({{currentIndex}}/{{hitTotalCount}})

BGBl - Bundesgesetzblätter

BGBl I 32/2018

BUNDESGESETZBLATT

FÜR DIE REPUBLIK ÖSTERREICH

  • Jahrgang 2018
  • Ausgegeben am 17.05.2018
  • Teil I

32. Bundesgesetz: Materien-Datenschutz-Anpassungsgesetz 2018
(NR: GP XXVI RV 65 AB 97 S. 21 . BR: 9947 AB 9956 S. 879.)
[CELEX-Nr.: 32016L0680 ]

32. Bundesgesetz, mit dem das Bundesarchivgesetz, das Bundesstatistikgesetz 2000, das Informationssicherheitsgesetz, das Künstler-Sozialversicherungsfondsgesetz, das Mediengesetz, das ORF-Gesetz, das Presseförderungsgesetz, das Medienkooperations- und -förderungs-Transparenzgesetz, das Familienlastenausgleichsgesetz 1967, das Kinderbetreuungsgeldgesetz, das Bundes-Kinder- und Jugendhilfegesetz 2013, das Bundesgesetz über die Einrichtung einer Dokumentations- und Informationsstelle für Sektenfragen, das Bundes-Jugendförderungsgesetz, das Familienzeitbonusgesetz, das das Beamten-Dienstrechtsgesetz 1979, das Gehaltsgesetz 1956, das Vertragsbediensteten-gesetz 1948, das Richter- und Staatsanwaltschaftsdienstgesetz, das Landeslehrer-Dienstrechtsgesetz, das Land- und forstwirtschaftliche Landeslehrer-Dienstrechtsgesetz, das Bundes-Gleichbehandlungsgesetz, das Pensionsgesetz 1965, das Bundestheater-pensionsgesetz, das Bundesbahn-Pensionsgesetz, das Bundespensionsamt-übertragungs-Gesetz, das Bundes-Personalvertretungsgesetz, das Rechts-praktikanten-gesetz, das Alternative-Streitbeilegung-Gesetz, das Produktsicherheits-gesetz 2004, das Behinderten-einstellungsgesetz, das Bundesbehindertengesetz, das Bundes-Behinderten-gleichstellungs-gesetz, das Bundespflegegeldgesetz, das Ehrengaben- und Hilfsfondsgesetz, das Heeresentschädigungsgesetz, das Heimopferrentengesetz, das Impfschadengesetz, das Kriegsgefangenenentschädigungsgesetz, das Kriegsopferversorgungsgesetz 1957, das Sozialministeriumservicegesetz, das Verbrechensopfergesetz, das Arbeitsmarktservice-gesetz, das IEF-Service-GmbH-Gesetz, das Insolvenz-Entgeltsicherungsgesetz, das Bauarbeiter-Urlaubs- und Abfertigungsgesetz, das Lohn- und Sozialdumping-Bekämpfungsgesetz, das Sozialbetrugsbekämpfungsgesetz, das Ausbildungspflichtgesetz, das Arbeiterkammergesetz 1992, das Bildungsdokumentationsgesetz, das Schul-unterrichts-gesetz, das Schulunterrichtsgesetz für Berufstätige, Kollegs und Vorbereitungslehrgänge, das Schulpflichtgesetz 1985, das BIFIE-Gesetz 2008, das Hochschulgesetz 2005, das Schülerbeihilfengesetz 1983, das E-Government-Gesetz, das Signatur- und Vertrauens-dienstegesetz, das Unternehmensserviceportalgesetz, das Dienstleistungsgesetz, das Informationsweiterverwendungsgesetz, das Wettbewerbsgesetz, die Gewerbeordnung, das Berufsausbildungsgesetz, das Ingenieurgesetz 2017, das Bilanzbuchhaltungsgesetz 2014, das Wirtschaftskammergesetz 1998, das Wirtschafts-treuhandberufsgesetz 2017, das Ziviltechnikerkammergesetz 1993, die Bundesabgaben-ordnung, die Abgabenexekutions-ordnung, das Finanzstrafrechtsgesetz, das Bundes-Stiftungs- und Fondsgesetz 2015, das Gedenkstättengesetz, das Meldegesetz 1991, das Passgesetz 1992, das Personenstands-gesetz 2013, das Pyrotechnikgesetz 2010, das Vereins-gesetz 2002, das Waffengesetz 1996, das Zivildienstgesetz 1986, das BFA-Verfahrens-gesetz, das Fremdenpolizeigesetz 2005, das Niederlassungs- und Aufenthaltsgesetz, das Grund-versorgungs-gesetz - Bund 2005, das Grenzkontrollgesetz, das Staatsbürgerschafts-gesetz 1985, das Polizeiliche Staatsschutzgesetz, das Polizei-kooperations-gesetz, das EU-Polizeikooperations-gesetz, das Bundespräsidentenwahl-gesetz 1971, das Europäische-Bürgerinitiative-Gesetz, das Europa-Wählerevidenzgesetz, die Europawahlordnung, die Nationalrats-Wahlordnung 1992, das Volksabstimmungs-gesetz 1972, das Volksbefragungsgesetz 1989, das Volksbegehrengesetz 2018, das Wähler-evidenzgesetz 2018, das Auslieferungs- und Rechtshilfegesetz, das Bewährungshilfegesetz, das Disziplinarstatut für Rechtsanwälte und Rechtsanwaltsanwärter, die Exekutions-ordnung, das Gerichtsorganisationsgesetz, das Grundbuchsumstellungsgesetz, die Jurisdiktionsnorm, die Notariatsordnung, die Rechtsanwaltsordnung, das Staats-anwaltschaftsgesetz, die Strafprozeßordnung 1975, das Strafregistergesetz, das Straf-vollzugsgesetz, die Zivilprozessordnung, das Wehrgesetz 2001, das Heeresdisziplinar-gesetz 2014, das Heeresgebührengesetz 2001, das Auslandseinsatzgesetz 2001, das Militär-befugnis-gesetz, das Sperrgebietsgesetz 2002, das Munitionslagergesetz 2003, das Militär-auszeichnungs-gesetz 2002, das Verwundeten-medaillengesetz, das Truppenaufenthalts-gesetz, das Abfallwirtschaftsgesetz 2002 und das Weingesetz 2009 geändert werden (Materien-Datenschutz-Anpassungsgesetz 2018)

Der Nationalrat hat beschlossen:

Inhaltsverzeichnis

Art. Gegenstand

1 Änderung des Bundesarchivgesetzes

2 Änderung des Bundesstatistikgesetzes 2000

3 Änderung des Informationssicherheitsgesetzes

4 Änderung des Künstler-Sozialversicherungsfondsgesetzes

5 Änderung des Mediengesetzes

6 Änderung des ORF-Gesetzes

7 Änderung des Presseförderungsgesetzes

8 Änderung des Medienkooperations- und -förderungs-Transparenzgesetzes

9 Änderung des Familienlastenausgleichsgesetzes 1967

10 Änderung des Kinderbetreuungsgeldgesetzes

11 Änderung des Bundes-Kinder- und Jugendhilfegesetzes 2013

12 Änderung des Bundesgesetzes über die Einrichtung einer Dokumentations- und Informationsstelle für Sektenfragen

13 Änderung des Bundes-Jugendförderungsgesetzes

14 Änderung des Familienzeitbonusgesetzes

15 Änderung des Beamten-Dienstrechtsgesetzes 1979

16 Änderung des Gehaltsgesetzes 1956

17 Änderung des Vertragsbedienstetengesetzes 1948

18 Änderung des Richter- und Staatsanwaltschaftsdienstgesetzes

19 Änderung des Landeslehrer-Dienstrechtsgesetzes

20 Änderung des Land- und forstwirtschaftlichen Landeslehrer-Dienstrechtsgesetzes

21 Änderung des Bundes-Gleichbehandlungsgesetzes

22 Änderung des Pensionsgesetzes 1965

23 Änderung des Bundestheaterpensionsgesetzes

24 Änderung des Bundesbahn-Pensionsgesetzes

25 Änderung des Bundespensionsamtübertragungs-Gesetzes

26 Änderung des Bundes-Personalvertretungsgesetzes

27 Änderung des Rechtspraktikantengesetzes

28 Änderung des Alternative-Streitbeilegung-Gesetzes

29 Änderung des Produktsicherheitsgesetzes 2004

30 Änderung des Behinderteneinstellungsgesetzes

31 Änderung des Bundesbehindertengesetzes

32 Änderung des Bundes-Behindertengleichstellungsgesetzes

33 Änderung des Bundespflegegeldgesetzes

34 Änderung des Ehrengaben- und Hilfsfondsgesetzes

35 Änderung des Heeresentschädigungsgesetzes

36 Änderung des Heimopferrentengesetzes

37 Änderung des Impfschadengesetzes

38 Änderung des Kriegsgefangenenentschädigungsgesetzes

39 Änderung des Kriegsopferversorgungsgesetzes 1957

40 Änderung des Sozialministeriumservicegesetzes

41 Änderung des Verbrechensopfergesetzes

42 Änderung des Arbeitsmarktservicegesetzes

43 Änderung des IEF-Service-GmbH-Gesetzes

44 Änderung des Insolvenz-Entgeltsicherungsgesetzes

45 Änderung des Bauarbeiter-Urlaubs- und Abfertigungsgesetzes

46 Änderung des Lohn- und Sozialdumping-Bekämpfungsgesetzes

47 Änderung des Sozialbetrugsbekämpfungsgesetzes

48 Änderung des Ausbildungspflichtgesetzes

49 Änderung des Arbeiterkammergesetzes 1992

50 Änderung des Bildungsdokumentationsgesetzes

51 Änderung des Schulunterrichtsgesetzes

52 Änderung des Schulunterrichtsgesetzes für Berufstätige, Kollegs und Vorbereitungslehrgänge

53 Änderung des Schulpflichtgesetzes 1985

54 Änderung des BIFIE-Gesetzes 2008

55 Änderung des Hochschulgesetzes 2005

56 Änderung des Schülerbeihilfengesetzes 1983

57 Änderung des E-Government-Gesetzes

58 Änderung des Signatur- und Vertrauensdienstegesetzes

59 Änderung des Unternehmensserviceportalgesetzes

60 Änderung des Dienstleistungsgesetzes

61 Anderung des Informationsweiterverwendungsgesetzes

62 Änderung des Wettbewerbsgesetzes

63 Änderung der Gewerbeordnung

64 Änderung des Berufsausbildungsgesetzes

65 Änderung des Ingenieurgesetzes 2017

66 Änderung des Bilanzbuchhaltungsgesetzes 2014

67 Änderung des Wirtschaftskammergesetzes 1998

68 Änderung des Wirtschaftstreuhandberufsgesetzes 2017

69 Änderung des Ziviltechnikerkammergesetzes 1993

70 Änderung der Bundesabgabenordnung

71 Änderung der Abgabenexekutionsordnung

72 Änderung des Finanzstrafgesetzes

73 Änderung des Bundes-Stiftungs- und Fondsgesetzes 2015

74 Änderung des Gedenkstättengesetzes

75 Änderung des Meldegesetzes 1991

76 Änderung des Passgesetzes 1992

77 Änderung des Personenstandsgesetzes 2013

78 Änderung des Pyrotechnikgesetzes 2010

79 Änderung des Vereinsgesetzes 2002

80 Änderung des Waffengesetzes 1996

81 Änderung des Zivildienstgesetzes 1986

82 Änderung des BFA-Verfahrensgesetzes

83 Änderung des Fremdenpolizeigesetzes 2005

84 Änderung des Niederlassungs- und Aufenthaltsgesetzes

85 Änderung des Grundversorgungsgesetzes - Bund 2005

86 Änderung des Grenzkontrollgesetzes

87 Änderung des Staatsbürgerschaftsgesetzes 1985

88 Änderung des Polizeilichen Staatsschutzgesetzes

89 Änderung des Polizeikooperationsgesetzes

90 Änderung des EU-Polizeikooperationsgesetzes

91 Änderung des Bundespräsidentenwahlgesetzes 1971

92 Änderung des Europäische-Bürgerinitiativen-Gesetzes

93 Änderung des Europa-Wählerevidenzgesetzes

94 Änderung der Europawahlordnung

95 Änderung der Nationalrats-Wahlordnung 1992

96 Änderung des Volksabstimmungsgesetzes 1972

97 Änderung des Volksbefragungsgesetzes 1989

98 Änderung des Volksbegehrengesetzes 2018

99 Änderung des Wählerevidenzgesetzes 2018

100 Änderung des Auslieferungs- und Rechtshilfegesetzes

101 Änderung des Bewährungshilfegesetzes

102 Änderung des Disziplinarstatuts für Rechtsanwälte und Rechtsanwaltsanwärter

103 Änderung der Exekutionsordnung

104 Änderung des Gerichtsorganisationsgesetzes

105 Änderung des Grundbuchsumstellungsgesetzes

106 Änderung der Jurisdiktionsnorm

107 Änderung der Notariatsordnung

108 Änderung der Rechtsanwaltsordnung

109 Änderung des Staatsanwaltschaftsgesetzes

110 Änderung der Strafprozeßordnung 1975

111 Änderung des Strafregistergesetzes 1968

112 Änderung des Strafvollzugsgesetzes

113 Änderung der Zivilprozessordnung

114 Inkrafttretens- und Übergangsbestimmungen

115 Durchführungs- und Umsetzungshinweis

116 Änderung des Wehrgesetzes 2001

117 Änderung des Heeresdisziplinargesetzes 2014

118 Änderung des Heeresgebührengesetzes 2001

119 Änderung des Auslandseinsatzgesetzes 2001

120 Änderung des Militärbefugnisgesetzes

121 Änderung des Sperrgebietsgesetzes 2002

122 Änderung des Munitionslagergesetzes 2003

123 Änderung des Militärauszeichnungsgesetzes 2002

124 Änderung des Verwundetenmedaillengesetzes

125 Änderung des Truppenaufenthaltsgesetzes

126 Änderung des Abfallwirtschaftsgesetzes 2002

127 Änderung des Weingesetzes 2009

Bundeskanzleramt

Kunst und Medien

Das Bundesarchivgesetz, BGBl. I Nr. 162/1999, in der Fassung der Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. In § 5 Abs. 2 wird die Wortfolge „dem § 1 Abs. 3 des Datenschutzgesetzes unterliegenden Daten“ durch die Wortfolge „personenbezogenen Daten“ ersetzt.

2. In § 5 Abs. 3 wird das Wort „Daten“ durch die Wortfolge „personenbezogene Daten“ ersetzt und entfällt die Wortfolge „gemäß § 1 Abs. 3 des Datenschutzgesetzes“; folgende Sätze werden angefügt:

„Die Archivierung und die Verarbeitung dieses Schriftgutes mit den darin enthaltenen personenbezogenen Daten liegt im öffentlichen Interesse für Archiv- und historische Forschungszwecke. Bis zur Übernahme des Schriftgutes sind die gemäß Abs. 1 übergebenden Bundesdienststellen und ab der Übernahme das Österreichische Staatsarchiv Verantwortliche gemäß Art. 4 Z 7 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1.“

3. § 7 Abs. 1 lautet:

„(1) Archive des Bundes haben betroffenen natürlichen Personen auf Antrag Auskunft über die sie betreffenden personenbezogenen Daten zu erteilen, soweit

  1. 1. das Archivgut erschlossen ist,
  2. 2. die betroffenen natürlichen Personen Angaben machen, die das Auffinden der personenbezogenen Daten ermöglichen, und
  3. 3. der für die Erteilung der Auskunft erforderliche Aufwand im Verhältnis zu dem geltend gemachten Informationsinteresse steht.“

4. § 7 Abs. 4 erster Satz lautet:

„Machen betroffene Personen glaubhaft, dass das Archivgut eine falsche Tatsachenbehauptung enthält, die sie erheblich in ihren Rechten beeinträchtigt, so können sie verlangen, dass dem betreffenden Archivgut eine von der betroffenen Person verfasste Gegendarstellung beigefügt wird.“

5. In § 8 Abs. 5 wird jeweils das Wort „Betroffenen“ durch die Wortfolge „betroffenen Personen“ ersetzt.

6. § 11 Abs. 1 lautet:

„(1) In Werken dürfen personenbezogene Daten erst zehn Jahre nach dem Tode der betroffenen natürlichen Personen oder Untergang der juristischen Personen veröffentlicht werden, es sei denn, diese haben ausdrücklich die Einwilligung zur Veröffentlichung erteilt. Ist das Todesjahr nicht feststellbar, endet die Schutzfrist 110 Jahre nach der Geburt der betroffenen Personen.“

7. Dem § 19 wird folgender Abs. 3 angefügt:

„(3) § 5 Abs. 2 und 3, § 7 Abs. 1 und 4, § 8 Abs. 5 sowie § 11 Abs. 1 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

Das Bundesstatistikgesetz 2000, BGBl. I Nr. 163/1999, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 40/2014 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Im Inhaltsverzeichnis lautet der Eintrag zu § 5:

„§ 5. Zulässigkeit der Anordnung von personenbezogenen und unternehmensbezogenen Erhebungen“

2. Im Inhaltsverzeichnis lautet der Eintrag zu § 15:

„§ 15. Pseudonymisierung und Verschlüsselung“

3. § 3 Z 3 lautet:

  1. „3. Statistische Einheit: Grundbeobachtungseinheit gemäß Art. 3 Z 6 der Verordnung (EG) Nr. 223/2009 über europäische Statistiken und zur Aufhebung der Verordnung (EG, Euratom) Nr. 1101/2008 über die Übermittlung von unter die Geheimhaltungspflicht fallenden Informationen an das Statistische Amt der Europäischen Gemeinschaften, der Verordnung (EG) Nr. 322/97 über die Gemeinschaftsstatistiken und des Beschlusses 89/382/EWG , Euratom des Rates zur Einsetzung eines Ausschusses für das Statistische Programm der Europäischen Gemeinschaften, ABl. Nr. L 87 vom 31.3.2009 S. 164.“

4. § 3 Z 15 lautet:

  1. „15. Vertrauliche Daten: Daten gemäß Art. 3 Z 7 der Verordnung (EG) Nr. 223/2009 über die Gemeinschaftsstatistiken;“

5. § 4 Abs. 3 Z 8 lautet:

  1. „8. welche Daten von welchen Personenkreisen personenbezogen bzw. welche Daten von welchen Unternehmenskreisen unternehmensbezogen und welche anonymisiert zu erheben sind;“

6. In der Überschrift zu § 5 wird nach dem Wort „personenbezogenen“ die Wortfolge „und unternehmensbezogenen“ eingefügt.

7. § 5 Abs. 1 Einleitungsteil lautet:

„Durch Verordnung darf eine Erhebung von personenbezogenen und unternehmensbezogenen Daten nur über jene Gegenstände angeordnet werden,“

8. § 5 Abs. 2 Einleitungsteil lautet:

„In den Fällen des Abs. 1 ist die Anordnung der Erhebung von personenbezogenen und unternehmensbezogenen Daten durch Verordnung im Übrigen nur dann zulässig, wenn dies für einen der folgenden Zwecke unerlässlich ist:“

9. § 5 Abs. 2 Z 7 lautet:

  1. „7. Entlastung der Respondenten bei wiederholten zeitnahen statistischen Erhebungen in der Art der Befragung über die gleichen Erhebungsmerkmale, soweit keine personenbezogenen Daten im Sinn der Art. 9 und 10 der Verordnung (EU) Nr. 679/2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 27.04.2016 S. 1, erhoben werden;“

10. Dem § 5 wird folgender Abs. 6 angefügt:

„(6) Die personenbezogen und unternehmensbezogen erhobenen Daten gelten für die Organe der Bundesstatistik als vertrauliche Daten gemäß § 3 Z 15. Die zur Erfüllung unionsrechtlicher Verpflichtungen Österreichs im Bereich der Statistik notwendigen Datenverarbeitungen erfüllen die Voraussetzungen des Art. 35 Abs. 10 der Datenschutz-Grundverordnung für einen Entfall der Datenschutz-Folgenabschätzung.“

11. § 8 Abs. 2 lautet:

„(2) Vor Erlassung von Verordnungen gemäß § 5 Abs. 1 Z 2, die die Erhebung von personenbezogenen Daten vorsehen, ist der Datenschutzrat zu hören.“

12. § 15 samt Überschrift lautet:

„Pseudonymisierung und Verschlüsselung

§ 15. (1) Wurden personenbezogene Daten natürlicher Personen erhoben, sind die Identitätsdaten von natürlichen Personen unverzüglich zu beseitigen und durch das bereichsspezifische Personenkennzeichen Amtliche Statistik (bPK-AS) zu ersetzen, sobald sie nicht mehr aus den in § 5 Abs. 2 genannten Gründen oder für eine weitere angeordnete statistische Erhebung erforderlich sind. Die Bundesanstalt darf keine Aufzeichnungen führen, aus denen hervorgeht, welcher natürlichen Person welches bPK-AS zuzuordnen ist. Art. 15, 16, 18 und 21 der Datenschutz-Grundverordnung finden auf diese Daten keine Anwendung.

(2) Ist die Beibehaltung des Personenbezuges der betroffenen natürlichen Personen aus einem der Gründe gemäß § 5 Abs. 2 Z 5 bis 8 oder die Beibehaltung des Unternehmensbezugs für die Erstellung von Unternehmensstatistiken unerlässlich, ist die Identität der betroffenen Personen und Unternehmen zu verschlüsseln:

  1. 1. im Fall des § 5 Abs. 2 Z 5 unmittelbar, nachdem die Daten in die Verlaufsstatistik aufgenommen worden sind;
  2. 2. im Fall des § 5 Abs. 2 Z 6 unverzüglich, sobald nur mehr dieser Grund vorliegt;
  3. 3. im Fall des § 5 Abs. 2 Z 7 unmittelbar, nachdem die Daten in die Statistik aufgenommen worden sind;
  4. 4. im Fall des § 5 Abs. 2 Z 8 unmittelbar, nachdem die Daten in die Berechnungen der volkswirtschaftlichen Gesamtrechnung aufgenommen worden sind;
  5. 5. im Fall von Unternehmensstatistiken unmittelbar nach Erstellung der jeweiligen Unternehmensstatistik.

(3) Die gemäß Abs. 2 verschlüsselten Daten sind getrennt vom Schlüssel so aufzubewahren, dass die berechtigten Interessen der betroffenen natürlichen Personen und Unternehmen nicht gefährdet sind. Der Personenbezug und Unternehmensbezug dieser Daten darf nur dann hergestellt werden, wenn dies zur Fortsetzung der Verlaufsstatistik oder für eine konkrete Prüftätigkeit gemäß § 5 Abs. 2 Z 6 oder für eine neuerliche Erhebung gemäß § 5 Abs. 2 Z 7 oder für Revisionen der Berechnungen der volkswirtschaftlichen Gesamtrechnung gemäß § 5 Abs. 2 Z 8 oder für eine weiterführende Unternehmensstatistik erforderlich ist.

(4) Eine Verschlüsselung gemäß Abs. 2 Z 1 kann unterbleiben, wenn nach dem die Verlaufsstatistik anordnenden Bundesgesetz oder Rechtsakt gemäß § 4 Abs. 1 Z 1 die Beibehaltung des Personenbezugs oder Unternehmensbezugs zulässig ist.

(5) Die in den Registern gemäß §§ 25 und 25a enthaltenen personenbezogenen und unternehmensbezogenen Daten sind unverzüglich zu löschen, sobald diese für die in diesen Bestimmungen angeführten Zwecke nicht mehr benötigt werden, spätestens jedoch 30 Jahre nach Wegfall der Unternehmenseigenschaft gemäß § 3 Z 20.“

13. § 17 Abs. 1 lautet:

„(1) Personenbezogene und unternehmensbezogene Daten dürfen nur entsprechend § 16 Abs. 3 verarbeitet werden. Sie dürfen insbesondere nicht in der Weise ausgewertet werden, dass das Zutreffen von Merkmalen personenbezogen oder unternehmensbezogen dargestellt wird.“

14. In § 17 wird in Abs. 2 nach dem Wort „personenbezogene“ die Wortfolge „und unternehmensbezogene“ und in Abs. 3 nach dem Wort „personenbezogenen“ die Wortfolge „und unternehmensbezogenen“ eingefügt.

15. § 24 Z 7 lautet:

  1. „7. Geheimhaltung von vertraulichen Daten.“

16. In § 25a wird in Abs. 1 nach dem Wort „personenbezogen“ die Wortfolge „und unternehmensbezogen“ und in Abs. 3 nach dem Wort „personenbezogene“ die Wortfolge „und unternehmensbezogene“ eingefügt.

17. In § 26 Abs. 1 wird die Wortfolge „der Unternehmenskennzahl“ durch die Wortfolge „einer gemäß § 15 Abs. 2 Z 5 verschlüsselten Unternehmenskennzahl“ ersetzt.

18. In § 27 Abs. 2 wird nach dem Wort „personenbezogene“ die Wortfolge „und unternehmensbezogene“ und nach dem Wort „personenbezogenen“ die Wortfolge „und nicht unternehmensbezogenen“ eingefügt.

19. § 27 Abs. 3 lautet:

„(3) Die gemäß Abs. 1 zu Erhebungen herangezogenen Personen und Einrichtungen gelten als Auftragsverarbeiter gemäß Art. 4 Z 8 der Datenschutz-Grundverordnung.“

20. In § 31 Abs. 1 wird nach dem Wort „personenbezogenen“ die Wortfolge „und nicht unternehmensbezogenen“ und in Abs. 2 und 3 jeweils nach dem Wort „personenbezogenen“ die Wortfolge „und unternehmensbezogenen“ eingefügt.

21. § 68 Abs. 1 lautet:

„(1) Die Vereinbarung gemäß Art. 15a B-VG zwischen dem Bund und den Ländern über die Zusammenarbeit im Bereich der Statistik, BGBl. Nr. 408/1985, bleibt unberührt.“

22. Dem § 73 wird folgender Abs. 10 angefügt:

„(10) Das Inhaltsverzeichnis, § 3 Z 3 und 15, § 4 Abs. 3 Z 8, die Überschrift zu § 5, § 5 Abs. 1, 2 und 6, § 8 Abs. 2, § 15 samt Überschrift, § 17 Abs. 1, 2 und 3, § 24 Z 7, § 25a Abs. 1 und 3, § 26 Abs. 1, § 27 Abs. 2 und 3, § 31 sowie § 68 Abs. 1 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

Das Informationssicherheitsgesetz, BGBl. I Nr. 23/2002, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 10/2006 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. In § 3 Abs. 1 entfällt die Wortfolge „den jeweils betroffenen Personen“.

2. § 3 Abs. 3 entfällt.

3. In § 12 Abs. 4b wird das Wort „Daten“ durch die Wortfolge „personenbezogenen Daten“ und das Wort „Zustimmung“ durch das Wort „Einwilligung“ ersetzt.

4. Nach § 17 wird folgender § 18 samt Überschrift angefügt:

„Inkrafttreten

§ 18. § 3 Abs. 1 und § 12 Abs. 4b in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft; gleichzeitig tritt § 3 Abs. 3 außer Kraft.“

Das Künstler-Sozialversicherungsfondsgesetz, BGBl. I Nr. 131/2000, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 15/2015 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. § 13 Abs. 1 erster Satz lautet:

„Der Fonds darf zum Zwecke der Wahrnehmung der Aufgaben nach diesem Gesetz folgende personenbezogenen Daten der Zuschusswerber und -berechtigten sowie Beihilfenwerber und
-berechtigten automationsunterstützt verarbeiten:“

2. In § 13 Abs. 1 wird das Wort „und“ am Ende der Z 6 durch einen Beistrich und der Punkt am Ende der Z 7 durch das Wort „sowie“ ersetzt; folgende Z 8 wird angefügt:

  1. „8. Gesundheitsdaten gemäß Art. 9 der Verordnung (EU) Nr. 679/2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 27.04.2016 S. 1, soweit sie für die Gewährung der Beihilfe gemäß § 25c und zur Kontrolle von deren widmungsgemäßer Verwendung erforderlich ist.“

3. In § 13 Abs. 2 bis 4 wird jeweils das Wort „Daten“ durch die Wortfolge „personenbezogenen Daten“ ersetzt.

4. Dem § 30 wird folgender Abs. 9 angefügt:

„(9) § 13 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, tritt mit 25. Mai 2018 in Kraft.“

Das Bundesgesetz über die Presse und andere publizistische Medien (Mediengesetz - MedienG), BGBl. Nr. 314/1981, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 101/2014 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. § 43b Abs. 9 lautet:

„(9) Gesetzliche Verschwiegenheitspflichten bleiben durch diese Bestimmung unberührt.“

2. Dem § 55 wird folgender Abs. 10 angefügt:

„(10) § 43b Abs. 9 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, tritt mit 25. Mai 2018 in Kraft.“

Das Bundesgesetz über den Österreichischen Rundfunk (ORF-Gesetz, ORF-G), BGBl. Nr. 379/1984, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 115/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. In § 4f Abs. 2 Z 23 wird jeweils vor dem Wort „Daten“ das Wort „personenbezogenen“ eingefügt.

2. In § 18 Abs. 4 zweiter Satz wird die Wortfolge „sowie jene Formen, bei denen auf Basis der Speicherung von Nutzerverhaltensdaten eine Individualisierung erfolgt.“ durch die Wortfolge „sowie jene Formen, bei denen auf Basis der Speicherung von personenbezogenen Daten über das Verhalten des einzelnen Nutzers eine Individualisierung erfolgt.“ ersetzt.

3. Dem § 49 wird folgender Abs. 18 angefügt:

„(18) § 4f Abs. 2 Z 23 und § 18 Abs. 4 zweiter Satz in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

Das Bundesgesetz über die Förderung der Presse (Presseförderungsgesetz 2004 - PresseFG 2004), BGBl. I Nr. 136/2003, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 40/2014, wird wie folgt geändert:

1. In § 2 Abs. 5 dritter Satz wird die Wortfolge „Des weiteren“ durch die Wortfolge „Des Weiteren“ ersetzt und vor dem Wort „Daten“ das Wort „personenbezogene“ eingefügt.

2. Dem § 17 wird folgender Abs. 8 angefügt:

„(8) § 2 Abs. 5 dritter Satz in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, tritt mit 25. Mai 2018 in Kraft.“

Das Bundesgesetz über die Transparenz von Medienkooperationen sowie von Werbeaufträgen und Förderungen an Medieninhaber eines periodischen Mediums (Medienkooperations- und -förderungs-Transparenzgesetz, MedKF-TG), BGBl. I Nr. 125/2011, in der Fassung des Bundesgesetzes BGBl. I Nr. 6/2015, wird wie folgt geändert:

1. In § 2 Abs. 3 sowie § 3 Abs. 3 und 6 wird jeweils vor dem Wort „Daten“ die Wortfolge „personenbezogenen und nicht personenbezogenen“ eingefügt.

2. Dem § 7 wird folgender Abs. 4 angefügt:

„(4) § 2 Abs. 3 sowie § 3 Abs. 3 und 6 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

Familien und Jugend

Das Familienlastenausgleichsgesetz 1967, BGBl. Nr. 376/1967, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 156/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Die Überschrift zu Abschnitt IIIa lautet:

2. In § 46a Abs. 1 wird die Wortfolge „automationsunterstützt zu ermitteln und zu verarbeiten; das sind folgende Daten:“ durch die Wortfolge „automatisiert zu verarbeiten; das sind folgende personenbezogene Daten:“ ersetzt.

3. In § 46a Abs. 1 wird der Punkt am Ende der Z 17 durch einen Beistrich ersetzt und folgende Z 18 angefügt:

  1. „18. vom Sozialministeriumservice übermittelte Nachweise nach § 8 Abs. 6.“

4. In § 46a Abs. 2 Z 1 wird die Wortfolge „ein automationsunterstützter Datenverkehr einzurichten, in dessen Rahmen“ durch die Wortfolge „eine automatisierte Datenübermittlung einzurichten, in deren Rahmen“ und in der lit. a das Wort „gespeicherten“ durch das Wort „verarbeiteten“ ersetzt.

5. In § 46a Abs. 2 Z 2 wird vor dem Wort „Daten“ das Wort „personenbezogenen“ eingefügt.

6. In § 46a Abs. 2 Z 4 lautet der Einleitungsteil:

„mit den Bildungseinrichtungen gemäß § 7a Abs. 1 des Bildungsdokumentationsgesetzes, BGBl. I Nr. 12/2002, über den Datenverbund der Universitäten und Hochschulen (§ 7a des Bildungsdokumentationsgesetzes, BGBl. I Nr. 12/2002) eine automatisierte Datenübermittlung mit den Abgabenbehörden als Datenempfänger einzurichten. In dessen Rahmen sind dem Datenverbund der Universitäten und Hochschulen von den Abgabenbehörden die Versicherungsnummern und die Namen der Kinder, für die die Familienbeihilfe beantragt wurde oder gewährt wurde bzw. wird, zu übermitteln. Zu diesen Angaben hat der Datenverbund der Universitäten und Hochschulen den Abgabenbehörden zu übermitteln:“

7. Dem § 55 wird folgender Abs. 37 angefügt:

„(37) Die Überschrift zu Abschnitt IIIa sowie § 46a Abs. 1 und 2 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

Das Kinderbetreuungsgeldgesetz (KBGG), BGBl. I Nr. 103/2001, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 53/2016 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. § 25 Abs. 2 lautet:

„(2) Die Krankenversicherungsträger sowie die Niederösterreichische Gebietskrankenkasse in ihrer Funktion als Kompetenzzentrum und Verbindungsstelle (Abs. 3) haben die ihnen nach diesem Bundesgesetz übertragenen Aufgaben im übertragenen Wirkungsbereich nach den Weisungen des Bundeskanzlers zu vollziehen.“

2. Die Überschrift zu § 36 lautet:

„Kinderbetreuungsgeld-Datenbank“

3. § 36 lautet:

§ 36. (1) Für die Verarbeitung der für die Wahrnehmung der nach diesem Bundesgesetz übertragenen Aufgaben erforderlichen personenbezogenen Daten wird eine Datenbank (Kinderbetreuungsgeld-Datenbank) eingerichtet.

(2) Als erforderliche personenbezogene Daten im Sinne des Abs. 1 gelten insbesondere folgende Daten der antragstellenden Person, des zweiten Elternteiles, des Partners, der Kinder und sonstiger relevanter Personen:

  1. 1. Namen, Titel, Anschrift, Telefonnummer und E-Mail-Adresse;
  2. 2. Geburtsdatum und Sozialversicherungsnummer;
  3. 3. Staatsangehörigkeit samt aufenthaltsrechtlichem Status bei nichtösterreichischer Staatsangehörigkeit;
  4. 4. Familienstand und Geschlecht;
  5. 5. Beruf bzw. Tätigkeit;
  6. 6. Firmenbuchnummern, Namen und Anschrift des Dienstgebers;
  7. 7. Anspruchs- und Berechnungsgrundlagen;
  8. 8. Art, Umfang und Stand der Verfahren;
  9. 9. Bescheide;
  10. 10. Bankverbindung und Kontonummer;
  11. 11. Vertreter, Zahlungsempfänger sowie die Art und Dauer der Vollmacht;
  12. 12. Zahlungsbeträge.

(3) Die Niederösterreichische Gebietskrankenkasse in ihrer Funktion als Kompetenzzentrum (§ 25 Abs. 3) ist Verantwortliche gemäß Art. 4 Z 7 der Verordnung (EU) Nr. 679/2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 27.04.2016 S. 1 (DSGVO).

(4) Umsetzungskosten im Sinne des Abs. 1 sowie Kosten für die laufende Wartung und Entwicklung trägt der Familienlastenausgleichsfonds.“

4. § 37 lautet:

§ 37. (1) Die Krankenversicherungsträger sind verpflichtet, alle erforderlichen personenbezogenen Daten (§ 36 Abs. 2) elektronisch an die Datenbank zu übermitteln.

(2) Die Niederösterreichische Gebietskrankenkasse in ihrer Funktion als Kompetenzzentrum und Verbindungsstelle (§ 25 Abs. 3) ist verpflichtet, alle erforderlichen personenbezogenen Daten (§ 36 Abs. 2) elektronisch an die Datenbank zu übermitteln.

(3) Der Hauptverband der österreichischen Sozialversicherungsträger hat alle ihm zur Verfügung stehenden und für die Wahrnehmung der den Krankenversicherungsträgern und der Niederösterreichischen Gebietskrankenkasse in ihrer Funktion als Kompetenzzentrum sowie als Verbindungsstelle (§ 25 Abs. 3) nach diesem Bundesgesetz übertragenen Aufgaben erforderlichen personenbezogenen Daten (§ 36 Abs. 2) elektronisch an die Datenbank zu übermitteln.

(4) Die Abgabenbehörden haben alle für die Wahrnehmung der den Krankenversicherungsträgern und der Niederösterreichischen Gebietskrankenkasse als Kompetenzzentrum sowie als Verbindungsstelle (§ 25 Abs. 3) nach diesem Bundesgesetz übertragenen Aufgaben erforderlichen personenbezogenen Daten (§ 36 Abs. 2) elektronisch an die Datenbank zu übermitteln. Der Bundesminister für Finanzen wird ermächtigt, im Einvernehmen mit dem Bundeskanzler Art und Weise des Verfahrens der elektronischen Übermittlung durch Verordnung festzulegen.“

5. Nach § 37 wird folgender § 37a samt Überschrift eingefügt:

„Weitere Datenverarbeitung

§ 37a. (1) Die Krankenversicherungsträger sind berechtigt, alle erforderlichen personenbezogenen Daten (§ 36 Abs. 2) der Datenbank zu verarbeiten.

(2) Die Niederösterreichische Gebietskrankenkasse in ihrer Funktion als Kompetenzzentrum und Verbindungsstelle (§ 25 Abs. 3) ist berechtigt, alle erforderlichen personenbezogenen Daten (§ 36 Abs. 2) aus der Datenbank zu verarbeiten.

(3) Die Niederösterreichische Gebietskrankenkasse in ihrer Funktion als Kompetenzzentrum (§ 25 Abs. 3) hat dem Bundeskanzler Daten zur automatisierten Besorgung der Statistik zu übermitteln.

(4) Die Niederösterreichische Gebietskrankenkasse in ihrer Funktion als Verbindungsstelle (§ 25 Abs. 3) hat dem Bundeskanzler folgende Daten zur jährlichen Weiterleitung an die Europäische Kommission zu übermitteln:

  1. 1. Anzahl aller Bezieher, Anzahl aller Kinder, für die Leistungen bezogen wurden und die Gesamtsumme der diesbezüglichen Auszahlungen,
  2. 2. Anzahl der Bezieher und Anzahl der Kinder, für die Leistungen bezogen wurden mit Wohnort in einem anderen Mitgliedstaat, und die Gesamtsumme der diesbezüglichen Auszahlungen, aufgeschlüsselt nach Wohnort der Kinder sowie vorrangiger und nachrangiger Zuständigkeit Österreichs nach den Bestimmungen der Verordnung (EG) Nr. 883/2004,

    jeweils bezogen auf das von der Europäischen Kommission abgefragte Jahr.“

6. Nach § 37a wird folgender § 37b samt Überschrift eingefügt:

„Datenlöschung

§ 37b. Die Niederösterreichische Gebietskrankenkasse in ihrer Funktion als Kompetenzzentrum (§ 25 Abs. 3) hat die personenbezogenen Daten (§ 36 Abs. 2) in der Datenbank zu löschen, sobald diese nicht mehr benötigt werden, frühestens jedoch 7 Jahre nach Ablauf des Kalenderjahres, in welchem eine Leistung nach diesem Bundesgesetz zuletzt bezogen worden ist.“

7. Dem § 50 wird folgender Abs. 21 angefügt:

„(21) § 25 Abs. 2, § 36 samt Überschrift, § 37 sowie die §§ 37a und 37b samt Überschriften in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

Das Bundes-Kinder- und Jugendhilfegesetz 2013 (B-KJHG 2013), BGBl. I Nr. 69/2013, in der Fassung der Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Im Inhaltsverzeichnis wird in den Einträgen zu den §§ 8 und 40 jeweils das Wort „Datenverwendung“ durch das Wort „Datenverarbeitung“ ersetzt.

2. Die Überschrift zu § 8 lautet:

„Datenverarbeitung“

3. In § 8 Abs. 1 und 2 wird jeweils vor dem Wort „Daten“ das Wort „personenbezogene“ eingefügt und das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt.

4. In § 8 Abs. 3 wird das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt.

5. In § 8 Abs. 4 wird vor dem Wort „Daten“ das Wort „Personenbezogene“ eingefügt und das Wort „verwendet“ durch das Wort „verarbeitet“ ersetzt.

6. In § 8 Abs. 5 wird vor dem Wort „Daten“ das Wort „personenbezogenen“ eingefügt.

7. § 9 Abs. 4 erster Satz entfällt.

8. Die Überschrift zu § 40 lautet:

„Datenverarbeitung“

9. In § 40 Abs. 1 wird im Einleitungsteil das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt und in der Z 1 vor dem Strichpunkt die Wortfolge „ , Video- und Bildmaterial, in dessen Herstellung die betroffene Person eingewilligt hat“ eingefügt.

10. In § 40 Abs. 2 wird das Wort „personenbezogenen“ durch das Wort „personenbezogene“ und das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt.

11. In § 40 Abs. 3 wird im Einleitungsteil das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt und in der Z 1 vor dem Strichpunkt die Wortfolge „ , Video- und Bildmaterial, in dessen Herstellung die betroffene Person eingewilligt hat“ eingefügt.

12. In § 40 Abs. 4 wird vor dem Wort „Daten“ das Wort „personenbezogene“ eingefügt und das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt.

13. In § 40 entfällt Abs. 5; die Abs. 6 und 7 erhalten die Absatzbezeichnungen „(5)“ und „(6)“.

14. In § 40 Abs. 5 (neu) wird vor dem Wort „Daten“ das Wort „personenbezogene“ eingefügt.

15. In § 40 Abs. 6 (neu) wird vor dem Wort „Daten“ das Wort „personenbezogenen“ eingefügt.

16. Nach § 40 Abs. 6 (neu) wird folgender Abs. 7 eingefügt:

„(7) Der Kinder- und Jugendhilfeträger ist berechtigt, personenbezogene Daten gemäß Abs. 1 zum Zweck der Überprüfung des Anspruchs auf Familienbeihilfe an die Finanzverwaltung zu übermitteln.“

17. In § 40 Abs. 8 wird vor dem Wort „Daten“ das Wort „personenbezogenen“ eingefügt.

18. Dem § 47 wird folgender Abs. 4 angefügt:

„(4) Das Inhaltsverzeichnis, § 8 samt Überschrift, § 9 Abs. 4 sowie § 40 samt Überschrift in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

Das Bundesgesetz über die Einrichtung einer Dokumentations- und Informationsstelle für Sektenfragen, BGBl. I Nr. 150/1998, in der Fassung der Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. § 5 samt Überschrift lautet:

„Datenschutz

§ 5. (1) Die Bundesstelle für Sektenfragen ist berechtigt, öffentlich zugängliche personenbezogene Daten über glaubens- oder weltanschauungsbezogene Gemeinschaften, ihre Programme und Aktivitäten sowie öffentlich zugängliche Daten über glaubens- oder weltanschauungsbezogene Aktivitäten von Einzelpersonen zur Erfüllung ihrer Aufgaben gemäß § 4 zu verarbeiten. Liegt ein begründeter Verdacht einer Gefährdung gemäß § 4 Abs. 1 vor, ist die Bundesstelle für Sektenfragen berechtigt, diese verarbeiteten, öffentlich zugänglichen, personenbezogenen Daten an Organe der öffentlichen Aufsicht, an Behörden, an Einrichtungen zur Betreuung, Erziehung und zum Unterricht von Minderjährigen und an natürliche und juristische Personen, die ein berechtigtes Interesse glaubhaft gemacht haben, zu übermitteln. Ansonsten ist eine Übermittlung dieser Daten zulässig, wenn kein Grund zur Annahme besteht, dass schutzwürdige Belange der betroffenen Personen überwiegen. Personenbezogene Daten natürlicher Personen können in diesem Zusammenhang jedoch nur dann übermittelt werden, wenn die personenbezogenen Daten bereits an anderem Ort öffentlich gemacht wurden.

(2) Personenbezogene Daten über glaubens- oder weltanschauungsbezogene Gemeinschaften, ihre Programme und Aktivitäten, die nicht öffentlich zugänglich sind, können verarbeitet werden, soweit sie der Bundesstelle für Sektenfragen freiwillig mitgeteilt werden oder sonst ohne jegliche Zwangsmaßnahmen rechtmäßig in ihren Besitz gelangen und ein begründeter Verdacht einer Gefährdung gemäß § 4 Abs. 1 vorliegt. Das Verarbeiten von nicht öffentlich zugänglichen personenbezogenen Daten natürlicher Personen ist darüber hinaus nur zulässig, wenn die betroffene Person über eine bloße Mitgliedschaft hinausgehend in der betreffenden Glaubens- oder Weltanschauungsgemeinschaft aktiv mitwirkt oder als Einzelperson glaubens- oder weltanschauungsbezogene Aktivitäten setzt. Die in diesem Zusammenhang verarbeiteten personenbezogenen Daten dürfen an Organe der öffentlichen Aufsicht, an Behörden, an Einrichtungen zur Betreuung, Erziehung und zum Unterricht von Minderjährigen und an natürliche und juristische Personen, die ein berechtigtes Interesse glaubhaft gemacht haben, übermittelt werden, wenn

  1. 1. es zur Erfüllung der Aufgaben gemäß § 4 Abs. 1 erforderlich ist und
  2. 2. berechtigte Interessen der betroffenen Person an der Geheimhaltung nicht überwiegen.

(3) Die Veröffentlichung personenbezogener Daten natürlicher Personen ist nur zulässig, wenn von einer Person eine unmittelbar drohende Gefahr der Verwirklichung einer strafbaren Handlung gegen die Schutzgüter gemäß § 4 Abs. 1 Z 1 bis 5, der nicht anders als durch die Veröffentlichung begegnet werden kann, ausgeht. Diese Einschränkung gilt nicht, wenn die personenbezogenen Daten bereits an anderem Ort öffentlich gemacht wurden.

(4) Die Bundesstelle für Sektenfragen ist berechtigt, folgende personenbezogene Daten über natürliche Personen, die zur Erfüllung der Aufgaben gemäß § 4 beraten und informiert werden, zum Zwecke zielgerichteter Beratung und Information zu verarbeiten:

  1. 1. Identifikationsdaten und Kontaktdaten sowie
  2. 2. Zeitpunkt und Inhalt der Beratung oder Information.

(5) Eine Übermittlung oder Veröffentlichung der personenbezogenen Daten gemäß Abs. 4 ist nicht zulässig.

(6) Die Aufbewahrung der verarbeiteten personenbezogenen Daten ist spätestens nach zwei Jahren auf ihre Erforderlichkeit zu prüfen. Personenbezogene Daten, die für die Erfüllung der Aufgaben gemäß § 4 nicht mehr erforderlich sind, sind unverzüglich zu löschen.

(7) Ein vom Datenschutzrat einzusetzender Arbeitsausschuss ist berechtigt, Einschau in die bei der Bundesstelle für Sektenfragen vorhandenen Unterlagen zu halten.“

2. § 10 Abs. 1 lautet:

„(1) Die Bundesstelle für Sektenfragen hat die von ihr wahrgenommenen Dokumentations- und Informationsfälle in einem zusammengefassten Bericht, der keine personenbezogenen Daten natürlicher Personen enthält, halbjährlich dem Bundeskanzler vorzulegen.“

3. § 11 lautet:

§ 11. Die Organe und die Bediensteten der Bundesstelle für Sektenfragen sind zur Verschwiegenheit über alle ihnen aus ihrer Tätigkeit gemäß § 4 Abs. 1 bis 3 bekanntgewordenen Tatsachen verpflichtet. Die Verpflichtung zur Verschwiegenheit gilt auch nach dem Ausscheiden aus der Funktion und nach Beendigung des Dienstverhältnisses. Die Verpflichtung zur Verschwiegenheit besteht nicht, wenn die Offenlegung der Information im überwiegenden öffentlichen Interesse liegt.“

4. In § 13 Abs. 2 wird die Wortfolge „§ 10 Abs. 1 letzter Satz“ durch die Wortfolge „§ 5 Abs. 7“ und das Wort „Bundeskanzler“ durch die Wortfolge „Bundesminister für Verfassung, Reformen, Deregulierung und Justiz“ ersetzt.

5. Dem Text des § 14 wird die Absatzbezeichnung „(1)“ vorangestellt; folgender Abs. 2 wird angefügt:

„(2) § 5 samt Überschrift, § 10 Abs. 1, § 11 und § 13 Abs. 2 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft. § 14 Abs. 1 in der Fassung des genannten Bundesgesetzes tritt mit dem auf die Kundmachung folgenden Tag in Kraft.“

Das Bundes-Jugendförderungsgesetz, BGBl. I Nr. 126/2000, in der Fassung des Bundesgesetzes BGBl. I Nr. 136/2001 und der Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Im Inhaltsverzeichnis wird im Eintrag zu § 9 das Wort „Zusammenarbeit“ durch das Wort „Datenschutz“ ersetzt.

1a. § 8 Abs. 2 Z 9 entfällt.

2. Die Überschrift zu § 9 lautet:

„Datenschutz“

3. Dem Text des § 9 wird die Absatzbezeichnung „(2)“ vorangestellt; nach der Paragraphenbezeichnung wird folgender Abs. 1 eingefügt:

„(1) Der Bundeskanzler ist berechtigt, zum Zweck der Gewährung, des Nachweises der widmungsgemäßen Verwendung und zur nachprüfenden Kontrolle der Förderungen im Sinne dieses Bundesgesetzes folgende personenbezogene Daten zu verarbeiten:

  1. 1. hinsichtlich natürlicher Personen: Vor- und Nachname, ehemalige Namen, akademischer Grad, Geschlecht, Geburtsdatum, Geburtsort, Adresse, Festnetz- und Mobiltelefonnummern, E-Mail-Adressen, Faxnummern, Familienstand, Mitgliedschaft zu einer Jugendorganisation gemäß § 2 Abs. 2, berufliche Qualifikation, Daten zur fachlichen und wirtschaftlichen Eignungsprüfung; Bankverbindung, Steuernummer, Vorsteuerabzugsberechtigung, Angaben über Förderungen von Bund, Land, Gemeinde und sonstigen öffentlichen Rechtsträgern;
  2. 2. hinsichtlich juristischer Personen: Name der juristischen Person, Vor- und Nachname, ehemalige Namen, akademischer Grad, Geschlecht, Geburtsdatum und Geburtsort ihrer verantwortlichen und vertretungsbefugten Organe, Mitarbeiter und Mitarbeiterinnen und Mitglieder, Vollmachten, Sitz, Adresse, Firmenbuchnummer, zentrale Vereinsregister-, Unternehmensregister-, Ergänzungsregister-Zahl, Festnetz- und Mobiltelefonnummern, E-Mail-Adressen, Web-Adressen, Faxnummern, berufliche Qualifikation der Mitarbeiter und Mitarbeiterinnen, Daten zur fachlichen und wirtschaftlichen Eignungsprüfung; Statuten und Geschäftsordnung des Vereines, Bankverbindung, Steuernummer, Vorsteuerabzugsberechtigung, Angaben über Förderungen von Bund, Land, Gemeinde und sonstigen öffentlichen Rechtsträgern.“

4. Dem § 12 wird folgender Abs. 3 angefügt:

„(3) Das Inhaltsverzeichnis und § 9 samt Überschrift in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft; gleichzeitig tritt § 8 Abs. 2 Z 9 außer Kraft.“

Das Familienzeitbonusgesetz (FamZeitbG), BGBl. I Nr. 53/2016, in der Fassung der Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. § 4 Abs. 3 lautet:

„(3) Die Krankenversicherungsträger sowie die Niederösterreichische Gebietskrankenkasse in ihrer Funktion als Kompetenzzentrum und Verbindungsstelle (Abs. 4) haben die ihnen nach diesem Bundesgesetz übertragenen Aufgaben im übertragenen Wirkungsbereich nach den Weisungen des Bundeskanzlers zu vollziehen.“

2. § 8 lautet:

§ 8. Die §§ 24e letzter Satz, 25a, 27 Abs. 4, 29, 32, 34, 36 Abs. 1, 3 und 4, 37 bis 39, 41, 43 Abs. 2, 44 und 45 KBGG sind sinngemäß anzuwenden.“

3. § 9 samt Überschrift lautet:

„Verarbeitung von personenbezogenen Daten

§ 9. (1) Die für die Wahrnehmung der nach diesem Bundesgesetz übertragenen Aufgaben erforderlichen personenbezogenen Daten werden in der Kinderbetreuungsgeld-Datenbank verarbeitet.

(2) Als erforderliche personenbezogene Daten im Sinne des Abs. 1 gelten insbesondere folgende Daten des antragstellenden Vaters (des Bonusempfängers), des zweiten Elternteils, der Kinder und sonstiger relevanter Personen:

  1. 1. Namen, Titel, Anschrift, Telefonnummer und E-Mail-Adresse;
  2. 2. Geburtsdatum und Sozialversicherungsnummer;
  3. 3. Staatsangehörigkeit samt aufenthaltsrechtlichem Status bei nichtösterreichischer Staatsangehörigkeit;
  4. 4. Familienstand und Geschlecht;
  5. 5. Beruf bzw. Tätigkeit;
  6. 6. Firmenbuchnummern, Namen und Anschrift des Dienstgebers;
  7. 7. Anspruchs- und Berechnungsgrundlagen;
  8. 8. Art, Umfang und Stand der Verfahren;
  9. 9. Bescheide;
  10. 10. Bankverbindung und Kontonummer;
  11. 11. Vertreter, Zahlungsempfänger sowie die Art und Dauer der Vollmacht;
  12. 12. Zahlungsbeträge.

(3) Die Niederösterreichische Gebietskrankenkasse in ihrer Funktion als Kompetenzzentrum (§ 4 Abs. 4) hat dem Bundeskanzler Daten zur automatisierten Besorgung der Statistik zu übermitteln.“

4. Dem Text des § 12 wird die Absatzbezeichnung „(1)“ vorangestellt; folgender Abs. 2 wird angefügt:

„(2) § 4 Abs. 3, § 8 und § 9 samt Überschrift in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft. § 12 Abs. 1 in der Fassung des genannten Bundesgesetzes tritt mit dem auf die Kundmachung folgenden Tag in Kraft.“

Öffentlicher Dienst

Das Beamten-Dienstrechtsgesetz 1979 - BDG 1979, BGBl. Nr. 333/1979, zuletzt geändert durch die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, und die Dienstrechts-Novelle 2017, BGBl. I Nr. 167/2017, wird wie folgt geändert:

1. In § 48 Abs. 1 wird das Wort „automationsunterstützt“ durch die Wortfolge „mit Hilfe automatisierter Verfahren“ ersetzt.

2. Die Überschrift zu § 79e lautet:

„Grundsätze der Datenverarbeitung, Kontrollmaßnahmen“

3. In § 79e Abs. 2 wird im Einleitungsteil das Wort „verwendet“ durch das Wort „verarbeitet“ ersetzt.

4. In § 79e Abs. 2 Z 2 wird nach dem Wort „Auftrag“ die Wortfolge „der Leiterin oder“ eingefügt.

5. In § 79e Abs. 2 wird im Schlussteil das Wort „erfolgt“ durch die Wortfolge „erforderlich ist“ ersetzt.

6. Nach § 79e Abs. 2 folgender Abs. 2a eingefügt:

„(2a) Abs. 2 ist auf besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (im Folgenden: DSGVO), ABl. Nr. L 119 vom 04.05.2016 S. 1, in der Fassung der Berichtigung ABl. Nr. L 314 vom 22.11.2016 S. 72, der IKT-Nutzung anzuwenden. Solche besonderen Kategorien personenbezogener Daten dürfen ausschließlich zu Kontrollzwecken verarbeitet werden, sofern dies unbedingt erforderlich ist und sind unverzüglich dokumentiert zu löschen, sobald eine weitere Verarbeitung zu Kontrollzwecken nicht mehr unbedingt erforderlich ist. Betroffene Personen sind umgehend von der Leiterin oder dem Leiter der Dienststelle darüber zu informieren, dass besondere Kategorien personenbezogener Daten verarbeitet werden. Die IT-Stelle hat über eine solche Verarbeitung Protokoll zu führen und ihre Gründe sowie die erfolgte Information schriftlich zu dokumentieren. Solche die Beamtin oder den Beamten betreffenden Daten des Protokolls sind ihr oder ihm auf ihr oder sein Verlangen direkt zur Verfügung zu stellen und sie oder er hat das Recht, gegenüber der Leiterin oder dem Leiter der Dienststelle eine zu dokumentierende Stellungnahme abzugeben.“

7. In § 79e Abs. 3 wird nach dem Wort „übertragener“ die Wortfolge „oder zu übertragender“ eingefügt und das Wort „notwendig“ durch das Wort „erforderlich“ ersetzt.

8. In § 79e Abs. 5 wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.

9. In § 79f Abs. 1 werden vor der Wortfolge „den Leiter“ die Wortfolge „die Leiterin oder“, nach dem Wort „übertragener“ die Wortfolge „oder zu übertragender“ und nach dem Wort „Nachrichten“ die Wortfolge „oder auf besondere Kategorien personenbezogener Daten“ eingefügt.

10. In § 79f Abs. 3 wird nach dem Wort „begründeten“ die Wortfolge „ , schriftlich zu dokumentierenden“ eingefügt.

11. In § 79f Abs. 4 werden nach dem Wort „IT-Stelle“ die Wortfolge „der Leiterin oder“, nach dem Wort „übertragener“ die Wortfolge „oder zu übertragender“ und nach dem Wort „Nachrichten“ die Wortfolge „oder auf besondere Kategorien personenbezogener Daten“ eingefügt.

12. § 79f Abs. 5 lautet:

„(5) Besteht aufgrund einer IKT-Nutzung eine konkrete unmittelbare Gefährdung für die IKT-Infrastruktur oder ihre korrekte Funktionsfähigkeit, darf die IT-Stelle abweichend von Abs. 1 bis 4 die personenbezogenen Daten oder besonderen Kategorien personenbezogener Daten der IKT-Nutzung verarbeiten, soweit dies zur Behebung dieser Gefährdung unbedingt erforderlich ist. Diese Daten dürfen nicht für andere Zwecke verarbeitet werden. Die Beamtin oder der Beamte ist über die Verarbeitung der Daten umgehend zu informieren. Die IT-Stelle hat über die Gefährdung, die verarbeiteten Daten und die erfolgte Information der Beamtin oder des Beamten Protokoll zu führen. Solche die Beamtin oder den Beamten betreffenden Daten des Protokolls sind ihr oder ihm auf ihr oder sein Verlangen direkt zur Verfügung zu stellen. Sie oder er hat das Recht, gegenüber der Leiterin oder dem Leiter der Dienststelle eine zu dokumentierende Stellungnahme abzugeben.“

13. § 79g Abs. 1 lautet:

„(1) Besteht der begründete, aber nicht gegen eine bestimmte Beamtin oder einen bestimmten Beamten gerichtete Verdacht einer gröblichen Dienstpflichtverletzung, kann die IT-Stelle im Auftrag der Leiterin oder des Leiters der Dienststelle auf diesen Verdachtsfall Bezug habende personenbezogene Daten oder besondere Kategorien personenbezogener Daten der IKT-Nutzung verarbeiten, wenn die Verarbeitung zum Zwecke der Aufdeckung der gröblichen Dienstpflichtverletzung erforderlich ist. Die Leiterin oder der Leiter der Dienststelle hat den begründeten Verdacht schriftlich zu dokumentieren. Der Ermittlungsauftrag hat schriftlich zu ergehen und den Verdachtsfall genau zu umschreiben.“

14. In § 79g Abs. 4 wird nach dem Wort „begründeten“ die Wortfolge „ , schriftlich zu dokumentierenden“ eingefügt.

15. In § 79g Abs. 6 lautet:

„(6) Die IT-Stelle hat der Leiterin oder dem Leiter der Dienststelle über die IKT-Nutzungen im Umfang des Verlangens nach Abs. 5 namentlich und in schriftlicher Form zu berichten. Die betroffene Beamtin oder der betroffene Beamte ist von der Leiterin oder dem Leiter der Dienststelle umgehend zu informieren. Die Beamtin oder der Beamte hat das Recht, gegenüber der Leiterin oder dem Leiter der Dienststelle eine zu dokumentierende Stellungnahme abzugeben.“

16. § 79g Abs. 7 lautet:

„(7) Besteht der begründete Verdacht einer gröblichen Dienstpflichtverletzung gegen eine bestimmte Beamtin oder einen bestimmten Beamten, kann die IT-Stelle im Auftrag der Leiterin oder des Leiters der Dienststelle abweichend von Abs. 1 bis 6 und § 79e Abs. 4 auf diesen Verdachtsfall Bezug habende personenbezogene Daten oder besondere Kategorien personenbezogener Daten der IKT-Nutzung der Beamtin oder des Beamten verarbeiten. Die Leiterin oder der Leiter der Dienststelle hat den begründeten Verdacht schriftlich zu dokumentieren. Der Ermittlungsauftrag hat schriftlich zu ergehen und den Verdachtsfall unter Nennung der Beamtin oder des Beamten genau zu umschreiben. Die IT-Stelle hat der Leiterin oder dem Leiter der Dienststelle über die IKT-Nutzungen im Umfang des Ermittlungsauftrags in schriftlicher Form zu berichten. Die Beamtin oder der Beamte ist von der Leiterin oder dem Leiter der Dienststelle umgehend direkt über den Bericht der IT-Stelle und den diesem vorausgegangenen Ermittlungsauftrag zu informieren. Die Beamtin oder der Beamte hat das Recht, gegenüber der Leiterin oder dem Leiter der Dienststelle eine zu dokumentierende Stellungnahme abzugeben.“

17. § 79h samt Überschrift lautet:

„Sonstige zulässige Datenverarbeitungen

§ 79h. Unbeschadet des § 79e darf die IT-Stelle Daten über die IKT-Nutzung einer Beamtin oder eines Beamten verarbeiten, soweit dies mit ihrer oder seiner Einwilligung gemäß Art. 4 Z 11 DSGVO zum Zwecke der Erbringung von Serviceleistungen im Zusammenhang mit der IKT-Nutzung dieser Beamtin oder dieses Beamten erfolgt.“

18. In § 204 Abs. 7 wird nach dem Wort „einzuholen“ die Wortfolge „und schriftlich dokumentiert zu verarbeiten“ und nach dem Wort „Abfrage“ die Wortfolge „und schriftlich dokumentierte Verarbeitung“ eingefügt.

19. § 280 samt Überschrift lautet:

„Datenverarbeitung

§ 280. (1) Die Leiterinnen und Leiter der Zentralstellen sind als jeweils Verantwortlicher gemäß Art. 4 Z 7 DSGVO für den Wirkungsbereich des jeweiligen Ressorts ermächtigt, die dienstrechtlichen, arbeits- und sozialrechtlichen, haushaltsrechtlichen, besoldungsrechtlichen, pensionsrechtlichen, organisationsbezogenen, ausbildungsbezogenen und sonstigen mit dem Rechtsverhältnis in unmittelbarem Zusammenhang stehenden personenbezogenen Daten von Personen, die

  1. 1. in einem Dienstverhältnis zum Bund,
  2. 2. in einem Dienstverhältnis zu einem in § 1 Abs. 2 VBG genannten Rechtsträger,
  3. 3. in einem Dienstverhältnis zu einer oder einem Dritten, bei dem der Bund den wirtschaftlichen Aufwand zur Gänze oder zum Teil trägt und die zugehörigen administrativen Tätigkeiten selbst durchführt,
  4. 4. in einem Ausbildungsverhältnis oder freien Dienstverhältnis zu einem der in Z 1 bis Z 3 genannten Rechtsträger,
  5. 5. in einem Dienstverhältnis zu einer oder einem Dritten, wobei die Dienstnehmerin oder der Dienstnehmer dem Bund oder einem in § 1 Abs. 2 VBG genannten Rechtsträger zur Dienstleistung überlassen wird,
  6. 6. in einem Lehrauftragsverhältnis gemäß dem Lehrbeauftragtengesetz, BGBl. Nr. 656/1987,
  7. 7. als Landeslehrperson gemäß dem Landeslehrer-Dienstrechtsgesetz - LDG 1984, BGBl. Nr. 302/1984, oder als Landesvertragslehrperson gemäß dem Landesvertragslehrpersonengesetz 1966 - LVG, BGBl. Nr. 172/1966, in einem Dienstverhältnis zu einem Land, oder
  8. 8. als land- und forstwirtschaftliche Landeslehrperson gemäß dem Land- und forstwirtschaftlichen Landeslehrer-Dienstrechtsgesetz - LLDG 1985, BGBl. Nr. 296/1985, oder als land- und forstwirtschaftliche Landesvertragslehrperson gemäß dem Land- und forstwirtschaftlichen Landesvertragslehrpersonengesetz - LLVG, BGBl. Nr. 244/1969, in einem Dienstverhältnis zu einem Land

    stehen, gestanden sind oder die Aufnahme in ein solches Rechtsverhältnis anstreben, im Sinne des Art. 4 Z 2 DSGVO zu verarbeiten, einander zu übermitteln (Übermittlung) und zu einem anderen in Abs. 2 genannten Zweck, als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, zu verarbeiten (Weiterverarbeitung). Diese Ermächtigung bezieht sich, soweit zumindest einer der in Art. 9 Abs. 2 DSGVO angeführten Fälle vorliegt, auch auf besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO. Werden personenbezogene Daten und besondere Kategorien personenbezogener Daten durch einen der genannten Verantwortlichen an Dritte übermittelt, die nicht Verantwortliche im Sinne dieses Gesetzes sind (Übermittlung an Dritte), so ist diese Übermittlung an Dritte anhand ihrer jeweiligen Rechtsgrundlage zu beurteilen und zu dokumentieren.

(2) Eine Verarbeitung, Übermittlung oder Weiterverarbeitung gemäß Abs. 1 muss

  1. 1. zum Zwecke der Aufrechterhaltung oder des Funktionierens der Administration des öffentlichen Dienstes,
  2. 2. zum Zwecke der Erfüllung der rechtlichen Verpflichtungen oder der Geltendmachung der Rechte, die sich aus den dienstrechtlichen, arbeits- und sozialrechtlichen, haushaltsrechtlichen, besoldungsrechtlichen, pensionsrechtlichen, organisationsbezogenen, ausbildungsbezogenen oder sonstigen mit dem Rechtsverhältnis in unmittelbarem Zusammenhang stehenden Vorschriften ergeben, oder
  3. 3. zum Zwecke der Ausübung der in den Vorschriften gemäß Z 2 übertragenen öffentlichen Gewalt

    erforderlich sein.

