vorheriges Dokument
nächstes Dokument

BGBl I 37/2018

BUNDESGESETZBLATT

FÜR DIE REPUBLIK ÖSTERREICH

37. Bundesgesetz: 2. Materien-Datenschutz-Anpassungsgesetz 2018
(NR: GP XXVI RV 108 AB 139 S. 23 . BR: 9967 AB 9970 S. 880.)
[CELEX-Nr.: 32017L2399 , 32017L1572 ]

37. Bundesgesetz, mit dem das Entwicklungszusammenarbeitsgesetz, das Bundesgesetz über den Auslandsösterreicher-Fonds, das Rotkreuzgesetz, das Integrationsgesetz, das Anerkennungs- und Bewertungsgesetz, das Bankwesen-gesetz, das Börse-gesetz 2018, das Devisen-gesetz 2004, das E-Geld-gesetz 2010, das Einlagensicherungs- und Anlegerentschädigungs-gesetz, das Finanz-kon-glomerate-gesetz, das Finanzmarkt-Geldwäsche-gesetz, das Finanzmarktaufsichts-behörden-gesetz, das Nati-onalbank-gesetz 1984, das Rechnungslegungs-Kontroll-gesetz, das Sanierungs- und Abwicklungs-gesetz, das Sanktionen-gesetz 2010, das Versicherungsaufsichts-gesetz 2016, das Wertpapieraufsichts-gesetz 2018, das Wirtschaftliche Eigentümer Register-gesetz, das Zahlungsdienste-gesetz 2018, das Bundeshaushalts-gesetz 2013, das Transparenzdatenbank-ge-setz 2012, das Gesundheits- und Krankenpflege-gesetz, das Hebammen-gesetz, das Kardio-techniker-gesetz, das MTD-Gesetz, das Medizinische Assistenzberufe-Gesetz, das Medizini-scher Masseur- und Heilmasseur-gesetz, das Sanitäter-gesetz, das Zahnärzte-gesetz, das Zahnärztekammer-gesetz, das Gesundheitsberuferegister-Gesetz, das IVF-Fonds-Ge-setz, das Fortpflanzungsmedizin-gesetz, das Ärzte-gesetz 1998, das Bundes-gesetz über die Durch-führung von ästhetischen Behandlungen und Operationen, das Musiktherapie-gesetz, das Psychologen-gesetz 2013, das Psychotherapie-gesetz, das EWR-Psychologen-gesetz, das EWR-Psychotherapie-gesetz, das Arzneimittel-gesetz, das Blutsicherheits-gesetz 1999, das Gewebesicherheits-gesetz, das Bundes-gesetz über Krankenanstalten und Kuranstalten, das Medizinprodukte-gesetz, das Epidemie-gesetz 1950, das Organtrans-plantations-gesetz, das Apotheken-gesetz, das Apothekerkammer-gesetz 2001, das Gehaltskassen-gesetz 2002, das Tierärzte-gesetz, das Tierärztekammer-gesetz, das Tierseuchen-gesetz, das Tiergesundheits-gesetz, das Tierarzneimittelkontroll-gesetz, das Tiermaterialien-gesetz, das Gesundheits- und Ernährungssicherheits-gesetz, das Lebensmittelsicherheits- und Verbraucherschutz-gesetz, das Tierschutz-gesetz, das Tiertransport-gesetz 2007, das Bundes-gesetz zur Durchführung unmittelbar anwendbarer unionsrechtlicher Bestimmungen auf dem Gebiet des Tier-schutzes, das Bundes-gesetz über die Gesundheit Österreich GmbH, das Bundes-gesetz über die Dokumentation im Gesundheitswesen, das Suchtmittel-gesetz, das Neue-Psychoaktive-Substanzen-Gesetz, das Tabak- und Nichtraucherinnen- bzw. Nichtraucherschutz-gesetz, das Gesundheits-telematik-gesetz 2012, das Gentechnik-gesetz, das Allgemeine Sozialversicherungs-gesetz, das Gewerbliche Sozialversicherungs-gesetz, das Bauern-Sozialversicherungs-gesetz, das Beamten-Kranken- und Unfallversicherungs-gesetz, das Notarversicherungs-gesetz 1972, das Bundes-Sportförderungs-gesetz 2017, das Anti-Doping-Bundes-gesetz 2007, das Bundes-gesetz über die Neuorganisation der Bundes-sporteinrichtungen, das Militärberufs-förderungs-gesetz 2004, das Bundes-gesetz über die Austro Control GmbH, das Bundes-gesetz über die Agentur für Passagier- und Fahrgastrechte, das Amateurfunk-gesetz 1998, das Bundesstraßen-Maut-gesetz 2002, das Eisenbahn-Beförderungs- und Fahrgastrechte-gesetz, das Führerschein-gesetz, das Funkanlagen-Marktüberwachungs-Gesetz, das Gelegenheits-verkehrs-Gesetz 1996, das Güterbeförderungs-gesetz 1995, das Klima- und Energiefonds-gesetz, das Kraftfahr-gesetz 1967, das Kraftfahrlinien-gesetz, das Postmarkt-gesetz, das Schifffahrts-gesetz, das Seeschifffahrts-gesetz, das Weltraum-gesetz, das Patent-gesetz 1970, das Gebrauchsmuster-gesetz, das Markenschutz-gesetz 1970, das Halbleiterschutz-gesetz und das Musterschutz-gesetz 1990 geändert werden (2. Materien-Datenschutz-Anpassungsgesetz 2018)

Der Nationalrat hat beschlossen:

Inhaltsverzeichnis

1. Hauptstück
Integration und Äußeres

2. Hauptstück
Finanzen

1. Abschnitt
Finanzmarkt

2. Abschnitt
Bundeshaushalt, Transparenzdatenbank

3. Hauptstück
Gesundheit und Soziales

1. Abschnitt
Gesundheit

2. Abschnitt
Sozialversicherungswesen

4. Hauptstück
Sport

5. Hauptstück
Verkehr, Innovation und Technologie

Art. Gegenstand

1 Änderung des Entwicklungszusammenarbeitsgesetzes

2 Änderung des Bundesgesetzes über den Auslandsösterreicher-Fonds

3 Änderung des Rotkreuzgesetzes

4 Änderung des Integrationsgesetzes

5 Änderung des Anerkennungs- und Bewertungsgesetzes

6 Änderung des Bankwesengesetzes

7 Änderung des Börsegesetzes 2018

8 Änderung des Devisengesetzes 2004

9 Änderung des E-Geldgesetzes 2010

10 Änderung des Einlagensicherungs- und Anlegerentschädigungsgesetzes

11 Änderung des Finanzkonglomerategesetzes

12 Änderung des Finanzmarkt-Geldwäschegesetzes

13 Änderung des Finanzmarktaufsichtsbehördengesetzes

14 Änderung des Nationalbankgesetzes 1984

15 Änderung des Rechnungslegungs-Kontrollgesetzes

16 Änderung des Sanierungs- und Abwicklungsgesetzes

17 Änderung des Sanktionengesetzes 2010

18 Änderung des Versicherungsaufsichtsgesetzes 2016

19 Änderung des Wertpapieraufsichtsgesetzes 2018

20 Änderung des Wirtschaftliche Eigentümer Registergesetzes

21 Änderung des Zahlungsdienstegesetzes 2018

22 Änderung des Bundeshaushaltsgesetzes 2013

23 Änderung des Transparenzdatenbankgesetzes 2012

24 Änderung des Gesundheits- und Krankenpflegegesetzes

25 Änderung des Hebammengesetzes

26 Änderung des Kardiotechnikergesetzes

27 Änderung des MTD-Gesetzes

28 Änderung des Medizinische Assistenzberufe-Gesetzes

29 Änderung des Medizinischer Masseur- und Heilmasseurgesetzes

30 Änderung des Sanitätergesetzes

31 Änderung des Zahnärztegesetzes

32 Änderung des Zahnärztekammergesetzes

33 Änderung des Gesundheitsberuferegister-Gesetzes

34 Änderung des IVF-Fonds-Gesetzes

35 Änderung des Fortpflanzungsmedizingesetzes

36 Änderung des Ärztegesetzes 1998

37 Änderung des Bundesgesetzes über die Durchführung von ästhetischen Behandlungen und Operationen

38 Änderung des Musiktherapiegesetzes

39 Änderung des Psychologengesetzes 2013

40 Änderung des Psychotherapiegesetzes

41 Änderung des EWR-Psychologengesetzes

42 Änderung des EWR-Psychotherapiegesetzes

43 Änderung des Arzneimittelgesetzes

44 Änderung des Blutsicherheitsgesetzes 1999

45 Änderung des Gewebesicherheitsgesetzes

46 Änderung des Bundesgesetzes über Krankenanstalten und Kuranstalten

47 Änderung des Medizinproduktegesetzes

48 Änderung des Epidemiegesetzes 1950

49 Änderung des Organtransplantationsgesetzes

50 Änderung des Apothekengesetzes

51 Änderung des Apothekerkammergesetzes 2001

52 Änderung des Gehaltskassengesetzes 2002

53 Änderung des Tierärztegesetzes

54 Änderung des Tierärztekammergesetzes

55 Änderung des Tierseuchengesetzes

56 Änderung des Tiergesundheitsgesetzes

57 Änderung des Tierarzneimittelkontrollgesetzes

58 Änderung des Tiermaterialiengesetzes

59 Änderung des Gesundheits- und Ernährungssicherheitsgesetzes

60 Änderung des Lebensmittelsicherheits- und Verbraucherschutzgesetzes

61 Änderung des Tierschutzgesetzes

62 Änderung des Tiertransportgesetzes 2007

63 Änderung des Bundesgesetzes zur Durchführung unmittelbar anwendbarer unionsrechtlicher Bestimmungen auf dem Gebiet des Tierschutzes

64 Änderung des Bundesgesetzes über die Gesundheit Österreich GmbH

65 Änderung des Bundesgesetzes über die Dokumentation im Gesundheitswesen

66 Änderung des Suchtmittelgesetzes

67 Änderung des Neue-Psychoaktive-Substanzen-Gesetzes

68 Änderung des Tabak- und Nichtraucherinnen- bzw. Nichtraucherschutzgesetzes

69 Änderung des Gesundheitstelematikgesetzes 2012

70 Änderung des Gentechnikgesetzes

71 Änderung des Allgemeinen Sozialversicherungsgesetzes

72 Änderung des Gewerblichen Sozialversicherungsgesetzes

73 Änderung des Bauern-Sozialversicherungsgesetzes

74 Änderung des Beamten-Kranken- und Unfallversicherungsgesetzes

75 Änderung des Notarversicherungsgesetzes 1972

76 Änderung des Bundes-Sportförderungsgesetzes 2017

77 Änderung des Anti-Doping-Bundesgesetzes 2007

78 Änderung des Bundesgesetzes über die Neuorganisation der Bundessporteinrichtungen

79 Änderung des Militärberufsförderungsgesetzes 2004

80 Änderung des Bundesgesetzes über die Austro Control GmbH

81 Änderung des Bundesgesetzes über die Agentur für Passagier- und Fahrgastrechte

82 Änderung des Amateurfunkgesetzes 1998

83 Änderung des Bundesstraßen-Mautgesetzes 2002

84 Änderung des Eisenbahn-Beförderungs- und Fahrgastrechtegesetzes

85 Änderung des Führerscheingesetzes

86 Änderung des Funkanlagen-Marktüberwachungs-Gesetzes

87 Änderung des Gelegenheitsverkehrs-Gesetzes 1996

88 Änderung des Güterbeförderungsgesetzes 1995

89 Änderung des Klima- und Energiefondsgesetzes

90 Änderung des Kraftfahrgesetzes 1967

91 Änderung des Kraftfahrliniengesetzes

92 Änderung des Postmarktgesetzes

93 Änderung des Schifffahrtsgesetzes

94 Änderung des Seeschifffahrtsgesetzes

95 Änderung des Weltraumgesetzes

96 Änderung des Patentgesetzes 1970

97 Änderung des Gebrauchsmustergesetzes

98 Änderung des Markenschutzgesetzes 1970

99 Änderung des Halbleiterschutzgesetzes

100 Änderung des Musterschutzgesetzes 1990

1. Hauptstück

Integration und Äußeres

Artikel 1

Änderung des Entwicklungszusammenarbeitsgesetzes

Das Bundesgesetz über die Entwicklungszusammenarbeit (Entwicklungszusammenarbeitsgesetz - EZA-G), BGBl. I Nr. 49/2002, in der Fassung des Bundesgesetzes BGBl. I Nr. 65/2003 sowie der Bundesministeriengesetz-Novellen BGBl. I Nr. 6/2007, BGBl. I Nr. 3/2009, BGBl. I Nr. 11/2014 und BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. In § 24 Abs. 5 wird die Wortfolge „des Datenschutzgesetzes 2000, BGBl. I Nr. 165“ durch die Wortfolge „der Verordnung (EU) Nr. 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1, (im Folgenden: DSGVO) und nach den Bestimmungen des Datenschutzgesetzes, BGBl. I Nr. 165/1999,“ ersetzt.

2. In § 24 Abs. 6 erster Satz wird die Wortfolge „§ 5 Abs. 1 und 2 des Datenschutzgesetzes 2000“ durch die Wortfolge „§ 26 Abs. 1 Z 2 des Datenschutzgesetzes“ ersetzt.

3. In § 24 Abs. 6 letzter Satz wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt, das Wort „Dienstleister“ durch das Wort „Auftragsverarbeiter“ ersetzt und dem Wort „Daten“ das Wort „personenbezogene“ vorangestellt.

4. In § 27 wird dem bisherigen Text die Absatzbezeichnung „(1)“ vorangestellt; folgender Abs. 2 wird angefügt:

„(2) § 24 Abs. 5 und 6 in der Fassung des Bundesgesetzes BGBl. I Nr. 37/2018 tritt mit 25. Mai 2018 in Kraft.“

Artikel 2

Änderung des Bundesgesetzes über den Auslandsösterreicher-Fonds

Das Bundesgesetz über den Auslandsösterreicher-Fonds (AÖF-G), BGBl. I Nr. 67/2006, wird wie folgt geändert:

1. Die Überschrift zu § 4 lautet:

„Verarbeitung personenbezogener Daten“

2. In § 5 Abs. 4 wird der Wortfolge „mit der Unterstützung aus dem AÖF bedachte Staatsbürger“ das Wort „zu“ nachgestellt, dem Wort „Daten“ wird das Wort „personenbezogenen“ vorangestellt und das Wort „zugestimmt“ wird durch das Wort „eingewilligt“ ersetzt.

3. Dem § 14 wird folgender Abs. 5 angefügt:

„(5) § 5 Abs. 4 sowie die Überschrift zu § 4 in der Fassung des Bundesgesetzes BGBl. I Nr. 37/2018 treten mit 25. Mai 2018 in Kraft.“

Artikel 3

Änderung des Rotkreuzgesetzes

Das Bundesgesetz über die Anerkennung des Österreichischen Roten Kreuzes und den Schutz des Zeichens des Roten Kreuzes (Rotkreuzgesetz - RKG), BGBl. I Nr. 33/2008, wird wie folgt geändert:

1. In § 2 Abs. 4 wird dem Wort „Daten“ das Wort „personenbezogenen“ vorangestellt.

2. Dem § 11 wird folgender Abs. 3 angefügt:

„(3) § 2 Abs. 4 in der Fassung BGBl. I Nr. 37/2018 tritt mit 25. Mai 2018 in Kraft.“

Artikel 4

Änderung des Integrationsgesetzes

Das Bundesgesetz zur Integration rechtmäßig in Österreich aufhältiger Personen ohne österreichische Staatsbürgerschaft (Integrationsgesetz - IntG), BGBl. I Nr. 68/2017, in der Fassung des Bundesgesetzes BGBl. I Nr. 86/2017, wird wie folgt geändert:

1. Im Inhaltsverzeichnis wird im Eintrag zu § 24 das Wort „Datenverwendung“ durch das Wort „Datenverarbeitung“ ersetzt.

2. § 15 Abs. 1 lautet:

„(1) Die zertifizierten Kursträger gemäß § 13 Abs. 2 haben dem Österreichischen Integrationsfonds als Verantwortlichem im Sinne der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, (im Folgenden: DSGVO) personenbezogene Daten über die Teilnehmer von Integrationskursen, für die eine Kostenbeteiligung gemäß § 14 in Betracht kommt, spätestens mit Beginn der Kurse elektronisch mitzuteilen. Zu diesem Zweck sind Namen und Geburtsdatum, Staatsangehörigkeit und Wohnanschrift der Kursteilnehmer sowie bei Abschluss der Kurse die Teilnehmerlisten an den Österreichischen Integrationsfonds zu übermitteln, um eine verwaltungsökonomische Organisation der Durchführung von Integrationsprüfungen und der Abwicklung der Kostenbeteiligung zu ermöglichen. Die zertifizierten Kursträger sind als Auftragsverarbeiter verpflichtet, die Datenschutzmaßnahmen gemäß Art. 28 Abs. 3 lit. a bis h DSGVO wahrzunehmen.“

3. In der Überschrift zu § 24 wird das Wort „Datenverwendung“ durch das Wort „Datenverarbeitung“ ersetzt.

4. In § 24 Abs. 1 erster Satz wird dem Wort „ermächtigt“ die Wortfolge „als Verantwortlicher im Sinne der DSGVO“ vorangestellt, das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt, die Wortfolge „für die Erfüllung der in diesem Gesetz übertragenen Aufgaben“ durch die Wortfolge „zum Zweck der Integration der Zielgruppen gemäß § 3“ ersetzt, sowie der Strichpunkt durch einen Punkt ersetzt.

5. In § 24 Abs. 1 entfällt der Halbsatz „ ; die Datenverwendung ist im Rahmen des § 8 Grundversorgungsgesetzes - Bund 2005 - GVG-B 2005, BGBl. Nr. 405/1991, zulässig“

6. In § 24 Abs. 1 letzter Satz wird das Wort „Sprachniveau“ durch das Wort „Sprachkenntnisse“ ersetzt und nach dem Wort „Muttersprache“ die Wortfolge „ , das bereichsspezifische Personenkennzeichen, Berufsausbildung, Arbeitsfähigkeit und Integrationsmaßnahmen“ angefügt.

7. Nach § 24 Abs. 1 werden folgende Abs. 1a und 1b eingefügt:

„(1a) Der Österreichische Integrationsfonds, die Behörden gemäß § 8 des Grundversorgungsgesetzes - Bund 2005 - GVG-B 2005, BGBl. Nr. 405/1991, und das Arbeitsmarktservice sind als gemeinsame Verantwortliche ermächtigt, die für die Erbringung von Leistungen im Zusammenhang mit der Durchführung von Integrationsmaßnahmen erforderlichen personenbezogenen Daten, insbesondere jene gemäß Abs. 1 mit Ausnahme der Bankverbindung, im Rahmen der Datenverarbeitung des § 8 GVG-B 2005 gemeinsam zu verarbeiten. Sofern der Bundesminister für Inneres für die jeweiligen Daten nicht selbst Verantwortlicher im Sinne dieser Bestimmung ist, übt er die Funktion des Auftragsverarbeiters gemäß Art. 28 DSGVO aus und hat in dieser Funktion die Datenschutzpflichten gemäß Art. 28 Abs. 3 lit. a bis h DSGVO wahrzunehmen.

(1b) Die Erfüllung von Informations-, Auskunfts-, Berichtigungs-, Löschungs- und sonstigen Pflichten nach den Bestimmungen der DSGVO gegenüber der betroffenen Person obliegt jedem Verantwortlichen hinsichtlich jener personenbezogenen Daten, die im Zusammenhang mit den von ihm geführten Verfahren oder den von ihm gesetzten Maßnahmen verarbeitet werden. Nimmt eine betroffene Person ein ihr zustehendes Recht nach der DSGVO gegenüber einem Verantwortlichen wahr, der hierfür nicht zuständig ist, so hat dieser ein schriftliches Anbringen ohne unnötigen Aufschub auf Gefahr der betroffenen Person an den zuständigen Verantwortlichen weiterzuleiten oder im Fall eines mündlichen Anbringens die betroffene Person an diesen zu verweisen. Die betroffene Person ist über die Weiterleitung zu informieren.“

8. In § 24 Abs. 2 wird nach der Wortfolge „gemäß Abs. 1“ die Wortfolge „oder 1a“, nach dem Wort „verarbeiteten“ das Wort „personenbezogenen“ und nach der Wortfolge „soweit sie diese“ das Wort „personenbezogenen“ eingefügt.

9. In § 24 Abs. 3 wird als neuer erster Satz eingefügt:

„Personenbezogene Daten gemäß Abs. 1 oder 1a sind unverzüglich zu löschen, wenn ein Verantwortlicher davon Kenntnis erlangt, dass die betroffene Person die österreichische Staatsbürgerschaft erworben hat.“

10. In § 24 Abs. 3 wird die Wortfolge „Der Österreichische Integrationsfonds hat die gemäß Abs. 1 übermittelten“, durch die Wortfolge „Darüber hinaus sind diese“ ersetzt, wird dem Wort „Maßnahmen“ das Wort „integrationsfördernden“ vorangestellt und entfällt die Wortfolge „nach diesem Bundesgesetz“.

11. Dem § 27 wird folgender Abs. 5 angefügt:

„(5) § 15 Abs. 1 sowie § 24 samt Überschrift und Eintrag im Inhaltsverzeichnis in der Fassung des Bundesgesetzes BGBl. I Nr. 37/2018 treten mit 25. Mai 2018 in Kraft.“

Artikel 5

Änderung des Anerkennungs- und Bewertungsgesetzes

Das Bundesgesetz über die Vereinfachung der Verfahren zur Anerkennung und Bewertung ausländischer Bildungsabschlüsse und Berufsqualifikationen (Anerkennungs- und Bewertungsgesetz - AuBG), BGBl. I Nr. 55/2016, wird wie folgt geändert:

1. In § 12 Abs. 1 wird nach dem Wort „hat“ die Wendung „in ihrer Funktion als Verantwortliche gemäß Art. 4 Z 7 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1,“ und nach dem Wort „übermittelten“ das Wort „personenbezogenen“ eingefügt.

2. Dem § 14 wird folgender Abs. 4 angefügt:

„(4) § 12 Abs. 1 in der Fassung des Bundesgesetzes BGBl. I Nr. 37/2018 tritt mit 25. Mai 2018 in Kraft.“

2. Hauptstück

Finanzen

1. Abschnitt

Finanzmarkt

Artikel 6

Änderung des Bankwesengesetzes

Das Bankwesengesetz - BWG, BGBl. Nr. 532/1993, zuletzt geändert durch die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, und das Bundesgesetz BGBl. I Nr. 36/2018, wird wie folgt geändert:

1. § 1 Abs. 1 Z 7a lautet:

  1. „7a. der Handel auf eigene oder fremde Rechnung mit Finanzinstrumenten gemäß § 1 Z 7 lit. e bis g, j und k Wertpapieraufsichtsgesetz 2018 - WAG 2018, BGBl. I Nr. 107/2017, ausgenommen der Handel durch Personen gemäß § 2 Abs. 1 Z 6, 12 und 13 WAG 2018 sowie der Handel, sofern dieser für das Privatvermögen erfolgt,“

2. In § 9 Abs. 7 wird nach dem Verweis auf „§§ 47 bis 67, 69 und 70 WAG 2018“ die Wortfolge „ , Art. 36 und 44 bis 70 der delegierten Verordnung (EU) 2017/565 zur Ergänzung der Richtlinie 2014/65/EU in Bezug auf die organisatorischen Anforderungen an Wertpapierfirmen und die Bedingungen für die Ausübung ihrer Tätigkeit sowie in Bezug auf die Definition bestimmter Begriffe für die Zwecke der genannten Richtlinie, ABl. Nr. L 87 S. 1,“ eingefügt.

3. § 20b Abs. 3 erster Satz lautet:

„Die FMA hat in Entsprechung von Art. 23 Abs. 4 der Richtlinie 2013/36/EU mittels Verordnung unter Berücksichtigung europäischer Gepflogenheiten in diesem Bereich eine Liste von Informationen festzulegen, die der FMA vorzulegen sind.“

4. In § 30a Abs. 7 wird die Wortfolge „Verwendung von Daten (§ 4 Z 8 DSG 2000)“ durch die Wortfolge „Verarbeitung gemäß Art. 4 Z 2 der Verordnung (EU) 2016/679“ ersetzt.

5. Der Einleitungsteil des § 77 Abs. 4 lautet:

„Die FMA ist zur Verarbeitung von personenbezogenen Daten im Sinne der Verordnung (EU) 2016/679 ermächtigt, soweit dies für die Wahrnehmung ihrer Aufgaben nach diesem Bundesgesetz erforderlich ist; das sind“

6. Im Schlussteil des § 77 Abs. 5 lautet der dritte Satz:

„Der Informationsaustausch gemäß Z 2 und 3 muss gemäß Art. 55 der Richtlinie 2013/36/EU unter der Bedingung eines mit Art. 53 der Richtlinie 2013/36/EU gleichwertigen Berufsgeheimnisses der Erfüllung von Aufsichtsaufgaben der ersuchenden Behörden und Institutionen dienen und im Einklang mit Kapitel V der Verordnung (EU) 2016/679 stehen.“

7. Der Schlussteil des § 79 Abs. 3 lautet:

„Die Oesterreichische Nationalbank und die FMA sind bezüglich dieser Datenbank gemeinsam für die Verarbeitung Verantwortliche gemäß Art. 26 der Verordnung (EU) 2016/679 . Die Oesterreichische Nationalbank ist darüber hinaus Anlaufstelle für die betroffenen Personen gemäß Art. 26 Abs. 1 letzter Satz der Verordnung (EU) 2016/679 .“

8. In § 99g Abs. 3 Z 3 wird der Verweis „Richtlinie 95/46/EG “ durch den Verweis „Verordnung (EU) 2016/679“ ersetzt.

9. Dem § 105 wird folgender Abs. 16 angefügt:

„(16) Soweit in diesem Bundesgesetz auf die Verordnung (EU) 2016/679 verwiesen wird, so ist, sofern nichts anderes angeordnet ist, die Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1, anzuwenden.“

Artikel 7

Änderung des Börsegesetzes 2018

Das Börsegesetz 2018 - BörseG 2018, BGBl. I Nr. 107/2017, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 149/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. § 1 Z 2 lautet:

  1. „2. geregelter Markt: ein geregelter Markt im Sinne von Artikel 4 Absatz 1 Nummer 21 der Richtlinie 2014/65/EU ;“

2. § 1 Z 23 lautet:

  1. „23. Zusammenführung sich deckender Kundenaufträge: ein Geschäft, bei dem zwischen Käufer und Verkäufer einer Transaktion ein Vermittler zwischengeschaltet ist, der während der gesamten Ausführung der Transaktion zu keiner Zeit einem Marktrisiko ausgesetzt ist, vorausgesetzt, dass sowohl Kaufgeschäft als auch Verkaufsgeschäft gleichzeitig ausgeführt werden und die Transaktion zu einem Preis abgeschlossen wird, bei dem der Vermittler abgesehen von einer vorab offengelegten Provision, Gebühr oder sonstigen Vergütung weder Gewinn noch Verlust macht.“

3. § 2 lautet:

§ 2. Im Übrigen gelten, soweit in diesem Bundesgesetz nichts Anderes angeordnet ist, die Begriffsbestimmungen des Bankwesengesetzes - BWG, BGBl. Nr. 532/1993, des WAG 2018, der Verordnung (EU) Nr. 596/2014, der Verordnung (EU) Nr. 600/2014 , der delegierten Verordnung (EU) 2017/565 , der delegierten Verordnung (EU) 2017/567 und der Verordnung (EU) Nr. 575/2013 .“

4. In § 7 Abs. 12 entfällt die Wortfolge „in einer Datenanwendung“ sowie die Wortfolge „ , soweit diese den Betroffenenkreisen und Datenarten der Anlage 1, SA037 der Standard- und Muster-Verordnung 2004 - StMV, BGBl. II Nr. 312/2004, entsprechen“.

5. § 28 Abs. 5 lautet:

„(5) Das Börseunternehmen ist zur Verarbeitung von personenbezogenen Daten im Sinne der Verordnung (EU) 2016/679 ermächtigt, soweit dies für die Wahrnehmung seiner Aufgaben nach diesem Bundesgesetz erforderlich ist.“

6. In § 58 Abs. 1 Z 2 wird das Wort „kede“ durch das Wort „jede“ ersetzt.

7. In § 93 Abs. 2 wird die Wendung „Ihrem Zuständigkeitsbereich (§ 91)“ durch die Wendung „ihrem Zuständigkeitsbereich (§ 92)“ ersetzt.

8. In § 95 Abs. 3 Z 3 wird die Wortfolge „dem Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999,“ durch die Wortfolge „der Verordnung (EU) 2016/679“ ersetzt.

9. § 97 lautet:

§ 97. Bei Ausübung der Aufsichts- und Ermittlungsbefugnisse gemäß § 93 Abs. 2 sind die Bestimmungen der Verordnung (EU) 2016/679 einzuhalten.“

10. In § 105 Abs. 1 Z 2 und § 105 Abs. 2 Z 2 wird jeweils nach der Wortfolge „§§ 3 und 4“ die Wortfolge „in Verbindung mit § 92 Abs. 1 durch die FMA“ eingefügt.

11. In § 159 Abs. 3 Z 3 wird der Verweis „Richtlinie 95/46/EG “ durch den Verweis „Verordnung (EU) 2016/679“ ersetzt.

12. § 177 Abs. 4 Z 3 entfällt.

13. § 177 Abs. 4 Z 16 lautet:

  1. „16. Richtlinie 2014/65/EU über Märkte für Finanzinstrumente sowie zur Änderung der Richtlinien 2002/92/EG und 2011/61/EU , ABl. Nr. L 173 vom 12.06.2014 S. 349, zuletzt geändert durch die Richtlinie (EU) 2016/1034, ABl. Nr. L 175 vom 23.06.2016 S. 8, in der Fassung der Berichtigung, ABl. Nr. L 278 vom 27.10.2017 S. 56;“

14. In § 177 Abs. 5 wird der Punkt am Ende der Z 15 durch einen Strichpunkt ersetzt; folgende Z 16 und Z 17 werden angefügt:

  1. „16. Delegierte Verordnung (EU) 2017/567 zur Ergänzung der Verordnung (EU) Nr. 600/2014 im Hinblick auf Begriffsbestimmungen, Transparenz, Portfoliokomprimierung und Aufsichtsmaßnahmen zur Produktintervention und zu den Positionen, ABl. Nr. L 87 S. 90, in der Fassung der Berichtigung, ABl. Nr. L 251 vom 29.09.2017 S. 30;
  2. 17. Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1.“

Artikel 8

Änderung des Devisengesetzes 2004

Das Devisengesetz 2004, BGBl. I Nr. 123/2003, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 136/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

§ 5 Abs. 4 lautet:

„(4) Der Bundesminister für Finanzen ist im Einvernehmen mit dem Bundesminister für Europa, Integration und Äußeres ermächtigt, die Oesterreichische Nationalbank durch Verordnung zu ermächtigen, die in Vollziehung der §§ 4 und 5 erhobenen personenbezogenen Daten auch an bestimmte internationale Organisationen zu übermitteln, soweit dies zur Erfüllung der völkerrechtlichen Verpflichtungen Österreichs erforderlich ist und soweit die Voraussetzungen gemäß Kapitel V der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1 erfüllt sind.“

Artikel 9

Änderung des E-Geldgesetzes 2010

Das E-Geldgesetz 2010, BGBl. I Nr. 107/2010, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 17/2018, wird wie folgt geändert:

1. Der Einleitungsteil des § 23 Abs. 1 lautet:

„Die FMA und die Oesterreichische Nationalbank sind zur Verarbeitung von personenbezogenen Daten im Sinne der Verordnung (EU) 2016/679 ermächtigt, soweit dies für die Wahrnehmung ihrer Aufgaben nach diesem Bundesgesetz erforderlich ist; das sind:“

2. § 23 Abs. 3 lautet:

„(3) Die Übermittlung von Daten gemäß Abs. 1 durch die FMA ist innerhalb desselben Rahmens, zu denselben Zwecken und mit denselben Beschränkungen wie an zuständige Behörden von Mitgliedstaaten gemäß Abs. 2 auch an Behörden von Drittländern, die den Aufgaben der FMA oder der Oesterreichischen Nationalbank entsprechende Aufgaben wahrzunehmen haben, nur zulässig, soweit die übermittelten Daten bei diesen Behörden einem dem Berufsgeheimnis in Art. 24 der Richtlinie (EU) 2015/2366 entsprechenden Berufsgeheimnis unterliegen und die Übermittlung im Einklang mit Kapitel V der Verordnung (EU) 2016/679 steht.“

3. § 37 Abs. 2 Z 5 lautet:

  1. „5. Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1;“

Artikel 10

Änderung des Einlagensicherungs- und Anlegerentschädigungsgesetzes

Das Einlagensicherungs- und Anlegerentschädigungsgesetz - ESAEG, BGBl. I Nr. 117/2015, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 149/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

§ 2 Abs. 1 lautet:

„(1) Die Sicherungseinrichtungen haben Informationen, die ihnen aufgrund ihrer Tätigkeit anvertraut oder zugänglich gemacht worden sind, vertraulich zu behandeln, soweit nicht dieses oder andere Bundesgesetze eine Übermittlung solcher Informationen vorsieht. Die Verarbeitung von personenbezogenen Daten, die im Zusammenhang mit den Konten der Einleger stehen, hat von den Sicherungseinrichtungen gemäß der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1, zu erfolgen.“

Artikel 11

Änderung des Finanzkonglomerategesetzes

Das Finanzkonglomerategesetz - FKG, BGBl. I Nr. 70/2004, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 107/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

Nach § 12a wird folgender § 12b samt Überschrift eingefügt:

„Ermächtigung zur Verarbeitung von personenbezogenen Daten

§ 12b. Die FMA ist zur Verarbeitung von personenbezogenen Daten im Sinne der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1, ermächtigt, soweit dies für die Wahrnehmung ihrer Aufgaben nach diesem Bundesgesetz erforderlich ist.“

Artikel 12

Änderung des Finanzmarkt-Geldwäschegesetzes

Das Finanzmarkt-Geldwäschegesetz - FM-GwG, BGBl. I Nr. 118/2016, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 17/2018, wird wie folgt geändert:

1. Der Eintrag zu § 26 im Inhaltsverzeichnis lautet:

㤠26.

Ermächtigung zur Verarbeitung von personenbezogenen Daten“

2. In § 2 Z 3 und in Anlage II Z 1 lit. a wird der Verweis „§ 85 Abs. 10 BörseG“ jeweils durch den Verweis „§ 122 Abs. 10 BörseG 2018“ ersetzt.

3. In § 16 Abs. 5 wird die Wortfolge „in einer Datenanwendung zu verarbeiten, soweit diese den Betroffenenkreisen und Datenarten der Anlage 1, SA037 der Standard- und Muster-Verordnung 2004 - StMV, BGBl. II Nr. 312/2004, entsprechen“ durch die Wortfolge „zu verarbeiten“ ersetzt.

4. In § 20 Abs. 3 Z 3 und § 32 Abs. 1, 2, 3 und 4 wird der Verweis „Art. 1 Z 1 und 2 der Richtlinie (EU) 2015/849 “ jeweils durch den Verweis „Art. 3 Z 1 und 2 der Richtlinie (EU) 2015/849 “ ersetzt.

5. In § 21 Abs. 5 wird der Verweis „§ 24 Abs. 1 und 2 DSG 2000“ durch den Verweis „Art. 13 und 14 der Verordnung (EU) 2016/679“ ersetzt.

6. § 21 Abs. 6 lautet:

„(6) Die Sicherstellung öffentlicher Interessen gemäß Art. 23 Abs. 1 der Verordnung (EU) 2016/679 kann dann vorliegen, wenn die Verweigerung einer Auskunft (§ 20 Abs. 1) zur Geheimhaltung von Vorgängen, die der Wahrnehmung des § 16 und des § 17 dienen, erforderlich ist, um

  1. 1. dem Verpflichteten oder der FMA die ordnungsgemäße Wahrnehmung seiner oder ihrer Aufgaben für die Zwecke dieses Bundesgesetzes zu ermöglichen oder
  2. 2. behördliche oder gerichtliche Ermittlungen, Analysen, Untersuchungen oder Verfahren für die Zwecke dieses Bundesgesetzes nicht zu behindern und zu gewährleisten, dass die Verhinderung, Ermittlung und Aufdeckung von Geldwäscherei und Terrorismusfinanzierung nicht gefährdet wird.“

7. In § 24 Abs. 6 wird die Wortfolge „kundenbezogener Daten“ durch die Wortfolge „personenbezogener Daten von Kunden“ ersetzt.

8. In § 25 Abs. 6 erster Satz wird nach dem Wort „haben“ die Wortfolge „und die Übermittlung personenbezogener Daten im Einklang mit Kapitel V der Verordnung (EU) 2016/679 steht“ eingefügt.

9. § 26 samt Überschrift lautet:

„Ermächtigung zur Verarbeitung von personenbezogenen Daten

§ 26. Die FMA ist zur Verarbeitung von personenbezogenen Daten im Sinne der Verordnung (EU) 2016/679 ermächtigt, soweit dies für die Wahrnehmung ihrer Aufgaben nach diesem Bundesgesetz erforderlich ist.“

10. In § 40 Abs. 3 Z 4 wird der Verweis „des DSG 2000“ durch den Verweis „der Verordnung (EU) 2016/679“ ersetzt.

11. In § 44 Abs. 1 Z 10 wird der Verweis „Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999“ durch den Verweis „Börsegesetz 2018 (BörseG 2018), BGBl. I Nr. 107/2017“ ersetzt.

12. In § 44 Abs. 3 Z 7 wird der Punkt nach dem Zitat „ABl. Nr. L 141 vom 05.06.2015 S. 1“ durch einen Strichpunkt ersetzt; nach der Z 7 wird folgende Z 8 angefügt:

  1. „8. Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1.“

13. In § 46 wird die Wortfolge „Ablauf des 25. Juni 2018“ durch die Wortfolge „Ablauf des 31. Dezember 2019“ ersetzt.

Artikel 13

Änderung des Finanzmarktaufsichtsbehördengesetzes

Das Finanzmarktaufsichtsbehördengesetz - FMABG, BGBl. I Nr. 97/2001, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 17/2018, wird wie folgt geändert:

1. § 3 Abs. 1 lautet:

„(1) Für die von Organen und Bediensteten der FMA in Vollziehung der in § 2 genannten Bundesgesetze zugefügten Schäden, einschließlich Schäden gemäß § 29 Abs. 1 DSG 2018, haftet der Bund nach den Bestimmungen des Amtshaftungsgesetzes - AHG, BGBl. Nr. 20/1949. Schäden im Sinne dieser Bestimmung sind solche, die Rechtsträgern unmittelbar zugefügt wurden, die der Aufsicht nach diesem Bundesgesetz unterliegen. Die FMA sowie deren Bedienstete und Organe haften dem Geschädigten nicht.“

2. Nach § 22e wird folgender § 22f eingefügt:

§ 22f. Das Recht auf Widerspruch gemäß Art. 21 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1 einer natürlichen Person gegen eine Veröffentlichung personenbezogener Daten durch die FMA, die in Vollziehung eines der in § 2 genannten Bundesgesetze erfolgt, ist ausgeschlossen, wenn bei der Entscheidung über die Art und Weise der Veröffentlichung die schutzwürdigen Interessen der natürlichen Person verpflichtend zu berücksichtigen sind und der natürlichen Person das Recht auf eine Überprüfung der Rechtmäßigkeit der Veröffentlichung in einem bescheidmäßig zu erledigenden Verfahren zukommt.“

Artikel 14

Änderung des Nationalbankgesetzes 1984

Das Nationalbankgesetz 1984 - NBG, BGBl. Nr. 50/1984, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 17/2018, wird wie folgt geändert:

1. § 7 Abs. 4 lautet:

„(4) Die Oesterreichische Nationalbank ist hinsichtlich der Zulässigkeit der Übermittlung von Daten einem Verantwortlichen des öffentlichen Bereichs gemäß § 26 Abs. 1 des Datenschutzgesetzes - DSG, BGBl. I Nr. 165/1999, gleichzustellen.“

2. Dem § 7 wird folgender Abs. 5 angefügt:

„(5) Die Oesterreichische Nationalbank ist zur Verarbeitung von personenbezogenen Daten im Sinne der Verordnung (EU) 2016/679 ermächtigt, soweit dies für die Wahrnehmung ihrer gesetzlich, staatsvertraglich oder unionsrechtlich zugewiesenen Aufgaben erforderlich ist.“

Artikel 15

Änderung des Rechnungslegungs-Kontrollgesetzes

Das Rechnungslegungs-Kontrollgesetz - RL-KG, BGBl. I Nr. 21/2013, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 107/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

§ 7 Abs. 1 lautet:

„(1) Der FMA obliegt die Zusammenarbeit mit den Stellen im Ausland, die zuständig sind für die Untersuchung möglicher Verstöße gegen Rechnungslegungsvorschriften von Unternehmen, deren Wertpapiere an einem geregelten Markt oder an einer anerkannten Wertpapierbörse eines Drittlandes zugelassen sind. Im Rahmen dieser Zusammenarbeit kann ein gegenseitiger Informations- und Datenaustausch erfolgen, soweit er sich auf das für die Zusammenarbeit notwendige Maß beschränkt und dadurch weder das Bankgeheimnis (§ 38 BWG) noch die abgabenrechtliche Geheimhaltungspflicht (§ 48a BAO) verletzt werden. Die Erteilung von Auskünften an eine Behörde in einem Drittland ist im Übrigen nur dann gestattet, wenn die Voraussetzungen gemäß Kapitel V der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1 erfüllt sind.“

Artikel 16

Änderung des Sanierungs- und Abwicklungsgesetzes

Das Sanierungs- und Abwicklungsgesetz - BaSAG, BGBl. I Nr. 98/2014, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 107/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Der Eintrag im Inhaltsverzeichnis zu § 131 lautet:

„§ 131. Rang in der Insolvenzrangfolge“

2. In § 2 wird nach Z 49 folgende Z 49a eingefügt:

  1. „49a. Schuldtitel gemäß § 131: Anleihen und andere Formen übertragbarer Schuldtitel und Instrumente, mit denen eine Schuld begründet oder anerkannt wird;“

3. In § 58 Abs. 3 Z 3 wird der Verweis „BGBl. Nr. 107/2017“ durch den Verweis „BGBl. I Nr. 107/2017“ ersetzt.

4. § 90 Abs. 1 Z 5 lautet:

  1. „5. wenn die Wertminderung von Anteilen oder anderen Eigentumstiteln, relevanten Kapitalinstrumenten und berücksichtigungsfähigen Verbindlichkeiten gemäß Z 1 bis 4 insgesamt die Summe der Beträge gemäß § 89 Abs. 3 Z 2 und 3 unterschreitet, ist der Nennwert der restlichen gemäß § 86 berücksichtigungsfähigen Verbindlichkeiten oder der bei diesen noch ausstehenden Restbetrag entsprechend der Rangfolge der Forderungen im Rahmen eines Konkursverfahrens, einschließlich der Rangfolge gemäß § 131, im erforderlichen Umfang herabzusetzen, sodass sich zusammen mit der Herabschreibung gemäß Z 1 bis 4 die Summe der gemäß § 89 Abs. 3 Z 2 und 3 genannten Beträge ergibt.“

5. Im Schlussteil des § 121 Abs. 2 wird das Wort „Daten“ durch das Wort „Informationen“ ersetzt.

6. § 122 Abs. 3 lautet:

„(3) Soweit die Voraussetzungen gemäß Abs. 1 Z 1 und 2 sowie gemäß Kapitel V der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1 erfüllt sind, umfasst die Befugnis zum Informationsaustausch auch die Verarbeitung und Übermittlung von personenbezogenen Daten an Drittlandsbehörden.“

7. § 131 samt Überschrift lautet:

„Rang in der Insolvenzrangfolge

§ 131. (1) Folgende Forderungen haben im Konkursverfahren denselben Rang, der höher ist als der Rang von Forderungen von nicht abgesicherten Gläubigern:

  1. 1. der Teil erstattungsfähiger Einlagen von natürlichen Personen, Kleinstunternehmen und kleinen und mittleren Unternehmen, der die gesicherten Einlagen überschreitet;
  2. 2. Einlagen, die als erstattungsfähige Einlagen von natürlichen Personen, Kleinstunternehmen und kleinen und mittleren Unternehmen gelten würden, wenn sie nicht auf Zweigstellen von Instituten mit Sitz in der Union zurückgehen würden, die sich außerhalb der Union befinden.

(2) Folgende Forderungen haben im Konkursverfahren denselben Rang, der höher als der Rang gemäß Abs. 1 ist:

  1. 1. gesicherte Einlagen,
  2. 2. Einlagensicherungseinrichtungen, die im Fall der Insolvenz in die Rechte und Pflichten der gesicherten Einleger eintreten.

(3) Bei Unternehmen gemäß § 1 Abs. 1 Z 1 bis 4 nehmen gewöhnliche unbesicherte Forderungen im Konkursverfahren einen höheren Rang ein als unbesicherte Forderungen aus Schuldtiteln, die folgende Voraussetzungen erfüllen:

  1. 1. die ursprüngliche vertragliche Laufzeit der Schuldtitel beträgt mindestens ein Jahr;
  2. 2. die Schuldtitel beinhalten keine eingebetteten Derivate und sind selbst keine Derivate;
  3. 3. in den einschlägigen Vertragsunterlagen und gegebenenfalls dem Prospekt im Zusammenhang mit der Emission wird explizit auf den niedrigeren Rang gemäß diesem Absatz hingewiesen.

(4) Unbesicherte Forderungen aus Schuldtiteln, die die Voraussetzungen gemäß Abs. 3 Z 1 bis 3 erfüllen, haben im Konkursverfahren einen höheren Rang als Forderungen aus in § 90 Abs. 1 Z 1 bis 4 genannten Instrumenten.

(5) Für den im Konkursverfahren vorgesehenen Rang von unbesicherten Forderungen aus Schuldtiteln, die von den Unternehmen gemäß § 1 Abs. 1 Z 1 bis 4 vor dem 30. Juni 2018 ausgegeben wurden, sind die bundesgesetzlichen Bestimmungen über das Konkursverfahren in der am 31. Dezember 2016 geltenden Fassung anzuwenden.

(6) Für die Zwecke von Abs. 3 Z 2 sind

  1. 1. Schuldtitel mit variabler Verzinsung, die sich aus einem in großem Umfang genutzten Referenzsatz herleiten, oder
  2. 2. nicht auf die Landeswährung des Emittenten lautende Schuldtitel, soweit Hauptforderung, Rückzahlung und Zinsen auf dieselbe Währung lauten,

    nicht allein wegen der in Z 1 oder Z 2 dieses Absatzes genannten Merkmale als Schuldtitel, die eingebettete Derivate umfassen, zu behandeln.

(7) Innerhalb des gleichen Ranges sind die Forderungen verhältnismäßig zu befriedigen.

(8) Die Forderungsanmeldung braucht keine Angabe der Rangordnung zu enthalten.“

8. Dem § 167 wird folgender Abs. 6 angefügt:

„(6) Das Inhaltsverzeichnis zu § 133, § 2 Z 49a, § 90 Abs. 1 Z 5 und § 131 in der Fassung des Bundesgesetzes BGBl. I Nr. 37/2018 treten mit 30. Juni 2018 in Kraft.“

Artikel 17

Änderung des Sanktionengesetzes 2010

Das Sanktionengesetz 2010 - SanktG, BGBl. I Nr. 36/2010, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 4/2015, wird wie folgt geändert:

§ 8 Abs. 3 lautet:

„(3) Gemäß Abs. 2 ermittelte personenbezogene Daten dürfen ausschließlich für Zwecke des Abs. 1 und nur durch besonders befugte Organe verarbeitet werden. Für den Fall, dass festgestellt wird, dass unrichtige oder entgegen den Bestimmungen dieses Bundesgesetzes ermittelte personenbezogene Daten aufbewahrt werden, so ist unverzüglich eine Berichtigung bzw. Löschung vorzunehmen. Dies gilt insbesondere für den Fall, dass Rechtsakte nach § 2 infolge von erhobenen Rechtsmitteln oder von Amts wegen als ungerechtfertigt aufgehoben werden. Auf der Grundlage von Abs. 1 verarbeitete personenbezogene Daten hat die Behörde mindestens einmal jährlich daraufhin zu überprüfen, ob sie zu berichtigen oder zu löschen sind.“

Artikel 18

Änderung des Versicherungsaufsichtsgesetzes 2016

Das Versicherungsaufsichtsgesetz 2016 - VAG 2016, BGBl. I Nr. 34/2015, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 17/2018, wird wie folgt geändert:

1. Im Inhaltsverzeichnis wird nach dem Eintrag zu § 268a folgender Eintrag eingefügt:

㤠268b.

Ermächtigung zur Verarbeitung von personenbezogenen Daten“

2. § 29 Abs. 6 lautet:

„(6) Ist mit der Bestandübertragung eine Übermittlung von personenbezogenen Daten in ein Drittland verbunden, so darf die Genehmigung nach Abs. 1 nur erteilt werden, wenn die Übermittlung nach Kapitel V der Verordnung (EU) 2016/679 zulässig ist.“

3. In § 109 Abs. 1 Z 4 wird der Verweis „§ 10 Abs. 1 erster Satz DSG 2000“ durch den Verweis „Art. 28 Abs. 1 der Verordnung (EU) 2016/679“ ersetzt und der Verweis „§ 11 DSG 2000“ durch den Verweis „Art. 28 Abs. 3 der Verordnung (EU) 2016/679“ ersetzt.

4. In § 229 Abs. 4 erster Satz wird nach dem Wort „haben“ die Wortfolge „und die Übermittlung personenbezogener Daten im Einklang mit Kapitel V der Verordnung (EU) 2016/679 steht“ eingefügt.

5. Nach § 268a wird folgender § 268b samt Überschrift eingefügt:

„Ermächtigung zur Verarbeitung von personenbezogenen Daten

§ 268b. Die FMA ist zur Verarbeitung von personenbezogenen Daten im Sinne der Verordnung (EU) 2016/679 ermächtigt, soweit dies für die Wahrnehmung ihrer Aufgaben nach diesem Bundesgesetz erforderlich ist.“

6. In § 298 Abs. 2 erster Satz wird nach dem Wort „haben“ die Wortfolge „und die Übermittlung personenbezogener Daten im Einklang mit Kapitel V der Verordnung (EU) 2016/679 steht“ eingefügt.

7. In § 342 Abs. 1 entfällt Z 33.

Artikel 19

Änderung des Wertpapieraufsichtsgesetzes 2018

Das Wertpapieraufsichtsgesetz 2018 - WAG 2018, BGBl. I Nr. 107/2017, zuletzt geändert durch die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. § 1 Z 8 lit. f lautet:

  1. „f) andere nicht komplexe Finanzinstrumente im Sinne dieses Absatzes, die die in Art. 57 der delegierten Verordnung (EU) 2017/565 festgelegten Kriterien erfüllen.“

2. § 1 Z 8 lit. g entfällt.

3. Im Schlussteil des § 1 Z 8 wird der Verweis „lit. a bis g“ durch den Verweis „lit. a bis f“ ersetzt.

4. In § 2 Abs. 3 wird der Verweis „§§ 33, 36, 45 bis 55, 58, 60, 90, § 92 Abs. 9 und 10 und §§ 94 bis 96“ durch den Verweis „§§ 30, 31, 33, 36, 45 bis 55, 58, 60, 90, § 92 Abs. 9 und 10 und §§ 94 bis 96“ ersetzt.

5. In § 12 wird das Wort „Wertpapierdienstleitungsunternehmens“ jeweils durch das Wort „Wertpapierdienstleistungsunternehmens“ sowie das Wort „Wertpapierdienstleitungsunternehmen“ durch das Wort „Wertpapierdienstleistungsunternehmen“ ersetzt.

