Datencockpit - Benutzerbeiträge [de-formal]

Links

2018-10-02T12:29:12Z

Melnicki: typo

; DSGVO
: [http://eur-lex.europa.eu/legal-content/DE/ALL/?uri=CELEX:32016R0679 Gesetzestext DSGVO]
: [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001597&FassungVom=2018-05-25 Gesetzestext DSG]
:: [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001597 Datenschutzgesetz 2000]
:: [https://www.ris.bka.gv.at/Dokumente/BgblAuth/BGBLA_2017_I_120/BGBLA_2017_I_120.pdf Gesetzestext Datenschutz-Anpassungsgesetz 2018 (BGBl. I Nr. 120/2017)]
:: [https://www.parlament.gv.at/PAKT/VHG/XXV/I/I_01664/fname_640101.pdf Erläuterungen zum Datenschutz-Anpassungsgesetz 2018]
:: [https://www.parlament.gv.at/PAKT/VHG/XXV/ME/ME_00322/index.shtml#tab-Uebersicht Übersicht Datenschutz-Anpassungsgesetz 2018]
: [https://www.cnil.fr/en/open-source-pia-software-helps-carry-out-data-protection-impact-assesment Privacy Impact Assessment Tool] (Open Source)
;Datenschutzbehörde
:Website: https://www.dsb.gv.at
: [https://www.dsb.gv.at/datenschutz-grundverordnung Datenschutz-Grundverordnung]
: [https://www.dsb.gv.at/gesetze-in-osterreich Gesetze in Österreich]
: [https://www.dsb.gv.at/artikel-29-gruppe Artikel-29-Gruppe]
: [https://www.dsb.gv.at/documents/22758/116802/DSGVO-Leitfaden-2018.pdf Leitfaden zur DSGVO] (PDF, Stand Jänner 2018), Quelle: [https://www.dsb.gv.at/datenschutz-grundverordnung dsb.gv.at]
{{#set:Title Icon=Links.png}}
; Wirtschaftskammer Österreich
: [https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung.html Informationen der WKO]
: [https://www.wko.at/branchen/information-consulting/unternehmensberatung-buchhaltung-informationstechnologie/it-dienstleistung/dsgvo-fuer-it-dienstleister.html DSGVO für IT-Dienstleister]
; Telekommunikationsgesetz
: [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20002849 Telekommunikationsgesetz 2003]
; Städte- und Gemeindebund
: DSGVO Umsetzungsleitfaden der FH OÖ in Kooperation mit Österreichischem Bundeskanzleramt, Österreichischem Städtebund und Österreichischem Gemeindebund [https://www.staedtebund.gv.at/services/tools/ Login-Bereich des Städtebundes]
; Europäische Kommission
: [http://europa.eu/rapid/press-release_IP-18-386_de.htm Leitfaden zu den neuen Datenschutzbestimmungen (Presseaussendung 24.1.2018)]

Verletzung:Notebook am Flughafen gestohlen

2018-05-15T16:52:26Z

Melnicki:

{{Verletzung
|Datum=2018/01/25
|Personenkreise=SeminarteilnehmerInnen
|Anzahl Betroffene=20
|Datenkategorien=E-Mail-Adresse, Name, Funktionsbezeichnung
|Sensible Daten=Nein
|Strafrechtlich relevante Daten=Nein
|Anwendung=Excel
|Abteilung=Weiterbildung
|Meldung von=Admin
|Meldepflichtig=Nein
|Meldung erfolgt=Ja
|Vorfall=Am Flughafen wurde der Laptop PC64 von einer unbekannten Person gestohlen.
|Folgen=Das Betriebssystem Windows 10 ist mit Passwort geschützt. Ein IT-Kundiger könnte allerdings die Festplatte ausbauen und ev. das Excel-Dokument finden.
|Maßnahmen=Keine erforderlich. Es handelt sich nur um eine Ergebnisliste der Seminaranmeldungen aus der Seminar-Datenbank, die der Trainer beim Workshop mit hatte. Die Daten enthielten nur unkritische Daten über die TeilnehmerInnen.
}}

Glossar:Auftragsverarbeiter

2018-05-07T12:16:50Z

Melnicki: Änderung 3242 von Melnicki (Diskussion) rückgängig gemacht.

