification, erasure, restriction or data communication to the extent required to eliminate the infringement that has been found to exist. To the extent that the complaint is not found to be justified, it shall be rejected.To the extent the complaint is shown to be justified, it is to be granted. römisch eins f an infringement can be attributed to a private-sector controller, the controller shall be instructed to comply with the complainant’s requests for information, rectification, erasure, restriction or data communication to the extent required to eliminate the infringement that has been found to exist. To the extent that the complaint is not found to be justified, it shall be rejected.
|
(6)Absatz 6Ein Beschwerdegegner kann bis zum Abschluss des Verfahrens vor der Datenschutzbehörde die behauptete Rechtsverletzung nachträglich beseitigen, indem er den Anträgen des Beschwerdeführers entspricht. Erscheint der Datenschutzbehörde die Beschwerde insofern als gegenstandslos, so hat sie den Beschwerdeführer dazu zu hören. Gleichzeitig ist er darauf aufmerksam zu machen, dass die Datenschutzbehörde das Verfahren formlos einstellen wird, wenn er nicht innerhalb einer angemessenen Frist begründet, warum er die ursprünglich behauptete Rechtsverletzung zumindest teilweise nach wie vor als nicht beseitigt erachtet. Wird durch eine derartige Äußerung des Beschwerdeführers die Sache ihrem Wesen nach geändert (§ 13 Abs. 8 AVG), so ist von der Zurückziehung der ursprünglichen Beschwerde und der gleichzeitigen Einbringung einer neuen Beschwerde auszugehen. Auch diesfalls ist das ursprüngliche Beschwerdeverfahren formlos einzustellen und der Beschwerdeführer davon zu verständigen. Verspätete Äußerungen sind nicht zu berücksichtigen.Ein Beschwerdegegner kann bis zum Abschluss des Verfahrens vor der Datenschutzbehörde die behauptete Rechtsverletzung nachträglich beseitigen, indem er den Anträgen des Beschwerdeführers entspricht. Erscheint der Datenschutzbehörde die Beschwerde insofern als gegenstandslos, so hat sie den Beschwerdeführer dazu zu hören. Gleichzeitig ist er darauf aufmerksam zu machen, dass die Datenschutzbehörde das Verfahren formlos einstellen wird, wenn er nicht innerhalb einer angemessenen Frist begründet, warum er die ursprünglich behauptete Rechtsverletzung zumindest teilweise nach wie vor als nicht beseitigt erachtet. Wird durch eine derartige Äußerung des Beschwerdeführers die Sache ihrem Wesen nach geändert (Paragraph 13, Absatz 8, AVG), so ist von der Zurückziehung der ursprünglichen Beschwerde und der gleichzeitigen Einbringung einer neuen Beschwerde auszugehen. Auch diesfalls ist das ursprüngliche Beschwerdeverfahren formlos einzustellen und der Beschwerdeführer davon zu verständigen. Verspätete Äußerungen sind nicht zu berücksichtigen.
| (6)Absatz 6A respondent to the complaint can subsequently eliminate the alleged infringement until the end of the proceedings before the Data Protection Authority by complying with the complainant’s requests. If the Data Protection Authority deems the complaint to be settled thereby, it shall hear the complainant on this. Simultaneously, the complainant is to be informed that the Data Protection Authority will informally end the proceedings unless the complainant states reasons, within a reasonable period, why the complainant still considers the originally alleged infringement or at least parts of it as not having been eliminated. If such a statement by the complainant modifies the merits of the case (§ 13 para. 8 of the General Administrative Procedure Act), the original complaint is to be deemed withdrawn and simultaneously a new complaint to be deemed lodged. In this case the original complaint procedure is also to be ended informally and the complainant is to be informed thereof. Late statements are to be ignored.A respondent to the complaint can subsequently eliminate the alleged infringement until the end of the proceedings before the Data Protection Authority by complying with the complainant’s requests. römisch eins f the Data Protection Authority deems the complaint to be settled thereby, it shall hear the complainant on this. Simultaneously, the complainant is to be informed that the Data Protection Authority will informally end the proceedings unless the complainant states reasons, within a reasonable period, why the complainant still considers the originally alleged infringement or at least parts of it as not having been eliminated. römisch eins f such a statement by the complainant modifies the merits of the case (Paragraph 13, para. 8 of the General Administrative Procedure Act), the original complaint is to be deemed withdrawn and simultaneously a new complaint to be deemed lodged. In this case the original complaint procedure is also to be ended informally and the complainant is to be informed thereof. Late statements are to be ignored.
|
(7)Absatz 7Der Beschwerdeführer wird von der Datenschutzbehörde innerhalb von drei Monaten ab Einbringung der Beschwerde über den Stand und das Ergebnis der Ermittlung unterrichtet.
| (7)Absatz 7The data subject shall be informed by the Data Protection Authority of the progress and the outcome of the investigation within three months of filing the complaint.
|
(8)Absatz 8Jede betroffene Person kann das Bundesverwaltungsgericht befassen, wenn die Datenschutzbehörde sich nicht mit der Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der erhobenen Beschwerde in Kenntnis gesetzt hat.
| (8)Absatz 8Each data subject can apply to the Federal Administrative Court if the Data Protection Authority does not handle a complaint or does not inform the data subject within three months of the progress or outcome of the complaint lodged.
|
(9)Absatz 9Die Datenschutzbehörde kann – soweit erforderlich – Amtssachverständige im Verfahren beiziehen.
| (9)Absatz 9To the extent required, the Data Protection Authority can engage official experts to assist in the proceedings.
|
(10)Absatz 10In die Entscheidungsfrist gemäß § 73 AVG werden nicht eingerechnet:In die Entscheidungsfrist gemäß Paragraph 73, AVG werden nicht eingerechnet:
| (10)Absatz 10The term allowed for the decision pursuant to § 73 of the General Administrative Procedure Act shall not include:The term allowed for the decision pursuant to Paragraph 73, of the General Administrative Procedure Act shall not include:
|
die Zeit, während deren das Verfahren bis zur rechtskräftigen Entscheidung einer Vorfrage ausgesetzt ist;
| the time during which proceedings are suspended until a final decision on a preliminary issue has been made;
|
die Zeit während eines Verfahrens nach Art. 56, 60 und 63 DSGVO.die Zeit während eines Verfahrens nach Artikel 56,, 60 und 63 DSGVO.
| the duration of proceedings pursuant to Articles 56, 60 and 63 of the General Data Protection Regulation.
|
Begleitende Maßnahmen im Beschwerdeverfahren | Accompanying measures in the complaint procedure |
§ 25.Paragraph 25,(1)Absatz einsMacht der Beschwerdeführer im Rahmen einer Beschwerde eine wesentliche Beeinträchtigung seiner schutzwürdigen Geheimhaltungsinteressen durch die Verarbeitung seiner personenbezogenen Daten glaubhaft, kann die Datenschutzbehörde nach § 22 Abs. 4 vorgehen.Macht der Beschwerdeführer im Rahmen einer Beschwerde eine wesentliche Beeinträchtigung seiner schutzwürdigen Geheimhaltungsinteressen durch die Verarbeitung seiner personenbezogenen Daten glaubhaft, kann die Datenschutzbehörde nach Paragraph 22, Absatz 4, vorgehen.
| § 25.Paragraph 25,(1)Absatz einsIf, in the context of a complaint, the complainant satisfactorily demonstrates a serious infringement of his or her interests in confidentiality which deserve protection due to the processing of the complainant’s personal data, the Data Protection Authority may proceed according to § 22 para. 4.römisch eins f, in the context of a complaint, the complainant satisfactorily demonstrates a serious infringement of his or her interests in confidentiality which deserve protection due to the processing of the complainant’s personal data, the Data Protection Authority may proceed according to Paragraph 22, para. 4.
|
(2)Absatz 2Ist in einem Verfahren die Richtigkeit von personenbezogenen Daten strittig, so ist vom Beschwerdegegner bis zum Abschluss des Verfahrens ein Bestreitungsvermerk anzubringen. Erforderlichenfalls hat dies die Datenschutzbehörde auf Antrag des Beschwerdeführers mit Bescheid gemäß § 57 Abs. 1 AVG anzuordnen.Ist in einem Verfahren die Richtigkeit von personenbezogenen Daten strittig, so ist vom Beschwerdegegner bis zum Abschluss des Verfahrens ein Bestreitungsvermerk anzubringen. Erforderlichenfalls hat dies die Datenschutzbehörde auf Antrag des Beschwerdeführers mit Bescheid gemäß Paragraph 57, Absatz eins, AVG anzuordnen.
| (2)Absatz 2If the correctness of personal data is disputed in proceedings, the respondent to the complaint shall submit, by the end of the proceedings, a note stating that the correctness is disputed. If required, the Data Protection Authority shall order, by an administrative decision pursuant to § 57 para. 1 of the General Administrative Procedure Act, such note to be submitted at the request of the complainant.römisch eins f the correctness of personal data is disputed in proceedings, the respondent to the complaint shall submit, by the end of the proceedings, a note stating that the correctness is disputed. römisch eins f required, the Data Protection Authority shall order, by an administrative decision pursuant to Paragraph 57, para. 1 of the General Administrative Procedure Act, such note to be submitted at the request of the complainant.
|
(3)Absatz 3Beruft sich ein Verantwortlicher gegenüber der Datenschutzbehörde auf eine Beschränkung im Sinne des Art. 23 DSGVO, so hat diese die Rechtmäßigkeit der Anwendung der Beschränkungen zu überprüfen. Kommt sie zur Auffassung, dass die Geheimhaltung von verarbeiteten personenbezogenen Daten gegenüber der betroffenen Person nicht gerechtfertigt war, ist die Offenlegung der personenbezogenen Daten mit Bescheid aufzutragen. Wird dem Bescheid der Datenschutzbehörde binnen acht Wochen nicht entsprochen, so hat die Datenschutzbehörde die Offenlegung der personenbezogenen Daten gegenüber der betroffenen Person selbst vorzunehmen und ihr die verlangte Auskunft zu erteilen oder ihr mitzuteilen, welche personenbezogenen Daten bereits berichtigt oder gelöscht wurden.Beruft sich ein Verantwortlicher gegenüber der Datenschutzbehörde auf eine Beschränkung im Sinne des Artikel 23, DSGVO, so hat diese die Rechtmäßigkeit der Anwendung der Beschränkungen zu überprüfen. Kommt sie zur Auffassung, dass die Geheimhaltung von verarbeiteten personenbezogenen Daten gegenüber der betroffenen Person nicht gerechtfertigt war, ist die Offenlegung der personenbezogenen Daten mit Bescheid aufzutragen. Wird dem Bescheid der Datenschutzbehörde binnen acht Wochen nicht entsprochen, so hat die Datenschutzbehörde die Offenlegung der personenbezogenen Daten gegenüber der betroffenen Person selbst vorzunehmen und ihr die verlangte Auskunft zu erteilen oder ihr mitzuteilen, welche personenbezogenen Daten bereits berichtigt oder gelöscht wurden.
| (3)Absatz 3If a controller invokes a restriction pursuant to Article 23 of the General Data Protection Regulation in relation to the Data Protection Authority, the Data Protection Authority shall examine the lawfulness of the application of the restrictions. If the Data Protection Authority comes to the conclusion that it was not justified in keeping the processed personal data secret from the data subject, the disclosure of the data shall be ordered by an administrative decision. If the administrative decision by the Data Protection Authority is not complied with within eight weeks, the Data Protection Authority shall disclose the personal data to the data subject and shall communicate to the data subject the desired information or inform the data subject of the personal data that have already been rectified or erased.römisch eins f a controller invokes a restriction pursuant to Article 23 of the General Data Protection Regulation in relation to the Data Protection Authority, the Data Protection Authority shall examine the lawfulness of the application of the restrictions. römisch eins f the Data Protection Authority comes to the conclusion that it was not justified in keeping the processed personal data secret from the data subject, the disclosure of the data shall be ordered by an administrative decision. römisch eins f the administrative decision by the Data Protection Authority is not complied with within eight weeks, the Data Protection Authority shall disclose the personal data to the data subject and shall communicate to the data subject the desired information or inform the data subject of the personal data that have already been rectified or erased.
|
(4)Absatz 4Bescheide, mit denen Übermittlungen von personenbezogenen Daten ins Ausland genehmigt wurden, sind zu widerrufen, wenn die rechtlichen oder tatsächlichen Voraussetzungen für die Erteilung der Genehmigung nicht mehr bestehen.
| (4)Absatz 4Administrative decisions that permit the transfer of data abroad shall be revoked once the legal or factual prerequisites for the issue of the permit no longer apply.
|
Verantwortliche des öffentlichen und des privaten Bereichs | Public-sector and private-sector controllers |
§ 26.Paragraph 26,(1)Absatz einsUnbeschadet des § 5 Abs. 3 sind Verantwortliche des öffentlichen Bereichs alle Verantwortlichen,Unbeschadet des Paragraph 5, Absatz 3, sind Verantwortliche des öffentlichen Bereichs alle Verantwortlichen,
| § 26.Paragraph 26,(1)Absatz einsWithout prejudice to § 5 para. 3, public-sector controllers are all controllersWithout prejudice to Paragraph 5, para. 3, public-sector controllers are all controllers
|
die in Formen des öffentlichen Rechts eingerichtet sind, insbesondere auch als Organ einer Gebietskörperschaft, oder
| that are established in legal structures of public law, in particular also as an executive officer of a territorial authority, or
|
soweit sie trotz ihrer Einrichtung in Formen des Privatrechts in Vollziehung der Gesetze tätig sind.
| as far as they execute laws despite having been incorporated according to private law.
|
(2)Absatz 2Verantwortliche des öffentlichen Bereichs sind Partei in Verfahren vor der Datenschutzbehörde.
| (2)Absatz 2Public-sector controllers have the status of a party in proceedings before the Data Protection Authority.
|
(3)Absatz 3Verantwortliche des öffentlichen Bereichs können Beschwerde an das Bundesverwaltungsgericht und Revision beim Verwaltungsgerichtshof erheben.
| (3)Absatz 3Public-sector controllers can lodge complaints with the Federal Administrative Court and final complaints with the Supreme Administrative Court.
|
(4)Absatz 4Die dem Abs. 1 nicht unterliegenden Verantwortlichen gelten als Verantwortliche des privaten Bereichs im Sinne dieses Bundesgesetzes.Die dem Absatz eins, nicht unterliegenden Verantwortlichen gelten als Verantwortliche des privaten Bereichs im Sinne dieses Bundesgesetzes.
| (4)Absatz 4Controllers which are not within the scope of para. 1 are considered to be private-sector controllers according to this federal law.
|
Beschwerde an das Bundesverwaltungsgericht | Complaints with the Federal Administrative Court |
§ 27.Paragraph 27,(1)Absatz einsDas Bundesverwaltungsgericht entscheidet durch Senat über Beschwerden gegen Bescheide, wegen der Verletzung der Unterrichtungspflicht gemäß § 24 Abs. 7 und der Entscheidungspflicht der Datenschutzbehörde.Das Bundesverwaltungsgericht entscheidet durch Senat über Beschwerden gegen Bescheide, wegen der Verletzung der Unterrichtungspflicht gemäß Paragraph 24, Absatz 7 und der Entscheidungspflicht der Datenschutzbehörde.
| § 27.Paragraph 27,(1)Absatz einsThe Federal Administrative Court shall decide through a panel of judges on complaints against administrative decisions on the ground of a breach of the duty to provide information pursuant to § 24 para. 7 and the duty to reach a decision of the Data Protection Authority.The Federal Administrative Court shall decide through a panel of judges on complaints against administrative decisions on the ground of a breach of the duty to provide information pursuant to Paragraph 24, para. 7 and the duty to reach a decision of the Data Protection Authority.
|
(2)Absatz 2Der Senat besteht aus einem Vorsitzenden und je einem fachkundigen Laienrichter aus dem Kreis der Arbeitgeber und aus dem Kreis der Arbeitnehmer. Die fachkundigen Laienrichter werden auf Vorschlag der Wirtschaftskammer Österreich und der Bundeskammer für Arbeiter und Angestellte bestellt. Es sind entsprechende Vorkehrungen zu treffen, dass zeitgerecht eine hinreichende Anzahl von fachkundigen Laienrichtern zur Verfügung steht.
| (2)Absatz 2The panel of judges shall consist of a chair and one expert lay judge each from among employers and from among employees. The expert lay judges shall be appointed on the basis of a proposal by the Austrian Federal Economic Chamber and the Federal Chamber of Labour. Appropriate arrangements shall be made so that a sufficient number of expert lay judges is available in due time.
|
(3)Absatz 3Die fachkundigen Laienrichter müssen eine mindestens fünfjährige einschlägige Berufserfahrung und besondere Kenntnisse des Datenschutzrechtes besitzen.
| (3)Absatz 3The expert lay judges must have at least five years of relevant professional experience and special knowledge of data protection law.
|
(4)Absatz 4Der Vorsitzende hat den fachkundigen Laienrichtern alle entscheidungsrelevanten Dokumente unverzüglich zu übermitteln oder, wenn dies untunlich oder zur Wahrung der Vertraulichkeit von Dokumenten unbedingt erforderlich ist, zur Verfügung zu stellen.
| (4)Absatz 4The chair shall provide all documents relevant to the decision to the expert lay judges without delay, or, if this is impractical or strictly necessary to safeguard the confidentiality of the documents, make them available in some other way.
|
(5)Absatz 5Kommt es zu einem Verfahren gegen den Bescheid der Datenschutzbehörde, der eine Stellungnahme oder ein Beschluss des Europäischen Ausschusses im Rahmen des Kohärenzverfahrens vorangegangen ist, so leitet die Datenschutzbehörde diese Stellungnahme oder diesen Beschluss dem Bundesverwaltungsgericht zu.
| (5)Absatz 5Where proceedings are brought against an administrative decision of the Data Protection Authority which was preceded by an opinion or a decision of the European Data Protection Board in the consistency mechanism, the Data Protection Authority shall forward that opinion or decision to the Federal Administrative Court.
|
Vertretung von betroffenen Personen | Representation of data subjects |
§ 28.Paragraph 28, Die betroffene Person hat das Recht, eine Einrichtung, OrganisationenOrganisation oder Vereinigung ohne Gewinnerzielungsabsicht, die ordnungsgemäß gegründet ist, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist, zu beauftragen, in ihrem Namen eine Beschwerde einzureichen und in ihrem Namen die in den §§ 24 bis 27 genannten Rechte wahrzunehmen. Die betroffene Person hat das Recht, eine Einrichtung, OrganisationenOrganisation oder Vereinigung ohne Gewinnerzielungsabsicht, die ordnungsgemäß gegründet ist, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist, zu beauftragen, in ihrem Namen eine Beschwerde einzureichen und in ihrem Namen die in den Paragraphen 24 bis 27 genannten Rechte wahrzunehmen. | § 28.Paragraph 28, The data subject shall have the right to mandate a not-for-profit body, organisation or association which has been properly constituted, has statutory objectives which are in the public interest, and is active in the field of the protection of data subjects’ rights and freedoms with regard to the protection of their personal data to lodge the complaint on his or her behalf and to exercise the rights referred to in § 24 to § 27 on his or her behalf. The data subject shall have the right to mandate a not-for-profit body, organisation or association which has been properly constituted, has statutory objectives which are in the public interest, and is active in the field of the protection of data subjects’ rights and freedoms with regard to the protection of their personal data to lodge the complaint on his or her behalf and to exercise the rights referred to in Paragraph 24, to Paragraph 27, on his or her behalf. |
Haftung und Recht auf Schadenersatz | Right to compensation and liability |
§ 29.Paragraph 29,(1)Absatz einsJede Person, der wegen eines Verstoßes gegen die DSGVO oder gegen § 1 oder Artikel 2 1. Hauptstück ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter nach Art. 82 DSGVO. Im Einzelnen gelten für diesen Schadenersatzanspruch die allgemeinen Bestimmungen des bürgerlichen Rechts.Jede Person, der wegen eines Verstoßes gegen die DSGVO oder gegen Paragraph eins, oder Artikel 2 1. Hauptstück ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter nach Artikel 82, DSGVO. Im Einzelnen gelten für diesen Schadenersatzanspruch die allgemeinen Bestimmungen des bürgerlichen Rechts.
| § 29.Paragraph 29,(1)Absatz einsPursuant to Article 82 of the General Data Protection Regulation, any person who has suffered material or non-material damage as a result of an infringement of the General Data Protection Regulation or § 1 or Chapter 1 Article 2 shall have the right to receive compensation from the controller or processor for the damage suffered. In detail, the general provisions of civil law shall apply to this right to compensation.Pursuant to Article 82 of the General Data Protection Regulation, any person who has suffered material or non-material damage as a result of an infringement of the General Data Protection Regulation or Paragraph eins, or Chapter 1 Article 2 shall have the right to receive compensation from the controller or processor for the damage suffered. In detail, the general provisions of civil law shall apply to this right to compensation.
|
(2)Absatz 2Für Klagen auf Schadenersatz ist in erster Instanz das mit der Ausübung der Gerichtsbarkeit in bürgerlichen Rechtssachen betraute Landesgericht zuständig, in dessen Sprengel der Kläger (Antragsteller) seinen gewöhnlichen Aufenthalt oder Sitz hat. Klagen (Anträge) können aber auch bei dem Landesgericht erhoben werden, in dessen Sprengel der Beklagte seinen gewöhnlichen Aufenthalt oder Sitz oder eine Niederlassung hat.
| (2)Absatz 2The regional court entrusted with exercising jurisdiction in civil matters in whose judicial district the plaintiff (applicant) has his usual place of residence or registered office shall have first-instance jurisdiction over actions for compensation. Actions (requests) may, however, also be brought before the regional court in whose judicial district the defendant has his usual place of residence or registered office or a branch office.
|
Allgemeine Bedingungen für die Verhängung von Geldbußen | General conditions for imposing administrative fines |
§ 30.Paragraph 30,(1)Absatz einsDie Datenschutzbehörde kann Geldbußen gegen eine juristische Person verhängen, wenn Verstöße gegen Bestimmungen der DSGVO und des § 1 oder Artikel 2 1. Hauptstück durch Personen begangen wurden, die entweder allein oder als Teil eines Organs der juristischen Person gehandelt haben und eine Führungsposition innerhalb der juristischen Person aufgrundDie Datenschutzbehörde kann Geldbußen gegen eine juristische Person verhängen, wenn Verstöße gegen Bestimmungen der DSGVO und des Paragraph eins, oder Artikel 2 1. Hauptstück durch Personen begangen wurden, die entweder allein oder als Teil eines Organs der juristischen Person gehandelt haben und eine Führungsposition innerhalb der juristischen Person aufgrund
| § 30.Paragraph 30,(1)Absatz einsThe Data Protection Authority can impose administrative fines on a legal person if infringements of provisions of the General Data Protection Regulation and of § 1 or Chapter 1 Article 2 were committed by persons who acted either individually or as part of an executive body of the legal person and have a leading position within the legal person on the basis of:The Data Protection Authority can impose administrative fines on a legal person if infringements of provisions of the General Data Protection Regulation and of Paragraph eins, or Chapter 1 Article 2 were committed by persons who acted either individually or as part of an executive body of the legal person and have a leading position within the legal person on the basis of:
|
der Befugnis zur Vertretung der juristischen Person,
| a power of representation of the legal person,
|
der Befugnis, Entscheidungen im Namen der juristischen Person zu treffen, oder
| the authority to take decisions on behalf of the legal person, or
|
einer Kontrollbefugnis innerhalb der juristischen Person
| the authority to exercise control within the legal person.
|
innehaben. | |
(2)Absatz 2Juristische Personen können wegen Verstößen gegen Bestimmungen der DSGVO und des § 1 oder Artikel 2 1. Hauptstück auch verantwortlich gemacht werden, wenn mangelnde Überwachung oder Kontrolle durch eine in Abs. 1 genannte Person die Begehung dieser Verstöße durch eine für die juristische Person tätige Person ermöglicht hat, sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet.Juristische Personen können wegen Verstößen gegen Bestimmungen der DSGVO und des Paragraph eins, oder Artikel 2 1. Hauptstück auch verantwortlich gemacht werden, wenn mangelnde Überwachung oder Kontrolle durch eine in Absatz eins, genannte Person die Begehung dieser Verstöße durch eine für die juristische Person tätige Person ermöglicht hat, sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet.
| (2)Absatz 2Legal persons may also be held responsible for infringements of provisions of the General Data Protection Regulation and of § 1 or Chapter 1 Article 2 if such infringements by a person acting for the legal person were made possible by a lack of supervision or control by one of the persons referred to in para. 1 unless the act constitutes a criminal offence within the jurisdiction of the courts.Legal persons may also be held responsible for infringements of provisions of the General Data Protection Regulation and of Paragraph eins, or Chapter 1 Article 2 if such infringements by a person acting for the legal person were made possible by a lack of supervision or control by one of the persons referred to in para. 1 unless the act constitutes a criminal offence within the jurisdiction of the courts.
|
(3)Absatz 3Die Datenschutzbehörde hat von der Bestrafung eines Verantwortlichen gemäß § 9 des Verwaltungsstrafgesetzes 1991 – VStG, BGBl. Nr. 52/1991, abzusehen, wenn für denselben Verstoß bereits eine Verwaltungsstrafe gegen die juristische Person verhängt wird.Die Datenschutzbehörde hat von der Bestrafung eines Verantwortlichen gemäß Paragraph 9, des Verwaltungsstrafgesetzes 1991 – VStG, Bundesgesetzblatt Nr. 52 aus 1991,, abzusehen, wenn für denselben Verstoß bereits eine Verwaltungsstrafe gegen die juristische Person verhängt wird.
| (3)Absatz 3The Data Protection Authority shall refrain from imposing a fine on a responsible party pursuant to § 9 of the Administrative Penal Act 1991, Federal Law Gazette 52/1991, if an administrative penalty has already been imposed on the legal person for the same infringement.The Data Protection Authority shall refrain from imposing a fine on a responsible party pursuant to Paragraph 9, of the Administrative Penal Act 1991, Federal Law Gazette 52/1991, if an administrative penalty has already been imposed on the legal person for the same infringement.
|
(4)Absatz 4Die gemäß § 22 Abs. 5 verhängten Geldbußen fließen dem Bund zu und sind nach den Bestimmungen über die Eintreibung von gerichtlichen Geldstrafen einzubringen. Rechtskräftige Bescheide der Datenschutzbehörde sind Exekutionstitel. Die Bewilligung und der Vollzug der Exekution ist auf Grund des Exekutionstitels der Datenschutzbehörde bei dem Bezirksgericht, in dessen Sprengel der Verpflichtete seinen allgemeinen Gerichtsstand in Streitsachen hat (§§ 66, 75 der Jurisdiktionsnorm – JN, RGBl. Nr. 111/1895), oder bei dem in den §§ 18 und 19 EO bezeichneten Exekutionsgericht zu beantragen.Die gemäß Paragraph 22, Absatz 5, verhängten Geldbußen fließen dem Bund zu und sind nach den Bestimmungen über die Eintreibung von gerichtlichen Geldstrafen einzubringen. Rechtskräftige Bescheide der Datenschutzbehörde sind Exekutionstitel. Die Bewilligung und der Vollzug der Exekution ist auf Grund des Exekutionstitels der Datenschutzbehörde bei dem Bezirksgericht, in dessen Sprengel der Verpflichtete seinen allgemeinen Gerichtsstand in Streitsachen hat (Paragraphen 66,, 75 der Jurisdiktionsnorm – JN, RGBl. Nr. 111/1895), oder bei dem in den Paragraphen 18 und 19 EO bezeichneten Exekutionsgericht zu beantragen.
| (4)Absatz 4Administrative fines imposed pursuant to § 22 para. 5 shall be received by the Federal Government and shall be collected pursuant to the provisions on the collection of judicial fines. Final administrative decisions by the Data Protection Authority are writs of enforcement. Approval and implementation of enforcement is to be requested on the basis of the writ of enforcement by the Data Protection Authority from the district court in whose judicial district the obligated party has his or her general place of jurisdiction (§ 66 and § 75 of the Court Jurisdiction Act, Imperial Law Gazette No 111/1895) or from the enforcing court referred to in § 18 and § 19 of the Enforcement Code.Administrative fines imposed pursuant to Paragraph 22, para. 5 shall be received by the Federal Government and shall be collected pursuant to the provisions on the collection of judicial fines. Final administrative decisions by the Data Protection Authority are writs of enforcement. Approval and implementation of enforcement is to be requested on the basis of the writ of enforcement by the Data Protection Authority from the district court in whose judicial district the obligated party has his or her general place of jurisdiction (Paragraph 66, and Paragraph 75, of the Court Jurisdiction Act, Imperial Law Gazette No 111/1895) or from the enforcing court referred to in Paragraph 18, and Paragraph 19, of the Enforcement Code.
|
(5)Absatz 5Gegen Behörden und öffentliche Stellen, wie insbesondere in Formen des öffentlichen Rechts sowie des Privatrechts eingerichtete Stellen, die im gesetzlichen Auftrag handeln, und gegen Körperschaften des öffentlichen Rechts können keine Geldbußen verhängt werden.
| (5)Absatz 5Administrative fines cannot be imposed on authorities and public entities, such as, in particular, entities established in a form provided by public law as well as private law, which act on the basis of a statutory mandate, and on corporations under public law.
|
4. Abschnitt | Part 4 |
Aufsichtsbehörde nach der Richtlinie (EU) 2016/680 | Supervisory authority pursuant to Directive (EU) 2016/680 |
Datenschutzbehörde | Data Protection Authority |
§ 31.Paragraph 31,(1)Absatz einsDie Datenschutzbehörde wird als nationale Aufsichtsbehörde für den in § 36 Abs. 1 genannten Anwendungsbereich eingerichtet. Die Datenschutzbehörde ist nicht zuständig für die Aufsicht über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen.Die Datenschutzbehörde wird als nationale Aufsichtsbehörde für den in Paragraph 36, Absatz eins, genannten Anwendungsbereich eingerichtet. Die Datenschutzbehörde ist nicht zuständig für die Aufsicht über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen.
| § 31.Paragraph 31,(1)Absatz einsThe Data Protection Authority is established as a national supervisory authority for the scope referred to in § 36 para. 1. The Data Protection Authority shall not be competent to supervise processing operations of courts acting in their judicial capacity.The Data Protection Authority is established as a national supervisory authority for the scope referred to in Paragraph 36, para. 1. The Data Protection Authority shall not be competent to supervise processing operations of courts acting in their judicial capacity.
