Datum der Kundmachung

28.06.1989

Fundstelle

Landesgesetzblatt Nr. 13 aus 1989, 7. Stück

Bundesland

Vorarlberg

Kurztitel

Landes-Datenschutzverordnung

Text

13.

Verordnung
der Landesregierung über den Datenschutz

im Bereich der Landesverwaltung (Landes-Datenschutzverordnung)

Auf Grund des Paragraph 9, Absatz eins, des Datenschutzgesetzes, Bundesgesetzblatt Nr. 565 aus 1978,, in der Fassung Bundesgesetzblatt Nr. 370 aus 1986,, wird verordnet:

Paragraph eins,

Geltungsbereich

Diese Verordnung gilt für alle Auftraggeber und Dienstleister im Wirkungsbereich der Behörden, Anstalten und sonstigen Dienststellen des Landes.

Paragraph 2,

Auftraggeber und Dienstleister

Auftraggeber und Dienstleister im Sinne des Paragraph eins, sind, soweit sie Aufgaben ihres sachlichen und örtlichen Wirkungsbereiches wahrnehmen:

  1. Litera a
    das Amt der Landesregierung als Hilfsorgan
    1. Ziffer eins
      des Landeshauptmannes,
    2. Ziffer 2
      der Landesregierung,
    3. Ziffer 3
      von Sonderbehörden des Landes,
    4. Ziffer 4
      von Fonds im Vollziehungsbereich des Landes;
  2. Litera b
    die Bezirkshauptmannschaften und die Agrarbezirksbehörde in Bregenz;
  3. Litera c
    die Landesanstalten;
  4. Litera d
    die sonstigen dem Amt der Landesregierung nachgeordneten Dienststellen.

Paragraph 3,

Grundsätze für die Ermittlung

  1. Absatz einsEine ausdrückliche gesetzliche Ermächtigung für eine Ermittlung und Verarbeitung im Sinne des Paragraph 6, des Datenschutzgesetzes liegt nur dann vor, wenn in dieser die zu ermittelnden und verarbeitenden Datenarten, die Kreise der Betroffenen und die Empfänger der Daten enthalten sind.
  2. Absatz 2Die Ermittlung und Verarbeitung von Daten ist dann als wesentliche Voraussetzung für die Wahrnehmung der gesetzlich übertragenen Aufgaben zu erachten, wenn andere Möglichkeiten, die gesetzlich übertragenen Aufgaben wahrzunehmen, nicht vorliegen oder sie auf Grund des zu erwartenden Aufwandes dem Auftraggeber nicht zuzumuten sind.
  3. Absatz 3Werden Daten eines Betroffenen ermittelt, so ist dieser vor der Ermittlung darüber zu informieren, ob eine gesetzliche Verpflichtung zur Offenlegung seiner personenbezogenen Daten besteht oder ob die Ermittlung mit seiner freiwilligen Mitwirkung erfolgt.
  4. Absatz 4Wird zur Ermittlung von Daten Amtshilfe in Anspruch genommen, so ist das Amtshilfeersuchen so zu begründen, daß die ersuchte Stelle die Zulässigkeit der Übermittlung gemäß Paragraph 7, des Datenschutzgesetzes beurteilen kann.

Paragraph 4,

Grundsätze für die Verarbeitung und Benützung

  1. Absatz einsJedes Programm ist vor seinem Einsatz in der Verarbeitung personenbezogener Daten vom Landesamtsdirektor oder der von ihm zu bestimmenden Organisationseinheit freizugeben.
  2. Absatz 2Die Daten und Programme sind vor Entstellung, Zerstörung und Verlust sowie gegen unbefugte Verwendung und Weitergabe zu schützen.
  3. Absatz 3Daten dürfen nur auf Grund von schriftlichen Aufträgen verarbeitet werden.
  4. Absatz 4Der Auftraggeber hat, soweit ihm dies mit vertretbarem Arbeitsaufwand möglich ist, die Richtigkeit der Verarbeitungsergebnisse durch Stichproben oder sonstige geeignete Methoden zu überprüfen.
  5. Absatz 5Wird ein Fehler festgestellt, so hat der Auftraggeber die Fehlerbehebung umgehend einzuleiten und die Fehlerursache zu beheben. Der Dienstleister ist unverzüglich zu verständigen, wenn zu vermuten ist, daß die Fehlerursache in seinem Tätigkeitsbereich liegt.
  6. Absatz 6Die Benützung der Daten darf nur in der Art und in dem Umfang erfolgen, als dies für den Auftraggeber zur Wahrnehmung der ihm gesetzlich übertragenen Aufgaben eine wesentliche Voraussetzung bildet.
  7. Absatz 7Die Bediensteten des Auftraggebers dürfen nur jene Daten benützen, die zur Erfüllung der ihnen übertragenen Aufgaben erforderlich sind.

