Tiroler Datenschutzgesetz - TDSG

Stammfassung: LGBl. Nr. 60/2003

Gesetz vom 21. Mai 2003 über den Schutz personenbezogener Daten (Tiroler Datenschutzgesetz - TDSG)

§ 1 - Geltungsbereich

(1) Dieses Gesetz gilt für Datenanwendungen (§ 2 lit. b) in Angelegenheiten, in denen die Zuständigkeit zur Gesetzgebung Landessache ist.

(2) Durch dieses Gesetz wird die Zuständigkeit des Bundes nicht berührt.

(3) Dieses Gesetz gilt nicht für:

  1. die ausschließliche Durchfuhr personenbezogener Daten durch das Land;
  2. die Verwendung personenbezogener Daten durch natürliche Personen für ausschließlich persönliche oder familiäre Tätigkeiten.

§ 2 - Begriffsbestimmungen

Im Sinne dieses Gesetzes bedeuten:

  1. Daten (personenbezogene Daten): Angaben über Betroffene (lit. e), deren Identität bestimmt oder bestimmbar ist;
  2. Datenanwendung: die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte (lit. i), die zur Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung) geordnet sind, soweit diese Schritte nicht automationsunterstützt erfolgen;
  3. nur indirekt personenbezogene Daten: Daten für einen Auftraggeber (lit. f), Dienstleister (lit. g) oder Empfänger einer Übermittlung (lit. m), deren Personenbezug derart ist, dass dieser Auftraggeber, Dienstleister oder Übermittlungsempfänger die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann;
  4. sensible Daten (besonders schutzwürdige Daten): Daten natürlicher Personen über ihre rassische oder ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder ihr Sexualleben;
  5. Betroffener: jede vom Auftraggeber (lit. f) verschiedene natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet (lit. i) werden;
  6. Auftraggeber: natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft und die Geschäftsapparate solcher Organe, wenn sie allein oder gemeinsam mit anderen die Entscheidung getroffen haben, Daten für einen bestimmten Zweck zu verarbeiten (lit. j), und zwar unabhängig davon, ob sie die Verarbeitung selbst durchführen oder hiezu einen anderen heranziehen. Als Auftraggeber gelten sie auch dann, wenn sie einem anderen Daten zur Herstellung eines von ihnen aufgetragenen Werkes überlassen und der Auftragnehmer die Entscheidung trifft, diese Daten zu verarbeiten. Wurde jedoch dem Auftragnehmer anlässlich der Auftragserteilung die Verarbeitung der überlassenen Daten ausdrücklich untersagt oder hat der Auftragnehmer die Entscheidung über die Art und Weise der Verwendung, insbesondere die Vornahme einer Verarbeitung der überlassenen Daten aufgrund von Rechtsvorschriften, Standesregeln oder Verhaltensregeln eigenverantwortlich zu treffen, so gilt der mit der Herstellung des Werkes Betraute als datenschutzrechtlicher Auftraggeber;
  7. Dienstleister: natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft und die Geschäftsapparate solcher Organe, wenn sie Daten, die ihnen zur Herstellung eines aufgetragenen Werkes überlassen wurden, verwenden (lit. i);
  8. Datei: strukturierte Sammlung von Daten, die nach mindestens einem Suchkriterium zugänglich sind;
  9. Verwenden von Daten: jede nicht automationsunterstützte Art der Handhabung von Daten einer Datenanwendung, also sowohl das Verarbeiten (lit. j) als auch das Übermitteln (lit. m) von Daten;
  10. Verarbeiten von Daten: das Ermitteln, Erfassen, Aufbewahren, Ordnen, Vergleichen, Verändern, Verknüpfen, Vervielfältigen, Benützen, Überlassen (lit. l), Sperren, Löschen, Vernichten oder jede andere Art der Handhabung von Daten einer Datenanwendung durch den Auftraggeber oder Dienstleister mit Ausnahme des Übermittelns (lit. m) von Daten, soweit diese Schritte nicht automationsunterstützt erfolgen;
  11. Ermitteln von Daten: das Erheben von Daten in der Absicht, sie in einer Datenanwendung zu verwenden;
  12. Überlassen von Daten: die Weitergabe von Daten vom Auftraggeber an einen Dienstleister;
  13. Übermitteln von Daten: die Weitergabe von Daten einer Datenanwendung an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister, insbesondere auch das Veröffentlichen solcher Daten; darüber hinaus auch die Verwendung von Daten für ein anderes Aufgabengebiet des Auftraggebers;
  14. Zustimmung: die gültige, insbesondere ohne Zwang abgegebene Willenserklärung des Betroffenen, dass er in Kenntnis der Sachlage für den konkreten Fall in die Verwendung seiner Daten einwilligt;
  15. Niederlassung: jede durch feste Einrichtungen an einem bestimmten Ort räumlich und funktional abgegrenzte Organisationseinheit mit oder ohne Rechtspersönlichkeit, die am Ort ihrer Einrichtung auch tatsächlich Tätigkeiten ausübt;
  16. Datenschutzkommission: die nach dem 7. Abschnitt des Datenschutzgesetzes 2000, BGBl. I Nr. 165/1999, in der Fassung des Gesetzes BGBl. I Nr. 136/2001 eingerichtete Datenschutzkommission;
  17. Datenverarbeitungsregister: das nach dem 4. Abschnitt des Datenschutzgesetzes 2000 eingerichtete Datenverarbeitungsregister.