|
(2)Absatz 2Hinsichtlich der Unabhängigkeit, der allgemeinen Bedingungen und der Errichtung der Aufsichtsbehörde finden die Art. 52, 53 und 54 DSGVO sowie der § 18 Abs. 2, §§ 19 und 20 sinngemäß Anwendung.Hinsichtlich der Unabhängigkeit, der allgemeinen Bedingungen und der Errichtung der Aufsichtsbehörde finden die Artikel 52,, 53 und 54 DSGVO sowie der Paragraph 18, Absatz 2,, Paragraphen 19 und 20 sinngemäß Anwendung.
| (2)Absatz 2In respect of independence, general provisions and the establishment of the supervisory authority, Articles 52, 53 and 54 of the General Data Protection Regulation and § 18 para. 2, § 19 and § 20 shall apply accordingly.In respect of independence, general provisions and the establishment of the supervisory authority, Articles 52, 53 and 54 of the General Data Protection Regulation and Paragraph 18, para. 2, Paragraph 19, and Paragraph 20, shall apply accordingly.
|
Aufgaben der Datenschutzbehörde | Tasks of the Data Protection Authority |
§ 32.Paragraph 32,(1)Absatz einsDie Datenschutzbehörde hat im Anwendungsbereich des § 36 Abs. 1Die Datenschutzbehörde hat im Anwendungsbereich des Paragraph 36, Absatz eins,
| § 32.Paragraph 32,(1)Absatz einsIn the scope of § 36 para. 1, the Data Protection Authority shallIn the scope of Paragraph 36, para. 1, the Data Protection Authority shall
|
die Anwendung des § 1 und der im 3. Hauptstück erlassenen Vorschriften sowie der Durchführungsvorschriften zur Richtlinie (EU) 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, ABl. Nr. L 119 vom 4.5.2016 S. 89, zu überwachen und durchzusetzen;die Anwendung des Paragraph eins und der im 3. Hauptstück erlassenen Vorschriften sowie der Durchführungsvorschriften zur Richtlinie (EU) 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, ABl. Nr. L 119 vom 4.5.2016 Sitzung 89, zu überwachen und durchzusetzen;
| monitor and enforce the application of § 1 and of the provisions adopted pursuant to Chapter 3 and the implementing measures regarding Directive (EU) 2016/680 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA, OJ No L 119 of 4 May 2016, p. 89;monitor and enforce the application of Paragraph eins, and of the provisions adopted pursuant to Chapter 3 and the implementing measures regarding Directive (EU) 2016/680 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA, OJ No L 119 of 4 May 2016, p. 89;
|
die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung zu sensibilisieren und sie darüber aufzuklären;
| promote public awareness and understanding of the risks, rules, safeguards and rights in relation to processing;
|
die in Art. 57 Abs. 1 lit. c bis e, g, h und t DSGVO festgelegten Aufgaben im Hinblick auf das 3. Hauptstück zu erfüllen;die in Artikel 57, Absatz eins, Litera c bis e, g, h und t DSGVO festgelegten Aufgaben im Hinblick auf das 3. Hauptstück zu erfüllen;
| perform the tasks specified in Article 57 para. 1 (c) to (e), (g), (h) and (t) of the General Data Protection Regulation with regard to Chapter 3;
|
sich mit Beschwerden einer betroffenen Person oder einer Stelle, einer Organisation oder einer Vereinigung gemäß § 28 zu befassen, den Gegenstand der Beschwerde in angemessenem Umfang zu untersuchen und den Beschwerdeführer innerhalb einer Frist von drei Monaten über den Fortgang und das Ergebnis der Untersuchung zu unterrichten, insbesondere, wenn eine weitere Untersuchung oder Koordinierung mit einer anderen Aufsichtsbehörde notwendig ist;sich mit Beschwerden einer betroffenen Person oder einer Stelle, einer Organisation oder einer Vereinigung gemäß Paragraph 28, zu befassen, den Gegenstand der Beschwerde in angemessenem Umfang zu untersuchen und den Beschwerdeführer innerhalb einer Frist von drei Monaten über den Fortgang und das Ergebnis der Untersuchung zu unterrichten, insbesondere, wenn eine weitere Untersuchung oder Koordinierung mit einer anderen Aufsichtsbehörde notwendig ist;
| deal with complaints lodged by a data subject, or by a body, organisation or association in accordance with § 28, and investigate, to the extent appropriate, the subject matter of the complaint and inform the complainant of the progress and the outcome of the investigation within a period of three months, in particular if further investigation or coordination with another supervisory authority is necessary;deal with complaints lodged by a data subject, or by a body, organisation or association in accordance with Paragraph 28,, and investigate, to the extent appropriate, the subject matter of the complaint and inform the complainant of the progress and the outcome of the investigation within a period of three months, in particular if further investigation or coordination with another supervisory authority is necessary;
|
die Rechtmäßigkeit der Verarbeitung gemäß § 42 Abs. 8 zu überprüfen und die betroffene Person innerhalb einer angemessenen Frist über das Ergebnis der Überprüfung gemäß § 42 Abs. 9 zu unterrichten oder ihr die Gründe mitzuteilen, aus denen die Überprüfung nicht vorgenommen wurde;die Rechtmäßigkeit der Verarbeitung gemäß Paragraph 42, Absatz 8, zu überprüfen und die betroffene Person innerhalb einer angemessenen Frist über das Ergebnis der Überprüfung gemäß Paragraph 42, Absatz 9, zu unterrichten oder ihr die Gründe mitzuteilen, aus denen die Überprüfung nicht vorgenommen wurde;
| check the lawfulness of processing pursuant to § 42 para. 8, and inform the data subject within a reasonable period of the outcome of the check pursuant to § 42 para. 9 or of the reasons why the check has not been carried out;check the lawfulness of processing pursuant to Paragraph 42, para. 8, and inform the data subject within a reasonable period of the outcome of the check pursuant to Paragraph 42, para. 9 or of the reasons why the check has not been carried out;
|
maßgebliche Entwicklungen zu verfolgen, soweit sie sich auf den Schutz personenbezogener Daten auswirken, insbesondere die Entwicklung der Informations- und Kommunikationstechnologie,
| monitor relevant developments insofar as they have an impact on the protection of personal data, in particular the development of information and communication technologies;
|
Beratung in Bezug auf die in § 53 genannten Verarbeitungsvorgänge zu leisten, undBeratung in Bezug auf die in Paragraph 53, genannten Verarbeitungsvorgänge zu leisten, und
| provide advice on the processing operations referred to in § 53; andprovide advice on the processing operations referred to in Paragraph 53 ;, and
|
die Rechte der betroffenen Person in den Fällen der §§ 43 Abs. 4, 44 Abs. 3 und 45 Abs. 4 auszuüben.die Rechte der betroffenen Person in den Fällen der Paragraphen 43, Absatz 4,, 44 Absatz 3 und 45 Absatz 4, auszuüben.
| exercise the rights of data subjects in the cases referred to in § 43 para. 4, § 44 para. 3 and § 45 para. 4.exercise the rights of data subjects in the cases referred to in Paragraph 43, para. 4, Paragraph 44, para. 3 and Paragraph 45, para. 4.
|
(2)Absatz 2Die Datenschutzbehörde erleichtert das Einreichen von in Abs. 1 Z 4 genannten Beschwerden durch Maßnahmen wie etwa die Bereitstellung eines Beschwerdeformulars, das auch elektronisch ausgefüllt werden kann, ohne dass andere Kommunikationsmittel ausgeschlossen werden.Die Datenschutzbehörde erleichtert das Einreichen von in Absatz eins, Ziffer 4, genannten Beschwerden durch Maßnahmen wie etwa die Bereitstellung eines Beschwerdeformulars, das auch elektronisch ausgefüllt werden kann, ohne dass andere Kommunikationsmittel ausgeschlossen werden.
| (2)Absatz 2The Data Protection Authority shall facilitate the submission of complaints referred to in para. 1 subpara. 4 by measures such as a complaint submission form which can also be completed electronically, without excluding other means of communication.
|
(3)Absatz 3Art. 57 Abs. 3 und 4 DSGVO finden sinngemäß Anwendung.Artikel 57, Absatz 3 und 4 DSGVO finden sinngemäß Anwendung.
| (3)Absatz 3Article 57 paras. 3 and 4 of the General Data Protection Regulation shall apply accordingly.
|
Befugnisse der Datenschutzbehörde | Powers of the Data Protection Authority |
§ 33.Paragraph 33,(1)Absatz einsDie Datenschutzbehörde verfügt im Anwendungsbereich des § 36 Abs. 1 über die zur Vollziehung ihres Aufgabenbereichs erforderlichen wirksamen Untersuchungsbefugnisse. Diese umfassen insbesondere die in § 22 Abs. 2 genannten Befugnisse.Die Datenschutzbehörde verfügt im Anwendungsbereich des Paragraph 36, Absatz eins, über die zur Vollziehung ihres Aufgabenbereichs erforderlichen wirksamen Untersuchungsbefugnisse. Diese umfassen insbesondere die in Paragraph 22, Absatz 2, genannten Befugnisse.
| § 33.Paragraph 33,(1)Absatz einsIn the scope of § 36 para. 1, the Data Protection Authority shall have the effective investigative powers required to perform its tasks. Such powers include, in particular, the powers referred to in § 22 para. 2.In the scope of Paragraph 36, para. 1, the Data Protection Authority shall have the effective investigative powers required to perform its tasks. Such powers include, in particular, the powers referred to in Paragraph 22, para. 2.
|
(2)Absatz 2Die Datenschutzbehörde verfügt im Anwendungsbereich des § 36 Abs. 1 über die zur Vollziehung ihres Aufgabenbereichs erforderlichen wirksamen Abhilfebefugnisse. Dazu zählen jedenfalls die Befugnisse, die es ihr gestattenDie Datenschutzbehörde verfügt im Anwendungsbereich des Paragraph 36, Absatz eins, über die zur Vollziehung ihres Aufgabenbereichs erforderlichen wirksamen Abhilfebefugnisse. Dazu zählen jedenfalls die Befugnisse, die es ihr gestatten
| (2)Absatz 2In the scope of § 36 para. 1, the Data Protection Authority shall have the effective corrective powers required to perform its tasks. These include the powers to enable the Data Protection AuthorityIn the scope of Paragraph 36, para. 1, the Data Protection Authority shall have the effective corrective powers required to perform its tasks. These include the powers to enable the Data Protection Authority
|
einen Verantwortlichen oder einen Auftragsverarbeiter zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen die im Anwendungsbereich der Richtlinie (EU) 2016/680 erlassenen Vorschriften verstoßen;
| to issue warnings to a controller or processor that intended processing operations are likely to infringe provisions adopted in the scope of Directive (EU) 2016/680;
|
den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge, auf bestimmte Weise und innerhalb eines bestimmten Zeitraums, mit den im Anwendungsbereich der Richtlinie (EU) 2016/680 erlassenen Vorschriften in Einklang zu bringen, insbesondere durch die Anordnung der Berichtigung oder Löschung personenbezogener Daten oder Einschränkung der Verarbeitung gemäß § 45;den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge, auf bestimmte Weise und innerhalb eines bestimmten Zeitraums, mit den im Anwendungsbereich der Richtlinie (EU) 2016/680 erlassenen Vorschriften in Einklang zu bringen, insbesondere durch die Anordnung der Berichtigung oder Löschung personenbezogener Daten oder Einschränkung der Verarbeitung gemäß Paragraph 45 ;,
| to order the controller or processor to bring processing operations into compliance with the provisions adopted in the scope of Directive (EU) 2016/680 in a specified manner and within a specified period, in particular by ordering the rectification or erasure of personal data or the restriction of processing pursuant to § 45;to order the controller or processor to bring processing operations into compliance with the provisions adopted in the scope of Directive (EU) 2016/680 in a specified manner and within a specified period, in particular by ordering the rectification or erasure of personal data or the restriction of processing pursuant to Paragraph 45 ;,
|
eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen.
| to impose a temporary or definitive limitation including a ban on processing.
|
(3)Absatz 3Die Datenschutzbehörde verfügt im Anwendungsbereich des § 36 Abs. 1 über die zur Vollziehung erforderlichen wirksamen Beratungsbefugnisse, die es ihr gestatten, gemäß dem Verfahren der vorherigen Konsultation nach § 53 den Verantwortlichen zu beraten und zu allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten stehen, von sich aus oder auf Antrag Stellungnahmen an den Nationalrat oder den Bundesrat, die Bundes- oder Landesregierung oder an sonstige Einrichtungen und Stellen sowie an die Öffentlichkeit zu richten.Die Datenschutzbehörde verfügt im Anwendungsbereich des Paragraph 36, Absatz eins, über die zur Vollziehung erforderlichen wirksamen Beratungsbefugnisse, die es ihr gestatten, gemäß dem Verfahren der vorherigen Konsultation nach Paragraph 53, den Verantwortlichen zu beraten und zu allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten stehen, von sich aus oder auf Antrag Stellungnahmen an den Nationalrat oder den Bundesrat, die Bundes- oder Landesregierung oder an sonstige Einrichtungen und Stellen sowie an die Öffentlichkeit zu richten.
| (3)Absatz 3In the scope of § 36 para. 1, the Data Protection Authority has effective advisory powers required for implementation which allow it to advise the controller in accordance with the prior consultation procedure referred to in § 53 and to issue, on its own initiative or on request, opinions to the National Council or the Federal Council, the Federal Government or a provincial government or to other institutions and bodies as well as to the public on any issue related to the protection of personal data.In the scope of Paragraph 36, para. 1, the Data Protection Authority has effective advisory powers required for implementation which allow it to advise the controller in accordance with the prior consultation procedure referred to in Paragraph 53, and to issue, on its own initiative or on request, opinions to the National Council or the Federal Council, the Federal Government or a provincial government or to other institutions and bodies as well as to the public on any issue related to the protection of personal data.
|
(4)Absatz 4Die Ausübung der der Aufsichtsbehörde übertragenen Befugnisse richtet sich im Anwendungsbereich § 36 Abs. 1 sinngemäß nach Art. 58 Abs. 4 DSGVO.Die Ausübung der der Aufsichtsbehörde übertragenen Befugnisse richtet sich im Anwendungsbereich Paragraph 36, Absatz eins, sinngemäß nach Artikel 58, Absatz 4, DSGVO.
| (4)Absatz 4In the scope of § 36 para. 1, the exercise of the powers conferred on the supervisory authority is based on Article 58 para. 4 of the General Data Protection Regulation.In the scope of Paragraph 36, para. 1, the exercise of the powers conferred on the supervisory authority is based on Article 58 para. 4 of the General Data Protection Regulation.
|
(5)Absatz 5§ 22 Abs. 3 2. Satz gilt sinngemäß für Verstöße im Anwendungsbereich des § 36 Abs. 1.Paragraph 22, Absatz 3, 2. Satz gilt sinngemäß für Verstöße im Anwendungsbereich des Paragraph 36, Absatz eins,
| (5)Absatz 5§ 22 para. 3 sentence 2 shall apply accordingly to infringements in the scope of § 36 para. 1Paragraph 22, para. 3 sentence 2 shall apply accordingly to infringements in the scope of Paragraph 36, para. 1
|
Allgemeine Bestimmungen | General provisions |
§ 34.Paragraph 34,(1)Absatz einsVerantwortliche haben im Anwendungsbereich des § 36 Abs. 1 wirksame Vorkehrungen zu treffen, um vertrauliche Meldungen über Verstöße zu fördern. In diesem Sinne haben Verantwortliche insbesondere angemessene Verfahren einzurichten, die es ermöglichen, Verstöße gegen die Bestimmungen des 3. Hauptstücks an eine geeignete Stelle zu melden.Verantwortliche haben im Anwendungsbereich des Paragraph 36, Absatz eins, wirksame Vorkehrungen zu treffen, um vertrauliche Meldungen über Verstöße zu fördern. In diesem Sinne haben Verantwortliche insbesondere angemessene Verfahren einzurichten, die es ermöglichen, Verstöße gegen die Bestimmungen des 3. Hauptstücks an eine geeignete Stelle zu melden.
| § 34.Paragraph 34,(1)Absatz einsIn the scope of § 36 para. 1, controllers shall put in place effective mechanisms to encourage confidential reporting of infringements. For this purpose, controllers shall, in particular, establish adequate procedures that enable reports of infringements of the provisions of Chapter 3 to an appropriate entity.In the scope of Paragraph 36, para. 1, controllers shall put in place effective mechanisms to encourage confidential reporting of infringements. For this purpose, controllers shall, in particular, establish adequate procedures that enable reports of infringements of the provisions of Chapter 3 to an appropriate entity.
|
(2)Absatz 2Die in Abs. 1 angeführten Vorkehrungen umfassen zumindestDie in Absatz eins, angeführten Vorkehrungen umfassen zumindest
| (2)Absatz 2The mechanisms referred to in para. 1 shall at least include
|
spezielle Verfahren für den Empfang der Meldungen über Verstöße und deren Weiterverfolgung;
| specific procedures for the receipt of reports on infringements and their follow-up;
|
den Schutz personenbezogener Daten sowohl für die Person, die die Verstöße anzeigt, als auch für die natürliche Person, die mutmaßlich für einen Verstoß verantwortlich ist;
| protection of personal data concerning both the person who reports the infringements and the natural person who is presumably responsible for an infringement;
|
klare Regeln, welche die Geheimhaltung der Identität der Person, die die Verstöße anzeigt, gewährleisten, soweit nicht die Offenlegung der Identität im Rahmen eines staatsanwaltschaftlichen, gerichtlichen oder verwaltungsrechtlichen Verfahrens zwingend zu erfolgen hat.
| clear rules to guarantee that the identity of the person who reported the infringement is not disclosed, unless such disclosure of identity is obligatory in relation to public prosecution, court or administrative proceedings.
|
(3)Absatz 3Die Datenschutzbehörde hat im Rahmen des Tätigkeitsberichtes nach § 23 über die Tätigkeiten nach dem 4. und 5. Abschnitt zu berichten. Die Vorgaben des Art. 59 DSGVO und § 23 für den Tätigkeitsbericht und die Veröffentlichung von Entscheidungen finden sinngemäß Anwendung.Die Datenschutzbehörde hat im Rahmen des Tätigkeitsberichtes nach Paragraph 23, über die Tätigkeiten nach dem 4. und 5. Abschnitt zu berichten. Die Vorgaben des Artikel 59, DSGVO und Paragraph 23, für den Tätigkeitsbericht und die Veröffentlichung von Entscheidungen finden sinngemäß Anwendung.
| (3)Absatz 3In its activity report pursuant to § 23, the Data Protection Authority shall report on its activities pursuant to Parts 4 and 5. The requirements of Article 59 of the General Data Protection Regulation and § 23 for the activity report and the publication of decisions shall apply accordingly.In its activity report pursuant to Paragraph 23,, the Data Protection Authority shall report on its activities pursuant to Parts 4 and 5. The requirements of Article 59 of the General Data Protection Regulation and Paragraph 23, for the activity report and the publication of decisions shall apply accordingly.
|
(4)Absatz 4Auf die gegenseitige Amtshilfe im Anwendungsbereich des § 36 Abs. 1 findet Art. 61 Abs. 1 bis 7 DSGVO sinngemäß Anwendung.Auf die gegenseitige Amtshilfe im Anwendungsbereich des Paragraph 36, Absatz eins, findet Artikel 61, Absatz eins bis 7 DSGVO sinngemäß Anwendung.
| (4)Absatz 4Article 61 paras. 1 to 7 of the General Data Protection Regulation shall apply accordingly to mutual assistance in the scope of § 36 para. 1.Article 61 paras. 1 to 7 of the General Data Protection Regulation shall apply accordingly to mutual assistance in the scope of Paragraph 36, para. 1.
|
(5)Absatz 5Im Anwendungsbereich des § 36 Abs. 1 finden die Regelungen des 3. Abschnitts des 2. Hauptstücks – mit Ausnahme des § 30 – sinngemäß Anwendung.Im Anwendungsbereich des Paragraph 36, Absatz eins, finden die Regelungen des 3. Abschnitts des 2. Hauptstücks – mit Ausnahme des Paragraph 30, – sinngemäß Anwendung.
| (5)Absatz 5In the scope of § 36 para. 1, the provisions of Chapter 2 Part 3, with the exception of § 30, shall apply accordingly.In the scope of Paragraph 36, para. 1, the provisions of Chapter 2 Part 3, with the exception of Paragraph 30,, shall apply accordingly.
|
5. Abschnitt | Part 5 |
Besondere Befugnisse der Datenschutzbehörde | Special powers of the Data Protection Authority |
§ 35.Paragraph 35,(1)Absatz einsDie Datenschutzbehörde ist nach den näheren Bestimmungen der DSGVO und dieses Bundesgesetzes zur Wahrung des Datenschutzes berufen.
| § 35.Paragraph 35,(1)Absatz einsThe Data Protection Authority shall safeguard data protection in accordance with the detailed provisions of the General Data Protection Regulation and this federal law.
|
(2)Absatz 2(Verfassungsbestimmung) Die Datenschutzbehörde übt ihre Befugnisse auch gegenüber den in Art. 19 B-VG bezeichneten obersten Organen der Vollziehung sowie gegenüber den obersten Organen gemäß Art. 30 Abs. 3 bis 6, 125, 134 Abs. 8 und 148h Abs. 1 und 2 B-VGdem Präsidenten des Verwaltungsgerichtshofes im Bereich der diesendiesem zustehenden Verwaltungsangelegenheiten aus.(Verfassungsbestimmung) Die Datenschutzbehörde übt ihre Befugnisse auch gegenüber den in Artikel 19, B-VG bezeichneten obersten Organen der Vollziehung sowie gegenüber den obersten Organen gemäß Artikel 30, Absatz 3, bis 6, 125, 134 Absatz 8 und 148h Absatz eins und 2 B-VGdem Präsidenten des Verwaltungsgerichtshofes im Bereich der diesendiesem zustehenden Verwaltungsangelegenheiten aus.
| (2)Absatz 2(Constitutional provision) The Data Protection Authority shall exercise its powers also in relation to the highest governing bodies or officers referred to in Article 19 of the Federal Constitutional Law entrusted with implementing the laws as well as in relation to the highest governing bodies or officers referred to in Article 30 paras. 3 to 6, Article 125, Article 134 para. 8 and Article 148h paras. 1 and 2 of the Federal Constitutional Act in the administrative matters for which they are responsible.
|
6. Abschnitt | |
Parlamentarisches Datenschutzkomitee | |
Einrichtung | |
§ 35a.Paragraph 35 a, (Verfassungsbestimmung) (1) Für den Bereich der Gesetzgebung wird das Parlamentarische Datenschutzkomitee als nationale Aufsichtsbehörde gemäß Art. 51 DSGVO eingerichtet. Es ist zuständig für die Aufsicht über die Verarbeitungen (Verfassungsbestimmung) (1) Für den Bereich der Gesetzgebung wird das Parlamentarische Datenschutzkomitee als nationale Aufsichtsbehörde gemäß Artikel 51, DSGVO eingerichtet. Es ist zuständig für die Aufsicht über die Verarbeitungen | |
des Nationalrates und des Bundesrates einschließlich deren Mitglieder in Ausübung ihres Mandates sowie der Funktionäre gemäß § 56i Abs. 1 Z 1 bis 3 des Verfassungsgerichtshofgesetzes 1953 – VfGG, BGBl. Nr. 85/1953,des Nationalrates und des Bundesrates einschließlich deren Mitglieder in Ausübung ihres Mandates sowie der Funktionäre gemäß Paragraph 56 i, Absatz eins, Ziffer eins bis 3 des Verfassungsgerichtshofgesetzes 1953 – VfGG, Bundesgesetzblatt Nr. 85 aus 1953,,
| |
des Rechnungshofes und der Volksanwaltschaft,
| |
der obersten Organe gemäß Art. 30 Abs. 3 bis 6, 125 und 148h Abs. 1 und 2 B-VG im Bereich der diesen zustehenden Verwaltungsangelegenheiten.der obersten Organe gemäß Artikel 30, Absatz 3, bis 6, 125 und 148h Absatz eins, und 2 B-VG im Bereich der diesen zustehenden Verwaltungsangelegenheiten.
| |
(2)Absatz 2Durch Landesverfassungsgesetz kann die Zuständigkeit des Parlamentarischen Datenschutzkomitees für die Aufsicht über die Verarbeitungen der Landtage einschließlich deren Mitglieder in Ausübung ihres Mandates, der Landesrechnungshöfe und der Landesvolksanwälte vorgesehen werden. Dabei kann auch die Zuständigkeit für die Aufsicht über die Verarbeitungen im Bereich der Verwaltungsangelegenheiten der Landtage, der Landesrechnungshöfe und der Landesvolksanwälte vorgesehen werden.
| |
(3)Absatz 3Das Parlamentarische Datenschutzkomitee ist eine Dienstbehörde und Personalstelle. Die Diensthoheit des Bundes gegenüber den beim Parlamentarischen Datenschutzkomitee Bediensteten wird von dessen Vorsitzenden ausgeübt.
| |
Mitglieder | |
§ 35b.Paragraph 35 b,(1)Absatz eins(Verfassungsbestimmung) Die Mitglieder des Parlamentarischen Datenschutzkomitees werden auf Vorschlag des Hauptausschusses vom Nationalrat mit Zustimmung des Bundesrates für eine Funktionsperiode von fünf Jahren gewählt; die Wiederwahl ist zulässig. Die Anzahl der Mitglieder hat mindestens drei und höchstens sechs zu betragen. Dem Vorschlag des Hauptausschusses hat eine Ausschreibung zur allgemeinen Bewerbung durch den Präsidenten des Nationalrates voranzugehen. Der Vorschlag des Hauptausschusses, die Wahl durch den Nationalrat und die Zustimmung des Bundesrates bedürfen jeweils der Anwesenheit von mindestens der Hälfte der Mitglieder und einer Mehrheit von zwei Dritteln der abgegebenen Stimmen. Die Mitglieder des Parlamentarischen Datenschutzkomitees leisten vor Antritt ihres Amtes dem Bundespräsidenten die Angelobung.
| |
(2)Absatz 2Die Mitglieder des Parlamentarischen Datenschutzkomitees haben
| |
über ein abgeschlossenes Studium zu verfügen, wobei es sich bei mindestens der Hälfte der Mitglieder um ein rechtswissenschaftliches Studium handeln muss,
| |
die persönliche und fachliche Eignung durch eine entsprechende Vorbildung und mindestens fünfjährige einschlägige Berufserfahrung aufzuweisen und
| |
über Kenntnisse des österreichischen und europäischen Datenschutzrechts, der Grundrechte, des Parlamentsrechts und des parlamentarischen Verfahrens zu verfügen.
| |
(3)Absatz 3Zum Mitglied des Parlamentarischen Datenschutzkomitees dürfen nicht bestellt werden:
| |
Mitglieder der Bundesregierung, Staatssekretäre, Mitglieder einer Landesregierung, Mitglieder des Nationalrates, des Bundesrates oder sonst eines allgemeinen Vertretungskörpers oder des Europäischen Parlaments, ferner der Präsident des Rechnungshofes und die Mitglieder der Volksanwaltschaft sowie Direktoren der Landesrechnungshöfe und Landesvolksanwälte,
| |
Personen, die eine in Z 1 genannte Funktion innerhalb der letzten fünf Jahre ausgeübt haben, undPersonen, die eine in Ziffer eins, genannte Funktion innerhalb der letzten fünf Jahre ausgeübt haben, und
| |
Personen, die von der Wählbarkeit in den Nationalrat ausgeschlossen sind.
| |
(4)Absatz 4(Verfassungsbestimmung) Die Enthebung eines Mitglieds des Parlamentarischen Datenschutzkomitees ist auf Vorschlag des Hauptausschusses durch den Nationalrat vorzunehmen, wenn es eine schwere Verfehlung begangen hat oder die Voraussetzungen für die Wahrnehmung seiner Aufgaben nicht mehr erfüllt (Art. 53 Abs. 4 DSGVO). Der Vorschlag des Hauptausschusses und der Beschluss des Nationalrates bedürfen jeweils der Anwesenheit von mindestens der Hälfte der Mitglieder und einer Mehrheit von zwei Dritteln der abgegebenen Stimmen.(Verfassungsbestimmung) Die Enthebung eines Mitglieds des Parlamentarischen Datenschutzkomitees ist auf Vorschlag des Hauptausschusses durch den Nationalrat vorzunehmen, wenn es eine schwere Verfehlung begangen hat oder die Voraussetzungen für die Wahrnehmung seiner Aufgaben nicht mehr erfüllt (Artikel 53, Absatz 4, DSGVO). Der Vorschlag des Hauptausschusses und der Beschluss des Nationalrates bedürfen jeweils der Anwesenheit von mindestens der Hälfte der Mitglieder und einer Mehrheit von zwei Dritteln der abgegebenen Stimmen.
| |
(5)Absatz 5Den Mitgliedern des Parlamentarischen Datenschutzkomitees gebührt als Entschädigung für die Erfüllung ihrer Aufgaben für jede begonnene Stunde ein Zehntel der Entschädigung eines Ersatzmitgliedes des Verfassungsgerichtshofes für einen Sitzungstag (§ 4 Abs. 3 VfGG). Für die Vergütung ihrer Reisekosten gelten die Bestimmungen der Reisegebührenvorschrift 1955, BGBl. Nr. 133/1955, sinngemäß.Den Mitgliedern des Parlamentarischen Datenschutzkomitees gebührt als Entschädigung für die Erfüllung ihrer Aufgaben für jede begonnene Stunde ein Zehntel der Entschädigung eines Ersatzmitgliedes des Verfassungsgerichtshofes für einen Sitzungstag (Paragraph 4, Absatz 3, VfGG). Für die Vergütung ihrer Reisekosten gelten die Bestimmungen der Reisegebührenvorschrift 1955, Bundesgesetzblatt Nr. 133 aus 1955,, sinngemäß.
| |
Unabhängigkeit | |
§ 35c.Paragraph 35 c,(1)Absatz einsDie Mitglieder des Parlamentarischen Datenschutzkomitees üben dieses Amt neben ihren beruflichen Tätigkeiten aus. Sie dürfen für die Dauer ihres Amtes lediglich keine Tätigkeit ausüben, die
| |
Zweifel an der unabhängigen Ausübung ihres Amtes oder ihrer Unbefangenheit hervorrufen könnte, oder
| |
sie bei der Erfüllung ihrer Aufgaben als Mitglied des Parlamentarischen Datenschutzkomitees behindert oder wesentliche Interessen dieser Aufgabe gefährdet.
