Datum der Kundmachung

07.03.1991

Fundstelle

Landesgesetzblatt Nr. 12 aus 1991, 7. Stück

Bundesland

Vorarlberg

Kurztitel

Gemeinde-Datenschutzverordnung

Text

12.

Verordnung
der Landesregierung über den Datenschutz
im Bereich der Gemeindeverwaltung

(Gemeinde-Datenschutzverordnung)

Auf Grund der Paragraphen 5, Absatz eins,, 9 Absatz eins und 11 Absatz 4, des Datenschutzgesetzes, Bundesgesetzblatt Nr. 565 aus 1978,, in der Fassung Bundesgesetzblatt Nr. 370 aus 1986,, wird verordnet:

Paragraph eins,

Geltungsbereich

Diese Verordnung gilt für Gemeinden und Gemeindeverbände, soweit sie als Auftraggeber in ihrem Wirkungsbereich tätig werden.

Paragraph 2,

Grundsätze für die Ermittlung

  1. Absatz einsEine ausdrückliche gesetzliche Ermächtigung für eine Ermittlung und Verarbeitung im Sinne des Paragraph 6, des Datenschutzgesetzes liegt nur dann vor, wenn in dieser die zu ermittelnden und verarbeitenden Datenarten, die Kreise der Betroffenen und die Empfänger der Daten enthalten sind.
  2. Absatz 2Die Ermittlung und Verarbeitung von Daten ist dann als wesentliche Voraussetzung für die Wahrnehmung der gesetzlich übertragenen Aufgaben zu erachten, wenn andere Möglichkeiten, die gesetzlich übertragenen Aufgaben wahrzunehmen, nicht vorliegen oder sie aufgrund des zu erwartenden Aufwandes dem Auftraggeber nicht zuzumuten sind.
  3. Absatz 3Werden Daten eines Betroffenen ermittelt, so ist dieser vor der Ermittlung darüber zu informieren, ob eine gesetzliche Verpflichtung zur Offenlegung seiner personenbezogenen Daten besteht oder ob die Ermittlung mit seiner freiwilligen Mitwirkung erfolgt.
  4. Absatz 4Wird zur Ermittlung von Daten Amtshilfe in Anspruch genommen, so ist das Amtshilfeersuchen so zu begründen, daß die ersucht Stelle die Zulässigkeit der Übermittlung gemäß Paragraph 7, des Datenschutzgesetzes beurteilen kann.

Paragraph 3,

Grundsätze für die Verarbeitung und Benützung

  1. Absatz einsJedes Programm ist vor seinem Einsatz in der Verarbeitung personenbezogener Daten im Bereich der Gemeinde vom Bürgermeister, im Bereich von Gemeindeverbänden vom Verbandsobmann oder der von diesen zu bestimmenden Organisationseinheit freizugeben.
  2. Absatz 2Die Daten und Programme sind vor Entstellung, Zerstörung und Verlust sowie gegen unbefugte Verwendung und Weitergabe zu schützen.
  3. Absatz 3Daten dürfen nur aufgrund von schriftlichen Aufträgen verarbeitet werden.
  4. Absatz 4Der Auftraggeber hat, soweit ihm dies mit vertretbarem Arbeitsaufwand möglich ist, die Richtigkeit der Verarbeitungsergebnisse durch Stichproben oder sonstige geeignete Methoden zu überprüfen.
  5. Absatz 5Wird ein Fehler festgestellt, so hat der Auftraggeber die Fehlerbehebung umgehend einzuleiten und die Fehlerursache zu beheben. Der Dienstleister ist unverzüglich zu verständigen, wenn zu vermuten ist, daß die Fehlerursache in seinem Tätigkeitsbereich liegt.
  6. Absatz 6Die Benützung der Daten darf nur in der Art und in dem Umfang erfolgen, als dies für den Auftraggeber zur Wahrnehmung der ihm gesetzlich übertragenen Aufgaben eine wesentliche Voraussetzung bildet.
  7. Absatz 7Die Bediensteten des Auftraggebers dürfen nur jene Daten benützen, die zur Erfüllung der ihnen übertragenen Aufgaben erforderlich ist.