{{Glossar
|Glossary-Definition=eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (siehe Art. 4 DSGVO)
}}

Glossar:Auftragsverarbeiter

2018-05-07T12:16:33Z

Melnicki:

Formular:Verfahren

2018-05-07T11:36:52Z

Melnicki: Dropdown gibt keine Vorschläge, wieder Tokens

<noinclude>
{{#forminput:form=Verfahren|autocomplete on category=Verfahren|namespace=Verfahren|placeholder=Verfahren...}}
[[Kategorie:Formulare]]
</noinclude><includeonly>__NOGLOSSARY__
{{{for template|Verfahren|label=}}}
= Verfahren {{PAGENAME}}=
{| class="table-hover table-responsive table-condensed"
|-
| Zwecke und Beschreibung:
|{{#info:Zwecke und kurze Beschreibung der Datenverarbeitung}}
|{{{field|Zwecke|input type=textarea|editor=wikieditor|class=form-control}}}
|-
| Folgenabschätzung durchgeführt:
|{{#info:Wurde eine Folgenabschätzung durchgeführt?}}
|{{{field|Folgenabschätzung durchgeführt|input type=dropdown|show on select=Ja=>FolgenJa;Nein=>FolgenNein|class=form-control}}}
<div id="FolgenJa">Bezeichnung: {{#info:Bezeichnung der Folgenabschätzung.}} {{{field|Folgenabschätzung|input type=tokens|values from namespace=Folgen|class=form-control}}}</div>
<div id="FolgenNein">Begründung: {{#info:Begründung, warum keine Folgenabschätzung durchgeführt wurde.}} {{{field|Begründung|input type=text|class=form-control}}}</div>
|-
| Betroffene Personenkreise:
|{{#info:Beschreibung der Kategorien betroffener Personen, z. B. Kunden, Mitarbeiter, Lieferanten usw.}}
|{{{field|Personenkreise|input type=tokens|delimiter=;|placeholder=auswählen bzw. eingeben...|class=form-control}}}
|-
| Rechtsgrundlagen:
|{{#info:Die Rechtsgrundlagen (zB rechtliche Verpflichtung, Einwilligung, Vertragserfüllung, lebenswichtige Interessen des Betroffenen, kein überwiegendes berechtigtes Interesse des Betroffenen) sind nach der DSGVO zwar nicht verpflichtend ins Verarbeitungsverzeichnis aufzunehmen. Allerdings unterliegt der verantwortliche Verarbeiter einer sogenannten Rechenschaftspflicht. Diese besagt eine Nachweispflicht bzgl. der Einhaltung der Pflichten nach der DSGVO. Dazu gehört unter anderem auch der Nachweis, dass die Datenverarbeitung nach den in der DSGVO normierten Rechtmäßigkeitsgrundlagen erfolgt.}}
|{{{field|Rechtsgrundlagen|input type=textarea|editor=wikieditor|class=form-control}}}
|-
| Unterlagen:
|{{#info:Die Angabe, wo Verträge, Zustimmungserklärungen oder sonstige Unterlagen innerhalb der Organisation abgelegt wurden, ist nicht verpflichtend im Verarbeitungsverzeichnis zu dokumentieren, erleichtert aber vor allem in größeren, arbeitsteilig organisierten Organisationen das Auffinden der entscheidenden Unterlagen (dient also lediglich der innerbetrieblichen Arbeitserleichterung).}}
|{{{field|Unterlagen|input type=textarea|editor=wikieditor|class=form-control}}}
|-
|Dokumente (upload):
|{{#info:Unterlagen oder andere begleitende Dokumente können hier ins Datencockpit hochgeladen werden.}}
|{{{field|Dokument|input type=text|uploadable|values from namespace=Datei|class=form-control}}}
|-
| Interne Kennung:
|{{#info:Interne Kennung, Bezeichnung, Numerierung zur weiteren Kennzeichnung des Eintrags.}}
|{{{field|Interne Kennung|input type=tokens|placeholder=auswählen bzw. eingeben...|class=form-control}}}
|-
| Anwendung(en):
|{{#info:IT-Anwendungen, die im Zuge des Verfahrens verwendet werden.}}
|{{{field|Anwendung|input type=tokens|placeholder=auswählen bzw. eingeben...|class=form-control}}}
|-
| Abteilung(en):
|{{#info:Für das Verfahren verantwortliche bzw. am Verfahren beteiligte Abteilungen}}
|{{{field|Abteilung|input type=tokens|placeholder=auswählen bzw. eingeben...|class=form-control}}}
|-
| Kontaktperson:
|{{#info:Benutzer/in, der/die die eine Kontaktperson für die Folgenabschätzung ist.}}
|{{{field|Kontaktperson|input type=tokens|default=current user|values from namespace=Benutzer|placeholder=auswählen bzw. eingeben...|class=form-control}}}
|-
|Aufgabe für:
|{{#info:BenutzerInnen können Aufgaben zugewiesen werden, die in der Liste auf ihrer Benutzerseite angezeigt werden.}}
| {{{field|Aufgabe für|values from namespace=Benutzer|placeholder=auswählen bzw. eingeben...|class=form-control}}}
|}

