02.02.1990
Landesgesetzblatt Nr. 4 aus 1990, Stück 2
Steiermark
Verordnung der Steiermärkischen Landesregierung vom 18. Dezember 1989 betreffend den Datenschutz im Bereich der Landesverwaltung sowie die Festsetzung des Kostenersatzes für die Erteilung von Auskünften nach dem Datenschutzgesetz (Steiermärkische Landes-Datenschutzverordnung).
Verordnung der Steiermärkischen Landesregierung vom 18. Dezember 1989 betreffend den Datenschutz im Bereich der Landesverwaltung sowie die Festsetzung des Kostenersatzes für die Erteilung von Auskünften nach dem Datenschutzgesetz (Steiermärkische Landes-Datenschutzverordnung).
Auf Grund des Paragraph 5, Absatz eins, des Paragraph 9, Absatz eins und des Paragraph 11, Absatz 3, des Datenschutzgesetzes, Bundesgesetzblatt Nr. 565 aus 1978,, in der Fassung Bundesgesetzblatt Nr. 370 aus 1986,, wird nach Anhörung der Datenschutzkommission und des Datenschutzrates verordnet:
1. Abschnitt
Allgemeines
Paragraph eins,
Geltungsbereich
Diese Verordnung gilt für folgende im öffentlichen Bereich (2. Abschnitt des DSG) tätige Auftraggeber:
Paragraph 2,
Zweck
Zweck dieser Verordnung ist es, für die im Paragraph eins, genannten Auftraggeber je nach Art der im automationsunterstützen Datenverkehr verarbeiteten Daten die Grundsätze für deren Ermittlung, Verarbeitung, Benützung, Übermittlung und Überlassung bei möglichstem Schutz dieser Daten festzulegen sowie Kostenersätze für die Erteilung von Auskünften nach dem Datenschutzgesetz festzusetzen.
Paragraph 3,
Begriffsbestimmungen
Im Sinne dieser Verordnung bedeuten:
Paragraph 4,
Datengeheimnis und Datensicherheit
(1) Allen Bediensteten ist es, unbeschadet sonstiger Verschwiegenheitspflichten, untersagt,
(2) Alle einzelnen Personen nach dieser Verordnung zukommenden Befugnisse und Aufgaben sind im Sinne des Datenschutzgesetzes und der sonstigen datenschutzrechtlichen Vorschriften auszuüben bzw. wahrzunehmen.
(3) Zur Gewährleistung der ordnungsgemäßen und sicheren Ermittlung, Verarbeitung, Benützung, Übermittlung und Überlassung von Daten sind nach Maßgabe der folgenden Bestimmungen bei den auftraggebenden und dienstleistenden Stellen geeignete organisatorische, personelle, technische und bauliche Maßnahmen zu setzen.
(4) Maßnahmen nach Absatz 3, haben unter Bedachtnahme auf die technischen Möglichkeiten in einem angemessenen Verhältnis zum Aufwand zu stehen und je nach Art der Daten und nach Umfang und Zweck ihrer Verwendung bestehende Risken in allen schutzwürdigen Belangen möglichst ausgewogen zu senken.
(5) Es ist jedenfalls vorzusehen, daß einer Person der Zugang zu Daten, die Übermittlung und Verarbeitung von Daten nur insoweit gestattet sind, als dies zur Wahrnehmung jener Funktionen erforderlich ist, die ihr durch die in Betracht kommenden Vorschriften (z. B. Geschäftsverteilung der Landesregierung oder Geschäftseinteilung des Amtes der Landesregierung) zugewiesen sind. Der Zugriff auf das Betriebssystem einschließlich der System- und Netzwerksoftware ist durch geeignete Maßnahmen zu sichern.
(6) Generelle und grundlegende Regelungen, die den in Absatz 3 bis 5 genannten Zielen dienen und von den auftraggebenden oder dienstleistenden Stellen zu erlassen sind, bedürfen der Genehmigung des Landeshauptmannes als Vorstand des Amtes der Landesregierung.
(7) Von allen auftraggebenden und dienstleistenden Stellen ist eine Sammlung der jeweils gültigen einschlägigen Dienstanweisungen und Verfügungen anzulegen und so zur Verfügung zu halten, daß sich die Bediensteten über die für sie geltenden Regelungen jederzeit informieren können. Für auftraggebende Stellen, die Daten selbst verarbeiten, sowie für dienstleistende Stellen sind dieser Sammlung überdies technische Erläuterungen („Betriebs-Handbuch“) anzuschließen.
