ACHTUNG: Dieses Gesetz ist seit dem 1. Jänner 2000 ausser Kraft.

Bundesgesetz vom 18. Oktober 1978
über den Schutz personenbezogener Daten
(Datenschutzgesetz - DSG)

StF:

BGBl. Nr. 565/1978

idF:

BGBl. Nr. 314/1981,
BGBl. Nr. 577/1982 (DFB),
BGBl. Nr. 370/1986,
BGBl. Nr. 605/1987,
BGBl. Nr. 233/1988,
BGBl. Nr. 609/1989 (VfGH),
BGBl. Nr. 91/1993,
BGBl. Nr. 79/1994 (VfGH),
BGBl. Nr. 632/1994.

Inhaltsverzeichnis:

• Artikel 1
  • § 1 DSG - GRUNDRECHT AUF DATENSCHUTZ
  • § 2 DSG - ZUSTÄNDIGKEIT ZUR GESETZGEBUNG UND VOLLZIEHUNG
• Artikel 2
  • 1. Abschnitt - ALLGEMEINE BESTIMMUNGEN
    • § 3 DSG
    • § 4 DSG
    • § 5 DSG
  • 2. Abschnitt - ÖFFENTLICHER BEREICH
    • § 6 DSG - ZULÄSSIGKEIT DER ERMITTLUNG UND VERARBEITUNG
    • § 7 DSG - ZULÄSSIGKEIT DER ÜBERMITTLUNG
    • § 8 DSG - MELDUNGEN VON DATENVERARBEITUNGEN UND ÜBERMITTLUNGEN
    • § 8a DSG - REGISTRIERUNG
    • § 9 DSG - DATENSCHUTZVERORDNUNG
    • § 10 DSG - DATENSICHERHEITSMASSNAHMEN
    • § 11 DSG - AUSKUNFTSRECHT
    • § 12 DSG - PFLICHT ZUR RICHTIGSTELLUNG ODER LÖSCHUNG
    • § 13 DSG - DIENSTLEISTUNG IM DATENVERKEHR
    • § 14 DSG - RECHTSSCHUTZ DES BETROFFENEN
    • § 15 DSG - AMTSWEGIGE VERFAHREN
    • § 16 DSG - VERBINDUNG EINGELEITETER VERFAHREN
  • 3. Abschnitt - PRIVATER BEREICH
    • § 17 DSG - ZULÄSSIGKEIT DER ERMITTLUNG UND VERARBEITUNG
    • § 18 DSG - ZULÄSSIGKEIT DER ÜBERMITTLUNG
    • § 19 DSG - DIENSTLEISTUNG IM DATENVERKEHR
    • § 20 DSG - DATENGEHEIMNIS
    • § 21 DSG - DATENSICHERHEITSMASSNAHMEN
    • § 22 DSG - MELDUNG VON AUFTRAGGEBERN
    • § 23 DSG - MELDUNG VON DATENVERARBEITUNGEN UND ÜBERMITTLUNGEN
    • § 23a DSG - MÄNGELRÜGEVERFAHREN
    • § 23b DSG - REGISTRIERUNG
    • § 24 DSG - REGISTRIERUNGSGEBÜHR
    • § 25 DSG - AUSKUNFTSRECHT
    • § 26 DSG - PFLICHT ZUR RICHTIGSTELLUNG
    • § 27 DSG - PFLICHT ZUR LÖSCHUNG
    • § 28 DSG - ZIVILRECHTLICHE HAFTUNG
    • § 29 DSG - ZIVILGERICHTLICHES VERFAHREN
    • § 30 DSG - EINSTWEILIGE VERFÜGUNGEN
    • § 31 DSG - RECHTE DES BETRIEBSRATES
  • 4. Abschnitt - INTERNATIONALER DATENVERKEHR
    • § 32 DSG - ÜBERMITTLUNG UND ÜBERLASSUNG VON DATEN IN DAS AUSLAND
    • § 33 DSG - GENEHMIGUNG VON ÜBERMITTLUNGEN IN DAS AUSLAND
    • § 34 DSG - GENEHMIGUNG VON DIENSTLEISTUNGEN IM AUSLAND
  • 5. Abschnitt - DATENSCHUTZKOMMISSION, DATENSCHUTZRAT UND DATENVERARBEITUNGSREGISTER
    • § 35 DSG - KONTROLLORGANE
    • § 36 DSG - AUFGABEN DER DATENSCHUTZKOMMISSION
    • § 37 DSG - WIRKUNG VON BESCHEIDEN
    • § 38 DSG - ZUSAMMENSETZUNG DER DATENSCHUTZKOMMISSION
    • § 39 DSG - VORSITZENDER UND GESCHÄFTSFÜHRUNG DER DATENSCHUTZKOMMISSION
    • § 40 DSG - WEISUNGSFREIHEIT DER MITGLIEDER DER DATENSCHUTZKOMMISSION (Verfassungsbestimmung)
    • § 41 DSG - EMPFEHLUNGEN DER DATENSCHUTZKOMMISSION
    • § 42 DSG - AUFGABEN DES DATENSCHUTZRATES
    • § 43 DSG - ZUSAMMENSETZUNG DES DATENSCHUTZRATES
    • § 44 DSG - VORSITZ UND GESCHÄFTSFÜHRUNG DES DATENSCHUTZRATES
    • § 45 DSG - GEMEINSAME BESTIMMUNGEN FÜR DATENSCHUTZKOMMISSION UND DATENSCHUTZRAT
    • § 46 DSG - DATENSCHUTZBERICHTE
    • § 47 DSG - DATENVERARBEITUNGSREGISTER
  • 6. Abschnitt - STRAFBESTIMMUNGEN
    • § 48 DSG - GEHEIMNISBRUCH
    • § 49 DSG - UNBEFUGTE EINGRIFFE IM DATENVERKEHR
    • § 50 DSG - VERWALTUNGSSTRAFBESTIMMUNG
  • 7. Abschnitt - ÜBERGANGS- UND SCHLUSSBESTIMMUNGEN
    • § 51 DSG - (aufgehoben)
    • § 52 DSG - ERPROBUNG NEUER ARBEITSWEISEN UND TECHNIKEN DER VERWALTUNG
    • § 53 DSG - ANWENDUNG DES § 7 AUF VERWALTUNGSANGELEGENHEITEN GEMÄSS ART. 30 B-VG
    • § 54 DSG - AUSNAHME FÜR MEDIENUNTERNEHMEN
    • § 55 DSG - VERHÄLTNIS ZU ANDEREN RECHTSVORSCHRIFTEN
    • § 56 DSG - GEBÜHREN UND ABGABENBEFREIUNGEN
    • § 57 DSG - EIGENER WIRKUNGSBEREICH DER GEMEINDE
    • § 58 DSG - INKRAFTTRETEN
    • § 59 DSG - VOLLZIEHUNG

---

Artikel 1

(Verfassungsbestimmung)

§ 1 DSG - GRUNDRECHT AUF DATENSCHUTZ

(1) Jedermann hat Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit er daran ein schutzwürdiges Interesse, insbesondere im Hinblick auf Achtung seines Privat- und Familienlebens hat.

(2) Beschränkungen des Rechtes nach Abs. 1 sind nur zur Wahrung berechtigter Interessen eines anderen oder auf Grund von Gesetzen zulässig, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten (BGBl. Nr. 210/1958) genannten Gründen notwendig sind. Auch im Falle solcher Beschränkungen muß der vertraulichen Behandlung personenbezogener Daten Vorrang gegeben werden.

(3) Jedermann hat, soweit Daten über ihn automationsunterstützt verarbeitet werden, nach Maßgabe gesetzlicher Bestimmungen das Recht auf Auskunft darüber, wer Daten über ihn ermittelt oder verarbeitet, woher die Daten stammen, welcher Art und welchen Inhaltes die Daten sind und wozu sie verwendet werden.

(4) Jedermann hat, soweit Daten über ihn automationsunterstützt verarbeitet werden, nach Maßgabe gesetzlicher Bestimmungen das Recht auf Richtigstellung unrichtiger und das Recht auf Löschung unzulässigerweise ermittelter oder verarbeiteter Daten.

(5) Beschränkungen der Rechte nach Abs. 3 und 4 sind nur unter den in Abs. 2 genannten Voraussetzungen zulässig.

(6) Soweit Rechtsträger in Formen des Privatrechts tätig sind, ist das Grundrecht auf Datenschutz im ordentlichen Rechtsweg geltend zu machen.

§ 2 DSG - ZUSTÄNDIGKEIT ZUR GESETZGEBUNG UND VOLLZIEHUNG

(1) Bundessache ist die Gesetzgebung in Angelegenheiten des Schutzes personenbezogener Daten im automationsunterstützten Datenverkehr.

(2) Die Vollziehung solcher Bundesgesetze steht dem Bund zu. Soweit solche Daten von einem Land, im Auftrag eines Landes, von oder im Auftrag von juristischen Personen, die durch Gesetz eingerichtet sind und deren Einrichtung hinsichtlich der Vollziehung in die Zuständigkeit der Länder fällt, ermittelt, verarbeitet oder übermittelt werden, sind diese Bundesgesetze von den Ländern zu vollziehen, soweit nicht durch Bundesgesetz die Datenschutzkommission, der Datenschutzrat oder Gerichte mit der Vollziehung betraut werden.

Artikel 2

1. Abschnitt

ALLGEMEINE BESTIMMUNGEN

§ 3 DSG

Im Sinne der folgenden Bestimmungen dieses Bundesgesetzes bedeuten:

1. Daten: auf einem Datenträger festgehaltene Angaben über bestimmte oder mit hoher Wahrscheinlichkeit bestimmbare Betroffene (personenbezogene Daten);
2. Betroffener: jede vom Auftraggeber (Z 3) verschiedene natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet (Z 12) werden; juristische Personen des öffentlichen Rechts und ihre Organe gelten bei der Besorung behördlicher Aufgaben nicht als Betroffene;
3. Auftraggeber: jeder Rechtsträger oder jedes Organ einer Gebietskörperschaft, von dem Daten selbst oder unter Heranziehung von Dienstleistern (Z 4) automationsunterstützt verarbeitet werden;
4. Dienstleister: jeder Rechtsträger oder jedes Organ einer Gebietskörperschaft, von dem Daten für einen Auftraggeber im Rahmen eines solchen Auftrages verwendet werden, dessen wesentlicher Inhalt die automationsunterstützte Verarbeitung dieser Daten ist;
5. Datenverarbeitung: der Ablauf von Verarbeitungsschritten (Z 7), die zur Erreichung eines inhaltlich bestimmten Ergebnisses (Zweckes) geordnet sind und zur Gänze oder auch nur teilweise automationsunterstützt, also maschinell und programmgesteuert erfolgen, wobei die Auswählbarkeit von personenbezogenen Daten aus der Gesamtmenge der gespeicherten Daten nach mindestens einem Merkmal in der jeweils eingesetzten Maschinen- und Programmausstattung vorgesehen ist;
6. Ermitteln von Daten: das Erheben oder sonstige Beschaffen von Daten für eine Datenverarbeitung (Z 5);
7. Verarbeiten von Daten: das Erfassen, Speichern, Ordnen, Vergleichen, Verändern, Verknüpfen, Vervielfältigen, Ausgeben oder Löschen von Daten im Rahmen einer Datenverarbeitung;
8. Benützen von Daten: jede Form der Handhabung von Daten einer Datenverarbeitung beim Auftraggeber oder Dienstleister, die nicht Ermitteln, Verarbeiten oder Übermitteln ist;
9. Übermitteln von Daten: die Weitergabe von Daten aus einer Datenverarbeitung an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister, insbesondere auch das Veröffentlichen solcher Daten sowie ihre Verwendung für ein anderes Aufgabengebiet des Auftraggebers;
10. Überlassen von Daten: die Weitergabe von Daten zwischen Auftraggeber und Dienstleister oder zwischen Dienstleistern;
11. Löschen von Daten:
    1. a. das Unkenntlichmachen von Daten in der Weise, daß eine Rekonstruktion nicht möglich ist (physisches Löschen);
    2. b. die Verhinderung des Zugriffs auf Daten durch programmtechnische Maßnahmen (logisches Löschen);
12. Datenverkehr: (Verwenden von Daten) das Ermitteln, Verarbeiten, Benützen, Übermitteln und Überlassen von Daten oder einer dieser Vorgänge.

