Datum der Kundmachung

28.06.1989

Fundstelle

LGBl. Nr. 13/1989 7. Stück

Bundesland

Vorarlberg

Kurztitel

Landes-Datenschutzverordnung

Text

Verordnungder Landesregierung über den Datenschutz

im Bereich der Landesverwaltung (Landes-Datenschutzverordnung)

Auf Grund des § 9 Abs. 1 des Datenschutzgesetzes, BGBl. Nr. 565/1978, in der Fassung BGBl. Nr. 370/1986, wird verordnet:

§ 1

Geltungsbereich

Diese Verordnung gilt für alle Auftraggeber und Dienstleister im Wirkungsbereich der Behörden, Anstalten und sonstigen Dienststellen des Landes.

§ 2

Auftraggeber und Dienstleister

Auftraggeber und Dienstleister im Sinne des § 1 sind, soweit sie Aufgaben ihres sachlichen und örtlichen Wirkungsbereiches wahrnehmen:

§ 3

Grundsätze für die Ermittlung

(1) Eine ausdrückliche gesetzliche Ermächtigung für eine Ermittlung und Verarbeitung im Sinne des § 6 des Datenschutzgesetzes liegt nur dann vor, wenn in dieser die zu ermittelnden und verarbeitenden Datenarten, die Kreise der Betroffenen und die Empfänger der Daten enthalten sind.

(2) Die Ermittlung und Verarbeitung von Daten ist dann als wesentliche Voraussetzung für die Wahrnehmung der gesetzlich übertragenen Aufgaben zu erachten, wenn andere Möglichkeiten, die gesetzlich übertragenen Aufgaben wahrzunehmen, nicht vorliegen oder sie auf Grund des zu erwartenden Aufwandes dem Auftraggeber nicht zuzumuten sind.

(3) Werden Daten eines Betroffenen ermittelt, so ist dieser vor der Ermittlung darüber zu informieren, ob eine gesetzliche Verpflichtung zur Offenlegung seiner personenbezogenen Daten besteht oder ob die Ermittlung mit seiner freiwilligen Mitwirkung erfolgt.

(4) Wird zur Ermittlung von Daten Amtshilfe in Anspruch genommen, so ist das Amtshilfeersuchen so zu begründen, daß die ersuchte Stelle die Zulässigkeit der Übermittlung gemäß § 7 des Datenschutzgesetzes beurteilen kann.

§ 4

Grundsätze für die Verarbeitung und Benützung

(1) Jedes Programm ist vor seinem Einsatz in der Verarbeitung personenbezogener Daten vom Landesamtsdirektor oder der von ihm zu bestimmenden Organisationseinheit freizugeben.

(2) Die Daten und Programme sind vor Entstellung, Zerstörung und Verlust sowie gegen unbefugte Verwendung und Weitergabe zu schützen.

(3) Daten dürfen nur auf Grund von schriftlichen Aufträgen verarbeitet werden.

(4) Der Auftraggeber hat, soweit ihm dies mit vertretbarem Arbeitsaufwand möglich ist, die Richtigkeit der Verarbeitungsergebnisse durch Stichproben oder sonstige geeignete Methoden zu überprüfen.

(5) Wird ein Fehler festgestellt, so hat der Auftraggeber die Fehlerbehebung umgehend einzuleiten und die Fehlerursache zu beheben. Der Dienstleister ist unverzüglich zu verständigen, wenn zu vermuten ist, daß die Fehlerursache in seinem Tätigkeitsbereich liegt.

(6) Die Benützung der Daten darf nur in der Art und in dem Umfang erfolgen, als dies für den Auftraggeber zur Wahrnehmung der ihm gesetzlich übertragenen Aufgaben eine wesentliche Voraussetzung bildet.

(7) Die Bediensteten des Auftraggebers dürfen nur jene Daten benützen, die zur Erfüllung der ihnen übertragenen Aufgaben erforderlich sind.

§ 5

Grundsätze für die Übermittlung

(1) Eine ausdrückliche gesetzliche Ermächtigung für die Übermittlung von Daten liegt dann vor, wenn die zu übermittelnden Datenarten und der Zweck der Übermittlung ausdrücklich genannt, die Kreise der Betroffenen umschrieben und die Empfänger der Daten festgelegt sind.