= technisch-organisatorischen Maßnahmen =
<div class="form-group">Maßnahmen: {{#info:Allgemeine Beschreibung der technisch-organisatorischen Maßnahmen}} {{{field|Maßnahmen|input type=textarea|autogrow|editor=wikieditor|class=form-control}}}</div>

{{{end template}}}

= Datenkategorien =
{{{for template|Datenkategorie|multiple|add button text=Datenkategorie hinzufügen}}}
{| class="table table-hover table-responsive table-condensed"
|-
| Datenkategorie:
|{{#info:Kategorie der verarbeiteten personenbezogenen Daten}}
|{{{field|Datenkategorien|input type=tokens|delimiter=;|placeholder=auswählen bzw. eingeben...|class=form-control}}}
|-
| Betroffene Personenkreise:
|{{#info:Beschreibung der Kategorien betroffener Personen, z. B. Kunden, Mitarbeiter, Lieferanten usw.}}
|{{{field|Personenkreise|input type=tokens|delimiter=;|placeholder=auswählen bzw. eingeben...|class=form-control}}}
|-
|Sensible Daten:
|{{#info:Daten nach Art. 9 DSGVO sind besondere Datenkategorien („sensible Daten): rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische und biometrische Daten zur Identifizierung einer natürlichen Person, Gesundheitsdaten, Daten zum Sexualleben oder der sexuellen Orientierung.}}
||{{{field|Sensible Daten|input type=dropdown|default=Nein|class=form-control}}}
|-
|Strafrechtlich relevante Daten:
|{{#info:Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln unter behördlicher Aufsicht.}}
||{{{field|Strafrechtlich relevante Daten|input type=dropdown|default=Nein|class=form-control}}}
|-
| Löschungs- und Aufbewahrungsfristen:
|{{#info:Angabe bzw. Beschreibung der Löschungs- bzw. Aufbewahrungsfristen}}
|{{{field|Aufbewahrungsfristen|input type=textarea|editor=wikieditor|class=form-control}}}
|-
| Empfängerkreise:
|{{#info:Namen der Gesellschaften außerhalb der eigenen Gesellschaft, aber innerhalbdes Konzerns oder fremde Dritte}}
|{{{field|Empfängerkreise|input type=tokens|delimiter=;|placeholder=auswählen bzw. eingeben...|class=form-control}}}
|}
{{{end template}}}
{{{for template|VerfahrenEnde|label=}}}
{{{end template}}}

=Weitere Informationen:=
{{{standard input|free text|editor=wikieditor|rows=25}}}
<headertabs />
{{{standard input|watch}}}
{{{standard input|save}}} {{{standard input|preview}}} {{{standard input|changes}}} {{{standard input|cancel}}}
<nowiki/>
</includeonly>

