Bundesland

Niederösterreich

Gliederungszahl

0901-2

Titel

NÖ Datenschutzgesetz

Ausgabedatum

05.12.2013

Text

 

NÖ Datenschutzgesetz

 

0901-0

Stammgesetz

116/00

2000-12-21

 

Blatt 1-19
[CELEX: 395L0046]

0901-1

1. Novelle

142/01

2001-10-31

 

Blatt 14, 18

0901-2

2. Novelle

119/13

2013-12-05

 

Blatt 1, 5, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19

Ausgegeben am
05.12.2013

Jahrgang 2013
119. Stück

Der Landtag von Niederösterreich hat am 3. Oktober 2013 beschlossen:

Änderung des NÖ Datenschutzgesetzes

Artikel I

Das NÖ Datenschutzgesetz, Landesgesetzblatt 0901, wird wie folgt geändert:

  1. Ziffer eins
    Im Inhaltsverzeichnis wird bei den Paragraphen 25 und 26 jeweils das Wort “Datenschutzkommission” durch das Wort “Datenschutzbehörde” ersetzt.

  1. Ziffer 2
    In Paragraph 3, Ziffer 18,, Paragraph 10, Absatz 3 und Absatz 4,, Paragraph 12, Absatz 4,, Paragraph 13, Absatz eins,, Absatz 6 und Absatz 7,, Paragraph 18, Absatz eins,, Paragraph 19, Absatz eins,, Absatz 3,, Absatz 5 und Absatz 6,, Paragraph 20, Absatz 3,, Paragraph 21, Absatz 4,, Paragraph 22, Absatz 8,, Paragraph 25, Absatz eins,, Absatz 2,, Absatz 4,, Absatz 5 und Absatz 6,, Paragraph 26,, Paragraph 27, Absatz 2,, Paragraph 29, Absatz 3 und Absatz 4,, Paragraph 30, Absatz 2,, Paragraph 31,, Paragraph 32, sowie in den Überschriften zu Paragraphen 25 und 26 wird jeweils das Wort “Datenschutzkommission” durch das Wort “Datenschutzbehörde” ersetzt.

  1. Ziffer 3
    In Paragraph 3, Ziffer 19, wird nach der Zahl “1999” die Wortfolge “in der Fassung BGBl. römisch eins Nr. 83/2013” angefügt.

  1. Ziffer 4
    In Paragraph 9, Ziffer 11, wird das Zitat “14/2000” durch das Zitat “71/2013” ersetzt.

  1. Ziffer 5
    In Paragraph 21, Absatz 4, entfällt das Wort “rechtskräftigen”.

  1. Ziffer 6
    In Paragraph 25, Absatz 6, wird das Zitat “146/1999” durch das Zitat “25/2013” und das Zitat “191/1999” durch das Zitat “83/2013” ersetzt.

  1. Ziffer 7
    In Paragraph 27, wird das Zitat “113/1885 in der Fassung BGBl. römisch eins Nr. 125/1999” durch das Zitat “113/1895 in der Fassung BGBl. römisch eins Nr. 26/2013” ersetzt.

  1. Ziffer 8
    In Paragraph 30, Absatz eins, Ziffer 3, wird die Wortfolge “einem rechtskräftigen Urteil oder Bescheid” durch die Wortfolge “einer rechtskräftigen Entscheidung” ersetzt.

  1. Ziffer 9
    In Paragraph 30, Absatz 4, wird das Zitat “191/1999” durch das Zitat “33/2013” ersetzt.

Artikel II

Artikel römisch eins tritt am 1. Jänner 2014 in Kraft.

 

Der Präsident:
Penz

Der Landeshauptmann:
Pröll

Inhaltsverzeichnis

1. Abschnitt: Allgemeines, Geltungsbereich,

Begriffsbestimmungen

Paragraph eins, Allgemeines

Paragraph 2, Geltungsbereich

Paragraph 3, Begriffsbestimmungen

2. Abschnitt: Verwendung von Daten

Paragraph 4, Grundsätze

Paragraph 5, Festlegung von Treu und Glauben

Paragraph 6, Pflichten des Auftraggebers

Paragraph 7, Zulässigkeit der Verwendung von Daten

Paragraph 8, Schutzwürdige Geheimhaltungsinteressen bei

Verwendung nichtsensibler Daten

Paragraph 9, Schutzwürdige Geheimhaltungsinteressen bei

Verwendung sensibler Daten

Paragraph 10, Zulässigkeit der Überlassung von Daten zur Erbringung von Dienstleistungen

Paragraph 11, Pflichten des Dienstleisters

Paragraph 12, Genehmigungsfreie Übermittlung und Überlassung von Daten in das Ausland

Paragraph 13, Genehmigungspflichtige Übermittlung und Überlassung von Daten ins Ausland

3. Abschnitt: Datensicherheit

Paragraph 14, Datensicherheitsmaßnahmen

Paragraph 15, Datengeheimnis

Paragraph 16, Besondere Verwendungszwecke

4. Abschnitt: Publizität der Datenanwendungen Paragraph 17, Auskunftspflicht

5. Abschnitt: Aufnahme der Datenanwendung

Paragraph 18, Vorabkontrolle

Paragraph 19, Verfahren zur Vorabkontrolle

6. Abschnitt: Die Rechte des Betroffenen

Paragraph 20, Auskunftsrecht

Paragraph 21, Auskunftsverfahren

Paragraph 22, Recht auf Richtigstellung oder Löschung

Paragraph 23, Widerspruchsrecht

Paragraph 24, Die Rechte des Betroffenen bei der Verwendung nur

indirekt personenbezogener Daten

7. Abschnitt: Rechtsschutz

Paragraph 25, Kontrollbefugnisse der Datenschutzbehörde

Paragraph 26, Beschwerde an die Datenschutzbehörde

Paragraph 27, Anrufung der Gerichte

Paragraph 28, Schadenersatz

Paragraph 29, Gemeinsame Bestimmungen

8. Abschnitt: Strafbestimmungen

Paragraph 30, Verwaltungsstrafbestimmung

9. Abschnitt: Schluss- und Übergangsbestimmungen

Paragraph 31, Mitteilungen an die Europäische Kommission und an

die anderen Mitgliedstaaten der Europäischen Union

Paragraph 32, Anhörungsverfahren, Berichtspflicht

Paragraph 33, Datenanwendungen des Landtages

Paragraph 34, Umgesetzte EG-Richtlinien

Paragraph 35, Inkrafttreten

Paragraph 36, Übergangsbestimmungen

1. Abschnitt

Allgemeines, Geltungsbereich,

Begriffsbestimmungen

Paragraph eins,

Allgemeines

(1) Dieses Gesetz regelt die Angelegenheiten des Schutzes personenbezogener Daten im nicht automationsunterstützt geführten Datenverkehr.

(2) Dieses Gesetz gilt nicht für Angelegenheiten, in denen die Gesetzgebung Bundessache ist.

(3) Soweit in diesem Gesetz personenbezogene Bezeichnungen nur in männlicher oder weiblicher Form angeführt sind, beziehen sie sich auf Frauen und Männer in gleicher Weise.

Paragraph 2,

Geltungsbereich

(1) Dieses Gesetz ist auf die im Rahmen des Paragraph eins, erfolgende Verwendung personenbezogener Daten in Niederösterreich anzuwenden. Dies gilt nicht für die Fälle des Absatz 3,

(2) Auf die Verwendung personenbezogener Daten im Ausland ist dieses Gesetz anzuwenden, wenn die Verwendung

* in anderen Mitgliedstaaten der Europäischen Union

* für Zwecke einer in Niederösterreich gelegenen

Haupt- oder Zweigniederlassung eines Auftraggebers

geschieht.

(3) Das Recht des Sitzstaates des Auftraggebers ist auf eine Datenanwendung in Niederösterreich anzuwenden, wenn

* ein Auftraggeber des privaten Bereichs

* mit Sitz in einem anderen Mitgliedstaat der Europäischen Union

* personenbezogene Daten in Niederösterreich zu einem Zweck verwendet, der keiner in Niederösterreich gelegenen Niederlassung dieses Auftraggebers zuzurechnen ist.

