Elektronische Personenkennzeichnung und Datenaufbewahrung
§ 280a.
(1) Zum Zwecke der eindeutigen Identifikation im Beschäftigungskontext kann eine aus der ZMR-Zahl (§ 16 Abs. 4 des Meldegesetzes 1991, BGBl. Nr. 9/1992) durch bereichsspezifische Verschlüsselung abgeleitete Personenkennzeichnung und ein bereichsspezifisches Personenkennzeichen (bPK) gemäß § 9 E‑GovG der im § 280 Abs. 1 genannten betroffenen Personen verarbeitet, übermittelt und weiterverarbeitet werden.
(2) Organisationsbezogene, ausbildungsbezogene und sonstige mit dem Rechtsverhältnis in unmittelbarem Zusammenhang stehende personenbezogene Daten und besondere Kategorien personenbezogener Daten betroffener Personen sind von einem Verantwortlichen ab der letztmaligen Verarbeitung, Übermittlung oder Weiterverarbeitung fünfzehn Jahre aufzubewahren. Werden die personenbezogenen Daten und besonderen Kategorien personenbezogener Daten darüber hinaus für eine Verarbeitung, Übermittlung oder Weiterverarbeitung gemäß § 280 benötigt, so sind sie mindestens fünfzehn Jahre nach dem Wegfall dieser Notwendigkeit aufzubewahren. Soweit nach der letztmaligen Verarbeitung, Übermittlung oder Weiterverarbeitung ein mit den jeweiligen Daten im Zusammenhang stehendes Verfahren eingeleitet wird oder wurde, sind diese personenbezogenen Daten und besonderen Kategorien personenbezogener Daten mindestens fünfzehn Jahre nach Rechtskraft der das Verfahren abschließend beendenden Entscheidung aufzubewahren.
(3) Dienstrechtliche, arbeits- und sozialrechtliche, besoldungsrechtliche, pensionsrechtliche und haushaltsrechtliche personenbezogene Daten und besondere Kategorien personenbezogener Daten betroffener Personen sind von einem Verantwortlichen über den Zeitpunkt der Eintragung des Todes der betroffenen Person hinaus fünfzehn Jahre aufzubewahren. Werden die personenbezogenen Daten und besonderen Kategorien personenbezogener Daten darüber hinaus für eine Verarbeitung, Übermittlung oder Weiterverarbeitung gemäß § 280 benötigt, so sind sie mindestens fünfzehn Jahre nach dem Wegfall dieser Notwendigkeit aufzubewahren. Soweit nach der Eintragung des Todes der betroffenen Person ein mit den jeweiligen Daten im Zusammenhang stehendes Verfahren eingeleitet wird oder wurde, sind diese personenbezogenen Daten und besonderen Kategorien personenbezogener Daten mindestens fünfzehn Jahre nach Rechtskraft der das Verfahren abschließend beendenden Entscheidung aufzubewahren.
(4) Protokolldaten über lesende Zugriffe sind Protokolldaten, die das Auslesen oder Abfragen von personenbezogenen Daten und besonderen Kategorien personenbezogener Daten gemäß Abs. 2 und 3 protokollieren. Protokolldaten über lesende Zugriffe sind von einem Verantwortlichen ab ihrer letztmaligen Verarbeitung, Übermittlung oder Weiterverarbeitung drei Jahre aufzubewahren. Ist es darüber hinaus in Bezug auf § 280 notwendig, lesende Protokolldaten aufzubewahren, so sind sie mindestens drei Jahre nach dem Wegfall dieser Notwendigkeit aufzubewahren. Soweit nach der letztmaligen Verarbeitung, Übermittlung oder Weiterverarbeitung ein mit den jeweiligen personenbezogenen Daten, besonderen Kategorien personenbezogener Daten oder Protokolldaten im Zusammenhang stehendes Verfahren eingeleitet wird oder wurde, sind diese Protokolldaten über lesende Zugriffe mindestens drei Jahre nach Rechtskraft der das Verfahren abschließend beendenden Entscheidung aufzubewahren.