Paragraph 4,

Grundsätze für die Übermittlung

  1. Absatz einsEine ausdrückliche gesetzliche Ermächtigung für die Übermittlung von Daten liegt dann vor, wenn die zu übermittelnden Datenarten und der Zweck der Ermittlung ausdrücklich genannt, die Kreise der Betroffenen umschrieben und die Empfänger der Daten festgelegt sind.
  2. Absatz 2Übermittlungen von Daten durch den Auftraggeber bedürfen, sofern sie sich nicht auf eine ausdrückliche gesetzliche Ermächtigung stützen, eines schriftlichen Auftrages des zuständigen Organs. Der Auftrag kann als Einzel- oder Dauerauftrag erteilt werden. Im Auftrag ist anzugeben, aufgrund welcher Bestimmung des Paragraph 7, des Datenschutzgesetzes die Übermittlung zulässig ist.
  3. Absatz 3Die Zustimmung des Betroffenen zur Datenübermittlung gemäß Paragraph 7, Absatz eins, Ziffer 2, des Datenschutzgesetzes gilt dann als erteilt, wenn der Betroffene sein Einverständnis zur Datenübermittlung ausdrücklich mit seiner Unterschrift getrennt von etwaigen sonstigen Vereinbarungen gegeben hat. Eine Zustimmungserklärung liegt nur dann vor, wenn die zu übermittelnden Datenarten und die Übermittlungsempfänger ausdrücklich genannt sind und der Betroffene in allgemein verständliche Form über den Übermittlungszweck informiert wird. Der Betroffene ist nachweislich über die Möglichkeit des schriftlichen Widerrufes seiner Zustimmung in Kenntnis zu setzen.
  4. Absatz 4Einem Ersuchen um Übermittlung von Daten gemäß Paragraph 7, Absatz 2, des Datenschutzgesetzes ist nur zu entsprechen, wenn es auf einen Einzelfall gerichtet ist. Hiebei ist festzustellen, durch welche gesetzlichen Bestimmungen dem Empfänger jene Aufgaben übertragen sind, zu deren Wahrnehmung die zu übermittelnden Daten eine wesentliche Voraussetzung bilden.
  5. Absatz 5Eine Übermittlung in den Fällen des Paragraph 7, Absatz 3, des Datenschutzgesetzes ist zulässig, wenn andere Möglichkeiten, das berechtige Interesse des Dritten zu wahren, nicht vorliegen oder nicht zumutbar sind.

Paragraph 5,

Grundsätze für die Überlassung

  1. Absatz einsDie im Paragraph eins, genannten Auftraggeber dürfen unter den im Paragraph 13, des Datenschutzgesetzes genannten Voraussetzungen Dienstleister in Anspruch nehmen.
  2. Absatz 2Der Auftraggeber hat dem Dienstleister die beabsichtigte Heranziehung eines weiteren Dienstleisters zu untersagen, wenn dies öffentliche Interessen verlangen oder zu befürchten ist, daß schutzwürdige Interessen des Betroffenen verletzt werden.
  3. Absatz 3Wurde dem Auftraggeber von der Datenschutzkommission die Auffassung mitgeteilt, daß der Inanspruchnahme eines Dienstleisters schutzwürdige Interessen Betroffener oder öffentliche Interessen entgegenstehen, so hat der Auftraggeber entweder der Rechtsanschauung der Datenschutzkommission zu entsprechen oder die begründete Entscheidung über die abweichende Vorgangsweise zu dokumentieren.

Paragraph 6,

Auskunftsrecht

  1. Absatz einsEine Auskunft gemäß Paragraph 11, des Datenschutzgesetzes darf nur aufgrund eines unbedenklichen Identitätsnachweises und gegen Empfangsbestätigung ausgefolgt oder zu eigenen Handen zugestellt werden.
  2. Absatz 2Die Mitwirkung eines Betroffenen am Auskunftsverfahren liegt vor, wenn er
    1. Litera a
      diejenigen Datenverarbeitungen im Sinne des Paragraph 8, des Datenschutzgesetzes bezeichnet, bezüglich derer er Betroffener sein kann, oder
    2. Litera b
      insbesondere durch die Vorlage von Unterlagen oder die Beschreibung von Lebensumständen glaubhaft macht, daß Daten über seine Person irrtümlich oder mißbräuchlich in Datenbeständen des Auftraggebers enthalten sind.
  3. Absatz 3Wirkt der Betroffene am Auskunftsverfahren im Sinne des Paragraph 11, Absatz 2, des Datenschutzgesetzes nicht oder nicht ausreichend mit, so ist er vom Auftraggeber unverzüglich aufzufordern, dieser Verpflichtung nachzukommen.
  4. Absatz 4Von der Bearbeitung eines Auskunftsantrages ist abzusehen, wenn der Betroffene trotz Aufforderung nicht ausreichend mitgewirkt oder den gemäß Paragraph 8, Absatz 7, mitgeteilten Kostenersatz nicht entrichtet hat.

