Artikel 17

Schutz personenbezogener Daten

(1) Soweit dies zur Hilfeleistung im Falle einer Katastrophe oder eines schweren Unglücksfalls notwendig ist, dürfen die Parteien einander wechselseitig nach Maßgabe des nationalen Rechts personenbezogene Daten übermitteln. Die wechselseitige Übermittlung personenbezogener Daten zwischen den Parteien sowie die weitere Verarbeitung dieser Daten erfolgen unter Beachtung der von der übermittelnden Partei erteilten Auflagen und nach Maßgabe folgender Grundsätze, welche gleichermaßen auf automationsunterstützt und nicht automationsunterstützt verarbeitete Daten Anwendung finden:

1. (a) Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Sie dürfen nur für festgelegte, eindeutige und legitime Zwecke dieses Abkommens verarbeitet werden. Sie müssen dem konkreten Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.
2. (b) Die übermittelten personenbezogenen Daten dürfen ausschließlich für jene Zwecke verarbeitet werden, für die sie übermittelt wurden, es sei denn, dass die übermittelnde Partei ausdrücklich die Ermächtigung erteilt hat, die Daten zu einem anderen Zweck zu verarbeiten.
3. (c) Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden. Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Person nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.

(2) Personenbezogene Daten müssen in einer Weise verarbeitet und gespeichert werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.

(3) Die Parteien sind verpflichtet, jede Übermittlung beziehungsweise jeden Empfang von Daten zu dokumentieren. Diese Dokumentation beinhaltet Zweck, Inhalt und Zeitpunkt der Übermittlung beziehungsweise des Empfangs sowie die übermittelnde beziehungsweise die empfangende Behörde. Sinngemäßes gilt für die Vernichtung von Daten. Die Dokumentation ist durch geeignete Vorkehrungen gegen zweckfremde Verwendung und sonstigen Missbrauch zu schützen und drei Jahre aufzubewahren. Nach dieser Frist ist sie unverzüglich zu vernichten. Die Dokumentation darf ausschließlich zur Kontrolle, ob die maßgeblichen Rechtsvorschriften über den Datenschutz eingehalten wurden, verwendet werden.

(4) Jede betroffene Person hat das Recht, bei Nachweis ihrer Identität auf Ansuchen von der für die Verarbeitung verantwortlichen Behörde in allgemein verständlicher Form, ohne unzumutbare Verzögerung und kostenlos Auskunft über die zu ihr im Rahmen dieses Abkommens übermittelten oder verarbeiteten personenbezogenen Daten, deren Herkunft, allfällige Empfänger oder Empfängerkategorien, den vorgesehenen Verarbeitungszweck und die Rechtsgrundlage zu erhalten., Ferner hat jede betroffene Person das Recht sowie auf Richtigstellung unrichtiger und Löschung unzulässigerweise verarbeiteter Daten. Die Parteien stellen darüber hinaus sicher, dass die betroffene Person sich im Falle der Verletzung ihrer Rechte auf Datenschutz mit einer wirksamen Beschwerde an ein unabhängiges und unparteiisches, auf Gesetz basierendes Gericht im Sinne des Artikel 6 Absatz 1 der Konvention zum Schutz der Menschenrechte und Grundfreiheiten¹ (Europäische Menschenrechtskonvention) sowie eine unabhängige Kontrollstelle im Sinne des Artikel 1 des Zusatzprotokolls² vom 8. November 2001 zum Übereinkommen des Europarates vom 28. Jänner 1981 zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten³ wenden kann und dass ihr die Möglichkeit eröffnet wird, effektive Abhilfe sowie gegebenenfalls einen Schadenersatzanspruch geltend zu machen. Die Einzelheiten des Verfahrens zur Durchsetzung dieser Rechte richten sich nach dem nationalen Recht der Partei, bei der sie geltend gemacht werden. Im Falle eines Ansuchens auf Geltendmachung dieser Rechte gibt die Partei, die über die Daten verfügt, der übermittelnden Partei Gelegenheit zur Stellungnahme, bevor eine Entscheidung über das Ansuchen getroffen wird.

(5) Die Übermittlung der empfangenen personenbezogenen Daten an Dritte ist nur mit der vorherigen schriftlichen Zustimmung der übermittelnden Partei zulässig.

(6) Die übermittelten Daten sind zu löschen, wenn die Daten nicht mehr zur Erfüllung der der Übermittlung zugrundeliegenden Zwecke benötigt werden oder die Grundlage für die Verarbeitung weggefallen ist.

(7) Auf Ersuchen der übermittelnden Behörde hat die empfangende Behörde Auskunft über jegliche Verarbeitung der empfangenen Daten einschließlich der damit erzielten Ergebnisse zu geben.

_______________________________________

1 Kundgemacht in BGBl. Nr. 210/1958.

2 Kundgemacht in BGBl. III Nr. 91/2008.

3 Kundgemacht in BGBl. Nr. 317/1988.

Zuletzt aktualisiert am

06.11.2024

Gesetzesnummer

20012722

Dokumentnummer

NOR40266182