257. Verordnung des Bundeskanzlers über das bei der Datenschutzkommission eingerichtete Datenverarbeitungsregister (Datenverarbeitungsregister-Verordnung 2012 - DVRV 2012)
Auf Grund des § 16 Abs. 3 und des § 61 Abs. 8 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 51/2012, wird verordnet:
Inhaltsverzeichnis
1. Abschnitt | |
§ 1. | Geltungsbereich |
§ 2. | Begriffsbestimmungen |
2. Abschnitt | |
§ 3. | Einrichtung des Datenverarbeitungsregisters |
§ 4. | Inhalt des Datenverarbeitungsregisters |
3. Abschnitt | |
§ 5. | Zugang zum Datenverarbeitungsregister |
§ 6. | Einsichtnahme in das Datenverarbeitungsregister |
4. Abschnitt | |
§ 7. | Form der Meldung |
§ 8. | Anlass und Zeitpunkt der Meldung |
§ 9. | Inhalt der Meldung |
§ 10. | Beilagen zur Meldung |
§ 11. | Registrierung |
§ 12. | DVR-Nummer und Registrierungsnachweis |
§ 13. | Automatische Registrierung von Meldungen |
5. Abschnitt | |
§ 14. | Identifizierung und Authentifizierung in DVR-Online |
§ 15. | Vertretung des Auftraggebers |
6. Abschnitt | |
§ 16. | Verzeichnis der Informationsverbundsysteme |
7. Abschnitt | |
§ 17. | Richtigstellung des Datenverarbeitungsregisters |
§ 18. | Übernahme der DVR-Nummer bei Rechtsnachfolge |
§ 19. | Aufbewahrung von Inhalten des Datenverarbeitungsregisters und der Registrierungsakten |
8. Abschnitt | |
§ 20. | Anwendungsbereich |
§ 21. | Meldungen bei Betriebsstörungen und für manuelle Dateien |
§ 22. | Registrierung bei Betriebsstörungen und für manuelle Dateien |
9. Abschnitt | |
§ 23. | Verfahrensvorschriften |
§ 24. | Inkrafttreten |
Anlage 1 | Inhalt des DVR-Online-Formulars und des Formblattes „Angaben zum Auftraggeber“ |
Anlage 2 | Inhalt des DVR-Online-Formulars und des Formblattes „Meldung einer Datenanwendung“ |
Anlage 3 | Inhalt des DVR-Online-Formulars (elektronisches Muster) und des Formblattes „Meldung einer Musteranwendung“ |
Anlage 4 | Inhalt des DVR-Online-Formulars und des Formblattes „Allgemeine Angaben zu ergriffenen Datensicherheitsmaßnahmen“ |
1. Abschnitt
Allgemeines
Geltungsbereich
§ 1. Diese Verordnung regelt die Einrichtung und Führung des Datenverarbeitungsregisters, den Zugang und die Einsichtnahme in das Datenverarbeitungsregister, die Registrierung von Datenanwendungen im Datenverarbeitungsregister sowie das Verzeichnis der Informationsverbundsysteme.
Begriffsbestimmungen
§ 2. Im Sinne dieser Verordnung sind zu verstehen:
- 1. Datenverarbeitungsregister: das von der Datenschutzkommission gemäß § 16 Abs. 1 DSG 2000 zu führende Register der Auftraggeber mit den von ihnen betriebenen Datenanwendungen;
- 2. Meldung: Eingabe gemäß § 17 DSG 2000 an die Datenschutzkommission zum Zweck der Registrierung im Datenverarbeitungsregister;
- 3. Registrierte Meldung: in das Datenverarbeitungsregister aufgenommene Meldungen, bestehend aus den Anlagen 1 bis3;
- 4. DVR-Online: Internetanwendung zur Meldung von Datenanwendungen an die Datenschutzkommission und zur Führung des Datenverarbeitungsregisters bei der Datenschutzkommission;
- 5. DVR-Online-Formulare: die inhaltlich den Formblättern der Anlage 1 bis4 entsprechenden und im DVR-Online verwendeten Formulare;
- 6. DVR-Nummer: vom Datenverarbeitungsregister zugewiesene Registernummer;
- 7. bPK: bereichsspezifisches Personenkennzeichen gemäß §§ 9 ff des E-Government-Gesetzes - E-GovG, BGBl. I Nr. 10/2004, in der Fassung des Bundesgesetzes BGBl. I Nr. 111/2010.
