Jahrgang 2018

Kundgemacht am 20. Dezember 2018

143.

Tiroler Datenverarbeitungsgesetz – TDVG

143. Gesetz vom 13. Dezember 2018, mit dem ein Tiroler Datenverarbeitungsgesetz erlassen wird (Tiroler Datenverarbeitungsgesetz – TDVG)

Der Landtag hat beschlossen:

§ 1

Geltungsbereich

(1) Dieses Gesetz regelt bei Datenverarbeitungen, die das Land Tirol allein oder gemeinsam mit anderen Verantwortlichen betreibt oder beauftragt

a)

wem die Aufgaben als Verantwortlicher nach Art. 4 Z 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. 2016 Nr. L 119, S. 1, zukommen,

b)

die Pflichten in den Fällen gemeinsamer Verantwortung nach Art. 26 der Datenschutz-Grundverordnung,

c)

die Aufgaben des Amtes der Tiroler Landesregierung als Auftragsverarbeiter nach Art. 4 Z 8 der Datenschutz-Grundverordnung bei Anwendungs-Hosting durch das Land Tirol,

d)

die Beschränkung von Rechten und Pflichten,

e)

die Beschränkungen von Rechten in Bezug auf Protokoll- und Logdaten sowie

f)

die Berechtigung zur Verarbeitung von veröffentlichten Daten und von Daten aus Registern der öffentlichen Verwaltung.

(2) Dieses Gesetz regelt weiters

a)

die Führung und Veröffentlichung des Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 Abs. 1 der Datenschutz-Grundverordnung,

b)

das Portal Tirol sowie

c)

die Verarbeitung personenbezogener Daten in Angelegenheiten, in denen die Zuständigkeit zur Gesetzgebung Landessache ist.

(3) Durch dieses Gesetz werden die Zuständigkeit des Bundes und abweichende Regelungen in anderen Landesgesetzen nicht berührt.

§ 2

Verantwortliche, gemeinsam Verantwortliche

(1) Als Verantwortliche nach Art. 4 Z 7 der Datenschutz-Grundverordnung gelten:

a)

das Amt der Tiroler Landesregierung;

b)

das Amt der Tiroler Landesregierung gemeinsam mit dem betreffenden Verantwortlichen in Fällen, in denen das Land Tirol für einen vom Amt der Tiroler Landesregierung verschiedenen Verantwortlichen eine Datenverarbeitung betreibt oder beauftragt, und zwar unmittelbar aufgrund landesgesetzlicher Anordnung oder aufgrund landesgesetzlicher Vorschriften, wonach insbesondere

1.

das Amt der Tiroler Landesregierung Geschäftsstelle für den betreffenden Verantwortlichen ist,

2.

das Amt der Tiroler Landesregierung die Kanzleigeschäfte für den betreffenden Verantwortlichen führt oder

3.

das Land Tirol die Sachmittel für den betreffenden Verantwortlichen bereitzustellen hat;

c)

das Amt der Tiroler Landesregierung gemeinsam mit dem betreffenden Verantwortlichen in Fällen, in denen das Land Tirol für

1.

Gemeinden oder Gemeindeverbände,

2.

die Bildungsdirektion,

3.

Leiter von Schulen oder

4.

sonstige Verantwortliche, wie Interessenvertretungen und für deren Wirkungsbereich bestellte Organe, landesgesetzlich eingerichtete Körperschaften, Vereine oder sonstige Einrichtungen,

eine Datenverarbeitung betreibt oder beauftragt.

(2) In den Fällen des Abs. 1 lit. b und c sind das Amt der Tiroler Landesregierung und der jeweils betreffende Verantwortliche gemeinsam Verantwortliche im Sinn des Art. 26 der Datenschutz-Grundverordnung.

(3) Das Amt der Tiroler Landesregierung ist immer alleiniger Verantwortlicher, wenn eine Datenverarbeitung vom Land Tirol betrieben oder beauftragt wird, soweit

a)

keine gemeinsame Verantwortung im Sinn des Abs. 1 lit. b oder c besteht und

b)

keine Auftragsverarbeitung nach § 5 vorliegt.

§ 3

Regelungen zur gemeinsamen Verantwortung

(1) Die Informationspflichten nach den Art. 13 und 14 der Datenschutz-Grundverordnung sind jeweils von jenem Verantwortlichen wahrzunehmen, der die erste Anlaufstelle ist oder das entsprechende Verfahren führt.