6. § 14 Abs. 1 lautet:

„(1) Jeder, der beschlossen hat, eine qualifizierte Beteiligung an einer Wertpapierfirma oder einem Wertpapierdienstleistungsunternehmen direkt oder indirekt zu erwerben oder eine derartige qualifizierte Beteiligung direkt oder indirekt zu erhöhen (interessierter Erwerber), mit der Folge, dass sein Anteil an den Stimmrechten oder am Kapital die Grenzen von 20 vH, 30 vH oder 50 vH erreichen oder überschreiten würde oder die Wertpapierfirma oder das Wertpapierdienstleistungsunternehmen sein Tochterunternehmen würde (beabsichtigter Erwerb), hat dies der FMA zuvor schriftlich unter Angabe des Umfangs der geplanten Beteiligung anzuzeigen. Bei Anzeigen über eine qualifizierte Beteiligung an einer Wertpapierfirma sind die Informationen gemäß der Delegierten Verordnung (EU) 2017/1946 anzugeben, bei Anzeigen über eine qualifizierte Beteiligung an einem Wertpapierdienstleistungsunternehmen die Informationen gemäß § 16 Abs. 3. Die Anzeigepflicht gilt auch für gemeinsam handelnde Personen, die zusammengenommen eine qualifizierte Beteiligung erwerben oder erreichen würden. Die Anzeige kann durch alle gemeinsam, mehrere oder jeden der gemeinsam handelnden Personen einzeln vorgenommen werden.“

7. In § 15 Abs. 1 und 2 und § 16 Abs. 1 wird jeweils der Verweis „§ 15 Abs. 1“ durch den Verweis „§ 14 Abs. 1“ ersetzt.

8. In § 15 Abs. 2 wird der Verweis „§ 17 Abs. 3“ durch den Verweis „§ 16 Abs. 3“, sowie der Verweis auf „§ 17“ durch den Verweis auf „§ 16“ ersetzt.

9. In § 15 Abs. 5 wird der Verweis „§ 17 Abs. 1“ durch den Verweis „§ 16 Abs. 1“ ersetzt.

10. In § 15 Abs. 6 wird der Verweis „§ 17 Abs. 1 Z 1 bis 5“ durch den Verweis „§ 16 Abs. 1 Z 1 bis 5“ ersetzt.

11. § 16 Abs. 3 lautet:

„(3) Die FMA hat mittels Verordnung eine Liste von Informationen festzulegen, die der FMA zusammen mit Anzeigen über Beteiligungen an Wertpapierdienstleistungsunternehmen vorzulegen sind. Diese Informationen müssen für die aufsichtsrechtliche Beurteilung des Vorliegens der Kriterien gemäß Abs. 1 Z 1 bis 5 geeignet und erforderlich sein. Der Umfang der beizubringenden Informationen hat der Art des interessierten Erwerbers und der Art des beabsichtigten Erwerbs angemessen und angepasst zu sein. Dabei sind Umfang und Art der Beteiligung sowie die Größe und die Geschäftsbereiche des interessierten Erwerbers zu berücksichtigen.“

12. In § 29 Abs. 1 wird die Wortfolge „sowie den organisatorischen Anforderungen gemäß Kapitel II der delegierten Verordnung (EU) 2017/565“ durch die Wortfolge „sowie den organisatorischen Anforderungen und Ausübungsbedingungen des Kapitel II und des Kapitel III der delegierten Verordnung (EU) 2017/565“ ersetzt.

13. In § 33 Abs. 7 wird das Wort „entsprechenden“ durch das Wort „relevanten“ ersetzt.

14. § 62 Abs. 4 lautet:

„(4) Ein Rechtsträger darf weder eine Vergütung, einen Rabatt, noch einen nicht-monetären Vorteil für die Weiterleitung von Kundenaufträgen zu einem bestimmten Handelsplatz oder Ausführungsplatz erhalten, die einen Verstoß gegen die Anforderungen zu Interessenkonflikten oder Vorteilen gemäß § 29 Abs. 2 und 3, den §§ 30, 31, 45 bis 54, § 62 Abs. 1 und 3 sowie § 63 Abs. 3 darstellen würden.“

15. In § 64 Abs. 2 wird das Wort „Handelsplätze“ durch das Wort „Ausführungsplätze“ ersetzt.

16. § 71 Abs. 3 Z 2 lautet:

  1. „2. die Beachtung der Bestimmungen
    1. a) dieses Bundesgesetzes, insbesondere der §§ 7 und 10 und des 2. Hauptstücks,
    2. b) des Titel II (Art. 3 bis 13) sowie des Art. 26 der Verordnung (EU) 600/2014 ,
    3. c) des Kapitel II und des Kapitel III der delegierten Verordnung (EU) 2017/565 und
    4. d) der §§ 4 bis 17, § 19 Abs. 2, §§ 20 bis 24, § 29 und § 40 Abs. 1 des Finanzmarkt-Geldwäschegesetzes - FM-GwG, BGBl. I Nr. 118/2016.“

17. § 72 Abs. 3 erster Satz lautet:

„Wertpapierdienstleistungsunternehmen haben eine der in § 271 Abs. 1 UGB genannten Personen zur Prüfung der Beachtung der Bestimmungen dieses Bundesgesetzes, insbesondere der §§ 7 und 10 und des 2. Hauptstücks, sowie der §§ 4 bis 17, § 19 Abs. 2, §§ 20 bis 24, § 29 und § 40 Abs. 1 FM-GwG zu bestellen; die Vorschriften über die Auswahl der Abschlussprüfer gemäß § 271 Abs. 2 UGB sind anzuwenden.“

18. In § 73 Abs. 10 wird die Wortfolge „Auftraggeber im Sinne des § 4 Z 4 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999“ durch die Wortfolge „Verantwortlicher gemäß Art. 4 Z 7 der Verordnung (EU) 2016/679“ ersetzt.

19. § 89 Abs. 1 lautet:

„(1) Die Kosten der FMA aus dem Rechnungskreis Wertpapieraufsicht (§ 19 Abs. 1 Z 3 und Abs. 4 FMABG) sind von den meldepflichtigen Instituten, den Emittenten, den Wertpapierfirmen, den Wertpapierdienstleistungsunternehmen, den Wertpapierfirmen gemäß § 19 Abs. 1 sowie den Drittlandfirmen gemäß § 21 Abs. 1, die in Österreich Wertpapierdienstleistungen oder Anlagetätigkeiten über eine Zweigstelle ausüben, und den sonstigen, aufgrund anderer bundesgesetzlicher Bestimmungen im Rechnungskreis Wertpapieraufsicht kostenpflichtigen Rechtsträgern zu erstatten. Unter Beachtung des Verursacherprinzips und des volkswirtschaftlichen Interesses an einer funktionsfähigen Beaufsichtigung von Wertpapierdienstleistungen sind diese Aufsichtskosten nach der Kostenrechnung der FMA aufzuteilen. Die FMA hat zu diesem Zweck im Rechnungskreis Wertpapieraufsicht jedenfalls einen Subrechnungskreis für meldepflichtige Institute, einen für Emittenten mit Ausnahme des Bundes sowie einen gemeinsamen für Wertpapierfirmen, Wertpapierdienstleistungsunternehmen und Wertpapierfirmen gemäß § 19 Abs. 1 sowie Drittlandfirmen gemäß § 21 Abs. 1, die in Österreich Wertpapierdienstleistungen oder Anlagetätigkeiten über eine Zweigstelle ausüben, zu bilden. Die Kostenaufteilung innerhalb der Subrechnungskreise erfolgt gemäß der nach Abs. 2 zu erlassenden Verordnung.“

20. § 90 Abs. 5 lautet:

„(5) Die Übermittlung von Daten gemäß Abs. 4 und von Daten, die die FMA gemäß ihren Befugnissen ermitteln kann, sowie der Abschluss von Kooperationsvereinbarungen gemäß § 111 sind im Rahmen der Amtshilfe zulässig sowie an für Wertpapieraufsicht zuständige Behörden von Mitgliedstaaten, soweit dies für die Erfüllung von Aufgaben, die den Aufgaben der FMA nach diesem Bundesgesetz, dem BörseG 2018 oder der Verordnung (EU) 600/2014 entsprechen, oder für andere gesetzliche Aufgaben im Rahmen der Aufsicht über den Finanzmarkt der ersuchenden für Wertpapieraufsicht zuständigen Behörde erforderlich ist, und soweit ein begründetes Ersuchen vorliegt und die übermittelten Daten bei diesen Behörden einem dem Berufsgeheimnis gemäß § 14 FMABG entsprechenden Berufsgeheimnis unterliegen.“

21. § 90 Abs. 6 lautet:

„(6) Die Übermittlung von Daten gemäß Abs. 4 ist innerhalb desselben Rahmens, zu denselben Zwecken und mit denselben Beschränkungen wie an zuständige Behörden von Mitgliedstaaten gemäß Abs. 5 auch an Behörden von Drittländern, die den Aufgaben der FMA entsprechende Aufgaben wahrzunehmen haben, nur zulässig, soweit die übermittelten Daten bei diesen Behörden einem dem Berufsgeheimnis gemäß § 14 FMABG entsprechenden Berufsgeheimnis unterliegen und im Einklang mit Kapitel V der Verordnung (EU) 2016/679 stehen.“

22. In § 92 Abs. 9 wird der Verweis „gemäß § 79 Abs. 3“ durch den Verweis „gemäß § 90 Abs. 3“ ersetzt.

23. § 98 Abs. 3 Z 2 lautet:

  1. „2. einen angemessenen Schutz für die Mitarbeiter von Rechtsträgern gemäß Abs. 1, die Verstöße innerhalb ihres Instituts melden, zumindest vor Vergeltungsmaßnahmen, Diskriminierung oder anderen Arten von Mobbing;“

24. § 98 Abs. 3 Z 3 lautet:

  1. „3. den Schutz der Identität gemäß der Verordnung (EU) 2016/679 , sowohl für die Person, die die Verstöße anzeigt, als auch für die natürliche Person, die mutmaßlich für einen Verstoß verantwortlich ist, in allen Verfahrensstufen soweit nicht die Offenlegung der Identität im Rahmen eines staatsanwaltschaftlichen, gerichtlichen oder verwaltungsrechtlichen Verfahrens zwingend zu erfolgen hat.“

25. § 103 lautet:

§ 103. Bei Ausübung der Aufsichts- und Ermittlungsbefugnisse gemäß § 90 Abs. 3 sind die Bestimmungen der Verordnung (EU) 2016/679 sowie der Verordnung (EG) Nr. 45/2001 einzuhalten.“

26. § 106 Abs. 1 lautet:

„(1) Die FMA kann die zuständige Behörde eines anderen Mitgliedstaates um Zusammenarbeit bei einer Überwachung oder einer Überprüfung vor Ort oder einer Ermittlung ersuchen. Im Falle von Wertpapierfirmen, die Fernmitglieder eines geregelten Marktes in Österreich sind, kann die FMA sich auch direkt an diese wenden, wobei sie die zuständige Behörde des Herkunftsmitgliedstaats des Fernmitglieds davon in Kenntnis setzt. Im Falle eines Rechtsträgers, der seinen satzungsmäßigen Sitz oder seine Hauptverwaltung in Österreich hat und der Fernmitglied eines geregelten Marktes in einem anderen Mitgliedstaat ist, kann die zuständige Behörde des Herkunftsmitgliedstaats des geregelten Marktes sich direkt an den Rechtsträger wenden, wobei sie die FMA davon unverzüglich in Kenntnis setzt. Erhält die FMA ein Ersuchen um eine Überprüfung vor Ort oder eine Ermittlung, so hat sie im Rahmen ihrer Befugnisse tätig zu werden, indem sie

  1. 1. die Überprüfung oder Ermittlung selbst vornimmt oder
  2. 2. der ersuchenden Behörde die Durchführung der Überprüfung oder Ermittlung gestattet oder
  3. 3. Wirtschaftsprüfern oder Sachverständigen die Durchführung der Überprüfung oder Ermittlung gestattet.“

27. § 110 Abs. 1 lautet:

„(1) Hat die FMA als zuständige Behörde des Aufnahmemitgliedstaates klare und nachweisliche Gründe zu der Annahme, dass ein in Österreich im Rahmen des freien Dienstleistungsverkehrs tätiger Rechtsträger gemäß § 17 Abs. 1 oder § 90 Abs. 1 Z 4 gegen die Verpflichtungen verstößt, die ihm aus diesem Bundesgesetz oder dem BörseG 2018 sowie der Verordnung (EU) Nr. 600/2014 erwachsen, oder dass ein Rechtsträger gemäß § 19 Abs. 1 oder § 90 Abs. 1 Z 4 mit einer Zweigstelle in Österreich gegen Verpflichtungen verstößt, die ihm aus diesem Bundesgesetz oder dem BörseG 2018 sowie der Verordnung (EU) Nr. 600/2014 erwachsen, die der FMA als zuständige Behörde des Aufnahmemitgliedstaates keine Zuständigkeit übertragen, so hat sie ihre Erkenntnisse der zuständigen Behörde des Herkunftsmitgliedstaats mitzuteilen.“

28. § 111 Abs. 1 lautet:

„(1) Die FMA kann Kooperationsvereinbarungen über Informationsaustausch mit den zuständigen Behörden von Drittländern abschließen, sofern gewährleistet ist, dass die übermittelten Informationen zumindest einem § 14 FMABG entsprechenden Berufsgeheimnis unterliegen. Ein derartiger Informationsaustausch hat der Wahrnehmung der Aufgaben der FMA zu dienen. Die Übermittlung personenbezogener Daten an ein Drittland hat gemäß Kapitel V der Verordnung (EU) 2016/679 zu erfolgen.“

29. § 111 Abs. 3 lautet:

„(3) Die Kooperationsvereinbarungen gemäß Abs. 2 können nur geschlossen werden, wenn gewährleistet ist, dass die übermittelten Informationen zumindest einem § 14 FMABG entsprechenden Berufsgeheimnis unterliegen. Ein derartiger Informationsaustausch dient der Wahrnehmung der Aufgaben dieser Behörden, Stellen, natürlichen oder juristischen Personen. Beinhaltet eine Kooperationsvereinbarung die Übermittlung personenbezogener Daten, so hat diese Übermittlung im Einklang mit Kapitel V der Verordnung (EU) 2016/679 zu erfolgen.“

30. § 114 Abs. 3 Z 14 lautet:

  1. „14. Richtlinie 2014/65/EU über Märkte für Finanzinstrumente sowie zur Änderung der Richtlinien 2002/92/EG und 2011/61/EU , ABl. Nr. L 173 vom 12.06.2014 S. 349, zuletzt geändert durch die Richtlinie (EU) 2016/1034, ABl. Nr. L 175 vom 23.06.2016 S. 8, in der Fassung der Berichtigung, ABl. Nr. L 278 vom 27.10.2017 S. 56;“

31. § 114 Abs. 4 Z 19 lautet:

  1. „19. Delegierte Verordnung (EU) 2017/567 zur Ergänzung der Verordnung (EU) Nr. 600/2014 im Hinblick auf Begriffsbestimmungen, Transparenz, Portfoliokomprimierung und Aufsichtsmaßnahmen zur Produktintervention und zu den Positionen, ABl. Nr. L 87 S. 90, in der Fassung der Berichtigung, ABl. Nr. L 251 vom 29.09.2017 S. 30;“

32. Dem § 114 Abs. 4 wird folgende Z 20 angefügt:

  1. „20. Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1.“

Artikel 20

Änderung des Wirtschaftliche Eigentümer Registergesetzes

Das Wirtschaftliche Eigentümer Registergesetz - WiEReG, BGBl. I Nr. 136/2017, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 150/2017, wird wie folgt geändert:

1. In § 2 Z 1 entfällt in lit. a die Wortfolge „Geschäftsführung der“. In lit. a sublit. bb zweiter Satz wird die Wortfolge „Aktienanteil von 25 vH zuzüglich einer Aktie“ durch die Wortfolge „Anteil von Aktien oder Stimmrechten von mehr als 25 vH“ ersetzt. In lit. a sublit. bb wird die Wortfolge „direkt gehaltener Aktienanteil“ durch die Wortfolge „direkt gehaltener Anteil an Aktien oder Stimmrechten“ und die Wortfolge „direkt Aktien oder eine Beteiligung halten“ durch die Wortfolge „direkt Aktien, Stimmrechte oder eine Beteiligung halten“ ersetzt. Im Schlussteil der lit. a entfällt der Punkt nach der Wortfolge „bei einem obersten Rechtsträger gegeben“ und es wird die Wortgruppe „oder wenn die Gesellschaft auf andere Weise letztlich kontrolliert wird.“ eingefügt.

2. § 2 Z 1 lit. a sublit. aa lautet:

„aa) Direkter wirtschaftlicher Eigentümer: wenn eine natürliche Person einen Anteil von Aktien oder Stimmrechten von mehr als 25 vH oder eine Beteiligung von mehr als 25 vH an der Gesellschaft hält oder eine natürliche Person oder mehrere natürliche Personen gemeinsam direkt Kontrolle auf die Gesellschaft ausüben, so ist diese natürliche Person oder sind diese natürliche Personen direkte wirtschaftliche Eigentümer.“

3. § 2 Z 1 lit. a sublit. bb erster Satz lautet:

„Indirekter wirtschaftlicher Eigentümer: wenn ein Rechtsträger einen Anteil von Aktien oder Stimmrechten von mehr als 25 vH oder eine Beteiligung von mehr als 25 vH an der Gesellschaft hält und eine natürliche Person oder mehrere natürliche Personen gemeinsam direkt oder indirekt Kontrolle auf diesen Rechtsträger ausübt, so ist diese natürliche Person oder sind diese natürliche Personen indirekte wirtschaftliche Eigentümer der Gesellschaft.“

4. § 2 Z 1 lit. b sublit. bb lautet:

„bb) bei Erwerbs- und Wirtschaftsgenossenschaften gelten die Mitglieder der obersten Führungsebene (Vorstand) als wirtschaftlicher Eigentümer oder, sofern auch Geschäftsleiter eingetragen sind, nur die Geschäftsleiter als wirtschaftliche Eigentümer.“

5. In § 5 Abs. 1 wird das Wort „Dienstleisterin“ durch das Wort „Auftragsverarbeiterin“ ersetzt.

6. In § 5 Abs. 2 wird das Wort „Dienstleister“ durch das Wort „Auftragsverarbeiterin“ ersetzt.

7. In § 5 Abs. 3 wird nach der Wortfolge „von wirtschaftlichen Eigentümern“ ein Beistrich angefügt und die Wortfolge „von jenen natürlichen Personen, die für die Zwecke der automatisationsunterstützt erstellten Darstellung gemäß § 9 Abs. 5 Z 1 benötigt werden, und von vertretungsbefugten natürlichen Personen der Rechtsträger“ eingefügt.

8. Dem § 5 wird folgender Abs. 5 angefügt:

„(5) Wenn bei Rechtsträgern gemäß § 1 Abs. 2 Z 1, 2, 3, 4, 9, 10, 11 und 13 die wirtschaftlichen Eigentümer gemäß § 2 Z 1 lit. b festgestellt wurden, ist nur zu melden, dass die natürlichen Personen, die der obersten Führungsebene des Rechtsträgers angehören, als wirtschaftliche Eigentümer festgestellt wurden. Die Bundesanstalt Statistik Österreich hat diese aus dem Firmenbuch zu übernehmen und laufend aktuell zu halten.“

9. § 6 Abs. 1 bis 3 lautet:

„(1) Offene Gesellschaften gemäß § 1 Abs. 2 Z 1 und Kommanditgesellschaften gemäß § 1 Abs. 2 Z 2 sind von der Meldung gemäß § 5 befreit, wenn alle Gesellschafter natürliche Personen sind. Sind weniger als vier Gesellschafter im Firmenbuch eingetragen, dann sind diese als wirtschaftliche Eigentümer von der Bundesanstalt Statistik Österreich zu übernehmen. Wenn vier oder mehr Gesellschafter im Firmenbuch eingetragen sind, dann sind die im Firmenbuch eingetragenen geschäftsführenden Gesellschafter von der Bundesanstalt Statistik Österreich als wirtschaftliche Eigentümer zu übernehmen. Wenn eine andere natürliche Person wirtschaftlicher Eigentümer gemäß § 2 der offenen Gesellschaft oder der Kommanditgesellschaft ist, dann hat die offene Gesellschaft oder die Kommanditgesellschaft eine Meldung gemäß § 5 Abs. 1 vorzunehmen.

(2) Gesellschaften mit beschränkter Haftung gemäß § 1 Abs. 2 Z 4 sind von der Meldung gemäß § 5 befreit, wenn alle Gesellschafter natürliche Personen sind. Diesfalls sind die im Firmenbuch eingetragenen Gesellschafter von der Bundesanstalt Statistik Österreich als wirtschaftliche Eigentümer zu übernehmen, wenn diese eine Beteiligung von mehr als 25 vH halten. Hält kein Gesellschafter eine Beteiligung von mehr als 25 vH, so sind die im Firmenbuch eingetragenen Geschäftsführer von der Bundesanstalt Statistik Österreich als wirtschaftliche Eigentümer zu übernehmen. Wenn eine andere natürliche Person wirtschaftlicher Eigentümer gemäß § 2 der Gesellschaft mit beschränkter Haftung ist, dann hat die Gesellschaft mit beschränkter Haftung eine Meldung gemäß § 5 Abs. 1 vorzunehmen.

(3) Erwerbs- und Wirtschaftsgenossenschaften gemäß § 1 Abs. 2 Z 5 sind von der Meldung gemäß § 5 befreit. Diesfalls sind die im Firmenbuch eingetragenen Mitglieder des Vorstands oder, sofern auch Geschäftsleiter eingetragen sind, nur die Geschäftsleiter von der Bundesanstalt Statistik Österreich als wirtschaftliche Eigentümer zu übernehmen. Wenn eine andere natürliche Person wirtschaftlicher Eigentümer gemäß § 2 der Erwerbs- und Wirtschaftsgenossenschaft ist, dann hat die Erwerbs- und Wirtschaftsgenossenschaft eine Meldung gemäß § 5 Abs. 1 vorzunehmen.“

10. In § 6 Abs. 4 wird die Wortfolge „auf die Geschäftsführung einer der vorgenannten Gesellschaften“ durch die Wortfolge „auf die vorgenannten Gesellschaften“ ersetzt.

11. In § 6 Abs. 5 wird die Wortfolge „auf die Geschäftsführung des Vereins“ durch die Wortfolge „auf den Verein“ ersetzt.

12. § 6 Abs. 6 lautet:

„(6) Wenn ein Rechtsträger eine Meldung gemäß den vorgenannten Absätzen vornimmt oder auf die Meldebefreiung verzichtet, dann hat keine Übernahme der Daten durch die Bundesanstalt Statistik Österreich für diesen Rechtsträger zu erfolgen. Wenn die Voraussetzungen für die Befreiung in späterer Folge wieder zutreffen, kann der Rechtsträger dies im elektronischen Weg über das Unternehmensserviceportal an die Bundesanstalt Statistik Österreich als Auftragsverarbeiterin der Registerbehörde melden.“

13. In § 7 Abs. 1 wird die Wortfolge „gesetzlichen Dienstleisterinnen sowie allfälliger Subdienstleister“ durch die Wortfolge „gesetzlichen Auftragsverarbeiterinnen sowie allfälliger Sub-Auftragsverarbeiter“ ersetzt und der Verweis „Abs. 6“ durch den Verweis „Abs. 5“ ersetzt.

14. In § 7 Abs. 2 wird das Wort „Dienstleisterin“ durch das Wort „Auftragsverarbeiterin“ ersetzt.

15. In § 7 Abs. 5 wird das Wort „Auftraggeber“ durch das Wort „Verantwortlicher“ sowie das Wort „Dienstleisterinnen“ durch das Wort „Auftragsverarbeiterinnen“ ersetzt.

16. § 9 Abs. 1 Z 1 lautet:

  1. „1. Kreditinstitute gemäß § 2 Z 1 FM-GwG, Abbaugesellschaften gemäß § 162 BaSAG, Abbaueinheiten die gemäß § 2 GSA gegründet wurden, Abbaueinheiten gemäß § 83 BaSAG und Versicherungsunternehmen gemäß § 2 Z 2 lit. b FM-GwG;“

17. In § 9 Abs. 4 wird im Schlussteil der Verweis „gemäß Abs. 1 Z 1, 2, 7 und 14“ durch den Verweis „gemäß Abs. 1 Z 1, 2 und 7“ ersetzt und es wird der folgende Satz angefügt:

„Bei Begünstigten von Rechtsträgern gemäß § 1 Abs. 2 Z 12, 17 und 18 und vergleichbaren Rechtsträgern mit Sitz in einem anderen Mitgliedstaat oder in einem Drittland, die oberste Rechtsträger sind, hat der Auszug, außer bei Verpflichteten gemäß Abs. 1 Z 1, 2 und 7, anstelle der Wohnsitze der direkten und indirekten wirtschaftlichen Eigentümer gemäß Z 5 lit. e und Z 6 lit. e nur das Wohnsitzland zu enthalten.“

18. In § 11 Abs. 3 und 5 wird das Wort „Dienstleisterin“ jeweils durch das Wort „Auftragsverarbeiterin“ ersetzt.

19. In § 12 Abs. 3 wird die Wortfolge „die Strafverfolgungsbehörden“ durch die Wortfolge „die Kriminalpolizei, die Staatsanwaltschaften und die Gerichte“ ersetzt.

20. In § 13 Abs. 2, 3 und 4 wird das Wort „Dienstleisterin“ jeweils durch das Wort „Auftragsverarbeiterin“ ersetzt.

21. Der zweite Satz des § 14 Abs. 3 lautet:

„Zuständig für die Verhängung von Zwangsstrafen gemäß § 16 ist jenes Finanzamt, das zur Erhebung der Abgaben vom Einkommen des Rechtsträgers örtlich zuständig ist oder gemäß § 1 Abs. Z 3 KStG zuständig wäre.“

22. § 14 Abs. 5 lautet:

„(5) Wenn eine betroffene Person gemäß Art. 16 oder 17 Verordnung (EU) 2016/679 eine Berichtigung oder Löschung von personenbezogenen Daten verlangt, dann hat die Registerbehörde die personenbezogenen Daten bei Vorliegen der Voraussetzungen des Art. 16 zu berichtigen und bei Vorliegen der Voraussetzungen des Art. 17 zu löschen. Es ist ein Hinweis aufzunehmen, wenn Daten gemäß Art. 16 Verordnung (EU) 2016/679 berichtigt oder gemäß Art. 17 Verordnung (EU) 2016/679 gelöscht wurden. Wenn eine betroffene Person zusätzlich eine Einschränkung der Verarbeitung gemäß Art. 18 Verordnung (EU) 2016/679 verlangt, dann hat die Registerbehörde die Einschränkung der Verarbeitung im Register anzumerken, wenn die Voraussetzungen des Art. 18 Abs. 1 Verordnung (EU) 2016/679 vorliegen. Die Einschränkung der Verarbeitung bewirkt, dass in Auszügen aus dem Register die betroffenen personenbezogenen Daten nicht angezeigt werden und auf die Einschränkung der Verarbeitung gemäß Art. 18 Verordnung (EU) 2016/679 hingewiesen wird. Die Registerbehörde hat den betroffenen Rechtsträger über eine Berichtigung, Löschung und Einschränkung der Verarbeitung zu informieren und einen Vermerk gemäß § 13 Abs. 3 zu setzen.“

23. Dem § 14 wird folgender Abs. 8 angefügt:

„(8) Die Registerbehörde kann mit Bescheid feststellen, dass keine Berechtigung zur Einsicht gemäß § 9 besteht oder sie kann einen Verpflichteten mit Bescheid von der Einsicht gemäß § 9 auf bestimmte oder unbestimmte Dauer ausschließen, wenn dieser das Register unrechtmäßig oder missbräuchlich nützt oder genützt hat. Einem Rechtsmittel gegen solche Bescheide kommt keine aufschiebende Wirkung zu. Zwölf Monate nach Rechtskraft eines Bescheides, mit dem ein Verpflichteter von der Einsicht gemäß § 9 ausgeschlossen wurde, hat die Registerbehörde dem Verpflichteten auf Antrag wieder Einsicht in das Register zu gewähren, wenn zu erwarten ist, dass das unrechtmäßige oder missbräuchliche Verhalten nicht wiederholt werden wird.“

24. In § 15 Abs. 3 lautet:

„(3) Eines Finanzvergehens macht sich weiters schuldig, wer vorsätzlich unbefugt Einsicht in das Register nimmt und ist mit einer Geldstrafe bis zu 30 000 Euro zu bestrafen.“

25. In § 15 Abs. 4 wird nach dem Wort „wer“ das Wort „vorsätzlich“ eingefügt.

26. In § 15 Abs. 5 wird der Verweis „Abs. 1 bis 3“ durch den Verweis „Abs. 1 bis 4“ ersetzt.

27. In § 16 Abs. 1 wird folgender zweiter Satz angefügt:

„Die Androhung der Zwangsstrafe ist mit Setzung einer Frist von drei Monaten vorzunehmen.“

28. Dem § 19 wird folgender Abs. 3 angefügt:

„(3) § 2 Z 1, § 5 Abs. 3, § 6 Abs. 1 bis 6, § 9 Abs. 1 Z 1, § 12 Abs. 3, § 14 Abs. 3, § 15 Abs. 3 bis 5, § 16 Abs. 1 und § 20 Abs. 1 in der Fassung des Bundesgesetzes BGBl. I Nr. 37/2018 treten mit 1. August 2018 in Kraft. § 5 Abs. 5 tritt mit 1. Oktober 2018 in Kraft. Für alle von § 5 Abs. 5 erfassten Rechtsträger, die wirtschaftliche Eigentümer gemäß § 2 Z 1 lit. b vor diesem Stichtag gemeldet haben, sind mit diesem Stichtag die natürlichen Personen, die der obersten Führungsebene des Rechtsträgers angehören, von der Bundesanstalt Statistik Österreich aus dem Firmenbuch zu übernehmen und laufend aktuell zu halten.“

29. In § 20 Abs. 1 wird der Punkt am Ende der Z 21 durch einen Beistrich ersetzt; folgende Z 22 und 23 werden angefügt:

  1. „22. Bundesgesetz zur Schaffung einer Abbaueinheit (GSA), BGBl. I Nr. 51/2014;
  2. 23. Bundesgesetz über die Sanierung und Abwicklung von Banken (Sanierungs- und Abwicklungsgesetz - BaSAG), BGBl. I Nr. 98/2014.“

30. In § 20 wird der folgende Abs. 3 angefügt:

„(3) Soweit in diesem Bundesgesetz auf Verordnungen der Europäischen Union Bezug genommen wird, sind diese, wenn nicht Anderes angeordnet ist, in der nachfolgend genannten Fassung maßgeblich:

  1. 1. Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1.“

Artikel 21

Änderung des Zahlungsdienstegesetzes 2018

Das Zahlungsdienstegesetz 2018 - ZaDiG 2018, BGBl. I Nr. 17/2018, wird wie folgt geändert:

1. In § 20 Abs. 3 Z 3 wird der Verweis „§ 14 DSG 2000“ durch den Verweis „Art. 24, 25 und 32 der Verordnung (EU) 2016/679“ ersetzt.

2. § 24 lautet:

§ 24. Zahlungsinstitute haben für die Zwecke des 2. Hauptstücks dieses Bundesgesetzes alle relevanten Aufzeichnungen und Belege mindestens fünf Jahre aufzubewahren. Die Verwendung der für die Zwecke des 2. Hauptstücks verarbeiteten Daten ist für Zwecke der Verhütung, Ermittlung oder Feststellung von Betrugsfällen im Zahlungsverkehr nach Maßgabe des Datenschutzgesetzes - DSG, BGBl. I Nr. 165/1999, der Verordnung (EU) 2016/679 und der Verordnung (EG) Nr. 45/2001 sowie nach Maßgabe der gesetzlichen Zuständigkeiten zulässig. Zahlungsdienstleister dürfen die für das Erbringen ihrer Zahlungsdienste notwendigen personenbezogenen Daten nur mit der ausdrücklichen Einwilligung des Zahlungsdienstnutzers verarbeiten.“

3. In § 88 Abs. 1 entfällt die Wortfolge „des § 3 Abs. 4 und“.

4. Der Einleitungsteil des § 90 Abs. 1 lautet:

„Die FMA und die Oesterreichische Nationalbank sind zur Verarbeitung von personenbezogenen Daten im Sinne der Verordnung (EU) 2016/679 ermächtigt, soweit dies für die Wahrnehmung ihrer Aufgaben nach diesem Bundesgesetz erforderlich ist; das sind:“

5. § 90 Abs. 3 lautet:

„(3) Die Übermittlung von Daten gemäß Abs. 1 durch die FMA ist innerhalb desselben Rahmens, zu denselben Zwecken und mit denselben Beschränkungen wie an zuständige Behörden von Mitgliedstaaten gemäß Abs. 2 auch an Behörden von Drittländern, die den Aufgaben der FMA oder der Oesterreichischen Nationalbank entsprechende Aufgaben wahrzunehmen haben, nur zulässig, soweit die zu übermittelnden Daten bei diesen Behörden einem dem Berufsgeheimnis in Art. 24 der Richtlinie (EU) 2015/2366 entsprechenden Berufsgeheimnis unterliegen und im Einklang mit Kapitel V der Verordnung (EU) 2016/679 stehen.“

6. In § 90 Abs. 4 wird der Verweis „§§ 24 und 25 DSG 2000“ durch den Verweis „Art. 13 und 14 der Verordnung (EU) 2016/679“ ersetzt.

7. § 93 Abs. 1 lautet:

„(1) Die FMA hat alle Untersuchungen durchzuführen und jene Maßnahmen zu ergreifen, die zur Wahrnehmung der ihr nach diesem Bundesgesetz gemäß § 88 Abs. 1 zukommenden Aufgaben oder zur Verfolgung der in § 99 Abs. 3 genannten Übertretung erforderlich sind.“

8. § 117 Abs. 3 Z 1 entfällt.

9. Dem § 117 Abs. 4 wird folgende Z 11 angefügt:

  1. „11. Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1.“

2. Abschnitt

Bundeshaushalt, Transparenzdatenbank

Artikel 22

Änderung des Bundeshaushaltsgesetzes 2013

Das Bundeshaushaltsgesetz 2013 - BHG 2013, BGBl. I Nr. 139/2009, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 30/2018, wird wie folgt geändert:

1. Im Inhaltsverzeichnis:

a) lauten die dem Eintrag zu § 12 vorangehenden Überschriften:

„2. Hauptstück
Haushaltsplanung

1. Abschnitt
Mittelfristige Haushaltsplanung“

b) lautet der Eintrag zu § 26:

„§ 26. Voranschlagsstellen und Voranschlagskonten“

c) wird nach dem Eintrag zu § 44 folgender Eintrag eingefügt:

„§ 44a. IKT-Lösungen und IT-Verfahren für das Personalmanagement“

d) wird im Eintrag zu § 61 das Wort „begründeten“ durch das Wort „begründenden“ ersetzt;

e) lautet der Eintrag zu § 67:

„§ 67. Beteiligungs- und Finanzcontrolling“

f) lauten die dem Eintrag zu § 87 vorangehenden Überschriften:

„4. Hauptstück
Anordnungen im Gebarungsvollzug, Verrechnung, Kosten- und Leistungsrechnung, Zahlungsverkehr, Innenprüfung sowie Rechnungsprüfung und Bundesrechnungsabschluss

1. Abschnitt
Anordnungen im Gebarungsvollzug“

g) werden nach dem Eintrag zu § 104 folgende Einträge eingefügt:

㤠104a. Auftragsverarbeiter (Art. 4 Z 8 DSGVO)

§ 104b. Information

§ 104c. Auskunft

§ 104d. Berichtigung

§ 104e. Löschung

§ 104f. Einschränkung der Verarbeitung

§ 104g. Datenübertragbarkeit

§ 104h. Widerspruch“

h) lautet der Eintrag zur Überschrift des 6. Abschnitts:

„6. Abschnitt
Prüfung der Abschlussrechnungen und Bundesrechnungsabschluss“

i) entfällt der Eintrag zu § 118.

2. In § 47 Abs. 4 wird die Wortfolge „zumindest nach Voranschlagsstellen und Aufgabenbereichen“ durch die Wortfolge „nach Voranschlagsstellen, Aufgabenbereichen, Konten samt deren Bezeichnung und Verwendungszweck“ ersetzt.

2. Dem § 89 wird folgender Abs. 9 angefügt:

„(9) Haushaltsrechtliche Daten sind einschließlich personenbezogener Daten nach dem Ende eines Verwendungszweckes, für den sie verarbeitet wurden, und nach Abschluss des Bundesrechnungsabschlusses für sieben Jahre für Weiterverarbeitungen im Rahmen von internen Auswertungen von der Bundesministerin für Finanzen oder dem Bundesminister für Finanzen als Verfahrensorganisator (§ 4 Abs. 1 Bundeshaushaltsverordnung - BHV 2013, BGBl. II Nr. 266/2010) zur Verfügung zu halten.“

3. Nach § 104 werden folgende §§ 104a bis 104h samt Überschriften eingefügt:

„Auftragsverarbeiter (Art. 4 Z 8 DSGVO)

§ 104a. (1) Auftragsverarbeiter nach Art. 4 Z 8 DSGVO sind die Bundesrechenzentrum GmbH für die Wartung und den Betrieb des HV-Systems (§ 4 Abs. 1 BHV 2013) und die Buchhaltungsagentur des Bundes für die Erfüllung der Aufgaben nach § 9 Abs. 3 und 5.

(2) Die Verpflichtungen der Auftragsverarbeiter nach Art. 28 DSGVO betreffend die Haushaltsführung des Bundes sind in Verträgen, in denen der Gegenstand, die Dauer sowie die Art und Zweck der Verarbeitung und die Art der personenbezogenen Daten, die Kategorien der betroffenen Personen und die Pflichten und Rechte des Verantwortlichen festgelegt werden, zwischen der Republik Österreich, vertreten durch die Bundesministerin für Finanzen oder den Bundesminister für Finanzen, und den jeweiligen Auftragsverarbeitern zu vereinbaren. Soweit der Wirkungsbereich der Präsidentin des Nationalrates oder des Präsidenten des Nationalrates oder der Präsidentin des Bundesrates oder des Präsidenten des Bundesrates betroffen ist, sind die Verträge durch die Republik Österreich, vertreten

  1. 1. durch die Präsidentin des Nationalrates oder den Präsidenten des Nationalrates oder
  2. 2. durch die Bundesministerin für Finanzen oder den Bundesminister für Finanzen im Einvernehmen mit der Präsidentin des Nationalrates oder mit dem Präsidenten des Nationalrates

    abzuschließen.

Information

§ 104b. Informationen nach Art. 13 oder 14 DSGVO sind, soweit diese nicht durch die Bundesministerin für Finanzen oder den Bundesminister für Finanzen als Verfahrensorganisator erteilt werden, von den jeweiligen Verantwortlichen nach § 104a Abs. 1 zur Verfügung zu stellen, in deren Wirkungsbereich die personenbezogenen Daten beim Betroffenen oder anderwertig erhoben wurden.

Auskunft

§ 104c. (1) Das Recht der betroffenen Person auf Auskunft nach Art. 15 DSGVO besteht gegenüber den Verantwortlichen nach § 104a Abs. 1 nicht, soweit

  1. 1. die ordnungsgemäße Erfüllung der Aufgaben dieser Verantwortlichen beeinträchtigt werden würde oder
  2. 2. die Auskunft Rückschlüsse auf geplante Kontroll-, Überwachungs- oder Prüfungsmaßnahmen zulassen könnte.

(2) Die Verantwortlichen nach § 104a Abs. 1 können von der betroffenen Person verlangen, am Auskunftsverfahren nach Art. 15 DSGVO in dem ihr zumutbaren Ausmaß mitzuwirken, um einen ungerechtfertigten oder unverhältnismäßigen Aufwand beim Verantwortlichen zu vermeiden. Sie hat insbesondere zu präzisieren, auf welche Informationen oder Verarbeitungsvorgänge sich das Auskunftsersuchen bezieht.

(3) Die Erfüllung des Auskunftsrechts hat, soweit diese nicht durch die Bundesministerin für Finanzen oder den Bundesminister für Finanzen als Verfahrensorganisator erfolgt, seitens des jeweiligen Verantwortlichen nach § 104a Abs. 1 für jene personenbezogenen Daten zu erfolgen, die im Zusammenhang mit den von ihm geführten Verfahren in seinem Wirkungsbereich verarbeitet werden.

Berichtigung

§ 104d. (1) Bei unrichtigen oder unvollständigen personenbezogenen Daten besteht kein Recht auf Berichtigung nach Art. 16 DSGVO gegenüber den Verantwortlichen nach § 104a Abs. 1, wenn

  1. 1. die ordnungsgemäße Erfüllung der Aufgaben der Haushaltsführung dieser Verantwortlichen beeinträchtigt werden würde oder
  2. 2. die Berichtigung nur von der betroffenen Person selbst bei der zuständigen Stelle eines Registers eingefordert werden kann.

(2) Soweit eine nachträgliche Änderung mit dem haushaltsrechtlichen Dokumentationszweck unvereinbar ist, hat eine Berichtigung, Aktualisierung oder Vervollständigung mittels eines ergänzenden Vermerks zu erfolgen. Ist eine Berichtigung, Aktualisierung oder Vervollständigung nicht möglich, ist dies zu vermerken.

(3) Die Erfüllung des Rechts auf Berichtigung (Art. 16 DSGVO) und der Pflicht zur Mitteilung der Berichtigung an die Empfänger (Art. 19 DSGVO) hat, soweit diese Rechte nicht durch die Bundesministerin für Finanzen oder den Bundesminister für Finanzen als Verfahrensorganisator erfolgen, seitens des jeweiligen Verantwortlichen nach § 104a Abs. 1 für jene personenbezogenen Daten zu erfolgen, die im Zusammenhang mit den von ihm geführten Verfahren in seinem Wirkungsbereich verarbeitet werden.

Löschung

§ 104e. (1) Für Zeiten einer durch Gesetz oder Verordnung vorgesehenen Aufbewahrungspflicht besteht hinsichtlich der Verarbeitung von personenbezogenen Daten kein Recht auf Löschung nach Art. 17 DSGVO.

(2) Im Rahmen des Vollzuges der Haushaltsführung des Bundes verwendete personenbezogene Daten sind nach dem Ende der Aufbewahrungsfrist zu löschen.

(3) Die Erfüllung des Rechts auf Löschung (Art. 17 DSGVO) und der Pflicht zur Mitteilung der Löschung an die Empfänger (Art. 19 DSGVO) hat ausschließlich durch die Bundesministerin oder den Bundesminister für Finanzen als Verfahrensorganisator zu erfolgen.

Einschränkung der Verarbeitung

§ 104f. (1) Die betroffene Person hat gegenüber den Verantwortlichen nach § 104a Abs. 1 kein Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO, wenn dadurch die ordnungsgemäße Erfüllung der Aufgaben der Haushaltsführung der Verantwortlichen beeinträchtigt werden würde.

(2) Die Erfüllung des Rechts auf Einschränkung der Verarbeitung (Art. 18 DSGVO) und der Pflicht zur Mitteilung der Einschränkung der Vearbeitung an die Emfpänger (Art. 19 DSGVO) hat, soweit diese nicht durch die Bundesministerin für Finanzen oder den Bundesminister für Finanzen als Verfahrenorganisator erfolgt, seitens des jeweiligen Verantwortlichen nach § 104a Abs. 1 für jene personenbezogenen Daten zu erfolgen, die im Zusammenhang mit den von ihm geführten Verfahren in seinem Wirkungsbereich verarbeitet werden.

Datenübertragbarkeit

§ 104g. Die betroffene Person hat gegenüber den Verantwortlichen nach § 104a Abs. 1 kein Recht auf Datenübertragbarkeit nach Art. 20 Abs. 1 oder 2 DSGVO, wenn dadurch die ordnungsgemäße Erfüllung der Aufgaben der Haushaltsführung dieser Verantwortlichen beeinträchtigt werden würde.

Widerspruch

§ 104h. (1) Die betroffene Person hat gegenüber den Verantwortlichen nach § 104a Abs. 1 kein Recht auf Widerspruch nach Art. 21 DSGVO, wenn

  1. 1. die Verarbeitung zur Erfüllung einer im öffentlichen Interesse der Haushaltsführung liegenden Aufgabe erforderlich ist oder
  2. 2. dadurch die ordnungsgemäße Erfüllung der Aufgaben der Haushaltsführung beeinträchtigt werden würde.“

5. Dem § 122 werden folgende Abs. 14 bis 16 angefügt:

„(14) Die §§ 47 Abs. 4 und 89 Abs. 9 sowie die §§ 104a bis 104h samt Überschriften in der Fassung des BGBl. I Nr. 37/2018 treten mit 25. Mai 2018 in Kraft.

(15) Operative Daten aus den automatisierten IT-Verfahren für die Haushaltsführung des Bundes vor dem 1. Jänner 2013 stehen mit der Inkraftsetzung der DSGVO für die haushaltsleitenden Organe nicht mehr auswertbar zur Verfügung.

(16) Die Erfüllung der Pflichten nach der DSGVO gilt für alle haushaltsrechtlichen Geschäftsfälle, bei denen personenbezogene Daten erstmals ab dem 25. Mai 2018 verarbeitet werden.“

Artikel 23

Änderung des Transparenzdatenbankgesetzes 2012

Das Transparenzdatenbankgesetz 2012 - TDBG 2012, BGBl. I Nr. 99/2012, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 117/2016, wird wie folgt geändert:

1. Im Inhaltsverzeichnis wird in der den § 12 betreffenden Zeile das Wort „Auftraggeber“ durch die Worte „Datenschutzrechtlich Verantwortlicher“ ersetzt.

2. Im Inhaltsverzeichnis wird in der den § 18 betreffenden Zeile das Wort „Dienstleister“ durch das Wort „Auftragsverarbeiter“ ersetzt.

3. Im Inhaltsverzeichnis entfallen in der den § 31 betreffenden Zeile die Worte „und Löschung“.

4. Im Inhaltsverzeichnis lautet die Überschrift im 7. Abschnitt „Datenschutz und Schlussbestimmungen“.

5. Im Inhaltsverzeichnis werden im 7. Abschnitt vor der den § 37 betreffenden Zeile folgende Zeilen eingefügt:

㤠36a.

Automatisierte Datenverarbeitung

§ 36b.

Auskunft

§ 36c.

Information

§ 36d.

Berichtigung

§ 36e.

Löschung“

6. § 2 lautet:

§ 2. (1) Die Verarbeitung von personenbezogenen Daten (im Folgenden: „Daten“) im Sinne der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, (im Folgenden: DSGVO) von Leistungsempfängern und Einkommensbeziehern in der Transparenzdatenbank und im Transparenzportal erfolgt zum Zweck der

  1. 1. einheitlichen und übersichtlichen Darstellung des Einkommens und sämtlicher angebotener und erhaltener Leistungen im Sinne des § 4 (Informationszweck),
  2. 2. einfachen und raschen Erbringung von Nachweisen für Leistungsempfänger und leistende Stellen (Nachweiszweck),
  3. 3. Auswertung ausschließlich für statistische, planerische und steuernde Zwecke (Steuerungszweck) und
  4. 4. Überprüfung des Vorliegens der für die Gewährung, die Einstellung oder die Rückforderung einer Leistung im Sinne des § 4 erforderlichen Voraussetzungen (Überprüfungszweck).

(2) Der Personenbezug der Daten, die in der Transparenzdatenbank verarbeitet werden, ist derart zu gestalten, dass der Verantwortliche, Auftragsverarbeiter oder Übermittlungsempfänger die Identität der betroffenen Person mit rechtlich zulässigen Mitteln nicht bestimmen kann.“

7. Dem § 4 wird folgender Abs. 4 angefügt:

„(4) Leistungen im Sinne dieses Bundesgesetzes sind auch Leistungen, die von Gemeinden zu einem im eigenen Wirkungsbereich erstellten Leistungsangebot ausbezahlt und an die Transparenzdatenbank mitgeteilt werden (Gemeindeleistungen). Alle Regelungen betreffend Leistungen der Länder gelten sinngemäß auch für Gemeindeleistungen.“

8. § 12 samt Überschrift lautet:

„Datenschutzrechtlich Verantwortlicher

§ 12. Der Bundesminister für Finanzen ist datenschutzrechtlich Verantwortlicher (im Folgenden: „Verantwortlicher“) für die Transparenzdatenbank und das Transparenzportal. Er hat deren Einrichtung und Betrieb zu gewährleisten.“

9. In § 17 wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.

10. Die Überschrift zu § 18 sowie dessen Paragraphenbezeichnung und Abs. 1 lauten:

„Auftragsverarbeiter

§ 18. (1) Die Bundesrechenzentrum Gesellschaft mit beschränkter Haftung (BRZ GmbH) ist für die Transparenzdatenbank und das Transparenzportal gesetzlicher Auftragsverarbeiter, wobei sie sich weiterer Auftragsverarbeiter bedienen kann.“

11. In § 19 Abs. 2 Z 4 wird der Punkt durch einen Strichpunkt ersetzt und es wird folgende Z 5 angefügt:

  1. „5. die dem Verantwortlichen in den §§ 36b, 36d und 36e übertragenen Aufgaben wahrzunehmen.“

12. § 21 Abs. 1 Z 3 lautet:

  1. „3. die Voraussetzungen für die Gewährung, die Einstellung und die Rückforderung der Leistung auszuweisen und dabei besondere Kategorien personenbezogener Daten im Sinne des Art. 9 Z 1 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, (im Folgenden: DSGVO) besonders zu bezeichnen;“

13. § 23 Abs. 3 lautet:

„(3) Durch die Ermöglichung der Abfrage von Daten über Leistungen (Abs. 1 und 5) oder durch die Mitteilung von Daten über Leistungen (Abs. 2 und 4) ändert sich nichts an der Stellung des die Abfrage Duldenden oder des Mitteilenden als Verantwortlicher für die Verarbeitung von Daten außerhalb des Anwendungsbereiches dieses Bundesgesetzes.“

14. In § 23 Abs. 4 wird das Wort „Dienstleisters“ durch das Wort „Auftragsverarbeiters“ ersetzt.

15. In § 25 Abs. 1 lit. a wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.

16. In § 25 Abs. 4 wird jeweils das Wort „Auftraggeber“ durch das Wort „Verantwortlicher“ in der grammatikalisch zutreffenden Form ersetzt.

17. § 31 samt Überschrift lautet:

„Richtigstellung von Daten

§ 31. Eine nachträgliche Richtigstellung der mitgeteilten Daten durch die leistende Stelle ist unverzüglich, oder wenn dies unzumutbar ist, spätestens bis zum Ablauf des Monats, dem Bundesminister für Finanzen mitzuteilen. Dieser hat nach Prüfung der Mitteilung die Richtigstellung der Daten in der Transparenzdatenbank zu veranlassen.“

18. § 32 Abs. 6 erster und zweiter Satz lautet:

„Zur Erfüllung des Überprüfungszwecks erhalten abfrageberechtigte Stellen der Länder und Gemeinden über das Transparenzportal nach eindeutiger elektronischer Identifizierung der abfragenden Person die Leseberechtigung für jene Daten, die für die Gewährung, die Einstellung oder die Rückforderung einer Leistung durch diese konkrete abfrageberechtigte Stelle für eine bestimmte Aufgabe jeweils erforderlich sind. Die Einsicht steht in jenem Zeitraum zu, für welchen das jeweilige Land oder die jeweilige Gemeinde Leistungsmitteilungen, ausgenommen Mitteilungen im Sinne des § 23 Abs. 4, in die Transparenzdatenbank übermittelt.“

19. In § 32 Abs. 7 entfallen die Worte „oder deren Dienstleister im Sinne des § 23 Abs. 2 dritter Satz“.

20. Die Überschrift im 7. Abschnitt lautet:

„Datenschutz und Schlussbestimmungen“

21. Im 7. Abschnitt werden vor dem § 37 folgende §§ 36a bis 36e samt Überschriften eingefügt:

„Automatisierte Datenverarbeitung

§ 36a. Die automatisierte Verarbeitung von Daten durch den Verantwortlichen ist zulässig, wenn sie für Zwecke dieses Bundesgesetzes oder sonst zur Erfüllung seiner Aufgaben, die ihm übertragen wurden, erforderlich ist. Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO durch den Verantwortlichen ist nach Maßgabe dieses Bundesgesetzes zulässig.