2. Abschnitt
Einrichtung und Inhalt des Datenverarbeitungsregisters
Einrichtung des Datenverarbeitungsregisters
§ 3. Das Datenverarbeitungsregister ist bei der Datenschutzkommission eingerichtet und wird in Form der Internetanwendung DVR-Online geführt. Auftraggeber des Datenverarbeitungsregisters ist die Datenschutzkommission.
Inhalt des Datenverarbeitungsregisters
§ 4. (1) Das Datenverarbeitungsregister besteht aus:
- 1. den registrierten Meldungen über Auftraggeber und Datenanwendungen,
- 2. einem gesonderten Verzeichnis der Informationsverbundsysteme sowie
- 3. den Registrierungsakten.
(2) In den Registrierungsakt sind aufzunehmen:
- 1. die nicht-registrierte Meldung, bestehend aus den DVR-Online-Formularen und Formblättern, sowie die angeschlossenen Beilagen,
- 2. Verbesserungsaufträge,
- 3. Genehmigungsbescheide gemäß § 13 DSG 2000,
- 4. Bescheide der Datenschutzkommission über Auflagen, die gemäß § 21 Abs. 2 DSG 2000 anlässlich des Prüfungsverfahrens erteilt wurden,
- 5. sonstige Bescheide der Datenschutzkommission im Registrierungsverfahren, und
- 6. Mitteilung nach § 20 Abs. 5 DSG 2000 über die Ablehnung der Registrierung.
3. Abschnitt
Zugang und Einsicht in das Datenverarbeitungsregister
Zugang zum Datenverarbeitungsregister
§ 5. Der Zugang zum Datenverarbeitungsregister erfolgt nach Maßgabe technischer und organisatorischer Möglichkeiten über DVR-Online. Für den Fall einer Betriebsstörung sowie für manuelle Dateien ist der Zugang nach Maßgabe technischer und organisatorischer Möglichkeiten auf alternativem Weg sicherzustellen.
Einsichtnahme in das Datenverarbeitungsregister
§ 6. (1) Öffentlich einsehbar sind registrierte Meldungen, bestehend aus den Anlagen 1 bis3, sowie das gesonderte Verzeichnis der Informationsverbundsysteme.
(2) In den Registrierungsakt ist Einsicht zu gewähren, wenn der Einsichtswerber glaubhaft macht, dass er Betroffener ist, und soweit nicht überwiegende schutzwürdige Geheimhaltungsinteressen des Auftraggebers oder anderer Personen entgegenstehen. Keiner Einsicht unterliegen die Angaben über Datensicherheitsmaßnahmen.
4. Abschnitt
Meldungen an das Datenverarbeitungsregister
Form der Meldung
§ 7. (1) Die Meldung sowie die zugehörigen Beilagen sind in elektronischer Form über DVR-Online einzubringen. Eine Meldung in Form von E-Mail oder in nicht-elektronischer Form ist nur unter den Voraussetzungen des 8. Abschnittes zulässig. Die Meldung von manuellen Dateien kann entweder in elektronischer Form über DVR-Online oder unter den Voraussetzungen des 8. Abschnittes eingebracht werden.
(2) Zum Einbringen von Meldungen sowie für die Bearbeitung von Verbesserungsaufträgen ist eine Identifizierung und Authentifizierung erforderlich.
(3) Zur Teilnahme an einem Informationsverbundsystem, das bereits auf Grund einer Meldung von zumindest zwei Auftraggebern registriert worden ist, können weitere Auftraggeber in der Folge die Meldung im Umfang des § 19 Abs. 1 Z 3 bis 7 und Abs. 2 DSG 2000 auf einen Verweis durch Übernahme des Inhalts der Meldung eines bereits registrierten Auftraggebers beschränken, wenn sie eine Teilnahme im genau gleichen Umfang anstreben.