(4) Dieses Gesetz ist nicht anzuwenden auf

* die Verwendung personenbezogener Daten durch

natürliche Personen für ausschließlich persönliche oder familiäre Tätigkeiten;

* die ausschließliche Durchfuhr personenbezogener

Daten.

Paragraph 3,

Begriffsbestimmungen

Im Sinne dieses Gesetzes gelten als:

  1. Ziffer eins
    Daten (personenbezogene Daten): Angaben über Betroffene (Ziffer 4,), deren Identität bestimmt oder bestimmbar ist;

  1. Ziffer 2
    nur indirekt personenbezogene Daten: Daten für einen Auftraggeber (Ziffer 5,), Dienstleister (Ziffer 6,) oder Empfänger einer Übermittlung (Ziffer 15,), deren Personenbezug derart ist, dass dieser Auftraggeber, Dienstleister oder Übermittlungsempfänger die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann;

  1. Ziffer 3
    sensible Daten (besonders schutzwürdige Daten): Daten natürlicher Personen über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder ihr Sexualleben;

  1. Ziffer 4
    Betroffener: jede vom Auftraggeber (Ziffer 5,) verschiedene natürliche Person, deren Daten verwendet werden (Ziffer 11,);

  1. Ziffer 5
    Auftraggeber:

* natürliche oder juristische Personen,

* Personengemeinschaften oder

* Organe einer Gebietskörperschaft und die Geschäftsapparate solcher Organe,

wenn sie allein oder gemeinsam mit anderen die Entscheidung getroffen haben, Daten für einen bestimmten Zweck zu verarbeiten (Ziffer 12,). Dies unabhängig davon, ob sie die Verarbeitung selbst durchführen oder dazu einen anderen heranziehen.

Als Auftraggeber gelten sie auch dann, wenn sie einem anderen Daten zur Herstellung eines von ihnen aufgetragenen Werkes überlassen, und der Auftragnehmer die Entscheidung trifft, diese Daten zu verarbeiten.

Der Auftragnehmer gilt jedoch als Auftraggeber, wenn

* ihm anlässlich der Auftragserteilung die Verarbeitung der überlassenen Daten ausdrücklich untersagt wurde oder

* er die Entscheidung über die Art und Weise der Verwendung, insbesondere die Vornahme einer Verarbeitung der überlassenen Daten, auf Grund von Rechtsvorschriften, Standesregeln oder Verhaltensregeln gemäß Paragraph 5, eigenverantwortlich zu treffen hat;

  1. Ziffer 6
    Dienstleister:

* natürliche oder juristische Personen,

* Personengemeinschaften oder

* Organe einer Gebietskörperschaft und die Geschäftsapparate solcher Organe,

wenn sie Daten im Auftrag verwenden (Ziffer 11,);

  1. Ziffer 7
    Datei: strukturierte Sammlung von Daten, die nach mindestens einem Suchkriterium zugänglich sind;

  1. Ziffer 8
    Datenanwendung: die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte (Ziffer 11,), die zur Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung) geordnet sind;

  1. Ziffer 9
    Datenanwendung des öffentlichen Bereichs:
    Datenanwendungen, die für

* Auftraggeber, die in Formen des öffentlichen Rechts
eingerichtet sind oder

* Auftraggeber, die in Formen des Privatrechts
eingerichtet aber in Vollziehung der Gesetze tätig sind

durchgeführt werden;

  1. Ziffer 10
    Datenanwendung des privaten Bereichs:
    Datenanwendungen, die nicht für Auftraggeber im Sinne der Ziffer 9, durchgeführt werden;

  1. Ziffer 11
    Verwenden von Daten: jede nicht automationsunterstützte Art der Handhabung von Daten einer Datenanwendung, also sowohl das Verarbeiten (Ziffer 12,) als auch das Übermitteln (Ziffer 15,) von Daten;

  1. Ziffer 12
    Verarbeiten von Daten: das Ermitteln, Erfassen, Aufbewahren, Ordnen, Vergleichen, Verändern, Verknüpfen, Vervielfältigen, Benützen, Überlassen (Ziffer 14,), Sperren, Löschen, Vernichten oder jede andere Art der Handhabung von Daten einer Datenanwendung durch den Auftraggeber oder Dienstleister mit Ausnahme des Übermittelns (Ziffer 15,) von Daten, soweit diese Schritte nicht automationsunterstützt erfolgen;

  1. Ziffer 13
    Ermitteln von Daten: das Erheben von Daten in der Absicht, sie in einer Datenanwendung zu verwenden;

  1. Ziffer 14
    Überlassen von Daten: die Weitergabe von Daten vom Auftraggeber an einen Dienstleister;

  1. Ziffer 15
    Übermitteln von Daten: die Weitergabe von Daten einer Datenanwendung an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister, insbesondere auch das Veröffentlichen solcher Daten; darüber hinaus auch die Verwendung von Daten für ein anderes Aufgabengebiet des Auftraggebers;

  1. Ziffer 16
    Zustimmung: die gültige, insbesondere ohne Zwang abgegebene Willenserklärung des Betroffenen, dass er in Kenntnis der Sachlage für den konkreten Fall in die Verwendung seiner Daten einwilligt;

  1. Ziffer 17
    Niederlassung: jede durch feste Einrichtungen an einem bestimmten Ort räumlich und funktional abgegrenzte Organisationseinheit mit oder ohne Rechtspersönlichkeit, die am Ort ihrer Einrichtung auch tatsächlich Tätigkeiten ausübt;

  1. Ziffer 18
    Datenschutzbehörde: die nach dem 7. Abschnitt des DSG 2000 eingerichtete Datenschutzbehörde;

  1. Ziffer 19
    DSG 2000: Datenschutzgesetz 2000 – DSG 2000, Bundesgesetzblatt Teil eins, Nr. 165 aus 1999, in der Fassung Bundesgesetzblatt Teil eins, Nr. 83 aus 2013,.

2. Abschnitt

Verwendung von Daten

Paragraph 4,

Grundsätze

Daten dürfen nur

  1. Ziffer eins
    nach Treu und Glauben und auf rechtmäßige Weise verwendet werden;

  1. Ziffer 2
    für festgelegte, eindeutige und rechtmäßige Zwecke ermittelt und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverwendet werden;
    Die Weiterverwendung für wissenschaftliche oder
    statistische Zwecke ist nach Maßgabe des Paragraph 16, Absatz eins, zulässig;

  1. Ziffer 3
    verwendet werden, soweit sie für den Zweck der Datenanwendung wesentlich sind und über diesen Zweck nicht hinausgehen;

  1. Ziffer 4
    so verwendet werden, dass sie im Hinblick auf den Verwendungszweck im Ergebnis sachlich richtig sind. Erforderlichenfalls sind sie auf den neuesten Stand zu bringen;

  1. Ziffer 5
    solange in personenbezogener Form aufbewahrt werden, als dies für die Erreichung der Zwecke, für die sie ermittelt wurden, erforderlich ist. Eine längere Aufbewahrungsdauer kann sich aus besonderen gesetzlichen, insbesondere archivrechtlichen Vorschriften ergeben.

Paragraph 5,

Festlegung von Treu und Glauben

(1) Für den privaten Bereich können

* die gesetzlichen Interessenvertretungen,

* die sonstigen Berufsverbände und

* vergleichbare Einrichtungen

mit Verhaltensregeln festlegen, was in einzelnen Bereichen als Verwendung von Daten nach Treu und Glauben anzusehen ist.

(2) Solche Verhaltensregeln müssen vor ihrer Veröffentlichung

* der Landesregierung zur Begutachtung vorgelegt

werden und

* von der Landesregierung als mit den Bestimmungen

dieses Gesetzes übereinstimmend erachtet werden.

Paragraph 6,

Pflichten des Auftraggebers

(1) Der Auftraggeber trägt bei jeder seiner Datenanwendungen die Verantwortung für die Einhaltung der in Paragraph 4, genannten Grundsätze. Dies gilt auch dann, wenn er für die Datenanwendung Dienstleister heranzieht.

(2) Der Auftraggeber einer diesem Gesetz unterliegenden Datenanwendung hat, wenn er nicht im Gebiet der Europäischen Union niedergelassen ist, einen in Österreich ansässigen Vertreter zu benennen, der neben dem Auftraggeber verantwortlich gemacht werden kann.