§ 4 DSG

(1) Die Bestimmungen des 2. Abschnittes sind auf den Datenverkehr von oder im Auftrag von Rechtsträgern anzuwenden, die durch Gesetz eingerichtet sind, soweit es sich nicht um Rechtsträger nach § 5 handelt.

(2) Durch Verordnung der Bundesregierung sind nach Anhörung des Datenschutzrates Rechtsträger im Sinne des Abs. 1, soweit sie in Formen des Privatrechts tätig sind, für diese Tätigkeitsbereiche von der Anwendung des 2. Abschnittes  auszunehmen. Für diese Bereiche findet der 3. Abschnitt Anwendung. Verordnungen nach dem ersten Satz bedürfen der Zustimmung des Hauptausschusses des Nationalrates.

(3) Die §§ 8, 9, 11 und 12 finden keine Anwendung auf eine Datenverarbeitung, soweit diese notwendig ist:

1.  für Zwecke des Schutzes der verfassungsmäßigen Einrichtungen der Republik Österreich und für Zwecke der Strafrechtspflege, oder
2.  für Zwecke der Sicherung der Einsatzbereitschaft des Bundesheeres, oder
3.  für Zwecke der umfassenden Landesverteidigung.

Diese Ausnahme bedarf einer von der Bundesregierung nach Anhörung des Datenschutzrates im Einvernehmen mit dem Hauptausschuß des Nationalrates zu erlassenden Verordnung. In dieser Verordnung sind die Ausnahmen wie Arten der Daten, Elemente der Verarbeitung im einzelnen zu bestimmen.

§ 5 DSG

(1) Auf Datenverarbeitungen von oder im Auftrage von Ländern oder von Rechtsträgern, die durch Gesetze eingerichtet sind, und deren Einrichtung hinsichtlich der Vollziehung in die Zuständigkeit der Länder fällt, sowie von oder im Auftrage von Gemeinden oder Gemeindeverbänden sind die Bestimmungen des 2. Abschnittes  mit der Maßgabe anzuwenden, daß die Datenschutzverordnung (§ 9) und die Höhe der Verwaltungsabgabe für die Erteilung einer Auskunft (§ 11 Abs. 4) durch die Landesregierung festzulegen sind.

(2) In einer nach Anhörung des Datenschutzrates zu erlassenden Verordnung der Landesregierung sind Rechtsträger im Sinne des Abs. 1, soweit sie in Formen des Privatrechts tätig sind, für diese Tätigkeitsbereiche von der Anwendung des  2. Abschnittes auszunehmen. Für diese Bereiche findet der 3. Abschnitt Anwendung.

2. Abschnitt

ÖFFENTLICHER BEREICH

§ 6 DSG - ZULÄSSIGKEIT DER ERMITTLUNG UND VERARBEITUNG

Daten dürfen zum Zwecke des automationsunterstützten Datenverkehrs nur ermittelt und verarbeitet werden, wenn dafür eine ausdrückliche gesetzliche Ermächtigung besteht, oder soweit dies für den Auftraggeber zur Wahrnehmung der ihm gesetzlich übertragenen Aufgaben eine wesentliche Voraussetzung bildet.

§ 7 DSG - ZULÄSSIGKEIT DER ÜBERMITTLUNG

(1) Verarbeitete Daten dürfen nur übermittelt werden, soweit  eine ausdrückliche gesetzliche Ermächtigung hiefür besteht, oder  der Betroffene der Übermittlung ausdrücklich schriftlich zugestimmt hat, wobei ein schriftlicher Widerruf möglich ist, oder  sie ausschließlich zu statistischen Zwecken an das Österreichische Statistische Zentralamt übermittelt und dort anonymisiert verarbeitet werden.

(2) Eine Übermittlung von Daten an Organe des Bundes, der Länder, der Gemeinden, einschließlich der Körperschaften des öffentlichen Rechts ist weiters insoweit zulässig, als die Daten für den Empfänger zur Wahrnehmung der ihm gesetzlich übertragenen Aufgaben eine wesentliche Voraussetzung bilden.

(3) Daten dürfen an andere als die in Abs. 2 genannten Empfänger nur übermittelt werden, soweit dies zur Wahrung eines berechtigten Interesses an der Übermittlung erforderlich ist, das die schutzwürdigen Interessen des Betroffenen an der Geheimhaltung überwiegt. Im Zweifel ist der vertraulichen Behandlung personenbezogener Daten der Vorrang zu geben.

(4) Nicht registrierte Übermittlungen sind so zu protokollieren, daß dem Betroffenen Auskunft gemäß § 11 gegeben werden kann. Übermittlungen gemäß § 8 Abs. 3 bedürfen keiner Protokollierung.

§ 8 DSG - MELDUNGEN VON DATENVERARBEITUNGEN UND ÜBERMITTLUNGEN

(1) Jeder Auftraggeber hat bei Aufnahme einer Datenverarbeitung dem Datenverarbeitungsregister (§ 47) eine Meldung zu erstatten.

(2) In der Meldung sind neben der Bezeichnung, der Anschrift und der allenfalls bereits zugeteilten Registernummer des Auftraggebers der Zweck der zu registrierenden Datenverarbeitung, ihre Rechtsgrundlage sowie die Kreise der von der Datenverarbeitung Betroffenen und die über sie verarbeiteten Datenarten anzuführen. Übermittlungen von Daten sind gemäß § 23 Abs. 2 Z 5 und 6 zur Registrierung zu melden.

(3) Für Typen von Datenverarbeitungen und Übermittlungen aus diesen, die von einer großen Anzahl von Auftraggebern in gleichartiger Weise vorgenommen werden und deren Inhalt durch Gesetz oder Vertrag mit den Betroffenen vorgegeben ist, kann durch Verordnung des Bundeskanzlers nach Anhörung des Datenschutzrates unter den näheren Voraussetzungen des § 23 Abs. 4 festgesetzt werden, daß sie nicht der Pflicht zur Meldung nach Abs. 2 unterliegen. Werden solche Datenverarbeitungen vorgenommen, sind jedoch die Bezeichnung, die Anschrift und die allenfalls bereits zugeteilte Registernummer des Auftraggebers unter Anführung der Standardverarbeitungen dem Datenverarbeitungsregister mitzuteilen.

(4) Die Absätze 1 bis 3 gelten sinngemäß für Änderungen gemeldeter Sachverhalte.

(5) Der Auftraggeber hat die ihm bei der Eintragung zugeteilte Registernummer bei der Übermittlung von Daten und bei Mitteilungen an den Betroffenen zu führen.

§ 8a DSG - REGISTRIERUNG

(1) Das Datenverarbeitungsregister hat innerhalb einer Frist von höchstens zwei Monaten dem Auftraggeber die Verbesserung unter gleichzeitiger Setzung einer angemessenen Verbesserungsfrist aufzutragen, wenn eine Meldung mangelhaft im Sinne des Abs. 2 ist.

(2) Eine Meldung ist mangelhaft, wenn Angaben fehlen, offenbar unrichtig, unstimmig oder so unzureichend sind, daß Einsichtnehmer im Hinblick auf die Wahrnehmung ihrer Rechte nach diesem Bundesgesetz keine hinreichende Information darüber gewinnen können, ob durch die Datenverarbeitung ihre schutzwürdigen Geheimhaltungsinteressen verletzt sein könnten. Unstimmigkeit liegt insbesondere auch dann vor, wenn der Inhalt gemeldeter Datenverarbeitungen durch die gemeldeten Rechtsgrundlagen nicht gedeckt ist.

(3) Kommt das Datenverarbeitungsregister bei Prüfung der Meldung zur Auffassung, daß mangels Rechtsgrundlage einer Datenverarbeitung schutzwürdige Geheimhaltungsinteressen der Betroffenen wesentlich gefährdet erscheinen, so hat es dies der Datenschutzkommission unverzüglich mitzuteilen; die Datenschutzkommission hat, wenn sie die Bedenken des Datenverarbeitungsregisters teilt, diese Bedenken dem zuständigen obersten Verwaltungsorgan zur Kenntnis zu bringen.

(4) Wird einem Verbesserungsauftrag des Datenverarbeitungsregisters nicht fristgerecht entsprochen, so hat das Datenverarbeitungsregister die Meldung der Datenschutzkommission vorzulegen. Dabei sind die behaupteten Mängel zu begründen.

Stellt die Datenschutzkommission die Mangelhaftigkeit der Meldung fest, so hat sie die Registrierung mit Bescheid abzulehnen; andernfalls hat sie dem Datenverarbeitungsregister die Registrierung aufzutragen.

(5) Im übrigen gilt für die Registrierung § 23b.

§ 9 DSG - DATENSCHUTZVERORDNUNG

(1) Die obersten Organe des Bundes und der Länder haben, unbeschadet der Bestimmungen des Abs. 2, für jeden ihrer Aufsicht unterstehenden Auftraggeber nach Anhörung der Datenschutzkommission eine Datenschutzverordnung zu erlassen, in der je nach Art der zu verarbeitenden Daten die Grundsätze für deren Ermittlung, Verarbeitung, Benützung, Übermittlung und Überlassung bei möglichstem Schutz der personenbezogenen Daten festzulegen sind.

(2) Selbstverwaltungskörper sind, soweit sie Daten verarbeiten, zur Erlassung einer Datenschutzverordnung nach Abs. 1 verpflichtet. Die Verordnung bedarf aufsichtsbehördlicher Genehmigung. Die Aufsichtsbehörde hat die Datenschutzkommission anzuhören. Die Genehmigung ist zu erteilen, wenn die Verordnung gesetzlichen Bestimmungen entspricht.

§ 10 DSG - DATENSICHERHEITSMASSNAHMEN

(1) Für alle Organisationseinheiten eines Auftraggebers oder Dienstleisters, die Daten verwenden, sind Maßnahmen zur Gewährleistung der Datensicherheit zu treffen. Dabei ist je nach der Art der verwendeten Daten, nach Umfang und Zweck der Verwendung und unter Bedachtnahme auf den Stand der technischen Möglichkeiten sowie auf die wirtschaftliche Vertretbarkeit sicherzustellen, daß die Verwendung der Daten ordnungsgemäß erfolgt und daß die Daten Unbefugten nicht zur Kenntnis gelangen.