Formular:Verfahren

2018-05-07T11:35:52Z

Melnicki: pro Feld soll nur 1 Datenkategorie beschrieben werden

<noinclude>
{{#forminput:form=Verfahren|autocomplete on category=Verfahren|namespace=Verfahren|placeholder=Verfahren...}}
[[Kategorie:Formulare]]
</noinclude><includeonly>__NOGLOSSARY__
{{{for template|Verfahren|label=}}}
= Verfahren {{PAGENAME}}=
{| class="table-hover table-responsive table-condensed"
|-
| Zwecke und Beschreibung:
|{{#info:Zwecke und kurze Beschreibung der Datenverarbeitung}}
|{{{field|Zwecke|input type=textarea|editor=wikieditor|class=form-control}}}
|-
| Folgenabschätzung durchgeführt:
|{{#info:Wurde eine Folgenabschätzung durchgeführt?}}
|{{{field|Folgenabschätzung durchgeführt|input type=dropdown|show on select=Ja=>FolgenJa;Nein=>FolgenNein|class=form-control}}}
<div id="FolgenJa">Bezeichnung: {{#info:Bezeichnung der Folgenabschätzung.}} {{{field|Folgenabschätzung|input type=tokens|values from namespace=Folgen|class=form-control}}}</div>
<div id="FolgenNein">Begründung: {{#info:Begründung, warum keine Folgenabschätzung durchgeführt wurde.}} {{{field|Begründung|input type=text|class=form-control}}}</div>
|-
| Betroffene Personenkreise:
|{{#info:Beschreibung der Kategorien betroffener Personen, z. B. Kunden, Mitarbeiter, Lieferanten usw.}}
|{{{field|Personenkreise|input type=tokens|delimiter=;|placeholder=auswählen bzw. eingeben...|class=form-control}}}
|-
| Rechtsgrundlagen:
|{{#info:Die Rechtsgrundlagen (zB rechtliche Verpflichtung, Einwilligung, Vertragserfüllung, lebenswichtige Interessen des Betroffenen, kein überwiegendes berechtigtes Interesse des Betroffenen) sind nach der DSGVO zwar nicht verpflichtend ins Verarbeitungsverzeichnis aufzunehmen. Allerdings unterliegt der verantwortliche Verarbeiter einer sogenannten Rechenschaftspflicht. Diese besagt eine Nachweispflicht bzgl. der Einhaltung der Pflichten nach der DSGVO. Dazu gehört unter anderem auch der Nachweis, dass die Datenverarbeitung nach den in der DSGVO normierten Rechtmäßigkeitsgrundlagen erfolgt.}}
|{{{field|Rechtsgrundlagen|input type=textarea|editor=wikieditor|class=form-control}}}
|-
| Unterlagen:
|{{#info:Die Angabe, wo Verträge, Zustimmungserklärungen oder sonstige Unterlagen innerhalb der Organisation abgelegt wurden, ist nicht verpflichtend im Verarbeitungsverzeichnis zu dokumentieren, erleichtert aber vor allem in größeren, arbeitsteilig organisierten Organisationen das Auffinden der entscheidenden Unterlagen (dient also lediglich der innerbetrieblichen Arbeitserleichterung).}}
|{{{field|Unterlagen|input type=textarea|editor=wikieditor|class=form-control}}}
|-
|Dokumente (upload):
|{{#info:Unterlagen oder andere begleitende Dokumente können hier ins Datencockpit hochgeladen werden.}}
|{{{field|Dokument|input type=text|uploadable|values from namespace=Datei|class=form-control}}}
|-
| Interne Kennung:
|{{#info:Interne Kennung, Bezeichnung, Numerierung zur weiteren Kennzeichnung des Eintrags.}}
|{{{field|Interne Kennung|input type=tokens|placeholder=auswählen bzw. eingeben...|class=form-control}}}
|-
| Anwendung(en):
|{{#info:IT-Anwendungen, die im Zuge des Verfahrens verwendet werden.}}
|{{{field|Anwendung|input type=tokens|placeholder=auswählen bzw. eingeben...|class=form-control}}}
|-
| Abteilung(en):
|{{#info:Für das Verfahren verantwortliche bzw. am Verfahren beteiligte Abteilungen}}
|{{{field|Abteilung|input type=tokens|placeholder=auswählen bzw. eingeben...|class=form-control}}}
|-
| Kontaktperson:
|{{#info:Benutzer/in, der/die die eine Kontaktperson für die Folgenabschätzung ist.}}
|{{{field|Kontaktperson|input type=tokens|default=current user|values from namespace=Benutzer|placeholder=auswählen bzw. eingeben...|class=form-control}}}
|-
|Aufgabe für:
|{{#info:BenutzerInnen können Aufgaben zugewiesen werden, die in der Liste auf ihrer Benutzerseite angezeigt werden.}}
| {{{field|Aufgabe für|values from namespace=Benutzer|placeholder=auswählen bzw. eingeben...|class=form-control}}}
|}