| |
Sie sind verpflichtet, ihre beruflichen Tätigkeiten, die sie neben ihrer Tätigkeit als Mitglied des Parlamentarischen Datenschutzkomitees ausüben, unverzüglich dem Vorsitzenden des Parlamentarischen Datenschutzkomitees zu melden. | |
(2)Absatz 2Der Vorsitzende des Parlamentarischen Datenschutzkomitees hat seine und die gemäß Abs. 1 gemeldeten beruflichen Tätigkeiten im Internet zu veröffentlichen. Die Veröffentlichungen sind für die Dauer der jeweiligen Funktionsperiode aufrecht zu erhalten.Der Vorsitzende des Parlamentarischen Datenschutzkomitees hat seine und die gemäß Absatz eins, gemeldeten beruflichen Tätigkeiten im Internet zu veröffentlichen. Die Veröffentlichungen sind für die Dauer der jeweiligen Funktionsperiode aufrecht zu erhalten.
| |
(3)Absatz 3(Verfassungsbestimmung) Der Präsident des Nationalrates kann sich beim Vorsitzenden des Parlamentarischen Datenschutzkomitees über die Gegenstände der Geschäftsführung unterrichten. Dem ist vom Vorsitzenden des Parlamentarischen Datenschutzkomitees nur insoweit zu entsprechen, als dies nicht der völligen Unabhängigkeit der Aufsichtsbehörde im Sinne von Art. 52 DSGVO widerspricht.(Verfassungsbestimmung) Der Präsident des Nationalrates kann sich beim Vorsitzenden des Parlamentarischen Datenschutzkomitees über die Gegenstände der Geschäftsführung unterrichten. Dem ist vom Vorsitzenden des Parlamentarischen Datenschutzkomitees nur insoweit zu entsprechen, als dies nicht der völligen Unabhängigkeit der Aufsichtsbehörde im Sinne von Artikel 52, DSGVO widerspricht.
| |
Vorsitz und Beschlussfassung | |
§ 35d.Paragraph 35 d,(1)Absatz einsDer Vorsitz des Parlamentarischen Datenschutzkomitees wechselt jährlich zwischen den Mitgliedern. Die Reihenfolge ist in der Geschäftsordnung festzulegen. Bei Bedarf bestimmt das Parlamentarische Datenschutzkomitee aus seiner Mitte eine Stellvertretung, die ebenfalls jährlich wechselt; der Stellvertreter vertritt den Vorsitzenden des Parlamentarischen Datenschutzkomitees in dessen Abwesenheit. Der Vorsitzende des Parlamentarischen Datenschutzkomitees hat dem Präsidenten des Nationalrates rechtzeitig einen Entwurf betreffend die für die Aufgabenerfüllung des Parlamentarischen Datenschutzkomitees erforderlichen Ressourcen als Grundlage für die Erstellung des Voranschlagsentwurfs gemäß § 14 Abs. 2 des Geschäftsordnungsgesetzes 1975 zu unterbreiten.Der Vorsitz des Parlamentarischen Datenschutzkomitees wechselt jährlich zwischen den Mitgliedern. Die Reihenfolge ist in der Geschäftsordnung festzulegen. Bei Bedarf bestimmt das Parlamentarische Datenschutzkomitee aus seiner Mitte eine Stellvertretung, die ebenfalls jährlich wechselt; der Stellvertreter vertritt den Vorsitzenden des Parlamentarischen Datenschutzkomitees in dessen Abwesenheit. Der Vorsitzende des Parlamentarischen Datenschutzkomitees hat dem Präsidenten des Nationalrates rechtzeitig einen Entwurf betreffend die für die Aufgabenerfüllung des Parlamentarischen Datenschutzkomitees erforderlichen Ressourcen als Grundlage für die Erstellung des Voranschlagsentwurfs gemäß Paragraph 14, Absatz 2, des Geschäftsordnungsgesetzes 1975 zu unterbreiten.
| |
(2)Absatz 2Das Parlamentarische Datenschutzkomitee ist bei Anwesenheit von mehr als der Hälfte seiner Mitglieder beschlussfähig. Es fasst seine Beschlüsse mit Stimmenmehrheit. Ein befangenes Mitglied hat sich seiner Stimme zu enthalten; ansonsten ist Stimmenthaltung unzulässig.
| |
(3)Absatz 3Die Sitzungen des Parlamentarischen Datenschutzkomitees können auch als Telefon- oder Videokonferenz (auch in hybrider Form) stattfinden. Mitglieder, die durch Telefon- oder Videokonferenz zugeschaltet sind, gelten als anwesend. Eine Beschlussfassung auf schriftlichem oder elektronischem Weg im Umlaufverfahren ist zulässig. Näheres bestimmt die Geschäftsordnung des Parlamentarischen Datenschutzkomitees.
| |
(4)Absatz 4Das Parlamentarische Datenschutzkomitee hat sich durch Beschluss eine Geschäftsordnung zu geben. Die Geschäftsordnung hat insbesondere Regelungen über die Reihenfolge des Vorsitzes und gegebenenfalls der Stellvertretung sowie über die Arbeitsweise des Parlamentarischen Datenschutzkomitees zu enthalten. In der Geschäftsordnung können einzelne Mitglieder mit der Führung der laufenden Geschäfte und bestimmten verfahrensrechtlichen Angelegenheiten betraut werden. Bis zum Beschluss der Geschäftsordnung lädt das an Jahren älteste Mitglied zur Sitzung ein und leitet diese.
| |
Aufgaben, Befugnisse, Tätigkeitsbericht und Veröffentlichung von Entscheidungen | |
§ 35e.Paragraph 35 e,(1)Absatz einsGenehmigungen gemäß § 7 Abs. 2 Z 3 und Abs. 3 sowie § 8 Abs. 3 und 4, soweit dadurch personenbezogene Daten aus Verarbeitungen gemäß § 35a Abs. 1 betroffen sind, obliegen dem Parlamentarischen Datenschutzkomitee. Dies gilt auch in Bezug auf personenbezogene Daten aus Verarbeitungen gemäß § 35a Abs. 2, sofern für die Aufsicht über diese Verarbeitungen durch Landesverfassungsgesetz die Zuständigkeit des Parlamentarischen Datenschutzkomitees vorgesehen wurde.Genehmigungen gemäß Paragraph 7, Absatz 2, Ziffer 3 und Absatz 3, sowie Paragraph 8, Absatz 3 und 4, soweit dadurch personenbezogene Daten aus Verarbeitungen gemäß Paragraph 35 a, Absatz eins, betroffen sind, obliegen dem Parlamentarischen Datenschutzkomitee. Dies gilt auch in Bezug auf personenbezogene Daten aus Verarbeitungen gemäß Paragraph 35 a, Absatz 2,, sofern für die Aufsicht über diese Verarbeitungen durch Landesverfassungsgesetz die Zuständigkeit des Parlamentarischen Datenschutzkomitees vorgesehen wurde.
| |
(2)Absatz 2§ 21 Abs. 1, § 22 und § 30 Abs. 5 gelten sinngemäß. Gegenüber den in § 2 des Informationsordnungsgesetzes – InfOG, BGBl. I Nr. 102/2014, genannten Personen bestehen die Untersuchungsbefugnisse gemäß § 22 Abs. 1 und 2 (Art. 58 Abs. 1 lit. e und f DSGVO) jedoch nicht, soweit die Inanspruchnahme der Befugnisse zu einem Verstoß gegen die Geheimhaltungsverpflichtungen dieser Personen führen würde. Gegenüber dem Rechnungshof und der Volksanwaltschaft bestehen die Untersuchungsbefugnisse gemäß § 22 Abs. 1 und 2 (Art. 58 Abs. 1 lit. e und f DSGVO) nicht, soweit die Inanspruchnahme dieser Befugnisse zu einer Verletzung von Geheimhaltungsverpflichtungen des Rechnungshofes oder der Volksanwaltschaft führen würde.Paragraph 21, Absatz eins,, Paragraph 22 und Paragraph 30, Absatz 5, gelten sinngemäß. Gegenüber den in Paragraph 2, des Informationsordnungsgesetzes – InfOG, Bundesgesetzblatt Teil eins, Nr. 102 aus 2014,, genannten Personen bestehen die Untersuchungsbefugnisse gemäß Paragraph 22, Absatz eins und 2 (Artikel 58, Absatz eins, Litera e und f DSGVO) jedoch nicht, soweit die Inanspruchnahme der Befugnisse zu einem Verstoß gegen die Geheimhaltungsverpflichtungen dieser Personen führen würde. Gegenüber dem Rechnungshof und der Volksanwaltschaft bestehen die Untersuchungsbefugnisse gemäß Paragraph 22, Absatz eins und 2 (Artikel 58, Absatz eins, Litera e und f DSGVO) nicht, soweit die Inanspruchnahme dieser Befugnisse zu einer Verletzung von Geheimhaltungsverpflichtungen des Rechnungshofes oder der Volksanwaltschaft führen würde.
| |
(3)Absatz 3(Verfassungsbestimmung) § 23 gilt sinngemäß mit der Maßgabe, dass der Tätigkeitsbericht dem Präsidenten des Nationalrates und von diesem der Bundesregierung, dem Nationalrat, dem Bundesrat und, soweit eine Zuständigkeit des Parlamentarischen Datenschutzkomitees gemäß § 35a Abs. 2 vorgesehen wurde, den Landtagen vorzulegen ist.(Verfassungsbestimmung) Paragraph 23, gilt sinngemäß mit der Maßgabe, dass der Tätigkeitsbericht dem Präsidenten des Nationalrates und von diesem der Bundesregierung, dem Nationalrat, dem Bundesrat und, soweit eine Zuständigkeit des Parlamentarischen Datenschutzkomitees gemäß Paragraph 35 a, Absatz 2, vorgesehen wurde, den Landtagen vorzulegen ist.
| |
Beschwerde an das Parlamentarische Datenschutzkomitee | |
§ 35f.Paragraph 35 f,(1)Absatz einsJede betroffene Person hat das Recht auf Beschwerde beim Parlamentarischen Datenschutzkomitee, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gemäß § 35a Abs. 1 gegen die DSGVO oder gegen § 1 oder Artikel 2 1. Hauptstück verstößt. Dies gilt auch in Bezug auf Verarbeitungen gemäß § 35a Abs. 2, sofern für die Aufsicht über diese Verarbeitungen durch Landesverfassungsgesetz die Zuständigkeit des Parlamentarischen Datenschutzkomitees vorgesehen wurde.Jede betroffene Person hat das Recht auf Beschwerde beim Parlamentarischen Datenschutzkomitee, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gemäß Paragraph 35 a, Absatz eins, gegen die DSGVO oder gegen Paragraph eins, oder Artikel 2 1. Hauptstück verstößt. Dies gilt auch in Bezug auf Verarbeitungen gemäß Paragraph 35 a, Absatz 2,, sofern für die Aufsicht über diese Verarbeitungen durch Landesverfassungsgesetz die Zuständigkeit des Parlamentarischen Datenschutzkomitees vorgesehen wurde.
| |
(2)Absatz 2§ 24 Abs. 2 bis 9 und Abs. 10 Z 1 sowie § 28 gelten sinngemäß.Paragraph 24, Absatz 2 bis 9 und Absatz 10, Ziffer eins, sowie Paragraph 28, gelten sinngemäß.
| |
Parteistellung, Rechtsmittellegitimation und Geheimhaltungsverpflichtung | |
§ 35g.Paragraph 35 g,(1)Absatz eins(Verfassungsbestimmung) Die für die Verarbeitungen gemäß § 35a Abs. 1 Verantwortlichen sind Partei in Verfahren vor dem Parlamentarischen Datenschutzkomitee. Dasselbe gilt für die für Verarbeitungen gemäß § 35a Abs. 2 Verantwortlichen, sofern für die Aufsicht über diese Verarbeitungen durch Landesverfassungsgesetz die Zuständigkeit des Parlamentarischen Datenschutzkomitees vorgesehen wurde.(Verfassungsbestimmung) Die für die Verarbeitungen gemäß Paragraph 35 a, Absatz eins, Verantwortlichen sind Partei in Verfahren vor dem Parlamentarischen Datenschutzkomitee. Dasselbe gilt für die für Verarbeitungen gemäß Paragraph 35 a, Absatz 2, Verantwortlichen, sofern für die Aufsicht über diese Verarbeitungen durch Landesverfassungsgesetz die Zuständigkeit des Parlamentarischen Datenschutzkomitees vorgesehen wurde.
| |
(2)Absatz 2(Verfassungsbestimmung) Die für die Verarbeitungen gemäß § 35a Abs. 1 Verantwortlichen können Beschwerde an das Bundesverwaltungsgericht und Revision beim Verwaltungsgerichtshof erheben. Dasselbe gilt für die für Verarbeitungen gemäß § 35a Abs. 2 Verantwortlichen, sofern für die Aufsicht über diese Verarbeitungen durch Landesverfassungsgesetz die Zuständigkeit des Parlamentarischen Datenschutzkomitees vorgesehen wurde.(Verfassungsbestimmung) Die für die Verarbeitungen gemäß Paragraph 35 a, Absatz eins, Verantwortlichen können Beschwerde an das Bundesverwaltungsgericht und Revision beim Verwaltungsgerichtshof erheben. Dasselbe gilt für die für Verarbeitungen gemäß Paragraph 35 a, Absatz 2, Verantwortlichen, sofern für die Aufsicht über diese Verarbeitungen durch Landesverfassungsgesetz die Zuständigkeit des Parlamentarischen Datenschutzkomitees vorgesehen wurde.
| |
(3)Absatz 3Erlangen das Parlamentarische Datenschutzkomitee, das Bundesverwaltungsgericht, der Verwaltungsgerichtshof oder der Verfassungsgerichtshof im Rahmen eines Verfahrens betreffend Verarbeitungen gemäß § 35a Abs. 1 Kenntnis von Informationen, die einer gesetzlichen Geheimhaltungsverpflichtung unterliegen, gilt die Geheimhaltungsverpflichtung auch für diese. Dies gilt auch in Bezug auf Verarbeitungen gemäß § 35a Abs. 2, sofern für die Aufsicht über diese Verarbeitungen durch Landesverfassungsgesetz die Zuständigkeit des Parlamentarischen Datenschutzkomitees vorgesehen wurde.Erlangen das Parlamentarische Datenschutzkomitee, das Bundesverwaltungsgericht, der Verwaltungsgerichtshof oder der Verfassungsgerichtshof im Rahmen eines Verfahrens betreffend Verarbeitungen gemäß Paragraph 35 a, Absatz eins, Kenntnis von Informationen, die einer gesetzlichen Geheimhaltungsverpflichtung unterliegen, gilt die Geheimhaltungsverpflichtung auch für diese. Dies gilt auch in Bezug auf Verarbeitungen gemäß Paragraph 35 a, Absatz 2,, sofern für die Aufsicht über diese Verarbeitungen durch Landesverfassungsgesetz die Zuständigkeit des Parlamentarischen Datenschutzkomitees vorgesehen wurde.
| |
Beschwerde an das Bundesverwaltungsgericht | |
§ 35h.Paragraph 35 h, § 27 Abs. 1 gilt sinngemäß. § 27 Abs. 2 bis 4 kommt nicht zur Anwendung. Paragraph 27, Absatz eins, gilt sinngemäß. Paragraph 27, Absatz 2 bis 4 kommt nicht zur Anwendung. | |
7. Abschnitt | |
Vertretung im Europäischen Datenschutzausschuss, zentrale Anlaufstelle und Zusammenarbeit der Aufsichtsbehörden in Angelegenheiten der Europäischen Union | |
Vertretung im Europäischen Datenschutzausschuss, zentrale Anlaufstelle | |
§ 35i.Paragraph 35 i, Gemeinsamer Vertreter im Europäischen Datenschutzausschuss (Art. 68 DSGVO) und zentrale Anlaufstelle ist der Leiter der Datenschutzbehörde. Gemeinsamer Vertreter im Europäischen Datenschutzausschuss (Artikel 68, DSGVO) und zentrale Anlaufstelle ist der Leiter der Datenschutzbehörde. | |
Zusammenarbeit und Kohärenz | |
§ 35j.Paragraph 35 j, Die Datenschutzbehörde und das Parlamentarische Datenschutzkomitee arbeiten in Angelegenheiten der Europäischen Union mit dem Ziel einer einheitlichen Anwendung der DSGVO zusammen. In Bezug auf den Europäischen Datenschutzausschuss (Kapitel VII. der DSGVO) hat die Datenschutzbehörde das Parlamentarische Datenschutzkomitee über alle Angelegenheiten rechtzeitig zu informieren und jedenfalls einzubinden, wenn dieses von der Angelegenheit betroffen sein könnte. Die Datenschutzbehörde und das Parlamentarische Datenschutzkomitee arbeiten in Angelegenheiten der Europäischen Union mit dem Ziel einer einheitlichen Anwendung der DSGVO zusammen. In Bezug auf den Europäischen Datenschutzausschuss (Kapitel römisch VII. der DSGVO) hat die Datenschutzbehörde das Parlamentarische Datenschutzkomitee über alle Angelegenheiten rechtzeitig zu informieren und jedenfalls einzubinden, wenn dieses von der Angelegenheit betroffen sein könnte. | |
3. Hauptstück | Chapter 3 |
Verarbeitung personenbezogener Daten für Zwecke der Sicherheitspolizei einschließlich des Verfassungsschutzes, des militärischen Eigenschutzes, der Aufklärung und Verfolgung von Straftaten, der Strafvollstreckung und des Maßnahmenvollzugs | Processing of personal data for purposes of the security police, including the protection of the constitution, the protection of military facilities by the armed forces, the resolution and prosecution of criminal offences, the enforcement of sentences and the enforcement of precautionary measures involving the deprivation of liberty |
1. Abschnitt | Part 1 |
Allgemeine Bestimmungen | General provisions |
Anwendungsbereich und Begriffsbestimmungen | Scope of application, and definitions |
§ 36.Paragraph 36,(1)Absatz einsDie Bestimmungen dieses Hauptstücks gelten für die Verarbeitung personenbezogener Daten durch zuständige Behörden zum Zweck der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, sowie zum Zweck der nationalen Sicherheit, des Nachrichtendienstes und der militärischen Eigensicherung.
| § 36.Paragraph 36,(1)Absatz einsThe provisions of this Chapter apply to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security, and for the purposes of national security, intelligence, and the protection of military facilities by the armed forces.
|
(2)Absatz 2Im Sinne dieses Hauptstücks bezeichnet der Ausdruck:
| (2)Absatz 2For the purposes of this Chapter:
|
„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
| “personal data” means any information relating to an identified or identifiable natural person (“data subject”); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;“personal data” means any information relating to an identified or identifiable natural person (“data subject”); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;
|
„Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
| “processing” means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction;“processing” means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction;
|
„Einschränkung der Verarbeitung“ die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken;
| “restriction of processing” means the marking of stored personal data with the aim of limiting their processing in the future;“restriction of processing” means the marking of stored personal data with the aim of limiting their processing in the future;
|
„Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;
| “profiling” means any form of automated processing of personal data consisting of the use of personal data to evaluate certain personal aspects relating to a natural person, in particular to analyse or predict aspects concerning that natural person’s performance at work, economic situation, health, personal preferences, interests, reliability, behaviour, location or movements;“profiling” means any form of automated processing of personal data consisting of the use of personal data to evaluate certain personal aspects relating to a natural person, in particular to analyse or predict aspects concerning that natural person’s performance at work, economic situation, health, personal preferences, interests, reliability, behaviour, location or movements;
|
„Pseudonymisierung“ die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden;
| “pseudonymisation” means the processing of personal data in such a manner that the personal data can no longer be attributed to a specific data subject without the use of additional information, provided that such additional information is kept separately and is subject to technical and organisational measures to ensure that the personal data are not attributed to an identified or identifiable natural person;“pseudonymisation” means the processing of personal data in such a manner that the personal data can no longer be attributed to a specific data subject without the use of additional information, provided that such additional information is kept separately and is subject to technical and organisational measures to ensure that the personal data are not attributed to an identified or identifiable natural person;
|
„Dateisystem“ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;
| “filing system” means any structured set of personal data which are accessible according to specific criteria, whether centralised, decentralised or dispersed on a functional or geographical basis;“filing system” means any structured set of personal data which are accessible according to specific criteria, whether centralised, decentralised or dispersed on a functional or geographical basis;
|
| “competent authority” means“competent authority” means
|
eine staatliche Stelle, die für die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, die nationale Sicherheit, den Nachrichtendienst oder die militärische Eigensicherung zuständig ist, oder
| any public authority competent for the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security, national security, intelligence, or the protection of military facilities by the armed forces; or
|
eine andere Stelle oder Einrichtung, der durch das Recht der Mitgliedstaaten die Ausübung öffentlicher Gewalt und hoheitlicher Befugnisse zur Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder zur Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, zum Zweck der nationalen Sicherheit, des Nachrichtendienstes oder der militärischen Eigensicherung übertragen wurde;
| any other body or entity entrusted by Member State law to exercise public authority and public powers for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security, national security, intelligence, or the protection of military facilities by the armed forces;
|
„Verantwortlicher“ die zuständige Behörde, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet;
| “controller” means the competent authority which, alone or jointly with others, determines the purposes and means of the processing of personal data;“controller” means the competent authority which, alone or jointly with others, determines the purposes and means of the processing of personal data;
|
„Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;
| “processor” means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller;“processor” means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller;
|
„Empfänger“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, denender personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags aufgrund von Gesetzen möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung;
| “recipient” means a natural or legal person, public authority, agency or other body, to which the personal data are disclosed, whether a third party or not. However, public authorities which may receive personal data in the framework of a particular inquiry in accordance with laws shall not be regarded as recipients; the processing of those data by those public authorities shall be in compliance with the applicable data protection rules according to the purposes of the processing;“recipient” means a natural or legal person, public authority, agency or other body, to which the personal data are disclosed, whether a third party or not. However, public authorities which may receive personal data in the framework of a particular inquiry in accordance with laws shall not be regarded as recipients; the processing of those data by those public authorities shall be in compliance with the applicable data protection rules according to the purposes of the processing;
|
„Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;
| “personal data breach” means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed;“personal data breach” means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed;
|
„genetische Daten“ personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden;
| “genetic data” means personal data relating to the inherited or acquired genetic characteristics of a natural person which give unique information about the physiology or the health of that natural person and which result, in particular, from an analysis of a biological sample from the natural person in question;“genetic data” means personal data relating to the inherited or acquired genetic characteristics of a natural person which give unique information about the physiology or the health of that natural person and which result, in particular, from an analysis of a biological sample from the natural person in question;
|
„biometrische Daten“ mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten;
| “biometric data” means personal data resulting from specific technical processing relating to the physical, physiological or behavioural characteristics of a natural person, which allow or confirm the unique identification of that natural person, such as facial images or dactyloscopic data;“biometric data” means personal data resulting from specific technical processing relating to the physical, physiological or behavioural characteristics of a natural person, which allow or confirm the unique identification of that natural person, such as facial images or dactyloscopic data;
|
„Gesundheitsdaten“ personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen;
| “data concerning health” means personal data related to the physical or mental health of a natural person, including the provision of health care services, which reveal information about his or her health status;“data concerning health” means personal data related to the physical or mental health of a natural person, including the provision of health care services, which reveal information about his or her health status;
|
„Aufsichtsbehörde“ ist die Datenschutzbehörde;
| “supervisory authority” means the Data Protection Authority;“supervisory authority” means the Data Protection Authority;
|
„internationale Organisation“ eine völkerrechtliche Organisation und ihre nachgeordneten Stellen oder jede sonstige Einrichtung, die durch eine zwischen zwei oder mehr Staaten geschlossene Übereinkunft oder auf der Grundlage einer solchen Übereinkunft geschaffen wurde.
| “international organisation” means an organisation and its subordinate bodies governed by public international law, or any other body which is set up by, or on the basis of, an agreement between two or more countries.“international organisation” means an organisation and its subordinate bodies governed by public international law, or any other body which is set up by, or on the basis of, an agreement between two or more countries.
|
Grundsätze für die Datenverarbeitung, Kategorisierung und Datenqualität | Principles for processing, classification and data quality |
§ 37.Paragraph 37,(1)Absatz einsPersonenbezogene Daten
| § 37.Paragraph 37,(1)Absatz einsPersonal data shall be:
|
müssen auf rechtmäßige Weise und nach Treu und Glauben verarbeitet werden,
| processed lawfully and fairly;
|
müssen für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise verarbeitet werden,
| collected for specified, explicit and legitimate purposes and not processed in a manner that is incompatible with those purposes;
|
müssen dem Verarbeitungszweck entsprechen und müssendafür maßgeblich sein und dürfen in Bezug auf die Zwecke, für die sie verarbeitet werden, nicht übermäßig sein,
| adequate, relevant and not excessive in relation to the purposes for which they are processed;
|
müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; dabei sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden,
| accurate and, where necessary, kept up to date; every reasonable step must be taken to ensure that personal data that are inaccurate, having regard to the purposes for which they are processed, are erased or rectified without delay;
|
dürfen nicht länger, als es für die Zwecke, für die sie verarbeitet werden, erforderlich ist, in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen ermöglicht,
| kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which they are processed;
|
müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.
| processed in a manner that ensures appropriate security of the personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organisational measures.
|
(2)Absatz 2Für die Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke im Anwendungsbereich des § 36 Abs. 1 gilt § 38.Für die Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke im Anwendungsbereich des Paragraph 36, Absatz eins, gilt Paragraph 38,
| (2)Absatz 2§ 38 shall apply to processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in the scope of § 36 para. 1.Paragraph 38, shall apply to processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in the scope of Paragraph 36, para. 1.
|
(3)Absatz 3Der Verantwortliche ist für die Einhaltung der Abs. 1 und 2 verantwortlich und muss deren Einhaltung nachweisen können.Der Verantwortliche ist für die Einhaltung der Absatz eins und 2 verantwortlich und muss deren Einhaltung nachweisen können.
| (3)Absatz 3The controller shall be responsible for, and be able to demonstrate compliance with, paras. 1 and 2.
|
(4)Absatz 4Soweit möglich und zumutbar, ist zwischen den personenbezogenen Daten insbesondere folgender Kategorien betroffener Personen zu unterscheiden:
| (4)Absatz 4As far as possible and reasonable, a clear distinction between personal data of different categories of data subjects, such as the following, shall be made:
|
Personen, die aufgrund bestimmter Tatsachen konkret verdächtig sind, eine strafbare Handlung begangen zu haben,
| persons who, on the basis of certain facts, are specifically suspected of having committed a criminal offence,
|
Personen, gegen die aufgrund bestimmter Tatsachen der begründete Verdacht besteht, dass sie in naher Zukunft eine strafbare Handlung begehen werden,
| persons with regard to whom, on the basis of certain facts, there are serious grounds for believing that they are about to commit a criminal offence,
|
| persons convicted of a criminal offence;
|
Opfer einer Straftat oder Personen, bei denen bestimmte Tatsachen die Annahme rechtfertigen, dass sie Opfer einer Straftat sind, und
| victims of a criminal offence or persons with regard to whom certain facts give rise to reasons for believing that they are the victims of a criminal offence, and
|
sonstige Personen, die im Zusammenhang mit einer Straftat stehen, insbesondere Personen, die als Zeugen in Betracht kommen, Personen, die Hinweise zur Straftat geben können, oder Personen, die mit den in Z 1 bis 3 genannten Personen in Kontakt oder in Verbindung stehen.sonstige Personen, die im Zusammenhang mit einer Straftat stehen, insbesondere Personen, die als Zeugen in Betracht kommen, Personen, die Hinweise zur Straftat geben können, oder Personen, die mit den in Ziffer eins bis 3 genannten Personen in Kontakt oder in Verbindung stehen.
| other persons connected to a criminal offence, such as persons who might be called on to testify, persons who can provide information on criminal offences, or contacts or associates of one of the persons referred to in subparas. 1 to 3.
|
(5)Absatz 5Soweit möglich ist zwischen faktenbasierten und auf persönlichen Einschätzungen beruhenden personenbezogenen Daten zu unterscheiden. Auf persönlichen Einschätzungen beruhende personenbezogene Daten sind entsprechend zu kennzeichnen und können mit einer Begründung versehen werden, welche die Nachvollziehbarkeit der Einschätzung ermöglicht.
| (5)Absatz 5Personal data based on facts are to be distinguished, as far as possible, from personal data based on personal assessments. Personal data based on personal assessments must be marked accordingly, and reasons can be added to facilitate the understanding of an assessment.
|
(6)Absatz 6Unrichtige, unvollständige, nicht mehr aktuelle oder zu löschende personenbezogene Daten dürfen weder übermittelt noch zum automatisierten Abruf aus Dateisystemen bereitgestellt werden. Die Behörde hat zu diesem Zweck vor einer Übermittlung die Datenqualität soweit möglich entsprechend zu überprüfen. Zum automatisierten Abruf bereit gehaltene personenbezogene Daten sind entsprechend laufend vollständig und aktuell zu halten.
| (6)Absatz 6Incorrect or incomplete personal data, personal data that are no longer current or are to be erased must neither be transferred nor made available for automated retrieval from filing systems. For that purpose, the authority shall check the data quality accordingly as far as possible before a transmission. Personal data kept ready for automated retrieval must be kept complete and up to date at all times.
|
(7)Absatz 7Bei jeder Übermittlung personenbezogener Daten sind soweit möglich die zur Beurteilung der Aktualität, Richtigkeit, Vollständigkeit und Zuverlässigkeit der personenbezogenen Daten durch den Empfänger erforderlichen Informationen beizufügen.
| (7)Absatz 7As far as possible, the information required for the recipient to assess the up-to-dateness, correctness, completeness and reliability of the personal data shall be added in any transmission of personal data.
|
(8)Absatz 8Wird von Amts wegen oder infolge einer Mitteilung eines Betroffenen festgestellt, dass personenbezogene Daten übermittelt worden sind, die nicht den Anforderungen nach Abs. 6 entsprechen, teilt die übermittelnde bzw. dateisystemführende Dienststelle und Behörde dies der empfangenden Stelle oder Behörde unverzüglich mit. Letztere hat unverzüglich die Löschung unrechtmäßig übermittelter Daten, die Berichtigung unrichtiger Daten, die Ergänzung unvollständiger Daten oder eine Einschränkung der Verarbeitung vorzunehmen.Wird von Amts wegen oder infolge einer Mitteilung eines Betroffenen festgestellt, dass personenbezogene Daten übermittelt worden sind, die nicht den Anforderungen nach Absatz 6, entsprechen, teilt die übermittelnde bzw. dateisystemführende Dienststelle und Behörde dies der empfangenden Stelle oder Behörde unverzüglich mit. Letztere hat unverzüglich die Löschung unrechtmäßig übermittelter Daten, die Berichtigung unrichtiger Daten, die Ergänzung unvollständiger Daten oder eine Einschränkung der Verarbeitung vorzunehmen.