Anlass und Zeitpunkt der Meldung
§ 8. Zum Zweck der Registrierung hat der Auftraggeber einer Datenanwendung der Datenschutzkommission gemäß §§ 17 und 19 DSG 2000 zu melden:
- 1. seine Identität und seine Rechtsgrundlagen (rechtliche Befugnis oder gesetzliche Zuständigkeit) bei der erstmaligen Meldung einer Datenanwendung an die Datenschutzkommission,
- 2. jede meldepflichtige Datenanwendung vor deren Aufnahme,
- 3. jede Änderung einer meldepflichtigen, bereits registrierten Datenanwendung samt den Rechtsgrundlagen vor Aufnahme der geänderten Datenanwendung,
- 4. jede Änderung des Namens oder der sonstigen Bezeichnung oder der Anschrift des Auftraggebers, unverzüglich nach Eintritt der Änderung,
- 5. den Eintritt eines Grundes für die Streichung einer registrierten Datenanwendung, insbesondere den Wegfall ihrer Rechtsgrundlage, unverzüglich nachdem er sich ereignet hat,
- 6. den Wegfall einer geeigneten Rechtsgrundlage für die im Zusammenhang mit der Registrierung relevanten Tätigkeiten des Auftraggebers, unverzüglich nach Eintritt ihrer rechtlichen Wirksamkeit.
Inhalt der Meldung
§ 9. Für jede Neu- oder Änderungsmeldung betreffend eine Datenanwendung sind im DVR-Online-Formular die Angaben nach der Anlage 2 vollständig anzugeben; bei der Meldung einer Musteranwendung sind hiefür im DVR-Online-Formular die Angaben nach der Anlage 3 vollständig anzugeben. Meldet ein Auftraggeber erstmalig an die Datenschutzkommission oder meldet er Änderungen zu den Angaben zum Auftraggeber, so hat er zusätzlich im DVR-Online-Formular die Angaben nach der Anlage 1 auszufüllen. Die gemäß § 19 Abs. 1 Z 7 DSG 2000 zu machenden allgemeinen Angaben über die getroffenen Datensicherheitsmaßnahmen sind über das DVR-Online-Formular gemäß Anlage 4 an die Datenschutzkommission zu übermitteln.
Beilagen zur Meldung
§ 10. Den Meldungen ist insbesondere beizulegen:
- 1. bei Datenanwendungen des öffentlichen Bereiches der Nachweis der gesetzlichen Zuständigkeit des Auftraggebers und sonstiger allenfalls notwendiger Rechtsgrundlagen für die Datenanwendung, soweit deren Vorhandensein nicht außer Zweifel steht,
- 2. bei Datenanwendungen des privaten Bereiches der Nachweis der Befugnis für die Ausübung der Tätigkeit des Auftraggebers oder, wenn für diese keine Befugnis erforderlich ist, eine diesbezügliche Begründung.
Registrierung
§ 11. (1) Die Registrierung erfolgt durch Übernahme der anlässlich der Meldung über DVR-Online ausgefüllten und im Registrierungsverfahren allenfalls verbesserten DVR-Online-Formulare gemäß Anlage 1 bis3 in das Datenverarbeitungsregister gemäß § 4 Abs. 1 Z 1.
(2) Die Registrierung hat unverzüglich zu erfolgen, sobald
- 1. das Prüfungsverfahren die Zulässigkeit der Registrierung ergeben hat oder
- 2. zwei Monate seit dem Einlangen der Meldung bei der Datenschutzkommission verstrichen sind, ohne dass ein Verbesserungsauftrag gemäß § 20 DSG 2000 erteilt wurde, oder
- 3. der Auftraggeber die verlangten Verbesserungen vollständig und fristgerecht vorgenommen hat.
(3) Auflagen für die Vornahme einer Datenanwendung, die dem Auftraggeber gemäß § 21 Abs. 2 DSG 2000 anlässlich der Registrierung mit Bescheid der Datenschutzkommission erteilt wurden, sind durch Eintragung der Bescheidzahl in dem vom Auftraggeber über DVR-Online eingereichten Formular gemäß Anlage 2 von Amts wegen ersichtlich zu machen. Der Spruchinhalt ist in der Registrierung als Beilage zur Anlage 2 wiederzugeben.