(2) Die Erfüllung der Verpflichtungen nach den Art. 15 bis 22 der Datenschutz-Grundverordnung obliegt jedem Verantwortlichen hinsichtlich jener Daten, die im Zusammenhang mit den von ihm geführten Verfahren oder den von ihm gesetzten Maßnahmen verarbeitet werden. Ist einem Verantwortlichen die Erfüllung dieser Verpflichtungen nicht möglich, so hat er deren Erfüllung durch einen befähigten anderen Verantwortlichen zu veranlassen.

(3) Im Fall einer Verletzung des Schutzes personenbezogener Daten nach Art. 33 der Datenschutz-Grundverordnung haben die Verantwortlichen nach § 2 Abs. 1 lit. b oder c unverzüglich nach Bekanntwerden der Datenschutzverletzung das Amt der Tiroler Landesregierung zu informieren. Schadensbegrenzende Maßnahmen, eine allfällig erforderliche Meldung an die Datenschutzbehörde sowie die Benachrichtigung der von der Verletzung des Schutzes personenbezogener Daten betroffenen Personen nach Art. 34 der Datenschutz-Grundverordnung hat jener Verantwortliche vorzunehmen, in dessen Einflussbereich die Verletzung des Schutzes personenbezogener Daten aufgetreten ist.

(4) Die allfällige Durchführung der Datenschutz-Folgenabschätzung und die vorherige Konsultation der Datenschutzbehörde nach den Art. 35 und 36 der Datenschutz-Grundverordnung obliegen dem Amt der Tiroler Landesregierung.

(5) Das Amt der Tiroler Landesregierung ist, unbeschadet besonderer Regelungen über die Kostentragung und soweit nichts anderes vereinbart ist, verpflichtet, laufend die im Rahmen des Betriebes, der Weiterentwicklung und der Wartung erforderlichen technischen und organisatorischen Maßnahmen zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus nach Art. 32 der Datenschutz-Grundverordnung selbst festzulegen und umzusetzen oder zu beauftragen. Unbeschadet dessen ist jeder gemeinsam Verantwortliche im Umfang seiner organisatorischen und technischen Möglichkeiten selbst für die Festlegung und Umsetzung von Maßnahmen zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus verantwortlich.

(6) Das Amt der Tiroler Landesregierung kann über die Hinzuziehung von Auftragsverarbeitern allein entscheiden und die Garantien für die geeigneten technischen und organisatorischen Maßnahmen der beigezogenen Auftragsverarbeiter allein überprüfen.

§ 4

Verzeichnis von Verarbeitungstätigkeiten

(1) Das Amt der Tiroler Landesregierung kann im Einvernehmen mit Verantwortlichen nach § 2 Abs. 1 lit. b und c, unbeschadet ihrer datenschutzrechtlichen Verantwortung, die Führung des Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 Abs. 1 der Datenschutz-Grundverordnung für diese übernehmen.

(2) Die Verzeichnisse nach Abs. 1 sowie das Verzeichnis von Verarbeitungstätigkeiten des Amtes der Tiroler Landesregierung nach Art. 30 Abs. 1 der Datenschutz-Grundverordnung

a)

erfüllen mit ihrer Veröffentlichung auf der Internetseite des Landes Tirol die Informationspflichten nach den Art. 13 und 14 der Datenschutz-Grundverordnung und

b)

dienen der Bereitstellung von Informationen nach Art. 26 der Datenschutz-Grundverordnung über das verarbeitungsspezifische Zusammenwirken gemeinsam Verantwortlicher und die verarbeitungsspezifische Aufteilung der Verpflichtungen nach der Datenschutz-Grundverordnung zwischen diesen.

§ 5

Auftragsverarbeiter

Bei Anwendungs-Hosting des Landes Tirol ist das Amt der Tiroler Landesregierung Auftragsverarbeiter nach Art. 4 Z 8 der Datenschutz-Grundverordnung im Verhältnis zu den Verantwortlichen nach § 2 Abs. 1 lit. c. Die Verpflichtungen nach Art. 28 der Datenschutz-Grundverordnung sind vom Amt der Tiroler Landesregierung als Auftragsverarbeiter wahrzunehmen.

§ 6

Beschränkung von Rechten und Pflichten

(1) Das Recht auf Berichtigung nach Art. 16 und die Pflicht nach Art. 5 Abs. 1 lit. d der Datenschutz-Grundverordnung bestehen nicht hinsichtlich einer Berichtigung, Aktualisierung oder Vervollständigung von personenbezogenen Daten, die in einer Erledigung bzw. einem Geschäftsstück enthalten sind.