(3) Die Leiterinnen und Leiter der Zentralstellen sind jeweils ermächtigt, personenbezogene Daten und besondere Kategorien personenbezogener Daten gemäß Abs. 1 auf Ersuchen einer zuständigen Behörde gemäß § 36 Abs. 2 Z 7 des Datenschutzgesetzes - DSG, BGBl. I Nr. 165/1999, zu verarbeiten, wenn

  1. 1. schriftlich zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Zusammenhang mit dem Rechtsverhältnis eine Straftat begangen hat,
  2. 2. dieses Ersuchen zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten, der Strafvollstreckung oder des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit ergeht und
  3. 3. die Verarbeitung zu einem der in Z 2 genannten Zwecke erforderlich ist.

    Sobald das Informieren der betroffenen Person gemäß Art. 12 bis 14 DSGVO dem Zweck des Ersuchens nicht mehr zuwiderläuft oder zuwiderlaufen kann, hat die ersuchende zuständige Behörde dies der Leiterin oder dem Leiter der jeweiligen Zentralstelle mitzuteilen. Die betroffene Person ist sodann direkt und schriftlich über das Ersuchen zu informieren. Sie hat das Recht, gegenüber der Leiterin oder dem Leiter der Zentralstelle eine zu dokumentierende Stellungnahme abzugeben. Art. 12 bis 14 und Art. 16 bis 22 DSGVO sind vom Zeitpunkt des Einlangens eines Ersuchens bis zum Zeitpunkt ihrer Information insoweit beschränkt, als diese Rechte voraussichtlich die Verwirklichung der Zwecke des Ersuchens unmöglich machen oder ernsthaft beeinträchtigen und die Beschränkung für die Erfüllung der Zwecke des Ersuchens notwendig und verhältnismäßig ist.

(4) Die Leiterinnen und Leiter der Zentralstellen haben jeweils für den Wirkungsbereich des jeweiligen Ressorts eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten gemäß Art. 37 bis 39 DSGVO zu benennen und die Kontaktdaten der oder des weisungsfreien und unabhängigen Datenschutzbeauftragten den betroffenen Personen gemäß Abs. 1 und der Datenschutzbehörde mitzuteilen. Nötigenfalls können für den Wirkungsbereich eines Ressorts unter Aufteilung der Zuständigkeit mehrere Datenschutzbeauftragte benannt und ihre Kontaktdaten unter Hinweis auf die jeweilige Zuständigkeit entsprechend mitgeteilt werden.

(5) Die Bundesministerin oder der Bundesminister für öffentlichen Dienst und Sport ist als Verantwortlicher gemäß Art. 4 Z 7 DSGVO ermächtigt, soweit dies zum Zwecke der Wahrnehmung der ihr oder ihm in Vollziehung dieses Bundesgesetzes oder anderer in Abs. 2 Z 2 genannter Vorschriften übertragenen Mitwirkungsbefugnisse erforderlich ist, in die von Abs. 1 erfassten Datenverarbeitungssysteme direkt Einsicht zu nehmen, personenbezogene Daten und besondere Kategorien personenbezogener Daten zu verarbeiten, zu übermitteln und weiterzuverarbeiten sowie im Einzelfall erforderlichenfalls nicht inhaltsändernde Verarbeitungen, Übermittlungen und Weiterverarbeitungen zum Zwecke der Sicherung der Datenqualität vorzunehmen.

(6) Die Bundesministerin oder der Bundesminister für öffentlichen Dienst und Sport ist als Verantwortlicher gemäß Art. 4 Z 7 DSGVO ermächtigt, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken in die von Abs. 1 erfassten Datenverarbeitungssysteme direkt Einsicht zu nehmen und personenbezogene Daten und besondere Kategorien personenbezogener Daten zu verarbeiten, zu übermitteln und weiterzuverarbeiten, soweit dies zur Wahrnehmung der ihr oder ihm in gesetzlichen Vorschriften gemäß Abs. 2 Z 2 übertragenen Aufgaben erforderlich ist. Soweit besondere Kategorien personenbezogener Daten hierbei verarbeitet, übermittelt oder weiterverarbeitet werden, muss ein schriftlich zu dokumentierendes wichtiges öffentliches Interesse an der Untersuchung vorliegen. Die Rechte der betroffenen Personen auf Information, Auskunft, Berichtigung, Einschränkung der Verarbeitung und Widerspruch sind insoweit beschränkt, als diese Rechte voraussichtlich die Verwirklichung der Forschungszwecke oder der statistischen Zwecke unmöglich machen oder ernsthaft beeinträchtigen und die Beschränkung für die Erfüllung der Forschungszwecke oder der statistischen Zwecke verhältnismäßig und notwendig ist. Der Personenbezug ist unverzüglich durch geeignete technische Mittel aufzulösen, wenn in einzelnen Phasen der Verarbeitung auch ohne Personenbezug das Auslangen gefunden werden kann. Soweit gesetzlich nicht ausdrücklich anderes vorgesehen ist, ist der Personenbezug der Daten gänzlich zu beseitigen, sobald er nicht mehr notwendig ist. Erforderlichenfalls ist die Bundesministerin oder der Bundesminister für öffentlichen Dienst und Sport ermächtigt, im Einzelfall nicht inhaltsändernde Verarbeitungen, Übermittlungen und Weiterverarbeitungen zum Zwecke der Sicherung der Datenqualität vorzunehmen.

(7) Die Bundesministerin oder der Bundesminister für öffentlichen Dienst und Sport ist als Verantwortlicher gemäß Art. 4 Z 7 DSGVO ermächtigt, in die von Abs. 1 erfassten Datenverarbeitungssysteme zum Zwecke der Erhebung von Adressdaten direkt Einsicht zu nehmen und nach Vorabinformation der übrigen Leiterinnen und Leiter der Zentralstellen Adressdaten für Benachrichtigungen oder Befragungen erforderlichenfalls zu verarbeiten, zu übermitteln und weiterzuverarbeiten, wenn angesichts der Auswahlkriterien für den Kreis der betroffenen Personen und des Gegenstandes der Benachrichtigung oder Befragung eine Beeinträchtigung der Geheimhaltungsinteressen der betroffenen Personen nicht zu erwarten ist.

(8) Dieser Paragraph gilt abweichend von § 1 für alle betroffenen Personen gemäß Abs. 1.“

20. § 280a samt Überschrift lautet:

„Elektronische Personenkennzeichnung und Datenaufbewahrung

§ 280a. (1) Zum Zwecke der eindeutigen Identifikation im Beschäftigungskontext kann eine aus der ZMR-Zahl (§ 16 Abs. 4 des Meldegesetzes 1991, BGBl. Nr. 9/1992) durch bereichsspezifische Verschlüsselung abgeleitete Personenkennzeichnung und ein bereichsspezifisches Personenkennzeichen (bPK) gemäß § 9 des E-Government-Gesetzes - E-GovG, BGBl. I Nr. 10/2004, der im § 280 Abs. 1 genannten betroffenen Personen verarbeitet, übermittelt und weiterverarbeitet werden.

(2) Organisationsbezogene, ausbildungsbezogene und sonstige mit dem Rechtsverhältnis in unmittelbarem Zusammenhang stehende personenbezogene Daten und besondere Kategorien personenbezogener Daten betroffener Personen sind von einem Verantwortlichen ab der letztmaligen Verarbeitung, Übermittlung oder Weiterverarbeitung fünfzehn Jahre aufzubewahren. Werden die personenbezogenen Daten und besonderen Kategorien personenbezogener Daten darüber hinaus für eine Verarbeitung, Übermittlung oder Weiterverarbeitung gemäß § 280 benötigt, so sind sie mindestens fünfzehn Jahre nach dem Wegfall dieser Notwendigkeit aufzubewahren. Soweit nach der letztmaligen Verarbeitung, Übermittlung oder Weiterverarbeitung ein mit den jeweiligen Daten im Zusammenhang stehendes Verfahren eingeleitet wird oder wurde, sind diese personenbezogenen Daten und besonderen Kategorien personenbezogener Daten mindestens fünfzehn Jahre nach Rechtskraft der das Verfahren abschließend beendenden Entscheidung aufzubewahren.

(3) Dienstrechtliche, arbeits- und sozialrechtliche, besoldungsrechtliche, pensionsrechtliche und haushaltsrechtliche personenbezogene Daten und besondere Kategorien personenbezogener Daten betroffener Personen sind von einem Verantwortlichen über den Zeitpunkt der Eintragung des Todes der betroffenen Person hinaus fünfzehn Jahre aufzubewahren. Werden die personenbezogenen Daten und besonderen Kategorien personenbezogener Daten darüber hinaus für eine Verarbeitung, Übermittlung oder Weiterverarbeitung gemäß § 280 benötigt, so sind sie mindestens fünfzehn Jahre nach dem Wegfall dieser Notwendigkeit aufzubewahren. Soweit nach der Eintragung des Todes der betroffenen Person ein mit den jeweiligen Daten im Zusammenhang stehendes Verfahren eingeleitet wird oder wurde, sind diese personenbezogenen Daten und besonderen Kategorien personenbezogener Daten mindestens fünfzehn Jahre nach Rechtskraft der das Verfahren abschließend beendenden Entscheidung aufzubewahren.

(4) Protokolldaten über lesende Zugriffe sind Protokolldaten, die das Auslesen oder Abfragen von personenbezogenen Daten und besonderen Kategorien personenbezogener Daten gemäß Abs. 2 und 3 protokollieren. Protokolldaten über lesende Zugriffe sind von einem Verantwortlichen ab ihrer letztmaligen Verarbeitung, Übermittlung oder Weiterverarbeitung drei Jahre aufzubewahren. Ist es darüber hinaus in Bezug auf § 280 notwendig, lesende Protokolldaten aufzubewahren, so sind sie mindestens drei Jahre nach dem Wegfall dieser Notwendigkeit aufzubewahren. Soweit nach der letztmaligen Verarbeitung, Übermittlung oder Weiterverarbeitung ein mit den jeweiligen personenbezogenen Daten, besonderen Kategorien personenbezogener Daten oder Protokolldaten im Zusammenhang stehendes Verfahren eingeleitet wird oder wurde, sind diese Protokolldaten über lesende Zugriffe mindestens drei Jahre nach Rechtskraft der das Verfahren abschließend beendenden Entscheidung aufzubewahren.

(5) Protokolldaten über inhaltsändernde Zugriffe sind alle Protokolldaten zu personenbezogenen Daten und besonderen Kategorien personenbezogener Daten gemäß Abs. 2 und 3, die nicht unter Abs. 4 fallen. Protokolldaten über inhaltsändernde Zugriffe sind von einem Verantwortlichen ab ihrer letztmaligen Verarbeitung, Übermittlung oder Weiterverarbeitung sieben Jahre aufzubewahren. Ist es darüber hinaus in Bezug auf § 280 notwendig, Protokolldaten über inhaltsändernde Zugriffe aufzubewahren, so sind sie mindestens sieben Jahre nach dem Wegfall dieser Notwendigkeit aufzubewahren. Soweit nach der letztmaligen Verarbeitung, Übermittlung oder Weiterverarbeitung oder nach der Eintragung des Todes der betroffenen Person ein mit den jeweiligen personenbezogenen Daten, besonderen Kategorien personenbezogener Daten oder Protokolldaten im Zusammenhang stehendes Verfahren eingeleitet wird oder wurde, sind diese Protokolldaten über inhaltsändernde Zugriffe mindestens sieben Jahre nach Rechtskraft der das Verfahren abschließend beendenden Entscheidung aufzubewahren.

(6) Eine durch Gesetz oder Verordnung vorgesehene längere Aufbewahrungspflicht oder Archivierung geht Abs. 2 bis 5 vor. Die gesetzlich vorgesehene Löschpflicht von Strafregisterauskünften gemäß den §§ 9 und 9a des Strafregistergesetzes 1968 und die Löschpflicht gemäß § 79e Abs. 2a gehen der Aufbewahrungspflicht gemäß Abs. 3 vor. Die Verantwortlichen gemäß § 280 Abs. 1 und die gemeinsam Verantwortlichen gemäß § 280b Abs. 2 werden jeweils ermächtigt, im Zentralen Personenstandsregister Abfragen der eingetragenen Todesfälle und Todeserklärungen durchzuführen. Diese Abfragen sind von sämtlichen Gebühren und Verwaltungsabgaben befreit.

(7) Die Verantwortlichen gemäß § 280 Abs. 1 und die gemeinsam Verantwortlichen gemäß § 280b Abs. 2 haben jeweils gemäß Art. 32 bis 34 DSGVO für die Sicherheit der personenbezogenen Daten, der besonderen Kategorien personenbezogener Daten sowie der Protokolldaten zu sorgen. Insbesondere ist sicherzustellen, dass bestehende Protokolldaten nicht verändert werden können. Die Bundeskanzlerin oder der Bundeskanzler ist als Verantwortlicher gemäß Art. 4 Z 7 DSGVO ermächtigt, zum Zwecke der rechtskonformen Verfahrensgestaltung, der Fehlerbehebung sowie der Datensicherheit in den von ihr oder ihm bereitgestellten oder betriebenen IKT-Lösungen und IT-Verfahren für das Personalmanagement des Bundes erforderliche nicht inhaltsändernde Verarbeitungen, Übermittlungen und Weiterverarbeitungen von personenbezogenen Daten und besonderen Kategorien personenbezogener Daten durchzuführen. Verantwortliche gemäß § 280 Abs. 1 können für den Wirkungsbereich ihres jeweiligen Ressorts mittels Verordnung abweichend von Abs. 2 bis 5 kürzere oder längere Fristen für Aufbewahrungspflichten vorsehen, wobei die Fristen für Protokolldaten über lesende Zugriffe mindestens ein Jahr und für Protokolldaten über inhaltsändernde Zugriffe mindestens drei Jahre betragen müssen. Gemeinsam Verantwortliche gemäß § 280b Abs. 2 haben vor Erlassung einer solchen Verordnung das Einvernehmen herzustellen.

(8) Dieser Paragraph gilt abweichend von § 1 für alle betroffenen Personen gemäß § 280 Abs. 1 und ausschließlich für personenbezogene Daten und besondere Kategorien personenbezogener Daten gemäß § 280 und Abs. 1.“

21. § 280b samt Überschrift lautet:

„IT-Unterstützung des Personalmanagements des Bundes und Rechte der betroffenen Personen

§ 280b. (1) Die Bundesministerin oder der Bundesminister für öffentlichen Dienst und Sport hat im Rahmen ihrer oder seiner Koordinationskompetenz für allgemeine Personalangelegenheiten öffentlich Bediensteter im Einvernehmen mit der Bundeskanzlerin oder dem Bundeskanzler

  1. 1. die fachlich-inhaltlichen Grundlagen für die Nutzung von standardisierten IKT-Lösungen und IT-Verfahren für das Personalmanagement des Bundes festzulegen und
  2. 2. Richtlinien für die grundsätzliche Nutzung der das Personalmanagement unterstützenden IKT-Lösungen und IT-Verfahren zu erlassen.

(2) Soweit standardisierte IKT-Lösungen und IT-Verfahren für das Personalmanagement des Bundes zur Anwendung gelangen, sind die Leiterinnen und Leiter der Zentralstellen jeweils für den Wirkungsbereich ihres Ressorts zusammen mit der Bundeskanzlerin oder dem Bundeskanzler gemeinsam Verantwortliche gemäß Art. 4 Z 7 in Verbindung mit Art. 26 DSGVO. Die Erfüllung von Informations-, Auskunfts-, Berichtigungs-, Löschungs- und sonstigen Pflichten nach den Bestimmungen der DSGVO gegenüber einer betroffenen Person obliegt jedem Verantwortlichen hinsichtlich jener personenbezogenen Daten und besonderen Kategorien personenbezogener Daten, die im Zusammenhang mit den von ihr oder ihm geführten Verfahren oder den von ihr oder ihm gesetzten Maßnahmen verarbeitet, übermittelt oder weiterverarbeitet werden. Für Bereiche, in denen die Leiterinnen und Leiter der Zentralstellen jeweils mit der Bundeskanzlerin oder dem Bundeskanzler gemeinsam Verantwortliche sind, erfolgt die Aufteilung dieser Pflichten durch Verordnung der Bundesregierung.

(3) Auftragsverarbeiter haben insbesondere jeweils die Datenschutzpflichten gemäß Art. 28 Abs. 3 lit. a bis h DSGVO wahrzunehmen.

(4) Übt eine betroffene Person ihre Rechte nach der DSGVO gegenüber einem unzuständigen Verantwortlichen aus, so hat dieser sie an den zuständigen Verantwortlichen zu verweisen. Die Übermittlung von Informationen an die betroffene Person hat unentgeltlich innerhalb eines Monats nach Ausübung eines der genannten Rechte nach der DSGVO direkt schriftlich, gegebenenfalls elektronisch oder in einer anderen, schriftlich dokumentierten Form zu erfolgen. Die Frist kann vor Ablauf nach begründeter Verständigung der betroffenen Person um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Geltendmachungen erforderlich ist. Macht eine betroffene Person ein gemäß Abs. 5 bis 8 beschränktes Recht geltend, so ist sie darauf hinzuweisen und die zuständige Datenschutzbeauftragte oder der zuständige Datenschutzbeauftragte ist darüber in Kenntnis zu setzen.

(5) Der Grundsatz der Richtigkeit gemäß Art. 5 Abs. 1 lit. d DSGVO und das Recht auf Berichtigung gemäß Art. 16 DSGVO werden bezüglich unrichtiger oder unvollständiger personenbezogener Daten oder besonderer Kategorien personenbezogener Daten insoweit beschränkt, als einer Berichtigung die Rechtskraft oder die Verjährung entgegenstehen, oder wenn für die betroffene Person die Möglichkeit einer Klärung der Richtigkeit und Vollständigkeit auf einem zumutbaren Rechtsweg besteht oder bestand. Macht die betroffene Person glaubhaft, dass diese personenbezogenen Daten oder besonderen Kategorien personenbezogener Daten sie erheblich in ihren Rechten beeinträchtigen, so kann sie dazu eine nicht inhaltsändernde, zu dokumentierende Stellungnahme abgeben.

(6) Das Recht auf Löschung gemäß Art. 17 DSGVO wird insoweit beschränkt, als durch Gesetz oder Verordnung eine Aufbewahrungspflicht oder Archivierung vorgesehen ist. Auf Antrag einer betroffenen Person sind ihre personenbezogenen Daten oder besonderen Kategorien personenbezogener Daten für die verbleibende Dauer der Aufbewahrungspflicht ohne Aufbereitung zu speichern, wenn die betroffene Person glaubhaft macht, dass die Aufbewahrung ihrer personenbezogenen Daten oder besonderen Kategorien personenbezogener Daten sie erheblich in ihren Rechten beeinträchtigt und keine weitere Verarbeitung, Übermittlung oder Weiterverarbeitung für die verbleibende Dauer der Aufbewahrungspflicht vorgesehen ist.

(7) Das Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO wird in Bezug auf integrierte Datenverarbeitungssysteme für die Dauer einer Überprüfung der von der betroffenen Person bestrittenen Richtigkeit ihrer personenbezogenen Daten oder besonderen Kategorien personenbezogener Daten sowie für den Zeitraum, in dem die betroffene Person ihr Recht auf Widerspruch geltend gemacht hat und noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen, beschränkt.

(8) Das Recht auf Widerspruch gemäß Art. 21 DSGVO wird hinsichtlich der Verarbeitung, Übermittlung und Weiterverarbeitung personenbezogener Daten und besonderer Kategorien personenbezogener Daten für Zeiten einer durch Gesetz oder Verordnung vorgesehenen Aufbewahrungspflicht oder Archivierung beschränkt, sofern die betroffene Person nicht Gründe nachweisen kann, die sich aus ihrer besonderen Situation ergeben und welche die Ziele der Beschränkung des Rechtes auf Widerspruch überwiegen. Die zuständige Datenschutzbeauftragte oder der zuständige Datenschutzbeauftragte ist über die Vornahme und das Ergebnis einer solchen Abwägung in Kenntnis zu setzen.

(9) Dieser Paragraph gilt abweichend von § 1 für alle betroffenen Personen gemäß § 280 Abs. 1 und ausschließlich für personenbezogene Daten und besondere Kategorien personenbezogener Daten gemäß § 280 und § 280a Abs. 1.“

22. Dem § 284 wird folgender Abs. 95 angefügt:

„(95) § 48 Abs. 1, die Überschrift zu § 79e, § 79e Abs. 2, 2a, 3 und 5, § 79f Abs. 1 und 3 bis 5, § 79g Abs. 1, 4, 6 und 7, § 79h samt Überschrift, § 204 Abs. 7 sowie die §§ 280, 280a und 280b samt Überschriften in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

Das Gehaltsgesetz 1956 - GehG, BGBl. Nr. 54/1956, zuletzt geändert durch die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, und die Dienstrechts-Novelle 2017, BGBl. I Nr. 167/2017, wird wie folgt geändert:

1. § 171 samt Überschrift entfällt.

2. Dem § 175 wird folgender Abs. 92 angefügt:

„(92) § 171 samt Überschrift in der Fassung vor dem Materien-Datenschutz-Anpassungsgesetz 2018, BGBl. I Nr. 32/2018, tritt mit Ablauf des 24. Mai 2018 außer Kraft.“

Das Vertragsbedienstetengesetz 1948 - VBG, BGBl. Nr. 86/1948, zuletzt geändert durch die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, und die Dienstrechts-Novelle 2017, BGBl. I Nr. 167/2017, wird wie folgt geändert:

1. Im Inhaltsverzeichnis entfallen die Einträge zu den §§ 96 und 96a.

2. In § 3 Abs. 4 wird nach dem Wort „einzuholen“ jeweils die Wortfolge „und schriftlich dokumentiert zu verarbeiten“ und nach dem Wort „Abfrage“ die Wortfolge „und schriftlich dokumentierte Verarbeitung“ eingefügt.

3. Die §§ 96 und 96a samt Überschriften entfallen.

4. Dem § 100 wird folgender Abs. 82 angefügt:

„(82) Das Inhaltsverzeichnis sowie § 3 Abs. 4 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft; gleichzeitig treten die §§ 96 und 96a samt Überschriften außer Kraft.“

Das Richter- und Staatsanwaltschaftsdienstgesetz - RStDG, BGBl. Nr. 305/1961, zuletzt geändert durch die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, und die Dienstrechts-Novelle 2017, BGBl. I Nr. 167/2017, wird wie folgt geändert:

1. Art. VI entfällt.

2. In § 3 Abs. 1 wird nach dem Wort „Justiz“ die Wortfolge „im Rahmen einer schriftlich dokumentierten Verarbeitung“ und nach dem Wort „einzuholen“ die Wortfolge „und schriftlich dokumentiert zu verarbeiten“ eingefügt; das Wort „Daten“ wird durch die Wortfolge „personenbezogenen Daten und besonderen Kategorien personenbezogener Daten“ ersetzt.

3. Dem § 212 wird folgender Abs. 70 angefügt:

„(70) § 3 Abs. 1 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, tritt mit 25. Mai 2018 in Kraft; gleichzeitig tritt Art. VI außer Kraft.“

Das Landeslehrer-Dienstrechtsgesetz - LDG 1984, BGBl. Nr. 302/1984, zuletzt geändert durch die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, und die Dienstrechts-Novelle 2017, BGBl. I Nr. 167/2017, wird wie folgt geändert:

1. In § 6 Abs. 5 wird nach dem Wort „einzuholen“ die Wortfolge „und schriftlich dokumentiert zu verarbeiten“ und nach dem Wort „Abfrage“ die Wortfolge „und schriftlich dokumentierte Verarbeitung“ eingefügt.

2. § 119a samt Überschrift lautet:

„Datenverarbeitung

§ 119a. (1) Die landesgesetzlich zuständigen Behörden sind als jeweils Verantwortliche gemäß Art. 4 Z 7 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (im Folgenden: DSGVO), ABl. Nr. L 119 vom 04.05.2016 S. 1, in der Fassung der Berichtigung ABl. Nr. L 314 vom 22.11.2016 S. 72, jeweils für ihren Wirkungsbereich ermächtigt, die dienstrechtlichen, arbeits- und sozialrechtlichen, haushaltsrechtlichen, besoldungsrechtlichen, pensionsrechtlichen, organisationsbezogenen, ausbildungsbezogenen und sonstigen mit dem Rechtsverhältnis in unmittelbarem Zusammenhang stehenden personenbezogenen Daten von Personen, die

  1. 1. in einem Dienstverhältnis zum Land als Landeslehrpersonen gemäß § 1 oder als Landesvertragslehrpersonen gemäß Landesvertragslehrpersonengesetz 1966 - LVG, BGBl. Nr. 172/1966, stehen, gestanden sind oder die Aufnahme in ein solches Rechtsverhältnis anstreben,
  2. 2. an Pflichtschulen im Rahmen eines Dienstverhältnisses zum Bund als Bundeslehrpersonen gemäß § 1 Abs. 1 BDG 1979 oder als Bundesvertragslehrpersonen gemäß § 1 Abs. 1 Vertragsbedienstetengesetz 1948 - VBG, BGBl. Nr. 86/1948, verwendet werden, verwendet worden sind oder verwendet werden sollen, oder
  3. 3. als Lehrpersonen in einem Dienstverhältnis zu einer oder einem Dritten stehen, gestanden sind oder die Aufnahme in ein solches Rechtsverhältnis anstreben, bei denen der Bund und/oder die Länder den wirtschaftlichen Aufwand zur Gänze oder zum Teil tragen und die zugehörigen administrativen Tätigkeiten durchführen,

    im Sinne des Art. 4 Z 2 DSGVO zu verarbeiten, einander sowie Verantwortlichen gemäß § 280 Abs. 1 BDG 1979 zu übermitteln (Übermittlung) und zu einem anderen in § 280 Abs. 2 BDG 1979 genannten Zweck, als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, zu verarbeiten (Weiterverarbeitung). Diese Ermächtigung bezieht sich, soweit zumindest einer der in Art. 9 Abs. 2 DSGVO angeführten Fälle vorliegt, auch auf besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO. Werden personenbezogene Daten und besondere Kategorien personenbezogener Daten durch einen der genannten Verantwortlichen an Dritte übermittelt, die nicht Verantwortliche im Sinne dieses Gesetzes sind (Übermittlung an Dritte), so ist diese Übermittlung an Dritte anhand ihrer jeweiligen Rechtsgrundlage zu beurteilen und zu dokumentieren. Übermitteln Verantwortliche gemäß § 280 Abs. 1 BDG 1979 personenbezogene Daten oder besondere Kategorien personenbezogener Daten im Sinne des ersten Satzes an Verantwortliche gemäß § 119a Abs. 1, so gilt dies als Übermittlung im Sinne des § 280 Abs. 1 BDG 1979.

(2) Bei einer Verarbeitung, Übermittlung oder Weiterverarbeitung gemäß Abs. 1 finden § 280 Abs. 2 bis 7 BDG 1979, § 280a Abs. 1 bis 7 BDG 1979 und § 280b Abs. 2 bis 8 BDG 1979 mit der Maßgabe Anwendung, dass an die Stelle der Leiterinnen und Leiter der Zentralstellen die landesgesetzlich vorgesehenen zuständigen Behörden treten. Die Länder werden ermächtigt, die von der Bundesregierung gemäß § 280b Abs. 2 letzter Satz BDG 1979 erlassene Verordnung mittels Verordnung für anwendbar zu erklären.“

3. Dem § 123 wird folgender Abs. 83 angefügt:

„(83) § 6 Abs. 5 und § 119a samt Überschrift in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

Das Land- und forstwirtschaftliche Landeslehrer-Dienstrechtsgesetz - LLDG 1985, BGBl. Nr. 296/1985, zuletzt geändert durch die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, und die Dienstrechts-Novelle 2017, BGBl. I Nr. 167/2017, wird wie folgt geändert:

1. In § 6 Abs. 5 werden nach dem Wort „einzuholen“ die Wortfolge „und schriftlich dokumentiert zu verarbeiten“ und nach dem Wort „Abfrage“ die Wortfolge „und schriftlich dokumentierte Verarbeitung“ eingefügt.

2. Nach § 119g wird folgender § 119h samt Überschrift eingefügt:

„Datenverarbeitung

§ 119h. (1) Die landesgesetzlich zuständigen Behörden sind als jeweils Verantwortliche gemäß Art. 4 Z 7 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (im Folgenden: DSGVO), ABl. Nr. L 119 vom 04.05.2016 S. 1, in der Fassung der Berichtigung ABl. Nr. L 314 vom 22.11.2016 S. 72, jeweils für ihren Wirkungsbereich ermächtigt, die dienstrechtlichen, arbeits- und sozialrechtlichen, haushaltsrechtlichen, besoldungsrechtlichen, pensionsrechtlichen, organisationsbezogenen, ausbildungsbezogenen und sonstigen mit dem Rechtsverhältnis in unmittelbarem Zusammenhang stehenden personenbezogenen Daten von Personen, die

  1. 1. in einem Dienstverhältnis zum Land als Landeslehrpersonen gemäß § 1 oder als Landesvertragslehrpersonen gemäß Land- und forstwirtschaftlichen Landesvertragslehrpersonengesetz - LLVG, BGBl. Nr. 244/1969, stehen, gestanden sind oder die Aufnahme in ein solches Rechtsverhältnis anstreben,
  2. 2. an land- und forstwirtschaftlichen Fach- und Berufsschulen im Rahmen eines Dienstverhältnisses zum Bund als Bundeslehrpersonen gemäß § 1 Abs. 1 BDG 1979 oder als Bundesvertragslehrpersonen gemäß § 1 Abs. 1 Vertragsbedienstetengesetz 1948 - VBG, BGBl. Nr. 86/1948, verwendet werden, verwendet worden sind oder verwendet werden sollen, oder
  3. 3. als Lehrpersonen in einem Dienstverhältnis zu einer oder einem Dritten stehen, gestanden sind oder die Aufnahme in ein solches Rechtsverhältnis anstreben, bei denen der Bund und/oder die Länder den wirtschaftlichen Aufwand zur Gänze oder zum Teil tragen und die zugehörigen administrativen Tätigkeiten durchführen,

    im Sinne des Art. 4 Z 2 DSGVO zu verarbeiten, einander sowie Verantwortlichen gemäß § 280 Abs. 1 BDG 1979 zu übermitteln (Übermittlung) und zu einem anderen in § 280 Abs. 2 BDG 1979 genannten Zweck, als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, zu verarbeiten (Weiterverarbeitung). Diese Ermächtigung bezieht sich, soweit zumindest einer der in Art. 9 Abs. 2 DSGVO angeführten Fälle vorliegt, auch auf besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO. Werden personenbezogene Daten und besondere Kategorien personenbezogener Daten durch einen der genannten Verantwortlichen an Dritte übermittelt, die nicht Verantwortliche im Sinne dieses Gesetzes sind (Übermittlung an Dritte), so ist diese Übermittlung an Dritte anhand ihrer jeweiligen Rechtsgrundlage zu beurteilen und zu dokumentieren. Übermitteln Verantwortliche gemäß § 280 Abs. 1 BDG 1979 personenbezogene Daten oder besondere Kategorien personenbezogener Daten im Sinne des ersten Satzes an Verantwortliche gemäß § 119h Abs. 1, so gilt dies als Übermittlung im Sinne des § 280 Abs. 1 BDG 1979.

(2) Bei einer Verarbeitung, Übermittlung oder Weiterverarbeitung gemäß Abs. 1 finden § 280 Abs. 2, 3, 5 und 6 BDG 1979, § 280a Abs. 1 bis 7 BDG 1979 und § 280b Abs. 2 bis 8 BDG 1979 mit der Maßgabe Anwendung, dass an die Stelle der Leiterinnen und Leiter der Zentralstellen die landesgesetzlich vorgesehenen zuständigen Behörden treten. Die Ermächtigung des § 280 Abs. 5 BDG 1979 gilt sinngemäß auch für die Bundesministerin oder den Bundesminister für Nachhaltigkeit und Tourismus, soweit dies zur Ausübung der ihr oder ihm übertragenen Mitwirkungsbefugnisse erforderlich ist. Zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gilt die Ermächtigung des § 280 Abs. 6 BDG 1979 sinngemäß auch für die Bundesministerin oder den Bundesminister für Nachhaltigkeit und Tourismus, soweit dies im Rahmen der Vollziehung dieses Bundesgesetzes erforderlich ist. In diesen Fällen ist die Bundesministerin oder der Bundesminister für Nachhaltigkeit und Tourismus Verantwortlicher gemäß Art. 4 Z 7 DSGVO.“

3. § 124a entfällt.

4. Dem § 127 wird folgender Abs. 65 angefügt:

„(65) § 6 Abs. 5 und § 119h samt Überschrift in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft; gleichzeitig tritt § 124a außer Kraft.“

Das Bundes-Gleichbehandlungsgesetz - B-GlBG, BGBl. Nr. 100/1993, zuletzt geändert durch die Dienstrechts-Novelle 2015, BGBl. I Nr. 65/2015, und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. In § 12 Abs. 2 wird die Wortfolge „automationsunterstützt ermittelt,“ durch die Wortfolge „mit Hilfe automatisierter Verfahren“ ersetzt.

2. In § 25 Abs. 6 wird nach dem Wort „Daten“ die Wortfolge „oder besondere Kategorien personenbezogener Daten“ eingefügt.

3. Dem § 47 wird folgender Abs. 25 angefügt:

„(25) § 12 Abs. 2 und § 25 Abs. 6 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

Das Pensionsgesetz 1965 - PG 1965, BGBl. Nr. 340/1965, zuletzt geändert durch die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, und die Dienstrechts-Novelle 2017, BGBl. I Nr. 167/2017, wird wie folgt geändert:

1. In § 1a Abs. 1 wird nach dem Wort „Einkünfte“ die Wortfolge „erforderlichenfalls zu verarbeiten und“ eingefügt.

2. In § 1a Abs. 2 wird die Wortfolge „zu übermitteln sind“ durch die Wortfolge „erforderlichenfalls zu verarbeiten und zu übermitteln sind personenbezogene“ ersetzt.

3. In § 1a Abs. 3 wird das Wort „Daten“ durch die Wortfolge „personenbezogenen Daten“ und das Wort „automationsunterstützt“ durch die Wortfolge „mit Hilfe automatisierter Verfahren“ ersetzt.

4. Die Überschrift zu § 101 lautet:

„Führung des Pensionskontos; Erhebung der personenbezogenen Daten und besonderen Kategorien personenbezogener Daten für die Zeit bis zum 31. Dezember 2004“

5. In § 101 Abs. 1 und 2 wird das Wort „Daten“ jeweils durch die Wortfolge „personenbezogenen Daten und besonderen Kategorien personenbezogener Daten“ ersetzt.

6. In § 102 Abs. 1 wird die Wortfolge „den Beamten auf dessen Verlangen über sein“ durch die Wortfolge „die Beamtin oder den Beamten auf Verlangen über das“ und das Wort „Daten“ durch die Wortfolge „personenbezogenen Daten und besonderen Kategorien personenbezogener Daten“ ersetzt.

7. In § 102 Abs. 2 wird das Wort „automationsunterstützt“ jeweils durch die Wortfolge „mit Hilfe automatisierter Verfahren“ ersetzt.

8. In § 102 Abs. 3 wird das Wort „Daten“ durch das Wort „personenbezogenen Daten und besonderen Kategorien personenbezogener Daten“ und die Wortfolge „der Beamte“ durch die Wortfolge „die Beamtin oder der Beamte“ ersetzt.

9. § 105 Abs. 5 lautet:

„(5) Die für die Beamtin oder den Beamten zuständige Dienstbehörde hat die für die Ermittlung der Kontoerstgutschrift erforderlichen personenbezogenen Daten und besonderen Kategorien personenbezogener Daten erforderlichenfalls zu verarbeiten und rechtzeitig der pensionskontoführenden Stelle zur Verfügung zu stellen. Die Verantwortung für die Richtigkeit, Vollständigkeit und rechtzeitige Übermittlung der personenbezogenen Daten und besonderen Kategorien personenbezogener Daten nach den vom Bundeskanzleramt im Einvernehmen mit der Versicherungsanstalt öffentlich Bediensteter erstellten Vorgaben liegt bei den Dienstbehörden.“

10. Dem § 109 wird folgender Abs. 83 angefügt:

„(83) § 1a Abs. 1 bis 3, die Überschrift zu § 101, § 101 Abs. 1 und 2, § 102 sowie § 105 Abs. 5 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

Das Bundestheaterpensionsgesetz - BThPG, BGBl. Nr. 159/1958, zuletzt geändert durch das Pensionsanpassungsgesetz 2018, BGBl. I Nr. 151/2017, und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. In § 1a Abs. 1 wird nach dem Wort „Einkünfte“ die Wortfolge „erforderlichenfalls zu verarbeiten und“ eingefügt.

2. In § 1a Abs. 2 wird die Wortfolge „zu übermitteln sind“ durch die Wortfolge „erforderlichenfalls zu verarbeiten und zu übermitteln sind personenbezogene“ ersetzt.

3. In § 1a Abs. 3 wird das Wort „Daten“ durch die Wortfolge „personenbezogenen Daten“ und das Wort „automationsunterstützt“ durch die Wortfolge „mit Hilfe automatisierter Verfahren“ ersetzt.

4. Die Überschrift zu § 21 lautet:

„Führung des Pensionskontos; Erhebung der personenbezogenen Daten und besonderen Kategorien personenbezogener Daten für die Zeit bis zum 31. Dezember 2004“

5. In § 21 Abs. 1 und 2 wird das Wort „Daten“ jeweils durch die Wortfolge „personenbezogenen Daten und besonderen Kategorien personenbezogener Daten“ ersetzt.

6. In § 21a Abs. 1 wird die Wortfolge „den Bundestheaterbediensteten auf dessen Verlangen über sein“ durch die Wortfolge „die Bundestheaterbedienstete oder den Bundestheaterbediensteten auf Verlangen über das“ und das Wort „Daten“ durch die Wortfolge „personenbezogenen Daten und besonderen Kategorien personenbezogener Daten“ ersetzt.

7. In § 21a Abs. 2 wird das Wort „automationsunterstützt“ jeweils durch die Wortfolge „mit Hilfe automatisierter Verfahren“ ersetzt.

8. In § 21a Abs. 3 wird das Wort „Daten“ durch die Wortfolge „personenbezogenen Daten und besonderen Kategorien personenbezogener Daten“ und die Wortfolge „der Bundestheaterbedienstete“ durch die Wortfolge „die oder der Bundestheaterbedienstete“ ersetzt.

9. Dem § 22 wird folgender Abs. 45 angefügt:

„(45) § 1a Abs. 1 bis 3, die Überschrift zu § 21, § 21 Abs. 1 und 2 sowie § 21a Abs. 1 bis 3 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

Das Bundesbahn-Pensionsgesetz - BB-PG, BGBl. I Nr. 86/2001, zuletzt geändert durch das Pensionsanpassungsgesetz 2018, BGBl. I Nr. 151/2017, und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. In § 1a Abs. 1 wird nach dem Wort „Einkünfte“ die Wortfolge „erforderlichenfalls zu verarbeiten und“ eingefügt.

2. In § 1a Abs. 2 wird die Wortfolge „zu übermitteln sind“ durch die Wortfolge „erforderlichenfalls zu verarbeiten und zu übermitteln sind personenbezogene“ ersetzt.

3. In § 1a Abs. 3 wird das Wort „Daten“ durch die Wortfolge „personenbezogenen Daten“ und das Wort „automationsunterstützt“ durch die Wortfolge „mit Hilfe automatisierter Verfahren“ ersetzt.

4. Dem § 62 wird folgender Abs. 35 angefügt:

„(35) § 1a Abs. 1 bis 3, die Überschrift zu § 68, § 68 Abs. 1 und 2 sowie § 69 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

5. Die Überschrift zu § 68 lautet:

„Führung des Pensionskontos; Erhebung der personenbezogenen Daten und besonderen Kategorien personenbezogener Daten für die Zeit bis zum 31. Dezember 2004“

6. In § 68 Abs. 1 und 2 wird das Wort „Daten“ jeweils durch die Wortfolge „personenbezogenen Daten und besonderen Kategorien personenbezogener Daten“ ersetzt.

7. In § 69 Abs. 1 wird die Wortfolge „den Beamten auf dessen Verlangen über sein“ durch die Wortfolge „die Beamtin oder den Beamten auf Verlangen über das“ und das Wort „Daten“ durch die Wortfolge „personenbezogenen Daten und besonderen Kategorien personenbezogener Daten“ ersetzt.

8. In § 69 Abs. 2 wird das Wort „automationsunterstützt“ jeweils durch die Wortfolge „mit Hilfe automatisierter Verfahren“ ersetzt.

9. In § 69 Abs. 3 wird das Wort „Daten“ durch die Wortfolge „personenbezogenen Daten und besonderen Kategorien personenbezogener Daten“ und die Wortfolge „der Beamte“ durch die Wortfolge „die Beamtin oder der Beamte“ ersetzt.

Das Bundespensionsamtübertragungs-Gesetz - BPAÜG, BGBl. I Nr. 89/2006, zuletzt geändert durch die Dienstrechts-Novelle 2015, BGBl. I Nr. 65/2015, und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Die Überschrift zu § 5 lautet:

„Erbringung von Leistungen für die Versicherungsanstalt und Datenverarbeitung“

2. Dem § 5 werden folgende Abs. 3 bis 5 angefügt:

„(3) Die Versicherungsanstalt und die Bundesministerin oder der Bundesminister für Finanzen sind als gemeinsam Verantwortliche gemäß Art. 4 Z 7 in Verbindung mit Art. 26 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (im Folgenden: DSGVO), ABl. Nr. L 119 vom 04.05.2016 S. 1, in der Fassung der Berichtigung ABl. Nr. L 314 vom 22.11.2016 S. 72, im Umfang der der Versicherungsanstalt übertragenen Wirkungsbereiche ermächtigt, die dienstrechtlichen, arbeits- und sozialrechtlichen, haushaltsrechtlichen, besoldungsrechtlichen, pensionsrechtlichen, organisationsbezogenen, ausbildungsbezogenen und sonstigen mit dem Rechtsverhältnis in unmittelbarem Zusammenhang stehenden personenbezogenen Daten von Personen, die

  1. 1. in einem Dienstverhältnis zum Bund stehen oder gestanden sind oder
  2. 2. einen öffentlich-rechtlichen Anspruch auf Leistungen vom Bund aufgrund

    a) der in § 1 dieses Bundesgesetzes genannten Bestimmungen,

    b) des § 17 Abs. 8 Z 2 des Poststrukturgesetzes (PTSG), BGBl. Nr. 201/1996,

    c) des § 52a Abs. 2 des Bundesbahngesetzes, BGBl. Nr. 825/1992,

    d) des Bundespflegegeldgesetzes (BPGG), BGBl. Nr. 110/1993, oder

    e) des Heimopferrentengesetzes (HOG), BGBl. I Nr. 69/2017,

    1. haben, hatten oder geltend machen oder
  3. 3. einen vertraglichen Anspruch auf Pensionsleistungen vom Bund haben, hatten oder geltend machen,

    im Sinne des Art. 4 Z 2 DSGVO zu verarbeiten, Verantwortlichen gemäß § 280 Abs. 1 BDG 1979 zu übermitteln (Übermittlung) und zu einem anderen in § 280 Abs. 2 BDG 1979 genannten Zweck, als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, zu verarbeiten (Weiterverarbeitung). Diese Ermächtigung bezieht sich, soweit zumindest einer der in Art. 9 Abs. 2 DSGVO angeführten Fälle vorliegt, auch auf personenbezogene Daten besonderer Kategorien gemäß Art. 9 Abs. 1 DSGVO. Werden personenbezogene Daten und besondere Kategorien personenbezogener Daten durch die Versicherungsanstalt oder die Bundesministerin oder den Bundesminister für Finanzen an Dritte übermittelt, die nicht Verantwortliche im Sinne dieses Gesetzes sind (Übermittlung an Dritte), so ist diese Übermittlung an Dritte anhand ihrer jeweiligen Rechtsgrundlage zu beurteilen und zu dokumentieren. Übermittlungen von personenbezogenen Daten oder besondere Kategorien personenbezogener Daten im Sinne des ersten Satzes zwischen der Versicherungsanstalt oder der Bundesministerin oder dem Bundesminister für Finanzen und Verantwortlichen gemäß § 280 Abs. 1 BDG 1979 gelten jeweils als Übermittlung im Sinne des § 280 Abs. 1 BDG 1979.

(4) Eine Verarbeitung, Übermittlung oder Weiterverarbeitung gemäß Abs. 3 erster Satz muss

  1. 1. zu den in § 280 Abs. 2 Z 2 BDG 1979 genannten Zwecken oder
  2. 2. zum Zwecke der Feststellung des Bestehens oder Nichtbestehens der in Abs. 3 Z 2 und 3 genannten Ansprüche oder ihrer Erfüllung

    erforderlich sein.

(5) Soweit nicht anderes bestimmt ist, finden bei einer Verarbeitung, Übermittlung oder Weiterverarbeitung gemäß Abs. 3 die §§ 280 Abs. 3 und 5 bis 7, 280a Abs. 1 bis 7 und 280b Abs. 1 bis 8 BDG 1979 mit der Maßgabe Anwendung, dass an die Stelle der Leiterinnen und Leiter der Zentralstellen die Versicherungsanstalt und die Bundesministerin oder der Bundesminister für Finanzen als gemeinsam Verantwortliche treten.“

3. Dem § 15 wird folgender Abs. 6 angefügt:

„(6) Die Überschrift zu § 5 sowie § 5 Abs. 3 bis 5 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

Das Bundes-Personalvertretungsgesetz, BGBl. Nr. 133/1967, zuletzt geändert durch die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, und die Dienstrechts-Novelle 2017, BGBl. I Nr. 167/2017, wird wie folgt geändert:

1. In § 9 Abs. 2 lit. f wird die Wortfolge „automationsunterstützten Ermittlung, Verarbeitung und Übermittlung von personenbezogenen Daten“ durch die Wortfolge „Verarbeitung oder Übermittlung von personenbezogenen Daten oder besonderen Kategorien personenbezogener Daten“ ersetzt.

2. In § 9 Abs. 2 lit. n wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt und nach dem Wort „Daten“ die Wortfolge „oder besonderen Kategorien personenbezogener Daten“ eingefügt.

3. In § 9 Abs.2 lit. o wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt und nach dem Wort „Daten“ die Wortfolge „oder besonderen Kategorien personenbezogener Daten“ eingefügt.

4. In § 9 Abs. 3 lit. i wird die Wortfolge „automationsunterstützt aufgezeichneten Dienstnehmerdaten“ durch die Wortfolge „mit Hilfe automatisierter Verfahren aufgezeichneten Daten der Bediensteten“ ersetzt.

5. § 9 Abs. 3 lit. n lautet:

„n) welche Arten von personenbezogenen Daten oder besonderen Kategorien personenbezogener Daten der Bediensteten mit Hilfe automatisierter Verfahren aufgezeichnet und welche Verarbeitungen oder Übermittlungen vorgesehen werden;“

6. In § 9 Abs. 3 lit. o wird die Wortfolge „der Datenzugriff“ durch die Wortfolge „die Datenverarbeitung“ ersetzt.

7. In § 10a Abs. 1 wird die Wortfolge „automationsunterstützt aufgezeichneten Dienstnehmerdaten“ durch die Wortfolge „mit Hilfe automatisierter Verfahren aufgezeichneten Daten der Bediensteten“ ersetzt.

8. In § 10a Abs. 3 wird die Wortfolge „automationsunterstützt aufgezeichnete Dienstnehmerdaten“ durch die Wortfolge „mit Hilfe automatisierter Verfahren aufgezeichnete Daten der Bediensteten“ ersetzt; vor dem Wort „des“ wird die Wortfolge „der oder“ eingefügt.

9. In § 14 Abs. 3 wird das Wort „automationsunterstützten“ durch das Wort „automatisierten“ ersetzt.

10. Dem § 45 wird folgender Abs. 43 angefügt:

„(43) § 9 Abs. 2 lit. f, n und o sowie Abs. 3 lit. i, n und o, § 10a Abs. 1 und 3 sowie § 14 Abs. 3 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

Das Rechtspraktikantengesetz - RPG, BGBl. Nr. 644/1987, zuletzt geändert durch die 2. Dienstrechts-Novelle 2017, BGBl. I Nr. 119/2016, und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. In § 2 Abs. 3a wird nach dem Wort „Justiz“ die Wortfolge „im Rahmen einer schriftlich dokumentierten Verarbeitung“ sowie nach dem Wort „einzuholen“ die Wortfolge „und schriftlich dokumentiert zu verarbeiten“ eingefügt; das Wort „Daten“ wird durch die Wortfolge „personenbezogenen Daten und besonderen Kategorien personenbezogener Daten“ ersetzt.

2. § 26a samt Überschrift entfällt.

3. Nach § 29 Abs. 2k wird folgender Abs. 2l eingefügt:

„(2l) § 2 Abs. 3a in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, tritt mit 25. Mai 2018 in Kraft; gleichzeitig tritt § 26a samt Überschrift außer Kraft.“

Arbeit, Soziales und Konsumentenschutz

Konsumentenschutz

Das Alternative-Streitbeilegung-Gesetz (AStG), BGBl. I Nr. 105/2015, in der Fassung der Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. § 8 Abs. 2 lautet:

„(2) AS-Stellen haben personenbezogene Daten nur insoweit zu verarbeiten, als dies für die Durchführung eines Verfahrens erforderlich ist. Die Löschung dieser Daten ist in einem Zeitraum von drei Monaten nach Ablauf von drei Jahren ab der Mitteilung des Ergebnisses eines Verfahrens vorzunehmen.“

2. Dem Text des § 31 wird die Absatzbezeichnung „(1)“ vorangestellt; folgender Abs. 2 wird angefügt:

„(2) § 8 Abs. 2 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, tritt mit 25. Mai 2018 in Kraft. § 31 Abs. 1 in der Fassung des genannten Bundesgesetzes tritt mit dem auf die Kundmachung folgenden Tag in Kraft.“

Das Produktsicherheitsgesetz 2004 (PSG 2004), BGBl. I Nr. 16/2005, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 163/2015 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. § 8 Abs. 4 lautet:

„(4) Die Zollbehörden sind - unbeschadet der Bestimmungen der Verordnung (EG) Nr. 765/2008 über die Vorschriften für die Akkreditierung und Marktüberwachung im Zusammenhang mit der Vermarktung von Produkten und zur Aufhebung der Verordnung (EWG) Nr. 339/93, ABl. Nr. L 218 vom 13.8.2008 S. 30 - verpflichtet, zum Zweck der Marktüberwachung, Risikobewertung und Konformitätsbeurteilung den zuständigen Behörden auf deren Anfrage Daten einschließlich personenbezogener Daten über den Import, Export und die Durchfuhr von Produkten zur Verfügung zu stellen.“

2. § 9 dritter Satz entfällt.

3. § 10 Abs. 1 letzter Satz lautet:

„Dies gilt insbesondere für die Meldeverfahren gemäß Art. 11 und 12 der Richtlinie 2001/95/EG sowie der Art. 22 und 23 der Verordnung (EG) Nr. 765/2008.“

4. § 10 Abs. 2 lautet:

„(2) Daten zu In-Verkehr-Bringern/In-Verkehr-Bringerinnen, die gemäß Abs. 1 übermittelt werden, können auch personenbezogen sein, sofern dies für die Identifizierung eines Produktes, seine Rückverfolgung in der Vertriebskette und die Risikobewertung erforderlich ist.“

5. § 10 Abs. 3 entfällt.

6. Dem § 34 wird folgender Abs. 4 angefügt:

„(4) § 8 Abs. 4, § 9 sowie § 10 Abs. 1 und 2 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft. § 10 Abs. 3 tritt mit Ablauf des 24. Mai 2018 außer Kraft.“

Soziales

Das Behinderteneinstellungsgesetz, BGBl. Nr. 22/1970, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 155/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. In § 16 Abs. 2, 5, 6, 7 und 8 wird das Wort „Daten“ jeweils durch die Wortfolge „personenbezogenen Daten“ ersetzt.

2. In § 19a Abs. 1 wird das Wort „Daten“ in Z 1 durch die Wortfolge „personenbezogener Daten“ und in Z 2 durch die Wortfolge „personenbezogenen Daten“ ersetzt.

3. In § 22 wird das Wort „Daten“ in Abs. 2 und Abs. 4 dritter Satz jeweils durch die Wortfolge „personenbezogenen Daten“, in Abs. 4 zweiter Satz durch die Wortfolge „Personenbezogene Daten“ und in Abs. 4 Z 2, 3, 4 und 6 jeweils durch die Wortfolge „personenbezogene Daten“ ersetzt.

4. In § 22 Abs. 4 erster Satz wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.

5. In § 22 Abs. 4 entfällt die Wortfolge „im Sinne des Datenschutzgesetzes 2000, BGBl. I Nr. 165/1999,“.

6. In § 22 Abs. 4 Z 4 lit. b wird der Ausdruck „Art.“ durch den Ausdruck „Art,“ ersetzt.

7. § 22 Abs. 4a entfällt.

8. In § 22 Abs. 5 wird das Wort „hat“ durch das Wort „haben“ und der Ausdruck „Behinderter“ durch die Wortfolge „Mensch mit Behinderung“ ersetzt.

9. Dem § 25 wird folgender Abs. 24 angefügt:

„(24) § 16 Abs. 2, 5, 6, 7 und 8, § 19a Abs. 1 Z 1 und 2, § 22 Abs. 2, 4 und 5 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft. § 22 Abs. 4a tritt mit Ablauf des 24. Mai 2018 außer Kraft.“

Das Bundesbehindertengesetz, BGBl. Nr. 283/1990, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 155/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Dem § 13c wird folgender Abs. 5 angefügt:

„(5) Der Behindertenanwalt ist zur Verarbeitung von personenbezogenen Daten im Sinne der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung - DSGVO) ermächtigt, insoweit dies zur Erfüllung der ihm gesetzlich übertragenen Aufgaben eine wesentliche Voraussetzung ist. Die in Frage kommenden personenbezogenen Datenarten sind insbesondere:

  1. 1. Name,
  2. 2. Sozialversicherungsnummer und Geburtsdatum,
  3. 3. Geschlecht,
  4. 4. Grad der Behinderung sowie
  5. 5. medizinische Gutachten.“

2. In § 13d Abs. 5 wird das Wort „Daten“ durch die Wortfolge „personenbezogenen Daten“ ersetzt.

3. In § 30 letzter Satz wird das Wort „Daten“ durch die Wortfolge „personenbezogener Daten“ ersetzt.

4. In § 52 Abs. 2 zweiter Satz wird der Begriff „Daten“ durch die Wortfolge „personenbezogenen Daten“ ersetzt.

5. In § 52 Abs. 2 zweiter Satz entfällt die Wortfolge „im Sinne des Datenschutzgesetzes 2000, BGBl. I Nr. 165/1999,“.

6. Die Überschrift zu § 53 lautet:

„Verarbeitung von Daten“

7. In § 53 Abs. 1 wird das Wort „Daten“ durch die Wortfolge „personenbezogenen Daten“ und das Wort „verwendet“ durch das Wort „verarbeitet“ ersetzt.

8. § 53 Abs. 2 entfällt.

9. In § 53 Abs. 3 wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.

10. In § 53 Abs. 3 entfällt die Wortfolge „im Sinne des Datenschutzgesetzes 2000“.

11. In § 53 Abs. 3 wird das Wort „Daten“ im zweiten Satz durch die Wortfolge „Personenbezogene Daten“ und in Z 2 und 3 jeweils durch die Wortfolge „personenbezogene Daten“ ersetzt.

12. In § 53 Abs. 3 Z 2 lit. e wird der Ausdruck „Art.“ durch den Ausdruck „Art,“ ersetzt.

13. § 53 Abs. 3a entfällt.

14. Dem § 54 wird folgender Abs. 22 angefügt:

„(22) § 13c Abs. 5, § 13d Abs. 5, § 30 letzter Satz, § 52 Abs. 2 zweiter Satz, die Überschrift zu § 53 sowie § 53 Abs. 1 und 3 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft. § 53 Abs. 2 und 3a tritt mit Ablauf des 24. Mai 2018 außer Kraft.“

Das Bundes-Behindertengleichstellungsgesetz, BGBl. I Nr. 82/2005, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 155/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Nach § 16 wird folgender § 16a samt Überschrift eingefügt:

„Datenschutzbestimmung

§ 16a. Das Bundesministerium für Arbeit, Soziales, Gesundheit und Konsumentenschutz und das Bundesamt für Soziales und Behindertenwesen sind zur Verarbeitung von personenbezogenen Daten im Sinne der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung - DSGVO) betreffend Personen, die über das BGStG beraten werden und Personen, die an einem Schlichtungsverfahren beteiligt sind, ermächtigt, insoweit dies zur Erfüllung der ihnen gesetzlich übertragenen Aufgaben (Durchführung von Schlichtungsverfahren gemäß §§ 14 bis 16 BGStG) eine wesentliche Voraussetzung ist. Personenbezogene Daten dürfen vom Bundesministerium für Arbeit, Soziales, Gesundheit und Konsumentenschutz und dem Bundesamt für Soziales und Behindertenwesen nur für Zwecke der Schlichtungsverfahren verarbeitet werden. Verpflichtungen, die sich auf Grund anderer Rechtsvorschriften ergeben, bleiben unberührt. Die in Frage kommenden Datenarten sind:

  1. 1. personenbezogene Daten betreffend eine Behinderung und
  2. 2. personenbezogene Daten und Angaben zu Schlichtungsverfahren gemäß den §§ 14 bis 16 BGStG.“

2. Dem § 19 wird folgender Abs. 12 angefügt:

„(12) § 16a samt Überschrift in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, tritt mit 25. Mai 2018 in Kraft.“

Das Bundespflegegeldgesetz, BGBl. Nr. 110/1993, zuletzt geändert durch BGBl. I Nr. 116/2016 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Dem § 21a werden folgende Abs. 5, 6 und 7 angefügt:

„(5) Das Bundesamt für Soziales und Behindertenwesen ist zur Verarbeitung von personenbezogenen Daten insoweit ermächtigt, als diese zur Vollziehung der Zuwendungen aus dem Unterstützungsfonds für Menschen mit Behinderung eine wesentliche Voraussetzung sind.

(6) Im Zuge der Vollziehung werden folgende Datenarten verarbeitet:

  1. 1. personenbezogene Daten der pflegebedürftigen Person:

    a) Name,

    b) Sozialversicherungsnummer,

    c) Geburtsdatum,

    d) Geschlecht,

    e) Vorliegen einer demenziellen Erkrankung,

    f) Pflegegeldstufe;

  2. 2. personenbezogene Daten des Zuwendungswerbers:

    a) Name,

    b) Sozialversicherungsnummer,

    c) Geburtsdatum,

    d) Geschlecht,

    e) Adresse,

    f) Verwandtschaftsverhältnis zur pflegebedürftigen Person,

    g) monatliches Nettoeinkommen,

    h) Grund für die Verhinderung an der Pflege,

    i) Dauer der Verhinderung an der Pflege,

    j) Art der Ersatzpflege,

    k) Abweisungsgrund,

    l) Sorgepflichten für unterhaltsberechtigte Angehörige,

    m) Einbringungsdatum des Ansuchens,

    n) Höhe der gewährten Zuwendung,

    o) Datum der Erledigung des Ansuchens.

(7) Das Bundesamt für Soziales und Behindertenwesen ist ermächtigt, die in Abs. 6 Z 1 angeführten Datenarten im Einzelfall aus der Anwendung Pflegegeldinformation - PFIF des Hauptverbandes der österreichischen Sozialversicherungsträger abzufragen.“

2. § 21b Abs. 7 lautet:

„(7) Im Zuge der Förderabwicklung werden folgende Datenarten verarbeitet:

  1. 1. personenbezogene Daten der pflegebedürftigen Person:

    a) Namen,

    b) Pflegegeldstufe und Änderungen der Pflegegeldstufe,

    c) Vorliegen, Wegfall und Änderung des Erschwerniszuschlages,

    d) Vorliegen und Wegfall der Mobilitätshilfe im weiteren Sinn,

    e) Vorliegen und Wegfall einer Legalzession gemäß § 13 BPGG,

    f) Krankenhausaufenthalte des Pflegegeldbeziehers, die eine Dauer von drei Monaten übersteigen,

    g) Sozialversicherungsnummer,

    h) Geburtsdatum,

    i) Kontaktdaten (Meldeadresse, Telefonnummer, E-Mailadresse),

    j) Kontodaten,

    k) Höhe des Nettoeinkommens,

    l) Angabe etwaiger Unterhaltsverpflichtungen;

  2. 2. personenbezogene Daten des Förderwerbers, sofern er nicht mit der Person des Pflegebedürftigen ident ist:

    a) Namen,

    b) Kontaktdaten (Meldeadresse, Telefonnummer, E-Mailadresse),

    c) Kontodaten,

    d) Verwandtschaftsverhältnis und/oder Vertretungsbefugnis;

  3. 3. personenbezogene Daten betreffend die Personenbetreuungskraft:

    a) Namen,

    b) Sozialversicherungsnummer,

    c) Geburtsdatum,

    d) Versicherungsstatus,

    e) Adresse.“

3. § 21b Abs. 8 lautet:

„(8) Zur Feststellung, ob eine selbstständige Personenbetreuungskraft im gesetzlichen Ausmaß (voll)versichert und im Haushalt des jeweiligen Förderungswerbers bzw. der jeweiligen Förderungswerberin angemeldet ist, wird das Bundesamt für Soziales und Behindertenwesen ermächtigt, die in Abs. 7 Z 3 genannten personenbezogenen Daten, regelmäßig und automationsunterstützt vom Hauptverband der österreichischen Sozialversicherungsträger sowie über die gemäß § 2a SMSG, BGBl. I Nr. 18/2017, geführte Kontaktdatenbank abzufragen und zu verarbeiten.“

4. § 21b Abs. 10 lautet:

„(10) Die Zugriffsberechtigung auf die nach Abs. 7 und 8 im Rahmen der Vollziehung der Förderabwicklung verarbeiteten personenbezogenen Daten, sowie auf die gemäß Abs. 9 an die Länder, den Fonds Soziales Wien und an die Pensionsversicherungsanstalt übermittelten personenbezogenen Daten wird Bediensteten des Bundesamtes für Soziales und Behindertenwesen sowie, gemäß § 2a Abs. 3 SMSG, BGBl. I Nr. 18/2017, einzelnen Bediensteten des Bundesministeriums für Arbeit, Soziales, Gesundheit und Konsumentenschutz, zur Erfüllung der mit der Förderabwicklung verbundenen Aufgaben, eingeräumt.“

5. In § 21b Abs. 11 wird die Wortfolge „verwendeten Daten“ durch die Wortfolge „verarbeiteten personenbezogenen Daten“ ersetzt.

6. § 21b Abs. 12 entfällt.

7. In § 21e Abs. 5 wird die Wortfolge „Dienstleister gemäß § 4 Z 5 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999,“ durch die Wortfolge „Auftragsverarbeiter gemäß Art. 4 Z 8 der Datenschutz-Grundverordnung“ ersetzt.

8. In § 21e Abs. 6 erster Satz wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.

9. In § 21e Abs. 6 entfällt die Wortfolge „im Sinne des DSG 2000,“.

10. In § 21e Abs. 6 Z 2 und 3 wird das Wort „Daten“ jeweils durch die Wortfolge „personenbezogene Daten“ ersetzt.

11. Die Überschrift zu § 32 lautet:

„Verarbeitung von personenbezogenen Daten“

12. In § 32 wird das Wort „Daten“ bei der ersten Erwähnung durch die Wortfolge „personenbezogenen Daten“ und bei der zweiten Erwähnung durch die Wortfolge „personenbezogene Daten“ ersetzt.

13. In § 32 entfällt die Wortfolge „zu ermitteln und“.

14. In § 33 Abs. 1 und 2 entfällt jeweils die Wortfolge „im Sinne des Datenschutzgesetzes“.

15. In § 33 wird das Wort „Daten“ in Abs. 1 bei der zweiten Erwähnung, in Abs. 2 und in Abs. 6 jeweils durch die Wortfolge „personenbezogene Daten“ und in Abs. 1 bei der ersten Erwähnung, in Abs. 3 und in Abs. 5 jeweils durch die Wortfolge „personenbezogenen Daten“ ersetzt.

16. In § 33 Abs. 4 wird die Wortfolge „Dienstleister gemäß § 4 Z 5 DSG 2000“ durch die Wortfolge „Auftragsverarbeiter gemäß Art. 4 Z 8 der Datenschutz-Grundverordnung“ ersetzt.

17. Dem § 33a werden folgende Abs. 3 und 4 angefügt:

„(3) Die Sozialversicherungsanstalt der Bauern ist ermächtigt, die für die Durchführung der Unterstützungsgespräche nach Abs. 2 notwendigen, personenbezogenen Daten zu verarbeiten. Folgende Datenarten werden dabei verarbeitet:

  1. 1. personenbezogene Daten der pflegebedürftigen Person:

    a) Sozialversicherungsnummer,

    b) Pflegegeldstufe,

    c) Geburtsdatum,

    d) Geschlecht,

    e) Dauer der Pflege durch den Angehörigen,

    f) Dauer des Pflegegeldbezugs;

  2. 2. personenbezogene Daten der Person, mit der das Unterstützungsgespräch geführt wird:

    a) Name,

    b) Sozialversicherungsnummer,

    c) Geburtsdatum,

    d) Geschlecht,

    e) Adresse (Bundesland),

    f) Datum und Ort des Gesprächs,

    g) angegebene psychische Belastungen,

    h) Objektressourcen,

    i) Lebensbedingungen und Umstände,

    j) persönliche Ressourcen,

    k) Energieressourcen,

    l) Ziele zur Entlastung der Situation,

    m) Empfehlungen durch Berater.

(4) Die Sozialversicherungsanstalt der Bauern ist verpflichtet, die in Abs. 3 angeführten personenbezogenen Daten im Einzelfall der Anwendung Pflegegeldinformation - PFIF des Hauptverbandes der österreichischen Sozialversicherungsträger zur Selektionsmöglichkeit für weitere Qualitätssicherungsmaßnahmen und zur Besorgung der Statistik elektronisch zu übermitteln.“

18. In § 45 wird das Wort „Daten“ jeweils durch die Wortfolge „personenbezogenen Daten“ und die Wortfolge „von den Bundesämtern für Soziales und Behindertenwesen“ durch die Wortfolge „vom Bundesamt für Soziales und Behindertenwesen“ ersetzt.

19. In § 45 wird vor dem Wort „Ämtern“ die Wortfolge „von den“ eingefügt.

20. Dem § 49 wird folgender Abs. 26 angefügt:

„(26) § 21a Abs. 5, 6 und 7, § 21b Abs. 7, 8, 10 und 11, § 21e Abs. 5 und 6, § 32 samt Überschrift, § 33, § 33a Abs. 3 und 4 sowie § 45 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft. § 21b Abs. 12 tritt mit Ablauf des 24. Mai 2018 außer Kraft.“

Das Ehrengaben- und Hilfsfondsgesetz, BGBl. Nr. 197/1988, zuletzt geändert durch das Bundesgesetz BGBl. Nr. 757/1996 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. In § 13 letzter Satz wird das Wort „Daten“ durch die Wortfolge „personenbezogener Daten“ ersetzt.

