Datenverarbeitungsregister-Verordnung 2002

Verordnung des Bundeskanzlers über das bei der Datenschutzkommission eingerichtete Datenverarbeitungsregister
(Datenverarbeitungsregister-Verordnung 2002 - DVRV 2002)

BGBl. II Nr. 24/2002

Aufgrund der §§ 16 bis 22 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999, wird verordnet:

Inhaltsverzeichnis

Geltungsbereich

§ 1. Diese Verordnung regelt das Verfahren zur Registrierung von Datenanwendungen im Datenverarbeitungsregister (§ 16 DSG 2000, BGBl. I Nr. 165/1999), die Einrichtung und Führung des Registers sowie die Einsichtnahme in das Register.

Begriffsbestimmungen

§ 2. Das Datenverarbeitungsregister wird im Folgenden als "Register", die Meldungen über Auftraggeber und deren Datenanwendungen gemäß §§ 17 und 19 DSG 2000 (Link zu § 18) als "Meldungen" und die in das Register aufgenommenen Meldungen als "registrierte Meldungen" bezeichnet.

Einrichtung und Inhalt des Registers

§ 3. (1) Das Register ist bei der Datenschutzkommission eingerichtet.

(2) Das Register besteht aus:
  1. den registrierten Meldungen über Auftraggeber und Datenanwendungen,
  2. einem gesonderten Verzeichnis der Informationsverbundsysteme (§ 11) sowie
  3. den Registrierungsakten.

(3) Der Registerinhalt gemäß Abs. 2 Z 1 besteht aus den in das Register aufgenommenen Formblättern nach Anlage 1 bis 3 (Link zu Anlage 2), die vom Auftraggeber ausgefüllt und allenfalls im Registrierungsverfahren verbessert oder aufgrund einer nach der Registrierung ergangenen Entscheidung der Datenschutzkommission geändert wurden. Registrierte Meldungen, die gestrichene oder nicht mehr meldepflichtige Datenanwendungen und ihre Auftraggeber betreffen, sind nicht Registerinhalt.

(4) In den Registrierungsakt (Abs. 2 Z 3) sind insbesondere aufzunehmen:
  1. die der Meldung beigeschlossenen Unterlagen,
  2. die unter Verwendung des Formblattes nach Anlage 4 gemachten allgemeinen Angaben über getroffene Datensicherheitsmaßnahmen,
  3. Genehmigungsbescheide gemäß § 13 DSG 2000,
  4. Bescheide der Datenschutzkommission über Auflagen, die gemäß § 21 Abs. 2 DSG 2000 anlässlich des Prüfungsverfahrens erteilt wurden, sowie
  5. Bescheide der Datenschutzkommission über Änderungen des Registerinhalts gemäß Abs. 2 Z 1.

Anlass und Zeitpunkt der Meldung

§ 4. Zum Zweck der Registrierung hat der Auftraggeber einer Datenanwendung der Datenschutzkommission gemäß §§ 17 und 19 DSG 2000 (Link zu § 18) zu melden:
  1. seine Identität und seine Rechtsgrundlagen (rechtliche Befugnis oder gesetzliche Zuständigkeit) bei der erstmaligen Meldung einer Datenanwendung an die Datenschutzkommission,
  2. jede meldepflichtige Datenanwendung vor deren Aufnahme,
  3. jede Änderung einer meldepflichtigen, bereits registrierten Datenanwendung vor Aufnahme der geänderten Datenanwendung,
  4. jede Änderung des Namens oder der sonstigen Bezeichnung oder der Anschrift des Auftraggebers, unverzüglich nach Eintritt der Änderung,
  5. den Eintritt eines Grundes für die Streichung einer registrierten Datenanwendung, insbesondere den Wegfall ihrer Rechtsgrundlage, unverzüglich nachdem er sich ereignet hat,
  6. den Wegfall einer geeigneten Rechtsgrundlage für die im Zusammenhang mit der Registrierung relevanten Tätigkeiten des Auftraggebers, unverzüglich nach Eintritt ihrer rechtlichen Wirksamkeit.