= technisch-organisatorischen Maßnahmen =
<div class="form-group">Maßnahmen: {{#info:Allgemeine Beschreibung der technisch-organisatorischen Maßnahmen}} {{{field|Maßnahmen|input type=textarea|autogrow|editor=wikieditor|class=form-control}}}</div>

{{{end template}}}

= Datenkategorien =
{{{for template|Datenkategorie|multiple|add button text=Datenkategorie hinzufügen}}}
{| class="table table-hover table-responsive table-condensed"
|-
| Datenkategorie:
|{{#info:Kategorie der verarbeiteten personenbezogenen Daten}}
|{{{field|Datenkategorien|input type=dropdown|delimiter=;|placeholder=auswählen bzw. eingeben...|class=form-control}}}
|-
| Betroffene Personenkreise:
|{{#info:Beschreibung der Kategorien betroffener Personen, z. B. Kunden, Mitarbeiter, Lieferanten usw.}}
|{{{field|Personenkreise|input type=tokens|delimiter=;|placeholder=auswählen bzw. eingeben...|class=form-control}}}
|-
|Sensible Daten:
|{{#info:Daten nach Art. 9 DSGVO sind besondere Datenkategorien („sensible Daten): rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische und biometrische Daten zur Identifizierung einer natürlichen Person, Gesundheitsdaten, Daten zum Sexualleben oder der sexuellen Orientierung.}}
||{{{field|Sensible Daten|input type=dropdown|default=Nein|class=form-control}}}
|-
|Strafrechtlich relevante Daten:
|{{#info:Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln unter behördlicher Aufsicht.}}
||{{{field|Strafrechtlich relevante Daten|input type=dropdown|default=Nein|class=form-control}}}
|-
| Löschungs- und Aufbewahrungsfristen:
|{{#info:Angabe bzw. Beschreibung der Löschungs- bzw. Aufbewahrungsfristen}}
|{{{field|Aufbewahrungsfristen|input type=textarea|editor=wikieditor|class=form-control}}}
|-
| Empfängerkreise:
|{{#info:Namen der Gesellschaften außerhalb der eigenen Gesellschaft, aber innerhalbdes Konzerns oder fremde Dritte}}
|{{{field|Empfängerkreise|input type=tokens|delimiter=;|placeholder=auswählen bzw. eingeben...|class=form-control}}}
|}
{{{end template}}}
{{{for template|VerfahrenEnde|label=}}}
{{{end template}}}

=Weitere Informationen:=
{{{standard input|free text|editor=wikieditor|rows=25}}}
<headertabs />
{{{standard input|watch}}}
{{{standard input|save}}} {{{standard input|preview}}} {{{standard input|changes}}} {{{standard input|cancel}}}
<nowiki/>
</includeonly>