Paragraph 7,

Zulässigkeit der Verwendung von Daten

(1) Daten dürfen nur verarbeitet werden, soweit Zweck und Inhalt der Datenanwendung

  1. Ziffer eins
    von den gesetzlichen Zuständigkeiten oder rechtlichen Befugnissen des jeweiligen Auftraggebers gedeckt sind und

  1. Ziffer 2
    die schutzwürdigen Geheimhaltungsinteressen des Betroffenen nicht verletzen.

(2) Daten dürfen nur übermittelt werden, wenn

  1. Ziffer eins
    sie aus einer gemäß Absatz eins, zulässigen Datenanwendung stammen und

  1. Ziffer 2
    der Empfänger dem Übermittelnden seine ausreichende gesetzliche Zuständigkeit oder rechtliche Befugnis – soweit diese nicht außer Zweifel steht – im Hinblick auf den Übermittlungszweck glaubhaft gemacht hat und

  1. Ziffer 3
    durch Zweck und Inhalt der Übermittlung die schutzwürdigen Geheimhaltungsinteressen des Betroffenen nicht verletzt werden.

(3) Die Zulässigkeit einer Datenverwendung setzt voraus, dass

  1. Ziffer eins
    die dadurch verursachten Eingriffe in das Grundrecht auf Datenschutz nur im erforderlichen Ausmaß und mit den gelindesten zur Verfügung stehenden Mitteln erfolgen und

  1. Ziffer 2
    dass die Grundsätze des Paragraph 4, eingehalten werden.

Paragraph 8,

Schutzwürdige Geheimhaltungsinteressen

bei Verwendung nichtsensibler Daten

(1) Schutzwürdige Geheimhaltungsinteressen sind bei Verwendung nichtsensibler Daten dann nicht verletzt, wenn

  1. Ziffer eins
    eine ausdrückliche gesetzliche Ermächtigung oder Verpflichtung zur Verwendung der Daten besteht oder

  1. Ziffer 2
    der Betroffene der Verwendung seiner Daten zugestimmt hat, wobei ein Widerruf jederzeit möglich ist und die Unzulässigkeit der weiteren Verwendung der Daten bewirkt oder

  1. Ziffer 3
    lebenswichtige Interessen des Betroffenen die Verwendung erfordern oder

  1. Ziffer 4
    überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten die Verwendung erfordern.

(2) Bei der Verwendung von zulässigerweise veröffentlichten Daten oder von nur indirekt personenbezogenen Daten gelten schutzwürdige Geheimhaltungsinteressen als nicht verletzt. Das Recht, gegen die Verwendung solcher Daten gemäß Paragraph 23, Widerspruch zu erheben, bleibt unberührt.

(3) Schutzwürdige Geheimhaltungsinteressen sind aus dem Grunde des Absatz eins, Ziffer 4, insbesondere dann nicht verletzt, wenn die Verwendung der Daten

  1. Ziffer eins
    für einen Auftraggeber des öffentlichen Bereichs eine wesentliche Voraussetzung für die Wahrnehmung einer ihm gesetzlich übertragenen Aufgabe ist oder

  1. Ziffer 2
    durch Auftraggeber des öffentlichen Bereichs in Erfüllung der Verpflichtung zur Amtshilfe geschieht oder

  1. Ziffer 3
    zur Wahrung lebenswichtiger Interessen eines Dritten erforderlich ist oder

  1. Ziffer 4
    zur Erfüllung einer vertraglichen Verpflichtung zwischen Auftraggeber und Betroffenen erforderlich ist oder

  1. Ziffer 5
    zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen des Auftraggebers vor einer Behörde notwendig ist und die Daten rechtmäßig ermittelt wurden oder

  1. Ziffer 6
    ausschließlich die Ausübung einer öffentlichen Funktion durch den Betroffenen zum Gegenstand hat.

(4) Die Verwendung von Daten über gerichtlich oder verwaltungsbehördlich strafbare Handlungen oder Unterlassungen, insbesondere auch über den Verdacht der Begehung von Straftaten, sowie über strafrechtliche Verurteilungen oder vorbeugende Maßnahmen verstößt – unbeschadet der Bestimmungen des Absatz 2, – nur dann nicht gegen schutzwürdige Geheimhaltungsinteressen des Betroffenen, wenn

  1. Ziffer eins
    eine ausdrückliche gesetzliche Ermächtigung oder Verpflichtung zur Verwendung solcher Daten besteht oder

  1. Ziffer 2
    die Verwendung derartiger Daten für Auftraggeber des öffentlichen Bereichs eine wesentliche Voraussetzung zur Wahrnehmung einer ihnen gesetzlich übertragenen Aufgabe ist oder

  1. Ziffer 3
    sich sonst die Zulässigkeit der Verwendung dieser Daten aus gesetzlichen Sorgfaltspflichten oder sonstigen, die schutzwürdigen Geheimhaltungsinteressen des Betroffenen überwiegenden berechtigten Interessen des Auftraggebers ergibt und die Art und Weise, in der die Datenanwendung vorgenommen wird, die Wahrung der Interessen der Betroffenen nach diesem Gesetz gewährleistet.

Paragraph 9,

Schutzwürdige Geheimhaltungsinteressen

bei Verwendung sensibler Daten

Schutzwürdige Geheimhaltungsinteressen werden bei der Verwendung von sensiblen Daten ausschließlich dann nicht verletzt, wenn

  1. Ziffer eins
    der Betroffene die Daten offenkundig selbst öffentlich gemacht hat oder

  1. Ziffer 2
    die Daten in nur indirekt personenbezogener Form verwendet werden oder

  1. Ziffer 3
    sich die Ermächtigung oder Verpflichtung zur Verwendung aus gesetzlichen Vorschriften ergibt, soweit diese der Wahrung eines wichtigen öffentlichen Interesses dienen, oder

  1. Ziffer 4
    die Verwendung durch Auftraggeber des öffentlichen Bereichs in Erfüllung ihrer Verpflichtung zur Amtshilfe geschieht oder

  1. Ziffer 5
    Daten verwendet werden, die ausschließlich die Ausübung einer öffentlichen Funktion durch den Betroffenen zum Gegenstand haben, oder

  1. Ziffer 6
    der Betroffene seine Zustimmung zur Verwendung der Daten ausdrücklich erteilt hat, wobei ein Widerruf jederzeit möglich ist und die Unzulässigkeit der weiteren Verwendung der Daten bewirkt, oder

  1. Ziffer 7
    die Verarbeitung oder Übermittlung zur Wahrung lebenswichtiger Interessen des Betroffenen notwendig ist und seine Zustimmung nicht rechtzeitig eingeholt werden kann oder

  1. Ziffer 8
    die Verwendung der Daten zur Wahrung lebenswichtiger Interessen eines anderen notwendig ist und seine Zustimmung nicht rechtzeitig eingeholt werden kann oder

  1. Ziffer 9
    die Verwendung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen des Auftraggebers vor einer Behörde notwendig ist und die Daten rechtmäßig ermittelt wurden oder

  1. Ziffer 10
    Daten für private Zwecke oder für wissenschaftliche Forschung oder Statistik gemäß Paragraph 16, Absatz eins, oder zur Benachrichtigung oder Befragung des Betroffenen gemäß Paragraph 16, Absatz 2, verwendet werden oder

  1. Ziffer 11
    die Verwendung erforderlich ist, um den Rechten und Pflichten des Auftraggebers auf dem Gebiet des Arbeits- oder Dienstrechts Rechnung zu tragen, wobei die dem Betriebsrat nach dem Arbeitsverfassungsgesetz, Bundesgesetzblatt Nr. 22 aus 1974, in der Fassung Bundesgesetzblatt Teil eins, Nr. 71 aus 2013,, zustehenden Befugnisse zur Datenverwendung unberührt bleiben, oder

  1. Ziffer 12
    die Daten zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder -behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich sind, und die Verwendung dieser Daten durch ärztliches Personal oder sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen, oder

  1. Ziffer 13
    nicht auf Gewinn gerichtete Vereinigungen mit politischem, philosophischem, religiösem oder gewerkschaftlichem Tätigkeitszweck Daten, die Rückschlüsse auf die politische Meinung oder weltanschauliche Überzeugung natürlicher Personen zulassen, im Rahmen ihrer erlaubten Tätigkeit verarbeiten und es sich hiebei um Daten von Mitgliedern, Förderern oder sonstigen Personen handelt, die regelmäßig ihr Interesse für den Tätigkeitszweck der Vereinigung bekundet haben; diese Daten dürfen, sofern sich aus gesetzlichen Vorschriften nichts anderes ergibt, nur mit Zustimmung der Betroffenen an Dritte weitergegeben werden.