Auskunft

§ 36b. (1) Die betroffene Person kann sich über die sie betreffenden Daten durch Transparenzportalabfrage gemäß § 32 Abs. 1 und 2 Kenntnis verschaffen.

(2) Über Verlangen einer betroffenen Person sind die sie betreffenden Daten durch den Verantwortlichen schriftlich zur Verfügung zu stellen. Zu diesem Zweck ist der Verantwortliche zur personenbezogenen Abfrage sämtlicher Daten der betroffenen Person berechtigt.

(3) Das Recht der betroffenen Person auf Auskunft gemäß Art. 15 DSGVO besteht gegenüber dem Verantwortlichen nicht, wenn sie

  1. 1. die Möglichkeit zu einer Transparenzportalabfrage (Abs. 1) hat, oder
  2. 2. im Auskunftsverfahren gemäß Abs. 2 nicht ausreichend mitwirkt, um dem Verantwortlichen die personenbezogene Abfrage sämtlicher sie betreffenden Daten zu ermöglichen.

(4) Die Nichterteilung einer verlangten Auskunft ist der betroffenen Person zur Kenntnis zu bringen.

Information

§ 36c. (1) Die Informationen gemäß Art. 14 DSGVO sind im Internet am Transparenzportal unentgeltlich bereit zu stellen.

(2) Über Verlangen einer Person, die keine Möglichkeit zum elektronischen Erhalt der gemäß Abs. 1 bereitgestellten Informationen hat, sind diese Informationen vom Verantwortlichen schriftlich zur Verfügung zu stellen.

Berichtigung

§ 36d. Der Verantwortliche hat unverzüglich die Berichtigung von Daten, die gemäß § 23 durch leistende Stellen mitgeteilt oder durch Abfrage von bestehenden Datenbanken ermittelt werden, zu veranlassen. Kann die Berichtigung nicht unverzüglich erfolgen, so ist die behauptete Unrichtigkeit in der betreffenden Leistungsmitteilung (§ 25) ergänzend zu vermerken. Nach Klärung der behaupteten Unrichtigkeit ist diese gegebenenfalls zu berichtigen und der ergänzende Vermerk zu beseitigen.

Löschung

§ 36e. (1) Die in der Transparenzdatenbank gespeicherten Daten sind zehn Jahre zum Zweck der Abfrage gemäß § 32 Abs. 5, 6 und 7 bereit zu halten. Für Zwecke der Abfrage gemäß § 32 Abs. 1 und 2, sowie für Zwecke der Auswertungen nach § 34 und anderer Verarbeitungen durch die Bundesanstalt Statistik Österreich nach dem Bundesstatistikgesetz 2000 sind sie dreißig Jahre bereit zu halten. Die Frist beginnt mit Ablauf des Jahres des mitgeteilten Datums der Auszahlung (§ 25 Abs. 1 Z 7).

(2) Nach Ablauf von dreißig Jahren sind die in der Transparenzdatenbank gespeicherten Daten zu löschen.

(3) Ein gesondertes Recht der betroffenen Person auf Löschung besteht nur, wenn

  1. 1. die Daten unrechtmäßig verarbeitet wurden oder
  2. 2. die Löschung der Daten zur Erfüllung einer die im ersten Satz genannten Zwecke überwiegenden bundesgesetzlichen Verpflichtung zwingend erforderlich ist.

    Der Verantwortliche hat die Löschung unverzüglich zu veranlassen.“

22. In § 37 wird das Wort „ist“ durch die Wortfolge „und der Antrag gemäß § 36b Abs. 2 sind“ ersetzt.

23. In § 38 wird das Wort „verwendet“ durch das Wort „verarbeitet“ ersetzt.

24. Dem § 43 wird folgender Abs. 4 angefügt:

„(4) Das Inhaltsverzeichnis, die §§ 2, 4 Abs. 4, 12 samt Überschrift und 17, die Überschrift zu § 18, die §§ 18 Abs. 1, 19, 21 Abs. 1 Z 3, 23 Abs. 3 und 4, 25 Abs. 1 lit. a, 25 Abs. 4, 31 samt Überschrift, 32 Abs. 6 und 7, die Überschrift im 7. Abschnitt, §§ 36a bis 36e jeweils samt Überschrift, § 37 und § 38, jeweils in der Fassung des Bundesgesetzes BGBl. I Nr. 37/2018, treten mit 25. Mai 2018 in Kraft.“

3. Hauptstück

Gesundheit und Soziales

1. Abschnitt

Gesundheit

Artikel 24

Änderung des Gesundheits- und Krankenpflegegesetzes

Das Gesundheits- und Krankenpflegegesetz (GuKG), BGBl. I Nr. 108/1997, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 131/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Im Inhaltsverzeichnis wird nach dem Eintrag zu § 2a folgender Eintrag eingefügt:

㤠2b

Datenverarbeitung“

2. Nach § 2a wird folgender § 2b samt Überschrift eingefügt:

„Datenverarbeitung

§ 2b. (1) Angehörige der Gesundheits- und Krankenpflegeberufe sind ermächtigt, die im Rahmen der Berufsausübung nach den Bestimmungen dieses Bundesgesetzes erforderlichen personenbezogenen Daten zum Zweck

  1. 1. der Dokumentation (§ 5),
  2. 2. der Honorarabrechnung (§ 6 Abs. 2 Z 3),
  3. 3. der Anzeige oder Meldung (§§ 7 und 8),
  4. 4. der Auskunftserteilung (§ 9)

    unter Einhaltung der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, (im Folgenden: DSGVO) und des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999, zu verarbeiten.

(2) Organe von Gebietskörperschaften und Gerichte sind ermächtigt, soweit dies zur Erfüllung der in diesem Bundesgesetz übertragenen Verpflichtungen erforderlich ist, personenbezogene Daten über Berufsangehörige zum Zweck

  1. 1. der Information über gefälschte Berufsqualifikationen (§ 28a Abs. 9, § 87 Abs. 9),
  2. 2. der Einholung und Erteilung von Auskünften im Zusammenhang mit EWR-Berufsanerkennungen (§ 28a Abs. 10 und § 87 Abs. 10),
  3. 3. der Durchführung einer EWR-Anerkennung sowie eines Verfahrens über vorübergehende Dienstleistungserbringung im Wege des Europäischen Berufsausweises (§§ 28b und 39a),
  4. 4. der Registrierung von in der vorübergehenden Dienstleistungserbringung tätigen Berufsangehörigen (§ 39 Abs. 9),
  5. 5. der Information über Entziehung und Wiedererteilung von Berufsberechtigungen (§ 40 Abs. 2 bis 4, § 91 Abs. 2 bis 4),
  6. 6. der Information über eine Erwachsenenvertretung für Berufsangehörige (§ 40 Abs. 6, § 91 Abs. 6)

    unter Einhaltung der DSGVO und des DSG zu übermitteln.

(3) Hinsichtlich der Verarbeitung personenbezogener Daten gemäß Abs. 1 und 2 sind die Rechte und Pflichten gemäß Art. 13, 14, 18 und 21 DSGVO ausgeschlossen.

(4) Werden Daten gemäß Abs. 1 und 2 zu wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken weiterverarbeitet, hat die Weiterverarbeitung in pseudonymisierter Form zu erfolgen, wenn auf diese Weise die Zwecke erreicht werden können. Soweit der Personenbezug für die Verwirklichung des Zwecks unerlässlich ist, können die Rechte der Betroffenen gemäß Art. 15, 16, 18 und 21 DSGVO vom Verantwortlichen insofern ausgeschlossen werden, als diese Rechte die Verwirklichung der spezifischen Zwecke unmöglich machen oder ernsthaft beeinträchtigen würden.“

3. Den §§ 40 und 91 werden jeweils folgende Abs. 5 und 6 angefügt:

„(5) Im Falle eines Strafverfahrens gegen einen Berufsangehörigen haben

  1. 1. die Staatsanwaltschaften über den Beginn und die Beendigung des Ermittlungsverfahrens und
  2. 2. die Strafgerichte über
    1. a) die Verhängung und Aufhebung der Untersuchungshaft sowie
    2. b) die Beendigung eines Hauptverfahrens nach der Strafprozeßordnung 1975 (StPO), BGBl. Nr. 631/1975, unter Anschluss der das Verfahren abschließenden Entscheidung

(6) Die Gerichte sind verpflichtet, die gemäß Abs. 1 zuständige Bezirksverwaltungsbehörde über

  1. 1. die Einleitung, Fortsetzung und den Ausgang von Verfahren über die Bestellung einer gerichtlichen Erwachsenenvertretung unter Anschluss der das Verfahren abschließenden Entscheidung und
  2. 2. die Eintragung einer gewählten oder gesetzlichen Erwachsenenvertretung in das Österreichische Zentrale Vertretungsverzeichnis

    für einen Berufsangehörigen zu verständigen.“

4. Dem § 117 werden folgende Abs. 30 und 31 angefügt:

„(30) Das Inhaltsverzeichnis und § 2b samt Überschrift in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, treten mit 25. Mai 2018 in Kraft.

(31) § 40 Abs. 5 und 6 und § 91 Abs. 5 und 6 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, treten mit 1. Juli 2018 in Kraft.“

Artikel 25

Änderung des Hebammengesetzes

Das Hebammengesetz (HebG), BGBl. Nr. 310/1994, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 131/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Im Inhaltsverzeichnis wird nach dem Eintrag zu § 61c folgender Eintrag eingefügt:

㤠61d

Datenverarbeitung“

2. § 40 Abs. 4 entfällt.

3. Dem § 42 wird folgender Abs. 4 angefügt:

„(4) Die Daten gemäß Abs. 2 sind bis zum Ablauf von zehn Jahren nach der Streichung aus dem Hebammenregister aufzubewahren.“

4. Dem § 48 wird folgender Abs. 6 angefügt:

„(6) Hinsichtlich der Verarbeitung personenbezogener Daten im Rahmen des Wahlverfahrens sind die Rechte und Pflichten gemäß Art. 13, 14, 18 und 21 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, (im Folgenden: DSGVO) ausgeschlossen.“

5. Nach § 61c wird folgender § 61d samt Überschrift eingefügt:

„Datenverarbeitung

§ 61d. (1) Hebammen sind ermächtigt, die im Rahmen der Berufsausübung nach den Bestimmungen dieses Bundesgesetzes erforderlichen personenbezogenen Daten zum Zweck

  1. 1. der Auskunftserteilung (§ 6 Abs. 4),
  2. 2. der Anzeige (§ 6 Abs. 5),
  3. 3. der Honorar- und Arzneimittelabrechnung (§ 7 Abs. 2 Z 3),
  4. 4. der personenstandsrechtlichen Meldungen (§ 8),
  5. 5. der Dokumentation (§ 9)

    unter Einhaltung der DSGVO und des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999, zu verarbeiten.

(2) Das Österreichische Hebammengremium ist ermächtigt, soweit dies zur Erfüllung der in diesem Bundesgesetz übertragenen Verpflichtungen erforderlich ist, personenbezogene Daten zum Zweck

  1. 1. der Information über gefälschte Berufsqualifikationen (§ 12 Abs. 7),
  2. 2. der Information über Entziehung und Wiedererteilung von Berufsberechtigungen (§ 22 Abs. 2 bis 4),
  3. 3. der Amtshilfe (§ 41 Abs. 1),
  4. 4. der Einholung und Erteilung von Auskünften im Zusammenhang mit EWR-Berufsanerkennungen sowie der grenzüberschreitenden Gesundheitsversorgung (§ 41 Abs. 6 und 7),
  5. 5. der Führung des Hebammenregisters (§§ 42 ff.)

    unter Einhaltung der DSGVO und des DSG zu verarbeiten und zu übermitteln.

(3) Die Organe von Gebietskörperschaften und Selbstverwaltungskörpern sowie die Gerichte sind ermächtigt, soweit dies zur Erfüllung der in diesem Bundesgesetz übertragenen Verpflichtungen erforderlich ist, personenbezogene Daten zum Zweck

  1. 1. der Information über die vorläufige Untersagung der Berufsausübung (§ 22a),
  2. 2. der Amtshilfe (§ 41 Abs. 1),
  3. 3. der Information über Verwaltungsstrafverfahren gegen und eine Erwachsenenvertretung für Berufsangehörige (§ 41 Abs. 3 bis 5)

    unter Einhaltung der DSGVO und des DSG zu übermitteln.

(4) Hinsichtlich der Verarbeitung personenbezogener Daten gemäß Abs. 1 bis 3 sind die Rechte und Pflichten gemäß Art. 13, 14, 18 und 21 DSGVO ausgeschlossen.

(5) Werden Daten gemäß Abs. 1 bis 3 zu wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken weiterverarbeitet, hat die Weiterverarbeitung in pseudonymisierter Form zu erfolgen, wenn auf diese Weise die Zwecke erreicht werden können. Soweit der Personenbezug für die Verwirklichung des Zwecks unerlässlich ist, können die Rechte der Betroffenen gemäß Art. 15, 16, 18 und 21 DSGVO vom Verantwortlichen insofern ausgeschlossen werden, als diese Rechte die Verwirklichung der spezifischen Zwecke unmöglich machen oder ernsthaft beeinträchtigen würden.“

6. Dem § 62a wird folgender Abs. 11 angefügt:

„(11) Mit 25. Mai 2018 treten

  1. 1. das Inhaltsverzeichnis, § 42 Abs. 4, § 48 Abs. 6 und § 61d samt Überschrift in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, in Kraft und
  2. 2. § 40 Abs. 4 außer Kraft.“

Artikel 26

Änderung des Kardiotechnikergesetzes

Das Kardiotechnikergesetz (KTG), BGBl. I Nr. 96/1998, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 8/2016 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Im Inhaltsverzeichnis wird nach dem Eintrag zu § 2a folgender Eintrag eingefügt:

„§

2b

Datenverarbeitung“

2. Im Inhaltsverzeichnis wird nach dem Eintrag zu § 19 folgender Eintrag eingefügt:

„§

19a

Änderungsmeldungen“

3. Nach § 2a wird folgender § 2b samt Überschrift eingefügt:

„Datenverarbeitung

§ 2b. (1) Angehörige des kardiotechnischen Dienstes sind ermächtigt, die im Rahmen der Berufsausübung nach den Bestimmungen dieses Bundesgesetzes erforderlichen personenbezogenen Daten zum Zweck der Dokumentation (§ 7) unter Einhaltung der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, (im Folgenden: DSGVO) und des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999, zu verarbeiten.

(2) Organe von Gebietskörperschaften und Gerichte sind ermächtigt, soweit dies zur Erfüllung der in diesem Bundesgesetz übertragenen Verpflichtungen erforderlich ist, personenbezogene Daten über Angehörige des kardiotechnischen Dienstes zum Zweck

  1. 1. der Information über gefälschte Berufsqualifikationen (§ 11 Abs. 12),
  2. 2. der Information über Entziehung und Wiedererteilung von Berufsberechtigungen (§ 16 Abs. 2 bis 4),
  3. 3. der Information über eine Erwachsenenvertretung für Berufsangehörige (§ 16 Abs. 6),
  4. 4. der Führung der Kardiotechnikerliste (§ 19),
  5. 5. der Einholung und Erteilung von Auskünften im Zusammenhang mit EWR-Berufsanerkennungen sowie der grenzüberschreitenden Gesundheitsversorgung (§ 19 Abs. 9)

    unter Einhaltung der DSGVO und des DSG zu verarbeiten und zu übermitteln.

(3) Hinsichtlich der Verarbeitung personenbezogener Daten gemäß Abs. 1 und 2 sind die Rechte und Pflichten gemäß Art. 13, 14, 18 und 21 DSGVO ausgeschlossen.

(4) Werden Daten gemäß Abs. 1 und 2 zu wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken weiterverarbeitet, hat die Weiterverarbeitung in pseudonymisierter Form zu erfolgen, wenn auf diese Weise die Zwecke erreicht werden können. Soweit der Personenbezug für die Verwirklichung des Zwecks unerlässlich ist, können die Rechte der Betroffenen gemäß Art. 15, 16, 18 und 21 DSGVO vom Verantwortlichen insofern ausgeschlossen werden, als diese Rechte die Verwirklichung der spezifischen Zwecke unmöglich machen oder ernsthaft beeinträchtigen würden.“

4. § 11 Abs. 13 entfällt.

5. Dem § 16 werden folgende Abs. 5 und 6 angefügt:

„(5) Im Falle eines Strafverfahrens gegen einen Berufsangehörigen haben

  1. 1. die Staatsanwaltschaften über den Beginn und die Beendigung des Ermittlungsverfahrens und
  2. 2. die Strafgerichte über
    1. a) die Verhängung und Aufhebung der Untersuchungshaft sowie
    2. b) die Beendigung eines Hauptverfahrens nach der Strafprozeßordnung 1975 (StPO), BGBl. Nr. 631/1975, unter Anschluss der das Verfahren abschließenden Entscheidung

(6) Die Gerichte sind verpflichtet, den Bundesminister für Arbeit, Soziales, Gesundheit und Konsumentenschutz über

  1. 1. die Einleitung, Fortsetzung und den Ausgang von Verfahren über die Bestellung einer gerichtlichen Erwachsenenvertretung unter Anschluss der das Verfahren abschließenden Entscheidung und
  2. 2. die Eintragung einer gewählten oder gesetzlichen Erwachsenenvertretung in das Österreichische Zentrale Vertretungsverzeichnis

    für einen Berufsangehörigen zu verständigen.“

6. § 19 lautet:

§ 19. (1) Der Bundesminister für Arbeit, Soziales, Gesundheit und Konsumentenschutz hat zur Wahrung des öffentlichen Interesses an einer geordneten Erfassung eine elektronische Liste der zur Ausübung des Berufes des diplomierten Kardiotechnikers berechtigten Personen zu führen (Kardiotechnikerliste), die folgende Daten zu enthalten hat:

  1. 1. Eintragungsnummer,
  2. 2. Vor- und Familiennamen, gegebenenfalls Geburtsname,
  3. 3. gegebenenfalls akademischer Grad,
  4. 4. Geburtsdatum und Geburtsort,
  5. 5. Staatsangehörigkeit,
  6. 6. Qualifikationsnachweis,
  7. 7. Hauptwohnsitz bzw. gewöhnlicher Aufenthalt,
  8. 8. Telefonnummer und Emailadresse,
  9. 9. Dienstgeber einschließlich Adresse,
  10. 10. Beginn der Berufsausübung,
  11. 11. Beendigung der Berufsausübung.

(2) Die in Abs. 1 Z 1 bis 3, 10 und 11 angeführten Daten sind öffentlich und in geeigneter Weise im Internet allgemein zugänglich kundzumachen. Jeder ist berechtigt, in den öffentlichen Teil der Kardiotechnikerliste Einsicht zu nehmen.

(3) Die Daten gemäß Abs. 1 sind bis zum Ablauf von zehn Jahren nach der Streichung aus der Kardiotechnikerliste aufzubewahren.

(4) Angehörige des kardiotechnischen Dienstes haben sich vor Aufnahme der Tätigkeit beim Bundesminister für Arbeit, Soziales, Gesundheit und Konsumentenschutz zur Eintragung in die Kardiotechnikerliste anzumelden und die erforderlichen Nachweise gemäß § 9 Abs. 1 Z 1 bis 4 vorzulegen.

(5) Der Nachweis der für die Erfüllung der Berufspflichten eines diplomierten Kardiotechnikers erforderlichen gesundheitlichen Eignung ist durch ein ärztliches Zeugnis zu erbringen. Der Nachweis der Vertrauenswürdigkeit ist durch Vorlage einer Strafregisterauskunft zu erbringen. Das ärztliche Zeugnis und die Strafregisterauskunft dürfen im Zeitpunkt der Anmeldung zur Eintragung nicht älter als drei Monate sein.

(6) Sofern sich die für die Berufsausübung erforderlichen Kenntnisse der deutschen Sprache nicht aus den vorgelegten Personal- und Ausbildungsnachweisen oder dem Lebens- und Berufsweg ergeben, sind die Sprachkenntnisse, insbesondere durch Bestätigungen bzw. Zeugnisse über die Absolvierung von Sprachkursen nachzuweisen.

(7) Wer die Voraussetzungen des § 9 Abs. 1 Z 1 bis 4 erfüllt, ist vom Bundesminister für Arbeit, Soziales, Gesundheit und Konsumentenschutz nach Anhörung des Kardiotechnikerbeirates in die Kardiotechnikerliste einzutragen. Personen, die sich gemäß Abs. 4 zur Eintragung angemeldet haben und diese Voraussetzungen nicht erfüllen, ist die Eintragung durch den Bundesminister für Arbeit, Soziales, Gesundheit und Konsumentenschutz mit Bescheid zu versagen.

(8) Die Ausübung des Berufes des diplomierten Kardiotechnikers darf erst nach Eintragung in die Kardiotechnikerliste aufgenommen werden.

(9) Der Bundesminister für Arbeit, Soziales, Gesundheit und Konsumentenschutz hat den zuständigen Behörden der anderen EWR-Vertragsstaaten und der Schweizerischen Eidgenossenschaft die zur Anwendung

  1. 1. der Richtlinie 2005/36/EG über die Anerkennung von Berufsqualifikationen sowie
  2. 2. der Richtlinie 2011/24/EU über die Ausübung der Patientenrechte in der grenzüberschreitenden Gesundheitsversorgung

    erforderlichen Auskünfte betreffend Kardiotechniker, die in Österreich in die Kardiotechnikerliste eingetragen sind oder waren, insbesondere über das Vorliegen von strafrechtlichen oder verwaltungsstrafrechtlichen Maßnahmen oder sonstige schwerwiegende, genau bestimmte Sachverhalte, die sich auf die Berufsausübung als Kardiotechniker auswirken könnten, insbesondere im Wege des Binnenmarktinformationssystems (IMI) zu erteilen.“

7. Nach § 19 wird folgender § 19a samt Überschrift eingefügt:

„Änderungsmeldungen

§ 19a. (1) Diplomierte Kardiotechniker, die in die Kardiotechnikerliste eingetragen sind, haben folgende schriftliche Meldungen samt den entsprechenden Nachweisen binnen eines Monats zu erstatten:

  1. 1. Namensänderung,
  2. 2. Änderung oder Erwerb von akademischen Graden,
  3. 3. Änderung der Staatsangehörigkeit,
  4. 4. Änderung des Hauptwohnsitzes oder des gewöhnlichen Aufenthalts,
  5. 5. Dienstgeberwechsel,
  6. 6. Beendigung der Berufsausübung.

(2) Der Bundesminister für Arbeit, Soziales, Gesundheit und Konsumentenschutz hat die erforderlichen Änderungen und Ergänzungen in der Kardiotechnikerliste vorzunehmen.“

8. Dem § 35 wird folgender Abs. 5 angefügt:

„(5) Die Daten von Berufsangehörigen, die am 31. Dezember 2018 in die Kardiotechnikerliste gemäß § 19 in der Fassung vor der Novelle BGBl. I Nr. 37/2018 eingetragen sind, werden mit 1. Jänner 2019 in die Kardiotechnikerliste gemäß § 19 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, übernommen.“

9. Dem § 36 wird folgender Abs. 5 angefügt:

„(5) In der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, treten in Kraft:

  1. 1. das Inhaltsverzeichnis und § 2b samt Überschrift mit 25. Mai 2018;
  2. 2. § 16 Abs. 5 und 6 mit 1. Juli 2018;
  3. 3. §§ 19, 19a samt Überschrift und 35 Abs. 5 mit 1. Jänner 2019.

    Zugleich tritt § 11 Abs. 13 außer Kraft.“

Artikel 27

Änderung des MTD-Gesetzes

Das Bundesgesetz über die Regelung der gehobenen medizinisch-technischen Dienste (MTD-Gesetz), BGBl. Nr. 460/1992, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 54/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Im Inhaltsverzeichnis wird nach dem Eintrag zu § 1b folgender Eintrag eingefügt:

㤠1c

Datenverarbeitung“

2. Nach § 1b wird folgender § 1c samt Überschrift eingefügt:

„Datenverarbeitung

§ 1c. (1) Angehörige der gehobenen medizinisch-technischen Dienste sind ermächtigt, die im Rahmen der Berufsausübung nach den Bestimmungen dieses Bundesgesetzes erforderlichen personenbezogenen Daten zum Zweck

  1. 1. der Dokumentation (§ 11a),
  2. 2. der Auskunftserteilung (§ 11b),
  3. 3. der Honorarabrechnung (§ 11c Abs. 2 Z 3)

    unter Einhaltung der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, (im Folgenden: DSGVO) und des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999, zu verarbeiten.

(2) Organe von Gebietskörperschaften und Gerichte sind ermächtigt, soweit dies zur Erfüllung der in diesem Bundesgesetz übertragenen Verpflichtungen erforderlich ist, personenbezogene Daten über Berufsangehörige zum Zweck

  1. 1. der Information über gefälschte Berufsqualifikationen (§ 6b Abs. 10),
  2. 2. der Einholung und Erteilung von Auskünften im Zusammenhang mit EWR-Berufsanerkennungen (§ 6b Abs. 11),
  3. 3. der Durchführung einer EWR-Anerkennung sowie eines Verfahrens über vorübergehende Dienstleistungserbringung im Wege des Europäischen Berufsausweises (§ 6f und § 8b),
  4. 4. der Registrierung von in der vorübergehenden Dienstleistungserbringung tätigen Berufsangehörigen (§ 8a Abs. 9),
  5. 5. der Information über Entziehung und Wiedererteilung von Berufsberechtigungen (§ 12 Abs. 2 und 3),
  6. 6. der Information über eine Erwachsenenvertretung für Berufsangehörige (§ 12 Abs. 5)

    unter Einhaltung der DSGVO und des DSG zu übermitteln.

(3) Hinsichtlich der Verarbeitung personenbezogener Daten gemäß Abs. 1 und 2 sind die Rechte und Pflichten gemäß Art. 13, 14, 18 und 21 DSGVO ausgeschlossen.

(4) Werden Daten gemäß Abs. 1 und 2 zu wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken weiterverarbeitet, hat die Weiterverarbeitung in pseudonymisierter Form zu erfolgen, wenn auf diese Weise die Zwecke erreicht werden können. Soweit der Personenbezug für die Verwirklichung des Zwecks unerlässlich ist, können die Rechte der Betroffenen gemäß Art. 15, 16, 18 und 21 DSGVO vom Verantwortlichen insofern ausgeschlossen werden, als diese Rechte die Verwirklichung der spezifischen Zwecke unmöglich machen oder ernsthaft beeinträchtigen würden.“

3. In § 11a Abs. 3 letzter Satz wird das Wort „Zustimmung“ durch das Wort „Einwilligung“ ersetzt.

4. Dem § 12 werden folgende Abs. 4 und 5 angefügt:

„(4) Im Falle eines Strafverfahrens gegen einen (eine) Berufsangehörige(n) haben

  1. 1. die Staatsanwaltschaften über den Beginn und die Beendigung des Ermittlungsverfahrens und
  2. 2. die Strafgerichte über
    1. a) die Verhängung und Aufhebung der Untersuchungshaft sowie
    2. b) die Beendigung eines Hauptverfahrens nach der Strafprozeßordnung 1975 (StPO), BGBl. Nr. 631/1975, unter Anschluss der das Verfahren abschließenden Entscheidung

(5) Die Gerichte sind verpflichtet, die gemäß Abs. 1 zuständige Bezirksverwaltungsbehörde über

  1. 1. die Einleitung, Fortsetzung und den Ausgang von Verfahren über die Bestellung einer gerichtlichen Erwachsenenvertretung unter Anschluss der das Verfahren abschließenden Entscheidung und
  2. 2. die Eintragung einer gewählten oder gesetzlichen Erwachsenenvertretung in das Österreichische Zentrale Vertretungsverzeichnis

    für einen (eine) Berufsangehörige(n) zu verständigen.“

5. Dem § 36 werden folgende Abs. 22 und 23 angefügt:

„(22) Das Inhaltsverzeichnis, § 1c samt Überschrift und § 11a Abs. 3 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, treten mit 25. Mai 2018 in Kraft.

(23) § 12 Abs. 4 und 5 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, tritt mit 1. Juli 2018 in Kraft.“

Artikel 28

Änderung des Medizinische Assistenzberufe-Gesetzes

Das Medizinische Assistenzberufe-Gesetz (MABG), BGBl. I Nr. 89/2012, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 131/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Im Inhaltsverzeichnis wird nach dem Eintrag zu § 3 folgender Eintrag eingefügt:

㤠3a

Datenverarbeitung“

2. Nach § 3 wird folgender § 3a samt Überschrift eingefügt:

„Datenverarbeitung

§ 3a. (1) Angehörige der medizinischen Assistenzberufe sowie Trainingstherapeuten/-innen sind ermächtigt, die im Rahmen der Berufsausübung nach den Bestimmungen dieses Bundesgesetzes erforderlichen personenbezogenen Daten zum Zweck

  1. 1. der Dokumentation (§ 13 Abs. 3),
  2. 2. der Auskunftserteilung (§ 13 Abs. 5)

    unter Einhaltung der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, (im Folgenden: DSGVO) und des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999, zu verarbeiten.

(2) Organe von Gebietskörperschaften und Gerichte sind ermächtigt, soweit dies zur Erfüllung der in diesem Bundesgesetz übertragenen Verpflichtungen erforderlich ist, personenbezogene Daten über Berufsangehörige zum Zweck

  1. 1. der Information über gefälschte Berufsqualifikationen (§ 16 Abs. 11),
  2. 2. der Einholung und Erteilung von Auskünften im Zusammenhang mit EWR-Berufsanerkennungen (§ 16 Abs. 12),
  3. 3. der Information über Entziehung und Wiedererteilung von Berufsberechtigungen (§ 19 Abs. 5 und 6),
  4. 4. der Information über eine Erwachsenenvertretung für Berufsangehörige (§ 19 Abs. 8 sowie § 28 Abs. 6),
  5. 5. der Führung der Liste der zur Ausübung der Trainingstherapie berechtigten Sportwissenschafter/innen (§ 32)

    unter Einhaltung der DSGVO und des DSG zu verarbeiten und zu übermitteln.

(3) Hinsichtlich der Verarbeitung personenbezogener Daten gemäß Abs. 1 und 2 sind die Rechte und Pflichten gemäß Art. 13, 14, 18 und 21 DSGVO ausgeschlossen.

(4) Werden Daten gemäß Abs. 1 und 2 zu wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken weiterverarbeitet, hat die Weiterverarbeitung in pseudonymisierter Form zu erfolgen, wenn auf diese Weise die Zwecke erreicht werden können. Soweit der Personenbezug für die Verwirklichung des Zwecks unerlässlich ist, können die Rechte der Betroffenen gemäß Art. 15, 16, 18 und 21 DSGVO vom Verantwortlichen insofern ausgeschlossen werden, als diese Rechte die Verwirklichung der spezifischen Zwecke unmöglich machen oder ernsthaft beeinträchtigen würden.“

3. Dem § 19 werden folgende Abs. 7 und 8 angefügt:

„(7) Im Falle eines Strafverfahrens gegen eine/n Berufsangehörige/n haben

  1. 1. die Staatsanwaltschaften über den Beginn und die Beendigung des Ermittlungsverfahrens und
  2. 2. die Strafgerichte über
    1. a) die Verhängung und Aufhebung der Untersuchungshaft sowie
    2. b) die Beendigung eines Hauptverfahrens nach der Strafprozeßordnung 1975 (StPO), BGBl. Nr. 631/1975, unter Anschluss der das Verfahren abschließenden Entscheidung

(8) Die Gerichte sind verpflichtet, die gemäß Abs. 1 zuständige Bezirksverwaltungsbehörde über

  1. 1. die Einleitung, Fortsetzung und den Ausgang von Verfahren über die Bestellung einer gerichtlichen Erwachsenenvertretung unter Anschluss der das Verfahren abschließenden Entscheidung und
  2. 2. die Eintragung einer gewählten oder gesetzlichen Erwachsenenvertretung in das Österreichische Zentrale Vertretungsverzeichnis

    für eine/n Berufsangehörige/n zu verständigen.“

4. Dem § 28 werden folgende Abs. 5 und 6 angefügt:

„(5) Im Falle eines Strafverfahrens gegen eine/n Berufsangehörige/n haben

  1. 1. die Staatsanwaltschaften über den Beginn und die Beendigung des Ermittlungsverfahrens und
  2. 2. die Strafgerichte über
    1. a) die Verhängung und Aufhebung der Untersuchungshaft sowie
    2. b) die Beendigung eines Hauptverfahrens nach der Strafprozeßordnung 1975 (StPO), BGBl. Nr. 631/1975, unter Anschluss der das Verfahren abschließenden Entscheidung

(6) Die Gerichte sind verpflichtet, den/die Bundesminister/in für Arbeit, Soziales, Gesundheit und Konsumentenschutz über

  1. 1. die Einleitung, Fortsetzung und den Ausgang von Verfahren über die Bestellung einer gerichtlichen Erwachsenenvertretung unter Anschluss der das Verfahren abschließenden Entscheidung und
  2. 2. die Eintragung einer gewählten oder gesetzlichen Erwachsenenvertretung in das Österreichische Zentrale Vertretungsverzeichnis

    für eine/n Berufsangehörige/n zu verständigen.“

5. Nach § 32 Abs. 2 wird folgender Abs. 2a eingefügt:

„(2a) Die Daten gemäß Abs. 1 sind bis zum Ablauf von zehn Jahren nach der Streichung aus der Liste der zur Ausübung der Trainingstherapie berechtigten Sportwissenschafter/innen aufzubewahren.“

6. Dem § 42 werden folgende Abs. 6 und 7 angefügt:

„(6) Das Inhaltsverzeichnis, § 3a samt Überschrift und § 32 Abs. 2a in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, treten mit 25. Mai 2018 in Kraft.

(7) § 19 Abs. 7 und 8 und § 28 Abs. 5 und 6 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, treten mit 1. Juli 2018 in Kraft.“

Artikel 29

Änderung des Medizinischer Masseur- und Heilmasseurgesetzes

Das Medizinischer Masseur- und Heilmasseurgesetz (MMHmG), BGBl. I Nr. 169/2002, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 131/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Im Inhaltsverzeichnis wird nach dem Eintrag zu § 1a folgender Eintrag eingefügt:

㤠1a

Datenverarbeitung“

2. Nach § 1a wird folgender § 1b samt Überschrift eingefügt:

„Datenverarbeitung

§ 1b. (1) Medizinische Masseure und Heilmasseure sind ermächtigt, die im Rahmen der Berufsausübung nach den Bestimmungen dieses Bundesgesetzes erforderlichen personenbezogenen Daten zum Zweck

  1. 1. der Dokumentation (§ 3 Abs. 1 und 3 und § 34),
  2. 2. der Information und Auskunftserteilung (§ 3 Abs. 5 und § 33 Abs. 1 und 2),
  3. 3. der Anzeige oder Meldung (§ 7 und § 35 Abs. 2 bis 5),
  4. 4. der Honorarabrechnung (§ 35 Abs. 1)

    unter Einhaltung der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, (im Folgenden: DSGVO) und des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999, zu verarbeiten.

(2) Organe von Gebietskörperschaften und Gerichte sind ermächtigt, soweit dies zur Erfüllung der in diesem Bundesgesetz übertragenen Verpflichtungen erforderlich ist, personenbezogene Daten über Berufsangehörige zum Zweck

  1. 1. der Information über gefälschte Berufsqualifikationen (§ 10 Abs. 12),
  2. 2. der Einholung und Erteilung von Auskünften im Zusammenhang mit EWR-Berufsanerkennungen (§ 10 Abs. 13),
  3. 3. der Information über Entziehung, Einschränkung und Wiedererteilung von Berufsberechtigungen (§ 15 Abs. 2 bis 4, § 16 Abs. 2 und 3, § 47 Abs. 2 bis 4 und § 48 Abs. 2 und 3),
  4. 4. der Information über eine Erwachsenenvertretung für Berufsangehörige (§ 15 Abs. 6, § 47 Abs. 6)

    unter Einhaltung der DSGVO und des DSG zu übermitteln.

(3) Hinsichtlich der Verarbeitung personenbezogener Daten gemäß Abs. 1 und 2 sind die Rechte und Pflichten gemäß Art. 13, 14, 18 und 21 DSGVO ausgeschlossen.

(4) Werden Daten gemäß Abs. 1 und 2 zu wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken weiterverarbeitet, hat die Weiterverarbeitung in pseudonymisierter Form zu erfolgen, wenn auf diese Weise die Zwecke erreicht werden können. Soweit der Personenbezug für die Verwirklichung des Zwecks unerlässlich ist, können die Rechte der Betroffenen gemäß Art. 15, 16, 18 und 21 DSGVO vom Verantwortlichen insofern ausgeschlossen werden, als diese Rechte die Verwirklichung der spezifischen Zwecke unmöglich machen oder ernsthaft beeinträchtigen würden.“

3. § 3 Abs. 2 und 4 entfällt.

4. Den §§ 15 und 47 werden jeweils folgende Abs. 5 und 6 angefügt:

„(5) Im Falle eines Strafverfahrens gegen einen Berufsangehörigen haben

  1. 1. die Staatsanwaltschaften über den Beginn und die Beendigung des Ermittlungsverfahrens und
  2. 2. die Strafgerichte über
    1. a) die Verhängung und Aufhebung der Untersuchungshaft sowie
    2. b) die Beendigung eines Hauptverfahrens nach der Strafprozeßordnung 1975 (StPO), BGBl. Nr. 631/1975, unter Anschluss der das Verfahren abschließenden Entscheidung

(6) Die Gerichte sind verpflichtet, die gemäß Abs. 1 zuständige Bezirksverwaltungsbehörde über

  1. 1. die Einleitung, Fortsetzung und den Ausgang von Verfahren über die Bestellung einer gerichtlichen Erwachsenenvertretung unter Anschluss der das Verfahren abschließenden Entscheidung und
  2. 2. die Eintragung einer gewählten oder gesetzlichen Erwachsenenvertretung in das Österreichische Zentrale Vertretungsverzeichnis

    für einen Berufsangehörigen zu verständigen.“

5. In § 34 Abs. 1 Z 2 wird das Wort „Zustimmung“ durch das Wort „Einwilligung“ ersetzt.

6. Dem § 89 werden folgende Abs. 11 und 12 angefügt:

„(11) Mit 25. Mai 2018 treten

  1. 1. das Inhaltsverzeichnis, § 1b samt Überschrift und § 34 Abs. 1 Z 2 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, in Kraft und
  2. 2. § 3 Abs. 2 und 4 außer Kraft.

(12) § 15 Abs. 5 und 6 und § 47 Abs. 5 und 6 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, treten mit 1. Juli 2018 in Kraft.“

Artikel 30

Änderung des Sanitätergesetzes

Das Sanitätergesetz (SanG), BGBl. I Nr. 30/2002, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 8/2016 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Im Inhaltsverzeichnis wird nach dem Eintrag zu § 2a folgender Eintrag eingefügt:

㤠2b

Datenverarbeitung“

2. Nach § 2a wird folgender § 2b samt Überschrift eingefügt:

„Datenverarbeitung

§ 2b. (1) Sanitäter sind ermächtigt, die im Rahmen der Berufs- oder Tätigkeitsausübung nach den Bestimmungen dieses Bundesgesetzes erforderlichen personenbezogenen Daten zum Zweck

  1. 1. der Dokumentation (§ 5),
  2. 2. der Auskunftserteilung (§ 7)

    unter Einhaltung der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, (im Folgenden: DSGVO) und des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999, zu verarbeiten.

(2) Organe von Gebietskörperschaften und Gerichte sind ermächtigt, soweit dies zur Erfüllung der in diesem Bundesgesetz übertragenen Verpflichtungen erforderlich ist, personenbezogene Daten über Berufsangehörige zum Zweck

  1. 1. der Information über gefälschte Berufsqualifikationen (§ 18 Abs. 12),
  2. 2. der Einholung und Erteilung von Auskünften im Zusammenhang mit EWR-Berufsanerkennungen (§ 18 Abs. 13),
  3. 3. der Information über Entziehung und Wiedererteilung von Berufsberechtigung (§ 25 Abs. 4 und 5),
  4. 4. der Information über eine Erwachsenenvertretung für Berufsangehörige (§ 25 Abs. 7)

    unter Einhaltung der DSGVO und des DSG zu übermitteln.

(3) Hinsichtlich der Verarbeitung personenbezogener Daten gemäß Abs. 1 und 2 sind die Rechte und Pflichten gemäß Art. 13, 14, 18 und 21 DSGVO ausgeschlossen.

(4) Werden Daten gemäß Abs. 1 und 2 zu wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken weiterverarbeitet, hat die Weiterverarbeitung in pseudonymisierter Form zu erfolgen, wenn auf diese Weise die Zwecke erreicht werden können. Soweit der Personenbezug für die Verwirklichung des Zwecks unerlässlich ist, können die Rechte der Betroffenen gemäß Art. 15, 16, 18 und 21 DSGVO vom Verantwortlichen insofern ausgeschlossen werden, als diese Rechte die Verwirklichung der spezifischen Zwecke unmöglich machen oder ernsthaft beeinträchtigen würden.“

3. Dem § 25 werden folgende Abs. 6 und 7 angefügt:

„(6) Im Falle eines Strafverfahrens gegen einen Berufsangehörigen haben

  1. 1. die Staatsanwaltschaften über den Beginn und die Beendigung des Ermittlungsverfahrens und
  2. 2. die Strafgerichte über
    1. a) die Verhängung und Aufhebung der Untersuchungshaft sowie
    2. b) die Beendigung eines Hauptverfahrens nach der Strafprozeßordnung 1975 (StPO), BGBl. Nr. 631/1975, unter Anschluss der das Verfahren abschließenden Entscheidung

(7) Die Gerichte sind verpflichtet, die gemäß Abs. 1 zuständige Bezirksverwaltungsbehörde über

  1. 1. die Einleitung, Fortsetzung und den Ausgang von Verfahren über die Bestellung einer gerichtlichen Erwachsenenvertretung unter Anschluss der das Verfahren abschließenden Entscheidung und
  2. 2. die Eintragung einer gewählten oder gesetzlichen Erwachsenenvertretung in das Österreichische Zentrale Vertretungsverzeichnis

    für einen Berufsangehörigen zu verständigen.“

4. Dem § 64 werden folgende Abs. 6 und 7 angefügt:

„(6) Das Inhaltsverzeichnis und § 2b samt Überschrift in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, treten mit 25. Mai 2018 in Kraft.

(7) § 25 Abs. 6 und 7 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, tritt mit 1. Juli 2018 in Kraft.“

Artikel 31

Änderung des Zahnärztegesetzes

Das Zahnärztegesetz (ZÄG), BGBl. I Nr. 126/2005, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 8/2016 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Im Inhaltsverzeichnis wird nach dem Eintrag zu § 2 folgender Eintrag eingefügt:

㤠2a

Datenverarbeitung“

2. Nach § 2 wird folgender § 2a samt Überschrift eingefügt:

„Datenverarbeitung

§ 2a. (1) Angehörige des zahnärztlichen Berufs sind ermächtigt, die im Rahmen der Berufsausübung nach den Bestimmungen dieses Bundesgesetzes erforderlichen personenbezogenen Daten zum Zweck

  1. 1. der Dokumentation (§ 19),
  2. 2. der Auskunftserteilung und Information (§ 20 und § 21 Abs. 5),
  3. 3. der Honorarabrechnung (§ 21 Abs. 3)

    unter Einhaltung der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, (im Folgenden: DSGVO) und des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999, zu verarbeiten.

(2) Die Österreichische Zahnärztekammer und die Landeszahnärztekammern, Organe von Gebietskörperschaften sowie Gerichte sind ermächtigt, soweit dies zur Erfüllung der in diesem Bundesgesetz übertragenen Verpflichtungen erforderlich ist, personenbezogene Daten über Berufsangehörige zum Zweck

  1. 1. der Information über gefälschte Berufsqualifikationen (§ 9 Abs. 5 und § 78 Abs. 3),
  2. 2. der Führung der Zahnärzteliste (§§ 11 ff.),
  3. 3. der Information über die Sperre der Ordinationsstätte (§ 36 Abs. 4),
  4. 4. der Information über Berufseinstellung, Entziehung und Wiedererteilung von Berufsberechtigungen sowie Untersagung und Einschränkung der Berufsausübung (§ 43 Abs. 2, § 45 Abs. 2 und 5, § 46, § 47 Abs. 3, § 48 Abs. 2 und 3, § 79 Abs. 5 und 6),
  5. 5. der Einholung und Erteilung von Auskünften im Zusammenhang mit EWR-Berufsanerkennungen (§ 78 Abs. 3a),
  6. 6. der Information über eine Erwachsenenvertretung für Berufsangehörige (§ 79 Abs. 8)

    unter Einhaltung der DSGVO und des DSG zu verarbeiten und zu übermitteln.

(3) Hinsichtlich der Verarbeitung personenbezogener Daten gemäß Abs. 1 und 2 sind die Rechte und Pflichten gemäß Art. 13, 14, 18 und 21 DSGVO ausgeschlossen.

(4) Werden Daten gemäß Abs. 1 und 2 zu wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken weiterverarbeitet, hat die Weiterverarbeitung in pseudonymisierter Form zu erfolgen, wenn auf diese Weise die Zwecke erreicht werden können. Soweit der Personenbezug für die Verwirklichung des Zwecks unerlässlich ist, können die Rechte der Betroffenen gemäß Art. 15, 16, 18 und 21 DSGVO vom Verantwortlichen insofern ausgeschlossen werden, als diese Rechte die Verwirklichung der spezifischen Zwecke unmöglich machen oder ernsthaft beeinträchtigen würden.“

3. § 11 Abs. 2 Z 2 lautet:

  1. „2. Vor- und Familiennamen, gegebenenfalls Geburtsname;“

4. Dem § 11 wird folgender Abs. 6 angefügt:

„(6) Die Daten gemäß Abs. 2 sind bis zum Ablauf von 20 Jahren nach der Streichung aus der Zahnärzteliste aufzubewahren.“

5. § 15 Abs. 2 Z 2 lautet:

  1. „2. den bzw. die Vor- und Familiennamen;“

6. In § 19 Abs. 4 Z 2 und § 21 Abs. 5 Z 2 wird jeweils das Wort „Zustimmung“ durch das Wort „Einwilligung“ ersetzt.

7. In § 21 Abs. 3 wird im zweiten Satz der Ausdruck „Dienstleister/Dienstleisterin“ durch die Wortfolge „Auftragsverarbeiter gemäß Art. 4 Z 8 DSGVO“ ersetzt sowie entfällt im dritten Satz das Wort „anonymen“ und wird die Wortfolge „des/der Auftraggebers/Auftraggeberin“ durch die Wortfolge „des/der Verantwortlichen gemäß Art. 4 Z 7 DSGVO“ ersetzt.

8. § 21 Abs. 4 entfällt.

9. In § 21 Abs. 5 wird der Ausdruck „gemäß Abs. 4“ durch den Ausdruck „gemäß § 19 Abs. 1“ ersetzt.

10. Dem § 79 werden folgende Abs. 7 und 8 angefügt:

„(7) Im Falle eines Strafverfahrens gegen einen/eine Berufsangehörigen/Berufsangehörige haben

  1. 1. die Staatsanwaltschaften über den Beginn und die Beendigung des Ermittlungsverfahrens und
  2. 2. die Strafgerichte über
    1. a) die Verhängung und Aufhebung der Untersuchungshaft sowie
    2. b) die Beendigung eines Hauptverfahrens nach der Strafprozeßordnung 1975 (StPO), BGBl. Nr. 631/1975, unter Anschluss der das Verfahren abschließenden Entscheidung

(8) Die Gerichte sind verpflichtet, die gemäß Abs. 1 zuständige Bezirksverwaltungsbehörde über

  1. 1. die Einleitung, Fortsetzung und den Ausgang von Verfahren über die Bestellung einer gerichtlichen Erwachsenenvertretung unter Anschluss der das Verfahren abschließenden Entscheidung und
  2. 2. die Eintragung einer gewählten oder gesetzlichen Erwachsenenvertretung in das Österreichische Zentrale Vertretungsverzeichnis

    für einen/eine Berufsangehörigen/Berufsangehörige zu verständigen.“

11. Dem § 90 werden folgende Abs. 9 und 10 angefügt:

„(9) Mit 25. Mai 2018 treten

  1. 1. das Inhaltsverzeichnis, § 2a samt Überschrift, § 11 Abs. 6, § 19 Abs. 4 Z 2 sowie § 21 Abs. 3 und 5 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, in Kraft und
  2. 2. § 21 Abs. 4 außer Kraft.

(10) § 79 Abs. 7 und 8 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, tritt mit 1. Juli 2018 in Kraft.“

Artikel 32

Änderung des Zahnärztekammergesetzes

Das Zahnärztekammergesetz (ZÄKG), BGBl. I Nr. 154/2005, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 8/2016 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Im Inhaltsverzeichnis lautet der Eintrag zu § 6:

㤠6

Datenverarbeitung“

2. Die Überschrift zu § 6 lautet:

„Datenverarbeitung“

3. In § 6 Abs. 1 wird die Wortfolge „unter Beachtung des Datenschutzgesetzes 2000, BGBl. I Nr. 165/1999“ durch die Wortfolge „unter Einhaltung der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, (im Folgenden: DSGVO) und des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999“ ersetzt.

4. In § 6 Abs. 1 Z 1 entfällt die Wortfolge „zu ermitteln und“.

5. Dem § 6 werden folgende Abs. 3 und 4 angefügt:

„(3) Hinsichtlich der Verarbeitung personenbezogener Daten gemäß Abs. 1 und 2 sind die Rechte und Pflichten gemäß Art. 13, 14, 18 und 21 DSGVO ausgeschlossen.