Form und Inhalt der Meldung

§ 5. (1) Zur Erleichterung und Vereinheitlichung der Meldungen hat die Datenschutzkommission Formblätter mit dem Inhalt der Anlagen 1 bis 4 (Link zu Anlage 2 und Anlage 3 ) aufzulegen, deren formale Ausgestaltung von der Datenschutzkommission entsprechend den jeweiligen Erfordernissen festgelegt wird. Die Formblätter sind auch in elektronischer Form, insbesondere abrufbar über Internet, zur Verfügung zu stellen.

(2) Die Meldepflichtigen haben, soweit nicht nach Abs. 8 formlose Änderungsmeldungen zulässig sind, ihre Meldungen mit Hilfe der gemäß Abs. 1 aufgelegten Formblätter zu erstatten.

(3) Für jede Neu- oder Änderungsmeldung betreffend eine Datenanwendung ist - abgesehen von den Fällen des Abs. 8 - ein Formblatt "Meldung einer Datenanwendung" (Anlage 2) vollständig auszufüllen; bei der Meldung einer Musteranwendung ist hiefür das Formblatt "Meldung einer Musteranwendung" (Anlage 3) zu verwenden. Meldet ein Auftraggeber erstmalig an die Datenschutzkommission, so hat er zusätzlich das Formblatt "Angaben zum Auftraggeber" (Anlage 1) auszufüllen. Dieses Formblatt ist, außer in den Fällen des Abs. 8, auch bei Änderungen von Angaben zum Auftraggeber zu verwenden.

(4) Die Liste der Übermittlungsempfänger aus einer Datenanwendung, deren Zweck die Teilnahme an einem Informationsverbundsystem ist, muss insoweit nicht vom Auftraggeber gemeldet werden, als der Datenschutzkommission nachgewiesen wurde, dass die am Informationsverbundsystem teilnehmenden Auftraggeber den Betreiber des Informationsverbundsystems verpflichtet haben, der Datenschutzkommission die jeweils aktuelle Liste der Teilnehmer am Informationsverbundsystem sowie allfällige sonstige Übermittlungsempfänger einschließlich der Rechtsgrundlagen dieser Übermittlungen zu melden.

(5) Die gemäß § 19 Abs. 1 Z 7 DSG 2000 zu machenden allgemeinen Angaben über die getroffenen Datensicherheitsmaßnahmen sind unter Verwendung des gemäß Anlage 4 aufgelegten Formblatts zu erstatten.

(6) Meldungen sind nach Maßgabe technischer und organisatorischer Möglichkeiten des Auftraggebers im Wege der automationsunterstützten Datenübertragung einzubringen. Eine elektronische Meldung gilt als erstattet, wenn sie an der von der Datenschutzkommission im elektronischen Formblatt hiefür angegebenen E-Mail-Adresse eingegangen ist. Dem Auftraggeber ist das Einlangen seiner elektronischen Meldung mittels E-Mail zu bestätigen.

(7) Weist eine Meldung keine eigenhändige und urschriftliche Unterschrift auf, so kann die Datenschutzkommission, wenn sie Zweifel daran hat, dass die Meldung von dem darin genannten Auftraggeber stammt, eine Bestätigung durch ein innerhalb angemessener Frist vorzulegendes schriftliches Anbringen mit eigenhändiger und urschriftlicher Unterschrift auftragen. Diesem Auftrag kann auch durch elektronische Bestätigung mit sicherer elektronischer Signatur im Sinne des § 4 Abs. 1 des Signaturgesetzes, BGBl. I Nr. 190/1999, entsprochen werden. Nach fruchtlosem Ablauf der von der Datenschutzkommission bestimmten Frist ist das Anbringen nicht mehr zu behandeln.

(8) Meldungen, die die Streichung des Auftraggebers oder einer Datenanwendung aus dem Register oder eine bloße Namens- oder Adressänderung des Auftraggebers zum Gegenstand haben, können auch ohne Verwendung von Formblättern erfolgen; bei einer Namensänderung ist in diesem Fall der Nachweis der Änderung anzuschließen. Diese Änderungen sind von der Datenschutzkommission mit Hilfe des Formblattes Anlage 1 im Register ersichtlich zu machen.