2. In § 14 Abs. 2 wird das Wort „Daten“ durch die Wortfolge „personenbezogenen Daten“ ersetzt.

3. Nach § 14 wird folgender § 15 eingefügt:

§ 15. § 13 letzter Satz und § 14 Abs. 2 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

Das Heeresentschädigungsgesetz, BGBl. I Nr. 162/2015, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 18/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Die Überschrift zu § 5 lautet:

„Mitwirkungspflicht und Datenverarbeitung“

2. In § 5 Abs. 2 erster Satz entfällt die Wortfolge „im Sinne des Datenschutzgesetzes“.

3. In § 5 Abs. 2 wird die Wortfolge „das sind Daten“ durch die Wortfolge „das sind personenbezogene Daten“ ersetzt.

4. In § 5 wird das Wort „Daten“ in Abs. 2 und 4 jeweils durch die Wortfolge „personenbezogenen Daten“ und in Abs. 3 Z 2 bis 4 jeweils durch die Wortfolge „personenbezogene Daten“ ersetzt.

5. § 5 Abs. 2 letzter Satz entfällt.

6. In § 5 Abs. 5 wird das Wort „Zustimmung“ durch das Wort „Einwilligung“ ersetzt.

7. § 6 lautet:

§ 6. Die Allgemeine Unfallversicherungsanstalt und das Bundesamt für Soziales und Behindertenwesen, soweit es Aufgaben nach dem Übergangsrecht zu vollziehen hat, sind ermächtigt, die personenbezogenen Daten von Anspruchsberechtigten oder Anspruchswerbern nach diesem Bundesgesetz betreffend Stammdaten, Versicherungsnummer, Art und Einschätzung der Gesundheitsschädigung, das sind personenbezogene Daten aus ärztlichen Befunden und Sachverständigengutachten, sowie Art und Höhe von Einkünften zur Feststellung der Zugehörigkeit zum anspruchsberechtigten Personenkreis und der Gebührlichkeit der Leistungen sowie die Durchsetzung von Regressansprüchen nach diesem Bundesgesetz insoweit zu verarbeiten, als dies zur Erfüllung der ihnen gesetzlich übertragenen Aufgaben eine wesentliche Voraussetzung ist.“

8. Dem § 46 wird folgender Abs. 3 angefügt:

„(3) Die Überschrift zu § 5, § 5 Abs. 2, 3 Z 2 bis 4, Abs. 4 und 5 sowie § 6 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

Das Heimopferrentengesetz, BGBl. I Nr. 69/2017, in der Fassung des Bundesgesetzes BGBl. I Nr. 152/2017 und der Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Die Überschrift zu § 11 lautet:

„Mitwirkung und Datenverarbeitung“

2. In § 11 Abs. 4 Z 2 lit. d und Z 5 entfällt jeweils der Klammerausdruck „(sensible Daten nach § 4 Z 2 DSG 2000)“.

3. In § 11 wird das Wort „Daten“ bei der zweiten Erwähnung in Abs. 1 und in Abs. 3 jeweils durch die Wortfolge „personenbezogenen Daten“ und bei der ersten Erwähnung in Abs. 1 und in Abs. 4 Z 2 bis 5 jeweils durch die Wortfolge „personenbezogene Daten“ ersetzt.

4. § 12 lautet:

§ 12. Die Entscheidungsträger sind ermächtigt, die personenbezogenen Daten gemäß § 11 Abs. 4 insoweit zu verarbeiten, als dies zur Erfüllung der ihnen gesetzlich übertragenen Aufgaben eine wesentliche Voraussetzung ist.“

5. Dem § 20 wird folgender Abs. 4 angefügt:

„(4) Die Überschrift zu § 11, § 11 Abs. 1, 3 und 4 Z 2 bis 5 sowie § 12 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

Das Impfschadengesetz, BGBl. Nr. 371/1973, zuletzt geändert durch das das Bundesgesetz BGBl. I Nr. 152/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. In § 3 Abs. 3 entfällt der Ausdruck „87a Abs. 1 bis 3, 87b,“.

2. Dem § 3 Abs. 3 wird folgender Satz angefügt:

„Die §§ 5 und 6 des Heeresentschädigungsgesetzes, BGBl. I Nr. 162/2015, sind sinngemäß mit der Maßgabe anzuwenden, dass an die Stelle der Allgemeinen Unfallversicherungsanstalt das Bundesamt für Soziales und Behindertenwesen tritt und die Mitwirkungspflicht sich nicht auf die militärischen Dienststellen bezieht.“

3. Dem § 9 wird folgender Abs. 9 angefügt:

„(9) § 3 Abs. 3 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, tritt mit 25. Mai 2018 in Kraft.“

Das Kriegsgefangenenentschädigungsgesetz, BGBl. I Nr. 142/2000, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 18/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Die Überschrift zu § 17 lautet:

„Verarbeitung von personenbezogenen Daten“

2. In § 17 wird das Wort „Daten“ durch die Wortfolge „personenbezogenen Daten“ ersetzt.

3. In § 17 entfällt die Wortfolge „zu ermitteln und“.

4. In § 18 wird das Wort „Daten“ bei der ersten Erwähnung in Abs. 1 durch die Wortfolge „personenbezogene Daten“ und bei der zweiten Erwähnung in Abs. 1 und in Abs. 2 jeweils durch die Wortfolge „personenbezogenen Daten“ ersetzt.

5. In § 18 Abs. 1 entfällt die Wortfolge „im Sinne des Datenschutzgesetzes“.

6. Dem § 23 wird folgender Abs. 10 angefügt:

„(10) § 17 samt Überschrift und § 18 Abs. 1 und 2 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

Das Kriegsopferversorgungsgesetz 1957, BGBl. I Nr. 152/1957, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 152/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. In § 91a wird das Wort „Daten“ jeweils durch die Wortfolge „personenbezogenen Daten“ ersetzt.

2. § 91b lautet:

§ 91b. Die zur Vollziehung dieses Bundesgesetzes zuständigen Behörden sind ermächtigt, die personenbezogenen Daten von Anspruchsberechtigten oder Anspruchswerbern nach diesem Bundesgesetz insbesondere betreffend Generalien, Versicherungsnummer, Art und Einschätzung der Gesundheitsschädigung, das sind personenbezogene Daten aus ärztlichen Befunden und Sachverständigengutachten, sowie Art und Höhe von Einkünften zur Feststellung der Zugehörigkeit zum anspruchsberechtigten Personenkreis und der Gebührlichkeit der Leistungen nach diesem Bundesgesetz insoweit zu verarbeiten, als dies zur Erfüllung der ihnen gesetzlich übertragenen Aufgaben eine wesentliche Voraussetzung ist. Die BRZ GmbH hat als Auftragsverarbeiter gemäß Art. 4 Z 8 der Datenschutz-Grundverordnung bei der Verarbeitung und dem Vollzug des Gesetzes entsprechend mitzuwirken.“

3. In § 93 Abs. 2 wird das Wort „Daten“ in der Z 1 durch die Wortfolge „personenbezogener Daten“ und in der Z 2 durch die Wortfolge „personenbezogenen Daten“ ersetzt.

4. Dem § 115 wird folgender Abs. 17 angefügt:

„(17) § 91a, § 91b und § 93 Abs. 2 Z 1 und 2 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

Das Sozialministeriumservicegesetz, BGBl. I Nr. 150/2002, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 18/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. In § 2a Abs. 1 und 4 wird das Wort „verwenden“ jeweils durch das Wort „verarbeiten“ ersetzt.

2. In § 2a Abs. 2, Abs. 3 zweiter und dritter Satz, Abs. 4 und Abs. 5 wird das Wort „Daten“ jeweils durch die Wortfolge „personenbezogenen Daten“ ersetzt.

3. § 2a Abs. 3 vierter Satz entfällt.

4. In § 2a Abs. 3 wird das Wort „Auftraggeber“ durch das Wort „Verantwortlicher“ ersetzt.

5. § 2a Abs. 3 fünfter Satz lautet:

„Das Bundesamt für Soziales und Behindertenwesen ist ermächtigt, soweit gemäß Abs. 4 gesetzlich erforderlich und soweit es sich dabei nicht um besondere Kategorien personenbezogener Daten nach Art. 9 Abs. 1 der Datenschutz-Grundverordnung handelt, aus der nachstehenden Liste der Datenarten die jeweils in Betracht kommenden personenbezogenen Daten zu den in Abs. 2 angeführten betroffenen Personen, Rechtsträgern und Unternehmen in der Kontaktdatenbank zu verarbeiten.“

6. In § 2a Abs. 4 wird die Wortfolge „des Heeresversorgungsgesetzes, BGBl. Nr. 27/1964“ durch die Wortfolge „des Heeresentschädigungsgesetzes, BGBl. I Nr. 162/2015“, ersetzt.

7. In § 2a Abs. 4 wird nach der Wortfolge „des Kriegsgefangenenentschädigungsgesetzes, BGBl. I Nr. 142/2000,“ die Wortfolge „des Heimopferrentengesetzes, BGBl. I Nr. 69/2017, des Conterganhilfeleistungsgesetzes, BGBl. I Nr. 57/2015,“ eingefügt.

8. § 2a Abs. 5 letzter Satz lautet:

„Die betroffenen Personen und Unternehmen werden gemäß Art. 13 der Datenschutz-Grundverordnung über den Datenabgleich mit dem zentralen Melderegister, die Nutzung des Unternehmensregisters für Zwecke der Verwaltung und den Betrieb der Kontaktdatenbank vom Bundesamt für Soziales und Behindertenwesen informiert.“

9. Dem § 10 wird folgender Abs. 9 angefügt:

„(9) § 2a Abs. 1 bis 5 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, tritt mit 25. Mai 2018 in Kraft.“

Das Verbrechensopfergesetz, BGBl. Nr. 288/1972, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 152/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. § 9 Abs. 5 lautet:

„(5) Die zur Vollziehung dieses Bundesgesetzes zuständigen Behörden sind ermächtigt, die personenbezogenen Daten von Anspruchsberechtigten oder Anspruchswerbern nach diesem Bundesgesetz insbesondere betreffend Generalien, Versicherungsnummer, Art und Einschätzung der Gesundheitsschädigung, das sind personenbezogene Daten aus ärztlichen Befunden und Sachverständigengutachten, sowie Art und Höhe von Einkünften zur Feststellung der Zugehörigkeit zum anspruchsberechtigten Personenkreis und der Gebührlichkeit der Leistungen nach diesem Bundesgesetz insoweit zu verarbeiten, als dies zur Erfüllung der ihnen gesetzlich übertragenen Aufgaben eine wesentliche Voraussetzung ist. Die BRZ GmbH hat als Auftragsverarbeiter gemäß Art. 4 Z 8 der Datenschutz-Grundverordnung bei der Verarbeitung und dem Vollzug des Gesetzes entsprechend mitzuwirken.“

2. In § 9c Abs. 2 wird das Wort „Daten“ durch die Wortfolge „personenbezogener Daten“ ersetzt.

3. Dem § 16 wird folgender Abs. 20 angefügt:

„(20) § 9 Abs. 5 und § 9c Abs. 2 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

Arbeit

Das Arbeitsmarktservicegesetz (AMSG), BGBl. Nr. 313/1994, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 31/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Im § 25 wird in Abs. 1 die Bezeichnung „Bundesministerium für Arbeit, Soziales und Konsumenten-schutz“ durch die Bezeichnung „Bundesministerium für Arbeit, Soziales, Gesundheit und Konsumentenschutz“ ersetzt; die Abs. 2 bis 8 werden durch folgende Abs. 2 bis 11 ersetzt:

„(2) Die vom Arbeitsmarktservice oder vom Bundesministerium für Arbeit, Soziales, Gesundheit und Konsumentenschutz verarbeiteten Daten gemäß Abs. 1, mit Ausnahme von Gesundheitsdaten gemäß Abs. 1 Z 4, dürfen anderen Behörden, Gerichten, Trägern der Sozialversicherung und der Bundesanstalt Statistik Österreich im Wege der automationsunterstützten Datenverarbeitung offen gelegt werden, soweit die entsprechenden Daten für die Vollziehung der jeweiligen gesetzlich übertragenen Aufgaben eine wesentliche Voraussetzung bilden. Andere Behörden, Gerichte und die Träger der Sozialversicherung dürfen von ihnen verarbeitete Daten gemäß Abs. 1, mit Ausnahme von Gesundheitsdaten gemäß Abs. 1 Z 4, dem Arbeitsmarktservice und dem Bundesministerium für Arbeit, Soziales, Gesundheit und Konsumentenschutz im Wege der automationsunterstützten Datenverarbeitung offen legen, soweit diese Daten für die Vollziehung der dem Arbeitsmarktservice und dem Bundesministerium für Arbeit, Soziales, Gesundheit und Konsumentenschutz gesetzlich übertragenen Aufgaben eine wesentliche Voraussetzung bilden. Von den Trägern der Sozialversicherung übermittelte Daten gemäß Abs. 1 Z 9 dürfen vom Arbeitsmarktservice und vom Bundesministerium für Arbeit, Soziales, Gesundheit und Konsumentenschutz personenbezogen für Zwecke der nachhaltigen Arbeitsmarktintegration dieser Personengruppe verarbeitet werden.

(3) Die vom Arbeitsmarktservice verarbeiteten Daten gemäß Abs. 1 Z 1 dürfen den Kammern für Arbeiter und Angestellte und den Landarbeiterkammern im Wege der automationsunterstützten Datenverarbeitung offen gelegt werden, soweit die entsprechenden Daten zum Zweck der Erfassung der wahlberechtigten Arbeitslosen benötigt werden (§ 34 Abs. 2 des Arbeiterkammergesetzes 1992, BGBl. Nr. 626/1991, und entsprechende landesgesetzliche Regelungen).

(4) Die vom Arbeitsmarktservice verarbeiteten Daten gemäß Abs. 1 dürfen an die Bundesrechenzentrum GmbH und an Einrichtungen, denen Aufgaben des Arbeitsmarktservice übertragen sind (§ 30 Abs. 3 und § 32 Abs. 3), im Rahmen der von diesen zu erbringenden Dienstleistungen im Wege der automationsunterstützten Datenverarbeitung übermittelt werden.

(5) Das Arbeitsmarktservice und das Bundesministerium für Arbeit, Soziales, Gesundheit und Konsumentenschutz dürfen die von ihnen verarbeiteten Daten gemäß Abs. 1, mit Ausnahme von Gesundheitsdaten gemäß Abs. 1 Z 4, an beauftragte Rechtsträger im Wege der automationsunterstützten Datenverarbeitung übermitteln, soweit die entsprechenden Daten eine unabdingbare Voraussetzung für die Erfüllung eines zur Beurteilung der Dienstleistungen, Beihilfen und sonstigen finanziellen Leistungen des Arbeitsmarktservice vergebenen Forschungsauftrages sind. Für im öffentlichen Interesse liegende wissenschaftliche und statistische Untersuchungen dürfen das Bundesministerium für Arbeit, Soziales, Gesundheit und Konsumentenschutz und das Arbeitsmarktservice die dafür erforderlichen Daten gemäß Abs. 1 (ausgenommen Z 1 lit. a und e bis h), verknüpft mit dem verschlüsselten bPK AS, der Bundesanstalt Statistik Österreich zum Zweck der Zusammenführung mit indirekt personenbezogenen Daten von anderen Behörden oder Sozialversicherungsträgern oder bei der Bundesanstalt vorhandenen Daten der Erwerbsbevölkerung übermitteln. Ebenso dürfen diese anderen Behörden oder Sozialversicherungsträger nach gesetzlichen Vorschriften verarbeitete Daten des eigenen staatlichen Tätigkeitsbereichs, verknüpft mit dem verschlüsselten bPK AS, der Bundesanstalt übermitteln. Eine Rückübermittlung zusammengeführter Daten oder die Ermöglichung der Wiederherstellung eines direkten Personenbezuges ist unzulässig. Die Bundesanstalt erstellt die wissenschaftlichen oder statistischen Auswertungen nach Beauftragung durch den Bundesminister für Arbeit, Soziales, Gesundheit und Konsumentenschutz. Die Bundesanstalt erbringt ihre Leistungen nach diesem Bundesgesetz gegen Kostenersatz gemäß § 32 Abs. 4 Z 2 des Bundesstatistikgesetzes 2000. Die zusammengeführten Daten sind, sobald sie für den Zweck der Untersuchung nicht mehr benötigt werden, spätestens nach drei Jahren, zu löschen.

(6) Die Bundesanstalt Statistik Österreich darf von ihr verarbeitete Stammdaten der Arbeitgeber gemäß Abs. 1 Z 6 und Daten über Ausbildungen gemäß Abs. 1 Z 2 lit. b und Z 7 lit. b dem Arbeitsmarktservice und dem Bundesministerium für Arbeit, Soziales, Gesundheit und Konsumentenschutz im Wege der automationsunterstützten Datenverarbeitung offenlegen, soweit diese Daten für Zwecke in ihren gesetzlichen Aufgabenbereich fallender wissenschaftlicher oder arbeitsmarktstatistischer Untersuchungen, die keine personenbezogenen Ergebnisse zum Ziel haben (§ 7 DSG), eine wesentliche Voraussetzung bilden.

(7) Sofern dies für die Erfüllung der gesetzlichen Aufgaben erforderlich ist, dürfen Gesundheitsdaten (Abs. 1 Z 4) vom Arbeitsmarktservice gegenüber den zuständigen Trägern der Sozialversicherung, dem Sozialministeriumservice, den zuständigen Trägern der Sozialhilfe und Einrichtungen, denen Aufgaben des Arbeitsmarktservice übertragen sind (§ 30 Abs. 3 und § 32 Abs. 3) sowie von diesen gegenüber dem Arbeitsmarktservice offen gelegt werden.

(8) Arbeitgebern dürfen ausschließlich solche Daten gemäß Abs. 1 offen gelegt werden, die für die Begründung eines Arbeitsverhältnisses und die Beurteilung der beruflichen Eignung der Arbeitsuchenden benötigt werden. Gesundheitsdaten dürfen Arbeitgebern nicht offen gelegt werden.

(9) Die Daten gemäß Abs. 1 sind sieben Jahre nach Beendigung des jeweiligen Geschäftsfalles aufzubewahren. Die Aufbewahrungsfrist verlängert sich um Zeiträume, in denen die Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen weiterhin benötigt werden oder andere rechtliche Vorschriften längere Fristen vorsehen. Die Löschung von Daten ist aus wirtschaftlichen und technischen Gründen auf ein oder zwei Termine im Jahr zu konzentrieren. Bis dahin besteht kein Anspruch auf vorzeitige Löschung.

(10) Das Arbeitsmarktservice hat unter Beachtung der wirtschaftlichen Vertretbarkeit und des Standes der Technik ausreichende Vorkehrungen für die Gewährleistung der Datensicherheit im Sinne der Art. 24, 25 und 32 der Verordnung (EU) Nr. 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, (im Folgenden: DSGVO) und des § 6 DSG zu treffen. Insbesondere sind Erfassungen oder Änderungen personenbezogener Daten nur durch die jeweils zuständigen Organisationseinheiten (Mitarbeiterinnen, Mitarbeiter) zulässig. Bei der Übermittlung personenbezogener Daten an Dritte ist durch technische oder organisatorische Maßnahmen sicherzustellen, dass nur die vorgesehenen Empfängerinnen und Empfänger Zugriff auf die Daten erlangen. Zugriffs- wie auch Leserechte sind nach den Aufgaben (Rollen) der jeweiligen Organisationseinheiten und Bediensteten zu gestalten. Der Zugriff auf personenbezogene Daten sowie jede Übermittlung von Gesundheitsdaten ist zu protokollieren. Protokolldaten dürfen nicht personenbezogen verwendet werden, außer dies ist zur Durchsetzung oder Abwehr rechtlich geltend gemachter Ansprüche, zur Sicherstellung der rechtmäßigen Verwendung der Datenverarbeitung oder aus technischen Gründen notwendig.

(11) Die auf Grundlage der Abs. 1 bis 10, des § 69 AlVG sowie der §§ 27 und 27a AuslBG vorzunehmenden Datenverarbeitungen erfüllen die Voraussetzungen des Art. 35 Abs. 10 DSGVO für den Entfall der Datenschutz-Folgenabschätzung.“

2. Dem § 78 wird folgender Abs. 35 angefügt:

„(35) § 25 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, tritt mit 25. Mai 2018 in Kraft.“

Das IEF-Service-GmbH-Gesetz (IEFG), BGBl. I Nr. 88/2001, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 71/2013 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. § 19 samt Überschrift lautet:

„Datenverarbeitung

§ 19. (1) Die IEF-Service GmbH und ihre Geschäftsstellen sind zur Verarbeitung folgender personenbezogener Daten ermächtigt, soweit dies für die Vollziehung gesetzlich übertragener Aufgaben erforderlich ist:

  1. 1. Stammdaten von Anspruchsberechtigten und Schuldnern:

    a) Namen (Vor- und Familiennamen),

    b) Geschlecht,

    c) Sozialversicherungsnummer und Geburtsdatum,

    d) Wohnadresse,

    e) Kontaktdaten (wie E-Mail-Adresse und Telefonnummer),

    f) Bankverbindungen,

    g) Daten von Vertretern (soweit gegeben);

  2. 2. sonstige Daten von Anspruchsberechtigten und Schuldnern:

    a) Beschäftigungs- und Lohnverrechnungsdaten,

    b) Daten über Vorschusszahlungen vom Arbeitsmarktservice gemäß § 16 Abs. 2 und 4 AlVG,

    c) Daten von Exekutionsgläubigern und deren Vertretern (soweit vorhanden) einschließlich deren Forderungen (Rang, Höhe),

    d) Daten von Unterhaltsberechtigten,

    e) Daten zu Eigentumsverhältnissen an Immobilien;

  3. 3. Daten über Straftatbestände gemäß § 11 Abs. 3 IESG;
  4. 4. Stammdaten von Arbeitgebern, deren Vertretern (soweit vorhanden) und von Insolvenzverwaltern:

    a) Firmen- und Betriebsnamen,

    b) Firmen- und Betriebssitz,

    c) Betriebsinhaber und verantwortliche Mitglieder der Geschäftsführung,

    d) Branchenzugehörigkeit,

    e) Betriebsgegenstand,

    f) Betriebsgröße,

    g) Anzahl und Struktur der Beschäftigten,

    h) Dienstgeberkontonummer und Unternehmenskennzahl,

    i) Kontaktdaten (wie E-Mail-Adressen und Telefonnummern),

    j) Bankverbindungen;

  5. 5. Daten gemäß § 5 Abs. 2 und § 8 Abs. 4 des Sozialbetrugsbekämpfungsgesetzes (SBBG), BGBl. I Nr. 113/2015.

(2) Die Daten gemäß Abs. 1 sind sieben Jahre aufzubewahren. Die Frist beginnt mit Ende des Kalenderjahres, in dem die Betreibung der in einem Verfahren gemäß § 1 Abs. 1 übergegangenen Ansprüche durch die IEF-Service GmbH beendet wurde. Sind keine Ansprüche übergegangen oder ist zum im zweiten Satz genannten Zeitpunkt über zugehörige Ansprüche noch nicht vollumfänglich abgesprochen, so beginnt diese Frist für alle in einem Verfahren gemäß § 1 Abs. 1 verarbeiteten Daten mit Ende des Kalenderjahres, in dem über den letzten dieser Ansprüche rechtskräftig abgesprochen wurde. Die Aufbewahrungsfrist verlängert sich um Zeiträume, in denen die Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen weiterhin benötigt werden oder andere gesetzliche Bestimmungen längere Fristen vorsehen. Die Löschung von Daten ist aus wirtschaftlichen und technischen Gründen auf ein oder zwei Termine im Jahr zu konzentrieren. Bis dahin besteht kein Anspruch auf vorzeitige Löschung.

(3) Die IEF-Service GmbH hat unter Beachtung der wirtschaftlichen Vertretbarkeit und des Standes der Technik ausreichende Vorkehrungen für die Gewährleistung der Datensicherheit im Sinne der Art. 24, 25 und 32 der Verordnung (EU) Nr. 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, (im Folgenden: DSGVO) und des § 6 DSG zu treffen. Insbesondere sind Erfassungen oder Änderungen personenbezogener Daten nur durch die jeweils zuständigen Organisationseinheiten (Mitarbeiterinnen, Mitarbeiter) zulässig. Bei der Offenlegung personenbezogener Daten von oder gegenüber Dritten (§ 14 IESG) ist durch technische oder organisatorische Maßnahmen sicherzustellen, dass nur die vorgesehenen Empfängerinnen und Empfänger Zugriff auf die Daten erlangen. Zugriffs- wie auch Leserechte sind nach den Aufgaben (Rollen) der jeweiligen Organisationseinheiten und Bediensteten zu gestalten.

(4) Der Zugriff auf personenbezogene Daten der Datenverarbeitung zur Erstellung von Bescheiden und der Geltendmachung der nach dem IESG übergegangenen Forderungen ist zu protokollieren.

(5) Die auf Grundlage der Abs. 1 bis 4 vorzunehmenden Datenverarbeitungen erfüllen die Voraussetzungen des Art. 35 Abs. 10 DSGVO für den Entfall der Datenschutz-Folgenabschätzung.

(6) Die IEF-Service GmbH ist Verantwortliche des öffentlichen Bereiches gemäß § 26 Abs. 1 Z 2 DSG und öffentliche Stelle im Sinne des § 30 Abs. 5 DSG.“

2. Nach § 31 wird folgender § 32 samt Überschrift angefügt:

„Inkrafttreten der Novelle BGBl. I Nr. 32/2018

§ 32. § 19 samt Überschrift in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, tritt mit 25. Mai 2018 in Kraft.“

Das Insolvenz-Entgeltsicherungsgesetz (IESG), BGBl. Nr. 324/1977, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 154/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. § 5 Abs. 5 entfällt.

2. § 14 Abs. 4 lautet:

„(4) Der Hauptverband der österreichischen Sozialversicherungsträger ist verpflichtet, auf automationsunterstütztem Wege gespeicherte Daten (§ 31 Abs. 4 Z 3 ASVG) über die Versicherungszeiten, Beitragsgrundlagen, Qualifikationen und Dienstgeber von natürlichen Personen der IEF-Service GmbH und deren Geschäftsstellen, den Gerichten und dem Bundesministerium für Arbeit, Soziales, Gesundheit und Konsumentenschutz offen zu legen, soweit dies für die Vollziehung der diesen Stellen jeweils gesetzlich übertragenen Aufgaben erforderlich ist. Für Zwecke der Prüfung des Vorliegens von Betriebsübergängen (§ 3 AVRAG) und des Verdachts auf Sozialbetrug sind vom Hauptverband der österreichischen Sozialversicherungsträger auf automationsunterstütztem Wege auch die zu bestimmten Stichtagen jeweils beschäftigten Personen je Dienstgeber offen zu legen.“

3. Nach § 35 wird folgender § 36 samt Überschrift angefügt:

„Inkrafttreten der Novelle BGBl. I Nr. 32/2018

§ 36. § 14 Abs. 4 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, tritt mit 25. Mai 2018 in Kraft. § 5 Abs. 5 tritt mit Ablauf des 24. Mai 2018 außer Kraft.“

Das Bauarbeiter-Urlaubs- und Abfertigungsgesetz - BUAG, BGBl. Nr. 414/1972, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 114/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. In § 31a Abs. 2 wird die Wortfolge „ist ermächtigt,“ durch das Wort „hat“ ersetzt.

2. In § 31a Abs. 4 wird die Wortfolge „Datenschutzrechtlicher Auftraggeber der Baustellendatenbank gemäß § 4 Z 4 Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999“ durch die Wortfolge „Verantwortlicher im Sinne des Art. 4 Z 7 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1,“ ersetzt.

3. § 31a Abs. 5 lautet:

„(5) Die Urlaubs- und Abfertigungskasse hat zur Erstattung der Meldungen gemäß Abs. 1 Z 1 und 2 eine Webanwendung zur Verfügung zu stellen.“

4. In § 33g Abs. 1 wird der Verweis „1a“ durch den Verweis „2a“ ersetzt.

5. In § 33g Abs. 2 letzter Satz wird der Verweis „1a“ durch den Verweis „2“ ersetzt.

6. Dem § 40 wird folgender Abs. 35 angefügt:

„(35) § 31a Abs. 2, 4 und 5 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, tritt mit 25. Mai 2018 in Kraft. § 33g Abs. 1 und 2 letzter Satz in der Fassung des genannten Bundesgesetzes tritt mit dem auf die Kundmachung folgenden Tag in Kraft.“

Das Lohn- und Sozialdumping-Bekämpfungsgesetz, BGBl. I Nr. 44/2016, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 64/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Im § 11 Abs. 2 wird die Wortfolge „Dienstleisters im Sinne des § 4 Z 5 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999,“ durch die Wortfolge „Auftragsverarbeiters im Sinne von Art. 4 Z 8 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, (im Folgenden: DSGVO)“ ersetzt.

2. Im § 11 Abs. 3 wird die Wortfolge „Auftraggebers im Sinne des § 4 Z 4 DSG 2000“ durch die Wortfolge „Verantwortlichen im Sinne von Art. 4 Z 7 DSGVO aus“ ersetzt.

3. § 11 Abs. 4 erster Satz entfällt.

4. Dem § 72 wird folgender Abs. 5 angefügt:

„(5) § 11 Abs. 2 bis 4 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, tritt mit 25. Mai 2018 in Kraft.“

Das Sozialbetrugsbekämpfungsgesetz, BGBl. I Nr. 113/2015, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 64/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Die Überschrift zu § 5 lautet:

„Sozialbetrugsdatenbank - Datenaustausch“

2. § 5 Abs. 3 und 4 lautet:

„(3) Die Bundesrechenzentrum GmbH wird mit dem Betrieb der Datenbank gemäß Abs. 2 betraut. Diese gilt als Auftragsverarbeiter im Sinne von Art. 4 Z 8 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, (im Folgenden: DSGVO) sowie im Sinne des § 36 Abs. 2 Z 9 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999. Die Datenbank ist derart auszugestalten, dass eine Weitergabe von Daten gemäß Abs. 2 auf konkrete Kooperationsstellen und Staatsanwaltschaften beschränkt werden kann und den Anforderungen der Art. 24, 25 und 32 DSGVO sowie den §§ 50 und 54 DSG entspricht.

(4) Der Zeitpunkt der Aufnahme der Datenbank gemäß Abs. 2 sowie Näheres über die Vorgangsweise bei der in den Abs. 1, 2, 5 und 7 vorgesehenen Verarbeitung von Daten in Hinblick auf die für die jeweilige Verarbeitung notwendigen Protokollierungen und Datensicherheitsmaßnahmen sind vom Bundesminister für Finanzen durch Verordnung festzulegen. Für die Verarbeitung von Daten gemäß den Abs. 1, 2, 5 und 7 hat die Verordnung Regelungen im Sinne der Art. 24, 25 und 32 DSGVO und der §§ 50 und 54 DSG, insbesondere über Protokollierungen und Datensicherheitsmaßnahmen vorzusehen.“

3. In § 5 erhält Abs. 6 die Absatzbezeichnung „(7)“; nach Abs. 5 wird folgender Abs. 6 eingefügt:

„(6) Die Kooperationsstellen und die Staatsanwaltschaften sind für die Datenbank gemeinsam Verantwortliche im Sinne des Art. 26 DSGVO und des § 47 DSG. Die Pflichten zur Wahrung der Betroffenenrechte treffen jene Einrichtung, die die Ermittlungen führt, werden solche nicht geführt diejenige, die den Fall in der Datenbank angelegt hat. Ab Anhängigkeit des Strafverfahrens (§ 1 Abs. 2 StPO) ist nach den Bestimmungen der StPO vorzugehen. Für die Datenbank nimmt das Bundesministerium für Finanzen die sonstigen Pflichten des Verantwortlichen unbeschadet der Haftungsbestimmungen des Art. 82 DSGVO und des § 29 DSG wahr.“

4. Dem § 8 Abs. 10 wird folgender Satz angefügt:

„Veröffentlichungen, die sich auf natürliche Personen beziehen, sind nach Ablauf von fünf Jahren nach der Veröffentlichung zu löschen.“

5. Dem Text des § 12 wird die Absatzbezeichnung „(1)“ vorangestellt; folgender Abs. 2 wird angefügt:

„(2) Die Überschrift zu § 5, § 5 Abs. 3, 4, 6 und 7 sowie § 8 Abs. 10 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft. § 12 Abs. 1 in der Fassung des genannten Bundesgesetzes tritt mit dem auf die Kundmachung folgenden Tag in Kraft.“

Das Ausbildungspflichtgesetz, BGBl. I Nr. 62/2016, in der Fassung des Bundesgesetzes BGBl. I Nr. 120/2016 und der Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. In § 13 Abs. 7 wird der Begriff „Dienstleister“ durch den Begriff „Auftragsverarbeiter“ ersetzt.

2. In § 15 Abs. 1 zweiter Satz wird der Begriff „Übermittlung“ durch den Begriff „Offenlegung“ ersetzt.

3. § 15 Abs. 2 und 3 lautet:

„(2) Die vom SMS oder von einer Koordinierungsstelle verarbeiteten Daten gemäß Abs. 1 dürfen Behörden, Gerichten, Trägern der Sozialversicherung, Trägern der Kinder- und Jugendhilfe, Jugendhilfeeinrichtungen, Schulen, Lehrlingsstellen, dem AMS und der Bundesanstalt Statistik Österreich im Wege der automationsunterstützten Datenverarbeitung offengelegt werden, soweit diese Daten im konkreten Einzelfall für die Vollziehung der jeweiligen Aufgaben eine wesentliche Voraussetzung bilden. Die Behörden, Gerichte, Träger der Sozialversicherung, Träger der Kinder- und Jugendhilfe, Jugendhilfeeinrichtungen, Schulen, Lehrlingsstellen und das AMS dürfen von ihnen verarbeitete Daten gemäß Abs. 1 dem SMS oder einer Koordinierungsstelle im Wege der automationsunterstützten Datenverarbeitung offenlegen, soweit diese Daten im konkreten Einzelfall für die Vollziehung der diesen übertragenen Aufgaben eine wesentliche Voraussetzung bilden.

(3) Die vom SMS oder von einer Koordinierungsstelle verarbeiteten Daten gemäß Abs. 1 dürfen Erwachsenenbildungseinrichtungen, Betrieben und Trägern von Ausbildungsmaßnahmen offengelegt werden, soweit die entsprechenden Daten im konkreten Einzelfall für die Erfüllung der jeweiligen Aufgaben erforderlich sind. Einem Betrieb dürfen nur Daten gemäß Abs. 1 Z 1 lit. a bis h, Z 2 lit. a bis h sowie Z 4 lit. a und lit. e bis h, jeweils ausschließlich im Zusammenhang mit Ausbildungen oder Beschäftigungen im betreffenden Betrieb, offengelegt werden.“

4. Dem § 21 wird folgender Abs. 5 angefügt:

„(5) § 13 Abs. 7 und § 15 Abs. 1 bis 3 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

Das Arbeiterkammergesetz 1992 - AKG, BGBl. Nr. 626/1991, zuletzt geändert durch das Sonderpensionenbegrenzungsgesetz, BGBl. I Nr. 46/2014, und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. In § 17a Abs. 4 wird die Wortfolge „ist berechtigt,“ durch den Ausdruck „hat“ und das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt.

2. § 17a Abs. 5 lautet:

„(5) Den in der Vollversammlung vertretenen wahlwerbenden Gruppen sind auf Verlangen gegen Kostenersatz jene personenbezogenen Daten aus der Mitgliederevidenz zu übermitteln, die im Wahlverfahren gemäß § 45 Abs. 3 zu übermitteln sind. Die personenbezogenen Daten dürfen nur für Zwecke der Wahlwerbung verarbeitet werden. Die Übermittlung der personenbezogenen Daten kann auch in Form von elektronisch lesbaren Datenträgern erfolgen. Der Kostenersatz ist vom Vorstand der Arbeiterkammer zu regeln. Den wahlwerbenden Gruppen ist eine Weitergabe dieser personenbezogenen Daten untersagt.“

3. § 18 Abs. 5 entfällt.

4. In § 33 Abs. 3 wird jeweils vor dem Ausdruck „Daten“ der Ausdruck „personenbezogenen“ eingefügt.

5. In § 33 Abs. 4 wird das Wort „bekanntzugeben“ durch das Wort „offenzulegen“ ersetzt.

6. In § 34 Abs. 2 wird vor dem Wort „Daten“ das Wort „personenbezogenen“ eingefügt.

7. In § 34 Abs. 4 wird vor dem Wort „Daten“ das Wort „personenbezogene“ eingefügt.

8. In § 45 Abs. 1 wird die Wortfolge „sind im Sinne des Datenschutzgesetzes 2000, BGBl. I Nr. 165/1999, in der jeweils geltenden Fassung, ermächtigt, die zur Durchführung der Wahl der Vollversammlung“ durch die Wortfolge „haben zum Zweck der Durchführung der Wahl der Vollversammlung die“ ersetzt; die Wortfolge „zu ermitteln und“ entfällt.

9. § 45 Abs. 2 lautet:

„(2) Die Wahlbehörden haben zum Zweck der Erstellung der Mitgliederevidenz die in Abs. 1 genannten personenbezogenen Daten, mit Ausnahme der Staatsangehörigkeit, an die Arbeiterkammer zu übermitteln. Die Arbeiterkammer ist verpflichtet, den Wahlbehörden die in der ständigen Mitgliederevidenz der Arbeiterkammer (§ 17a) verzeichneten personenbezogenen Daten zur Verfügung zu stellen.“

10. In § 45 Abs. 3 wird vor dem Ausdruck „Daten“ der Ausdruck „personenbezogenen“ eingefügt.

11. In § 92 Abs. 1 lautet:

„(1) Die Arbeiterkammern und die Bundesarbeitskammer haben zur Erfüllung ihrer Aufgaben auf das Arbeits- oder Beschäftigungsverhältnis bezogene personenbezogene Daten der kammerzugehörigen Arbeitnehmer zu verarbeiten. Zu diesen personenbezogenen Daten zählen insbesondere die in § 17a angeführten Daten.“

12. § 92 Abs. 2 lautet:

„(2) Zur Erfüllung ihrer Aufgaben hat auch eine Übermittlung der personenbezogenen Daten zwischen den Arbeiterkammern oder zwischen den Arbeiterkammern und der Bundesarbeitskammer zu erfolgen.“

13. § 92 Abs. 3 lautet:

„(3) Die Arbeiterkammern und die Bundesarbeitskammer haben die zur Vertretung der Arbeitnehmerinteressen erforderlichen personenbezogenen Daten an kollektivvertragsfähige freiwillige Berufsvereinigungen zu übermitteln. Diese dürfen die übermittelten personenbezogenen Daten nicht weitergeben.“

14. § 100 wird folgender Abs. 16 angefügt:

„(16) § 17a Abs. 4 und 5, § 33 Abs. 3 und 4, § 34 Abs. 2 und 4, § 45 sowie § 92 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft. § 18 Abs. 5 tritt mit Ablauf des Tages der Kundmachung außer Kraft.“

Bildung

Das Bildungsdokumentationsgesetz, BGBl. I Nr. 12/2002, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 138/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Im Inhaltsverzeichnis wird die den § 7a betreffende Zeile durch folgende Zeilen ersetzt:

㤠7a

Datenverbund der Universitäten und Hochschulen

§ 7b

Austrian Higher Education Systems Network

§ 7c

Datenverbund der Schulen“

2. Im Inhaltsverzeichnis wird in der den § 10a betreffenden Zeile das Wort „Datenverwendung“ durch das Wort „Datenverarbeitung“ ersetzt.

3. Im Inhaltsverzeichnis wird nach der die Anlage 3 betreffenden Zeile folgende Zeile angefügt:

„Anlage 4“

 

4. § 1 lautet:

§ 1. (1) Dieses Bundesgesetz regelt

  1. 1. die Verarbeitung von personenbezogenen Daten der Schüler und Studierenden im Sinne der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, (im Folgenden: DSGVO) durch die von diesem Gesetz erfassten Bildungseinrichtungen, zwecks Wahrnehmung der diesen Einrichtungen gesetzlich übertragenen Aufgaben der Schul- und Hochschulverwaltung gemäß § 3, der Studienförderung und der Vertretungsangelegenheiten der Studierenden;
  2. 2. die Führung der Gesamtevidenzen der Schüler bzw. der Studierenden für ausschließlich statistisch-planerische und steuernde Zwecke;
  3. 3. die Verarbeitung von Daten aus den Evidenzen der Bildungseinrichtungen für Zwecke der Bundesstatistik zum Bildungswesen und des Bildungsstandsregisters, die von der Bundesanstalt „Statistik Österreich“ besorgt werden.

(2) Soweit dieses Bundesgesetz keine abweichenden Bestimmungen enthält, sind der 1. und 2. Abschnitt des Forschungsorganisationsgesetzes, BGBl. Nr. 341/1981, auch im Anwendungsbereich dieses Bundesgesetzes anzuwenden.“

5. In § 2 Abs. 1 Z 1 lit. a wird das Wort „Übungskindergärten“ durch das Wort „Praxiskindergärten“ ersetzt.

6. In § 2 Abs. 1 Z 1 lit. c wird die Wendung „Bundesgesetz über Schulen zur Ausbildung von Leibeserziehern und Sportlehrern“ durch das Wort „Bundessportakademiengesetz“ ersetzt.

7. In § 2 Abs. 1 Z 2 lit. b wird im Klammerausdruck das Wort „Studienangebote“ durch das Wort „Hochschullehrgänge“ ersetzt.

8. In § 2 Abs. 1 Z 2 wird der Beistrich am Ende der lit. e durch das Wort „und“ sowie das Wort „und“ am Ende der lit. f durch einen Strichpunkt ersetzt; lit. g entfällt.

9. In § 2 Abs. 1 Z 3 wird die Wendung „Bundesgesetz über Schulen zur Ausbildung von Leibeserziehern und Sportlehrern“ durch das Wort „Bundessportakademiengesetz“ ersetzt und entfällt die Wortfolge „Studierende an Akademien für Sozialarbeit“.

10. In § 2 Abs. 1 Z 5 in der Fassung des Bundesgesetzes BGBl. I Nr. 138/2017 wird der Punkt durch einen Strichpunkt ersetzt und folgende Z 6 angefügt:

  1. „6. unter Daten: personenbezogene Daten (Art. 4 Z 1 DSGVO) und sonstige Informationen.“

11. In § 2 Abs. 3 wird die Wendung „Auftraggeber im Sinne des § 4 Z 4 des Datenschutzgesetzes 2000“ durch die Wendung „Verantwortliche im Sinne des Art. 4 Z 7 DSGVO“ ersetzt.

12. Dem § 2 wird folgender Abs. 4 angefügt:

„(4) Werden Zwecke der und Mittel zur Verarbeitung durch Verantwortliche gemäß Abs. 3 gemeinsam mit dem zuständigen Bundesminister festgelegt, so sind die in Abs. 3 genannten Verantwortlichen und der zuständige Bundesminister gemeinsam Verantwortliche gemäß Art. 26 DSGVO. Für diese Fälle sind die jeweiligen Verpflichtungen der gemeinsam Verantwortlichen in transparenter Form in einer Vereinbarung festzulegen. Das gilt nicht in den Fällen von Verarbeitungen nach gesetzlichen Vorgaben oder nach Vorgaben des zuständigen Bundesministers, in denen folgende Aufgaben jedenfalls vom zuständigen Bundesminister zu erfüllen sind:

  1. 1. Führung von Verzeichnissen von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO,
  2. 2. Durchführung allfälliger Datenschutz-Folgenabschätzungen gemäß Art. 35 DSGVO.“

13. Der Einleitungsteil des § 3 Abs. 1 lautet:

„Der Leiter einer Bildungseinrichtung gemäß § 2 Abs. 1 Z 1 lit. a, b, c, f, g und h sowie Z 2 hat für die Vollziehung des Schulunterrichtsgesetzes, BGBl. Nr. 472/1986, des Schulunterrichtsgesetzes für Berufstätige, Kollegs und Vorbereitungslehrgänge, BGBl. I Nr. 33/1997, des Hochschulgesetzes 2005, BGBl. I Nr. 30/2006, des Universitätsgesetzes 2002, BGBl. I Nr. 120/2002, des DUK-Gesetzes 2004, BGBl. I Nr. 22/2004, des Fachhochschul-Studiengesetzes, BGBl. Nr. 340/1993, des Privatuniversitätengesetzes, BGBl. I Nr. 74/2011, sowie der sonstigen schul- und hochschulrechtlichen Vorschriften folgende schülerbezogene und studierendenbezogene Daten nach Maßgabe der technischen Möglichkeiten automationsunterstützt zu verarbeiten (Art. 4 Z 2 DSGVO):“

14. In § 3 Abs. 3 Z 8 wird das Wort „Die“ durch das Wort „die“ ersetzt.

15. In § 5 Abs. 1 wird die Wendung „als Auftraggeber gemäß § 4 Z 4 des Datenschutzgesetzes 2000, BGBl. I Nr. 165/1999,“ durch die Wendung „als Verantwortlicher gemäß Art. 4 Z 7 DSGVO“ ersetzt.

16. § 5 Abs. 2 lautet:

„(2) Es ist vorzusorgen, dass die Datensätze gemäß § 6 Abs. 3 und § 7 Abs. 2 und 3, unbeschadet der Übermittlung gemäß § 9 Abs. 2 an die Bundesanstalt „Statistik Österreich“, übermittelt werden. Vor Eingang eines derartigen Datensatzes beim zuständigen Bundesminister sind jedenfalls hinsichtlich der Bildungseinrichtungen gemäß § 2 Abs. 1 Z 1 lit. a, b, c, f, g und h und hinsichtlich der Meldepflichtigen gemäß § 3 Abs. 5 durch die Bundesanstalt „Statistik Österreich“, hinsichtlich der Bildungseinrichtungen gemäß § 2 Abs. 1 Z 2 lit. a, b, c und f auch durch eine andere geeignete Einrichtung, die den Anforderungen an die Datensicherheit gemäß Art. 32 DSGVO entspricht, die Datensätze auf Vollständigkeit und Schlüssigkeit zu überprüfen bzw. richtig zu stellen und es ist die Sozialversicherungsnummer bzw. das Ersatzkennzeichen im jeweiligen Datensatz nicht-rückführbar so zu verschlüsseln, dass eine Bildungsevidenz-Kennzahl (BEKZ) gewonnen wird und ein und dieselbe Sozialversicherungsnummer bzw. ein und dasselbe Ersatzkennzeichen bei der Verschlüsselung jeweils dieselbe BEKZ ergibt. Eine Speicherung der Datensätze durch den zuständigen Bundesminister unter der Sozialversicherungsnummer und/oder dem Namen der betroffenen Person ist für Zwecke der Gesamtevidenzen unzulässig.“

17. § 7 Abs. 1 lautet:

„(1) Innerhalb der Gesamtevidenzen der Studierenden werden Daten aus den Evidenzen der Studierenden

  1. 1. der Universitäten und der Universität für Weiterbildung Krems (§ 2 Abs. 1 Z 2 lit. a und c),
  2. 2. der Pädagogischen Hochschulen (§ 2 Abs. 1 Z 2 lit. b) und
  3. 3. der Fachhochschul-Studiengänge und Fachhochschulen (§ 2 Abs. 1 Z 2 lit. f)

    verarbeitet und zusammengeführt.“

18. In § 7 Abs. 2 erster Satz wird nach dem Zitat „§ 3 Abs. 1 Z 2 bis 5, Z 7 bis 9, Abs. 3 Z 4 und 7“ die Wendung „ , das bereichsspezifische Personenkennzeichen BF“ eingefügt.

19. Dem § 7 wird folgender Abs. 4 angefügt:

„(4) Der Leiter einer Bildungseinrichtung gemäß § 2 Abs. 1 Z 2 lit. d hat über die Bundesanstalt „Statistik Österreich“ die Daten gemäß § 4 Abs. 1 Z 1 lit. a und b sowie § 9 Abs. 2 Z 1 lit. a, c, d, e, f und g dem zuständigen Bundesminister für die Zwecke der Planung, der Steuerung, der Wahrung der gesetzlichen Aufsichtspflichten und der Verwaltungsstatistik zu übermitteln.“

20. Die Überschrift zu § 7a lautet:

„Datenverbund der Universitäten und Hochschulen“

21. § 7a Abs. 1 und 2 lautet:

„(1) Für den Bereich der Universitäten, der Universität für Weiterbildung Krems, der Pädagogischen Hochschulen, der Fachhochschul-Studiengänge und Fachhochschulen sowie der Privatuniversitäten wird zur Vollziehung hochschulrechtlicher, studienrechtlicher, studienförderungsrechtlicher und hochschülerinnen- und hochschülerschaftsrechtlicher Vorschriften ein gemeinsamer Datenverbund der Universitäten und Hochschulen eingerichtet.

(2) Gemeinsam Verantwortliche des Datenverbundes der Universitäten und Hochschulen im Sinne des Art. 4 Z 7 iVm Art. 26 DSGVO sind die Leiter gemäß § 2 Abs. 1 Z 5 und, bezüglich der Fachhochschul-Studiengänge und Fachhochschulen die Erhalter der in Abs. 1 genannten Bildungseinrichtungen. Die Bundesrechenzentrum GmbH (BRZ) hat den Datenverbund der Universitäten und Hochschulen als Auftragsverarbeiter gemäß Art. 4 Z 8 DSGVO zu betreiben.“

22. Im Einleitungsteil des § 7a Abs. 3 wird nach dem Wort „Datenverbund“ die Wendung „der Universitäten und Hochschulen“ eingefügt.

23. In § 7a Abs. 3 Z 5 wird nach dem Wort „und“ die Wendung „dessen allfälliger Aufteilung sowie“ eingefügt.

24. § 7a Abs. 4 und 5 lautet:

„(4) Die Bildungseinrichtungen gemäß Abs. 1 haben im Datenverbund der Universitäten und Hochschulen studierenden-, studien- und studienbeitragsbezogene Daten gemäß Anlage 3 zu verarbeiten.

(5) Abfrageberechtigt sind zur Vollziehung

  1. 1. des Abs. 3 Z 1 die Bildungseinrichtungen gemäß Abs. 1 hinsichtlich der Daten aller Studierenden,
  2. 2. des Abs. 3 Z 2 bis 4 die Bildungseinrichtungen gemäß Abs. 1 hinsichtlich der Daten der Studierenden, die der jeweiligen Bildungseinrichtung angehören, und
  3. 3. des Abs. 3 Z 5 die Universitäten und die Pädagogischen Hochschulen hinsichtlich der Daten aller Studierenden.“

25. In § 7a Abs. 8 wird das Wort „Studienangeboten“ durch das Wort „Hochschullehrgängen“ ersetzt.

26. Nach § 7a Abs. 8 wird folgender Abs. 8a eingefügt:

„(8a) Öffentlichen Einrichtungen und Anbietern von Dienstleistungen, die Studierenden Vergünstigungen oder Ermäßigungen gewähren, kann zur Überprüfung des Vorliegens des Status „Studierende“ oder „Studierender“ eine Abfrageberechtigung eingeräumt werden. Diese ist unter Beachtung des Abs. 10 zu erteilen, wenn ein begründetes Interesse an der Abfrage besteht. Eine Abfrage durch eine öffentliche Einrichtung oder durch einen Anbieter von Dienstleistungen darf nur durchgeführt werden, wenn ein Antrag auf eine Vergünstigung oder eine Ermäßigung der oder des Studierenden bei der öffentlichen Einrichtung oder dem Anbieter von Dienstleistungen vorliegt, wobei Folgendes zu beachten ist:

  1. 1. Die anfragende öffentliche Einrichtung oder der Anbieter von Dienstleistungen hat, soweit dies für die konkrete Datenverarbeitung erforderlich ist, folgende Daten an den Datenverbund zu übermitteln: Vorname(n), Familienname, Matrikelnummer und allenfalls weitere, insbesondere zur eindeutigen Identifikation erforderliche, Daten.
  2. 2. Der Datenverbund hat der anfragenden öffentlichen Stelle oder dem Anbieter von Dienstleistungen sodann in der Form „ja“ oder „nein“ rückzumelden, ob der Status „Studierende“ oder „Studierender“ vorliegt.“

27. In § 7a Abs. 9 erster Satz wird die Wendung „hat die“ durch die Wendung „der Universitäten und Hochschulen hat die Daten der“ ersetzt.

28. § 7a Abs. 10 erster Satz wird durch folgende Sätze ersetzt:

„Die BRZ hat als Auftragsverarbeiter des Datenverbundes der Universitäten und Hochschulen den Anforderungen an die Datensicherheit gemäß Art. 32 DSGVO zu entsprechen. Sie hat Abfragen von gemäß Abs. 6 bis 8a Abfrageberechtigten nur dann zuzulassen, wenn die Datensicherheitsmaßnahmen gemäß § 8 Abs. 2 nachgewiesen werden.“

29. In § 7a Abs. 11 wird das Wort „Datenüberlassung“ durch das Wort „Datenverarbeitung“ ersetzt.

30. Nach § 7a werden folgende §§ 7b und 7c samt Überschriften eingefügt:

„Austrian Higher Education Systems Network

§ 7b. (1) Für den Bereich der Universitäten, der Universität für Weiterbildung Krems, der Pädagogischen Hochschulen, der Fachhochschulen und Fachhochschul-Studiengänge sowie der Privatuniversitäten ist zum Zweck der Gewährleistung der ordentlichen Verwaltung und Durchführung von gemeinsamen Studienprogrammen und gemeinsam eingerichteten Studien das Austrian Higher Education Systems Network (AHESN) eingerichtet.

(2) Im AHESN werden die für die Verwaltung und Durchführung von gemeinsamen Studienprogrammen und gemeinsam eingerichteten Studien erforderlichen Daten und sonstigen Informationen ausgetauscht und verarbeitet. Dabei handelt es sich um personenbezogene Daten gemäß Art. 4 Z 1 DSGVO und sonstige Informationen aus folgenden Bereichen:

  1. 1. Studierenden- und Studiendaten;
  2. 2. Daten zu Lehrveranstaltungen und Prüfungen;
  3. 3. Studienleistungsdaten;
  4. 4. Informationen zum Curriculum und zu den Lehrveranstaltungsangeboten.

(3) Die Bildungseinrichtungen gemäß Abs. 1, die zur Verwaltung und Durchführung von gemeinsamen Studienprogrammen und gemeinsam eingerichteten Studien das AHESN verwenden, sind gemeinsame Verantwortliche gemäß Art. 26 DSGVO.

Datenverbund der Schulen

§ 7c. (1) Für den Bereich der Schulen gemäß § 2 Abs. 1 Z 1 lit. a, b, c, f, g und h wird ein Datenverbund zur Vollziehung der mit der Aufnahme von Schülerinnen und Schülern in Zusammenhang stehenden Rechtsvorschriften eingerichtet.

(2) Gemeinsam Verantwortliche des Datenverbundes der Schulen im Sinne des Art. 4 Z 7 iVm Art. 26 DSGVO sind die Leiterinnen und Leiter der in Abs. 1 genannten Schulen. Die BRZ hat den Datenverbund der Schulen als Auftragsverarbeiter gemäß Art. 4 Z 8 DSGVO zu betreiben.

(3) Der Datenverbund der Schulen dient dem Zweck der Vollständigkeit und der Richtigkeit der bei einem Schulwechsel in den lokalen Evidenzen zu verarbeitenden Schülerdaten.

(4) Leiterinnen und Leiter der in Abs. 1 genannten Schulen haben im Fall der Beendigung der Schülereigenschaft durch einen Schüler oder eine Schülerin oder auf Anfrage des Schulleiters oder der Schulleiterin einer den betreffenden Schüler oder die betreffende Schülerin aufnehmenden Schule im Datenverbund der Schulen schülerbezogene Daten gemäß Anlage 4 zu verarbeiten.

(5) Abfrageberechtigt sind die Leiterinnen und Leiter von Schulen hinsichtlich der an der betreffenden Schule aufgenommenen Schülerinnen und Schüler. Mit der erfolgten Abfrage des Schülerdatensatzes ist dieser aus dem Datenverbund der Schulen zu löschen.

(6) Die BRZ hat als Auftragsverarbeiter des Datenverbundes der Schulen den Anforderungen an die Datensicherheit gemäß Art. 32 DSGVO zu entsprechen. Sie hat Abfragen von gemäß Abs. 5 Abfrageberechtigten nur dann zuzulassen, wenn die Datensicherheitsmaßnahmen gemäß § 8 Abs. 2 nachgewiesen werden. § 8 Abs. 3 ist sinngemäß anzuwenden. Die Abfrage ist seitens der BRZ so einzurichten, dass nur unter der Verwendung von Antragsdaten nach den jeweiligen gesetzlichen Bestimmungen auf die Daten von Schülerinnen und Schülern zugegriffen werden kann.

(7) Die näheren Bestimmungen zu den Stichtagen, Verfahren und Formaten der Datenverarbeitung, zum Verfahren der Übermittlung von Daten an die abfrageberechtigten Einrichtungen sowie zu den Datensicherheitsmaßnahmen sind durch Verordnung der zuständigen Bundesministerin bzw. des zuständigen Bundesministers zu regeln.“

31. In § 8 Abs. 1 und 2 wird das Wort „Bildung“ jeweils durch die Wendung „Bildung, Wissenschaft und Forschung“ ersetzt.

32. In § 8 Abs. 1 wird das Zitat „§ 14 des Datenschutzgesetzes 2000“ durch das Zitat „Art. 32 DSGVO“ ersetzt.

33. In § 8 Abs. 2 wird im Einleitungsteil und in der Z 3 das Wort „Verwendung“ jeweils durch das Wort „Verarbeitung“ ersetzt.

34. In § 8 Abs. 2 Z 5 wird das Wort „Verwendungsvorgänge“ durch das Wort „Verarbeitungsvorgänge“ ersetzt.

35. In § 8 Abs. 3 Z 2 wird die Wendung „schutzwürdige Geheimhaltungsinteressen Betroffener“ durch die Wendung „Interessen oder Grundrechte oder Grundfreiheiten betroffener Personen“ ersetzt.

36. § 8 Abs. 4 entfällt.

37. In § 9 Abs. 2 Z 1 lit. b wird vor dem Beistrich die Wendung „oder das Ersatzkennzeichen“ eingefügt.

38. In § 10 Abs. 3 Z 2 entfällt die Wendung „gemäß § 3 Z 6 und 7 des Anerkennungs- und Bewertungsgesetzes“.

39. Die Überschrift zu § 10a lautet:

„Datenverarbeitung“

40. In § 10a Abs. 2 wird das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt.

41. Dem § 10a wird folgender Abs. 3 angefügt:

„(3) Entsprechend Art. 89 Abs. 2 DSGVO finden die Art. 15, 16, 18 und 21 DSGVO auf Daten gemäß Abs. 1 und 2 insofern keine Anwendung, als dadurch die Verarbeitung dieser Daten für statistische Zwecke erheblich beeinträchtigt oder unmöglich gemacht würde.“

42. In § 11 Abs. 5 wird das Zitat „§ 4 Z 1 DSG 2000“ durch das Zitat „Art. 4 Z 1 DSGVO“ ersetzt.

43. Dem § 12 wird folgender Abs. 19 angefügt:

„(19) Die nachstehend genannten Bestimmungen in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten wie folgt in Kraft:

  1. 1. das Inhaltsverzeichnis betreffend die §§ 7a und 7b, § 2 Abs. 1 Z 1, 2 und 3, § 3 Abs. 3 Z 8, § 7 Abs. 1, 2 und 4, die Überschrift des § 7a, § 7a Abs. 1, 3, 4, 5, 8, 8a und 9, § 7b samt Überschrift, § 8 Abs. 1 und 2 in der Fassung des Art. 50 Z 31, § 9 Abs. 2 Z 1 lit. b, § 10 Abs. 3 Z 2, § 14 Abs. 7, § 15 sowie Anlage 3 treten mit Ablauf des Tages der Kundmachung im Bundesgesetzblatt in Kraft;
  2. 2. das Inhaltsverzeichnis betreffend § 10a, § 1, § 2 Abs. 3 und 4, § 3 Abs. 1, § 5 Abs. 1 und 2, § 7a Abs. 2, 10 und 11, § 8 Abs. 1 und 2 in der Fassung des Art. 50 Z 32, 33 und 34, § 8 Abs. 3 Z 2, die Überschrift des § 10a, § 10a Abs. 2 und 3 sowie § 11 Abs. 5 treten mit 25. Mai 2018 in Kraft;
  3. 3. § 2 Abs. 1 Z 5 und 6 tritt mit 1. September 2018 in Kraft;
  4. 4. § 7c samt Überschrift sowie die Anlagen 1 und 4 treten mit 1. September 2018 in Kraft; § 7c Abs. 4 ist im Schuljahr 2018/19 nur nach Maßgabe der technischen Möglichkeiten anzuwenden.

    § 8 Abs. 4 tritt mit Ablauf des 24. Mai 2018 außer Kraft.“

44. Dem § 14 wird folgender Abs. 7 angefügt:

„(7) § 7a in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, ist hinsichtlich der Vergabe von Matrikelnummern an Studierende und der Beteiligung an gemeinsamen Studienprogrammen bzw. gemeinsam eingerichteten Studien durch Fachhochschulen und Fachhochschul-Studiengänge sowie Privatuniversitäten mit der Maßgabe anzuwenden, dass die Fachhochschulen und Fachhochschul-Studiengänge sowie Privatuniversitäten in den Datenverbund der Universitäten und Hochschulen integriert sind und die technischen Voraussetzungen für den Austausch der Daten gemäß Anlage 3 vorliegen.“

45. § 15 lautet:

§ 15. Mit der Vollziehung dieses Bundesgesetzes ist

  1. 1. hinsichtlich der in § 2 Abs. 1 Z 1 lit. a, c, g und h sowie Z 2 (mit Ausnahme der Hochschule für Agrar- und Umweltpädagogik Wien) genannten Bildungseinrichtungen die Bundesministerin oder der Bundesminister für Bildung, Wissenschaft und Forschung,
  2. 2. hinsichtlich der in § 2 Abs. 1 Z 1 lit. b, d, e und f genannten Bildungseinrichtungen sowie hinsichtlich der Hochschule für Agrar- und Umweltpädagogik Wien die Bundesministerin oder der Bundesminister für Nachhaltigkeit und Tourismus,
  3. 3. hinsichtlich der in § 2 Abs. 1 Z 1 lit. i bis o genannten Bildungseinrichtungen sowie hinsichtlich der in § 10 Abs. 2 Z 1 genannten Prüfungsstellen der Landwirtschaftskammern die Bundesministerin oder der Bundesminister für Arbeit, Soziales, Gesundheit und Konsumentenschutz,
  4. 4. hinsichtlich der in § 10 Abs. 2 Z 1 genannten Prüfungsstellen der Landeskammern der Wirtschaftskammer Österreich die Bundesministerin oder der Bundesminister für Digitalisierung und Wirtschaftsstandort,
  5. 5. im Übrigen die Bundeskanzlerin oder der Bundeskanzler oder die jeweils zuständige Bundesministerin oder der jeweils zuständige Bundesminister

    betraut.“

46. Anlage 1 Z 1 wird durch folgende Z 1 und 1a ersetzt:

  1. „1. Den Bildungsverlauf vor Beginn der allgemeinen Schulpflicht;
    1. 1a. das Schuljahr bzw. Semester;“

47. Anlage 1 Z 9 entfällt.

48. Anlage 1 Z 14 lautet:

  1. „14. Verfahren und Maßnahmen im Zusammenhang mit Schulpflichtverletzungen gemäß dem Schulpflichtgesetz 1985, BGBl. Nr. 76/1985.“

49. Anlage 3 lautet:

„Anlage 3

  1. 1. Universitäten und Pädagogische Hochschulen:

    1.1. Einordnungsdaten

    a) meldende Universität bzw. Pädagogische Hochschule;

    b) Bezugssemester;

    c) Statistikmarken für die Personen- und Studienzählung.

    1.2. Personendaten

    a) Vorname(n) und Familienname;

    b) Geburtsdatum;

    c) Geschlecht;

    d) Staatsangehörigkeit;

    e) akademische Grade;

    f) Anschrift am Heimatort und Zustelladresse;

    g) E-Mail-Adresse;

    h) Matrikelnummer;

    i) Sozialversicherungsnummer oder Ersatzkennzeichen;

    j) bereichsspezifisches Personenkennzeichen BF.

    1.3. Studienbeitragsdaten

    a) Studienbeitragsstatus;

    b) Beträge und Valutadatum der Beitragsvorschreibung;

    c) Beträge und Valutadatum der allfälligen Nachforderung;

    d) Bezahlungsstatus und Ist-Betrag;

    e) letztes Buchungsdatum;

    f) Studienbeitragskonto der Universität bzw. Pädagogischen Hochschule.

    1.4. Studiendaten

    a) Kennzeichnung des Studiums;

    b) Antrags-, Zulassungs- oder Beginndatum des Studiums;

    c) Form, Datum und Ausstellungsstaat der allgemeinen Universitätsreife;

    d) Zulassungsstatus;

    e) Meldung und Datum der Fortsetzung des Studiums bzw. der Inskription;

    f) Art der internationalen Mobilität und Gastland des Auslandsaufenthaltes;

    g) Curriculumversion.

    1.5. Studienerfolgsdaten

    a) Kennzeichnung des Studiums;

    b) Semesterstunden abgelegter Prüfungen;

    c) Semesterstunden positiv beurteilter Prüfungen;

    d) erlangte ECTS-Anrechnungspunkte;

    e) Art und Datum von erfolgreich abgelegten Prüfungen, die ein Studium oder einen Studienabschnitt eines Diplomstudiums oder eines Studienganges gemäß § 35 Z 1 des Hochschulgesetzes 2005, BGBl. I Nr. 30/2006 idF BGBl. I Nr. 73/2011, abschließen.

    1.6. Daten zu Studienberechtigungsprüfungen

    a) laufende Nummer des Studienberechtigungsfalles an der Universität bzw. an der Pädagogischen Hochschule;

    b) Kennzeichnung des Studiums bzw. der Studienrichtungsgruppe, für welches bzw. für welche die Zulassung zur Studienberechtigungsprüfung beantragt wurde;

    c) Datum des Antrages auf Zulassung zur Studienberechtigungsprüfung;

    d) Datum der erfolgreichen Ablegung der Studienberechtigungsprüfung.

  2. 2. Fachhochschulen und Fachhochschul-Studiengänge sowie Privatuniversitäten:

    2.1. Einordnungsdaten

    a) meldende Erhalter von Fachhochschulen und Fachhochschul-Studiengängen bzw. Privatuniversitäten;

    b) Bezugssemester.