(4) Werden Daten gemäß Abs. 1 und 2 zu wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken weiterverarbeitet, hat die Weiterverarbeitung in pseudonymisierter Form zu erfolgen, wenn auf diese Weise die Zwecke erreicht werden können. Soweit der Personenbezug für die Verwirklichung des Zwecks unerlässlich ist, können die Rechte der Betroffenen gemäß Art. 15, 16, 18 und 21 DSGVO vom Verantwortlichen insofern ausgeschlossen werden, als diese Rechte die Verwirklichung der spezifischen Zwecke unmöglich machen oder ernsthaft beeinträchtigen würden.“

6. Dem § 7 wird folgender Abs. 6 angefügt:

„(6) Hinsichtlich der Verarbeitung personenbezogener Daten im Rahmen der Abs. 1 bis 5 sind die Rechte und Pflichten gemäß Art. 13, 14, 18 und 21 DSGVO ausgeschlossen.“

7. Dem § 9 wird folgender Abs. 4 angefügt:

„(4) Hinsichtlich der Verarbeitung personenbezogener Daten gemäß Abs. 1 bis 3 sind die Rechte und Pflichten gemäß Art. 13, 14, 18 und 21 DSGVO ausgeschlossen.“

8. Dem § 38 wird folgender Abs. 8 angefügt:

„(8) Hinsichtlich der Verarbeitung personenbezogener Daten im Rahmen des Wahlverfahrens sind die Rechte und Pflichten gemäß Art. 13, 14, 18 und 21 der Datenschutz-Grundverordnung ausgeschlossen.“

9. In § 50 wird nach Abs. 5 folgender Abs. 5a eingefügt:

„(5a) Hinsichtlich der Verarbeitung personenbezogener Daten gemäß Abs. 2 bis 5 sind die Rechte und Pflichten gemäß Art. 13, 14, 18 und 21 DSGVO ausgeschlossen. Werden diese Daten zu wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken weiterverarbeitet, hat die Weiterverarbeitung in pseudonymisierter Form zu erfolgen, wenn auf diese Weise die Zwecke erreicht werden können. Soweit der Personenbezug für die Verwirklichung des Zwecks unerlässlich ist, können die Rechte der Betroffenen gemäß Art. 15, 16, 18 und 21 DSGVO vom Verantwortlichen insofern ausgeschlossen werden, als diese Rechte die Verwirklichung der spezifischen Zwecke unmöglich machen oder ernsthaft beeinträchtigen würden.“

10. Dem § 53 wird folgender Abs. 4 angefügt:

„(4) Hinsichtlich der Verarbeitung personenbezogener Daten im Rahmen des Patientenschlichtungsverfahrens sind die Rechte und Pflichten gemäß Art. 13, 14, 18 und 21 der Datenschutz-Grundverordnung ausgeschlossen.“

11. Dem § 54 wird folgender Abs. 6 angefügt:

„(6) Hinsichtlich der Verarbeitung personenbezogener Daten im Rahmen des kollegialen Schlichtungsverfahrens sind die Rechte und Pflichten gemäß Art. 13, 14, 18 und 21 der Datenschutz-Grundverordnung ausgeschlossen.“

12. Dem § 69 wird folgender Abs. 7 angefügt:

„(7) Hinsichtlich der Verarbeitung personenbezogener Daten im Rahmen des Disziplinarverfahrens sind die Rechte und Pflichten gemäß Art. 13, 14, 18 und 21 der Datenschutz-Grundverordnung ausgeschlossen.“

13. Dem § 126 wird folgender Abs. 11 angefügt:

„(11) Das Inhaltsverzeichnis, die Überschrift zu § 6, § 6 Abs. 1, 3 und 4, § 7 Abs. 6, § 9 Abs. 4, § 38 Abs. 8, § 50 Abs. 5a, § 53 Abs. 4, § 54 Abs. 6 und § 69 Abs. 7 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, treten mit 25. Mai 2018 in Kraft.“

Artikel 33

Änderung des Gesundheitsberuferegister-Gesetzes

Das Gesundheitsberuferegister-Gesetz, BGBl. I Nr. 87/2016, zuletzt geändert durch die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017 und das Bundesgesetz BGBl. I Nr. 30/2018, wird wie folgt geändert:

1. Im Inhaltsverzeichnis lautet der Eintrag zu § 9:

㤠9

Datenverarbeitung“

2. § 4 Abs. 3 lautet:

„(3) Die Bundesarbeitskammer und die Arbeiterkammern sind bei der Wahrnehmung der Aufgaben gemäß Abs. 1 und 2 Auftragsverarbeiter im Sinne des Art. 4 Z 8 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1 (im Folgenden: DSGVO).“

3. In § 5 Abs. 2 dritter Satz wird die Wortfolge „Auftraggeber gemäß § 4 Z 4 DSG 2000“ durch die Wortfolge „Verantwortlicher gemäß Art. 4 Z 7 DSGVO“ ersetzt.

4. In § 5 Abs. 3 wird die Wortfolge „Dienstleister im Sinne des § 4 Z 5 DSG 2000“ durch die Wortfolge „Auftragsverarbeiter gemäß Art 4 Z 8 DSGVO“ ersetzt.

5. In § 6 Abs. 2 entfällt Z 19.

6. Die Überschrift zu § 9 lautet:

„Datenverarbeitung“

7. § 9 Abs. 1 lautet:

„(1) Die Gesundheit Österreich GmbH, die Bundesarbeitskammer und die Arbeiterkammern sind unter Einhaltung der DSGVO und des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999, ermächtigt, ausschließlich zur Durchführung der ihr durch dieses Bundesgesetz übertragenen Aufgaben personenbezogene Daten der in das Gesundheitsberuferegister eingetragenen Berufsangehörigen gemäß §§ 6 und 7 zu verarbeiten.“

8. Nach § 9 Abs. 1 wird folgender Abs. 1a eingefügt:

„(1a) Die Gesundheit Österreich GmbH ist unter Einhaltung der DSGVO und des DSG ermächtigt, öffentliche Daten aus dem Gesundheitsberuferegister an Dritte auf deren Verlangen und Kosten zu übermitteln.“

9. Dem § 9 werden folgende Abs. 4 und 5 angefügt:

„(4) Hinsichtlich der Verarbeitung personenbezogener Daten gemäß Abs. 1 und 1a sind die Rechte und Pflichten gemäß Art. 13, 14, 18 und 21 DSGVO ausgeschlossen.

(5) Werden Daten gemäß Abs. 1 zu wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken weiterverarbeitet, hat die Weiterverarbeitung in pseudonymisierter Form zu erfolgen, wenn auf diese Weise die Zwecke erreicht werden können. Soweit der Personenbezug für die Verwirklichung des Zwecks unerlässlich ist, können die Rechte der Betroffenen gemäß Art. 15, 16, 18 und 21 DSGVO vom Verantwortlichen insofern ausgeschlossen werden, als diese Rechte die Verwirklichung der spezifischen Zwecke unmöglich machen oder ernsthaft beeinträchtigen würden.“

10. Dem § 10 wird folgender Abs. 6 angefügt:

„(6) Hinsichtlich der Verarbeitung personenbezogener Daten im Rahmen der Abs. 1 bis 5 sind die Rechte und Pflichten gemäß Art. 13, 14, 18 und 21 DSGVO ausgeschlossen.“

11. In § 15 Abs. 8 zweiter Satz und in § 26 Abs. 3 wird jeweils das Wort „Zustimmung“ durch das Wort „Einwilligung“ ersetzt.

12. In § 25 Abs. 1 wird nach dem Wort „Registrierungsbehörde“ die Wortfolge „sowie den/die Dienstgeber“ eingefügt.

13. Dem § 29 werden folgende Abs. 5 und 6 angefügt:

„(5) Das Inhaltsverzeichnis, § 4 Abs. 3, § 5 Abs. 2 und 3, die Überschrift zu § 9, § 9 Abs. 1, 1a, 4 und 5 sowie § 26 Abs. 3 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, treten mit 25. Mai 2018 in Kraft.

(6) § 10 Abs. 6, § 15 Abs. 8 und § 25 Abs. 1 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, treten mit 1. Juli 2018 in Kraft.“

Artikel 34

Änderung des IVF-Fonds-Gesetzes

Das IVF-Fonds-Gesetz, BGBl. I Nr. 180/1999, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 35/2015 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. In § 4 Abs. 4 wird der Punkt am Ende der Z 2 durch das Wort „und“ ersetzt und folgende Z 3 angefügt:

  1. „3. zumindest ein Partner des Paares den Hauptwohnsitz in Österreich hat.“

2. In § 4 Abs. 4a Z 7 wird nach der Zahl „2005“ die Wortfolge „ , die über ein dauerndes Einreise- und Aufenthaltsrecht verfügen“ eingefügt.

3. In § 4 Abs. 6 wird die Wortfolge „private Versicherungsunternehmen“ durch die Wortfolge „Versicherungsunternehmen gemäß § 4 Abs. 4 Z 2“ und wird der Ausdruck „gemäß Abs. 4 Z 2 lit. d“ durch die Wortfolge „zur Kostenübernahme“ ersetzt.

4. Dem § 7 Abs. 2 wird folgender Satz angefügt:

„Für die Führung des Registers ist der Fonds Verantwortlicher im Sinne des Art. 4 Z 7 und die Gesundheit Österreich GmbH Auftragsverarbeiter im Sinne des Art. 4 Z 8 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1 (im Folgenden: DSGVO).“

5. In § 7 Abs. 4 zweiter Satz wird die Wortfolge „indirekt personenbezogen“ durch das Wort „pseudonymisiert“ ersetzt.

6. Dem § 7 werden folgende Abs. 10 und 11 angefügt:

„(10) Hinsichtlich der Verarbeitung personenbezogener Daten gemäß Abs. 3 bis 5 sowie § 7b Abs. 2 Z 1 und Abs. 3 sind die Rechte und Pflichten gemäß Art. 13, 14, 18 und 21 DSGVO ausgeschlossen.

(11) Werden Daten gemäß Abs. 3 zu wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken weiterverarbeitet, hat die Weiterverarbeitung in pseudonymisierter Form zu erfolgen, wenn auf diese Weise die Zwecke erreicht werden können. Soweit der Personenbezug für die Verwirklichung des Zwecks unerlässlich ist, können die Rechte der Betroffenen gemäß Art. 15, 16, 18 und 21 DSGVO vom Verantwortlichen insofern ausgeschlossen werden, als diese Rechte die Verwirklichung der spezifischen Zwecke unmöglich machen oder ernsthaft beeinträchtigen würden.“

7. Der bisherige Wortlaut des § 9a erhält die Absatzbezeichnung „(1)“, folgender Abs. 2 wird angefügt:

„(2) § 4 Abs. 4, 4a Z 7 und 6 in der Fassung vor der Novelle BGBl. I Nr. 37/2018 ist auf jene Versuche anzuwenden, die bis 30. September 2018 begonnen werden.“

8. Der bisherige Wortlaut des § 10 erhält die Absatzbezeichnung „(1)“, folgende Abs. 2 und 3 werden angefügt:

„(2) § 7 Abs. 2, 4, 10 und 11 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, tritt mit 25. Mai 2018 in Kraft.

(3) § 4 Abs. 4 Z 2 und 3, Abs. 4a Z 7 sowie Abs. 6 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, tritt mit 1. Oktober 2018 in Kraft.“

Artikel 35

Änderung des Fortpflanzungsmedizingesetzes

Das Fortpflanzungsmedizingesetz (FMedG), BGBl. I Nr. 275/1992, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 35/2015 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Im Inhaltsverzeichnis:

a) wird der Eintrag zu §§ 18 und 19 durch folgende Einträge ersetzt:

㤠18.

Aufzeichnungen

§ 19

Datenverarbeitung“

b) lautet der Eintrag zu § 27:

㤠27.

Verweisungen“

2. Dem § 15 wird folgender Abs. 3 angefügt:

„(3) Die Aufzeichnungen gemäß Abs. 1 und 2 sind von der Krankenanstalt 30 Jahre lang aufzubewahren. Nach Ablauf dieser Frist oder bei früherer Auflösung der Krankenanstalt sind diese Unterlagen dem Landeshauptmann zu übermitteln; dieser hat sie auf Dauer aufzubewahren.“

3. Nach § 18 wird folgender § 19 samt Überschrift eingefügt:

„Datenverarbeitung

§ 19. (1) Der Arzt ist zu der nach § 18 vorgesehenen Verarbeitung personenbezogener Daten unter Einhaltung der Verordnung (EU) Nr. 679/2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 27.04.2016 S. 1 (im Folgenden: DSGVO) sowie des Datenschutzgesetzes (im Folgenden: DSG), BGBl. I Nr. 165/1999, ermächtigt.

(2) Krankenanstalten sind ermächtigt, die nach § 15 erforderlichen personenbezogenen Daten unter Einhaltung der DSGVO sowie des DSG zu verarbeiten.

(3) Hinsichtlich der Verarbeitung personenbezogener Daten nach diesem Bundesgesetz sind die Rechte und Pflichten gemäß Art. 13, 14, 18 und 21 DSGVO ausgeschlossen.

(4) Werden Daten gemäß § 15 und § 18 zu wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken weiterverarbeitet, hat die Weiterverarbeitung in pseudonymisierter Form zu erfolgen, wenn auf diese Weise die Zwecke erreicht werden können. Soweit der Personenbezug für die Verwirklichung des Zwecks unerlässlich ist, können die Rechte der Betroffenen gemäß Art. 15, 16, 18 und 21 DSGVO vom Verantwortlichen insofern ausgeschlossen werden, als diese Rechte die Verwirklichung der spezifischen Zwecke unmöglich machen oder ernsthaft beeinträchtigen würden.“

4. Dem § 26 wird folgender Abs. 7 angefügt:

„(7) Das Inhaltsverzeichnis, § 15 Abs. 3 sowie § 19 samt Überschrift in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, treten mit 25. Mai 2018 in Kraft.“

Artikel 36

Änderung des Ärztegesetzes 1998

Das Ärztegesetz 1998 (ÄrzteG 1998), BGBl. I Nr. 169/1998, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 26/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Nach § 3a wird folgender § 3b samt Überschrift eingefügt:

„Verarbeitung personenbezogener Daten

§ 3b. (1) Personenbezogene Daten dürfen nach diesem Bundesgesetz nur zu Zwecken, die in diesem Bundesgesetz oder in gemäß diesem Bundesgesetz erlassenen Verordnungen festgelegt sind, unter Einhaltung der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, und des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999, verarbeitet werden.

(2) Hinsichtlich der Verarbeitung personenbezogener Daten gemäß Abs. 1 sind die Rechte und Pflichten gemäß Art. 13, 14, 18 und 21 Datenschutz-Grundverordnung ausgeschlossen.

(3) Werden Daten gemäß Abs. 1 zu wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken weiterverarbeitet, hat die Weiterverarbeitung in pseudonymisierter Form zu erfolgen, wenn auf diese Weise die Zwecke erreicht werden können. Soweit der Personenbezug für die Verwirklichung des Zwecks unerlässlich ist, dürfen die Rechte der Betroffenen gemäß Art. 15, 16, 18 und 21 Datenschutz-Grundverordnung vom Verantwortlichen insofern ausgeschlossen werden, als diese Rechte die Verwirklichung der spezifischen Zwecke unmöglich machen oder ernsthaft beeinträchtigen würden.“

2. In § 27 Abs. 1 erster Satz wird nach dem Wort „eine“ das Wort „elektronische“ eingefügt.

3. In § 51 Abs. 2 Z 2 und Abs. 4 wird jeweils das Wort „Zustimmung“ durch das Wort „Einwilligung“ ersetzt.

4. In § 51 Abs. 2 entfällt im ersten Satz die Wortfolge „Ermittlung und“ sowie der letzte Satz.

5. In § 54 Abs. 3 werden im ersten Satz das Wort „Dienstleistungsunternehmen“ durch die Wortfolge „Auftragsverarbeitern gemäß Art. 4 Z 8 Datenschutz-Grundverordnung“ sowie im dritten Satz das Wort „Auftraggebers“ durch die Wortfolge „Verantwortlichen gemäß Art. 4 Z 7 Datenschutz-Grundverordnung“ ersetzt.

7. In § 54 Abs. 3 dritter Satz entfällt das Wort „anonymen“.

8. Die Überschrift zu § 66b lautet:

„Verarbeitung personenbezogener Daten“

7. In § 66b Abs. 1 wird die Wortfolge „im Sinne des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999,“ durch die Wortfolge „unter Einhaltung der Datenschutz-Grundverordnung und des DSG“ ersetzt.

9. § 66b Abs. 1 Z 1 lautet:

  1. „1. Verarbeitung von personenbezogenen Daten der Ärzte und Zahnärzte und von personenbezogenen Daten allfälliger Anspruchsberechtigter oder Begünstigter aus dem Wohlfahrtsfonds sowie“

10. In § 66b Abs. 2 wird der Ausdruck „des Abs. 2“ durch den Ausdruck „des Abs. 1“ und die Wortfolge „Daten im Sinne des DSG 2000“ durch die Wortfolge „personenbezogene Daten“ ersetzt.

11. In § 66b Abs. 3 wird der Ausdruck „gemäß Abs. 3“ durch den Audruck „gemäß Abs. 2“ ersetzt.

12. Die Überschrift zu § 117d lautet:

„Verarbeitung personenbezogener Daten“

13. In § 117d Abs. 1 wird die Wortfolge „im Sinne des DSG 2000“ durch die Wortfolge „unter Einhaltung der Datenschutz-Grundverordnung und des DSG“ ersetzt.

14. § 117d Abs. 1 Z 1 lautet:

  1. „1. Verarbeitung von personenbezogenen Daten der Ärzte und von personenbezogenen Daten allfälliger Anspruchsberechtigter oder Begünstigter aus dem Wohlfahrtsfonds sowie“

15. In § 117d Abs. 2 wird der Ausdruck „des Abs. 2“ durch den Ausdruck „des Abs. 1“ und die Wortfolge „Daten im Sinne des DSG 2000“ durch die Wortfolge „personenbezogene Daten“ ersetzt.

16. In § 117d Abs. 3 wird der Ausdruck „gemäß Abs. 3“ durch den Ausdruck „gemäß Abs. 2“ ersetzt.

17. Nach § 238 wird folgender § 239 samt Überschrift angefügt:

„Inkrafttreten des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018

§ 239. § 3b, § 27 Abs. 1, § 51 Abs. 2 und 4, § 54 Abs. 3, die Überschrift zu § 66b, § 66b Abs. 1, 2 und 3, die Überschrift zu § 117d sowie § 117d Abs. 1, 2 und 3 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, treten mit 25. Mai 2018 in Kraft.“

Artikel 37

Änderung des Bundesgesetzes über die Durchführung von ästhetischen Behandlungen und Operationen

Das Bundesgesetz über die Durchführung von ästhetischen Behandlungen und Operationen - ÄsthOpG, BGBl. I Nr. 80/2012, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 120/2016 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Im Inhaltsverzeichnis wird nach dem Eintrag zu § 2 folgender Eintrag eingefügt:

㤠2a

Verarbeitung personenbezogener Daten“

2. Nach § 2 wird folgender § 2a samt Überschrift eingefügt:

„Verarbeitung personenbezogener Daten

§ 2a. (1) Personenbezogene Daten dürfen nach diesem Bundesgesetz nur zu Zwecken, die in diesem Bundesgesetz festgelegt sind, unter Einhaltung der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, und des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999, verarbeitet werden.

(2) Hinsichtlich der Verarbeitung personenbezogener Daten gemäß Abs. 1 sind die Rechte und Pflichten gemäß Art. 13, 14, 18 und 21 Datenschutz-Grundverordnung ausgeschlossen.

(3) Werden Daten gemäß Abs. 1 zu wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken weiterverarbeitet, hat die Weiterverarbeitung in pseudonymisierter Form zu erfolgen, wenn auf diese Weise die Zwecke erreicht werden können. Soweit der Personenbezug für die Verwirklichung des Zwecks unerlässlich ist, dürfen die Rechte der Betroffenen gemäß Art. 15, 16, 18 und 21 Datenschutz-Grundverordnung vom Verantwortlichen insofern ausgeschlossen werden, als diese Rechte die Verwirklichung der spezifischen Zwecke unmöglich machen oder ernsthaft beeinträchtigen würden.“

3. Der bisherige Wortlaut des § 13 erhält die Absatzbezeichnung „(1)“ und folgender Abs. 2 wird angefügt:

„(2) Das Inhaltsverzeichnis und § 2a samt Überschrift in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, treten mit 25. Mai 2018 in Kraft.“

Artikel 38

Änderung des Musiktherapiegesetzes

Das Musiktherapiegesetz (MuthG), BGBl. I Nr. 93/2008, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 9/2016 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Im Inhaltsverzeichnis wird nach dem Eintrag zu § 3 folgender Eintrag eingefügt:

㤠3a

Verarbeitung personenbezogener Daten“

2. Nach § 3 wird folgender § 3a samt Überschrift eingefügt:

„Verarbeitung personenbezogener Daten

§ 3a. (1) Personenbezogene Daten dürfen nach diesem Bundesgesetz nur zu Zwecken, die in diesem Bundesgesetz oder in gemäß diesem Bundesgesetz erlassenen Verordnungen festgelegt sind, unter Einhaltung der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, und des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999, verarbeitet werden.

(2) Hinsichtlich der Verarbeitung personenbezogener Daten gemäß Abs. 1 sind die Rechte und Pflichten gemäß Art. 13, 14, 18 und 21 Datenschutz-Grundverordnung ausgeschlossen.

(3) Werden Daten gemäß Abs. 1 zu wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken weiterverarbeitet, hat die Weiterverarbeitung in pseudonymisierter Form zu erfolgen, wenn auf diese Weise die Zwecke erreicht werden können. Soweit der Personenbezug für die Verwirklichung des Zwecks unerlässlich ist, dürfen die Rechte der Betroffenen gemäß Art. 15, 16, 18 und 21 Datenschutz-Grundverordnung vom Verantwortlichen insofern ausgeschlossen werden, als diese Rechte die Verwirklichung der spezifischen Zwecke unmöglich machen oder ernsthaft beeinträchtigen würden.“

3. Dem § 19 wird folgender Abs. 4 angefügt:

„(4) Die Daten gemäß Abs. 1 sind bis zum Ablauf von zehn Jahren nach Streichung aus der Musiktherapeutenliste aufzubewahren.“

4. § 30 Abs. 3 entfällt.

5. Dem § 39 wird folgender Abs. 4 angefügt:

„(4) Mit 25. Mai 2018 treten

  1. 1. das Inhaltsverzeichnis, § 3a samt Überschrift und § 19 Abs. 4 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, in Kraft und
  2. 2. § 30 Abs. 3 außer Kraft.“

Artikel 39

Änderung des Psychologengesetzes 2013

Das Psychologengesetz 2013, BGBl. I Nr. 182/2013, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 120/2016 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Im Inhaltsverzeichnis wird nach dem Eintrag zu § 3 folgender Eintrag eingefügt:

㤠3a

Verarbeitung personenbezogener Daten“

2. Nach § 3 wird folgender § 3a samt Überschrift eingefügt:

„Verarbeitung personenbezogener Daten

§ 3a. (1) Personenbezogene Daten dürfen nach diesem Bundesgesetz nur zu Zwecken, die in diesem Bundesgesetz festgelegt sind, unter Einhaltung der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, und des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999, verarbeitet werden.

(2) Hinsichtlich der Verarbeitung personenbezogener Daten gemäß Abs. 1 sind die Rechte und Pflichten gemäß Art. 13, 14, 18 und 21 Datenschutz-Grundverordnung ausgeschlossen.

(3) Werden Daten gemäß Abs. 1 zu wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken weiterverarbeitet, hat die Weiterverarbeitung in pseudonymisierter Form zu erfolgen, wenn auf diese Weise die Zwecke erreicht werden können. Soweit der Personenbezug für die Verwirklichung des Zwecks unerlässlich ist, dürfen die Rechte der Betroffenen gemäß Art. 15, 16, 18 und 21 Datenschutz-Grundverordnung vom Verantwortlichen insofern ausgeschlossen werden, als diese Rechte die Verwirklichung der spezifischen Zwecke unmöglich machen oder ernsthaft beeinträchtigen würden.“

3. Dem § 17 wird folgender Abs. 6 angefügt:

„(6) Die Daten gemäß Abs. 2 sind bis zum Ablauf von zehn Jahren nach der Streichung aus der Liste der Gesundheitspsychologinnen und Gesundheitspsychologen aufzubewahren.“

4. Dem § 26 wird folgender Abs. 6 angefügt:

„(6) Die Daten gemäß Abs. 2 sind bis zum Ablauf von zehn Jahren nach der Streichung aus der Liste der Klinischen Psychologinnen und Klinischen Psychologen aufzubewahren.“

5. In § 35 Abs. 3 entfällt der dritte Satz.

6. Dem § 50 wird folgender Abs. 7 angefügt:

„(7) Das Inhaltsverzeichnis, § 3a samt Überschrift, § 17 Abs. 6, § 26 Abs. 6 und § 35 Abs. 3 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, treten mit 25. Mai 2018 in Kraft.“

Artikel 40

Änderung des Psychotherapiegesetzes

Das Psychotherapiegesetz, BGBl. 361/1990, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 9/2016 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Im Inhaltsverzeichnis wird nach dem Eintrag zu § 1a folgender Eintrag eingefügt:

㤠1b

Verarbeitung personenbezogener Daten“

2. Nach § 1a wird folgender § 1b samt Überschrift eingefügt:

„Verarbeitung personenbezogener Daten

§ 1b. (1) Personenbezogene Daten dürfen nach diesem Bundesgesetz nur zu Zwecken, die in diesem Bundesgesetz festgelegt sind, unter Einhaltung der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, und des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999, verarbeitet werden.

(2) Hinsichtlich der Verarbeitung personenbezogener Daten gemäß Abs. 1 sind die Rechte un Pflichten gemäß Art. 13, 14, 18 und 21 Datenschutz-Grundverordnung ausgeschlossen.

(3) Werden Daten gemäß Abs. 1 zu wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken weiterverarbeitet, hat die Weiterverarbeitung in pseudonymisierter Form zu erfolgen, wenn auf diese Weise die Zwecke erreicht werden können. Soweit der Personenbezug für die Verwirklichung des Zwecks unerlässlich ist, dürfen die Rechte der Betroffenen gemäß Art. 15, 16, 18 und 21 Datenschutz-Grundverordnung vom Verantwortlichen insofern ausgeschlossen werden, als diese Rechte die Verwirklichung der spezifischen Zwecke unmöglich machen oder ernsthaft beeinträchtigen würden.“

3. In § 16a Abs. 3 entfällt der dritte Satz.

4. In § 17 Abs. 1 wird nach dem Wort „eine“ das Wort „elektronische“ eingefügt.

5. Dem § 17 wird folgender Abs. 7 angefügt:

„(7) Die Daten aus der Psychotherapeutenliste sind bis zum Ablauf von zehn Jahren nach der Streichung aus dieser aufzubewahren.“

6. Dem § 27 wird folgender Abs. 5 angefügt:

„(5) Das Inhaltsverzeichnis, § 1b samt Überschrift, § 16a Abs. 3 sowie § 17 Abs. 1 und 7 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, treten mit 25. Mai 2018 in Kraft.“

Artikel 41

Änderung des EWR-Psychologengesetzes

Das EWR-Psychologengesetz, BGBl. I Nr. 113/1999, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 9/2016 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Nach § 12 wird folgender § 12a samt Überschrift eingefügt:

„Verarbeitung personenbezogener Daten

§ 12a. (1) Personenbezogene Daten dürfen nach diesem Bundesgesetz nur zu Zwecken, die in diesem Bundesgesetz oder in gemäß diesem Bundesgesetz erlassenen Verordnungen festgelegt sind, unter Einhaltung der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, und des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999, verarbeitet werden.

(2) Hinsichtlich der Verarbeitung personenbezogener Daten gemäß Abs. 1 sind die Rechte und Pflichten gemäß Art. 13, 14, 18 und 21 Datenschutz-Grundverordnung ausgeschlossen.

(3) Werden Daten gemäß Abs. 1 zu wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken weiterverarbeitet, hat die Weiterverarbeitung in pseudonymisierter Form zu erfolgen, wenn auf diese Weise die Zwecke erreicht werden können. Soweit der Personenbezug für die Verwirklichung des Zwecks unerlässlich ist, dürfen die Rechte der Betroffenen gemäß Art. 15, 16, 18 und 21 Datenschutz-Grundverordnung vom Verantwortlichen insofern ausgeschlossen werden, als diese Rechte die Verwirklichung der spezifischen Zwecke unmöglich machen oder ernsthaft beeinträchtigen würden.“

2. Dem § 15 wird folgender Abs. 3 angefügt:

„(3) § 12a samt Überschrift in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, tritt mit 25. Mai 2018 in Kraft.“

Artikel 42

Änderung des EWR-Psychotherapiegesetzes

Das EWR-Psychotherapiegesetz, BGBl. I Nr. 114/1999, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 9/2016 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Nach § 12 wird folgender § 12a samt Überschrift eingefügt:

„Verarbeitung personenbezogener Daten

§ 12a. (1) Personenbezogene Daten dürfen nach diesem Bundesgesetz nur zu Zwecken, die in diesem Bundesgesetz oder in gemäß diesem Bundesgesetz erlassenen Verordnungen festgelegt sind, unter Einhaltung der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, und des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999, verarbeitet werden.

(2) Hinsichtlich der Verarbeitung personenbezogener Daten gemäß Abs. 1 sind die Rechte und Pflichten gemäß Art. 13, 14, 18 und 21 Datenschutz-Grundverordnung ausgeschlossen.

(3) Werden Daten gemäß Abs. 1 zu wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken weiterverarbeitet, hat die Weiterverarbeitung in pseudonymisierter Form zu erfolgen, wenn auf diese Weise die Zwecke erreicht werden können. Soweit der Personenbezug für die Verwirklichung des Zwecks unerlässlich ist, dürfen die Rechte der Betroffenen gemäß Art. 15, 16, 18 und 21 Datenschutz-Grundverordnung vom Verantwortlichen insofern ausgeschlossen werden, als diese Rechte die Verwirklichung der spezifischen Zwecke unmöglich machen oder ernsthaft beeinträchtigen würden.“

2. Dem § 15 wird folgender Abs. 3 angefügt:

„(3) § 12a samt Überschrift in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, tritt mit 25. Mai 2018 in Kraft.“

Artikel 43

Änderung des Arzneimittelgesetzes

Das Arzneimittelgesetz, BGBl. I Nr. 185/1983, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 40/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. § 36 Z 8 lautet:

  1. „8. die Daten korrekt zu verarbeiten, insbesondere zu erheben, zu erfassen und zu übermitteln,“

2. In § 36 werden nach Z 8 folgende Z 8a bis 8c eingefügt:

  1. „8a. die Daten (Z 8) ehestmöglich zu pseudonymisieren, die Pseudonymisierung zu dokumentieren, die Dokumentation mit äußerster Sorgfalt handzuhaben und sicherzustellen, dass die Zuordnung zu einer spezifischen betroffenen Person ausschließlich unter den im Prüfplan angegebenen Umständen erfolgt,
  2. 8b. für den Sponsor die Pflichten nach Art. 13, 15, 16 und 18 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1, zu erfüllen,
  3. 8c. bei Verletzungen des Schutzes personenbezogener Daten den Prüfungsteilnehmer gemäß Art. 34 Datenschutz-Grundverordnung zu benachrichtigen und den Sponsor davon zu informieren,“

3. In § 39 Abs. 3 wird in Z 2 das Wort „verschlüsselt“ durch das Wort „pseudonymisiert“ ersetzt; der letzte Satz entfällt.

4. Nach § 39 Abs. 3 werden folgende Abs. 3a bis 3c eingefügt:

„(3a) Mit der Einwilligung zur Teilnahme an der klinischen Prüfung nach Abs. 2 ist auch die ausdrückliche datenschutzrechtliche Einwilligung einzuholen. Der Widerruf der Einwilligung hat keine Auswirkungen auf Tätigkeiten, die auf der Grundlage der Einwilligung nach Aufklärung bereits vor deren Widerruf durchgeführt wurden, oder auf die Verarbeitung der auf dieser Grundlage erhobenen Daten. Das Recht nach Art. 17 und 20 der Datenschutz-Grundverordnung ist ausgeschlossen. Darüber ist im Zuge der Einholung der Einwilligung aufzuklären.

(3b) Für die Weiterverarbeitung gemäß Art. 9 Abs. 2 lit. j der Datenschutz-Grundverordnung gilt § 2d Abs. 3 des Forschungsorganisationgesetzes, BGBl. I Nr. 131/2015.

(3c) Die Abs. 3a und 3b gelten sinngemäß auch für Nicht-interventionelle Studien.“

5. § 43a Abs. 3 letzter Satz lautet:

„Die weitere Verarbeitung der bis dahin erhobenen personenbezogenen Daten bedarf der ausdrücklichen datenschutzrechtlichen Einwilligung.“

6. § 43a wird folgender Abs. 5 angefügt:

„(5) Verstirbt der Prüfungsteilnehmer vor dem in Abs. 3 und 4 genannten Zeitpunkt, dürfen die bis dahin verarbeiteten Daten für Zwecke dieser klinischen Prüfung verwendet werden.“

7. § 46 Abs. 3 lautet:

„(3) Der Prüfer hat dafür Sorge zu tragen, dass die Unterlagen betreffend die Pseudonymisierung für einen Zeitraum von 15 Jahren nach Abschluss oder Abbruch der klinischen Prüfung aufbewahrt werden.“

8. Nach § 46 Abs. 4 wird folgender Abs. 4a eingefügt:

„(4a) Im Hinblick auf die in den Abs. 2 bis 4 genannten Fristen ist das Recht gemäß Art. 17 Datenschutz-Grundverordnung ausgeschlossen.“

9. § 46 Abs. 5 lautet:

„(5) Alle für die klinische Prüfung relevanten Daten und Dokumente müssen auf Anforderung dem Bundesamt für Sicherheit im Gesundheitswesen verfügbar gemacht werden. Die Übermittlung personenbezogener Daten ist grundsätzlich nur in pseudonymisierter Form zulässig. Eine Übermittlung direkt personenbezogener Daten eines Prüfungsteilnehmers ist nur zulässig, wenn dies im konkreten Einzelfall zum Schutz des Lebens oder der Gesundheit eines Prüfungsteilnehmers unbedingt erforderlich ist.“

10. § 67 Abs. 7 lautet:

„(7) Das Bundesamt für Sicherheit im Gesundheitswesen hat Betriebsüberprüfungen von Betrieben, die

  1. 1. Humanarzneimittel oder
  2. 2. Wirkstoffe

    herstellen, kontrollieren oder in Verkehr bringen, gemäß den Leitlinien der Europäischen Kommission nach Art. 111a der Richtlinie 2001/83/EG und der von der Kommission veröffentlichten Sammlung der Gemeinschaftsverfahren für Inspektionen und den Informationsaustausch durchzuführen und dabei mit der Agentur durch Austausch von Informationen über geplante und durchgeführte Betriebsüberprüfungen zusammenzuarbeiten.“

11. Dem § 67 wird folgender Abs. 8 angefügt:

„(8) Das Bundesamt für Sicherheit im Gesundheitswesen führt für seine Inspektionstätigkeit ein fachgerecht konzipiertes Qualitätssystem, das von den Organen des Bundesamtes und von diesem beigezogenen Sachverständigen bei diesen Tätigkeiten befolgt wird. Das Qualitätssystem ist bei Bedarf zu aktualisieren.“

12. Dem § 75g Abs. 2 wird folgender Satz angefügt:

„Die Übermittlung personenbezogener Daten ist nur in pseudonymisierter Form zulässig.“

13. § 80 Abs. 1 lautet:

„(1) Zur Gewährleistung der Arzneimittelsicherheit sowie zur Gewährleistung des Schutzes von Leben und Gesundheit von Mensch und Tier dürfen die für die Vollziehung dieses Bundesgesetzes benötigten personenbezogenen Daten über pharmazeutische Unternehmer und Anwender von Arzneimitteln im Zusammenhang mit der Herstellung, der Kontrolle, dem Vertrieb und der Anwendung von Arzneimitteln durch das Bundesamt für Sicherheit im Gesundheitswesen verarbeitet werden.“

14. § 80 Abs. 2 lautet:

„(2) Zur Gewährleistung der Arzneimittelsicherheit sowie zur Gewährleistung des Schutzes von Leben und Gesundheit von Mensch und Tier dürfen die für die Vollziehung dieses Bundesgesetzes im Hinblick auf die Arzneimittelüberwachung benötigten personenbezogenen Daten von Patienten im Zusammenhang mit der Anwendung von Arzneimitteln durch die Meldepflichtigen pseudonymisiert übermittelt werden. Die Verarbeitung durch das Bundesamt für Sicherheit im Gesundheitswesen hat in pseudonymisierter Form zu erfolgen, solange die Daten für Zwecke der Arzneimittelüberwachung in dieser Form benötigt werden.“

15. Der Einleitungsteil des § 80 Abs. 3 lautet:

„Das Bundesamt für Sicherheit im Gesundheitswesen ist ermächtigt, die Daten gemäß Abs. 1 und 2 automationsunterstützt zu übermitteln an“

16. Der Einleitungsteil des § 80 Abs. 4 lautet:

„Das Bundesamt für Sicherheit im Gesundheitswesen ist ferner ermächtigt, personenbezogene Daten automationsunterstützt zu übermitteln an“

17. In § 82d Abs. 2 wird die Wortfolge „(§ 4 Z 9 des Datenschutzgesetzes 2000, DSG 2000, BGBl. I Nr. 165/1999)“ durch die Wortfolge „(Art. 4 Z 2 Datenschutz-Grundverordnung)“ ersetzt.

18. Dem § 95 werden folgende Abs. 15 und 16 angefügt:

„(15) Datenschutzrechtliche Einwilligungen im Zusammenhang mit klinischen Prüfungen, die vor dem 25. Mai 2018 erteilt worden sind, müssen nicht erneuert werden.

(16) § 36 Z 8 bis 8c, § 39 Abs. 3, 3a bis 3c, § 43a Abs. 3 und 5, § 46 Abs. 3, 4a und 5, § 67 Abs. 7 und 8, § 75g, § 80 Abs. 1 bis 4 und § 82d Abs. 2 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, treten mit 25. Mai 2018 in Kraft.“

19. In § 97 wird der Punkt am Ende der Z 31 durch einen Beistrich ersetzt; folgende Z 32 wird angefügt:

  1. „32. Richtlinie (EU) 2017/1572 der Kommission zur Ergänzung der Richtlinie 2001/83/EG hinsichtlich der Grundsätze und Leitlinien der Guten Herstellungspraxis für Humanarzneimittel (ABl. Nr. L 238 vom 16.09.2017).“

Artikel 44

Änderung des Blutsicherheitsgesetzes 1999

Das Blutsicherheitsgesetz 1999, BGBl. I Nr. 44/1999, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 107/2009 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. § 21 Z 3 lautet:

  1. „3. in welcher Form die Identität des Spenders zu dokumentieren ist, durch wen, in welcher Art und in welchem Umfang die Verarbeitung, insbesondere Erfassung, die Übermittlung der Daten sowie die Dokumentation und Meldeverpflichtung gemäß § 11 und § 12 vorzunehmen sind;“

2. § 29 wird folgender Abs. 7 angefügt:

„(7) § 21 Z 3 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, tritt mit 25. Mai 2018 in Kraft.“

Artikel 45

Änderung des Gewebesicherheitsgesetzes

Das Gewebesicherheitsgesetz, BGBl. I Nr. 49/2008, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 105/2016 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. In § 2 Z 21 wird das Wort „ermitteln“ jeweils durch das Wort „erheben“ ersetzt.

2. In § 4 Abs. 5a wird folgender Satz angefügt:

„§ 7 Abs. 2 und 3 Organtransplantationsgesetz gilt.“

3. § 5 Abs. 5 entfällt.

4. In § 7 Abs. 1 Z 4 wird das Wort „Weitergabe“ durch das Wort „Übermittlung“ ersetzt.

5. § 16 Abs. 4 entfällt.

6. In § 18 Abs. 3 wird das Zitat „§ 26 Datenschutzgesetz 2000“ durch das Zitat „Art. 15 Datenschutz-Grundverordnung“ ersetzt.

7. In § 32 Abs. 1a wird die Wortfolge „Bestimmungen gemäß § 15 Datenschutzgesetz 2000“ durch das Zitat „Anforderungen gemäß Art. 32 Abs. 4 Datenschutz-Grundverordnung“ und das Zitat „§§ 14 f Datenschutzgesetz 2000“ durch das Zitat „Art. 32 Datenschutz-Grundverordnung“ ersetzt.

8. In § 33 Abs. 1 wird das Zitat „§§ 14f Datenschutzgesetz 2000“ durch das Zitat „Art. 32 Datenschutz-Grundverordnung“ ersetzt.

9. § 37a wird folgender Abs. 4 angefügt:

„(4) Die § 2 Z 21, § 4 Abs. 5a, § 7 Abs. 1, § 16 Abs.4, § 18 Abs. 3, § 32 Abs. 1a und § 33 Abs. 1, der Entfall des § 5 Abs. 5 und § 16 Abs. 4, sowie Anhang D Abschnitt B in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, treten mit 25. Mai 2018 in Kraft.“

10. In Anhang D Abschnitt B Z 1 wird das Wort „überlassenen“ durch das Wort „übermittelten“ ersetzt.

Artikel 46

Änderung des Bundesgesetzes über Krankenanstalten und Kuranstalten

Das Bundesgesetz über Krankenanstalten und Kuranstalten, BGBl. Nr. 1/1957, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 131/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. (Grundsatzbestimmung) In § 5a Abs. 2 wird das Wort „anonymisiert“ durch die Wortfolge „pseudonymisiert (Art. 4 Nr. 5 der Verordnung [EU] 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1)“ ersetzt.

2. (Grundsatzbestimmung) In § 8a Abs. 4a wird die Wortfolge „indirekt personenbezogen“ durch die Wortfolge „in pseudonymisierter Form“ ersetzt.

3. (Grundsatzbestimmung) Vor der Überschrift zu § 10 wird folgender § 9a eingefügt:

§ 9a. (1) Rechtsträger von Krankenanstalten sind ermächtigt, die im Rahmen des Betriebes einer Krankenanstalt nach den Bestimmungen dieses Bundesgesetzes erforderlichen personenbezogenen Daten zum Zwecke der

  1. 1. Dokumentation und Auskunftserteilung (§ 10) sowie
  2. 2. Abrechnung (§§ 27 bis 30 und 40 Abs. 3)

    unter Einhaltung der Datenschutz-Grundverordnung zu verarbeiten.

(2) Hinsichtlich der Verarbeitung personenbezogener Daten gemäß Abs. 1 sind die Pflichten und Rechte gemäß Art. 13, 14, 18 und 21 Datenschutz-Grundverordnung ausgeschlossen. Personenbezogene Daten gemäß Abs. 1, die der Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen dienen, dürfen jedenfalls bis zu 30 Jahre gespeichert und gegebenenfalls verarbeitet werden.“

4. (Grundsatzbestimmung) § 10 Abs. 1 Z 4a lautet:

  1. „4a. Pfleglingen Einsicht in ihre Krankengeschichte zu gewähren und nach Maßgabe des Art. 15 Abs. 3 der Datenschutz-Grundverordnung die Herstellung von Kopien zu ermöglichen;“

5. (Grundsatzbestimmung) § 10 Abs. 5 letzter Satz lautet:

„Die Übermittlungen von personenbezogenen Daten im Wege eines Auftragsverarbeiters, dem die Verarbeitung übertragen wurde, durch den Rechtsträger einer Krankenanstalt ist nur an Ärzte, Zahnärzte oder Krankenanstalten zulässig, in deren Behandlung die betroffenen Personen stehen.“

6. § 65b wird folgender Abs. 9 angefügt:

„(9) § 5a Abs. 2, § 8a Abs. 4, § 9a sowie § 10 Abs. 1 Z 4a und Abs. 5 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, treten mit 25. Mai 2018 in Kraft. Die Landesgesetzgebung hat die Ausführungsbestimmungen dazu innerhalb von sechs Monaten zu erlassen.“

Artikel 47

Änderung des Medizinproduktegesetzes

Das Medizinproduktegesetz, BGBl. Nr. 657/1996, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 31/2014 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. In § 11 Abs. 4 wird nach dem Wort „Daten“ die Wortfolge „Art. 4 Z 1 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1“ eingefügt.

2. In § 49 Abs. 4 Z 2 wird das Wort „verschlüsselt“ durch das Wort „pseudonymisiert“ ersetzt.

3. § 49 werden folgende Abs. 5 und 6 angefügt:

„(5) Mit der Einwilligung zur Teilnahme an der klinischen Prüfung nach § 50 Abs. 1 ist auch die ausdrückliche datenschutzrechtliche Einwilligung einzuholen. Der Widerruf der Einwilligung hat keine Auswirkungen auf Tätigkeiten, die auf der Grundlage der Einwilligung nach Aufklärung bereits vor deren Widerruf durchgeführt wurden, oder auf die Verwendung der auf dieser Grundlage erhobenen Daten. Das Recht nach Art. 17 der Datenschutz-Grundverordnung ist ausgeschlossen. Darüber ist im Zuge der Einholung der Einwilligung aufzuklären.

(6) Für die Weiterverarbeitung gemäß Art. 9 Abs. 2 lit. j der Datenschutz-Grundverordnung gilt § 2d Abs. 3 des Forschungsorganisationgesetzes, BGBl. I Nr. 131/2015.“

4. § 50 Abs. 1 letzter Satz entfällt.

5. In § 52a Abs. 3 wird das Wort „Zustimmung“ durch die Wortfolge „Einwilligung“, das Wort „Verwendung“ durch die Wortfolge „weitere Verarbeitung“ und das Wort „ermittelten“ durch das Wort „verarbeiteten“ ersetzt.

6. § 52a wird folgender Abs. 5 angefügt:

„(5) Verstirbt der Prüfungsteilnehmer vor dem in Abs. 3 und 4 genannten Zeitpunkt, dürfen die bis dahin verarbeiteten Daten für Zwecke dieser klinischen Prüfung verwendet werden.“

7. In § 55 Abs. 1 wird die Wortfolge „in ihrem Personenbezug soweit als möglich verschlüsselt werden; die getrennte Aufbewahrung der Schlüssel ist dabei sicherzustellen“ durch die Wortfolge „soweit als möglich pseudonymisiert werden, wobei sicherzustellen ist, dass die zusätzlichen Informationen, mit denen die personenbezogenen Daten einer betroffenen Person zugeordnet werden können, gesondert aufbewahrt werden“ ersetzt.

8. Nach § 55 Abs. 3 wird folgender Abs. 3a eingefügt:

„(3a) Für den Zeitraum der Aufbewahrungsfristen ist das Recht gemäß Art. 17 Datenschutz-Grundverordnung ausgeschlossen.“

9. In § 59 Abs. 3 wird das Wort „Zustimmung“ durch das Wort „Einwilligung“ ersetzt.

10. Nach § 64 Abs. 4 wird folgender Abs. 4a eingefügt:

„(4a) Der klinische Prüfer hat für den Sponsor die Pflichten nach Art. 13, 15, 16 und 18 der Datenschutz-Grundverordnung zu erfüllen und bei Verletzungen des Schutzes personenbezogener Daten den Prüfungsteilnehmer gemäß Art. 34 der Datenschutz-Grundverordnung zu benachrichtigen und den Sponsor davon zu informieren.“

11. Der Schlussteil des § 73 Abs. 1 lautet:

„ein Register für Herzschrittmacher, implantierbare Defibrillatoren und Loop-Recorder zu führen. Die Gesundheit Österreich GmbH ist Verantwortlicher des Registers.“

12. In der Einleitung des § 73 Abs. 2 wird das Wort „Datenarten“ durch das Wort „Datenkategorien“ ersetzt.

13. § 73 Abs. 4 lautet:

„(4) Die Übermittlung gemäß Abs. 3 ist nur zulässig, wenn die betroffenen Personen

  1. 1. über die Verarbeitung für Zwecke des Herzschrittmacher-, ICD-, oder Loop-Recorder-Registers informiert wurden und
  2. 2. ausdrücklich in diese Verarbeitung eingewilligt haben.

    Wird bei einem Folgekontakt die Einwilligung widerrufen, so ist die betroffene Person darüber aufzuklären, dass die Daten zum direkten Personenbezug unumkehrbar gelöscht werden und die restlichen Daten, mangels Zuordenbarkeit, nicht mehr für ihre Behandlungszwecke verwendet werden können. Besteht die betroffene Person auch nach Aufklärung über diese Folgen auf dem Widerruf ihrer Einwilligung, so ist die Gesundheit Österreich GmbH über den Widerruf zu informieren. Die Gesundheit Österreich GmbH hat die Daten unverzüglich zu pseudonymisieren.“

14. In § 73 wird nach dem Abs. 4 folgender Abs. 4a eingefügt:

„(4a) Soweit keine Einwilligung erteilt wurde, haben die implantierenden bzw. behandelnden Gesundheitseinrichtungen

  1. 1. die Daten gemäß Abs. 2 Z 1 und 3 bis 7 sowie
  2. 2. das bereichsspezifische Personenkennzeichen Gesundheit (bPK-GH) zu übermitteln.

    Aufgrund dieses Absatzes übermittelte Daten dürfen nur zu Zwecken nach Abs. 1 Z 5 und 6 verarbeitet werden.“

15. In § 73 Abs. 5 wird die Wortfolge „für Übermittlungen und Datenverwendungen“ durch die Wortfolge „auf das Herzschrittmacher-, ICD- und Loop-Recorder-Register“ ersetzt.

16. In § 73 Abs. 6 wird das Wort „Betreiber“ durch das Wort „Verantwortlichen“ ersetzt.

17. In § 73 Abs. 8 wird das Wort „Verwendungsvorgänge“ durch das Wort „Verarbeitungsvorgänge“ ersetzt.

18. § 73 Abs. 9 und 10 entfällt.

19. § 73 Abs. 11 lautet:

„(11) Die Gesundheit Österreich GmbH darf auf die im Register verarbeiteten oder zu verarbeitenden Daten

  1. 1. grundsätzlich nur in pseudonymisierter Form,
  2. 2. zur Wahrnehmung der Rechte der betroffenen Personen gemäß Kapitel 3 Datenschutz-Grundverordnung aber auch in direkt personenbezogener Form

    zugreifen. Für wissenschaftliche Zwecke darf die Gesundheit Österreich GmbH nur in pseudonymisierter Form zugreifen.“

20. In § 73 Abs. 12 Z 1 wird das Wort „Zustimmung“ durch das Wort „Einwilligung“ und die Wortfolge „des Betroffenen“ durch die Wortfolge „der betroffenen Person“ ersetzt.

21. In § 73 Abs. 12 Z 2 wird das Wort „anonymisierter“ durch das Wort „pseudonymisierter“ ersetzt.

22. In § 73 Abs. 14 wird die Wortfolge „gemäß § 15 Datenschutzgesetz 2000, BGBl. I Nr. 165/1999,“ durch die Wortfolge „der Datenschutz-Grundverordnung“ und das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt.

23. In § 73 Abs. 17 wird das Wort „Looprecorder“ durch das Wort „Loop-Recorder“ ersetzt.

24. § 73 Abs. 18 entfällt.

25. In § 73a Abs. 2 wird das Wort „Datenarten“ durch das Wort „Datenkategorien“ ersetzt.

26. In § 73a Abs. 3 entfällt die Wortfolge „für Übermittlungen und Datenverwendungen“.

27. In § 73a Abs. 5 wird die Wortfolge „zu verschlüsseln“ durch die Wortfolge „zu pseudonymisieren“ ersetzt.

28. § 73a Abs. 6 lautet:

„(6) Die bereichsspezifischen Personenkennzeichen sind zu löschen, sobald sie für die Zwecke nach Abs. 1 nicht mehr erforderlich sind. Die Bundesanstalt „Statistik Österreich“ hat der Gesundheit Österreich GmbH - auf deren Anfrage - personenbezogene Daten zum Todeszeitpunkt und zur Todesursache von Personen, deren Daten in einem Implantatregister gemäß Abs. 1 gespeichert sind, zu übermitteln.“

29. § 73a Abs. 7 entfällt.

30. In § 73a Abs. 9 wird das Wort „anonymisierter“ durch das Wort „pseudonymisierter“ ersetzt.

31. In § 73a Abs. 11 wird die Wortfolge „indirekt personenbezogener“ durch das Wort „pseudonymisierter“ ersetzt.

32. In § 73a Abs. 12 wird die Wortfolge „gemäß § 15 Datenschutzgesetz 2000“ durch die Wortfolge „der Datenschutz-Grundverordnung“ und das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt.

33. In § 74 wird die Wortfolge „Verschlüsselung oder andere geeignete Maßnahmen“ durch die Wortfolge „Pseudonymisierung“ ersetzt.