Unterlagen zur Meldung

§ 6. Den Meldungen sind beizulegen:
  1. bei Datenanwendungen des öffentlichen Bereiches der Nachweis der gesetzlichen Zuständigkeit des Auftraggebers und sonstiger allenfalls notwendiger Rechtsgrundlagen für die Datenanwendung, soweit deren Vorhandensein nicht außer Zweifel steht,
  2. bei Datenanwendungen des privaten Bereiches der Nachweis der Befugnis für die Ausübung der Tätigkeit des Auftraggebers oder, wenn für diese keine Befugnis erforderlich ist, eine diesbezügliche Begründung.

Verfahrensvorschriften

§ 7. Auf das Registrierungsverfahren ist gemäß Art. II Abs. 2 EGVG das AVG anzuwenden, soweit das DSG 2000 nicht ausdrücklich anderes bestimmt.

Registrierung

§ 8. (1) Die Registrierung erfolgt durch Übernahme der anlässlich der Meldung vorgelegten und im Registrierungsverfahren allenfalls verbesserten Formblätter gemäß Anlage 1 bis Anlage 3 (Link zu Anlage 2) in das Register. Die Registrierung hat unverzüglich zu erfolgen, sobald
  1. das Prüfungsverfahren die Zulässigkeit der Registrierung ergeben hat oder
  2. zwei Monate seit dem Einlangen der Meldung bei der Datenschutzkommission verstrichen sind, ohne dass ein Verbesserungsauftrag gemäß § 20 DSG 2000 erteilt wurde, oder
  3. der Auftraggeber die verlangten Verbesserungen fristgerecht vorgenommen hat.

(2) Auflagen für die Vornahme einer Datenanwendung, die dem Auftraggeber gemäß § 21 Abs. 2 DSG 2000 anlässlich der Registrierung mit Bescheid der Datenschutzkommission erteilt wurden, sind durch Eintragung der Bescheidzahl in dem vom Auftraggeber eingereichten Formblatt gemäß Anlage 2 von Amts wegen ersichtlich zu machen. Der Spruchinhalt ist in der Registrierung als Beilage zur Anlage 2 wiederzugeben.

(3) Die Vornahme der Registrierung ist dem Auftraggeber schriftlich mitzuteilen (§ 10).

Registernummer

§ 9. (1) Jedem Auftraggeber ist bei der erstmaligen Registrierung eine Registernummer zuzuteilen. Diese Nummer wird dem Auftraggeber schriftlich bekannt gegeben (§ 10). An einen Auftraggeber darf nur eine Registernummer vergeben werden.

(2) Ein Auftraggeber darf nur eine Registernummer führen. In jenen Fällen, in denen gemäß § 25 DSG 2000 eine Registernummer zu führen ist, ist sie als siebenstellige Zahl mit der näheren Kennzeichnung "DVR" zu führen. Zusätze zur Registernummer, die der internen Bezeichnung von Datenanwendungen seitens des Auftraggebers dienen, sind zulässig; sie sind jedoch so zu gestalten, dass die Registernummer als solche erkennbar bleibt.

Registrierungsnachweis (Registerauszug)

§ 10. (1) Die Datenschutzkommission hat dem Auftraggeber die erfolgte Registrierung einer gemeldeten Datenanwendung unter Anschluss einer Kopie der ins Register übernommenen Formblätter schriftlich mitzuteilen. Wurde eine Meldung elektronisch eingebracht, ist eine Kopie der registrierten Meldung elektronisch zuzusenden.

(2) Bei Meldungen, die die Streichung eines Auftraggebers oder einer Datenanwendung aus dem Register oder eine Namens- oder Adressenänderung eines Auftraggebers zum Gegenstand haben, ist diesem schriftlich mitzuteilen, dass die Datenschutzkommission diese Meldung zur Kenntnis genommen hat.