Paragraph 10,

Zulässigkeit der Überlassung von Daten

zur Erbringung von Dienstleistungen

(1) Auftraggeber dürfen bei ihren Datenanwendungen Dienstleister in Anspruch nehmen, wenn diese ausreichende Gewähr für eine rechtmäßige und sichere Datenverwendung bieten.

(2) Der Auftraggeber hat mit dem Dienstleister die dafür notwendigen Vereinbarungen zu treffen. Er hat sich von ihrer Einhaltung zu überzeugen, indem er die erforderlichen Informationen über die vom Dienstleister tatsächlich getroffenen Maßnahmen einholt.

(3) Beabsichtigt ein Auftraggeber des öffentlichen Bereichs, einen Dienstleister im Rahmen einer Datenanwendung heranzuziehen, die der Vorabkontrolle gemäß Paragraph 18, unterliegt, hat er dies der Datenschutzbehörde mitzuteilen.

Dies gilt nicht, wenn

* der Auftraggeber den Dienstleister auf Grund

ausdrücklicher gesetzlicher Ermächtigung in Anspruch nimmt oder

* als Dienstleister eine Organisationseinheit tätig

wird, die mit dem Auftraggeber oder einem diesem übergeordneten Organ in einem Über- oder Unterordnungsverhältnis steht.

(4) Kommt die Datenschutzbehörde zur Auffassung, dass die geplante Inanspruchnahme eines Dienstleisters geeignet ist, schutzwürdige Geheimhaltungsinteressen der Betroffenen zu gefährden, hat sie dies dem Auftraggeber unverzüglich mitzuteilen. Im Übrigen gilt Paragraph 25, Absatz 6, Ziffer 3,

Paragraph 11,

Pflichten des Dienstleisters

Der Dienstleister hat unabhängig allfälliger vertraglicher Vereinbarungen die Pflichten im Sinne des Paragraph 11, des DSG 2000.

Paragraph 12,

Genehmigungsfreie Übermittlung und Überlassung von Daten in das Ausland

(1) Die Übermittlung und Überlassung von Daten an Empfänger in Mitgliedstaaten der Europäischen Union ist keinen Beschränkungen im Sinne des Paragraph 13, unterworfen. Dies gilt nicht für den Datenverkehr zwischen Auftraggebern des öffentlichen Bereichs in Angelegenheiten, die nicht dem Recht der Europäischen Gemeinschaften unterliegen.

(2) Keiner Genehmigung gemäß Paragraph 13, bedarf weiters der Datenverkehr mit Empfängern in Drittstaaten mit angemessenem Datenschutz. Die Landesregierung stellt mit Verordnung fest, welche Drittstaaten angemessenen Datenschutz gewährleisten.

Maßgebend für die Angemessenheit des Schutzes ist

* die Ausgestaltung der Grundsätze des Paragraph 4, in der

ausländischen Rechtsordnung und

* das Vorhandensein wirksamer Garantien für ihre

Durchsetzung.

(3) Darüberhinaus ist der Datenverkehr ins Ausland dann genehmigungsfrei, wenn

  1. Ziffer eins
    die Daten im Inland zulässigerweise veröffentlicht wurden oder

  1. Ziffer 2
    Daten, die für den Empfänger nur indirekt personenbezogen sind, übermittelt oder überlassen werden oder

  1. Ziffer 3
    die Übermittlung oder Überlassung von Daten ins Ausland in Rechtsvorschriften vorgesehen ist, die im innerstaatlichen Recht den Rang eines Gesetzes haben und unmittelbar anwendbar sind, oder

  1. Ziffer 4
    der Betroffene ohne jeden Zweifel seine Zustimmung zur Übermittlung oder Überlassung seiner Daten ins Ausland gegeben hat oder

  1. Ziffer 5
    ein vom Auftraggeber mit dem Betroffenen oder mit einem Dritten eindeutig im Interesse des Betroffenen abgeschlossener Vertrag nicht anders als durch Übermittlung der Daten ins Ausland erfüllt werden kann oder

  1. Ziffer 6
    die Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor ausländischen Behörden erforderlich ist und die Daten rechtmäßig ermittelt wurden, oder

  1. Ziffer 7
    es sich um Datenverkehr mit österreichischen Dienststellen im Ausland handelt.

(4) Ist eine Übermittlung oder Überlassung von Daten ins Ausland

  1. Ziffer eins
    zur Wahrung eines wichtigen öffentlichen Interesses oder

  1. Ziffer 2
    zur Wahrung eines lebenswichtigen Interesses einer Person

notwendig und so dringlich, dass die gemäß Paragraph 13, erforderliche Genehmigung der Datenschutzbehörde nicht eingeholt werden kann, ohne diese Interessen zu gefährden, darf sie ohne Genehmigung vorgenommen werden. Sie muss aber der Datenschutzbehörde umgehend mitgeteilt werden.

(5) Voraussetzung für die Zulässigkeit jeder Übermittlung oder Überlassung in das Ausland ist die Zulässigkeit der Datenanwendung im Inland gemäß Paragraph 7, Bei Überlassungen ins Ausland muss darüber hinaus die schriftliche Zusage des ausländischen Dienstleisters an den inländischen Auftraggeber – oder in den Fällen des Paragraph 13, Absatz 4, an den inländischen Dienstleister – vorliegen, dass er die Dienstleisterpflichten gemäß Paragraph 11, einhalten werde. Dies entfällt, wenn die Dienstleistung im Ausland in Rechtsvorschriften vorgesehen ist, die im innerstaatlichen Recht den Rang eines Gesetzes haben und unmittelbar anwendbar sind.

Paragraph 13,

Genehmigungspflichtige Übermittlung und Überlassung von

Daten ins Ausland

(1) Ist der Datenverkehr mit dem Ausland nicht gemäß Paragraph 12, genehmigungsfrei, hat der Auftraggeber vor der Übermittlung oder Überlassung von Daten in das Ausland eine Genehmigung der Datenschutzbehörde einzuholen. Die Datenschutzbehörde kann die Genehmigung an die Erfüllung von Bedingungen und Auflagen binden.

(2) Die Genehmigung ist unter Beachtung der gemäß Paragraph 55, Ziffer 2, des DSG 2000 ergangenen Kundmachungen des Bundeskanzlers zu erteilen, wenn die Voraussetzungen des Paragraph 12, Absatz 5, vorliegen. Darüber hinaus muss

  1. Ziffer eins
    für die im Genehmigungsantrag angeführte Übermittlung oder Überlassung im konkreten Einzelfall angemessener Datenschutz bestehen. Dies ist unter Berücksichtigung aller Umstände zu beurteilen, die bei der Datenverwendung eine Rolle spielen, wie insbesondere die Art der verwendeten Daten, die Zweckbestimmung sowie die Dauer der geplanten Verwendung, das Herkunfts- und das Endbestimmungsland und die in dem betreffenden Drittland geltenden allgemeinen oder sektoriellen Rechtsnormen, Standesregeln und Sicherheitsstandards; oder

  1. Ziffer 2
    der Auftraggeber glaubhaft machen, dass die schutzwürdigen Geheimhaltungsinteressen der vom geplanten Datenverkehr Betroffenen auch im Ausland ausreichend gewahrt werden. Hiefür können insbesondere auch vertragliche Zusicherungen des Empfängers an den Antragsteller über die näheren Umstände der Datenverwendung im Ausland von Bedeutung sein.

(3) Auftraggeber des öffentlichen Bereichs haben im Genehmigungsverfahren auch hinsichtlich der Datenanwendungen Parteistellung, die sie in Vollziehung der Gesetze durchführen.