(8) Die Bediensteten sind über ihre nach dem Datenschutzgesetz, nach dieser Verordnung und den jeweiligen Dienstanweisungen einzuhaltenden Verpflichtungen zu belehren und über jede allfällige Änderung in Kenntnis zu setzen. Die Pflicht zur Geheimhaltung von Daten besteht nach Beendigung ihrer Tätigkeit oder ihres Dienstverhältnisses weiter.
(9) Die Überprüfung der Beachtung der in den Dienstanweisungen (Absatz 6 und 7) enthaltenen Bestimmungen hat durch die Leiter der auftraggebenden bzw. dienstleistenden Stellen zu erfolgen. Der Landeshauptmann kann die Einhaltung dieser sowie der sonstigen Vorschriften auf dem Gebiet des Datenschutzes durch den nach der Geschäftseinteilung des Amtes Beauftragten überprüfen lassen.
(10) Verstöße gegen die Pflichten des Absatz eins und gegen die Maßnahmen nach Absatz 3, sind entsprechend den einschlägigen innerdienstlichen Vorschriften zu melden.
Paragraph 5,
Verfügung über Daten
(1) Der Landesamtsdirektor hat das Verfügungsrecht über alle Daten, insoweit dies für Zwecke der Leitung des inneren Dienstes erforderlich ist.
(2) Das Verfügungsrecht auftraggebender Stellen über Daten ist durch den Landeshauptmann mit Zustimmung der Landesregierung unter Berücksichtigung der Organisationsbestimmungen und unter Bedachtnahme auf den Grad der Sensibilität und der Schutzwürdigkeit der verarbeiteten Daten sowie unter Bedachtnahme auf die Zweckmäßigkeit und Wirtschaftlichkeit der Verwaltung näher zu regeln.
(3) Wird durch eine solche Regelung mehreren auftraggebenden Stellen ein Verfügungsrecht eingeräumt, so ist sicherzustellen, daß eine gegenseitige Beeinträchtigung der beteiligten Stellen bei der Besorgung der übertragenen Aufgaben nicht eintritt.
(4) Einem Dienstleister ist eine Verfügung über Daten nicht gestattet. Eine dienstleistende Stelle darf über Daten nur insoweit verfügen, als dies zur Erteilung von Aufträgen an Dienstleister erforderlich ist.
(5) Das Verfügungsrecht der einzelnen, in der auftraggebenden Stelle tätigen Bediensteten hat der Leiter der betreffenden Organisationseinheit, der Bezirkshauptmann bzw. der Vorstand der Agrarbezirksbehörde nach den Erfordernissen des Datengeheimnisses unter Bedachtnahme auf den Grad der Sensibilität und die Schutzwürdigkeit der verarbeiteten Daten sowie unter Bedachtnahme auf die Zweckmäßigkeit der Verwaltung durch Dienstanweisungen festzulegen.
Paragraph 6,
Vertragliche Inanspruchnahme von Dienstleistungen im Datenverkehr
(1) Der Abschluß von Verträgen zur Erbringung von Dienstleistungen durch Dritte bedarf der Genehmigung durch die Landesregierung.
(2) In die mit solchen Dienstleistern zu schließenden Verträge sind mindestens die nach dem Datenschutzgesetz sowie nach dieser Verordnung von den Stellen der Landesverwaltung einzuhaltenden Verpflichtungen aufzunehmen. Weiters ist zu vereinbaren, daß dann, wenn die Datenschutzkommission gegen den Vertragsinhalt Einwendungen erhebt, der Vertrag im Sinne dieser Einwendungen abzuändern ist.
(3) Dienstleister dürfen für auftraggebende Stellen Daten nur in deren Auftrag übermitteln. In diesem Auftrag sind die zu übermittelnden Daten (Datenbestände, Verarbeitungsergebnisse) und der Empfänger der Daten genau zu bezeichnen.