Paragraph 7,

Kostenersätze

  1. Absatz einsDie Erteilung einer Auskunft hat unentgeltlich zu erfolgen, wenn sie den aktuellen Datenstand betrifft und wenn der Auskunftswerber im laufenden Jahr noch kein Auskunftsersuchen an den Auftraggeber über dasselbe Aufgabengebiet gestellt hat.
  2. Absatz 2Der aktuelle Datenbestand im Sine des Paragraph 11, Absatz 4, des Datenschutzgesetzes umfaßt jene Daten, die in der betreffenden Datenverarbeitung dem Direktzugriff unterliegen, oder – mangels eines solchen – den letztgültigen Datenbestand.
  3. Absatz 3Für die Erteilung einer entgeltlichen Auskunft im Sinne des Paragraph 11, Absatz 4, des Datenschutzgesetzes werden folgende pauschalierte Kostenersätze festgelegt:
    1. Litera a
      Für die zweite und jede weitere Auskunft im laufenden Jahr über Daten des Betroffenen aus aktuellen Datenbeständen desselben Aufgabengebietes 100 S je Datenverarbeitung;
    2. Litera b
      für jede Auskunft über Daten des Betroffenen aus nicht aktuellen Datenbeständen 500 S je Datenverarbeitung; in jenen Fällen , in denen die Auskunftserteilung einen besonders hohen technischen oder organisatorischen Aufwand erfordert, 1000 S je Datenverarbeitung.
  4. Absatz 4Die im Absatz 3, angeführten Kostenersätze sind nicht zu entrichten, wenn der Aufwand für die Auskunftserteilung gering ist.
  5. Absatz 5Falls der Betroffene das Vorliegen besonderer berücksichtigungswürdiger sozialer Umstände nachweist, so kann der Kostenersatz ermäßigt oder ganz nachgesehen werden.
  6. Absatz 6Dem Antragsteller ist der zu entrichtende Kostenersatz unverzüglich mitzuteilen.
  7. Absatz 7Die im Paragraph 11, Absatz eins, des Datenschutzgesetzes enthaltene Frist beginnt für die Erteilung von entgeltlichen Auskünften mit dem Einlangen des Kostenersatzes zu laufen.
  8. Absatz 8Ein Kostenersatz ist ungeachtet weiterer Schadenersatzansprüche zurückzuerstatten, wenn Daten rechtswidrig verwendet wurden oder wenn die Auskunft sonst zu einer Richtigstellung geführt hat.

Paragraph 8,

Datensicherheitsmaßnahmen

  1. Absatz einsDie im Paragraph eins, genannten Auftraggeber haben für die Organisationseinheiten ihres örtlichen und sachlichen Wirkungsbereiches, die Daten verwenden, Datensicherheitsmaßnahmen schriftlich anzuordnen, den technischen und organisatorischen Änderungen umgehend anzupassen und zu dokumentieren.
  2. Absatz 2Der Auftraggeber hat für die zu verwendenden Datenarten dem Grad der Schutzwürdigkeit entsprechende Sicherheitsmaßnahmen zu bestimmen.
  3. Absatz 3Der Auftraggeber hat jene Organisationseinheit zu bestimmen, die Zugriffsberechtigungen vergibt, ändert, kontrolliert und entzieht. Hiebei ist eine Identifikation jedes Zugriffsberechtigten vorzusehen. Der Zugriff auf das Betriebssystem einschließlich System- und Netzwerksoftware ist darüber hinaus durch geeignete Maßnahmen zu sichern.
  4. Absatz 4Die Vernichtung unbrauchbarer oder nicht mehr benötigter Ausdrucke und sonstiger Datenträger ist vom Auftraggeber oder Dienstleister durch entsprechende personelle oder vertragliche Maßnahmen zu sichern.
  5. Absatz 5Jeder Bedienstete, dem in Ausübung seines Dienstes Daten anvertraut oder zugänglich sind, ist über seine Pflichten nach dem Datenschutzgesetz und den innerorganisatorischen Datenschutzvorschriften, insbesondere über die von ihm einzuhaltenden Datensicherheitsvorschriften, schriftlich zu belehren und von Änderungen umgehend in Kenntnis zu setzen.

Paragraph 9,

Richtigstellung und Löschung

  1. Absatz einsEine Richtigstellung oder Löschung von Daten hat so zu erfolgen, daß bei einer Abfrage die Unrichtigkeit der verarbeiteten Daten angegeben und auf die richtigen Daten verwiesen wird oder daß der Umstand der Löschung angezeigt wird.
  2. Absatz 2Die für Zwecke der Dokumentation oder der internen Kontrolle aufzubewahrenden Daten dürfen nur durch einen entsprechenden Vermerk richtiggestellt und vor Ablauf der Aufbewahrungsfrist nur mit einem Löschungsvermerk versehen werden.
  3. Absatz 3Durch geeignete organisatorische Maßnahmen ist sicherzustellen, daß im Falle eines Rückgriffes auf die zu Sicherungszwecken aufbewahrten Datenbestände allfällige Richtigstellungen und Löschungen wirksam bleiben.
  4. Absatz 4Rechtsverbindlich festgestellte Daten dürfen nur aufgrund einer Entscheidung des für die Feststellung zuständigen Organs richtiggestellt oder gelöscht werden.

Paragraph 10,

Angabe der Registernummer

  1. Absatz einsDer Auftraggeber hat die ihm zugeteilte Registernummer bei Übermittlungen von Daten und Mitteilungen an den Betroffenen auf jedem Schriftstück das automationsunterstützt verarbeitete Daten enthält, anzuführen.
  2. Absatz 2Bei Übermittlungen und Mitteilungen an den Betroffenen mittels maschinell lesbarer Datenträger ist die Registernummer auf den Begleitpapieren oder auf den Datenträgern anzugeben.