Verzeichnis der Informationsverbundsysteme

§ 11. (1) Aus den der Datenschutzkommission erstatteten Meldungen über Datenanwendungen, die die Teilnahme an einem Informationsverbundsystem zum Inhalt haben, hat die Datenschutzkommission ein Verzeichnis der Informationsverbundsysteme zu erstellen, das die im Abs. 2 bezeichneten Informationen auf dem jeweils neuesten Stand enthält.

(2) Im Verzeichnis der Informationsverbundsysteme sind folgende Angaben einzutragen:
  1. Bezeichnung und Zweck des Informationsverbundsystems,
  2. Rechtsgrundlagen des Systems,
  3. Name oder sonstige Bezeichnung und Anschrift, weiters Telefon- und Faxnummer sowie E-Mail-Adresse des Betreibers,
  4. Liste der am Informationsverbundsystem teilnehmenden Auftraggeber,
  5. die in der Anlage 2 unter Pkt. 7 bis 9 verlangten Meldeangaben mit Bezug auf das gesamte Informationsverbundsystem sowie
  6. allfällige Auflagen für die Führung des Informationsverbundsystems, die gemäß § 21 Abs. 2 DSG 2000 von der Datenschutzkommission erteilt wurden.

(3) Die Datenschutzkommission kann die Eintragung weiterer Angaben anordnen, soweit dies zur zweckmäßigen Organisation und Führung des Verzeichnisses der Informationsverbundsysteme notwendig ist.

(4) Weitere Angaben gemäß § 50 Abs. 2 DSG 2000 sind auf Antrag der Auftraggeber bzw. ihres ausgewiesenen Vertreters einzutragen.

(5) Der Betreiber des Informationsverbundsystems ist von den im Verzeichnis vorgenommenen Eintragungen durch Zusendung einer Abschrift der Eintragung zu verständigen.

Richtigstellung des Registers

§ 12. (1) Erlangt die Datenschutzkommission aus amtlichen Verlautbarungen davon Kenntnis, dass ein eingetragener Auftraggeber verstorben oder untergegangen ist, ist die Streichung aus dem Register von Amts wegen durchzuführen.

(2) Die Datenschutzkommission kann Schreibfehler oder diesen gleichzuhaltende, offenbar auf einem Versehen oder offenbar ausschließlich auf technisch mangelhaftem Betrieb einer automationsunterstützten Datenverarbeitungsanlage beruhende Unrichtigkeiten im Register jederzeit von Amts wegen berichtigen. Der betroffene Auftraggeber ist von der Richtigstellung zu verständigen.

Übernahme der Registernummer in Rechtsnachfolge

§ 13. Dem Rechtsnachfolger eines registrierten Auftraggebers kann auf Antrag die Registernummer des Rechtsvorgängers übertragen werden, wenn der Rechtsvorgänger jegliche Verarbeitung personenbezogener Daten in Auftraggebereigenschaft eingestellt hat und die Rechtsnachfolge glaubhaft gemacht wird. Der Rechtsnachfolger hat in diesem Fall eine neue Meldung als Auftraggeber für die von ihm durchgeführten Datenanwendungen unter Verwendung der Formblätter gemäß den Anlagen 1 bis 4 (Link zu Anlage 2 und Anlage 3 ) DVRV 2002 zu erstatten.

Einsicht in das Register

§ 14. (1) Jedermann hat das Recht, in die in § 3 Abs. 2 Z 1 und 2 bezeichneten Teile des Registers Einsicht zu nehmen.

(2) In den Registrierungsakt (§ 3 Abs. 2 Z 3) ist Einsicht zu gewähren, wenn der Einsichtswerber glaubhaft macht, dass er Betroffener ist, und soweit nicht überwiegende schutzwürdige Geheimhaltungsinteressen des Auftraggebers oder anderer Personen entgegenstehen. Keiner Einsicht unterliegen jedenfalls die Angaben über Datensicherheitsmaßnahmen.

(3) Die Einsicht in das Register ist gebührenfrei.