    2.2. Personendaten

    a) Vorname(n) und Familienname;

    b) Geburtsdatum;

    c) Geschlecht;

    d) Staatsangehörigkeit;

    e) akademische Grade;

    f) Anschrift am Heimatort und Zustelladresse;

    g) E-Mail-Adresse;

    h) Matrikelnummer;

    i) Sozialversicherungsnummer oder Ersatzkennzeichen;

    j) bereichsspezifisches Personenkennzeichen BF.

  3. 3. Fachhochschulen und Fachhochschul-Studiengänge sowie Privatuniversitäten, die an einem gemeinsamen Studienprogramm mit österreichischen Bildungseinrichtungen bzw. an einem gemeinsam eingerichteten Studium beteiligt sind:

    3.1. Studienbeitragsdaten

    a) Studienbeitragsstatus;

    b) Beträge und Valutadatum der Beitragsvorschreibung;

    c) Beträge und Valutadatum der allfälligen Nachforderung;

    d) Bezahlungsstatus und Ist-Betrag;

    e) letztes Buchungsdatum;

    f) Studienbeitragskonto des Erhalters von Fachhochschulen und Fachhochschul-Studiengängen bzw. der Privatuniversität.

    3.2. Studiendaten

    a) Kennzeichnung des Studiums;

    b) Antrags-, Zulassungs- oder Beginndatum des Studiums;

    c) Form, Datum und Ausstellungsstaat der allgemeinen Universitätsreife;

    d) Zulassungsstatus;

    e) Meldung und Datum der Fortsetzung des Studiums;

    f) Art der internationalen Mobilität und Gastland des Auslandsaufenthaltes;

    g) Curriculumversion.

    3.3. Studienerfolgsdaten

    a) Kennzeichnung des Studiums;

    b) Semesterstunden abgelegter Prüfungen;

    c) Semesterstunden positiv beurteilter Prüfungen;

    d) erlangte ECTS-Anrechnungspunkte;

    e) Art und Datum von erfolgreich abgelegten Prüfungen, die ein Studium oder einen Studienabschnitt eines Diplomstudiums abschließen.

  4. 4. Fachhochschulen und Fachhochschul-Studiengänge, die an einem gemeinsamen Studienprogramm mit österreichischen Bildungseinrichtungen bzw. an einem gemeinsam eingerichteten Studium beteiligt sind:

    4.1. Daten zu Studienberechtigungsprüfungen

    a) laufende Nummer des Studienberechtigungsfalles;

    b) Kennzeichnung des Studiums bzw. der Studienrichtungsgruppe, für welches bzw. für welche die Zulassung zur Studienberechtigungsprüfung beantragt wurde;

    c) Datum des Antrages auf Zulassung zur Studienberechtigungsprüfung;

    d) Datum der erfolgreichen Ablegung der Studienberechtigungsprüfung.“

50. Nach Anlage 3 wird folgende Anlage 4 angefügt:

„Anlage 4

Im Datenverbund der Schulen gemäß § 7c sind für all jene Schülerinnen und Schüler, die eine Schule verlassen, folgende für die Nachfolgeschule relevanten Daten zu verarbeiten:

  1. 1. die Schulkennzahl der meldenden Schule,
  2. 2. das Datum der Beendigung des Schulbesuchs an dieser Schule,
  3. 3. die Sozialversicherungsnummer bzw. das Ersatzkennzeichen,
  4. 4. das Geburtsdatum,
  5. 5. das Geschlecht,
  6. 6. die Anschrift am Heimatort,
  7. 7. das erste Jahr der allgemeinen Schulpflicht,
  8. 8. die Information ob nach Widerruf der vorzeitigen Aufnahme in die 1. Schulstufe bzw. Abmeldung vom Besuch der 1. Schulstufe die Vorschulstufe besucht wurde (§ 7 Abs. 11 Schulpflichtgesetz 1985),
  9. 9. die Schulformkennzahl der zuletzt besuchten Ausbildung,
  10. 10. die Information, ob diese Ausbildung erfolgreich abgeschlossen und gegebenenfalls, ob damit die Voraussetzung für den Besuch bestimmter weiterer Ausbildungen erreicht wurde,
  11. 11. bei nicht erfolgreichem Abschluss:

    a) Bildungsverlauf vor Beginn der allgemeinen Schulpflicht,

    b) Schuljahr, in dem diese Ausbildung begonnen wurde,

    c) zuletzt besuchte Schulstufe,

    d) Berechtigung bzw. Nichtberechtigung zum Aufsteigen oder Wiederholen der Schulstufe,

    e) bereits in Anspruch genommene Wiederholungen von Schulstufen bzw. Modulen,

    f) bereits in Anspruch genommene Antritte zu Wiederholungsprüfungen, Semesterprüfungen, Modulprüfungen bzw. Kolloquien,

    g) noch offene Semesterprüfungen bzw. Module aus früheren Semestern,

    h) bereits in Anspruch genommene besondere Aufstiegsberechtigungen und

    i) bereits in Anspruch genommene Möglichkeit des Überspringens einer Schulstufe im betreffenden Schulstufenbereich sowie

  12. 12. die Information über Verfahren und Maßnahmen im Zusammenhang mit Schulpflichtverletzungen gemäß dem Schulpflichtgesetz 1985, BGBl. Nr. 76/1985.“

Das Schulunterrichtsgesetz, BGBl. Nr. 472/1986, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 138/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. In § 57b Abs. 1 wird die Wendung „Auf Verlangen und“ durch die Wendung „Auf Verlangen und Einwilligung sowie“ ersetzt.

2. In § 57b Abs. 2 erster und zweiter Satz wird das Wort „Zustimmung“ jeweils durch das Wort „Einwilligung“ ersetzt.

3. § 57b Abs. 3 entfällt.

4. § 77 Abs. 2 letzter Satz lautet:

„Besondere Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, dürfen nur dann im Klassenbuch vermerkt werden, wenn deren Dokumentation für die Zweckerreichung gemäß Abs. 1 ein erhebliches öffentliches Interesse darstellt.“

5. § 77 Abs. 3 letzter Satz lautet:

„Es sind Datensicherheitsmaßnahmen gemäß Art. 32 der Datenschutz-Grundverordnung zu treffen und es sind die Bestimmungen des § 6 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999, über das Datengeheimnis anzuwenden.“

6. Dem § 82 wird folgender Abs. 10 angefügt:

„(10) § 57b Abs. 1 und 2 sowie § 77 Abs. 2 und 3 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft; gleichzeitig tritt § 57b Abs. 3 außer Kraft.“

Das Schulunterrichtsgesetz für Berufstätige, Kollegs und Vorbereitungslehrgänge, BGBl. I Nr. 33/1997, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 138/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. In § 55a Abs. 1 wird die Wendung „Auf Verlangen und“ durch die Wendung „Auf Verlangen und Einwilligung sowie“ ersetzt.

2. In § 55a Abs. 2 wird das Wort „Zustimmung“ jeweils durch das Wort „Einwilligung“ ersetzt.

3. § 55a Abs. 3 entfällt.

4. § 65 Abs. 2 letzter Satz lautet:

„Besondere Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, dürfen nur dann im Klassenbuch vermerkt werden, wenn deren Dokumentation für die Zweckerreichung gemäß Abs. 1 ein erhebliches öffentliches Interesse darstellt.“

5. § 65 Abs. 3 letzter Satz lautet:

„Es sind Datensicherheitsmaßnahmen gemäß Art. 32 der Datenschutz-Grundverordnung zu treffen und es sind die Bestimmungen des § 6 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999, über das Datengeheimnis anzuwenden.“

6. Dem § 69 wird folgender Abs. 12 angefügt:

„(12) Die nachstehend genannten Bestimmungen in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten wie folgt in Kraft:

  1. 1. § 70 tritt mit Ablauf des Tages der Kundmachung im Bundesgesetzblatt in Kraft;
  2. 2. § 55a Abs. 1 und 2 sowie § 65 Abs. 2 und 3 treten mit 25. Mai 2018 in Kraft.

    § 55a Abs. 3 tritt mit Ablauf des 24. Mai 2018 außer Kraft.“

7. § 70 lautet:

§ 70. Mit der Vollziehung dieses Bundesgesetzes ist hinsichtlich des § 67 der Bundesminister oder die Bundesministerin für Finanzen, hinsichtlich des § 52 der Bundesminister oder die Bundesministerin für Bildung, Wissenschaft und Forschung im Einvernehmen mit dem Bundesminister oder der Bundesministerin für Finanzen, im Übrigen der Bundesminister oder die Bundesministerin für Bildung, Wissenschaft und Forschung betraut.“

Das Schulpflichtgesetz 1985, BGBl. Nr. 76/1985, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 138/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. § 6 Abs. 1a letzter Satz lautet:

„Der Schulleiter hat diese personenbezogenen Daten im Sinne des Art. 4 Z 1 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, und Informationen gemäß den Bestimmungen des Bildungsdokumentationsgesetzes, BGBl. I Nr. 12/2002, zu verarbeiten und ist darüber hinaus ermächtigt, allenfalls nach Maßgabe landesgesetzlicher Bestimmungen automationsunterstützt übermittelte personenbezogene Daten und Informationen zu erfassen und zu verarbeiten.“

2. In § 16 Abs. 1 in der Fassung des Bundesgesetzes BGBl. I Nr. 138/2017 wird die Wortfolge „zentrale IT-Dienstleisterin der Bildungsdirektionen“ durch die Wendung „Auftragsverarbeiter der Bildungsdirektionen im Sinne des Art. 4 Z 8 der Datenschutz-Grundverordnung“ ersetzt.

3. In § 16 Abs. 5 in der Fassung des Bundesgesetzes BGBl. I Nr. 138/2017 wird die Wortfolge „zentrale IT-Dienstleisterin“ durch das Wort „Auftragsverarbeiter“ ersetzt.

4. Dem § 30 wird folgender Abs. 22 angefügt:

„(22) Die nachstehend genannten Bestimmungen in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten wie folgt in Kraft:

  1. 1. § 6 Abs. 1a tritt mit 1. September 2018 in Kraft;
  2. 2. § 16 Abs. 1 und 5 tritt mit 1. September 2019 in Kraft.“

Das BIFIE-Gesetz 2008, BGBl. I Nr. 25/2008, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 138/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Dem Art. 1 § 3 wird folgender Abs. 3 angefügt:

„(3) Soweit dieses Bundesgesetz keine abweichenden Bestimmungen enthält, sind der 1. und 2. Abschnitt des Forschungsorganisationsgesetzes, BGBl. Nr. 341/1981, auch im Anwendungsbereich dieses Bundesgesetzes anzuwenden.“

2. Art. 1 § 6 Abs. 2 und 3 in der Fassung des Bundesgesetzes BGBl. I Nr. 138/2017 lautet:

„(2) Die Mitwirkung von Schülern und Schülerinnen an Überprüfungen der Bildungsstandards sowie an nationalen und internationalen Surveys oder Assessments ist für diese verpflichtend und befreit von der Teilnahme am Unterricht im unbedingt erforderlichen Ausmaß. Anlässlich dieser Testungen erfolgen Erhebungen bei den getesteten Schülerinnen und Schülern und deren Erziehungsberechtigten über schulische und außerschulische Lern- und Lebensbedingungen, bei denen personenbezogene Daten im Sinne des Art. 4 Z 1 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, über bildungsrelevante sozioökonomische Faktoren wie zB Herkunft, Berufsstand der Eltern und soziale Situation erhoben werden. Diese Erhebungen erfolgen im öffentlichen Interesse zum Zweck der wissenschaftlichen Forschung und der statistischen Auswertung der gewonnenen personenbezogenen Daten für die angewandte Bildungsforschung, für das Bildungsmonitoring, für die Unterstützung der Qualitätsentwicklung im Schulsystem, für die nationale Bildungsberichterstattung sowie - nach Maßgabe des § 5 Abs. 4 des Bildungsdirektionen-Einrichtungsgesetzes, BGBl. I Nr. 138/2017 - für die Festlegung von Kriterien für die Bewirtschaftung der Lehrpersonalressourcen. Die Schüler und Schülerinnen sowie deren Erziehungsberechtigten sind zur Mitwirkung an diesen Erhebungen verpflichtet. Bei der Durchführung dieser Testungen und Erhebungen handelt das BIFIE als Verantwortlicher im Sinne des Art. 4 Z 7 der Datenschutz-Grundverordnung.

(3) Bei den Testungen und Erhebungen gemäß Abs. 2 ist durch geeignete Vorkehrungen und Maßnahmen (wie zB Zutrittsbeschränkung, räumliche Abgrenzungen, Belehrung, geeignete Verschlüsselungstechniken, Pseudonymisierung) sicherzustellen, dass in keiner Phase der Durchführung der Testungen und der Erhebungen sowie der Aufbewahrung und Bearbeitung der Datensätze betroffene Personen direkt identifiziert werden können, außer hinsichtlich der Testungen (Abs. 2 erster Satz) für einen Zeitraum von acht Monaten durch die betreffende Schülerin oder den betreffenden Schüler selbst. Die bei den Erhebungen gemäß Abs. 2 gewonnenen personenbezogenen Daten sind spätestens mit Ablauf des dritten Jahres nach dem Jahr der Durchführung zu anonymisieren. Über die getroffenen Datensicherheitsmaßnahmen sind Aufzeichnungen zu führen, die mindestens drei Jahre aufzubewahren sind.“

3. Art. 1 § 7 Abs. 1a entfällt.

4. Art. 1 § 7b Abs. 2 entfällt.

5. In Art. 1 § 7b Abs. 3 wird das Wort „Dienstleister“ durch das Wort „Auftragsverarbeiter“ ersetzt.

6. In Art. 1 § 9 Abs. 4 erster Satz wird das Zitat „Z 2“ durch das Zitat „Abs. 3 Z 2“ ersetzt.

7. In Art. 1 § 9 Abs. 4 zweiter Satz wird das Zitat „Z 3“ durch das Zitat „Abs. 3 Z 3“ ersetzt.

8. In Art. 1 § 9a Abs. 2 Z 3 und 5 wird das Wort „Bildung“ durch die Wendung „Bildung, Wissenschaft und Forschung“ ersetzt.

9. Art. 1 § 11 Abs. 1 Z 3 lautet:

  1. „3. ein Mitglied vom zuständigen Regierungsmitglied aus dem Verwaltungsbereich „Wissenschaft und Forschung“ zu bestellen ist,“

10. Art. 1 § 12 Abs. 1 letzter Satz entfällt.

11. Art. 1 § 27 lautet:

§ 27. Mit der Vollziehung dieses Bundesgesetzes ist

  1. 1. hinsichtlich des § 11 Abs. 1 Z 2 und des § 18 der Bundesminister oder die Bundesministerin für Finanzen,
  2. 2. hinsichtlich des § 16 der Bundesminister oder die Bundesministerin für Bildung, Wissenschaft und Forschung im Einvernehmen mit dem Bundesminister oder der Bundesministerin für Finanzen und
  3. 3. im Übrigen der Bundesminister oder die Bundesministerin für Bildung, Wissenschaft und Forschung

    betraut.“

12. Dem Art. 1 § 28 wird folgender Abs. 6 angefügt:

„(6) Die nachstehend genannten Bestimmungen in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten wie folgt in Kraft:

  1. 1. § 9 Abs. 4, § 9a Abs. 2 Z 3 und 5, § 11 Abs. 1 Z 3, § 12 Abs. 1 sowie § 27 treten mit Ablauf des Tages der Kundmachung im Bundesgesetzblatt in Kraft;
  2. 2. § 3 Abs. 3 sowie § 7b Abs. 3 treten mit 25. Mai 2018 in Kraft;
  3. 3. § 6 Abs. 2 und 3 tritt mit 1. Jänner 2019 in Kraft.

    § 7 Abs. 1a und § 7b Abs. 2 treten mit Ablauf des 24. Mai 2018 außer Kraft.“

Das Hochschulgesetz 2005, BGBl. I Nr. 30/2006, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 138/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Dem § 1 wird folgender Abs. 3 angefügt:

„(3) Soweit dieses Bundesgesetz keine abweichenden Bestimmungen enthält, sind der 1. und 2. Abschnitt des Forschungsorganisationsgesetzes (FOG), BGBl. Nr. 341/1981, auch im Anwendungsbereich dieses Bundesgesetzes anzuwenden.“

2. In § 12 Abs. 1 Z 1 und Abs. 2 Z 2 wird das Wort „Bildung“ jeweils durch die Wendung „Bildung, Wissenschaft und Forschung“ ersetzt.

3. In § 12 Abs. 2 Z 1 sowie in § 17 Abs. 3 wird die Wendung „Land- und Forstwirtschaft, Umwelt und Wasserwirtschaft“ durch die Wendung „Nachhaltigkeit und Tourismus“ ersetzt.

4. In § 21 Abs. 5 wird das Wort „aufgezeichneten“ durch das Wort „verarbeiteten“ und die Wendung „Genehmigung des oder der Betroffenen“ durch die Wendung „Einwilligung der betroffenen Personen“ ersetzt.

5. § 24 Abs. 3 zweiter Satz lautet:

„Im Falle der Ausübung des Aufsichtsrechtes über die Hochschule für Agrar- und Umweltpädagogik Wien bei gemeinsam mit anderen Pädagogischen Hochschulen, Universitäten, Fachhochschulen oder Privatuniversitäten eingerichteten Studien ist das Einvernehmen mit der Bundesministerin oder dem Bundesminister für Bildung, Wissenschaft und Forschung herzustellen.“

6. In § 33 Abs. 3 wird nach dem Wort „Informationen“ der Klammerausdruck „(personenbezogene Daten gemäß Art. 4 Z 1 DSGVO und sonstige Informationen)“ eingefügt.

7. In § 52d Abs. 3 wird die Wendung „Bildung und die Bundesministerin oder der Bundesminister für Wissenschaft, Forschung und Wirtschaft haben durch gemeinsame Verordnung“ durch die Wendung „Bildung, Wissenschaft und Forschung hat durch Verordnung“ ersetzt.

8. § 53 Abs. 1 lautet:

„(1) Einer Studienwerberin oder einem Studienwerber, die oder der noch an keiner inländischen Pädagogischen Hochschule, Universität, Einrichtung zur Durchführung von Fachhochschul-Studiengängen oder Privatuniversität zugelassen war, hat die Pädagogische Hochschule anlässlich der erstmaligen Zulassung zum Studium eine Matrikelnummer zuzuordnen. Diese ist für alle weiteren Studienzulassungen der oder des betreffenden Studierenden beizubehalten. Die näheren Bestimmungen über Bildung und Vergabe von Matrikelnummern sind durch Verordnung der Bundesministerin oder des Bundesministers für Bildung, Wissenschaft und Forschung zu treffen.“

9. In § 65 Abs. 7 letzter Satz wird die Wendung „Bildung und die Bundesministerin oder der Bundesminister für Wissenschaft, Forschung und Wirtschaft haben durch eine gemeinsame Verordnung“ durch die Wendung „Bildung, Wissenschaft und Forschung hat durch Verordnung“ ersetzt.

10. In § 69 Abs. 1 Z 1 wird das Zitat „§ 38 Abs. 1 und 2“ durch das Zitat „§ 38 Abs. 1 und 1a“ ersetzt.

11. In § 69 Abs. 6 wird die Wendung „eine gemeinsame Verordnung der Bundesministerin oder des Bundesministers für Bildung und der Bundesministerin oder des Bundesministers für Wissenschaft, Forschung und Wirtschaft“ durch die Wendung „Verordnung der Bundesministerin oder des Bundesministers für Bildung, Wissenschaft und Forschung“ ersetzt.

12. § 71 Abs. 6 erster Satz lautet:

„Die Bundesministerin oder der Bundesminister für Bildung, Wissenschaft und Forschung ist berechtigt, entsprechend den Schwerpunktsetzungen Österreichs bei den Maßnahmen zur Unterstützung und Förderung der wirtschaftlichen und sozialen Entwicklung durch Verordnung Staaten festzulegen, deren Angehörige von der Entrichtung des Studienbeitrages befreit werden können.“

13. In § 74a Abs. 1 erster Satz wird die Wendung „Bildung hat gemeinsam mit der Bundesministerin oder dem Bundesminister für Wissenschaft, Forschung und Wirtschaft“ durch die Wendung „Bildung, Wissenschaft und Forschung hat“ ersetzt.

14. § 74a Abs. 2 letzter Satz lautet:

„Die Mitglieder sind von der Bundesministerin oder dem Bundesminister für Bildung, Wissenschaft und Forschung zu bestellen.“

15. In § 74a Abs. 6 wird die Wendung „Bildung im Einvernehmen mit der Bundesministerin oder dem Bundesminister für Wissenschaft, Forschung und Wirtschaft“ durch die Wendung „Bildung, Wissenschaft und Forschung“ ersetzt.

16. § 74a Abs. 8 lautet:

„(8) Der Qualitätssicherungsrat trifft seine Entscheidungen im Abstimmungsweg. Eine Entscheidung des Qualitätssicherungsrates kommt nur zustande, wenn mindestens vier Mitglieder für einen Antrag gestimmt haben. Die Entscheidungen des Qualitätssicherungsrates sind der Bundesministerin oder dem Bundesminister für Bildung, Wissenschaft und Forschung zu übermitteln und zu veröffentlichen. Die näheren Bestimmungen zur Geschäftsführung legt der Qualitätssicherungsrat in seiner Geschäftsordnung fest und erstellt eine Mehrjahresplanung, die der Genehmigung der Bundesministerin oder des Bundesministers für Bildung, Wissenschaft und Forschung bedarf. Die Geschäftsordnung ist zu veröffentlichen. Der Qualitätssicherungsrat wird in seiner Geschäftsführung durch eine Geschäftsstelle unterstützt. Der Personal- und Sachaufwand wird vom Bundesministerium für Bildung, Wissenschaft und Forschung getragen.“

17. § 79 lautet:

§ 79. Mit der Vollziehung dieses Bundesgesetzes ist betraut:

  1. 1. hinsichtlich der Hochschule für Agrar- und Umweltpädagogik Wien gemäß § 1 Abs. 1 Z 9 der Bundesminister oder die Bundesministerin für Nachhaltigkeit und Tourismus in den Angelegenheiten der Errichtung, Erhaltung und Auflassung einschließlich der Bestellung von Funktionären und der mit der Finanzgebarung an der Hochschule für Agrar- und Umweltpädagogik Wien im Zusammenhang stehenden Bestimmungen;
  2. 2. hinsichtlich des § 24 Abs. 3 zweiter Satz die Bundesministerin oder der Bundesminister für Nachhaltigkeit und Tourismus im Einvernehmen mit der Bundesministerin oder dem Bundesminister für Bildung, Wissenschaft und Forschung;
  3. 3. im Übrigen die Bundesministerin oder der Bundesminister für Bildung, Wissenschaft und Forschung.“

18. Dem § 80 wird folgender Abs. 14 angefügt:

„(14) Die nachstehend genannten Bestimmungen dieses Bundesgesetzes in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten wie folgt in Kraft:

  1. 1. § 12 Abs. 1 Z 1 und Abs. 2 Z 1 und 2, § 17 Abs. 3, § 24 Abs. 3, § 52d Abs. 3, § 53 Abs. 1, § 65 Abs. 7, § 69 Abs. 1 und 6, § 71 Abs. 6, § 74a Abs. 1, 2, 6 und 8, § 79 sowie die Anlage zu § 74a Abs. 1 Z 4 treten mit Ablauf des Tages der Kundmachung im Bundesgesetzblatt in Kraft;
  2. 2. § 1 Abs. 3, § 21 Abs. 5 sowie § 33 Abs. 3 treten mit 25. Mai 2018 in Kraft.“

19. In der Anlage zu § 74a Abs. 1 Z 4 wird in Abschnitt 4.1. lit. b und in Abschnitt 5.1. lit. b das Wort „Bildung“ jeweils durch die Wendung „Bildung, Wissenschaft und Forschung“ ersetzt.

Das Schülerbeihilfengesetz 1983, BGBl. Nr. 455/1983, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 138/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. § 1a Z 4 lautet:

  1. „4. Flüchtlinge im Sinne des Artikels 1 des Abkommens über die Rechtsstellung der Flüchtlinge, BGBl. Nr. 55/1955, in der Fassung des Protokolls über die Rechtsstellung der Flüchtlinge, BGBl. Nr. 78/1974.“

2. In § 13 Z 1 in der Fassung vor dem Bundesgesetz BGBl. I Nr. 138/2017 wird die Wendung „Unterricht, Kunst und Kultur“ durch die Wendung „Bildung, Wissenschaft und Forschung“ ersetzt.

3. In § 13 Z 1 in der Fassung des Bundesgesetzes BGBl. I Nr. 138/2017 wird das Wort „Bildung“ durch die Wendung „Bildung, Wissenschaft und Forschung“ ersetzt.

4. Dem § 13 wird folgender Satz angefügt:

„Die gemäß Z 1 bis 4 Zuständigen sind Verantwortliche gemäß Art. 4 Z 7 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1.“

5. § 15 Abs. 5 entfällt.

6. § 15 Abs. 6 bis 8 lautet:

„(6) Im Verfahren zur Gewährung von Beihilfen nach diesem Bundesgesetz sind die Beihilfenbehörden berechtigt, die hierfür notwendigen personenbezogenen Daten gemäß der Anlage automationsunterstützt zu verarbeiten.

(7) Die folgenden Einrichtungen haben den Schülerbeihilfenbehörden auf Anfrage unter Angabe der Sozialversicherungsnummer, bei Abfragen aus dem zentralen Melderegister unter Angabe von Namen und Geburtsdatum die zur Überprüfung der Anspruchsvoraussetzungen und zur Bemessung der Beihilfenhöhe notwendigen und in ihrem Bereich verfügbaren Daten gemäß der Anlage, wenn möglich im automationsunterstützten Datenverkehr zu übermitteln:

  1. 1. die Abgabenbehörden des Bundes,
  2. 2. die Träger der Sozialversicherung,
  3. 3. das Arbeitsmarktservice,
  4. 4. die Bundesrechenzentrum GmbH (BRZ),
  5. 5. das zentrale Melderegister,
  6. 6. die Studienbeihilfenbehörde,
  7. 7. die vom Antragsteller besuchte Schule.

(8) Zum Zweck der Gewährung von Schülerbeihilfen verarbeitete Daten sind spätestens mit Ablauf des 31. Juli des der letzten Antragstellung siebentfolgenden Kalenderjahres zu löschen.“

7. § 15 Abs. 9 und 10 entfällt.

8. § 25 lautet:

§ 25. Mit der Vollziehung sind betraut:

  1. 1. hinsichtlich des § 1 Abs. 2 und des § 21 Abs. 6 erster Satz der Bundesminister oder die Bundesministerin für Verfassung, Reformen, Deregulierung und Justiz,
  2. 2. hinsichtlich des § 15 Abs. 7 Z 1, des § 21 Abs. 6 zweiter Satz und des § 22 der Bundesminister oder die Bundesministerin für Finanzen,
  3. 3. hinsichtlich der Schulen für medizinische Assistenzberufe der Bundesminister oder die Bundesministerin für Arbeit, Soziales, Gesundheit und Konsumentenschutz,
  4. 4. hinsichtlich des § 15 Abs. 7 Z 5 der Bundesminister oder die Bundesministerin für Inneres und
  5. 5. im Übrigen der Bundesminister oder die Bundesministerin für Bildung, Wissenschaft und Forschung.“

9. Dem § 26 wird folgender Abs. 20 angefügt:

„(20) Die nachstehend genannten Bestimmungen in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten wie folgt in Kraft:

  1. 1. § 1a Z 4 und § 13 Z 1 in der Fassung des Art. 56 Z 2 des genannten Bundesgesetzes treten mit Ablauf des Tages der Kundmachung im Bundesgesetzblatt in Kraft;
  2. 2. § 13 letzter Satz, § 15 Abs. 6, 7 und 8, § 25 sowie die Anlage treten mit 25. Mai 2018 in Kraft;
  3. 3. § 13 Z 1 in der Fassung des Art. 56 Z 3 des genannten Bundesgesetzes tritt mit 1. Jänner 2019 in Kraft.

    § 15 Abs. 5, 9 und 10 tritt mit Ablauf des 24. Mai 2018 außer Kraft.“

10. Nach § 26 wird folgende Anlage angefügt:

  1. 1. Folgende personenbezogene Daten der Personen, deren Einkommen zur Ermittlung der sozialen Bedürftigkeit nachzuweisen ist, werden im Verfahren zur Gewährung von Beihilfen nach diesem Bundesgesetz durch die Beihilfenbehörden (§13) verarbeitet:
  2. 1. 1. Name, Titel, Anschrift und Telefonnummer, Angaben zur elektronischen Erreichbarkeit,
  3. 1. 2. Geburtsdatum und Versicherungsnummer gemäß § 31 des Allgemeinen Sozialversicherungsgesetzes, BGBl. Nr. 189/1955 i.d.g.F.,
  4. 1. 3. Staatsbürgerschaft,
  5. 1. 4. Familienstand und Geschlecht,
  6. 1. 5. Beruf bzw. Tätigkeit,
  7. 1. 6. Dauer der Versicherungsverhältnisse,
  8. 1. 7. Name und Anschrift des Dienstgebers,
  9. 1. 8. die für die Ermittlung der Schülerbeihilfe erforderlichen Daten des Einkommens im Sinne des § 4 Abs. 1,
  10. 1. 9. Schulbesuchsnachweise des Beihilfenwerbers,
  11. 1. 10. Bankdaten des Beihilfenwerbers bzw. seines Vertreters,
  12. 1. 11. Gewährung von Familienbeihilfe,
  13. 1. 12. Höhe und Bezugsdauer der Studienbeihilfe,
  14. 1. 13. Höhe und Bezugsdauer von Krankengeld,
  15. 1. 14. Höhe und Bezugsdauer von Wochengeld.
  16. 2. Folgende Daten der Schülerin oder des Schülers, ihrer oder seiner Eltern und Geschwister sowie ihres Ehegatten oder seiner Ehegattin oder eingetragenen Partnerin oder Partners sind im Rahmen von Verfahren nach dem Schülerbeihilfengesetz von den Schülerbeihilfenbehörden durch Anfrage mittels Datenträger (Datenleitung) unter Angabe der jeweiligen Sozialversicherungsnummer bei der BRZ als Auftragsverarbeiterin der Abgabenbehörden des Bundes zu ermitteln:
  17. 2. 1. Die in dem für das zum Antragszeitpunkt zuletzt veranlagte Kalenderjahr ergangenen Einkommensteuerbescheid enthaltenen Daten mit Ausnahme der zu entrichtenden Einkommensteuer,
  18. 2. 2. die in den Lohnzetteln enthaltenen Daten aus jenem Kalenderjahr, das dem Jahr der Antragstellung vorangegangen ist,
  19. 2. 3. steuerfreie Einkünfte gemäß § 10, § 12, § 18 Abs. 1 Z 4, Abs. 6 und 7, § 24 Abs. 4, § 27 Abs. 3, § 41 Abs. 3 und § 112 Z 5, 7 und 8 EStG 1988, BGBl. Nr. 400/1988, aus dem zuletzt veranlagten Kalenderjahr,
  20. 2. 4. Leistungen nach dem Kinderbetreuungsgeldgesetz, BGBl. I Nr. 103/2001, aus jenem Kalenderjahr, das dem Jahr der Antragstellung vorangegangen ist,
  21. 2. 5. anstelle einer Leistung nach dem Arbeitslosenversicherungsgesetz 1977, BGBl. Nr. 609/1977, gewährte Krankengelder aus jenem Kalenderjahr, das dem Jahr der Antragstellung vorangegangen ist,
  22. 2. 6. Karenzgeld nach dem Karenzgeldgesetz, BGBl. I Nr. 47/1997, aus jenem Kalenderjahr, das dem Jahr der Antragstellung vorangegangen ist,
  23. 2. 7. steuerfreie Einkünfte gemäß § 3 Abs. 1 Z 4 lit. a, c und e, Z 8, Z 10 sowie Z 11 EStG 1988 aus jenem Kalenderjahr, das dem Jahr der Antragstellung vorangegangen ist,
  24. 2. 8. hinsichtlich der Schülerin oder des Schülers oder ihrer oder seiner Geschwister die Tatsache des Bezuges erhöhter Familienbeihilfe nach dem Familienlastenausgleichsgesetz 1967.
  25. 3. Folgende Daten der Schülerin oder des Schülers, ihrer oder seiner Eltern und Geschwister sowie ihres Ehegatten oder seiner Ehegattin oder eingetragenen Partnerin oder Partners sind im Rahmen von Verfahren nach dem Schülerbeihilfengesetz von den Schülerbeihilfenbehörden durch Anfrage mittels Datenleitung (Datenträger) direkt bei den Trägern der Sozialversicherung (deren Hauptverband) unter Angabe der jeweiligen Sozialversicherungsnummer zu ermitteln:
  26. 3. 1. Steuerfreie Einkünfte gemäß § 3 Abs. 1 Z 4 lit. a, c und e sowie Z 5 EStG 1988 aus jenem Kalenderjahr, das dem Jahr der Antragstellung vorangegangen ist,
  27. 3. 2. anstelle einer Leistung nach dem Arbeitslosenversicherungsgesetz 1977 gewährte Krankengelder aus jenem Kalenderjahr, das dem Jahr der Antragstellung vorangegangen ist,
  28. 3. 3. die Beitragsgrundlage des zum Stichtag bewirtschafteten land- und forstwirtschaftlichen Eigengrundes, die Beitragsgrundlage des zum Stichtag bewirtschafteten land- und forstwirtschaftlichen Pachtgrundes, Einkünfte gemäß § 23 Abs. 4 des Bauern-Sozialversicherungsgesetzes (BSVG), BGBl. Nr. 559/1978, im Betrieb und land- und forstwirtschaftliche Nebeneinkünfte gemäß § 23 Abs. 4b BSVG,
  29. 3. 4. Leistungen nach dem Kinderbetreuungsgeldgesetz aus jenem Kalenderjahr, das dem Jahr der Antragstellung vorangegangen ist,
  30. 3. 5. Leistungen nach dem Karenzgeldgesetz aus jenem Kalenderjahr, das dem Jahr der Antragstellung vorangegangen ist,
  31. 3. 6. die gewährten Leistungen nach dem Sonderunterstützungsgesetz, BGBl. Nr. 642/1973, aus jenem Kalenderjahr, das dem Jahr der Antragstellung vorangegangen ist.
  32. 4. Daten der Schülerin oder des Schülers, ihrer oder seiner Eltern und ihres Ehegatten oder seiner Ehegattin oder eingetragenen Partnerin oder Partners über die nach § 3 Abs. 1 Z 5 EStG 1988 gewährten Leistungen gemäß dem Arbeitslosenversicherungsgesetz 1977, dem Arbeitsmarktförderungsgesetz, BGBl. Nr. 31/1969, dem Arbeitsmarktservicegesetz, BGBl. Nr. 313/1994, und dem Überbrückungshilfegesetz, BGBl. Nr. 174/1963, aus jenem Kalenderjahr, das dem Jahr der Antragstellung vorangegangen ist, sind im Rahmen von Verfahren nach dem Schülerbeihilfengesetz von den Schülerbeihilfenbehörden durch Anfrage mittels Datenleitung (Datenträger) unter Angabe der jeweiligen Sozialversicherungsnummer direkt beim Arbeitsmarktservice zu ermitteln.
  33. 4. 1. Eine Datenübermittlung hinsichtlich der Beihilfen nach dem Arbeitsmarktförderungsgesetz und dem Arbeitsmarktservicegesetz findet nur insoweit statt, als diese Beihilfengewährung auch automationsunterstützt durchgeführt wird. Die vom Arbeitsmarktservice zu ermittelnden Daten können auch über die BRZ als Auftragsverarbeiterin des Arbeitsmarktservices zur Verfügung gestellt werden.
  34. 5. Soweit es sich bei den übermittelten Daten nicht um Steuerbescheide oder Lohnzettel handelt, umfassen sie Art und Höhe der Einkünfte sowie den Zeitraum des Bezuges.
  35. 6. Folgende Daten der Schülerin oder des Schülers sind im Rahmen von Verfahren nach dem Schülerbeihilfengesetz von den Schülerbeihilfenbehörden nach Maßgabe der technischen Möglichkeiten durch Anfrage mittels Datenleitung (Datenträger) direkt bei der Studienbeihilfenbehörde zu ermitteln:
  36. 6. 1. Hinsichtlich der für die Einkommensermittlung heranzuziehenden Personen die Tatsache der Inskription bzw. Meldung zur Fortsetzung des Studiums, soweit dies für die Entscheidung im Schülerbeihilfenverfahren erforderlich ist,
  37. 6. 2. hinsichtlich der für die Einkommensermittlung heranzuziehenden Personen die Dauer und Höhe zuerkannter Studienbeihilfen.
  38. 7. Folgende Daten der Schülerin oder des Schülers, ihrer oder seiner Eltern und Geschwister sowie ihres Ehegatten oder seiner Ehegattin oder eingetragenen Partnerin oder Partners sind im Rahmen von Verfahren nach dem Schülerbeihilfengesetz von den Schülerbeihilfenbehörden durch Anfrage mittels Datenträger (Datenleitung) unter Angabe der jeweiligen Sozialversicherungsnummer beim Bundesministerium für Inneres aus dem Zentralen Melderegister zu ermitteln:
  39. 7. 1. Adresse der Schülerin oder des Schülers (Hauptwohnsitz),
  40. 7. 2. Adresse der Erziehungsberechtigten (Hauptwohnsitz),
  41. 7. 3. Staatsangehörigkeit der Schülerin oder des Schülers,
  42. 7. 4. Meldezeit der Schülerin oder des Schülers und der Erziehungsberechtigten in Österreich.
  43. 8. Folgende Daten der Schülerin oder des Schülers sind im Rahmen von Verfahren nach dem Schülerbeihilfengesetz von den Schülerbeihilfenbehörden nach Maßgabe der technischen Möglichkeiten durch Anfrage mittels Datenleitung (Datenträger) direkt bei den Schulen zu ermitteln:
  44. 8. 1. Österreichische Staatsbürgerschaft oder gleichgestellt,
  45. 8. 2. Schulname, Schuladresse und Schulkennzahl,
  46. 8. 3. Klasse/Jahrgang und Fachrichtung der Schülerin oder des Schülers,
  47. 8. 4. Dauer des Unterrichtsjahres,
  48. 8. 5. die ordentliche oder außerordentliche Schülerschaft,
  49. 8. 6. ob sich die Schülerin oder der Schüler in der 9. Schulstufe, 10. Schulstufe oder einer höheren Schulstufe befindet,
  50. 8. 7. der Besuch einer modularen Unterrichtsform (ja/nein),
  51. 8. 8. Gesamtsemesterzahl der Ausbildung,
  52. 8. 9. Wochenstundenzahl der gesamten Ausbildung,
  53. 8. 10. von der Schülerin oder dem Schüler bekanntgegebene Wochenstundenzahl im laufenden Semester/Halbjahr,
  54. 8. 11. ob die Schülerin oder der Schüler Internatsschülerin oder Internatsschüler in einer land- und forstwirtschaftlichen Fachschule mit Internatspflicht oder einer Forstfachschule mit angeschlossenem Schüler/innenheim ist,
  55. 8. 12. die Zumutbarkeit des täglichen Hin- und Rückwegs zwischen Wohnort der Eltern und Schulort (Zweistundengrenze).“

Digitales, Wirtschaft

Das E-Government-Gesetz - E-GovG, BGBl. I Nr. 10/2004, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 121/2017, wird wie folgt geändert:

1. Im Inhaltsverzeichnis wird im Eintrag zu § 8 das Wort „Datenanwendungen“ durch das Wort „Datenverarbeitungen“ ersetzt.

2. Im Inhaltsverzeichnis wird im Eintrag zu § 14 nach dem Wort „Verwendung“ die Wortfolge „des E-ID“ eingefügt.

3. Im Inhaltsverzeichnis wird im Eintrag zu § 15 das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.

4. Im Inhaltsverzeichnis wird im Eintrag zu § 16 nach dem Wort „für“ das Wort „personenbezogene“ eingefügt.

5. Im Inhaltsverzeichnis wird im Eintrag zu § 17 nach dem Wort „für“ das Wort „personenbezogene“ eingefügt.

6. Im Inhaltsverzeichnis wird im Eintrag zu § 18 nach dem Wort „für“ das Wort „personenbezogene“ eingefügt und das Wort „Auftraggebers“ durch das Wort „Verantwortlichen“ ersetzt.

7. Im Inhaltsverzeichnis lautet der Eintrag zu § 22:

„§ 22. Unzulässige Verarbeitung von Stammzahlen oder bPK oder unzulässige Verwendung von Amtssignaturen“

8. § 3 Abs. 1 lautet:

„(1) Im elektronischen Verkehr mit Verantwortlichen des öffentlichen Bereichs im Sinne des Art. 4 Z 7 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1 (im Folgenden: DSGVO) in Verbindung mit § 26 Abs. 1 des Datenschutzgesetzes - DSG, BGBl. I Nr. 165/1999, dürfen Zugriffsrechte auf personenbezogene Daten (Art. 4 Z 1 DSGVO), nur eingeräumt werden, wenn die eindeutige Identität desjenigen, der zugreifen will, und die Authentizität seines Ersuchens nachgewiesen sind. Dieser Nachweis muss in elektronisch prüfbarer Form erbracht werden.“

9. In § 3 Abs. 2, § 4 Abs. 1, 2, 5 und 6, § 4b, § 5 Abs. 1, § 6 Abs. 4, § 8, § 10 Abs. 1 und 2, § 11, § 14, § 14a Abs. 2, § 15 Abs. 1, § 16 Abs. 2, § 17 Abs. 2, der Überschrift zu § 18, § 18 Abs. 1, § 19 Abs. 2 und 3, § 22 Abs. 1 Z 2 bis 4 und in § 24 Abs. 3 wird jeweils das Wort „Auftraggeber“ in der jeweils grammatikalisch richtigen Form durch das Wort „Verantwortlicher“ in der jeweils grammatikalisch richtigen Form ersetzt.

10. In § 4 Abs. 2 und 4, § 4a Abs. 3 und 4, § 4b, § 6 Abs. 2 und 4, § 14 Abs. 3, der Überschrift zu § 16, § 16 Abs. 2, der Überschrift zu § 17, § 17 Abs. 1 und 2, der Überschrift zu § 18, § 18 Abs. 2 und § 22 Abs. 1 Z 4 wird jeweils das Wort „Daten“ durch die Wortfolge „personenbezogene Daten“ in der jeweils grammatikalisch richtigen Form ersetzt.

11. In § 4 Abs. 2 und 5, § 5 Abs. 1, § 14 Abs. 3, § 14a Abs. 2 und § 17 Abs. 2 wird jeweils das Wort „Zustimmung“ durch das Wort „Einwilligung“ ersetzt.

12. In § 4 Abs. 5, § 4a Abs. 4 und 5, § 4b, § 5 Abs. 1 bis 3, § 6 Abs. 4, der Überschrift zu § 8, § 8, § 9 Abs 1 und 2, § 10 Abs. 1 und 2, § 13 Abs. 2 Z 1 und Abs. 3, § 14 Abs. 3, § 14a Abs. 2 und § 15 Abs. 1 wird jeweils das Wort „Datenanwendung“ in der jeweils grammatikalisch richtigen Form durch das Wort „Datenverarbeitung“ in der jeweils grammatikalisch richtigen Form ersetzt.

13. In § 4b, § 6 Abs. 2, § 10 Abs. 2, § 12 Abs. 1 Z 2 und Abs. 2, der Überschrift zu § 15, § 15 Abs. 1 und § 25 Abs. 2 wird jeweils das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.

14. In § 7 Abs. 2 wird das Wort „Dienstleister“ jeweils durch das Wort „Auftragsverarbeiter“ ersetzt.

15. In § 9 Abs. 1, § 13 Abs. 1 und Abs. 2 Z 1 und § 18 Abs. 2 wird jeweils das Wort „verwendet“ durch das Wort „verarbeitet“ ersetzt.

16. § 6 Abs. 5 lautet:

„(5) Elektronische Identifizierungsmittel eines anderen Mitgliedstaats der Europäischen Union, die die Anforderungen des Art. 6 Abs. 1 eIDAS-VO erfüllen, können bei Verantwortlichen des öffentlichen Bereichs wie ein E-ID für Zwecke der eindeutigen Identifikation im Sinne dieses Bundesgesetzes verwendet werden. Bei Verantwortlichen des privaten Bereichs gilt dies nur dann, wenn diese die Verwendung solcher Identifizierungsmittel zulassen. Nach Maßgabe der technischen Voraussetzungen hat diese Anerkennung spätestens sechs Monate nach der Veröffentlichung des jeweiligen elektronischen Identifizierungssystems in der Liste gemäß Art. 9 eIDAS-VO zu erfolgen. Bei der Verwendung eines solchen elektronischen Identifizierungsmittels ist für Betroffene, die weder im Melderegister noch im Ergänzungsregister eingetragen sind, ein Eintrag im Ergänzungsregister zu erzeugen. Dafür sind die Personenidentifikationsdaten des verwendeten elektronischen Identifizierungsmittels in das Ergänzungsregister einzutragen. Besteht eine Eintragung für den Betroffenen im Melderegister oder im Ergänzungsregister, sind die Personenidentifikationsdaten des verwendeten elektronischen Identifizierungsmittels in das entsprechende Register einzutragen. Bei der eindeutigen Identifikation im elektronischen Verkehr ist die Personenbindung sinngemäß nach § 4 Abs. 5 oder § 14 Abs. 3 zu erstellen.“

17. In § 9 Abs. 1 wird die Wortfolge „im Datenverarbeitungsregister oder aus der Standard- und Musterverordnung gemäß § 17 Abs. 2 Z 6 DSG 2000“ durch die Wortfolge „bei der Stammzahlenregisterbehörde gemäß § 10 Abs. 1 zweiter Satz“ ersetzt.

18. In § 9 Abs. 2 entfällt der Klammerausdruck „(§ 6 Abs. 1 Z 2 DSG 2000)“.

19. In § 10 Abs. 2 und § 15 Abs. 1 Z 2 wird jeweils die Wortfolge „dem DSG 2000“ durch die Wortfolge „der DSGVO und dem DSG“ ersetzt.

20. In § 14 Abs. 1 wird das Zitat „§ 5 Abs. 3 DSG 2000“ durch das Zitat „§ 26 Abs. 4 DSG“ ersetzt.

21. In der Überschrift zu § 15 wird nach dem Wort „Verwendung“ die Wortfolge „des E-ID“ eingefügt.

22. § 17 Abs. 3 Z 1 lautet:

  1. „1. in Verfahren, in welchen die Vorlage von Standarddokumenten im Sinne des Abs. 1 erforderlich ist, in die Beschaffung der benötigten personenbezogenen Daten aus dem Zentralen Melderegister einwilligen oder“

23. Die Überschrift zu § 22 lautet:

„Unzulässige Verarbeitung von Stammzahlen oder bPK oder unzulässige Verwendung von Amtssignaturen“

24. In § 22 Abs. 1 Z 3 entfällt die Wortfolge „nach § 8 DSG 2000“.

25. Dem § 24 wird folgender Abs. 8 angefügt:

„(8) Die Einträge im Inhaltsverzeichnis zu den §§ 8, 14, 15 bis 18 und 22, § 3, § 4 Abs. 1, 2, 4, 5 und 6, § 4a Abs. 3 bis 5, § 4b, § 5 Abs. 1 bis 3, § 6 Abs. 2 und 4, § 7 Abs. 2, § 8 samt Überschrift, § 9 Abs. 1 und 2, § 10 Abs. 1 und 2, § 11, § 12, § 13, § 14 samt Überschrift, § 14a Abs. 2, die Überschrift zu § 15, § 15 Abs. 1, die Überschrift zu § 16, § 16 Abs. 2, § 17 samt Überschrift, die Überschrift zu § 18, § 18 Abs. 1 und 2, § 19 Abs. 2 und 3, die Überschrift zu § 22, § 22 Abs. 1, § 24 Abs. 3 sowie § 25 Abs. 2 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft und finden mit Ausnahme des Eintrags im Inhaltsverzeichnis zu § 22 und von § 3, § 6 Abs. 2, § 9 Abs. 1 und 2, § 11, § 13, der Überschrift zu § 16, § 16 Abs. 2, § 17 samt Überschrift, § 19 Abs. 2 und 3, der Überschrift zu § 22, § 22 Abs. 1, § 24 Abs. 3 und § 25 Abs. 2 erst ab dem Zeitpunkt Anwendung, den der Bundeminister für Inneres gemäß Abs. 6 letzter Satz im Bundesgesetzblatt kundmacht. § 6 Abs. 5 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, tritt mit dem vom Bundesminister für Inneres gemäß Abs. 6 im Bundesgesetzblatt kundgemachten Zeitpunkt in Kraft.“

Das Signatur- und Vertrauensdienstegesetz - SVG, BGBl. I Nr. 50/2016, in der Fassung des Bundesgesetzes BGBl. I Nr. YY/2018, wird wie folgt geändert:

1. § 10 Abs. 2 lautet:

„(2) Bei Verwendung eines Pseudonyms in einem Zertifikat hat der VDA die personenbezogenen Daten über die Identität des Signators an einen Dritten zu übermitteln, sofern von diesem an der Feststellung der Identität ein überwiegendes berechtigtes Interesse glaubhaft gemacht wird. Die Übermittlung ist zu dokumentieren.“

2. Dem § 20 wird folgender Abs. 3 angefügt:

„(3) § 10 Abs. 2 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, tritt mit 25. Mai 2018 in Kraft.“

Das Unternehmensserviceportalgesetz - USPG, BGBl. I Nr. 52/2009, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 40/2017, wird wie folgt geändert:

1. In der Überschrift zu § 4 wird das Wort „Dienstleisterstellung“ durch das Wort „Auftragsverarbeiterstellung“ ersetzt.

2. § 4 Abs. 1 erster Satz lautet:

„Der Betreiber des Unternehmensserviceportals ist hinsichtlich der für die Authentifizierung und Identifikation der Benutzerinnen/Benutzer von im Unternehmensserviceportal eingebundenen Anwendungen gesetzlicher Auftragsverarbeiter im Sinne des Art. 4 Z 8 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, und des Datenschutzgesetzes - DSG, BGBl. I Nr. 165/1999, in der jeweils geltenden Fassung, für Teilnehmer gemäß § 5 Abs. 2 Z 1 und 2 und kann sich dabei eines weiteren Auftragsverarbeiters oder FinanzOnline als Authentifizierungsprovider bedienen.“

3. In § 4 Abs. 1 zweiter Satz entfällt die Wortfolge „gemäß § 10 des Datenschutzgesetzes 2000 festzulegen und“.

4. Dem § 8 wird folgender Abs. 7 angefügt:

„(7) Die Überschrift zu § 4 und § 4 Abs. 1 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

Das Dienstleistungsgesetz - DLG, BGBl. I Nr. 100/2011, in der Fassung der Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017wird wie folgt geändert:

1.§ 6 Abs. 6 lautet:

„(6) Der Einheitliche Ansprechpartner ist bei der Erfüllung seiner Aufgaben nach diesem Abschnitt Auftragsverarbeiter im Sinne des Art. 4 Z 8 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, der zur Erledigung der eingebrachten Anbringen zuständigen Stellen.“

2.§ 15 Abs. 6 lautet:

„(6) Die Verbindungsstellen sind bei der Erfüllung ihrer Aufgaben nach den Abs. 3 bis 5 Auftragsverarbeiter im Sinne des Art. 4 Z 8 der Datenschutz-Grundverordnung der zur Verwaltungszusammenarbeit verpflichteten Stellen.“

3. Dem Text des § 28 wird die Absatzbezeichnung „(1)“ vorangestellt; folgender Abs. 2 wird angefügt:

„(2) § 6 Abs. 6 und § 15 Abs. 6 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

Das Informationsweiterverwendungsgesetz - IWG, BGBl. I Nr. 135/2005, in der Fassung des Bundesgesetzes BGBl. I Nr. 76/2015 und der Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. § 2 Abs. 3 lautet:

„(3) Die Bestimmungen des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999, sowie gesetzliche Verschwiegenheitspflichten werden durch dieses Bundesgesetz nicht berührt.“

2. Dem Text des § 18 wird die Absatzbezeichnung „(1)“ vorangestellt; folgender Abs. 2 wird angefügt:

„(2) § 2 Abs. 3 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, tritt mit 25. Mai 2018 in Kraft. § 18 Abs. 1 in der Fassung des genannten Bundesgesetzes tritt mit dem auf die Kundmachung folgenden Tag in Kraft.“

Das Wettbewerbsgesetz - WettbG, BGBl. I Nr. 62/2002, zuletzt geändert durch das Bundesgesetz, BGBl. I Nr. 56/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. In § 10 entfällt im Abs. 1 nach dem Wort „Datenschutzgesetzes“ die Zahl „2000“; nach Abs. 1 wird folgender Abs. 1a eingefügt:

„(1a) Kriminalpolizei, Staatsanwaltschaft und Gerichte sind berechtigt, der Bundeswettbewerbsbehörde sämtliche nach der Strafprozessordnung, insbesondere auch durch Ermittlungsmaßnahmen nach dem 4. bis 6. Abschnitt des 8. Hauptstücks, ermittelte personenbezogene Daten zu übermitteln, die für die Verfolgung von Verstößen gegen das KartG 2005, BGBl. I Nr. 61/2005, und gegen Art. 101 und 102 AEUV notwendig sind.“

2. Dem § 11 werden folgende Abs. 3 bis 5 angefügt:

„(3) Die Bundeswettbewerbsbehörde ist berechtigt, sämtliche personenbezogenen Daten zu verarbeiten, die zur Erreichung ihrer Ziele gemäß § 1 Abs. 1 sowie zur Erfüllung ihrer Aufgaben gemäß § 2 Abs. 1 erforderlich sind.

(4) Eine Auskunftserteilung gemäß Art. 15 Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 199 vom 4.5.2016 S 1, (im Folgenden: DSGVO) hat zu unterbleiben, soweit dies den Zielen der Bundeswettbewerbsbehörde gemäß § 1 Abs. 1 zuwiderlaufen würde oder dadurch die Erfüllung der der Bundeswettbewerbsbehörde gemäß § 2 Abs. 1 übertragenen Aufgaben beeinträchtigt würde.

(5) Hinsichtlich der Verarbeitung personenbezogener Daten ist das Widerspruchsrecht gemäß Art. 21 DSGVO insoweit zu beschränken, als dieses Recht die Erreichung der Ziele gemäß § 1 Abs. 1 sowie die Erfüllung der Aufgaben gemäß § 2 Abs. 1 dieses Bundesgesetzes voraussichtlich unmöglich macht oder ernsthaft beeinträchtigt und die Beschränkung notwendig und verhältnismäßig ist. Darüber ist der Betroffene in geeigneter Weise zu informieren.“

3. § 14 Abs. 3 entfällt.

4. Dem § 21 wird folgender Abs. 8 angefügt:

„(8) § 10 Abs. 1 und 1a sowie § 11 Abs. 3 bis 5 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft; gleichzeitig tritt § 14 Abs. 3 außer Kraft.“

Die Gewerbeordnung 1994 - GewO 1994, BGBl. Nr. 194/1994, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 107/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. In § 77a Abs. 7 werden der zweite und dritte Satz werden durch folgende Sätze ersetzt:

„Diese Bekanntgabe hat auch Angaben über das Verfahren zur Beteiligung der Öffentlichkeit zu enthalten. Der Inhalt der Entscheidung ist der Öffentlichkeit jedenfalls auch im Internet (Weblink) zugänglich zu machen; dies gilt auch für Bescheide gemäß § 81b. Betriebs- und Geschäftsgeheimnisse sind zu wahren.“

2. § 151 lautet:

§ 151. (1) Auf die Verwendung von personenbezogenen Daten für Marketingzwecke Dritter durch die zur Ausübung des Gewerbes der Adressverlage und Direktmarketingunternehmen berechtigten Gewerbetreibenden sind die Bestimmungen der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 199 vom 4.5.2016 S 1, (im Folgenden: DSGVO), sowie des Bundesgesetzes zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz - DSG), BGBl. I. Nr. 165/1999, in der Fassung des Bundesgesetzes BGBl. I. Nr. 120/2017, anzuwenden, soweit im Folgenden nicht Besonderes angeordnet ist.

(2) Die Tätigkeit als Mittler zwischen Inhabern und Nutzern von Kunden- und Interessentendateisystemen (Listbroking) ist den in Abs. 1 genannten Gewerbetreibenden vorbehalten.

(3) Die in Abs. 1 genannten Gewerbetreibenden sind berechtigt, für ihre Tätigkeiten gemäß Abs. 1 und 2 personenbezogene Daten aus öffentlich zugänglichen Informationen, durch Befragung der betroffenen Personen, aus Kunden- und Interessentendateisystemen Dritter oder aus Marketingdateisystemen anderer Adressverlage und Direktmarketingunternehmen zu ermitteln, soweit dies unter Beachtung des Grundsatzes der Verhältnismäßigkeit für

  1. 1. die Vorbereitung und Durchführung von Marketingaktionen Dritter einschließlich der Gestaltung und des Versands für Werbemitteln oder
  2. 2. das Listbroking

    erforderlich und gemäß Abs. 4 und 5 zulässig ist.

(4) Soweit besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO betroffen sind, dürfen diese von den in Abs. 1 genannten Gewerbetreibenden verarbeitet werden, sofern ein ausdrückliches Einverständnis der betroffenen Person zur Verarbeitung dieser Daten für Marketingzwecke Dritter vorliegt. Die Ermittlung und Weiterverarbeitung besonderer Kategorien personenbezogener Daten aus Kunden- und Interessentendateisystemen Dritter auf Grund eines solchen Einverständnisses ist nur im Umfang des Abs. 5 und nur soweit zulässig, als der Inhaber des Dateisystems gegenüber dem Gewerbetreibenden nach Abs. 1 schriftlich unbedenklich erklärt hat, dass die betroffenen Personen mit der Verarbeitung ihrer Daten für Marketingzwecke Dritter ausdrücklich einverstanden waren. Strafrechtlich relevante Daten im Sinne des Art. 10 DSGVO dürfen von Gewerbetreibenden nach Abs. 1 für Marketingzwecke nur gemäß § 4 Abs. 3 DSG oder bei Vorliegen einer ausdrücklichen Einwilligung verarbeitet werden.

(5) Soweit keine Einwilligung der betroffenen Personen gemäß Art. 4 Z 11 DSGVO zur Übermittlung ihrer Daten für Marketingzwecke Dritter vorliegt, dürfen die in Abs. 1 genannten Gewerbetreibenden aus einem Kunden- und Interessentendateisystem eines Dritten nur die Daten

  1. 1. Namen,
  2. 2. Geschlecht,
  3. 3. Titel,
  4. 4. akademischer Grad,
  5. 5. Anschrift,
  6. 6. Geburtsdatum,
  7. 7. Berufs-, Branchen- oder Geschäftsbezeichnung und
  8. 8. Zugehörigkeit der betroffenen Person zu diesem Kunden- und Interessentendateisystem

    ermitteln. Voraussetzung hiefür ist - soweit nicht die strengeren Bestimmungen des Abs. 4 Anwendung finden -, dass der Inhaber des Dateisystems dem Gewerbetreibenden nach Abs. 1 gegenüber schriftlich unbedenklich erklärt hat, dass die betroffenen Personen in geeigneter Weise über die Möglichkeit informiert wurden, die Übermittlung ihrer Daten für Marketingzwecke Dritter zu untersagen, und dass keine Untersagung erfolgt ist.

(6) Gewerbetreibende nach Abs. 1 dürfen für Marketingzwecke erhobene Marketinginformationen und -klassifikationen, die namentlich bestimmten Personen auf Grund von Marketinganalyseverfahren zugeschrieben werden, nur für Marketingzwecke verwenden und sie insbesondere an Dritte nur dann übermitteln, wenn diese unbedenklich erklären, dass sie diese Analyseergebnisse ausschließlich für Marketingzwecke verwenden werden.

(7) Gewerbetreibende nach Abs. 1 haben Aussendungen im Zuge von Marketingaktionen, die sie mit von ihnen zur Verfügung gestellten oder von ihnen vermittelten personenbezogenen Daten durchführen, so zu gestalten, dass durch entsprechende Kennzeichnung des ausgesendeten Werbematerials die Identität der Verantwortlichen jener Dateisysteme, mit deren Daten die Werbeaussendung adressiert wurde (Ursprungsdateisysteme), nachvollziehbar ist; soweit Gewerbetreibende nach Abs. 1 an Werbeaussendungen nur durch Zurverfügungstellung oder Vermittlung von Daten mitwirken, haben sie durch entsprechenden Hinweis an die für die Werbeaussendung Verantwortlichen darauf hinzuwirken, dass die Identität der Verantwortlichen der benutzten Ursprungsdateisysteme nachvollziehbar ist. Für Gewerbetreibende nach Abs. 1 gilt, wenn sie die Aussendung mit von ihnen zur Verfügung gestellten oder von ihnen vermittelten Daten selbst durchgeführt haben, - unbeschadet ihrer allfälligen Auskunftsverpflichtungen als Verantwortliche -, Art. 15 DSGVO mit der Maßgabe, dass sie auf Grund eines innerhalb von drei Monaten nach der Werbeaussendung gestellten Auskunftsbegehrens anhand der von der betroffenen Person zur Verfügung gestellten Informationen über die Werbeaussendung zur Auskunftserteilung nur über die Verantwortlichen der Ursprungsdateisysteme verpflichtet sind; haben sie an der Aussendung nur durch Zurverfügungstellung oder Vermittlung von Daten mitgewirkt, so haben sie nach Möglichkeit zur Auffindung der Verantwortlichen der Ursprungsdateisysteme beizutragen. Bei nicht ordnungsgemäßer Erfüllung der Kennzeichnungspflicht durch Gewerbetreibende nach Abs. 1 genügt die Stellung eines fristgerechten Auskunftsbegehrens an den Werbenden zur Wahrung des Auskunftsrechts gegenüber dem Gewerbetreibenden nach Abs. 1.

(8) Stellt die betroffene Person an einen Gewerbetreibenden nach Abs. 1 ein Begehren auf Löschung von Daten, die dieser für Zwecke von Marketingaktionen über sie gespeichert hat, so hat dieser dem Begehren der betroffenen Person unverzüglich, in jedem Fall innerhalb von einem Monat kostenlos zu entsprechen (Art. 12 Abs. 3 DSGVO). Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Soweit die betroffene Person - nach entsprechender Information über die möglichen Folgen einer physischen Löschung ihrer Daten - auf der physischen Löschung ihrer Daten nicht besteht, hat die Löschung in Form einer Sperrung der Verwendung dieser Daten für Marketingaussendungen zu erfolgen.

(9) Der Fachverband Werbung und Marktkommunikation der Wirtschaftskammer Österreich hat eine Liste zu führen, in welcher Personen kostenlos einzutragen sind, die die Zustellung von Werbematerial für sich ausschließen wollen. Die Liste ist mindestens monatlich zu aktualisieren und den Gewerbetreibenden nach Abs. 1 zur Verfügung zu stellen. Gewerbetreibende nach Abs. 1 dürfen an die in dieser Liste eingetragenen Personen keine adressierten Werbemittel versenden oder verteilen und deren Daten auch nicht vermitteln. Die in der Liste enthaltenen Daten dürfen ausschließlich zum Zweck des Unterbindens der Zusendung von Werbemitteln verwendet werden.

(10) Inhaber von Kunden- und Interessentendateisystemen dürfen personenbezogene Daten aus diesen Dateisystemen an Gewerbetreibende nach Abs. 1 für Marketingzwecke Dritter nur übermitteln und insbesondere auch für Listbroking nur zur Verfügung stellen, wenn sie die die betroffenen Personen in geeigneter Weise darüber informiert haben, dass sie die Verarbeitung dieser Daten für Marketingzwecke Dritter untersagen können, und wenn keine Untersagung erfolgt ist; besondere Kategorien personenbezogener Daten und strafrechtlich relevante Daten dürfen unter den in Abs. 4 genannten Voraussetzungen an Gewerbetreibende nach Abs. 1 übermittelt und für Listbroking zur Verfügung gestellt werden. Auf die Möglichkeit der Untersagung ist ausdrücklich und schriftlich hinzuweisen, wenn Daten schriftlich von der betroffenen Person ermittelt werden. Die Untersagung der Übermittlung hat auf ein Vertragsverhältnis zwischen der betroffenen Person und dem Inhaber des Kunden- und Interessentendateisystems keinen Einfluss.

(11) Das Widerspruchsrecht nach Art. 21 Abs. 2 DSGVO kann gegenüber den in Abs. 1 genannten Gewerbetreibenden auch durch Eintragung in die im Abs. 9 bezeichnete Liste erfolgen.“

3. § 352b Einleitungsteil lautet:

„Die Meisterprüfungsstellen sind zur Verarbeitung der nachstehenden personenbezogenen Daten sowie zu deren Übermittlung an die jeweiligen Oberbehörden ermächtigt, soweit die Verarbeitung Voraussetzung zur Durchführung der Verwaltungsverfahren sowie zur Erstellung von Statistiken über die abgelegten Prüfungen ist:“

4. In § 365m1 Abs. 10 Z 4 wird das Zitat „des DSG 2000“ durch das Zitat „der Datenschutz-Grundverordnung und des Datenschutzgesetzes - DSG“ ersetzt.

5. In § 373a Abs. 5 Schlussteil wird nach dem Ausdruck „Name (Firma), Vorname,“ der Ausdruck „Geburtsdatum, Staatsangehörigkeit,“ eingefügt.

6. Dem § 382 wird folgender Abs. 97 angefügt:

„(97) § 151, § 352b, § 365m1 Abs. 10 Z 4 und § 373a Abs. 5 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit Ablauf des Tages der Kundmachung, jedoch frühestens mit 25. Mai 2018, in Kraft. § 77a Abs. 7 in der Fassung des genannten Bundesgesetzes tritt mit Ablauf des Tages der Kundmachung in Kraft.“

Das Berufsausbildungsgesetz - BAG, BGBl. Nr. 142/1969, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 154/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. In § 19c Abs. 7 erster Satz wird nach dem Wort „Dienstleister“ die Wortfolge „und Auftragsverarbeiter“ eingefügt.