(2) Hinsichtlich der Verarbeitung personenbezogener Daten besteht kein Recht auf Einschränkung der Verarbeitung nach Art. 18 und kein Widerspruchsrecht nach Art. 21 der Datenschutz-Grundverordnung. Darüber sind die Betroffenen in geeigneter Weise zu informieren.

§ 7

Protokoll- und Logdaten

Für Protokoll- und Logdaten besteht kein Recht auf Auskunft nach Art. 15, auf Berichtigung nach Art. 16, auf Löschung nach Art. 17, auf Einschränkung der Verarbeitung nach Art. 18, auf Datenübertragung nach Art. 20 der Datenschutz-Grundverordnung sowie kein Widerspruchsrecht nach Art. 21 der Datenschutz-Grundverordnung.

§ 8

Portal Tirol

(1) Das vom Land Tirol betriebene Portal Tirol ist ein Stammportal, insbesondere im Sinn des österreichischen Behördenportalverbundes, sowie ein Anwendungsportal zur Bereitstellung von Anwendungen, insbesondere für zugriffsberechtigte Stellen im Portalverbund.

(2) Verantwortlich für den Betrieb ist das Amt der Tiroler Landesregierung.

(3) Im Stammportal sind zu Zwecken der Nachvollziehbarkeit und Kontrolle der Zugriffsrechte Authentifizierungs- und Autorisierungsdaten der Benutzer in Form von Protokoll- bzw. Logdaten zu verarbeiten und zur Ermöglichung des Zugriffs auf Anwendungen im Portalverbund an die jeweils beteiligten Portalbetreiber bzw. die verwendeten Anwendungen zu übermitteln. Diese Daten sind nach einer Aufbewahrungsdauer von drei Jahren zu löschen.

(4) Im Anwendungsportal sind zu Zwecken der Nachvollziehbarkeit und Kontrolle der Zugriffsrechte Authentifizierungs- und Autorisierungsdaten der Benutzer in Form von Protokoll- bzw. Logdaten zu verarbeiten. Abs. 3 zweiter Satz ist anzuwenden.

§ 9

Verarbeitung von veröffentlichten Daten und von Daten aus Registern

(1) Unbeschadet besonderer gesetzlicher Abfrageberechtigungen und des § 10 sind das Amt der Tiroler Landesregierung, die Bezirksverwaltungsbehörden und die Verantwortlichen nach § 2 Abs. 1 lit. b in Angelegenheiten der Privatwirtschaftsverwaltung des Landes berechtigt, zum Zweck

a)

der Prüfung der Richtigkeit von Angaben betroffener Personen,

b)

der Sicherstellung einer hohen Datenqualität,

c)

des Bürgerservice und der Effizienz der Verwaltung und

d)

der Durchführung von Datenverarbeitungen nach Art. 6 der Datenschutz-Grundverordnung

veröffentlichte Daten und Daten aus Registern der öffentlichen Verwaltung zu verarbeiten.

(2) Hinsichtlich der Verarbeitung personenbezogener Daten nach Abs. 1 besteht keine Informationspflicht nach Art. 14 der Datenschutz-Grundverordnung.

§ 10

Verarbeitung personenbezogener Daten

(1) Sofern landesgesetzlich nichts Näheres bestimmt ist, sind Verantwortliche zur Verarbeitung von personenbezogenen Daten ermächtigt, soweit dies für die Wahrnehmung ihrer Aufgaben erforderlich ist und es sich nicht um besondere Kategorien personenbezogener Daten im Sinn des Art. 9 Abs. 1 der Datenschutz-Grundverordnung handelt.

(2) Verantwortliche sind zur Verarbeitung von personenbezogenen Daten über verwaltungsbehördlich strafbare Handlungen oder Unterlassungen, insbesondere auch über den Verdacht der Begehung solcher Straftaten und über verwaltungsstrafrechtliche Verurteilungen, ermächtigt, sofern die Verwendung derartiger Daten eine wesentliche Voraussetzung zur Wahrnehmung einer gesetzlich übertragenen Aufgabe ist.

(3) Verantwortliche dürfen Daten nach Abs. 2 den Bezirksverwaltungsbehörden und dem Amt der Tiroler Landesregierung zum Zweck der Durchführung von Verwaltungsstrafverfahren übermitteln.

§ 11

Inkrafttreten

Dieses Gesetz tritt mit dem Ablauf des Tages der Kundmachung in Kraft.

Die Landtagspräsidentin:

Ledl-Rossmann

Der Landeshauptmann:

Platter

Das Mitglied der Landesregierung:

Zoller-Frischauf

Der Landesamtsdirektor:

Liener