(2) Insbesondere ist, soweit dies im Hinblick auf Abs. 1 zweiter Satz erforderlich ist,

1. die Aufgabenverteilung bei der Datenverwendung zwischen den Organisationseinheiten und zwischen den Mitarbeitern ausdrücklich festzulegen,
2. die Verwendung von Daten an das Vorliegen gültiger Aufträge der anordnungsbefugten Organisationseinheiten und Mitarbeiter zu binden,
3. jeder Mitarbeiter über seine nach diesem Bundesgesetz und nach innerorganisatorischen Datenschutzvorschriften einschließlich der Datensicherheitsvorschriften bestehenden Pflichten zu belehren,
4. die Zutrittsberechtigung zu den Räumlichkeiten des Auftraggebers oder Dienstleisters zu regeln,
5. die Zugriffsberechtigung auf Daten und Programme und der Schutz der Datenträger vor der Einsicht und Verwendung durch Unbefugte zu regeln,
6. die Berechtigung zum Betrieb der Datenverarbeitungsgeräte festzulegen und jedes Gerät durch Vorkehrungen bei den eingesetzten Maschinen oder Programmen gegen die unbefugte Inbetriebnahme abzusichern,
7. zu prüfen, ob die erforderlichen Datensicherheitsmaßnahmen getroffen sind; zu diesem Zweck sind Aufzeichnungen zu führen, die es erlauben, die Verarbeitungsvorgänge nachzuvollziehen.

(3) Datensicherheitsvorschriften sind so zu erlassen und zur Verfügung zu halten, daß sich die Bediensteten über die für sie geltenden Regelungen jederzeit informieren können.

§ 11 DSG - AUSKUNFTSRECHT

(1) Dem Betroffenen sind bei Nachweis seiner Identität auf schriftlichen Antrag beim Auftraggeber seine Daten in allgemein verständlicher Form sowie deren Herkunft und die Rechtsgrundlage für deren Ermittlung, Verarbeitung, Benützung und Übermittlung binnen vier Wochen schriftlich mitzuteilen, soweit es sich dabei nicht um solche Daten handelt, die auf Grund eines Gesetzes oder einer Verordnung bei überwiegendem öffentlichem Interesse auch ihm gegenüber geheimzuhalten sind. Werden oder wurden Daten übermittelt, kann der Betroffene auch Auskunft über den Empfänger verlangen.

(2) Der Betroffene hat am Verfahren mitzuwirken. Er hat diejenigen Datenverarbeitungen zu bezeichnen, bezüglich derer er Betroffener sein kann, oder glaubhaft zu machen, daß er irrtümlich oder mißbräuchlich in Datenbeständen des Auftraggebers enthalten ist.

(3) Wird einem Antrag nach Abs. 1 nicht oder nicht vollinhaltlich stattgegeben, so ist dies dem Betroffenen binnen vier Wochen unter Angabe des Grundes schriftlich mitzuteilen.

(4) Die Erteilung einer Auskunft nach Abs. 1 hat unentgeltlich zu erfolgen, wenn sie den aktuellen Datenbestand betrifft und wenn der Auskunftswerber im laufenden Jahr noch kein Auskunftsersuchen an den Auftraggeber betreffend dasselbe Aufgabengebiet gestellt hat. Für alle anderen Fälle kann in der Datenschutzverordnung nach Anhörung des Datenschutzrates ein pauschalierter Kostenersatz vorgeschrieben werden. Die Höhe dieses Kostenersatzes ist so festzulegen, daß die notwendigen aus der Bearbeitung des Auskunftsersuchens tatsächlich erwachsenden Kosten gedeckt sind. Von der Bearbeitung des Auskunftsersuchens kann abgesehen werden, wenn der Betroffene nicht gemäß Abs. 2 am Verfahren mitwirkt oder der festgesetzte Kostenersatz nicht entrichtet wurde. Ein etwa geleisteter Kostenersatz ist ungeachtet weiterer Schadenersatzansprüche zurückzuerstatten, wenn Daten rechtswidrig verwendet wurden oder wenn die Auskunft sonst zu einer Richtigstellung geführt hat.

§ 12 DSG - PFLICHT ZUR RICHTIGSTELLUNG ODER LÖSCHUNG

(1) Jeder Auftraggeber hat unrichtige oder entgegen den Bestimmungen des § 6 ermittelte oder verarbeitete Daten unverzüglich, längstens jedoch binnen zwei Wochen nach Feststellung des der Verarbeitung zugrunde zu legenden Sachverhaltes richtigzustellen, zu löschen oder die Richtigstellung oder Löschung zu veranlassen. Wenn aus Gründen der Wirtschaftlichkeit die physische Löschung oder Richtigstellung von Daten auf ausschließlich automationsunterstützt lesbaren Datenträgern nur zu bestimmten Zeitpunkten vorgenommen werden kann, sind diese Daten bis dahin logisch und sodann physisch zu löschen oder richtigzustellen.

(2) Eine Richtigstellung oder Löschung nach Abs. 1 ist durchzuführen oder zu veranlassen

1. von Amts wegen, oder
2. auf begründeten Antrag des Betroffenen, oder
3. auf Grund einer Entscheidung der für die Feststellung der Daten sachlich zuständigen Behörde, oder
4. auf Grund einer Entscheidung der Datenschutzkommission, oder
5. auf Grund einer Entscheidung des Verwaltungsgerichtshofes.

 (3) Erfolgt binnen zwölf Wochen nach dem Einlangen eines Antrages des Betroffenen nicht die Feststellung des der Verarbeitung zugrunde zu legenden Sachverhaltes, so ist dies dem Antragsteller unter Angabe des Grundes unverzüglich schriftlich mitzuteilen.

(4) Wird ein Antrag des Betroffenen (Abs. 2 Z 2) abgelehnt, so ist ihm dies schriftlich binnen vier Wochen unter Angabe des Grundes mitzuteilen.

(5) Der Beweis der Richtigkeit der Daten obliegt dem Auftraggeber, soweit die Daten nicht ausschließlich auf Grund von Angaben des Betroffenen ermittelt wurden.

(6) Ist die Richtigstellung oder Löschung auf Antrag des Betroffenen oder auf Grund einer Entscheidung der Datenschutzkommission durchgeführt worden, so ist hievon der Betroffene, im Falle einer Richtigstellung oder Löschung auf Grund einer Entscheidung der Datenschutzkommission auch diese, vom Auftraggeber zu verständigen.

(7) Wurden im Sinne des Abs. 1 richtiggestellte oder gelöschte Daten vor der Richtigstellung oder Löschung übermittelt, so hat der Auftraggeber die Empfänger dieser Daten hievon zu verständigen, sofern der Betroffene es verlangt, ein berechtigtes Interesse glaubhaft macht und die Empfänger noch feststellbar sind.

(8) Eine Richtigstellung und eine Löschung sind ausgeschlossen, wenn die Daten im Zeitpunkt ihrer Ermittlung richtig und vollständig waren und der Zweck der Ermittlung oder der Verarbeitung eine Veränderung der Daten in Entsprechung von Änderungen des ihnen zugrunde liegenden Sachverhaltes ausschließt.

(9) Erfolgt eine Richtigstellung oder Löschung auf Grund einer Entscheidung der für die Feststellung der Daten sachlich zuständigen Behörde, so ist der Auftraggeber an diese Entscheidung gebunden.

(10) Bei der Übermittlung und Benützung von Daten, deren Richtigkeit vom Betroffenen bestritten wurde, und bei denen sich weder die Richtigkeit noch die Unrichtigkeit feststellen ließ, ist über Verlangen des Betroffenen ein Vermerk über die Bestreitung beizufügen. Der Auftraggeber kann bei der Datenschutzkommission die Feststellung beantragen, ob der Bestreitungsvermerk aufrechtzubleiben hat.

§ 13 DSG - DIENSTLEISTUNG IM DATENVERKEHR

(1) Soweit Auftraggeber nach § 6 zur Ermittlung und Verarbeitung berechtigt sind, dürfen sie bei ihren Datenverarbeitungen Dienstleister in Anspruch nehmen, wenn dies aus Gründen der Zweckmäßigkeit und Wirtschaftlichkeit der Verwaltung geboten ist und schutzwürdige Interessen Betroffener oder öffentliche Interessen nicht entgegenstehen.

(2) Sofern über die Pflichten einzelner Dienstleister nicht besondere gesetzliche Regelungen bestehen, gilt für Dienstleister des privaten Bereiches § 19 und für Dienstleister, die dem öffentlichen Bereich zuzurechnen sind, § 19 sinngemäß.

(3) Die beabsichtigte Heranziehung eines Dienstleisters ist der Datenschutzkommission mitzuteilen, es sei denn, daß die Inanspruchnahme des Dienstleisters auf Grund ausdrücklicher gesetzlicher Ermächtigung erfolgt oder als Dienstleister eine Organisationseinheit tätig wird, die mit dem Auftraggeber oder einem diesem übergeordneten Organ in einem Über- oder Unterordnungsverhältnis steht. Kommt die Datenschutzkommission zur Auffassung, daß der Inanspruchnahme eines Dienstleisters schutzwürdige Interessen Betroffener oder öffentliche Interessen entgegenstehen, so hat sie dies dem Auftraggeber unverzüglich mitzuteilen.

§ 14 DSG - RECHTSSCHUTZ DES BETROFFENEN

(1) Die Datenschutzkommission erkennt über Beschwerden von Personen, die behaupten, in ihren Rechten nach diesem Bundesgesetz oder den hiezu ergangenen Verordnungen verletzt zu sein, sowie über Anträge gemäß Abs. 3.

(2) Bei Gefahr im Verzug für den Beschwerdeführer kann die Datenschutzkommission die Benützung oder Übermittlung von Daten oder einzelne Verarbeitungsvorgänge untersagen.

(3) Wird in einem vor einer anderen Verwaltungsbehörde durchgeführten Verwaltungsverfahren von einer Partei behauptet, in ihren Rechten nach diesem Bundesgesetz oder den hiezu ergangenen Verordnungen verletzt zu sein, so hat die Verwaltungsbehörde, außer bei Gefahr im Verzug, ihr Verfahren bis zur Entscheidung dieser Vorfrage durch die Datenschutzkommission auszusetzen und gleichzeitig die Entscheidung bei der Datenschutzkommission zu beantragen.

§ 15 DSG - AMTSWEGIGE VERFAHREN

(1) Ergibt ein Verfahren nach § 14, daß auch andere Personen in ihren Rechten nach den Bestimmungen dieses Bundesgesetzes oder der auf Grund dieses Bundesgesetzes erlassenen Durchführungsbestimmungen verletzt wurden, so hat dies die Datenschutzkommission bescheidmäßig auszusprechen und dem Auftraggeber und dem Dienstleister mitzuteilen. Dieser Bescheid ist von der Datenschutzkommission im Amtsblatt zur Wiener Zeitung kundzumachen.

(2) Der Auftraggeber oder der Dienstleister haben dem Bescheid der Datenschutzkommission binnen einer von dieser festzusetzenden, angemessenen Frist zu entsprechen.

§ 16 DSG - VERBINDUNG EINGELEITETER VERFAHREN

Wenn die Zweckmäßigkeit, Raschheit, Einfachheit und Kostenersparnis von Verfahren es erfordern, hat die Datenschutzkommission eingeleitete Verfahren, die denselben Auftraggeber oder Dienstleister betreffen, zu verbinden.

3. Abschnitt

PRIVATER BEREICH

§ 17 DSG - ZULÄSSIGKEIT DER ERMITTLUNG UND VERARBEITUNG

(1) Daten dürfen von einem nicht den §§ 4 oder 5 unterliegenden Rechtsträger nur ermittelt und verarbeitet werden, soweit Inhalt und Zweck der Datenverarbeitung in seinem berechtigten Zweck gedeckt sind und hiebei schutzwürdige Interessen des Betroffenen, insbesondere im Hinblick auf die Achtung seines Privat- und Familienlebens, nicht verletzt werden.