(4) Abweichend von Absatz eins, kann auch ein inländischer Dienstleister die Genehmigung beantragen, wenn er zur Erfüllung seiner vertraglichen Verpflichtungen gegenüber mehreren Auftraggebern jeweils einen bestimmten weiteren Dienstleister im Ausland heranziehen will. Die tatsächliche Überlassung darf jeweils nur mit Zustimmung des Auftraggebers erfolgen.

(5) Die Übermittlung von Daten an ausländische Vertretungsbehörden oder zwischenstaatliche Einrichtungen in Niederösterreich gilt hinsichtlich der Pflicht zur Einholung von Genehmigungen nach Absatz eins, als Datenverkehr mit dem Ausland.

(6) Hat die Landesregierung trotz Fehlens eines im Empfängerstaat generell geltenden angemessenen Schutzniveaus durch Verordnung festgestellt, dass für bestimmte Kategorien des Datenverkehrs mit diesem Empfängerstaat die Voraussetzungen gemäß Absatz 2, Ziffer eins, zutreffen, tritt an die Stelle der Verpflichtung zur Einholung einer Genehmigung die Pflicht zur Anzeige an die Datenschutzbehörde.

(7) Die Datenschutzbehörde hat binnen sechs Wochen ab Einlangen der Anzeige gemäß Absatz 6, mit Bescheid den angezeigten Datenverkehr zu untersagen, wenn er

* keiner der in der Verordnung geregelten Kategorien

zuzurechnen ist oder

* den Voraussetzungen gemäß Paragraph 12, Absatz 5, nicht

entspricht;

andernfalls ist die Übermittlung oder Überlassung der Daten in das Ausland zulässig.

3. Abschnitt

Datensicherheit

Paragraph 14,

Datensicherheitsmaßnahmen

Der Auftraggeber oder Dienstleister hat für alle Organisationseinheiten zur Gewährleistung der Datensicherheit Maßnahmen zu treffen. Paragraph 14, Absatz und 2 sowie Absatz 4 bis 6 des DSG 2000 gelten sinngemäß.

Paragraph 15,

Datengeheimnis

Daten sind im Sinne des Paragraph 15, des DSG 2000 geheim zu halten.

Paragraph 16,

Besondere Verwendungszwecke

(1) Die Verwendung von Daten für wissenschaftliche oder statistische Untersuchungen ist nach den Bestimmungen des Paragraph 46, des DSG 2000 zulässig.

(2) Die Zurverfügungstellung von Adressen zur Benachrichtigung und Befragung von Betroffenen ist nach den Bestimmungen des Paragraph 47, des DSG 2000 zulässig.

4. Abschnitt

Publizität der Datenanwendungen

Paragraph 17,

Auskunftspflicht

Der Auftraggeber hat jedermann auf Anfrage folgende Angaben über seine Datenanwendungen bekannt zu geben:

  1. Ziffer eins
    den Namen (die sonstige Bezeichnung) und die Anschrift sowie eines allfälligen Vertreters gemäß Paragraph 6, Absatz 2,, und

  1. Ziffer 2
    den Nachweis der gesetzlichen Zuständigkeit oder der rechtlichen Befugnis für die erlaubte Ausübung der Tätigkeit, soweit dies erforderlich ist, und

  1. Ziffer 3
    den Zweck der Datenanwendung und ihre Rechtsgrundlagen, soweit sich diese nicht bereits aus den Angaben nach Ziffer 2, ergeben, und

  1. Ziffer 4
    die Kreise der von der Datenanwendung Betroffenen und die über sie verarbeiteten Datenarten und

  1. Ziffer 5
    die Kreise der von beabsichtigten Übermittlungen Betroffenen, die zu übermittelnden Datenarten und die zugehörigen Empfängerkreise – einschließlich allfälliger ausländischer Empfängerstaaten – sowie die Rechtsgrundlagen der Übermittlung.

5. Abschnitt

Aufnahme der Datenanwendung

Paragraph 18,

Vorabkontrolle

(1) Datenanwendungen, die

  1. Ziffer eins
    sensible Daten enthalten oder

  1. Ziffer 2
    strafrechtlich relevante Daten im Sinne des Paragraph 8, Absatz 4, enthalten oder

  1. Ziffer 3
    die Auskunftserteilung über die Kreditwürdigkeit der Betroffenen zum Zweck haben

dürfen erst nach einer Vorabkontrolle durch die Datenschutzbehörde aufgenommen werden.

(2) Dies gilt nicht für Datenanwendungen, die

  1. Ziffer eins
    ausschließlich veröffentlichte Daten enthalten oder

  1. Ziffer 2
    die Führung von Registern oder Verzeichnissen zum Inhalt haben, die von Gesetzes wegen öffentlich einsehbar sind, sei es auch nur bei Nachweis eines berechtigten Interesses oder

  1. Ziffer 3
    nur indirekt personenbezogene Daten enthalten.

Paragraph 19,

Verfahren zur Vorabkontrolle

(1) Der Auftraggeber hat der Datenschutzbehörde folgende Angaben über die Datenanwendung mitzuteilen:

  1. Ziffer eins
    den Namen (die sonstige Bezeichnung) und die Anschrift sowie eines allfälligen Vertreters gemäß Paragraph 6, Absatz 2,, und

  1. Ziffer 2
    den Nachweis der gesetzlichen Zuständigkeit oder der rechtlichen Befugnis für die erlaubte Ausübung der Tätigkeit, soweit dies erforderlich ist, und

  1. Ziffer 3
    den Zweck der Datenanwendung und ihre Rechtsgrundlagen, soweit sich diese nicht bereits aus den Angaben nach Ziffer 2, ergeben, und

  1. Ziffer 4
    die Kreise der von der Datenanwendung Betroffenen und die über sie verarbeiteten Datenarten und

  1. Ziffer 5
    die Kreise der von beabsichtigten Übermittlungen Betroffenen, die zu übermittelnden Datenarten und die zugehörigen Empfängerkreise – einschließlich allfälliger ausländischer Empfängerstaaten – sowie die Rechtsgrundlagen der Übermittlung und

  1. Ziffer 6
    soweit eine Genehmigung der Datenschutzbehörde notwendig ist – die Geschäftszahl der Genehmigung durch die Datenschutzbehörde und

  1. Ziffer 7
    allgemeine Angaben über die getroffenen Datensicherheitsmaßnahmen im Sinne des Paragraph 14,, die eine vorläufige Beurteilung der Angemessenheit der Sicherheitsvorkehrungen erlauben.

(2) Eine Mitteilung ist mangelhaft, wenn Angaben fehlen, offenbar unrichtig, unstimmig oder so unzureichend sind, dass jemand im Hinblick auf die Wahrnehmung seiner Rechte nach diesem Gesetz keine hinreichenden Informationen darüber gewinnen kann, ob durch die Datenanwendung seine schutzwürdigen Geheimhaltungsinteressen verletzt sein könnten. Unstimmigkeit liegt insbesondere auch dann vor, wenn der Inhalt einer Datenanwendung nicht durch die angegebenen Rechtsgrundlagen gedeckt ist.

(3) Die Datenschutzbehörde hat die Mitteilung binnen zwei Monaten zu prüfen. Kommt sie dabei zur Auffassung, dass eine Mitteilung im Sinne des Absatz 2, mangelhaft ist, so ist dem Auftraggeber längstens innerhalb von zwei Monaten nach Einlangen der Meldung die Verbesserung des Mangels unter Setzung einer Frist aufzutragen.

(4) Gleichzeitig mit einem allfälligen Auftrag zur Verbesserung ist darüber abzusprechen, ob die Verarbeitung bereits aufgenommen werden darf oder ob dies mangels Nachweises ausreichender Rechtsgrundlagen für die gemeldete Datenanwendung nicht zulässig ist.

(5) Wird einem Verbesserungsauftrag nicht fristgerecht entsprochen, so hat die Datenschutzbehörde die Aufnahme der Datenanwendung mit Bescheid abzulehnen.

(6) Die Datenschutzbehörde kann auf Grund der Ergebnisse des Prüfungsverfahrens dem Auftraggeber Auflagen für die Vornahme der Datenanwendung durch Bescheid erteilen, soweit dies zur Wahrung der durch dieses Gesetz geschützten Interessen der Betroffenen notwendig ist.

(7) Wird innerhalb von zwei Monaten nach Mitteilung kein Auftrag zur Verbesserung erteilt, darf die Verarbeitung aufgenommen werden.