Paragraph 5,

Grundsätze für die Übermittlung

  1. Absatz einsEine ausdrückliche gesetzliche Ermächtigung für die Übermittlung von Daten liegt dann vor, wenn die zu übermittelnden Datenarten und der Zweck der Übermittlung ausdrücklich genannt, die Kreise der Betroffenen umschrieben und die Empfänger der Daten festgelegt sind.
  2. Absatz 2Übermittlungen von Daten durch den Auftraggeber bedürfen, sofern sie sich nicht auf eine ausdrückliche gesetzliche Ermächtigung stützen, eines schriftlichen Auftrages des zuständigen Organs. Der Auftrag kann als Einzel- oder Dauerauftrag erteilt werden. Im Auftrag ist anzugeben, auf Grund welcher Bestimmung des Paragraph 7, des Datenschutzgesetzes die Übermittlung zulässig ist.
  3. Absatz 3Die Zustimmung des Betroffenen zur Datenübermittlung gemäß Paragraph 7, Absatz eins, Ziffer 2, des Datenschutzgesetzes gilt dann als erteilt, wenn der Betroffene sein Einverständnis zur Datenübermittlung ausdrücklich mit seiner Unterschrift getrennt von etwaigen sonstigen Vereinbarungen gegeben hat. Eine Zustimmungserklärung liegt nur dann vor, wenn die zu übermittelnden Datenarten und die Übermittlungsempfänger ausdrücklich genannt sind und der Betroffene in allgemein verständlicher Form über den Übermittlungszweck informiert wird. Der Betroffene ist nachweislich über die Möglichkeit des schriftlichen Widerrufes seiner Zustimmung in Kenntnis zu setzen.
  4. Absatz 4Einem Ersuchen um Übermittlung von Daten gemäß Paragraph 7, Absatz 2, des Datenschutzgesetzes ist nur zu entsprechen, wenn es auf einen Einzelfall gerichtet ist. Hiebei ist festzustellen, durch welche gesetzlichen Bestimmungen dem Empfänger jene Aufgaben übertragen sind, zu deren Wahrnehmung die zu übermittelnden Daten eine wesentliche Voraussetzung bilden.
  5. Absatz 5Eine Übermittlung in den Fällen des Paragraph 7, Absatz 3, des Datenschutzgesetzes ist zulässig, wenn andere Möglichkeiten, das berechtigte Interesse des Dritten zu wahren, nicht vorliegen oder nicht zumutbar sind.
  6. Absatz 6Daten gelten dann als veröffentlicht, wenn sie einem generell bestimmten Personenkreis zugänglich gemacht wurden.

Paragraph 6,

Grundsätze für die Überlassung

  1. Absatz einsDie im Paragraph 2, genannten Auftraggeber dürfen unter den im Paragraph 13, des Datenschutzgesetzes genannten Voraussetzungen Dienstleister in Anspruch nehmen.
  2. Absatz 2Der Auftraggeber hat dem Dienstleister die beabsichtigte Heranziehung eines weiteren Dienstleisters zu untersagen, wenn dies öffentliche Interessen verlangen oder zu befürchten ist, daß schutzwürdige Interessen des Betroffenen verletzt werden.
  3. Absatz 3Wurde dem Auftraggeber von der Datenschutzkommission die Auffassung mitgeteilt, daß der Inanspruchnahme eines Dienstleisters schutzwürdige Interessen Betroffener oder öffentliche Interessen entgegenstehen, so hat der Auftraggeber entweder der Rechtsanschauung der Datenschutzkommission zu entsprechen oder die begründete Entscheidung über die abweichende Vorgangsweise zu dokumentieren.

Paragraph 7,

Auskunftsrecht

  1. Absatz einsEine Auskunft gemäß Paragraph 11, des Datenschutzgesetzes darf nur auf Grund eines unbedenklichen Identitätsnachweises und gegen Empfangsbestätigung ausgefolgt oder zu eigenen Handen zugestellt werden.
  2. Absatz 2Die Mitwirkung eines Betroffenen am Auskunftsverfahren liegt vor, wenn er
    1. Litera a
      diejenigen Datenverarbeitungen im Sinne des Paragraph 8, des Datenschutzgesetzes bezeichnet, bezüglich derer er Betroffener sein kann, oder
    2. Litera b
      insbesondere durch die Vorlage von Unterlagen oder die Beschreibung von Lebensumständen glaubhaft macht, daß Daten über seine Person irrtümlich oder mißbräuchlich in Datenbeständen des Auftraggebers enthalten sind.
  3. Absatz 3Wirkt der Betroffene am Auskunftsverfahren im Sinne des Paragraph 11, Absatz 2, des Datenschutzgesetzes nicht oder nicht ausreichend mit, so ist er vom Auftraggeber unverzüglich aufzufordern, dieser Verpflichtung nachzukommen.
  4. Absatz 4Von der Bearbeitung eines Auskunftsantrages ist abzusehen, wenn der Betroffene trotz Aufforderung nicht ausreichend mitgewirkt oder den gemäß Paragraph 8, Absatz 4, mitgeteilten Kostenersatz nicht entrichtet hat.