| (8)Absatz 8If it is found ex officio or following notification by a data subject that personal data that do not comply with the requirements of para. 6 have been transmitted, the transmitting administrative office and authority, or the administrative office and authority keeping the filing system shall notify the receiving office or authority thereof without delay. The receiving office or authority shall immediately erase data which have been unlawfully transmitted, rectify incorrect data, complete incomplete data or restrict processing without delay.römisch eins f it is found ex officio or following notification by a data subject that personal data that do not comply with the requirements of para. 6 have been transmitted, the transmitting administrative office and authority, or the administrative office and authority keeping the filing system shall notify the receiving office or authority thereof without delay. The receiving office or authority shall immediately erase data which have been unlawfully transmitted, rectify incorrect data, complete incomplete data or restrict processing without delay.
|
(9)Absatz 9Hat die empfangende Dienststelle oder Behörde Grund zur Annahme, dass übermittelte personenbezogene Daten unrichtig oder nicht aktuell sind oder zu löschen oder in der Verarbeitung einzuschränken wären, so unterrichtet sie die übermittelnde Dienststelle oder Behörde unverzüglich hierüber. Letztere ergreift unverzüglich die erforderlichen Maßnahmen.
| (9)Absatz 9If the receiving administrative office or authority has reason to believe that the personal data transmitted are incorrect or not up to date or would have to be erased, or that their processing would have to be restricted, the receiving administrative office or authority shall notify the transmitting administrative office or authority thereof without delay. The latter shall take the required measures without delay.römisch eins f the receiving administrative office or authority has reason to believe that the personal data transmitted are incorrect or not up to date or would have to be erased, or that their processing would have to be restricted, the receiving administrative office or authority shall notify the transmitting administrative office or authority thereof without delay. The latter shall take the required measures without delay.
|
Rechtmäßigkeit der Verarbeitung | Lawfulness of processing |
§ 38.Paragraph 38, Die Verarbeitung personenbezogener Daten ist, soweit sie nicht zur Wahrung lebenswichtiger Interessen einer Person erforderlich ist, nur rechtmäßig, soweit sie gesetzlich oder in unmittelbar anwendbaren Rechtsvorschriften, die innerstaatlich den Rang eines Gesetzes haben, vorgesehen und für die Erfüllung einer Aufgabe erforderlich und verhältnismäßig ist, die von der zuständigen Behörde zu den in § 36 Abs. 1 genannten Zwecken wahrgenommen wird. Die Verarbeitung personenbezogener Daten ist, soweit sie nicht zur Wahrung lebenswichtiger Interessen einer Person erforderlich ist, nur rechtmäßig, soweit sie gesetzlich oder in unmittelbar anwendbaren Rechtsvorschriften, die innerstaatlich den Rang eines Gesetzes haben, vorgesehen und für die Erfüllung einer Aufgabe erforderlich und verhältnismäßig ist, die von der zuständigen Behörde zu den in Paragraph 36, Absatz eins, genannten Zwecken wahrgenommen wird. | § 38.Paragraph 38, Unless it is required to protect the vital interests of a person, processing is lawful only to the extent it is provided for by laws or by directly applicable legal provisions that have the status of laws in Austria and is required and proportionate to fulfil a task performed by the competent authority for the purposes referred to in § 36 para. 1. Unless it is required to protect the vital interests of a person, processing is lawful only to the extent it is provided for by laws or by directly applicable legal provisions that have the status of laws in Austria and is required and proportionate to fulfil a task performed by the competent authority for the purposes referred to in Paragraph 36, para. 1. |
Verarbeitung besonderer Kategorien personenbezogener Daten | Processing of special categories of personal data |
§ 39.Paragraph 39, Die Verarbeitung personenbezogener Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person für die in § 36 Abs. 1 genannten Zwecke ist nur zulässig, wenn die Verarbeitung unbedingt erforderlich ist und wirksame Maßnahmen zum Schutz der Rechte und Freiheiten der betroffenen Personen getroffen werden und Die Verarbeitung personenbezogener Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person für die in Paragraph 36, Absatz eins, genannten Zwecke ist nur zulässig, wenn die Verarbeitung unbedingt erforderlich ist und wirksame Maßnahmen zum Schutz der Rechte und Freiheiten der betroffenen Personen getroffen werden und | § 39.Paragraph 39, Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person's sex life or sexual orientation for the purposes referred to in § 36 para. 1 shall be allowed only where strictly necessary and if effective measures to protect the rights and freedoms of the data subjects are taken and Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person's sex life or sexual orientation for the purposes referred to in Paragraph 36, para. 1 shall be allowed only where strictly necessary and if effective measures to protect the rights and freedoms of the data subjects are taken and |
die Verarbeitung gemäß § 38 zulässig ist oderdie Verarbeitung gemäß Paragraph 38, zulässig ist oder
| where authorised pursuant to § 38, orwhere authorised pursuant to Paragraph 38,, or
|
sie sich auf Daten bezieht, die die betroffene Person offensichtlich selbst öffentlich gemacht hat.
| where such processing relates to data which are manifestly made public by the data subject.
|
Verarbeitung für andere Zwecke und Übermittlung | Processing for other purposes, and transfer |
§ 40.Paragraph 40,(1)Absatz einsEine Verarbeitung von personenbezogenen Daten nach den Bestimmungen dieses Hauptstücks durch denselben oder einen anderen Verantwortlichen für einen anderen Verarbeitungszweck, als jenen, für den sie erhoben wurden, ist nur zulässig, wenn dieser andere Zweck vom Anwendungsbereich des § 36 Abs. 1 umfasst ist und die Voraussetzungen der §§ 38 und 39 erfüllt sind.Eine Verarbeitung von personenbezogenen Daten nach den Bestimmungen dieses Hauptstücks durch denselben oder einen anderen Verantwortlichen für einen anderen Verarbeitungszweck, als jenen, für den sie erhoben wurden, ist nur zulässig, wenn dieser andere Zweck vom Anwendungsbereich des Paragraph 36, Absatz eins, umfasst ist und die Voraussetzungen der Paragraphen 38 und 39 erfüllt sind.
| § 40.Paragraph 40,(1)Absatz einsProcessing of personal data pursuant to the provisions of this Chapter by the same or another controller for a purpose other than the one for which the data were collected shall be allowed only if this other purpose is covered by the scope of § 36 para. 1 and the requirements of § 38 and § 39 are met.Processing of personal data pursuant to the provisions of this Chapter by the same or another controller for a purpose other than the one for which the data were collected shall be allowed only if this other purpose is covered by the scope of Paragraph 36, para. 1 and the requirements of Paragraph 38, and Paragraph 39, are met.
|
(2)Absatz 2Die Übermittlung von nach den Bestimmungen dieses Hauptstücks verarbeiteten personenbezogenen Daten für einen nicht in § 36 Abs. 1 genannten Zweck ist nur zulässig, wenn dies gesetzlich oder in unmittelbar anwendbaren Rechtsvorschriften, die innerstaatlich den Rang eines Gesetzes haben, ausdrücklich vorgesehen ist und der Empfänger zur Verarbeitung dieser personenbezogenen Daten für diesen anderen Zweck befugt ist.Die Übermittlung von nach den Bestimmungen dieses Hauptstücks verarbeiteten personenbezogenen Daten für einen nicht in Paragraph 36, Absatz eins, genannten Zweck ist nur zulässig, wenn dies gesetzlich oder in unmittelbar anwendbaren Rechtsvorschriften, die innerstaatlich den Rang eines Gesetzes haben, ausdrücklich vorgesehen ist und der Empfänger zur Verarbeitung dieser personenbezogenen Daten für diesen anderen Zweck befugt ist.
| (2)Absatz 2Transferring personal data processed pursuant to the provisions of this Chapter for a purpose not referred to in § 36 para. 1 shall be allowed only if this is expressly provided for by laws or by directly applicable legal provisions that have the status of laws in Austria, and the recipient is authorised to process these personal data for such other purpose.Transferring personal data processed pursuant to the provisions of this Chapter for a purpose not referred to in Paragraph 36, para. 1 shall be allowed only if this is expressly provided for by laws or by directly applicable legal provisions that have the status of laws in Austria, and the recipient is authorised to process these personal data for such other purpose.
|
(3)Absatz 3Unterliegt die Verarbeitung von personenbezogenen Daten besonderen Bedingungen, so hat die übermittelnde zuständige Behörde den Empfänger der personenbezogenen Daten darauf hinzuweisen, dass diese Bedingungen gelten und einzuhalten sind. Die Übermittlung an Empfänger in anderen Mitgliedstaaten oder nach Titel V Kapitel 4 und 5 AEUV errichtete Einrichtungen und sonstige Stellen darf keinen Bedingungen unterworfen werden, die nicht auch für entsprechende Datenübermittlungen im Inland gelten.Unterliegt die Verarbeitung von personenbezogenen Daten besonderen Bedingungen, so hat die übermittelnde zuständige Behörde den Empfänger der personenbezogenen Daten darauf hinzuweisen, dass diese Bedingungen gelten und einzuhalten sind. Die Übermittlung an Empfänger in anderen Mitgliedstaaten oder nach Titel römisch fünf Kapitel 4 und 5 AEUV errichtete Einrichtungen und sonstige Stellen darf keinen Bedingungen unterworfen werden, die nicht auch für entsprechende Datenübermittlungen im Inland gelten.
| (3)Absatz 3If the processing of personal data is subject to special conditions, the transmitting competent authority shall inform the recipient of the personal data that such conditions apply and must be complied with. Transfers to recipients in other Member States or to bodies, offices and agencies established pursuant to Title V Chapters 4 and 5 of the TFEU must not be subject to conditions that do not apply to domestic data transmissions as well.römisch eins f the processing of personal data is subject to special conditions, the transmitting competent authority shall inform the recipient of the personal data that such conditions apply and must be complied with. Transfers to recipients in other Member States or to bodies, offices and agencies established pursuant to Title römisch fünf Chapters 4 and 5 of the TFEU must not be subject to conditions that do not apply to domestic data transmissions as well.
|
Automatisierte Entscheidungsfindung im Einzelfall | Automated individual decision-making |
§ 41.Paragraph 41,(1)Absatz einsAusschließlich auf einer automatischen Verarbeitung beruhende Entscheidungen einschließlich Profiling, die für die betroffene Person nachteilige Rechtsfolgen haben oder sie erheblich beeinträchtigen können, sind nur zulässig, soweit sie gesetzlich oder in unmittelbar anwendbaren Rechtsvorschriften, die innerstaatlich den Rang eines Gesetzes haben, ausdrücklich vorgesehen sind.
| § 41.Paragraph 41,(1)Absatz einsDecisions based solely on automated processing, including profiling, which have negative legal consequences for the data subject or can significantly affect the data subject, shall be allowed only to the extent they are expressly provided for by laws or by directly applicable legal provisions that have the status of laws in Austria.
|
(2)Absatz 2Entscheidungen nach Abs. 1 dürfen nur auf besonderen Kategorien personenbezogener Daten nach § 39 beruhen, wenn und soweit wirksame Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen wurden.Entscheidungen nach Absatz eins, dürfen nur auf besonderen Kategorien personenbezogener Daten nach Paragraph 39, beruhen, wenn und soweit wirksame Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen wurden.
| (2)Absatz 2Decisions referred to in para. 1 shall not be based on special categories of personal data referred to in § 39 unless effective measures to safeguard the data subject’s rights and freedoms and legitimate interests are in place.Decisions referred to in para. 1 shall not be based on special categories of personal data referred to in Paragraph 39, unless effective measures to safeguard the data subject’s rights and freedoms and legitimate interests are in place.
|
(3)Absatz 3Entscheidungen nach Abs. 1, die zur Folge haben, dass natürliche Personen auf Grundlage von personenbezogenen Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung diskriminiert werden, sind verboten.Entscheidungen nach Absatz eins,, die zur Folge haben, dass natürliche Personen auf Grundlage von personenbezogenen Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung diskriminiert werden, sind verboten.
| (3)Absatz 3Decisions pursuant to para. 1 that have the consequence that natural persons are discriminated against on the basis of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation shall be prohibited.
|
2. Abschnitt | Part 2 |
Rechte der betroffenen Person | Rights of the data subject |
Grundsätze | Principles |
§ 42.Paragraph 42,(1)Absatz einsDer Verantwortliche hat der betroffenen Person alle Informationen und Mitteilungen gemäß §§ 43 bis 45, die sich auf die Verarbeitung beziehen, in möglichst präziser, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Die Informationen sind in geeigneter Form, im Falle eines Antrags nach Möglichkeit in der gleichen Form wie der Antrag, zu übermitteln.Der Verantwortliche hat der betroffenen Person alle Informationen und Mitteilungen gemäß Paragraphen 43 bis 45, die sich auf die Verarbeitung beziehen, in möglichst präziser, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Die Informationen sind in geeigneter Form, im Falle eines Antrags nach Möglichkeit in der gleichen Form wie der Antrag, zu übermitteln.
| § 42.Paragraph 42,(1)Absatz einsThe controller shall provide any information and make any communication with regard to § 43 to § 45 relating to processing to the data subject in as concise, intelligible and easily accessible a form as possible, using clear and plain language. The information shall be transmitted in an appropriate manner, in the case of a request in the same form as the request, if possible.The controller shall provide any information and make any communication with regard to Paragraph 43, to Paragraph 45, relating to processing to the data subject in as concise, intelligible and easily accessible a form as possible, using clear and plain language. The information shall be transmitted in an appropriate manner, in the case of a request in the same form as the request, if possible.
|
(2)Absatz 2Der Verantwortliche hat den betroffenen Personen die Ausübung der ihnen gemäß §§ 43 bis 45 zustehenden Rechte zu erleichtern.Der Verantwortliche hat den betroffenen Personen die Ausübung der ihnen gemäß Paragraphen 43 bis 45 zustehenden Rechte zu erleichtern.
| (2)Absatz 2The controller shall facilitate the exercise of the rights of the data subject pursuant to § 43 to 45.The controller shall facilitate the exercise of the rights of the data subject pursuant to Paragraph 43, to 45.
|
(3)Absatz 3Der Verantwortliche hat die betroffene Person unverzüglich schriftlich darüber in Kenntnis zu setzen, wie mit ihrem Antrag verfahren wurde.
| (3)Absatz 3The controller shall inform the data subject in writing about the follow-up to his or her request without undue delay.
|
(4)Absatz 4Der Verantwortliche stellt der betroffenen Person Informationen über die aufgrund eines Antrags gemäß §§ 44 bis 45 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung. Stellt die betroffene Person den Antrag elektronisch, so ist sie nach Möglichkeit auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt.Der Verantwortliche stellt der betroffenen Person Informationen über die aufgrund eines Antrags gemäß Paragraphen 44 bis 45 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung. Stellt die betroffene Person den Antrag elektronisch, so ist sie nach Möglichkeit auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt.
| (4)Absatz 4The controller shall provide the data subject with information on measures taken because of a request pursuant to § 44 to § 45 without delay, but in any event within one month after receipt of the request. That period may be extended by two further months where necessary, taking into account the complexity and number of the requests. The controller shall inform the data subject of any such extension within one month of receipt of the request, together with the reasons for the delay. Where the data subject makes the request by electronic means, the information shall be provided by electronic means where possible, unless otherwise requested by the data subject.The controller shall provide the data subject with information on measures taken because of a request pursuant to Paragraph 44, to Paragraph 45, without delay, but in any event within one month after receipt of the request. That period may be extended by two further months where necessary, taking into account the complexity and number of the requests. The controller shall inform the data subject of any such extension within one month of receipt of the request, together with the reasons for the delay. Where the data subject makes the request by electronic means, the information shall be provided by electronic means where possible, unless otherwise requested by the data subject.
|
(5)Absatz 5Wird der Verantwortliche auf den Antrag der betroffenen Person hin nicht tätig, so unterrichtet er die betroffene Person ohne Verzögerung, spätestens aber innerhalb eines Monats nach Eingang des Antrags über die Gründe hierfür und über die Möglichkeit, bei einer Aufsichtsbehörde Beschwerde einzulegen oder einen gerichtlichen Rechtsbehelf einzulegen.
| (5)Absatz 5If the controller does not take action on the request of the data subject, the controller shall inform the data subject without delay and at the latest within one month of receipt of the request of the reasons for not taking action and on the possibility of lodging a complaint with a supervisory authority and seeking a judicial remedy.römisch eins f the controller does not take action on the request of the data subject, the controller shall inform the data subject without delay and at the latest within one month of receipt of the request of the reasons for not taking action and on the possibility of lodging a complaint with a supervisory authority and seeking a judicial remedy.
|
(6)Absatz 6Informationen gemäß § 43 sowie alle Mitteilungen und Maßnahmen gemäß den §§ 44 und 45 werden unentgeltlich zur Verfügung gestellt. Bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person kann der Verantwortliche entwederInformationen gemäß Paragraph 43, sowie alle Mitteilungen und Maßnahmen gemäß den Paragraphen 44 und 45 werden unentgeltlich zur Verfügung gestellt. Bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person kann der Verantwortliche entweder
| (6)Absatz 6Information provided under § 43 and any communication and any action taken under § 44 and 45 shall be provided free of charge. Where requests from a data subject are manifestly unfounded or excessive, in particular because of their repetitive character, the controller may either:Information provided under Paragraph 43, and any communication and any action taken under Paragraph 44, and 45 shall be provided free of charge. Where requests from a data subject are manifestly unfounded or excessive, in particular because of their repetitive character, the controller may either:
|
ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder
| charge a reasonable fee taking into account the administrative costs of providing the information or communication or taking the action requested, or
|
sich weigern, aufgrund des Antrags tätig zu werden.
| refuse to act on the request.
|
Der Verantwortliche hat den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen. | The controller shall bear the burden of demonstrating the manifestly unfounded or excessive character of the request. |
(7)Absatz 7Der Verantwortliche kann zur Bestätigung der Identität der Person, die einen Antrag gemäß §§ 44 oder 45 gestellt hat, erforderliche zusätzliche Informationen verlangen.Der Verantwortliche kann zur Bestätigung der Identität der Person, die einen Antrag gemäß Paragraphen 44, oder 45 gestellt hat, erforderliche zusätzliche Informationen verlangen.
| (7)Absatz 7The controller may request the provision of additional information necessary to confirm the identity of the person who submitted a request pursuant to § 44 or § 45.The controller may request the provision of additional information necessary to confirm the identity of the person who submitted a request pursuant to Paragraph 44, or Paragraph 45,
|
(8)Absatz 8In den Fällen der §§ 43 Abs. 4, 44 Abs. 3 und 45 Abs. 4 ist die betroffene Person berechtigt, eine Überprüfung der Rechtmäßigkeit der bezüglichen Einschränkung ihrer Rechte durch die Datenschutzbehörde zu verlangen. Der Verantwortliche hat die betroffene Person über dieses Recht zu unterrichten.In den Fällen der Paragraphen 43, Absatz 4,, 44 Absatz 3 und 45 Absatz 4, ist die betroffene Person berechtigt, eine Überprüfung der Rechtmäßigkeit der bezüglichen Einschränkung ihrer Rechte durch die Datenschutzbehörde zu verlangen. Der Verantwortliche hat die betroffene Person über dieses Recht zu unterrichten.
| (8)Absatz 8In the cases referred to in § 43 para. 4, § 44 para. 3 and § 45 para. 4, the data subject is entitled to request verification of the lawfulness of the relevant restriction of the data subject’s rights by the Data Protection Authority. The controller shall inform the data subject of this right.In the cases referred to in Paragraph 43, para. 4, Paragraph 44, para. 3 and Paragraph 45, para. 4, the data subject is entitled to request verification of the lawfulness of the relevant restriction of the data subject’s rights by the Data Protection Authority. The controller shall inform the data subject of this right.
|
(9)Absatz 9Wird das in Abs. 8 genannte Recht ausgeübt, hat die Datenschutzbehörde die betroffene Person zumindest darüber zu unterrichten, dass alle erforderlichen Prüfungen oder eine Überprüfung durch die Datenschutzbehörde erfolgt sind. Die Datenschutzbehörde hat zudem die betroffene Person über ihr Recht zu unterrichten, Beschwerde an das Bundesverwaltungsgericht zu erheben.Wird das in Absatz 8, genannte Recht ausgeübt, hat die Datenschutzbehörde die betroffene Person zumindest darüber zu unterrichten, dass alle erforderlichen Prüfungen oder eine Überprüfung durch die Datenschutzbehörde erfolgt sind. Die Datenschutzbehörde hat zudem die betroffene Person über ihr Recht zu unterrichten, Beschwerde an das Bundesverwaltungsgericht zu erheben.
| (9)Absatz 9Where the right referred to in para. 8 is exercised, the Data Protection Authority shall inform the data subject at least that all necessary verifications or a review by the Data Protection Authority have taken place. In addition, the Data Protection Authority shall inform the data subject of the data subject’s right to lodge complaints with the Federal Administrative Court.
|
Information der betroffenen Person | Information of the data subject |
§ 43.Paragraph 43,(1)Absatz einsDer Verantwortliche hat der betroffenen Person zumindest die folgenden Informationen zur Verfügung zu stellen:
| § 43.Paragraph 43,(1)Absatz einsThe controller shall make available to the data subject at least the following information:
|
den Namen und die Kontaktdaten des Verantwortlichen,
| the identity and the contact details of the controller;
|
gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten,
| the contact details of the data protection officer, where applicable;
|
die Zwecke, für die die personenbezogenen Daten verarbeitet werden,
| the purposes of the processing for which the personal data are intended;
|
das Bestehen eines Beschwerderechts bei der Aufsichtsbehörde sowie deren Kontaktdaten,
| the right to lodge a complaint with a supervisory authority and the contact details of the supervisory authority;
|
das Bestehen eines Rechts auf Auskunft und Berichtigung oder Löschung personenbezogener Daten und Einschränkung der Verarbeitung der personenbezogenen Daten der betroffenen Person durch den Verantwortlichen.
| the existence of the right to request from the controller access to and rectification or erasure of personal data and restriction of processing of the personal data concerning the data subject.
|
(2)Absatz 2Zusätzlich zu den in Abs. 1 genannten Informationen hat der Verantwortliche der betroffenen Person in besonderen Fällen die folgenden zusätzlichen Informationen zu erteilen, um die Ausübung der Rechte der betroffenen Person zu ermöglichen:Zusätzlich zu den in Absatz eins, genannten Informationen hat der Verantwortliche der betroffenen Person in besonderen Fällen die folgenden zusätzlichen Informationen zu erteilen, um die Ausübung der Rechte der betroffenen Person zu ermöglichen:
| (2)Absatz 2In addition to the information referred to in para. 1, the controller shall give to the data subject, in specific cases, the following further information to enable the exercise of his or her rights:
|
die Rechtsgrundlage der Verarbeitung,
| the legal basis for the processing;
|
die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer,
| the period for which the personal data will be stored, or if that is not possible, the criteria used to determine that period;
|
gegebenenfalls die Kategorien von Empfängern der personenbezogenen Daten, auch der Empfänger in Drittländern oder in internationalen Organisationen,
| where applicable, the categories of recipients of the personal data, including in third countries or international organisations;
|
erforderlichenfalls weitere Informationen, insbesondere wenn die personenbezogenen Daten ohne Wissen der betroffenen Person erhoben werden.
| where necessary, further information, in particular where the personal data are collected without the knowledge of the data subject.
|
(3)Absatz 3Im Fall der Erhebung der personenbezogenen Daten bei der betroffenen Person müssen der betroffenen Person die Informationen nach den Vorgaben des Abs. 1 und 2 zum Zeitpunkt der Erhebung vorliegen. In allen übrigen Fällen findet Art. 14 Abs. 3 DSGVO Anwendung. Die Information gemäß Abs. 1 und 2 kann entfallen, wenn die Daten nicht durch Befragung des Betroffenen, sondern durch Übermittlung von Daten aus anderen Aufgabengebieten desselben Verantwortlichen oder aus Anwendungen anderer Verantwortlicher ermittelt und die Datenverarbeitung durch Gesetz vorgesehen ist.Im Fall der Erhebung der personenbezogenen Daten bei der betroffenen Person müssen der betroffenen Person die Informationen nach den Vorgaben des Absatz eins und 2 zum Zeitpunkt der Erhebung vorliegen. In allen übrigen Fällen findet Artikel 14, Absatz 3, DSGVO Anwendung. Die Information gemäß Absatz eins und 2 kann entfallen, wenn die Daten nicht durch Befragung des Betroffenen, sondern durch Übermittlung von Daten aus anderen Aufgabengebieten desselben Verantwortlichen oder aus Anwendungen anderer Verantwortlicher ermittelt und die Datenverarbeitung durch Gesetz vorgesehen ist.
| (3)Absatz 3Where personal data are collected from the data subject, the data subject must be in possession of the information pursuant to the requirements of paras. 1 and 2 at the time of the collection of the personal data. In all other cases, Article 14 para. 3 of the General Data Protection Regulation shall apply. The information according to paras. 1 and 2 may be omitted where data have not been collected by asking the data subject, but through transmission from another application purpose of the same controller or from a data application of another controller, and where the processing is provided for by law.
|
(4)Absatz 4Die Unterrichtung der betroffenen Person gemäß Abs. 2 kann soweit und solange aufgeschoben, eingeschränkt oder unterlassen werden, wie dies im Einzelfall unbedingt erforderlich und verhältnismäßig istDie Unterrichtung der betroffenen Person gemäß Absatz 2, kann soweit und solange aufgeschoben, eingeschränkt oder unterlassen werden, wie dies im Einzelfall unbedingt erforderlich und verhältnismäßig ist
| (4)Absatz 4The provision of the information to the data subject pursuant to para. 2 can be delayed, restricted or omitted to the extent this is strictly necessary and proportionate in a particular case to
|
zur Gewährleistung, dass die Verhütung, Aufdeckung, Ermittlung oder Verfolgung von Straftaten oder die Strafvollstreckung nicht beeinträchtigt werden, insbesondere durch die Behinderung behördlicher oder gerichtlicher Untersuchungen, Ermittlungen oder Verfahren,
| avoid prejudicing the prevention, detection, investigation or prosecution of criminal offences or the execution of criminal penalties, in particular by obstructing inquiries, investigations or proceedings of authorities or courts,
|
zum Schutz der öffentlichen Sicherheit,
|
|
zum Schutz der nationalen Sicherheit,
| protect national security,
|
zum Schutz der verfassungsmäßigen Einrichtungen der Republik Österreich,
| protect the constitutional institutions of the Republic of Austria,
|
zum Schutz der militärischen Eigensicherung oder
| enable the protection of military facilities by the armed forces, or
|
zum Schutz der Rechte und Freiheiten anderer.
| protect the rights and freedoms of others.
|
Auskunftsrecht der betroffenen Person | Right of access by the data subject |
§ 44.Paragraph 44,(1)Absatz einsJede betroffene Person hat das Recht, vom Verantwortlichen eine Bestätigung darüber zu erhalten, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie das Recht, Auskunft über personenbezogene Daten und zu folgenden Informationen zu erhalten:
| § 44.Paragraph 44,(1)Absatz einsEvery data subject has the right to obtain from the controller confirmation as to whether or not personal data concerning him or her are being processed, and, where that is the case, access to the personal data and the following information:
|
die Zwecke der Verarbeitung und deren Rechtsgrundlage,
| the purposes of and legal basis for the processing,
|
die Kategorien personenbezogener Daten, die verarbeitet werden,
| the categories of personal data concerned,
|
die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen,
| the recipients or categories of recipients to whom the personal data have been disclosed, in particular recipients in third countries or international organisations,
|
falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer,
| if possible, the period for which the personal data are planned to be stored, or if that is not possible, the criteria used to determine that period,
|
das Bestehen eines Rechts auf Berichtigung oder Löschung personenbezogener Daten oder Einschränkung der Verarbeitung personenbezogener Daten der betroffenen Person durch den Verantwortlichen,
| the existence of the right to request from the controller rectification or erasure of personal data or restriction of processing of personal data concerning the data subject,
|
das Bestehen eines Beschwerderechts bei der Datenschutzbehörde sowie deren Kontaktdaten und
| the right to lodge a complaint with the Data Protection Authority and the contact details of the Data Protection Authority, and
|
Mitteilung zu den personenbezogenen Daten, die Gegenstand der Verarbeitung sind, sowie alle verfügbaren Informationen über die Herkunft der Daten.
| communication of the personal data undergoing processing and of any available information as to their origin.
|
(2)Absatz 2Einschränkungen des Auskunftsrechts sind nur unter den in § 43 Abs. 4 angeführten Voraussetzungen zulässig.Einschränkungen des Auskunftsrechts sind nur unter den in Paragraph 43, Absatz 4, angeführten Voraussetzungen zulässig.
| (2)Absatz 2Restrictions of the right of access are permitted only on the conditions referred to in § 43 para. 4.Restrictions of the right of access are permitted only on the conditions referred to in Paragraph 43, para. 4.
|
(3)Absatz 3Im Falle einer Nichterteilung der Auskunft gemäß Abs. 2 hat der Verantwortliche die betroffene Person unverzüglich schriftlich über die Verweigerung oder die Einschränkung der Auskunft und die Gründe hierfür zu unterrichten. Dies gilt nicht, wenn die Erteilung dieser Informationen einem der in § 43 Abs. 4 genannten Zwecke zuwiderliefe. Der Verantwortliche hat die betroffene Person über die Möglichkeit zu unterrichten, Beschwerde bei der Datenschutzbehörde einzulegen.Im Falle einer Nichterteilung der Auskunft gemäß Absatz 2, hat der Verantwortliche die betroffene Person unverzüglich schriftlich über die Verweigerung oder die Einschränkung der Auskunft und die Gründe hierfür zu unterrichten. Dies gilt nicht, wenn die Erteilung dieser Informationen einem der in Paragraph 43, Absatz 4, genannten Zwecke zuwiderliefe. Der Verantwortliche hat die betroffene Person über die Möglichkeit zu unterrichten, Beschwerde bei der Datenschutzbehörde einzulegen.