2. In § 19e Abs. 1 zweiter Satz wird nach dem Wort „Dienstleister“ die Wortfolge „und Auftragsverarbeiter“ eingefügt.

3. § 19f zweiter Satz lautet:

„Die Träger der Sozialversicherung und der Hauptverband der österreichischen Sozialversicherungsträger sind verpflichtet, zum Zweck der Beurteilung der Voraussetzungen für die Vergabe von Beihilfen gemäß § 19c auf automationsunterstütztem Weg gespeicherte personenbezogene Daten (§ 31 Abs. 4 Z 3 lit. b ASVG) über die Versicherungszeiten der Lehrlinge und die Beiträge, mit denen sie versichert waren, an die Lehrlingsstellen zu übermitteln, soweit diese personenbezogenen Daten eine wesentliche Voraussetzung zur Durchführung ihrer Aufgaben nach diesem Bundesgesetz bilden.“

4. In § 19g Abs. 1 werden der erste Satz und die Wortfolge „Die in Frage kommenden Datenarten sind:“ durch folgenden Satz und folgende Wortfolge ersetzt:

„Die Lehrlingsstellen und das Bundesministerium für Digitalisierung und Wirtschaftsstandort sind zur Verarbeitung nachstehender personenbezogener Daten ermächtigt, soweit deren Verwendung für die Erfüllung der Aufgaben eine wesentliche Voraussetzung ist. Die in Frage kommenden Arten von personenbezogenen Daten sind:“

5. In § 19g Abs. 1 wird in den Einleitungsteilen der Z 1, 2 und 3 jeweils vor dem Wort „Daten“ das Wort „personenbezogene“ eingefügt.

6. § 19g Abs. 2 lautet:

„(2) Die von den Lehrlingsstellen oder vom Bundesministerium für Digitalisierung und Wirtschaftsstandort verarbeiteten personenbezogenen Daten gemäß Abs. 1 dürfen an Behörden, Gerichte, Träger der Sozialversicherung, die Arbeiterkammern, die Wirtschaftskammern, das Arbeitsmarktservice und die Bundesanstalt Statistik Österreich im Wege der automationsunterstützten Datenverarbeitung übermittelt werden, soweit die entsprechenden personenbezogenen Daten für die Vollziehung der jeweiligen gesetzlich übertragenen Aufgaben eine wesentliche Voraussetzung bilden. Die Behörden, Gerichte, Träger der Sozialversicherung, die Arbeiterkammern, die Wirtschaftskammern und das Arbeitsmarktservice dürfen von ihnen verarbeitete personenbezogene Daten gemäß Abs. 1 an die Lehrlingsstellen und an das Bundesministerium für Digitalisierung und Wirtschaftsstandort im Wege der automationsunterstützten Datenverarbeitung übermitteln, soweit diese personenbezogenen Daten für die Vollziehung der den Lehrlingsstellen und dem Bundesministerium für Digitalisierung und Wirtschaftsstandort gesetzlich übertragenen Aufgaben eine wesentliche Voraussetzung bilden.“

7. § 19g Abs. 3 erster Satz lautet:

„Die Lehrlingsstellen und das Bundesministerium für Digitalisierung und Wirtschaftsstandort dürfen die von ihnen verarbeiteten personenbezogenen Daten gemäß Abs. 1 an Auftragsverarbeiter im Wege der automationsunterstützten Datenverarbeitung übermitteln, soweit die entsprechenden personenbezogenen Daten eine unabdingbare Voraussetzung für die Erfüllung der übertragenen Aufgaben bilden.“

8. Im § 20 Abs. 7 vierter Satz wird vor dem Wort „Daten“ das Wort „personenbezogenen“ eingefügt.

9. Im § 31d Abs. 5 erster Satz wird vor dem Wort „Daten“ das Wort „personenbezogene“ eingefügt.

10. Dem § 36 wird folgender Abs. 12 angefügt:

„(12) § 19c Abs. 7, § 19e Abs. 1, § 19f, § 19g Abs. 1, 2 und 3, § 20 Abs. 7 sowie § 31d Abs. 5 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

Das Ingenieurgesetz 2017 - IngG 2017, BGBl. I Nr. 23/2017, in der Fassung der Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. § 11 Einleitungsteil lautet:

„Die mit der Führung einer Zertifizierungsstelle betrauten Institutionen bzw. Selbstverwaltungskörper, die Hochschule für Agrar- und Umweltpädagogik, die Bundesministerin für Digitalisierung und Wirtschaftsstandort sowie die Bundesministerin für Nachhaltigkeit und Tourismus sind zur Verarbeitung der nachstehenden personenbezogenen Daten sowie zu deren Übermittlung an die jeweiligen Oberbehörden ermächtigt, soweit deren Verarbeitung Voraussetzung zur Erstellung von Statistiken über die abgelegten Fachgespräche und die zugrundeliegenden Verwaltungsverfahren ist:“

2. Dem § 13 wird folgender Abs. 4 angefügt:

„(4) § 11 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, tritt mit 25. Mai 2018 in Kraft.“

Das Bilanzbuchhaltungsgesetz 2014, BGBl. I Nr. 191/2013, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 135/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. § 52a Abs. 14 entfällt.

2. § 52e Abs. 4 entfällt.

3. Nach § 67b wird folgender § 67c eingefügt:

§ 67c. § 52a Abs. 14 und § 52e Abs. 4 treten mit Ablauf des 24. Mai 2018 außer Kraft.“

Das Wirtschaftskammergesetz 1998, BGBl. I Nr. 103/1998, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 73/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. § 72 Abs. 1 lautet:

„(1) Die Organisationen der gewerblichen Wirtschaft sind insoweit ermächtigt, personenbezogene Daten im Sinne der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1, und des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999, zu verarbeiten, als dies der Erfüllung der ihnen gesetzlich übertragenen Aufgaben dient. Dies gilt auch für die Verarbeitung von personenbezogenen Daten durch sonstige Rechtsträger, die zur Erfüllung dieser Aufgaben herangezogen werden.“

2. § 72 Abs. 3 entfällt.

3. § 72 Abs. 6 lautet:

„(6) Die Organisationen der gewerblichen Wirtschaft sind berechtigt, zur Erfüllung der ihnen gesetzlich übertragenen Aufgaben, insbesondere zu Zwecken des § 19 Abs. 1 Z 10 und des § 43 Abs. 3 Z 2, personenbezogene Daten unter Einschluss solcher gemäß Art. 10 der Datenschutz-Grundverordnung und § 4 Abs. 3 DSG über gerichtliche oder verwaltungsbehördlich strafbare Handlungen oder Unterlassungen, dies auch über den Verdacht der Begehung von Verwaltungsstraftaten, insbesondere gemäß den §§ 366, 367, 367a und 368 GewO 1994, BGBl. Nr. 194/1994, zu verarbeiten und an die zuständige Strafbehörde sowie den Schutzverband gegen unlauteren Wettbewerb zu übermitteln und bis zur rechtskräftigen Erledigung des Strafverfahrens und/oder wettbewerbsrechtlichen Verfahrens zu speichern.“

4. § 74 Abs. 2 lautet:

„(2) Im Falle der Durchführung der Wahl auf elektronischem Weg hat die Wahlordnung die näheren Bestimmungen festzulegen. Dabei ist sicherzustellen, dass die Einhaltung der Bestimmungen des § 73 Abs. 1 erster Satz sowie der Datenschutz-Grundverordnung und des Datenschutzgesetzes gewährleistet ist. Das zum Einsatz kommende System muss den Sicherheitsanforderungen qualifizierter elektronischer Signaturen gemäß der Verordnung (EU) Nr. 910/2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG , ABl. Nr. L 257 vom 28.08.2014 S. 73, in der Fassung der Berichtigung ABl. Nr. L 257 vom 29.01.2015 S. 19, entsprechen und gewährleisten, dass die Aufgaben der Hauptwahlkommission und der Wahlkommissionen auch bei der elektronischen Wahl erfüllt werden können.“

5. Dem § 150 wird folgender Abs. 7 angefügt:

„(7) § 72 Abs. 1 und 6 sowie § 74 Abs. 2 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft. § 72 Abs. 3 tritt mit Ablauf des 24. Mai 2018 außer Kraft.“

Das Wirtschaftstreuhandberufsgesetz 2017, BGBl. I Nr. 137/2017, in der Fassung der Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Im Inhaltsverzeichnis lautet der Eintrag zu § 238:

„§ 238. Inkrafttreten; Außerkrafttreten“

2. § 96 Abs. 15 entfällt.

3. § 100 Abs. 4 entfällt.

4. § 183 lautet:

§ 183. Die Kammer der Wirtschaftstreuhänder ist insoweit ermächtigt, personenbezogene Daten im Sinne der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1, und des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999, zu verarbeiten, als dies der Erfüllung der ihnen gesetzlich übertragenen Aufgaben dient. Dies gilt auch für die Verarbeitung von personenbezogenen Daten durch sonstige Rechtsträger, die zur Erfüllung dieser Aufgaben herangezogen werden.“

5. Die Überschrift zu § 238 lautet:

„Inkrafttreten; Außerkrafttreten“

6. Dem Text des § 238 wird die Absatzbezeichnung „(1)“ vorangestellt; folgender Abs. 2 wird angefügt:

„(2) Das Inhaltsverzeichnis und § 183 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft. Die Überschrift zu § 238 und § 238 Abs. 1 in der Fassung des genannten Bundesgesetzes treten mit dem auf die Kundmachung folgenden Tag in Kraft. § 96 Abs. 15 und § 100 Abs. 4 treten mit Ablauf des 24. Mai 2018 außer Kraft.“

Das Ziviltechnikerkammergesetz 1993, BGBl. Nr. 157/1994, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 50/2016 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. § 18 Abs. 2 Z 7 lautet:

  1. „7. ein elektronisches Verzeichnis für die Beurkundungs- und Ziviltechnikersignaturen (§ 91c Abs. 2 erster Satz GOG) mittels automationsunterstützter Datenverarbeitung zu führen, das gesichert im Internet zu veröffentlichen ist und aus dem die Berechtigungen für die elektronischen Beurkundungs- und Ziviltechnikersignaturen und deren Änderungen ersichtlich sein müssen. Zur Mitwirkung bei der Führung des Verzeichnisses können die Länderkammern oder Dritte als Auftragsverarbeiter herangezogen werden, sofern die Einhaltung der Verschwiegenheit und der erforderlichen Datensicherheit gewährleistet ist;“

2. Dem § 34 wird folgender Abs. 3 angefügt:

„(3) Die Architekten- und Ingenieurkonsulentenkammern sind insoweit ermächtigt, personenbezogene Daten im Sinne der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1, und des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999, zu verarbeiten, als dies der Erfüllung der ihnen gesetzlich übertragenen Aufgaben dient. Dies gilt auch für die Verarbeitung von personenbezogenen Daten durch sonstige Rechtsträger, die zur Erfüllung dieser Aufgaben herangezogen werden.“

3. Nach § 77 Abs. 4h wird folgender Abs. 4i eingefügt:

„(4i) § 18 Abs. 2 Z 7 und § 34 Abs. 3 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

Finanzen

Die Bundesabgabenordnung, BGBl. Nr. 194/1961, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 3/2018, wird wie folgt geändert:

1. § 48b Abs. 3 Z 1 lit. a lautet:

„a) einen Verantwortlichen des öffentlichen Bereichs (§ 26 Abs. 1 des Datenschutzgesetzes, BGBl. I Nr. 165/1999 - DSG),“

2. Nach § 48c werden folgende §§ 48d bis 48i samt Unterabschnittsüberschrift eingefügt:

§ 48d. (1) Die ganz oder teilweise automatisierte sowie die nichtautomatisierte Verarbeitung personenbezogener Daten durch eine Abgabenbehörde ist zulässig, wenn sie für Zwecke der Abgabenerhebung oder sonst zur Erfüllung ihrer Aufgaben oder in Ausübung öffentlicher Gewalt, die ihr übertragen wurde, erforderlich ist.

(2) Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1 (im Folgenden: DSGVO), durch eine Abgabenbehörde ist zulässig, wenn die Voraussetzungen des Abs. 1 und ein erhebliches öffentliches Interesse im Sinne des Art. 9 Abs. 2 lit. g DSGVO vorliegen.

§ 48e. (1) Die Pflicht der Abgabenbehörde, die betroffene Person gemäß Art. 14 Abs. 1 und 2 DSGVO über die Erhebung oder gemäß Art. 13 Abs. 3 oder Art. 14 Abs. 4 DSGVO über die beabsichtigte Weiterverarbeitung personenbezogener Daten zu informieren, besteht zusätzlich zu den in Art. 13 Abs. 4 und Art. 14 Abs. 5 DSGVO genannten Ausnahmen nicht, wenn durch die Erteilung der Information

  1. 1. die ordnungsgemäße Erfüllung der Aufgaben der Abgabenbehörde oder ein Finanzstrafverfahren oder ein abgabenrechtliches Verwaltungsstrafverfahren gefährdet würde und das Interesse an der Nichterteilung der Information die Interessen der betroffenen Person überwiegt, insbesondere weil die Erteilung der Information

    a) jemanden in die Lage versetzen könnte, die Abgabenbehörde bei der Erfüllung ihrer Aufgaben zu beeinträchtigen, oder

    b) Rückschlüsse auf die Ausgestaltung automationsunterstützter Risikomanagementsysteme zulassen könnte oder

    c) Rückschlüsse auf geplante Ermittlungs-, Kontroll-, Überwachungs- oder Prüfungsmaßnahmen zulassen könnte

    1. und damit die Ermittlung der tatsächlichen und rechtlichen Verhältnisse, die für die Abgabepflicht und die Erhebung der Abgaben wesentlich sind, maßgeblich erschwert würde oder
  2. 2. die öffentliche Sicherheit oder Ordnung gefährdet würde oder
  3. 3. der Rechtsträger der Abgabenbehörde in der Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche oder in der Verteidigung gegen ihn geltend gemachter zivilrechtlicher Ansprüche beeinträchtigt würde und die Abgabenbehörde nach dem Zivilrecht nicht zur Information verpflichtet ist oder
  4. 4. im Falle einer Offenbarung von personenbezogenen Daten

    a) zum Zweck der Durchführung eines Abgabenverfahrens, eines Finanzstrafverfahrens, eines abgabenrechtlichen Verwaltungsstrafverfahrens oder eines Monopolverfahrens oder

    b) auf Grund einer gesetzlichen Verpflichtung oder

    c) im zwingenden öffentlichen Interesse

    1. der Offenbarungszweck vereitelt oder wesentlich beeinträchtigt würde oder
  5. 5. gesetzliche Verpflichtungen zur Verschwiegenheit verletzt würden oder
  6. 6. überwiegende berechtigte Interessen Dritter geschädigt würden.

(2) Fällt der Grund für die Nichterteilung der Information weg, ist die Erteilung der Information ohne unnötigen Aufschub nachzuholen, sofern das nicht unmöglich oder mit einem unverhältnismäßigen Aufwand verbunden ist.

§ 48f. (1) Das Recht der betroffenen Person auf Auskunft gemäß Art. 15 DSGVO besteht gegenüber einer Abgabenbehörde nicht, soweit

  1. 1. die betroffene Person nach § 48e Abs. 1 Z 1 bis 6 nicht zu informieren ist oder
  2. 2. die betroffene Person am Auskunftsverfahren nicht gemäß Abs. 3 mitwirkt.

(2) Soweit personenbezogene Daten in einem Akt enthalten sind, besteht für die betroffene Person das Recht auf Auskunft gemäß Art. 15 DSGVO ausschließlich nach Maßgabe des § 90. Für das Verfahren der Einsicht- oder Abschriftnahme (einschließlich deren Verweigerung) gelten die Regelungen dieses Bundesgesetzes.

(3) Die betroffene Person hat am Auskunftsverfahren gemäß Art. 15 DSGVO in dem ihr zumutbaren Ausmaß mitzuwirken, um ungerechtfertigten oder unverhältnismäßigen Aufwand bei der Abgabenbehörde zu vermeiden. Insbesondere hat sie zu präzisieren, auf welche Informationen oder Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, wenn von der Auskunftserteilung eine große Menge personenbezogener Daten erfasst wäre oder dies aus sonstigen Gründen erforderlich ist.

(4) Im Falle der Nichterteilung der Auskunft gemäß Abs. 1 Z 1 hat die Begründung der Unterrichtung der betroffenen Person gemäß Art. 12 Abs. 4 DSGVO soweit zu unterbleiben, als sie dem mit der Nichterteilung der Auskunft verfolgten Zweck zuwiderliefe.

§ 48g. (1) Das Recht gemäß Art. 16 DSGVO und die Pflicht gemäß Art. 5 Abs. 1 lit. d DSGVO besteht hinsichtlich einer Berichtigung, Aktualisierung oder Vervollständigung von personenbezogenen Daten, die in einem Bescheid, einem Beschluss, einem Erkenntnis oder in einer Selbstberechnung enthalten sind, nur insoweit, als dies in diesem Bundesgesetz oder anderen Abgabenvorschriften vorgesehen ist. Eine allfällige Berichtigung, Aktualisierung oder Vervollständigung hat nach Maßgabe dieses Bundesgesetzes oder anderer Abgabenvorschriften zu erfolgen.

(2) In den nicht von Abs. 1 erfassten Fällen hat eine Berichtigung, Aktualisierung oder Vervollständigung mittels eines ergänzenden Vermerks zu erfolgen, soweit eine nachträgliche Änderung mit dem Dokumentationszweck unvereinbar ist und in diesem Bundesgesetz oder sonstigen Abgabenvorschriften nicht anderes bestimmt ist. Ist die Berichtigung, Aktualisierung oder Vervollständigung nicht möglich, ist dies zu vermerken.

(3) Wird die Richtigkeit personenbezogener Daten bestritten und lässt sich bei der Überprüfung der Richtigkeit durch die Abgabenbehörde weder die Richtigkeit noch die Unrichtigkeit der personenbezogenen Daten feststellen, besteht ab diesem Zeitpunkt für die betroffene Person kein Recht mehr auf Einschränkung der Verarbeitung gemäß Art. 18 Abs. 1 lit. a DSGVO.

§ 48h. Die §§ 48d bis 48g gelten auch für Verantwortliche im Sinn des Art. 4 Z 7 DSGVO, soweit ihnen abgabenrechtliche Aufgaben übertragen wurden, ohne selbst Abgabenbehörde zu sein.

§ 48i. Sofern gesetzlich nicht ausdrücklich anderes angeordnet ist, sind Protokolldaten über tatsächlich durchgeführte Verarbeitungsvorgänge, wie insbesondere Änderungen, Abfragen und Übermittlungen, zumindest drei Jahre lang aufzubewahren.“

3. In § 97 Abs. 3 entfällt die Wortfolge „im Sinn des Datenschutzgesetzes 2000, BGBl. I Nr. 165/1999“.

4. In § 97a Z 1 entfällt die Wortfolge „im Sinn des Datenschutzgesetzes 2000“.

5. § 114 Abs. 4 lautet:

„(4) Abgabenbehörden dürfen personenbezogene und nicht personenbezogene Daten für Zwecke des automationsunterstützten Risikomanagements und der Betrugsbekämpfung verarbeiten, soweit dies nach dem Grundsatz der Verhältnismäßigkeit zur Erfüllung ihrer Aufgaben geeignet, erforderlich und angemessen ist.“

6. Dem § 323 wird folgender Abs. 53 angefügt:

„(53) § 48b Abs. 3 Z 1 lit. a, die §§ 48d bis 48i samt Unterabschnittsüberschrift, § 97 Abs. 3, § 97a Z 1 und § 114 Abs. 4, jeweils in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

Die Abgabenexekutionsordnung, BGBl. Nr. 104/1949, zuletzt geändert durch das Abgabenänderungsgesetz 2016, BGBl. I Nr. 117/2016, und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Dem § 25 wird folgender Abs. 3 angefügt:

„(3) Soweit personenbezogene Daten in einem das Vollstreckungsverfahren betreffenden Akt enthalten sind, besteht für die betroffene Person das Recht auf Auskunft gemäß Art. 15 DSGVO ausschließlich nach Maßgabe des Abs. 1. Für das Verfahren der Einsicht- oder Abschriftnahme (einschließlich deren Verweigerung) gelten die Regelungen der Abs. 1 und 2 sowie der Bundesabgabenordnung.“

2. § 44 Abs. 6 lautet:

„(6) Personenbezogene Daten anderer Personen, die sich auf einem gepfändeten Gegenstand befinden, sind auf Antrag des Abgabenschuldners im Zuge der Schätzung zu löschen.“

3. Dem § 90a wird folgender Abs. 13 angefügt:

„(13) § 25 Abs. 3 und § 44 Abs. 6, jeweils in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

Das Bundesgesetz vom 26. Juni 1958, betreffend das Finanzstrafrecht und das Finanzstrafverfahrensrecht (Finanzstrafgesetz - FinStrG), BGBl. Nr. 129/1958, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 136/2017, die Kundmachung BGBl. I Nr. 163/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Die Unterhauptstücksüberschrift vor § 56 lautet:

2. Nach § 57 werden folgende §§ 57a bis 57d samt Überschriften und Unterhauptstücksüberschrift eingefügt:

§ 57a. (1) Für die Verarbeitung personenbezogener Daten zum Zweck der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Finanzvergehen sowie des Vollzuges von nach diesem Bundesgesetz verhängten Strafen gelten die Bestimmungen dieses Bundesgesetzes. Die Bestimmungen des dritten Hauptstückes des Datenschutzgesetzes (DSG), BGBl. Nr. 165/1999, sind nur dann anzuwenden, wenn in diesem Bundesgesetz ausdrücklich darauf verwiesen wird. Die §§ 36 Abs. 2, 46 bis 49, 50 Abs. 1, 2, 4 und 5 sowie 51 bis 59 DSG sind anzuwenden. Auf die Übermittlung personenbezogener Daten auf Grundlage völkerrechtlicher Übereinkommen, die vor dem 6. Mai 2016 abgeschlossen wurden und zu diesem Zeitpunkt mit dem Recht der Europäischen Union vereinbar waren, sind die §§ 58 und 59 DSG nicht anzuwenden.

(2) Die ganz oder teilweise automatisierte sowie die nichtautomatisierte Verarbeitung personenbezogener Daten durch die Finanzstrafbehörden, die für sie tätigen Organe oder durch den Bundesminister für Finanzen ist zulässig, wenn sie für Zwecke der Finanzstrafrechtspflege oder sonst zur Erfüllung ihrer Aufgaben erforderlich ist.

(3) Die Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem sie erhoben oder erfasst wurden, ist nur zulässig, wenn dies für die in Abs. 2 genannten Zwecke, insbesondere auch für Zwecke der Abgabenerhebung, der Betrugsbekämpfung oder der Aufsicht oder für statistische Zwecke oder das Risikomanagement, erforderlich ist.

(4) Soweit möglich ist zwischen faktenbasierten und auf persönlichen Einschätzungen beruhenden personenbezogenen Daten zu unterscheiden.

(5) Besondere Kategorien personenbezogener Daten im Sinne des § 39 DSG dürfen insoweit verarbeitet werden, als dies für finanzstrafrechtliche Zwecke unbedingt erforderlich ist.

(6) Die §§ 31 bis 35 DSG gelten sinngemäß. Die von den Spruchsenaten oder deren Vorsitzenden und die vom Bundesfinanzgericht im Rahmen der richterlichen Tätigkeit vorgenommenen Datenverarbeitungen unterliegen nicht der Aufsicht der Datenschutzbehörde.

(7) Für die Verarbeitung personenbezogener Daten, die in den Anwendungsbereich der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, fällt, sind die §§ 48d bis 48g BAO sinngemäß anzuwenden.

§ 57b. (1) Die zu erteilende Information hat zu enthalten:

  1. 1. den Namen und die Kontaktdaten des Verantwortlichen,
  2. 2. die Kontaktdaten des Datenschutzbeauftragten,
  3. 3. die Zwecke, für die die personenbezogenen Daten verarbeitet werden,
  4. 4. das Bestehen eines Beschwerderechts bei der Datenschutzbehörde sowie deren Kontaktdaten,
  5. 5. das Bestehen eines Rechts auf Auskunft und Berichtigung oder Löschung personenbezogener Daten sowie
  6. 6. die Rechtsgrundlage der Verarbeitung.

    Diese Information ist auf der Homepage des Bundesministeriums für Finanzen zu veröffentlichen.

(2) Soweit in diesem Bundesgesetz nicht anderes bestimmt ist, ist das Recht auf Auskunft nur unter den Voraussetzungen des § 79 zu gewähren.

§ 57c. (1) Das Recht auf Berichtigung, Aktualisierung oder Vervollständigung personenbezogener Daten, die in einer behördlichen Erledigung oder einer Niederschrift enthalten sind, besteht nur insoweit, als dies in diesem Bundesgesetz vorgesehen ist.

(2) Mit Ausnahme des Inhalts von Beweismitteln sind in den nicht von Abs. 1 erfassten Fällen unrichtige, unrichtig gewordene oder unvollständige personenbezogene Daten von Amts wegen oder auf Antrag der betroffenen Person unverzüglich richtig zu stellen oder zu vervollständigen. Ist eine nachträgliche Änderung mit dem Dokumentationszweck unvereinbar, hat eine Berichtigung, Aktualisierung oder Vervollständigung mittels eines ergänzenden Vermerks zu erfolgen, soweit in diesem Bundesgesetz nicht anderes bestimmt ist. Ist die Berichtigung, Aktualisierung oder Vervollständigung nicht möglich, ist dies zu vermerken.

§ 57d. (1) Soweit in diesem Bundesgesetz nicht anderes bestimmt ist, ist zehn Jahre nach Absehen von der Einleitung, rechtskräftiger Einstellung des Strafverfahrens oder nach Eintritt der Tilgung zu prüfen, ob die Aufbewahrung personenbezogener Daten weiterhin erforderlich ist. Ergibt diese Prüfung, dass die Aufbewahrung der personenbezogenen Daten weiterhin erforderlich ist, so sind sie nach Wegfall des Aufbewahrungsgrundes, längstens jedoch nach Ablauf von sechzig Jahren ab Erfassung zu löschen. Ist die weitere Aufbewahrung der personenbezogenen Daten nicht erforderlich, sind sie zu löschen. Ist die Löschung nicht möglich oder mit den Dokumentationszwecken unvereinbar, so ist an geeigneter Stelle ein ergänzender Vermerk aufzunehmen.

(2) Sofern gesetzlich nicht ausdrücklich anderes angeordnet ist, sind die Protokolldaten (§ 50 DSG) drei Jahre lang aufzubewahren. Davon darf in jenem Ausmaß abgewichen werden, als der von der Protokollierung betroffene Datenbestand zulässigerweise früher gelöscht oder länger aufbewahrt wird.“

3. § 80 wird wie folgt geändert:

a) Nach der Wortfolge „zur finanzstrafrechtlichen Würdigung“ wird die Wortfolge „und Verarbeitung der Daten“ eingefügt.

b) Dem Text des § 80 wird die Absatzbezeichnung „(1)“ vorangestellt; folgender Abs. 2 wird angefügt:

„(2) Die Finanzstrafbehörden sowie der Bundesminister für Finanzen sind berechtigt, für finanzstrafrechtliche Zwecke oder sonst zur Erfüllung ihrer Aufgaben in alle Daten der Abgabenbehörden und der Finanzstrafbehörden Einsicht zu nehmen und diese zu verarbeiten.“

4. § 120 wird wie folgt geändert:

a) In Abs. 3 wird im ersten Satz nach der Wortfolge „den Finanzstrafbehörden“ die Wortfolge „und dem Bundesminister für Finanzen“ sowie nach der Wortfolge „für Zwecke des Finanzstrafverfahrens“ die Wortfolge „oder sonst zur Erfüllung ihrer Aufgaben“ eingefügt; der Klammerausdruck „(§§ 1 Abs. 1, 8 und 9 DSG 2000)“ wird durch den Klammerausdruck „(§ 1 Abs. 1 DSG)“ ersetzt.

b) Folgender Abs. 5 wird angefügt:

„(5) Soweit dies zur Durchführung von Abgaben- oder Monopolverfahren erforderlich ist, haben die Finanzstrafbehörden Daten an die Abgabenbehörden und die Monopolbehörde zu übermitteln.“

5. § 194c lautet:

§ 194c. (1) Unrichtige, unrichtig gewordene oder unvollständige Daten sind nach den Bestimmungen des § 57c zu berichtigen.

(2) Die erfassten Daten sind spätestens zwei Jahre nach rechtskräftiger Einstellung des Strafverfahrens, nach Eintritt der Tilgung oder nach Kenntnis des Todes des Beschuldigten zu löschen. Unzulässig aufgenommene Daten sind auf begründeten Antrag der betroffenen Person oder von Amts wegen unverzüglich zu löschen.“

6. § 194d Abs. 3 lautet:

„(3) Die betroffene Person hat das Recht, auf begründeten Antrag Auskunft über die im Finanzstrafregister über sie erfassten Daten zu erlangen. Wird dem Antrag ganz oder teilweise nicht entsprochen, so sind dem Antragsteller die Gründe hiefür schriftlich mitzuteilen. Diese Mitteilung hat nicht in Bescheidform zu ergehen, jedoch eine Information über das Recht auf eine Beschwerde an die Datenschutzbehörde zu enthalten.“

7. § 194e Abs. 2 erster Satz lautet:

„Mit der Führung des Finanzstrafregisters ist die Bundesrechenzentrum GmbH beauftragt.“

8. Dem § 195 wird folgender Abs. 4 angefügt:

„(4) Soweit personenbezogene Daten durch die Finanzstrafbehörden, die für sie tätigen Organe oder durch den Bundesminister für Finanzen verarbeitet werden, sind die Bestimmungen der §§ 57a bis 57d über die Verarbeitung personenbezogener Daten sinngemäß anzuwenden.“

9. Dem § 257 wird folgender Abs. 4 angefügt:

„(4) Mit den §§ 57a bis 57d, § 80, § 120 Abs. 3 und 5, § 194c, § 194d Abs. 3, § 194e Abs. 2 und 195 Abs. 4 dieses Bundesgesetzes wird die Richtlinie (EU) 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, ABl. Nr. L 119 vom 4.5.2016 S. 89, für den Bereich des Finanzstrafrechtes umgesetzt.“

10. In § 265 wird nach Abs. 1y folgender Abs. 1z eingefügt:

„(1z) Die Überschrift vor § 56, §§ 57a bis 57d samt Überschriften und Unterhauptstücksüberschrift, § 80, § 120 Abs. 3 und 5, § 194c, § 194d Abs. 3, § 194e Abs. 2, § 195 Abs. 4 sowie § 257 Abs. 4, jeweils in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

Inneres

Das Bundes-Stiftungs- und Fondsgesetz 2015 (BStFG 2015), BGBl. I Nr. 160/2015, in der Fassung des Bundesgesetzes BGBl. I Nr. 120/2016 und der Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. In § 22 Abs. 2a wird das Wort „Dritter“ durch die Wortfolge „dritter Personen“ ersetzt.

2. In § 22 Abs. 3 wird das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt.

3. In § 28 Abs. 2 wird das Wort „vorzulegen“ durch die Wortfolge „zu übermitteln“ ersetzt.

4. Dem § 32 wird folgender Abs. 4 angefügt:

„(4) § 22 Abs. 2a und 3 sowie § 28 Abs. 2 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

Das Gedenkstättengesetz (GStG), BGBl. I Nr. 74/2016, in der Fassung der Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. § 29 Abs. 1 lautet:

„(1) Die Bundesanstalt übernimmt im Rahmen der Gesamtrechtsnachfolge (§ 21 Abs. 1) die Funktion als Verantwortliche gemäß Art. 4 Z 7 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, (im Folgenden: DSGVO) für die im Bereich der KZ-Gedenkstätte Mauthausen am Tage vor der Gesamtrechtsnachfolge verarbeiteten Daten.“

2. In § 29 Abs. 2 wird nach dem Wort „Aufgaben“ der Klammerausdruck „(§ 3)“ eingefügt und das Wort „Bearbeitung“ durch das Wort „Verarbeitung“ ersetzt.

3. In § 29 Abs. 3 entfällt die Wortfolge „oder Weitergabe“.

4. Dem § 29 wird folgender Abs. 4 angefügt:

„(4) Protokolldaten über tatsächlich durchgeführte Verarbeitungsvorgänge, wie insbesondere Änderungen, Abfragen und Übermittlungen, sind drei Jahre lang aufzubewahren.“

5. Dem § 37 wird folgender Abs. 3 angefügt:

„(3) § 29 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, tritt mit 25. Mai 2018 in Kraft.“

Das Meldegesetz 1991 (MeldeG), BGBl. Nr. 9/1992, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 120/2016, wird wie folgt geändert:

1. Im Inhaltsverzeichnis wird im Eintrag zur Überschrift des 2. Abschnitts das Wort „Verwenden“ durch das Wort „Verarbeitung“ ersetzt.

2. Im Inhaltsverzeichnis lauten die Einträge zu den §§ 14 bis 16a:

㤠14

Lokales Melderegister

§ 15

Berichtigung des lokalen Melderegisters

§ 16

Zentrales Melderegister

§ 16a

Zulässigkeit der Verarbeitung der Daten des Zentralen Melderegisters“

3. In § 4 Abs. 4 sowie in § 4a Abs. 2 wird jeweils das Wort „Betreibers“ durch die Wortfolge „Bundesministers für Inneres“ ersetzt.

4. In § 4a Abs. 1 in der Fassung des Bundesgesetzes BGBl. I Nr. 120/2016, in § 14 Abs. 1a sowie in § 16 Abs. 7 wird jeweils das Wort „Betreiber“ durch das Wort „Auftragsverarbeiter“ ersetzt.

5. In § 4a Abs. 3 sowie in § 11 Abs. 3 wird jeweils das Wort „zuzuleiten“ durch die Wortfolge „zu übermitteln“ ersetzt.

6. In der Überschrift zum 2. Abschnitt wird das Wort „Verwenden“ durch das Wort „Verarbeitung“ ersetzt.

7. Die Überschrift zu § 14 lautet:

„Lokales Melderegister“

8. In § 14 Abs. 1 erster Satz wird die Wortfolge „evident zu halten“ durch die Wortfolge „zu verarbeiten“ ersetzt.

9. In § 14 Abs. 1a sowie in § 16 Abs. 6 wird jeweils das Wort „überlassen“ durch das Wort „übermitteln“ ersetzt.

10. In § 14 Abs. 4 wird die Wortfolge „evident gehaltenen“ durch das Wort „verarbeiteten“ sowie das Wort „verwendet“ durch das Wort „verarbeitet“ ersetzt.

11. Dem § 14 wird folgender Abs. 5 angefügt:

„(5) Protokolldaten über tatsächlich durchgeführte Verarbeitungsvorgänge, wie insbesondere Änderungen, Abfragen und Übermittlungen, sind drei Jahre lang aufzubewahren.“

12. Die Überschrift zu § 15 lautet:

„Berichtigung des lokalen Melderegisters“

13. In § 15 Abs. 1a wird die Wortfolge „Einschau halten“ durch die Wortfolge „Einsicht nehmen“ ersetzt.

14. Die Überschrift zu § 16 lautet:

„Zentrales Melderegister“

15. § 16 Abs. 1 und 2 lautet:

„(1) Die Meldebehörden sind als gemeinsam Verantwortliche gemäß Art. 4 Z 7 in Verbindung mit Art. 26 Abs. 1 DSGVO ermächtigt, für die Zwecke der Führung des Zentralen Melderegisters ihre Meldedaten - mit Ausnahme der Angaben zum Religionsbekenntnis - samt allenfalls bestehende Auskunftssperren sowie zugehörige Abmeldungen gemeinsam in der Art zu verarbeiten, dass jeder Verantwortliche auch auf jene Daten in der Datenverarbeitung Zugriff hat, die dieser von den anderen Verantwortlichen zur Verfügung gestellt wurden (Zentrales Melderegister). Die Meldebehörden haben dem Bundesminister für Inneres ihre Meldedaten im Sinne des ersten Satzes zu übermitteln. Der Hauptwohnsitz eines Menschen oder jener Wohnsitz, an dem dieser Mensch zuletzt mit Hauptwohnsitz gemeldet war, kann abgefragt werden, wenn der Anfragende den Menschen durch Vor- und Familiennamen sowie zumindest ein weiteres Merkmal, wie etwa das bPK für die Verwendung im privaten Bereich (§ 14 des E-Government-Gesetzes - E-GovG, BGBl. I Nr. 10/2004), Geburtsdatum, Geburtsort oder einen bisherigen Wohnsitz, im Hinblick auf alle im ZMR verarbeiteten Gesamtdatensätze eindeutig bestimmen kann. Wird dieses bPK zur Identifizierung des Betroffenen angegeben, so muss der Anfragende auch seine eigene Stammzahl zwecks Überprüfung der Richtigkeit des bPK zur Verfügung stellen.

(2) Die Erfüllung von Informations-, Auskunfts-, Berichtigungs-, Löschungs- und sonstigen Pflichten nach den Bestimmungen der DSGVO gegenüber dem Betroffenen obliegt jedem Verantwortlichen hinsichtlich jener Daten, die im Zusammenhang mit den von ihm geführten Verfahren oder den von ihm gesetzten Maßnahmen verarbeitet werden. Nimmt ein Betroffener unter Nachweis seiner Identität ein Recht nach der DSGVO gegenüber einem gemäß dem ersten Satz unzuständigen Verantwortlichen wahr, ist er an den zuständigen Verantwortlichen zu verweisen.“

16. Nach § 16 Abs. 2 wird folgender Abs. 2a eingefügt:

„(2a) Der Bundesminister für Inneres übt die Funktion des Auftragsverarbeiters gemäß Art. 4 Z 8 in Verbindung mit Art. 28 Abs. 1 DSGVO aus. Er ist in dieser Funktion verpflichtet, die Datenschutzpflichten gemäß Art. 28 Abs. 3 lit. a bis h DSGVO wahrzunehmen. Zudem ist er berechtigt, weitere Auftragsverarbeiter in Anspruch zu nehmen.“

17. § 16 Abs. 5 lautet:

„(5) Näheres über die Vorgangsweise bei Verarbeitung der Daten nach Abs. 1 hat der Bundesminister für Inneres durch Verordnung festzulegen.“

18. Dem § 16 wird folgender Abs. 8 angefügt:

„(8) Hinsichtlich der Verarbeitung personenbezogener Daten nach diesem Bundesgesetz besteht kein Widerspruchsrecht gemäß Art. 21 DSGVO sowie kein Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO. Darüber sind die Betroffenen in geeigneter Weise zu informieren.“

19. In der Überschrift zu § 16a wird die Wortfolge „des Verwendens“ durch die Wortfolge „der Verarbeitung“ ersetzt.

20. § 16a Abs. 1 entfällt.

21. § 16a Abs. 2 erster Satz lautet:

„Die Auswählbarkeit der Meldedaten aus der gesamten Menge ist vom Bundesminister für Inneres als Auftragsverarbeiter nach dem Namen der An- und Abgemeldeten vorzusehen.“

22. In § 16a Abs. 3 wird das Zitat „§ 48a des Datenschutzgesetzes 2000 - DSG 2000“ durch das Zitat „§§ 10 sowie 36 ff des Datenschutzgesetzes - DSG“ ersetzt.

23. In § 16a Abs. 4 wird das Zitat „Gerichtskommissärsgesetzes“ durch das Zitat „Gerichtskommissärsgesetzes (GKG), BGBl. Nr. 343/1970,“ ersetzt.

24. In § 16a Abs. 6 wird im Einleitungsteil jeweils das Wort „Verwenden“ durch das Wort „Verarbeiten“ ersetzt.

25. In § 16a Abs. 6 Z 3 wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.

26. In § 16a Abs. 6 Z 5 wird das Wort „Verwendungsvorgänge“ durch das Wort „Verarbeitungsvorgänge“ ersetzt.

27. Dem § 16a wird folgender Abs. 12 angefügt:

„(12) Die Protokollierungsregelungen des § 14 Abs. 5 finden auch auf das Zentrale Melderegister Anwendung.“

28. In § 16b Abs. 2 wird die Wortfolge „zur Verfügung zu stellen“ durch die Wortfolge „zu übermitteln“ ersetzt.

29. § 16b Abs. 3 zweiter Satz lautet:

„Sofern der Personenbezug für die Durchführung einer statistischen Erhebung nicht unerlässlich ist, sind die Daten so zu übermitteln, dass sie für den Empfänger pseudonymisierte personenbezogene Daten sind und der Empfänger die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann.“

30. § 16b Abs. 4 lautet:

„(4) Soweit für die Zwecke der §§ 7 f DSG Daten von mehr als einem Verantwortlichen zu übermitteln sind, kommt diese Aufgabe dem Bundesminister für Inneres zu.“

31. Dem § 16b wird folgender Abs. 5 angefügt:

„(5) Soweit im Zentralen Melderegister gespeicherte personenbezogene Daten zu wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken übermittelt werden, kommt dem Betroffenen das Recht gemäß Art. 15 DSGVO nicht zu.“

32. In § 16c erster Satz wird das Wort „Datenanwendung“ durch das Wort „Datenverarbeitung“ ersetzt.

33. In § 17 Abs. 5 wird das Wort „mitzuteilen“ durch die Wortfolge „zu übermitteln“ ersetzt.

34. In § 20 Abs. 1 letzter Satz wird das Wort „benützen“ durch das Wort „verarbeiten“ ersetzt.

35. In § 20 Abs. 3 wird das Wort „Anlaß“ durch das Wort „Anlass“ sowie das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt.

36. Dem § 23 wird folgender Abs. 18 angefügt:

„(18) § 4 Abs. 4, § 4a Abs. 1 bis 3, § 11 Abs. 3, die Überschrift zum 2. Abschnitt samt Eintrag im Inhaltsverzeichnis, die Überschrift zu § 14 samt Eintrag im Inhaltsverzeichnis, § 14 Abs. 1, 1a, 4 und 5, die Überschrift zu § 15 samt Eintrag im Inhaltsverzeichnis, § 15 Abs. 1a, die Überschrift zu § 16 samt Eintrag im Inhaltsverzeichnis, § 16 Abs. 1 bis 2a sowie 5 bis 8, die Überschrift zu § 16a samt Eintrag im Inhaltsverzeichnis, § 16a Abs. 2 bis 4, 6 und 12, § 16b Abs. 2 bis 5, § 16c, § 17 Abs. 5 sowie § 20 Abs. 1 und 3 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft; jedoch tritt § 4a Abs. 1 nicht vor dem durch § 3 Abs. 1a festgelegten Zeitpunkt in Kraft. Mit Ablauf des 24. Mai 2018 tritt § 16a Abs. 1 außer Kraft.“

Das Passgesetz 1992, BGBl. Nr. 839/1992, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 52/2015, wird wie folgt geändert:

1. Im Inhaltsverzeichnis werden nach dem Eintrag zu § 22 folgende Einträge eingefügt:

„§ 22a Verarbeitung personenbezogener Daten anlässlich der Antragstellung und in lokalen Anwendungen

§ 22b Verarbeitung personenbezogener Daten im Rahmen der zentralen Evidenz

§ 22c Zentrale Evidenz; Auskunftssperre und Löschung“

2. Dem § 3 Abs. 5a werden folgende Sätze angefügt:

„Zur Abnahme der Papillarlinienabdrücke dürfen nur geeignete und besonders geschulte Bedienstete, die der Verschwiegenheitspflicht unterliegen, ermächtigt werden. Die Abnahme der Papillarlinienabdrücke hat unter Achtung der Menschenwürde und mit möglichster Schonung der Person zu erfolgen.“

3. In § 3 Abs. 6 wird die Wortfolge „der Daten“ durch die Wortfolge „dieser Daten“, die Wortfolge „weiter zu geben“ durch die Wortfolge „zu übermitteln“ sowie das Wort „überlassenen“ durch das Wort „übermittelten“ ersetzt.

4. In § 3 Abs. 6 und § 17 Abs. 2 wird das Wort „Dienstleisters“ durch das Wort „Auftragsverarbeiters“ sowie in § 3 Abs. 6 und 9, § 17 Abs. 2 und § 22a Abs. 1 das Wort „Dienstleister“ durch das Wort „Auftragsverarbeiter“ ersetzt.

5. In § 3 Abs. 7 wird die Wortfolge „sicher zu stellen“ durch das Wort „sicherzustellen“ ersetzt.

6. In § 3 Abs. 8 wird der Verweis „§§ 10 und 11 des Datenschutzgesetzes 2000, BGBl. I Nr. 165/1999,“ durch den Verweis „Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, (im Folgenden: DSGVO)“, die Wortfolge „dem Dienstleister“ durch die Wortfolge „einem gemeinsamen Auftragsverarbeiter“ und das Zitat „Absatz 5“ durch das Zitat „Abs. 5“ ersetzt.

7. In § 16 Abs. 3 wird das Wort „Papillarlinenabdrücke“ durch das Wort „Papillarlinienabdrücke“ sowie das Wort „weiterzuleiten“ durch die Wortfolge „zu übermitteln“ ersetzt.

8. § 16 Abs. 6 lautet:

„(6) Die Bundesrechenzentrum GmbH hat als Auftragsverarbeiterin bei der Führung von Datenverarbeitungen gemäß § 22a und § 22b gegen Entgelt mitzuwirken. Sie ist in dieser Funktion verpflichtet, die Datenschutzpflichten gemäß Art. 28 Abs. 3 lit. a bis h DSGVO wahrzunehmen.“

9. In § 17 Abs. 2 wird das Wort „Daten“ durch die Wortfolge „personenbezogenen Daten“ ersetzt.

10. In der Überschrift zu § 22a, in der Überschrift zu § 22b sowie in § 22b Abs. 2 letzter Satz wird jeweils das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.

11. In § 22a Abs. 1 wird das Wort „überlassen“ durch das Wort „übermitteln“ ersetzt.

12. In § 22a Abs. 3 und 4 wird jeweils das Wort „verwendet“ durch das Wort „verarbeitet“ ersetzt; in § 22b Abs. 3 und § 22d Abs. 2 wird jeweils das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt.

13. § 22a Abs. 6 lautet:

„(6) Protokolldaten über tatsächlich durchgeführte Verarbeitungsvorgänge, wie insbesondere Änderungen, Abfragen und Übermittlungen sind drei Jahre lang aufzubewahren.“

14. § 22b Abs. 1 lautet:

„(1) Die Passbehörden sind als gemeinsam Verantwortliche gemäß Art. 4 Z 7 in Verbindung mit Art. 26 Abs. 1 DSGVO ermächtigt, die für die Wahrnehmung der ihnen nach diesem Bundesgesetz übertragenen Aufgaben erforderlichen personenbezogenen Daten nach § 22a Abs. 1 mit Ausnahme der lit. k sowie ab dem Zeitpunkt der Ausstellung

  1. a. die Ausstellungsbehörde,
  2. b. das Ausstellungsdatum,
  3. c. die Pass- oder Personalausweisnummer,
  4. d. die Gültigkeitsdauer,
  5. e. den Geltungsbereich,
  6. f. das bereichsspezifische Personenkennzeichen (bPK, § 9 des E-Government-Gesetzes),
  7. g. besondere für das Ausstellungsverfahren notwendige Informationen sowie
  8. h. einen Vermerk über ein laufendes Verfahren nach diesem Bundesgesetz

    gemeinsam in der Art zu verarbeiten, dass jeder Verantwortliche auch auf jene Daten in der Datenverarbeitung Zugriff hat, die dieser von den anderen Verantwortlichen zur Verfügung gestellt wurden. Zweck dieser Verarbeitung ist es, eine Behörde gemäß Abs. 4 über die erfolgte Ausstellung eines Reisepasses oder Personalausweises oder über ein Verfahren nach diesem Bundesgesetz in Kenntnis zu setzen.“

15. Nach § 22b Abs. 1 werden folgende Abs. 1a und 1b eingefügt:

„(1a) Die Erfüllung von Informations-, Auskunfts-, Berichtigungs-, Löschungs- und sonstigen Pflichten nach den Bestimmungen der DSGVO gegenüber dem Betroffenen obliegt jedem Verantwortlichen hinsichtlich jener Daten, die im Zusammenhang mit den von ihm geführten Verfahren oder den von ihm gesetzten Maßnahmen verarbeitet werden. Nimmt ein Betroffener unter Nachweis seiner Identität ein Recht nach der DSGVO gegenüber einem gemäß dem ersten Satz unzuständigen Verantwortlichen wahr, ist er an den zuständigen Verantwortlichen zu verweisen.

(1b) Der Bundesminister für Inneres übt die Funktion des Auftragsverarbeiters gemäß Art. 4 Z 8 in Verbindung mit Art. 28 Abs. 1 DSGVO aus. Er ist in dieser Funktion verpflichtet, die Datenschutzpflichten gemäß Art. 28 Abs. 3 lit. a bis h DSGVO wahrzunehmen. In dieser Funktion hat er datenqualitätssichernde Maßnahmen zu setzen, wie insbesondere Hinweise auf eine mögliche Identität zweier ähnlicher Datensätze oder die Schreibweise von Adressen zu geben. Zudem ist er berechtigt, weitere Auftragsverarbeiter in Anspruch zu nehmen.“

16. In § 22b Abs. 2 wird die Wortfolge „Versagungs und Entziehungsgründe“ durch die Wortfolge „Versagungs- und Entziehungsgründe“ ersetzt.

17. In § 22b Abs. 3 letzter Satz, in § 22b Abs. 4 zweiter Satz, in § 22c Abs. 4 sowie in § 22d Abs. 2 wird jeweils vor dem Wort „Daten“ das Wort „personenbezogenen“ eingefügt.

18. Dem § 22b wird folgender Abs. 6 angefügt:

„(6) Hinsichtlich der Verarbeitung personenbezogener Daten nach diesem Bundesgesetz besteht kein Widerspruchsrecht gemäß Art. 21 DSGVO sowie kein Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO. Darüber sind die Betroffenen in geeigneter Weise zu informieren.“

19. In § 22d Abs. 2 wird die Wortfolge „zur Verfügung gestellt“ durch das Wort „übermittelt“, das Wort „Gemeinschaftsebene“ durch das Wort „Unionsebene“ sowie das Wort „innergemeinschaftlichen“ durch das Wort „unionsrechtlichen“ ersetzt.

20. Dem § 25 wird folgender Abs. 17 angefügt:

„(17) Der Eintrag im Inhaltsverzeichnis zu § 22c, § 3 Abs. 5a bis 9, § 16 Abs. 3 und 6, § 17 Abs. 2, die Überschrift zu § 22a samt Eintrag im Inhaltsverzeichnis, § 22a Abs. 1, 3, 4 und 6, die Überschrift zu § 22b samt Eintrag im Inhaltsverzeichnis, § 22b Abs. 1 bis 4 und 6, § 22c Abs. 4 sowie § 22d Abs. 2 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

Das Personenstandsgesetz 2013 (PStG 2013), BGBl. I Nr. 16/2013, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 120/2016 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Im Inhaltsverzeichnis wird im Eintrag zur Überschrift des 4. Hauptstücks das Wort „VERWENDEN“ durch das Wort „VERARBEITUNG“ ersetzt.

1a. Im Inhaltsverzeichnis wird im Eintrag zur Überschrift des 1. Abschnitts des 4. Hauptstückes das Wort „Verwenden“ durch das Wort „Verarbeitung“ und das Wort „Daten“ durch die Wortfolge „personenbezogenen Daten“ ersetzt.

2. Im Inhaltsverzeichnis lautet der Eintrag zu § 48:

㤠48.

Übermittlung im Wege des ZPR“

3. In § 7 Abs. 3 wird die Wortfolge „bekannt gegeben“ durch das Wort „bereitgestellt“ ersetzt.

4. In § 8 Abs. 1 und 2 wird jeweils das Wort „mitzuteilen“ durch die Wortfolge „zu übermitteln“ ersetzt.

5. In § 9 Abs. 1 sowie in § 28 Abs. 1 wird jeweils das Wort „Betreiber“ durch das Wort „Auftragsverarbeiter“ ersetzt.

6. In § 9 Abs. 5 erster Satz und § 61 Abs. 2 wird jeweils das Wort „Daten“ durch die Wortfolge „personenbezogene Daten“ ersetzt; in § 9 Abs. 5 zweiter Satz, § 46 Abs. 3 erster Satz und § 58 Abs. 1 wird jeweils das Wort „Daten“ durch die Wortfolge „personenbezogenen Daten“ ersetzt.

7. In § 9 Abs. 5 sowie in § 28 Abs. 5 wird jeweils das Wort „bekanntgegeben“ durch das Wort „bereitgestellt“ ersetzt.

8. In § 9 Abs. 5 wird nach der Wortfolge „in verschlüsselter Form“ die Wortfolge „zu statistischen Zwecken“ eingefügt.

9. In § 9 Abs. 6 wird das Wort „Bekanntgabe“ durch das Wort „Bereitstellung“ ersetzt.

10. In § 11 Abs. 4 wird nach dem Wort „Religionsbekenntnis“ die Wortfolge „von den Betroffenen von sich aus“ eingefügt.

11. In § 12, in § 31 sowie in § 61 Abs. 1 wird jeweils das Wort „überlassen“ durch das Wort „übermitteln“ ersetzt.

12. In § 20 Abs. 5 sowie in § 27 Abs. 4 wird jeweils vor der Wortfolge „ein Religionsbekenntnis“ die Wortfolge „von sich aus“ eingefügt.

13. In § 27 Abs. 1 Z 2 wird das Wort „allgemeine“ durch das Wort „allgemeinen“ ersetzt.

14. In § 28 Abs. 5 wird nach dem Wort „können“ die Wortfolge „zu statistischen Zwecken“ eingefügt.

15. In § 41 Abs. 3 sowie in § 61 Abs. 6 wird jeweils das Wort „zuzuleiten“ durch die Wortfolge „zu übermitteln“ ersetzt.

16. In § 42 Abs. 3 entfällt die Wortfolge „auf Antrag oder“.

17. In § 43 Abs. 1, in § 47 Abs. 1 sowie in § 61 Abs. 5 wird jeweils das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt.

18. § 44 samt Überschrift lautet:

„Zentrales Personenstandsregister (ZPR)

§ 44. (1) Die Personenstandsbehörden sind als gemeinsam Verantwortliche gemäß Art. 4 Z 7 in Verbindung mit Art. 26 Abs. 1 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, (im Folgenden: DSGVO) ermächtigt, allgemeine und besondere Personenstandsdaten für die Wahrnehmung der ihnen nach diesem Bundesgesetz übertragenen Aufgaben gemeinsam in der Art zu verarbeiten, dass jeder Verantwortliche auch auf jene Daten in der Datenverarbeitung Zugriff hat, die dieser von den anderen Verantwortlichen zur Verfügung gestellt wurden (Zentrales Personenstandsregister - ZPR).

(1a) Die Erfüllung von Informations-, Auskunfts-, Berichtigungs-, Löschungs- und sonstigen Pflichten nach den Bestimmungen der DSGVO gegenüber dem Betroffenen obliegt jedem Verantwortlichen hinsichtlich jener Daten, die im Zusammenhang mit den von ihm geführten Verfahren oder den von ihm gesetzten Maßnahmen verarbeitet werden. Nimmt ein Betroffener unter Nachweis seiner Identität ein Recht nach der DSGVO gegenüber einem gemäß dem ersten Satz unzuständigen Verantwortlichen wahr, ist er an den zuständigen Verantwortlichen zu verweisen.

(2) Im zentralen Personenstandsregister können Zeitpunkt und Ort des Todes einer Person abgefragt werden, wenn der Anfragende die Person durch die Namen sowie zumindest ein weiteres Merkmal im Hinblick auf alle im ZPR verarbeiteten Gesamtdatensätze eindeutig bestimmen kann. Wird ein bPK für die Verwendung im privaten Bereich zur Identifizierung des Betroffenen angegeben, so muss der Anfragende auch seine eigene Stammzahl zum Zwecke der Überprüfung der Richtigkeit des bPK zur Verfügung stellen. Die für die Abfrage zu entrichtenden Kosten sind vom Bundesminister für Inneres im Einvernehmen mit dem Bundesminister für Finanzen durch Verordnung festzulegen.

(3) Der Bundesminister für Inneres übt die Funktion des Auftragsverarbeiters gemäß Art. 4 Z 8 in Verbindung mit Art. 28 Abs. 1 DSGVO aus. Er ist in dieser Funktion verpflichtet, die Datenschutzpflichten gemäß Art. 28 Abs. 3 lit. a bis h DSGVO wahrzunehmen. In dieser Funktion hat er datenqualitätssichernde Maßnahmen zu setzen, wie insbesondere Hinweise auf eine mögliche Identität zweier ähnlicher Datensätze oder die Schreibweise von Adressen zu geben. Zudem ist er berechtigt, weitere Auftragsverarbeiter in Anspruch zu nehmen.

(4) Eine Vereinbarung zur Kostenbeteiligung der anderen Gebietskörperschaften im Ausmaß der zu erwartenden Nutzung durch diese ist zulässig.

(5) Protokolldaten über tatsächlich durchgeführte Verarbeitungsvorgänge, wie insbesondere Änderungen, Abfragen und Übermittlungen, sind drei Jahre lang aufzubewahren.

(6) Hinsichtlich der Verarbeitung personenbezogener Daten nach diesem Bundesgesetz besteht kein Widerspruchsrecht gemäß Art. 21 DSGVO sowie kein Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO. Darüber sind die Betroffenen in geeigneter Weise zu informieren.“

19. In § 45 Abs. 3 wird die Wortfolge „bekannt geben“ durch das Wort „bereitgestellt“ ersetzt.

20. § 45 Abs. 3 letzter Satz lautet:

„Die Daten sind so zu übermitteln, dass sie für den Empfänger pseudonymisierte Daten sind und der Empfänger die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann.“

21. Dem § 45 wird folgender Abs. 4 angefügt:

„(4) Die Protokollierungsregelungen des § 44 Abs. 5 finden auch auf das Lokale Personenstandsregister Anwendung.“

22. In der Überschrift zum 4. Hauptstück wird das Wort „VERWENDEN“ durch das Wort „VERARBEITUNG“ ersetzt.

23. In der Überschrift zum 1. Abschnitt des 4. Hauptstückes wird das Wort „Verwenden“ durch das Wort „Verarbeitung“ und das Wort „Daten“ durch die Wortfolge „personenbezogenen Daten“ ersetzt.

24. § 46 Abs. 1 und 2 lautet:

„(1) Die Personenstandsbehörden sind berechtigt, Auskünfte aus dem ZPR zu erteilen.

(2) Der Bundesminister für Inneres hat die Auswählbarkeit der Personenstandsdaten aus der gesamten Menge der gespeicherten Daten nach Namen der Eingetragenen vorzusehen.“

25. In § 46 Abs. 3 zweiter Satz wird die Wortfolge „der Sicherheitspolizei und Strafrechtspflege oder, soweit dies gesetzlich vorgesehen ist“ durch die Wortfolge „der Sicherheitspolizei, der Strafrechtspflege oder, soweit dies gesetzlich vorgesehen ist“ ersetzt.

26. In § 46 Abs. 4 wird das Wort „übergeben“ durch das Wort „übermitteln“ ersetzt.

27. In § 47 Abs. 4 wird in der Z 3 das Wort „Verwendung“ durch das Wort „Verarbeitung“ und in der Z 5 das Wort „Verwendungsvorgänge“ durch das Wort „Verarbeitungsvorgänge“ ersetzt.

28. In der Überschrift zu § 48 wird die Wortfolge „Zur-Verfügung-Stellen“ durch das Wort „Übermittlung“ ersetzt.

29. In § 48 Abs. 1, 2, 5, 7, 8 und 9 sowie in § 51 Abs. 1 wird jeweils die Wortfolge „zur Verfügung zu stellen“ durch die Wortfolge „zu übermitteln“ ersetzt.

30. In § 48 Abs. 3 wird die Wortfolge „stehen Daten nach Abs. 2 insofern zur Verfügung“ durch die Wortfolge „werden Daten nach Abs. 2 insofern übermittelt“ ersetzt.

31. In § 48 Abs. 3 wird die Wendung „- AlVG“ durch den Klammerausdruck „(AlVG)“ sowie die Wendung „- AuslBG“ durch den Klammerausdruck „(AuslBG)“ ersetzt.

32. In § 48 Abs. 4 lautet:

„(4) Den Sicherheitsbehörden sind Daten zu allen Änderungen von Namen von Personen, die das 14. Lebensjahr vollendet haben, sowie zum Tod einer Person im Wege des Bundesministers für Inneres als Auftragsverarbeiter gemäß § 57 und § 75 des Sicherheitspolizeigesetzes (SPG), BGBl. Nr. 566/1991, zu übermitteln, um diese mit den Daten dieser Datenverarbeitungen automatisiert abzugleichen und im Bedarfsfall für die jeweiligen Verantwortlichen zu aktualisieren.“

33. Nach § 48 Abs. 4 wird folgender Abs. 4a eingefügt:

„(4a) Dem Strafregisteramt der Landespolizeidirektion Wien sind Daten zu allen Änderungen von Namen von Personen, die das 14. Lebensjahr vollendet haben, sowie zum Tod einer Person im Wege des Bundesministers für Inneres als Auftragsverarbeiter gemäß § 1 Abs. 3 des Strafregistergesetzes 1968, BGBl. Nr. 277/1968, zu übermitteln, um diese mit den Daten dieser Datenverarbeitungen automatisiert abzugleichen und im Bedarfsfall für die jeweiligen Verantwortlichen zu aktualisieren.“

34. In § 48 Abs. 9 wird nach der Wendung „Asylgesetzes 2005“ der Klammerausdruck „(AsylG 2005)“, nach der Wendung „Fremdenpolizeigesetzes 2005“ der Klammerausdruck „(FPG)“ sowie nach der Wendung „Niederlassungs- und Aufenthaltsgesetzes“ der Klammerausdruck „(NAG)“ eingefügt.

35. In § 48 entfällt der Abs. 10; die Abs. 11 bis 13 erhalten die Absatzbezeichnungen „(10)“, „(11)“ und „(12)“.

36. In § 48 wird in den nunmehrigen Abs. 10 und 11 jeweils die Wortfolge „zur Verfügung gestellt“ durch das Wort „übermittelt“ ersetzt.

37. Der nunmehrige § 48 Abs. 12 lautet:

„(12) Die in den Abs. 1 bis 11 vorgesehene Übermittlung von Daten darf nur erfolgen, wenn und sobald dies für die jeweilige Stelle zur Erfüllung einer gesetzlichen Aufgabe erforderlich ist. In den gemäß Abs. 1, 2, 3, 5, 7, 8, 9, 10 und 11 genannten Fällen erfolgt sie periodisch auf elektronischem Weg in geeigneter Form. Im Übrigen sind Übermittlungen nur zulässig, wenn hierfür eine ausdrückliche gesetzliche Ermächtigung besteht.“

38. In § 49 wird vor der Wortfolge „jenen ordentlichen Gerichten“ die Wortfolge „im Anlassfall“ eingefügt sowie die Wortfolge „zur Verfügung zu stellen“ durch die Wortfolge „zu übermitteln“ ersetzt.

39. § 50 samt Überschrift lautet:

„Änderungsdienst

§ 50. Der Bundesminister für Inneres kann, soweit zulässigerweise eine personenbezogene Datenverarbeitung geführt wird, auf Verlangen die Änderungen dieser Daten gegen Kostenersatz insofern übermitteln, als die jeweiligen verschlüsselten bPK der geänderten Datensätze bekannt gegeben werden. Werden bPK für die Verwendung im privaten Bereich bekannt gegeben, können die Daten zum Tod einer Person gegen Kostenersatz übermittelt werden. § 48 bleibt unberührt.“

40. In § 52 Abs. 2 wird die Wendung „- AußStrG“ durch den Klammerausdruck „(AußStrG)“ ersetzt.

41. § 52 Abs. 4 lautet:

„(4) Soweit für die Zwecke der §§ 7 f DSG personenbezogene Daten von mehr als einem Verantwortlichen zu übermitteln sind, kommt diese Aufgabe dem Bundesminister für Inneres als Auftragsverarbeiter zu.“

42. Nach § 52 Abs. 4 wird folgender Abs. 4a eingefügt:

„(4a) Soweit personenbezogene Daten zu wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken übermittelt werden, kommt dem Betroffenen das Recht gemäß Art. 15 DSGVO nicht zu.“

43. In § 52 Abs. 5 Z 3 wird die Wendung „30 Jahren“ durch die Wendung „30 Jahre“ ersetzt.

44. In § 53 Abs. 7 sowie in § 58 Abs. 2 wird jeweils die Wortfolge „Betreibers des ZPR“ durch die Wortfolge „Bundesministers für Inneres“ ersetzt.

45. In § 61 Abs. 1 wird das Wort „überlassen“ durch das Wort „übermitteln“ ersetzt.

46. In § 61 Abs. 4 wird nach dem Zitat „BGBl. I Nr. 135/2009“ ein Beistrich eingefügt.

47. § 61 Abs. 7 entfällt.

48. § 72 Abs. 3 entfällt.

49. In § 72 erhalten die Abs. 4, 5, 6, 7, 8 und 9 die Absatzbezeichnungen „(3)“, „(4)“, „(5)“, „(6)“, „(7)“ und „(8)“.

50. Dem § 72 wird folgender Abs. 9 angefügt:

„(9) § 7 Abs. 3, § 8, § 9 Abs. 1, 5 und 6, § 11 Abs. 4, § 12, § 20 Abs. 5, § 27 Abs. 1 Z 2 und Abs. 4, § 28 Abs. 1 und 5, § 31, § 41 Abs. 3, § 42 Abs. 3, § 43 Abs. 1, § 44 samt Überschrift, § 45 Abs. 3 und 4, die Überschrift zum 4. Hauptstück samt Eintrag im Inhaltsverzeichnis, die Überschrift zum 1. Abschnitt des 4. Hauptstücks samt Eintrag im Inhaltsverzeichnis, § 46, § 47 Abs. 1 und 4 Z 3 und 5, die Überschrift zu § 48 samt Eintrag im Inhaltsverzeichnis, § 48 Abs. 1 bis 5 sowie 7 bis 12, § 49, § 50 samt Überschrift, § 51 Abs. 1, § 52 Abs. 2, 4, 4a und 5, § 53 Abs. 7, § 58 sowie § 61 Abs. 1, 2, 4, 5 und 6 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft; gleichzeitig tritt § 61 Abs. 7 außer Kraft. § 72 Abs. 3 bis 8 in der Fassung des genannten Bundesgesetzes tritt mit dem auf die Kundmachung folgenden Tag in Kraft.“

Das Pyrotechnikgesetz 2010 (PyroTG 2010), BGBl. I Nr. 131/2009, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 163/2015 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. In § 10 wird in Abs. 1 erster Satz die Wortfolge „verarbeitete Daten“ durch die Wortfolge „verarbeitete personenbezogene Daten“ und die Wortfolge „diese Daten“ durch die Wortfolge „diese personenbezogenen Daten“ ersetzt; in Abs. 3 Z 4 wird das Wort „Daten“ durch die Wortfolge „personenbezogenen Daten“ ersetzt; in Abs. 4 wird das Wort „Daten“ durch die Wortfolge „personenbezogene Daten“ ersetzt.