(4) Die Registerinhalte gemäß § 3 Abs. 2 Z 1 und 2 sind der Öffentlichkeit nach Maßgabe technischer und organisatorischer Möglichkeiten auch über das Internet zur Einsicht bereitzustellen. Dabei sind technische Vorkehrungen dahingehend zu treffen, dass zur Abfrage als Suchkriterien hinsichtlich Z 1 nur der Name (die Bezeichnung) und die Registernummer des Auftraggebers, als Suchkriterien hinsichtlich Z 2 die Bezeichnung des Informationsverbundsystems, der Name (die Bezeichnung) des Betreibers und die Namen (die Bezeichnungen) der Auftraggeber, verwendet werden können. Die Bereitstellung im Internet hat unentgeltlich zu erfolgen.

Aufbewahrung von Registerinhalten und Registrierungsakten

§ 15. (1) Registerinhalte gemäß § 3 Abs. 2 Z 1, die in Papierform vorhanden und zusätzlich auf elektronischen Datenträgern gespeichert sind, sind nur in elektronischer Form aufzubewahren.

(2) Registrierte Meldungen, die gestrichene oder nicht mehr meldepflichtige Datenanwendungen zum Gegenstand haben, sind für Zwecke des Nachweises der Rechtmäßigkeit der Geschäftsführung jedenfalls drei Jahre nach Streichung bzw. Wegfall der Meldepflicht aufzubewahren.

(3) Die Abs. 1 und 2 sind auch auf die diesbezüglichen Registrierungsakten (§ 3 Abs. 4) anzuwenden.

Inkrafttreten

§ 16. (1) Diese Verordnung tritt mit 1. Jänner 2002 in Kraft.

(2) Die Verordnung des Bundeskanzlers über das bei der Datenschutzkommission eingerichtete Datenverarbeitungsregister (Datenverarbeitungsregister-Verordnung 2000 - DVRV), BGBl. II Nr. 520/1999, tritt mit Ablauf des 31. Dezember 2001 außer Kraft.

Anlage 1

Inhalt des Formblattes "Angaben zum Auftraggeber"

  1. Angabe, ob Erst-, Änderungs- oder Streichungsmeldung
  2. Registernummer (bei Erstmeldungen vom Register anlässlich der Registrierung einzutragen)
  3. Name oder sonstige Bezeichnung und Anschrift, weiters Telefon- und Faxnummer sowie E-Mail-Adresse des Auftraggebers
  4. Rechtsgrundlagen des Auftraggebers im Sinne des § 7 Abs. 1 DSG 2000 Firmenbuchnummer des Auftraggebers (sofern vorhanden)
  5. Name oder sonstige Bezeichnung und Anschrift des Vertreters eines Auftraggebers, der keine Niederlassung in der Europäischen Union hat
  6. Name und Anschrift eines allfälligen Zustellungsbevollmächtigten
  7. Name und Telefonnummer des Sachbearbeiters beim Auftraggeber
  8. Angaben über die Unterlagen zur Meldung (im Sinne des § 6)

Anlage 2

Inhalt des Formblattes "Meldung einer Datenanwendung"