| (3)Absatz 3In case access is not granted pursuant to para. 2, the controller shall inform the data subject, without undue delay, in writing of any refusal or restriction of access and of the reasons for the refusal or the restriction. Such information may be omitted where the provision thereof would undermine a purpose under § 43 para. 4. The controller shall inform the data subject of the possibility to lodge a complaint with the Data Protection Authority.In case access is not granted pursuant to para. 2, the controller shall inform the data subject, without undue delay, in writing of any refusal or restriction of access and of the reasons for the refusal or the restriction. Such information may be omitted where the provision thereof would undermine a purpose under Paragraph 43, para. 4. The controller shall inform the data subject of the possibility to lodge a complaint with the Data Protection Authority.
|
(4)Absatz 4Der Verantwortliche hat die Gründe für die Entscheidung über die Nichterteilung der Auskunft gemäß Abs. 2 zu dokumentieren. Diese Angaben sind der Datenschutzbehörde zur Verfügung zu stellen.Der Verantwortliche hat die Gründe für die Entscheidung über die Nichterteilung der Auskunft gemäß Absatz 2, zu dokumentieren. Diese Angaben sind der Datenschutzbehörde zur Verfügung zu stellen.
| (4)Absatz 4The controller shall document the reasons for the decision not to grant access pursuant to para. 2. That information shall be made available to the Data Protection Authority.
|
(5)Absatz 5In dem Umfang, in dem eine Datenverarbeitung für eine betroffene Person hinsichtlich der zu ihr verarbeiteten Daten von Gesetzes wegen einsehbar ist, hat diese das Recht auf Auskunft nach Maßgabe der das Einsichtsrecht vorsehenden Bestimmungen. Für das Verfahren der Einsichtnahme (einschließlich deren Verweigerung) gelten die näheren Regelungen des Gesetzes, das das Einsichtsrecht vorsieht. In Abs. 1 genannte Bestandteile einer Auskunft, die vom Einsichtsrecht nicht umfasst sind, können dennoch nach diesem Bundesgesetz geltend gemacht werden.In dem Umfang, in dem eine Datenverarbeitung für eine betroffene Person hinsichtlich der zu ihr verarbeiteten Daten von Gesetzes wegen einsehbar ist, hat diese das Recht auf Auskunft nach Maßgabe der das Einsichtsrecht vorsehenden Bestimmungen. Für das Verfahren der Einsichtnahme (einschließlich deren Verweigerung) gelten die näheren Regelungen des Gesetzes, das das Einsichtsrecht vorsieht. In Absatz eins, genannte Bestandteile einer Auskunft, die vom Einsichtsrecht nicht umfasst sind, können dennoch nach diesem Bundesgesetz geltend gemacht werden.
| (5)Absatz 5To the extent that a data processing operation is, by law, open to inspection by a data subject with regard to data processed on the data subject, the data subject shall have a right of access in accordance with the provisions granting the right of inspection. The detailed provisions of the law granting the right of inspection shall apply to the procedure of inspection (and its refusal). Parts of information according to para. 1 that are not covered by the right of inspection may, however, be asserted according to this federal law.
|
Recht auf Berichtigung oder Löschung personenbezogener Daten und auf Einschränkung der Verarbeitung | Right to rectification or erasure of personal data and to the restriction of processing |
§ 45.Paragraph 45,(1)Absatz einsJede betroffene Person hat das Recht, vom Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten sowie die Vervollständigung unvollständiger personenbezogener Daten zu verlangen. Die Berichtigung oder Vervollständigung kann erforderlichenfalls mittels einer ergänzenden Erklärung erfolgen, soweit eine nachträgliche Änderung mit dem Dokumentationszweck unvereinbar ist. Der Beweis der Richtigkeit der Daten obliegt dem Verantwortlichen, soweit die personenbezogenen Daten nicht ausschließlich aufgrund von Angaben der betroffenen Person ermittelt wurden.
| § 45.Paragraph 45,(1)Absatz einsEvery data subject shall have the right to obtain from the controller without undue delay the rectification of inaccurate personal data concerning him or her and the completion of incomplete personal data. Where necessary, the personal data can be rectified or completed by means of a supplementary statement if later changes are incompatible with the documentation purpose. It shall be the obligation of the controller to prove that the data are correct unless the personal data have been collected exclusively based on statements made by the data subject.Every data subject shall have the right to obtain from the controller without undue delay the rectification of inaccurate personal data concerning him or her and the completion of incomplete personal data. Where necessary, the personal data can be rectified or completed by means of a supplementary statement if later changes are incompatible with the documentation purpose. römisch eins t shall be the obligation of the controller to prove that the data are correct unless the personal data have been collected exclusively based on statements made by the data subject.
|
(2)Absatz 2Der Verantwortliche hat personenbezogene Daten aus eigenem oder über Antrag der betroffenen Person unverzüglich zu löschen, wenn
| (2)Absatz 2The controller shall erase the personal data on the controller’s own initiative or at the request of the data subject if
|
die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind,
| the personal data are no longer necessary in relation to the purposes for which they were collected or otherwise processed,
|
die personenbezogenen Daten unrechtmäßig verarbeitet wurden oder
| the personal data have been unlawfully processed,
|
die Löschung der personenbezogenen Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist.
| erasure is necessary for compliance with a legal obligation to which the controller is subject.
|
(3)Absatz 3Anstatt die personenbezogenen Daten zu löschen, kann der Verantwortliche deren Verarbeitung einschränken, wenn
| (3)Absatz 3Instead of erasure, the controller shall restrict processing where:
|
die betroffene Person die Richtigkeit der personenbezogenen Daten bestreitet und die Richtigkeit oder Unrichtigkeit nicht festgestellt werden kann, oder
| the accuracy of the personal data is contested by the data subject and their accuracy or inaccuracy cannot be ascertained, or
|
die personenbezogenen Daten für Beweiszwecke im Rahmen der Wahrnehmung einer ihm gesetzlich übertragenen Aufgabe weiter aufbewahrt werden müssen.
| the personal data must be maintained for the purposes of evidence to perform a task delegated to the controller by law.
|
Im Falle einer Einschränkung gemäß Z 1 hat der Verantwortliche die betroffene Person vor einer Aufhebung der Einschränkung zu unterrichten.Im Falle einer Einschränkung gemäß Ziffer eins, hat der Verantwortliche die betroffene Person vor einer Aufhebung der Einschränkung zu unterrichten. | In the case of a restriction pursuant to subpara. 1, the controller shall inform the data subject before the restriction is lifted. |
(4)Absatz 4Der Verantwortliche hat die betroffene Person schriftlich über eine Verweigerung der Berichtigung oder Löschung personenbezogener Daten oder eine Einschränkung der Verarbeitung und über die Gründe für die Verweigerung zu unterrichten. Der Verantwortliche hat die betroffene Person über die Möglichkeit zu unterrichten, bei der Datenschutzbehörde Beschwerde einzulegen.
| (4)Absatz 4The controller shall inform the data subject in writing of any refusal of rectification or erasure of personal data or restriction of processing and of the reasons for the refusal. The controller shall inform the data subject of the possibility to lodge a complaint with the Data Protection Authority.
|
(5)Absatz 5Der Verantwortliche hat die Berichtigung von unrichtigen personenbezogenen Daten der zuständigen Behörde, von der die unrichtigen personenbezogenen Daten stammen, mitzuteilen.
| (5)Absatz 5The controller shall communicate the rectification of inaccurate personal data to the competent authority from which the inaccurate personal data originate.
|
(6)Absatz 6In Fällen der Berichtigung, Löschung oder Einschränkung der Verarbeitung gemäß Abs. 1 bis 3 hat der Verantwortliche alle Empfänger der betroffenen personenbezogenen Daten in Kenntnis zu setzen. Die Empfänger sind verpflichtet, die ihrer Verantwortung unterliegenden personenbezogenen Daten unverzüglich zu berichtigen, löschen oder deren Verarbeitung einschränken.In Fällen der Berichtigung, Löschung oder Einschränkung der Verarbeitung gemäß Absatz eins bis 3 hat der Verantwortliche alle Empfänger der betroffenen personenbezogenen Daten in Kenntnis zu setzen. Die Empfänger sind verpflichtet, die ihrer Verantwortung unterliegenden personenbezogenen Daten unverzüglich zu berichtigen, löschen oder deren Verarbeitung einschränken.
| (6)Absatz 6Where personal data has been rectified or erased or processing has been restricted pursuant to paras. 1 to 3, the controller shall notify all recipients of the personal data concerned. The recipients shall rectify or erase the personal data or restrict processing of the personal data under their responsibility without undue delay.
|
(Anm.: Abs. 7 aufgehoben durch Z 22, BGBl. I Nr. 24/2018)Anmerkung, Absatz 7, aufgehoben durch Ziffer 22,, Bundesgesetzblatt Teil eins, Nr. 24 aus 2018,) | |
3. Abschnitt | Part 3 |
Verantwortlicher und Auftragsverarbeiter | Controller and processor |
Pflichten des Verantwortlichen | Obligations of the controller |
§ 46.Paragraph 46, Der Verantwortliche hat die in Art. 24 Abs. 1 und 2 sowie Art. 25 Abs. 1 und 2 DSGVO angeführten Verpflichtungen in Bezug auf die Übereinstimmung der Verarbeitung mit den Bestimmungen dieses Hauptstücks einzuhalten. Der Verantwortliche hat die in Artikel 24, Absatz eins und 2 sowie Artikel 25, Absatz eins und 2 DSGVO angeführten Verpflichtungen in Bezug auf die Übereinstimmung der Verarbeitung mit den Bestimmungen dieses Hauptstücks einzuhalten. | § 46.Paragraph 46, The controller shall comply with the obligations referred to in Article 24 paras. 1 and 2 and Article 25 paras. 1 and 2 of the General Data Protection Regulation with regard to the compliance of processing with the provisions of this Chapter. |
Gemeinsam Verantwortliche | Joint controllers |
§ 47.Paragraph 47, Zwei oder mehr Verantwortliche, die gemeinsam die Zwecke und die Mittel zur Verarbeitung festlegen, sind gemeinsam Verantwortliche. Sie haben in einer Vereinbarung in transparenter Form ihre jeweiligen Aufgaben nach diesem Bundesgesetz festzulegen, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß § 43 nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht gesetzlich festgelegt sind. In der Vereinbarung ist eine Anlaufstelle für die betroffenen Personen anzugeben. Zwei oder mehr Verantwortliche, die gemeinsam die Zwecke und die Mittel zur Verarbeitung festlegen, sind gemeinsam Verantwortliche. Sie haben in einer Vereinbarung in transparenter Form ihre jeweiligen Aufgaben nach diesem Bundesgesetz festzulegen, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß Paragraph 43, nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht gesetzlich festgelegt sind. In der Vereinbarung ist eine Anlaufstelle für die betroffenen Personen anzugeben. | § 47.Paragraph 47, Two or more controllers who jointly determine the purposes and means of processing shall be joint controllers. They shall, in a transparent manner, determine their respective responsibilities under this federal law, in particular as regards the exercising of the rights of the data subject and their respective duties to provide the information referred to in § 43, by means of an arrangement between them if, and insofar as, the respective responsibilities of the controllers are not determined by law. The arrangement shall designate a contact point for data subjects. Two or more controllers who jointly determine the purposes and means of processing shall be joint controllers. They shall, in a transparent manner, determine their respective responsibilities under this federal law, in particular as regards the exercising of the rights of the data subject and their respective duties to provide the information referred to in Paragraph 43,, by means of an arrangement between them if, and insofar as, the respective responsibilities of the controllers are not determined by law. The arrangement shall designate a contact point for data subjects. |
Auftragsverarbeiter und Aufsicht über die Verarbeitung | Processor and the supervision of processing |
§ 48.Paragraph 48,(1)Absatz einsErfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieses Bundesgesetzes erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.
| § 48.Paragraph 48,(1)Absatz einsWhere processing is carried out on behalf of a controller, the controller shall only use processors providing sufficient guarantees to implement appropriate technical and organisational measures in such a manner that processing will meet the requirements of this federal law and ensure the protection of the rights of the data subject.
|
(2)Absatz 2Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte schriftliche Genehmigung des Verantwortlichen in Anspruch.
| (2)Absatz 2The processor shall not engage another processor without prior specific written authorisation of the controller.
|
(3)Absatz 3Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder aufgrund ausdrücklicher gesetzlicher Ermächtigung, der oder das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Dieser Vertrag oder dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter
| (3)Absatz 3Processing by a processor shall be governed by a contract or other legal act under Union law or on the grounds of an explicit legal authorisation that is binding on the processor with regard to the controller and that sets out the subject matter and duration of the processing, the nature and purpose of the processing, the type of personal data and categories of data subjects and the obligations and rights of the controller. This contract or other legal act shall stipulate, in particular, that the processor:
|
die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen – auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation – verarbeitet, sofern er nicht durch das Unionsrecht oder durch Gesetze, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet;
| processes the personal data only on documented instructions from the controller, including with regard to transfers of personal data to a third country or an international organisation, unless required to do so by Union law or by laws to which the processor is subject; in such a case, the processor shall inform the controller of that legal requirement before processing, unless that law prohibits such information on important grounds of public interest;
|
gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
| ensures that persons authorised to process the personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality;
|
alle gemäß § 54 erforderlichen Maßnahmen ergreift;alle gemäß Paragraph 54, erforderlichen Maßnahmen ergreift;
| takes all measures necessary pursuant to § 54;takes all measures necessary pursuant to Paragraph 54 ;,
|
die in den Abs. 2 und 4 genannten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält;die in den Absatz 2 und 4 genannten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält;
| respects the conditions referred to in paras. 2 and 4 for engaging another processor;
|
angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in diesem Hauptstück genannten Rechte der betroffenen Person nachzukommen;
| taking into account the nature of the processing, assists the controller by appropriate technical and organisational measures, insofar as this is possible, for the fulfilment of the controller’s obligation to respond to requests for exercising the data subject’s rights laid down in this Chapter;
|
unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den §§ 52 bis 56 genannten Pflichten unterstützt;unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Paragraphen 52 bis 56 genannten Pflichten unterstützt;
| assists the controller in ensuring compliance with the obligations pursuant to § 52 to § 56, taking into account the nature of processing and the information available to the processor;assists the controller in ensuring compliance with the obligations pursuant to Paragraph 52, to Paragraph 56,, taking into account the nature of processing and the information available to the processor;
|
nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt, sofern nicht nach dem Unionsrecht oder aufgrund von Gesetzen eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht;
| at the choice of the controller, deletes or returns all the personal data to the controller after the end of the provision of services relating to processing, and deletes existing copies unless Union law or laws require(s) storage of the personal data;
|
dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Abs. 1 bis 6 niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Absatz eins bis 6 niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.
| makes available to the controller all information necessary to demonstrate compliance with the obligations laid down in paras. 1 to 6 and allows for and contributes to audits, including inspections, conducted by the controller or another auditor mandated by the controller.
|
Im Hinblick auf Z 8 informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen dieses Hauptstücks oder gegen andere Datenschutzbestimmungen der Union oder gesetzliche Datenschutzbestimmungen verstößt.Im Hinblick auf Ziffer 8, informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen dieses Hauptstücks oder gegen andere Datenschutzbestimmungen der Union oder gesetzliche Datenschutzbestimmungen verstößt. | With regard to subpara. 8, the processor shall immediately inform the controller if, in its opinion, an instruction infringes this Chapter or other data protection provisions of Union law or statutory data protection provisions. |
(4)Absatz 4Nimmt der Auftragsverarbeiter die Dienste eines weiteren Auftragsverarbeiters in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen, so werden diesem weiteren Auftragsverarbeiter im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder aufgrund von Gesetzen dieselben Datenschutzpflichten auferlegt, die in dem Vertrag oder anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß Abs. 3 festgelegt sind, wobei insbesondere hinreichende Garantien dafür geboten werden müssen, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen dieses Hauptstücks erfolgt. Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der erste Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters.Nimmt der Auftragsverarbeiter die Dienste eines weiteren Auftragsverarbeiters in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen, so werden diesem weiteren Auftragsverarbeiter im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder aufgrund von Gesetzen dieselben Datenschutzpflichten auferlegt, die in dem Vertrag oder anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß Absatz 3, festgelegt sind, wobei insbesondere hinreichende Garantien dafür geboten werden müssen, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen dieses Hauptstücks erfolgt. Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der erste Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters.
| (4)Absatz 4Where a processor engages another processor for carrying out specific processing activities on behalf of the controller, the same data protection obligations as set out in the contract or other legal act between the controller and the processor as referred to in para. 3 shall be imposed on that other processor by way of a contract or other legal act under Union law or in accordance with laws, in particular providing sufficient guarantees to implement appropriate technical and organisational measures in such a manner that the processing will meet the requirements of this Chapter. Where that other processor fails to fulfil its data protection obligations, the initial processor shall remain fully liable to the controller for the performance of that other processor’s obligations.
|
(5)Absatz 5Der Vertrag oder das andere Rechtsinstrument im Sinne der Abs. 3 und 4 ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.Der Vertrag oder das andere Rechtsinstrument im Sinne der Absatz 3 und 4 ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.
| (5)Absatz 5The contract or the other legal act referred to in paras. 3 and 4 shall be in writing, including in electronic form.
|
(6)Absatz 6Der Auftragsverarbeiter und jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten, es sei denn, dass sie nach dem Unionsrecht oder aufgrund von Gesetzen zur Verarbeitung verpflichtet sind.
| (6)Absatz 6The processor and any person acting under the authority of the controller or of the processor, who has access to personal data, shall not process those data except on instructions from the controller, unless required to do so by Union law or in accordance with laws.
|
(7)Absatz 7Ein Auftragsverarbeiter, der unter Verstoß gegen dieses Hauptstück die Zwecke und Mittel der Verarbeitung bestimmt, gilt in Bezug auf diese Verarbeitung als Verantwortlicher.
| (7)Absatz 7If a processor determines, in infringement of this Chapter, the purposes and means of processing, that processor shall be considered to be a controller in respect of that processing.römisch eins f a processor determines, in infringement of this Chapter, the purposes and means of processing, that processor shall be considered to be a controller in respect of that processing.
|
Verzeichnis von Verarbeitungstätigkeiten | Records of processing activities |
§ 49.Paragraph 49,(1)Absatz einsJeder Verantwortliche hat sinngemäß nach Maßgabe des Art. 30 Abs. 1 bis 4 DSGVO ein Verzeichnis von Verarbeitungstätigkeiten zu führen, wobei sich die Verweise in Art. 30 Abs. 1 lit. g und Abs. 2 lit. d DSGVO auf § 54 beziehen und die Bezugnahme auf einen Vertreter des Verantwortlichen oder des Auftragsverarbeiters gegenstandslos ist.Jeder Verantwortliche hat sinngemäß nach Maßgabe des Artikel 30, Absatz eins bis 4 DSGVO ein Verzeichnis von Verarbeitungstätigkeiten zu führen, wobei sich die Verweise in Artikel 30, Absatz eins, Litera g und Absatz 2, Litera d, DSGVO auf Paragraph 54, beziehen und die Bezugnahme auf einen Vertreter des Verantwortlichen oder des Auftragsverarbeiters gegenstandslos ist.
| § 49.Paragraph 49,(1)Absatz einsEach controller shall maintain a record of processing activities, applying Article 30 paras. 1 to 4 of the General Data Protection Regulation accordingly; the references in Article 30 para. 1 (g) and para. 2 (d) of the General Data Protection Regulation refer to § 54, and the reference to the representative of the controller or the processor shall not apply.Each controller shall maintain a record of processing activities, applying Article 30 paras. 1 to 4 of the General Data Protection Regulation accordingly; the references in Article 30 para. 1 (g) and para. 2 (d) of the General Data Protection Regulation refer to Paragraph 54,, and the reference to the representative of the controller or the processor shall not apply.
|
(2)Absatz 2Das Verzeichnis gemäß Abs. 1 hat auch Angaben zu enthalten überDas Verzeichnis gemäß Absatz eins, hat auch Angaben zu enthalten über
| (2)Absatz 2The record referred to in para. 1 shall also contain information on
|
die Verwendung von Profiling, wenn eine solche Verwendung vorgenommen wird, und
| the use of profiling, if profiling is used, and
|
die Rechtsgrundlage der Verarbeitung, einschließlich der Übermittlungen, für die die personenbezogenen Daten bestimmt sind.
| the legal basis for the processing operation, including transfers, for which the personal data are intended.
|
(3)Absatz 3Jeder Auftragsverarbeiter hat ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Verarbeitungstätigkeiten zu führen, das Folgendes enthält:
| (3)Absatz 3Each processor shall maintain a record for all categories of processing activities performed on behalf of a controller, containing the following:
|
Name und Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter, jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie eines etwaigen Datenschutzbeauftragten,
| name and contact details of the processor or processors, each controller on whose behalf the processor is acting, as well as any data protection officer,
|
die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden,
| the categories of processing activities performed on behalf of each controller,
|
gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, wenn vom Verantwortlichen entsprechend angewiesen, einschließlich der Identifizierung des Drittlandes oder der internationalen Organisation,
| where applicable, transfers of personal data to a third country or an international organisation, if ordered accordingly by the controller, including the identification of the third country or the international organisation,
|
wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß § 54 Abs. 1.wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Paragraph 54, Absatz eins,
| if possible, a general description of the technical and organisational measures pursuant to § 54 para. 1.if possible, a general description of the technical and organisational measures pursuant to Paragraph 54, para. 1.
|
Protokollierung | Logging |
§ 50.Paragraph 50,(1)Absatz einsJeder Verarbeitungsvorgang ist in geeigneter Weise so zu protokollieren, dass die Zulässigkeit der Verarbeitung nachvollzogen und überprüft werden kann.
| § 50.Paragraph 50,(1)Absatz einsEvery processing operation shall be logged in an appropriate manner so that the legitimacy of processing can be traced and verified.
|
(2)Absatz 2In automatisierten Verarbeitungssystemen sind alle Verarbeitungsvorgänge in automatisierter Form zu protokollieren. Aus diesen Protokolldaten müssen zumindest der Zweck, die verarbeiteten Daten, das Datum und die Uhrzeit der Verarbeitung, die Identifizierung der Person, die die personenbezogenen Daten verarbeitet hat, sowie die Identität eines allfälligen Empfängers solcher personenbezogenen Daten hervorgehen.
| (2)Absatz 2In automated processing systems, all processing operations shall be logged in an automated manner. These log data shall at least reveal the purpose, the processed data, the date and time of processing, the identification of the person who processed the personal data, and the identity of any recipient of such personal data.
|
(3)Absatz 3In nicht automatisierten Verarbeitungssystemen sind zumindest Abfragen und Offenlegungen einschließlich Übermittlungen, Veränderungen sowie Löschungen zu protokollieren. Für diese Protokolldaten gilt Abs. 2 zweiter Satz.In nicht automatisierten Verarbeitungssystemen sind zumindest Abfragen und Offenlegungen einschließlich Übermittlungen, Veränderungen sowie Löschungen zu protokollieren. Für diese Protokolldaten gilt Absatz 2, zweiter Satz.
| (3)Absatz 3In non-automated processing systems, at least consultations and disclosures, including transmissions, changes and erasures, shall be logged. Para. 2 sentence 2 shall apply to these log data.
|
(4)Absatz 4Die Protokolle dürfen ausschließlich zur Überprüfung der Rechtmäßigkeit der Datenverarbeitung einschließlich der Eigenüberwachung, der Gewährleistung von Integrität und Sicherheit der personenbezogenen Daten sowie in gerichtlichen Strafverfahren verwendet werden.
| (4)Absatz 4The logs shall exclusively be used to verify the lawfulness of the data processing, including self-monitoring and ensuring the integrity and security of the personal data, and in criminal proceedings in court.
|
(5)Absatz 5Der Verantwortliche und der Auftragsverarbeiter haben der Datenschutzbehörde auf deren Verlangen die Protokolle zur Verfügung zu stellen.
| (5)Absatz 5The controller and the processor shall provide the logs to the Data Protection Authority at its request.
|
Zusammenarbeit mit der Datenschutzbehörde | Cooperation with the Data Protection Authority |
§ 51.Paragraph 51, Der Verantwortliche und der Auftragsverarbeiter sind verpflichtet, über Aufforderung mit der Datenschutzbehörde bei der Erfüllung ihrer Aufgaben zusammenzuarbeiten. | § 51.Paragraph 51, The controller and the processor shall cooperate, on request, with the Data Protection Authority in the performance of its tasks. |
Datenschutz-Folgenabschätzung | Data protection impact assessment |
§ 52.Paragraph 52, Der Verantwortliche hat zum Schutz der Rechte und berechtigten Interessen der von der Datenverarbeitung betroffenen Personen und sonstiger Betroffener eine Datenschutz-Folgenabschätzung gemäß Art. 35 Abs. 1, 2, 3, 7 und 11 DSGVO durchzuführen, wobei sich der Nachweis gemäß Art. 35 Abs. 7 lit. d DSGVO auf die Einhaltung der Vorgaben dieses Hauptstücks bezieht. Der Verantwortliche hat zum Schutz der Rechte und berechtigten Interessen der von der Datenverarbeitung betroffenen Personen und sonstiger Betroffener eine Datenschutz-Folgenabschätzung gemäß Artikel 35, Absatz eins,, 2, 3, 7 und 11 DSGVO durchzuführen, wobei sich der Nachweis gemäß Artikel 35, Absatz 7, Litera d, DSGVO auf die Einhaltung der Vorgaben dieses Hauptstücks bezieht. | § 52.Paragraph 52, To protect the rights and legitimate interests of data subjects affected by data processing activities and other persons concerned, the controller shall carry out a data protection impact assessment pursuant to Article 35 paras. 1, 2, 3, 7 and 11 of the General Data Protection Regulation, with demonstration pursuant to Article 35 para. 7 (d) of the General Data Protection Regulation referring to compliance with the requirements of this Chapter. |
Vorherige Konsultation der Datenschutzbehörde | Prior consultation of the Data Protection Authority |
§ 53.Paragraph 53, Der Verantwortliche hat nach Maßgabe des Art. 36 DSGVO vor der Verarbeitung personenbezogener Daten in neu anzulegenden Dateisystemen die Datenschutzbehörde zu konsultieren, wobei sich die Verweise in Art. 36 Abs. 1 und Abs. 3 lit. e DSGVO auf § 52 und der Verweis auf die Bestimmungen hinsichtlich der Befugnisse der Datenschutzbehörde in Art. 36 Abs. 2 DSGVO auf § 33 beziehen und die in Art. 36 Abs. 2 DSGVO angeführten Maßnahmen innerhalb von sechs Wochen mit der Möglichkeit einer Verlängerung um einen weiteren Monat zu treffen sind. Der Verantwortliche hat nach Maßgabe des Artikel 36, DSGVO vor der Verarbeitung personenbezogener Daten in neu anzulegenden Dateisystemen die Datenschutzbehörde zu konsultieren, wobei sich die Verweise in Artikel 36, Absatz eins und Absatz 3, Litera e, DSGVO auf Paragraph 52 und der Verweis auf die Bestimmungen hinsichtlich der Befugnisse der Datenschutzbehörde in Artikel 36, Absatz 2, DSGVO auf Paragraph 33, beziehen und die in Artikel 36, Absatz 2, DSGVO angeführten Maßnahmen innerhalb von sechs Wochen mit der Möglichkeit einer Verlängerung um einen weiteren Monat zu treffen sind. | § 53.Paragraph 53, In accordance with Article 36 of the General Data Protection Regulation, the controller shall consult the Data Protection Authority prior to processing which will form part of a new filing system to be created; references in Article 36 paras. 1 and 3 (e) of the General Data Protection Regulation refer to § 52, and the reference to the provisions regarding the powers of the Data Protection Authority in Article 36 para. 2 of the General Data Protection Regulation refers to § 33, and the measures referred to in Article 36 para. 2 of the General Data Protection Regulation shall be taken within six weeks, with the possibility to extend that period by an additional month. In accordance with Article 36 of the General Data Protection Regulation, the controller shall consult the Data Protection Authority prior to processing which will form part of a new filing system to be created; references in Article 36 paras. 1 and 3 (e) of the General Data Protection Regulation refer to Paragraph 52,, and the reference to the provisions regarding the powers of the Data Protection Authority in Article 36 para. 2 of the General Data Protection Regulation refers to Paragraph 33,, and the measures referred to in Article 36 para. 2 of the General Data Protection Regulation shall be taken within six weeks, with the possibility to extend that period by an additional month. |
Datensicherheitsmaßnahmen | Data security measures |
§ 54.Paragraph 54,(1)Absatz einsDer Verantwortliche und der Auftragsverarbeiter haben unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen, unter Berücksichtigung der unterschiedlichen Kategorien gemäß § 37, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, insbesondere im Hinblick auf die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß § 39.Der Verantwortliche und der Auftragsverarbeiter haben unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen, unter Berücksichtigung der unterschiedlichen Kategorien gemäß Paragraph 37,, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, insbesondere im Hinblick auf die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Paragraph 39,
| § 54.Paragraph 54,(1)Absatz einsThe controller and the processor, taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of the processing as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, shall implement appropriate technical and organisational measures, taking into account the different categories pursuant to § 37, to ensure a level of security appropriate to the risk, in particular as regards the processing of special categories of personal data referred to in § 39.The controller and the processor, taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of the processing as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, shall implement appropriate technical and organisational measures, taking into account the different categories pursuant to Paragraph 37,, to ensure a level of security appropriate to the risk, in particular as regards the processing of special categories of personal data referred to in Paragraph 39,
|
(2)Absatz 2Der Verantwortliche und der Auftragsverarbeiter haben im Hinblick auf die automatisierte Verarbeitung nach einer Risikobewertung Maßnahmen zu ergreifen, um folgende Zwecke zu erreichen:
| (2)Absatz 2In respect of automated processing, the controller or processor, following an evaluation of the risks, shall implement measures designed to:
|
Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle);
| deny unauthorised persons access to processing equipment used for processing (‘equipment access control’);
|
Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Entfernens von Datenträgern (Datenträgerkontrolle);
| prevent the unauthorised reading, copying, modification or removal of data media (‘data media control’);
|
Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten (Speicherkontrolle);
| prevent the unauthorised input of personal data and the unauthorised inspection, modification or deletion of stored personal data (‘storage control’);
|
Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkontrolle);
| prevent the use of automated processing systems by unauthorised persons using data communication equipment (‘user control’);
|
Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den ihrer Zugangsberechtigung unterliegenden personenbezogenen Daten Zugang haben (Zugriffskontrolle);
| ensure that persons authorised to use an automated processing system have access only to the personal data covered by their access authorisation (‘data access control’);
|
Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle);
| ensure that it is possible to verify and establish the bodies to which personal data have been or may be transmitted or made available using data communication equipment (‘communication control’);
|
Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben worden sind (Eingabekontrolle);
| ensure that it is subsequently possible to verify and establish which personal data have been input into automated processing systems and when and by whom the personal data were input (‘input control’);
|
Verhinderung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle);
| prevent the unauthorised reading, copying, modification or deletion of personal data during transfers of personal data or during transportation of data media (‘transport control’);
|
Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellung);
| ensure that installed systems may, in the case of interruption, be restored (‘recovery’);
|
Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen, auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit) und gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität).