(2) Für ausschließlich private Zwecke dürfen Daten dann verarbeitet werden, wenn sie dem Auftraggeber vom Betroffenen selbst mitgeteilt wurden oder dem Auftraggeber als Privatperson sonst rechtmäßigerweise, insbesondere in Übereinstimmung mit den §§ 7 und 18, zugekommen sind.

§ 18 DSG - ZULÄSSIGKEIT DER ÜBERMITTLUNG

(1) Die Übermittlung von gemäß § 17 Abs. 1 ermittelten und verarbeiteten Daten ist nur zulässig, soweit:

1. der Betroffene der Übermittlung ausdrücklich schriftlich zugestimmt hat, wobei ein schriftlicher Widerruf dieser Zustimmung möglich ist, oder
2. die Übermittlung von Daten zum berechtigten Zweck des Rechtsträgers gehört, oder
3. die Übermittlung zur Wahrung überwiegender berechtigter Interessen eines Dritten notwendig ist.

 (2) Die Übermittlung von gemäß § 17 Abs. 2 verarbeiteten Daten ist nur mit Zustimmung des Betroffenen zulässig.

(3) Die Abs. 1 oder 2 gelten nicht, wenn gesetzliche Verpflichtungen zur Übermittlung bestehen.

(4) Bestehende Verschwiegenheitspflichten werden durch die Zulässigkeit von Übermittlungen gemäß Abs. 1 oder 2 nicht berührt.

(5) Nicht registrierte Übermittlungen sind so zu protokollieren, daß dem Betroffenen Auskunft gemäß § 25 gegeben werden kann. Übermittlungen gemäߧ 23 Abs. 4 bedürfen keiner Protokollierung.

§ 19 DSG - DIENSTLEISTUNG IM DATENVERKEHR

Dienstleister haben bei der Verwendung von Daten für den Auftraggeber folgende Pflichten:

1. die Daten ausschließlich im Rahmen der Aufträge des Auftraggebers zu verwenden; insbesondere ist die Übermittlung der verwendeten Daten ohne Auftrag des Auftraggebers verboten;
2. alle gemäß § 21 erforderlichen Sicherheitsmaßnahmen zu treffen; insbesondere dürfen für die Dienstleistung nur solche Mitarbeiter herangezogen werden, die sich dem Dienstleister gegenüber gemäß § 20 zur Geheimhaltung von Daten verpflichtet haben;
3. den Auftraggeber von der beabsichtigten Heranziehung eines weiteren Dienstleisters so rechtzeitig zu verständigen, daß er dies allenfalls untersagen kann;
4. - sofern dies nach der Art der Dienstleistung in Frage kommt - im Einvernehmen mit dem Auftraggeber die notwendigen technischen und organisatorischen Voraussetzungen für die Erfüllung der Auskunfts-, Richtigstellungs- und Löschungspflicht des Auftraggebers zu schaffen;
5. nach Beendigung der Dienstleistung alle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, dem Auftraggeber zu übergeben bzw. in dessen Auftrag zu vernichten oder für ihn weiter aufzubewahren;
6. dem Auftraggeber jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der unter Z 1 bis 5 genannten Verpflichtungen notwendig sind.

§ 20 DSG - DATENGEHEIMNIS

(1) Daten aus Datenverarbeitungen, die ausschließlich auf Grund einer berufsmäßigen Beschäftigung anvertraut wurden oder zugänglich geworden sind, dürfen unbeschadet sonstiger Verschwiegenheitspflichten nur auf Grund einer ausdrücklichen Anordnung des Auftrag oder Arbeitgebers oder dessen Vertreters übermittelt werden (Datengeheimnis).

(2) Auftraggeber und Dienstleister haben sich von ihren Mitarbeitern vertraglich ausdrücklich zusichern zu lassen, daß sie Daten aus Datenverarbeitungen nur auf Grund der Anordnungen gemäß Abs. 1 übermitteln werden und daß sie das Datengeheimnis auch nach Beendigung des Mitarbeiterverhältnisses zum Auftraggeber oder Dienstleister einhalten werden.

(3) Den Arbeitgeber trifft die Verantwortung für die Vollständigkeit und die datenschutzrechtliche Zulässigkeit der Übermittlungsanordnungen sowie darüber hinaus auch dafür, daß die Mitarbeiter über die für sie geltenden Übermittlungsanordnungen ausreichend informiert sind.

(4) Aus der Verweigerung der Ausführung eines Auftrages, der gegen § 18 verstoßen würde, darf dem Mitarbeiter kein Nachteil erwachsen.

(5) In einem behördlichen Verfahren kann sich niemand seiner Zeugenpflicht unter Berufung auf das Datengeheimnis entschlagen.

§ 21 DSG - DATENSICHERHEITSMASSNAHMEN

Auftraggeber und Dienstleister des privaten Bereichs haben die im Sinne des § 10 erforderlichen Datensicherheitsmaßnahmen zu treffen.

§ 22 DSG - MELDUNG VON AUFTRAGGEBERN

(1) Jeder Auftraggeber einer Datenverarbeitung im Sinne des § 17 Abs. 1 hat bei der erstmaligen Aufnahme einer Datenverarbeitung dem Datenverarbeitungsregister seinen Namen (sonstige Bezeichnung), die Anschrift und den berechtigten Zweck zur Eintragung zu melden und die zur Glaubhaftmachung dieser Angaben notwendigen Unterlagen vorzulegen. Änderungen dieser Umstände sind unverzüglich zu melden.

(2) Falls der Auftraggeber Standardverarbeitungen (§ 23 Abs. 4) durchführt, hat er darüber hinaus anzugeben, welche Standardverarbeitungen er vornimmt.

(3) Der Auftraggeber hat die ihm bei der Eintragung zugeteilte Registernummer (§ 23b Abs. 2) bei der Übermittlung von Daten und bei Mitteilungen an den Betroffenen zu führen.

§ 23 DSG - MELDUNG VON DATENVERARBEITUNGEN UND ÜBERMITTLUNGEN

(1) Auftraggeber haben, außer in den Fällen des Abs. 4, bei Aufnahme einer Datenverarbeitung diese dem Datenverarbeitungsregister zur Registrierung zu melden.

(2) Die Meldung hat zu enthalten:

1. den Namen (die sonstige Bezeichnung) und die Anschrift des Auftraggebers;
2. die Registernummer des Auftraggebers, sofern ihm eine solche bereits zugeteilt wurde;
3. den Zweck der zu registrierenden Datenverarbeitung;
4. die Kreise der von der Datenverarbeitung Betroffenen und die über sie verarbeiteten Datenarten;
5. - im Falle vorgesehener Datenübermittlungen - die Kreise der von der Übermittlung Betroffenen, die zu übermittelnden Datenarten und die zugehörigen Empfängerkreise sowie - wenn Übermittlungen ins Ausland vorgesehen sind - die Angabe des Empfängerstaates;
6. - soweit eine Genehmigung für den internationalen Datenverkehr gemäß den §§ 32, 33 und 34 einzuholen war - die Geschäftszahl der Genehmigung der Datenschutzkommission.

(3) Die Abs. 1 und 2 gelten sinngemäß für Änderungen in gemeldeten Datenverarbeitungen.

(4) Der Bundeskanzler kann durch Verordnung nach Anhörung des  Datenschutzrates Typen von Datenverarbeitungen und Übermittlungen aus diesen zu Standardverarbeitungen erklären, wenn sie von einer großen Anzahl von Auftraggebern in gleichartiger Weise vorgenommen werden und ihr Inhalt durch Gesetz oder durch Vertrag mit dem Betroffenen vorgegeben ist. Diese Standardverarbeitungen sind von der Meldungspflicht ausgenommen. In dieser Verordnung kann aber ausnahmsweise die Meldungspflicht angeordnet werden, wenn dies im Hinblick auf schutzwürdige Geheimhaltungsinteressen der Betroffenen geboten erscheint.

§ 23a DSG - MÄNGELRÜGEVERFAHREN

(1) Das Datenverarbeitungsregister hat innerhalb einer Frist von höchstens zwei Monaten dem Auftraggeber die Verbesserung unter gleichzeitiger Setzung einer angemessenen Verbesserungsfrist aufzutragen, wenn eine Meldung mangelhaft im Sinne des § 8a Abs. 2 erscheint.

(2) Kommt das Datenverarbeitungsregister bei Prüfung der Meldung zur Auffassung, daß mangels Rechtsgrundlage einer Datenverarbeitung schutzwürdige Geheimhaltungsinteressen der Betroffenen wesentlich gefährdet erscheinen, so hat es dies der Datenschutzkommission unverzüglich mitzuteilen; die Datenschutzkommission hat, wenn sie die Bedenken des Datenverarbeitungsregisters teilt, die vorläufige Einstellung der gesamten oder eines Teiles der Datenverarbeitung mit Bescheid zu verfügen.

(3) Bescheide gemäß Abs. 2 verlieren ihre Wirksamkeit mit der Erledigung des Mängelrügeverfahrens gemäß Abs. 4, längstens aber nach 6 Monaten.

(4) Wird einem Verbesserungsauftrag des Datenverarbeitungsregisters nicht fristgerecht entsprochen, so hat das Datenverarbeitungsregister die Meldung der Datenschutzkommission vorzulegen. Dabei sind die behaupteten Mängel zu begründen. Stellt die Datenschutzkommission die Mangelhaftigkeit der Meldung fest, so hat sie mit Bescheid die Registrierung abzulehnen und die Weiterführung der Datenverarbeitung zu untersagen; andernfalls hat sie dem Datenverarbeitungsregister die Registrierung aufzutragen.

§ 23b DSG - REGISTRIERUNG

(1) Meldungen nach den §§ 8, 22 und 23 sind in das Datenverarbeitungsregister einzutragen, wenn

1. nicht innerhalb von zwei Monaten nach Einlangen der Meldung ein Verbesserungsauftrag erteilt wurde,
2. der Auftraggeber die verlangten Verbesserungen fristgerecht vorgenommen hat, oder
3. die Registrierung dem Datenverarbeitungsregister von der Datenschutzkommission aufgetragen wurde.

(2) Dem Auftraggeber ist die Durchführung der Registrierung unter Beifügung des ihn betreffenden Registerauszuges schriftlich mitzuteilen. Die Mitteilung hat auch die dem Auftraggeber zugeteilte Registernummer zu enthalten.

(3) Durch die Eintragung einer Datenverarbeitung im Register wird der Entscheidung der zuständigen Behörde über die Rechtmäßigkeit der registrierten Datenverarbeitung nicht vorgegriffen.

(4) Streichungen und Änderungen sind im Datenverarbeitungsregister auf Antrag des Eingetragenen oder auf Grund eines im Verfahren nach Abs. 5 ergangenen Bescheides der Datenschutzkommission vorzunehmen.

(5) Werden dem Datenverarbeitungsregister nachträglich Umstände bekannt, die eine Mangelhaftigkeit von registrierten Meldungen bewirken, so hat das Datenverarbeitungsregister von Amts wegen ein Mängelrügeverfahren einzuleiten. Hiefür gilt § 23a mit der Maßgabe, daß die Datenschutzkommission im Falle der Änderung von Namen oder Adressen mit Bescheid eine Berichtigung verfügen kann. Die Durchführung eines Mängelrügeverfahrens ist bis zum Abschluß dieses Verfahrens im Register anzumerken.