(4) Meldungen, die der Auftraggeber als vorabkontrollpflichtig bezeichnet hat oder von diesem zulässigerweise nicht über DVR-Online eingebracht wurden, sind auf Mangelhaftigkeit im Sinne des § 19 Abs. 4 DSG 2000 zu prüfen. Ergibt die Prüfung nach § 19 Abs. 4 DSG 2000 eine Mangelhaftigkeit der Meldung, so ist dem Auftraggeber innerhalb von zwei Monaten nach Einlangen der Meldung die Verbesserung unter Setzung einer angemessenen Frist aufzutragen. Im Verbesserungsauftrag ist darauf hinzuweisen, dass für den Fall, dass dem Verbesserungsauftrag nicht entsprochen wird, die Registrierung der Meldung durch eine schriftliche Mitteilung abzulehnen ist. In die Mitteilung sind aufzunehmen:
- 1. die Punkte, in denen der Verbesserungsauftrag nicht erfüllt wurde und
- 2. der Hinweis, dass innerhalb von zwei Wochen ab Zustellung bei der Datenschutzkommission ein Antrag gestellt werden kann, über die Ablehnung mit Bescheid abzusprechen.
Nach Absendung der Mitteilung erstattete Verbesserungen sind nicht zu berücksichtigen.
DVR-Nummer und Registrierungsnachweis
§ 12. (1) Jedem Auftraggeber ist bei der erstmaligen Registrierung eine DVR-Nummer zuzuteilen. An ein und denselben Auftraggeber darf jeweils nur eine DVR-Nummer vergeben werden.
(2) Ein Auftraggeber darf nur eine DVR-Nummer führen. In jenen Fällen, in denen gemäß § 25 DSG 2000 eine DVR-Nummer zu führen ist, ist sie als siebenstellige Zahl mit der näheren Kennzeichnung „DVR“ zu führen. Zusätze zur DVR-Nummer, die der internen Bezeichnung von Datenanwendungen seitens des Auftraggebers dienen, sind zulässig; sie sind jedoch so zu gestalten, dass die DVR-Nummer als solche erkennbar bleibt.
(3) Die Datenschutzkommission hat dem Auftraggeber die erfolgte Registrierung einer gemeldeten Datenanwendung mitzuteilen.
Automatische Registrierung von Meldungen
§ 13. (1) Meldungen von Datenanwendungen, die nach Angabe des Auftraggebers keiner Vorabkontrolle gemäß § 18 Abs. 2 oder § 50c DSG 2000 unterliegen, sind nur automationsunterstützt auf ihre Vollständigkeit und Plausibilität zu prüfen. Zu diesem Zweck wird insbesondere geprüft, ob vom Auftraggeber keine der Voraussetzungen für eine Vorabkontrolle im Sinne des § 18 Abs. 2 oder des § 50c DSG 2000 angegeben wurden. Ist demnach die Meldung nicht fehlerhaft, so ist sie sofort zu registrieren.
(2) Wird bei der automationsunterstützten Prüfung ein Fehler der Meldung festgestellt, so ist dem Auftraggeber die Möglichkeit zur Verbesserung einzuräumen. Gleichzeitig ist er darauf hinzuweisen, dass die Meldung als nicht eingebracht gilt, wenn keine Verbesserung erfolgt oder er auf die Einbringung der unverbesserten Meldung besteht. Im letztgenannten Fall kann der Einbringer die Meldung schriftlich unter Anschluss der ausgedruckten Fehlermeldung der Datenschutzkommission übermitteln, welche die Meldung auf Mangelhaftigkeit im Sinne des § 19 Abs. 4 DSG 2000 zu prüfen hat.
5. Abschnitt
Identifizierung und Authentifizierung
Identifizierung und Authentifizierung in DVR-Online
§ 14. (1) Die Identifizierung und Authentifizierung erfolgt bei der Anmeldung zu DVR-Online mit der Bürgerkarte oder über das Unternehmensserviceportal oder über technische Voraussetzungen, die auch eine Einbeziehung von Anwendungen der Gebietskörperschaften, sonstiger Körperschaften des öffentlichen Rechts oder anderer staatliche Aufgaben besorgender Institutionen ermöglichen (Portalverbund).
(2) Es ist sicherzustellen, dass alle verfügbaren technischen Umsetzungen der Bürgerkarte verwendet werden können, einschließlich jener mittels Mobiltelefon (Handy-Signatur).
Vertretung des Auftraggebers
§ 15. Soll vertretungsweise eine Meldung an das Datenverarbeitungsregister erfolgen und ist dafür die Verwendung der Bürgerkarte mit Vertretungsvollmacht nicht möglich und wird auch keine andere Voraussetzung gemäß § 14 Abs. 1 verwendet, muss das Vertretungsrecht für diesen Auftraggeber bei der Datenschutzkommission beantragt und nachgewiesen werden. Die Rechte der zur berufsmäßigen Parteienvertretung befugten Person nach § 10 Abs. 1 des Allgemeinen Verwaltungsverfahrensgesetzes 1991 - AVG, BGBl. Nr. 51/1991, in der Fassung des Bundesgesetzes BGBl. I Nr. 100/2011, bleiben davon unberührt.