Paragraph 7,
Datenverarbeitungsprojekte
(1) Datenverarbeitungsprojekte {beinhaltend die Ermittlung, Verarbeitung, Benützung, Überlassung oder Übermittlung von Daten) sind unter genauer Feststellung des Vorhabens, insbesondere hinsichtlich des Zwecks der Verarbeitung und der erfaßten Datenarten, des Inhaltes und Umfanges der Daten sowie des Verfahrens in den wesentlichen Schritten von der auftraggebenden Stelle dem Landeshauptmann vorzulegen. In der Vorlage sind alle für die Beurteilung der Zulässigkeit des Datenverkehrs notwendigen Angaben anzuführen. Soll ein Datenverarbeitungsprojekt in der Verfügung von zwei oder mehreren auftraggebenden Stellen stehen, so sind in der Vorlage die jeweiligen Aufgabenbereiche und Verfügungsrechte eindeutig abzugrenzen.
(2) Über die Genehmigung eines Datenverarbeitungsprojektes entscheidet der Landeshauptmann mit Zustimmung der Landesregierung. Die Genehmigung des Projektes ist der ansuchenden auftraggebenden Stelle schriftlich zu erteilen. Erfolgt die Datenverarbeitung nicht durch die auftraggebende Stelle selbst, sondern durch eine dienstleistende Stelle oder einen Dienstleister, so ist auch dieser von der Genehmigung zu informieren.
(3) Sollen Datenverarbeitungsprojekte geändert werden oder soll eine bestehende Datenverarbeitung oder ein genehmigtes Datenverarbeitungsprojekt nicht mehr weitergeführt werden, so sind die Absatz eins und 2 sinngemäß anzuwenden.
Paragraph 8,
Verarbeitungsverzeichnis
(1) Im Amt der Landesregierung ist ein Verarbeitungsverzeichnis zu führen, in das jede Verarbeitung (Paragraph 8, Datenschutzgesetz) unter Angabe ihres Zwecks und einer Kurzumschreibung ihres Inhalts aufzunehmen ist. Anstelle dieses Verzeichnisses können Durchschläge der Meldungen von Datenverarbeitungen an das Datenverarbeitungsregister treten.
(2) Das Verarbeitungsverzeichnis ist beim jeweiligen Auftraggeber, insbesondere zur Ermittlung von Kostenersätzen über die Erteilung von Auskünften nach dem DSG in geeigneter Weise so aufzulegen, daß Betroffene darin Einsicht nehmen können.
2. Abschnitt
Datenverkehr
§9
Aufgaben der auftraggebenden Stellen
(1) Daten dürfen nur im Rahmen der gemäß Paragraph 7, erteilten Genehmigung verarbeitet werden. Die Benützung der Daten darf nur in der Art und in dem Umfang erfolgen, als dies für die auftraggebende Stelle zur Wahrnehmung der ihr gesetzlich übertragenen Aufgaben eine wesentliche Voraussetzung bildet.
(2) Einem Ersuchen um Übermittlung von Daten, die an eine auftraggebende Stelle gerichtet werden, darf nur dann entsprochen werden, wenn es eine eindeutige Rechtsgrundlage für eine Übermittlung an die ersuchende Stelle gibt. Im Ersuchen müssen die Rechtsgrundlage sowie alle für die Beurteilung vom Standpunkt des Datenschutzgesetzes erforderlichen Angaben enthalten sein. Dies gilt auch für Ersuchen im Rahmen der Amtshilfe.
(3) In Ersuchen um Übermittlung von Daten, die von einer auftraggebenden Stelle gestellt werden, sind die Rechtsgrundlagen sowie alle für die Beurteilung vom Standpunkt des Datenschutzgesetzes erforderlichen Angaben anzuführen. Dies gilt auch für Ersuchen im Rahmen der Amtshilfe.
(4) Für jede auftraggebende Stelle ist in Form einer Aufgabenverteilung festzulegen, wer in welchem Umfang
wahrzunehmen hat. Entsprechende Vertretungsregelungen für den Verhinderungsfall von Bediensteten sind vorzusehen.
(5) Werden Daten über Einkommens- und Vermögensverhältnisse, den Gesundheitszustand oder den Leumund von Betroffenen ermittelt, verarbeitet oder übermittelt oder einer dienstleistenden Stelle oder einem Dienstleister überlassen, sind die Einsichts- und Verfügungsrechte gemäß Absatz 4, in sachdienlicher Weise nach dem Grundsatz der größtmöglichen Beschränkung zu regeln.