(8) Auftraggeber des öffentlichen Bereichs haben auch im Verfahren hinsichtlich der Datenanwendungen Parteistellung, die sie in Vollziehung der Gesetze durchführen.

6. Abschnitt

Die Rechte des Betroffenen

Paragraph 20,

Auskunftsrecht

(1) Der Auftraggeber hat dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben, wenn der Betroffene dies schriftlich verlangt und seine Identität in geeigneter Form nachweist. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden.

(2) Die Auskunft hat

* die verarbeiteten Daten,

* die verfügbaren Informationen über ihre Herkunft,

allfällige Empfänger oder Empfängerkreise von Übermittlungen,

* den Zweck der Datenverwendung sowie

* die Rechtsgrundlagen dafür

in allgemein verständlicher Form anzuführen.

Auf Verlangen des Betroffenen sind auch Namen und Adresse von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Mit Zustimmung des Betroffenen kann an Stelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.

(3)

Die Auskunft ist nicht zu erteilen,

* soweit dies zum Schutz des Betroffenen aus

besonderen Gründen notwendig ist oder

* soweit überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten, insbesondere auch überwiegende öffentliche Interessen, der Auskunftserteilung entgegenstehen.

Überwiegende öffentliche Interessen können sich hiebei aus der Notwendigkeit

  1. Ziffer eins
    des Schutzes der verfassungsmäßigen Einrichtungen der Republik Österreich oder

  1. Ziffer 2
    der Sicherung der Einsatzbereitschaft des Bundesheeres oder

  1. Ziffer 3
    der Sicherung der umfassenden Landesverteidigung oder

  1. Ziffer 4
    des Schutzes wichtiger außenpolitischer, wirtschaftlicher oder finanzieller Interessen der Republik Österreich oder der Europäischen Union oder

  1. Ziffer 5
    der Vorbeugung, Verhinderung oder Verfolgung von Straftaten

ergeben. Die Zulässigkeit der Auskunftsverweigerung aus den Gründen der Ziffer eins bis 5 unterliegt der Kontrolle durch die Datenschutzbehörde.

Paragraph 21,

Auskunftsverfahren

(1) Der Betroffene hat am Auskunftsverfahren über Befragung in dem ihm zumutbaren Ausmaß mitzuwirken, um ungerechtfertigten und unverhältnismäßigen Aufwand beim Auftraggeber zu vermeiden.

(2) Innerhalb von acht Wochen nach Einlangen des Begehrens ist die Auskunft zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird. Von der Erteilung der Auskunft kann auch deshalb abgesehen werden, weil der Betroffene am Verfahren nicht gemäß Absatz eins, mitgewirkt oder weil er den Kostenersatz nicht geleistet hat.

(3) Die Auskunft ist unentgeltlich zu erteilen, wenn

* sie den aktuellen Datenbestand einer Datenanwendung

betrifft und

* der Betroffene im laufenden Jahr noch kein

Auskunftsersuchen an den Auftraggeber zum selben Aufgabengebiet gestellt hat.

In allen anderen Fällen kann ein pauschalierter Kostenersatz von € 18,89 verlangt werden, von dem wegen tatsächlich erwachsender höherer Kosten abgewichen werden darf. Ein etwa geleisteter Kostenersatz ist ungeachtet allfälliger Schadenersatzansprüche zurückzuerstatten, wenn Daten rechtswidrig verwendet wurden oder wenn die Auskunft sonst zu einer Richtigstellung geführt hat.

(4) Ab dem Zeitpunkt der Kenntnis von einem Auskunftsverlangen darf der Auftraggeber Daten über den Betroffenen innerhalb eines Zeitraums von vier Monaten und im Falle der Erhebung einer Beschwerde an die Datenschutzbehörde bis zum Abschluss des Verfahrens nicht vernichten.

(5) Soweit Datenanwendungen von Gesetzes wegen öffentlich einsehbar sind, hat der Betroffene ein Recht auf Auskunft in dem Umfang, in dem ein Einsichtsrecht besteht. Für das Verfahren der Einsichtnahme gelten die näheren Regelungen der das öffentliche Buch oder Register einrichtenden Gesetze.

(6) Im Falle der auf Grund von Rechtsvorschriften, Standesregeln oder Verhaltensregeln gemäß Paragraph 5, eigenverantwortlichen Entscheidung über die Durchführung einer Datenanwendung durch einen Auftragnehmer gemäß Paragraph 3, Ziffer 5,, vierter Satz, kann der Betroffene sein Auskunftsbegehren zunächst auch an denjenigen richten, der die Herstellung des Werkes aufgetragen hat. Dieser hat dem Betroffenen, soweit dies nicht ohnehin bekannt ist, binnen zwei Wochen unentgeltlich Namen und Adresse des eigenverantwortlichen Auftragnehmers mitzuteilen, damit der Betroffene sein Auskunftsrecht gemäß Paragraph 20, Absatz eins, gegen diesen geltend machen kann.

Paragraph 22,

Recht auf Richtigstellung oder Löschung

(1) Jeder Auftraggeber hat unrichtige oder entgegen den Bestimmungen dieses Gesetzes verarbeitete Daten richtig zu stellen oder zu löschen, und zwar

  1. Ziffer eins
    aus eigenem, sobald ihm die Unrichtigkeit von Daten oder die Unzulässigkeit ihrer Verarbeitung bekannt geworden ist, oder

  1. Ziffer 2
    auf begründeten Antrag des Betroffenen.

(2) Der Pflicht zur Richtigstellung nach Absatz eins, Ziffer eins, unterliegen nur solche Daten, deren Richtigkeit für den Zweck der Datenanwendung von Bedeutung ist.

(3) Die Unvollständigkeit verwendeter Daten bewirkt nur dann einen Berichtigungsanspruch, wenn sich aus der Unvollständigkeit im Hinblick auf den Zweck der Datenanwendung die Unrichtigkeit der Gesamtinformation ergibt.

(4) Sobald Daten für den Zweck der Datenanwendung nicht mehr benötigt werden, gelten sie als unzulässig verarbeitete Daten und sind zu löschen. Dies gilt nicht, wenn ihre Archivierung rechtlich zulässig ist und wenn der Zugang zu diesen Daten besonders geschützt ist. Die Weiterverwendung von Daten für einen anderen Zweck ist nur zulässig, wenn eine Übermittlung der Daten für diesen Zweck zulässig ist. Die Zulässigkeit der Weiterverwendung für wissenschaftliche oder statistische Zwecke ergibt sich aus Paragraph 16, Absatz eins,

(5) Der Beweis der Richtigkeit der Daten obliegt – sofern gesetzlich nicht ausdrücklich anderes angeordnet ist – dem Auftraggeber, soweit die Daten nicht ausschließlich auf Grund von Angaben des Betroffenen ermittelt wurden.

(6) Eine Richtigstellung oder Löschung von Daten ist ausgeschlossen, soweit der Dokumentationszweck einer Datenanwendung keine nachträglichen Änderungen zulässt. Die erforderlichen Richtigstellungen sind diesfalls durch entsprechende zusätzliche Anmerkungen zu bewirken.

(7) Dem Antrag ist innerhalb von acht Wochen nach Einlangen zu entsprechen und dem Betroffenen davon Mitteilung zu machen oder schriftlich zu begründen, warum die verlangte Löschung oder Richtigstellung nicht vorgenommen wird.

(8) Werden Daten verwendet, deren Richtigkeit der Betroffene bestreitet, und lässt sich weder ihre Richtigkeit noch ihre Unrichtigkeit feststellen, so ist auf Verlangen des Betroffenen ein Vermerk über die Bestreitung beizufügen. Der Bestreitungsvermerk darf nur mit Zustimmung des Betroffenen oder auf Grund einer Entscheidung des zuständigen Gerichtes oder der Datenschutzbehörde gelöscht werden.

(9) Wurden im Sinne des Absatz eins, richtig gestellte oder gelöschte Daten vor der Richtigstellung oder Löschung übermittelt, so hat der Auftraggeber die Empfänger dieser Daten hievon in geeigneter Weise zu verständigen. Dies gilt nicht, wenn es einen unverhältnismäßigen Aufwand, insbesondere im Hinblick auf das Vorhandensein eines berechtigten Interesses an der Verständigung, bedeutet und die Empfänger nicht mehr feststellbar sind.