  1. Angabe, ob Neu-, Änderungs- oder Streichungsmeldung
  2. Registernummer (sofern eine solche bereits zugeteilt wurde)
  3. Name oder sonstige Bezeichnung und Anschrift, weiters Telefon- und Faxnummer sowie E-Mail-Adresse des Auftraggebers
  4. Name und Anschrift eines allfälligen Zustellungsbevollmächtigten
  5. Name und Telefonnummer des Sachbearbeiters beim Auftraggeber
  6. Bezeichnung und Zweck der Datenanwendung
  7. allgemeine Angaben zur Datenanwendung betreffend:
    1. besondere Rechtsgrundlagen der Datenanwendung, soweit sich diese nicht bereits aus den allgemeinen Rechtsgrundlagen des Auftraggebers ergeben
    2. Zugehörigkeit zum öffentlichen oder privaten Bereich
    3. Vorliegen automationsunterstützter oder manueller Datenanwendung
    4. Anwendbarkeit der Vorabkontrolle:
      • aa. Verwendung von sensiblen Daten
      • bb. Verwendung von strafrechtlich relevanten Daten
      • cc. Vorliegen eines Kreditinformationssystems
      • dd. Teilnahme an einem Informationsverbundsystem
  8. im Falle, dass die Datenanwendung die Teilnahme an einem Informationsverbundsystem darstellt:
    1. Bezeichnung des gesamten Informationsverbundsystems
    2. Rechtsgrundlagen des gesamten Informationsverbundsystems, soweit sich diese nicht bereits aus den Angaben zu Punkt 7 a) ergeben und Name oder sonstige Bezeichnung und Anschrift, weiters Telefon- und Faxnummer sowie E-Mail-Adresse des Betreibers
  9. besondere Angaben zum Inhalt der Datenanwendung:
    1. die Kreise der von der Datenanwendung Betroffenen und die über sie verarbeiteten Datenarten
    2. im Falle von beabsichtigten Übermittlungen:
      • aa. die Kreise der Betroffenen
      • bb. die zu übermittelnden Datenarten
      • cc. die zugehörigen Empfängerkreise - einschließlich Angaben über allfällige ausländische Empfängerstaaten sowie Zugehörigkeit der Übermittlungsempfänger zum gleichen Informationsverbundsystem -
      • dd. die Rechtsgrundlagen der Übermittlungen
    3. soweit die Angaben zu b. cc) und dd) vom Betreiber eines Informationsverbundsystems gemäß § 5 Abs. 4 zu melden sind, erübrigt sich die Meldung durch den Auftraggeber
  10. Geschäftszahlen der Bescheide der Datenschutzkommission, mit welchen Auflagen gemäß § 21 Abs. 2 DSG 2000 erteilt wurden (diese sind vom Register anlässlich der Registrierung einzutragen)
  11. soweit eine Genehmigung der Datenschutzkommission für Datenübermittlungen oder Überlassungen ins Ausland notwendig ist, die Geschäftszahl der Genehmigung durch die Datenschutzkommission
  12. Angaben über die Unterlagen zur Meldung (im Sinne des § 6)

Anlage 3

Inhalt des Formblattes "Meldung einer Musteranwendung"

  1. Angabe, ob Neu-, Änderungs- oder Streichungsmeldung
  2. Registernummer (sofern eine solche bereits zugeteilt wurde)
  3. Name oder sonstige Bezeichnung und Anschrift, weiters Telefon- und Faxnummer sowie E-Mail-Adresse des Auftraggebers
  4. Bezeichnung der Musteranwendung
  5. Angaben über die Unterlagen zur Meldung (im Sinne des § 6)

Anlage 4

Inhalt des Formblattes "Allgemeine Angaben zu ergriffenen Datensicherheitsmaßnahmen"

Es ist insbesondere anzugeben, ob
  1. die Aufgabenverteilung bei der Datenverwendung zwischen den Organisationseinheiten und zwischen den Mitarbeitern ausdrücklich festgelegt ist,
  2. die Verwendung von Daten an das Vorliegen gültiger Aufträge der anordnungsbefugten Organisationseinheiten und Mitarbeiter gebunden ist,
  3. jeder Mitarbeiter über seine nach dem DSG 2000 und nach innerorganisatorischen Datenschutzvorschriften einschließlich der Datensicherheitsvorschriften bestehenden Pflichten belehrt wurde,
  4. die Zutrittsberechtigung zu den Räumlichkeiten des Auftraggebers oder Dienstleisters geregelt ist und Maßnahmen gegen den Zutritt Unbefugter ergriffen sind,
  5. die Zugriffsberechtigung auf Daten und Programme und der Schutz der Datenträger vor der Einsicht und Verwendung durch Unbefugte geregelt ist,
  6. die Berechtigung zum Betrieb der Datenverarbeitungsgeräte festgelegt ist und jedes Gerät durch Vorkehrungen bei den eingesetzten Maschinen oder Programmen gegen die unbefugte Inbetriebnahme abgesichert ist,
  7. Protokoll geführt wird, damit tatsächlich durchgeführte Verwendungsvorgänge, wie insbesondere Änderungen, Abfragen und Übermittlungen, im Hinblick auf ihre Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können,
  8. zur Erleichterung der Kontrolle und Beweissicherung eine Dokumentation über die nach Z 1 bis 7 getroffenen Maßnahmen geführt wird.