(6) Der Bundeskanzler hat nach Anhörung des Datenschutzrates durch Verordnung nähere Bestimmungen über die Registrierung zu erlassen. Dabei ist auf die Übersichtlichkeit der Eintragungen und die Einfachheit der Einsichtnahme in das Register Bedacht zu nehmen.

§ 24 DSG - REGISTRIERUNGSGEBÜHR

(1) Für die Inanspruchnahme des Datenverarbeitungsregisters gemäß §§ 22 und 23 ist eine Gebühr zu entrichten, deren Bezahlung bei Vorlage der Meldung nachzuweisen ist. Die Art der Entrichtung der Gebühr ist vom Bundeskanzler nach Anhörung des Datenschutzrates durch Verordnung zu regeln. Die Gebühr beträgt für jede Erstmeldung, die sich nicht ausschließlich auf Standardverarbeitungen bezieht, 700 S, für jede Änderungsmeldung und für jede Meldung, die sich ausschließlich auf Standardverarbeitungen bezieht, 150 S.

(2) Die Registrierungsgebühr ist von der Datenschutzkommission mit Bescheid vorzuschreiben, wenn ihre Bezahlung bei Vorlage der Meldung nicht nachgewiesen wird.

(3) Meldungen, die die gänzliche Streichung des Auftraggebers aus dem Register oder bloße Namens- oder Adreßänderungen beim Auftraggeber zum Gegenstand haben, sind gebührenfrei.

§ 25 DSG - AUSKUNFTSRECHT

(1) Ein Betroffener kann bei Nachweis seiner Identität beim Auftraggeber Auskunft über die zu seiner Person gespeicherten Daten und über deren Herkunft verlangen. Wurden diese Daten übermittelt, kann der Betroffene auch Auskunft über die Empfänger verlangen. Die Auskunft ist binnen vier Wochen schriftlich in allgemein verständlicher Form zu erteilen, sofern der Betroffene nicht mit einer mündlichen Auskunft einverstanden ist. Mit Zustimmung des Betroffenen kann anstelle der schriftlichen Auskunft die Einsichtnahme und die Möglichkeit der Abschrift oder Ablichtung gegeben werden.

(2) Werden Daten nach § 19 verarbeitet, so sind in der Auskunft auch Name und Anschrift des Dienstleisters anzugeben.

(3) Der Betroffene hat am Verfahren mitzuwirken. Er hat diejenigen Datenverarbeitungen zu bezeichnen, bezüglich derer er Betroffener sein kann, oder glaubhaft zu machen, daß er irrtümlich oder mißbräuchlich in Datenbeständen des Auftraggebers enthalten ist.

(4) Die Erteilung einer Auskunft nach Abs. 1 hat unentgeltlich zu erfolgen, wenn sie den aktuellen Datenbestand betrifft und wenn der Auskunftswerber im laufenden Jahr noch kein Auskunftsersuchen an den Auftraggeber betreffend dasselbe Aufgabengebiet gestellt hat. In allen anderen Fällen kann für die Auskunft ein Entgelt verlangt werden, das über die notwendigen aus der Verarbeitung des Auskunftsantrages tatsächlich erwachsenden Kosten nicht hinausgehen darf. Von der Bearbeitung des Auskunftsersuchens kann abgesehen werden, wenn der Betroffene nicht gemäß Abs. 3 am Verfahren mitwirkt oder das Entgelt nicht entrichtet wurde. Ein etwa geleistetes Entgelt ist ungeachtet weiterer Schadenersatzansprüche zurückzuerstatten, wenn Daten rechtswidrig verwendet wurden oder wenn die Auskunft sonst zu einer Richtigstellung geführt hat.

(5) Gesetzliche Verschwiegenheitspflichten bleiben unberührt.

(6) Eine Auskunft muß nicht erteilt werden, soweit dadurch überwiegende  berechtigte Interessen des Auftraggebers oder eines Dritten gefährdet werden und dies dem Betroffenen gegenüber begründet wird.

(7) Wird dem Ersuchen um Auskunft nicht nachgekommen, so ist dies dem Betroffenen unter Angabe der Gründe binnen vier Wochen schriftlich mitzuteilen.

(8) Ab dem Zeitpunkt der Kenntnis eines Auskunftsverlangens darf der Auftraggeber - außerhalb regelmäßig stattfindender und im vorhinein angeordneter Löschungsvorgänge - diese Daten innerhalb eines Zeitraumes von vier Monaten, im Falle der Klage gemäß § 29 bis zum rechtskräftigen Abschluß des Verfahrens nicht löschen.

§ 26 DSG - PFLICHT ZUR RICHTIGSTELLUNG

(1) Daten sind über begründetes Ansuchen des Betroffenen richtigzustellen, wenn sie unrichtig oder unvollständig sind. § 12 Abs. 3, 5, 7 und 8 sind sinngemäß anzuwenden. Wenn aus Gründen der Wirtschaftlichkeit die physische Richtigstellung von Daten auf ausschließlich automationsunterstützt lesbaren Datenträgern nur zu bestimmten Zeitpunkten vorgenommen werden kann, so sind diese Daten bis dahin logisch und sodann physisch richtigzustellen.

(2) Bei der Übermittlung und Benützung von Daten, deren Richtigkeit vom Betroffenen bestritten wurde, und bei denen keine Einigung über ihre Richtigkeit oder Unrichtigkeit erzielt werden konnte, ist über Verlangen des Betroffenen ein Vermerk über die Bestreitung beizufügen. Dieser Vermerk darf ohne Zustimmung des Betroffenen nur auf Grund eines rechtskräftigen Urteils gelöscht werden. Ist das Richtigstellungsbegehren (Abs. 1) gerichtlich geltend gemacht, die Klage aber abgewiesen worden, so ist über Verlangen des Auftraggebers im Urteil die Löschung des Vermerks anzuordnen. Der Auftraggeber kann auch unter Nachweis der Richtigkeit der Daten (§ 12 Abs. 5) den Anspruch auf Löschung des Bestreitungsvermerkes gerichtlich geltend machen.

§ 27 DSG - PFLICHT ZUR LÖSCHUNG

(1) Daten sind zu löschen, wenn

1.  ihre Erfassung oder Speicherung rechtswidrig ist, oder
2.  auf Antrag des Betroffenen, wenn ihre Erfassung oder Speicherung für die Erfüllung der Zwecke der Datenverarbeitung nicht mehr erforderlich ist und dem nicht überwiegende berechtigte Interessen des Auftraggebers, eines Dritten oder gesetzliche Aufbewahrungspflichten entgegenstehen.

(2) Wenn aus Gründen der Wirtschaftlichkeit die physische Löschung von Daten auf ausschließlich automationsunterstützt lesbaren Datenträgern nur zu bestimmten Zeitpunkten vorgenommen werden kann, so sind diese Daten bis dahin logisch und sodann physisch zu löschen.

§ 28 DSG - ZIVILRECHTLICHE HAFTUNG

(1) Ansprüche gegen nicht den Bestimmungen der §§ 4 und 5 unterliegende Rechtsträger, wie sie sich aus diesem Abschnitt dieses Bundesgesetzes ergeben, sind auf dem ordentlichen Rechtsweg geltend zu machen.

(2) Sind Daten entgegen den Bestimmungen dieses Bundesgesetzes oder den auf Grund dieses Bundesgesetzes erlassenen Durchführungsbestimmungen verarbeitet, benützt oder übermittelt worden, so hat der Betroffene, unbeschadet etwaiger Ansprüche auf Schadenersatz, Anspruch auf Unterlassung und Beseitigung des diesem Bundesgesetz oder den auf Grund dieses Bundesgesetzes erlassenen Durchführungsbestimmungen widerstreitenden Zustandes.

§ 29 DSG - ZIVILGERICHTLICHES VERFAHREN

(1) Für Klagen nach diesem Bundesgesetz ist in erster Instanz nur das mit der Ausübung der Gerichtsbarkeit in bürgerlichen Rechtssachen betraute Landesgericht zuständig, in dessen Sprengel der Betroffene seinen gewöhnlichen Aufenthalt oder Sitz hat. Klagen des Betroffenen können aber auch bei dem Landesgericht erhoben werden, in dessen Sprengel der Auftraggeber oder der Dienstleister seinen gewöhnlichen Aufenthalt oder Sitz hat.

(2) Auf Klagen nach diesem Bundesgesetz, die eine Arbeitsrechtssache im Sinne des § 50 des Arbeits- und Sozialgerichtsgesetzes, BGBl. Nr. 104/1985, zum Gegenstand haben, ist das genannte Gesetz anzuwenden; hinsichtlich der Zuständigkeit ist jedoch der Abs. 1 sinngemäß anzuwenden.

(3) Die Datenschutzkommission hat in gerichtlichen Verfahren, die Ansprüche aus diesem Bundesgesetz zum Gegenstand haben, sofern sie nicht selbst Parteistellung hat, über Ersuchen des Gerichtes Gutachten über technische und organisatorische Fragen des Datenschutzes abzugeben.

(4) Die Datenschutzkommission hat, wenn ein Betroffener es verlangt und es zur Wahrung der nach diesem Bundesgesetz geschützten Interessen des Datenschutzes und einer größeren Zahl von Betroffenen geboten ist, einem Rechtsstreit auf Seiten des Betroffenen als Nebenintervenient (§§ 17ff. ZPO) beizutreten.

(5) Das Gericht kann im Urteil aussprechen, daß Entscheidungen im Datenverarbeitungsregister einzutragen sind, wenn es zur Wahrung der nach diesem Bundesgesetz geschützten Interessen des Datenschutzes und einer größeren Zahl von Betroffenen geboten ist.

§ 30 DSG - EINSTWEILIGE VERFÜGUNGEN

Zur Sicherung der auf dieses Bundesgesetz gestützten Ansprüche auf Unterlassung können einstweilige Verfügungen erlassen werden, auch wenn die im § 381 EO bezeichneten Voraussetzungen nicht zutreffen. Zuständig zur Erlassung von einstweiligen Verfügungen, die vor Einleitung eines Rechtsstreites beantragt werden, ist das im § 29 Abs. 1 bezeichnete Landesgericht. Zuständig zur Erlassung von einstweiligen Verfügungen, die vor Einleitung eines Rechtsstreites beantragt werden, sind die im § 29 Abs. 1 und 2 bezeichneten Landesgerichte, in Arbeitsrechtssachen als Arbeits- und Sozialgerichte, beziehungsweise das Arbeits- und Sozialgericht Wien.

§ 31 DSG - RECHTE DES BETRIEBSRATES

Die dem Betriebsrat nach dem Arbeitsverfassungsgesetz zustehenden Befugnisse werden durch dieses Bundesgesetz nicht berührt. Das Datengeheimnis (§ 20) ist auch von den Mitgliedern des Betriebsrates zu wahren.

4. Abschnitt

INTERNATIONALER DATENVERKEHR

§ 32 DSG - ÜBERMITTLUNG UND ÜBERLASSUNG VON DATEN IN DAS AUSLAND

(1) Die Übermittlung und Überlassung von Daten in Staaten mit Datenschutzbestimmungen, die den österreichischen gleichwertig sind, bedürfen keiner Genehmigung durch die Datenschutzkommission. Inwieweit diese Gleichwertigkeit gegeben ist, wird durch Verordnung des Bundeskanzlers nach Anhörung der Datenschutzkommission festgestellt.