§ 3 - Räumlicher Anwendungsbereich

(1) Dieses Gesetz ist auch auf Datenanwendungen im Ausland anzuwenden, wenn Daten in anderen Mitgliedstaaten der Europäischen Union für Zwecke einer im Land gelegenen Haupt- oder Zweigniederlassung eines Auftraggebers verwendet werden.

(2) Abweichend vom Abs. 1 ist das Recht des Sitzstaates des Auftraggebers auf eine Datenanwendung im Land anzuwenden, wenn ein Auftraggeber des privaten Bereiches mit Sitz in einem anderen Mitgliedstaat der Europäischen Union Daten im Land zu einem Zweck verwendet, der keiner im Land gelegenen Niederlassung dieses Auftraggebers zuzurechnen ist.

§ 4 - Öffentlicher und privater Bereich

(1) Datenanwendungen sind dem öffentlichen Bereich im Sinne dieses Gesetzes zuzurechnen, wenn sie für Zwecke eines Auftraggebers durchgeführt werden, der

  1. in Formen des öffentlichen Rechts eingerichtet ist, insbesondere auch als Organ einer Gebietskörperschaft;
  2. in Formen des Privatrechtes eingerichtet und in Vollziehung der Gesetze tätig ist.

(2) Liegen die Voraussetzungen nach Abs. 1 nicht vor, so ist eine Datenanwendung dem privaten Bereich zuzurechnen.

§ 5 - Anwendung von Bestimmungen des Datenschutzgesetzes 2000

Soweit in diesem Gesetz nichts anderes bestimmt ist, sind der 2. bis 6. Abschnitt sowie die §§ 46 bis 48 des Datenschutzgesetzes 2000 sinngemäß mit der Maßgabe anzuwenden, dass

  1. im § 6 Abs. 4 des Datenschutzgesetzes 2000 an die Stelle des Bundeskanzlers die Landesregierung tritt,
  2. für die Tatsache des Vorliegens eines angemessenen Datenschutzes im Sinne der §§ 12 Abs. 2 und 13 Abs. 7 des Datenschutzgesetzes 2000 entsprechende Feststellungen heranzuziehen sind,
  3. die Meldepflicht nach § 17 des Datenschutzgesetzes 2000 nur für solche Dateien besteht, deren Inhalt nach § 18 Abs. 2 des Datenschutzgesetzes 2000 der Vorabkontrolle unterliegt.

§ 6 - Mitwirkung der Datenschutzkommission

Die Datenschutzkommission hat bei der Vollziehung dieses Gesetzes mitzuwirken.