6. Abschnitt
Informationsverbundsysteme
Verzeichnis der Informationsverbundsysteme
§ 16. (1) Aus den der Datenschutzkommission erstatteten Meldungen über Datenanwendungen, die die Teilnahme an einem Informationsverbundsystem zum Inhalt haben, hat die Datenschutzkommission ein über DVR-Online geführtes Verzeichnis der Informationsverbundsysteme zu erstellen, das die im Abs. 2 bezeichneten Informationen auf dem jeweils neuesten Stand enthält.
(2) Das Verzeichnis der Informationsverbundsysteme hat folgende Angaben zu enthalten:
- 1. Bezeichnung und Zweck des Informationsverbundsystems,
- 2. Rechtsgrundlagen des Systems,
- 3. Name oder sonstige Bezeichnung und Anschrift, weiters Telefonnummer sowie E-Mail-Adresse des Betreibers,
- 4. Liste der am Informationsverbundsystem teilnehmenden Auftraggeber,
- 5. die in der Anlage 2 unter Punkt 7 bis 9 verlangten Meldeangaben mit Bezug auf das gesamte Informationsverbundsystem sowie
- 6. allfällige Auflagen, Bedingungen oder Befristungen für die Führung des Informationsverbundsystems, die gemäß § 21 Abs. 2 DSG 2000 von der Datenschutzkommission erteilt wurden.
(3) Die Datenschutzkommission kann die Eintragung weiterer Angaben anordnen, soweit dies zur zweckmäßigen Organisation und Führung des Verzeichnisses der Informationsverbundsysteme notwendig ist.
(4) Weitere Angaben gemäß § 50 Abs. 2 DSG 2000 sind auf Antrag der Auftraggeber bzw. ihres ausgewiesenen Vertreters einzutragen.
7. Abschnitt
Führung des Datenverarbeitungsregisters
Richtigstellung des Datenverarbeitungsregisters
§ 17. (1) Erlangt die Datenschutzkommission aus amtlichen Verlautbarungen davon Kenntnis, dass ein eingetragener Auftraggeber verstorben oder untergegangen ist, ist die Streichung aus dem Datenverarbeitungsregister von Amts wegen durchzuführen.
(2) Die Datenschutzkommission kann Schreibfehler oder diesen gleichzuhaltende, offenbar auf einem Versehen oder offenbar ausschließlich auf technisch mangelhaftem Betrieb einer automationsunterstützten Datenverarbeitungsanlage beruhende Unrichtigkeiten im Datenverarbeitungsregister jederzeit von Amts wegen berichtigen. Der betroffene Auftraggeber ist von der Richtigstellung zu verständigen.
Übernahme der DVR-Nummer bei Rechtsnachfolge
§ 18. Der Rechtsnachfolger eines registrierten Auftraggebers kann einzelne oder alle registrierten Meldungen des Rechtsvorgängers übernehmen, wenn er innerhalb von sechs Monaten nach Wirksamkeit der Rechtsnachfolge eine entsprechend glaubhaft gemachte Erklärung gegenüber der Datenschutzkommission abgibt. Dem Rechtsnachfolger kann auf Antrag auch die DVR-Nummer des Rechtsvorgängers übertragen werden, wenn der Rechtsvorgänger jegliche Verarbeitung personenbezogener Daten in der Auftraggebereigenschaft eingestellt hat.
Aufbewahrung von Inhalten des Datenverarbeitungsregisters und der Registrierungsakten
§ 19. Inhalte des Datenverarbeitungsregisters zu registrierten Meldungen über Auftraggeber und Datenanwendungen, die in Papierform vorhanden und zusätzlich auf elektronischen Datenträgern gespeichert sind, müssen nur in elektronischer Form aufbewahrt werden. Die nur in Papierform vorhandenen Inhalte des Datenverarbeitungsregisters müssen weiterhin aufbewahrt werden.