Datencockpit

2018-04-16T15:07:18Z

Melnicki: Info zur Hilfe:Installation

<div class="jumbotron">__NOEDITSECTION__<span style="float:left; margin-top:-1em; margin-right:1em">[[Image:Datencockpit.png|link=|Datencockpit]]</span> <h2>Fachanwendung zur Unterstützung eines aktiven <span style="overflow-wrap: break-word;">Datenschutzmanagements</span> laut [[DSGVO]] <span class="label label-default" style="margin-left:1em;">beta</span> <br/>
<small>Interesse? – Lesen Sie die Anleitung zur [[Hilfe:Installation|Installation]] oder abonnieren Sie den [http://www.kdz.eu/de/content/datencockpit-formular Newsletter] – Twitter: [https://twitter.com/datencockpit @datencockpit]</small></h2></div>
<div class="row"><div class="col-md-6">
<div class="panel panel-default "><div class="panel-heading"><h3 class="panel-title">[[Image:Neuigkeiten.png|40px|link=Neuigkeiten|Neuigkeiten]] Neuigkeiten</h3></div><div class="panel-body">
{| class="table-hover table-condensed table-responsive"
{{#ask:[[Kategorie:Neuigkeiten]] [[Anzeigen::Ja]] [[Newsdatum::>>{{#time: Y.m.d}}]]
|?Newsdatum#ISO
|sort=Newsdatum
|order=desc
|format=template
|template=NeuigkeitenAnkündigungen
|limit=5
|link=none
|searchlabel=
|default=
}}
|-
{{#ask: [[Kategorie:Neuigkeiten]] [[Anzeigen::Ja]] [[Newsdatum::<{{#time: Y.m.d}}]]
|?Newsdatum#ISO
|sort=Newsdatum
|order=desc
|format=template
|template=Neuigkeiten
|limit=5
|link=none
|searchlabel=
|default=
}}
|-
|style="vertical-align:top;"|{{#ask:[[Newsdatum::+]] [[Kategorie:Neuigkeiten]]
|sort=Newsdatum
|order=desc
|format=feed
|searchlabel=RSS
|rsstitle=Datencockpit
|rssdescription=Neuigkeiten
}}
|style="vertical-align:top;"|[[Weitere Neuigkeiten|Weitere Neuigkeiten >>]]
|}
[[Bild:Neuigkeiten.png|32px|left|link=]]{{#forminput:form=Neuigkeiten|placeholder=Newseintrag eingeben...|autocomplete on category=Neuigkeiten|namespace=Neuigkeiten|no autofocus}}{{#set:Title Icon=Neuigkeiten.png}}
</div></div></div>
<div class="col-md-6"><div class="panel panel-default "><div class="panel-heading"><h3 class="panel-title">[[Image:Beta.png|40px|link=|Aktueller Status]] Aktueller Status</h3></div><div class="panel-body">
* Datencockpit.at ist in der Beta-Phase. Es sind wurden alle vorerst angedachten Funktionalitäten umgesetzt, sowie erste Testeinträge erstellt, um die Funktionsweise zu demonstrieren.
* Download unter https://github.com/krabina/Datencockpit
* Bitte beachten Sie unsere [[Datencockpit:FAQ|FAQs]]
* Optionen der [[Hilfe:Installation|Installation]]
</div></div>
<div class="panel panel-default "><div class="panel-heading"><h3 class="panel-title">[[Image:Suche.png|40px|link=|Suche]] Suche</h3></div><div class="panel-body">
<inputbox>
type=fulltext
namespaces=DSGVO**,DSG**,Fragestellung**,Thema**,News**,Verfahren**,Folgen**,Information**,Auskunft**,Berichtigung**,Verletzung**,Abteilung,Benutzer
placeholder=Suche:im Datencockpit
</inputbox>