34. In § 89 Abs. 1 wird die Wortfolge „eine Gerätedatei“ durch die Wortfolge „ein Geräteverzeichnis“ ersetzt.

35. In § 89 Abs. 2 wird die Wortfolge „Die Gerätedatei“ durch die Wortfolge „Das Geräteverzeichnis“ ersetzt.

36. In § 89 Abs. 3 wird die Wortfolge „der Gerätedatei“ durch die Wortfolge „dem Geräteverzeichnis“ ersetzt.

37. In § 110a Abs. 1 wird das Zitat „§ 4 Z 1 Datenschutzgesetz 2000, BGBl. I Nr. 165/1999“ durch das Zitat „Art. 4 Z 1 Datenschutz-Grundverordnung“ und die Wortfolge „ermittelt und verarbeitet“ durch die Wortfolge „verarbeitet“ ersetzt.

38. § 110a Abs. 2 lautet:

„(2) Zur Gewährleistung der Medizinproduktesicherheit sowie zur Gewährleistung des Schutzes von Leben und Gesundheit von Menschen dürfen die für die Vollziehung dieses Bundesgesetzes im Hinblick auf die Medizinprodukteüberwachung benötigten personenbezogenen Daten von Patientinnen und Patienten sowie Probandinnen und Probanden im Zusammenhang mit der Anwendung von Medizinprodukten automationsunterstützt verarbeitet werden. Die Verarbeitung dieser Daten durch das Bundesamt für Sicherheit im Gesundheitswesen hat in pseudonymisierter Form zu erfolgen, solange die Daten für Zwecke der Medizinprodukteüberwachung in dieser Form benötigt werden.“

39. In § 110a Abs. 3 wird die Wortfolge „im oder für den automationsunterstützten Datenverkehr Daten im Sinne des Abs. 1 und 2 zu übermitteln an“ durch die Wortfolge „Daten im Sinne des Abs. 1 und 2 automationsunterstützt an“ ersetzt.

40. In § 110a Abs. 3 Z 7 entfällt der Punkt am Ende des Satzes und folgender Schlussteil wird angefügt:

„zu übermitteln.“

41. § 114 werden folgende Abs. 10 und 11 angefügt:

„(10) Datenschutzrechtliche Einwilligungen im Zusammenhang mit klinischen Prüfungen, die vor dem 25. Mai 2018 erteilt worden sind, müssen nicht erneuert werden.

(11) Die § 11 Abs. 4, § 49 Abs. 4, 5 und 6, § 50 Abs. 1, § 52a Abs. 3 und 5, § 55 Abs. 1, § 59 Abs. 3, § 64 Abs. 4a, § 73 Abs. 1, 2, 4, 4a, 5, 6, 8, 11, 12 14, 17, § 73a Abs. 2, 3, 5, 6, 9, 11 und 12, § 74, § 89 Abs. 1 bis 3, § 110a Abs. 1 bis 3 und der Entfall des § 73 Abs. 9, 10 und 18 und des § 73a Abs. 7 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, treten mit 25. Mai 2018 in Kraft.“

Artikel 48

Änderung des Epidemiegesetzes 1950

Das Epidemiegesetz 1950, BGBl. Nr. 186/1950, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 63/2016 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. § 4 Abs. 1 und 2 lautet:

„(1) Der für das Gesundheitswesen zuständige Bundesminister hat ein elektronisches Register betreffend die Anzeigen nach § 1 Abs. 1 und 2 und § 2 Abs. 2 sowie die Anzeigen nach §§ 5 und 11 des Tuberkulosegesetzes, BGBl. Nr. 127/1968, zu betreiben. Der für das Gesundheitswesen zuständige Bundesminister ist Verantwortlicher. Hinsichtlich der Verarbeitung personenbezogener Daten nach diesem Bundesgesetz besteht kein Widerspruchsrecht gemäß Art. 21 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1.

(2) Das Anzeigenregister dient der Erfüllung der Aufgaben der Bezirksverwaltungsbehörden zur Durchführung von Erhebungen über das Auftreten anzeigepflichtiger Krankheiten (§ 5 dieses Bundesgesetzes und § 6 Tuberkulosegesetz) sowie zur Verhütung der Weiterverbreitung und Bekämpfung anzeigepflichtiger Krankheiten (§§ 6 bis 26a dieses Bundesgesetzes und §§ 7 bis 14 und 23 Tuberkulosegesetz) und der Erfüllung der Aufgaben der Landeshauptmänner im Rahmen ihrer Koordinierungsfunktion gemäß § 43 Abs. 6 und 7.“

2. § 4 Abs. 3 wird das Zitat „§§ 5 und 11 Tuberkulosegesetz“ durch das Zitat „§§ 5, 10 und 11 Tuberkulosegesetz“ ersetzt.

3. In § 4 Abs. 4 Einleitung wird das Wort „Datenarten“ durch das Wort „Datenkategorien“ ersetzt.

4. § 4 Abs. 5 zweiter Satz entfällt.

5. § 4 Abs. 7 lautet:

„(7) Die Bezirksverwaltungsbehörde darf im Rahmen ihrer Zuständigkeit für Zwecke der Erhebungen über das Auftreten und der Verhütung und Bekämpfung einer anzeigepflichtigen Krankheit nach diesem Bundesgesetz und nach dem Tuberkulosegesetz alle Daten einer Person im Register, die im Zusammenhang mit einem bestimmten Verdachts-, Erkrankungs- oder Todesfall stehen, personenbezogen verarbeiten. Der Landeshauptmann darf im Rahmen seiner Koordinierungsfunktion gemäß § 43 Abs. 5 und 6 alle Daten einer Person im Register, die im Zusammenhang mit einem bestimmten Verdachts-, Erkrankungs- oder Todesfall stehen, personenbezogen verarbeiten. Sofern vom für das Veterinärwesen zuständigen Bundesminister gemäß § 3 Abs. 7 des Zoonosengesetzes ein Experte zur Abklärung bundesländerübergreifender Zoonosenausbrüche bestellt wurde, darf dieser alle Daten von Personen im Register, die im Zusammenhang mit einem Zoonosenausbruch stehen können, personenbezogen verarbeiten, soweit dies zur Abklärung eines Ausbruchs erforderlich ist. Der für das Gesundheitswesen zuständig Bundesminister darf zur Erfüllung der Verpflichtungen nach Art. 15 und 16 Datenschutz-Grundverordnung die Daten einer Person im Register personenbezogen verarbeiten.“

6. § 4 Abs. 8 lautet:

„(8) Der für das Gesundheitswesen zuständige Bundesminister darf für Zwecke der epidemiologischen Überwachung, Qualitätssicherung und zur Erfüllung von sich aus EU-Recht ergebenden Meldeverpflichtungen die Daten im Register in pseudonymisierter Form verarbeiten. Der für das Gesundheitswesen zuständige Bundesminister kann dazu Dritte als Auftragsverarbeiter heranziehen. Die Bezirksverwaltungsbehörde und der Landeshauptmann dürfen für Zwecke der epidemiologischen Überwachung die Daten im Register in pseudonymisierter Form verarbeiten.“

7. In § 4 Abs. 9 wird die Wortfolge „Der Bundesminister für Gesundheit“ durch die Wortfolge „Der für das Gesundheitswesen zuständige Bundesminister“ ersetzt.

8. § 4 Abs. 11 lautet:

„(11) Die Daten im Register sind zu löschen, sobald sie zur Erfüllung der Aufgaben der Bezirksverwaltungsbehörden im Zusammenhang mit der Erhebung über das Auftreten und im Zusammenhang mit der Verhütung und Bekämpfung einer anzeigepflichtigen Krankheit nach diesem Bundesgesetz und nach dem Tuberkulosegesetz nicht mehr erforderlich sind.“

9. § 4 Abs. 12 lautet:

„(12) Der Bezirkshauptmann, der Landeshauptmann und der für das Gesundheitswesen zuständige Bundesminister sind verpflichtet, die Zugriffsberechtigung für die einzelnen Benutzer individuell zuzuweisen und zu dokumentieren. Zugriffsberechtigte sind von der weiteren Ausübung ihrer Zugriffsberechtigung auszuschließen, wenn sie diese zur weiteren Erfüllung der ihnen übertragenen Aufgaben nicht mehr benötigen oder sie die Daten nicht entsprechend ihrer Zweckbestimmung verarbeiten.“

10. § 4 Abs. 15 lautet:

„(15) Labors haben ihrer Meldeverpflichtung (§ 1 in Verbindung mit § 3 Abs. 1 Z 1a dieses Bundegesetzes und § 5 Abs. 2 des Tuberkulosegesetzes) elektronisch durch Eingabe der Meldung in das Register nachzukommen. Der für das Gesundheitswesen zuständige Bundesminister hat durch Verordnung Details dieser Meldungen festzulegen.“

11. In § 4 Abs. 17 wird die Wortfolge „Der Bundesminister für Gesundheit“ durch die Wortfolge „Der für das Gesundheitswesen zuständige Bundesminister“ ersetzt.

12. Nach § 4 wird folgender § 4a samt Überschrift eingefügt:

„Statistik-Register

§ 4a. (1) Die Daten (§ 4 Abs. 3 und 14 bis 17) sind unmittelbar nach erfolgter Meldung auch in ein vom für das Gesundheitswesen zuständigen Bundesminister zu betreibendes Statistik-Register überzuführen. Dieses dient der Statistik und wissenschaftlichen Forschung.

(2) Zum Zeitpunkt des Inkrafttretens dieses Bundesgesetzes in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, bereits im Register (§ 4) enthaltene Daten sind mit diesem Zeitpunkt in das Statistik-Register überzuführen.

(3) In das Statistik-Register sind die Daten nach der Ersetzung der Daten zur Personenidentifikation durch ein nicht rückführbar verschlüsseltes eindeutiges Personenkennzeichen zu überführen. Nicht der Pseudonymisierung unterliegen das Geschlecht und das Geburtsjahr.

(4) Gemäß Art. 5 Abs. 1 lit. e Datenschutz-Grundverordnung dürfen die Daten im Statistik-Register gemäß Art. 89 Abs. 1 der Datenschutz-Grundverordnung unbeschränkt gespeichert und gegebenenfalls sonst verarbeitet werden.

(5) Der für das Gesundheitswesen zuständige Bundesminister, die Landeshauptmänner und Bezirksverwaltungsbehörden und die Österreichische Agentur für Gesundheit und Ernährungssicherheit sind berechtigt, die Daten im Register für die in Abs. 1 genannten Zwecke zu verarbeiten.“

13. Dem § 5 wird folgender Abs. 3 angefügt:

„(3) Auf Verlangen der Bezirksverwaltungsbehörde sind alle Personen, wie insbesondere behandelnde Ärzte, Labors, Arbeitgeber, Familienangehörige und Personal von Gemeinschaftseinrichtungen, die zu den Erhebungen einen Beitrag leisten könnten, zur Auskunftserteilung verpflichtet.“

14. Nach § 50 Abs. 5 wird folgender Abs. 6 angefügt:

„(6) § 4 Abs. 1 bis 5, 7 bis 9, 11, 12, 15 und 17, § 4a samt Übersschrift und § 5 Abs. 3 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, treten mit 25. Mai 2018 in Kraft.“

Artikel 49

Änderung des Organtransplantationsgesetzes

Das Organtransplantationsgesetz, BGBl. I Nr. 108/2012, in der Fassung der Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. In § 4 Abs. 6 wird die Wortfolge „§ 26 des Datenschutzgesetzes 2000, BGBl. I Nr. 165/1999“ durch die Wortfolge „Art. 15 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1“ ersetzt.

2. In § 6 Abs. 2 wird die Wortfolge „eine Zustimmung“ durch die Wortfolge „die Einwilligung“ ersetzt.

3. In § 6 Abs. 5 erster Satz wird die Wortfolge „§§ 14f Datenschutzgesetz 2000“ durch das Wort „Datenschutz-Grundverordnung“ ersetzt.

4. In § 6 Abs. 6 wird die Wortfolge „gemäß § 15 Datenschutzgesetz 2000“ durch die Wortfolge „der Datenschutz-Grundverordnung“ ersetzt.

5. In § 6 Abs. 11 wird die Wortfolge „des § 14 Abs. 1 DSG 2000“ durch die Wortfolge „der Datenschutz-Grundverordnung“ ersetzt.

6. In § 7 wird dem Text die Absatzbezeichnung „(1)“ vorangestellt; folgende Abs. 2 und 3 werden angefügt:

„(2) Zu diesem Zweck sind Entnahmeeinheiten berechtigt, die Abfrage online im Widerspruchsregister durchzuführen. Die Gesundheit Österreich GmbH hat sicherzustellen, dass die Abfrage so gestaltet ist, dass bei Abfragen nur die zur Verifizierung der Eintragung eines Widerspruchs erforderlichen Daten im Register ersichtlich sind.

(3) Die Erteilung von Zugriffsberechtigungen für Abfragen durch Entnahmeeinrichtungen ist durch die Gesundheit Österreich GmbH nachvollziehbar zu dokumentieren. Bei der Erteilung von Zugriffsberechtigungen durch Entnahmeeinrichtungen ist darauf zu achten, dass Zugriffsrechte stets nur in jenem Umfang gewährt werden, als dies für den Abfragezweck notwendig ist. Die Erteilung der Zugriffsberechtigung hat sich auf konkrete Personen zu beziehen, deren eindeutige Identität und Umfang der Berechtigung der Gesundheit Österreich GmbH nachzuweisen sind.“

7. Nach § 19 wird folgender § 19a eingefügt:

§ 19a. Die § 4 Abs. 6, § 6 Abs. 2, 5, 6, und 11 sowie § 7 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, treten mit 25. Mai 2018 in Kraft.“

Artikel 50

Änderung des Apothekengesetzes

Das Apothekengesetz, RGBl. Nr. 5/1907, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 127/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Nach § 6 wird folgender § 6a samt Überschrift eingefügt:

„Datenverarbeitung

§ 6a. (1) Öffentliche Apotheken sind ermächtigt, die im Rahmen ihrer Betriebsführung und die zur Erfüllung ihrer gesetzlichen Verpflichtungen erforderlichen personenbezogenen Daten unter Einhaltung der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1, zu verarbeiten.

(2) Öffentliche Apotheken sind berechtigt, personenbezogene Daten an Dritte zu übermitteln, sofern und in dem Umfang dies gesetzlich vorgesehen ist.

(3) Die gemäß Abs. 1 verarbeiteten personenbezogenen Daten dürfen so lange gespeichert werden, wie es ihr gesetzlich vorgesehener Zweck erfordert. Hinsichtlich der Verarbeitung personenbezogener Daten gemäß Abs. 1 sind die Rechte und Pflichten gemäß Art. 13, 14, 18 und 21 Datenschutz-Grundverordnung ausgeschlossen.“

2. In § 31 Abs. 4 wird vor der Wortfolge „und 7“ der Ausdruck „6a“ eingefügt.

3. § 68a wird folgender Abs. 10 angefügt:

„(10) § 6a samt Überschrift und § 31 Abs. 4 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, treten mit 25. Mai 2018 in Kraft.“

Artikel 51

Änderung des Apothekerkammergesetzes 2001

Das Apothekerkammergesetz 2001, BGBl. I Nr. 111/2001, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 48/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. § 2 Abs. 4 Z 7 lautet:

  1. „7. an der Förderung und dem Schutz der Gesundheit der Bevölkerung, insbesondere der Gewährleistung von Arzneimittelsicherheit und der Prävention von Arzneimittelmissbrauch, sowie der Beobachtung und Bewertung der gesundheitlichen Verhältnisse bzw. an amtlichen Gesundheitsstatistiken mitzuwirken,“

2. § 2 Abs. 4 Z 12 lautet:

  1. „12. Verzeichnisse über alle Apotheken, Mitglieder der Apothekerkammer sowie grenzüberschreitende Dienstleistungserbringer gemäß § 3g Apothekengesetz zu führen und dauerhaft zu speichern,“

3. § 6 lautet:

§ 6. (1) Die Apothekerkammer ist im Sinne der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1, zur Verarbeitung von personenbezogenen Daten ermächtigt, soweit dies für die Apothekerkammer eine wesentliche Voraussetzung zur Wahrung der ihr gesetzlich übertragenen Aufgaben darstellt. Dies gilt auch für die Verarbeitung von personenbezogenen Daten durch sonstige Rechtsträger, die zur Erfüllung der Aufgaben der Apothekerkammer herangezogen werden. Im Rahmen der Verwaltungsgemeinschaft mit der Pharmazeutischen Gehaltskasse für Österreich ist die Apothekerkammer auch ermächtigt, jene personenbezogenen Daten zu verarbeiten, die zur Erfüllung der gesetzlichen Aufgaben der Pharmazeutischen Gehaltskasse für diese eine wesentliche Voraussetzung darstellen (§ 5 Gehaltskassengesetz).

(2) Die gemäß Abs. 1 verarbeiteten personenbezogenen Daten dürfen nur in Erfüllung gesetzlicher Verpflichtungen übermittelt werden.

(3) Die gemäß Abs. 1 verarbeiteten personenbezogenen Daten dürfen so lange gespeichert werden, wie es ihr gesetzlich vorgesehener Zweck erfordert. Personenbezogene Daten, die der Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen dienen, dürfen jedenfalls bis zu 30 Jahre gespeichert und gegebenenfalls verarbeitet werden. Hinsichtlich der Verarbeitung personenbezogener Daten gemäß Abs. 1 sind die Rechte und Pflichten gemäß Art. 13, 14, 18 und 21 Datenschutz-Grundverordnung ausgeschlossen.

(4) Soweit personenbezogene Daten zu anderen Zwecken als solchen gemäß Art. 89 Datenschutz-Grundverordnung verarbeitet werden, hat eine Auskunftserteilung gemäß Art. 15 Datenschutz-Grundverordnung zu unterbleiben, soweit dies zum Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen oder aus sonstigen überwiegenden öffentlichen Interessen notwendig und verhältnismäßig ist. Im Falle einer Nichterteilung der Auskunft hat die Österreichische Apothekerkammer die betroffene Person schriftlich über diese und die dafür maßgeblichen Gründe zu informieren, es sei denn, die Erteilung dieser Information würde den in diesem Absatz genannten Zwecken zuwiderlaufen. Diesfalls sind die für die Nichterteilung der Auskunft maßgeblichen Gründe mit Aktenvermerk festzuhalten.

(5) Personenbezogene Daten gemäß Abs. 1 dürfen zu wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken gemäß Art. 89 Datenschutz-Grundverordnung verarbeitet und unbeschränkt gespeichert werden. Soweit es zur Verwirklichung der Zwecke gemäß Art. 89 Datenschutz-Grundverordnung unerlässlich ist, können die Rechte der Betroffenen gemäß Art. 15, 16, 17, 18, 20 und 21 Datenschutz-Grundverordnung insofern ausgeschlossen werden, als diese Rechte die Verwirklichung der spezifischen Zwecke unmöglich machen oder ernsthaft beeinträchtigen würden. Sofern es der Erreichung der Zwecke gemäß Art. 89 nicht zuwiderläuft, sind diese Daten in pseudonymisierter Form weiter zu verarbeiten.

(6) Hinsichtlich der Verarbeitung personenbezogener Daten im Rahmen des Wahl- und Disziplinarverfahrens sind die Pflichten und Rechte gemäß Art. 13, 14, 18 und 21 der Datenschutz-Grundverordnung ausgeschlossen.“

4. § 81 wird folgender Abs. 19 angefügt:

„(19) § 2 Abs. 4 und § 6 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, treten mit 25. Mai 2018 in Kraft.“

Artikel 52

Änderung des Gehaltskassengesetzes 2002

Das Gehaltskassengesetz 2002, BGBl. I Nr. 154/2001, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 9/2016 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. § 5 Abs. 1 lautet:

„(1) Die Gehaltskasse ist im Sinne der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1 und des Datenschutzgesetzes, BGBl. Nr. 165/1999, zur Verarbeitung von personenbezogenen Daten ermächtigt, soweit dies für die Gehaltskasse eine wesentliche Voraussetzung zur Erfüllung ihrer gesetzlichen Aufgaben ist. Im Rahmen der Verwaltungsgemeinschaft mit der Österreichischen Apothekerkammer gemäß § 66 Abs. 3 ist die Gehaltskasse auch ermächtigt, jene personenbezogene Daten zu ermitteln und zu verarbeiten, die zur Erfüllung der gesetzlichen Aufgaben der Österreichischen Apothekerkammer für diese eine wesentliche Voraussetzung darstellen. Diese verarbeiteten personenbezogenen Daten dürfen nur in Erfüllung gesetzlicher Verpflichtungen übermittelt werden.“

2. In § 5 Abs. 2 bis 5 entfällt jeweils die Wortfolge „und Verwendung“ sowie das Wort „insbesondere“.

3. § 5 werden folgende Abs. 6 bis 8 angefügt:

„(6) Die gemäß Abs. 1 bis 5 verarbeiteten personenbezogenen Daten dürfen so lange gespeichert werden, wie es ihr gesetzlich vorgesehener Zweck erfordert. Personenbezogene Daten, die der Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen dienen, dürfen jedenfalls bis zu 30 Jahren gespeichert und gegebenenfalls verarbeitet werden. Hinsichtlich der Verarbeitung personenbezogener Daten gemäß Abs. 1 bis 5 sind die Rechte und Pflichten gemäß Art. 13, 14, 18 und 21 Datenschutz-Grundverordnung ausgeschlossen.

(7) Soweit personenbezogene Daten zu anderen Zwecken als solchen gemäß Art. 89 Datenschutz-Grundverordnung verarbeitet werden, hat eine Auskunftserteilung gemäß Art. 15 Datenschutz-Grundverordnung zu unterbleiben, soweit dies zum Schutz der Betroffenen oder der Rechte und Freiheiten anderer Personen oder aus sonstigen überwiegenden öffentlichen Interessen notwendig und verhältnismäßig ist. Im Falle einer Nichterteilung der Auskunft hat die Pharmazeutische Gehaltskasse den Betroffenen schriftlich über diese und die dafür maßgeblichen Gründe zu informieren, es sei denn, die Erteilung dieser Information würde den in diesem Absatz genannten Zwecken zuwiderlaufen. Diesfalls sind die für die Nichterteilung der Auskunft maßgeblichen Gründe mit Aktenvermerk festzuhalten.

(8) Personenbezogene Daten gemäß Abs. 1 dürfen zu wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken gemäß Art. 89 Datenschutz-Grundverordnung verarbeitet und unbeschränkt gespeichert werden. Soweit es zur Verwirklichung der Zwecke gemäß Art. 89 Datenschutz-Grundverordnung unerlässlich ist, können die Rechte der Betroffenen gemäß Art. 15, 16, 17, 18, 20 und 21 Datenschutz-Grundverordnung insofern ausgeschlossen werden, als diese Rechte die Verwirklichung der spezifischen Zwecke unmöglich machen oder ernsthaft beeinträchtigen würden. Sofern es der Erreichung der Zwecke gemäß Art. 89 Datenschutz-Grundverordnung nicht zuwiderläuft, sind diese Daten in pseudonymisierter Form weiter zu verarbeiten.“

4. § 75a wird folgender Abs. 4 angefügt:

„(4) § 5 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, tritt mit 25. Mai 2018 in Kraft.“

Artikel 53

Änderung des Tierärztegesetzes

Das Tierärztegesetz, BGBl. 16/1975, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 66/2016 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. In § 4a Abs. 5 Z 6 wird das Wort „drei“ durch das Wort „sieben“ ersetzt.

2. In § 4a Abs. 6 wird das Wort „Dienstleisters“ jeweils durch die Wortfolge „Auftragsverarbeiters gemäß Art. 4 Z 8 Datenschutz-Grundverordnung“ ersetzt.

3. § 5 Abs. 2 Z 1 lautet:

  1. „1. Vor- und Familiennamen;“

4. Nach § 6 wird folgender § 6a eingefügt:

§ 6a. (1) Tierärzte sind ermächtigt, für die im Rahmen der Berufsausübung nach den Bestimmungen dieses Bundesgesetzes oder anderer veterinärgesetzlicher Bestimmungen erforderlichen personenbezogenen Daten zum Zweck

  1. 1. der Dokumentation,
  2. 2. der Honorar- und Arzneimittelabrechnung,
  3. 3. der Anzeige oder Meldung,
  4. 4. der Auskunftserteilung,

    unter Einhaltung der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S.1, und des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999, zu verarbeiten.

(2) Werden Daten gemäß Abs. 1 zu wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken weiterverarbeitet, hat die Weiterverarbeitung in pseudonymisierter Form zu erfolgen, wenn auch auf diese Weise die Zwecke erreicht werden können. Soweit der Personenbezug für die Verwirklichung des Zwecks unerlässlich ist, können die Rechte der Betroffenen gemäß Art. 15, 16, 18 und 21 der Datenschutz-Grundverordnung, vom Verantwortlichen insofern ausgeschlossen werden, als diese Rechte die Verwirklichung der spezifischen Zwecke unmöglich machen oder ernsthaft beeinträchtigen würden.“

5. In § 13 Abs. 3 wird das Wort „drei“ durch das Wort „sieben“ ersetzt.

6. In § 13a Abs. 2 wird das Wort „Zunamen“ durch das Wort „Familiennamen“ ersetzt.

7. In § 19 Abs. 2 wird das Wort „drei“ durch das Wort „sieben“ ersetzt.

8. In § 24 Abs. 3 wird das Wort „fünf“ durch das Wort „sieben“ ersetzt.

9. Nach § 75d wird folgender § 75e eingefügt:

§ 75e. Die §§ 4a Abs. 5 und 6, 5 Abs 2, 6a, 13 Abs. 3, 13a Abs. 2, 19 Abs. 2 und 24 Abs. 3 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, treten mit 25. Mai 2018 in Kraft.“

Artikel 54

Änderung des Tierärztekammergesetzes

Das Tierärztekammergesetz (TÄKamG), BGBl. I Nr. 86/2012, zuletzt geändert durch das Bundesgesetz BGBl I Nr. 9/2016 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. In § 6 Abs. 1 wird die Wortfolge „im Sinne des Datenschutzgesetzes 2000, BGBl. I Nr. 165/1999,“ durch die Wortfolge „unter Einhaltung der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S.1, und des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999“ ersetzt.

2. In § 6 Abs. 1 wird die Wortfolge „Ermittlung, Verarbeitung und Verwendung“ durch das Wort „Verarbeitung“ ersetzt.

3. In § 6 Abs. 1 letzter Satz wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.

4. In § 6 Abs. 2 die Wortfolge „unter Beachtung des Datenschutzgesetzes 2000“ durch die Wortfolge „unter Einhaltung der Datenschutz-Grundverordnung“ ersetzt.

5. Dem § 6 wird folgender Abs. 3 angefügt:

„(3) Hinsichtlich der Übermittlung von personenbezogenen Daten gemäß § 5 sowie bei der Verarbeitung personenbezogener Daten gemäß Abs. 1 sind die Rechte und Pflichten gemäß Art. 13, 14, 18 und 21 Datenschutz-Grundverordnung ausgeschlossen.“

6. In § 8 Abs. 4 wird das Wort „Dienstleister“ durch die Wortfolge „Auftragsverarbeiter gemäß Art. 4 Z 8 Datenschutz-Grundverordnung“ ersetzt.

7. Dem § 19 wird folgender Abs. 6 angefügt:

„(6) Hinsichtlich der Verarbeitung personenbezogener Daten im Rahmen des Wahlverfahrens sind die Pflichten und Rechte gemäß Art. 13, 14, 18 und 21 der Datenschutz-Grundverordnung ausgeschlossen.“

8. Dem § 86 wird folgender Abs. 3 angefügt:

„(3) Die §§ 6 Abs. 1 bis 3, 8 Abs. 4 und 19 Abs. 6 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, treten mit 25. Mai 2018 in Kraft.“

Artikel 55

Änderung des Tierseuchengesetzes

Das Tierseuchengesetz (TSG), RGBl. Nr. 177/1909, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 120/2016 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Dem § 8 werden folgende Abs. 10 und 11 angefügt:

„(10) Für die Führung des Registers ist die Bundesministerin für Arbeit, Soziales, Gesundheit und Konsumentenschutz Verantwortliche im Sinne des Art. 4 Z 7 und die Bundesanstalt „Statistik Österreich“ Auftragsverarbeiter im Sinne des Art. 4 Z 8 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016, S.1.

(11) Hinsichtlich der Verarbeitung personenbezogener Daten im Register gemäß Abs. 1 sind die Rechte und Pflichten gemäß Art. 13, 14, 18 und 21 Datenschutz-Grundverordnung ausgeschlossen.“

2. Dem § 77 wird folgender Abs. 15 angefügt:

„(15) Der § 8 Abs. 10 und 11 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, tritt mit 25. Mai 2018 in Kraft.“

Artikel 56

Änderung des Tiergesundheitsgesetzes

Das Tiergesundheitsgesetz (TGG), BGBl. I Nr. 133/1999, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 80/2013 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

2. Nach § 7 wird folgender § 7a samt Überschrift eingefügt:

„Verarbeitung personenbezogener Daten

§ 7a. (1) Personenbezogene Daten dürfen nur zu Zwecken, die in diesem Bundesgesetz oder in gemäß diesem Bundesgesetz erlassenen Verordnungen festgelegt sind, unter Einhaltung der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S.1, und des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999, verarbeitet werden.

(2) Hinsichtlich der Verarbeitung personenbezogener Daten gemäß Abs. 1 sind die Rechte und Pflichten gemäß Art. 13, 14, 18 und 21 Datenschutz-Grundverordnung ausgeschlossen.

(3) Werden Daten gemäß Abs. 1 zu wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken weiterverarbeitet, hat die Weiterverarbeitung in pseudonymisierter Form zu erfolgen, wenn auf diese Weise die Zwecke erreicht werden können. Soweit der Personenbezug für die Verwirklichung des Zwecks unerlässlich ist, dürfen die Rechte der Betroffenen gemäß Art. 15, 16, 18 und 21 Datenschutz-Grundverordnung vom Verantwortlichen insofern ausgeschlossen werden, als diese Rechte die Verwirklichung der spezifischen Zwecke unmöglich machen oder ernsthaft beeinträchtigen würden.“

3. Dem § 17 wird folgender Abs. 1d angefügt:

„(1d) Der § 7a samt Überschrift in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, tritt mit 25. Mai 2018 in Kraft.“

Artikel 57

Änderung des Tierarzneimittelkontrollgesetzes

Das Tierarzneimittelkontrollgesetz (TAKG), BGBl. I Nr. 28/2002, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 36/2008 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Dem § 8 werden folgende Abs. 6 und 7 angefügt:

„(6) Die in Abs. 1 genannten Personen oder Unternehmer sind ermächtigt, soweit dies zur Erfüllung der in diesem Bundesgesetz übertragenen Verpflichtungen erforderlich ist, personenbezogene Daten über Lieferanten oder Empfänger zum Zweck

  1. 1. der Dokumentation,
  2. 2. der Anzeige oder Meldung,
  3. 3. der Auskunftserteilung,

    unter Einhaltung der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S.1, und des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999, zu verarbeiten.

(7) Hinsichtlich der Verarbeitung personenbezogener Daten gemäß Abs. 6 sind die Rechte und Pflichten gemäß Art. 13, 14, 18 und 21 Datenschutz-Grundverordnung ausgeschlossen.“

2. Dem § 15 wird folgender Abs. 6 angefügt:

„(6) Der § 8 Abs. 6 und 7 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, tritt mit 25. Mai 2018 in Kraft.“

Artikel 58

Änderung des Tiermaterialiengesetzes

Das Tiermaterialiengesetz (TMG), BGBl. I Nr. 141/2003, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 23/2013 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. In § 3 Abs. 7 wird die Wortfolge „in das zentrale Betriebsregister des Verbrauchergesundheitsinformationssystems eingetragen“ durch die Wortfolge „im zentralen Betriebsregister des Verbrauchergesundheitsinformationssystems verarbeitet“ ersetzt.

2. Dem § 3 werden folgende Abs. 8 und 9 angefügt:

„(8) Der Landeshauptmann ist ermächtigt, für die Wahrnehmung der ihm nach diesem Bundesgesetz übertragenen Aufgaben erforderlichen personenbezogenen Daten unter Einhaltung der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S.1, und des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999, zu verarbeiten.

(9) Hinsichtlich der Verarbeitung personenbezogener Daten gemäß Abs. 4 sind die Rechte und Pflichten gemäß Art. 13, 14, 18 und 21 Datenschutz-Grundverordnung ausgeschlossen.“

3. Im § 4 wird die Wortfolge „und übersichtlicher Form“ durch die Wortfolge „und übersichtlicher Form unter Einhaltung der Datenschutz-Grundverordnung“ ersetzt.

4. Dem § 15 wird folgender Abs. 6 angefügt:

„(6) § 3 Abs. 7 bis 9 und § 4 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, treten mit 25. Mai 2018 in Kraft.“

Artikel 59

Änderung des Gesundheits- und Ernährungssicherheitsgesetzes

Das Gesundheits- und Ernährungssicherheitsgesetz (GESG), BGBl. I Nr. 63/2002, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 58/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Dem § 9 werden folgende Abs. 7 bis 9 angefügt:

„(7) Personenbezogene Daten dürfen nur zu Zwecken, die in diesem Bundesgesetz als Aufgaben der Agentur gemäß § 8, eines Bundesamtes gemäß §§ 6 oder 6a oder des Büros gemäß § 6b festgelegt sind, unter Einhaltung der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S.1, und des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999, verarbeitet werden.

(8) Hinsichtlich der Verarbeitung personenbezogener Daten gemäß Abs. 7 sind die Rechte und Pflichten gemäß Art. 13, 14, 18 und 21 Datenschutz-Grundverordnung ausgeschlossen.

(9) Werden Daten gemäß Abs. 7 zu wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken weiterverarbeitet, hat die Weiterverarbeitung in pseudonymisierter Form zu erfolgen, wenn auch auf diese Weise die Zwecke erreicht werden können. Soweit der Personenbezug für die Verwirklichung des Zwecks unerlässlich ist, können die Rechte der Betroffenen gemäß Art. 15, 16, 18 und 21 Datenschutz-Grundverordnung vom Verantwortlichen insofern ausgeschlossen werden, als diese Rechte die Verwirklichung der spezifischen Zwecke unmöglich machen oder ernsthaft beeinträchtigen würden.“

2. § 19 Abs. 4 lautet:

„(4) Die Agentur ist eine öffentliche Stelle im Sinne Datenschutz-Grundverordnung.“

3. Dem § 21 wird folgender Abs. 4 angefügt:

„(4) Die §§ 9 Abs. 7 bis 9 und 19 Abs. 4 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, treten mit 25. Mai 2018 in Kraft.“

Artikel 60

Änderung des Lebensmittelsicherheits- und Verbraucherschutzgesetzes

Das Lebensmittelsicherheits- und Verbraucherschutzgesetz (LMSVG), BGBl. I Nr. 13/2006, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 51/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Nach § 10 Abs. 4 werden folgende Abs. 4a und 4b eingefügt:

„(4a) Für die Führung des Registers ist die Bundesministerin für Arbeit, Soziales, Gesundheit und Konsumentenschutz Verantwortliche im Sinne des Art. 4 Z 7 und die Bundesanstalt „Statistik Österreich“ Auftragsverarbeiter im Sinne des Art. 4 Z 8 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S.1, und des Datenschutzgesetzes (DSG).

(4b) Hinsichtlich der Verarbeitung personenbezogener Daten gemäß Abs. 4 sind die Rechte und Pflichten gemäß Art. 13, 14, 18 und 21 Datenschutz-Grundverordnung ausgeschlossen.“

2. Dem § 95 wird folgender Abs. 27 angefügt:

„(27) Der § 10 Abs. 4a und 4b in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, tritt mit 25. Mai 2018 in Kraft.“

Artikel 61

Änderung des Tierschutzgesetzes

Das Tierschutzgesetz (TSchG), BGBl. I Nr. 118/2004, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 148/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Dem § 18a werden folgende Abs. 12 bis 14 angefügt:

„(12) Die Fachstelle darf personenbezogene Daten nur zu Zwecken, die in diesem Bundesgesetz als Aufgaben der Fachstelle festgelegt sind, unter Einhaltung der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S.1, und des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999, verarbeiten.

(13) Hinsichtlich der Verarbeitung personenbezogener Daten gemäß Abs. 12 sind die Rechte und Pflichten gemäß Art. 13, 14, 18 und 21 Datenschutz-Grundverordnung ausgeschlossen.

(14) Werden Daten gemäß Abs. 12 zu wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken weiterverarbeitet, hat die Weiterverarbeitung in pseudonymisierter Form zu erfolgen, wenn auch auf diese Weise die Zwecke erreicht werden können. Soweit der Personenbezug für die Verwirklichung des Zwecks unerlässlich ist, können die Rechte der Betroffenen gemäß Art. 15, 16, 18 und 21 Datenschutz-Grundverordnung vom Verantwortlichen insofern ausgeschlossen werden, als diese Rechte die Verwirklichung der spezifischen Zwecke unmöglich machen oder ernsthaft beeinträchtigen würden.“

2. In § 24a Abs. 1 wird die Wortfolge „Auftraggeber gemäß § 4 Z 4 DSG 2000“ durch die Wortfolge „Verantwortlicher gemäß Art. 4 Z 7 Datenschutz-Grundverordnung“ ersetzt.

3. Nach § 24a Abs. 4a wird folgender Abs. 4b eingefügt:

„(4b) Hinsichtlich der Verarbeitung personenbezogener Daten gemäß Abs. 1 sind die Rechte und Pflichten gemäß Art. 13, 14, 18 und 21 Datenschutz-Grundverordnung ausgeschlossen.“

4. In § 24a Abs. 7 wird das Wort „ermitteln“ durch das Wort „erheben“ ersetzt.

5. Dem § 44 wird folgender Abs. 23 angefügt:

„(23) Die §§ 18a Abs. 12 bis 14, 24a Abs. 1, 4b und 7 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, treten mit 25. Mai 2018 in Kraft.“

Artikel 62

Änderung des Tiertransportgesetzes 2007

Das Tiertransportgesetz 2007 (TTG 2007), BGBl. I Nr. 54/2007, zuletzt geändert durch die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Im Inhaltsverzeichnis wird nach dem Eintrag „§ 22 Widmung von Strafgeldern“ folgender Eintrag eingefügt:

„§ 22a Verarbeitung personenbezogener Daten“

2. Nach § 22 wird folgender § 22a samt Überschrift eingefügt:

„Verarbeitung personenbezogener Daten

§ 22a. (1) Personenbezogene Daten dürfen nur zu Zwecken, die in diesem Bundesgesetz oder in gemäß diesem Bundesgesetz erlassenen Verordnungen festgelegt sind, unter Einhaltung der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S.1, und des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999, verarbeitet werden.

(2) Hinsichtlich der Verarbeitung personenbezogener Daten gemäß Abs. 1 sind die Rechte und Pflichten gemäß Art. 13, 14, 18 und 21 Datenschutz-Grundverordnung ausgeschlossen.

(3) Werden Daten gemäß Abs. 1 zu wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken weiterverarbeitet, hat die Weiterverarbeitung in pseudonymisierter Form zu erfolgen, wenn auf diese Weise die Zwecke erreicht werden können. Soweit der Personenbezug für die Verwirklichung des Zwecks unerlässlich ist, dürfen die Rechte der Betroffenen gemäß Art. 15, 16, 18 und 21 Datenschutz-Grundverordnung vom Verantwortlichen insofern ausgeschlossen werden, als diese Rechte die Verwirklichung der spezifischen Zwecke unmöglich machen oder ernsthaft beeinträchtigen würden.“

3. Dem § 24 wird folgender Abs. 9 angefügt:

„(9) Der § 22a samt Überschrift und Eintrag im Inhaltsverzeichnis zu § 22a in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, tritt mit 25. Mai 2018 in Kraft.“

Artikel 63

Änderung des Bundesgesetzes zur Durchführung unmittelbar anwendbarer unionsrechtlicher Bestimmungen auf dem Gebiet des Tierschutzes

Das Bundesgesetz zur Durchführung unmittelbar anwendbarer Bestimmungen auf dem Gebiet des Tierschutzes, BGBl. I Nr. 47/2013, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 80/2013 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Nach § 10 wird folgender § 10a samt Überschrift eingefügt:

„Verarbeitung personenbezogener Daten

§ 10a. (1) Personenbezogene Daten dürfen nur zu Zwecken, die in den unmittelbar anwendbaren unionsrechtlichen Bestimmungen, die mit diesem Bundesgesetz durchgeführt werden, in diesem Bundesgesetz oder in gemäß diesem Bundesgesetz erlassenen Verordnungen festgelegt sind, unter Einhaltung der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S.1, und des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999, verarbeitet werden.

(2) Hinsichtlich der Verarbeitung personenbezogener Daten gemäß Abs. 1 sind die Rechte und Pflichten gemäß Art. 13, 14, 18 und 21 Datenschutz-Grundverordnung ausgeschlossen.

(3) Werden Daten gemäß Abs. 1 zu wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken weiterverarbeitet, hat die Weiterverarbeitung in pseudonymisierter Form zu erfolgen, wenn auf diese Weise die Zwecke erreicht werden können. Soweit der Personenbezug für die Verwirklichung des Zwecks unerlässlich ist, dürfen die Rechte der Betroffenen gemäß Art. 15, 16, 18 und 21 Datenschutz-Grundverordnung vom Verantwortlichen insofern ausgeschlossen werden, als diese Rechte die Verwirklichung der spezifischen Zwecke unmöglich machen oder ernsthaft beeinträchtigen würden.“

3. In § 13 wird dem bisherigen Text die Absatzbezeichnung „(1)“ vorangestellt; folgender Abs. 2 wird angefügt:

„(2) Der § 10a samt Überschrift in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, tritt mit 25. Mai 2018 in Kraft.“

Artikel 64

Änderung des Bundesgesetzes über die Gesundheit Österreich GmbH

Das Bundesgesetz über die Gesundheit Österreich GmbH (GÖGG), BGBl. I Nr. 132/2006, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 26/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Dem § 4 werden folgende Abs. 7 bis 10 angefügt:

„(7) Die Gesundheit Österreich GmbH ist eine öffentliche Stelle im Sinne der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DSGVO). Soweit die GÖG aufgrund ihres gesetzlichen Auftrages personenbezogene Daten verarbeitet, wird sie im Rahmen der Hoheitsverwaltung tätig.

(8) Die GÖG ist berechtigt, personenbezogene Daten zu verarbeiten, soweit dies zur Erfüllung der ihr durch Gesetz zugewiesenen Aufgaben erforderlich ist. Die GÖG ist insbesondere berechtigt, alle personenbezogenen Daten verarbeiten, die

  1. 1. öffentlich zugänglich sind,
  2. 2. sie für andere Untersuchungen oder auch andere Zwecke zulässigerweise ermittelt hat,
  3. 3. für sie pseudonymisierte personenbezogene Daten sind und sie die Identität der betroffenen Person mit rechtlich zulässigen Mitteln nicht bestimmen kann oder
  4. 4. sie nur verarbeitet, um sie zu anonymisieren oder zu pseudonymisieren, sofern damit keine Offenlegung von Daten an Dritte verbunden ist.

    Hinsichtlich dieser personenbezogenen Daten sind die Rechte der Betroffenen gemäß Art. 18 und 21 DSGVO ausgeschlossen.

(9) Auch in jenen Fällen, in welchen die Verarbeitung personenbezogener Daten durch die GÖG zulässig ist, ist der Personenbezug unverzüglich zu verschlüsseln, wenn dies für die Aufgabenerfüllung ausreicht. Sofern gesetzlich nicht ausdrücklich anderes vorgesehen ist, ist der Personenbezug der Daten gänzlich zu beseitigen, sobald er für die Aufgabenerfüllung nicht mehr notwendig ist.

(10) Die/Der für das Gesundheitswesen zuständige Bundesministerin/Bundesminister kann nähere Vorgaben zur Verarbeitung personenbezogener Daten durch die GÖG, insbesondere die konkreten Verarbeitungszwecke, die spezifischen Datensätze sowie die dem jeweiligen Verarbeitungszweck entsprechenden Zugriffsberechtigungen durch Verordnung festlegen.“

2. In § 4a Abs. 1 Z 3 und Abs. 4 Z 2 wird jeweils die Wortfolge „indirekt personenbezogene“ durch das Wort „pseudonymisierte“ ersetzt.

3. In § 4a Abs. 4 Z 1 und 3 sowie § 15a Abs. 5 letzter Satz entfällt jeweils das Wort „direkt“.

4. § 15 lautet:

§ 15. (1) Die gemäß § 4 Abs. 1 bis 4 und 6 verarbeiteten Daten dürfen nicht auf betroffene Personen rückgeführt werden.

(2) Sofern für die Erfüllung gesetzlich übertragener Aufgaben die Verarbeitung anonymisierter Daten im Sinne des Abs. 1 nicht ausreicht, ist die Verarbeitung pseundonymisierter Daten im Sinne des Art. 4 Z 5 DSGVO zulässig, wobei der GÖG eine Rückführung auf die betroffene Person verboten ist.

(3) Sofern die Erfüllung gesetzlich übertragener Aufgaben nur unter Herstellung eines Personenbezugs möglich ist bzw. für Zwecke der

  1. 1. Koordination und Abwicklung von Vorhaben im Bereich des Organ- und des Stammzelltransplantationswesens gemäß § 4 Abs. 1 Z 6,
  2. 2. Führung des IVF-Registers und des Widerspruchsregisters gemäß § 4 Abs. 1 Z 8,
  3. 3. Erstellung von Qualitätsberichten einschließlich der Führung von Qualitätsregistern gemäß § 4 Abs. 2 Z 3 und 4 sowie
  4. 4. Kontrolle der Einhaltung des § 8 GQG und der auf seiner Grundlage erlassenen Verordnungen gemäß § 4 Abs. 2 Z 6,

    dürfen personenbezogene Daten verarbeitet werden.

(4) Die Gesellschaft hat ein Verzeichnis sämtlicher Verarbeitungstätigkeiten iSd. Art. 30 DSGVO zu führen und insbesondere die näheren Gründe, die zu einer personenbezogenen Datenverarbeitung gemäß Abs. 3 geführt haben, schriftlich festzuhalten.

(5) Die Mitarbeiter/Mitarbeiterinnen der Gesellschaft, die Mitglieder der Organe und der Beiräte sowie die Sachverständigen sind über § 6 des Datenschutzgesetzes, BGBl. I Nr. 165/1999, hinaus über Daten und Geheimnisse, die ihnen in Wahrnehmung ihrer Tätigkeit für die Gesellschaft zur Kenntnis gelangen und deren Geheimhaltung im berechtigten Interesse der Gesellschaft, des Gesellschafters oder eines/einer Dritten gelegen ist, zur Verschwiegenheit verpflichtet.“

5. In § 15a Abs. 4 zweiter Satz wird das Wort „Datenverwendungen“ durch das Wort „Datenverarbeitungen“ ersetzt.

6. § 15a Abs. 6 erster Satz lautet:

„Die zum Zweck der Pseudonymisierung gemäß Art.4 Z 5 DSGVO getrennt aufbewahrten und besonders gesicherten zusätzlichen Daten sind zu löschen, sobald sie für die Zwecke nach Abs. 1 nicht mehr erforderlich sind.“

7. § 15a Abs. 8 dritter Satz lautet:

„Weiters muss er sicherstellen, dass alle durchgeführten Verarbeitungsvorgänge nachvollziehbar sind.“

8. § 15a Abs. 11 zweiter Satz lautet:

„Die Zugriffsberechtigten sind über das Datensicherheitskonzept zu belehren.“

9. In § 15a Abs. 11 letzter Satz und § 15c Abs. 4 letzter Satz wird jeweils das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt.

10. In § 15a entfallen die Abs. 12 und 13.

11. § 15c Abs. 5 erster Satz lautet:

„Die zum Zweck der Pseudonymisierung gemäß Art. 4 Z 5 DSGVO getrennt aufbewahrten und besonders gesicherten zusätzlichen Daten sind zu löschen, sobald sie für die Zwecke nach Abs. 1 nicht mehr erforderlich sind.“

12. Dem § 25 werden folgende Abs. 5 und 6 angefügt:

„(5) Die § 4 Abs. 7 bis 10, § 4a Abs. 1 Z 3 und Abs. 4 Z 1 bis 3, § 15, § 15a Abs. 4 bis 6, 8 und 11 sowie § 15c Abs. 4 und 5 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, treten mit 25. Mai 2018 in Kraft.

(6) Mit 25. Mai 2018 tritt § 15a Abs. 12 und 13 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, außer Kraft.“

Artikel 65

Änderung des Bundesgesetzes über die Dokumentation im Gesundheitswesen

Das Bundesgesetz über die Dokumentation im Gesundheitswesen, BGBl. Nr. 745/1996, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 26/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. In § 4 Abs. 2 zweiter Satz wird das Wort „Verwendungsvorgänge“ durch das Wort „Verarbeitungsvorgänge“ ersetzt.

2. § 4 Abs. 3 lautet:

„(3) Das Data Warehouse „Dokumentations- und Informationssystem für Analysen im Gesundheitswesen“ (DIAG) ist von der/dem für das Gesundheitswesen zuständigen Bundesministerin/Bundesminister als datenschutzrechtlich Verantwortliche/Verantwortlicher zu betreiben. Das DIAG umfasst die gemäß den Hauptstücken A bis D an das für das Gesundheitswesen zuständige Bundesministerium zu übermittelnden Daten. Der Zugriff auf die im DIAG enthaltenen Rohdaten, einschließlich der gespeicherten Pseudonyme gemäß § 5a Abs. 1 Z 1 und § 6c Abs. 1 Z 2, ist ausschließlich für die im für das Gesundheitswesen zuständigen Bundesministerium unmittelbar mit der Erstellung und Wartung des DIAG beschäftigten Personen zulässig. Das für das Gesundheitswesen zuständige Bundesministerium hat dabei sicherzustellen, dass der Zugriff auf Rohdaten durch Mitarbeiterinnen und Mitarbeiter, die mit der Erstellung und Wartung des DIAG beschäftigt sind, darauf beschränkt ist, dass die Rohdaten nur in der Art und dem Umfang verarbeitet werden dürfen, als dies eine wesentliche Voraussetzung zur Wahrnehmung der gesetzlich übertragenen Aufgaben ist. Die Verarbeitung dafür nicht erforderlicher Daten ist unzulässig. Jene Mitarbeiterinnen und Mitarbeiter, die mit der Erstellung und Wartung des DIAG beschäftigt sind, sind über § 6 des Datenschutzgesetzes, BGBl. I Nr. 165/1999, in der jeweils geltenden Fassung, hinaus zur Verschwiegenheit über alle ihnen in Ausübung ihres Berufes anvertrauten oder bekannt gewordenen Tatsachen verpflichtet. Die Pflicht besteht auch nach Beendigung ihrer Tätigkeit. Insbesondere ist für die Einhaltung der Datenverarbeitungsgrundsätze gemäß Art. 5 der DSGVO zu sorgen. Die Nutzung der im DIAG gespeicherten Daten zu Analysezwecken gemäß § 1 unterliegt strengen Regelungen zur Datensicherheit. Die zur Nutzung des DIAG für Analysezwecke autorisierten Personen haben keinen Zugang zu den enthaltenen Rohdaten und zu den gespeicherten Pseudonymen gemäß § 5a Abs. 1 Z 1 und § 6c Abs. 1 Z 2.“

3. In § 4 Abs. 5 letzter Satz wird das Wort „weiterverwendet“ durch das Wort „weiterverarbeitet“ ersetzt.

4. In § 5a Abs. 1 und 3 sowie in § 6c Abs. 1 Z 2 und Abs. 4 wird jeweils das Wort „Dienstleister“ durch das Wort „Auftragsverarbeiter“ ersetzt.