2. § 10 Abs. 3 Z 1 und 2 lautet:

  1. „1. die personenbezogenen Daten nur zum festgelegten Zweck, in ihrem Wirkungsbereich und im Einklang mit den Bestimmungen der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, (im Folgenden: DSGVO) sowie des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999, zu verarbeiten,
  2. 2. die personenbezogenen Daten vor unberechtigter Verarbeitung zu sichern, insbesondere durch organisatorische und technische Vorkehrungen sicherzustellen, dass der Zutritt zu Räumen, in denen sich eine Zugriffsmöglichkeit auf die übermittelten personenbezogenen Daten befindet, nur von in ihrem Auftrag Tätigen möglich ist,“

3. § 19 Abs. 4 lautet:

„(4) Für die drucktechnische und elektronische Einbringung der Daten gemäß Abs. 2 in den Pyrotechnik-Ausweis bedienen sich die Behörden eines gemeinsamen Auftragsverarbeiters. Der Bundesminister für Inneres ist ermächtigt, für die Behörden nach Maßgabe der Bestimmungen der DSGVO betreffend die Erzeugung der Pyrotechnik-Ausweise eine Vereinbarung mit dem Auftragsverarbeiter abzuschließen. Der Auftragsverarbeiter hat die beim Verarbeitungsvorgang neu entstehenden Daten den Behörden zu übermitteln; diese Daten sowie alle ihm für seine Aufgabe übermittelten Daten hat der Auftragsverarbeiter zu löschen, sobald er diese nicht mehr benötigt, spätestens jedoch nach Ablauf von zwei Monaten nach Versendung des Pyrotechnik-Ausweises. Der Auftragsverarbeiter hat die Versendung des Pyrotechnik-Ausweises entsprechend der Zustellverfügung der Behörde für diese zu veranlassen.“

4. Dem § 45 wird folgender Abs. 7 angefügt:

„(7) § 10 Abs. 1, Abs. 3 Z 1, 2 und 4 und Abs. 4 sowie § 19 Abs. 4 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

Das Vereinsgesetz 2002 (VerG), BGBl. I Nr. 66/2002, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 22/2015 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Im Inhaltsverzeichnis lauten die Einträge zur Überschrift des 3. Abschnitts sowie zu § 15:

„Vereinsregister und Datenverarbeitung

§ 15. Verarbeitung besonderer Kategorien personenbezogener Daten“

2. Im Inhaltsverzeichnis lautet der Eintrag zu § 17:

„§ 17. Erteilung von Auskünften aus dem Lokalen Vereinsregister“

3. Im Inhaltsverzeichnis lautet der Eintrag zu § 19:

„§ 19. Erteilung von Auskünften aus dem Zentralen Vereinsregister“

4. Die Überschrift zum 3. Abschnitt sowie § 15 samt Überschrift lauten:

§ 15. Personenbezogene Daten gemäß § 16 Abs. 1 dürfen die Vereinsbehörden im Interesse der Offenlegung der für den Rechtsverkehr bedeutsamen Tatsachen sowie im Interesse der Ausschließlichkeit der Vereinsnamen (§ 4 Abs. 1) auch dann verarbeiten, wenn es sich im Hinblick auf den aus seinem Namen erschließbaren Zweck eines Vereins (§ 4 Abs. 1) um besondere Kategorien personenbezogener Daten im Sinne des Art. 9 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, (im Folgenden: DSGVO) handelt.“

5. Der Einleitungsteil des § 16 Abs. 1 lautet:

„Die Vereinsbehörden haben für die in ihrem örtlichen Wirkungsbereich ansässigen Vereine zur Erfüllung ihrer gesetzlich übertragenen Aufgaben folgende Vereinsdaten in einem Register zu verarbeiten:“

6. In § 16 Abs. 1 Z 3 wird das Zitat „§ 18 Abs. 3“ durch das Zitat „§ 18 Abs. 2“ ersetzt.

7. In § 16 Abs. 4 entfällt die Wortfolge „auf Antrag oder“.

8. In § 16 Abs. 5 wird die Wortfolge „Evidenzen beziehungsweise Datenanwendungen“ durch das Wort „Datenverarbeitungen“, die Wortfolge „In-Kraft-Treten“ durch das Wort „Inkrafttreten“ sowie das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt.

9. Dem § 16 wird folgender Abs. 6 angefügt:

„(6) Protokolldaten über tatsächlich durchgeführte Verarbeitungsvorgänge, wie insbesondere Änderungen, Abfragen und Übermittlungen, sind drei Jahre lang aufzubewahren.“

10. Die Überschrift zu § 17 lautet:

„Erteilung von Auskünften aus dem Lokalen Vereinsregister“

11. § 17 Abs. 1 lautet:

„(1) Die Vereinsbehörden haben auf Verlangen aus dem Lokalen Vereinsregister jedermann über die in § 16 Abs. 1 Z 1 bis 7, 10 bis 13 und 16 angeführten Daten eines nach

  1. 1. seiner ZVR-Zahl (§ 18 Abs. 2) oder
  2. 2. seinem Namen oder
  3. 3. Namensbestandteilen, allenfalls ergänzt mit dem Vereinssitz,

    eindeutig bestimmbaren Vereins (Einzelabfrage) Auskunft zu erteilen, soweit nicht auf Grund einer Auskunftssperre gegenüber Dritten gemäß Abs. 6 vorzugehen ist.“

12. In § 17 Abs. 2 entfällt die Wortfolge „die Bestimmungen des § 26 DSG 2000 und“.

13. In § 17 Abs. 4 wird die Wortfolge „sensibler Daten“ durch die Wortfolge „besonderer Kategorien personenbezogener Daten“ ersetzt.

14. In § 17 Abs. 8 wird nach dem Wort „einholt“ ein Beistrich eingefügt.

15. § 18 samt Überschrift lautet:

„Zentrales Vereinsregister

§ 18. (1) Die Vereinsbehörden sind als gemeinsam Verantwortliche gemäß Art. 4 Z 7 in Verbindung mit Art. 26 Abs. 1 DSGVO ermächtigt, die für die Wahrnehmung der ihnen nach diesem Bundesgesetz übertragenen Aufgaben erforderlichen personenbezogenen Daten gemeinsam in der Art zu verarbeiten, dass jeder Verantwortliche auch auf jene Daten in der Datenverarbeitung Zugriff hat, die dieser von den anderen Verantwortlichen zur Verfügung gestellt wurden (Zentrales Vereinsregister - ZVR). Die Vereinsbehörden haben dem Bundesminister für Inneres für die Zwecke der Führung des Zentralen Vereinsregisters unverzüglich ihre Vereinsdaten gemäß § 16 Abs. 1 im Wege der Datenfernübertragung zu übermitteln.

(1a) Die Erfüllung von Informations-, Auskunfts-, Berichtigungs-, Löschungs- und sonstigen Pflichten nach den Bestimmungen der DSGVO gegenüber dem Betroffenen obliegt jedem Verantwortlichen hinsichtlich jener Daten, die im Zusammenhang mit den von ihm geführten Verfahren oder den von ihm gesetzten Maßnahmen verarbeitet werden. Nimmt ein Betroffener unter Nachweis seiner Identität ein Recht nach der DSGVO gegenüber einem gemäß dem ersten Satz unzuständigen Verantwortlichen wahr, ist er an den zuständigen Verantwortlichen zu verweisen.

(1b) Der Bundesminister für Inneres übt die Funktion des Auftragsverarbeiters gemäß Art. 4 Z 8 in Verbindung mit Art. 28 Abs. 1 DSGVO aus. Er ist in dieser Funktion verpflichtet, die Datenschutzpflichten gemäß Art. 28 Abs. 3 lit. a bis h DSGVO wahrzunehmen. Zudem ist er berechtigt, weitere Auftragsverarbeiter in Anspruch zu nehmen.

(2) Der Bundesminister für Inneres hat zur Sicherung der Unverwechselbarkeit der erfassten Vereine bei Führung des ZVR für die Vereinsbehörden jedem Verein eine fortlaufende Vereinsregisterzahl (ZVR-Zahl) beizugeben, die keine Informationen über den betroffenen Verein enthält. Die ZVR-Zahl ist der zuständigen Vereinsbehörde zu melden. Die ZVR-Zahl ist von den Vereinen im Rechtsverkehr nach außen zu führen.

(3) Die Protokollierungsregelungen des § 16 Abs. 6 finden auch auf das Zentrale Vereinsregister Anwendung.

(4) Hinsichtlich der Verarbeitung personenbezogener Daten nach diesem Bundesgesetz besteht kein Widerspruchsrecht gemäß Art. 21 DSGVO sowie kein Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO. Darüber sind die Betroffenen in geeigneter Weise zu informieren.“

16. Die Überschrift zu § 19 lautet:

„Erteilung von Auskünften aus dem Zentralen Vereinsregister“

17. § 19 Abs. 1 bis 3 lautet:

„(1) Für die Erteilung von Auskünften aus dem Zentralen Vereinsregister gilt § 17 sinngemäß, wobei diese - abweichend von § 9 Abs. 3 - unabhängig vom Sitz eines Vereins von jeder Vereinsbehörde zu erteilen sind.

(2) Der Bundesminister für Inneres ist ermächtigt, Organen von Gebietskörperschaften auf Verlangen sowie Körperschaften öffentlichen Rechts auf deren Antrag eine Abfrage im Zentralen Vereinsregister in der Weise zu eröffnen, dass sie, soweit dies zur Besorgung einer gesetzlich übertragenen Aufgabe erforderlich ist, die dort verarbeiteten Daten - ausgenommen jene nach § 16 Abs. 1 Z 9 und 15 - eines eindeutig nach seiner ZVR-Zahl (§ 18 Abs. 2) oder seinem Namen oder Namensbestandteilen, allenfalls ergänzt mit dem Vereinssitz, bestimmbaren Vereins im Datenfernverkehr ermitteln können.

(3) Unbeschadet der Bestimmungen des Abs. 2 ist der Bundesminister für Inneres ermächtigt, jedermann die gebührenfreie Abfrage der im ZVR verarbeiteten Daten gemäß § 16 Abs. 1 Z 1 bis 7, 10 bis 13 und 16 eines nach § 17 Abs. 1 Z 1 bis 3 eindeutig bestimmbaren Vereins, für den keine Auskunftssperre gemäß § 17 Abs. 4 besteht, im Weg des Datenfernverkehrs zu eröffnen (Online-Einzelabfrage).“

18. In § 19 Abs. 4 werden das Wort „Verwenden“ sowie das Wort „Verwendung“ jeweils durch das Wort „Verarbeiten“ ersetzt; das Wort „Datenverwendung“ wird durch das Wort „Datenverarbeitung“ sowie das Wort „Verwendungsvorgänge“ durch das Wort „Verarbeitungsvorgänge“ ersetzt.

19. In § 19 Abs. 5 Z 1a wird das Wort „verwendet“ durch das Wort „verarbeitet“ ersetzt.

20. In § 19 Abs. 6 wird die Wortfolge „zur Verfügung zu stellen“ durch die Wortfolge „zu übermitteln“ ersetzt.

21. Dem § 19 wird folgender Abs. 7 angefügt:

„(7) Der Österreichischen Nationalbank sind gegen Ersatz der dafür anfallenden Kosten die Daten aus dem Zentralen Vereinsregister zur Erfüllung ihrer gesetzlich oder unionsrechtlich übertragenen Aufgaben nach Maßgabe der technischen Möglichkeiten im Datenfernverkehr zu übermitteln.“

22. § 31 Z 4 lit. e lautet:

„e) die ZVR-Zahl nicht gemäß § 18 Abs. 2 letzter Satz führt oder“

23. Dem § 33 wird folgender Abs. 14 angefügt:

„(14) Die Überschrift zum 3. Abschnitt samt Eintrag im Inhaltsverzeichnis, § 15 samt Überschrift und Eintrag im Inhaltsverzeichnis, § 16 Abs. 1 sowie 4 bis 6, die Überschrift zu § 17 samt Eintrag im Inhaltsverzeichnis, § 17 Abs. 1, 2, 4 und 8, § 18 samt Überschrift, § 19 samt Überschrift und Eintrag im Inhaltsverzeichnis sowie § 31 Z 4 lit. e in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

Das Waffengesetz 1996 (WaffG), BGBl. I Nr. 12/1997, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 120/2016 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Im Inhaltsverzeichnis lautet der Eintrag zur Überschrift des 11. Abschnitts:

„Verarbeitung personenbezogener Daten im Rahmen der Waffenpolizei“

2. § 21 Abs. 5 und 6 lautet:

„(5) Die Waffenbesitzkarte und der Waffenpass haben Namen, Geburtsdatum und Lichtbild des Antragstellers, die Anzahl der genehmigten Schusswaffen, die Bezeichnung der ausstellenden Behörde, das Datum der Ausstellung, die Unterschrift des Inhabers sowie ein Feld für behördliche Eintragungen zu enthalten und entsprechende Sicherheitsmerkmale aufzuweisen. Die nähere Gestaltung der Waffenbesitzkarte und des Waffenpasses wird durch Verordnung des Bundesministers für Inneres bestimmt.

(6) Für die drucktechnische und elektronische Einbringung der Daten gemäß Abs. 5 in die Waffenbesitzkarte und den Waffenpass bedienen sich die Behörden eines gemeinsamen Auftragsverarbeiters. Der Bundesminister für Inneres ist ermächtigt, für die Behörden nach Maßgabe der Bestimmungen der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, (im Folgenden: DSGVO) betreffend die Erzeugung von Waffenbesitzkarten und Waffenpässen eine Vereinbarung mit dem Auftragsverarbeiter abzuschließen. Der Auftragsverarbeiter hat die beim Verarbeitungsvorgang neu entstehenden Daten den Behörden zu übermitteln; diese Daten sowie alle ihm für seine Aufgabe übermittelten Daten hat der Auftragsverarbeiter zu löschen, sobald er diese nicht mehr benötigt, spätestens jedoch nach Ablauf von zwei Monaten nach Versendung der Waffenbesitzkarte oder des Waffenpasses. Der Auftragsverarbeiter hat die Versendung der Waffenbesitzkarte oder des Waffenpasses entsprechend der Zustellverfügung der Behörde für diese zu veranlassen.“

3. Die Überschrift zum 11. Abschnitt lautet:

4. In § 54 Abs. 1 wird das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt.

5. In § 54 Abs. 1 wird die Wortfolge „nicht unverhältnismäßig“ durch das Wort „verhältnismäßig“ ersetzt.

6. In § 54 Abs. 2 wird das Wort „Dritter“ durch die Wortfolge „dritter Personen“ ersetzt.

7. Nach § 54 Abs. 2 wird folgender Abs. 2a eingefügt:

„(2a) Hinsichtlich der Verarbeitung personenbezogener Daten nach diesem Bundesgesetz besteht kein Widerspruchsrecht gemäß Art. 21 DSGVO sowie kein Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO. Darüber sind die Betroffenen in geeigneter Weise zu informieren.“

8. § 54 Abs. 3 lautet:

„(3) Die Bundesrechenzentrums GmbH hat als Auftragsverarbeiterin bei der Führung von Datenverarbeitungen gemäß § 55 gegen Entgelt mitzuwirken. Sie ist in dieser Funktion verpflichtet, die Datenschutzpflichten gemäß Art. 28 Abs. 3 lit. a bis h DSGVO wahrzunehmen.“

9. In § 55 werden die Abs. 1 bis 3 durch folgende Abs. 1, 1a, 2 und 3 ersetzt:

„(1) Die Waffenbehörden sind als gemeinsam Verantwortliche gemäß Art. 4 Z 7 in Verbindung mit Art. 26 Abs. 1 DSGVO ermächtigt, zur Wahrnehmung der ihnen nach diesem Bundesgesetz übertragenen Aufgaben zum Betroffenen

  1. 1. Namen,
  2. 2. Geschlecht,
  3. 3. frühere Namen,
  4. 4. Geburtsdatum und -ort,
  5. 5. Wohnanschrift,
  6. 6. Staatsangehörigkeit,
  7. 7. Namen der Eltern,
  8. 8. Aliasdaten,
  9. 9. Daten, die für dessen Berechtigung, Waffen, Munition oder Kriegsmaterial zu erwerben, einzuführen, zu besitzen oder zu führen sowie für die Verwahrung gemäß § 41 maßgeblich sind, wie insbesondere die Begründung, die Rechtfertigung oder den Bedarf, und
  10. 10. Waffendaten, insbesondere Art, Kaliber, Marke, Type und Herstellungsnummer der Waffe,

    zu ermitteln, sofern die jeweiligen Daten zur Aufgabenerfüllung erforderlich sind, und im Rahmen einer Zentralen Informationssammlung gemeinsam in der Art zu verarbeiten, dass jeder Verantwortliche auch auf jene Daten in der Datenverarbeitung Zugriff hat, die dieser von den anderen Verantwortlichen zur Verfügung gestellt wurden. Personenbezogene Daten dritter Personen dürfen nur verarbeitet werden, wenn bei Fahndungsabfragen deren Auswählbarkeit aus der Gesamtmenge der gespeicherten Daten nicht vorgesehen ist.

(1a) Die Erfüllung von Informations-, Auskunfts-, Berichtigungs-, Löschungs- und sonstigen Pflichten nach den Bestimmungen der DSGVO gegenüber dem Betroffenen obliegt jedem Verantwortlichen hinsichtlich jener Daten, die im Zusammenhang mit den von ihm geführten Verfahren oder den von ihm gesetzten Maßnahmen verarbeitet werden. Nimmt ein Betroffener unter Nachweis seiner Identität ein Recht nach der DSGVO gegenüber einem gemäß dem ersten Satz unzuständigen Verantwortlichen wahr, ist er an den zuständigen Verantwortlichen zu verweisen.

(2) Der Bundesminister für Inneres übt die Funktion des Auftragsverarbeiters gemäß Art. 4 Z 8 in Verbindung mit Art. 28 Abs. 1 DSGVO aus. Er ist in dieser Funktion verpflichtet, die Datenschutzpflichten gemäß Art. 28 Abs. 3 lit. a bis h DSGVO wahrzunehmen. Zudem ist er berechtigt, weitere Auftragsverarbeiter in Anspruch zu nehmen.

(3) Gewerbetreibende, die zum Handel mit nichtmilitärischen Schusswaffen berechtigt und gemäß § 32 ermächtigt sind, Registrierungen für die jeweils zuständige Waffenbehörde im Wege des Datenfernverkehrs vorzunehmen, werden insoweit als Verantwortliche gemäß Art. 4 Z 7 der DSGVO tätig. Für die Durchführung der Registrierung dürfen ihnen die Daten gemäß Abs. 1 Z 1 bis 7 sowie allenfalls vorhandene Informationen über Waffenverbote übermittelt werden.“

10. § 55 Abs. 4 erster Satz entfällt.

11. In § 55 Abs. 4 wird die Wendung „- WG 2001“ durch den Klammerausdruck „(WG 2001)“ ersetzt.

12. In § 55 Abs. 4 wird nach dem Zitat „BGBl. I Nr. 86/2000“ ein Beistrich eingefügt.

13. In § 55 Abs. 5 wird die Wortfolge „evident gehalten“ durch das Wort „verarbeitet“ ersetzt.

14. In § 55 Abs. 5 und 7 wird jeweils das Wort „Auftraggeber“ durch das Wort „Verantwortliche“ ersetzt.

15. In § 55 wird in Abs. 6 und Abs. 8 zweiter Satz jeweils vor dem Wort „Daten“ das Wort „personenbezogene“ eingefügt; in Abs. 8 erster Satz und Abs. 9 wird jeweils vor dem Wort „Daten“ das Wort „personenbezogenen“ eingefügt.

16. In § 55 Abs. 6 wird das Zitat „§ 26 DSG 2000“ durch das Zitat „Art. 15 DSGVO“ ersetzt.

17. In § 55 Abs. 8 wird nach dem Wort „ermächtigt“ ein Beistrich eingefügt; die Wortfolge „zur Verfügung gestellt“ wird durch das Wort „übermittelt“ ersetzt.

18. In § 55 Abs. 9 wird das Zitat „§ 14 Abs. 4 DSG 2000“ durch das Zitat „Abs. 10“ sowie das Wort „habe“ durch das Wort „haben“ ersetzt.

19. Dem § 55 wird folgender Abs. 10 angefügt:

„(10) Protokolldaten über tatsächlich durchgeführte Verarbeitungsvorgänge, wie insbesondere Änderungen, Abfragen und Übermittlungen, sind drei Jahre lang aufzubewahren.“

20. Dem § 62 wird folgender Abs. 19 angefügt:

„(19) § 21 Abs. 5 und 6, die Überschrift zum 11. Abschnitt samt Eintrag im Inhaltsverzeichnis sowie die §§ 54 und 55 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

Das Zivildienstgesetz 1986 (ZDG), BGBl. Nr. 679/1986, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 146/2015 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. § 5 Abs. 2 erster und zweiter Satz lautet:

„Die Zivildiensterklärung ist in unmittelbarem Anschluss an das Stellungsverfahren an die Stellungskommission, sonst an das nach dem Hauptwohnsitz des Wehrpflichtigen zuständige Militärkommando schriftlich zu übermitteln oder mündlich zu Protokoll zu geben. Wird eine Zivildiensterklärung innerhalb der Frist des § 1 Abs. 2 an die Zivildienstserviceagentur übermittelt, so gilt dies als rechtzeitige Übermittlung.“

2. In § 5 Abs. 3 wird das Wort „weiterzuleiten“ jeweils durch die Wortfolge „zu übermitteln“ ersetzt.

3. In § 5 Abs. 3 entfallen die Wortfolge „sein Religionsbekenntnis,“ sowie der letzte Satz.

4. In § 5 Abs. 4 wird die Wortfolge „zur Kenntnis zu bringen“ durch die Wortfolge „zu übermitteln“ ersetzt.

5. In § 6 Abs. 4 wird das Wort „zurückzusenden“ durch die Wortfolge „zurück zu übermitteln“ ersetzt.

6. In § 6 Abs. 5 wird das Wort „geleisteten“ durch das Wort „abgeleisteten“ ersetzt.

7. § 8 Abs. 7 entfällt.

8. § 21 Abs. 5 entfällt.

9. In § 31 Abs. 3 entfällt die Wortfolge „nach Anhörung des Unabhängigen Beirates für Zivildienstbeschwerdeangelegenheiten“.

10. § 34b Abs. 1 lautet:

„(1) Der Zivildienstpflichtige, der einen außerordentlichen Zivildienst gemäß § 21 Abs. 1 leistet, hat für die Dauer eines solchen Dienstes Anspruch auf Entschädigung oder Fortzahlung der Dienstbezüge, wie er einem Wehrpflichtigen zusteht, der gemäß § 2 Abs. 1 lit. a WG 2001 einen Einsatzpräsenzdienst leistet.“

11. § 34b Abs. 3 entfällt.

12. Die Überschrift zum Abschnitt IXa lautet:

13. § 57a Abs. 1 lautet:

„(1) Die Zivildienstserviceagentur darf personenbezogene Daten nur verarbeiten, wenn es zur Vollziehung des Zivildienstgesetzes erforderlich ist. Insbesondere darf sie folgende Daten von Zivildienstwerbern und Zivildienstpflichtigen sowie von Rechtsträgern und Einrichtungen nur verarbeiten, soweit dies zur Wahrnehmung der ihr gesetzlich übertragenen Aufgaben eine wesentliche Voraussetzung bildet:

  1. 1. Identitäts- sowie Erreichbarkeitsdaten,
  2. 2. Daten über die gesundheitliche Eignung,
  3. 3. Daten über besondere Kenntnisse und Fertigkeiten,
  4. 4. das bereichsspezifische Personenkennzeichen (bPK, § 9 E-Government-Gesetz [E-GovG], BGBl. I Nr. 10/2004),
  5. 5. Daten, die für die Ableistung des ordentlichen Zivildienstes erforderlich sind,
  6. 6. Daten für die Abwicklung von Personalangelegenheiten vor oder während der Ableistung des ordentlichen Zivildienstes, wie Versetzung, Nichteinrechnung, Unterbrechung, Entlassung sowie Abwesenheiten (zB aufgrund von Unfall oder Krankheit),
  7. 7. Daten zum Erlöschen der Zivildienstpflicht,
  8. 8. Bezeichnung, Adresse und sonstige Daten zu Rechtsträgern und Einrichtungen,
  9. 9. Daten des Verfahrens zur Feststellung und zum Widerruf der Zivildienstpflicht,
  10. 10. Daten des Verfahrens zur Zuweisung zur Ableistung des ordentlichen Zivildienstes sowie
  11. 11. Daten für die Abwicklung eines Aufschubs- und Befreiungsverfahrens.“

14. Nach § 57a Abs. 1 wird folgender Abs. 1a eingefügt:

„(1a) Eine manuelle Verarbeitung von Daten gemäß Abs. 1 Z 2 ist lediglich für Zwecke der Feststellung der gesundheitlichen Eignung zur Dienstleistung und insoweit zulässig, als dies für die Zivildienstverwaltung unerlässlich ist. Eine automationsunterstützte Verarbeitung dieser Daten ist jedenfalls unzulässig.“

15. Dem § 57a Abs. 2 wird folgender Satz angefügt:

„Eine Übermittlung von Daten gemäß Abs. 1 Z 2 ist jedenfalls unzulässig.“

16. Im Einleitungsteil des § 57a Abs. 3 wird das Wort „der“ durch das Wort „dieser“ ersetzt.

17. § 57a Abs. 3 Z 3 lautet:

  1. „3. die ordentlichen Gerichte, soweit diese im Rahmen von Strafverfahren gemäß §§ 58 und 59 oder Auskünften in Zusammenhang mit Verfahren gemäß § 6 Abs. 3 tätig werden, sowie die Verwaltungsgerichte in den Ländern und das Bundesverwaltungsgericht, soweit diese im Rahmen einer Beschwerde nach diesem Bundesgesetz tätig werden;“

18. In § 57a Abs. 5 wird die Wortfolge „evident zu halten“ durch die Wortfolge „zu speichern“ ersetzt.

19. Dem § 57a werden folgende Abs. 6 und 7 angefügt:

„(6) Protokolldaten über tatsächlich durchgeführte Verarbeitungsvorgänge, wie insbesondere Änderungen, Abfragen und Übermittlungen, sind drei Jahre lang aufzubewahren.

(7) Hinsichtlich der Verarbeitung personenbezogener Daten nach diesem Bundesgesetz besteht kein Widerspruchsrecht gemäß Art. 21 DSGVO sowie kein Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO. Darüber sind die Betroffenen in geeigneter Weise zu informieren.“

20. Dem § 76b wird folgender Abs. 12 angefügt:

„(12) Soweit das Religionsbekenntnis vor Inkrafttreten des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, automationsunterstützt verarbeitet wurde, ist es umgehend zu löschen.“

21. Dem § 76c wird folgender Abs. 35 angefügt:

„(35) § 5 Abs. 2 bis 4, § 6 Abs. 4 und 5, § 31 Abs. 3, § 34b Abs. 1, die Überschrift zu Abschnitt IXa, § 57a Abs. 1, 1a, 2, 3 und 5 bis 7 sowie § 76b Abs. 12 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft. Gleichzeitig treten § 8 Abs. 7, § 21 Abs. 5 und § 34b Abs. 3 außer Kraft.“

Das BFA-Verfahrensgesetz (BFA-VG), BGBl. I Nr. 87/2012, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 145/2017, wird wie folgt geändert:

1. Im Inhaltsverzeichnis lautet der Eintrag zu § 23:

㤠23.

Verarbeitung personenbezogener Daten“

2. Im Inhaltsverzeichnis lauten die Einträge zu den §§ 26 bis 28:

㤠26.

Zentrales Fremdenregister

§ 27.

Datenverarbeitung im Rahmen des Zentralen Fremdenregisters

§ 28.

Zentrale Verfahrensdatei“

3. Im Inhaltsverzeichnis lautet der Eintrag zu § 32:

㤠32.

Zulässigkeit der Verarbeitung der Daten des Zentralen Melderegisters“

4. In § 2 Abs. 2 wird nach dem Zitat „15, 18“ das Zitat „und 24“ eingefügt.

5. In § 13 Abs. 1 entfällt die Wendung „ , insbesondere an einer erkennungsdienstlichen Behandlung“.

6. In der Überschrift zu § 23 wird das Wort „Verwenden“ durch das Wort „Verarbeitung“, in der Überschrift zu § 27 das Wort „Datenverwendung“ durch das Wort „Datenverarbeitung“ und in der Überschrift zu § 32 das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.

7. In § 23 Abs. 1 wird das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt.

8. In § 23 Abs. 2 wird das Wort „Dritter“ durch die Wendung „dritter Personen“, die Wendung „diesen Dritten“ durch die Wendung „diese dritte Person“ und das Wort „Auftraggeber“ durch das Wort „Verantwortlichen“ ersetzt.

9. In § 23 erhält der Abs. 3 die Absatzbezeichnung „(6)“; nach Abs. 2 werden folgende Abs. 3 bis 5 eingefügt:

„(3) Hinsichtlich der Verarbeitung personenbezogener Daten nach diesem Bundesgesetz besteht kein Widerspruchsrecht gemäß Art. 21 DSGVO sowie kein Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO. Darüber sind die Betroffenen in geeigneter Weise zu informieren.

(4) Eine Auskunftserteilung gemäß Art. 15 DSGVO zur Verarbeitung personenbezogener Daten nach diesem Bundesgesetz hat zu unterbleiben, soweit dies

  1. 1. zum Schutz der nationalen Sicherheit und Landesverteidigung,
  2. 2. zum Schutz der öffentlichen Sicherheit,
  3. 3. zum Schutz der verfassungsmäßigen Einrichtungen der Republik Österreich,
  4. 4. zum Schutz der Betroffenen oder der Rechte und Freiheiten anderer Personen oder
  5. 5. aus sonstigen wichtigen Zielen des allgemeinen öffentlichen Interesses

    notwendig und verhältnismäßig ist.

(5) Im Falle einer Nichterteilung der Auskunft gemäß Abs. 4 hat der Verantwortliche den Betroffenen schriftlich über diese und die dafür maßgeblichen Gründe zu informieren, es sei denn, die Erteilung dieser Information würde den in Abs. 4 genannten Zwecken zuwiderlaufen. Diesfalls sind die für die Nichterteilung der Auskunft maßgeblichen Gründe mit Aktenvermerk festzuhalten.“

10. In § 23 Abs. 6 (neu) Z 1 wird die Wendung „als Fremden“ durch die Wendung „als Fremdem“ ersetzt.

11. In § 24 Abs. 1 wird im Einleitungsteil nach der Wendung „vollendet hat,“ die Wortfolge „zum Zweck der Feststellung seiner Identität“ eingefügt; in Z 2 wird nach dem Wort „Asylberechtigten“ die Wendung „oder subsidiär Schutzberechtigten“ eingefügt sowie das Zitat „§ 3 Abs. 4“ durch das Zitat „§ 3a“ ersetzt.

12. Nach § 24 Abs. 3 wird folgender Abs. 3a eingefügt:

„(3a) Zur Durchführung der erkennungsdienstlichen Behandlung dürfen nur geeignete und besonders geschulte Bedienstete, welche der Verschwiegenheitspflicht unterliegen, ermächtigt werden. Die erkennungsdienstliche Behandlung hat unter Achtung der Menschenwürde und mit möglichster Schonung der Person zu erfolgen.“

13. In § 24 Abs. 4 erster Satz lautet:

„Die §§ 64 Abs. 1 bis 5, 65 Abs. 4 und Abs. 6 sowie 73 Abs. 7 des Sicherheitspolizeigesetzes (SPG), BGBl. Nr. 566/1991, gelten mit der Maßgabe, dass an die Stelle der Sicherheitsbehörden die nach diesem Bundesgesetz zuständigen Behörden treten.“

14. In den Überschriften zu den §§ 26 und 28 entfällt jeweils die Wendung „ ; Informationsverbundsystem“.

15. § 26 lautet:

§ 26. (1) Der Bundesminister für Inneres, das Bundesamt, die Vertretungsbehörden, die Behörden nach dem NAG und die Landespolizeidirektionen sind als gemeinsam Verantwortliche gemäß Art. 4 Z 7 in Verbindung mit Art. 26 Abs. 1 DSGVO ermächtigt, personenbezogene Daten von Fremden (§ 27 Abs. 1) gemeinsam in der Art zu verarbeiten, dass jeder Verantwortliche auch auf jene Daten in der Datenverarbeitung Zugriff hat, die dieser von den anderen Verantwortlichen zur Verfügung gestellt wurden (Zentrales Fremdenregister).

(2) Die Erfüllung von Auskunfts-, Informations-, Berichtigungs-, Löschungs- und sonstigen Pflichten nach den Bestimmungen der DSGVO gegenüber dem Betroffenen obliegt jedem Verantwortlichen nur hinsichtlich jener Daten, die im Zusammenhang mit den von ihm geführten Verfahren oder den von ihm gesetzten Maßnahmen verarbeitet werden. Nimmt ein Betroffener unter Nachweis seiner Identität ein Recht nach der DSGVO gegenüber einem gemäß dem ersten Satz unzuständigen Verantwortlichen wahr, ist er an den zuständigen Verantwortlichen zu verweisen.

(3) Der Bundesminister für Inneres übt die Funktion des Auftragsverarbeiters gemäß Art. 4 Z 8 in Verbindung mit Art. 28 Abs. 1 DSGVO aus. Er ist in dieser Funktion verpflichtet, die Datenschutzpflichten gemäß Art. 28 Abs. 3 lit. a bis h DSGVO wahrzunehmen. Zudem ist er berechtigt, weitere Auftragsverarbeiter in Anspruch zu nehmen.

(4) Sind die Voraussetzungen für die Speicherung personenbezogener Daten im Zentralen Fremdenregister weggefallen oder werden diese Daten sonst nicht mehr benötigt, so ist deren weitere Verarbeitung auf Fälle einzuschränken, in denen die Richtigkeit einer beabsichtigten anderen Speicherung gemäß Abs. 1 zu kontrollieren ist. Nach Ablauf von zwei Jahren ab Einschränkung der Verarbeitung sind die Daten auch physisch zu löschen.

(5) Die gemäß Abs. 1 Verantwortlichen sind verpflichtet, unbefristete, im Zentralen Fremdenregister verarbeitete personenbezogene Daten, die seit sechs Jahren unverändert geblieben sind, daraufhin zu überprüfen, ob die Voraussetzungen für eine Einschränkung der Verarbeitung dieser Daten gemäß Abs. 4 erster Satz vorliegen. Nach Ablauf weiterer drei Monate ist die Verarbeitung dieser Daten gemäß Abs. 4 erster Satz einzuschränken, es sei denn, der Verantwortliche hätte vorher bestätigt, dass der für die Speicherung maßgebliche Grund weiterhin besteht. Löschungspflichten gemäß § 23 Abs. 6 bleiben unberührt.

(6) Sobald erkennungsdienstliche Daten im Zentralen Fremdenregister verarbeitet werden, sind sie in der lokalen Anwendung zu löschen.

(7) Für in dem Zentralen Fremdenregister verarbeitete Daten gilt § 23 Abs. 6.“

16. In § 27 Abs. 1 entfällt der Schlussteil und lautet der Einleitungsteil:

„Im Zentralen Fremdenregister dürfen folgende personenbezogene Daten von Fremden gemeinsam verarbeitet werden:“

17. In § 27 Abs. 1 wird in Z 5 nach dem Wort „Wohnanschriften“ die Wendung „im Bundesgebiet und im Ausland“ eingefügt; in Z 10 wird die Wendung „sensibler Daten“ durch die Wendung „Gesundheitsdaten (Art. 9 DSGVO)“ und das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt; der Beistrich am Ende der Z 20 entfällt und am Ende der Z 21 wird ein Punkt angefügt.

18. In § 27 Abs. 3 wird das Wort „Dritter“ durch die Wendung „dritter Personen“, die Wendung „diesen Dritten“ durch die Wendung „diese dritte Person“ und das Wort „Auftraggeber“ durch das Wort „Verantwortlichen“ ersetzt.

19. In § 27 Abs. 4 entfallen der zweite und dritte Satz.

20. Dem § 27 wird folgender Abs. 5 angefügt:

„(5) Protokolldaten über tatsächlich durchgeführte Verarbeitungsvorgänge, wie insbesondere Änderungen, Abfragen und Übermittlungen, sind drei Jahre lang aufzubewahren.“

21. § 28 lautet:

§ 28. (1) Das Bundesamt ist ermächtigt, die von ihm ermittelten Informationen zum Verfahrensstand (Verfahrensdaten), insbesondere über Anträge, Entscheidungen, Rechtsmittel, Abschiebungen und freiwillige Rückkehren, zu verarbeiten (Zentrale Verfahrensdatei).

(2) Der Bundesminister für Inneres übt die Funktion des Auftragsverarbeiters gemäß Art. 4 Z 8 in Verbindung mit Art. 28 Abs. 1 DSGVO aus. Er ist in dieser Funktion verpflichtet, die Datenschutzpflichten gemäß Art. 28 Abs. 3 lit. a bis h DSGVO wahrzunehmen. Zudem ist er berechtigt, weitere Auftragsverarbeiter in Anspruch zu nehmen.

(3) Das Bundesamt ist ermächtigt, von den Behörden nach dem NAG sowie von den Landespolizeidirektionen verarbeitete Verfahrensdaten zu ermitteln, wenn dies zur Erfüllung seiner Aufgaben unbedingt erforderlich ist.

(4) Abfragen aus der Zentralen Verfahrensdatei sind nur zulässig, wenn der Fremde zumindest nach dem Namen, einer ihm zugeordneten Zahl oder einem Papillarlinienabdruck bestimmt wird. Soweit nicht ein Papillarlinienabdruck als Auswahlkriterium verwendet wird, dürfen Papillarlinienabdrücke und die Unterschrift nur beauskunftet werden, wenn dies eine notwendige Voraussetzung für die Erfüllung einer behördlichen Aufgabe darstellt.

(5) Für in der Zentralen Verfahrensdatei verarbeitete personenbezogene Daten gilt § 23 Abs. 6. Löschungspflichten nach anderen bundes- oder landesgesetzlichen Vorschriften bleiben unberührt.

(6) Protokolldaten über tatsächlich durchgeführte Verarbeitungsvorgänge, wie insbesondere Änderungen, Abfragen und Übermittlungen, sind drei Jahre lang aufzubewahren.“

22. In § 29 Abs. 1, 2 und 3 wird jeweils nach dem Wort „verarbeiteten“ das Wort „personenbezogenen“ eingefügt.

23. In § 29 Abs. 1 Z 4 wird nach dem Wort „Länder“ die Wendung „und dem Bundesverwaltungsgericht“ eingefügt.

24. Nach § 29 Abs. 1 Z 5 wird folgende Z 5a eingefügt:

  1. „5a. der Volksanwaltschaft (Art. 148a ff B-VG),“

25. In § 29 Abs. 1 wird der Punkt am Ende der Z 18 durch einen Beistrich ersetzt und folgende Z 19 angefügt:

  1. „19. dem Bundesminister für Inneres.“

26. In § 29 Abs. 2 wird im Einleitungsteil das Zitat „§ 27 Abs. 1 Z 1 bis 11 und Z 19“ durch das Zitat „§ 27 Abs. 1 Z 1 bis 11, 19 und 21“ ersetzt; das Wort „und“ am Ende der Z 4 entfällt und der Punkt am Ende der Z 5 wird durch die Wendung „ , und“ ersetzt; folgende Z 6 wird angefügt:

  1. „6. den für die Gewährung von Sozial- oder sonstigen Transferleistungen zuständigen Stellen.“

27. In § 29 Abs. 3 wird das Zitat „§ 27 Abs. 1 Z 1 bis 9 und 11“ durch das Zitat „§ 27 Abs. 1 Z 1 bis 9, 11 und 21“ ersetzt.

28. In § 30 Abs. 6 wird nach dem Wort „Fremden“ die Wendung „sowie den Verlust der Staatsbürgerschaft gemäß § 26 StbG“ eingefügt.

29. In § 31 Abs. 3 wird die Wendung „der Sperre gemäß § 26 Abs. 2“ durch die Wendung „einer Einschränkung gemäß § 26 Abs. 4“ ersetzt.

30. In § 33 Abs. 1 entfällt die Wortfolge „und ein mit Österreich vergleichbares Datenschutzniveau vorhanden ist“ und wird die Wortfolge „ , die für die in § 29 genannten Zwecke benötigt werden,“ durch die Wendung „an bestimmte Empfänger“ ersetzt.

31. In § 33 Abs. 2 wird die Wortfolge „in der Zentralen Informationssammlung“ durch die Wortfolge „in der Zentralen Verfahrensdatei (§ 28) und im Zentralen Fremdenregister (§ 26) nach Maßgabe der DSGVO“ ersetzt.

32. In § 33 Abs. 3 wird die Wendung „ist nicht zulässig, soweit es sich nicht“ durch die Wendung „ist gemäß Art. 49 Abs. 1 lit. d DSGVO zulässig, soweit es sich“ ersetzt.

33. In § 33 Abs. 4 wird nach dem Wort „jedoch“ die Wendung „gemäß Art. 49 Abs. 1 lit. d DSGVO“ eingefügt.

34. In § 33 Abs. 5 Z 3 entfällt die Wendung „in erster Instanz - wenn auch nicht rechtskräftig -“ und wird nach der Wortfolge „der Antrag auf internationalen Schutz“ die Wendung „- wenn auch nicht rechtskräftig -“ eingefügt; der letzte Satz entfällt.

35. Dem § 33 Abs. 5 wird folgender Schlussteil angefügt:

„Der Umstand, dass ein Antrag auf internationalen Schutz gestellt wurde, darf bei einer solchen Übermittlung keinesfalls hervorkommen.“

36. Dem § 56 wird folgender Abs. 11 angefügt:

„(11) § 2 Abs. 2, § 13 Abs. 1, § 23 samt Überschrift und Eintrag im Inhaltsverzeichnis, § 24 Abs. 1, 3a und 4, § 26 samt Überschrift und Eintrag im Inhaltsverzeichnis, die Überschrift zu § 27 samt Eintrag im Inhaltsverzeichnis, § 27 Abs. 1, 3, 4 und 5, § 28 samt Überschrift und Eintrag im Inhaltsverzeichnis, § 29 Abs. 1 bis 3, § 30 Abs. 6, § 31 Abs. 3, die Überschrift zu § 32 samt Eintrag im Inhaltsverzeichnis sowie § 33 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

Das Fremdenpolizeigesetz 2005 (FPG), BGBl. I Nr. 100/2005, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 145/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Im Inhaltsverzeichnis lauten die Einträge zu den §§ 98 und 99:

㤠98.

Verarbeitung personenbezogener Daten

§ 99.

Verarbeitung erkennungsdienstlicher Daten“

2. Im Inhaltsverzeichnis entfällt der Eintrag zu § 102.

3. Im Inhaltsverzeichnis lautet der Eintrag zu § 104:

㤠104.

Zentrale Verfahrensdatei“

4. Im Inhaltsverzeichnis lautet der Eintrag zu § 107:

㤠107.

Zulässigkeit der Verarbeitung der Daten des Zentralen Melderegisters“

5. In § 2 Abs. 4 wird der Punkt am Ende der Z 23 durch einen Strichpunkt ersetzt und folgende Z 24 angefügt:

  1. „24. DSGVO: die Verordnung (EU) Nr. 679/2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. L 119 vom 04.05.2016 S. 1, in der geltenden Fassung.“

6. In den Überschriften zu §§ 98 und 99 wird das Wort „Verwenden“ jeweils durch das Wort „Verarbeitung“ und in der Überschrift zu § 107 das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.

7. In § 98 Abs. 1 wird nach dem Wort „Landespolizeidirektionen“ die Wortfolge „und österreichischen Vertretungsbehörden“ eingefügt und das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt.

8. In § 98 Abs. 2 wird nach dem Wort „Landespolizeidirektionen“ die Wortfolge „und österreichischen Vertretungsbehörden“ eingefügt; die Wendung „personenbezogene Daten Dritter“ wird durch die Wendung „personenbezogene Daten dritter Personen“ sowie die Wendung „diesen Dritten“ durch die Wendung „diese dritte Person“ ersetzt; der letzte Satz entfällt.

9. Dem § 98 werden folgende Abs. 3 bis 6 angefügt:

„(3) Hinsichtlich der Verarbeitung personenbezogener Daten nach diesem Bundesgesetz besteht kein Widerspruchsrecht gemäß Art. 21 DSGVO sowie kein Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO. Darüber sind die Betroffenen in geeigneter Weise zu informieren.

(4) Eine Auskunftserteilung gemäß Art. 15 DSGVO zur Verarbeitung personenbezogener Daten nach diesem Bundesgesetz hat zu unterbleiben, soweit dies

  1. 1. zum Schutz der nationalen Sicherheit und Landesverteidigung,
  2. 2. zum Schutz der öffentlichen Sicherheit,
  3. 3. zum Schutz der verfassungsmäßigen Einrichtungen der Republik Österreich,
  4. 4. zum Schutz der Betroffenen oder der Rechte und Freiheiten anderer Personen oder
  5. 5. aus sonstigen wichtigen Zielen des allgemeinen öffentlichen Interesses

    notwendig und verhältnismäßig ist.

(5) Im Falle einer Nichterteilung der Auskunft gemäß Abs. 4 hat der Verantwortliche den Betroffenen schriftlich über diese und die dafür maßgeblichen Gründe zu informieren, es sei denn, die Erteilung dieser Information würde den in Abs. 4 genannten Zwecken zuwiderlaufen. Diesfalls sind die für die Nichterteilung der Auskunft maßgeblichen Gründe mit Aktenvermerk festzuhalten.

(6) Die Verfahrensdaten sind zu löschen, sobald sie nicht mehr benötigt werden, spätestens fünf Jahre nach Eintritt der Rechtskraft der Entscheidung.“

10. In § 99 Abs. 1 wird im Einleitungsteil nach dem Wort „Fremden“ die Wortfolge „zum Zweck der Feststellung seiner Identität“ eingefügt.

11. Nach § 99 Abs. 2 wird folgender Abs. 2a eingefügt:

„(2a) Zur Durchführung der erkennungsdienstlichen Behandlung dürfen nur geeignete und besonders geschulte Bedienstete, welche der Verschwiegenheitspflicht unterliegen, ermächtigt werden. Die erkennungsdienstliche Behandlung hat unter Achtung der Menschenwürde und mit möglichster Schonung der Person zu erfolgen.“

12. § 99 Abs. 5 erster Satz lautet:

„Die §§ 64, 65 Abs. 4 und Abs. 6 sowie 73 Abs. 7 SPG gelten mit der Maßgabe, dass an die Stelle der Sicherheitsbehörden die nach diesem Bundesgesetz zuständigen Behörden treten.“

13. § 100 Abs. 1 lautet:

„(1) Die Landespolizeidirektionen und die österreichischen Vertretungsbehörden haben einen Fremden, den sie einer erkennungsdienstlichen Behandlung zu unterziehen haben, hierzu aufzufordern.“

14. § 100 Abs. 4 letzter Satz entfällt.

15. § 102 samt Überschrift entfällt.

16. In der Überschrift zu § 104 entfällt die Wendung „ ; Informationsverbundsystem“.

17. § 104 Abs. 1 lautet:

„(1) Die Landespolizeidirektionen und der Bundesminister für Inneres sind als gemeinsam Verantwortliche gemäß Art. 4 Z 7 in Verbindung mit Art. 26 Abs. 1 DSGVO ermächtigt, die von ihnen ermittelten Informationen zum Verfahrensstand (Verfahrensdaten), insbesondere über Anträge, Entscheidungen, Rechtsmittel, Zurückschiebungen, Zurückweisungen und strafbare Handlungen, gemeinsam in der Art zu verarbeiten, dass jeder Verantwortliche auch auf jene Daten in der Datenverarbeitung Zugriff hat, die dieser von den anderen Verantwortlichen zur Verfügung gestellt wurden (Zentrale Verfahrensdatei).“

18. In § 104 erhalten die Abs. 2, 3 und 4 die Absatzbezeichnungen „(4)“, „(5)“ und „(6)“; nach Abs. 1 werden folgende Abs. 2 und 3 eingefügt:

„(2) Die Erfüllung von Auskunfts-, Informations-, Berichtigungs-, Löschungs- und sonstigen Pflichten nach den Bestimmungen der DSGVO gegenüber dem Betroffenen obliegt jedem Verantwortlichen nur hinsichtlich jener Daten, die im Zusammenhang mit den von ihm geführten Verfahren oder den von ihm gesetzten Maßnahmen verarbeitet werden. Nimmt ein Betroffener unter Nachweis seiner Identität ein Recht nach der DSGVO gegenüber einem gemäß dem ersten Satz unzuständigen Verantwortlichen wahr, ist er an den zuständigen Verantwortlichen zu verweisen.

(3) Der Bundesminister für Inneres übt zudem die Funktion des Auftragsverarbeiters gemäß Art. 4 Z 8 in Verbindung mit Art. 28 Abs. 1 DSGVO aus. Er ist in dieser Funktion verpflichtet, die Datenschutzpflichten gemäß Art. 28 Abs. 3 lit. a bis h DSGVO wahrzunehmen. Zudem ist er berechtigt, weitere Auftragsverarbeiter in Anspruch zu nehmen.“

19. In § 104 Abs. 5 (neu) wird das Wort „zentralen“ durch das Wort „Zentralen“ und die Wortfolge „soweit dies zur Besorgung einer nach diesem Bundesgesetz übertragenen Aufgabe erforderlich ist und“ durch das Wort „wenn“ ersetzt; folgender Satz wird angefügt:

„Soweit nicht ein Papillarlinienabdruck als Auswahlkriterium verwendet wird, dürfen Papillarlinienabdrücke und die Unterschrift nur beauskunftet werden, wenn dies eine notwendige Voraussetzung für die Erfüllung einer behördlichen Aufgabe darstellt.“

20. In § 104 Abs. 6 (neu) lautet:

„(6) Für in der Zentralen Verfahrensdatei verarbeitete personenbezogene Daten gilt § 98 Abs. 6. Löschungspflichten nach anderen bundes- oder landesgesetzlichen Vorschriften bleiben unberührt.“

21. Dem § 104 wird folgender Abs. 7 angefügt:

„(7) Protokolldaten über tatsächlich durchgeführte Verarbeitungsvorgänge, wie insbesondere Änderungen, Abfragen und Übermittlungen, sind drei Jahre lang aufzubewahren.“

22. In § 105 Abs. 1 wird die Wendung „unter Mitteilung der“ durch die Wendung „einschließlich der dafür“ ersetzt.

23. In § 108 Abs. 1 wird das Wort „Regierungsübereinkommen“ durch das Wort „Staatsverträgen“ ersetzt und nach der Wendung „in Abs. 2 genannten“ das Wort „personenbezogenen“ eingefügt.

24. In § 108 Abs. 3 wird die Wendung „Zentralen Informationssammlung“ durch die Wortfolge „Zentralen Verfahrensdatei (§ 104) und dem Zentralen Fremdenregister (§ 27 BFA-VG) nach Maßgabe der DSGVO“ ersetzt.

25. § 108 Abs. 4 entfällt.

26. Dem § 126 wird folgender Abs. 21 angefügt:

„(21) § 2 Abs. 4 Z 23 und 24, die Überschrift zu § 98 samt Eintrag im Inhaltsverzeichnis, § 98, die Überschrift zu § 99 samt Eintrag im Inhaltsverzeichnis, § 99 Abs. 1, 2a und 5, § 100 Abs. 1 und 4, § 104 samt Überschrift und Eintrag im Inhaltsverzeichnis, § 105 Abs. 1, die Überschrift zu § 107 samt Eintrag im Inhaltsverzeichnis sowie § 108 Abs. 1 und 3 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft. § 102 samt Überschrift und Eintrag im Inhaltsverzeichnis sowie § 108 Abs. 4 in der Fassung vor Inkrafttreten des Materien-Datenschutz-Anpassungsgesetzes 2018 treten mit Ablauf des 24. Mai 2018 außer Kraft.“

Das Niederlassungs- und Aufenthaltsgesetz (NAG), BGBl. I Nr. 100/2005, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 145/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Im Inhaltsverzeichnis wird im Eintrag zur Überschrift des 7. Hauptstückes des 1. Teiles das Wort „Verwenden“ durch das Wort „Verarbeiten“ ersetzt.

2. Im Inhaltsverzeichnis lauten die Einträge zu den §§ 35 und 36:

㤠35

Verarbeitung erkennungsdienstlicher Daten

§ 36

Zentrale Verfahrensdatei“

3. Im Inhaltsverzeichnis lautet der Eintrag zu § 39:

㤠39

Zulässigkeit der Verarbeitung der Daten des Zentralen Melderegisters“

4. In § 2 Abs. 1 wird der Punkt am Ende der Z 20 durch einen Strichpunkt ersetzt; folgende Z 21 wird angefügt:

  1. „21. DSGVO: die Verordnung (EU) Nr. 679/2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. L 119 vom 04.05.2016 S. 1, in der geltenden Fassung.“

5. In der Überschrift des 7. Hauptstückes des 1. Teiles wird das Wort „Verwenden“ durch das Wort „Verarbeiten“ ersetzt.

6. In § 34 Abs. 1 wird nach dem Wort „Bundesgesetz“ die Wendung „sowie die Verwaltungsgerichte der Länder“ eingefügt und das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt.

7. In § 34 Abs. 2 wird nach dem Wort „Bundesgesetz“ die Wendung „sowie die Verwaltungsgerichte der Länder“ eingefügt; das Wort „Dritter“ wird durch die Wendung „dritter Personen“ sowie die Wendung „diesen Dritten“ durch die Wendung „diese dritte Person“ ersetzt; der letzte Satz entfällt.

8. Dem § 34 werden folgende Abs. 3 bis 6 angefügt:

„(3) Hinsichtlich der Verarbeitung personenbezogener Daten nach diesem Bundesgesetz besteht kein Widerspruchsrecht gemäß Art. 21 DSGVO sowie kein Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO. Darüber sind die Betroffenen in geeigneter Weise zu informieren.

(4) Eine Auskunftserteilung gemäß Art. 15 DSGVO zur Verarbeitung personenbezogener Daten nach diesem Bundesgesetz hat zu unterbleiben, soweit dies

  1. 1. zum Schutz der nationalen Sicherheit und Landesverteidigung,
  2. 2. zum Schutz der öffentlichen Sicherheit,
  3. 3. zum Schutz der verfassungsmäßigen Einrichtungen der Republik Österreich,
  4. 4. zum Schutz der Betroffenen oder der Rechte und Freiheiten anderer Personen oder
  5. 5. aus sonstigen wichtigen Zielen des allgemeinen öffentlichen Interesses

    notwendig und verhältnismäßig ist.

(5) Im Falle einer Nichterteilung der Auskunft gemäß Abs. 4 hat der Verantwortliche den Betroffenen schriftlich über diese und die dafür maßgeblichen Gründe zu informieren, es sei denn, die Erteilung dieser Information würde den in Abs. 4 genannten Zwecken zuwiderlaufen. Diesfalls sind die für die Nichterteilung der Auskunft maßgeblichen Gründe mit Aktenvermerk festzuhalten.

(6) Die Verfahrensdaten sind zu löschen, sobald sie nicht mehr benötigt werden, spätestens fünfzehn Jahre nach Eintritt der Rechtskraft der Entscheidung.“

9. In der Überschrift des § 35 wird das Wort „Verwenden“ durch das Wort „Verarbeitung“ ersetzt.

10. Nach § 35 Abs. 1 wird folgender Abs. 1a eingefügt:

„(1a) Zur Durchführung der erkennungsdienstlichen Behandlung dürfen nur geeignete und besonders geschulte Bedienstete, welche der Verschwiegenheitspflicht unterliegen, ermächtigt werden. Die erkennungsdienstliche Behandlung hat unter Achtung der Menschenwürde und mit möglichster Schonung der Person zu erfolgen.“

11. § 35 Abs. 2 lautet:

„(2) Die §§ 64 Abs. 1 bis 5, 65 Abs. 4 und Abs. 6 sowie 73 Abs. 7 des Sicherheitspolizeigesetzes (SPG), BGBl. Nr. 566/1991, gelten mit der Maßgabe, dass an die Stelle der Sicherheitsbehörden die nach diesem Bundesgesetz zuständigen Behörden treten.“

12. § 36 samt Überschrift lautet:

„Zentrale Verfahrensdatei

(1) Die Behörden nach diesem Bundesgesetz und die Verwaltungsgerichte der Länder sind als gemeinsam Verantwortliche gemäß Art. 4 Z 7 in Verbindung mit Art. 26 Abs. 1 DSGVO ermächtigt, die von ihnen ermittelten Informationen zum Verfahrensstand (Verfahrensdaten), insbesondere über Anträge, Entscheidungen und Rechtsmittel, gemeinsam in der Art zu verarbeiten, dass jeder Verantwortliche auch auf jene Daten in der Datenverarbeitung Zugriff hat, die dieser von den anderen Verantwortlichen zur Verfügung gestellt wurden (Zentrale Verfahrensdatei). Die Verarbeitung der Verfahrensdaten durch die Verwaltungsgerichte der Länder erfolgt im Rahmen der Justizverwaltung.

(2) Die Erfüllung von Auskunfts-, Informations-, Berichtigungs-, Löschungs- und sonstigen Pflichten nach den Bestimmungen der DSGVO gegenüber dem Betroffenen obliegt jedem Verantwortlichen hinsichtlich jener Daten, die im Zusammenhang mit den von ihm geführten Verfahren verarbeitet werden. Nimmt ein Betroffener unter Nachweis seiner Identität ein Recht nach der DSGVO gegenüber einem gemäß dem ersten Satz unzuständigen Verantwortlichen wahr, ist er an den zuständigen Verantwortlichen zu verweisen.

(3) Der Bundesminister für Inneres übt die Funktion des Auftragsverarbeiters gemäß Art. 4 Z 8 in Verbindung mit Art. 28 Abs. 1 DSGVO aus. Er ist in dieser Funktion verpflichtet, die Datenschutzpflichten gemäß Art. 28 Abs. 3 lit. a bis h DSGVO wahrzunehmen. Zudem ist er berechtigt, weitere Auftragsverarbeiter in Anspruch zu nehmen.

(4) Die Behörden nach diesem Bundesgesetz und die Verwaltungsgerichte der Länder sind ermächtigt, vom Bundesamt für Fremdenwesen und Asyl, vom Bundesverwaltungsgericht und von den Landespolizeidirektionen verarbeitete Verfahrensdaten zu ermitteln, wenn dies zur Erfüllung ihrer Aufgaben unbedingt erforderlich ist. Die Ermittlung der Verfahrensdaten durch die Verwaltungsgerichte der Länder erfolgt im Rahmen der Justizverwaltung.

(5) Abfragen aus der Zentralen Verfahrensdatei sind nur zulässig, wenn der Fremde zumindest nach dem Namen, einer ihm zugeordneten Zahl oder einem Papillarlinienabdruck bestimmt wird. Soweit nicht ein Papillarlinienabdruck als Auswahlkriterium verwendet wird, dürfen Papillarlinienabdrücke und die Unterschrift nur beauskunftet werden, wenn dies eine notwendige Voraussetzung für die Erfüllung einer behördlichen Aufgabe darstellt.

(6) Für in der Zentralen Verfahrensdatei verarbeitete Daten gilt § 34 Abs. 6. Löschungspflichten nach anderen bundes- oder landesgesetzlichen Vorschriften bleiben unberührt.

(7) Die Behörden nach diesem Bundesgesetz sind ermächtigt, die in der Zentralen Verfahrensdatei verarbeiteten Daten zum Wohnsitz des Fremden durch regelmäßigen und automatischen Abgleich mit den im Zentralen Melderegister verarbeiteten Daten zu aktualisieren. Dabei ist nach Maßgabe der technischen Möglichkeiten das Verfahren gemäß § 16c des Meldegesetzes 1991 anzuwenden.

(8) Protokolldaten über tatsächlich durchgeführte Verarbeitungsvorgänge, wie insbesondere Änderungen, Abfragen und Übermittlungen, sind drei Jahre lang aufzubewahren.“

13. In § 37 Abs. 1 wird das Wort „überlassen“ durch das Wort „übermitteln“ ersetzt.

14. In § 38 Abs. 1 wird das Wort „Regierungsübereinkommen“ durch das Wort „Staatsverträgen“ ersetzt und nach dem Wort „verarbeiteten“ das Wort „personenbezogenen“ eingefügt.

15. In § 38 Abs. 2 wird die Wendung „Zentralen Informationssammlung“ durch die Wendung „Zentralen Verfahrensdatei (§ 36) und dem Zentralen Fremdenregister (§ 26 BFA-VG) nach Maßgabe der DSGVO“ ersetzt.

16. In § 38 Abs. 3 entfällt die Wortfolge „zu empfangen und“.

17. In der Überschrift des § 39 wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ und das Wort „zentralen“ durch das Wort „Zentralen“ ersetzt.

18. In § 39 wird das Wort „zentralen“ jeweils durch das Wort „Zentralen“ ersetzt.

19. § 40 Abs. 3 entfällt.

20. Dem § 82 wird folgender Abs. 26 angefügt:

„(26) § 2 Abs. 1 Z 20 und 21, die Überschrift des 7. Hauptstückes des 1. Teiles samt Eintrag im Inhaltsverzeichnis, § 34, die Überschrift zu § 35 samt Eintrag im Inhaltsverzeichnis, § 35 Abs. 1a und 2, § 36 samt Überschrift und Eintrag im Inhaltsverzeichnis, § 37 Abs. 1, § 38 Abs. 1 bis 3 sowie § 39 samt Überschrift und Eintrag im Inhaltsverzeichnis in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft. § 40 Abs. 3 in der Fassung vor Inkrafttreten des genannten Bundesgesetzes tritt mit Ablauf des 24. Mai 2018 außer Kraft.“

Das Grundversorgungsgesetz-Bund 2005 (GVG-B 2005), BGBl. Nr. 405/1991, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 145/2017, wird wie folgt geändert:

1. In § 1 wird der Punkt am Ende der Z 7 durch einen Strichpunkt ersetzt und folgende Z 8 angefügt:

  1. „8. DSGVO: die Verordnung (EU) Nr. 679/2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. L 119 vom 04.05.2016 S. 1, in der geltenden Fassung.“

2. § 8 samt Überschrift lautet:

„Betreuungsinformationssystem und Datenschutzbestimmungen

§ 8. (1) Die Behörde, die mit der Versorgung von Fremden gemäß Art. 2 Abs. 1 der Grundversorgungsvereinbarung betrauten Dienststellen der Länder und der Bundesminister für Inneres sind als gemeinsam Verantwortliche gemäß Art. 4 Z 7 in Verbindung mit Art. 26 Abs. 1 DSGVO ermächtigt, personenbezogene Daten von zu versorgenden Menschen gemeinsam in der Art zu verarbeiten, dass jeder Verantwortliche auch auf jene Daten in der Datenverarbeitung Zugriff hat, die dieser von den anderen Verantwortlichen zur Verfügung gestellt wurden (Betreuungsinformationssystem). Die Daten haben sich dabei auf die für die Versorgung relevanten Umstände zu beziehen, wie insbesondere Namen, Geburtsdaten, persönliche Kennzeichen, Herkunftsland, Dokumentendaten, Berufsausbildung, Religionsbekenntnis, Volksgruppe und Gesundheitszustand.

(2) Die Behörde ist ermächtigt, aus dem Zentralen Fremdenregister (§ 26 BFA-VG) die gemäß § 27 Abs. 1 Z 1 bis 11 BFA-VG verarbeiteten Daten sowie die gemäß § 28 Abs. 1 BFA-VG verarbeiteten Verfahrensdaten zu ermitteln, soweit dies eine wesentliche Voraussetzung für die Erfüllung ihrer Aufgaben nach diesem Bundesgesetz darstellt.

(3) Darüber hinaus sind die Behörde und der Bundesminister für Inneres für Zwecke der Abrechnung gemäß Art. 10 f Grundversorgungsvereinbarung ermächtigt, personenbezogene Daten von Fremden gemäß Art. 2 Abs. 1 Grundversorgungsvereinbarung automationsunterstützt zu verarbeiten.

(4) Hinsichtlich der Verarbeitung personenbezogener Daten nach diesem Bundesgesetz besteht kein Widerspruchsrecht gemäß Art. 21 DSGVO sowie kein Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO. Darüber sind die Betroffenen in geeigneter Weise zu informieren.

(5) Eine Auskunftserteilung gemäß Art. 15 DSGVO zur Verarbeitung personenbezogener Daten nach diesem Bundesgesetz hat zu unterbleiben, soweit dies

  1. 1. zum Schutz der nationalen Sicherheit und Landesverteidigung,
  2. 2. zum Schutz der öffentlichen Sicherheit,
  3. 3. zum Schutz der verfassungsmäßigen Einrichtungen der Republik Österreich,
  4. 4. zum Schutz der Betroffenen oder der Rechte und Freiheiten anderer Personen oder
  5. 5. aus sonstigen wichtigen Zielen des allgemeinen öffentlichen Interesses

    notwendig und verhältnismäßig ist.

(6) Im Falle einer Nichterteilung der Auskunft gemäß Abs. 5 hat der Verantwortliche den Betroffenen schriftlich über diese und die dafür maßgeblichen Gründe zu informieren, es sei denn, die Erteilung dieser Information würde den in Abs. 5 genannten Zwecken zuwiderlaufen. Diesfalls sind die für die Nichterteilung der Auskunft maßgeblichen Gründe mit Aktenvermerk festzuhalten.

(7) Die Erfüllung von Auskunfts-, Informations-, Berichtigungs-, Löschungs- und sonstigen Pflichten nach den Bestimmungen der DSGVO gegenüber dem Betroffenen obliegt jedem Verantwortlichen nur hinsichtlich jener Daten, die im Zusammenhang mit den von ihm geführten Verfahren oder den von ihm gesetzten Maßnahmen verarbeitet werden. Nimmt ein Betroffener unter Nachweis seiner Identität ein Recht nach der DSGVO gegenüber einem gemäß dem ersten Satz unzuständigen Verantwortlichen wahr, ist er an den zuständigen Verantwortlichen zu verweisen.

(8) Der Bundesminister für Inneres übt die Funktion des Auftragsverarbeiters gemäß Art. 4 Z 8 in Verbindung mit Art. 28 Abs. 1 DSGVO aus. Er ist in dieser Funktion verpflichtet, die Datenschutzpflichten gemäß Art. 28 Abs. 3 lit. a bis h DSGVO wahrzunehmen. Zudem ist er berechtigt, weitere Auftragsverarbeiter in Anspruch zu nehmen.

(9) Der Bundesminister für Inneres kann im Zusammenwirken mit dem jeweiligen Verantwortlichen durch Stichproben überprüfen, ob die Verarbeitung der Daten nach Abs. 1 und 3 im dortigen Bereich den einschlägigen Bestimmungen entsprechend zum Zwecke der Vollziehung dieses Gesetzes, der Art. 6, 7, 8, 10 und 11 der Grundversorgungsvereinbarung oder der Vollziehung der diese Vereinbarung umsetzenden Landesgesetze erfolgt und die erforderlichen Datensicherheitsmaßnahmen (Art. 32 DSGVO) ergriffen worden sind.