8. Abschnitt
Meldung und Registrierung bei Betriebsstörungen und für manuelle Dateien
Anwendungsbereich
§ 20. (1) Eine Meldung in Form von E-Mail oder in nicht-elektronischer Form ist nur für manuelle Dateien, soweit deren Inhalte zumindest einen der Tatbestände des § 18 Abs. 2 Z 1 bis 3 DSG 2000 erfüllen und daher meldepflichtig sind, sowie bei einem länger als 48 Stunden durchgehend andauernden technischen Ausfall von DVR-Online zulässig. Einem solchen durchgehend andauernden technischen Ausfall wird jener Fall gleichgehalten, in dem der technische Ausfall in einem länger als 48 Stunden dauernden Zeitraum wiederholt über eine Dauer von mehreren Stunden auftritt. Für die Fälle einer derartigen Betriebsstörung und für die Meldung von meldepflichtigen manuellen Dateien finden die Bestimmungen des 3. bis 5. Abschnittes mit den in den §§ 21 und 22 angeführten Änderungen Anwendung.
(2) Der Fristenlauf für eine Verbesserung der Meldung ist für die Dauer eines technischen Ausfalls gehemmt. Es besteht die Möglichkeit, im Fall eines länger als 48 Stunden andauernden technischen Ausfalls die Verbesserung in Form von E-Mail oder in nicht-elektronischer Form einzubringen.
Meldungen bei Betriebsstörungen und für manuelle Dateien
§ 21. (1) Zur Meldung bei Betriebsstörungen und für manuelle Dateien hat die Datenschutzkommission Formblätter mit dem Inhalt der Anlagen 1 bis 4 aufzulegen, deren formale Ausgestaltung von der Datenschutzkommission entsprechend den jeweiligen Erfordernissen festgelegt wird. Die Formblätter sind auch in elektronischer Form zur Verfügung zu stellen. Die Meldepflichtigen haben ihre Meldungen mit Hilfe der aufgelegten Formblätter zu erstatten. Soweit dies nach Maßgabe technischer und organisatorischer Möglichkeiten des Auftraggebers und im Rahmen einer Betriebsstörung technisch möglich ist, sind Meldungen in elektronischer Form einzubringen.
(2) Für jede Neu- oder Änderungsmeldung betreffend eine Datenanwendung ist ein Formblatt „Meldung einer Datenanwendung“ gemäß Anlage 2 und das Formblatt „Allgemeine Angaben zu ergriffenen Datensicherheitsmaßnahmen“ gemäß Anlage 4 vollständig auszufüllen; bei der Meldung einer Musteranwendung ist hiefür das Formblatt „Meldung einer Musteranwendung“ gemäß Anlage 3 zu verwenden. Meldet ein Auftraggeber erstmalig an die Datenschutzkommission, so hat er zusätzlich das Formblatt „Angaben zum Auftraggeber“ gemäß Anlage 1 auszufüllen. Dieses Formblatt ist auch bei Änderungen von Angaben zum Auftraggeber zu verwenden.
(3) Weist eine Meldung keine eigenhändige und urschriftliche Unterschrift auf, so kann die Datenschutzkommission, wenn sie Zweifel daran hat, dass die Meldung von dem darin genannten Auftraggeber stammt, eine Bestätigung durch ein innerhalb angemessener Frist vorzulegendes schriftliches Anbringen mit eigenhändiger und urschriftlicher Unterschrift auftragen. Nach fruchtlosem Ablauf der von der Datenschutzkommission bestimmten Frist ist das Anbringen nicht mehr zu behandeln.
Registrierung bei Betriebsstörungen und für manuelle Dateien
§ 22. (1) Die Registrierung erfolgt durch Übernahme der anlässlich der Meldung vorgelegten und im Registrierungsverfahren allenfalls verbesserten Formblätter gemäß Anlage 1 bis 3 in das Datenverarbeitungsregister gemäß § 4 Abs. 1 Z 1. Die Registrierung hat unverzüglich zu erfolgen, sobald
- 1. das Prüfungsverfahren die Zulässigkeit der Registrierung ergeben hat oder
- 2. zwei Monate seit dem Einlangen der Meldung bei der Datenschutzkommission verstrichen sind, ohne dass ein Verbesserungsauftrag gemäß § 20 DSG 2000 erteilt wurde, oder
- 3. der Auftraggeber die verlangten Verbesserungen fristgerecht vorgenommen hat.
