174. Verordnung des Bundesministers für Finanzen über den Zeitpunkt der Aufnahme der Sozialbetrugsdatenbank sowie die nähere Vorgangsweise bei der Verarbeitung von Daten (SBBDB-VO)
Auf Grund des § 5 Abs. 4 Sozialbetrugsbekämpfungsgesetz (SBBG), BGBl. I 113/2015, zuletzt geändert durch das Bundesgesetzblatt BGBl. I Nr. 100/2018, wird verordnet:
Datenverarbeitung
§ 1. Daten gemäß § 5 Abs. 1 und 2 SBBG sind in der beim Bundesministerium für Finanzen geführten Sozialbetrugsdatenbank elektronisch zu erfassen.
§ 2. (1) Die in § 5 Abs. 2 SBBG genannten Datenarten sind wie folgt zu erfassen:
- 1. Sonstige Geschäftszahl: Anzuführen sind die Geschäftszahlen der einzelnen Kooperations- und Informationsstellen gemäß § 3 SBBG sowie der Staatsanwaltschaften, einschließlich der Vor- und Nachzahlen.
- 2. Betriebssitz: Dieser umfasst neben der Anschrift auch alle verfügbaren Kontaktdaten (wie Telefonnummern, E-Mail, Homepage) des Unternehmers.
- 3. Firmenbuchnummer: Diese umfasst auch die Firmenbuchnummern, die von ausländischen Registern geführt werden. Dabei ist, soweit bekannt, das jeweilige Land, allenfalls auch das Bundesland zu vermerken.
- 4. Betriebsgegenstand: Es ist anzuführen, ob der Betriebsgegenstand eine Bautätigkeit umfasst.
- 5. Personaldaten gemäß Z 1 der das Unternehmen vertretenden Personen, bei welchen Anhaltspunkte für das Vorliegen von Sozialbetrug bestehen: Neben den gesellschaftsrechtlichen Vertretern ist auch der berufsmäßige steuerliche Vertreter zu erfassen.
- 6. Darlegung der Anhaltspunkte für das Vorliegen von Sozialbetrug: Die Erfassung erfolgt mittels Angabe des (potentiellen) strafrechtlichen Tatbestandes sowie durch kurze Beschreibung des Verdachtes im Anmerkungsfeld.
- 7. Daten zu den einschlägigen Straftatbeständen sowie Höhe der nicht entrichteten Lohn- und Sozialabgaben: Als Basisdaten der Beschäftigungsverhältnisse ist die Anzahl der zum Zeitpunkt der Datenerfassung beschäftigten Dienstnehmer anzugeben.
(2) Zur Datenverarbeitung befugt sind nur die von den Kooperationsstellen sowie von den Staatsanwaltschaften namhaft gemachten Personen.
(3) Die von den Informationsstellen übermittelten Daten werden von jener Kooperationsstelle oder Staatsanwaltschaft erfasst, die diese erhalten hat.
(4) Die Datenbank ist so ausgestaltet, dass eine Weitergabe von Daten und die Einsicht auf diese Daten auf konkrete Kooperationsstellen und Staatsanwaltschaften im Sinne deren örtlichen Zuständigkeit beschränkt werden kann.
Datensicherheit
§ 3. (1) Das Bundesministerium für Finanzen hat den Kooperationsstellen und den Staatsanwaltschaften die Nutzung der Sozialbetrugsdatenbank einzuräumen.
(2) Die Kooperationsstellen und Staatsanwaltschaften legen nutzungs- und zugriffsberechtigte Personen eigenverantwortlich fest und belehren diese über ihre Pflichten hinsichtlich bestehender Datenschutzvorschriften. Der Berechtigungsstatus ist laufend zu überwachen.
(3) Die Kooperationsstellen und die Staatsanwaltschaften statten die nutzungs- und zugriffsberechtigten Personen mit Geräten aus, die vor einer Inbetriebnahme durch Unbefugte gesichert sind. Räumlichkeiten, in welchen Daten und Geräte verwahrt werden, sind entsprechend zu sichern.
(4) Jeder Verarbeitungsvorgang ist automationsunterstützt zu protokollieren. Die Protokolldaten umfassen auch Datum und Uhrzeit des Zugriffs sowie Daten zur Identifizierung der zugriffsberechtigten Person.
(5) Die für die Kooperationsstellen und die Staatsanwaltschaften maßgeblichen Datensicherheitsrichtlinien gelten auch bei der Nutzung der Sozialbetrugsdatenbank.