(10) Die gemeinsam Verantwortlichen (Abs. 1) dürfen Daten nach Abs. 1 an beauftragte Rechtsträger des Bundes nach § 4 oder der Länder nach Art. 4 Abs. 2 der Grundversorgungsvereinbarung, an die für die Gewährung von Leistungen der Bedarfsorientierten Mindestsicherung zuständigen Stellen, an das Arbeitsmarktservice, an die Sozialversicherungsträger, an die Finanzämter, an die Bezirksverwaltungsbehörden als Gesundheitsbehörden, an die Sicherheitsbehörden, an die Jugendwohlfahrtsbehörden, an den Österreichischen Integrationsfonds, an das Amt des Hochkommissärs der Vereinten Nationen für Flüchtlinge in Österreich, an das Bundesverwaltungsgericht und an ausländische Asylbehörden übermitteln, soweit diese sie zur Erfüllung der ihnen übertragenen Aufgaben benötigen.

(11) Der Hauptverband und der jeweils zuständige österreichische Sozialversicherungsträger haben der Behörde und dem Bundesminister für Inneres Daten über Versicherungsverhältnisse von nach der Grundversorgungsvereinbarung betreuten Fremden zu übermitteln, soweit diese sie zur Erfüllung der ihnen übertragenen Aufgaben benötigen.

(12) Abfragen aus dem Betreuungsinformationssystem sind nur zulässig, soweit dies zur Erfüllung einer gesetzlich übertragenen Aufgabe erforderlich ist und der Fremde zumindest nach dem Namen oder einer ihm zugeordneten Zahl bestimmt wird.

(13) Daten nach Abs. 1 und 3 sind zwei Jahre nach Ende der Versorgung zu löschen, soweit sie nicht über diesen Zeitpunkt hinaus in anhängigen Verfahren oder zum Zwecke der Verrechnung gemäß Art. 11 Grundversorgungsvereinbarung benötigt werden.

(14) Die Behörden des Bundes, der Länder und Gemeinden und die Geschäftsstellen des Arbeitsmarktservice, die rechtmäßig über Daten verfügen, sind ermächtigt und auf Anfrage verpflichtet, diese Daten der Behörde, dem Bundesminister für Inneres und den mit der Versorgung von Fremden gemäß Art. 2 Abs. 1 der Grundversorgungsvereinbarung betrauten Dienststellen der Länder zu übermitteln, sofern diese für die Gewährung der Versorgung benötigt werden. Die übermittelten Daten sind unverzüglich zu löschen, wenn sie für die Erfüllung des konkreten Zwecks nicht mehr benötigt werden.

(15) Die Organe der Betreuungseinrichtungen haben der Behörde grobe Verstöße gegen die Hausordnung (§ 5 Abs. 3) zu melden.

(16) Daten zur und die Änderung der Wohnanschrift im Betreuungsinformationssystem werden automationsunterstützt der Zentralen Verfahrensdatei gemäß § 28 BFA-VG zur Verfügung gestellt und aktualisiert.

(17) Protokolldaten über tatsächlich durchgeführte Verarbeitungsvorgänge, wie insbesondere Änderungen, Abfragen und Übermittlungen, sind drei Jahre lang aufzubewahren.“

3. Dem § 16 wird folgender Abs. 22 angefügt:

„(22) § 1 Z 7 und 8 sowie § 8 samt Überschrift in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

Das Grenzkontrollgesetz (GrekoG), BGBl. Nr. 435/1996, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 145/2017, wird wie folgt geändert:

1. Im Inhaltsverzeichnis lautet der Eintrag zu § 15:

㤠15.

Verarbeitung personenbezogener Daten“

2. In § 12 Abs. 2 wird im ersten Satz nach dem Wort „einzusetzen“ die Wortfolge „und personenbezogene Daten zu verarbeiten, auch wenn es sich dabei um erkennungsdienstliche Daten (§ 2 Abs. 5 Z 4 des Fremdenpolizeigesetzes 2005 - FPG, BGBl. I Nr. 100/2005) handelt“ eingefügt; der vierte Satz lautet:

„Mit dem Einsatz der Mittel darf erst nach Ablauf dieser Frist oder nach Vorliegen einer entsprechenden Äußerung des Rechtsschutzbeauftragten begonnen werden, es sei denn, dies wäre zur Aufrechterhaltung der öffentlichen Ruhe, Ordnung und Sicherheit unmittelbar erforderlich.“

3. Dem § 12a Abs. 2 wird folgender Satz angefügt:

„Die §§ 64 Abs. 1 bis 5, 65 Abs. 4 und 73 Abs. 7 SPG gelten mit der Maßgabe, dass an die Stelle der Sicherheitsbehörden die nach diesem Bundesgesetz zuständigen Behörden treten.“

4. In § 12a Abs. 3 wird in Z 1 das Zitat „BGBl. Nr. 839“ durch das Zitat „BGBl. Nr. 839/1992“ und in Z 2 das Wort „Datenanwendung“ durch das Wort „Datenverarbeitung“ ersetzt.

5. Dem § 12a wird folgender Abs. 7 angefügt:

„(7) Zur Durchführung der erkennungsdienstlichen Behandlung dürfen nur geeignete und besonders geschulte Bedienstete, welche der Verschwiegenheitspflicht unterliegen, ermächtigt werden. Die erkennungsdienstliche Behandlung hat unter Achtung der Menschenwürde und mit möglichster Schonung der Person zu erfolgen.“

6. In der Überschrift zu § 15 wird das Wort „Verwenden“ durch das Wort „Verarbeitung“ ersetzt.

7. In § 15 Abs. 1 Z 1 wird das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt.

8. In § 15 Abs. 1 Z 2 wird das Wort „automatisationsunterstützt“ durch das Wort „automationsunterstützt“ ersetzt.

9. § 15 Abs. 2 erhält die Absatzbezeichnung „(5)“; nach Abs. 1 werden folgende Abs. 2 bis 4 eingefügt:

„(2) Hinsichtlich der Verarbeitung personenbezogener Daten nach diesem Bundesgesetz besteht kein Widerspruchsrecht gemäß Art. 21 DSGVO sowie kein Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO. Darüber sind die Betroffenen in geeigneter Weise zu informieren.

(3) Eine Auskunftserteilung gemäß Art. 15 DSGVO zur Verarbeitung personenbezogener Daten nach diesem Bundesgesetz hat zu unterbleiben, soweit dies

  1. 1. zum Schutz der nationalen Sicherheit und Landesverteidigung,
  2. 2. zum Schutz der öffentlichen Sicherheit,
  3. 3. zum Schutz der verfassungsmäßigen Einrichtungen der Republik Österreich,
  4. 4. zum Schutz der Betroffenen oder der Rechte und Freiheiten anderer Personen oder
  5. 5. aus sonstigen wichtigen Zielen des allgemeinen öffentlichen Interesses

    notwendig und verhältnismäßig ist.

(4) Im Falle einer Nichterteilung der Auskunft gemäß Abs. 3 hat der Verantwortliche den Betroffenen schriftlich über diese und die dafür maßgeblichen Gründe zu informieren, es sei denn, die Erteilung dieser Information würde den in Abs. 3 genannten Zwecken zuwiderlaufen. Diesfalls sind die für die Nichterteilung der Auskunft maßgeblichen Gründe mit Aktenvermerk festzuhalten.“

10. Dem § 18 wird folgender Abs. 10 angefügt:

„(10) § 12 Abs. 2, § 12a Abs. 2, 3 und 7 sowie § 15 samt Überschrift und Eintrag im Inhaltsverzeichnis in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

Das Staatsbürgerschaftsgesetz 1985 (StbG), BGBl. Nr. 311/1985, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 68/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. In § 39a wird in Abs. 1 die Wendung „verwenden und speichern“ durch das Wort „verarbeiten“ ersetzt, erhalten die Abs. 2 bis 7 die Absatzbezeichnungen „(5)“ bis „(10)“ und werden nach Abs. 1 folgende Abs. 2 bis 4 eingefügt:

„(2) Hinsichtlich der Verarbeitung personenbezogener Daten nach diesem Bundesgesetz besteht kein Widerspruchsrecht gemäß Art. 21 DSGVO sowie kein Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO. Darüber sind die Betroffenen in geeigneter Weise zu informieren.

(3) Eine Auskunftserteilung gemäß Art. 15 DSGVO zur Verarbeitung personenbezogener Daten nach diesem Bundesgesetz hat zu unterbleiben, soweit dies

  1. 1. zum Schutz der nationalen Sicherheit und Landesverteidigung,
  2. 2. zum Schutz der öffentlichen Sicherheit,
  3. 3. zum Schutz der verfassungsmäßigen Einrichtungen der Republik Österreich,
  4. 4. zum Schutz der Betroffenen oder der Rechte und Freiheiten anderer Personen oder
  5. 5. aus sonstigen wichtigen Zielen des allgemeinen öffentlichen Interesses

    notwendig und verhältnismäßig ist.

(4) Im Falle einer Nichterteilung der Auskunft gemäß Abs. 3 hat der Verantwortliche den Betroffenen schriftlich über diese und die dafür maßgeblichen Gründe zu informieren, es sei denn, die Erteilung dieser Information würde den in Abs. 3 genannten Zwecken zuwiderlaufen. Diesfalls sind die für die Nichterteilung der Auskunft maßgeblichen Gründe mit Aktenvermerk festzuhalten.“

2. Dem § 39a Abs. 5 (neu) wird folgender Satz angefügt:

„Zur Durchführung der erkennungsdienstlichen Behandlung dürfen nur geeignete und besonders geschulte Bedienstete, welche der Verschwiegenheitspflicht unterliegen, ermächtigt werden. Die erkennungsdienstliche Behandlung hat unter Achtung der Menschenwürde und mit möglichster Schonung der Person zu erfolgen.“

3. In § 39a Abs. 6 (neu) lautet:

„(6) Die §§ 64 Abs. 1 bis 5, 65 Abs. 4 und 73 Abs. 7 des Sicherheitspolizeigesetzes (SPG), BGBl. Nr. 566/1991, gelten mit der Maßgabe, dass an die Stelle der Sicherheitsbehörden die nach diesem Bundesgesetz zuständigen Behörden und Berufsvertretungsbehörden treten.“

4. In § 56a Abs. 1 wird im Einleitungsteil nach dem Wort „sind“ die Wortfolge „als gemeinsam Verantwortliche gemäß Art. 4 Z 7 der Verordnung (EU) Nr. 679/2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. L 119 vom 04.05.2016 S. 1, in der geltenden Fassung (DSGVO),“ eingefügt; der Schlussteil lautet:

„gemeinsam in der Art zu verarbeiten, dass jeder Verantwortliche auch auf jene Daten in der Datenverarbeitung Zugriff hat, die dieser von den anderen Verantwortlichen zur Verfügung gestellt wurden (Zentrales Staatsbürgerschaftsregister).“

5. Nach § 56a Abs. 1 wird folgender Abs. 1a eingefügt:

„(1a) Die Erfüllung von Auskunfts-, Informations-, Berichtigungs-, Löschungs- und sonstigen Pflichten nach den Bestimmungen der DSGVO obliegt jedem Verantwortlichen nur gegenüber jenen Betroffenen, für die er gemäß § 49 Abs. 2 Evidenzstelle ist. Nimmt ein Betroffener unter Nachweis seiner Identität ein Recht nach der DSGVO gegenüber einem gemäß dem ersten Satz unzuständigen Verantwortlichen in Bezug auf Daten gemäß Abs. 1 wahr, ist er an den zuständigen Verantwortlichen zu verweisen.“

6. § 56a Abs. 2 lautet:

„(2) Der Bundesminister für Inneres übt die Funktion des Auftragsverarbeiters gemäß Art. 4 Z 8 in Verbindung mit Art. 28 Abs. 1 DSGVO aus. Er ist in dieser Funktion verpflichtet, die Datenschutzpflichten gemäß Art. 28 Abs. 3 lit. a bis h DSGVO wahrzunehmen. Zudem ist er berechtigt, weitere Auftragsverarbeiter in Anspruch zu nehmen. Staatsbürgerschaftsbehörden haben dem Bundesminister für Inneres für die Zwecke des ZSR ihre Staatsbürgerschaftsdaten zu übermitteln.“

7. In § 56b Abs. 4 wird das Wort „übergeben“ durch das Wort „übermitteln“ ersetzt.

8. In § 56b Abs. 6 wird der Ausdruck „ZPR“ durch die Wendung „Zentralen Personenstandsregister (§ 44 PStG 2013)“ ersetzt.

9. Dem § 56b wird folgender Abs. 8 angefügt:

„(8) Protokolldaten über tatsächlich durchgeführte Verarbeitungsvorgänge, wie insbesondere Änderungen, Abfragen und Übermittlungen, sind drei Jahre lang aufzubewahren.“

10. Dem § 64a wird folgender Abs. 27 angefügt:

„(27) § 39a, § 56a Abs. 1, 1a und 2, § 56b Abs. 4, 6 und 8 sowie § 66 Abs. 1 lit. c in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

11. In § 66 Abs. 1 lit. c wird der Verweis „§§ 39a Abs. 2“ durch den Verweis „§§ 39a Abs. 5“ ersetzt.

Das Polizeiliche Staatsschutzgesetz (PStSG), BGBl. I Nr. 5/2016, in der Fassung der Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. In der Überschrift zum 3. Hauptstück wird das Wort „Verwenden“ durch das Wort „Verarbeiten“ ersetzt.

2. In § 9 Abs. 1 wird im ersten Satz die Wortfolge „Verwenden (Verarbeiten und Übermitteln)“ durch die Wendung „Verarbeiten (§ 36 Abs. 2 Z 2 des Datenschutzgesetzes - DSG, BGBl. I Nr. 165/1999)“ und im zweiten Satz die Wortfolge „Beim Verwenden sensibler und strafrechtlich relevanter Daten haben sie“ durch die Wortfolge „Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des § 39 DSG ist zulässig, soweit dies zur Erfüllung der Aufgaben unbedingt erforderlich ist; dabei sind“ ersetzt.

3. In § 9 Abs. 2 wird das Wort „verwendet“ durch das Wort „verarbeitet“ ersetzt.

4. Dem § 9 werden folgende Abs. 3 und 4 angefügt:

„(3) Protokollaufzeichnungen sind drei Jahre aufzubewahren und danach zu löschen.

(4) Die Unterrichtungspflicht des § 45 Abs. 4 DSG gilt nicht, wenn die Erteilung dieser Information einem der in § 43 Abs. 4 DSG genannten Zwecke zuwiderliefe.“

5. In § 10 Abs. 1 wird im Einleitungsteil die Wortfolge „ermitteln und weiterverarbeiten“ durch das Wort „verarbeiten“ ersetzt; der Beistrich am Ende der Z 4 wird durch einen Punkt ersetzt; der Schlussteil entfällt.

6. In § 10 wird in Abs. 2 die Wortfolge „ermitteln und weiterverarbeiten“ durch das Wort „verarbeiten“ ersetzt; in Abs. 4 wird das Wort „verwenden“ durch das Wort „verarbeiten“ und die Wortfolge „Verwendung von Daten“ durch die Wortfolge „Verarbeitung von personenbezogenen Bilddaten“ ersetzt.

7. Die Überschrift zu § 12 lautet:

„Datenverarbeitungen“

8. In § 12 Abs. 1 wird die Wortfolge „datenschutzrechtliche Auftraggeber in einem vom Bundesamt betriebenen Informationsverbundsystem“ durch die Wortfolge „gemeinsam Verantwortliche in einer Datenverarbeitung“ ersetzt.

9. In § 12 Abs. 1 lautet der Schlussteil:

„sowie tat- und fallbezogene Informationen und Verwaltungsdaten gemeinsam verarbeiten, die gemäß §§ 10 oder 11 oder auf Grundlage des SPG oder der StPO ermittelt und verarbeitet wurden. Der Bundesminister für Inneres übt die Funktion des Auftragsverarbeiters gemäß § 36 Abs. 2 Z 9 in Verbindung mit § 48 DSG aus.“

10. In § 12 Abs. 2 wird das Wort „Datenanwendung“ durch das Wort „Datenverarbeitung“ und jeweils das Wort „Auftraggeber“ durch das Wort „Verantwortliche“ ersetzt; im letzten Satz wird nach der Wortfolge „der die Daten“ das Wort „ursprünglich“ eingefügt.

11. § 12 Abs. 5 lautet:

„(5) Bei der Datenverarbeitung nach Abs. 1 obliegt jedem gemeinsam Verantwortlichen (§ 47 DSG) die Erfüllung von Pflichten nach den §§ 42 bis 45 DSG nur hinsichtlich der von ihm ursprünglich verarbeiteten Daten. Nimmt ein Betroffener unter Nachweis seiner Identität ein Recht nach den §§ 43 bis 45 DSG gegenüber einem unzuständigen gemeinsam Verantwortlichen wahr, ist er an den zuständigen gemeinsam Verantwortlichen zu verweisen, sofern nicht ein Fall des § 43 Abs. 4 DSG vorliegt.“

12. In § 13 Abs. 1 wird im ersten Satz das Wort „ermittelten“ durch das Wort „verarbeiteten“, im dritten Satz das Wort „Weiterverarbeitung“ durch die Wortfolge „Verarbeitung weiterhin“ und im letzten Satz das Wort „Weiterverarbeitung“ durch das Wort „Verarbeitung“ ersetzt.

13. In § 13 Abs. 2 wird das Wort „verwendet“ durch das Wort „verarbeitet“ ersetzt.

14. In § 14 Abs. 1 und § 15 Abs. 1 wird jeweils das Wort „Datenanwendung“ durch das Wort „Datenverarbeitung“ ersetzt.

15. § 16 Abs. 1 lautet:

„(1) Nimmt der Rechtsschutzbeauftragte wahr, dass durch Verarbeiten personenbezogener Daten Rechte von Betroffenen einer Aufgabe nach § 6 Abs. 1 Z 1 oder 2 verletzt worden sind, die von dieser Verarbeitung keine Kenntnis haben, so ist er zu deren Information oder, sofern eine solche aus den Gründen des § 43 Abs. 4 DSG nicht erfolgen kann, zur Erhebung einer Beschwerde an die Datenschutzbehörde nach § 90 SPG verpflichtet. In einem solchen Verfahren vor der Datenschutzbehörde ist auf § 43 Abs. 4 DSG über die Beschränkung des Auskunftsrechtes Bedacht zu nehmen.“

16. In § 16 Abs. 3 wird das Zitat „§ 26 Abs. 2 DSG 2000“ durch das Zitat „§ 43 Abs. 4 DSG“ ersetzt.

17. Dem § 18 wird folgender Abs. 3 angefügt:

„(3) Die Überschrift zum 3. Hauptstück, § 9, § 10 Abs. 1, 2 und 4, die Überschrift zu § 12, § 12 Abs. 1, 2 und 5, § 13, § 14 Abs. 1, § 15 Abs. 1 sowie § 16 Abs. 1 und 3 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

Das Polizeikooperationsgesetz (PolKG), BGBl. I Nr. 104/1997, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 91/2017, wird wie folgt geändert:

1. Im Inhaltsverzeichnis lauten die Einträge zu den §§ 8a und 9:

㤠8a.

Teilnahme an internationalen Datenverarbeitungen

§ 9.

Verarbeitungsbeschränkung“

2. Im Inhaltsverzeichnis entfällt der Eintrag zu § 10.

3. In § 3 Abs. 2 Z 1 wird das Wort „Verwenden“ durch die Wortfolge „Verarbeiten (§ 36 Abs. 2 Z 2 des Datenschutzgesetzes - DSG, BGBl. I Nr. 165/1999)“ ersetzt.

4. In § 5 Abs. 1 Z 2 und Abs. 3 Z 1 wird jeweils das Wort „Verwenden“ durch das Wort „Verarbeiten“ ersetzt.

5. In § 7 wird in Abs. 1 das Wort „verwenden“ durch das Wort „verarbeiten“ und in Abs. 5 das Wort „Verwenden“ durch das Wort „Verarbeiten“ ersetzt.

6. § 8 lautet:

§ 8. (1) Die Übermittlung personenbezogener Daten für Zwecke der Sicherheits- oder Kriminalpolizei (§ 1 Abs. 1 Z 1 und 2) ist zulässig

  1. 1. an Sicherheitsbehörden anderer Mitgliedstaaten der Europäischen Union sowie an Europol unter denselben Voraussetzungen wie für Übermittlungen personenbezogener Daten an inländische Behörden gemäß den sicherheitspolizeilichen und strafprozessualen Vorschriften;
  2. 2. an Sicherheitsbehörden von Drittstaaten oder Sicherheitsorganisationen gemäß § 2 Abs. 2 Z 2 und 3 unter den Voraussetzungen der §§ 58 und 59 DSG.

(2) Die Übermittlung personenbezogener Daten für Zwecke des Passwesens, der Fremdenpolizei und der Grenzkontrolle (§ 1 Abs. 1 Z 3) ist zulässig

  1. 1. an Sicherheitsbehörden anderer Mitgliedstaaten der Europäischen Union sowie an Europol, soweit dies zur Erfüllung ihrer Aufgaben erforderlich ist;
  2. 2. an Sicherheitsbehörden von Drittstaaten oder Sicherheitsorganisationen gemäß § 2 Abs. 2 Z 2 und 3 nach den Bestimmungen des Kapitels V der Verordnung (EU) Nr. 679/2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. L 119 vom 04.05.2016 S. 1.“

7. In der Überschrift zu § 8a wird das Wort „Informationsverbundsystemen“ durch das Wort „Datenverarbeitungen“ ersetzt.

8. § 8a Abs. 1 lautet:

„(1) Der Bundesminister für Inneres darf im Rahmen der internationalen polizeilichen Kooperation für Zwecke der Sicherheits- und Kriminalpolizei an gemeinsamen Datenverarbeitungen mit ausländischen Sicherheitsbehörden und Sicherheitsorganisationen teilnehmen. Eine gemeinsame Datenverarbeitung mit Sicherheitsbehörden von Drittstaaten oder Sicherheitsorganisationen gemäß § 2 Abs. 2 Z 2 und 3 ist bei Vorliegen der Voraussetzungen nach § 8 Abs. 1 Z 2 zulässig. Als Auftragsverarbeiter der Datenverarbeitungen dürfen Sicherheitsorganisationen und ausländische Sicherheitsbehörden herangezogen werden.“

9. In § 8a Abs. 2 wird im Einleitungsteil die Wortfolge „Auftraggeber in einem Informationsverbundsystem“ durch die Wortfolge „Verantwortlicher in einer Datenverarbeitung“ und die Wortfolge „werdendürfen und die“ durch die Wortfolge „werden dürfen und die erforderlich sind“ ersetzt.

10. In § 8a Abs. 2 wird in Z 1 die Wortfolge „Interpol oder“ durch die Wendung „Interpol;“ und in Z 2 der Beistrich nach der Wendung „in Verbindung steht“ durch die Wortfolge „ ; die §§ 46, 47 zweiter und dritter Satz, 48, 59 Abs. 4 und 5 DSG sind nicht anzuwenden.“ ersetzt.

11. Im Schlussteil des § 8a Abs. 2 entfallen die Wortfolgen „erforderlich sind.“ und „als Auftraggeber“; die Wendung „sensibler Daten (§ 4 Z 2 DSG 2000)“ wird durch die Wendung „besonderer Kategorien personenbezogener Daten (§ 39 DSG)“ und die Wendung „§ 26 DSG 2000 gilt“ durch die Wendung „Die §§ 42 ff DSG gelten“ ersetzt.

12. In § 8a Abs. 3 wird die Wendung „im Informationsverbundsystem“ durch die Wortfolge „in einer Datenverarbeitung gemäß Abs. 1“ und das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.

13. In § 8a Abs. 4 wird die Wendung „einem internationalen Informationsverbundsystem“ durch die Wendung „einer Datenverarbeitung gemäß Abs. 1“ und die Wendung „im Informationsverbundsystem“ durch die Wendung „in einer Datenverarbeitung“ ersetzt; die Wendung „als Auftraggeber“ entfällt.

14. § 9 samt Überschrift lautet:

„Verarbeitungsbeschränkung

§ 9. Personenbezogene Daten, die von Sicherheitsorganisationen oder ausländischen Sicherheitsbehörden übermittelt worden sind, dürfen nur mit vorheriger Zustimmung der übermittelnden Stelle zu anderen als den der Übermittlung zugrundeliegenden Zwecken verarbeitet werden.“

15. § 10 samt Überschrift entfällt.

16. § 11 lautet:

§ 11. § 50 DSG gilt mit der Maßgabe, dass die Zuordnung zu einem bestimmten Organwalter bei ausschließlich programmgesteuerten Abfragen nicht erforderlich ist. Protokollaufzeichnungen sind, sofern völkerrechtlich nicht anderes vereinbart ist, mindestens drei Jahre aufzubewahren.“

17. In § 12 wird nach der Wendung „maßgebliche Bestimmungen“ das Zitat „gemäß § 44 DSG“, nach der Wendung „zur Stellungnahme“ die Wortfolge „über das Vorliegen einer Voraussetzung gemäß § 43 Abs. 4 DSG“ sowie nach der Wendung „drei Monaten“ die Wendung „ab Einlangen“ eingefügt.

18. In § 18 Z 1 wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.

19. Dem § 20 wird folgender Abs. 10 angefügt:

„(10) § 3 Abs. 2 Z 1, § 5 Abs. 1 Z 2 und Abs. 3 Z 1, § 7 Abs. 1 und 5, § 8, § 8a samt Überschrift und Eintrag im Inhaltsverzeichnis, § 9 samt Überschrift und Eintrag im Inhaltsverzeichnis, § 11, § 12 sowie § 18 Z 1 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft. Gleichzeitig tritt § 10 samt Überschrift und Eintrag im Inhaltsverzeichnis außer Kraft.“

Das EU-Polizeikooperationsgesetz (EU-PolKG), BGBl. I Nr. 132/2009, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 101/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Im Inhaltsverzeichnis lautet der Eintrag zu § 6:

㤠6.

Verarbeitung von Daten durch Sicherheitsbehörden“

2. Im Inhaltsverzeichnis lautet der Eintrag zu § 22:

㤠22.

Verarbeitung der Daten der DNA-Analysedateien“

3. Im Inhaltsverzeichnis lautet der Eintrag zu § 24:

㤠24.

Verarbeitung daktyloskopischer Daten“

4. In § 1 Abs. 2 wird die Wendung „Datenschutzgesetz 2000 (DSG 2000)“ durch die Wendung „Datenschutzgesetz (DSG)“ ersetzt.

5. In § 3 Abs. 1 und 3 wird jeweils das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.

6. In § 4 Abs. 1 wird das Zitat „Amtsblatt Nr. L 210 vom 6.8.2008, S. 1 -11“ durch das Zitat „ABl. Nr. L 210 vom 6.8.2008 S. 1“ ersetzt.

7. In § 5 wird in Abs. 2 das Wort „verwenden“ durch das Wort „verarbeiten“ und in Abs. 4 der Klammerausdruck „(§ 35 DSG 2000)“ durch den Klammerausdruck „(§ 18 DSG)“ ersetzt.

8. In den Überschriften zu den §§ 6, 22 und 24 wird jeweils das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.

9. In § 6 wird in Abs. 1 das Wort „verwenden“ durch das Wort „verarbeiten“ und in den Abs. 2 und 3 jeweils das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.

10. In § 26 wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.

11. In § 33 Abs. 1 wird die Wendung „Auftraggeber im Sinne des § 4 DSG 2000“ durch die Wendung „Verantwortlicher im Sinne des § 36 Abs. 2 Z 8 DSG“, das Wort „Datenanwendung“ durch das Wort „Datenverarbeitung“ sowie die Wendung „weiter zu verarbeiten und zu verwenden“ durch die Wendung „zu verarbeiten“ ersetzt.

12. In § 33 wird in Abs. 3 jeweils das Wort „verwendet“ durch das Wort „verarbeitet“ und in Abs. 7 das Wort „weitergegeben“ durch das Wort „übermittelt“ ersetzt.

13. In § 43 wird das Zitat „§ 26 DSG 2000“ durch das Zitat „§ 44 DSG“ ersetzt und nach der Wortfolge „Gelegenheit zur Stellungnahme“ die Wortfolge „über das Vorliegen einer Voraussetzung gemäß § 43 Abs. 4 DSG“ eingefügt.

14. Dem § 46 wird folgender Abs. 7 angefügt:

„(7) § 1 Abs. 2, § 3 Abs. 1 und 3, § 4 Abs. 1, § 5 Abs. 2 und 4, § 6 samt Überschrift und Eintrag im Inhaltsverzeichnis, die Überschriften zu den §§ 22 und 24 samt Einträgen im Inhaltsverzeichnis, § 26, § 33 Abs. 1, 3 und 7 sowie § 43 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

Das Bundespräsidentenwahlgesetz 1971 (BPräsWG), BGBl. Nr. 57/1971, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 120/2016 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Nach § 25 wird folgender § 25a eingefügt:

§ 25a. Hinsichtlich der Verarbeitung personenbezogener Daten nach diesem Bundesgesetz besteht kein Widerspruchsrecht gemäß Art. 21 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, sowie kein Recht auf Einschränkung der Verarbeitung gemäß Art. 18 der Datenschutz-Grundverordnung. Darüber sind die Betroffenen in geeigneter Weise zu informieren.“

2. Dem § 28 wird folgender Abs. 14 angefügt:

„(14) § 25a in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, tritt mit 25. Mai 2018 in Kraft.“

Das Europäische-Bürgerinitiative-Gesetz (EBIG), BGBl. I Nr. 12/2012, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 50/2016, wird wie folgt geändert:

1. In § 3 Abs. 2 wird das Wort „Dateien“ durch das Wort „Dateisystemen“ und die Wendung „einer Datenbank“ durch die Wendung „einem Dateisystem“ ersetzt.

2. In § 3 Abs. 6 wird die Wendung „der Datenbank“ durch die Wendung „des Dateisystems gemäß Abs. 2“ ersetzt.

3. In § 3 Abs. 8 wird die Wendung „die Datenbank“ durch die Wendung „das Dateisystem“ ersetzt.

4. Dem § 3 wird folgender Abs. 9 angefügt:

„(9) Hinsichtlich der Verarbeitung personenbezogener Daten nach diesem Bundesgesetz besteht kein Widerspruchsrecht gemäß Art. 21 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, sowie kein Recht auf Einschränkung der Verarbeitung gemäß Art. 18 der Datenschutz-Grundverordnung. Darüber sind die Betroffenen in geeigneter Weise zu informieren.“

5. Dem § 10 wird folgender Abs. 4 angefügt:

„(4) § 3 Abs. 2, 6, 8 und 9 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, tritt mit 25. Mai 2018 in Kraft.“

Das Europa-Wählerevidenzgesetz (EuWEG), BGBl. Nr. 118/1996, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 120/2016 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. In § 6 Abs. 2 lautet der erste Satz:

„Die in allgemeinen Vertretungskörpern der Europäischen Union vertretenen Parteien können aus der Europa-Wählerevidenz überdies für Zwecke des § 1 Abs. 2 des Parteiengesetzes 2012, BGBl. I Nr. 2012/56, sowie für Zwecke der Statistik Abschriften herstellen.“

2. In § 6 Abs. 2 wird nach dem zweiten Satz folgender Satz eingefügt:

„Die Empfänger haben den betroffenen Personenkreis in geeigneter Weise zu informieren.“

3. In § 13 Abs. 4 wird das Wort „verwendet“ durch das Wort „verarbeitet“ ersetzt.

4. Dem § 13 wird folgender Abs. 5 angefügt:

„(5) Hinsichtlich der Verarbeitung personenbezogener Daten nach diesem Bundesgesetz besteht kein Widerspruchsrecht gemäß Art. 21 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, sowie kein Recht auf Einschränkung der Verarbeitung gemäß Art. 18 der Datenschutz-Grundverordnung. Darüber sind die Betroffenen in geeigneter Weise zu informieren.“

5. Dem § 20 wird folgender Abs. 12 angefügt:

„(12) § 6 Abs. 2 sowie § 13 Abs. 4 und 5 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, tritt mit 25. Mai 2018 in Kraft.“

Die Europawahlordnung (EuWO), BGBl. Nr. 117/1996, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 120/2016 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. In § 11 Abs. 1 wird das Wort „EDV-Applikation“ durch das Wort „Datenverarbeitung“ ersetzt.

2. Dem § 11 wird folgender Abs. 5 angefügt:

„(5) Hinsichtlich der Verarbeitung personenbezogener Daten nach diesem Bundesgesetz besteht kein Widerspruchsrecht gemäß Art. 21 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, sowie kein Recht auf Einschränkung der Verarbeitung gemäß Art. 18 der Datenschutz-Grundverordnung. Darüber sind die Betroffenen in geeigneter Weise zu informieren.“

3. In § 15 Abs. 1 wird nach der Wortfolge „beteiligen wollen“ samt Beistrich folgende Wortfolge eingefügt:

„für Zwecke des § 1 Abs. 2 des Parteiengesetzes 2012, BGBl. I Nr. 2012/56, sowie für Zwecke der Statistik“

4. In § 15 Abs. 1 wird folgender zweiter Satz angeschlossen:

„Der Empfänger der Ausdrucke hat den betroffenen Personenkreis in geeigneter Weise zu informieren.“

5. In § 34 Abs. 1 wird die Wendung „einer vom Zustellungsbevollmächtigten zur Verfügung gestellten Datei“ durch die Wendung „eines vom Zustellungsbevollmächtigten übermittelten Dateisystems“ ersetzt.

6. In § 39 Abs. 8 wird die Wendung „einer elektronischen Datei“ durch die Wendung „einem elektronischen Dateisystem“ ersetzt.

7. Dem § 91 wird folgender Abs. 15 angefügt:

„(15) § 11 Abs. 1 und 5, § 15 Abs. 1, § 34 Abs. 1 sowie § 39 Abs. 8 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

Die Nationalrats-Wahlordnung 1992 (NRWO), BGBl. Nr. 471/1992, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 120/2016 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. In § 23 Abs. 1 wird das Wort „EDV-Applikationen“ durch das Wort „Datenverarbeitungen“ ersetzt.

2. Dem § 23 wird folgender Abs. 5 angefügt:

„(5) Hinsichtlich der Verarbeitung personenbezogener Daten nach diesem Bundesgesetz besteht kein Widerspruchsrecht gemäß Art. 21 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, sowie kein Recht auf Einschränkung der Verarbeitung gemäß Art. 18 der Datenschutz-Grundverordnung. Darüber sind die Betroffenen in geeigneter Weise zu informieren.“

3. In § 27 Abs. 1 wird nach der Wortfolge „beteiligen wollen“ samt Beistrich die Wortfolge „für Zwecke des § 1 Abs. 2 des Parteiengesetzes 2012, BGBl. I Nr. 2012/56, sowie für Zwecke der Statistik“ eingefügt und die Wortfolge „über Verlangen“ durch die Wortfolge „auf Antrag“ ersetzt.

4. In § 27 Abs. 1 wird folgender zweiter Satz neu angeschlossen:

„Der Empfänger der Ausdrucke hat den betroffenen Personenkreis in geeigneter Weise zu informieren.“

5. In § 46 Abs. 1 wird die Wendung „einer vom Zustellungsbevollmächtigten zur Verfügung gestellten Datei“ durch die Wendung „eines vom Zustellungsbevollmächtigten übermittelten Dateisystems“ ersetzt.

6. In § 52 Abs. 7 wird die Wendung „einer elektronischen Datei“ durch die Wendung „einem elektronischen Dateisystem“ ersetzt.

7. In § 106 Abs. 5 wird die Wendung „einer vom Zustellungsbevollmächtigten zur Verfügung gestellten Datei“ durch die Wendung „eines vom Zustellungsbevollmächtigten übermittelten Dateisystems“ ersetzt.

8. Dem § 129 wird folgender Abs. 12 angefügt:

„(12) § 23 Abs. 1 und 5, § 27 Abs. 1, § 46 Abs. 1, § 52 Abs. 7 sowie § 106 Abs. 5 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

Das Volksabstimmungsgesetz 1972 (VAbstG), BGBl. Nr. 79/1973, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 106/2016 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. In § 6 Abs. 3 wird das Wort „EDV-Applikation“ durch das Wort „Datenverarbeitung“ ersetzt.

2. Dem § 19 wird folgender Abs. 3 angefügt:

„(3) Hinsichtlich der Verarbeitung personenbezogener Daten nach diesem Bundesgesetz besteht kein Widerspruchsrecht gemäß Art. 21 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, sowie kein Recht auf Einschränkung der Verarbeitung gemäß Art. 18 der Datenschutz-Grundverordnung. Darüber sind die Betroffenen in geeigneter Weise zu informieren.“

3. Dem § 21 wird folgender Abs. 9 angefügt:

„(9) § 6 Abs. 3 und § 19 Abs. 3 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

Das Volksbefragungsgesetz 1989 (VBefrG), BGBl. Nr. 356/1989, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 106/2016, wird wie folgt geändert:

1. In § 6 Abs. 3 wird das Wort „EDV-Applikation“ durch das Wort „Datenverarbeitung“ ersetzt.

2. Dem § 20 wird folgender Abs. 4 angefügt:

„(4) Hinsichtlich der Verarbeitung personenbezogener Daten nach diesem Bundesgesetz besteht kein Widerspruchsrecht gemäß Art. 21 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, sowie kein Recht auf Einschränkung der Verarbeitung gemäß Art. 18 der Datenschutz-Grundverordnung. Darüber sind die Betroffenen in geeigneter Weise zu informieren.“

3. Dem § 21 wird folgender Abs. 10 angefügt:

„(10) § 6 Abs. 3 und § 20 Abs. 4 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

Das Volksbegehrengesetz 2018 (VoBeG), BGBl. I Nr. 106/2016, in der Fassung des Bundesgesetzes BGBl. I Nr. 120/2016, wird wie folgt geändert:

1. Dem § 4 Abs. 4 wird folgender Satz angefügt:

„Registrierungen von Volksbegehren und Vermerke über getätigte Unterstützungserklärungen sind zu löschen, wenn der Einleitungsantrag abgewiesen wurde und die Abweisung unanfechtbar feststeht.“

2. In § 5 Abs. 1 Z 1 wird das Wort „Datenanwendung“ durch das Wort „Datenverarbeitung“ ersetzt.

3. In § 5 Abs. 2 dritter Satz wird die Wendung „und der Gemeinde, bei der Unterstützungserklärung abgegeben wird, zu unterschreiben“ durch die Wendung „und der Gemeinde, bei der die Unterstützungserklärung abgegeben wird, angeführt sind, zu unterschreiben“ ersetzt.

4. In § 5 Abs. 2 vierter Satz wird das Wort „Datenanwendung“ durch das Wort „Datenverarbeitung“ ersetzt.

5. In § 5 Abs. 2 wird nach dem fünften Satz folgender Satz eingefügt:

„Wenn ein Einleitungsantrag abgewiesen wurde und eine Anfechtung nicht mehr möglich ist oder ein Einleitungsantrag bis zum Ablauf des 31. Dezember des dem Jahr, in dem die Anmeldung vorgenommen wurde, folgenden Jahr nicht gestellt wurde, ist das unterschriebene Formular von der Gemeinde nach entsprechender Verständigung durch den Bundesminister für Inneres unverzüglich zu vernichten.“

6. In § 5 Abs. 3 wird im ersten Satz das Wort „Stimmberechtigten“ durch das Wort „Unterstützungswilligen“ ersetzt; im zweiten und dritten Satz wird jeweils das Wort „Eintragung“ durch die Wendung „Abgabe einer Unterstützungserklärung“ ersetzt.

7. In § 5 Abs. 4 wird das Wort „Stimmberechtigter“ durch das Wort „Unterstützungswilliger“ ersetzt; die Wendung „der Vorschriften des Abschnittes III“ entfällt.

8. In § 6 Abs. 1 wird das Wort „Datenanwendung“ durch das Wort „Datenverarbeitung“ ersetzt.

9. In § 6 Abs. 5 wird jeweils das Wort „Unterstützungserklärungen“ durch das Wort „Eintragungen“ ersetzt.

10. In § 11 Abs. 1 Z 1 werden die Wörter „Anwendung“ und „Datenanwendung“ jeweils durch das Wort „Datenverarbeitung“ ersetzt.

11. In § 11 Abs. 2 wird die Wendung „zum Nationalrat wahlberechtigt ist (§ 21 Abs. 1 NRWO)“ durch die Wendung „stimmberechtigt ist (§ 7)“ ersetzt.

12. In § 11 Abs. 2 dritter Satz wird die Wendung „bei der die Eintragung getätigt wird, zu unterschreiben.“ durch die Wendung „bei der die Eintragung getätigt wird, angeführt sind, zu unterschreiben.“ ersetzt.

13. In § 11 Abs. 2 vierter Satz wird das Wort „Datenanwendung“ durch das Wort „Datenverarbeitung“ ersetzt.

14. Dem § 11 wird folgender Abs. 5 angefügt:

„(5) Hinsichtlich der Verarbeitung personenbezogener Daten nach diesem Bundesgesetz besteht kein Widerspruchsrecht gemäß Art. 21 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, sowie kein Recht auf Einschränkung der Verarbeitung gemäß Art. 18 der Datenschutz-Grundverordnung. Darüber sind die Betroffenen in geeigneter Weise zu informieren.“

15. In § 13 Abs. 1 wird das Wort „Datenanwendung“ durch das Wort „Datenverarbeitung“ ersetzt.

16. Dem Text des § 26 wird die Absatzbezeichnung „(1)“ vorangestellt; folgender Abs. 2 wird angefügt:

„(2) § 4 Abs. 4, § 5 Abs. 1, 2, 3 und 4, § 6 Abs. 1 und 5, § 11 Abs. 1, 2 und 5 sowie § 13 Abs. 1 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft. § 26 Abs. 1 in der Fassung des genannten Bundesgesetzes tritt mit dem auf die Kundmachung folgenden Tag in Kraft.“

Das Wählerevidenzgesetz 2018 (WEviG), BGBl. I Nr. 106/2016, in der Fassung des Bundesgesetzes BGBl. I Nr. 120/2016, wird wie folgt geändert:

1. In § 2 Abs. 7 wird das Wort „verwendet“ durch das Wort „verarbeitet“ ersetzt.

2. § 4 Abs. 1 lautet:

„(1) Die Gemeinden haben die Wählerevidenzen im Sinne dieses Bundesgesetzes oder der Bestimmungen in anderen Bundesgesetzen, insbesondere des Europa-Wählerevidenzgesetzes, sowie aufgrund von entsprechend Art. 26a Abs. 2 des Bundes-Verfassungsgesetzes - B-VG, BGBl. Nr. 1/1930, bestehenden landesgesetzlichen Bestimmungen als gemeinsame Verantwortliche in der Datenverarbeitung ZeWaeR zu führen, wobei jeder Verantwortliche auch auf jene Daten in der Datenverarbeitung Zugriff hat, die diesem von den anderen Verantwortlichen zur Verfügung gestellt wurden. Die Erfüllung von Informations-, Auskunfts-, Berichtigungs-, Löschungs- und sonstigen Pflichten nach den Bestimmungen der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, im Folgenden: DSGVO, gegenüber dem Betroffenen obliegt jedem Verantwortlichen hinsichtlich jener Daten, die im Zusammenhang mit den von ihm geführten Verfahren oder den von ihm gesetzten Maßnahmen verarbeitet werden. Nimmt ein Betroffener unter Nachweis seiner Identität ein Recht nach der DSGVO gegenüber einem unzuständigen Verantwortlichen wahr, so ist er an den zuständigen Verantwortlichen zu verweisen. Soweit der Bundesminister für Inneres aufgrund bundesgesetzlicher oder landesgesetzlicher Vorschriften Daten des ZeWaeR zu verarbeiten hat, übt er die Funktion des Auftragsverarbeiters gemäß Art. 4 Z 8 in Verbindung mit Art. 28 Abs. 1 DSGVO für die jeweilige Gemeinde aus und hat datenqualitätssichernde Maßnahmen zu setzen, wie insbesondere Hinweise auf eine mögliche Identität zweier ähnlicher Datensätze oder die Schreibweise von Adressen zu geben. Er ist in dieser Funktion verpflichtet, die Datenschutzpflichten gemäß Art. 28 Abs. 3 lit. a bis h DSGVO wahrzunehmen. Zudem ist er berechtigt, weitere Auftragsverarbeiter in Anspruch zu nehmen.“

2a. In § 4 Abs. 2 wird im ersten Satz nach der Wortfolge „die bereichsspezifischen Personenkennzeichen“ samt Beistrich die Wortfolge „für Zwecke des § 1 Abs. 2 des Parteiengesetzes 2012, BGBl. I Nr. 2012/56, sowie für Zwecke der Statistik“ eingefügt.

2b. In § 4 Abs. 2 wird im ersten Satz die Wortfolge „zur unentgeltlichen Auskunftserteilung“ gestrichen und nach der Wortfolge „auf Antrag“ das Wort „unentgeltlich“ eingefügt.

2c. In § 4 Abs. 2 wird nach dem ersten Satz folgender Satz eingefügt:

„Der Empfänger hat den betroffenen Personenkreis in geeigneter Weise zu informieren.“

3. § 4 Abs. 3 lautet:

„(3) Jede im ZeWaeR und jede auf Daten des ZeWaeR aufbauende Datenverarbeitung bedarf einer ausdrücklichen bundesgesetzlichen oder in Ausführung von Art. 26a Abs. 2 B-VG erlassenen ausdrücklichen landesgesetzlichen Grundlage. Alle Zugriffe auf das ZeWaeR und auf die auf das ZeWaeR aufbauenden Datenverarbeitungen sind zu protokollieren. Protokolldaten über tatsächlich durchgeführte Verarbeitungsvorgänge, wie insbesondere Änderungen, Abfragen und Übermittlungen, sind drei Jahre lang aufzubewahren.“

4. In § 4 Abs. 4 wird das Wort „Datenanwendungen“ jeweils durch das Wort „Datenverarbeitungen“ ersetzt.

5. Dem § 4 wird folgender Abs. 6 angefügt:

„(6) Hinsichtlich der Verarbeitung personenbezogener Daten nach diesem Bundesgesetz besteht kein Widerspruchsrecht gemäß Art. 21 DSGVO sowie kein Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO. Darüber sind die Betroffenen in geeigneter Weise zu informieren.“

5a. In § 5 Abs. 2 wird im ersten Satz nach der Wortfolge „aus der Wählerevidenz“ die Wortfolge „für Zwecke des § 1 Abs. 2 des Parteiengesetzes 2012, BGBl. I Nr. 2012/56, sowie für Zwecke der Statistik“ eingefügt.

5b. In § 5 Abs. 2 wird nach dem ersten Satz folgender Satz eingefügt:

„Der Empfänger der Abschriften hat den betroffenen Personenkreis in geeigneter Weise zu informieren.“

5c. In § 5 Abs. 2 wird im dritten Satz neu das Wort „solche“ gestrichen.

6. Dem Text des § 19 wird die Absatzbezeichnung „(1)“ vorangestellt; folgender Abs. 2 wird angefügt:

„(2) § 2 Abs. 7, § 4 Abs. 1, 2, 3, 4 und 6 sowie § 5 Abs. 2 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft. § 19 Abs. 1 in der Fassung des genannten Bundesgesetzes tritt mit dem auf die Kundmachung folgenden Tag in Kraft.“

Justiz

Das Bundesgesetz über die Auslieferung und die Rechtshilfe in Strafsachen, BGBl. Nr. 529/1979, zuletzt geändert durch das Strafprozessrechtsänderungsgesetz II 2016, BGBl. I Nr. 121/2016, wird wie folgt geändert:

1. Nach § 9 wird folgender § 9a samt Überschrift eingefügt:

„Datenschutz

§ 9a. (1) Die Übermittlung personenbezogener Daten aus einem anderen Mitgliedstaat, die bereits verarbeitet wurden oder nach ihrer Übermittlung verarbeitet werden sollen, an einen Drittstaat oder eine internationale Organisation sowie deren Weiterübermittlung an einen anderen Drittstaat oder eine andere internationale Organisation ist zulässig, wenn

  1. 1. die Übermittlung zur Verhinderung, Untersuchung, Aufdeckung oder Verfolgung von Straftaten oder zur Strafvollstreckung erforderlich ist und an eine Behörde erfolgt, die für einen oder mehrere dieser Zwecke zuständig ist;
  2. 2. die Behörde, die die personenbezogenen Daten übermittelt hat, der Weiterleitung zugestimmt hat; und
  3. 3. die Europäische Kommission eine Entscheidung getroffen hat, wonach der betreffende Drittstaat oder die internationale Organisation ein angemessenes Datenschutzniveau bietet, oder, in Ermangelung einer solchen Entscheidung, angemessene Garantien für den Schutz personenbezogener Daten im betreffenden Drittstaat oder der internationalen Organisation bestehen;

(2) Die Zustimmung nach Abs. 1 Z 2 ist nicht erforderlich, wenn die Datenübermittlung zur Abwendung einer unmittelbaren und ernsthaften Gefahr für die öffentliche Sicherheit eines Mitgliedstaats oder eines Drittstaats oder für die wesentlichen Interessen eines Mitgliedstaats erforderlich ist und die Zustimmung nicht rechtzeitig eingeholt werden kann. In einem solchen Fall ist die für die Zustimmungserteilung zuständige Behörde unverzüglich in Kenntnis zu setzen.

(3) Die Aufsichtsbehörde ist von Datenübermittlungen nach Abs. 1 Z 3, zweiter Fall in Kenntnis zu setzen.

(4) Liegen die Voraussetzungen nach Abs. 1 Z 3 nicht vor, so ist die Datenübermittlung unter folgenden Voraussetzungen dennoch zulässig:

  1. 1. zum Schutz lebenswichtiger Interessen des Betroffenen oder einer anderen Person;
  2. 2. zur Wahrung berechtigter, gesetzlich vorgesehener Interessen des Betroffenen;
  3. 3. zur Abwehr einer unmittelbaren und ernsthaften Gefahr für die öffentliche Sicherheit eines Mitgliedstaats oder eines Drittstaats;
  4. 4. im Einzelfall zu den in Abs. 1 Z 1 angeführten Zwecken, es sei denn, dass die Grundrechte des Betroffenen das öffentliche Interesse an der Datenübermittlung überwiegen; oder
  5. 5. im Einzelfall zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Zusammenhang mit den in Abs. 1 Z 1 angeführten Zwecken, es sei denn, dass die Grundrechte des Betroffenen das öffentliche Interesse an der Datenübermittlung überwiegen.

(5) Datenübermittlungen nach Abs. 4, einschließlich Datum und Uhrzeit der Übermittlung, Bezeichnung der empfangenden Behörde, Anführung der übermittelten personenbezogenen Daten und Begründung der Übermittlung, sind zu dokumentieren.“

2. Nach § 58 wird folgender § 58a samt Überschrift eingefügt:

„Zustimmung zur Datenweiterleitung

§ 58a. Einem Ersuchen der zuständigen Behörde des ersuchenden Staates um Zustimmung zur Weiterleitung der in Erledigung eines Rechtshilfeersuchens übermittelten personenbezogenen Daten (§ 9a Abs. 1 Z 2) ist unter Berücksichtigung sämtlicher maßgeblicher Umstände, einschließlich der Schwere der strafbaren Handlung, des Zwecks der ursprünglichen Datenübermittlung und des Datenschutzniveaus im betreffenden Drittstaat zu entsprechen.“

3. In § 59a entfallen die Absatzbezeichnung „(1)“ und Abs. 2.

4. Nach § 71 wird folgender § 71a samt Überschrift eingefügt:

„Ersuchen an Private

§ 71a. (1) Ersuchen um Übermittlung von Stammdaten (§ 76a Abs. 1 StPO) können unmittelbar an den zuständigen Anbieter von Kommunikationsdiensten im ersuchten Staat übermittelt werden, wenn

  1. 1. die begehrten Informationen zur Verhinderung, Untersuchung, Aufdeckung oder Verfolgung von Straftaten oder zur Strafvollstreckung unbedingt erforderlich sind,
  2. 2. das öffentliche Interesse an der Übermittlung die Grundrechte des Betroffenen überwiegt und
  3. 3. die Übermittlung an die zuständige Behörde wirkungslos oder ungeeignet wäre.

(2) Die zuständige Behörde im ersuchten Staat ist unverzüglich über Ersuchen nach Abs. 1 in Kenntnis zu setzen.

(3) Datenübermittlungen nach Abs. 1, einschließlich Datum und Uhrzeit der Übermittlung, Bezeichnung des empfangenden Anbieters, Anführung der übermittelten personenbezogenen Daten und Begründung der Übermittlung, sind zu dokumentieren.“

5. § 77 wird folgender Abs. 4 angefügt:

„(4) § 9a samt Überschrift, § 58a samt Überschrift, § 59a, § 71a samt Überschrift sowie Artikel XXV in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

6. Nach Art. XXIV wird folgender Art. XXV angefügt:

§ 9a findet keine Anwendung auf vor dem 6. Mai 2016 abgeschlossene und mit dem Unionsrecht vor diesem Zeitpunkt vereinbare völkerrechtliche Übereinkommen mit Drittstaaten oder internationalen Organisationen, die die Übermittlung personenbezogener Daten zum Gegenstand haben.“

Das Bewährungshilfegesetz, BGBl. Nr. 146/1969, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 154/2015, wird wie folgt geändert:

1. In den §§ 3 Abs. 1 und 2, 4 Abs. 1 und 3, 5 Abs. 3, 8 Abs. 1, 9, 10, 11, 12 Abs. 1, 13 Abs. 1, 2, 4, 6 und 7, 14, 24 Abs. 1, 3 und 4, 26 Abs. 1 Z 3, 26a Abs. 1, 2 und 3, 28 Abs. 1, 2 und 3, 29 Abs. 1, 29d Abs. 1 lit. b und 31 werden jeweils vor dem Wort „Justiz“ die Worte „Verfassung, Reformen, Deregulierung und“ eingefügt.

2. § 25 samt Überschrift lautet:

„Verarbeitung personenbezogener Daten

§ 25. Private Vereinigungen, denen die Besorgung von Aufgaben nach diesem Bundesgesetz übertragen wurde, sind zum Zweck der Erfüllung dieser Aufgaben ermächtigt, strafrechtsbezogene Daten nach Art. 10 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, (im Folgenden: DSGVO) und § 4 Abs. 3 des Datenschutzgesetzes - DSG, BGBl. I Nr. 165/1999, sowie besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO zu verarbeiten, soweit dies zur Erfüllung dieser Aufgaben erforderlich und verhältnismäßig ist.“

3. Dem § 30 wird folgender Abs. 11 angefügt:

„(11) Die §§ 3 Abs. 1 und 2, 4 Abs. 1 und 3, 5 Abs. 3, 8 Abs. 1, 9, 10, 11, 12 Abs. 1, 13 Abs. 1, 2, 4, 6 und 7, 14, 24 Abs. 1, 3 und 4, 25 samt Überschrift, 26 Abs. 1 Z 3, 26a Abs. 1, 2 und 3, 28 Abs. 1, 2 und 3, 29 Abs. 1, 29d Abs. 1 lit. b und 31 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

Das Disziplinarstatut für Rechtsanwälte und Rechtsanwaltsanwärter, BGBl. Nr. 474/1990, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 10/2017, wird wie folgt geändert:

1. § 20 werden folgende Abs. 4 und 5 angefügt:

„(4) Im Verfahren vor dem Disziplinarrat und dem Kammeranwalt richten sich die sich aus Art. 12 bis 22 und Art. 34 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, sowie die sich aus dem Recht auf Auskunft, Richtigstellung und Löschung nach § 1 DSG ergebenden Rechte und Pflichten sowie deren Durchsetzung nach dem 5. Abschnitt dieses Bundesgesetzes.

(5) Eine Information oder Auskunft zum Disziplinarverfahren kann soweit und solange aufgeschoben, eingeschränkt oder unterlassen werden, wie dies im Einzelfall zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von Disziplinarvergehen unbedingt erforderlich und verhältnismäßig ist.“

2. § 80 wird folgender Abs. 4 angefügt:

„(4) § 20 Abs. 4 und 5 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, tritt mit 25. Mai 2018 in Kraft.“

Die Exekutionsordnung, RGBl. Nr. 79/1896, zuletzt geändert durch das Insolvenzrechtsänderungsgesetz 2017, BGBl. I Nr. 122/2017, wird wie folgt geändert:

1. In § 275 Abs. 6 wird die Wendung „Daten Dritter, die im Sinne des Datenschutzgesetzes“ durch die Wendung „personenbezogene Daten Dritter, die im Sinne der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)“ ersetzt.

2. In § 382g Abs. 1 Z 4 wird die Wendung „persönlichen Daten“ durch die Wendung „personenbezogenen Daten“ ersetzt.

Das Gerichtsorganisationsgesetz, RGBl. Nr. 217/1896, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 52/2017, wird wie folgt geändert:

1. Nach § 16 wird folgender § 16a samt Überschrift eingefügt:

„Verhandlungsspiegel

§ 16a. Die Gerichte können auf geeignete Weise einen Verhandlungsspiegel veröffentlichen, aus dem ersichtlich sind:

  1. 1. der Ort, der Tag, die Stunde des Beginns und der Gegenstand des Verfahrens der am jeweiligen Gericht stattfindenden öffentlichen Gerichtsverhandlungen (Tagsatzungen) in bürgerlichen Rechtssachen,
  2. 2. der Ort, der Tag, die Stunde des Beginns und der Gegenstand des Verfahrens der am jeweiligen Gericht stattfindenden öffentlichen Verhandlungen in Strafsachen.“

2. Die §§ 83 bis 85a samt Überschriften lauten:

„Datenschutz in Angelegenheiten der Gerichtsbarkeit in bürgerlichen Rechtssachen und der weisungsfreien Justizverwaltung

§ 83. (1) Die Gerichte dürfen im Rahmen ihrer justiziellen Tätigkeit die hiefür erforderlichen personenbezogenen Daten verarbeiten.

(2) Die justizielle Tätigkeit der Gerichte umfasst alle Tätigkeiten, die zur Erfüllung der Aufgaben in Angelegenheiten der ordentlichen Gerichtsbarkeit erforderlich sind.

§ 84. Bei Datenverarbeitungen im Rahmen der justiziellen Tätigkeit in Angelegenheiten der Gerichtsbarkeit in bürgerlichen Rechtssachen und der in Senaten zu erledigenden Justizverwaltung richten sich die sich aus Art. 12 bis 22 und Art. 34 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1 (im Folgenden: DSGVO), und die sich aus dem Recht auf Auskunft, Richtigstellung und Löschung nach § 1 DSG ergebenden Rechte und Pflichten sowie deren Durchsetzung nach den Verfahrensgesetzen und den darauf beruhenden Verordnungen sowie den Vorschriften dieses Bundesgesetzes.

§ 85. (1) Wer durch ein Organ, das in Ausübung seiner justiziellen Tätigkeit in Angelegenheiten der Gerichtsbarkeit in bürgerlichen Rechtssachen und der in Senaten zu erledigenden Justizverwaltung handelt, im Grundrecht auf Datenschutz verletzt wurde, kann dem Bund gegenüber die Feststellung dieser Verletzung begehren.

(2) Zur Entscheidung über diese Beschwerde ist das im Instanzenzug übergeordnete Gericht zuständig. Betrifft die Beschwerde eine Verletzung durch ein Organ des Obersten Gerichtshofs, so ist dieser zur Entscheidung zuständig. Das Gericht entscheidet im Verfahren außer Streitsachen, soweit im Folgenden nicht anderes bestimmt ist.

(3) In der Beschwerde ist anzugeben und zu begründen, worin der Beschwerdeführer die Verletzung seines Rechtes erblickt. Die zum Anlass der Beschwerde genommene Entscheidung oder der entsprechende Vorgang ist genau zu bezeichnen. Der Tag, an dem der Betroffene von der Entscheidung oder dem Vorgang Kenntnis erlangt hat, ist anzuführen.

(4) Der Betroffene kann sich bei der Erhebung der Beschwerde nur von einem Rechtsanwalt vertreten lassen. Die Beschwerde ist binnen einem Jahr ab dem Tag, an dem der Betroffene von der Entscheidung oder dem Vorgang Kenntnis erlangt hat, bei dem nach Abs. 2 zuständigen Gericht einzubringen. Nach Ablauf von drei Jahren nach der Entscheidung oder dem Vorgang kann die Feststellung nicht mehr begehrt werden.

(5) Das Gericht hat auszusprechen, ob die behauptete Rechtsverletzung stattgefunden hat, und gegebenenfalls dem zuständigen Gericht die erforderlichen Aufträge zu erteilen. Gegen die Entscheidung ist ein Rechtsmittel an den Obersten Gerichtshof zulässig, sofern sie nicht ohnedies von diesem gefällt wurde und die Entscheidung von der Lösung einer Rechtsfrage abhängt, der zur Wahrung der Rechtseinheit, Rechtssicherheit oder Rechtsentwicklung erhebliche Bedeutung zukommt. Die Partei muss für die Erhebung des Rechtsmittels und im weiteren Verfahren durch einen Rechtsanwalt vertreten sein. In einem stattgebenden Erkenntnis ist dem Bund der Ersatz der Beschwerdekosten an den Beschwerdeführer aufzuerlegen.

Datenschutz in Angelegenheiten der Strafgerichtsbarkeit

§ 85a. (1) Für die Verarbeitung personenbezogener Daten in Angelegenheiten der Strafgerichtsbarkeit finden die Bestimmungen der Strafprozessordnung 1975 - StPO, BGBl. Nr. 631/1975, Anwendung.

(2) § 85 gilt sinngemäß. Zur Entscheidung über eine Beschwerde in Strafsachen ist das Oberlandesgericht zuständig, betrifft die Beschwerde eine Verletzung durch ein Organ des Obersten Gerichtshofs, dieser. Das Verfahren richtet sich nach den Bestimmungen der StPO, sofern in diesem Bundesgesetz nichts anderes bestimmt ist.“

3. Vor § 89f wird folgende Überschrift eingefügt:

„Auftragsverarbeiter“

4. § 89f Abs. 1 lautet:

„(1) Der Bundesrechenzentrum GmbH obliegt nach den Vorgaben des Bundesministeriums für Verfassung, Reformen, Deregulierung und Justiz und nach Maßgabe ihrer maschinellen und personellen Ausstattung die Mitwirkung an der automationsunterstützten Abwicklung von gesetzlichen Aufgaben des Justizressorts als Auftragsverarbeiter (Art. 4 Z 8 DSGVO), soweit dies der Einfachheit, Zweckmäßigkeit und Kostenersparnis dient.“

5. In § 89f Abs. 2 wird das Wort „Dienstleister“ durch das Wort „Auftragsverarbeiter“ und die Wendung „eines Auftraggebers (§ 4 Z 4 DSG 2000)“ durch die Wendung „eines Verantwortlichen (Art. 4 Z 7 DSGVO)“ ersetzt.

6. Vor § 89g wird folgende Überschrift eingefügt:

„Übermittlung an Empfänger im Ausland“

7. Vor § 89i wird folgende Überschrift eingefügt:

„Akteneinsicht“

8. Nach § 89o werden folgende §§ 89p und 89q samt Überschrift angefügt:

„Verantwortlicher für die Datenverarbeitung

§ 89p. (1) Das Bundesministerium für Verfassung, Reformen, Deregulierung und Justiz und das jeweils verfahrensführende Gericht sind im Rahmen der justiziellen Tätigkeit in Angelegenheiten der Gerichtsbarkeit in bürgerlichen Rechtssachen und der in Senaten zu erledigenden Justizverwaltung als für die Verarbeitung Verantwortliche zu betrachten.

(2) Soweit die Rechte und Pflichten des Verantwortlichen für die Datenverarbeitung nach den Vorschriften der DSGVO und des DSG auch im Rahmen der justiziellen Tätigkeit in Angelegenheiten der Gerichtsbarkeit in bürgerlichen Rechtssachen und der in Senaten zu erledigenden Justizverwaltung zur Anwendung kommen, treffen diese das Bundesministerium für Verfassung, Reformen, Deregulierung und Justiz, wenn nicht eine gerichtliche Zuständigkeit durch die Verfahrensgesetze und Verordnungen sowie die Vorschriften dieses Bundesgesetzes gesondert angeordnet ist.

§ 89q. (1) Im Bereich der Strafgerichtsbarkeit sind das Bundesministerium für Verfassung, Reformen, Deregulierung und Justiz und die jeweils verfahrensführenden Gerichte als für die Verarbeitung von Daten Verantwortliche zu betrachten.

(2) Soweit den Verantwortlichen Rechte und Pflichten nach der StPO treffen, sind diese vom jeweils verfahrensführenden Gericht wahrzunehmen. Unbeschadet davon kann jedermann beim Einzelrichter des für Strafsachen zuständigen Landesgerichts (§ 31 Abs. 1 StPO) seines Wohnsitzes oder gewöhnlichen Aufenthalts Auskunft über Gericht und Aktenzahl aller im elektronischen Register enthaltenen strafgerichtlichen Verfahren beantragen, in denen er Beteiligter ist; Daten über Ermittlungsverfahren sind von dieser Auskunft ausgenommen. Diese Auskunft ist nach Maßgabe der technischen Möglichkeiten sowie unter Bedachtnahme auf eine einfache und sparsame Verwaltung und eine ausreichende Sicherung vor Missbrauch durch dritte Personen zu erteilen.“

9. In § 91b Abs. 4 wird im zweiten Satz die Wortfolge „Dritter zu Dienstleistungen im Datenverkehr“ durch die Wortfolge „von Auftragsverarbeitern“ ersetzt.

10. In § 91d Abs. 3 wird das Wort „Dienstleister“ durch das Wort „Auftragsverarbeiter“ ersetzt; der zweite Satz entfällt.