| ensure that the functions of the system perform, that the appearance of faults in the functions is reported (‘reliability’) and that stored personal data cannot be corrupted by means of a malfunctioning of the system (‘integrity’).
|
Meldung von Verletzungen an die Datenschutzbehörde | Notification of a breach to the Data Protection Authority |
§ 55.Paragraph 55,(1)Absatz einsDer Verantwortliche hat nach Maßgabe des Art. 33 DSGVO Verletzungen des Schutzes personenbezogener Daten der Datenschutzbehörde zu melden.Der Verantwortliche hat nach Maßgabe des Artikel 33, DSGVO Verletzungen des Schutzes personenbezogener Daten der Datenschutzbehörde zu melden.
| § 55.Paragraph 55,(1)Absatz einsIn accordance with Article 33 of the General Data Protection Regulation, the controller shall notify personal data breaches to the Data Protection Authority.
|
(2)Absatz 2Soweit von der Verletzung des Schutzes personenbezogene Daten betroffen sind, die von dem oder an den Verantwortlichen eines anderen Mitgliedstaates der Europäischen Union übermittelt wurden, sind die in Art. 33 Abs. 3 DSGVO genannten Informationen dem Verantwortlichen jenes Mitgliedstaates der Europäischen Union unverzüglich zu übermitteln.Soweit von der Verletzung des Schutzes personenbezogene Daten betroffen sind, die von dem oder an den Verantwortlichen eines anderen Mitgliedstaates der Europäischen Union übermittelt wurden, sind die in Artikel 33, Absatz 3, DSGVO genannten Informationen dem Verantwortlichen jenes Mitgliedstaates der Europäischen Union unverzüglich zu übermitteln.
| (2)Absatz 2Where the personal data breach involves personal data that have been transmitted by or to the controller of another Member State of the European Union, the information referred to in Article 33 para. 3 of the General Data Protection Regulation shall be communicated to the controller of that Member State of the European Union without undue delay.
|
Benachrichtigung der betroffenen Person von Verletzungen | Communication of personal data breaches to data subjects |
§ 56.Paragraph 56,(1)Absatz einsDer Verantwortliche hat nach Maßgabe des Art. 34 DSGVO betroffene Personen von Verletzungen des Schutzes ihrer personenbezogenen Daten zu benachrichtigen.Der Verantwortliche hat nach Maßgabe des Artikel 34, DSGVO betroffene Personen von Verletzungen des Schutzes ihrer personenbezogenen Daten zu benachrichtigen.
| § 56.Paragraph 56,(1)Absatz einsIn accordance with Article 34 of the General Data Protection Regulation, the controller shall communicate breaches concerning their personal data to data subjects.
|
(2)Absatz 2Die Benachrichtigung gemäß Abs. 1 kann unter den in § 43 Abs. 4 genannten Voraussetzungen aufgeschoben, eingeschränkt oder unterlassen werden.Die Benachrichtigung gemäß Absatz eins, kann unter den in Paragraph 43, Absatz 4, genannten Voraussetzungen aufgeschoben, eingeschränkt oder unterlassen werden.
| (2)Absatz 2Communication pursuant to para. 1 can be delayed, restricted or omitted under the conditions laid out in § 43 para. 4.Communication pursuant to para. 1 can be delayed, restricted or omitted under the conditions laid out in Paragraph 43, para. 4.
|
Benennung, Stellung und Aufgaben des Datenschutzbeauftragten | Designation, position and tasks of the data protection officer |
§ 57.Paragraph 57,(1)Absatz einsJeder Verantwortliche hat nach Maßgabe des Art. 37 Abs. 5 und 7 DSGVO einen Datenschutzbeauftragten zu benennen. Gerichte sind im Rahmen ihrer justiziellen Tätigkeit von der Verpflichtung zur Benennung eines Datenschutzbeauftragten ausgenommen. § 5 gilt im Hinblick auf die Bestimmungen dieses Hauptstücks sinngemäß.Jeder Verantwortliche hat nach Maßgabe des Artikel 37, Absatz 5 und 7 DSGVO einen Datenschutzbeauftragten zu benennen. Gerichte sind im Rahmen ihrer justiziellen Tätigkeit von der Verpflichtung zur Benennung eines Datenschutzbeauftragten ausgenommen. Paragraph 5, gilt im Hinblick auf die Bestimmungen dieses Hauptstücks sinngemäß.
| § 57.Paragraph 57,(1)Absatz einsEvery controller shall designate a data protection officer in accordance with Article 37 paras. 5 and 7 of the General Data Protection Regulation. Courts are exempted from the obligation to designate a data protection officer in the context of their judicial activities. § 5 shall apply accordingly with regard to the provisions of this Chapter.Every controller shall designate a data protection officer in accordance with Article 37 paras. 5 and 7 of the General Data Protection Regulation. Courts are exempted from the obligation to designate a data protection officer in the context of their judicial activities. Paragraph 5, shall apply accordingly with regard to the provisions of this Chapter.
|
(2)Absatz 2Für die Stellung des Datenschutzbeauftragten gilt Art. 38 DSGVO.Für die Stellung des Datenschutzbeauftragten gilt Artikel 38, DSGVO.
| (2)Absatz 2Article 38 of the General Data Protection Regulation shall apply to the position of the data protection officer.
|
(3)Absatz 3Dem Datenschutzbeauftragten obliegen die in Art. 39 DSGVO genannten Aufgaben in Bezug auf die Einhaltung der Bestimmungen dieses Hauptstücks.Dem Datenschutzbeauftragten obliegen die in Artikel 39, DSGVO genannten Aufgaben in Bezug auf die Einhaltung der Bestimmungen dieses Hauptstücks.
| (3)Absatz 3The data protection officer shall have the tasks referred to in Article 39 of the General Data Protection Regulation with regard to compliance with the provisions of this Chapter.
|
(4)Absatz 4Der Verantwortliche hat die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen und der Datenschutzbehörde mitzuteilen.
| (4)Absatz 4The controller shall publish the contact details of the data protection officer and communicate them to the Data Protection Authority.
|
4. Abschnitt | Part 4 |
Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen | Transfers of personal data to third countries or international organisations |
Allgemeine Grundsätze für die Übermittlung personenbezogener Daten | General principles for transfers of personal data |
§ 58.Paragraph 58,(1)Absatz einsEine Übermittlung von personenbezogenen Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, durch zuständige Behörden ist nur zulässig, wenn die Bestimmungen dieses Hauptstücks eingehalten werden und
| § 58.Paragraph 58,(1)Absatz einsAny transfer by competent authorities of personal data which are undergoing processing or are intended for processing after transfer to a third country or to an international organisation shall take place only if the conditions laid down in this Chapter are complied with and
|
die Übermittlung für die in § 36 Abs. 1 genannten Zwecke erforderlich ist,die Übermittlung für die in Paragraph 36, Absatz eins, genannten Zwecke erforderlich ist,
| the transfer is necessary for the purposes set out in § 36 para. 1,the transfer is necessary for the purposes set out in Paragraph 36, para. 1,
|
die personenbezogenen Daten an einen Verantwortlichen in einem Drittland oder einer internationalen Organisation, die eine für die in § 36 Abs. 1 genannten Zwecke zuständige Behörde ist, übermittelt werden,die personenbezogenen Daten an einen Verantwortlichen in einem Drittland oder einer internationalen Organisation, die eine für die in Paragraph 36, Absatz eins, genannten Zwecke zuständige Behörde ist, übermittelt werden,
| the personal data are transferred to a controller in a third country or international organisation that is an authority competent for the purposes referred to in § 36 para. 1,the personal data are transferred to a controller in a third country or international organisation that is an authority competent for the purposes referred to in Paragraph 36, para. 1,
|
in Fällen, in denen personenbezogene Daten aus einem anderen Mitgliedstaat der EU übermittelt oder zur Verfügung gestellt werden, dieser Mitgliedstaat die Übermittlung zuvor genehmigt hat,
| where personal data are transmitted or made available from another EU Member State, that Member State has given its prior authorisation to the transfer,
|
die Europäische Kommission gemäß § 59 Abs. 1 und 2 einen Angemessenheitsbeschluss gefasst hat oder, wenn kein solcher Beschluss vorliegt, geeignete Garantien im Sinne des § 59 Abs. 3 bis 5 erbracht wurden oder bestehen oder, wenn kein Angemessenheitsbeschluss gemäß § 59 Abs. 1 und 2 vorliegt und keine geeigneten Garantien im Sinne des § 59 Abs. 3 bis 5 vorhanden sind, Ausnahmen für bestimmte Fälle gemäß § 59 Abs. 6 und 7 anwendbar sind unddie Europäische Kommission gemäß Paragraph 59, Absatz eins und 2 einen Angemessenheitsbeschluss gefasst hat oder, wenn kein solcher Beschluss vorliegt, geeignete Garantien im Sinne des Paragraph 59, Absatz 3 bis 5 erbracht wurden oder bestehen oder, wenn kein Angemessenheitsbeschluss gemäß Paragraph 59, Absatz eins und 2 vorliegt und keine geeigneten Garantien im Sinne des Paragraph 59, Absatz 3 bis 5 vorhanden sind, Ausnahmen für bestimmte Fälle gemäß Paragraph 59, Absatz 6 und 7 anwendbar sind und
| the European Commission has adopted an adequacy decision pursuant to § 59 paras. 1 and 2 or, in the absence of such a decision, appropriate safeguards as referred to in § 59 paras. 3 to 5 have been provided or exist, or, in the absence of an adequacy decision pursuant to § 59 paras. 1 and 2 and of appropriate safeguards in accordance with § 59 paras. 3 to 5, derogations for specific situations apply pursuant to § 59 paras. 6 and 7; andthe European Commission has adopted an adequacy decision pursuant to Paragraph 59, paras. 1 and 2 or, in the absence of such a decision, appropriate safeguards as referred to in Paragraph 59, paras. 3 to 5 have been provided or exist, or, in the absence of an adequacy decision pursuant to Paragraph 59, paras. 1 and 2 and of appropriate safeguards in accordance with Paragraph 59, paras. 3 to 5, derogations for specific situations apply pursuant to Paragraph 59, paras. 6 and 7; and
|
sichergestellt ist, dass eine Weiterübermittlung an ein anderes Drittland oder eine andere internationale Organisation nur aufgrund einer vorherigen Genehmigung der zuständigen Behörde, die die ursprüngliche Übermittlung durchgeführt hat, und unter gebührender Berücksichtigung sämtlicher maßgeblicher Faktoren, einschließlich der Schwere der Straftat, des Zwecks der ursprünglichen Übermittlung personenbezogener Daten und des Schutzniveaus für personenbezogene Daten in dem Drittland oder der internationalen Organisation, an das bzw. die personenbezogene Daten weiterübermittelt werden, zulässig ist.
| it is ensured that an onward transfer to another third country or international organisation is permitted only subject to prior authorisation by the competent authority that carried out the original transfer and after taking into due account all relevant factors, including the seriousness of the criminal offence, the purpose for which the personal data was originally transferred and the level of personal data protection in the third country or an international organisation to which personal data are onward transferred.
|
(2)Absatz 2Eine Übermittlung ohne vorherige Genehmigung gemäß Abs. 1 Z 3 ist nur zulässig, wenn die Übermittlung erforderlich ist, um eine unmittelbare und ernsthafte Gefahr für die öffentliche Sicherheit eines Mitgliedstaats oder eines Drittlandes oder für die wesentlichen Interessen eines Mitgliedstaats abzuwehren, und die vorherige Genehmigung nicht rechtzeitig eingeholt werden kann. Die für die Erteilung der vorherigen Genehmigung zuständige Behörde ist unverzüglich zu unterrichten.Eine Übermittlung ohne vorherige Genehmigung gemäß Absatz eins, Ziffer 3, ist nur zulässig, wenn die Übermittlung erforderlich ist, um eine unmittelbare und ernsthafte Gefahr für die öffentliche Sicherheit eines Mitgliedstaats oder eines Drittlandes oder für die wesentlichen Interessen eines Mitgliedstaats abzuwehren, und die vorherige Genehmigung nicht rechtzeitig eingeholt werden kann. Die für die Erteilung der vorherigen Genehmigung zuständige Behörde ist unverzüglich zu unterrichten.
| (2)Absatz 2Transfers without prior authorisation pursuant to para. 1 subpara. 3 shall be permitted only if the transfer is necessary for the prevention of an immediate and serious threat to public security of a Member State or a third country or to essential interests of a Member State and the prior authorisation cannot be obtained in good time. The authority responsible for giving prior authorisation shall be informed without delay.
|
(3)Absatz 3Ersucht eine zuständige Behörde eines anderen Mitgliedstaates der EU um Genehmigung zur Übermittlung von personenbezogenen Daten, die ursprünglich aus dem Inland übermittelt wurden, an ein Drittland oder eine internationale Organisation gemäß Abs. 1 Z 3, so ist zur Erteilung dieser Genehmigung jene zuständige Behörde zuständig, die die personenbezogenen Daten ursprünglich übermittelt hat, soweit nicht gesetzlich anderes angeordnet ist.Ersucht eine zuständige Behörde eines anderen Mitgliedstaates der EU um Genehmigung zur Übermittlung von personenbezogenen Daten, die ursprünglich aus dem Inland übermittelt wurden, an ein Drittland oder eine internationale Organisation gemäß Absatz eins, Ziffer 3,, so ist zur Erteilung dieser Genehmigung jene zuständige Behörde zuständig, die die personenbezogenen Daten ursprünglich übermittelt hat, soweit nicht gesetzlich anderes angeordnet ist.
| (3)Absatz 3If a competent authority of another EU Member State requests authorisation to transfer to a third country or an international organisation pursuant to para. 1 subpara. 3 personal data that have originally been transferred from Austria, the authority that originally transferred the personal data shall be the authority competent for giving the authorisation, unless otherwise provided for by law.römisch eins f a competent authority of another EU Member State requests authorisation to transfer to a third country or an international organisation pursuant to para. 1 subpara. 3 personal data that have originally been transferred from Austria, the authority that originally transferred the personal data shall be the authority competent for giving the authorisation, unless otherwise provided for by law.
|
Datenübermittlung an Drittländer oder internationale Organisationen | Data transfers to third countries or international organisations |
§ 59.Paragraph 59,(1)Absatz einsDie Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation ist zulässig, wenn die Europäische Kommission gemäß Art. 36 Abs. 3 der Richtlinie (EU) 2016/680 im Wege eines Durchführungsaktes beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet. Eine solche Datenübermittlung bedarf keiner besonderen Genehmigung. Die Genehmigungspflicht gemäß § 58 Abs. 1 Z 3 bleibt davon unberührt.Die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation ist zulässig, wenn die Europäische Kommission gemäß Artikel 36, Absatz 3, der Richtlinie (EU) 2016/680 im Wege eines Durchführungsaktes beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet. Eine solche Datenübermittlung bedarf keiner besonderen Genehmigung. Die Genehmigungspflicht gemäß Paragraph 58, Absatz eins, Ziffer 3, bleibt davon unberührt.
| § 59.Paragraph 59,(1)Absatz einsThe transfer of personal data to a third country or an international organisation shall be permitted where the European Commission has decided pursuant to Article 36 para. 3 of Directive (EU) 2016/680 by way of an implementing act that the third country, a territory or one or more specified sectors within that third country, or the international organisation in question ensures an adequate level of protection. Such a transfer shall not require any specific authorisation. The authorisation obligation pursuant to § 58 para. 1 subpara. 3 shall remain unaffected thereby.The transfer of personal data to a third country or an international organisation shall be permitted where the European Commission has decided pursuant to Article 36 para. 3 of Directive (EU) 2016/680 by way of an implementing act that the third country, a territory or one or more specified sectors within that third country, or the international organisation in question ensures an adequate level of protection. Such a transfer shall not require any specific authorisation. The authorisation obligation pursuant to Paragraph 58, para. 1 subpara. 3 shall remain unaffected thereby.
|
(2)Absatz 2Übermittlungen personenbezogener Daten an ein Drittland, an ein Gebiet oder einen oder mehrere spezifischen Sektoren in einem Drittland oder an eine internationale Organisation gemäß den Abs. 3 bis 8 werden durch einen gemäß Art. 36 Abs. 5 der Richtlinie (EU) 2016/680 gefassten Beschluss der Europäischen Kommission zum Widerruf, zur Änderung oder zur Aussetzung eines Beschlusses nach Art. 36 Abs. 3 der Richtlinie (EU) 2016/680 nicht berührt.Übermittlungen personenbezogener Daten an ein Drittland, an ein Gebiet oder einen oder mehrere spezifischen Sektoren in einem Drittland oder an eine internationale Organisation gemäß den Absatz 3 bis 8 werden durch einen gemäß Artikel 36, Absatz 5, der Richtlinie (EU) 2016/680 gefassten Beschluss der Europäischen Kommission zum Widerruf, zur Änderung oder zur Aussetzung eines Beschlusses nach Artikel 36, Absatz 3, der Richtlinie (EU) 2016/680 nicht berührt.
| (2)Absatz 2A decision by the European Commission taken pursuant to Article 36 para. 5 of Directive (EU) 2016/680 to revoke, amend or suspend a decision pursuant to Article 36 para. 3 of Directive (EU) 2016/680 shall be without prejudice to transfers of personal data to the third country, the territory or one or more specified sectors within that third country, or the international organisation in question pursuant to paras. 3 to 8.
|
(3)Absatz 3Liegt kein Beschluss nach Abs. 1 vor, so ist die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation zulässig, wennLiegt kein Beschluss nach Absatz eins, vor, so ist die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation zulässig, wenn
| (3)Absatz 3In the absence of a decision pursuant to para. 1, a transfer of personal data to a third country or an international organisation may take place where
|
in einem rechtsverbindlichen Instrument geeignete Garantien für den Schutz personenbezogener Daten vorgesehen sind oder
| appropriate safeguards with regard to the protection of personal data are provided for in a legally binding instrument; or
|
der Verantwortliche auf Grund einer Beurteilung der für die Übermittlung personenbezogener Daten maßgeblichen Umstände zu der Auffassung gelangt ist, dass geeignete Garantien zum Schutz personenbezogener Daten bestehen.
| the controller, following an assessment of the circumstances relevant for the transfer of personal data, concludes that appropriate safeguards exist with regard to the protection of personal data.
|
(4)Absatz 4Bestehen geeignete Garantien gemäß Abs. 3 Z 2 für Kategorien von Übermittlungen, so hat der Verantwortliche die Datenschutzbehörde über diese Kategorien zu unterrichten.Bestehen geeignete Garantien gemäß Absatz 3, Ziffer 2, für Kategorien von Übermittlungen, so hat der Verantwortliche die Datenschutzbehörde über diese Kategorien zu unterrichten.
| (4)Absatz 4If appropriate safeguards pursuant to para. 3 subpara. 2 exist for categories of transfers, the controller shall inform the Data Protection Authority of these categories.römisch eins f appropriate safeguards pursuant to para. 3 subpara. 2 exist for categories of transfers, the controller shall inform the Data Protection Authority of these categories.
|
(5)Absatz 5Übermittlungen gemäß Abs. 3 Z 2 sind zu dokumentieren und die Dokumentation einschließlich Datum und Zeitpunkt der Übermittlung, Informationen über die empfangende zuständige Behörde, Begründung der Übermittlung und übermittelte personenbezogenen Daten, der Datenschutzbehörde auf Anforderung zur Verfügung zu stellen.Übermittlungen gemäß Absatz 3, Ziffer 2, sind zu dokumentieren und die Dokumentation einschließlich Datum und Zeitpunkt der Übermittlung, Informationen über die empfangende zuständige Behörde, Begründung der Übermittlung und übermittelte personenbezogenen Daten, der Datenschutzbehörde auf Anforderung zur Verfügung zu stellen.
| (5)Absatz 5Transfers pursuant to para. 3 subpara. 2 shall be documented, and the documentation shall be made available to the Data Protection Authority on request, including the date and time of the transfer, information about the receiving competent authority, the justification for the transfer and the personal data transferred.
|
(6)Absatz 6Wenn weder ein Angemessenheitsbeschluss gemäß Abs. 1 bis 2 vorliegt noch geeignete Garantien gemäß Abs. 3 bis 5 vorhanden sind, so ist nach Maßgabe des Abs. 5 eine Übermittlung personenbezogener Daten an ein Drittland oder an eine internationale Organisation nur zulässig, wenn die Übermittlung erforderlich istWenn weder ein Angemessenheitsbeschluss gemäß Absatz eins bis 2 vorliegt noch geeignete Garantien gemäß Absatz 3 bis 5 vorhanden sind, so ist nach Maßgabe des Absatz 5, eine Übermittlung personenbezogener Daten an ein Drittland oder an eine internationale Organisation nur zulässig, wenn die Übermittlung erforderlich ist
| (6)Absatz 6In the absence of an adequacy decision pursuant to paras. 1 to 2 or of appropriate safeguards pursuant to paras. 3 to 5, a transfer of personal data to a third country or an international organisation may take place in accordance with para. 5 only on the condition that the transfer is necessary:
|
zum Schutz lebenswichtiger Interessen einer Person,
| to protect the vital interests of a person,
|
wenn dies zur Wahrung berechtigter Interessen der betroffenen Person gesetzlich vorgesehen ist,
| to safeguard legitimate interests of the data subject, where the law so provides,
|
zur Abwehr einer unmittelbaren und ernsthaften Gefahr für die öffentliche Sicherheit eines Mitgliedstaates der EU oder eines Drittlandes,
| for the prevention of an immediate and serious threat to the public security of an EU Member State or a third country,
|
im Einzelfall für die in § 36 Abs. 1 genannten Zwecke, oderim Einzelfall für die in Paragraph 36, Absatz eins, genannten Zwecke, oder
| in individual cases for the purposes set out in § 36 para. 1, orin individual cases for the purposes set out in Paragraph 36, para. 1, or
|
im Einzelfall zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Zusammenhang mit den in § 36 Abs. 1 genannten Zwecken.im Einzelfall zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Zusammenhang mit den in Paragraph 36, Absatz eins, genannten Zwecken.
| in an individual case for the establishment, exercise or defence of legal claims relating to the purposes set out in § 36 para. 1.in an individual case for the establishment, exercise or defence of legal claims relating to the purposes set out in Paragraph 36, para. 1.
|
(7)Absatz 7In den Fällen des Abs. 6 Z 4 und 5 ist die Übermittlung nur zulässig, wenn keine das öffentliche Interesse an der Übermittlung überwiegenden Grundrechte und Grundfreiheiten der betroffenen Person der Übermittlung entgegenstehen.In den Fällen des Absatz 6, Ziffer 4 und 5 ist die Übermittlung nur zulässig, wenn keine das öffentliche Interesse an der Übermittlung überwiegenden Grundrechte und Grundfreiheiten der betroffenen Person der Übermittlung entgegenstehen.
| (7)Absatz 7In the cases referred to in para. 6 subparas. 4 and 5, a transfer is permitted only if no fundamental rights and freedoms of the data subject overriding the public interests in the transfer are an obstacle to the transfer.
|
4. Hauptstück | Chapter 4 |
Besondere Strafbestimmungen | Special penal provisions |
Verwaltungsstrafbestimmung | Administrative penalties |
§ 62.Paragraph 62,(1)Absatz einsSofern die Tat nicht einen Tatbestand nach Art. 83 DSGVO verwirklicht oder nach anderen Verwaltungsstrafbestimmungen mit strengerer Strafe bedroht ist, begeht eine Verwaltungsübertretung, die mit Geldstrafe bis zu 50 000 Euro zu ahnden ist, werSofern die Tat nicht einen Tatbestand nach Artikel 83, DSGVO verwirklicht oder nach anderen Verwaltungsstrafbestimmungen mit strengerer Strafe bedroht ist, begeht eine Verwaltungsübertretung, die mit Geldstrafe bis zu 50 000 Euro zu ahnden ist, wer
| § 62.Paragraph 62,(1)Absatz einsUnless the offence meets the elements of Article 83 of the General Data Protection Regulation or is subject to a more severe punishment according to other administrative penal provisions, an administrative offence punishable by a fine of up to €50,000 is committed by anyone who
|
sich vorsätzlich widerrechtlichen Zugang zu einer Datenverarbeitung verschafft oder einen erkennbar widerrechtlichen Zugang vorsätzlich aufrechterhält,
| intentionally and illegally gains access to data processing or maintains an obviously illegal means of access,
|
Daten vorsätzlich in Verletzung des Datengeheimnisses (§ 6) übermittelt, insbesondere Daten, die ihm gemäß §§ 7 oder 8 anvertraut wurden, vorsätzlich für andere unzulässige Zwecke verarbeitet,Daten vorsätzlich in Verletzung des Datengeheimnisses (Paragraph 6,) übermittelt, insbesondere Daten, die ihm gemäß Paragraphen 7, oder 8 anvertraut wurden, vorsätzlich für andere unzulässige Zwecke verarbeitet,
| transmits data intentionally in violation of the rules on confidentiality (§ 6), in particular intentionally uses data entrusted to him or her according to § 7 or § 8 for other prohibited purposes,transmits data intentionally in violation of the rules on confidentiality (Paragraph 6,), in particular intentionally uses data entrusted to him or her according to Paragraph 7, or Paragraph 8, for other prohibited purposes,
|
sich unter Vortäuschung falscher Tatsachen vorsätzlich personenbezogene Daten gemäß § 10 verschafft,sich unter Vortäuschung falscher Tatsachen vorsätzlich personenbezogene Daten gemäß Paragraph 10, verschafft,
| by giving incorrect information intentionally obtains personal data according to § 10,by giving incorrect information intentionally obtains personal data according to Paragraph 10,,
|
eine Bildverarbeitung entgegen den Bestimmungen des 3. Abschnittes des 1. Hauptstücks betreibt oder
| processes images contrary to the provisions of Chapter 1, Part 3, or
|
die Einschau gemäß § 22 Abs. 2 verweigert.die Einschau gemäß Paragraph 22, Absatz 2, verweigert.
| refuses inspection pursuant to § 22 para. 2.refuses inspection pursuant to Paragraph 22, para. 2.
|
(2)Absatz 2Der Versuch ist strafbar.
| (2)Absatz 2Attempts shall be punishable.
|
(3)Absatz 3Gegen juristische Personen können bei Verwaltungsübertretung nach Abs. 1 und 2 Geldbußen nach Maßgabe des § 30 verhängt werden.Gegen juristische Personen können bei Verwaltungsübertretung nach Absatz eins und 2 Geldbußen nach Maßgabe des Paragraph 30, verhängt werden.
| (3)Absatz 3In the case of an administrative offence pursuant to paras. 1 and 2, administrative fines can be imposed on legal persons in accordance with § 30.In the case of an administrative offence pursuant to paras. 1 and 2, administrative fines can be imposed on legal persons in accordance with Paragraph 30,
|
(4)Absatz 4Die Strafe des Verfalls von Datenträgern und Programmen sowie Bildübertragungs- und Bildaufzeichnungsgeräten kann ausgesprochen werden (§§ 10, 17 und 18 VStG), wenn diese Gegenstände mit einer Verwaltungsübertretung nach Abs. 1 in Zusammenhang stehen.Die Strafe des Verfalls von Datenträgern und Programmen sowie Bildübertragungs- und Bildaufzeichnungsgeräten kann ausgesprochen werden (Paragraphen 10,, 17 und 18 VStG), wenn diese Gegenstände mit einer Verwaltungsübertretung nach Absatz eins, in Zusammenhang stehen.
| (4)Absatz 4Data media and programs as well as apparatus for the transmission and recording of images can be forfeited (§ 10, § 17 and § 18 of the Administrative Penal Act) if they are linked to an administrative offence according to para. 1.Data media and programs as well as apparatus for the transmission and recording of images can be forfeited (Paragraph 10,, Paragraph 17, and Paragraph 18, of the Administrative Penal Act) if they are linked to an administrative offence according to para. 1.
|
(5)Absatz 5Die Datenschutzbehörde ist zuständig für Entscheidungen nach Abs. 1 bis 4.Die Datenschutzbehörde ist zuständig für Entscheidungen nach Absatz eins bis 4.
| (5)Absatz 5The Data Protection Authority shall be the competent authority for decisions pursuant to paras. 1 to 4.
|
(6)Absatz 6Das Parlamentarische Datenschutzkomitee ist zuständig für Entscheidungen nach Abs. 1 bis 4, soweit durch die Verwaltungsübertretung personenbezogene Daten aus Verarbeitungen gemäß § 35a Abs. 1 betroffen sind. Dasselbe gilt, soweit personenbezogene Daten aus Verarbeitungen gemäß § 35a Abs. 2 betroffen sind, sofern für die Aufsicht über diese Verarbeitungen durch Landesverfassungsgesetz die Zuständigkeit des Parlamentarischen Datenschutzkomitees vorgesehen wurde.Das Parlamentarische Datenschutzkomitee ist zuständig für Entscheidungen nach Absatz eins bis 4, soweit durch die Verwaltungsübertretung personenbezogene Daten aus Verarbeitungen gemäß Paragraph 35 a, Absatz eins, betroffen sind. Dasselbe gilt, soweit personenbezogene Daten aus Verarbeitungen gemäß Paragraph 35 a, Absatz 2, betroffen sind, sofern für die Aufsicht über diese Verarbeitungen durch Landesverfassungsgesetz die Zuständigkeit des Parlamentarischen Datenschutzkomitees vorgesehen wurde.