Paragraph 23,

Widerspruchsrecht

(1) Jeder Betroffene hat das Recht, gegen die Verwendung seiner Daten wegen Verletzung überwiegender schutzwürdiger Geheimhaltungsinteressen, die sich aus seiner besonderen Situation ergeben, beim Auftraggeber der Datenanwendung Widerspruch zu erheben. Der Auftraggeber hat bei Vorliegen dieser Voraussetzungen die Daten des Betroffenen binnen acht Wochen aus seiner Datenanwendung zu löschen und allfällige Übermittlungen zu unterlassen.

(2) Absatz eins, gilt nicht für die gesetzlich vorgesehene Verwendung von Daten.

(3) Gegen eine nicht gesetzlich angeordnete Aufnahme in eine öffentlich zugängliche Datei kann der Betroffene jederzeit auch ohne Begründung seines Begehrens Widerspruch erheben. Die Daten sind binnen acht Wochen zu löschen.

Paragraph 24,

Die Rechte des Betroffenen

bei der Verwendung nur indirekt

personenbezogener Daten

Die durch die Paragraphen 20 bis 23 gewährten Rechte können nicht geltend gemacht werden, soweit nur indirekt personenbezogene Daten verwendet werden.

7. Abschnitt

Rechtsschutz

Paragraph 25,

Kontrollbefugnisse der

Datenschutzbehörde

(1) Jedermann kann sich wegen einer behaupteten Verletzung seiner Rechte oder ihn betreffender Pflichten eines Auftraggebers oder Dienstleisters nach diesem Gesetz mit einer Eingabe an die Datenschutzbehörde wenden.

(2) Die Datenschutzbehörde kann im Fall eines begründeten Verdachtes auf Verletzung der im Absatz eins, genannten Rechte und Pflichten Datenanwendungen überprüfen. Hiebei kann sie vom Auftraggeber oder Dienstleister der überprüften Datenanwendung insbesondere alle notwendigen Aufklärungen verlangen und Einschau in Datenanwendungen und diesbezügliche Unterlagen begehren.

(3) Datenanwendungen, die der Vorabkontrolle gemäß Paragraph 18, unterliegen, dürfen auch ohne Vorliegen eines Verdachts auf rechtswidrige Datenverwendung überprüft werden.

(4) Zum Zweck der Einschau ist die Datenschutzbehörde nach Verständigung des Inhabers der Räumlichkeiten und des Auftraggebers (Dienstleisters) berechtigt,

Räume, in welchen Datenanwendungen vorgenommen werden, zu betreten,

die zu überprüfenden Verarbeitungen durchzuführen sowie

Kopien von Datenträgern in dem für die Ausübung der Kontrollbefugnisse unbedingt erforderlichen Ausmaß herzustellen.

Der Auftraggeber (Dienstleister) hat die für die Einschau notwendige Unterstützung zu leisten. Die Kontrolltätigkeit ist unter möglichster Schonung der Rechte des Auftraggebers (Dienstleisters) und Dritter auszuüben.

(5) Informationen, die der Datenschutzbehörde oder ihren Beauftragten bei der Kontrolltätigkeit zukommen, dürfen ausschließlich für die Kontrolle im Rahmen der Vollziehung datenschutzrechtlicher Vorschriften verwendet werden. Die Pflicht zur Verschwiegenheit besteht auch gegenüber Gerichten und Verwaltungsbehörden, insbesondere Abgabenbehörden.

(6) Ergibt die Einschau den Verdacht

einer strafbaren Handlung nach Paragraph 30, dieses Gesetzes oder

eines Verbrechens nach Paragraph 278 a, StGB (kriminelle Organisation), Bundesgesetzblatt Nr. 60 aus 1974, in der Fassung Bundesgesetzblatt Teil eins, Nr. 25 aus 2013,, oder

eines Verbrechens mit einer Freiheitsstrafe, deren Höchstmaß fünf Jahre übersteigt,

ist jedoch Anzeige zu erstatten und hinsichtlich solcher Verbrechen und Vergehen auch dem Ersuchen der Strafgerichte nach Paragraph 26, StPO, Bundesgesetzblatt Nr. 631 aus 1975, in der Fassung Bundesgesetzblatt Teil eins, Nr. 83 aus 2013,, zu entsprechen.

Zur Herstellung des rechtmäßigen Zustandes kann die Datenschutzbehörde Empfehlungen aussprechen, für deren Befolgung erforderlichenfalls eine angemessene Frist zu setzen ist. Wird einer solchen Empfehlung innerhalb der gesetzten Frist nicht entsprochen, so kann die Datenschutzbehörde je nach der Art des Verstoßes von Amts wegen insbesondere

  1. Ziffer eins
    Anzeige nach Paragraph 30, erstatten, oder

  1. Ziffer 2
    bei schwer wiegenden Verstößen durch Auftraggeber des privaten Bereichs Klage vor dem zuständigen Gericht gemäß Paragraph 27, Absatz 2, erheben, oder

  1. Ziffer 3
    bei Verstößen von Auftraggebern, die Organe einer Gebietskörperschaft sind, das zuständige oberste Organ befassen. Dieses Organ hat innerhalb einer angemessenen, jedoch zwölf Wochen nicht überschreitenden Frist entweder dafür Sorge zu tragen, dass der Empfehlung der Datenschutzbehörde entsprochen wird, oder der Datenschutzbehörde mitzuteilen, warum der Empfehlung nicht entsprochen wurde. Die Begründung darf von der Datenschutzbehörde der Öffentlichkeit in geeigneter Weise zur Kenntnis gebracht werden, soweit dem nicht die Amtsverschwiegenheit entgegensteht.

(7) Der Einschreiter ist darüber zu informieren, wie mit seiner Eingabe verfahren wurde.

Paragraph 26,

Beschwerde an die Datenschutzbehörde

(1) Die Datenschutzbehörde erkennt auf Antrag des Betroffenen über behauptete Verletzungen des Rechtes auf Auskunft gemäß Paragraph 20, durch den Auftraggeber einer Datenanwendung, soweit sich das Auskunftsbegehren nicht auf die Verwendung von Daten für Akte der Gesetzgebung oder der Gerichtsbarkeit bezieht.

(2) Die Datenschutzbehörde ist zur Entscheidung über behauptete Verletzungen der Rechte eines Betroffenen auf Geheimhaltung, auf Richtigstellung oder auf Löschung nach diesem Gesetz dann zuständig, wenn der Betroffene seine Beschwerde gegen einen Auftraggeber des öffentlichen Bereichs richtet, der nicht als Organ der Gesetzgebung oder der Gerichtsbarkeit tätig ist.

(3) Bei Gefahr im Verzug kann die Datenschutzbehörde im Zuge der Behandlung einer Beschwerde nach Absatz 2, die weitere Verwendung von Daten zur Gänze oder teilweise untersagen oder auch – bei Streitigkeiten über die Richtigkeit von Daten – dem Auftraggeber die Anbringung eines Bestreitungsvermerks auftragen.

Paragraph 27,

Anrufung der Gerichte

(1) Ansprüche gegen Auftraggeber des privaten Bereichs wegen Verletzung der Rechte des Betroffenen auf Geheimhaltung, auf Richtigstellung oder auf Löschung sind vom Betroffenen auf dem Zivilrechtsweg geltend zu machen.

(2) Die Datenschutzbehörde hat in Fällen, in welchen der begründete Verdacht einer schwer wiegenden Datenschutzverletzung durch einen Auftraggeber des privaten Bereichs besteht, gegen diesen eine Feststellungsklage (Paragraph 228, ZPO), RGBl. Nr. 113/1895 in der Fassung Bundesgesetzblatt Teil eins, Nr. 26 aus 2013,, beim zuständigen Gericht zu erheben.

Paragraph 28,

Schadenersatz

Ein Auftraggeber oder Dienstleister, der Daten schuldhaft entgegen den Bestimmungen dieses Gesetzes verwendet, hat dem Betroffenen den erlittenen Schaden nach den allgemeinen Bestimmungen des bürgerlichen Rechts zu ersetzen. Im Übrigen gilt Paragraph 33, DSG 2000.