11. § 98 wird folgender Abs. 25 angefügt:

„(25) § 16a, § 83 samt Überschrift, § 84, § 85 und § 85a samt Überschrift, § 89f samt Überschrift, die Überschriften vor den §§ 89g und 89i, § 89p samt Überschrift, § 89q, § 91b Abs. 4 und § 91d Abs. 3 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft. Die §§ 84, 85 und 85a in der Fassung dieses Bundesgesetzes sind auf Anträge anzuwenden, die nach dem 24. Mai 2018 angebracht werden; auf Anträge, die vor dem 25. Mai 2018 angebracht werden, sind die §§ 84 und 85 in der bisher geltenden Fassung weiterhin anzuwenden.“

Das Grundbuchsumstellungsgesetz, BGBl. Nr. 550/1980, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 30/2012, wird wie folgt geändert:

1. Nach § 6 wird folgender § 6a samt Überschrift eingefügt:

„Auskunftsrecht über Abfragen des Personenverzeichnisses

§ 6a. Das Bundesministerium für Verfassung, Reformen, Deregulierung und Justiz hat über Abfragen des Personenverzeichnisses aus der Grundstücksdatenbank durch Notare und Rechtsanwälte auf Antrag der von der Abfrage betroffenen Person Auskunft darüber zu erteilen, von wem und zu welchem Zeitpunkt die Abfrage durchgeführt wurde.“

2. § 30 wird folgender Abs. 10 angefügt:

„(10) § 6a samt Überschrift in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, tritt mit 25. Mai 2018 in Kraft und ist auf Abfragen anzuwenden, die nach dem 24. Mai 2018 durchgeführt wurden.“

Die Jurisdiktionsnorm, RGBl. Nr. 111/1895, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 130/2017, wird wie folgt geändert:

1. § 37 wird folgender Abs. 6 angefügt:

„(6) Wird einem Ersuchen auf Rechtshilfe eines inländischen Gerichts nicht oder nicht vollständig entsprochen oder entstehen sonstige Meinungsverschiedenheiten, so ist § 40 sinngemäß anzuwenden; zur Entscheidung ist das beiden Gerichten übergeordnete Gericht berufen.“

2. Nach § 37 wird folgender § 37a samt Überschrift eingefügt:

„Amtshilfe auf Ersuchen inländischer Verwaltungsbehörden

§ 37a. Gerichte sind nur insoweit zur Amtshilfe durch Übermittlung von Gerichtsakten oder von Teilen dieser an Verwaltungsbehörden verpflichtet, als die Übermittlung auf einer ausdrücklichen gesetzlichen Grundlage beruht und ihr nicht im konkreten Fall besondere Rechtsvorschriften entgegenstehen. Die ersuchende Behörde hat die gesetzliche Grundlage für die Übermittlung anzuführen.“

Die Notariatsordnung, RGBl. Nr. 75/1871, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 136/2017, wird wie folgt geändert:

1. Nach § 37 Abs. 3 wird folgender Abs. 3a eingefügt:

„(3a) Soweit dies das Recht des Notars auf Verschwiegenheit zur Sicherstellung des Schutzes der Partei oder der Rechte und Freiheiten anderer Personen oder der Durchsetzung zivilrechtlicher Ansprüche erfordert, kann sich die betroffene Person nicht auf die Rechte der Art. 12 bis 22 und Art. 34 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1 (im Folgenden: DSGVO), sowie des § 1 DSG berufen.“

2. § 55 Abs. 4 lautet:

„(4) Die elektronischen Abbilder der Identitätsnachweise der Parteien, notwendigen Zeugen, Dolmetscher und Vertrauenspersonen sowie die bei der Bestätigung der Identität nach Abs. 1 erhobenen Ausweis- und Urkundendaten sind vom Notar automationsunterstützt zu speichern oder auf andere geeignete Weise aufzubewahren.“

3. In § 82 Abs. 1 wird nach der Wortfolge „Identität der Parteien“ die Wortfolge „und die dabei erhobenen Ausweis- und Urkundendaten“ eingefügt.

4. In § 113 erhält die lit. f die Literabezeichnung „g)“.

5. Nach § 113 lit. e wird folgende lit. f eingefügt:

„f) für die Art der Feststellung der Identität der Parteien sowie die bei der Feststellung der Identität erhobenen Ausweis- und Urkundendaten;“

6. § 134 wird folgender Abs. 4 angefügt:

„(4) Die Notariatskammer ist ermächtigt, personenbezogene Daten der Mitglieder des jeweiligen Notariatskollegiums sowie sonstiger Dritter zu verarbeiten (Art. 4 Z 2 DSGVO), soweit dies zur Erfüllung der gesetzlichen Aufgaben der Notariatskammer notwendig ist.“

7. In § 140a Abs. 2 Z 11 wird die Wendung „Dienstleister (§ 4 Z 5 DSG 2000)“ durch die Wendung „Auftragsverarbeiter (Art. 4 Z 8 DSGVO)“ ersetzt.

8. § 140a wird folgender Abs. 3 angefügt:

„(3) Die Österreichische Notariatskammer ist ermächtigt, personenbezogene Daten der Notare und Notariatskandidaten sowie sonstiger Dritter zu verarbeiten (Art. 4 Z 2 DSGVO), soweit dies zur Erfüllung der gesetzlichen Aufgaben der Österreichischen Notariatskammer notwendig ist.“

9. In § 140b Abs. 1 Z 5 wird das Wort „und“ durch einen Beistrich ersetzt.

10. In § 140b Abs. 1 wird am Ende der Z 6 das Wort „und“ sowie nach Z 6 folgende Z 7 eingefügt:

  1. „7. das „Patientenverfügungsregister des österreichischen Notariats“ “

11. § 140b wird folgender Abs. 7 angefügt:

„(7) Bei Datenverarbeitungen zur Führung der Register nach Abs. 1 Z 1, 2 und 7, des Urkundenarchivs nach Abs. 1 Z 3 und des Verzeichnisses nach Abs. 1 Z 6 richten sich die sich aus Art. 12 bis 22 und Art. 34 DSGVO sowie die sich aus dem Recht auf Auskunft, Richtigstellung und Löschung nach § 1 DSG ergebenden Rechte und Pflichten sowie deren Durchsetzung nach den Vorschriften dieses Bundesgesetzes sowie der nach § 140a Abs. 2 Z 8 erlassenen Richtlinien, im Fall des Urkundenarchivs nach Abs. 1 Z 3 ferner nach den Vorschriften des § 91c GOG. Sonstige Rechte und Pflichten des Verantwortlichen für diese Datenverarbeitungen treffen die Österreichische Notariatskammer, soweit nicht in den im ersten Satz angeführten Vorschriften eine Zuständigkeit des einzelnen Notars angeordnet ist.“

12. Die §§ 140i und 140j erhalten die Paragraphenbezeichnungen „§ 140j.“ und „§ 140k.“.

13. Nach § 140h wird folgender § 140i eingefügt:

§ 140i. (1) Das „Patientenverfügungsregister des österreichischen Notariats“ dient der Registrierung von nach den Bestimmungen des Patientenverfügungs-Gesetzes errichteten Patientenverfügungen.

(2) Der Notar hat nach Maßgabe der technischen Voraussetzungen eine vor ihm errichtete oder sonst wirksam zustande gekommene Patientenverfügung auf Verlangen der Partei im Patientenverfügungsregister des österreichischen Notariats zu registrieren.

(3) Die Österreichische Notariatskammer hat die registrierten Daten dem Österreichischen Roten Kreuz im Fall einer an dieses gerichteten Anfrage einer zu einer medizinischen Behandlung befugten Person oder Einrichtung über das aufrechte Bestehen einer Patientenverfügung zu übermitteln oder bereitzustellen.

(4) Über ihr Ersuchen ist einer Partei im Weg eines Notars Einsicht in das Patientenverfügungsregister des österreichischen Notariats hinsichtlich aller ihre Person betreffenden aufrechten Registrierungen zu gewähren und ein Registerauszug darüber auszustellen.“

14. § 168 lautet:

§ 168. (1) Im Verfahren vor der Notariatskammer richten sich die sich aus Art. 12 bis 22 und Art. 34 DSGVO sowie die sich aus dem Recht auf Auskunft, Richtigstellung und Löschung nach § 1 DSG ergebenden Rechte und Pflichten sowie deren Durchsetzung nach dem II. Abschnitt des X. Hauptstücks dieses Bundesgesetzes.

(2) Eine Information oder Auskunft zum Verfahren kann soweit und solange aufgeschoben, eingeschränkt oder unterlassen werden, wie dies im Einzelfall zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von Standespflichtverletzungen unbedingt erforderlich und verhältnismäßig ist.“

15. § 189 wird folgender Abs. 8 angefügt:

„(8) § 37 Abs. 3a, § 55 Abs. 4, § 82 Abs. 1, § 113 lit. f und g, § 134 Abs. 4, § 140a Abs. 2 Z 11 und Abs. 3, § 140b Abs. 1 Z 5, 6 und 7 sowie Abs. 7, § 140i, § 140j, § 140k und § 168 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

Die Rechtsanwaltsordnung, RGBl. Nr. 96/1868, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 136/2017, wird wie folgt geändert:

1. Nach § 9 Abs. 3 wird folgender Abs. 3a eingefügt:

„(3a) Soweit dies das Recht des Rechtsanwalts auf Verschwiegenheit zur Sicherstellung des Schutzes der Partei oder der Rechte und Freiheiten anderer Personen oder der Durchsetzung zivilrechtlicher Ansprüche erfordert, kann sich die betroffene Person nicht auf die Rechte der Art. 12 bis 22 und Art. 34 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1 (im Folgenden: DSGVO), sowie des § 1 DSG berufen.“

2. § 10a wird folgender Abs. 8 angefügt:

„(8) Bei Datenverarbeitungen zur Führung der Treuhandeinrichtung richten sich die sich aus Art. 12 bis 22 und Art. 34 DSGVO sowie aus dem Recht auf Auskunft, Richtigstellung und Löschung nach § 1 DSG ergebenden Rechte und Pflichten sowie deren Durchsetzung nach den Vorschriften dieses Bundesgesetzes und den nach § 27 Abs. 1 lit. g erlassenen Richtlinien. Sonstige Rechte und Pflichten des Verantwortlichen für diese Datenverarbeitungen treffen die Rechtsanwaltskammer, soweit nicht in diesem Bundesgesetz oder in den nach § 27 Abs. 1 lit. g erlassenen Richtlinien eine Zuständigkeit des einzelnen Rechtsanwalts angeordnet ist.“

3. Nach § 23 Abs. 4 wird folgender Abs. 4a eingefügt:

„(4a) Die Rechtsanwaltskammer ist ermächtigt, personenbezogene Daten ihrer Mitglieder, allfälliger Anspruchsberechtigter oder Begünstigter aus der Versorgungseinrichtung der Rechtsanwaltskammer sowie sonstiger Dritter zu verarbeiten (Art. 4 Z 2 DSGVO), soweit dies zur Erfüllung der gesetzlichen Aufgaben der Rechtsanwaltskammer notwendig ist.“

4. § 36 Abs. 1 Z 5 lautet:

  1. „5. die Bereitstellung eines elektronischen Verzeichnisses der in die Listen der Rechtsanwaltskammern eingetragenen Rechtsanwälte („elektronisches Rechtsanwaltsverzeichnis“) sowie die Führung eines elektronischen Verzeichnisses für die Anwaltssignaturen, das im Rahmen des elektronischen Rechtsanwaltsverzeichnisses geführt werden kann und aus dem die Berechtigungen für die elektronischen Anwaltssignaturen ersichtlich sind; die Verzeichnisse müssen über die Website des Österreichischen Rechtsanwaltskammertags allgemein zugänglich sein;“

5. In § 36 Abs. 1 wird der Punkt am Ende der Z 6 durch einen Strichpunkt ersetzt und werden nach Z 6 folgende Z 7 bis 9 eingefügt:

  1. „7. die Erhebung personenbezogener Daten der Mitglieder der Rechtsanwaltskammern und allfälliger Anspruchsberechtigter oder Begünstigter aus den Versorgungseinrichtungen der Rechtsanwaltskammern sowie die Erfassung und Bereitstellung dieser Daten in einer Datenbank und deren Verwendung für die Zwecke der Versorgungseinrichtungen der Rechtsanwaltskammern;
  2. 8. die Führung eines „Patientenverfügungsregisters der österreichischen Rechtsanwälte“ für die Registrierung von nach den Bestimmungen des Patientenverfügungs-Gesetzes errichteten Patientenverfügungen und die Regelung der Voraussetzungen für die Registrierung und die allfällige Speicherung solcher Patientenverfügungen auf Verlangen der Partei sowie den Zugang zu und die Löschung von registrierten Daten einschließlich der Festlegung der zur Deckung des damit verbundenen Aufwands notwendigen Gebühren;
  3. 9. die Führung eines „Testamentsregisters der österreichischen Rechtsanwälte“ für die Registrierung von letztwilligen Verfügungen und ihres Verwahrungsorts durch einen Rechtsanwalt und die Regelung der Voraussetzungen für die Registrierung auf Verlangen der Partei sowie den Zugang und die Löschung von registrierten Daten einschließlich der Festlegung der zur Deckung des damit verbundenen Aufwands notwendigen Gebühren.“

6. Nach § 36 Abs. 1 wird folgender Abs. 1a eingefügt:

„(1a) Bei Datenverarbeitungen zur Führung des Archivs nach Abs. 1 Z 4 und der Register nach Abs. 1 Z 8 und 9 richten sich die sich aus Art. 12 bis 22 und Art. 34 DSGVO sowie aus dem Recht auf Auskunft, Richtigstellung und Löschung nach § 1 DSG ergebenden Rechte und Pflichten sowie deren Durchsetzung nach den Vorschriften dieses Bundesgesetzes sowie der nach § 37 Abs. 1 Z 7 erlassenen Richtlinien, im Fall des Archivs nach Abs. 1 Z 4 ferner nach den Vorschriften des § 91c GOG. Sonstige Rechte und Pflichten des Verantwortlichen für diese Datenverarbeitungen treffen den Österreichischen Rechtsanwaltskammertag, soweit nicht in den im ersten Satz angeführten Vorschriften eine Zuständigkeit des einzelnen Rechtsanwalts angeordnet ist.“

7. § 36 wird folgender Abs. 6 angefügt:

„(6) Der Österreichische Rechtsanwaltskammertag ist ermächtigt, personenbezogene Daten der Mitglieder der Rechtsanwaltskammern, allfälliger Anspruchsberechtigter oder Begünstigter aus den Versorgungseinrichtungen der Rechtsanwaltskammern sowie sonstiger Dritter zu verarbeiten (Art. 4 Z 2 DSGVO), soweit dies zur Erfüllung der gesetzlichen Aufgaben des Österreichischen Rechtsanwaltskammertags notwendig ist.“

8. In § 37 Abs. 1 Z 7 wird nach dem Klammerausdruck „(§ 91c GOG und § 91d GOG)“ die Wendung „ , des Patientenverfügungsregisters der österreichischen Rechtsanwälte, des Testamentsregisters der österreichischen Rechtsanwälte“ und nach dem Wort „Richtlinien“ die Wortfolge „für die Errichtung und Führung eines anwaltlichen Urkundenarchivs“ eingefügt.

9. § 60 wird folgender Abs. 10 angefügt:

„(10) § 9 Abs. 3a, § 10a Abs. 8, § 23 Abs. 4a, § 36 Abs. 1 Z 5 bis 9, Abs. 1a und Abs. 6 sowie § 37 Abs. 1 Z 7 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

Das Staatsanwaltschaftsgesetz, BGBl. Nr. 164/1986, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 28/2016, wird wie folgt geändert:

1. Nach § 34a Abs. 2 wird folgender Abs. 2a eingefügt:

„(2a) § 85 GOG gilt sinngemäß. Die Entscheidung über eine Beschwerde obliegt

  1. 1. wegen einer Verletzung durch ein Organ der Staatsanwaltschaft dem Einzelrichter des Landesgerichts (§ 31 Abs. 1 StPO),
  2. 2. wegen einer Verletzung durch ein Organ der Oberstaatsanwaltschaft dem Oberlandesgericht und
  3. 3. wegen einer Verletzung durch ein Organ der Generalprokuratur dem Obersten Gerichtshof.

    Das Verfahren richtet sich nach den Bestimmungen der StPO, sofern im Gerichtsorganisationsgesetz - GOG, RGBl. Nr. 217/1896, nichts anderes bestimmt ist.“

2. § 34a wird folgender Abs. 6 angefügt:

„(6) Im staatsanwaltschaftlichen Bereich sind das Bundesministerium für Verfassung, Reformen, Deregulierung und Justiz und die jeweils verfahrensführende Staatsanwaltschaft, die Oberstaatsanwaltschaft oder die Generalprokuratur als für die Verarbeitung von Daten Verantwortliche zu betrachten. Soweit den Verantwortlichen Rechte und Pflichten nach der StPO treffen, sind diese von der jeweils verfahrensführenden Staatsanwaltschaft, der Oberstaatsanwaltschaft oder der Generalprokuratur wahrzunehmen.“

3. § 42 wird folgender Abs. 20 angefügt:

„(20) § 34a Abs. 2a und 6 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, tritt mit 25. Mai 2018 in Kraft.“

Die Strafprozeßordnung 1975, BGBl. Nr. 631/1975, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 117/2017, wird wie folgt geändert:

1. Im Inhaltsverzeichnis wird der Eintrag „§ 74 Verwenden von Daten“ durch den Eintrag „§ 74 Verarbeitung personenbezogener Daten“ ersetzt.

2. Im Inhaltsverzeichnis wird im Eintrag zu § 75 vor dem Wort „Daten“ das Wort „personenbezogenen“ eingefügt.

3. In § 54 und in § 76 Abs. 4 wird jeweils das Klammerzitat „(§§ 1 Abs. 1, 8 und 9 DSG 2000)“ durch das Klammerzitat „(§ 1 Abs. 1 DSG)“ ersetzt.

4. Die Überschrift zu § 74 lautet:

„Verarbeitung personenbezogener Daten“

5. § 74 Abs. 1 lautet:

„(1) Kriminalpolizei, Staatsanwaltschaft und Gericht dürfen im Rahmen ihrer Aufgaben die hierfür erforderlichen personenbezogenen Daten verarbeiten. Soweit zum Verarbeiten personenbezogener Daten nichts anderes bestimmt wird, finden die Bestimmungen des Datenschutzgesetzes - DSG, BGBl. I Nr. 165/1999, Anwendung.“

6. § 74 Abs. 2 lautet:

„(2) Kriminalpolizei, Staatsanwaltschaft und Gericht haben beim Verarbeiten personenbezogener Daten den Grundsatz der Gesetz- und Verhältnismäßigkeit (§ 5) zu beachten. Jedenfalls haben sie schutzwürdige Interessen der betroffenen Personen an der Geheimhaltung zu wahren und vertraulicher Behandlung personenbezogener Daten Vorrang einzuräumen. Bei der Verarbeitung besonderer Kategorien (§ 39 DSG) und strafrechtlich relevanter personenbezogener Daten haben sie angemessene Vorkehrungen zur Wahrung der Geheimhaltungsinteressen der betroffenen Personen zu treffen.“

7. In der Überschrift zu § 75 wird die Wortfolge „von Daten“ durch die Wortfolge „personenbezogener Daten“ ersetzt.

8. § 75 Abs. 1 lautet:

„(1) Unrichtige, unvollständige oder entgegen den Bestimmungen dieses Gesetzes ermittelte personenbezogene Daten sind von Amts wegen oder auf Antrag der betroffenen Person unverzüglich richtig zu stellen, zu vervollständigen oder zu löschen. Behörden und Gerichte sind von der Berichtigung oder Löschung jener personenbezogenen Daten zu verständigen, die ihnen zuvor übermittelt worden sind (§ 76 Abs. 4). Überdies sind von der Berichtigung jene Behörden und öffentlichen Dienststellen des Bundes, der Länder und der Gemeinden sowie andere durch Gesetz eingerichtete Körperschaften und Anstalten des öffentlichen Rechts zu verständigen, von denen die zu berichtigenden Daten stammen.“

9. In § 75 Abs. 3 wird vor dem Wort „Daten“ das Wort „personenbezogenen“ eingefügt.

10. In § 75 Abs. 4 wird im ersten Satz das Wort „verwendet“ durch das Wort „verarbeitet“ ersetzt und im zweiten Satz vor dem Wort „Daten“ das Wort „personenbezogenen“ eingefügt.

11. In § 76 Abs. 4 Z 1 wird vor dem Wort „Daten“ das Wort „personenbezogene“ eingefügt.

12. § 77 Abs. 2 lautet:

„(2) Zum Zweck einer nicht personenbezogenen Auswertung für wissenschaftliche oder historische Forschungszwecke, statistische Zwecke oder vergleichbare, im öffentlichen Interesse liegende Untersuchungen können die Staatsanwaltschaften, die Leiter der Gerichte und das Bundesministerium für Verfassung, Reformen, Deregulierung und Justiz auf Ersuchen der Leiter anerkannter wissenschaftlicher Einrichtungen die Übermittlung personenbezogener Daten durch Erteilung von Auskünften, Einsicht in Akten eines Verfahrens und Herstellung von Abschriften (Ablichtungen) bewilligen, soweit

  1. 1. eine Pseudonymisierung personenbezogener Daten nicht oder nur mit einem unverhältnismäßigen Aufwand möglich ist und
  2. 2. das öffentliche Interesse an der Forschungsarbeit das schutzwürdige Geheimhaltungsinteresse der betroffenen Personen (§ 1 Abs. 1 DSG) erheblich überwiegt.

    §§ 43 und 44 DSG sind nicht anwendbar.“

13. In § 117 Z 1 wird das Klammerzitat „(§ 4 Z 1 DSG 2000)“ durch das Klammerzitat „(§ 36 Abs. 2 Z 1 DSG)“ ersetzt.

14. In § 141 Abs. 1 wird das Klammerzitat „(§ 4 Z 1 DSG 2000)“ durch das Klammerzitat „(§ 36 Abs. 2 Z 1 DSG)“ sowie jeweils das Wort „Datenanwendung“ durch das Wort „Datenverarbeitung“ ersetzt.

15. § 141 Abs. 4 erster Satz lautet:

„Besondere Kategorien personenbezogener Daten (§ 39 DSG) dürfen in einen Datenabgleich nicht einbezogen werden.“

16. In § 142 Abs. 2 wird in Z 2 die Wendung „Datenanwendung (§ 4 Z 7 DSG 2000)“ durch das Wort „Datenverarbeitung“ und in Z 3 die Wendung „Auftraggeber (§ 4 Z 4 DSG 2000)“ durch das Wort „Verantwortlichen“ ersetzt.

17. In § 143 Abs. 1 wird der Begriff „Auftraggeber“ durch den Begriff „Verantwortliche“, der Begriff „Datenanwendung“ jeweils durch den Begriff „Datenverarbeitung“ und die Zitierung „§§ 14 Abs. 2 Z 7 und Abs. 3 bis 4 DSG 2000“ durch die Zitierung „§ 50 Abs. 1 und 2 DSG“ ersetzt.

18. In § 143 Abs. 2 wird der Begriff „Auftraggeber“ durch den Begriff „Verantwortlichen“ ersetzt.

19. § 514 wird folgender Abs. 37 angefügt:

„(37) Die Einträge zu den §§ 74 und 75 im Inhaltsverzeichnis, § 54, die Überschrift zu § 74, § 74 Abs. 1 und 2, die Überschrift zu § 75, § 75 Abs. 1, 3 und 4, § 76 Abs. 4, § 77 Abs. 2, § 117 Z 1, § 141 Abs. 1 und 4, § 142 Abs. 2 Z 2 und 3 sowie § 143 Abs. 1 und 2 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

Das Bundesgesetz vom 3. Juli 1968 über die Evidenthaltung strafgerichtlicher Verurteilungen (Strafregistergesetz 1968), BGBl. Nr. 277/1968, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 107/2014, wird wie folgt geändert:

1. § 1 Abs. 2 lautet:

„(2) Die Führung des Strafregisters obliegt der Landespolizeidirektion Wien als Verantwortliche gemäß Art. 4 Z 7 in Verbindung mit Art. 24 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1.“

2. § 1 wird folgender Abs. 3 angefügt:

„(3) Der Bundesminister für Inneres übt die Funktion des Auftragsverarbeiters gemäß Art. 4 Z 8 iVm Art. 28 Abs. 1 der Datenschutz-Grundverordnung aus. Er ist in dieser Funktion verpflichtet, die Datenschutzpflichten gemäß Art. 28 Abs. 3 lit. a bis h Datenschutz-Grundverordnung wahrzunehmen. Zudem ist er berechtigt, weitere Auftragsverarbeiter in Anspruch zu nehmen.“

3. § 8 Abs. 1 und 2 lautet:

„(1) Die Rechte gemäß Art. 16, 17 und 18 Datenschutz-Grundverordnung können nur derart ausgeübt werden, dass jede Person, hinsichtlich der eine Verurteilung, eine sich darauf beziehende Entschließung des Bundespräsidenten oder eine sonstige sich darauf beziehende Entscheidung, Verfügung oder Mitteilung in das Strafregister aufgenommen oder nicht aufgenommen worden ist, die Feststellung beantragen kann, dass die Aufnahme in das Strafregister unrichtig erfolgte oder unzulässig war und daher mit einem anderen Inhalt zu erfolgen hat oder rückgängig zu machen ist, dass sie hätte erfolgen müssen oder dass die Verurteilung getilgt ist. Dies gilt nicht für Einträge gemäß § 2 Abs. 1 Z 9.

(2) Der Antrag gemäß Abs. 1 ist bei der Landespolizeidirektion Wien einzubringen, die hierüber zu entscheiden hat.“

4. § 8 wird folgender Abs. 5 angefügt:

„(5) Hinsichtlich der Verarbeitung personenbezogener Daten nach diesem Bundesgesetz besteht kein Widerspruchsrecht gemäß Art. 21 der Datenschutz-Grundverordnung. Darüber sind die Betroffenen in geeigneter Weise zu informieren.“

5. Nach § 9 Abs. 1 Z 2 werden folgende Z 2a und 2b eingefügt:

  1. „2a. Behörden eines Mitgliedstaates der Europäischen Union für sonstige Zwecke, sofern Gegenseitigkeit besteht,
  2. 2b. allen ausländischen Behörden nach Maßgabe der Bestimmungen des Kapitels V der Datenschutz-Grundverordnung,“

6. § 9a Abs. 1 Z 5 lautet:

  1. „5. Gerichten, Staatsanwaltschaften und Sicherheitsbehörden eines Mitgliedstaates der Europäischen Union in Strafverfahren sowie“

7. Nach § 9a Abs. 1 Z 5 wird folgende Z 6 eingefügt:

  1. „6. anderen ausländischen Gerichten, Staatsanwaltschaften und Sicherheitsbehörden in Strafverfahren nach Maßgabe der Bestimmungen des Kapitels V der Datenschutz-Grundverordnung“

8. § 10 Abs. 1a letzter Satz entfällt.

9. § 10 Abs. 4 lautet:

„(4) Auskünfte gemäß Art. 15 der Datenschutz-Grundverordnung ergehen in Form einer Strafregisterbescheinigung.“

10. § 10a Abs. 1 zweiter Satz lautet:

„Auf Verlangen des Antragstellers hat sie die Landespolizeidirektion Wien darüber hinaus zwecks Abfragen aus dem Strafregister des Herkunftsstaates des Antragstellers mittels Formulars laut Anhang IX zum EU-JZG durch die Zentralbehörde des Herkunftsstaates des Antragstellers zu befassen.“

11. In § 10a Abs. 3 wird der Begriff „angefragten“ durch den Begriff „abgefragten“ ersetzt.

12. In § 10b Abs. 1 wird der Begriff „Information“ durch den Begriff „Abfrage“ ersetzt.

13. In § 10b Abs. 2 wird der Begriff „Informationen“ durch den Begriff „Abfragen“ ersetzt.

14. In § 11 Abs. 6 wird der Begriff „verwendet“ durch den Begriff „verarbeitet“ und der Begriff „angefragt“ durch den Begriff „abgefragt“ ersetzt.

15. Die Überschrift zu § 12 lautet:

„Aufbewahrung und Löschung von Strafregisterdaten“

16. Dem Text des § 12 wird die Absatzbezeichnung „(1)“ vorangestellt; folgender Abs. 2 wird angefügt:

„(2) § 50 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999, gilt mit der Maßgabe, dass Protokolldaten drei Jahre lang aufzubewahren sind.“

17. § 13a samt Überschrift lautet:

„Übermittlung von Strafregisterdaten zu wissenschaftlichen Zwecken

§ 13a. (1) Die Landespolizeidirektion Wien hat über die Bestimmungen der §§ 9, 9a und 10 hinaus, soweit dies mit den Grundsätzen einer sparsamen, wirtschaftlichen und zweckmäßigen Verwaltung vereinbar ist, und nach Maßgabe der technischen Erfordernisse der Führung des Strafregisters den inländischen Hochschulen und den Bundesministerien auf Verlangen im Strafregister enthaltene Daten zur Auswertung bei nicht personenbezogenen wissenschaftlichen Arbeiten zu übermitteln.

(2) Soweit im Strafregister gespeicherte personenbezogene Daten zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken übermittelt werden, kommt dem Betroffenen das Recht gemäß Art. 15 der Datenschutz-Grundverordnung nicht zu.“

18. § 14 wird folgender Abs. 14 angefügt:

„(14) § 1 Abs. 2 und 3, § 8 Abs. 1, 2 und 5, § 9 Abs. 1 Z 2a und 2b, § 9a Abs. 1 Z 5 und 6, § 10 Abs. 1a und 4, § 10a Abs. 1 und 3, § 10b Abs. 1 und 2, § 11 Abs. 6, § 12 samt Überschrift, § 13a samt Überschrift sowie § 14a Abs. 1 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

19. In § 14a Abs. 1 wird der Begriff „Mitteilungen“ durch den Begriff „Übermittlungen“ ersetzt.

Das Strafvollzugsgesetz, BGBl. Nr. 144/1969, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 26/2016, wird wie folgt geändert:

1. In den §§ 9 Abs. 5, 10 Abs. 1, 13, 14 Abs. 1 und 3, 14a Abs. 1, Abs. 2 Z 2 und Abs. 3, 15c Abs. 1, 16a Abs. 1 Z 2 und 3, 24 Abs. 3, 52 Abs. 2, 69 Abs. 1, 78 Abs. 1 und 2, 80 Abs. 2, 84 Abs. 1 und 3, 97, 101 Abs. 2 und 3, 106 Abs. 3, 116 Abs. 1, 121 Abs. 5, 121b Abs. 4, 134 Abs. 1 und 6, 135 Abs. 2, 161 sowie 179a Abs. 1 und 3 werden jeweils vor dem Wort „Justiz“ die Worte „Verfassung, Reformen, Deregulierung und“ eingefügt.

2. § 15a lautet:

§ 15a. (1) Die Vollzugsverwaltung kann sich für Zwecke des Strafvollzuges der automationsunterstützten Datenverarbeitung bedienen. Für diese Zwecke dürfen die zuständigen Stellen auch personenbezogene, einschließlich der in § 39 Datenschutzgesetz - DSG, BGBl. I Nr. 165/1999, genannten Daten über Insassen der Justizanstalten automationsunterstützt verarbeiten, soweit sich diese Daten auf strafbare Handlungen der Insassen oder auf ihre vollzugsrelevanten Lebensumstände in und außerhalb der Justizanstalt beziehen, die Verarbeitung dieser Daten in den Fällen des § 38 DSG erforderlich, in den Fällen des § 39 DSG unbedingt erforderlich und in beiden Fällen verhältnismäßig ist und wirksame Maßnahmen zum Schutz der Rechte und Freiheiten der betroffenen Personen getroffen werden.

(2) Die Vollzugsverwaltung darf auch personenbezogene Daten (§§ 38, 39 DSG)

  1. 1. von Personen, die im Rahmen der Seelsorge (§ 85) oder des Verkehrs mit der Außenwelt (§§ 86 bis 100) mit Insassen verkehren oder die Anstalt nach § 101 Abs. 2 betreten,
  2. 2. von Unternehmern, die mit der Vollzugsverwaltung in vollzugs- (§ 46) oder privatwirtschaftlichem Kontakt stehen,
  3. 3. von Opfern, insbesondere zur Gewährleistung der Verständigungspflicht nach § 149 Abs. 5,
  4. 4. von Personen, die im begründeten Verdacht stehen, eine Verwaltungsübertretung nach § 180a oder eine strafbare Handlung nach § 300 StGB begangen zu haben, sowie
  5. 5. von Personen, mit denen der Strafgefangene im Rahmen des elektronisch überwachten Hausarrests in Kontakt tritt,

    automationsunterstützt verarbeiten, soweit dies in den Fällen des § 38 DSG erforderlich, in den Fällen des § 39 DSG unbedingt erforderlich und in beiden Fällen verhältnismäßig ist und wirksame Maßnahmen zum Schutz der Rechte und Freiheiten der betroffenen Personen getroffen werden.

(3) Das Bundesministerium für Verfassung, Reformen, Deregulierung und Justiz (§ 13) und die Vollzugsbehörden erster Instanz (§ 11) sind gemeinsame Verantwortliche (§ 47 DSG). Die Pflichten des Verantwortlichen nach den §§ 46, 52 und 54 DSG werden für die zentralen, vom Bundesministerium für Verfassung, Reformen, Deregulierung und Justiz vorgegeben Datenanwendungen von diesem, für andere im Verzeichnis der Verarbeitungstätigkeiten der Vollzugsbehörde erster Instanz aufgenommene Datenverarbeitungen von den Vollzugsbehörden erster Instanz wahrgenommen. Das Verzeichnis der Verarbeitungstätigkeiten (§ 49 DSG) wird für die zentralen Datenanwendungen vom Bundesministerium für Verfassung, Reformen, Deregulierung und Justiz und im Übrigen bei den Vollzugsbehörden erster Instanz geführt. Die Wahrnehmung der Rechte nach den §§ 42 bis 45 DSG der betroffenen Personen gemäß Abs. 1 und 2 obliegt den Vollzugsbehörden erster Instanz für die in ihrem Verzeichnis der Verarbeitungstätigkeiten aufgenommenen Datenverarbeitungen.

(4) Die Vollzugsverwaltung kann nach Maßgabe des § 48 DSG zur Datenverarbeitung einen Auftragsverarbeiter (§ 36 Abs. 9 Z 9 DSG) heranziehen, soweit dies der Einfachheit, Zweckmäßigkeit und Kostenersparnis dient.

(5) Die Übermittlung von Daten im Sinne der Abs. 1 und 2 durch den Auftragsverarbeiter an andere Rechtsträger ist nur auf Grund einer Weisung eines Verantwortlichen (§ 48 Abs. 6 DSG) zulässig.“

3. § 15b samt Überschrift lautet:

„Datenverkehr und Datenverarbeitung

§ 15b. (1) Die Übermittlung von Daten gemäß § 15a Abs. 1 und 2 zwischen Vollzugsbehörden untereinander sowie zwischen Vollzugsbehörden und Gerichten, Staatsanwaltschaften, Sicherheitsbehörden und Einrichtungen der Bewährungshilfe sowie anderen Stellen, mit denen die Vollzugsbehörden kraft Gesetzes oder kraft Vereinbarung Daten auszutauschen haben, hat nach Maßgabe der technischen Möglichkeiten und unter Bedachtnahme auf die wirtschaftliche Vertretbarkeit automationsunterstützt zu erfolgen. Vor jeder Übermittlung personenbezogener Daten ist deren Richtigkeit, Vollständigkeit, Aktualität und Zuverlässigkeit soweit als möglich zu überprüfen.

(2) Die in Abs. 1 genannten Stellen sind ermächtigt, personenbezogene Daten, die sie rechtmäßig verarbeitet haben, auch für einen anderen in § 36 Abs. 1 DSG angeführten Verwendungszweck zu verarbeiten, sofern die Voraussetzungen der §§ 38 und 39 DSG erfüllt sind.

(3) Wird eine Person, die polizeilich angehalten wird, einer Justizanstalt überstellt (eingeliefert), dann hat die Sicherheitsbehörde alle personenbezogene Daten nach Maßgabe des Abs. 1 an die Justizanstalt zu übermitteln, die dort zum Vollzug benötigt werden.

(4) Wird eine Person, die von einer Justizanstalt angehalten wird, an eine Sicherheitsbehörde übergeben, dann hat die Justizanstalt alle personenbezogene Daten nach Maßgabe des Abs. 1 an die Sicherheitsbehörde zu übermitteln, die dort zum Vollzug benötigt werden.

(5) Die Vollzugsbehörden dürfen Daten gemäß § 15a Abs. 1 und 2 nach Maßgabe des Abs. 1 sowie unter sinngemäßer Anwendung des § 77 Abs. 2 StPO auch für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke übermitteln.“

4. Dem § 15c wird folgender Abs. 5 angefügt:

„(5) In den Fällen des § 15a Abs. 2 Z 1 bis 3 sind die Daten der betroffenen Personen, die keine Insassen sind, drei Jahre, mit Zustimmung der Betroffenen fünf Jahre nach dem letzten Kontakt zur Vollzugsbehörde von Amts wegen oder auf Antrag zu löschen, in den Fällen des § 15a Abs. 2 Z 4 zehn Jahre nach dem letzten Kontakt zur Vollzugsbehörde.“

5. In den §§ 18a Abs. 3, 99 Abs. 5a und 156b Abs. 2 wird jeweils die Bezeichnung „Die Bundesministerin für Justiz“ durch die Bezeichnung „Der Bundesminister für Verfassung, Reformen, Deregulierung und Justiz“ ersetzt.

6. In § 156b Abs. 3 wird die Bezeichnung „der Bundesministerin für Justiz“ durch die Bezeichnung „des Bundesministers für Verfassung, Reformen, Deregulierung und Justiz“ ersetzt.

7. In § 181 erhält der durch das Bundesgesetz BGBl. I Nr. 26/2016 angefügte Abs. 27 die Absatzbezeichnung „(28)“; folgender Abs. 29 wird angefügt:

„(29) Die §§ 9 Abs. 5, 10 Abs. 1, 13, 14 Abs. 1 und 3, 14a Abs. 1, Abs. 2 Z 2 und Abs. 3, 15a, 15b samt Überschrift, 15c Abs. 1 und 5, 16a Abs. 1 Z 2 und 3, 18a Abs. 3, 24 Abs. 3, 52 Abs. 2, 69 Abs. 1, 78 Abs. 1 und 2, 80 Abs. 2, 84 Abs. 1 und 3, 97, 99 Abs. 5a, 101 Abs. 2 und 3, 106 Abs. 3, 116 Abs. 1, 121 Abs. 5, 121b Abs. 4, 134 Abs. 1 und 6, 135 Abs. 2, 156b Abs. 2 und 3, 161, 179a Abs. 1 und 3 sowie 182 samt Überschrift in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

8. § 182 wird durch folgenden § 182 samt Überschrift ersetzt:

„Vollziehung

§ 182. Mit der Vollziehung dieses Bundesgesetzes ist der Bundesminister für Verfassung, Reformen, Deregulierung und Justiz betraut. Der Bundesminister für Verfassung, Reformen, Deregulierung und Justiz hat bei der Vollziehung der §§ 44 bis 55, 66 bis 84 und 164 bis 170 das Einvernehmen mit der Bundesministerin für Arbeit, Soziales, Gesundheit und Konsumentenschutz zu pflegen.“

Die Zivilprozessordnung, RGBl. Nr. 113/1895, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 59/2017, wird wie folgt geändert:

In § 219 Abs. 2 wird die Wendung „im Sinne des § 26 Abs. 2 erster Satz DSG 2000“ durch die Wendung „im Sinne des Art. 23 Abs. 1 DSGVO“ ersetzt.

Art. 107 (JN) und Art. 114 (ZPO) in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft. § 37 Abs. 6 und § 37a JN sind in dieser Fassung auf Ersuchen anzuwenden, die nach dem 24. Mai 2018 gestellt werden.

(1) Art. 103, 104, 105, 106, 107, 108, 109, 112 und 114 dieses Bundesgesetzes dienen der Durchführung der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1.

(2) Art. 101, 102, 110, 111 und 113 dieses Bundesgesetzes dienen der Umsetzung der Richtlinie (EU) 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, ABl. Nr. L 119 vom 4.5.2016 S. 89.

Landesverteidigung

Das Wehrgesetz 2001 (WG 2001), BGBl. I Nr. 146/2001, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 65/2015 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Im Inhaltsverzeichnis lautet der Eintrag zu § 55a:

„§ 55a. Verarbeitung personenbezogener Daten“

2. § 38 Abs. 2 entfällt.

3. § 39 Abs. 1 Z 5 lautet:

  1. „5. § 37 Abs. 3, § 38 Abs. 4 und 5 vierter Satz sowie § 38a Abs. 4 über den Ausbildungsdienst.“

4. § 55 Abs. 2 entfällt.

5. Die Überschrift zu § 55a lautet:

„Verarbeitung personenbezogener Daten“

6. § 55a Abs. 1 wird durch folgende Abs. 1 und 1a ersetzt:

„(1) Der Bundesminister für Landesverteidigung und die sonstigen mit der Vollziehung dieses Bundesgesetzes betrauten Behörden dürfen zur Wahrnehmung der ihnen jeweils nach diesem Bundesgesetz übertragenen Aufgaben personenbezogene Daten von Wehrpflichtigen und anderen Personen, die für eine Wehrdienstleistung in Betracht kommen, sowie von sonstigen Personen, deren Daten im Rahmen eines Verwaltungsverfahrens nach diesem Bundesgesetz benötigt werden, verarbeiten. Dabei kommen folgende Daten in Betracht, sofern diese zur jeweiligen Aufgabenerfüllung erforderlich sind:

  1. 1. Grunddaten (Vor- und Familienname, Titel und akademische Grade, Familienstand, Geburtsdatum, Geschlecht, Hauptwohnsitz, bereichsspezifische Personenkennzeichen - bPK, Kontaktdaten, Bankverbindungsdaten, Staatsbürgerschaften, Namen und Adresse der gesetzlichen Vertreter sowie nach ausdrücklicher Einwilligung der betroffenen Person das Religionsbekenntnis).
  2. 2. Gesundheitsdaten zur Feststellung der Eignung zum Wehrdienst oder der Dienstfähigkeit während der Leistung eines Wehrdienstes.
  3. 3. Daten über Ausbildung, Beruf und Fachkenntnisse, insbesondere Schul- und Berufsbildung, ausgeübter Beruf sowie zivile Kenntnisse und Fähigkeiten.
  4. 4. Daten über Einkommen, Unterhaltsverpflichtungen und Wohnsituation, insbesondere Name und Adresse des Arbeitgebers, Art des Dienstverhältnisses bzw. der selbständigen Erwerbstätigkeit, Brutto- und Nettoeinkommen, Wohnkosten, Unterkunftgeber, Unterhaltsberechtigte und mitversicherte Angehörige.
  5. 5. Militärspezifische Daten, insbesondere Grundbuchnummer, Dienstgrad, militärische Berechtigungen und Befähigungen, Einteilung in der Einsatzorganisation, In- und ausländische Militärdienstzeiten, Beförderungen und Degradierungen, Daten über die Verlässlichkeit sowie verliehene Orden und Ehrenzeichen.

(1a) Die Ergebnisse medizinischer und psychologischer Untersuchungen, denen Personen zur Feststellung ihrer Eignung zum Präsenz- oder Ausbildungsdienst unterzogen wurden, dürfen, sofern diese zur jeweiligen Aufgabenerfüllung erforderlich sind und soweit gesetzlich nicht anderes bestimmt ist, nur übermittelt werden

  1. 1. an andere Behörden und Dienststellen innerhalb des Vollziehungsbereiches des Bundesministers für Landesverteidigung,
  2. 2. an die Untersuchten selbst und
  3. 3. mit schriftlicher Einwilligung der Untersuchten an sonstige Behörden, Einrichtungen und Personen, diesfalls jedoch ausschließlich für Zwecke der gesundheitlichen Betreuung der jeweiligen Untersuchten.

    Diese Bestimmungen gelten auch für alle Ergebnisse medizinischer und psychologischer Untersuchungen, denen Personen während des Präsenz- oder Ausbildungsdienstes durch militärische Dienststellen oder auf deren Veranlassung unterzogen werden.“

7. Nach § 60 Abs. 2o wird folgender Abs. 2p eingefügt:

„(2p) Das Inhaltsverzeichnis betreffend den Eintrag zu § 55a, § 39 Abs. 1 Z 5, die Überschrift zu § 55a sowie § 55a Abs. 1 und 1a, jeweils in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

8. Dem § 60 wird folgender Abs. 12 angefügt:

„(12) Mit Ablauf des 24. Mai 2018 treten § 38 Abs. 2 und § 55 Abs. 2 außer Kraft.“

Das Heeresdisziplinargesetz 2014 (HDG 2014), BGBl. I Nr. 2/2014, zuletzt geändert durch die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. § 11 Abs. 2 lautet:

„(2) Der Bundesminister für Landesverteidigung und die sonstigen mit der Vollziehung dieses Bundesgesetzes betrauten Behörden dürfen zur Wahrnehmung der ihnen jeweils nach diesem Bundesgesetz übertragenen Aufgaben neben personenbezogenen Daten nach § 55a Abs. 1 WG 2001 auch personenbezogene Daten über Verwaltungsstrafverfahren und Strafverfahren nach der Strafprozessordnung 1975 von Personen nach § 1 sowie von sonstigen Personen, deren Daten im Rahmen eines Disziplinarverfahrens nach diesem Bundesgesetz benötigt werden, verarbeiten, sofern die jeweiligen Daten zur Aufgabenerfüllung erforderlich sind.“

2. Dem Text des § 89 wird die Absatzbezeichnung „(1)“ vorangestellt; folgender Abs. 2 wird angefügt:

„(2) § 11 Abs. 2 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, tritt mit 25. Mai 2018 in Kraft. § 89 Abs. 1 in der Fassung des genannten Bundesgesetzes tritt mit dem auf die Kundmachung folgenden Tag in Kraft.“

Das Heeresgebührengesetz 2001 (HGG 2001), BGBl. I Nr. 31/2001, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 65/2015 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. § 51 Abs. 2 lautet:

„(2) Der Bundesminister für Landesverteidigung und die sonstigen mit der Vollziehung dieses Bundesgesetzes betrauten Behörden dürfen zur Wahrnehmung der ihnen jeweils nach diesem Bundesgesetz übertragenen Aufgaben personenbezogene Daten nach § 55a Abs. 1 WG 2001 von Anspruchsberechtigten und anderen Personen, deren Daten im Rahmen eines Verwaltungsverfahrens nach diesem Bundesgesetz benötigt werden, verarbeiten, sofern die jeweiligen Daten zur Aufgabenerfüllung erforderlich sind.“

2. Nach § 60 Abs. 2q wird folgender Abs. 2r eingefügt:

„(2r) § 51 Abs. 2 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, tritt mit 25. Mai 2018 in Kraft.“

Das Auslandseinsatzgesetz 2001 (AuslEG 2001), BGBl. I Nr. 55/2001, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 181/2013 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. In § 6a Abs. 2 Z 1 und Abs. 3 wird das Wort „Verwendung“ jeweils durch das Wort „Verarbeitung“ ersetzt.

2. § 7 Abs. 2 lautet:

„(2) Der Bundesminister für Landesverteidigung und die sonstigen mit der Vollziehung dieses Bundesgesetzes betrauten Behörden dürfen zur Wahrnehmung der ihnen jeweils nach diesem Bundesgesetz übertragenen Aufgaben personenbezogene Daten nach § 55a Abs. 1 Z 1 bis 3 und 5 WG 2001 von Personen nach Abs. 1 verarbeiten, sofern die jeweiligen Daten zur Aufgabenerfüllung erforderlich sind.“

3. Nach § 11 Abs. 2j wird folgender Abs. 2k eingefügt:

„(2k) § 6a Abs. 2 Z 1 und Abs. 3 sowie § 7 Abs. 2, jeweils in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

Das Militärbefugnisgesetz (MBG), BGBl. I Nr. 86/2000, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 181/2013 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Im Inhaltsverzeichnis wird nach dem Eintrag zu § 5 folgender Eintrag eingefügt:

„§ 5a. Verarbeitung personenbezogener Daten“

2. Im Inhaltsverzeichnis lautet der Eintrag zu § 15:

„§ 15. Bildverarbeitung“

3. Im Inhaltsverzeichnis lautet der Eintrag zu § 22:

„§ 22. Besondere Datenverarbeitung“

4. § 1 Abs. 6 lautet:

„(6) Daten nach diesem Bundesgesetz sind sämtliche personenbezogenen Daten im Sinne des § 36 Abs. 2 Z 1 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999.“

5. Nach § 5 wird folgender § 5a samt Überschrift eingefügt:

„Verarbeitung personenbezogener Daten

§ 5a. Der Bundesminister für Landesverteidigung und die sonstigen mit der Vollziehung dieses Bundesgesetzes betrauten Behörden sowie der Rechtsschutzbeauftragte dürfen zur Wahrnehmung der ihnen jeweils nach diesem Bundesgesetz übertragenen Aufgaben personenbezogene Daten nach § 55a Abs. 1 Z 1 und 3 bis 5 WG 2001 verarbeiten, sofern die jeweiligen Daten zur Erfüllung einer Aufgabe oder zur Ausübung einer Befugnis nach diesem Bundesgesetz erforderlich sind.“

6. § 15 samt Überschrift lautet:

„Bildverarbeitung

§ 15. (1) Die Datenermittlung mit Bildübertragungs- und Bildaufzeichnungsgeräten (Bildverarbeitung) ist zulässig, wenn dies für Zwecke des Wachdienstes erforderlich ist.

(2) Auf eine Bildverarbeitung nach Abs. 1 ist nach Maßgabe der jeweiligen besonderen örtlichen und militärischen Verhältnisse in geeigneter Form hinzuweisen. Ein derartiger Hinweis kann entfallen, wenn dies aus Gründen der militärischen Sicherheit unerlässlich ist.“

7. Die Überschrift zu § 22 lautet:

„Besondere Datenverarbeitung“

8. § 22 Abs. 1 lautet:

„(1) Militärische Organe und Dienststellen, die mit der nachrichtendienstlichen Aufklärung oder Abwehr betraut sind, dürfen neben personenbezogenen Daten nach § 5a auch weitere besondere Kategorien personenbezogener Daten im Sinne des § 39 DSG verarbeiten, soweit dies zur Erfüllung der Aufgaben der nachrichtendienstlichen Aufklärung oder Abwehr unbedingt erforderlich und verhältnismäßig ist. Dabei sind angemessene Vorkehrungen zur Wahrung der Geheimhaltungsinteressen der Betroffenen zu treffen. Dabei kann die Unterrichtung der betroffenen Person auch nach den §§ 43 Abs. 1 und 45 Abs. 4 DSG soweit und solange aufgeschoben, eingeschränkt oder unterlassen werden, wie dies im Einzelfall zur Erfüllung einer Aufgabe oder zur Ausübung einer Befugnis unbedingt erforderlich und verhältnismäßig ist.“

9. Im § 24 Abs. 1 und im § 25 Abs. 3 Z 1 wird das Wort „Zustimmung“ jeweils durch das Wort „Einwilligung“ ersetzt.

10. § 26 Abs. 4 sowie § 31 Abs. 3 entfallen.

11. Im § 54 Abs. 4 wird das Wort „Datenverwendung“ durch das Wort „Datenverarbeitung“ ersetzt.

12. § 57 Abs. 6 lautet:

„(6) Nimmt der Rechtsschutzbeauftragte wahr, dass durch das Verarbeiten von Daten Rechte eines Betroffenen verletzt worden sind, der von dieser Datenverarbeitung keine Kenntnis hat, so ist er befugt,

  1. 1. den Betroffenen zu informieren oder
  2. 2. eine Beschwerde nach § 54 Abs. 4 an die Datenschutzbehörde zu erheben.

    Eine Beschwerde nach Z 2 ist nur zulässig, wenn das Wissen des Betroffenen um die Existenz oder den Inhalt des Datensatzes die Sicherung der Einsatzbereitschaft des Bundesheeres oder die Interessen der umfassenden Landesverteidigung gefährden oder erheblich behindern würde und eine Information nach Z 1 daher nicht erfolgen kann. In einem Verfahren vor der Datenschutzbehörde nach Z 2 ist auf § 22 Abs. 1 sowie auf § 43 Abs. 4 DSG betreffend die Einschränkungen des Auskunftsrechtes Bedacht zu nehmen.“

13. Nach § 61 Abs. 1k wird folgender Abs. 1l eingefügt:

„(1l) Das Inhaltsverzeichnis betreffend die Einträge zu den §§ 5a, 15 und 22, § 1 Abs. 6, § 5a samt Überschrift, § 15 samt Überschrift, die Überschrift zu § 22, § 22 Abs. 1, § 24 Abs. 1, § 25 Abs. 3 Z 1, § 54 Abs. 4 sowie § 57 Abs. 6, jeweils in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

14. Im § 61 wird nach Abs. 3d folgender Abs. 3e eingefügt:

„(3e) § 26 Abs. 4 und § 31 Abs. 3 treten mit Ablauf des 24. Mai 2018 außer Kraft.“

Das Sperrgebietsgesetz 2002 (SperrGG 2002), BGBl. I Nr. 38/2002, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 181/2013 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. § 1 Abs. 4 lautet:

„(4) Der Bundesminister für Landesverteidigung und die sonstigen mit der Vollziehung dieses Bundesgesetzes betrauten Behörden dürfen im Zusammenhang mit der Errichtung eines Sperrgebietes sowie der Gestattung zum Betreten, Befahren, Fotografieren, Filmen und einer zeichnerischen Darstellung eines Sperrgebietes Grunddaten nach § 55a Abs. 1 Z 1 WG 2001 von Personen nach § 4 Abs. 2 und 3 verarbeiten, sofern die jeweiligen Daten zur Aufgabenerfüllung erforderlich sind.“

2. Dem § 7 wird folgender Abs. 7 angefügt:

„(7) § 1 Abs. 4 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, tritt mit 25. Mai 2018 in Kraft.“

Das Munitionslagergesetz 2003 (MunLG 2003), BGBl. I Nr. 9/2003, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 181/2013 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. § 1 Abs. 3 lautet:

„(3) Der Bundesminister für Landesverteidigung und die sonstigen mit der Vollziehung dieses Bundesgesetzes betrauten Behörden dürfen im Zusammenhang mit der Errichtung und Sicherung eines Munitionslagers Grunddaten nach § 55a Abs. 1 Z 1 WG 2001 von Personen, deren Daten im Rahmen eines Verwaltungsverfahrens nach diesem Bundesgesetz benötigt werden, verarbeiten, sofern die jeweiligen Daten zur Aufgabenerfüllung erforderlich sind.“

2. Dem § 18 wird folgender Abs. 7 angefügt:

„(7) § 1 Abs. 3 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, tritt mit 25. Mai 2018 in Kraft.“

Das Militärauszeichnungsgesetz 2002 (MAG 2002), BGBl. I Nr. 168/2002, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 181/2013 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. § 3 Abs. 4 lautet:

„(4) Der Bundesminister für Landesverteidigung und die sonstigen mit der Vollziehung dieses Bundesgesetzes betrauten Behörden dürfen im Zusammenhang mit der Verleihung oder Aberkennung einer militärischen Auszeichnung Grunddaten und militärspezifische Daten nach § 55a Abs. 1 Z 1 und 5 WG 2001 von Personen, die für eine militärische Auszeichnung in Betracht kommen oder denen eine militärische Auszeichnung verliehen wurde, verarbeiten, sofern die jeweiligen Daten zur Aufgabenerfüllung erforderlich sind.“

2. Nach § 18 Abs. 4e wird folgender Abs. 4f eingefügt:

„(4f) § 3 Abs. 4 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, tritt mit 25. Mai 2018 in Kraft.“

Das Verwundetenmedaillengesetz, BGBl. Nr. 371/1975, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 153/2013 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Nach § 4 Abs. 2 wird folgender Abs. 2a eingefügt:

„(2a) Der jeweils zuständige Bundesminister und die sonstigen mit der Vollziehung dieses Bundesgesetzes betrauten Behörden dürfen im Zusammenhang mit der Verleihung einer Verwundetenmedaille Grunddaten und Gesundheitsdaten nach § 55a Abs. 1 Z 1 und 2 WG 2001 von Personen, die für eine Verwundetenmedaille in Betracht kommen, verarbeiten, sofern die jeweiligen Daten zur Aufgabenerfüllung erforderlich sind.“

2. Dem § 6a wird folgender Abs. 5 angefügt:

„(5) § 4 Abs. 2a in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, tritt mit 25. Mai 2018 in Kraft.“

Das Truppenaufenthaltsgesetz (TrAufG), BGBl. I Nr. 57/2001, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 181/2013 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Nach § 5 wird folgender § 5a samt Überschrift eingefügt:

„Verarbeitung personenbezogener Daten

§ 5a. (1) Der Bundesminister für Landesverteidigung und die sonstigen mit der Vollziehung dieses Bundesgesetzes betrauten Behörden dürfen zur Wahrnehmung der ihnen jeweils nach diesem Bundesgesetz übertragenen Aufgaben Grunddaten nach § 55a Abs. 1 Z 1 WG 2001 von Personen nach § 1 Abs. 1 verarbeiten, sofern diese zur Aufgabenerfüllung erforderlich sind.

(2) Besondere Bestimmungen über die Verarbeitung von personenbezogenen Daten in völkerrechtlichen Vereinbarungen bleiben unberührt.“

2. Dem § 7 wird folgender Abs. 3 angefügt:

„(3) § 5a samt Überschrift in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, tritt mit 25. Mai 2018 in Kraft.“

Landwirtschaft und Umwelt

Das Abfallwirtschaftsgesetz 2002 (AWG 2002), BGBl. I Nr. 102/2002, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 70/2017 und die Bundesministeriengesetz-Novelle 2017 BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. § 21 Abs. 2c erster Satz lautet:

„Die Bundesministerin für Nachhaltigkeit und Tourismus ist ermächtigt, für Personen gemäß Abs. 2b und für Abfallersterzeuger, ausgenommen für private Haushalte, neben den Identifikationsnummern die abfallwirtschaftlichen Stammdaten (§ 22 Abs. 2) in den Registern gemäß § 22 Abs. 1 zu verarbeiten.“

2. § 22 Abs. 2 Einleitungsteil lautet:

„Folgende Stammdaten dürfen neben den zugehörigen Identifikationsnummern in den Registern gemäß Abs. 1 verarbeitet werden:“

3. § 22 Abs. 4 bis 5c lautet:

„(4) Die Bundesministerin für Nachhaltigkeit und Tourismus und die Landeshauptleute verarbeiten die Daten der Register als gemeinsam für die Verarbeitung Verantwortliche im Sinne des Art. 4 Z 7 in Verbindung mit Art. 26 der Verordnung (EU) Nr. 2016/697 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1 (im Folgenden: DSGVO). Die Bundesministerin für Nachhaltigkeit und Tourismus legt die im Rahmen des Betriebs, der Weiterentwicklung und der Wartung der Register erforderlichen technischen Maßnahmen fest. Für das Register gemäß Abs. 1 Z 2 ist die Umweltbundesamt Gesellschaft mit beschränkter Haftung (Umweltbundesamt) datenschutzrechtlicher Auftragsverarbeiter gemäß Art. 4 Z 8 in Verbindung mit Art. 28 Abs. 1 DSGVO. Bei Bedarf können auch andere Auftragsverarbeiter herangezogen werden. Auftragsverarbeiter sind verpflichtet, die Datenschutzpflichten gemäß Art. 28 Abs. 3 lit. a bis h DSGVO wahrzunehmen.

(5) Die Bundesministerin für Nachhaltigkeit und Tourismus ist ermächtigt, die Daten der Register im Rahmen ihrer Zuständigkeit zur Erfüllung ihrer Aufgaben im Rahmen ihres Wirkungsbereiches zu verarbeiten. Gleiches gilt für die Behörden und Organe, die Angelegenheiten aus dem Wirkungsbereich der Bundesministerin für Nachhaltigkeit und Tourismus in mittelbarer Bundesverwaltung vollziehen.

(5a) Der Bundesminister für Finanzen und die Zollämter sind ermächtigt, im Rahmen ihrer Zuständigkeit die zum Zweck der Einhebung der Altlastenbeiträge notwendigen Daten der Register in Abstimmung mit der Bundesministerin für Nachhaltigkeit und Tourismus zu verarbeiten.

(5b) Die Bundesministerin für Digitalisierung und Wirtschaftsstandort ist ermächtigt, im Rahmen ihrer Zuständigkeit in Angelegenheiten des Gewerbes und der Industrie, des Energiewesens sowie des Maschinen- und Kesselwesens für die Zwecke der Planung, der Nachvollziehbarkeit und der Plausibilitätsprüfung von Meldungen und Aufzeichnungen sowie der Erfüllung von Melde- und Berichtspflichten die Daten der Register zur Erfüllung ihrer Aufgaben in Abstimmung mit der Bundesministerin für Nachhaltigkeit und Tourismus zu verarbeiten. Gleiches gilt für die Behörden und Organe, die Angelegenheiten aus dem Wirkungsbereich der Bundesministerin für Digitalisierung und Wirtschaftsstandort vollziehen.

(5c) Die Bundesministerin für Arbeit, Soziales, Gesundheit und Konsumentenschutz ist ermächtigt, im Rahmen ihrer Zuständigkeit in Angelegenheiten des Veterinärwesens und der Nahrungsmittelkontrolle zum Zwecke der Nachvollziehbarkeit und der Plausibilitätsprüfung von Meldungen und Aufzeichnungen sowie der Erfüllung von Melde- und Berichtspflichten die Daten der Register zur Erfüllung ihrer Aufgaben zu verarbeiten. Gleiches gilt für die Behörden und Organe, die Angelegenheiten aus dem Wirkungsbereich der Bundesministerin für Arbeit, Soziales, Gesundheit und Konsumentenschutz in mittelbarer Bundesverwaltung vollziehen.“

4. § 22 Abs. 6 lautet:

„(6) Die Bundesministerin für Nachhaltigkeit und Tourismus ist ermächtigt, für Abfallersterzeuger, ausgenommen private Haushalte, für Transporteure, soweit sie Abfälle befördern, für nichtamtliche Sachverständige, für Gutachter und für befugte Fachpersonen oder Fachanstalten im Register gemäß § 22 Abs. 1 neben den Identifikationsnummern die abfallwirtschaftlichen Stammdaten gemäß Abs. 2 Z 1 bis 4, 10, 12 und 16 zu verarbeiten. Die Abfallersterzeuger, die Transporteure, die nichtamtlichen Sachverständigen, die Gutachter und die befugten Fachpersonen und Fachanstalten haben bei der Erfassung dieser Daten mitzuwirken.“

5. Dem § 22 werden folgende Abs. 8 bis 10 angefügt:

„(8) Soweit es sich um personenbezogene Daten der Register handelt, die die jeweilige betroffene Person nicht selbst abfragen oder ändern kann (§ 22b), obliegt die Erfüllung von Informations-, Auskunfts-, Berichtigungs-, Löschungs- und sonstigen Pflichten nach den Bestimmungen der DSGVO gegenüber der betroffenen Person jedem Verantwortlichen hinsichtlich jener Daten, die im Zusammenhang mit den von ihm geführten Verfahren oder den von ihm gesetzten Maßnahmen verarbeitet werden. Im Hinblick auf Daten der Register gemäß § 22 Abs. 1 Z 1, ausgenommen die Daten gemäß § 22a Abs. 1 lit. a, b und c, Abs. 3a und 4, ist die Bundesministerin für Nachhaltigkeit und Tourismus Anlaufstelle im Sinne des Art. 26 DSGVO für die betroffene Person.

(9) Das Recht gemäß Art. 16 DSGVO besteht nicht hinsichtlich einer Berichtigung, Aktualisierung oder Vervollständigung von personenbezogenen Daten, die in einer Meldung enthalten und für Kontrollaufgaben der Behörde erforderlich sind.

(10) Die Bundesministerin für Nachhaltigkeit und Tourismus darf die Daten der Register, die sie zu den in § 87 genannten Zwecken verarbeitet, auch zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken verarbeiten.“

6. Dem § 22b wird folgender Abs. 4 angefügt:

„(4) Die datenschutzrechtlich Verantwortlichen sind ermächtigt, Berichtigungen und Ergänzungen von Stammdaten von Amts wegen vorzunehmen. Die registrierte Person ist von rechtlich relevanten Datenanpassungen zu verständigen, nach Tunlichkeit auf elektronischem Wege.“

7. Im § 87 Abs. 1 wird das Wort „Auftraggeber“ jeweils durch die Wortfolge „datenschutzrechtlich Verantwortlichen“ ersetzt.

8. Dem § 91 wird folgender Abs. 35 angefügt:

„(35) § 21 Abs. 2c, § 22 Abs. 2, 4 bis 5c, 6 und 8 bis 10, § 22b Abs. 4 und § 87 Abs. 1 in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft.“

Das Weingesetz 2009, BGBl. I Nr. 111/2009, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 47/2016 und die Bundesministeriengesetz-Novelle 2017 BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Nach § 26 wird folgender § 26a samt Überschrift eingefügt:

„Datenschutzregelungen - Weindatenbank

§ 26a. (1) Die Bundesbehörden (Bundesministerium für Nachhaltigkeit und Tourismus, Höhere Bundeslehranstalt und Bundesamt für Wein- und Obstbau in Klosterneuburg, Bundesamt für Weinbau in Eisenstadt, Bundeskellereiinspektion) und die Landesbehörden gemäß § 24 sind als gemeinsam Verantwortliche gemäß Art. 4 Z 7 in Verbindung mit Art. 26 Abs. 1 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1, (im Folgenden: DSGVO) ermächtigt, folgende ermittelte Daten für die Zwecke der Führung einer automationsunterstützten Weindatenbank (Betriebskataster) im Bundesministerium für Nachhaltigkeit und Tourismus gemeinsam zu verarbeiten:

  1. 1. die Ernte- und Erzeugungsmeldungen,
  2. 2. die Bestandsmeldungen,
  3. 3. die Begleitpapiere,
  4. 4. die Mostwäger-Bestätigungen,
  5. 5. die Prüfnummernbescheide und
  6. 6. die ausgegebenen Banderolen.

(2) Die Erfüllung von Informations-, Auskunfts-, Berichtigungs-, Löschungs- und sonstigen Pflichten nach den Bestimmungen der DSGVO gegenüber dem Betroffenen obliegt jedem Verantwortlichen hinsichtlich jener Daten, die im Zusammenhang mit den von ihm geführten Verfahren oder den von ihm gesetzten Maßnahmen verarbeitet werden. Nimmt ein Betroffener ein Recht nach der DSGVO gegenüber einem gemäß dem ersten Satz unzuständigen Verantwortlichen wahr, ist er an den zuständigen Verantwortlichen zu verweisen.

(3) Die Gemeinden und beauftragten Unternehmen gemäß § 24 üben die Funktion des Auftragsverarbeiters gemäß Art. 4 Z 8 in Verbindung mit Art. 28 Abs. 1 DSGVO aus. Sie sind in dieser Funktion verpflichtet, die Datenschutzpflichten gemäß Art. 28 Abs. 3 lit. a bis h DSGVO wahrzunehmen. In dieser Funktion haben sie datenqualitätssichernde Maßnahmen zu setzen und etwaige Mängel wie eine mögliche Identität zweier ähnlicher Datensätze oder eine unzutreffende Schreibweise von Adressen, an das Bundesministerium für Nachhaltigkeit und Tourismus zu melden.

(4) Die Gemeinden und beauftragten Unternehmen gemäß § 24 haben im Zusammenwirken mit dem jeweiligen Verantwortlichen durch Stichproben zu überprüfen, ob die Verarbeitung der Daten den einschlägigen Bestimmungen entsprechend zum Zwecke der Vollziehung des Weingesetzes 2009 erfolgt und die erforderlichen Datensicherheitsmaßnahmen (Art. 32 DSGVO) ergriffen worden sind.

(5) Protokolldaten über tatsächlich durchgeführte Verarbeitungsvorgänge, wie insbesondere Änderungen, Abfragen und Übermittlungen, sind drei Jahre lang aufzubewahren.“

2. Dem § 74 wird folgender Abs. 6 angefügt:

„(6) § 26a samt Überschrift in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, tritt mit 25. Mai 2018 in Kraft.“

Van der Bellen

Kurz