5. In § 5a Abs. 3 sowie in § 6c Abs. 4 wird jeweils das Wort „Auftraggebers“ durch das Wort „Verantwortlichen“ ersetzt.

6. § 5a Abs. 5 letzter Satz lautet:

„Insbesondere ist für die Einhaltung der Datenverarbeitungsgrundsätze gemäß Art. 5 der DSGVO zu sorgen.“

7. In § 5c Abs. 1, § 6 Abs. 5 und § 6f Abs. 1 wird jeweils das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.

8. In § 6 Abs. 4 letzter Satz wird das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt.

9. § 6c Abs. 6 letzter Satz lautet:

„Insbesondere ist für die Einhaltung der Datenverarbeitungsgrundsätze gemäß Art. 5 der DSGVO und die Sicherheit der Verarbeitung gemäß Art. 32 der DSGVO zu sorgen.“

10. Dem § 12 wird folgender Abs. 8 angefügt:

„(8) Die § 4 Abs. 2, 3 und 5, § 5a Abs. 1, 3 und 5, § 5c Abs. 1, § 6 Abs. 4 und 5, § 6c Abs. 1, 4 und 6 sowie § 6f Abs. 1 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, treten mit 25. Mai 2018 in Kraft.“

Artikel 66

Änderung des Suchtmittelgesetzes

Das Suchtmittelgesetz (SMG), BGBl. I Nr. 112/1997, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 116/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Im Inhaltsverzeichnis lautet der Eintrag zu § 8a:

㤠8a

Opioid-Substitutionsbehandlung“

2. Im Inhaltsverzeichnis wird im Eintrag zur Überschrift des 4. Hauptstückes das Wort „Suchtmittel-Datenevidenz“ durch das Wort „Suchtmittel-Datenverarbeitung“ ersetzt.

3. Im Inhaltsverzeichnis lautet der Eintrag zu § 24d:

㤠24d

Datenverarbeitung für statistische und wissenschaftliche Untersuchungen“

4. In § 8a Abs. 1a dritter Satz und Abs. 5 wird das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt.

5. § 8a Abs. 2 Z 1 lautet:

  1. „1. der Patient in eine solche Mitteilung ausdrücklich eingewilligt hat, oder“

6. In § 8a Abs. 2 Z 2 und Abs. 3 wird das Wort „Zustimmung“ durch das Wort „Einwilligung“ ersetzt.

7. Dem § 8a wird folgender Abs. 6 angefügt:

„(6) Bei der Verarbeitung personenbezogener Daten gemäß Abs. 1 bis 5 sind die Rechte und Pflichten gemäß Art. 13, 14, 18 und 21 der Verordnung (EU) Nr. 679/2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1, (im Folgenden: DSGVO) ausgeschlossen.“

8. Dem § 12 wird folgender Abs. 4 angefügt:

„(4) Die mit der Begutachtung befassten Ärzte dürfen personenbezogene Daten zur Erfüllung des Begutachtungsauftrags verwenden und unterliegen dabei gegenüber der Bezirksverwaltungsbehörde als Gesundheitsbehörde keinen dienst- oder berufsrechtlichen Verschwiegenheitspflichten. Bei der Verarbeitung personenbezogener Daten gemäß Abs. 1 bis 3 sowie § 35 Abs. 3 Z 2 und Abs. 5 sind die Rechte und Pflichten gemäß Art. 13, 14, 18 und 21 DSGVO ausgeschlossen.“

9. In der Überschrift zum 4. Hauptstück wird das Wort „Suchtmittel-Datenevidenz“ durch das Wort „Suchtmittel-Datenverarbeitung“ ersetzt.

10. Die Überschrift zu § 24 lautet:

„Suchtmittel-Datenverarbeitung“

11. Die Überschrift zu § 24d lautet:

„Datenverarbeitung für statistische und wissenschaftliche Untersuchungen“

12. In § 24d Abs. 1 erster Satz wird das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt.

13. § 24d Abs. 1 zweiter Satz lautet:

§ 7 Abs. 5 des Datenschutzgesetzes, BGBl. I Nr. 165/1999, ist anzuwenden.“

14. Dem § 24d wird folgender Abs. 3 angefügt:

„(3) Soweit personenbezogene Daten zu wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken verarbeitet werden, kommen dem Betroffenen, vorbehaltlich der Bedingungen und Garantien gemäß Art. 89 Abs. 1, die Rechte gemäß Art. 15, 16, 18 und 21 DSGVO nicht zu.“

15. § 25 Abs. 1 erster Satz lautet:

„Die Bundesministerin für Arbeit, Soziales, Gesundheit und Konsumentenschutz hat das Suchtmittelregister und das bundesweite Substitutionsregister jeweils als elektronisches Register einzurichten und zu betreiben und ist Verantwortliche gemäß Art. 4 Z 7 DSGVO dieser Register.“

16. § 25 Abs. 2 lautet:

„(2) Die Bundesministerin für Arbeit, Soziales, Gesundheit und Konsumentenschutz kann das Suchtmittelregister oder das bundesweite Substitutionsregister jeweils in Form einer gemeinsamen Verantwortung gemäß Art. 4 Z 7 in Verbindung mit Art. 26 Abs. 1 DSGVO einrichten und betreiben und ist auch in diesem Fall Verantwortliche gemäß Art. 4 Z 7 DSGVO. Im Fall einer solchen gemeinsamen Verantwortung sind weitere Verantwortliche jene Behörden, die dem Register Daten online übermitteln oder daraus personenbezogene Daten online abfragen. Das sind

  1. 1. hinsichtlich des Suchtmittelregisters
    1. a) die Bezirksverwaltungsbehörden als Verwaltungsstrafbehörden bezüglich der Daten gemäß § 24a Abs. 2a, und
    2. b) die Bezirksverwaltungsbehörden als Gesundheitsbehörden bezüglich der Daten gemäß § 24a Abs. 2 und 3,
  2. 2. hinsichtlich des bundesweiten Substitutionsregisters die Bezirksverwaltungsbehörden als Gesundheitsbehörden bezüglich der Daten gemäß § 24b.

    Die Erfüllung von Informations-, Auskunfts-, Berichtigungs- und Löschungspflichten sowie sonstiger Pflichten nach der DSGVO obliegt neben der Bundesministerin für Arbeit, Soziales, Gesundheit und Konsumentenschutz jedem Verantwortlichen hinsichtlich jener Daten, die im Zusammenhang mit den von ihm geführten Verfahren oder den von ihm gesetzten Maßnahmen verarbeitet wurden.“

17. In § 25 Abs. 3 und Abs. 5 Z 3 wird das Wort „Online-Überlassung“ durch das Wort „Online-Übermittlung“ ersetzt.

18. In § 25 Abs. 5 Z 1 wird das Wort „überlassen“ durch das Wort „übermitteln“ sowie in Z 2 das Wort „überlässt“ und in Z 3 das Wort „überlassen“ durch das Wort „übermittelt“ ersetzt.

19. In § 25 Abs. 7 Z 1 wird das Wort „Verwendungsvorgänge“ durch das Wort „Verarbeitungsvorgänge“ und in Z 3 das Wort „Überlassung“ durch das Wort „Übermittlung“ ersetzt.

20. § 25 Abs. 10 Z 1 und 2 lautet:

  1. „1. zur Erfüllung der Informations-, Auskunfts-, Berichtigungs- und Löschungspflichten sowie sonstiger Pflichten nach der DSGVO erforderlich ist,
  2. 2. zur Datenübermittlung im Rahmen eines Ersuchens der gemäß § 26 Abs. 2 Z 1 und Abs. 4 berechtigten Bezirksverwaltungsbehörde als Gesundheitsbehörde erforderlich ist,“

21. In § 25 Abs. 11 wird die Wortfolge „eine bestimmte Person betreffenden“ durch die Wortfolge „personenbezogenen“ ersetzt.

22. Nach § 25 Abs. 11 wird folgender Abs. 12 eingefügt:

„(12) Bei der Verarbeitung personenbezogener Daten des 4. Hauptstückes sind die Rechte und Pflichten gemäß Art. 13, 14, 18 und 21 DSGVO ausgeschlossen.“

23. In § 25 Abs. 14 erster Satz wird das Wort „bis“ durch das Wort „und“ ersetzt.

24. In § 25 Abs. 14 vierter und fünfter Satz wird jeweils das Wort „Dienstleister“ durch das Wort „Auftragsverarbeiter“ ersetzt.

25. Dem § 47 wird folgender Abs. 19 angefügt:

„(19) Das Inhaltsverzeichnis, § 8a Abs. 1a dritter Satz, Abs. 2 Z 1 und 2 und Abs. 3, 5 und 6, § 12 Abs. 4, die Überschrift zum 4. Hauptstück, die Überschrift zu § 24 und § 24d, § 24d Abs. 1 und 3 sowie § 25 Abs. 1 erster Satz, Abs. 2, Abs. 3 Abs. 5 Z 1 bis 3, Abs. 7 Z 1 und Z 3, Abs. 10 Z 1 und 2, Abs. 11, Abs. 12 und Abs. 14 erster, vierter und fünfter Satz in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, treten mit 25. Mai 2018 in Kraft.“

Artikel 67

Änderung des Neue-Psychoaktive-Substanzen-Gesetzes

Das Neue-Psychoaktive-Substanzen-Gesetz (NPSG), BGBl. I Nr. 146/2011, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 48/2013 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. In § 7 Abs. 2 wird die Wortfolge „(§ 4 Z 9 des Datenschutzgesetzes 2000, DSG 2000, BGBl. I Nr. 165/1999)“ durch die Wortfolge „(Art. 4 Z 2 der Verordnung (EU) Nr. 679/2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 27.04.2016 S. 1)“ ersetzt.

2. Der bisherige Inhalt des § 11 erhält die Absatzbezeichnung „(1)“.

3. Dem § 11 wird folgender Abs. 2 angefügt:

„(2) § 7 Abs. 2 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, tritt mit 25. Mai 2018 in Kraft.“

Artikel 68

Änderung des Tabak- und Nichtraucherinnen- bzw. Nichtraucherschutzgesetzes

Das Bundesgesetz über das Herstellen und das Inverkehrbringen von Tabakerzeugnissen und verwandten Erzeugnissen sowie die Werbung für Tabakerzeugnisse und verwandte Erzeugnisse und den Nichtraucherinnen- bzw. Nichtraucherschutzschutz (Tabak- und Nichtraucherinnen- bzw. Nichtraucherschutzgesetz - TNRSG), BGBl. Nr. 431/1995, zuletzt geändert durch die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, und das Bundesgesetz BGBl. I Nr. 13/2018, wird wie folgt geändert:

1. § 7 Abs. 2 lautet:

„(2) Zum Zweck der Bekämpfung des Handels mit illegalen Tabakerzeugnissen und illegal in die Europäische Union eingeführten Tabakerzeugnissen hat das individuelle Erkennungsmerkmal die Feststellung

  1. 1. des Herstellungstags und -orts,
  2. 2. der Herstellungsstätte,
  3. 3. der Maschine, die zur Herstellung des Tabakerzeugnisses verwendet wurde,
  4. 4. der Arbeitsschicht oder der Uhrzeit der Herstellung,
  5. 5. der Produktbeschreibung,
  6. 6. des geplanten Absatzmarktes,
  7. 7. des geplanten Versandwegs,
  8. 8. gegebenenfalls desjenigen, der das Erzeugnis in die Europäische Union einführt,
  9. 9. des tatsächlichen Versandwegs von der Herstellung bis zur ersten Verkaufsstelle, einschließlich aller genutzten Lager sowie des Versanddatums, der Versandadresse, des Versandorts und des Empfängers,
  10. 10. der Identität aller Käuferinnen bzw. Käufer von der Herstellung bis zur ersten Verkaufsstelle und
  11. 11. der Rechnungs- und Bestellnummer sowie der Zahlungsbelege aller Käuferinnen bzw. Käufer von der Herstellung bis zur ersten Verkaufsstelle

    zu ermöglichen.“

2. In § 7 Abs. 4 wird nach der Wortfolge „Informationen haben“ die Wortfolge „zur Erreichung des in Abs. 2 angeführten Zwecks“ eingefügt.

3. In § 7 Abs. 5 wird nach der Wortfolge „ersten Verkaufsstelle sind“ die Wortfolge „zur Erreichung des in Abs. 2 angeführten Zwecks“ eingefügt.

4. In § 7 Abs. 6 wird nach der Wortfolge „der Tabakerzeugnisse haben“ die Wortfolge „zur Erreichung des in Abs. 2 angeführten Zwecks“ eingefügt.

5. In § 7 Abs. 8 wird nach der Wortfolge „unabhängigen Dritten“ die Wortfolge „als Auftragsverarbeiter“ eingefügt.

6. In § 7 Abs. 11 entfällt der letzte Satz.

7. In § 10b Abs. 3 Z 1 wird nach der Wortfolge „Europäische Union einführt,“ die Wortfolge „um den zuständigen Behörden die Wahrnehmung ihrer Aufsichts- und Kontrollaufgaben zu ermöglichen,“ eingefügt.

8. In § 10b Abs. 5 wird nach dem Wort „Informationen“ die Wortfolge „zu Transparenzzwecken“ eingefügt.

9. Dem § 17 wird folgender Abs. 13 angefügt:

„(13) § 7 Abs. 2, 4, 5, 6, 8 und 11 in der Fassung BGBl. I Nr. 37/2018 tritt mit 20. Mai 2019 in Kraft. § 10b Abs. 3 Z 1 und Abs. 5 in der Fassung BGBl. I Nr. 37/2018 tritt mit 25. Mai 2018 in Kraft.“

Artikel 69

Änderung des Gesundheitstelematikgesetzes 2012

Das Gesundheitstelematikgesetz 2012, BGBl. I Nr. 111/2012, zuletzt geändert durch das Gesundheitsreformumsetzungsgesetz 2017, BGBl. I Nr. 131/2017, und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Der Titel lautet:

„Bundesgesetz betreffend Datensicherheitsmaßnahmen bei der Verarbeitung elektronischer Gesundheitsdaten und genetischer Daten (Gesundheitstelematikgesetz 2012 - GTelG 2012)“

2. Im Inhaltsverzeichnis lautet der Eintrag zur Abschnittsüberschrift des 2. Abschnitts:

„2. Abschnitt: Datensicherheit bei der elektronischen Übermittlung von Gesundheitsdaten und genetischen Daten (Art. 4 Z 15 und Z 13 DSGVO)“

3. Im Inhaltsverzeichnis lautet der Eintrag zu § 14:

„14 Grundsätze der Datenverarbeitung“

4. § 1 Abs. 1 lautet:

„(1) Gegenstand dieses Bundesgesetzes ist die Verarbeitung (Art. 4 Z 2 der Verordnung [EU] 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG [Datenschutz-Grundverordnung], ABl. Nr. L 119 vom 04.05.2016 S. 1 [im Folgenden: DSGVO]) personenbezogener elektronischer Gesundheitsdaten und genetischer Daten (Art. 4 Z 15 und Z 13 DSGVO) durch die Gesundheitsdiensteanbieter gemäß § 2 Z 2.“

5. In § 1 Abs. 2 wird nach dem Wort „Gesundheitsdaten“ die Wortfolge „und genetischer Daten“ angefügt.

6. In § 1 Abs. 2 Z 1 wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.

7. In § 1 Abs. 2 Z 3 lit. e wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.

8. § 2 Z 1 lautet:

  1. „1. „Gesundheitsdaten“: Gesundheitsdaten gemäß Art. 4 Z 15 DSGVO.“

9. In § 2 wird nach der Z 1 folgende Z 1a eingefügt:

  1. „1a. „Genetische Daten“: Genetische Daten gemäß Art. 4 Z 13 DSGVO.“

10. In § 2 Z 2 wird die Wortfolge „Auftraggeber oder Dienstleister gemäß § 4 DSG 2000“ durch die Wortfolge „Verantwortlicher oder Auftragsverarbeiter (Art. 4 Z 7 und 8 DSGVO)“ ersetzt, nach dem Wort „Gesundheitsdaten“ die Wortfolge „oder genetische Daten“ eingefügt und das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt.

11. § 2 Z 3 lautet:

  1. „3. „IT-Sicherheitskonzept“: Summe aller Datensicherheitsmaßnahmen eines Gesundheitsdiensteanbieters, die zum Schutz von personenbezogenen Daten, insbesondere von besonderen Kategorien personenbezogener Daten, notwendig und angemessen im Sinne des Art. 32 DSGVO sind.“

12. In § 2 Z 9 wird die Wortfolge „sind folgende“ durch die Wendung „: Folgende“ sowie das Wort „verwendet“ durch das Wort „verarbeitet“ ersetzt und nach dem Wort „Gesundheitsdaten gemäß Z 1“ die Wortfolge „oder genetische Daten gemäß Z 1a“ eingefügt.

13. Abschnittsbezeichnung und -überschrift des 2. Abschnitts lauten:

„2. Abschnitt

Datensicherheit bei der elektronischen Übermittlung von Gesundheitsdaten und genetischen Daten (Art. 4 Z 15 und Z 13 DSGVO)“

14. In § 3 Abs. 1 wird das Wort „Weitergabe“ durch das Wort „Übermittlung“ ersetzt und nach dem Wort „Gesundheitsdaten“ die Wortfolge „und genetischen Daten“ angefügt.

15. In § 3 Abs. 2 wird das Wort „Weitergabe“ durch das Wort „Übermittlung“ ersetzt, nach der Wortfolge „von Gesundheitsdaten“ die Wortfolge „und genetischen Daten“ und nach der Wortfolge „auf Gesundheitsdaten“ die Wortfolge „und genetische Daten,“ angefügt.

16. § 3 Abs. 3 lautet:

„(3) Die Zulässigkeit, Gesundheitsdaten oder genetische Daten zu verarbeiten, ist mittels Rollen abzubilden. Gesundheitsdiensteanbieter haben technisch zu gewährleisten, dass es keine Verarbeitung von Gesundheitsdaten oder genetischen Daten außerhalb der zulässigen Rollen gibt.“

17. § 3 Abs. 4 lautet:

„(4) Gesundheitsdiensteanbieter dürfen Gesundheitsdaten und genetische Daten nur dann übermitteln, wenn

  1. 1. die Übermittlung gemäß Art. 9 DSGVO zulässig ist,
  2. 2. die Identität (§ 4) jener Personen, deren Gesundheitsdaten oder genetische Daten übermittelt werden sollen, nachgewiesen ist,
  3. 3. die Identität (§ 4) der an der Übermittlung beteiligten Gesundheitsdiensteanbieter nachgewiesen ist,
  4. 4. die Rollen (§ 5) der an der Übermittlung beteiligten Gesundheitsdiensteanbieter nachgewiesen sind,
  5. 5. die Vertraulichkeit (§ 6) der übermittelten Gesundheitsdaten und genetischen Daten gewährleistet ist sowie
  6. 6. die Integrität (§ 7) der übermittelten Gesundheitsdaten und genetischen Daten gewährleistet ist.“

18. In § 4 wird nach der Wortfolge „deren Gesundheitsdaten“ die Wortfolge „oder genetische Daten“ eingefügt.

19. In § 4 Abs. 1 wird das Wort „Weitergabe“ durch das Wort „Übermittlung“ ersetzt, nach der Wortfolge „von Gesundheitsdaten“ die Wortfolge „und genetischen Daten“ eingefügt und das Wort „weitergegeben“ durch das Wort „übermittelt“ ersetzt.

20. In § 4 Abs. 2 und 3 sowie Abs. 5 Z 1 wird das Wort „weitergegeben“ durch das Wort „übermittelt“ ersetzt.

21. In § 4 Abs. 6 wird das Wort „Auftraggeber“ durch die Wortfolge „Verantwortliche (Art. 4 Z 7 DSGVO)“ und das Wort „Datenanwendungen“ durch das Wort „Datenverarbeitungen“ ersetzt.

22. In § 6 Abs. 1 wird das Wort „Weitergabe“ durch das Wort „Übermittlung“ ersetzt und nach dem Wort „Gesundheitsdaten“ die Wortfolge „und genetischen Daten“ eingefügt.

23. In § 6 Abs. 1 Z 1 lit. a wird die Wortfolge „des Datenverkehrs“ durch die Wortfolge „der Übermittlung von Daten“ ersetzt.

24. § 6 Abs. 2 lautet:

„(2) Bei der elektronischen Übermittlung von Gesundheitsdaten und genetischen Daten gemäß Abs. 1 Z 2 dürfen die allenfalls von der Verschlüsselung ausgenommenen Informationen weder Hinweise auf die betroffenen Personen (Art. 4 Z 1 DSGVO), deren Gesundheitsdaten oder genetische Daten übermittelt werden, noch auf allfällige Authentifizierungsdaten enthalten.“

25. In § 6 Abs. 3 wird das Wort „Auftraggeber“ durch die Wortfolge „Verantwortlichen (Art. 4 Z 7 DSGVO)“ und das Wort „Betreiber“ durch das Wort „Auftragsverarbeiter (Art. 4 Z 8 DSGVO)“ ersetzt und nach dem Wort „Gesundheitsdaten“ die Wortfolge „und genetischen Daten“ eingefügt.

26. In § 7 Abs. 1 wird nach dem Wort „Gesundheitsdaten“ die Wortfolge „und genetischer Daten“ eingefügt.

27. In § 7 Abs. 2 wird das Wort „Weitergabe“ durch das Wort „Übermittlung“ ersetzt und nach dem Wort „Gesundheitsdaten“ die Wortfolge „und genetischen Daten“ eingefügt.

28. In § 8 Abs. 1 wird das Zitat „§ 14 DSG 2000“ durch das Zitat „Art. 32 DSGVO“ und das Wort „Weitergabe“ durch das Wort „Übermittlung“ ersetzt.

29. In § 9 Abs. 1 wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt und nach dem Wort „Gesundheitsdaten“ die Wortfolge „und genetischen Daten“ eingefügt.

30. In § 9 Abs. 4 wird nach dem Wort „Gesundheitsdaten“ die Wortfolge „und genetischen Daten“ eingefügt.

31. In § 10 Abs. 1 Z 8 wird nach dem Wort „Gesundheitsdaten“ die Wortfolge „und genetischen Daten“ eingefügt.

32. In § 10 Abs. 7 wird das Wort „Dienstleister“ durch die Wortfolge „Auftragsverarbeitern (Art. 4 Z 8 DSGVO)“ und das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt.

33. § 13 Abs. 1 lautet:

„(1) Die Verwendung der Elektronischen Gesundheitsakte erfüllt ein erhebliches öffentliches Interesse gemäß Art. 9 Abs. 2 lit. g bis j der DSGVO. Dieses erhebliche öffentliche Interesse an der Nutzung von ELGA ergibt sich insbesondere aus:

  1. 1. einer verbesserten, schnelleren Verfügbarkeit medizinischer Informationen, die zu einer Qualitätssteigerung diagnostischer und therapeutischer Entscheidungen sowie der Behandlung und Betreuung führt,
  2. 2. der Steigerung der Prozess- und Ergebnisqualität von Gesundheitsdienstleistungen,
  3. 3. dem Ausbau integrierter Versorgung und eines sektorenübergreifenden Nahtstellenmanagements im öffentlichen Gesundheitswesen,
  4. 4. der Aufrechterhaltung einer qualitativ hochwertigen, ausgewogenen und allgemein zugänglichen Gesundheitsversorgung,
  5. 5. der Stärkung der Patient/inn/en/rechte, insbesondere der Informationsrechte und des Rechtsschutzes bei der Verarbeitung von personenbezogenen Daten sowie
  6. 6. einem Beitrag zur Wahrung des finanziellen Gleichgewichts des Systems der sozialen Sicherheit.“

34. In § 13 Abs. 2 wird das Wort „ermitteln“ durch das Wort „erheben“ ersetzt.

35. In § 13 Abs. 6 wird das Wort „Betroffenheit“ durch das Wort „Zuständigkeit“ ersetzt.

36. In § 13 Abs. 7 wird das Wort „ermitteln“ durch das Wort „erheben“ ersetzt.

37. Die Überschrift zu § 14 lautet:

„Grundsätze der Datenverarbeitung“

38. In § 14 Abs. 1 erster Halbsatz wird die Wortfolge „Verwendung (speichern und ermitteln)“ durch die Wortfolge „Verarbeitung (Art. 4 Z 2 DSGVO)“ ersetzt.

39. In § 14 Abs. 1 Z 3 wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.

40. In § 14 Abs. 2 wird die Wortfolge „Gesundheitszwecken gemäß § 9 Z 12 DSG 2000, ausgenommen für die Verwaltung von Gesundheitsdiensten“ durch die Wortfolge „gemäß Art. 9 Abs. 2 lit. h DSGVO, ausgenommen für die Zwecke der Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich sowie - unbeschadet der Fälle zulässiger Verarbeitung gemäß § 14 Abs. 3a - ausgenommen für Zwecke der Arbeitsmedizin und die Beurteilung der Arbeitsfähigkeit des Beschäftigten“ und das Wort „verwendet“ durch das Wort „verarbeitet“ ersetzt.

41. In § 14 Abs. 3 wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.

42. In § 14 Abs. 3a wird das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt.

43. In § 14 Abs. 4 wird das Wort „Dienstleister“ durch die Wortfolge „Auftragsverarbeiter (Art. 4 Z 8 DSGVO)“ ersetzt.

44. In § 14 entfällt der Abs. 5 und erhält der bisherige Abs. 6 die Absatzbezeichnung „(5)“.

45. In § 14 Abs. 5 (neu) wird die Wortfolge „der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1,“ durch das Wort „DSGVO“ ersetzt.

46. In § 15 Abs. 1 Z 1 wird das Wort „Datenanwendungen“ durch das Wort „Datenverarbeitungen“ ersetzt.

47. In § 16 Abs. 2 Z 2 lit. c lautet:

  1. „c) die in § 71a Abs. 1 GTG genannten genetischen Daten oder“

48. In § 16 Abs. 5 wird das Wort „Betroffenen“ durch die Wortfolge „betroffenen Personen (Art. 4 Z 1 DSGVO)“ ersetzt.

49. In § 16a Abs. 3 wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.

50. In § 17 Abs. 2 wird das Wort „Betroffener“ durch die Wortfolge „betroffener Personen (Art. 4 Z 1 DSGVO)“ und die Wortfolge „verantwortlichen Auftraggeber“ durch die Wortfolge „Verantwortlichen (Art. 4 Z 7 DSGVO)“ ersetzt.

51. In § 18 Abs. 3 wird das Wort „Datenanwendungen“ durch das Wort „Anwendungen“ und das Wort „ermitteln“ durch das Wort „erheben“ ersetzt.

52. In § 18 Abs. 4 wird das Wort „ermittelten“ durch das Wort „erhobenen“ und das Wort „Ermittlung“ durch das Wort „Erhebung“ ersetzt.

53. In § 18 Abs. 4 Z 3 und Z 4 wird das Wort „Verwenden“ durch das Wort „Verarbeiten“ und das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.

54. In § 18 Abs. 5 wird das Wort „Ermittlung“ durch das Wort „Erhebung“ ersetzt.

55. In § 18 Abs. 6 wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.

56. In § 19 Abs. 1 wird das Wort „ermitteln“ durch das Wort „erheben“ ersetzt.

57. In § 19 Abs. 2 wird das Wort „Ermittlung“ durch das Wort „Erhebung“ ersetzt.

58. In § 19 Abs. 3 wird das Wort „ermittelten“ durch das Wort „erhobenen“ ersetzt.

59. In § 20 Abs. 1 und 2 wird das Wort „Auftraggeber“ durch die Wortfolge „Verantwortlicher (Art. 4 Z 7 DSGVO)“ ersetzt.

60. In § 20 Abs. 3 wird die Wortfolge „Betreibern der“ durch die Wortfolge „Auftragsverarbeitern (Art. 4 Z 8 DSGVO), die die“ ersetzt und nach der Wortfolge „Verweisregister für ELGA“ die Wortfolge „betreiben,“ angefügt.

61. In § 20 Abs. 4 Z 2 wird die Wortfolge „von dem für den technischen Betrieb Verantwortlichen“ durch die Wortfolge „vom Auftragsverarbeiter (Art. 4 Z 8 DSGVO)“ ersetzt.

62. In § 22 Abs. 1 wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.

63. In § 22 Abs. 2 wird das Wort „Verwendung“ durch das Wort „Verarbeitung“, das Zitat „§ 14 DSG 2000“ durch das Zitat „Art. 32 DSGVO“, das Wort „Verwendungsvorgangs“ durch das Wort „Verarbeitungsvorgangs“, das Wort „verwendet“ durch das Wort „verarbeitet“ und das Wort „verwendeten“ durch das Wort „verarbeiteten“ ersetzt.

64. In § 22 Abs. 4 wird das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt.

65. In § 22 Abs. 5 wird das Wort „verwendet“ durch das Wort „verarbeitet“ und das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.

66. In § 22 Abs. 5 Z 5 entfällt die Wortfolge „indirekt personenbezogen“ und wird nach dem Wort „ELGA“ die Wortfolge „in pseudonymisierter Form, wobei die Identität der betroffenen Person (Art. 4 Z 1 DSGVO) mit rechtlich zulässigen Mitteln nicht bestimmt werden kann“ angefügt.

67. In § 22 Abs. 6 wird das Wort „verwenden“ durch das Wort „verarbeiten“ und das Wort „Verwendungsvorgänge“ durch das Wort „Verarbeitungsvorgänge“ ersetzt.

68. In § 23 Abs. 3 wird das Wort „Gesundheitsdaten“ durch das Wort „ELGA-Gesundheitsdaten“ ersetzt.

69. In § 24 Abs. 1 wird das Wort „Ermittlung“ durch das Wort „Erhebung“ ersetzt.

70. In § 24 Abs. 2 wird die Wortfolge „Betreiber von Datenspeichern und Verweisregistern“ durch die Wortfolge „Auftragsverarbeiter (Art. 4 Z 8 DSGVO), die Datenspeicher und Verweisregister betreiben,“ und das Wort „Dienstleister“ durch das Wort „Auftragsverarbeiter“ ersetzt.

71. In § 24 Abs. 3 wird die Wortfolge „Auftraggeber (§ 4 DSG 2000)“ durch die Wortfolge „Verantwortliche (Art. 4 Z 7 DSGVO)“ ersetzt.

72. In § 24a Abs. 1 Z 2 wird das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt.

73. In § 24a Abs. 1 Z 3 wird die Wortfolge „verwenden, wobei eine personenbezogene Verwendung ausschließlich zu Gesundheitszwecken gemäß § 9 Z 12 DSG 2000, ausgenommen für die Verwaltung von Gesundheitsdiensten“ durch die Wortfolge „verarbeiten, wobei eine personenbezogene Verarbeitung ausschließlich gemäß Art. 9 Abs. 2 lit. h DSGVO, ausgenommen für die Zwecke der Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich sowie - unbeschadet der Fälle zulässiger Verarbeitung gemäß § 14 Abs. 3a - ausgenommen für Zwecke der Arbeitsmedizin und die Beurteilung der Arbeitsfähigkeit des Beschäftigten“ ersetzt.

74. § 25 lautet:

§ 25. Wer entgegen § 16 Abs. 3 Personen im Zugang zur medizinischen Versorgung oder hinsichtlich der Kostentragung schlechter stellt, begeht, sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet oder nach anderen Verwaltungsstrafbestimmungen mit strengerer Strafe bedroht ist, eine Verwaltungsübertretung und ist mit Geldstrafe bis zu 10 000 Euro zu bestrafen.“

75. Dem § 26 wird folgender Abs. 6 angefügt:

„(6) Der Titel, das Inhaltsverzeichnis (Abschnittsüberschrift des 2. Abschnitts, § 14) und die § 1 Abs. 1, Abs. 2, Abs. 2 Z 1, § 2 Z 1, Z 1a, Z 2, Z 3, die Abschnittsbezeichnung des 2. Abschnitts, § 3 Abs. 1, Abs. 2, Abs. 3 und Abs. 4, § 4, § 4 Abs. 1, Abs. 2, Abs. 3, Abs. 5 Z 1 und Abs. 6, § 6 Abs. 1, Abs. 1 Z 1 lit. a, Abs. 2 und Abs. 3, § 7 Abs. 1 und Abs. 2, § 8 Abs. 1, § 9 Abs. 1 und Abs. 4, § 10 Abs. 1 Z 8 und Abs. 7, § 13 Abs. 1, Abs. 2, Abs. 6 und Abs. 7, Überschrift zu § 14, § 14 Abs. 1, Abs. 1 Z 3, Abs. 2, Abs. 3, Abs. 3a, Abs. 4 und Abs. 5, § 15 Abs. 1 Z 1, § 16 Abs. 2 Z 2 lit. c und Abs. 5, § 16a Abs. 3, § 17 Abs. 2, § 18 Abs. 3, Abs. 4, Abs. 4 Z 3 und Z 4, Abs. 5 und Abs. 6, § 19 Abs. 1, Abs. 2 und Abs. 3, § 20 Abs. 1, Abs. 2, Abs. 3 und Abs. 4 Z 2, § 22 Abs. 1, Abs. 2, Abs. 4, Abs. 5, Abs. 5 Z 5 und Abs. 6, § 23 Abs. 3, § 24 Abs. 1, Abs. 2 und Abs. 3, § 24a Abs. 1 Z 2 und Z 3, § 25, § 26 Abs. 6, § 27 Abs. 2, Abs. 3, Abs. 4, Abs. 9, Abs. 10, Abs. 11, Abs. 12, Abs. 13, Abs. 14 und Abs. 15 sowie § 28 Abs. 2 Z 1, Z 3, Z 4 und Z 11, Abs. 2a Z 1 und Abs. 4 in der Fassung des BGBl. I Nr. 37/2018 treten mit 25. Mai 2018 in Kraft.“

76. In § 27 Abs. 2, 3 und 4 wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.

77. In § 27 Abs. 9 wird die Wortfolge „gesetzlicher Interessenvertretungen, sofern diese in den von ihnen wahrzunehmenden Aufgaben betroffen sind,“ durch die Wortfolge „zuständiger gesetzlicher Interessenvertretungen“ ersetzt.

78. In § 27 Abs. 10 wird nach dem Wort „Gesundheitsdaten“ die Wortfolge „und genetische Daten“ eingefügt, das Wort „weitergegeben“ durch das Wort „übermittelt“ und das Wort „Weitergabe“ durch das Wort „Übermittlung“ ersetzt.

79. In § 27 Abs. 11, 12, 14 und 15 wird das Wort „Weitergabe“ durch das Wort „Übermittlung“ ersetzt und nach dem Wort „Gesundheitsdaten“ die Wortfolge „und genetischen Daten“ eingefügt.

80. In § 27 Abs. 13 wird die Wortfolge „die Verwendung von Gesundheitsdaten entsprechend den Bestimmungen des 2. Abschnitts mit Bedachtnahme auf den Stand der technischen Möglichkeiten und auf die wirtschaftliche Vertretbarkeit (§ 14 Abs. 1 DSG 2000) zumutbar ist“ durch die Wortfolge „die nach dem 2. Abschnitt erforderlichen Maßnahmen im Hinblick auf den Stand der Technik und die Implementierungskosten (Art. 32 Abs. 1 DSGVO) zumutbar sind“ ersetzt.

81. In § 28 Abs. 2 Z 1 wird das Wort „betroffenen“ durch das Wort „jeweiligen“ ersetzt.

82. In § 28 Abs. 2 Z 3 wird die Wortfolge „gesetzlicher Interessenvertretungen, sofern diese in den von ihnen wahrzunehmenden Aufgaben betroffen sind,“ durch die Wortfolge „zuständiger gesetzlicher Interessenvertretungen“ ersetzt.

83. In § 28 Abs. 2 Z 4 wird das Wort „ermitteln“ durch das Wort „erheben“ ersetzt.

84. In § 28 Abs. 2 Z 11 das Wort „Betreiber“ durch die Wortfolge „Auftragsverarbeiter (Art. 4 Z 8 DSGVO)“ ersetzt.

85. In § 28 Abs. 2a Z 1 wird das Wort „betroffenen“ durch das Wort „jeweiligen“ ersetzt.

86. In § 28 Abs. 4 wird die Wortfolge „jeweiligen betroffenen“ durch die Wortfolge „jeweils zuständigen“ und das Wort „Weitergabe“ durch das Wort „Übermittlung“ ersetzt sowie nach dem Wort „Gesundheitsdaten“ die Wortfolge „und genetischen Daten“ eingefügt.

Artikel 70

Änderung des Gentechnikgesetzes

Das Gentechnikgesetz, BGBl. Nr. 510/1994, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 112/2016, wird geändert:

1. § 66 Abs. 1 lautet:

„(1) Genetische Analysen am Menschen für wissenschaftliche Zwecke und zur Ausbildung dürfen nur an de-identifizierten Proben durchgeführt werden. Nicht-genetische medizinische Daten, die mit genetischen Daten derselben Person verknüpft werden sollen, müssen dabei ebenfalls de-identifiziert werden. Die Zuordnung dieser Daten zum jeweiligen Probenspender darf nur in den Einrichtungen erfolgen, die über eine gültige Einwilligung (Art. 4 Nr. 11 DSGVO) der betroffenen Person für diese Zuordnung verfügen.“

2. § 66 Abs. 3 lautet:

„(3) Die Bestimmungen der §§ 2d Abs. 1 und 3 bis 8, 2f Abs. 1 Z 6 und Abs. 3, 4, 6 und 7 sowie 2i Abs. 1, 2, 2j und 2k des Forschungsorganisationsgesetzes, BGBl. Nr. 341/1981, in der Fassung des Bundesgesetzes BGBl. I Nr. 31/2018, finden Anwendung.“

3. § 71 samt Überschrift lautet:

„Untersuchungsergebnisse

§ 71. (1) Wer genetische Analysen durchführt, veranlasst oder die daraus gewonnenen personenbezogenen Daten verarbeitet, hat diese Daten geheim zu halten.

(2) Personenbezogene Daten dürfen unbeschadet der Bestimmungen des § 71a über die Dokumentation der Untersuchungsergebnisse nur übermittelt werden

  1. a) an Personen, die in der Einrichtung, in der sie erhoben worden sind, mit der Verarbeitung der Daten unmittelbar befasst sind,
  2. b) an die untersuchte Person,
  3. c) an die in § 69 Abs. 2 genannten Personen,
  4. d) an den Arzt, der die genetischen Analysen veranlasst hat, und an den behandelnden Arzt,
  5. e) an andere Personen nur, soweit die untersuchte Person hierzu ausdrücklich und schriftlich zugestimmt hat, wobei ein schriftlicher Widerruf dieser Zustimmung jederzeit möglich ist.

(3) Soweit in diesem Bundesgesetz nichts anderes bestimmt ist, bleiben das Datenschutzgesetz (DSG), BGBl. I Nr. 165/1999, das Gesundheitstelematikgesetz 2012, BGBl. I Nr. 111/2012, sowie Vorschriften, die besondere Verschwiegenheits- oder Meldepflichten beinhalten, unberührt.

(4) Der untersuchten Person sind unerwartete Ergebnisse mitzuteilen, die von unmittelbarer klinischer Bedeutung sind oder nach denen sie ausdrücklich gefragt hat. Diese Mitteilung ist insbesondere dann, wenn die untersuchte Person nicht danach gefragt hat, so zu gestalten, dass sie auf die untersuchte Person nicht beunruhigend wirkt; in Grenzfällen kann diese Mitteilung gänzlich unterbleiben.“

4. In § 71a Abs. 2 entfällt das Wort „automationsunterstützt“ und die Wortgruppe „Ermittlung, Verarbeitung oder Auswertung“ wird durch das Wort „Verarbeitung“ ersetzt.

5. In § 106 wird die Wortfolge „ermittelt und automationsunterstützt verarbeitet“ durch die Wortfolge „erhoben und verarbeitet“ ersetzt.

6. In § 109 Abs. 3 Z 34 entfällt die Wortfolge „oder Daten entgegen § 66 Abs. 3 nach erfolgtem Widerruf verwendet,“ und Z 37 lautet:

  1. „37. den Bestimmungen des § 71 zuwiderhandelt,“

7. Nach § 113b wird folgender § 113c angefügt:

§ 113c. Die §§ 66 Abs. 1 und 3, 71, 71a Abs. 2, 106 und 109 Abs. 3 Z 34 und 37 in der Fassung des des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, treten mit 25. Mai 2018 in Kraft.“

2. Abschnitt

Sozialversicherungswesen

Artikel 71

Änderung des Allgemeinen Sozialversicherungsgesetzes

Das Allgemeine Sozialversicherungsgesetz - ASVG, BGBl. Nr. 189/1955, zuletzt geändert durch die Bundesgesetze BGBl. I Nr. 151/2017 und Nr. 164/2017 sowie durch die Kundmachung BGBl. I Nr. 2/2018, wird wie folgt geändert:

1. Im § 31 Abs. 4 Z 10 wird das Wort „Auftraggeber“ durch das Wort „Verantwortliche“ ersetzt.

2. Im § 31 Abs. 11 erster Satz wird der Ausdruck „ihren Datenanwendungen“ durch den Ausdruck „ihrer Datenverarbeitung“ und der Ausdruck „Dienstleister im Sinne des Datenschutzgesetzes 2000, BGBl. I Nr. 165/1999,“ durch den Ausdruck „Auftragsverarbeiter im Sinne des Art. 4 Z 8 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1, (im Folgenden: DSGVO)“ ersetzt.

3. Im § 31 Abs. 11 zweiter Satz wird das Wort „Dienstleister“ durch das Wort „Auftragsverarbeiter“ ersetzt.

4. Im § 31 Abs. 11 dritter Satz wird der Ausdruck „Dienstleister nach § 4 Z 5 des Datenschutzgesetzes 2000 in Verbindung mit den §§ 10 und 11 des Datenschutzgesetzes 2000“ durch den Ausdruck „Auftragsverarbeiter im Sinne des Art. 4 Z 8 DSGVO“ ersetzt.

5. § 31a Abs. 2 zweiter Satz entfällt.

6. Im § 31a Abs. 2 zweiter Satz (neu) wird der Ausdruck „Zustimmung des (der) Betroffenen den Zugriff auf persönliche Daten“ durch den Ausdruck „Einwilligung der betroffenen Person den Zugriff auf personenbezogene Daten“ ersetzt.

7. § 31a Abs. 4 erster bis dritter Satz lautet:

„Bestandteile des ELSY dürfen für andere als Sozialversicherungszwecke nur mit bundesgesetzlicher Ermächtigung und nur so weit verarbeitet werden, als dies mit dem Zweck des ELSY nicht unvereinbar (Art. 5 Abs. 1 lit. b DSGVO) ist. Zu Fragen der Unvereinbarkeit neuer Verarbeitungszwecke sowie zu Fragen der Speicherung von personenbezogenen Daten auf den innerhalb des ELSY zu verwendenden Chipkarten ist der Datenschutzrat unter Setzung einer angemessenen Frist anzuhören. Bestandteile des ELSY dürfen jedenfalls für folgende andere als Sozialversicherungszwecke verarbeitet werden:“

8. Im § 31a Abs. 4 Z 5 wird der Ausdruck „dem Verwenden von Gesundheitsdaten (§ 4 Z 2 und 8 DSG 2000)“ durch den Ausdruck „der Verarbeitung von Gesundheitsdaten im Sinne des Art. 4 Z 15 DSGVO“ ersetzt.

9. Im § 31a Abs. 4 letzter Satz wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.

10. Im § 31a Abs. 4a erster Satz wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ und das Wort „Daten“ durch den Ausdruck „personenbezogenen Daten“ ersetzt.

11. Im § 31a Abs. 4a zweiter Satz wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.

12. Im § 31b Abs. 1 zweiter Satz wird das Wort „Auftraggeber“ durch das Wort „Verantwortliche“ ersetzt.

13. Im § 31b Abs. 2 drittletzter Satz entfällt der Ausdruck „als durch Gesetz eingerichteter Rechtsträger des öffentlichen Bereiches im Sinne des Datenschutzgesetzes 2000 und“.

14. § 41a Abs. 5 zweiter bis letzter Satz lautet:

„Diese Daten dürfen nur in der Art und dem Umfang verarbeitet werden, als dies zur Wahrnehmung der gesetzlich übertragenen Aufgaben eine wesentliche Voraussetzung ist. Die Verarbeitung nicht notwendiger personenbezogener Daten (Ballastwissen, Überschusswissen) ist unzulässig. Personenbezogene Daten, die mit an Sicherheit grenzender Wahrscheinlichkeit nicht mehr benötigt werden, sind möglichst rasch zu löschen.“

15. Im § 42b Abs. 1 zweiter Satz wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.

16. Im § 42b Abs. 2 zweiter Satz wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ und das Wort „Datenverwendungen“ durch das Wort „Datenverarbeitungen“ ersetzt.

17. § 42b Abs. 4 erster und zweiter Satz lautet:

„Die Krankenversicherungsträger führen das Risiko- und Auffälligkeitsanalyse-Tool nach Abs. 1 als gemeinsam für die Verarbeitung Verantwortliche nach Art. 26 DSGVO. Die Oberösterreichische Gebietskrankenkasse ist Auftragsverarbeiter im Sinne des Art. 4 Z 8 DSGVO.“

18. § 42b Abs. 4 dritter und vierter Satz entfällt.

19. § 42b Abs. 5 erster Satz lautet:

„Das Nähere über die notwendigen Sicherheitsmaßnahmen bei der Verarbeitung der jeweiligen personenbezogenen Daten nach den Abs. 1 und 2 ist vom Hauptverband in der Datenschutzverordnung nach § 31 Abs. 12 festzulegen.“

20. § 42b Abs. 5 zweiter Satz entfällt.

21. Im § 84a Abs. 5 Z 2 und letzter Satz wird das Wort „Daten“ jeweils durch den Ausdruck „personenbezogenen Daten“ ersetzt.

22. § 186 Abs. 2 lautet:

„(2) Die Verarbeitung personenbezogener Daten nach § 53 Abs. 9 ASchG für Zwecke der Forschung und Auswertung nach Abs. 1 Z 4 darf nur mit Einwilligung der betroffenen Arbeitnehmer/innen erfolgen.“

23. Im § 321 Abs. 1 letzter Satz wird der Ausdruck „Daten im Sinne des § 4 des Datenschutzgesetzes 2000“ durch den Ausdruck „personenbezogenen Daten“ ersetzt.

24. Im § 360 Abs. 6 erster Satz wird der Ausdruck „verwendeten Daten“ durch den Ausdruck „verarbeiteten personenbezogenen Daten“ ersetzt.

25. Im § 360 Abs. 6 zweiter Satz wird der Ausdruck „Daten zu verwenden“ durch den Ausdruck „personenbezogene Daten zu verarbeiten“ ersetzt.

26. Im § 418 Abs. 7 wird der Ausdruck „Auftraggeber im Sinne des § 4 Z 4 des Datenschutzgesetzes 2000“ durch den Ausdruck „Verantwortlicher im Sinne des Art. 4 Z 7 DSGVO“ ersetzt.

27. Im § 460e erster Satz wird der Ausdruck „Ermittlung, Verarbeitung und Übermittlung von personenbezogenen Daten im Sinne des Datenschutzgesetzes 2000“ durch den Ausdruck „Verarbeitung von personenbezogenen Daten“ ersetzt.

28. Nach § 713 wird folgender § 714 samt Überschrift angefügt:

„Schlussbestimmung zu Art. 74 des Bundesgesetzes BGBl. I Nr. 37/2018

§ 714. Die §§ 31 Abs. 4 Z 10 und Abs. 11, 31a Abs. 2, 4 und 4a, 31b Abs. 1 und 2, 41a Abs. 5, 42b Abs. 1, 2, 4 und 5, 84a Abs. 5 Z 2, 186 Abs. 2, 321 Abs. 1, 360 Abs. 6, 418 Abs. 7 und 460e in der Fassung des Bundesgesetzes BGBl. I Nr. 37/2018 treten mit 25. Mai 2018 in Kraft.“

Artikel 72

Änderung des Gewerblichen Sozialversicherungsgesetzes

Das Gewerbliche Sozialversicherungsgesetz - GSVG, BGBl. Nr. 560/1978, zuletzt geändert durch die Bundesgesetze BGBl. I Nr. 151/2017 und BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Im § 183 Abs. 1 zweiter Satz wird der Ausdruck „Daten im Sinne des § 4 des Datenschutzgesetzes 2000“ durch den Ausdruck „personenbezogenen Daten“ ersetzt.

2. Im § 195 Abs. 8 wird der Ausdruck „Auftraggeber im Sinne des § 4 Z 4 des Datenschutzgesetzes 2000“ durch den Ausdruck „Verantwortlicher im Sinne des Art. 4 Z 7 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1,“ ersetzt.

3. Im § 231a erster Satz wird der Ausdruck „Ermittlung, Verarbeitung und Übermittlung von personenbezogenen Daten im Sinne des Datenschutzgesetzes 2000“ durch den Ausdruck „Verarbeitung von personenbezogenen Daten“ ersetzt.

4. Nach § 370 wird folgender § 371 samt Überschrift angefügt:

„Schlussbestimmung zu Art. 75 des Bundesgesetzes BGBl. I Nr. 37/2018

§ 371. Die §§ 183 Abs. 1, 195 Abs. 8 und 231a in der Fassung des Bundesgesetzes BGBl. I Nr. 37/2018 treten mit 25. Mai 2018 in Kraft.“

Artikel 73

Änderung des Bauern-Sozialversicherungsgesetzes

Das Bauern-Sozialversicherungsgesetz - BSVG, BGBl. Nr. 559/1978, zuletzt geändert durch die Bundesgesetze BGBl. I Nr. 164/2017 und BGBl. I Nr. 7/2018, wird wie folgt geändert:

1. Im § 171 Abs. 1 zweiter Satz wird der Ausdruck „Daten im Sinne des § 4 des Datenschutzgesetzes 2000“ durch den Ausdruck „personenbezogenen Daten“ ersetzt.

2. Im § 219a erster Satz wird der Ausdruck „Ermittlung, Verarbeitung und Übermittlung von personenbezogenen Daten im Sinne des Datenschutzgesetzes 2000“ durch den Ausdruck „Verarbeitung von personenbezogenen Daten“ ersetzt.

3. Nach § 363 wird folgender § 364 samt Überschrift angefügt:

„Schlussbestimmung zu Art. 76 des Bundesgesetzes BGBl. I Nr. 37/2018

§ 364. Die §§ 171 Abs. 1 und 219a in der Fassung des Bundesgesetzes BGBl. I Nr. 37/2018 treten mit 25. Mai 2018 in Kraft.“

Artikel 74

Änderung des Beamten-Kranken- und Unfallversicherungsgesetzes

Das Beamten-Kranken- und Unfallversicherungsgesetz - B-KUVG, BGBl. Nr. 200/1967, zuletzt geändert durch die Bundesgesetze BGBl. I Nr. 131/2017 und BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Im § 119 zweiter Satz wird der Ausdruck „Daten im Sinne des § 4 des Datenschutzgesetzes 2000, BGBl. I Nr. 165/1999,“ durch den Ausdruck „personenbezogenen Daten“ ersetzt.

2. Im § 131 Abs. 4 wird der Ausdruck „Auftraggeber im Sinne des § 4 Z 4 des Datenschutzgesetzes 2000“ durch den Ausdruck „Verantwortlicher im Sinne des Art. 4 Z 7 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1,“ ersetzt.

3. Im § 159a erster Satz wird der Ausdruck „Ermittlung, Verarbeitung und Übermittlung von personenbezogenen Daten im Sinne des Datenschutzgesetzes 2000“ durch den Ausdruck „Verarbeitung von personenbezogenen Daten“ ersetzt.

4. Nach § 251 wird folgender § 252 samt Überschrift angefügt:

„Schlussbestimmung zu Art. 77 des Bundesgesetzes BGBl. I Nr. 37/2018

§ 252. Die §§ 119, 131 Abs. 4 und 159a in der Fassung des Bundesgesetzes BGBl. I Nr. 37/2018 treten mit 25. Mai 2018 in Kraft.“

Artikel 75

Änderung des Notarversicherungsgesetzes 1972

Das Notarversicherungsgesetz 1972 - NVG, BGBl. Nr. 66/1972, zuletzt geändert durch die Bundesgesetze BGBl. I Nr. 53/2017 und BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Im § 88b wird der Ausdruck „Ermittlung, Verarbeitung und Übermittlung von personenbezogenen Daten im Sinne des Datenschutzgesetzes 2000“ durch den Ausdruck „Verarbeitung von personenbezogenen Daten“ ersetzt.