Paragraph 8,

Kostenersätze

  1. Absatz einsDer aktuelle Datenbestand im Sinne des Paragraph 11, Absatz 4, des Datenschutzgesetzes umfaßt jene Daten, die in der betreffenden Datenverarbeitung dem Direktzugriff unterliegen, oder - mangels eines solchen - den letztgültigen Daten bestand.
  2. Absatz 2Für die Erteilung einer entgeltlichen Auskunft im Sinne des§

römisch II Absatz 4, des Datenschutzgesetzes werden folgende pauschalierte Kostenersätze festgelegt:

  1. Litera a
    Für die Auskunft über den aktuellen Stand der Daten des Antragstellers, wenn dieser im laufenden Jahr bereits ein Auskunftsbegehren über dasselbe Aufgabengebiet gestellt hat, 100
    S je Datenverarbeitung;
  2. Litera b
    für jede darüber hinausgehende Auskunft 500 S je Datenverarbeitung; in jenen Fällen, in denen die Auskunftserteilung einen besonders hohen technischen oder organisatorischen Aufwand erfordert, 1000 S je Datenverarbeitung.
  1. Absatz 3Die im Absatz 2, angeführten Kostenersätze sind nicht zu entrichten, wenn der Aufwand für die Auskunftserteilung gering ist.
  2. Absatz 4Dem Antragsteller ist der zu entrichtende Kostenersatz unverzüglich mitzuteilen.
  3. Absatz 5Die im Paragraph 11, Absatz eins, des Datenschutzgesetzes enthaltene Frist beginnt für die Erteilung von entgeltlichen Auskünften mit dem Einlangen des Kostenersatzes zu laufen.

Paragraph 9,

Datensicherheitsmaßnahmen

  1. Absatz einsDie im Paragraph 2, genannten Auftraggeber oder Dienstleister haben für die Organisationseinheiten ihres örtlichen und sachlichen Wirkungsbereiches, die Daten verwenden, Datensicherheitsmaßnahmen schriftlich anzuordnen, den technischen und organisatorischen Änderungen umgehend anzupassen und zu dokumentieren.
  2. Absatz 2Der Auftraggeber oder Dienstleister hat für die zu verwendenden Datenarten dem Grad der Schutzwürdigkeit entsprechende Sicherheitsmaßnahmen zu bestimmen.
  3. Absatz 3Der Auftraggeber oder Dienstleister hat jene Organisationseinheit zu bestimmen, die Zugriffsberechtigungen vergibt, ändert, kontrolliert und entzieht. Hiebei ist eine Identifikation jedes Zugriffsberechtigten vorzusehen. Der Zugriff auf das Betriebssystem einschließlich System- und Netzwerksoftware ist darüber hinaus durch geeignete Maßnahmen zu sichern.
  4. Absatz 4Die Vernichtung unbrauchbarer oder nicht mehr benötigter Ausdrucke und sonstiger Datenträger ist vom Auftraggeber oder Dienstleister durch entsprechende personelle oder vertragliche Maßnahmen sicherzustellen.
  5. Absatz 5Jeder Bedienstete, dem in Ausübung seines Dienstes Daten anvertraut oder zugänglich sind, ist über seine Pflichten nach dem Datenschutzgesetz und den innerorganisatorischen Datenschutzvorschriften, insbesondere über die von ihm einzuhaltenden Datensicherheitsvorschriften, schriftlich zu belehren und von Änderungen umgehend in Kenntnis zu setzen.

Paragraph 10,

Richtigstellung und Löschung

  1. Absatz einsEine Richtigstellung oder Löschung von Daten hat durch solche Maßnahmen zu erfolgen, die bei einer Abfrage die Unrichtigkeit der verarbeitenden Daten angeben und auf die richtigen Daten verweisen oder den Umstand der Löschung anzeigen.
  2. Absatz 2Die für Zwecke der Dokumentation oder der internen Kontrolle aufzubewahrenden Daten dürfen nur durch einen entsprechenden Vermerk richtiggestellt und vor Ablauf der Aufbewahrungsfrist nur mit einem Löschungsvermerk versehen werden.
  3. Absatz 3Durch geeignete organisatorische Maßnahmen ist sicherzustellen, daß im Falle eines Rückgriffes auf die zu Sicherungszwecken aufbewahrten Datenbestände allfällige Richtigstellungen und Löschungen wirksam bleiben.
  4. Absatz 4Rechtsverbindlich festgestellte Daten dürfen nur auf Grund einer Entscheidung des für die Feststellung zuständigen Organs richtiggestellt oder gelöscht werden.

Paragraph 11,

Angabe der Registernummer

  1. Absatz einsDer Auftraggeber hat die ihm zugeteilte Registernummer bei Übermittlungen von Daten und Mitteilungen an den Betroffenen auf jedem Schriftstück, das automationsunterstützt verarbeitete Daten enthält, anzuführen.
  2. Absatz 2Bei Übermittlungen und Mitteilungen an den Betroffenen mittels maschinell lesbarer Datenträger ist die Registernummer auf den Begleitpapieren oder auf den Datenträgern anzugeben.

Paragraph 12,

Außerkrafttreten

Mit dem Inkrafttreten dieser Verordnung tritt die Verordnung über die Festsetzung eines Kostenersatzes für die Erteilung von Auskünften nach dem Datenschutzgesetz, Landesgesetzblatt Nr. 11 aus 1980,, außer Kraft.