| |
Datenverarbeitung in Gewinn- oder Schädigungsabsicht | Processing with the intention to make a profit or to cause harm |
§ 63.Paragraph 63, Wer mit dem Vorsatz, sich oder einen Dritten dadurch unrechtmäßig zu bereichern, oder mit der Absicht, einen anderen dadurch in seinem von § 1 Abs. 1 gewährleisteten Anspruch zu schädigen, personenbezogene Daten, die ihm ausschließlich auf Grund seiner berufsmäßigen Beschäftigung anvertraut oder zugänglich geworden sind oder die er sich widerrechtlich verschafft hat, selbst benützt, einem anderen zugänglich macht oder veröffentlicht, obwohl der Betroffene an diesen Daten ein schutzwürdiges Geheimhaltungsinteresse hat, ist, wenn die Tat nicht nach einer anderen Bestimmung mit strengerer Strafe bedroht ist, vom Gericht mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bis zu 720 Tagessätzen zu bestrafen. Wer mit dem Vorsatz, sich oder einen Dritten dadurch unrechtmäßig zu bereichern, oder mit der Absicht, einen anderen dadurch in seinem von Paragraph eins, Absatz eins, gewährleisteten Anspruch zu schädigen, personenbezogene Daten, die ihm ausschließlich auf Grund seiner berufsmäßigen Beschäftigung anvertraut oder zugänglich geworden sind oder die er sich widerrechtlich verschafft hat, selbst benützt, einem anderen zugänglich macht oder veröffentlicht, obwohl der Betroffene an diesen Daten ein schutzwürdiges Geheimhaltungsinteresse hat, ist, wenn die Tat nicht nach einer anderen Bestimmung mit strengerer Strafe bedroht ist, vom Gericht mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bis zu 720 Tagessätzen zu bestrafen. | § 63.Paragraph 63, Whoever, with the intention to enrich himself or a third person unlawfully or to harm someone regarding that person’s entitlement guaranteed according to § 1 para. 1, deliberately uses personal data that have been entrusted to or have become accessible to him solely because of his professional occupation, or that he has acquired illegally, for himself or makes such data available to another person or publishes such data despite the data subject’s interest in confidentiality which deserves protection, shall be punished by a court with imprisonment of up to one year or with a fine of up to €720, unless the offence is subject to a more severe punishment pursuant to another provision. Whoever, with the intention to enrich himself or a third person unlawfully or to harm someone regarding that person’s entitlement guaranteed according to Paragraph eins, para. 1, deliberately uses personal data that have been entrusted to or have become accessible to him solely because of his professional occupation, or that he has acquired illegally, for himself or makes such data available to another person or publishes such data despite the data subject’s interest in confidentiality which deserves protection, shall be punished by a court with imprisonment of up to one year or with a fine of up to €720, unless the offence is subject to a more severe punishment pursuant to another provision. |
5. Hauptstück | Chapter 5 |
Schlussbestimmungen | Final provisions |
Durchführung und Umsetzung von Rechtsakten der EU | Execution and implementation of EU legal acts |
§ 64.Paragraph 64,(1)Absatz einsDieses Bundesgesetz dient der Durchführung der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1.Dieses Bundesgesetz dient der Durchführung der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 Sitzung 1.
| § 64.Paragraph 64,(1)Absatz einsThis federal law serves to implement Regulation (EU) 2016/679 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation), OJ No L 119 of 4 May 2016, p. 1.
|
(2)Absatz 2Dieses Bundesgesetz dient weiters der Umsetzung der Richtlinie (EU) 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, ABl. Nr. L 119 vom 4.5.2016 S. 89.Dieses Bundesgesetz dient weiters der Umsetzung der Richtlinie (EU) 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, ABl. Nr. L 119 vom 4.5.2016 Sitzung 89.
| (2)Absatz 2Furthermore, this federal law serves to implement Directive (EU) 2016/680 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA, OJ No L 119 of 4 May 2016, p. 89.
|
Sprachliche Gleichbehandlung | Gender-neutral use of language |
§ 65.Paragraph 65, Soweit in diesem Bundesgesetz auf natürliche Personen bezogene Bezeichnungen nur in männlicher Form angeführt sind, beziehen sie sich auf Frauen und Männer in gleicher Weise. Bei der Anwendung der Bezeichnungen auf bestimmte natürliche Personen ist die jeweils geschlechtsspezifische Form zu verwenden. | § 65.Paragraph 65, Insofar as expressions relating to natural persons in this federal law are given only in the male form, they shall apply to males and females equally. When the expressions are applied to specific natural persons, the form specific to the gender shall be used. |
Erlassung von Verordnungen | Enactment of regulations |
§ 66.Paragraph 66, Verordnungen auf Grund dieses Bundesgesetzes in seiner jeweiligen Fassung dürfen bereits von dem Tag an erlassen werden, der der Kundmachung der durchzuführenden Gesetzesbestimmungen folgt; sie dürfen jedoch nicht vor den durchzuführenden Gesetzesbestimmungen in Kraft treten. | § 66.Paragraph 66, Regulations based on this federal law as amended may already be enacted as of the day following the promulgation of the legal provision to be implemented; they shall, however, not enter into force before the statutory provisions which are to be implemented. |
Verweisungen | References |
§ 67.Paragraph 67, Soweit in diesem Bundesgesetz auf Bestimmungen anderer Bundesgesetze verwiesen wird, sind diese in ihrer jeweils geltenden Fassung anzuwenden. | § 67.Paragraph 67, Insofar as provisions of this federal law refer to provisions of other federal laws, these shall be applied as amended from time to time. |
Vollziehung | Execution |
§ 68.Paragraph 68,(1)Absatz einsMit der Vollziehung dieses Bundesgesetzes sind, soweit sie nicht der Bundesregierung obliegt, der Bundesministerdie Bundesministerin für Verfassung, Reformen, Deregulierung und Justiz sowie der Bundeskanzler und die anderen Bundesminister im Rahmen ihres Wirkungsbereichs betraut.
| § 68.Paragraph 68, The Federal Minister of Constitutional Affairs, Reforms, Deregulation and Justice and the other federal ministers, within their sphere of responsibilities, shall execute this federal law insofar as the execution has not been entrusted to the Federal Government. |
(2)Absatz 2(Verfassungsbestimmung) Mit der Vollziehung des 6. Abschnitts des 2. Hauptstücks und des § 62 Abs. 6 ist der Präsident des Nationalrates betraut.(Verfassungsbestimmung) Mit der Vollziehung des 6. Abschnitts des 2. Hauptstücks und des Paragraph 62, Absatz 6, ist der Präsident des Nationalrates betraut.
| |
Übergangsbestimmungen | Transitional provisions |
§ 69.Paragraph 69,(1)Absatz einsDie zum Zeitpunkt des Inkrafttretens dieses Bundesgesetzes laufende Funktionsperiode des Leiters der Datenschutzbehörde wird bis zu deren Ablauf fortgesetzt. Dies gilt auch für dessen Stellvertreter.
| § 69.Paragraph 69,(1)Absatz einsThe current term of office of the head of the Data Protection Authority at the time of the entry into force of this federal law shall continue until the end of the term of office. This shall also apply to the deputy.
|
(2)Absatz 2Das von der Datenschutzbehörde geführte Datenverarbeitungsregister ist von der Datenschutzbehörde bis zum 31. Dezember 2019 zu Archivzwecken fortzuführen. Es dürfen keine Eintragungen und inhaltliche Änderungen im Datenverarbeitungsregister vorgenommen werden. Registrierungen im Datenverarbeitungsregister werden gegenstandslos. Jedermann kann in das Register Einsicht nehmen. In den Registrierungsakt einschließlich darin allenfalls enthaltener Genehmigungsbescheide ist Einsicht zu gewähren, wenn der Einsichtswerber glaubhaft macht, dass er eine betroffene Person ist, und soweit nicht überwiegende schutzwürdige Geheimhaltungsinteressen des Verantwortlichen (Auftraggebers) oder anderer Personen entgegenstehen.
| (2)Absatz 2The Data Protection Authority shall continue to have the Data Processing Register kept by the Data Protection Authority for archiving purposes until 31 December 2019. No entries and changes to the contents of the Data Processing Register may be made. Registrations in the Data Processing Register shall become void. Any person may inspect the Register. Inspection of the registration file including any authorisations contained therein shall be granted if the person applying for inspection can satisfactorily demonstrate that he or she is a data subject, and as far as no overriding interests in confidentiality which deserve protection on the part of the controller or another person are an obstacle to access.
|
(3)Absatz 3Gemäß den §§ 17 und 18 Abs. 2 DSG 2000 im Zeitpunkt des Inkrafttretens dieses Bundesgesetzes anhängige Registrierungsverfahren gelten als eingestellt. Im Zeitpunkt des Inkrafttretens dieses Bundesgesetzes anhängige Verfahren nach den §§ 13, 46 und 47 DSG 2000 sind fortzuführen, sofern die Genehmigung nach diesem Bundesgesetz oder der DSGVO erforderlich ist. Anderenfalls gelten sie als eingestellt.Gemäß den Paragraphen 17 und 18 Absatz 2, DSG 2000 im Zeitpunkt des Inkrafttretens dieses Bundesgesetzes anhängige Registrierungsverfahren gelten als eingestellt. Im Zeitpunkt des Inkrafttretens dieses Bundesgesetzes anhängige Verfahren nach den Paragraphen 13,, 46 und 47 DSG 2000 sind fortzuführen, sofern die Genehmigung nach diesem Bundesgesetz oder der DSGVO erforderlich ist. Anderenfalls gelten sie als eingestellt.
| (3)Absatz 3Any registration procedures pursuant to § 17 and § 18 para. 2 of the Data Protection Act 2000 pending at the time of entry into force of this federal law shall be deemed discontinued. Any registration procedures pursuant to § 13, § 46 and § 47 of the Data Protection Act 2000 pending at the time of entry into force of this federal law shall be continued if authorisation is required pursuant to this federal law or the General Data Protection Regulation. If no authorisation is required, they shall be deemed discontinued.Any registration procedures pursuant to Paragraph 17, and Paragraph 18, para. 2 of the Data Protection Act 2000 pending at the time of entry into force of this federal law shall be deemed discontinued. Any registration procedures pursuant to Paragraph 13,, Paragraph 46, and Paragraph 47, of the Data Protection Act 2000 pending at the time of entry into force of this federal law shall be continued if authorisation is required pursuant to this federal law or the General Data Protection Regulation. römisch eins f no authorisation is required, they shall be deemed discontinued.
|
(4)Absatz 4Zum Zeitpunkt des Inkrafttretens dieses Bundesgesetzes bei der Datenschutzbehörde oder bei den ordentlichen Gerichten zum Datenschutzgesetz 2000 anhängige Verfahren sind nach den Bestimmungen dieses Bundesgesetzes und der DSGVO fortzuführen, mit der Maßgabe, dass die Zuständigkeit der ordentlichen Gerichte aufrecht bleibt.
| (4)Absatz 4Proceedings regarding the Data Protection Act 2000 pending before the Data Protection Authority or before courts of law at the time of entry into force of this federal law shall be continued in accordance with the provisions of this federal law and the General Data Protection Regulation with the reservation that courts of law continue to have jurisdiction.
|
(5)Absatz 5Verletzungen des Datenschutzgesetzes 2000, die zum Zeitpunkt des Inkrafttretens dieses Bundesgesetzes noch nicht anhängig gemacht wurden, sind nach der Rechtslage nach Inkrafttreten dieses Bundesgesetzes zu beurteilen. Ein strafbarer Tatbestand, der vor dem Inkrafttreten dieses Bundesgesetzes verwirklicht wurde, ist nach jener Rechtslage zu beurteilen, die für den Täter in ihrer Gesamtauswirkung günstiger ist; dies gilt auch für das Rechtsmittelverfahren.
| (5)Absatz 5Infringements of the Data Protection Act 2000 that are not yet pending at the time of entry into force of this federal law shall be judged in accordance with the legal situation after entry into force of this federal law. A punishable offence committed before this federal law enters into force shall be judged in accordance with the legal situation that is more favourable for the offender with regard to its overall effects; this shall also apply to appellate proceedings.
|
(6)Absatz 6Die Eingaben der betroffenen Personen nach §den §§ 24 und 35f sind von den Verwaltungsabgaben des Bundes befreit.Die Eingaben der betroffenen Personen nach §den Paragraphen 24 und 35f sind von den Verwaltungsabgaben des Bundes befreit.
| (6)Absatz 6Submissions by a data subject pursuant to § 24 shall be exempt from federal administrative fees.Submissions by a data subject pursuant to Paragraph 24, shall be exempt from federal administrative fees.
|
(7)Absatz 7Die entsendenden Stellen haben eine dem § 15 Abs. 1 Z 1 bis 6 entsprechende Anzahl von Mitgliedern und Ersatzmitgliedern des Datenschutzrates dem Bundesministerium für Verfassung, Reformen, Deregulierung und Justiz innerhalb von zwei Wochen ab dem 25. Mai 2018 schriftlich bekannt zu geben. Die konstituierende Sitzung des Datenschutzrates hat innerhalb von sechs Wochen ab dem 25. Mai 2018 zu erfolgen. Bis zur Wahl des neuen Vorsitzenden und der beiden stellvertretenden Vorsitzenden bleiben der bisherige Vorsitzende sowie die beiden bisherigen stellvertretenden Vorsitzenden in ihrer Funktion.Die entsendenden Stellen haben eine dem Paragraph 15, Absatz eins, Ziffer eins bis 6 entsprechende Anzahl von Mitgliedern und Ersatzmitgliedern des Datenschutzrates dem Bundesministerium für Verfassung, Reformen, Deregulierung und Justiz innerhalb von zwei Wochen ab dem 25. Mai 2018 schriftlich bekannt zu geben. Die konstituierende Sitzung des Datenschutzrates hat innerhalb von sechs Wochen ab dem 25. Mai 2018 zu erfolgen. Bis zur Wahl des neuen Vorsitzenden und der beiden stellvertretenden Vorsitzenden bleiben der bisherige Vorsitzende sowie die beiden bisherigen stellvertretenden Vorsitzenden in ihrer Funktion.
| (7)Absatz 7The entities or bodies delegating the members and substitute members shall notify the Federal Ministry of Constitutional Affairs, Reforms, Deregulation and Justice in writing within a period of two weeks from 25 May 2018 of the members and substitute members of the Data Protection Council, the number of whom must correspond to § 15 para. 1 subparas. 1 to 6. The constitutive meeting of the Data Protection Council shall take place within six weeks after 25 May 2018. The previous head and the two previous deputy heads shall continue to exercise their functions until the election of the new head and the two deputy heads.The entities or bodies delegating the members and substitute members shall notify the Federal Ministry of Constitutional Affairs, Reforms, Deregulation and Justice in writing within a period of two weeks from 25 May 2018 of the members and substitute members of the Data Protection Council, the number of whom must correspond to Paragraph 15, para. 1 subparas. 1 to 6. The constitutive meeting of the Data Protection Council shall take place within six weeks after 25 May 2018. The previous head and the two previous deputy heads shall continue to exercise their functions until the election of the new head and the two deputy heads.
|
(8)Absatz 8Besondere Bestimmungen über die Verarbeitung von personenbezogenen Daten in anderen Bundes- oder Landesgesetzen bleiben unberührt.
| (8)Absatz 8Special provisions on the processing of personal data in other federal or provincial laws shall remain unaffected.
|
(9)Absatz 9Vor Inkrafttreten dieses Bundesgesetzes nach §§ 13, 46 und 47 DSG 2000 rechtskräftig erteilte Genehmigungen der Datenschutzbehörde bleiben unberührt. Nach dem Datenschutzgesetz 2000 erteilte Zustimmungen bleiben aufrecht, sofern sie den Vorgaben der DSGVO entsprechen.Vor Inkrafttreten dieses Bundesgesetzes nach Paragraphen 13,, 46 und 47 DSG 2000 rechtskräftig erteilte Genehmigungen der Datenschutzbehörde bleiben unberührt. Nach dem Datenschutzgesetz 2000 erteilte Zustimmungen bleiben aufrecht, sofern sie den Vorgaben der DSGVO entsprechen.
| (9)Absatz 9Authorisations pursuant to § 13, § 46 and § 47 of the Data Protection Act 2000 granted by the Data Protection Authority in a final manner shall remain unaffected. Consent given pursuant to the Data Protection Act 2000 shall continue to be valid if it meets the requirements of the General Data Protection Regulation.Authorisations pursuant to Paragraph 13,, Paragraph 46, and Paragraph 47, of the Data Protection Act 2000 granted by the Data Protection Authority in a final manner shall remain unaffected. Consent given pursuant to the Data Protection Act 2000 shall continue to be valid if it meets the requirements of the General Data Protection Regulation.
|
(10)Absatz 10(Verfassungsbestimmung) Das Parlamentarische Datenschutzkomitee hat seine Zuständigkeiten nach diesem Bundesgesetz ab 1. Jänner 2025 wahrzunehmen. Zu diesem Zeitpunkt bei der Datenschutzbehörde anhängige Verfahren betreffend Verarbeitungen gemäß § 35a Abs. 1 sind vom Parlamentarischen Datenschutzkomitee fortzuführen, wobei die Entscheidungsfrist neu zu laufen beginnt. In den beim Bundesverwaltungsgericht, beim Verwaltungsgerichtshof oder beim Verfassungsgerichtshof mit Ablauf des 31. Dezember 2024 anhängigen Verfahren betreffend Verarbeitungen gemäß § 35a Abs. 1 tritt das Parlamentarische Datenschutzkomitee an die Stelle der Datenschutzbehörde.(Verfassungsbestimmung) Das Parlamentarische Datenschutzkomitee hat seine Zuständigkeiten nach diesem Bundesgesetz ab 1. Jänner 2025 wahrzunehmen. Zu diesem Zeitpunkt bei der Datenschutzbehörde anhängige Verfahren betreffend Verarbeitungen gemäß Paragraph 35 a, Absatz eins, sind vom Parlamentarischen Datenschutzkomitee fortzuführen, wobei die Entscheidungsfrist neu zu laufen beginnt. In den beim Bundesverwaltungsgericht, beim Verwaltungsgerichtshof oder beim Verfassungsgerichtshof mit Ablauf des 31. Dezember 2024 anhängigen Verfahren betreffend Verarbeitungen gemäß Paragraph 35 a, Absatz eins, tritt das Parlamentarische Datenschutzkomitee an die Stelle der Datenschutzbehörde.
| |
(11)Absatz 11(Verfassungsbestimmung) Abs. 10 gilt auch in Bezug auf Verarbeitungen gemäß § 35a Abs. 2, sofern für die Aufsicht über diese Verarbeitungen durch Landesverfassungsgesetz die Zuständigkeit des Parlamentarischen Datenschutzkomitees vorgesehen wurde.(Verfassungsbestimmung) Absatz 10, gilt auch in Bezug auf Verarbeitungen gemäß Paragraph 35 a, Absatz 2,, sofern für die Aufsicht über diese Verarbeitungen durch Landesverfassungsgesetz die Zuständigkeit des Parlamentarischen Datenschutzkomitees vorgesehen wurde.
| |
Inkrafttreten | Entry into force |
§ 70.Paragraph 70,(1)Absatz einsDie übrigen Bestimmungen dieses Bundesgesetzes treten ebenfalls mit 1. Jänner 2000 in Kraft.
| § 70.Paragraph 70,(1)Absatz einsThe other provisions of this federal law shall also enter into force on 1 January 2000.
|
(2)Absatz 2§§ 26 Abs. 6 und 52 Abs. 1 und 2 in der Fassung des Bundesgesetzes BGBl. I Nr. 136/2001 treten mit 1. Jänner 2002 in Kraft.Paragraphen 26, Absatz 6 und 52 Absatz eins und 2 in der Fassung des Bundesgesetzes Bundesgesetzblatt Teil eins, Nr. 136 aus 2001, treten mit 1. Jänner 2002 in Kraft.
| (2)Absatz 2§ 26 para. 6 and § 52 paras. 1 and 2 as amended by the federal law promulgated in Federal Law Gazette I No 136/2001 shall enter into force on 1 January 2002.Paragraph 26, para. 6 and Paragraph 52, paras. 1 and 2 as amended by the federal law promulgated in Federal Law Gazette römisch eins No 136/2001 shall enter into force on 1 January 2002.
|
(3)Absatz 3§ 48a Abs. 5 in der Fassung des Bundesgesetzes BGBl. I Nr. 135/2009 tritt mit 1. Jänner 2010 in Kraft.Paragraph 48 a, Absatz 5, in der Fassung des Bundesgesetzes Bundesgesetzblatt Teil eins, Nr. 135 aus 2009, tritt mit 1. Jänner 2010 in Kraft.
| (3)Absatz 3§ 48a para. 5 as amended by the federal law promulgated in Federal Law Gazette I No 135/2009 shall enter into force on 1 January 2010.Paragraph 48 a, para. 5 as amended by the federal law promulgated in Federal Law Gazette römisch eins No 135/2009 shall enter into force on 1 January 2010.
|
(4)Absatz 4Das Inhaltsverzeichnis, § 4 Abs. 1 Z 4, 5, 7 bis 9, 11 und 12, § 8 Abs. 1, 2 und 4, § 12 Abs. 1, die Umnummerierung der Absätze in § 13, § 16 Abs. 1 und 3, § 17 Abs. 1, 1a und 4, § 19 Abs. 1 Z 3a und Abs. 2, die Umnummerierung der Absätze in § 19, die §§ 20 bis 22a samt Überschriften, § 24 Abs. 2a, § 24 Abs. 4, § 26 Abs. 1 bis 8 und 10, § 28 Abs. 3, § 30 Abs. 2a, 5 bis 6a, die §§ 31 und 31a samt Überschriften, § 32 Abs. 1, 4, 6 und 7, § 34 Abs. 1, 3 und 4, § 36 Abs. 3, 3a und 9, § 39 Abs. 5, § 40 Abs. 1 und 2, § 41 Abs. 2 Z 4a, § 42 Abs. 1 Z 1, § 42 Abs. 5, § 46 Abs. 1 Z 2 und 3, Abs. 2 bis 3a, § 47 Abs. 4, § 49 Abs. 3, § 50 Abs. 1 bis 2a, der 9a. Abschnitt, § 51, § 52 Abs. 2 und 4, § 55, § 61 Abs. 6 bis 9 sowie § 64 in der Fassung des Bundesgesetzes BGBl. I Nr. 133/2009 treten mit 1. Jänner 2010 in Kraft. Gleichzeitig treten § 4 Abs. 1 Z 10, § 13 Abs. 3 sowie § 51 Abs. 2 außer Kraft.Das Inhaltsverzeichnis, Paragraph 4, Absatz eins, Ziffer 4,, 5, 7 bis 9, 11 und 12, Paragraph 8, Absatz eins,, 2 und 4, Paragraph 12, Absatz eins,, die Umnummerierung der Absätze in Paragraph 13,, Paragraph 16, Absatz eins und 3, Paragraph 17, Absatz eins,, 1a und 4, Paragraph 19, Absatz eins, Ziffer 3 a und Absatz 2,, die Umnummerierung der Absätze in Paragraph 19,, die Paragraphen 20 bis 22a samt Überschriften, Paragraph 24, Absatz 2 a,, Paragraph 24, Absatz 4,, Paragraph 26, Absatz eins bis 8 und 10, Paragraph 28, Absatz 3,, Paragraph 30, Absatz 2 a,, 5 bis 6a, die Paragraphen 31 und 31a samt Überschriften, Paragraph 32, Absatz eins,, 4, 6 und 7, Paragraph 34, Absatz eins,, 3 und 4, Paragraph 36, Absatz 3,, 3a und 9, Paragraph 39, Absatz 5,, Paragraph 40, Absatz eins und 2, Paragraph 41, Absatz 2, Ziffer 4 a,, Paragraph 42, Absatz eins, Ziffer eins,, Paragraph 42, Absatz 5,, Paragraph 46, Absatz eins, Ziffer 2 und 3, Absatz 2 bis 3a, Paragraph 47, Absatz 4,, Paragraph 49, Absatz 3,, Paragraph 50, Absatz eins bis 2a, der 9a. Abschnitt, Paragraph 51,, Paragraph 52, Absatz 2 und 4, Paragraph 55,, Paragraph 61, Absatz 6 bis 9 sowie Paragraph 64, in der Fassung des Bundesgesetzes Bundesgesetzblatt Teil eins, Nr. 133 aus 2009, treten mit 1. Jänner 2010 in Kraft. Gleichzeitig treten Paragraph 4, Absatz eins, Ziffer 10,, Paragraph 13, Absatz 3, sowie Paragraph 51, Absatz 2, außer Kraft.
| (4)Absatz 4The table of contents, § 4 para. 1 subparas. 4, 5, 7 to 9, 11 and 12, § 8 paras. 1, 2 and 4, § 12 para. 1, the re-numbering of the paragraphs in § 13, § 16 paras. 1 and 3, § 17 paras. 1, 1a and 4, § 19 para. 1 subpara. 3a and para. 2, the re-numbering of the paragraphs in § 19, § 20 to § 22a including captions, § 24 para. 2a, § 24 para. 4, § 26 paras. 1 to 8 and 10, § 28 para. 3, § 30 para. 2a, 5 to 6a, § 31 and § 31a including captions, § 32 paras. 1, 4, 6 and 7, § 34 paras. 1, 3 and 4, § 36 paras. 3, 3a and 9, § 39 para. 5, § 40 paras. 1 and 2, § 41 para. 2 subpara. 4a, § 42 para. 1 subpara. 1, § 42 para. 5, § 46 para. 1 subparas. 2 and 3, paras. 2 to 3a, § 47 para. 4, § 49 para. 3, § 50 paras. 1 to 2a, Part 9a, § 51, § 52 paras. 2 and 4, § 55, § 61 paras. 6 to 9 as well as § 64 as amended by the federal law promulgated in Federal Law Gazette I No 133/2009 shall enter into force on 1 January 2010. Simultaneously, § 4 para. 1 subpara. 10, § 13 para. 3 as well as § 51 para. 2 shall become ineffective.The table of contents, Paragraph 4, para. 1 subparas. 4, 5, 7 to 9, 11 and 12, Paragraph 8, paras. 1, 2 and 4, Paragraph 12, para. 1, the re-numbering of the paragraphs in Paragraph 13,, Paragraph 16, paras. 1 and 3, Paragraph 17, paras. 1, 1a and 4, Paragraph 19, para. 1 subpara. 3a and para. 2, the re-numbering of the paragraphs in Paragraph 19,, Paragraph 20, to Paragraph 22 a, including captions, Paragraph 24, para. 2a, Paragraph 24, para. 4, Paragraph 26, paras. 1 to 8 and 10, Paragraph 28, para. 3, Paragraph 30, para. 2a, 5 to 6a, Paragraph 31, and Paragraph 31 a, including captions, Paragraph 32, paras. 1, 4, 6 and 7, Paragraph 34, paras. 1, 3 and 4, Paragraph 36, paras. 3, 3a and 9, Paragraph 39, para. 5, Paragraph 40, paras. 1 and 2, Paragraph 41, para. 2 subpara. 4a, Paragraph 42, para. 1 subpara. 1, Paragraph 42, para. 5, Paragraph 46, para. 1 subparas. 2 and 3, paras. 2 to 3a, Paragraph 47, para. 4, Paragraph 49, para. 3, Paragraph 50, paras. 1 to 2a, Part 9a, Paragraph 51,, Paragraph 52, paras. 2 and 4, Paragraph 55,, Paragraph 61, paras. 6 to 9 as well as Paragraph 64, as amended by the federal law promulgated in Federal Law Gazette römisch eins No 133/2009 shall enter into force on 1 January 2010. Simultaneously, Paragraph 4, para. 1 subpara. 10, Paragraph 13, para. 3 as well as Paragraph 51, para. 2 shall become ineffective.
|
(5)Absatz 5§ 36 Abs. 6 in der Fassung des Bundesgesetzes BGBl. I Nr. 133/2009 tritt am 1. Juli 2010 in Kraft.Paragraph 36, Absatz 6, in der Fassung des Bundesgesetzes Bundesgesetzblatt Teil eins, Nr. 133 aus 2009, tritt am 1. Juli 2010 in Kraft.
| (5)Absatz 5§ 36 para. 6 as amended by the federal law promulgated in Federal Law Gazette I No 133/2009 shall enter into force on 1 July 2010.Paragraph 36, para. 6 as amended by the federal law promulgated in Federal Law Gazette römisch eins No 133/2009 shall enter into force on 1 July 2010.
|
(6)Absatz 6§ 37 Abs. 2, § 38 Abs. 2 und § 61 Abs. 9 in der Fassung des Bundesgesetzes BGBl. I Nr. 57/2013 treten mit 1. Mai 2013 in Kraft.Paragraph 37, Absatz 2,, Paragraph 38, Absatz 2 und Paragraph 61, Absatz 9, in der Fassung des Bundesgesetzes Bundesgesetzblatt Teil eins, Nr. 57 aus 2013, treten mit 1. Mai 2013 in Kraft.
| (6)Absatz 6§ 37 para. 2, § 38 para. 2 and § 61 para. 9 as amended by the federal law promulgated in Federal Law Gazette I No 57/2013 shall enter into force on 1 May 2013.Paragraph 37, para. 2, Paragraph 38, para. 2 and Paragraph 61, para. 9 as amended by the federal law promulgated in Federal Law Gazette römisch eins No 57/2013 shall enter into force on 1 May 2013.