(6) Werden Daten nicht durch die auftraggebende Stelle selbst, sondern durch eine dienstleistende Stelle oder durch einen Dienstleister verarbeitet, hat die auftraggebende Stelle einen ausdrücklichen Auftrag für die Verarbeitung zu erteilen. In diesem Auftrag sind insbesondere die auftraggebende Stelle zu bezeichnen und die angeforderten Auswertungen näher festzulegen. Die Übergabe bzw. Übernahme von Daten ist zu bestätigen. Die Berechtigung zur Erteilung von Datenverarbeitungsaufträgen ist durch den jeweiligen Leiter der auftraggebenden Stelle zu vergeben.
(7) Aufträge gemäß Absatz 6 Punkt k, ö, n, n, e, n, im Fall periodischer Datenverarbeitungsverfahren durch Durchführungspläne ersetzt werden, die von der auftraggebenden Stelle und von der dienstleistenden Stelle (vom Dienstleister) einvernehmlich festgelegt werden.
Paragraph 10,
Verarbeitung durch auftraggebende Stellen
(1) Sofern von einer auftraggebenden Stelle Daten selbst verarbeitet werden, ist über die nach Paragraph 9, Absatz 4 und 5 zu treffende Regelung hinaus festzulegen,
(2) Entsprechende Vertretungsregelungen für den Verhinderungsfall von Bediensteten sind vorzunehmen. Der Zugriff auf Daten und Programme ausschließlich durch hiezu berechtigte Bedienstete ist durch Zuteilung geheimzuhaltender Losungsworte zu sichern, die periodisch zu verändern sind.
(3) Datenträger sind gegen unbefugte Benützung und Einsichtnahme und gegen Zerstörung gesichert aufzubewahren. Die Aufbewahrungsfrist von Datenträgern richtet sich - sofern nicht zwingende technische Gründe entgegenstehen oder gespeicherte Daten in Form von Ausdrucken vorliegen - nach den sonst geltenden innerdienstlichen Vorschriften über die Aufbewahrung von Akten und Belegen.
(4) Nach Erfordernis ist überdies unter Bedachtnahme auf die örtlichen Gegebenheiten, auf bestehenden Parteienverkehr und ähnliches der unbefugte Zutritt zu Räumen, in denen sich Anlagen zur Datenverarbeitung befinden, zu untersagen oder durch Sperreinrichtungen zu verhindern.
Paragraph 11,
Verarbeitung für mehrere auftraggebende Stellen
Sind an einem Datenverarbeitungsprojekt oder Datenverarbeitungsverfahren mehrere auftraggebende Stellen beteiligt, so haben diese - unbeschadet des Erfordernisses der Genehmigung des Projekts im Sinne des Paragraph 7, Absatz 2, - im gegenseitigen Einvernehmen eine eindeutige Abgrenzung der Aufgaben nach den Paragraphen 9 und 10 festzulegen.
Paragraph 12,
Aufgaben der dienstleistenden Stellen
(1) Die dienstleistenden Stellen dürfen Datenverarbeitungen nur auf Grund von Datenverarbeitungsaufträgen (Paragraph 9, Absatz 6 und 7) durchführen. Sie haben die Datenverarbeitungsaufträge auf ihre Übereinstimmung mit dem genehmigten Datenverarbeitungsprojekt (Paragraph 7,) zu prüfen. Bestehen Zweifel über die Deckung eines Datenverarbeitungsauftrages im genehmigten Datenverarbeitungsprojekt, so hat die dienstleistende Stelle von der auftraggebenden Stelle den Nachweis der Genehmigung zu verlangen.
(2) Die dienstleistenden Stellen haben Datenverarbeitungsaufträge auftragsgemäß, sicher und zu wirtschaftlichen Bedingungen unter Beachtung der einschlägigen Dienstanweisungen und Verfügungen durchzuführen oder für eine solche Durchführung Sorge zu tragen.
(3) Die Bestimmungen des Paragraph 10, sind auf dienstleistende Stellen sinngemäß anzuwenden.
(4) Ist eine Datenfernverarbeitung eingerichtet, so ist sicherzustellen, daß eine Verwendung von Daten nur durch Stellen, denen ein Verfügungsrecht zukommt, in dem dieser Stelle zustehenden Umfang möglich ist. Zu diesem Zweck sind im Einvernehmen mit der auftraggebenden Stelle besondere Benützerkennzeichen festzulegen.