(5) Protokolldaten über inhaltsändernde Zugriffe sind alle Protokolldaten zu personenbezogenen Daten und besonderen Kategorien personenbezogener Daten gemäß Abs. 2 und 3, die nicht unter Abs. 4 fallen. Protokolldaten über inhaltsändernde Zugriffe sind von einem Verantwortlichen ab ihrer letztmaligen Verarbeitung, Übermittlung oder Weiterverarbeitung sieben Jahre aufzubewahren. Ist es darüber hinaus in Bezug auf § 280 notwendig, Protokolldaten über inhaltsändernde Zugriffe aufzubewahren, so sind sie mindestens sieben Jahre nach dem Wegfall dieser Notwendigkeit aufzubewahren. Soweit nach der letztmaligen Verarbeitung, Übermittlung oder Weiterverarbeitung oder nach der Eintragung des Todes der betroffenen Person ein mit den jeweiligen personenbezogenen Daten, besonderen Kategorien personenbezogener Daten oder Protokolldaten im Zusammenhang stehendes Verfahren eingeleitet wird oder wurde, sind diese Protokolldaten über inhaltsändernde Zugriffe mindestens sieben Jahre nach Rechtskraft der das Verfahren abschließend beendenden Entscheidung aufzubewahren.
(6) Eine durch Gesetz oder Verordnung vorgesehene längere Aufbewahrungspflicht oder Archivierung geht Abs. 2 bis 5 vor. Die gesetzlich vorgesehene Löschpflicht von Strafregisterauskünften gemäß den §§ 9 und 9a des Strafregistergesetzes 1968 und die Löschpflichten gemäß §§ 79e Abs. 2a und 109 Abs. 2 gehen der Aufbewahrungspflicht gemäß Abs. 3 vor. Die Verantwortlichen gemäß § 280 Abs. 1 und die gemeinsam Verantwortlichen gemäß § 280b Abs. 2 werden jeweils ermächtigt, im Zentralen Personenstandsregister Abfragen der eingetragenen Todesfälle und Todeserklärungen durchzuführen. Diese Abfragen sind von sämtlichen Gebühren und Verwaltungsabgaben befreit.
(7) Die Verantwortlichen gemäß § 280 Abs. 1 und die gemeinsam Verantwortlichen gemäß § 280b Abs. 2 haben jeweils gemäß Art. 32 bis 34 DSGVO für die Sicherheit der personenbezogenen Daten, der besonderen Kategorien personenbezogener Daten sowie der Protokolldaten zu sorgen. Insbesondere ist sicherzustellen, dass bestehende Protokolldaten nicht verändert werden können. Die Bundeskanzlerin oder der Bundeskanzler ist als Verantwortlicher gemäß Art. 4 Z 7 DSGVO ermächtigt, zum Zwecke der rechtskonformen Verfahrensgestaltung, der Fehlerbehebung sowie der Datensicherheit in den von ihr oder ihm bereitgestellten oder betriebenen IKT-Lösungen und IT-Verfahren für das Personalmanagement des Bundes erforderliche nicht inhaltsändernde Verarbeitungen, Übermittlungen und Weiterverarbeitungen von personenbezogenen Daten und besonderen Kategorien personenbezogener Daten durchzuführen. Verantwortliche gemäß § 280 Abs. 1 können für den Wirkungsbereich ihres jeweiligen Ressorts mittels Verordnung abweichend von Abs. 2 bis 5 kürzere oder längere Fristen für Aufbewahrungspflichten vorsehen, wobei die Fristen für Protokolldaten über lesende Zugriffe mindestens ein Jahr und für Protokolldaten über inhaltsändernde Zugriffe mindestens drei Jahre betragen müssen. Gemeinsam Verantwortliche gemäß § 280b Abs. 2 haben vor Erlassung einer solchen Verordnung das Einvernehmen herzustellen.
(8) Dieser Paragraph gilt abweichend von § 1 für alle betroffenen Personen gemäß § 280 Abs. 1 und ausschließlich für personenbezogene Daten und besondere Kategorien personenbezogener Daten gemäß § 280 und Abs. 1.
Zuletzt aktualisiert am
20.01.2021
Gesetzesnummer
10008470
Dokumentnummer
NOR40230070
Lizenziert vom RIS (ris.bka.gv.at - CC BY 4.0 DEED)