2. Nach § 122 wird folgender § 123 samt Überschrift angefügt:

„Schlussbestimmung zu Art. 78 des Bundesgesetzes BGBl. I Nr. 37/2018

§ 123. § 88b in der Fassung des Bundesgesetzes BGBl. I Nr. 37/2018 tritt mit 25. Mai 2018 in Kraft.“

4. Hauptstück

Sport

Artikel 76

Änderung des Bundes-Sportförderungsgesetzes 2017

Das Bundes-Sportförderungsgesetz 2017 - BSFG 2017, BGBl. I Nr. 100/2017, zuletzt geändert durch die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Im Inhaltsverzeichnis lautet der Eintrag zu § 26:

„§ 26. Datenverarbeitung“

2. § 26 samt Überschrift lautet:

„Datenverarbeitung

§ 26. (1) Die Bundesministerin/der Bundesminister für öffentlichen Dienst und Sport ist als Verantwortlicher gemäß Art. 4 Z 7 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1, (im Folgenden: DSGVO) in der Fassung der Berichtigung ABl. Nr. L 314 vom 22.11.2016 S. 72, ermächtigt, soweit dies zur Wahrnehmung ihrer/seiner Aufgaben nach diesem Bundesgesetz und zum Zwecke der Vollziehung dieses Bundesgesetzes erforderlich ist, personenbezogene Daten zu verarbeiten. Diese Ermächtigung bezieht sich, soweit zumindest einer der in Art. 9 Abs. 2 DSGVO angeführten Fälle vorliegt, auch auf besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO. Die Bundesministerin/der Bundesminister für öffentlichen Dienst und Sport darf sich zur Wahrnehmung ihrer/seiner Aufgaben nach diesem Bundesgesetz und zum Zwecke der Vollziehung dieses Bundesgesetzes Auftragsverarbeiter gemäß Art. 4 Z 8 in Verbindung mit Art. 28 DSGVO bedienen, die insbesondere jeweils die Datenschutzpflichten gemäß Art. 28 Abs. 3 lit. a bis h DSGVO wahrzunehmen haben.

(2) Die Bundes-Sport GmbH ist als Verantwortlicher gemäß Art. 4 Z 7 DSGVO ermächtigt, soweit dies zur Wahrnehmung ihrer Aufgaben nach diesem Bundesgesetz und zum Zwecke der Vollziehung dieses Bundesgesetzes erforderlich ist, personenbezogene Daten zu verarbeiten. Diese Ermächtigung bezieht sich, soweit zumindest einer der in Art. 9 Abs. 2 DSGVO angeführten Fälle vorliegt, auch auf besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO.

(3) Der den Fußball vertretende Bundes-Sportfachverband, die Bundes-Sportdachverbände und der gesamtösterreichische Verband alpiner Vereine sind als jeweils Verantwortlicher gemäß Art. 4 Z 7 DSGVO ermächtigt, ausschließlich zum Zwecke der Gewährung von Bundes-Vereinszuschüssen nach diesem Bundesgesetz erforderlichenfalls personenbezogene Daten zu verarbeiten. Diese Ermächtigung bezieht sich, soweit zumindest einer der in Art. 9 Abs. 2 DSGVO angeführten Fälle vorliegt, auch auf besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO.

(4) Verantwortliche gemäß Abs. 1 bis 3 haben insbesondere jeweils gemäß Art. 32 bis 34 DSGVO für die Sicherheit der personenbezogenen Daten und der besonderen Kategorien personenbezogener Daten zu sorgen. Die Erforderlichkeit zur Datenverarbeitung gemäß Abs. 1 und 2 ergibt sich aus der Gewährung von Förderungen, der Evaluierung und Kontrolle der Förderungen, der Kontrolle der widmungsgemäßen Verwendung der Fördermittel sowie der Verleihung der Sportleistungsabzeichen. Besondere Kategorien personenbezogener Daten, insbesondere genetische Daten, biometrische Daten und Gesundheitsdaten, dürfen, abgesehen von der Art der Behinderung bei der Förderung von behinderten Sportlerinnen/Sportlern, nur verarbeitet werden, sofern dies unbedingt erforderlich ist.

(5) Übt eine betroffene Person ihre Rechte nach der DSGVO gegenüber einem unzuständigen Verantwortlichen gemäß Abs. 1 bis 3 aus, so hat dieser sie an den zuständigen Verantwortlichen zu verweisen. Macht eine betroffene Person ein gemäß Abs. 6 bis 9 beschränktes Recht geltend, so ist sie darauf hinzuweisen und die/der zuständige Datenschutzbeauftragte ist darüber in Kenntnis zu setzen.

(6) Der Grundsatz der Richtigkeit gemäß Art. 5 Abs. 1 lit. d DSGVO und das Recht auf Berichtigung gemäß Art. 16 DSGVO werden bezüglich unrichtiger oder unvollständiger personenbezogener Daten oder besonderer Kategorien personenbezogener Daten insoweit beschränkt, als einer Berichtigung die Rechtskraft oder die Verjährung entgegenstehen, oder wenn für die betroffene Person die Möglichkeit einer Klärung der Richtigkeit und Vollständigkeit auf einem zumutbaren Rechtsweg besteht oder bestand. Macht die betroffene Person glaubhaft, dass diese personenbezogenen Daten oder besonderen Kategorien personenbezogener Daten sie erheblich in ihren Rechten beeinträchtigen, so kann sie dazu eine nicht inhaltsändernde, zu dokumentierende Stellungnahme abgeben.

(7) Das Recht auf Löschung gemäß Art. 17 DSGVO wird insoweit beschränkt, als durch Gesetz oder Verordnung eine Aufbewahrungspflicht oder Archivierung vorgesehen ist. Auf Antrag einer betroffenen Person sind ihre personenbezogenen Daten oder besonderen Kategorien personenbezogener Daten für die verbleibende Dauer der Aufbewahrungspflicht ohne Aufbereitung zu speichern, wenn die betroffene Person glaubhaft macht, dass die Aufbewahrung ihrer personenbezogenen Daten oder besonderen Kategorien personenbezogener Daten sie erheblich in ihren Rechten beeinträchtigt und keine weitere Verarbeitung für die verbleibende Dauer der Aufbewahrungspflicht vorgesehen ist.

(8) Das Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO wird für die Dauer einer Überprüfung der von der betroffenen Person bestrittenen Richtigkeit ihrer personenbezogenen Daten oder besonderen Kategorien personenbezogener Daten sowie für den Zeitraum, in dem die betroffene Person ihr Recht auf Widerspruch geltend gemacht hat und noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen, beschränkt.

(9) Das Recht auf Widerspruch gemäß Art. 21 DSGVO wird hinsichtlich der Verarbeitung personenbezogener Daten und besonderer Kategorien personenbezogener Daten für Zeiten einer durch Gesetz oder Verordnung vorgesehenen Aufbewahrungspflicht oder Archivierung beschränkt, sofern die betroffene Person nicht Gründe nachweisen kann, die sich aus ihrer besonderen Situation ergeben und welche die Ziele der Beschränkung des Rechtes auf Widerspruch überwiegen. Die/der zuständige Datenschutzbeauftragte ist über die Vornahme und das Ergebnis einer solchen Abwägung in Kenntnis zu setzen.

(10) Zum Zwecke der Bundes-Sportförderung verarbeitete oder übermittelte Daten, insbesondere personenbezogene Daten und besondere Kategorien personenbezogener Daten, sind von einem Verantwortlichen ab der letztmaligen Verarbeitung oder Übermittlung zehn Jahre aufzubewahren. Werden diese Daten darüber hinaus für eine durch Gesetz oder Verordnung vorgesehene Verarbeitung oder Übermittlung benötigt, so sind sie mindestens zehn Jahre nach dem Wegfall dieser Notwendigkeit aufzubewahren. Soweit nach der letztmaligen Verarbeitung oder Übermittlung ein mit den jeweiligen Daten im Zusammenhang stehendes Verfahren eingeleitet wird oder wurde, sind diese Daten mindestens zehn Jahre nach Rechtskraft der das Verfahren abschließend beendenden Entscheidung aufzubewahren.

(11) Abs. 4 bis 10 gelten ausschließlich für Daten, insbesondere personenbezogene Daten und besondere Kategorien personenbezogener Daten, gemäß Abs. 1 bis 3.“

3. In § 28 Abs. 5 entfällt Z 5 und erhält die bisherige Z 6 die Ziffernbezeichnung „5.“.

4. In § 39 Abs. 1 wird die Wortfolge „Bundes-Sport GmbH folgende Daten“ durch die Wortfolge „Bundesministerin/der Bundesminister für öffentlichen Dienst und Sport oder die Bundes-Sport GmbH jeweils als Verantwortlicher gemäß Art. 4 Z 7 DSGVO im Rahmen der Zuständigkeit zur Gewährung von Bundes-Sportförderungen folgende Daten, insbesondere die erforderlichen personenbezogenen Daten und besonderen Kategorien personenbezogener Daten,“ ersetzt.

5. In § 39 Abs. 1 Z 1 wird vor dem Wort „des“ der Ausdruck „der Fördernehmerin/“eingefügt.

6. In § 39 Abs. 1 Z 5 und 6 wird vor dem Wort „des“ jeweils die Wortfolge „der Fördernehmerin/“ eingefügt.

7. In § 40 wird das Wort „Landesverteidigung“ jeweils durch die Wortfolge „öffentlichen Dienst“ ersetzt, entfällt der Ausdruck „anonymisiert,“ und wird vor dem letzten Satz folgender Satz eingefügt:

„Personenbezogene Daten und besondere Kategorien personenbezogener Daten sind nur in den Bericht aufzunehmen, sofern dies unbedingt erforderlich ist.“

8. Dem § 44 wird folgender Abs. 3 angefügt:

„(3) Das Inhaltsverzeichnis, § 26 samt Überschrift, § 28 Abs. 5, § 39 Abs. 1 und § 40 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 37/2018, treten mit 25. Mai 2018 in Kraft.“

Artikel 77

Änderung des Anti-Doping-Bundesgesetzes 2007

Das Anti-Doping-Bundesgesetz 2007 - ADBG 2007, BGBl. I Nr. 30/2007, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 100/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. In dem den § 22c betreffenden Eintrag des Inhaltsverzeichnisses wird das Wort „Strafverfolgungsbehörden“ durch die Wortfolge „zuständigen Behörden gemäß § 36 Abs. 2 Z 7 DSG“ ersetzt.

2. In § 1 Abs. 1 wird die Wortfolge „Datenverarbeitungen von personenbezogenen Daten“ durch die Wortfolge „Verarbeitungen personenbezogener Daten und besonderer Kategorien personenbezogener Daten“ ersetzt.

3. In § 1a Z 13 wird vor dem Wort „eines“ die Wortfolge „einer Sportlerin/“eingefügt und die Wortfolge „seine Daten“ durch die Wortfolge „ihre/seine personenbezogenen Daten“ ersetzt.

4. In § 1a Z 14 wird vor dem Wort „Sportlern“ der Ausdruck „Sportlerinnen/“eingefügt und die Wortfolge „Verwendung dieser Daten entsprechend den Bestimmungen des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999“ durch die Wortfolge „Verarbeitung dieser personenbezogenen Daten gemäß Art. 4 Z 2 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1, in der Fassung der Berichtigung ABl. Nr. L 314 vom 22.11.2016 S. 72, (im Folgenden: DSGVO)“ ersetzt.

5. In § 2 Abs. 2 Z 5 wird vor dem Wort „Sportlern“ der Ausdruck „Sportlerinnen/“ eingefügt und das Wort „Betroffenen“ jeweils durch die Wortfolge „betroffenen Personen“ ersetzt.

6. In § 2 Abs. 2 Z 6 wird nach dem Wort „Daten“ die Wortfolge „ , insbesondere welche personenbezogenen Daten und besonderen Kategorien personenbezogener Daten,“ eingefügt und das Wort „verwendet“ durch das Wort „verarbeitet“ ersetzt.

7. In § 3 Abs. 1 wird das Zitat „Bundes-Sportförderungsgesetz 2013 (BSFG 2013), BGBl. I Nr. 100“ durch das Zitat „Bundes-Sportförderungsgesetz 2017 - BSFG 2017, BGBl. I Nr. 100/2017“ ersetzt.

8. In § 3 Abs. 2 bis 4 wird das Zitat „Bundes-Sportförderungsgesetz 2013“ jeweils durch das Zitat „BSFG 2017“ ersetzt.

9. In § 3 Abs. 3 wird vor dem Wort „Sportler“ jeweils der Ausdruck „Sportlerinnen/“ und vor dem Wort „Sportlern“ der Ausdruck „Sportlerinnen/“ eingefügt.

10. In § 4 Abs. 1 wird im Schlussteil die Wortfolge „der Betroffene“ durch die Wortfolge „die betroffene Person“ ersetzt.

11. In § 4 Abs. 3 wird vor dem Wort „Mitarbeiter“ der Ausdruck „Mitarbeiterinnen/“ und vor der Wortfolge „des betroffenen Sportlers“ die Wortfolge „der betroffenen Sportlerin/“ eingefügt und wird die Wortfolge „des Betroffenen, insbesondere Gesundheitsdaten gemäß § 4 Z 2 DSG 2000“ durch die Wortfolge „der betroffenen Person, insbesondere im Zusammenhang mit besonderen Kategorien personenbezogener Daten,“ ersetzt.

12. In § 4 treten an die Stelle des bisherigen Abs. 6 folgende Abs. 6 bis 6d:

„(6) Die Unabhängige Dopingkontrolleinrichtung ist als Verantwortlicher gemäß Art. 4 Z 7 DSGVO ermächtigt, soweit dies zur Wahrnehmung ihrer Aufgaben nach diesem Bundesgesetz und zum Zwecke der Vollziehung dieses Bundesgesetzes erforderlich ist, insbesondere im Rahmen der Aufgaben der Unabhängigen Österreichischen Anti-Doping Rechtskommission (§ 4a) und der Unabhängigen Schiedskommission (§ 4b), personenbezogene Daten zu verarbeiten. Diese Ermächtigung bezieht sich, soweit zumindest einer der in Art. 9 Abs. 2 DSGVO angeführten Fälle vorliegt, auch auf besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO. Die Unabhängige Dopingkontrolleinrichtung darf sich zur Wahrnehmung ihrer Aufgaben nach diesem Bundesgesetz und zum Zwecke der Vollziehung dieses Bundesgesetzes Auftragsverarbeiter gemäß Art. 4 Z 8 in Verbindung mit Art. 28 DSGVO bedienen, die insbesondere jeweils die Datenschutzpflichten gemäß Art. 28 Abs. 3 lit. a bis h DSGVO wahrzunehmen haben.

(6a) Die Unabhängige Dopingkontrolleinrichtung hat insbesondere gemäß Art. 32 bis 34 DSGVO für die Sicherheit der personenbezogenen Daten und der besonderen Kategorien personenbezogener Daten zu sorgen. Die Erforderlichkeit zur Datenverarbeitung ergibt sich aus der wirksamen Umsetzung der Anti-Doping-Regelungen des WADC, sofern sich die betroffenen Personen vertraglich zur Einhaltung des WADC verpflichtet haben. Besondere Kategorien personenbezogener Daten, insbesondere Gesundheitsdaten, dürfen nur verarbeitet werden, sofern dies unbedingt erforderlich ist.

(6b) Die Unabhängige Dopingkontrolleinrichtung ist ermächtigt, insbesondere im Rahmen der Aufgaben der Unabhängigen Österreichischen Anti-Doping Rechtskommission und der Unabhängigen Schiedskommission, unbeschadet der Bestimmung des § 22c Abs. 1, die bei der Vollziehung dieses Bundesgesetzes verarbeiteten personenbezogenen Daten auf begründetes und zu dokumentierendes Ersuchen einer zuständigen Behörde gemäß § 36 Abs. 2 Z 7 des Datenschutzgesetzes - DSG, BGBl. I Nr. 165/1999, oder einer sonstigen Behörde erforderlichenfalls zu verarbeiten, wenn die personenbezogenen Daten für die Vollziehung der jeweiligen gesetzlich übertragenen Aufgaben eine wesentliche Voraussetzung bilden und die Verarbeitung bundes- oder landesgesetzlich vorgesehen ist. Sobald das Informieren der betroffenen Person gemäß Art. 12 bis 14 DSGVO dem Zweck des Ersuchens nicht mehr zuwiderläuft oder zuwiderlaufen kann, hat die ersuchende Behörde dies der Unabhängigen Dopingkontrolleinrichtung mitzuteilen. Die betroffene Person ist sodann von dieser nachweislich über das Ersuchen zu informieren. Sie hat das Recht, gegenüber der Unabhängigen Dopingkontrolleinrichtung eine zu dokumentierende Stellungnahme abzugeben. Art. 12 bis 22 DSGVO sind vom Zeitpunkt des Einlangens eines Ersuchens bis zum Zeitpunkt der Information der betroffenen Person insoweit beschränkt, als diese Rechte voraussichtlich die Verwirklichung der Zwecke des Ersuchens unmöglich machen oder ernsthaft beeinträchtigen und die Beschränkung für die Erfüllung der Zwecke des Ersuchens notwendig und verhältnismäßig ist.

(6c) Die Unabhängige Dopingkontrolleinrichtung ist ermächtigt, insbesondere im Rahmen der Aufgaben der Unabhängigen Österreichischen Anti-Doping Rechtskommission und der Unabhängigen Schiedskommission, Analyseergebnisse von Dopingkontrollen, Sachverhalte mit begründetem, schriftlich zu dokumentierendem Verdacht auf einen Verstoß gegen die Anti-Doping-Regelungen, insbesondere Entscheidungen in Anti-Doping-Verfahren, und erteilte medizinische Ausnahmegenehmigungen (§ 8) an die jeweils zuständige Nationale Anti-Doping-Organisation, den jeweils zuständigen internationalen Sportfachverband und die WADA, soweit dies im WADC vorgesehen ist, erforderlichenfalls zu übermitteln.

(6d) Die Unabhängige Dopingkontrolleinrichtung ist ermächtigt, insbesondere im Rahmen der Aufgaben der Unabhängigen Österreichischen Anti-Doping Rechtskommission und der Unabhängigen Schiedskommission, der WADA auf begründetes und zu dokumentierendes Ersuchen der WADA personenbezogene Daten und besondere Kategorien personenbezogener Daten, insbesondere Gesundheitsdaten, die einer erteilten medizinischen Ausnahmegenehmigung gemäß § 8 zugrunde gelegt wurden, soweit dies im WADC vorgesehen ist, erforderlichenfalls zu übermitteln.

(6e) Übt eine betroffene Person ihre Rechte nach der DSGVO gegenüber der Unabhängigen Dopingkontrolleinrichtung als unzuständigem Verantwortlichen aus, so hat diese sie an den zuständigen Verantwortlichen zu verweisen. Macht eine betroffene Person ein gemäß Abs. 6f bis 6k beschränktes Recht geltend, so ist sie darauf hinzuweisen und die/der zuständige Datenschutzbeauftragte ist darüber in Kenntnis zu setzen.

(6f) Die Informationspflichten gemäß Art. 12 bis 14 DSGVO werden hinsichtlich der Verarbeitung und Übermittlung personenbezogener Daten und besonderer Kategorien personenbezogener Daten insoweit beschränkt, als diese Pflichten voraussichtlich die Verwirklichung der wirksamen Umsetzung der Anti-Doping-Regelungen dieses Bundesgesetzes oder des WADC unmöglich machen oder ernsthaft beeinträchtigen.

(6g) Das Recht auf Auskunft gemäß Art. 15 DSGVO wird hinsichtlich der Verarbeitung und Übermittlung personenbezogener Daten und besonderer Kategorien personenbezogener Daten insoweit beschränkt, als dieses Recht voraussichtlich die Verwirklichung der wirksamen Umsetzung der Anti-Doping-Regelungen dieses Bundesgesetzes oder des WADC unmöglich macht oder ernsthaft beeinträchtigt.

(6h) Der Grundsatz der Richtigkeit gemäß Art. 5 Abs. 1 lit. d DSGVO und das Recht auf Berichtigung gemäß Art. 16 DSGVO werden bezüglich unrichtiger oder unvollständiger personenbezogener Daten oder besonderer Kategorien personenbezogener Daten insoweit beschränkt, als einer Berichtigung die Rechtskraft oder die Verjährung entgegenstehen, oder wenn für die betroffene Person die Möglichkeit einer Klärung der Richtigkeit und Vollständigkeit auf einem zumutbaren Rechtsweg besteht oder bestand. Macht die betroffene Person glaubhaft, dass diese personenbezogenen Daten oder besonderen Kategorien personenbezogener Daten sie erheblich in ihren Rechten beeinträchtigen, so kann sie dazu eine nicht inhaltsändernde, zu dokumentierende Stellungnahme abgeben.

(6i) Das Recht auf Löschung gemäß Art. 17 DSGVO wird insoweit beschränkt, als durch Gesetz eine Aufbewahrungspflicht oder Archivierung vorgesehen ist. Auf Antrag einer betroffenen Person sind ihre personenbezogenen Daten oder besonderen Kategorien personenbezogener Daten für die verbleibende Dauer der Aufbewahrungspflicht ohne Aufbereitung zu speichern, wenn die betroffene Person glaubhaft macht, dass die Aufbewahrung ihrer personenbezogenen Daten oder besonderen Kategorien personenbezogener Daten sie erheblich in ihren Rechten beeinträchtigt und keine weitere Verarbeitung für die verbleibende Dauer der Aufbewahrungspflicht vorgesehen ist.

(6j) Das Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO wird für die Dauer einer Überprüfung der von der betroffenen Person bestrittenen Richtigkeit ihrer personenbezogenen Daten oder besonderen Kategorien personenbezogener Daten sowie für den Zeitraum, in dem die betroffene Person ihr Recht auf Widerspruch geltend gemacht hat und noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen, beschränkt.

(6k) Das Recht auf Widerspruch gemäß Art. 21 DSGVO wird hinsichtlich der Verarbeitung personenbezogener Daten und besonderer Kategorien personenbezogener Daten für Zeiten einer durch Gesetz vorgesehenen Aufbewahrungspflicht oder Archivierung beschränkt, sofern die betroffene Person nicht Gründe nachweisen kann, die sich aus ihrer besonderen Situation ergeben und welche die Ziele der Beschränkung des Rechtes auf Widerspruch überwiegen. Die/der zuständige Datenschutzbeauftragte ist über die Vornahme und das Ergebnis einer solchen Abwägung in Kenntnis zu setzen.

(6l) Zum Zwecke der wirksamen Umsetzung der Anti-Doping-Regelungen dieses Bundesgesetzes und des WADC verarbeitete oder übermittelte Daten, insbesondere personenbezogene Daten und besondere Kategorien personenbezogener Daten, sind von der Unabhängigen Dopingkontrolleinrichtung ab der letztmaligen Verarbeitung oder Übermittlung zehn Jahre aufzubewahren. Werden diese Daten darüber hinaus für eine durch Gesetz oder Verordnung vorgesehene Verarbeitung oder Übermittlung benötigt, so sind sie mindestens zehn Jahre nach dem Wegfall dieser Notwendigkeit aufzubewahren. Soweit nach der letztmaligen Verarbeitung oder Übermittlung ein mit den jeweiligen Daten im Zusammenhang stehendes Verfahren eingeleitet wird oder wurde, sind diese Daten mindestens zehn Jahre nach Rechtskraft der das Verfahren abschließend beendenden Entscheidung aufzubewahren.

(6m) Abs. 6f bis 6l gelten ausschließlich für Daten, insbesondere personenbezogene Daten und besondere Kategorien personenbezogener Daten, gemäß Abs. 6.“

13. In § 4 Abs. 8 wird die Wortfolge „der jeweils Betroffene“ durch die Wortfolge „die jeweils betroffene Person“ ersetzt.

14. In § 6 Abs. 4 wird die Wortfolge „den Betroffenen“ durch die Wortfolge „der betroffenen Person“ ersetzt.

15. In § 7 wird die Wortfolge „dem Bundesminister für Landesverteidigung und Sport“ durch die Wortfolge „der Bundesministerin/dem Bundesminister für öffentlichen Dienst und Sport“ und die Wortfolge „Der Bundesminister für Landesverteidigung und Sport“ durch die Wortfolge „Die Bundesministerin/der Bundesminister für öffentlichen Dienst und Sport“ ersetzt, entfällt der Ausdruck „anonymisiert,“ und wird vor dem letzten Satz folgender Satz eingefügt:

„Personenbezogene Daten gemäß Z 1, 2 und 4 sind zu anonymisieren.“.

16. In § 8 Abs. 2 wird vor der Wortfolge „dem Sportler“ die Wortfolge „der Sportlerin/“ und vor dem Wort „Mitarbeiter“ der Ausdruck „Mitarbeiterinnen/“ eingefügt und wird das Wort „Datenverwendung“ durch das Wort „Datenverarbeitung“ ersetzt.

17. In § 9 Abs. 8 wird das Wort „Betroffenen“ durch die Wortfolge „betroffenen Personen“ ersetzt.

18. In § 11 Abs. 3 wird das Wort „Betroffenen“ durch die Wortfolge „betroffenen Personen“ ersetzt und wird vor dem Wort „Sportlern“ der Ausdruck „Sportlerinnen/“, vor der Wortfolge „gesetzlicher Vertreter“ die Wortfolge „gesetzliche Vertreterin/“, vor dem Wort „Trainer“ der Ausdruck „Trainerin/“, vor dem Wort „Funktionär“ der Ausdruck „Funktionärin/“ und vor der Wortfolge „der Sportler“ die Wortfolge „die Sportlerin/“ eingefügt.

19. In § 11 Abs. 4 wird der Ausdruck „6.00“ durch den Ausdruck „5.00“ und das Wort „Betroffenen“ durch die Wortfolge „betroffenen Personen“ ersetzt.

20. In § 11 Abs. 5 wird vor der Wortfolge „vom Leiter“ die Wortfolge „von der Leiterin/“ eingefügt und wird die Wortfolge „vom Betroffenen“ durch die Wortfolge „von der betroffenen Person“ und die Wortfolge „Der Betroffene“ durch die Wortfolge „Die betroffene Person“ ersetzt.

21. In § 11 Abs. 6 wird die Wortfolge „der Betroffene“ durch die Wortfolge „die betroffene Person“ ersetzt.

22. In § 14a wird die Wortfolge „der Betroffene“ durch die Wortfolge „die betroffene Person“ ersetzt.

23. § 15 Abs. 2 Z 1 lautet:

  1. „1. die vom Verdacht eines Verstoßes gegen Anti-Doping-Regelungen betroffene Person und“

24. In § 15a Abs. 1 wird die Wortfolge „dem Betroffenen“ durch die Wortfolge „der betroffenen Person“ ersetzt.

25. In § 15a Abs. 3 wird die Wortfolge „des jeweils Betroffenen“ jeweils durch die Wortfolge „der jeweils betroffenen Person“ ersetzt.

26. § 17 Abs. 2 Z 1 lautet:

  1. „1. die von der Entscheidung der ÖADR betroffene Person,“

27. In § 17 Abs. 5 wird vor dem Wort „Zeugen“ der Ausdruck „Zeuginnen/“ eingefügt und werden die Wortfolge „des Betroffenen“ durch die Wortfolge „der betroffenen Person“ und das Wort „diesem“ durch das Wort „dieser“ ersetzt.

28. In § 17 Abs. 7 und 8 wird die Wortfolge „dem Betroffenen“ jeweils durch die Wortfolge „der betroffenen Person“ ersetzt.

29. In § 17 Abs. 11 Z 1 wird die Wortfolge „der von der Feststellung Betroffene“ durch die Wortfolge „die von der Feststellung betroffene Person“ ersetzt.

30. In § 17 Abs. 11 Z 2 und 3 wird die Wortfolge „der Betroffene“ jeweils durch die Wortfolge „die betroffene Person“ ersetzt.

31. In § 17 Abs. 14 wird vor dem Wort „Sportler“ der Ausdruck „Sportlerin/“ und vor dem Wort „Wettkampfveranstalter“ der Ausdruck „Wettkampfveranstalterin/“ eingefügt sowie die Wortfolge „der Betroffenen“ durch die Wortfolge „der betroffenen Personen“ und die Wortfolge „des Betroffenen“ durch die Wortfolge „der betroffenen Person“ ersetzt.

32. In § 19 Abs. 1 Z 8 wird die Wortfolge „Verwendung von Gesundheitsdaten“ durch die Wortfolge „Verarbeitung von besonderen Kategorien personenbezogener Daten“ ersetzt.

33. In § 19 Abs. 3 wird im Einleitungsteil vor dem Wort „Sportler“ der Ausdruck „Sportlerinnen/“ eingefügt.

34. In § 19 Abs. 3 Z 1 bis 3 wird jeweils vor der Wortfolge „der Sportler“ die Wortfolge „die Sportlerin/“ eingefügt.

35. In § 19 Abs. 3 Z 3 wird vor dem Wort „seinen“ der Ausdruck „ihren/“, vor dem Wort „Daten“ das Wort „personenbezogenen“ und vor dem Wort „er“ der Ausdruck „sie/“ eingefügt.

36. In § 19 Abs. 3 Z 4 wird der Ausdruck „6.00“ durch den Ausdruck „5.00“ ersetzt und vor dem Wort „er“ der Ausdruck „sie/“ eingefügt.

37. In § 19 Abs. 5 wird vor dem Wort „Sportlern“ der Ausdruck „Sportlerinnen/“, vor dem Wort „Sportler“ der Ausdruck „Sportlerinnen/“ und vor dem Wort „Daten“ das Wort „personenbezogenen“ eingefügt und es entfällt der letzte Satz.

38. § 21 Abs. 1 lautet:

„(1) Ist bei der Behandlung durch eine Ärztin/einen Arzt oder eine Zahnärztin/einen Zahnarzt, die/der für einen Sportverein oder eine Organisation gemäß § 3 Z 3, 9 oder 10 BSFG 2017 tätig ist oder die/der eine/einen Leistungssportlerin/Leistungssportler (Sportlerin/Sportler, die/der dem Nationalen Testpool angehört) ärztlich oder zahnärztlich betreut, die Verabreichung von Arzneimitteln mit verbotenen Wirkstoffen oder die Anwendung von verbotenen Methoden erforderlich, so hat sie/er die betroffene Person darüber zu informieren, sofern sie sich als Leistungssportlerin/Leistungssportler gegenüber der behandelnden Ärztin/dem behandelnden Arzt oder der behandelnden Zahnärztin/dem behandelnden Zahnarzt deklariert hat. Die behandelnde Ärztin/der behandelnde Arzt oder die behandelnde Zahnärztin/der behandelnde Zahnarzt hat der Leistungssportlerin/dem Leistungssportler auf ihr/sein Verlangen darüber eine Bestätigung auszustellen.“

39. In § 21 Abs. 3 wird vor dem Wort „Tierärzte“ der Ausdruck „Tierärztinnen/“ und vor der Wortfolge „dem Leistungssportler“ die Wortfolge „der Leistungssportlerin/“ eingefügt und wird der Ausdruck „12 oder 13 BSFG 2013“ durch den Ausdruck „9 oder 10 BSFG 2017“ und die Wortfolge „dem Tierhalter oder“ durch die Wortfolge „der Tierhalterin/dem Tierhalter oder der/“ ersetzt.

40. In § 22b Abs. 2 wird die Wortfolge „ermitteln und verarbeiten (§ 4 Z 9 DSG 2000) und diese den zuständigen Strafverfolgungsbehörden“ durch die Wortfolge „gemäß Art. 4 Z 2 DSGVO verarbeiten und diese den zuständigen Behörden gemäß § 36 Abs. 2 Z 7 DSG“ ersetzt.

41. In der Überschrift zu § 22c wird das Wort „Strafverfolgungsbehörden“ durch die Wortfolge „zuständigen Behörden gemäß § 36 Abs. 2 Z 7 DSG“ ersetzt.

42. In § 22c Abs. 1 und 2 wird das Wort „Strafverfolgungsbehörden“ jeweils durch die Wortfolge „zuständigen Behörden gemäß § 36 Abs. 2 Z 7 DSG“ ersetzt.

43. In § 22c wird nach Abs. 2 folgender Abs. 2a eingefügt:

„(2a) Sobald das Informieren der betroffenen Person gemäß Art. 12 bis 14 DSGVO den in Abs. 2 genannten Zwecken nicht mehr zuwiderläuft oder zuwiderlaufen kann, ist die betroffene Person nachweislich durch die Unabhängige Dopingkontrolleinrichtung über die Übermittlung zu informieren. Die betroffene Person hat das Recht, gegenüber der Unabhängigen Dopingkontrolleinrichtung eine zu dokumentierende Stellungnahme abzugeben. Art. 12 bis 22 DSGVO sind vom Zeitpunkt des Einlangens eines Ersuchens bis zum Zeitpunkt der Information der betroffenen Person insoweit beschränkt, als diese Rechte voraussichtlich die Verwirklichung der Zwecke gemäß Abs. 2 unmöglich machen oder ernsthaft beeinträchtigen und die Beschränkung für die Erfüllung der Zwecke des Ersuchens notwendig und verhältnismäßig ist.“

44. Dem § 27 wird folgender Abs. 15 angefügt:

„(15) Der den § 22c betreffende Eintrag des Inhaltsverzeichnisses, § 1 Abs. 1, § 1a Z 13 und 14, § 2 Abs. 2 Z 5 und 6, § 3 Abs. 1 bis 4, § 4 Abs. 1, 3, 6 bis 6m und 8, § 6 Abs. 4, § 7, § 8 Abs. 2, § 9 Abs. 8, § 11 Abs. 3 bis 6, § 14a, § 15 Abs. 2 Z 1, § 15a Abs. 1 und 3, § 17 Abs. 2, 5, 7, 8, 11 und 14, § 19 Abs. 1, 3 und 5, § 21 Abs. 1 und 3, § 22b Abs. 2, die Überschrift zu § 22c und § 22c Abs. 1, 2 und 2a in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 37/2018, treten mit 25. Mai 2018 in Kraft.“

Artikel 78

Änderung des Bundesgesetzes über die Neuorganisation der Bundessporteinrichtungen

Das Bundesgesetz über die Neuorganisation der Bundessporteinrichtungen - BSEOG, BGBl. I Nr. 149/1998, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 100/2017 und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. Nach § 10 wird folgender § 10a samt Überschrift eingefügt:

„Datenverarbeitung

§ 10a. (1) Die Bundesministerin/der Bundesminister für öffentlichen Dienst und Sport ist als Verantwortlicher gemäß Art. 4 Z 7 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1, in der Fassung der Berichtigung ABl. Nr. L 314 vom 22.11.2016 S. 72, (im Folgenden: DSGVO) ermächtigt, soweit dies zur Wahrnehmung ihrer/seiner Aufgaben nach diesem Bundesgesetz und zum Zwecke der Vollziehung dieses Bundesgesetzes erforderlich ist, personenbezogene Daten zu verarbeiten. Diese Ermächtigung bezieht sich, soweit zumindest einer der in Art. 9 Abs. 2 DSGVO angeführten Fälle vorliegt, auch auf besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO. Die Bundesministerin/der Bundesminister für öffentlichen Dienst und Sport darf sich zur Wahrnehmung ihrer/seiner Aufgaben nach diesem Bundesgesetz und zum Zwecke der Vollziehung dieses Bundesgesetzes Auftragsverarbeiter gemäß Art. 4 Z 8 in Verbindung mit Art. 28 DSGVO bedienen, die insbesondere jeweils die Datenschutzpflichten gemäß Art. 28 Abs. 3 lit. a bis h DSGVO wahrzunehmen haben.

(2) Die Bundes-Sport GmbH ist als Verantwortlicher gemäß Art. 4 Z 7 DSGVO ermächtigt, ausschließlich zum Zwecke der Wahrnehmung ihrer Aufgaben gemäß § 5 Abs. 2 und § 10 erforderlichenfalls personenbezogene Daten zu verarbeiten. Diese Ermächtigung bezieht sich, soweit zumindest einer der in Art. 9 Abs. 2 DSGVO angeführten Fälle vorliegt, auch auf besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO.

(3) Die Bundessporteinrichtungen Gesellschaft mbH ist als Verantwortlicher gemäß Art. 4 Z 7 DSGVO ermächtigt, ausschließlich zum Zwecke der Wahrnehmung ihrer Aufgaben gemäß § 5 Abs. 2 und § 10 erforderlichenfalls personenbezogene Daten zu verarbeiten. Diese Ermächtigung bezieht sich, soweit zumindest einer der in Art. 9 Abs. 2 DSGVO angeführten Fälle vorliegt, auch auf besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO.

(4) Verantwortliche gemäß Abs. 1 bis 3 haben insbesondere jeweils gemäß Art. 32 bis 34 DSGVO für die Sicherheit der personenbezogenen Daten und der besonderen Kategorien personenbezogener Daten zu sorgen. Die Erforderlichkeit zur Datenverarbeitung gemäß Abs. 1 ergibt sich aus der Gewährung von Förderungen, der Evaluierung und Kontrolle der Förderungen und der Kontrolle der widmungsgemäßen Verwendung der Fördermittel. Besondere Kategorien personenbezogener Daten, insbesondere genetische Daten, biometrische Daten und Gesundheitsdaten, dürfen, abgesehen von der Art der Behinderung bei der Förderung von behinderten Sportlerinnen/Sportlern, nur verarbeitet werden, sofern dies unbedingt erforderlich ist.

(5) Übt eine betroffene Person ihre Rechte nach der DSGVO gegenüber einem unzuständigen Verantwortlichen gemäß Abs. 1 bis 3 aus, so hat dieser sie an den zuständigen Verantwortlichen zu verweisen. Macht eine betroffene Person ein gemäß Abs. 6 bis 9 beschränktes Recht geltend, so ist sie darauf hinzuweisen und die/der zuständige Datenschutzbeauftragte ist darüber in Kenntnis zu setzen.

(6) Der Grundsatz der Richtigkeit gemäß Art. 5 Abs. 1 lit. d DSGVO und das Recht auf Berichtigung gemäß Art. 16 DSGVO werden bezüglich unrichtiger oder unvollständiger personenbezogener Daten oder besonderer Kategorien personenbezogener Daten insoweit beschränkt, als einer Berichtigung die Rechtskraft oder die Verjährung entgegenstehen, oder wenn für die betroffene Person die Möglichkeit einer Klärung der Richtigkeit und Vollständigkeit auf einem zumutbaren Rechtsweg besteht oder bestand. Macht die betroffene Person glaubhaft, dass diese personenbezogenen Daten oder besonderen Kategorien personenbezogener Daten sie erheblich in ihren Rechten beeinträchtigen, so kann sie dazu eine nicht inhaltsändernde, zu dokumentierende Stellungnahme abgeben.

(7) Das Recht auf Löschung gemäß Art. 17 DSGVO wird insoweit beschränkt, als durch Gesetz oder Verordnung eine Aufbewahrungspflicht oder Archivierung vorgesehen ist. Auf Antrag einer betroffenen Person sind ihre personenbezogenen Daten oder besonderen Kategorien personenbezogener Daten für die verbleibende Dauer der Aufbewahrungspflicht ohne Aufbereitung zu speichern, wenn die betroffene Person glaubhaft macht, dass die Aufbewahrung ihrer personenbezogenen Daten oder besonderen Kategorien personenbezogener Daten sie erheblich in ihren Rechten beeinträchtigt und keine weitere Verarbeitung für die verbleibende Dauer der Aufbewahrungspflicht vorgesehen ist.

(8) Das Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO wird für die Dauer einer Überprüfung der von der betroffenen Person bestrittenen Richtigkeit ihrer personenbezogenen Daten oder besonderen Kategorien personenbezogener Daten sowie für den Zeitraum, in dem die betroffene Person ihr Recht auf Widerspruch geltend gemacht hat und noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen, beschränkt.

(9) Das Recht auf Widerspruch gemäß Art. 21 DSGVO wird hinsichtlich der Verarbeitung personenbezogener Daten und besonderer Kategorien personenbezogener Daten für Zeiten einer durch Gesetz oder Verordnung vorgesehenen Aufbewahrungspflicht oder Archivierung beschränkt, sofern die betroffene Person nicht Gründe nachweisen kann, die sich aus ihrer besonderen Situation ergeben und welche die Ziele der Beschränkung des Rechtes auf Widerspruch überwiegen. Die/der zuständige Datenschutzbeauftragte ist über die Vornahme und das Ergebnis einer solchen Abwägung in Kenntnis zu setzen.

(10) Zum Zwecke der Bundes-Sportförderung verarbeitete oder übermittelte Daten, insbesondere personenbezogene Daten und besondere Kategorien personenbezogener Daten, sind von einem Verantwortlichen ab der letztmaligen Verarbeitung oder Übermittlung zehn Jahre aufzubewahren. Werden diese Daten darüber hinaus für eine durch Gesetz oder Verordnung vorgesehene Verarbeitung oder Übermittlung benötigt, so sind sie mindestens zehn Jahre nach dem Wegfall dieser Notwendigkeit aufzubewahren. Soweit nach der letztmaligen Verarbeitung oder Übermittlung ein mit den jeweiligen Daten im Zusammenhang stehendes Verfahren eingeleitet wird oder wurde, sind diese Daten mindestens zehn Jahre nach Rechtskraft der das Verfahren abschließend beendenden Entscheidung aufzubewahren.

(11) Abs. 4 bis 10 gelten ausschließlich für Daten, insbesondere personenbezogene Daten und besondere Kategorien personenbezogener Daten, gemäß Abs. 1 bis 3.“

2. Dem § 20 wird folgender Abs. 3 angefügt:

„(3) § 10a samt Überschrift in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 37/2018, tritt mit 25. Mai 2018 in Kraft.“

Artikel 79

Änderung des Militärberufsförderungsgesetzes 2004

Das Militärberufsförderungsgesetzes 2004 - MilBFG 2004, BGBl. I Nr. 130/2003, zuletzt geändert durch die Dienstrechts-Novelle 2015, BGBl. I Nr. 65/2015, und die Bundesministeriengesetz-Novelle 2017, BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. § 4 Abs. 3 entfällt.

2. Dem § 14 wird folgender Abs. 5 angefügt:

„(5) § 4 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 37/2018, tritt mit 25. Mai 2018 in Kraft.“

5. Hauptstück

Verkehr, Innovation und Technologie

Artikel 80

Änderung des Bundesgesetzes über die Austro Control GmbH

Das Bundesgesetz über die Austro Control Gesellschaft mit beschränkter Haftung, mit dem das Luftfahrtgesetz und das Bundesgesetz über den zwischenstaatlichen Luftverkehr geändert werden, BGBl. Nr. 898/1993, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 21/2010, wird wie folgt geändert:

1. In Art. I § 2 Abs. 5 wird die Zitierung „§ 4 Datenschutzgesetzes, BGBl. Nr. 565/1978“ durch die Zitierung „§ 26 Abs. 1 Z 2 des Datenschutzgesetzes, BGBl. I Nr. 165/1999“ ersetzt.

2. Dem Art. I § 17 wird folgender Abs. 6 angefügt:

„(6) § 2 Abs. 5 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, tritt mit 25. Mai 2018 in Kraft.“

Artikel 81

Änderung des Bundesgesetzes über die Agentur für Passagier- und Fahrgastrechte

Das Bundesgesetz über die Agentur für Passagier- und Fahrgastrechte, BGBl. I Nr. 61/2015, wird wie folgt geändert:

1. § 6 Abs. 4 lautet:

„(4) Wenn die Agentur für Passagier- und Fahrgastrechte die Behandlung einer Beschwerde ablehnt, hat sie dies dem Einbringer/der Einbringerin umgehend mitzuteilen. Ansonsten hat die Agentur für Passagier- und Fahrgastrechte die Beteiligten in das Schlichtungsverfahren einzubeziehen und sich unter Berücksichtigung der Bestimmungen der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/45/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1, und des Datenschutzgesetzes - DSG, BGBl. I Nr. 165/1999, zu bemühen, mit ihnen eine einvernehmliche Lösung zu finden. Gelingt das nicht, hat die Agentur für Passagier- und Fahrgastrechte den Beteiligten ihre Ansicht zum Beschwerdeanliegen schriftlich mitzuteilen. Sie kann dabei, wenn dies zur Lösung beitragen könnte, auch eine Empfehlung schriftlich abgeben, die unverbindlich und nicht anfechtbar ist.“

2. Dem § 11 wird folgender Abs. 3 angefügt:

„(3) § 6 Abs. 4 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, tritt mit 25. Mai 2018 in Kraft.“

Artikel 82

Änderung des Amateurfunkgesetzes

Das Bundesgesetz betreffend den Amateurfunkdienst (Amateurfunkgesetz 1998 - AFG), BGBl. I Nr. 25/1999, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 96/2013, wird wie folgt geändert:

1. § 16 Abs. 3 und 4 lautet:

„(3) Die Eintragung der personenbezogenen Daten (Abs. 2 Z 1 und 2) bedarf der ausdrücklichen Einwilligung der betroffenen Person.

(4) Die in der Rufzeichenliste enthaltenen Daten dürfen nur für Zwecke des Amateurfunkdienstes verarbeitet werden. Jede andere Verarbeitung ist unzulässig.“

2. § 27 Abs. 3 lautet:

„(3) Eine Verwaltungsübertretung begeht und mit Geldstrafe bis zu 3 633 Euro ist zu bestrafen, wer

  1. 1. entgegen § 3 Abs. 1 eine Amateurfunkstelle ohne Amateurfunkbewilligung errichtet oder betreibt oder
  2. 2. entgegen § 16 Abs. 4 Daten für andere Zwecke als den Amateurfunkdienst verarbeitet.“

4. Dem § 32 wird folgender Abs. 5 angefügt:

„(5) § 16 Abs. 3 und 4 sowie § 27 Abs. 3 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, treten mit 25. Mai 2018 in Kraft.“

Artikel 83

Änderung des Bundesstraßen-Mautgesetzes 2002

Das Bundesgesetz über die Mauteinhebung auf Bundesstraßen (Bundesstraßen-Mautgesetz 2002 - BStMG), BGBl. I Nr. 109/2002, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 65/2017, wird wie folgt geändert:

1. Der Eintrag zur Überschrift des 4. Teils im Inhaltsverzeichnis lautet:

„Mautordnung und Datenverarbeitung“

2. Der Eintrag zu § 16a im Inhaltsverzeichnis lautet:

„§ 16a. Datenverarbeitung“

3. § 8c Abs. 6 lautet:

„(6) Die Vermittlungsstelle hat ihr bekannt gewordene Betriebs- oder Geschäftsgeheimnisse zu wahren. Die Qualifizierung einer Tatsache als Betriebs- oder Geschäftsgeheimnis obliegt der Vermittlungsstelle, die dabei auch eine Abwägung der Interessen des Berechtigten an der Geheimhaltung einerseits und den Interessen Dritter an der Offenlegung andererseits vorzunehmen hat. Hegt die Vermittlungsstelle berechtigte Zweifel an der Schutzwürdigkeit der Geheimhaltung einer Tatsache, hat sie dies dem Berechtigten mitzuteilen und ihn aufzufordern, sein wirtschaftliches Interesse an der Geheimhaltung glaubhaft zu machen.“

4. Die Überschrift des 4. Teils lautet:

„Mautordnung und Datenverarbeitung“

5. § 16a samt Überschrift lautet:

„Datenverarbeitung

§ 16a. (1) Die Autobahnen- und Schnellstraßen-Finanzierungs-Aktiengesellschaft ist berechtigt, die zur Mauteinhebung, zur Mautaufsicht und zur Verfolgung von Mautprellerei erforderlichen personenbezogenen Daten automationsunterstützt zu verarbeiten.

(2) Die Autobahnen- und Schnellstraßen-Finanzierungs-Aktiengesellschaft darf im Anwendungsbereich der fahrleistungsabhängigen Maut folgende Daten verarbeiten:

  1. 1. Daten über Geräte zur elektronischen Entrichtung der fahrleistungsabhängigen Maut;
  2. 2. Daten über Fahrzeuge, deren Verwendung auf Bundesstraßen der fahrleistungsabhängigen Maut unterliegt;
  3. 3. Kontakt-, Kommunikations-, Zahlungs-, Transaktions- und Verrechnungsdaten;
  4. 4. Daten im Zusammenhang mit interoperablen Mautsystemen;
  5. 5. Daten über Fälle der Mautprellerei.

(3) Die Autobahnen- und Schnellstraßen-Finanzierungs-Aktiengesellschaft darf im Anwendungsbereich der zeitabhängigen Maut sowie der Streckenmaut (§ 32 Abs. 1) folgende Daten verarbeiten:

  1. 1. Daten über Fahrzeuge, die über eine digitale Vignette oder über eine digitale Streckenmautberechtigung verfügen;
  2. 2. Kontakt-, Kommunikations-, Zahlungs- und Verrechnungsdaten;
  3. 3. Transaktionsdaten bei der Streckenmaut;
  4. 4. Daten über Fälle der Mautprellerei.

(4) Das Bundesamt für Soziales und Behindertenwesen (Sozialministeriumservice) ist berechtigt, die in Anträgen gemäß § 13 Abs. 2 angegebenen Kennzeichen von Kraftfahrzeugen automationsunterstützt zu verarbeiten.“

6. § 19a Abs. 2 lautet:

„(2) Bilddaten und daraus gewonnene Kennzeichen- und Kontrolldaten, die Fälle ordnungsgemäßer Entrichtung der Maut betreffen, sind unverzüglich in nicht rückführbarer Weise zu löschen. Bilddaten, die Fälle der Mautprellerei dokumentieren, dürfen im Mautsystem gespeichert, aber nur für Zwecke der Einbringung der Maut, der Aufforderung zur Zahlung einer Ersatzmaut und der Verfolgung von Mautprellerei verarbeitet werden.“

7. Dem § 33 wird folgender Abs. 10 angefügt:

„(10) Das Inhaltsverzeichnis, § 8c Abs. 6, die Überschrift des 4. Teils, § 16a samt Überschrift und § 19a Abs. 2 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, treten mit 25. Mai 2018 in Kraft.“

Artikel 84

Änderung des Eisenbahn-Beförderungs- und Fahrgastrechtegesetzes

Das Bundesgesetz über die Eisenbahnbeförderung und die Fahrgastrechte (Eisenbahn-Beförderungs- und Fahrgastrechtegesetz - EisbBFG), BGBl. I Nr. 40/2013, wird wie folgt geändert:

1. § 4 Abs. 2 lautet:

„(2) Die Jahreskarten verwaltenden Stellen, Verkehrsverbundorganisationsgesellschaften und Eisenbahnunternehmen haben dafür zu sorgen, dass die Fahrgäste mit Jahreskarten über ihre Rechte und Pflichten in geeigneter Art und Weise informiert werden. Die Jahreskarten verwaltenden Stellen und Verkehrsverbundorganisationsgesellschaften haben für die Ermittlung der Entschädigungsbeträge den Eisenbahnunternehmen unter Berücksichtigung der Bestimmungen der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/45/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1, und des Datenschutzgesetzes - DSG, BGBl. I Nr. 165/1999, in der jeweils geltenden Fassung, die für den Entschädigungsanspruch notwendigen Personen- und Fahrausweisdaten unentgeltlich, in einer einvernehmlich festzulegenden Form und innerhalb einer einvernehmlich festgelegten Frist zur Verfügung zu stellen.“

2. Dem § 33 wird folgender Abs. 3 angefügt:

„(3) § 4 Abs. 2 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, tritt mit 25. Mai 2018 in Kraft.“

Artikel 85

Änderung des Führerscheingesetzes

Das Bundesgesetz über den Führerschein (Führerscheingesetz - FSG), BGBl. I Nr. 120/1997, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 15/2017, wird wie folgt geändert:

1. § 16 Abs. 1 lautet:

„(1) Verfahren und Amtshandlungen nach diesem Bundesgesetz, die Administration des Sachverständigenwesens, zu leistende Vergütungen für die Fahrprüfung sowie die Erfassung der Fahrschulen, sachverständigen Ärzte und verkehrspsychologischen Untersuchungsstellen sind mittels automationsunterstützter Datenverarbeitung in Form des Führerscheinregisters durchzuführen. Das Führerscheinregister ist entsprechend den Vorschriften der Verordnung (EU) Nr. 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/45/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1, (im Folgenden: DSGVO) und des Datenschutzgesetzes - DSG, BGBl. I Nr. 165/1999, durch das Bundesministerium für Verkehr, Innovation und Technologie bei der Bundesrechenzentrum GmbH zu führen. Verantwortlicher im Sinne des Art. 4 Z 7 DSGVO ist aufgrund Art. 10 Abs. 1 Z 9 B-VG das Bundesministerium für Verkehr, Innovation und Technologie, welches auch das Verfahrensverzeichnis gemäß Art. 30 DSGVO führt. Weiters

  1. 1. ermitteln und verarbeiten die in § 16b Abs. 2 und 3 genannten Behörden in mittelbarer Bundesverwaltung die personenbezogenen Daten im Führerscheinregister im gesetzlichen Auftrag eigenverantwortlich und werden insoweit als Verantwortliche gemäß Art. 4 Z 7 DSGVO tätig;
  2. 2. ist der Landeshauptmann für die in § 16b Abs. 3a und 4b genannten Verarbeitungsvorgänge als Verantwortlicher gemäß Art. 4 Z 7 DSGVO tätig.