Datenlöschung
§ 4. (1) Nach Ablauf von fünf Jahren nach der ersten Datenerfassung werden personenbezogene Daten automationsunterstützt gelöscht, sofern nicht Abs. 2 anzuwenden ist.
(2) Bei Verurteilungen nach den §§ 153c bis 153e StGB sind personenbezogene Daten nach Ablauf von zehn Jahren ab Eintritt der Rechtskraft zu löschen.
(3) Erfasste Datenarten sind von den aktenführenden Kooperationsstellen unverzüglich zu löschen, sofern sich der Sozialbetrugsverdacht nicht bestätigt.
(4) Die Absätze 1 bis 3 gelten sinngemäß für erfasste Datenarten, die von den Kooperationsstellen und Staatsanwaltschaften eigenständig verarbeitet werden, sofern nicht andere von den Kooperationsstellen und Staatsanwaltschaften anzuwendende datenschutzrechtliche Bestimmungen dem entgegenstehen.
(5) Die Protokolldaten (§ 3 Abs. 4) sind jedenfalls nach Löschung der verarbeiteten Daten zu löschen.
Personenbezogene Daten - Betroffenenrechte
§ 5. (1) Die Pflichten zur Wahrung der Betroffenenrechte treffen jene Kooperationsstelle oder Staatsanwaltschaft, die die Ermittlungen führt. Anträge von betroffenen Personen, die beim Bundesministerium für Finanzen oder einem unzuständigen Verantwortlichen einlangen, sind zuständigkeitshalber weiterzuleiten.
(2) Die Erfüllung von Informations-, Auskunfts-, Berichtigungs-, Löschungs- und sonstigen Pflichten nach den Bestimmungen der DSGVO bzw. des DSG gegenüber der betroffenen Person obliegt jedem Verantwortlichen nur hinsichtlich jener Daten, die im Zusammenhang mit den von ihm geführten Verfahren oder den von ihm gesetzten Maßnahmen verarbeitet werden Auskunfts-, Berichtigungs-, Löschungs- und sonstigen Anträge einer betroffenen Person sind durch den jeweils zuständigen Verantwortlichen unmittelbar an die gemäß § 5 Abs. 3 SBBG mit dem Betrieb betraute Bundesrechenzentrum GmbH weiterzuleiten. Die Bundesrechenzentrum GmbH hat der Anforderung des Verantwortlichen unverzüglich zu entsprechen und die Daten dem Verantwortlichen zu übermitteln.
(3) Zur Feststellung des Umfangs der bestehenden Betroffenenrechte ist jene Rechtsmaterie heranzuziehen, nach der die Ermittlungen geführt werden. Ab Anhängigkeit des Strafverfahrens gemäß §§ 153c bis 153e StGB ist datenschutzrechtlich jedenfalls nach den Bestimmungen der StPO vorzugehen.
(4) Ist nicht zweifelsfrei feststellbar, welche Kooperationsstelle oder Staatsanwaltschaft die Ermittlungen führt, so treffen die Pflichten zur Wahrung der Betroffenenrechte jenen Verantwortlichen, der den Fall in der Datenbank angelegt hat.
(5) Das Bundesministerium für Finanzen führt ein Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DSGVO bzw. § 49 Abs. 1 und 2 DSG und stellt den Verantwortlichen auf Anfrage eine Abschrift zur Verfügung.
(6) Den Verpflichtungen zur Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde sowie zur Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person ist zu entsprechen. Die Kooperationsstellen und Staatsanwaltschaften sind verpflichtet, dem Bundesministerium für Finanzen sämtliche Datenschutzverletzungen in Zusammenhang mit der Sozialbetrugsdatenbank samt genauer Dokumentation der Art und des Umfangs der Datenschutzverletzung sowie allfälliger bereits getroffener Abhilfemaßnahmen unverzüglich, möglichst binnen 72 Stunden, bekannt zu geben.
(7) Die Kooperationsstellen und Staatsanwaltschaften wirken an der Umsetzung der an das Bundesministerium für Finanzen ergehenden Anordnungen der Aufsichtsbehörde nach Art. 58 DSGVO sowie §§ 22 und 33 DSG im Rahmen ihres jeweiligen Zuständigkeitsbereiches mit, um eine zeitnahe Abwicklung der erforderlichen Maßnahmen sicher zu stellen.
Inbetriebnahme
§ 6. Die Inbetriebnahme der Sozialbetrugsdatenbank erfolgt mit 1. Jänner 2019.
Müller
Lizenziert vom RIS (ris.bka.gv.at - CC BY 4.0 DEED)