(2) Übermittlungen und Überlassungen in andere Staaten sind genehmigungsfrei, wenn

1.  sie auf Grund gesetzlicher oder völkerrechtlicher Bestimmungen erfolgen, in welchen die zu übermittelnden oder zu überlassenden Datenarten und die Empfänger ausdrücklich genannt sind, oder
2. der Betroffene um die Übermittlung schriftlich ersucht hat, wobei dieses Ersuchen schriftlich widerrufen werden kann, oder
3. die Daten im Inland zulässigerweise veröffentlicht wurden oder
4. es sich um solche Übermittlungen oder Überlassungen handelt, die durch Verordnung des Bundeskanzlers nach Anhörung des Datenschutzrates für genehmigungsfrei erklärt wurden, weil sie von einer großen Anzahl von Auftraggebern in gleichartiger Weise vorgenommen werden, ihr Inhalt durch Gesetz oder durch Vertrag mit dem Betroffenen vorgegeben ist und im Hinblick auf schutzwürdige Geheimhaltungsinteressen der Betroffenen eine Prüfung durch die Datenschutzkommission nicht dennoch geboten erscheint (Standardübermittlungen und Standardüberlassungen).

(3) Voraussetzung für die Zulässigkeit von genehmigungsfreien Übermittlungen und Überlassungen in das Ausland ist jedoch die Einhaltung der §§ 6, 7, 17 und 18 sowie - bei Überlassungen ins Ausland - die schriftliche Zusage des Dienstleisters, die im § 19 aufgezählten Pflichten einzuhalten.

§ 33 DSG - GENEHMIGUNG VON ÜBERMITTLUNGEN IN DAS AUSLAND

(1) In den nicht dem § 32 unterliegenden Fällen ist vor der Übermittlung von Daten in das Ausland eine Genehmigung der Datenschutzkommission einzuholen.

(2) Die Genehmigung ist zu versagen, wenn

1. die Datenverarbeitung, aus der in das Ausland übermittelt werden soll, rechtswidrig ist oder
2. die Voraussetzungen der §§ 7 oder 18 nicht gegeben sind oder
3. Bedenken bestehen, daß schutzwürdige Geheimhaltungsinteressen der Betroffenen durch den Datenverkehr im Ausland gefährdet sind oder
4. öffentliche Interessen einschließlich völkerrechtlicher Verpflichtungen entgegenstehen.

(3) Die Datenschutzkommission hat eine Ausfertigung jedes Bescheides, mit dem eine Übermittlung von Daten in das Ausland genehmigt wurde, dem Datenverarbeitungsregister zuzumitteln; die Bescheidausfertigung ist zum Registrierungsakt zu nehmen.

§ 34 DSG - GENEHMIGUNG VON DIENSTLEISTUNGEN IM AUSLAND

(1) In den nicht dem § 32 unterliegenden Fällen ist vor der Überlassung von Daten in das Ausland zum Zweck der Erbringung einer Dienstleistung eine Genehmigung der Datenschutzkommission einzuholen.

(2) Die Genehmigung ist zu versagen, wenn

1. die Datenverarbeitung, aus der in das Ausland übermittelt werden soll, rechtswidrig ist oder
2. der Dienstleister im Ausland dem Antragsteller die Einhaltung der im § 19 aufgezählten Pflichten nicht schriftlich zugesagt hat oder
3. Bedenken bestehen, daß schutzwürdige Geheimhaltungsinteressen der Betroffenen durch den Datenverkehr im Ausland gefährdet sind oder
4. öffentliche Interessen einschließlich völkerrechtlicher Verpflichtungen entgegenstehen.

(3) Die Datenschutzkommission hat eine Ausfertigung jedes Bescheides, mit dem eine Überlassung von Daten in das Ausland genehmigt wurde, dem Datenverarbeitungsregister zuzumitteln; die Bescheidausfertigung ist zum Registrierungsakt zu nehmen.

5. Abschnitt

DATENSCHUTZKOMMISSION, DATENSCHUTZRAT UND DATENVERARBEITUNGSREGISTER

§ 35 DSG - KONTROLLORGANE

(1) Zur Wahrung des Datenschutzes im Sinne dieses Bundesgesetzes - unbeschadet der Zuständigkeit der ordentlichen Gerichte - werden eine Datenschutzkommission und ein Datenschutzrat eingerichtet.

(2) Die Geschäftsführung der in Abs. 1 genannten Organe obliegt dem Bundeskanzleramt. Der Bundeskanzler hat diesen Organen das notwendige Personal auf Vorschlag des Datenschutzrates zur Verfügung zu stellen. Im Rahmen ihrer Tätigkeit für diese Organe sind solche Personen an die Weisungen des jeweiligen Vorsitzenden oder der in den Geschäftsordnungen bezeichneten Mitglieder der in Abs. 1 genannten Organe gebunden.

§ 36 DSG - AUFGABEN DER DATENSCHUTZKOMMISSION

(1) (Verfassungsbestimmung) Die Datenschutzkommission entscheidet:

1. über Beschwerden von Personen, die behaupten, durch das Verhalten eines Organs, das im Falle automationsunterstützter Datenverarbeitung dem 2. Abschnitt zuzurechnen wäre, in ihren Rechten nach diesem Bundesgesetz oder den hiezu ergangenen Verordnungen verletzt zu sein, soweit dieses Verhalten nicht der Gerichtsbarkeit zuzurechnen ist;
2. von Amts wegen, wenn in einem Verfahren gemäß Z 1 hervorgekommen ist, daß auch andere Personen in ihren Rechten in gleicher Weise verletzt wurden;
3.  über die Verpflichtung eines dem 2. Abschnitt unterliegenden Auftraggebers zur Aufrechterhaltung eines Bestreitungsvermerks;
4. in Verfahren im Zusammenhang mit der Eintragung in das Datenverarbeitungsregister;
5. über die Erteilung einer Genehmigung für den internationalen Datenverkehr;
6. über Berufungen in Verwaltungsstrafverfahren gemäß § 50.

(2) Darüber hinaus obliegen der Datenschutzkommission die ihr sonst durch Gesetz übertragenen Aufgaben, insbesondere die Mitwirkung gemäß §§ 9, 13, 29, 44 und 52, die Erlassung von Verfügungen nach § 29 Abs. 3 und § 38 Abs. 6 und von Beschlüssen nach § 39 Abs. 2 und § 45, sowie die Erstattung von Empfehlungen nach § 41 und von Tätigkeitsberichten nach § 46.

§ 37 DSG - WIRKUNG VON BESCHEIDEN

(1) Wenn die Datenschutzkommission eine Verletzung von Bestimmungen dieses Bundesgesetzes oder der auf Grund dieses Bundesgesetzes erlassenen Durchführungsbestimmungen festgestellt hat, so sind die Verwaltungsbehörden verpflichtet, mit den ihnen zu Gebote stehenden rechtlichen Mitteln unverzüglich den der Rechtsanschauung der Datenschutzkommission entsprechenden Zustand herzustellen. In den Bescheiden der Datenschutzkommission ist die Behörde zu bestimmen, die den Bescheid zu vollstrecken hat. Das Vollstreckungsverfahren richtet sich nach den für diese Behörde sonst geltenden Vorschriften.

(2) Gegen Bescheide der Datenschutzkommission ist kein Rechtsmittel zulässig. Sie unterliegen nicht der Aufhebung oder Abänderung im Verwaltungsweg.

(3) Die Anrufung des Verwaltungsgerichtshofes ist zulässig.

§ 38 DSG - ZUSAMMENSETZUNG DER DATENSCHUTZKOMMISSION

(1) Die Datenschutzkommission besteht aus vier Mitgliedern, die über Vorschlag der Bundesregierung vom Bundespräsidenten für die Dauer von fünf Jahren bestellt werden. Wiederbestellungen sind zulässig. Ein Mitglied muß dem Richterstand angehören. Die Mitglieder sollen Erfahrungen auf dem Gebiet des Datenschutzes aufweisen.

(2) Die Vorbereitung des Vorschlages der Bundesregierung für die Bestellung der Mitglieder der Datenschutzkommission obliegt dem Bundeskanzler. Er hat dabei Bedacht zu nehmen auf:

1.  einen Dreiervorschlag für das richterliche Mitglied vom Präsidenten des Obersten Gerichtshofes;
2.  einen Vorschlag der Länder für zwei Mitglieder.

(3) Ein Mitglied ist aus dem Kreise der rechtskundigen Bundesbeamten vorzuschlagen.

(4) Für jedes Mitglied ist ein Ersatzmitglied zu bestellen. Das Ersatzmitglied tritt bei Verhinderung eines Mitgliedes an dessen Stelle.

(5) Der Datenschutzkommission können nicht angehören:

1. Mitglieder der Bundesregierung oder einer Landesregierung sowie Staatssekretäre;
2. Personen, die mit der Verarbeitung von Daten, auf die die Bestimmungen dieses Bundesgesetzes Anwendung finden, unmittelbar befaßt sind;
3. Personen, die zum Nationalrat nicht wählbar sind.

(6) Hat ein Mitglied der Datenschutzkommission Einladungen zu drei aufeinanderfolgenden Sitzungen ohne genügende Entschuldigung keine Folge geleistet oder tritt bei einem Mitglied ein Ausschließungsgrund des Abs. 5 nachträglich ein, so hat dies nach seiner Anhörung die Datenschutzkommission festzustellen. Diese Feststellung hat den Verlust der Mitgliedschaft zur Folge. Im übrigen kann ein Mitglied der Datenschutzkommission nur aus einem schwerwiegenden Grund durch Beschluß der Datenschutzkommission, dem mindestens zwei ihrer Mitglieder zustimmen müssen, seines Amtes für verlustig erklärt werden.

(7) Auf die Ersatzmitglieder finden die Abs. 2, 3, 5 und 6 sinngemäß Anwendung.

(8) Scheidet ein Mitglied wegen Todes, freiwillig oder gemäß Abs. 6 vorzeitig aus, so wird das betreffende Ersatzmitglied (Abs. 2 und 3) Mitglied der Datenschutzkommission, und es ist unter Anwendung der Absätze 2 und 3 bis zum Ablauf der Funktionsperiode der Mitglieder ein neues Ersatzmitglied zu bestellen.

(9) Die Mitglieder der Datenschutzkommission haben Anspruch auf Ersatz der Reisekosten (Gebührenstufe 5) nach Maßgabe der für Bundesbeamte der Allgemeinen Verwaltung geltenden Rechtsvorschriften. Sie haben ferner Anspruch auf eine dem Zeit- und Arbeitsaufwand entsprechende Vergütung, die auf Antrag des Bundeskanzlers von der Bundesregierung durch Verordnung festzusetzen ist.

§ 39 DSG - VORSITZENDER UND GESCHÄFTSFÜHRUNG DER DATENSCHUTZKOMMISSION

(1) Das richterliche Mitglied führt den Vorsitz in der Datenschutzkommission.

(2) (Verfassungsbestimmung) Die Datenschutzkommission gibt sich eine Geschäftsordnung, in der eines ihrer Mitglieder mit der Führung der laufenden Geschäfte zu betrauen ist. Diese Betrauung kann auch die Erlassung von verfahrensrechtlichen Bescheiden beinhalten.