(2) Auflagen für die Vornahme einer Datenanwendung, die dem Auftraggeber gemäß § 21 Abs. 2 DSG 2000 anlässlich der Registrierung mit Bescheid der Datenschutzkommission erteilt wurden, sind durch Eintragung der Bescheidzahl in dem vom Auftraggeber eingereichten Formblatt gemäß Anlage 2 von Amts wegen ersichtlich zu machen. Der Spruchinhalt ist in der Registrierung wiederzugeben.
(3) Die Vornahme der Registrierung ist dem Auftraggeber schriftlich mitzuteilen.
(4) Jedem Auftraggeber ist bei der erstmaligen Registrierung eine DVR-Nummer zuzuteilen. Diese Nummer wird dem Auftraggeber schriftlich bekannt gegeben. An einen Auftraggeber darf nur eine DVR-Nummer vergeben werden.
9. Abschnitt
Schlussbestimmungen
Verfahrensvorschriften
§ 23. Auf das Registrierungsverfahren ist gemäß Art. I Abs. 2 des Einführungsgesetzes zu den Verwaltungsverfahrensgesetzen 2008 - EGVG, BGBl. I Nr. 87/2008, in der Fassung des Bundesgesetzes BGBl. I Nr. 53/2012, das AVG anzuwenden, soweit das DSG 2000 nicht ausdrücklich anderes bestimmt.
Inkrafttreten
§ 24. (1) Diese Verordnung tritt mit 1. September 2012 in Kraft; gleichzeitig tritt die Datenverarbeitungsregister-Verordnung 2002 - DVRV 2002, BGBl. II Nr. 24/2002, außer Kraft.
(2) Im Zeitpunkt des Inkrafttretens dieser Verordnung im Datenverarbeitungsregister anhängige Verfahren sind nach der DVRV 2002 zu Ende zu führen.
Anlage 1
Inhalt des DVR-Online-Formulars und des Formblattes „Angaben zum Auftraggeber“
- 1. Angabe, ob Erst-, Änderungs- oder Streichungsmeldung
- 2. DVR-Nummer (sofern vorhanden)
- 3. Name oder sonstige Bezeichnung und Anschrift, weiters Telefonnummer sowie E-Mail-Adresse des Auftraggebers
- 4. Rechtsgrundlagen des Auftraggebers im Sinne des § 7 Abs. 1 DSG 2000
- 5. Nummer des Registers bei Auftraggebern, die aufgrund ihrer Tätigkeit in einem öffentlichen Register eingetragen sind (sofern vorhanden)
- 6. Name oder sonstige Bezeichnung und Anschrift des Vertreters eines Auftraggebers, der keine Niederlassung in der Europäischen Union hat
- 7. Name, Anschrift und E-Mail-Adresse eines allfälligen Zustellungsbevollmächtigten
- 8. Name und Telefonnummer des allfälligen Sachbearbeiters beim Auftraggeber
- 9. Angaben über die Beilagen zur Meldung
Anlage 2
Inhalt des DVR-Online-Formulars und des Formblattes „Meldung einer Datenanwendung“
- 1. Angabe, ob Neu-, Änderungs- oder Streichungsmeldung (bei Streichungsmeldung verkürztes DVR-Online-Formular möglich)
- 2. DVR-Nummer (sofern eine solche bereits zugeteilt wurde)
- 3. Name oder sonstige Bezeichnung und Anschrift, weiters Telefonnummer sowie E-Mail-Adresse des Auftraggebers
- 4. Name, Anschrift und E-Mail-Adresse eines allfälligen Zustellungsbevollmächtigten
- 5. Name und Telefonnummer des allfälligen Sachbearbeiters beim Auftraggeber
- 6. Bezeichnung und Zweck der Datenanwendung
- 7. allgemeine Angaben zur Datenanwendung betreffend:
- a) besondere Rechtsgrundlagen der Datenanwendung, soweit sich diese nicht bereits aus den allgemeinen Rechtsgrundlagen des Auftraggebers ergeben
- b) Zugehörigkeit zum öffentlichen oder privaten Bereich
- c) Vorliegen automationsunterstützter oder manueller Datenanwendung
- d) Anwendbarkeit der Vorabkontrolle:
- aa) Verwendung von sensiblen Daten
- bb) Verwendung von strafrechtlich relevanten Daten
- cc) Vorliegen eines Kreditinformationssystems
- dd) Teilnahme an einem Informationsverbundsystem
- ee) Videoüberwachung (gemäß § 50c DSG 2000)