(2) Übermittlungen von Daten durch den Auftraggeber bedürfen, sofern sie sich nicht auf eine ausdrückliche gesetzliche Ermächtigung stützen, eines schriftlichen Auftrages des zuständigen Organs. Der Auftrag kann als Einzel- oder Dauerauftrag erteilt werden. Im Auftrag ist anzugeben, auf Grund welcher Bestimmung des § 7 des Datenschutzgesetzes die Übermittlung zulässig ist.

(3) Die Zustimmung des Betroffenen zur Datenübermittlung gemäß § 7 Abs. 1 Z. 2 des Datenschutzgesetzes gilt dann als erteilt, wenn der Betroffene sein Einverständnis zur Datenübermittlung ausdrücklich mit seiner Unterschrift getrennt von etwaigen sonstigen Vereinbarungen gegeben hat. Eine Zustimmungserklärung liegt nur dann vor, wenn die zu übermittelnden Datenarten und die Übermittlungsempfänger ausdrücklich genannt sind und der Betroffene in allgemein verständlicher Form über den Übermittlungszweck informiert wird. Der Betroffene ist nachweislich über die Möglichkeit des schriftlichen Widerrufes seiner Zustimmung in Kenntnis zu setzen.

(4) Einem Ersuchen um Übermittlung von Daten gemäß § 7 Abs. 2 des Datenschutzgesetzes ist nur zu entsprechen, wenn es auf einen Einzelfall gerichtet ist. Hiebei ist festzustellen, durch welche gesetzlichen Bestimmungen dem Empfänger jene Aufgaben übertragen sind, zu deren Wahrnehmung die zu übermittelnden Daten eine wesentliche Voraussetzung bilden.

(5) Eine Übermittlung in den Fällen des § 7 Abs. 3 des Datenschutzgesetzes ist zulässig, wenn andere Möglichkeiten, das berechtigte Interesse des Dritten zu wahren, nicht vorliegen oder nicht zumutbar sind.

(6) Daten gelten dann als veröffentlicht, wenn sie einem generell bestimmten Personenkreis zugänglich gemacht wurden.

§ 6

Grundsätze für die Überlassung

(1) Die im § 2 genannten Auftraggeber dürfen unter den im § 13 des Datenschutzgesetzes genannten Voraussetzungen Dienstleister in Anspruch nehmen.

(2) Der Auftraggeber hat dem Dienstleister die beabsichtigte Heranziehung eines weiteren Dienstleisters zu untersagen, wenn dies öffentliche Interessen verlangen oder zu befürchten ist, daß schutzwürdige Interessen des Betroffenen verletzt werden.

(3) Wurde dem Auftraggeber von der Datenschutzkommission die Auffassung mitgeteilt, daß der Inanspruchnahme eines Dienstleisters schutzwürdige Interessen Betroffener oder öffentliche Interessen entgegenstehen, so hat der Auftraggeber entweder der Rechtsanschauung der Datenschutzkommission zu entsprechen oder die begründete Entscheidung über die abweichende Vorgangsweise zu dokumentieren.

§ 7

Auskunftsrecht

(1) Eine Auskunft gemäß § 11 des Datenschutzgesetzes darf nur auf Grund eines unbedenklichen Identitätsnachweises und gegen Empfangsbestätigung ausgefolgt oder zu eigenen Handen zugestellt werden.

(2) Die Mitwirkung eines Betroffenen am Auskunftsverfahren liegt vor, wenn er

(3) Wirkt der Betroffene am Auskunftsverfahren im Sinne des § 11 Abs. 2 des Datenschutzgesetzes nicht oder nicht ausreichend mit, so ist er vom Auftraggeber unverzüglich aufzufordern, dieser Verpflichtung nachzukommen.

(4) Von der Bearbeitung eines Auskunftsantrages ist abzusehen, wenn der Betroffene trotz Aufforderung nicht ausreichend mitgewirkt oder den gemäß § 8 Abs. 4 mitgeteilten Kostenersatz nicht entrichtet hat.

§ 8

Kostenersätze

(1) Der aktuelle Datenbestand im Sinne des § 11 Abs. 4 des Datenschutzgesetzes umfaßt jene Daten, die in der betreffenden Datenverarbeitung dem Direktzugriff unterliegen, oder - mangels eines solchen - den letztgültigen Daten bestand.