(3) Für einen gültigen Beschluß der Datenschutzkommission ist die Zustimmung der Mehrheit der abgegebenen Stimmen notwendig. Bei Stimmengleichheit gibt die Stimme des Vorsitzenden den Ausschlag. Stimmenthaltung ist unzulässig.

(4) Entscheidungen der Datenschutzkommission von grundsätzlicher Bedeutung für die Allgemeinheit sind in geeigneter Weise zu veröffentlichen. Die näheren Vorkehrungen für die Veröffentlichung der Entscheidungen trifft die Datenschutzkommission.

§ 40 DSG - WEISUNGSFREIHEIT DER MITGLIEDER DER DATENSCHUTZKOMMISSION

(Verfassungsbestimmung)

Die Mitglieder der Datenschutzkommission sind in Ausübung ihres Amtes unabhängig und an keine Weisungen gebunden.

§ 41 DSG - EMPFEHLUNGEN DER DATENSCHUTZKOMMISSION

Hat die Datenschutzkommission gegen die Rechtmäßigkeit einer Ermittlung, Verarbeitung, Benützung oder Übermittlung von Daten von oder für Rechtsträger nach § 4 oder § 5 Bedenken, so hat sie diese Bedenken samt Begründung und einer Empfehlung über die Herstellung des rechtmäßigen Zustandes dem für den Auftrag zur betreffenden Verarbeitung zuständigen obersten Verwaltungsorgan mitzuteilen. Dieses Organ hat innerhalb einer angemessenen, jedoch zwölf Wochen nicht überschreitenden Frist entweder diesen Empfehlungen zu entsprechen und dies der Datenschutzkommission mitzuteilen oder schriftlich zu begründen, warum den Empfehlungen nicht entsprochen wurde.

§ 42 DSG - AUFGABEN DES DATENSCHUTZRATES

(1) Dem Datenschutzrat obliegen - abgesehen von den in den §§ 4, 5, 8, 11, 22, 23, 23b, 24, 32, 35, 44, 45, 46, 47 und 52 genannten Befugnissen - folgende Aufgaben:

1. Auskünfte und Berichte über Fragen des Datenschutzes beim Datenverkehr im öffentlichen Bereich von den zuständigen Organen zu verlangen;
2. Auswirkungen des automationsunterstützten Datenverkehrs auf die Wahrung schutzwürdiger Interessen, insbesondere auf Achtung des Privat- und Familienlebens im Sinne des § 1 dieses Bundesgesetzes zu beobachten und die Ergebnisse solcher Beobachtungen dem Bericht der Datenschutzkommission nach § 46 Abs. 1 sowie allfälligen ADV-Berichten und Plänen der Bundesregierung beizufügen;
3. Anregungen zur allfälligen Verbesserung des Schutzes von Daten, die infolge der Entwicklung des Datenverkehrs zum Schutz der verfassungsgesetzlich gewährleisteten Rechte notwendig werden, der Bundesregierung und den Landesregierungen sowie über Vermittlung dieser den gesetzgebenden Organen gegenüber auszusprechen;
4. auf Antrag eines der dem Datenschutzrat angehörenden Vertreter der politischen Parteien Fragen von grundsätzlicher Bedeutung für den Datenschutz in Beratung zu ziehen;
5. die Erlassung seiner Geschäftsordnung.

(2) Die zuständigen Bundesminister und Landesregierungen haben auf Ersuchen des Datenschutzrates diesem über Erfahrungen auf dem Gebiete des Datenschutzes aus ihrem Bereich zu berichten.

(3) Gerichtliche Entscheidungen und Vergleiche in Verfahren auf Grund dieses Bundesgesetzes sind dem Datenschutzrat zuzustellen.

§ 43 DSG - ZUSAMMENSETZUNG DES DATENSCHUTZRATES

(1) Dem Datenschutzrat gehören an:

1. Vertreter der politischen Parteien: Von der im Hauptausschuß des Nationalrates am stärksten vertretenen Partei sind vier Vertreter, von der am zweitstärksten vertretenen Partei sind drei Vertreter und von jeder anderen im Hauptausschuß des Nationalrates vertretenen Partei ist ein Vertreter in den Datenschutzrat zu entsenden. Bei Mandatsgleichheit der beiden im Nationalrat am stärksten vertretenen Parteien entsendet jede dieser Parteien drei Vertreter.
2. Je ein Vertreter des Österreichischen Arbeiterkammertages und der Bundeskammer der gewerblichen Wirtschaft;
3. zwei Vertreter der Länder;
4. je ein Vertreter des Gemeindebundes und des Städtebundes;
5. ein vom Bundeskanzler zu ernennender Vertreter des Bundes.

(2) Die in Abs. 1 Z 3, 4 und 5 genannten Vertreter sollen Erfahrungen auf dem Gebiet der Verwaltungsinformatik haben.

(3) Für jedes Mitglied ist ein Ersatzmitglied namhaft zu machen.

(4) § 38 Abs. 5 ist sinngemäß anzuwenden.

(5) Die Mitglieder gehören dem Datenschutzrat solange an, bis von den namhaft machenden Stellen (Abs. 1) andere Vertreter namhaft gemacht worden sind.

(6) Die Tätigkeit der Mitglieder des Datenschutzrates ist ehrenamtlich. Mitglieder des Datenschutzrates, die außerhalb von Wien wohnen, haben im Fall der Teilnahme an Sitzungen des Datenschutzrates Anspruch auf Ersatz der Reisekosten (Gebührenstufe 5) nach Maßgabe der für Bundesbeamte der Allgemeinen Verwaltung geltenden Rechtsvorschriften.

§ 44 DSG - VORSITZ UND GESCHÄFTSFÜHRUNG DES DATENSCHUTZRATES

(1) Der Datenschutzrat wählt aus seiner Mitte einen Vorsitzenden und zwei stellvertretende Vorsitzende. Die Funktionsperiode des Vorsitzenden (stellvertretenden Vorsitzenden) dauert, unbeschadet der Änderung der Vertretung gemäß § 43 Abs. 5, fünf Jahre. Wiederbestellungen sind zulässig.

(2) Die Sitzungen des Datenschutzrates sind nach Bedarf einzuberufen. Begehrt ein Mitglied oder die Datenschutzkommission die Einberufung einer Sitzung, so hat der Vorsitzende eine Sitzung einzuberufen, die binnen vier Wochen stattzufinden hat.

(3) Für Beratungen und Beschlußfassungen im Datenschutzrat ist die Anwesenheit von mehr als der Hälfte seiner Mitglieder erforderlich. Zur Beschlußfassung genügt die einfache Mehrheit der abgegebenen Stimmen. Bei Stimmengleichheit gibt die Stimme des Vorsitzenden den Ausschlag. Stimmenthaltung ist unzulässig.

(4) Die Beifügung von Minderheitenvoten ist zulässig.

(5) Der Datenschutzrat kann aus seiner Mitte ständige oder nichtständige Arbeitsausschüsse bilden, denen er die Vorbereitung, Begutachtung und Bearbeitung einzelner Angelegenheiten übertragen kann. Er ist auch berechtigt, die Geschäftsführung, Vorbegutachtung und die Bearbeitung einzelner Angelegenheiten einem einzelnen Mitglied (Berichterstatter) zu übertragen.

(6) Jedes Mitglied des Datenschutzrates ist verpflichtet, an den Sitzungen - außer im Fall der gerechtfertigten Verhinderung - teilzunehmen. Jedes Mitglied hat seine Verhinderung an der Teilnahme rechtzeitig bekanntzugeben, worauf das Ersatzmitglied einzuladen ist.

(7) Mitglieder der Datenschutzkommission, die dem Datenschutzrat nicht angehören, sind berechtigt, an den Sitzungen des Datenschutzrates oder seiner Arbeitsausschüsse teilzunehmen. Ein Stimmrecht steht ihnen nicht zu.

§ 45 DSG - GEMEINSAME BESTIMMUNGEN FÜR DATENSCHUTZKOMMISSION UND DATENSCHUTZRAT

(1) (Verfassungsbestimmung) Alle Organe von Rechtsträgern nach §§ 4 und 5 haben die Datenschutzkommission und den Datenschutzrat bei der Besorgung ihrer Aufgaben zu unterstützen, ihnen Einsicht in Akten, Datenträger und sonstige Einrichtungen des Datenverkehrs zu gewähren und auf Verlangen die erforderlichen Auskünfte zu erteilen.

(2) (Verfassungsbestimmung) Die Beratungen der Datenschutzkommission und des Datenschutzrates sind vertraulich. Die Organe können die Vertraulichkeit ihrer Beratungen insoweit aufheben, als sie dies nach dem Gegenstand und dem Zwecke der Beratungen für notwendig erachten und nicht die Geheimhaltung im öffentlichen Interesse oder im Interesse einer Partei geboten ist.

(3) Die Datenschutzkommission und der Datenschutzrat können nach Bedarf zur Beratung besonderer Fragen Sachverständige zuziehen.

(4) Der Bundeskanzler beruft die jeweils erste Sitzung der Datenschutzkommission und des Datenschutzrates ein. Im Datenschutzrat führt das an Jahren älteste Mitglied bis zur Wahl des Vorsitzenden den Vorsitz.

§ 46 DSG - DATENSCHUTZBERICHTE

(1) Die Datenschutzkommission hat jedes zweite Jahr einen Bericht über ihre Tätigkeit und die hiebei gesammelten Erfahrungen zu verfassen und diesen Bericht dem Datenschutzrat zu übermitteln.

(2) Der Datenschutzrat hat aus Anlaß der Vorlage des Berichtes der Datenschutzkommission einen Bericht über die Entwicklung des Datenschutzes in Österreich (Datenschutzbericht) zu verfassen und diesen unter Anschluß des Berichtes der Datenschutzkommission und eines Berichtes über die Tätigkeit des Datenverarbeitungsregisters dem Bundeskanzler zu übermitteln.

(3) Der Bundeskanzler hat diesen Datenschutzbericht samt den angeschlossenen Beilagen mit einer Stellungnahme der Bundesregierung sowie mit Aussagen über die Entwicklung des Verarbeitens und des Schutzes von Daten im Ausland und mit allfälligen Empfehlungen dem Nationalrat vorzulegen. Soweit sich der Bericht auf Datenverarbeitungen in Bereich der Länder (§ 5) bezieht, hat der Bundeskanzler den Datenschutzbericht den Ländern zu übermitteln.

§ 47 DSG - DATENVERARBEITUNGSREGISTER

(1) Beim Österreichischen Statistischen Zentralamt ist ein Datenverarbeitungsregister einzurichten. Das Register ist nach den Anordnungen des Bundeskanzlers zu führen.

(2) Jedermann kann in das Register Einsicht nehmen. In die im Registrierungsakt befindlichen Genehmigungsbescheide der Datenschutzkommission über internationalen Datenverkehr ist Einsicht zu gewähren, soweit der Einsichtswerber glaubhaft macht, daß er Betroffener der genehmigten Übermittlung oder Überlassung ist und soweit nicht überwiegende schutzwürdige Geheimhaltungsinteressen des Auftraggebers oder anderer Personen entgegenstehen.

(3) Für Abschriften aus dem Register, die der Verfolgung der Rechte als Betroffener dienen, ist kein Kostenersatz zu verlangen.

(4) Der Bundeskanzler hat nach Anhörung des Datenschutzrates die näheren Bestimmungen über die Führung des Registers durch Verordnung zu erlassen.