- 8. im Falle, dass die Datenanwendung die Teilnahme an einem Informationsverbundsystem darstellt:
- a) Bezeichnung des gesamten Informationsverbundsystems
- b) Rechtsgrundlagen des gesamten Informationsverbundsystems, soweit sich diese nicht bereits aus den Angaben zu Punkt 7a) ergeben und
- c) Name oder sonstige Bezeichnung und Anschrift, weiters Telefonnummer sowie E-Mail-Adresse des Betreibers
- 9. besondere Angaben zum Inhalt der Datenanwendung:
- a) die Kreise der von der Datenanwendung Betroffenen und die über sie verarbeiteten Datenarten
- b) im Falle von beabsichtigten Übermittlungen:
- aa) die Kreise der Betroffenen
- bb) die zu übermittelnden Datenarten
- cc) die zugehörigen Empfängerkreise einschließlich Angaben über allfällige ausländische Empfängerstaaten sowie Zugehörigkeit der Übermittlungsempfänger zum gleichen Informationsverbundsystem
- dd) die Rechtsgrundlagen der Übermittlungen
- 10. Geschäftszahlen der Bescheide der Datenschutzkommission, mit welchen Auflagen, Bedingungen oder Befristungen gemäß § 21 Abs. 2 DSG 2000 erteilt wurden (diese sind vom Datenverarbeitungsregister anlässlich der Registrierung einzutragen)
- 11. soweit eine Genehmigung der Datenschutzkommission für Datenübermittlungen oder Überlassungen ins Ausland notwendig ist, die Geschäftszahl der Genehmigung durch die Datenschutzkommission
- 12. Angaben über die Beilagen zur Meldung
Anlage 3
Inhalt des DVR-Online-Formulars (elektronisches Muster) und des Formblattes „Meldung einer Musteranwendung“
- 1. Angabe, ob Neu-, Änderungs- oder Streichungsmeldung
- 2. DVR-Nummer (sofern eine solche bereits zugeteilt wurde)
- 3. Name oder sonstige Bezeichnung und Anschrift, weiters Telefonnummer sowie E-Mail-Adresse des Auftraggebers
- 4. Bezeichnung der Musteranwendung
- 5. Angaben über die Beilagen zur Meldung
Anlage 4
Inhalt des DVR-Online-Formulars und des Formblattes „Allgemeine Angaben zu ergriffenen Datensicherheitsmaßnahmen“
Es ist insbesondere anzugeben, ob
- 1. die Aufgabenverteilung bei der Datenverwendung zwischen den Organisationseinheiten und zwischen den Mitarbeitern ausdrücklich festgelegt ist,
- 2. die Verwendung von Daten an das Vorliegen gültiger Aufträge der anordnungsbefugten Organisationseinheiten und Mitarbeiter gebunden ist,
- 3. jeder Mitarbeiter über seine nach dem DSG 2000 und nach innerorganisatorischen Datenschutzvorschriften einschließlich der Datensicherheitsvorschriften bestehenden Pflichten belehrt wurde,
- 4. die Zutrittsberechtigung zu den Räumlichkeiten des Auftraggebers oder Dienstleisters, in denen Daten und Programme verwendet werden, geregelt wurde und Maßnahmen gegen den Zutritt Unbefugter ergriffen wurden,
- 5. die Zugriffsberechtigung auf Daten und Programme und der Schutz der Datenträger vor der Einsicht und Verwendung durch Unbefugte geregelt ist,
- 6. die Berechtigung zum Betrieb der Datenverarbeitungsgeräte festgelegt ist und jedes Gerät durch Vorkehrungen bei den eingesetzten Maschinen oder Programmen gegen die unbefugte Inbetriebnahme abgesichert ist,
- 7. Protokoll geführt wird, damit Verwendungen von Daten, wie insbesondere Änderungen, Abfragen und Übermittlungen von Daten, auf ihre Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können,
- 8. zur Erleichterung der Kontrolle und Beweissicherung eine Dokumentation über die nach Z 1 bis 7 getroffenen Maßnahmen geführt wird.
Faymann
Lizenziert vom RIS (ris.bka.gv.at - CC BY 4.0 DEED)