(2) Für die Erteilung einer entgeltlichen Auskunft im Sinne des§

II Abs. 4 des Datenschutzgesetzes werden folgende pauschalierte Kostenersätze festgelegt:

(3) Die im Abs. 2 angeführten Kostenersätze sind nicht zu entrichten, wenn der Aufwand für die Auskunftserteilung gering ist.

(4) Dem Antragsteller ist der zu entrichtende Kostenersatz unverzüglich mitzuteilen.

(5) Die im § 11 Abs. 1 des Datenschutzgesetzes enthaltene Frist beginnt für die Erteilung von entgeltlichen Auskünften mit dem Einlangen des Kostenersatzes zu laufen.

§ 9

Datensicherheitsmaßnahmen

(1) Die im § 2 genannten Auftraggeber oder Dienstleister haben für die Organisationseinheiten ihres örtlichen und sachlichen Wirkungsbereiches, die Daten verwenden, Datensicherheitsmaßnahmen schriftlich anzuordnen, den technischen und organisatorischen Änderungen umgehend anzupassen und zu dokumentieren.

(2) Der Auftraggeber oder Dienstleister hat für die zu verwendenden Datenarten dem Grad der Schutzwürdigkeit entsprechende Sicherheitsmaßnahmen zu bestimmen.

(3) Der Auftraggeber oder Dienstleister hat jene Organisationseinheit zu bestimmen, die Zugriffsberechtigungen vergibt, ändert, kontrolliert und entzieht. Hiebei ist eine Identifikation jedes Zugriffsberechtigten vorzusehen. Der Zugriff auf das Betriebssystem einschließlich System- und Netzwerksoftware ist darüber hinaus durch geeignete Maßnahmen zu sichern.

(4) Die Vernichtung unbrauchbarer oder nicht mehr benötigter Ausdrucke und sonstiger Datenträger ist vom Auftraggeber oder Dienstleister durch entsprechende personelle oder vertragliche Maßnahmen sicherzustellen.

(5) Jeder Bedienstete, dem in Ausübung seines Dienstes Daten anvertraut oder zugänglich sind, ist über seine Pflichten nach dem Datenschutzgesetz und den innerorganisatorischen Datenschutzvorschriften, insbesondere über die von ihm einzuhaltenden Datensicherheitsvorschriften, schriftlich zu belehren und von Änderungen umgehend in Kenntnis zu setzen.

§ 10

Richtigstellung und Löschung

(1) Eine Richtigstellung oder Löschung von Daten hat durch solche Maßnahmen zu erfolgen, die bei einer Abfrage die Unrichtigkeit der verarbeitenden Daten angeben und auf die richtigen Daten verweisen oder den Umstand der Löschung anzeigen.

(2) Die für Zwecke der Dokumentation oder der internen Kontrolle aufzubewahrenden Daten dürfen nur durch einen entsprechenden Vermerk richtiggestellt und vor Ablauf der Aufbewahrungsfrist nur mit einem Löschungsvermerk versehen werden.

(3) Durch geeignete organisatorische Maßnahmen ist sicherzustellen, daß im Falle eines Rückgriffes auf die zu Sicherungszwecken aufbewahrten Datenbestände allfällige Richtigstellungen und Löschungen wirksam bleiben.

(4) Rechtsverbindlich festgestellte Daten dürfen nur auf Grund einer Entscheidung des für die Feststellung zuständigen Organs richtiggestellt oder gelöscht werden.

§ 11

Angabe der Registernummer

(1) Der Auftraggeber hat die ihm zugeteilte Registernummer bei Übermittlungen von Daten und Mitteilungen an den Betroffenen auf jedem Schriftstück, das automationsunterstützt verarbeitete Daten enthält, anzuführen.

(2) Bei Übermittlungen und Mitteilungen an den Betroffenen mittels maschinell lesbarer Datenträger ist die Registernummer auf den Begleitpapieren oder auf den Datenträgern anzugeben.

§ 12

Außerkrafttreten

Mit dem Inkrafttreten dieser Verordnung tritt die Verordnung über die Festsetzung eines Kostenersatzes für die Erteilung von Auskünften nach dem Datenschutzgesetz, LGBl. Nr. 11/1980, außer Kraft.