6. Abschnitt

STRAFBESTIMMUNGEN

§ 48 DSG - GEHEIMNISBRUCH

(1) Wer Daten widerrechtlich offenbart oder verwertet, die ihm ausschließlich kraft seiner berufsmäßigen Beschäftigung mit Aufgaben der Verarbeitung anvertraut worden oder zugänglich geworden sind, und deren Offenbarung oder Verwertung geeignet ist, ein berechtigtes Interesse des Betroffenen zu verletzen, ist, wenn die Tat nicht nach einer anderen Bestimmung mit strengerer Strafe bedroht ist, vom Gericht mit Freiheitsstrafe bis zu einem Jahr zu bestrafen.

(2) Der Täter ist nur auf Antrag eines in seinem Interesse an der Geheimhaltung Verletzten oder auf Antrag der Datenschutzkommission zu verfolgen.

(3) Die Öffentlichkeit in der Hauptverhandlung ist auszuschließen, wenn dies

1.  der Staatsanwalt, der Beschuldigte oder ein Privatbeteiligter beantragt oder
2.  das Gericht zur Wahrung von Interessen am Verfahren nicht beteiligter Personen für notwendig hält.

§ 49 DSG - UNBEFUGTE EINGRIFFE IM DATENVERKEHR

Wer widerrechtlich einem anderen in seinen Rechten dadurch absichtlich einen Schaden zufügt, daß er sich automationsunterstützt verarbeitete Daten verschafft, ist, wenn die Tat nicht nach einer anderen Bestimmung mit strengerer Strafe bedroht ist, vom Gericht mit Freiheitsstrafe bis zu einem Jahr zu bestrafen.

§ 50 DSG - VERWALTUNGSSTRAFBESTIMMUNG

(1) Eine Verwaltungsübertretung, die mit Geldstrafe bis zu 150 000 S zu ahnden ist, begeht, wer eine Datenverarbeitung vornimmt, ohne seine Melde- oder Genehmigungspflichten erfüllt zu haben, oder sie weiterführt, obwohl ihm dies von der Datenschutzkommission gemäß § 23a Abs. 2 untersagt wurde, oder wer Daten entgegen § 8 Abs. 5 oder § 22 Abs. 3 weitergibt.

(2) Der Versuch ist strafbar.

(3) Die Strafe des Verfalls von Datenträgern und Programmen kann ausgesprochen werden (§§ 10, 17 und 18 VStG 1950), wenn diese Gegenstände mit einer Verwaltungsübertretung nach Abs. 1 in Zusammenhang stehen.

(4) Zuständig für Entscheidungen nach Abs. 1 bis 3 ist der Landeshauptmann.

 (5) Auf das Verfahren der Datenschutzkommission als Berufungsbehörde (§ 36 Abs. 1 Z 6) gegenüber Bescheiden nach Abs. 4 ist das Verwaltungsstrafverfahrensgesetz 1991 mit der Maßgabe anzuwenden, daß im 5. Abschnitt anstelle des unabhängigen Verwaltungssenates oder einer seiner Kammern oder des zuständigen Mitgliedes jeweils die Datenschutzkommission gemäß § 39 tätig wird.

7. Abschnitt

ÜBERGANGS- UND SCHLUSSBESTIMMUNGEN

§ 51 DSG

(aufgehoben)

§ 52 DSG - ERPROBUNG NEUER ARBEITSWEISEN UND TECHNIKEN DER VERWALTUNG

(1) Die Bestimmungen der §§ 8 und 9 finden keine Anwendung auf Verarbeitungen, soweit diese von den in den §§ 4 und 5 genannten Rechtsträgern zur Erprobung neuer Arbeitsweisen und Techniken der Verwaltung eingesetzt werden, bevor sie zum allgemeinen Einsatz gelangen.

(2) Für Maßnahmen nach Abs. 1 sind nach Anhörung der Datenschutzkommission und des Datenschutzrates Verordnungen zu erlassen. In diesen Verordnungen ist auf die Grundsätze der Zweckmäßigkeit und Sparsamkeit der Verwaltung Bedacht zu nehmen und der sachliche und räumliche Bereich von Modellversuchen nach Abs. 1 sowie die Art und die Verwendung der Daten anzugeben. Die Verordnungen sind zu befristen, wobei die Frist entsprechend der für die Beurteilung des Modellversuchs notwendigen Zeit zu bemessen ist.

(3) Die Verordnungen nach Abs. 2 sind zu erlassen:

1.  für Verarbeitungen im Bereich des Bundes (§ 4) vom zuständigen Bundesminister oder der Bundesregierung;
2.  für Verarbeitungen im Bereich der Länder (§ 5) von der Landesregierung.

§ 53 DSG - ANWENDUNG DES § 7 AUF VERWALTUNGSANGELEGENHEITEN GEMÄSS ART. 30 B-VG

§ 7 findet auf Daten aus dem Bereich der dem Präsidenten des Nationalrates gemäß Art. 30 B-VG übertragenen Verwaltungsangelegenheiten mit der Maßgabe Anwendung, daß, sofern der Betroffene nicht ausdrücklich schriftlich zugestimmt hat, diese Daten jeweils nur mit Zustimmung des Präsidenten des Nationalrates übermittelt werden dürfen.

§ 54 DSG - AUSNAHME FÜR MEDIENUNTERNEHMEN

Insoweit Medienunternehmen oder Mediendienste Daten ausschließlich für ihre publizistische Tätigkeit zum Zweck der automationsunterstützten Verarbeitung ermitteln, verarbeiten, benützen, übermitteln oder überlassen, finden von den einfachgesetzlichen Bestimmungen dieses Bundesgesetzes nur die §§ 19 bis 21 (Link zu § 20) Anwendung.

§ 55 DSG - VERHÄLTNIS ZU ANDEREN RECHTSVORSCHRIFTEN

(1) Die den gesetzlich anerkannten Religionsgesellschaften nach § 118 Abs. 2 BAO, BGBl. Nr. 194/1961, zustehenden Rechte bleiben unberührt.

(2) Die Bestimmungen der §§ 11 und 12 sind auf das Strafregister (Strafregistergesetz 1968, BGBl. Nr. 277) nicht anzuwenden.

(3) § 23 Abs. 7 des Wehrgesetzes 1978, BGBl. Nr. 150/1978 und § 2 Abs. 6 des Hochschülerschaftsgesetzes 1973, BGBl. Nr. 309, bleiben unberührt.

(4) Mit Ablauf des 31. Dezember 1979 tritt § 8 Abs. 4 des Bundesrechenamtsgesetzes, BGBl. Nr. 123/1978, außer Kraft.

§ 56 DSG - GEBÜHREN UND ABGABENBEFREIUNGEN

Die durch dieses Bundesgesetz unmittelbar veranlaßten Eingaben der Betroffenen zur Wahrung ihrer Interessen sowie die Eingaben im Registrierungsverfahren und die gemäߧ 23b Abs. 2 zu erstellenden Registerauszüge sind von den Stempelgebühren und von den Verwaltungsabgaben des Bundes befreit.

§ 57 DSG - EIGENER WIRKUNGSBEREICH DER GEMEINDE

Soweit dieses Bundesgesetz auf die Datenverarbeitungen von oder im Auftrage von Gemeinden anzuwenden ist, sind von der Gemeinde nach diesem Bundesgesetz durchzuführende Aufgaben solche des eigenen Wirkungsbereiches, soweit die Daten ausschließlich oder überwiegend im Interesse der Gemeinde ermittelt, verarbeitet, benützt, übermittelt oder überlassen werden.

§ 58 DSG - INKRAFTTRETEN

(1) Dieses Bundesgesetz tritt, soweit in den folgenden Absätzen nicht anderes bestimmt ist, mit 1. Jänner 1980 in Kraft.

(2) Verarbeitungen nach den §§ 8 und 23, die am 1. Jänner 1980 bereits in Betrieb stehen, sind bis zum 1. April 1980 für das Datenverarbeitungsregister anzumelden. Die Frist des § 23 Abs. 4 gilt für solche Anmeldungen nicht; Übermittlungen dürfen in dem Umfang, in dem sie im Zeitpunkt der Anmeldung durchgeführt wurden, bis sechs Wochen nach der Vergabe der Registernummer ohne deren Beifügung erfolgen.

(3) Verarbeitungen, die am 1. Jänner 1980 in Betrieb stehen, dürfen bis zum 1. Jänner 1981 fortgeführt werden; insoweit finden auf sie die §§ 6, 7, 17, 18, 22, 32 bis 34 (Link zu § 33) bis zum 1. Jänner 1981 keine Anwendung.

(4) Wurden Betroffene nicht von Verarbeitungen gemäß § 22 bis zum 1. Jänner 1982 informiert, so sind deren Daten zu löschen.

(5) § 21 tritt am 1. Juli 1981 in Kraft.

(6) Werden Durchführungsbestimmungen nach den §§ 9 und 10 erstmals erlassen sowie ÖNORMEN nach § 21 Abs. 3 für verbindlich erklärt, so treten diese Vorschriften frühestens sechs Monate nach ihrer Erlassung in Kraft.

(7) Die Fristen, die in diesem Bundesgesetz für die Auskunftserteilung und für die Richtigstellung festgelegt sind (§§ 11, 12, 25, 26), werden für Anträge von Betroffenen, die bis zum 30. Juni 1980 gestellt werden, verdoppelt.

(8) Anträge von Betroffenen nach § 12 Abs. 7 sowie über die Empfänger übermittelter Daten können sich nicht auf Ermittlungen und Übermittlungen beziehen, die vor dem 1. Juli 1979 stattgefunden haben. Auskunft über die Herkunft von Daten, die vor dem 1. Jänner 1979 ermittelt worden sind, muß nicht erteilt werden.

(9) Verordnungen auf Grund dieses Bundesgesetzes können ab dem auf seine Kundmachung folgenden Tag erlassen werden.

(10) Die Durchführungsbestimmungen zu den  §§ 9 und 10 sind bis zum 1. Juli 1980 zu erlassen.

(11) Für Verarbeitungen nach § 13 sind die notwendigen Verträge bis 1. Juli 1980 abzuschließen.

(12) Die für das Inkrafttreten dieses Bundesgesetzes notwendigen organisatorischen und personellen Maßnahmen können ab dem 1. Jänner 1979 getroffen werden, die Mitglieder der Datenschutzkommission und des Datenschutzrates sind bis zum 1. April 1979 zu bestellen. Die erste Sitzung der Datenschutzkommission und des Datenschutzrates ist vom Bundeskanzler bis zum 1. Juli 1979 einzuberufen.

(13) (Verfassungsbestimmung) § 36 Abs. 1 in der Fassung des Bundesgesetzes BGBl. Nr. 632/1994 tritt mit 1. Jänner 1995 in Kraft. Gleichzeitig treten § 36 Abs. 4 und die Bezeichnung "Verfassungsbestimmung" in § 50 Abs. 5 außer Kraft.

(14) § 4 Abs. 2, § 14, § 36 Abs. 2, § 37 Abs. 2 und 3 und § 50 Abs. 5 in der Fassung des Bundesgesetzes BGBl. Nr. 632/1994 treten mit 1. Jänner 1995 in Kraft. Gleichzeitig tritt § 36 Abs. 3 außer Kraft.

§ 59 DSG - VOLLZIEHUNG

Mit der Vollziehung dieses Bundesgesetzes sind, soweit sie nicht der Bundesregierung oder den Landesregierungen obliegt, der Bundeskanzler und die anderen Bundesminister im Rahmen ihres Wirkungsbereiches betraut.