3. Abschnitt
Auskunftsverfahren
Paragraph 13,
Antrag auf Auskunftserteilung, Mitwirkungspflicht des Betroffenen
(1) Auskünfte gemäß Paragraph 11, DSG dürfen nur auf Grund schriftlicher Anträge eines Betroffenen erteilt werden. Der Antragsteller hat durch Vorlage von Urkunden, aus denen Familien- und Vorname, Geburtsdatum und Wohnort hervorgehen, den Nachweis seiner Identität mit dem Betroffenen zu erbringen. Wird ein Auskunftsbegehren für eine juristische Person oder eine Personengemeinschaft gestellt, so hat der Antragsteller überdies nachzuweisen, daß er zur Vertretung befugt ist.
(2) Der Antragsteller hat am Auskunftsverfahren mitzuwirken. Er hat nach dem Verarbeitungsverzeichnis (Paragraph 8,) diejenigen Datenverarbeitungen zu bezeichnen, bezüglich derer er Betroffener sein kann, allenfalls hat er glaubhaft zu machen, daß er irrtümlich oder mißbräuchlich in Datenbeständen des Auftraggebers enthalten ist. Er hat zugleich bekanntzugeben, ob er Auskunft aus aktuellen (Paragraph 14, Absatz 2, Ziffer eins,) oder früheren (Paragraph 14, Absatz 2, Ziffer 2,) Datenbeständen verlangt.
(3) Dem Antragsteller sind die für die Erfüllung seiner Mitwirkungspflicht erforderlichen Anleitungen unaufgefordert und unverzüglich zu geben.
(4) Hat der Antragsteller seiner Pflicht zur Mitwirkung entsprochen und ergibt sich, daß für die Auskunftserteilung ein Kostenersatz vorzuschreiben ist, so ist dem Antragsteller die Höhe des Kostenersatzes so rasch als möglich mit der Aufforderung zur Einzahlung bekanntzugeben.
(5) Die Entrichtung eines vorgeschriebenen Kostenersatzes ist durch Vorlage des Einzahlungsbeleges nachzuweisen. Bei Auskunftsbegehren, deren Erfüllung einer Kostenersatzpflicht unterliegt, beginnt die im Paragraph 11, Absatz eins, DSG festgesetzte Frist für die Auskunftserteilung mit dem Nachweis der Entrichtung des Kostenersatzes zu laufen.
(6) Die Bearbeitung eines Auskunftsantrages hat zu unterbleiben, wenn der Antragsteller
Der Antragsteller ist auf diese Regelung jeweils ausdrücklich hinzuweisen. Die Erledigung des Auskunftsbegehrens ist dem Betroffenen zu eigenen Handen zuzustellen. Eine direkte Ausfolgung an den Betroffenen ist nur gegen Nachweis der Identität und Übernahmebestätigung zulässig.
Paragraph 14,
Pflicht zum Kostenersatz
(1) Einem Auskunftswerber ist kein Kostenersatz vorzuschreiben, wenn er Auskünfte aus dem aktuellen Datenbestand begehrt und im laufenden Jahr an den Auftraggeber noch kein Auskunftsersuchen betreffend dasselbe Aufgabengebiet gestellt hat.
(2) Für alle anderen Auskunftsbegehren ist, sofern nicht Absatz 4, zur Anwendung kommt, ein Kostenersatz vorzuschreiben.
(3) Die Höhe des Kostenersatzes beträgt:
(4) Der Kostenersatz kann ermäßigt oder nachgesehen werden, wenn
Paragraph 15,
Rückerstattung des Kostenersatzes
(1) Ein Kostenersatz ist zurückzuerstatten, wenn sich im Zuge der Erledigung eines Auskunftsbegehrens ergeben hat, daß
(2) Es ist der Kostenersatz pro Verarbeitung, in der eine Rechtswidrigkeit oder Unrichtigkeit festgestellt worden ist, zurückzuerstatten.
(3) Ergibt sich, daß keine Daten des Betroffenen vorhanden sind bzw. waren, so besteht kein Anspruch auf Rückerstattung geleisteter Kostenersätze.
4. Abschnitt
Schlußbestimmungen
§16
Inkrafttreten
(1) Diese Verordnung tritt mit dem auf ihre Kundmachung folgenden Tag in Kraft.
(2) Gleichzeitig tritt die Verordnung der Steiermärkischen Landesregierung vom 17. Dezember 1979 betreffend den Kostenersatz über die Auskunftserteilung nach dem Datenschutzgesetz, Landesgesetzblatt Nr. 97 aus 1979,, außer Kraft.
Für die Steiermärkische Landesregierung:
Der Landeshauptmann:
Krainer