|
(7)Absatz 7Das Inhaltverzeichnis, § 5 Abs. 4, § 10 Abs. 2, § 12 Abs. 4, § 13 Abs. 1, 2 Z 2, Abs. 3, 4 und 6, § 16 Abs. 1, § 17 Abs. 1, § 18 Abs. 2, § 19 Abs. 1 Z 6 und Abs. 2, § 20 Abs. 2 und 5 Z 2, § 21 Abs. 1 Z 3, § 22 Abs. 2 bis 4, § 22a Abs. 1, 3 bis 5, § 23 Abs. 2, § 26 Abs. 2, 5 und 7, § 27 Abs. 5 und 7, die Überschrift zu § 30, § 30 Abs. 1, 2, 2a, 4 bis 6a, die Überschrift zu § 31, § 31 Abs. 1, 2, 5, 6 und 8, § 31a, § 32 Abs. 5 bis 7, § 34 Abs. 3 und 4, die Überschrift zu § 35, § 35 Abs. 1, §§ 36 bis 40 samt Überschriften, § 41 Abs. 2 Z 1, § 44 Abs. 6 und 8, § 46 Abs. 2 Z 3 und Abs. 3, § 47 Abs. 3 und 4, § 48a Abs. 2, § 50 Abs. 1 und 2, § 50b Abs. 2, § 50c Abs. 1, § 52 Abs. 2 Z 2 und 3 sowie Abs. 5, § 54 Abs. 2 und § 61 Abs. 8 bis 10 in der Fassung des Bundesgesetzes BGBl. I Nr. 83/2013 treten mit 1. Jänner 2014 in Kraft. Gleichzeitig treten § 41 Abs. 2 Z 4a und die DSK-Vergütungsverordnung, BGBl. II Nr. 145/2006, außer Kraft. Die für die Bestellung des Leiters der Datenschutzbehörde und seines Stellvertreters notwendigen organisatorischen und personellen Maßnahmen können bereits vor Inkrafttreten des Bundesgesetzes BGBl. I Nr. 83/2013 getroffen werden.Das Inhaltverzeichnis, Paragraph 5, Absatz 4,, Paragraph 10, Absatz 2,, Paragraph 12, Absatz 4,, Paragraph 13, Absatz eins,, 2 Ziffer 2,, Absatz 3,, 4 und 6, Paragraph 16, Absatz eins,, Paragraph 17, Absatz eins,, Paragraph 18, Absatz 2,, Paragraph 19, Absatz eins, Ziffer 6 und Absatz 2,, Paragraph 20, Absatz 2 und 5 Ziffer 2,, Paragraph 21, Absatz eins, Ziffer 3,, Paragraph 22, Absatz 2 bis 4, Paragraph 22 a, Absatz eins,, 3 bis 5, Paragraph 23, Absatz 2,, Paragraph 26, Absatz 2,, 5 und 7, Paragraph 27, Absatz 5 und 7, die Überschrift zu Paragraph 30,, Paragraph 30, Absatz eins,, 2, 2a, 4 bis 6a, die Überschrift zu Paragraph 31,, Paragraph 31, Absatz eins,, 2, 5, 6 und 8, Paragraph 31 a,, Paragraph 32, Absatz 5 bis 7, Paragraph 34, Absatz 3 und 4, die Überschrift zu Paragraph 35,, Paragraph 35, Absatz eins,, Paragraphen 36 bis 40 samt Überschriften, Paragraph 41, Absatz 2, Ziffer eins,, Paragraph 44, Absatz 6 und 8, Paragraph 46, Absatz 2, Ziffer 3 und Absatz 3,, Paragraph 47, Absatz 3 und 4, Paragraph 48 a, Absatz 2,, Paragraph 50, Absatz eins und 2, Paragraph 50 b, Absatz 2,, Paragraph 50 c, Absatz eins,, Paragraph 52, Absatz 2, Ziffer 2 und 3 sowie Absatz 5,, Paragraph 54, Absatz 2 und Paragraph 61, Absatz 8 bis 10 in der Fassung des Bundesgesetzes Bundesgesetzblatt Teil eins, Nr. 83 aus 2013, treten mit 1. Jänner 2014 in Kraft. Gleichzeitig treten Paragraph 41, Absatz 2, Ziffer 4 a und die DSK-Vergütungsverordnung, Bundesgesetzblatt Teil 2, Nr. 145 aus 2006,, außer Kraft. Die für die Bestellung des Leiters der Datenschutzbehörde und seines Stellvertreters notwendigen organisatorischen und personellen Maßnahmen können bereits vor Inkrafttreten des Bundesgesetzes Bundesgesetzblatt Teil eins, Nr. 83 aus 2013, getroffen werden.
| (7)Absatz 7The table of contents, § 5 para. 4, § 10 para. 2, § 12 para. 4, § 13 paras. 1 and 2 subpara. 2, paras. 3, 4 and 6, § 16 para. 1, § 17 para. 1, § 18 para. 2, § 19 para. 1 subpara. 6 and para. 2, § 20 paras. 2 and 5 subpara. 2, § 21 para. 1 subpara. 3, § 22 paras. 2 to 4, § 22a paras. 1, 3 to 5, § 23 para. 2, § 26 paras. 2, 5 and 7, § 27 paras. 5 and 7, the caption of § 30, § 30 paras. 1, 2, 2a, 4 to 6a, the caption of § 31, § 31 paras. 1, 2, 5, 6 and 8, § 31a, § 32 paras. 5 to 7, § 34 para. 3 and 4, the caption of § 35, § 35 para. 1, § 36 to § 40 including the captions, § 41 para. 2 subpara. 1, § 44 paras. 6 and 8, § 46 para. 2 subpara. 3 and para. 3, § 47 paras. 3 and 4, § 48a para. 2, § 50 paras. 1 and 2, § 50b para. 2, § 50c para. 1, § 52 para. 2 subparas. 2 and 3 as well as para. 5, § 54 para. 2 and § 61 paras. 8 to 10 as amended by the federal law promulgated in Federal Law Gazette I No 83/2013 shall enter into force on 1 January 2014. Simultaneously, § 41 para. 2 subpara. 4a and the Data Protection Commission Remuneration Regulation, Federal Law Gazette II No 145/2006, shall become ineffective. All organisational and human resource measures needed to appoint the head of the Data Protection Authority and the deputy may be implemented before the federal law promulgated in Federal Law Gazette I No 83/2013 enters into force. The table of contents, Paragraph 5, para. 4, Paragraph 10, para. 2, Paragraph 12, para. 4, Paragraph 13, paras. 1 and 2 subpara. 2, paras. 3, 4 and 6, Paragraph 16, para. 1, Paragraph 17, para. 1, Paragraph 18, para. 2, Paragraph 19, para. 1 subpara. 6 and para. 2, Paragraph 20, paras. 2 and 5 subpara. 2, Paragraph 21, para. 1 subpara. 3, Paragraph 22, paras. 2 to 4, Paragraph 22 a, paras. 1, 3 to 5, Paragraph 23, para. 2, Paragraph 26, paras. 2, 5 and 7, Paragraph 27, paras. 5 and 7, the caption of Paragraph 30,, Paragraph 30, paras. 1, 2, 2a, 4 to 6a, the caption of Paragraph 31,, Paragraph 31, paras. 1, 2, 5, 6 and 8, Paragraph 31 a,, Paragraph 32, paras. 5 to 7, Paragraph 34, para. 3 and 4, the caption of Paragraph 35,, Paragraph 35, para. 1, Paragraph 36, to Paragraph 40, including the captions, Paragraph 41, para. 2 subpara. 1, Paragraph 44, paras. 6 and 8, Paragraph 46, para. 2 subpara. 3 and para. 3, Paragraph 47, paras. 3 and 4, Paragraph 48 a, para. 2, Paragraph 50, paras. 1 and 2, Paragraph 50 b, para. 2, Paragraph 50 c, para. 1, Paragraph 52, para. 2 subparas. 2 and 3 as well as para. 5, Paragraph 54, para. 2 and Paragraph 61, paras. 8 to 10 as amended by the federal law promulgated in Federal Law Gazette römisch eins No 83/2013 shall enter into force on 1 January 2014. Simultaneously, Paragraph 41, para. 2 subpara. 4a and the Data Protection Commission Remuneration Regulation, Federal Law Gazette römisch II No 145/2006, shall become ineffective. All organisational and human resource measures needed to appoint the head of the Data Protection Authority and the deputy may be implemented before the federal law promulgated in Federal Law Gazette römisch eins No 83/2013 enters into force.
|
(8)Absatz 8(Verfassungsbestimmung) § 2 Abs. 2 und § 35 Abs. 2 in der Fassung des Bundesgesetzes BGBl. I Nr. 83/2013 treten mit 1. Jänner 2014 in Kraft.(Verfassungsbestimmung) Paragraph 2, Absatz 2 und Paragraph 35, Absatz 2, in der Fassung des Bundesgesetzes Bundesgesetzblatt Teil eins, Nr. 83 aus 2013, treten mit 1. Jänner 2014 in Kraft.
| (8)Absatz 8(Constitutional provision) § 2 para. 2 and § 35 para. 2 as amended by the federal law promulgated in Federal Law Gazette I No 83/2013 shall enter into force on 1 January 2014.(Constitutional provision) Paragraph 2, para. 2 and Paragraph 35, para. 2 as amended by the federal law promulgated in Federal Law Gazette römisch eins No 83/2013 shall enter into force on 1 January 2014.
|
(9)Absatz 9Der Titel, das Inhaltsverzeichnis, das 1. Hauptstück, die Bezeichnung und Überschrift des 2. Hauptstücks, der 1., 2., 3. und 4. Abschnitt, die Überschrift und Bezeichnung des 5. Abschnittes, § 35 Abs. 1, die Bezeichnung und Überschrift des 3. Hauptstücks, der 1., 2. und 3. Abschnitt, die Überschrift und Bezeichnung des 4. Abschnittes, die §§ 58 und 59 samt Überschriften sowie das 4. und 5. Hauptstück in der Fassung des Bundesgesetzes BGBl. I Nr. 120/2017 treten mit 25. Mai 2018 in Kraft. Im Art. 2 treten der 1., 2., 3., 4., 5 und 6. Abschnitt, die Bezeichnung und die Überschrift des 7. Abschnittes, die Überschrift zu § 35, die §§ 36 bis 44 samt Überschriften, der 8., 9., 9a. und 10. Abschnitt, die Bezeichnung und die Überschrift des 11. Abschnittes, die §§ 53 bis 59 samt Überschriften, § 61 Abs. 1 bis 3 und 5 bis 10 sowie die §§ 62 bis 64 samt Überschriften in der Fassung vor der Novelle BGBl. I Nr. 120/2017 mit Ablauf des 24. Mai 2018 außer Kraft.Der Titel, das Inhaltsverzeichnis, das 1. Hauptstück, die Bezeichnung und Überschrift des 2. Hauptstücks, der 1., 2., 3. und 4. Abschnitt, die Überschrift und Bezeichnung des 5. Abschnittes, Paragraph 35, Absatz eins,, die Bezeichnung und Überschrift des 3. Hauptstücks, der 1., 2. und 3. Abschnitt, die Überschrift und Bezeichnung des 4. Abschnittes, die Paragraphen 58 und 59 samt Überschriften sowie das 4. und 5. Hauptstück in der Fassung des Bundesgesetzes Bundesgesetzblatt Teil eins, Nr. 120 aus 2017, treten mit 25. Mai 2018 in Kraft. Im Artikel 2, treten der 1., 2., 3., 4., 5 und 6. Abschnitt, die Bezeichnung und die Überschrift des 7. Abschnittes, die Überschrift zu Paragraph 35,, die Paragraphen 36 bis 44 samt Überschriften, der 8., 9., 9a. und 10. Abschnitt, die Bezeichnung und die Überschrift des 11. Abschnittes, die Paragraphen 53 bis 59 samt Überschriften, Paragraph 61, Absatz eins bis 3 und 5 bis 10 sowie die Paragraphen 62 bis 64 samt Überschriften in der Fassung vor der Novelle Bundesgesetzblatt Teil eins, Nr. 120 aus 2017, mit Ablauf des 24. Mai 2018 außer Kraft.
| (9)Absatz 9The title, the table of contents, Chapter 1, the name and caption of Chapter 2, Parts 1, 2, 3, and 4, the caption and name of Part 5, § 35 para. 1, the name and caption of Chapter 3, Parts 1, 2, and 3, the caption and name of Part 4, § 58 and § 59, including the captions, as well as Chapters 4 and 5 as amended by the federal law promulgated in Federal Law Gazette I No 120/2017 shall enter into force on 25 May 2018. In Article 2, Parts 1, 2, 3, 4, 5 and 6, the name and caption of Part 7, the caption of § 35, § 36 to § 44 including the captions, Parts 8, 9, 9a and 10, the name and the caption of Part 11, § 53 to § 59 including the captions, § 61 paras. 1 to 3 and 5 to 10 as well as § 62 to § 64 including the captions in the version before the amendment by Federal Law Gazette I No 120/2017 shall become ineffective as of the end of 24 May 2018.The title, the table of contents, Chapter 1, the name and caption of Chapter 2, Parts 1, 2, 3, and 4, the caption and name of Part 5, Paragraph 35, para. 1, the name and caption of Chapter 3, Parts 1, 2, and 3, the caption and name of Part 4, Paragraph 58, and Paragraph 59,, including the captions, as well as Chapters 4 and 5 as amended by the federal law promulgated in Federal Law Gazette römisch eins No 120/2017 shall enter into force on 25 May 2018. In Article 2, Parts 1, 2, 3, 4, 5 and 6, the name and caption of Part 7, the caption of Paragraph 35,, Paragraph 36, to Paragraph 44, including the captions, Parts 8, 9, 9a and 10, the name and the caption of Part 11, Paragraph 53, to Paragraph 59, including the captions, Paragraph 61, paras. 1 to 3 and 5 to 10 as well as Paragraph 62, to Paragraph 64, including the captions in the version before the amendment by Federal Law Gazette römisch eins No 120/2017 shall become ineffective as of the end of 24 May 2018.
|
(10)Absatz 10Die Standard- und Muster-Verordnung 2004 – StMV 2004, BGBl. II Nr. 312/2004, die Datenverarbeitungsregister-Verordnung 2012 – DVRV 2012, BGBl. II Nr. 257/2012, und die Datenschutzangemessenheits-Verordnung – DSAV, BGBl. II Nr. 521/1999, treten mit Ablauf des 24. Mai 2018 außer Kraft.Die Standard- und Muster-Verordnung 2004 – StMV 2004, Bundesgesetzblatt Teil 2, Nr. 312 aus 2004,, die Datenverarbeitungsregister-Verordnung 2012 – DVRV 2012, Bundesgesetzblatt Teil 2, Nr. 257 aus 2012,, und die Datenschutzangemessenheits-Verordnung – DSAV, Bundesgesetzblatt Teil 2, Nr. 521 aus 1999,, treten mit Ablauf des 24. Mai 2018 außer Kraft.
| (10)Absatz 10The Standards and Models Regulation 2004, Federal Law Gazette II No 312/2004, the Data Processing Register Regulation 2012, Federal Law Gazette II No 257/2012, and the Data Protection Adequacy Regulation, Federal Law Gazette II No 521/1999, shall become ineffective as of the end of 24 May 2018.The Standards and Models Regulation 2004, Federal Law Gazette römisch II No 312/2004, the Data Processing Register Regulation 2012, Federal Law Gazette römisch II No 257/2012, and the Data Protection Adequacy Regulation, Federal Law Gazette römisch II No 521/1999, shall become ineffective as of the end of 24 May 2018.
|
(11)Absatz 11(Verfassungsbestimmung) § 35 Abs. 2 in der Fassung des Bundesgesetzes BGBl. I Nr. 23/2018 tritt mit 25. Mai 2018 in Kraft.(Verfassungsbestimmung) Paragraph 35, Absatz 2, in der Fassung des Bundesgesetzes Bundesgesetzblatt Teil eins, Nr. 23 aus 2018, tritt mit 25. Mai 2018 in Kraft.
| (11)Absatz 11(Constitutional provision) § 35 para. 2 as amended by the federal law promulgated in Federal Law Gazette I No 23/2018 shall enter into force on 25 May 2018.(Constitutional provision) Paragraph 35, para. 2 as amended by the federal law promulgated in Federal Law Gazette römisch eins No 23/2018 shall enter into force on 25 May 2018.
|
(12)Absatz 12Das Inhaltsverzeichnis, § 4 Abs. 1, 5 bis 7, § 5 Abs. 3 erster Satz und Abs. 5, § 9 samt Überschrift, § 11 samt Überschrift, § 12 Abs. 3 Z 2 und Abs. 4 Z 3, § 14 Abs. 1, § 15 Abs. 1 Z 5, Abs. 3, Abs. 5 Z 1 und 2, Abs. 6, 7 und 8, § 16 Abs. 3 Z 2 und Abs. 5, § 19 Abs. 2 und 3, § 23 Abs. 1, § 26 Abs. 1, § 28, § 30 Abs. 3 und 5, § 32 Abs. 1 Z 1, § 36 Abs. 1 und 2 Z 7, § 44 Abs. 2, § 49 Abs. 1 und 3, § 56 Abs. 1, § 64 Abs. 2, § 68 sowie § 69 Abs. 5 und 7 in der Fassung des Bundesgesetzes BGBl. I Nr. 24/2018 treten mit 25. Mai 2018 in Kraft. Gleichzeitig tritt § 45 Abs. 7 in der Fassung vor der Novelle BGBl. I Nr. 24/2018 außer Kraft. § 70 Abs. 1 bis 8 in der Fassung des Bundesgesetzes BGBl. I Nr. 24/2018 tritt mit dem auf die Kundmachung folgenden Tag in Kraft. Soweit sich die im Bundesgesetz BGBl. I Nr. 24/2018 getroffenen Anordnungen auf durch das Datenschutz-Anpassungsgesetz 2018, BGBl. I Nr. 120/2017, geschaffene Vorschriften beziehen, gehen die Regelungen des Bundesgesetzes BGBl. I Nr. 24/2018 jenen des Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 120/2017, vor.Das Inhaltsverzeichnis, Paragraph 4, Absatz eins,, 5 bis 7, Paragraph 5, Absatz 3, erster Satz und Absatz 5,, Paragraph 9, samt Überschrift, Paragraph 11, samt Überschrift, Paragraph 12, Absatz 3, Ziffer 2 und Absatz 4, Ziffer 3,, Paragraph 14, Absatz eins,, Paragraph 15, Absatz eins, Ziffer 5,, Absatz 3,, Absatz 5, Ziffer eins und 2, Absatz 6,, 7 und 8, Paragraph 16, Absatz 3, Ziffer 2 und Absatz 5,, Paragraph 19, Absatz 2 und 3, Paragraph 23, Absatz eins,, Paragraph 26, Absatz eins,, Paragraph 28,, Paragraph 30, Absatz 3 und 5, Paragraph 32, Absatz eins, Ziffer eins,, Paragraph 36, Absatz eins und 2 Ziffer 7,, Paragraph 44, Absatz 2,, Paragraph 49, Absatz eins und 3, Paragraph 56, Absatz eins,, Paragraph 64, Absatz 2,, Paragraph 68, sowie Paragraph 69, Absatz 5 und 7 in der Fassung des Bundesgesetzes Bundesgesetzblatt Teil eins, Nr. 24 aus 2018, treten mit 25. Mai 2018 in Kraft. Gleichzeitig tritt Paragraph 45, Absatz 7, in der Fassung vor der Novelle Bundesgesetzblatt Teil eins, Nr. 24 aus 2018, außer Kraft. Paragraph 70, Absatz eins bis 8 in der Fassung des Bundesgesetzes Bundesgesetzblatt Teil eins, Nr. 24 aus 2018, tritt mit dem auf die Kundmachung folgenden Tag in Kraft. Soweit sich die im Bundesgesetz Bundesgesetzblatt Teil eins, Nr. 24 aus 2018, getroffenen Anordnungen auf durch das Datenschutz-Anpassungsgesetz 2018, Bundesgesetzblatt Teil eins, Nr. 120 aus 2017,, geschaffene Vorschriften beziehen, gehen die Regelungen des Bundesgesetzes Bundesgesetzblatt Teil eins, Nr. 24 aus 2018, jenen des Datenschutz-Anpassungsgesetzes 2018, Bundesgesetzblatt Teil eins, Nr. 120 aus 2017,, vor.
| (12)Absatz 12The table of contents, § 4 paras. 1, 5 to 7, § 5 para. 3 sentence 1 and para. 5, § 9 including the caption, § 11 including the caption, § 12 para. 3 subpara. 2 and para. 4 subpara. 3, § 14 para. 1, § 15 para. 1 subpara. 5, para. 3, para. 5 subparas. 1 and 2, paras. 6, 7 and 8, § 16 para. 3 subpara. 2 and para. 5, § 19 paras. 2 and 3, § 23 para. 1, § 26 para. 1, § 28, § 30 paras. 3 and 5, § 32 para. 1 subpara. 1, § 36 para. 1 and para. 2 subpara. 7, § 44 para. 2, § 49 paras. 1 and 3, § 56 para. 1, § 64 para. 2, § 68 as well as § 69 para. 5 and 7 as amended by the federal law promulgated in Federal Law Gazette I No 24/2018 shall enter into force on 25 May 2018. Simultaneously, § 45 para. 7 in the version before the amendment by Federal Law Gazette I No 24/2018 shall become ineffective. § 70 paras. 1 to 8 as amended by the federal law promulgated in Federal Law Gazette I No 24/2018 shall enter into force on the day following promulgation. To the extent that the instructions given in the federal law promulgated in Federal Law Gazette I No 24/2018 refer to provisions created by the Data Protection Amendment Act 2018, Federal Law Gazette I No 120/2017, the provisions of the federal law promulgated in Federal Law Gazette I No 24/2018 shall prevail over the provisions of the Data Protection Amendment Act 2018, Federal Law Gazette I No 120/2017.The table of contents, Paragraph 4, paras. 1, 5 to 7, Paragraph 5, para. 3 sentence 1 and para. 5, Paragraph 9, including the caption, Paragraph 11, including the caption, Paragraph 12, para. 3 subpara. 2 and para. 4 subpara. 3, Paragraph 14, para. 1, Paragraph 15, para. 1 subpara. 5, para. 3, para. 5 subparas. 1 and 2, paras. 6, 7 and 8, Paragraph 16, para. 3 subpara. 2 and para. 5, Paragraph 19, paras. 2 and 3, Paragraph 23, para. 1, Paragraph 26, para. 1, Paragraph 28,, Paragraph 30, paras. 3 and 5, Paragraph 32, para. 1 subpara. 1, Paragraph 36, para. 1 and para. 2 subpara. 7, Paragraph 44, para. 2, Paragraph 49, paras. 1 and 3, Paragraph 56, para. 1, Paragraph 64, para. 2, Paragraph 68, as well as Paragraph 69, para. 5 and 7 as amended by the federal law promulgated in Federal Law Gazette römisch eins No 24/2018 shall enter into force on 25 May 2018. Simultaneously, Paragraph 45, para. 7 in the version before the amendment by Federal Law Gazette römisch eins No 24/2018 shall become ineffective. Paragraph 70, paras. 1 to 8 as amended by the federal law promulgated in Federal Law Gazette römisch eins No 24/2018 shall enter into force on the day following promulgation. To the extent that the instructions given in the federal law promulgated in Federal Law Gazette römisch eins No 24/2018 refer to provisions created by the Data Protection Amendment Act 2018, Federal Law Gazette römisch eins No 120/2017, the provisions of the federal law promulgated in Federal Law Gazette römisch eins No 24/2018 shall prevail over the provisions of the Data Protection Amendment Act 2018, Federal Law Gazette römisch eins No 120/2017.
|
(13)Absatz 13§ 16 Abs. 5 und § 70 Abs. 6, 7, 9, 10 und 12 in der Fassung des Bundesgesetzes BGBl. I Nr. 14/2019 treten mit Ablauf des Tages der Kundmachung dieses Bundesgesetzes in Kraft; gleichzeitig treten die Einträge zu den §§ 60 und 61 im Inhaltsverzeichnis außer Kraft. Die Einträge zu den §§ 2 und 3 im Inhaltsverzeichnis und § 4 Abs. 7 treten mit 1. Jänner 2020 außer Kraft.Paragraph 16, Absatz 5 und Paragraph 70, Absatz 6,, 7, 9, 10 und 12 in der Fassung des Bundesgesetzes Bundesgesetzblatt Teil eins, Nr. 14 aus 2019, treten mit Ablauf des Tages der Kundmachung dieses Bundesgesetzes in Kraft; gleichzeitig treten die Einträge zu den Paragraphen 60 und 61 im Inhaltsverzeichnis außer Kraft. Die Einträge zu den Paragraphen 2 und 3 im Inhaltsverzeichnis und Paragraph 4, Absatz 7, treten mit 1. Jänner 2020 außer Kraft.
| (13)Absatz 13§ 16 para. 5 and § 70 paras. 6, 7, 9, 10 and 12 as amended by the federal law promulgated in Federal Law Gazette I No 14/2019 shall enter into force as of the end of the day of promulgation of this federal law; simultaneously, the entries made with regard to § 60 and § 61 in the table of contents shall become ineffective. The entries regarding § 2 and § 3 in the table of contents and § 4 para. 7 shall become ineffective on 1 January 2020.Paragraph 16, para. 5 and Paragraph 70, paras. 6, 7, 9, 10 and 12 as amended by the federal law promulgated in Federal Law Gazette römisch eins No 14/2019 shall enter into force as of the end of the day of promulgation of this federal law; simultaneously, the entries made with regard to Paragraph 60, and Paragraph 61, in the table of contents shall become ineffective. The entries regarding Paragraph 2, and Paragraph 3, in the table of contents and Paragraph 4, para. 7 shall become ineffective on 1 January 2020.
|
(14)Absatz 14(Verfassungsbestimmung) Die §§ 2 und 3 samt Überschriften treten mit Ablauf des 31. Dezember 2019 außer Kraft. § 70 Abs. 8 und 11 in der Fassung des Bundesgesetzes BGBl. I Nr. 14/2019 tritt mit Ablauf des Tages der Kundmachung dieses Bundesgesetzes in Kraft; gleichzeitig tritt § 61 samt Überschrift außer Kraft.(Verfassungsbestimmung) Die Paragraphen 2 und 3 samt Überschriften treten mit Ablauf des 31. Dezember 2019 außer Kraft. Paragraph 70, Absatz 8 und 11 in der Fassung des Bundesgesetzes Bundesgesetzblatt Teil eins, Nr. 14 aus 2019, tritt mit Ablauf des Tages der Kundmachung dieses Bundesgesetzes in Kraft; gleichzeitig tritt Paragraph 61, samt Überschrift außer Kraft.
| (14)Absatz 14(Constitutional provision) § 2 and § 3 including the captions shall become ineffective as of the end of 31 December 2019. § 70 paras. 8 and 11 as amended by the federal law promulgated in Federal Law Gazette I No 14/2019 shall enter into force as of the end of the day of promulgation of this federal law; simultaneously, § 61 including the caption shall become ineffective.(Constitutional provision) Paragraph 2, and Paragraph 3, including the captions shall become ineffective as of the end of 31 December 2019. Paragraph 70, paras. 8 and 11 as amended by the federal law promulgated in Federal Law Gazette römisch eins No 14/2019 shall enter into force as of the end of the day of promulgation of this federal law; simultaneously, Paragraph 61, including the caption shall become ineffective.
|
(15)Absatz 15§ 9 Abs. 1 und 1a in der Fassung des Bundesgesetzes BGBl. I Nr. 62/2024 tritt mit 1. Juli 2024 in Kraft. § 8 Abs. 2 Z 2 lit. b und Abs. 3 Z 1, § 14 Abs. 1, § 15 Abs. 1 Z 5, Abs. 3, Abs. 5 Z 1 und 2, Abs. 6, 7 und 8, § 16 Abs. 3 Z 2 und Abs. 5, § 19 Abs. 2 und 3, § 23 Abs. 1 erster und zweiter Satz, § 28, § 36 Abs. 2 Z 10 erster Satz und Z 15, § 37 Abs. 1 Z 2 und 3 und § 68 in der Fassung des Bundesgesetzes BGBl. I Nr. 62/2024 treten mit Ablauf des Tages der Kundmachung in Kraft.Paragraph 9, Absatz eins und 1a in der Fassung des Bundesgesetzes Bundesgesetzblatt Teil eins, Nr. 62 aus 2024, tritt mit 1. Juli 2024 in Kraft. Paragraph 8, Absatz 2, Ziffer 2, Litera b und Absatz 3, Ziffer eins,, Paragraph 14, Absatz eins,, Paragraph 15, Absatz eins, Ziffer 5,, Absatz 3,, Absatz 5, Ziffer eins und 2, Absatz 6,, 7 und 8, Paragraph 16, Absatz 3, Ziffer 2 und Absatz 5,, Paragraph 19, Absatz 2 und 3, Paragraph 23, Absatz eins, erster und zweiter Satz, Paragraph 28,, Paragraph 36, Absatz 2, Ziffer 10, erster Satz und Ziffer 15,, Paragraph 37, Absatz eins, Ziffer 2 und 3 und Paragraph 68, in der Fassung des Bundesgesetzes Bundesgesetzblatt Teil eins, Nr. 62 aus 2024, treten mit Ablauf des Tages der Kundmachung in Kraft.
| |
(15)Absatz 15In der Fassung des Bundesgesetzes BGBl. I Nr. 70/2024 treten in Kraft:In der Fassung des Bundesgesetzes Bundesgesetzblatt Teil eins, Nr. 70 aus 2024, treten in Kraft:
| |
Das Inhaltsverzeichnis, § 17 Abs. 6 und 8, § 24 Abs. 1 zweiter Satz, die Bezeichnung und die Überschrift des 6. Abschnittes des 2. Hauptstücks, die Überschrift zu § 35b, § 35b Abs. 2, 3 und 5, die Überschrift zu § 35c, § 35c Abs. 1 und 2, § 35d samt Überschrift, die Überschrift zu § 35e, § 35e Abs. 1 und 2, § 35f samt Überschrift, die Überschrift zu § 35g, § 35g Abs. 3, § 35h samt Überschrift, die Bezeichnung und die Überschrift des 7. Abschnittes des 2. Hauptstücks, § 35i und § 35j samt Überschriften, § 62 Abs. 6, § 68 Abs. 1 sowie § 69 Abs. 6 mit 15. Juli 2024;Das Inhaltsverzeichnis, Paragraph 17, Absatz 6 und 8, Paragraph 24, Absatz eins, zweiter Satz, die Bezeichnung und die Überschrift des 6. Abschnittes des 2. Hauptstücks, die Überschrift zu Paragraph 35 b,, Paragraph 35 b, Absatz 2,, 3 und 5, die Überschrift zu Paragraph 35 c,, Paragraph 35 c, Absatz eins und 2, Paragraph 35 d, samt Überschrift, die Überschrift zu Paragraph 35 e,, Paragraph 35 e, Absatz eins und 2, Paragraph 35 f, samt Überschrift, die Überschrift zu Paragraph 35 g,, Paragraph 35 g, Absatz 3,, Paragraph 35 h, samt Überschrift, die Bezeichnung und die Überschrift des 7. Abschnittes des 2. Hauptstücks, Paragraph 35 i und Paragraph 35 j, samt Überschriften, Paragraph 62, Absatz 6,, Paragraph 68, Absatz eins, sowie Paragraph 69, Absatz 6, mit 15. Juli 2024;
| |
(Verfassungsbestimmung) § 35 Abs. 2, § 35a samt Überschrift, § 35b Abs. 1 und 4, § 35c Abs. 3, § 35e Abs. 3, § 35g Abs. 1 und 2, § 68 Abs. 2 sowie § 69 Abs. 10 und 11 mit 15. Juli 2024.(Verfassungsbestimmung) Paragraph 35, Absatz 2,, Paragraph 35 a, samt Überschrift, Paragraph 35 b, Absatz eins und 4, Paragraph 35 c, Absatz 3,, Paragraph 35 e, Absatz 3,, Paragraph 35 g, Absatz eins und 2, Paragraph 68, Absatz 2, sowie Paragraph 69, Absatz 10 und 11 mit 15. Juli 2024.
| |
| |