    Die in § 16b Abs. 1, 1a und 4 genannten sonstigen Stellen ermitteln und verarbeiten die personenbezogenen Daten im Führerscheinregister als Auftragsverarbeiter für die in Z 1 genannten Behörden gemäß Art. 28 DSGVO.“

2. § 16 Abs. 4 lautet:

„(4) Ändert sich die behördliche Zuständigkeit zur Entscheidung über einen Antrag auf Erteilung oder Ausdehnung der Lenkberechtigung, so hat die nunmehr zuständige Behörde die bereits vorhandenen Registerdaten zu verarbeiten und weiterzuführen.“

3. Die Überschrift zu § 16b lautet:

„Verarbeitung der Daten des Führerscheinregisters“

4. § 16b Abs. 4a und 4b lautet:

„(4a) Das Bundesministerium für Verkehr, Innovation und Technologie ist zwecks Qualitätssicherung der Fahrprüfung berechtigt, in die in § 16a Abs. 1 Z 1 und 11 genannten Daten Einsicht zu nehmen und darf insbesondere diese Daten verarbeiten und in pseudonymisierter Form für Statistiken verwenden. Weiters darf es zur Qualitätssicherung der Fahrprüfung die in § 16a Abs. 1 Z 11 genannten Daten mit den in § 16a Abs. 1 Z 1 sowie in § 16b Abs. 3 Z 5 bis 7 genannten Daten (in pseudonymisierter Form) wie insbesondere Geschlecht und Alter des Bewerbers um eine Lenkberechtigung, die geprüfte Klasse und das Ergebnis der Prüfung sowie den Namen der Fahrschule, in der der Bewerber um eine Lenkberechtigung ausgebildet wurde, auswerten.

(4b) Der Landeshauptmann ist zur Qualitätssicherung der Fahrprüfung berechtigt, in die in § 16a Abs. 1 Z 1 und 11 genannten Daten der im jeweiligen Bundesland bestellten Fahrprüfer Einsicht zu nehmen und darf insbesondere diese Daten verarbeiten und in pseudonymisierter Form für Statistiken verwenden. Weiters darf er zur Qualitätssicherung der Fahrprüfung die in § 16a Abs. 1 Z 11 genannten Daten mit den in § 16a Abs. 1 Z 1 sowie in § 16b Abs. 3 Z 5 bis 7 genannten Daten (jeweils das Bundesland betreffend und in pseudonymisierter Form) wie insbesondere Geschlecht und Alter des Bewerbers um eine Lenkberechtigung, die geprüfte Klasse und das Ergebnis der Prüfung sowie den Namen der Fahrschule, in der der Bewerber um eine Lenkberechtigung ausgebildet wurde, auswerten.“

5. § 16b Abs. 6 lautet:

„(6) Für die Richtigkeit der Eintragung der in § 16a genannten Daten ist die jeweils zur Eintragung gemäß Abs. 1 bis 5 verpflichtete Stelle verantwortlich. Die Berechtigung zur Einsichtnahme in das Führerscheinregister und die Berechtigung zur Vornahme von Eintragungen hat seitens der Bundesrechenzentrum GmbH so zu erfolgen, dass eine Nachvollziehbarkeit der Zugriffe auf die Daten des Führerscheinregisters gewährleistet ist. Eine Suche von Daten einzelner Antragsteller durch die in Abs. 1 und 4 genannten beteiligten Stellen darf nur mit engen Suchkriterien erfolgen und nur entweder

  1. 1. zumindest über die Eingabe des Vor- und Zunamens sowie des Geburtsdatums oder
  2. 2. die Antragsnummer

    möglich sein. Die in Abs. 1 und 4 genannten beteiligten Stellen dürfen die ihnen zugänglichen oder von ihnen verarbeiteten personenbezogenen Daten der Führerscheinbesitzer nur für die Erfüllung der ihnen im Rahmen dieses Bundesgesetzes übertragenen Aufgaben verarbeiten.“

6. § 16b Abs. 8 lautet:

„(8) Die gemäß § 16a in das Führerscheinregister aufgenommenen pseudonymisierten Antragsdaten und Daten über ausgestellte Führerscheine aller Führerscheinbehörden sind im Wege der Datenfernübertragung zwecks Erstellung einer bundeseinheitlichen Statistik der Führerscheinangelegenheiten kostenlos der Bundesanstalt Statistik Österreich zu übermitteln.“

7. § 36 Abs. 2 lautet:

„(2) Der Bundesminister für Verkehr, Innovation und Technologie ist zuständig für die Erteilung von Ermächtigungen

  1. 1. an geeignete Einrichtungen zur Durchführung von Nachschulungen gemäß §§ 4 und 24 Abs. 3,
  2. 2. an geeignete Einrichtungen zur Durchführung verkehrspsychologischer Untersuchungen (verkehrspsychologische Untersuchungsstellen),
  3. 3. an Vereine von Kraftfahrzeugbesitzern zur Ausstellung der in § 33 Abs. 1 angeführten internationalen Führerscheine,
  4. 4. an das mit der Herstellung des Führerscheines betraute Unternehmen zur Eintragung der in § 16b Abs. 4 Z 3 genannten Daten.

    Diese ermächtigten Stellen unterliegen hinsichtlich der auf Grund dieser Ermächtigungen zu erfüllenden Aufgaben der Aufsicht und den Weisungen des Bundesministers für Verkehr, Innovation und Technologie. Über die von den ermächtigten Stellen gemäß Z 1 durchgeführten Nachschulungen sind zum Zweck der Qualitätssicherung ua. in Zusammenarbeit mit dem Führerscheinregister statistische Evaluationen durchzuführen. Zu diesem Zweck sind die Daten über die wieder auffällig gewordenen Absolventen einer Nachschulung dem Bundesministerium für Verkehr, Innovation und Technologie in pseudonymisierter Form bekannt zu geben. Von den in Z 1 und 2 genannten Ermächtigungen ausgenommen sind Meldungen betreffend weiterer Standorte der einzelnen ermächtigten Stellen. Die Eignung der Standorte ist vom Landeshauptmann auf Antrag zu überprüfen. Für diese Überprüfung ist ein Kostenersatz zu entrichten, der dem Landeshauptmann zufließt. Durch Verordnung des Bundesministers für Verkehr, Innovation und Technologie ist die Höhe dieses Kostenersatzes festzusetzen. Der Landeshauptmann hat vierteljährlich dem Bundesministerium für Verkehr, Innovation und Technologie die Veränderungen bei diesen Standorten bekanntzugeben.“

8. Dem § 43 wird folgender Abs. 26 angefügt:

„(26) § 16 Abs. 1 und 4, die Überschrift zu § 16b, § 16b Abs. 4a, 4b, 6 und 8 sowie § 36 Abs. 2 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, treten mit 25. Mai 2018 in Kraft.“

Artikel 86

Änderung des Funkanlagen-Marktüberwachungs-Gesetzes

Das Bundesgesetz über die Marktüberwachung von Funkanlagen (Funkanlagen-Marktüberwachungs-Gesetz - FMaG 2016), BGBl. I Nr. 57/2017, wird wie folgt geändert:

1. § 32 Abs. 1 lautet:

„(1) Soweit es zur Erfüllung der ihr durch dieses Bundesgesetz übertragenen Aufgaben der Marktüberwachung erforderlich ist, ist das Büro für Funkanlagen und Telekommunikationsendeinrichtungen berechtigt, der Europäischen Kommission und den mit der Vollziehung des gegenständlichen Rechtsbereiches betrauten Behörden in Mitgliedstaaten der Europäischen Union, des Europäischen Wirtschaftsraumes sowie der Europäischen Freihandelsassoziation die Daten von Wirtschaftsakteuren sowie gerätespezifische Daten betreffenden Informationen zur Kenntnis zu bringen und Unterlagen zu übermitteln, die diese zur Erfüllung ihrer Aufgaben in Fragen von gemeinsamem Interesse benötigen. Dies umfasst auch die Übermittlung von Daten zur Verarbeitung in ausländischen oder internationalen Datenbanken, sofern diese durch eine dieser Behörden unterhalten werden oder unter Aufsicht einer dieser Behörden stehen.“

2. In § 40 wird dem Text die Absatzbezeichnung „(1)“ vorangestellt und folgender Abs. 2 angefügt:

„(2) § 32 Abs. 1 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, tritt mit 25. Mai 2018 in Kraft.“

Artikel 87

Änderung des Gelegenheitsverkehrs-Gesetzes 1996

Das Bundesgesetz über die nichtlinienmäßige gewerbsmäßige Beförderung von Personen mit Kraftfahrzeugen (Gelegenheitsverkehrs-Gesetz 1996 - GelverkG), BGBl. Nr. 112/1996, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 3/2017, wird wie folgt geändert:

1. § 18a Abs. 4 lautet:

„(4) Die gemäß § 16 Abs. 3 zuständigen Behörden können auf die jeweils in Betracht kommenden Daten zugreifen und diese verarbeiten. Das Verkehrsunternehmensregister hat eine vollständige Protokollierung aller Datenabfragen vorzunehmen, aus der erkennbar ist, welcher Person welche Daten aus dem Verkehrsunternehmensregister übermittelt wurden. Diese Protokolldaten sind zu speichern und drei Jahre nach der Entstehung dieser Daten zu löschen.“

2. Dem § 21 wird folgender Abs. 7 angefügt:

„(7) § 18a Abs. 4 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, tritt mit 25. Mai 2018 in Kraft.“

Artikel 88

Änderung des Güterbeförderungsgesetzes

Das Bundesgesetz über die gewerbsmäßige Beförderung von Gütern mit Kraftfahrzeugen (Güterbeförderungsgesetz 1995 - GütbefG), BGBl. Nr. 593/1995, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 62/2017, wird wie folgt geändert:

1. § 24a Abs. 4 lautet:

„(4) Die gemäß § 20 Abs. 5 zuständigen Behörden können auf die jeweils in Betracht kommenden Daten zugreifen und diese verarbeiten. Das Verkehrsunternehmensregister hat eine vollständige Protokollierung aller Datenabfragen vorzunehmen, aus der erkennbar ist, welcher Person welche Daten aus dem Verkehrsunternehmensregister übermittelt wurden. Diese Protokolldaten sind zu speichern und drei Jahre nach der Entstehung dieser Daten zu löschen.“

2. Dem § 28 wird folgender Abs. 5 angefügt:

„(5) § 24a Abs. 4 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, tritt mit 25. Mai 2018 in Kraft.“

Artikel 89

Änderung des Klima- und Energiefondsgesetzes

Das Bundesgesetz über die Errichtung des Klima- und Energiefonds (Klima- und Energiefondsgesetz - KLI.EN-FondsG), BGBl. I Nr. 40/2007, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 58/2017, wird wie folgt geändert:

1. Dem § 2 wird folgender Abs. 7 angefügt:

„(7) Soweit dieses Bundesgesetz keine abweichenden Bestimmungen enthält, sind der 1. und 2. Abschnitt des Forschungsorganisationsgesetzes (FOG), BGBl. Nr. 341/1981, auch im Anwendungsbereich dieses Bundesgesetzes anzuwenden.“

2. In § 25 wird dem Text die Absatzbezeichnung „(1)“ vorangestellt und folgender Abs. 2 angefügt:

„(2) § 2 Abs. 7 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, tritt mit 25. Mai 2018 in Kraft.“

Artikel 90

Änderung des Kraftfahrgesetzes 1967

Das Bundesgesetz über das Kraftfahrwesen (Kraftfahrgesetz 1967 - KFG 1967), BGBl. Nr. 267/1967, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 40/2017, wird wie folgt geändert:

1. § 28b Abs. 5b lautet:

„(5b) Die Genehmigungsdaten oder Typendaten von Fahrzeugen mit einer von einem anderen Mitgliedstaat erteilten EG-Betriebserlaubnis, für die eine gültige Übereinstimmungsbescheinigung vorliegt, dürfen neben den im Abs. 5 beschriebenen Fällen auf Antrag einer Person, die

  1. 1. hierfür ein dringendes wirtschaftliches Interesse glaubhaft macht und
  2. 2. den Nachweis erbringt, dass sie in die beim Bundesministerium für Nachhaltigkeit und Tourismus geführten Register der Hersteller oder Eigenimporteure von Fahrzeugen und Batterien eingetragen ist,

    nach Prüfung der Gültigkeit der Übereinstimmungsbescheinigung durch den Bundesminister für Verkehr, Innovation und Technologie auch durch Auftragsverarbeiter, die im Auftrag von zwei oder mehreren Herstellern oder deren Bevollmächtigten die Eingabe der Daten in die Genehmigungsdatenbank vornehmen, unter Beachtung der Vorgaben des Abs. 5 Sätze drei bis acht in die Genehmigungsdatenbank eingetragen werden oder nach Maßgabe des § 30a Abs. 5 vom Bundesminister für Verkehr, Innovation und Technologie Typendaten in die Genehmigungsdatenbank eingegeben werden. Der aus der Prüfung der Gültigkeit der Übereinstimmungsbescheinigung dem Bundesminister für Verkehr, Innovation und Technologie entstehende Aufwand ist nach einem durch Verordnung festgesetzten Tarif vom Antragsteller zu ersetzen.“

2. § 28d Abs. 5 lautet:

„(5) Vor der Entscheidung hat der Bundesminister für Verkehr, Innovation und Technologie ein Gutachten im Sinne des § 29 Abs. 3 darüber einzuholen, ob die technischen Vorschriften, nach denen das Fahrzeug genehmigt wurde, den in Österreich geltenden Vorschriften gleichwertig sind. Der Hersteller muss gegebenenfalls die für die Erstellung des Gutachtens der Sachverständigen gemäß § 124 erforderlichen Fahrzeuge vorführen. Ergibt das Gutachten eine Gleichwertigkeit der technischen Vorschriften, so ist die nationale Kleinserien-Typgenehmigung anzuerkennen und es finden die Vorschriften des Abs. 2 Anwendung. Hat der Hersteller keinen gemäß § 29 Abs. 2 Bevollmächtigten, kann er sich zur Ausstellung der Typenscheine und zur Dateneingabe in die Genehmigungsdatenbank eines Auftragsverarbeiters, der im Auftrag von zwei oder mehreren Herstellern oder deren Bevollmächtigten die Eingabe der Daten in die Genehmigungsdatenbank vornimmt, bedienen. Die Anerkennung ist abzulehnen, wenn das Gutachten ergibt, dass die technischen Vorschriften, nach denen das Fahrzeug genehmigt wurde, den in Österreich geltenden Vorschriften nicht gleichwertig sind.“

3. § 34a Abs. 7 lautet:

„(7) Der Bundesminister für Verkehr, Innovation und Technologie ist zuständig für die Ermittlung der Anzahl der nach Abs. 1 und 2 erteilten Ausnahmegenehmigungen und die Übermittlung der aufgrund der EU-Richtlinien erforderlichen Meldung der erteilten Ausnahmegenehmigungen an die Kommission der Europäischen Gemeinschaften. Zur Ermittlung der Anzahl der erteilten Ausnahmegenehmigungen kann der Bundesminister für Verkehr, Innovation und Technologie auf die fahrzeugspezifischen Daten in der Genehmigungsdatenbank und auf die hinsichtlich der Eigentümer, Besitzer und Zulassungsbesitzer pseudonymisierten Daten und in der Zulassungsevidenz zugreifen.“

4. § 41a Abs. 2 bis 4 lautet:

„(2) Wird eine Chipkartenzulassungsbescheinigung beantragt, haben die Zulassungsstelle, die Behörde, oder die gemäß § 33 Abs. 3 tätig werdende Landesprüfstelle die gemäß § 47 Abs. 1 erfassten Daten dem mit der Herstellung der Chipkartenzulassungsbescheinigung beauftragten Unternehmen im automationsunterstützten Datenverkehr zu übermitteln. Der Auftragsverarbeiter hat sodann die Versendung entsprechend der Zustellverfügung der Behörde oder der Zulassungsstelle zu veranlassen.

(3) Der Bundesminister für Verkehr, Innovation und Technologie zieht zur Produktion der Chipkartenzulassungsbescheinigung einen Auftragsverarbeiter heran. Er ist darüber hinaus ermächtigt, für die Zulassungsstellen und Behörden nach Maßgabe des Art. 28 Abs. 3 der Verordnung (EU) Nr. 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/45/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1, (im Folgenden: DSGVO) eine Vereinbarung mit dem Auftragsverarbeiter zu den im Abs. 2 genannten Zwecken abzuschließen.

(4) Für die Zulassungsbescheinigung im Chipkartenformat ist bei jedem Antrag ein Kostenersatz zu entrichten, wobei hievon ein bestimmter Teilbetrag für die Herstellung der Chipkarte dem Auftragsverarbeiter gebührt. Die Höhe des Kostenersatzes für die Chipkartenzulassungsbescheinigung sowie die Höhe des Teils, welcher dem Produzenten gebührt, legt der Bundesminister für Verkehr, Innovation und Technologie durch Verordnung fest.“

5. § 47 Abs. 1 lautet:

„(1) Die Behörde hat, sofern die Zulassung nicht durch Zulassungsstellen vorgenommen wird, eine Evidenz über die in ihrem örtlichen Wirkungsbereich zum Verkehr zugelassenen Kraftfahrzeuge und Anhänger zu führen. In diese Evidenz hat sie das zugewiesene Kennzeichen, das Datum der Anmeldung, der Abmeldung, der Hinterlegung des Zulassungsscheines und der Kennzeichentafeln, der Aufhebung oder des Erlöschens der Zulassung, bei natürlichen Personen den Namen des Zulassungsbesitzers, den akademischen Grad, das Geburtsdatum, das Geschlecht, den Beruf und die Anschrift, bei juristischen Personen und Personengesellschaften des Handelsrechtes den Namen oder die Firma, die Art des Betriebes und die Anschrift, im Falle einer Miete des Fahrzeuges aus einem anderen EU-Mitgliedstaat auch die Daten des Mieters, außerdem andere mit der Zulassung und der Beschaffenheit des Fahrzeuges zusammenhängende Daten, soweit dies für die Erfüllung ihrer Aufgaben als Zulassungsbehörde erforderlich ist, aufzunehmen. Die Daten sind nach sieben Jahren ab Abmeldung, Aufhebung oder Erlöschen der Zulassung des Fahrzeuges zu löschen. Die Behörde muss die Zulassungsdaten der in ihrem örtlichem Wirkungsbereich zugelassenen oder zuzulassenden Fahrzeuge in der von der Gemeinschaftseinrichtung der zum Betrieb der Kraftfahrzeug-Haftpflichtversicherung berechtigten Versicherer geführten Zulassungsevidenz für die Erfüllung ihrer Aufgaben als Zulassungsbehörde verarbeiten können.“

6. § 47 Abs. 4 lautet:

„(4) Der Bundesminister für Inneres führt eine zentrale Zulassungsevidenz. Zu diesem Zweck haben - sofern die Zulassung nicht durch Zulassungsstellen vorgenommen wird - die Zulassungsbehörden, die die örtliche Zulassungsevidenz automationsunterstützt führen, laufend die Daten der Zulassungsbesitzer, im Falle einer Miete des Fahrzeuges aus einem anderen EU-Mitgliedstaat auch die Daten der Mieter, gemäß Abs. 1 - ausgenommen Beruf und Art des Betriebes - sowie Daten über das Kraftfahrzeug oder den Anhänger und die Zulassung dem Bundesminister für Inneres mittels maschinell lesbarer Datenträger oder im Wege der Datenfernübertragung zu übermitteln. Auskünfte sind im Wege der Datenfernverarbeitung dem Bundesministerium für Inneres, dem Bundesministerium für Verkehr, Innovation und Technologie, dem Bundesministerium für Finanzen und den Finanzbehörden, den Landespolizeidirektionen, den Bezirksverwaltungsbehörden, den Magistraten der Städte mit eigenem Statut, den Dienststellen der Bundespolizei, den Grenzkontrolldienststellen, den militärischen Organen und Behörden zum Zwecke der Vollziehung des Militärbefugnisgesetzes, BGBl. I Nr. 86/2000, den Krankenversicherungsträgern, und - nach Maßgabe der technischen und organisatorischen Voraussetzungen und kostenneutral für den Bund - den Gemeindesicherheitswachen zu erteilen, soweit diese zur Wahrnehmung der ihnen übertragenen Aufgaben eine wesentliche Voraussetzung bilden. Weiters sind Auskünfte automationsunterstützt im Wege der Datenfernverarbeitung nach dem Prinzip der Gegenseitigkeit auch Behörden anderer Staaten zu erteilen, sofern sich eine solche Verpflichtung aus Gemeinschaftsrecht oder anderen zwischenstaatlichen Vereinbarungen ergibt. Abs. 1 dritter Satz über die Löschung der Daten gilt sinngemäß. Protokolldaten über tatsächlich durchgeführte Verarbeitungsvorgänge, wie insbesondere Änderungen, Abfragen und Übermittlungen, sind drei Jahre lang aufzubewahren.“

7. § 47 Abs. 4a lautet:

„(4a) Die Gemeinschaftseinrichtung der zum Betrieb der Kraftfahrzeug-Haftpflichtversicherung berechtigten Versicherer hat die gemäß § 40b Abs. 6 Z 2 erfassten und übermittelten Daten in einer zentralen Zulassungsevidenz zu erfassen und zu speichern. Für die Durchführung von weiteren Tätigkeiten im Zusammenhang mit Zulassungsvorgängen können die jeweils zuständigen Behörden oder Zulassungsstellen auf die jeweils in Betracht kommenden Daten zugreifen und diese verarbeiten. Weiters können auch die Landeshauptmänner nach Maßgabe der technischen Möglichkeiten auf die fahrzeugspezifischen Daten dieser Evidenz zugreifen und in Verfahren zur Fahrzeuggenehmigung verarbeiten.“

8. § 47 Abs. 4c lautet:

„(4c) Auf die in der zentralen Zulassungsevidenz gemäß Abs. 4a gespeicherten fahrzeugspezifischen Daten können bundesweit organisierte Pannenhilfsdienste nach Maßgabe der technischen Möglichkeiten auf Veranlassung des Zulassungsbesitzers oder des Lenkers als Vertreter des Zulassungsbesitzers durch Abfragen über das Kennzeichen zugreifen und diese fahrzeugspezifischen Daten für die Durchführung der Pannenhilfe im konkreten Anlassfall verwenden. Der Zulassungsbesitzer oder der Lenker als Vertreter des Zulassungsbesitzers muss einer solchen Abfrage zustimmen. Die schriftliche Einwilligung, die gegebenenfalls erst im Zuge der Pannenhilfe erteilt wird, ist von den Pannenhilfsdiensten aufzubewahren und auf Verlangen der Behörde vorzulegen. Es ist mit geeigneten, dem Stand der Technik entsprechenden Mitteln dafür zu sorgen, dass kein unberechtigter Zugriff erfolgt und dass bei berechtigten Abfragen nur auf die fahrzeugspezifischen Daten zugegriffen werden kann. Die Zulassungsevidenz hat eine vollständige Protokollierung aller erfolgten und versuchten Datenabfragen vorzunehmen, aus der erkennbar ist, welcher Stelle welche Daten übermittelt wurden. Diese Protokolldaten sind zu speichern und drei Jahre nach ihrer Entstehung zu löschen. Die Pannenhilfsdienste haben der Gemeinschaftseinrichtung der zum Betrieb der Kraftfahrzeug-Haftpflichtversicherung berechtigten Versicherer die Kosten für die Einrichtung der Abfragemöglichkeit zu ersetzen.“

9. § 47a Abs. 1 lautet:

„(1) Nationale Kontaktstelle nach Art. 4 der Richtlinie 2015/413/EU zur Erleichterung des grenzüberschreitenden Austauschs von Informationen über die Straßenverkehrssicherheit gefährdende Verkehrsdelikte, ABl. Nr. L 68 vom 13.03.2015 S. 9, ist der Bundesminister für Inneres, welcher sich dabei der zentralen Zulassungsevidenz gemäß § 47 Abs. 4 bedient. Bei automationsunterstützten Abrufen österreichischer Behörden nach Art. 4 der Richtlinie 2015/413/EU aus Fahrzeugzulassungsregistern anderer EU-Mitgliedstaaten fungiert er als Auftragsverarbeiter im Sinne des Art. 4 Z 8 DSGVO für diese Behörden.“

10. § 47a Abs. 4 lautet:

„(4) Jeder betroffene Zulassungsbesitzer hat das Recht, von der nationalen Kontaktstelle nach Maßgabe der Bestimmungen des Kapitels III der Datenschutz-Grundverordnung Informationen darüber zu erhalten, welche in der zentralen Zulassungsevidenz gespeicherten personenbezogenen Daten dieser Person dem Deliktsmitgliedstaat übermittelt wurden, einschließlich des Datums des Abrufs und der Bezeichnung der nationalen Kontaktstelle des anfragenden Deliktsmitgliedstaats.“

11. § 57a Abs. 2b lautet:

„(2b) Die Bundesinnung der Kfz-Techniker führt als Angelegenheit des übertragenen Wirkungsbereiches ein Verzeichnis des geeigneten Personals und stellt für jede geeignete Person einen § 57a-Bildungspass aus, aus dem die Eignung der Person und die Absolvierung der erforderlichen Schulungen hervorgeht. In diesen Angelegenheiten ist sie an Weisungen des Bundesministers für Verkehr, Innovation und Technologie gebunden. Das Verzeichnis des geeigneten Personals kann auch in elektronischer Form als Datenbank geführt werden. In dieser Datenbank dürfen zum Zwecke der Verwaltung der geeigneten Personen folgende personenbezogene Daten der geeigneten Personen verarbeitet werden:

  1. 1. Vorname, Familienname,
  2. 2. akademische Grade,
  3. 3. Geburtsdatum,
  4. 4. Geschlecht,
  5. 5. Hauptwohnsitz,
  6. 6. Beruf,
  7. 7. Vermerk der jeweiligen persönlichen Qualifikation,
  8. 8. Absolvierung der erforderlichen Schulungen unter Angabe der die Schulung durchführenden Stelle.

    Die die Schulungen durchführenden Stellen haben die Bundesinnung der Kfz-Techniker von durchgeführten Schulungen zu verständigen. Die Bundesinnung der Kfz-Techniker kann die absolvierten Schulungen bei den jeweiligen Personen selbst eintragen oder die Eintragungen im Einvernehmen mit den durchführenden Stellen direkt diesen übertragen. Der Landeshauptmann kann in Verfahren gemäß Abs. 2 oder bei Überprüfungen gemäß Abs. 2a in die Datenbank Einsicht nehmen. Die unter Z 1 bis 8 genannten Daten können auf dem Bildungspass auch in elektronischer Form auf einem Chip gespeichert werden. Durch Verordnung des Bundesministers für Verkehr, Innovation und Technologie können die näheren Bestimmungen über Form und Inhalt des Bildungspasses und Eintragungsmodalitäten in die Datenbank festgelegt werden. Die Daten sind nach fünf Jahren ab dem Zeitpunkt, ab dem eine bestimmte Person nicht mehr als geeignete Person tätig sein darf, zu löschen.“

12. § 57c Abs. 8 lautet:

„(8) Eine Suche von Daten durch die in Abs. 5 genannten beteiligten Stellen darf nur mit engen Suchkriterien erfolgen. Die Abfrage darf nur möglich sein für

  1. 1. die Landeshauptmänner, die Behörden und die Organe der Bundespolizei anhand vollständiger Namensdaten (Vorname und Familienname) oder anhand Kennzeichen, Fahrgestellnummer oder Begutachtungsplakettennummer;
  2. 2. die Zulassungsstellen und die gemäß § 57a ermächtigten Stellen anhand Kennzeichen, Fahrgestellnummer oder Begutachtungsplakettennummer.

    Die in Abs. 5 genannten beteiligten Stellen dürfen die ihnen zugänglichen oder von ihnen verarbeiteten personenbezogenen Daten nur für die Erfüllung der ihnen im Rahmen dieses Bundesgesetzes übertragenen Aufgaben verarbeiten.“

13. § 57c Abs. 9 lautet:

„(9) Die pseudonymisierten fahrzeugspezifischen Daten sowie die pseudonymisierten Inhalte der Gutachten, können für statistische Zwecke oder für wissenschaftliche Untersuchungen verarbeitet werden.“

14. § 102 Abs. 11c lautet:

„(11c) Über die durchgeführten Straßenkontrollen sind Aufzeichnungen zu führen und die für die Berichterstattung gemäß Art. 17 der Verordnung (EG) Nr. 561/2006 benötigten Daten zu erfassen. Diese Aufzeichnungen sind von den Organen des öffentlichen Sicherheitsdienstes zu sammeln und automationsunterstützt im Wege des Bundesministeriums für Inneres zumindest vierteljährlich in pseudonymisierter Form an den Bundesminister für Verkehr, Innovation und Technologie zum Zwecke der Erstellung des Berichtes zu übermitteln. Die Kontrolldaten sind wie folgt aufzuschlüsseln:

  1. 1. Kontrollörtlichkeit
    1. a) Autobahn/Schnellstraße
    2. b) Landesstraße
    3. c) Gemeindestraße
  2. 2. Anzahl der kontrollierten Fahrzeuge und die Anzahl der dabei festgestellten Verstöße - mit Unterscheidung Güterverkehr oder Personenverkehr - mit Angabe des Sitzes (internationales Unterscheidungszeichen) des Unternehmens
    1. a) Österreich
    2. b) EU/EWR/Schweiz
    3. c) Drittstaat
  3. 3. Anzahl der kontrollierten Kontrollgeräte/Fahrtschreiber nach Ausstattung zur Zeit der Kontrolle
    1. a) digital
    2. b) analog
  4. 4. Anzahl der kontrollierten Einsatztage innerhalb der bei Straßenkontrollen zulässigen Kalendertage.

Wurden bei einer Straßenkontrolle keine Übertretungen festgestellt, so ist auch das zu vermerken. Im Falle von Unternehmen mit Sitz in Österreich sind die Kontrolldaten (Datum, Uhrzeit und Behörde) sowie die Daten des Unternehmens (Name und Anschrift, bei natürlichen Personen auch das Geburtsdatum) zu erfassen und von den Organen des öffentlichen Sicherheitsdienstes diese Positivkontrolle innerhalb von drei Kalendertagen zur Berücksichtigung im Risikoeinstufungssystem direkt im Verkehrsunternehmensregister bei dem jeweiligen Unternehmen zu vermerken. Wenn die Daten des betreffenden Unternehmens im Verkehrsunternehmensregister nicht vorhanden sind, dann haben die Organe des öffentlichen Sicherheitsdienstes das Unternehmen durch Suche und Auswahl aus dem Unternehmensregister im Verkehrsunternehmensregister anzulegen und die Positivkontrolle zu vermerken. Sollte das Unternehmen auch im Unternehmensregister nicht auffindbar sein, so haben die Organe des öffentlichen Sicherheitsdienstes das innerhalb von sieben Kalendertagen im Wege des Bundesministeriums für Inneres der Behörde automationsunterstützt zu übermitteln.“

15. § 102b Abs. 4 lautet:

„(4) Die gemäß § 102d Abs. 1 ermächtigten Einrichtungen und der Bundesminister für Verkehr, Innovation und Technologie können auf die jeweils in Betracht kommenden Daten zugreifen und diese verarbeiten.“

16. § 103c Abs. 5 lautet:

„(5) Zum Zwecke der Risikoeinstufung hat die Behörde, die einen Strafbescheid wegen eines Verstoßes gegen die Verordnungen (EG) Nr. 561/2006 oder (EU) Nr. 165/2014 oder gegen das AETR oder wegen eines in Anhang I Z 3 bis 12 der Verordnung (EU) 2016/403 genannten Verstoßes oder wegen im Zuge von technischen Unterwegskontrollen bei Fahrzeugen der Klassen M2, M3, N2, N3, O3 oder O4 festgestellten Mängeln an den Fahrzeugen oder Verstößen gegen die Ladungssicherungsbestimmungen, erlässt, nach Rechtskraft des Bescheides diesen Verstoß im Verkehrsunternehmensregister bei den Daten dieses Unternehmens zu vermerken. Dabei sind auch der Vorname und der Familienname und das Geburtsdatum des Lenkers, der den Verstoß begangen hat, zu erfassen. Unternehmen, die nicht im Verkehrsunternehmensregister enthalten sind, sind in dem dafür vorgesehenen Teil des Verkehrsunternehmensregisters neu anzulegen. Es sind

  1. 1. bei natürlichen Personen der Vorname und der Familienname und das Geburtsdatum, bei juristischen Personen und Personengesellschaften des Unternehmensrechts die Firma sowie jeweils die Anschrift des Unternehmens und
  2. 2. die Firmenbuchnummer, soweit vorhanden,

    zu erfassen. Für die Erfassung dieser Daten kann die Behörde auf die im Unternehmensregister gespeicherten Daten zugreifen und diese verarbeiten. Können Meldungen der Organe des öffentlichen Sicherheitsdienstes über Kontrollen, die zu keiner Beanstandung geführt haben (§ 102 Abs. 11c letzter Satz), nicht automatisch einem Unternehmen zugeordnet werden, so ist die Zuordnung von der Behörde, in deren Sprengel die Kontrolle stattgefunden hat, vorzunehmen.“

17. § 114a Abs. 2 lautet:

„(2) Der Bundesminister für Verkehr, Innovation und Technologie hat die Fahrschuldatenbank bei der Bundesrechenzentrum GmbH zu führen. Verantwortliche im Sinne des Art. 4 Z 7 DSGVO sind die Behörden, im Hinblick auf die gemäß § 114b Abs. 1 Z 5 erfassten Daten jedoch die Kommission gemäß § 4a Abs. 6 FSG.“

18. § 114b Abs. 5 lautet:

„(5) Eine Suche durch die in Abs. 1 und 2 genannten Daten darf nur entweder

  1. 1. zumindest über die Eingabe des Vor- und Zunamens sowie gegebenenfalls des Geburtsdatums der jeweiligen Personen oder der Bezeichnung der Fahrschule,
  2. 2. über die behördliche Geschäftszahl oder
  3. 3. über die vollständige Adresse der Fahrschule oder der Ausbildungsstätte

    möglich sein. Die in Abs. 3 genannten beteiligten Stellen dürfen die ihnen zugänglichen oder von ihnen verarbeiteten personenbezogenen Daten nur für die Erfüllung der ihnen im Rahmen dieses Bundesgesetzes übertragenen Aufgaben verarbeiten.“

19. § 134 Abs. 3b lautet:

„(3b) Die aufgrund der §§ 98a, 98b und 98e StVO mit den dort genannten technischen Einrichtungen automationsunterstützt ermittelten Geschwindigkeiten bestimmter Fahrzeuge und die dabei gewonnenen Daten können auch zur Feststellung einer Überschreitung einer gemäß § 98 ziffernmäßig festgesetzten Höchstgeschwindigkeit verarbeitet werden. Im Falle einer abschnittsbezogenen Geschwindigkeitsüberwachung gemäß § 98a StVO gilt die Messstrecke als Ort der Begehung der Übertretung. Wurden dabei auf der Messstrecke im Messzeitraum mehrere Geschwindigkeitsübertretungen begangen, so gelten diese als eine Übertretung. Erstreckt sich die Messstrecke auf den Sprengel mehrerer Behörden, so ist die Behörde zuständig, in deren Sprengel das Ende der Messstrecke fällt.“

20. Dem § 135 wird folgender Abs. 34 angefügt:

„(34) § 28b Abs. 5b, § 28d Abs. 5, § 34a Abs. 7, § 41a Abs. 2 bis 4, § 47 Abs. 1, 4, 4a und 4c, § 47a Abs. 1 und 4, § 57a Abs. 2b, § 57c Abs. 8 und 9, § 102 Abs. 11c, § 102b Abs. 4, § 103c Abs. 5, § 114a Abs. 2, § 114b Abs. 5 und § 134 Abs. 3b in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, treten mit 25. Mai 2018 in Kraft.“

Artikel 91

Änderung des Kraftfahrliniengesetzes

Das Bundesgesetz über die linienmäßige Beförderung von Personen mit Kraftfahrzeugen (Kraftfahrliniengesetz - KflG) BGBl. I Nr. 203/1999, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 79/2016, wird wie folgt geändert:

1. § 4a Abs. 4 lautet:

„(4) Die in Abs. 2 genannten Behörden können auf die jeweils in Betracht kommenden Daten zugreifen und diese verarbeiten. Das Verkehrsunternehmensregister hat eine vollständige Protokollierung aller Datenabfragen vorzunehmen, aus der erkennbar ist, welcher Person welche Daten aus dem Verkehrsunternehmensregister übermittelt wurden. Diese Protokolldaten sind zu speichern und drei Jahre nach der Entstehung dieser Daten zu löschen.“

2. Dem § 51 wird folgender Abs. 6 angefügt:

„(6) § 4a Abs. 4 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, tritt mit 25. Mai 2018 in Kraft.“

Artikel 92

Änderung des Postmarktgesetzes

Das Bundesgesetz über die Regulierung des Postmarktes (Postmarktgesetz-PMG), BGBl. I Nr. 123/2009, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 134/2015, wird wie folgt geändert:

1. § 47 Abs. 1 lautet:

„(1) Die Regulierungsbehörde hat ihr bekannt gewordene Betriebs- oder Geschäftsgeheimnisse zu wahren.“

2. § 62 Abs. 2 lautet:

„(2) Mit der Vollziehung des § 57 ist die Bundesministerin oder der Bundesminister für Verfassung, Reformen, Deregulierung und Justiz betraut.“

3. § 64 Abs. 7 erhält die Absatzbezeichnung „(4)“.

4. Dem § 64 wird folgender Abs. 5 angefügt:

„(5) § 47 Abs. 1, § 62 Abs. 2 sowie die Absatzbezeichnung „(4)“ des bisherigen § 64 Abs. 7 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, treten mit 25. Mai 2018 in Kraft.“

Artikel 93

Änderung des Schifffahrtsgesetzes

Das Bundesgesetz über die Binnenschiffahrt (Schifffahrtsgesetz - SchFG), BGBl. I Nr. 62/1997, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 61/2015, wird wie folgt geändert:

1. § 24 Abs. 17 lautet:

„(17) Die Daten gemäß Abs. 7 bis 16 sind den zuständigen Behörden anderer Staaten zur Verfügung zu stellen, sofern ein gegenseitiger Datenaustausch gesetzlich vereinbart wurde. Diese Daten dürfen anderen Behörden ausschließlich im Rahmen ihrer gesetzlichen Zuständigkeiten und privaten RIS-Benutzern ausschließlich mit Einwilligung der betroffenen Person zur Verfügung gestellt werden. Davon ausgenommen ist die Weitergabe von Informationen an Rettungskräfte zu Zwecken der Hilfeleistung.“

2. § 24 Abs. 19 lautet:

„(19) Jede Weitergabe von Daten gemäß Abs. 10 und 11, die über die Verwendung gemäß Abs. 7 bis 18 hinaus geht, ist nur mit Einwilligung der betroffenen Person gestattet.“

3. Dem § 149 wird folgender Abs. 13 angefügt:

„(13) § 24 Abs. 17 und 19 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, tritt mit 25. Mai 2018 in Kraft.“

Artikel 94

Änderung des Seeschifffahrtsgesetzes

Das Bundesgesetz über die Seeschifffahrt (Seeschifffahrtsgesetz - SeeSchFG), BGBl. Nr. 174/1981, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 180/2013, wird wie folgt geändert:

1. § 15 Abs. 6 lautet:

„(6) Die Bundesministerin bzw. der Bundesminister für Verkehr, Innovation und Technologie hat

  1. 1. das Verzeichnis der Prüfungsorganisationen gemäß Abs. 1 sowie
  2. 2. die gemäß Abs. 4 genehmigten Prüfungsordnungen der Prüfungsorganisationen gemäß Abs. 1

    im Internet auf der Webseite des Bundesministeriums für Verkehr, Innovation und Technologie zu veröffentlichen.“

2. § 15 Abs. 10 lautet:

„(10) Die Feststellung gemäß Abs. 1 ist mit Bescheid zu widerrufen, wenn eine der Voraussetzungen gemäß Abs. 2, die Erfüllung von mit der Feststellung verbundenen Pflichten gemäß Abs. 4, 5 und 7 nicht mehr gegeben ist oder die betreffende Prüfungsorganisation bzw. eines ihrer Organe in Ausübung dieser Funktion wettbewerbsrechtliche Vorschriften wiederholt verletzt hat.“

3. Dem § 59 wird folgender Abs. 7 angefügt:

„(7) § 15 Abs. 6 und 10 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, tritt mit 25. Mai 2018 in Kraft.“

Artikel 95

Änderung des Weltraumgesetzes

Das Bundesgesetz über die Genehmigung von Weltraumaktivitäten und die Einrichtung eines Weltraumregisters (Weltraumgesetz), BGBl. I Nr. 132/2011, wird wie folgt geändert:

1. § 13 Abs. 3 lautet:

„(3) Die Sicherheitsbehörden haben bei der Zuverlässigkeitsüberprüfung des Betreibers gemäß § 4 Abs. 1 Z 1 mitzuwirken. Soweit es sich beim Betreiber um eine juristische Person handelt, hat sich die Zuverlässigkeitsüberprüfung auf deren bevollmächtigte Vertreter zu beziehen. Im Rahmen der Überprüfung der Zuverlässigkeit sind die Sicherheitsbehörden ermächtigt, personenbezogene Daten, die sie bei der Vollziehung von Bundes- oder Landesgesetzen über die Person ermittelt haben, zu verarbeiten, und das Ergebnis der Überprüfung der Bundesministerin/dem Bundesminister für Verkehr, Innovation und Technologie zu übermitteln.“

2. Nach § 17 wird folgender § 18 angefügt:

„Inkrafttreten

§ 18. § 13 Abs. 3 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, tritt mit 25. Mai 2018 in Kraft.“

Artikel 96

Änderung des Patentgesetzes 1970

Das Patentgesetz 1970, BGBl. Nr. 259/1970, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 124/2017, wird wie folgt geändert:

1. Die Überschrift des § 81 lautet:

„Akteneinsicht und Datenschutz“

2. Dem § 81 wird folgender Abs. 8 angefügt:

„(8) Soweit personenbezogene Daten im Register oder in öffentlich zugänglichen elektronischen Informationsdiensten des Patentamts verarbeitet werden, bestehen nicht

  1. 1. das Recht auf Auskunft gemäß Art. 15 Abs. 1 lit. c der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1, in der Fassung der Berichtigung ABl. Nr. L 314 vom 22.11.2016 S. 72, (im Folgenden: DSGVO),
  2. 2. die Mitteilungspflicht gemäß Art. 19 zweiter Satz DSGVO sowie
  3. 3. das Recht auf Einschränkung der Verarbeitung gemäß Art. 18 und das Recht auf Widerspruch gemäß Art. 21 DSGVO, wobei die betroffenen Personen darüber in geeigneter Weise zu informieren sind.

    Das Recht auf Erhalt einer Kopie dieser Daten gemäß Art. 15 Abs. 3 DSGVO wird dadurch erfüllt, dass die betroffene Person Einsicht in das Patentregister oder in öffentlich zugängliche elektronische Informationsdienste des Patentamts nehmen kann.“

3. § 180b Abs. 3 wird folgender Abs. 4 angefügt:

„(4) Die Überschrift des § 81 und § 81 Abs. 8 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, treten mit 25. Mai 2018 in Kraft.“

Artikel 97

Änderung des Gebrauchsmustergesetzes

Das Gebrauchsmustergesetz, BGBl. Nr. 211/1994, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 124/2017, wird wie folgt geändert:

1. Die Überschrift des § 38 lautet:

„Akteneinsicht und Datenschutz“

2. Dem § 38 wird folgender Abs. 7 angefügt:

„(7) Soweit personenbezogene Daten im Gebrauchsmusterregister oder in öffentlich zugänglichen elektronischen Informationsdiensten des Patentamts verarbeitet werden, bestehen nicht

  1. 1. das Recht auf Auskunft gemäß Art. 15 Abs. 1 lit. c der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1, in der Fassung der Berichtigung ABl. Nr. L 314 vom 22.11.2016 S. 72, (im Folgenden: DSGVO),
  2. 2. die Mitteilungspflicht gemäß Art. 19 zweiter Satz DSGVO sowie
  3. 3. das Recht auf Einschränkung der Verarbeitung gemäß Art. 18 und das Recht auf Widerspruch gemäß Art. 21 DSGVO, wobei die betroffenen Personen darüber in geeigneter Weise zu informieren sind.

    Das Recht auf Erhalt einer Kopie dieser Daten gemäß Art. 15 Abs. 3 DSGVO wird dadurch erfüllt, dass die betroffene Person Einsicht in das Gebrauchsmusterregister oder in öffentlich zugängliche elektronische Informationsdienste des Patentamts nehmen kann.“

3. Dem § 53a wird folgender Abs. 8 angefügt:

„(8) Die Überschrift des § 38 und § 38 Abs. 7 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, treten mit 25. Mai 2018 in Kraft.“

Artikel 98

Änderung des Markenschutzgesetzes 1970

Das Markenschutzgesetz 1970, BGBl. Nr. 260/1970, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 124/2017, wird wie folgt geändert:

1. Dem § 50 wird folgender Abs. 6 angefügt:

„(6) Soweit personenbezogene Daten im Markenregister oder in öffentlich zugänglichen elektronischen Informationsdiensten des Patentamts verarbeitet werden, bestehen nicht

  1. 1. das Recht auf Auskunft gemäß Art. 15 Abs. 1 lit. c der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1, in der Fassung der Berichtigung ABl. Nr. L 314 vom 22.11.2016 S. 72, (im Folgenden: DSGVO),
  2. 2. die Mitteilungspflicht gemäß Art. 19 zweiter Satz DSGVO sowie
  3. 3. das Recht auf Einschränkung der Verarbeitung gemäß Art. 18 und das Recht auf Widerspruch gemäß Art. 21 DSGVO, wobei die betroffenen Personen darüber in geeigneter Weise zu informieren sind.

    Das Recht auf Erhalt einer Kopie dieser Daten gemäß Art. 15 Abs. 3 DSGVO wird dadurch erfüllt, dass die betroffene Person Einsicht in das Markenregister oder in öffentlich zugängliche elektronische Informationsdienste des Patentamts nehmen kann.“

2. § 68e lautet:

§ 68e. Wenn ein berechtigtes Interesse glaubhaft gemacht wird, so hat das Patentamt in Verfahren nach den §§ 68 bis 68c Akteneinsicht zu gewähren sowie die Anfertigung von Abschriften zu gestatten. § 50 Abs. 2 bis 6 ist sinngemäß anzuwenden.“

3. Dem § 81b wird folgender Abs. 7 angefügt:

„(7) § 50 Abs. 6 und § 68e in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, treten mit 25. Mai 2018 in Kraft.“

Artikel 99

Änderung des Halbleiterschutzgesetzes

Das Halbleiterschutzgesetz, BGBl. Nr. 372/1988, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 124/2017, wird wie folgt geändert:

1. Die Überschrift des § 18 lautet:

„Akteneinsicht und Datenschutz“

2. Dem § 18 wird folgender Abs. 4 angefügt:

„(4) Soweit personenbezogene Daten im Halbleiterschutzregister oder in öffentlich zugänglichen elektronischen Informationsdiensten des Patentamts verarbeitet werden, bestehen nicht

  1. 1. das Recht auf Auskunft gemäß Art. 15 Abs. 1 lit. c der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1, in der Fassung der Berichtigung ABl. L 314 vom 22.11.2016, S. 72, (im Folgenden: DSGVO),
  2. 2. die Mitteilungspflicht gemäß Art. 19 zweiter Satz DSGVO sowie
  3. 3. das Recht auf Einschränkung der Verarbeitung gemäß Art. 18 und das Recht auf Widerspruch gemäß Art. 21 DSGVO, wobei die betroffenen Personen darüber in geeigneter Weise zu informieren sind.

    Das Recht auf Erhalt einer Kopie dieser Daten gemäß Art. 15 Abs. 3 DSGVO wird dadurch erfüllt, dass die betroffene Person Einsicht in das Halbleiterschutzregister oder in öffentlich zugängliche elektronische Informationsdienste des Patentamts nehmen kann.“

3. Dem § 27 wird folgender Abs. 10 angefügt:

„(10) Die Überschrift des § 18 und § 18 Abs. 4 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, treten mit 25. Mai 2018 in Kraft.“

Artikel 100

Änderung des Musterschutzgesetzes 1990

Das Musterschutzgesetz 1990, BGBl. Nr. 497/1990, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 124/2017, wird wie folgt geändert:

1. Die Überschrift des § 31 lautet:

„Akteneinsicht und Datenschutz“

2. Dem § 31 wird folgender Abs. 7 angefügt:

„(7) Soweit personenbezogene Daten im Musterregister oder in öffentlich zugänglichen elektronischen Informationsdiensten des Patentamts verarbeitet werden, bestehen nicht

  1. 1. das Recht auf Auskunft gemäß Art. 15 Abs. 1 lit. c der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1, in der Fassung der Berichtigung ABl. Nr. L 314 vom 22.11.2016 S. 72, (im Folgenden: DSGVO),
  2. 2. die Mitteilungspflicht gemäß Art. 19 zweiter Satz DSGVO sowie
  3. 3. das Recht auf Einschränkung der Verarbeitung gemäß Art. 18 und das Recht auf Widerspruch gemäß Art. 21 DSGVO, wobei die betroffenen Personen darüber in geeigneter Weise zu informieren sind.

    Das Recht auf Erhalt einer Kopie dieser Daten gemäß Art. 15 Abs. 3 DSGVO wird dadurch erfüllt, dass die betroffene Person Einsicht in das Musterregister oder in öffentlich zugängliche elektronische Informationsdienste des Patentamts nehmen kann.“

3. Dem § 46 wird folgender Abs. 12 angefügt:

„(12) Die Überschrift des § 31 und § 31 Abs. 7 in der Fassung des 2. Materien-Datenschutz-Anpassungsgesetzes, BGBl. I Nr. 37/2018, treten mit 25. Mai 2018 in Kraft.“

Van der Bellen

Kurz

Lizenziert vom RIS (ris.bka.gv.at - CC BY 4.0 DEED)