§ 7 - Strafbestimmungen

(1) Wer

  1. sich vorsätzlich widerrechtlichen Zugang zu einer Datenanwendung verschafft oder einen erkennbar widerrechtlichen Zugang vorsätzlich aufrecht erhält,
  2. Daten vorsätzlich in Verletzung des Datengeheimnisses (§ 15 des Datenschutzgesetzes 2000) übermittelt, insbesondere Daten, die ihm nach § 46 oder § 47 des Datenschutzgesetzes 2000 anvertraut wurden, vorsätzlich für andere Zwecke verwendet,
  3. Daten entgegen einem rechtskräftigen Urteil oder Bescheid verwendet, nicht beauskunftet, nicht richtig stellt oder nicht löscht oder
  4. Daten vorsätzlich entgegen dem § 26 Abs. 7 des Datenschutzgesetzes 2000 löscht, begeht eine Verwaltungsübertretung und ist von der Bezirksverwaltungsbehörde mit einer Geldstrafe bis zu 18.890,- Euro zu bestrafen.

(2) Wer

  1. Daten ermittelt, verarbeitet oder übermittelt, ohne seine Meldepflicht nach § 5 lit. c erfüllt zu haben,
  2. Daten ins Ausland übermittelt oder überlässt, ohne die erforderliche Genehmigung der Datenschutzkommission nach § 13 des Datenschutzgesetzes 2000 eingeholt zu haben,
  3. seine Offenlegungs- oder Informationspflichten nach § 23, § 24 oder § 25 des Datenschutzgesetzes 2000 verletzt oder
  4. die nach § 14 des Datenschutzgesetzes 2000 erforderlichen Sicherheitsmaßnahmen gröblich außer Acht lässt, begeht eine Verwaltungsübertretung und ist von der Bezirksverwaltungsbehörde mit einer Geldstrafe bis zu 9.445,- Euro zu bestrafen.

(3) Eine Verwaltungsübertretung nach Abs. 1 oder 2 liegt nicht vor, wenn die Tat den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet oder nach anderen Verwaltungsstrafbestimmungen mit einer strengeren Strafe bedroht ist.

(4) Der Versuch ist strafbar.

(5) Die Strafe des Verfalls von Datenträgern kann ausgesprochen werden, wenn diese Gegenstände mit einer Verwaltungsübertretung nach Abs. 1 oder 2 im Zusammenhang stehen.

(6) Zuständig ist die Bezirksverwaltungsbehörde, in deren Sprengel der Auftraggeber (Dienstleister) seinen gewöhnlichen Aufenthalt oder Sitz hat. Falls ein solcher im Land nicht gegeben ist, ist die Bezirkshauptmannschaft Innsbruck zuständig.

§ 8 - Mitteilungen an die Europäische Kommission und an die anderen Mitgliedstaaten der Europäischen Union

Die Datenschutzkommission hat im Sinne des § 54 des Datenschutzgesetzes 2000 den anderen Mitgliedstaaten der Europäischen Union und der Europäischen Kommission mitzuteilen, in welchen Fällen

  1. keine Genehmigung für den Datenverkehr in ein Drittland erteilt wurde, weil die Voraussetzungen nach § 13 Abs. 2 Z. 1 des Datenschutzgesetzes 2000 nicht als gegeben erachtet wurden;
  2. der Datenverkehr in ein Drittland ohne angemessenes Datenschutzniveau genehmigt wurde, weil die Voraussetzungen nach § 13 Abs. 2 Z. 2 des Datenschutzgesetzes 2000 als gegeben erachtet wurden.

§ 9 - Berichtspflicht

Die Datenschutzkommission hat spätestens alle zwei Jahre einen Bericht über ihre Tätigkeit zu erstellen und in geeigneter Weise zu veröffentlichen. Der Bericht ist der Landesregierung zur Kenntnis zu übermitteln.

§ 10 - In-Kraft-Treten, Übergangsbestimmung, Umsetzung von Gemeinschaftsrecht

(1) Dieses Gesetz tritt mit dem Ablauf des Tages der Kundmachung in Kraft.

(2) Datenanwendungen, die der Meldepflicht nach § 5 lit. c unterliegen, sind, soweit sie schon im Zeitpunkt des In-Kraft-Tretens dieses Gesetzes bestanden haben, dem Datenverarbeitungsregister bis spätestens 1. Jänner 2004 zu melden.

(3) Durch dieses Gesetz wird die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. 1995 Nr. L 281, S. 31-50) umgesetzt.