Paragraph 29,

Gemeinsame Bestimmungen

(1) Der Anspruch auf Behandlung einer Eingabe nach Paragraph 25,, einer Beschwerde nach Paragraph 26, oder einer Klage nach Paragraph 27, erlischt, wenn der Einschreiter sie nicht binnen eines Jahres, nachdem er Kenntnis von dem beschwerenden Ereignis erlangt hat, längstens aber binnen drei Jahren, nachdem das Ereignis behauptetermaßen stattgefunden hat, einbringt. Dies ist dem Einschreiter im Falle einer verspäteten Eingabe gemäß Paragraph 25, mitzuteilen; verspätete Beschwerden nach Paragraph 26 und Klagen nach Paragraph 27, sind abzuweisen.

(2) Eingaben nach Paragraph 25,, Beschwerden nach Paragraph 26,, Klagen nach Paragraph 27, können nicht nur auf die Verletzung der Vorschriften dieses Gesetzes, sondern auch auf die Verletzung von datenschutzrechtlichen Vorschriften eines anderen Mitgliedstaates der Europäischen Union gegründet werden, soweit solche Vorschriften gemäß Paragraph 2, im Inland anzuwenden sind.

(3) Ist die vermutete Verletzung schutzwürdiger Geheimhaltungsinteressen eines Betroffenen im Inland gemäß Paragraph 2, nach der Rechtsordnung eines anderen Mitgliedstaats der Europäischen Union zu beurteilen, so kann die Datenschutzbehörde im Falle ihrer Befassung die zuständige ausländische Datenschutzkontrollstelle um Unterstützung ersuchen.

(4) Die Datenschutzbehörde hat den Unabhängigen Datenschutzkontrollstellen der anderen Mitgliedstaaten der Europäischen Union über Ersuchen Amtshilfe zu leisten.

8. Abschnitt

Strafbestimmungen

Paragraph 30,

Verwaltungsstrafbestimmung

(1) Sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet oder nach anderen Verwaltungsstrafbestimmungen mit strengerer Strafe bedroht ist, begeht eine Verwaltungsübertretung, die mit Geldstrafe bis zu € 7.300,– zu ahnden ist, wer

  1. Ziffer eins
    sich vorsätzlich widerrechtlichen Zugang zu einer Datenanwendung verschafft oder einen erkennbar widerrechtlichen Zugang vorsätzlich aufrechterhält oder

  1. Ziffer 2
    Daten vorsätzlich in Verletzung des Datengeheimnisses (Paragraph 15,) übermittelt, insbesondere Daten, die ihm gemäß Paragraph 16, anvertraut wurden, vorsätzlich für andere Zwecke verwendet oder

  1. Ziffer 3
    Daten entgegen einer rechtskräftigen Entscheidung verwendet, nicht beauskunftet, nicht richtigstellt oder nicht löscht oder

  1. Ziffer 4
    Daten vorsätzlich entgegen Paragraph 21, Absatz 4, vernichtet.

(2) Sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet, begeht eine Verwaltungsübertretung, die mit Geldstrafe bis zu € 3.650,– zu ahnden ist, wer

  1. Ziffer eins
    Daten ermittelt, verarbeitet oder übermittelt, ohne eine Mitteilungspflicht gemäß Paragraph 19, erfüllt zu haben oder

  1. Ziffer 2
    Daten ins Ausland übermittelt oder überlässt, ohne die erforderliche Genehmigung der Datenschutzbehörde gemäß Paragraph 13, eingeholt zu haben oder

  1. Ziffer 3
    trotz einer Empfehlung der Datenschutzbehörde die Auskunftspflicht gemäß Paragraph 17, verletzt oder

  1. Ziffer 4
    die gemäß Paragraph 14, erforderlichen Sicherheitsmaßnahmen gröblich außer Acht läßt.

(3) Der Versuch ist strafbar.

(4) Die Strafe des Verfalls von Datenträgern kann ausgesprochen werden (Paragraphen 10,, 17 und 18 VStG, Bundesgesetzblatt Nr. 52 aus 1991, in der Fassung Bundesgesetzblatt Teil eins, Nr. 33 aus 2013,), wenn diese Gegenstände mit einer Verwaltungsübertretung nach Absatz eins, oder 2 in Zusammenhang stehen.

(5) Zuständig für Entscheidungen nach Absatz eins bis 4 ist die Bezirksverwaltungsbehörde, in deren Sprengel der Auftraggeber (Dienstleister) seinen gewöhnlichen Aufenthalt oder Sitz hat. Falls ein solcher im Inland nicht gegeben ist, ist die am Sitz der Landesregierung eingerichtete Bezirksverwaltungsbehörde zuständig.

9. Abschnitt

Schluss- und Übergangsbestimmungen

Paragraph 31,

Mitteilungen an die Europäische Kommission und an die

anderen Mitgliedstaaten der Europäischen Union

Die Datenschutzbehörde hat den anderen Mitgliedstaaten der Europäischen Union und der Europäischen Kommission mitzuteilen, in welchen Fällen

  1. Ziffer eins
    keine Genehmigung für den Datenverkehr in ein Drittland erteilt wurde, weil die Voraussetzungen des Paragraph 13, Absatz 2, Ziffer eins, nicht als gegeben erachtet wurden;

  1. Ziffer 2
    der Datenverkehr in ein Drittland ohne angemessenes Datenschutzniveau genehmigt wurde, weil die Voraussetzungen des Paragraph 13, Absatz 2, Ziffer 2, als gegeben erachtet wurden.

Paragraph 32,

Anhörungsverfahren, Berichtspflicht

(1) Die Datenschutzbehörde ist vor Erlassung von Verordnungen anzuhören, die auf der Grundlage dieses Gesetzes ergehen oder sonst wesentliche Fragen des Datenschutzes unmittelbar betreffen.

(2) Die Datenschutzbehörde hat spätestens alle zwei Jahre einen Bericht über ihre Tätigkeit zu erstellen und in geeigneter Weise zu veröffentlichen. Der Bericht ist der Landesregierung zur Kenntnis zu übermitteln.

Paragraph 33,

Datenanwendungen des Landtages

Der Präsident des Landtages ist Auftraggeber jener Datenanwendungen, die für Zwecke der ihm gemäß Paragraph 22, der Geschäftsordnung – LGO 1979, Landesgesetzblatt 0010, übertragenen Angelegenheiten durchgeführt werden. Übermittlungen von Daten aus solchen Datenanwendungen dürfen nur über Auftrag des Präsidenten des Landtags vorgenommen werden. Der Präsident trifft Vorsorge dafür, dass im Falle eines Übermittlungsauftrags die Voraussetzungen des Paragraph 7, Absatz 2, vorliegen und insbesondere die Zustimmung des Betroffenen in jenen Fällen eingeholt wird, in welchen dies gemäß Paragraph 7, Absatz 2, mangels einer anderen Rechtsgrundlage für die Übermittlung notwendig ist.

Paragraph 34,

Umgesetzte EG-Richtlinien

Durch dieses Gesetz wird folgende Richtlinie der Europäischen Gemeinschaften umgesetzt:

Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl.Nr. L 281, vom 23.11.1995, Sitzung 31.

Paragraph 35,

Inkrafttreten

Dieses Gesetz tritt am 1. Jänner 2001 in Kraft.

Paragraph 36,

Übergangsbestimmungen

(1) Die Verarbeitung von Daten, die zum Zeitpunkt des Inkrafttretens dieses Gesetzes in manuellen Dateien vorhanden sind, sind

  1. Ziffer eins
    bis zum 1. Oktober 2007 mit den Paragraphen 4,, 5, 6, 7, 8 und 9

  1. Ziffer 2
    bis zum 1. Jänner 2003 mit den übrigen Bestimmungen dieses Gesetzes

in Einklang zu bringen.

(2) Betroffene im Sinne dieses Gesetzes können unabhängig von Absatz eins, auf Antrag die Berichtigung, Löschung oder Sperrung von Daten erreichen, die unvollständig, unzutreffend oder auf eine Art und Weise aufbewahrt sind, die mit den vom für die Verarbeitung Verantwortlichen verfolgten rechtmäßigen Zwecken unvereinbar ist.