{{#queryformlink:form=Abfrage ID|link text=Inhalte nach ID suchen}}
</div></div></div>
<div class="row"><div class="col-md-6">
== Informationen ==
<div class="panel panel-default "><div class="panel-heading"><h3 class="panel-title">[[Image:Gesetz.png|40px|link=DSGVO|Gesetze]] Gesetzestexte und Erläuterungen</h3></div><div class="panel-body">
Die [[DSGVO]] sowie das [[Datenschutz-Anpassungsgesetz]] sind in einzelne Seiten pro Paragraph bzw. Artikel gegliedert. Die Paragraphen/Artikel enthalten den Gesetzestext, die Erläuterung zum jeweiligen Paragraphen bzw. Absatz sowie dazugehörige Fragestellungen und weitere Metadaten.
</div></div>
<div class="panel panel-default "><div class="panel-heading"><h3 class="panel-title">[[Image:Fragestellung.png|40px|link=Fragestellung|Fragestellung]] Fragestellungen</h3></div><div class="panel-body">
Die BenutzerInnen der Plattform können [[Fragestellungen]] erfassen, die bei der praktischen Umsetzung der gesetzlichen Regelungen auftreten.
</div></div>
<div class="panel panel-default "><div class="panel-heading"><h3 class="panel-title ">[[Image:Thema.png|40px|link=Themen|Themen]] Themen</h3></div><div class="panel-body">
Fragestellungen enthalten Zuordnungen zu [[Themen]], die Überbegriffe zu den Fragestellungen darstellen und auch weiterführende Informationen enthalten können.
</div></div>
<div class="panel panel-default "><div class="panel-heading"><h3 class="panel-title ">[[Image:Glossar.png|40px|link=Glossar|Glossar]] [[Glossar]]</h3></div><div class="panel-body">
[[Glossar]]-Einträge werden im Text unterwellt hervorgehoben und können entweder direkt verlinken (z. B. § 9) oder aber auch zu manuell erstellten und eventuell weiterführenden Glossardefinitionen führen (z. B. DSGVO).
</div></div>
<div class="panel panel-default "><div class="panel-heading"><h3 class="panel-title ">[[Image:Links.png|40px|link=Links|Links]] [[Links]]</h3></div><div class="panel-body">
[[Links]] führen zu weiterführenden Informationen zum Thema Datenschutz
</div></div>
<div class="panel panel-default "><div class="panel-heading"><h3 class="panel-title ">[[Image:Benutzer.png|40px|link=BenutzerInnen|Benutzer]] [[BenutzerInnen]]</h3></div><div class="panel-body">
[[BenutzerInnen]] der Plattform können Kontaktinformationen hinterlegen und einzelne Fragestellungen als für sie relevant markieren.
</div></div></div>
<div class="col-md-6">
== Datenschutzmanagement ==
<div class="panel panel-default "><div class="panel-heading"><h3 class="panel-title ">[[Image:Informationspflichten.png|40px|link=Hilfe|Informationspflichten]] [[Informationspflichten]]</h3></div><div class="panel-body">
Dokumentieren Sie, wo und wie Sie den Informationspflichten laut DSGVO nachkommen.
</div></div>
<div class="panel panel-default "><div class="panel-heading"><h3 class="panel-title ">[[Image:Verfahren.png|40px|link=Hilfe|Verfahrensverzeichnis]] [[Verfahrensverzeichnis]]</h3></div><div class="panel-body">
Das "Verzeichnis der Verarbeitungstätigkeiten" bietet den Ausgangspunkt für aktives Datenschutzmanagement.
</div></div>
<div class="panel panel-default "><div class="panel-heading"><h3 class="panel-title ">[[Image:Folgenabschätzung.png|40px|link=Hilfe|Folgenabschätzung]] [[Folgenabschätzung]]</h3></div><div class="panel-body">
Dokumentieren Sie Datenschutz-Folgenabschätzungen, die für Ihre Organisation durchgeführt worden sind.
</div></div>
<div class="panel panel-default "><div class="panel-heading"><h3 class="panel-title ">[[Image:Auskunftsersuchen.png|40px|link=Auskunftsersuchen|Auskunftsersuchen]] [[Auskunftsersuchen]]</h3></div><div class="panel-body">
Dokumentieren Sie Auskunftsersuchen von Privatpersonen, die durch Ihre Organisation beantwortet wurden.
</div></div>
<div class="panel panel-default "><div class="panel-heading"><h3 class="panel-title ">[[Image:Löschantrag.png|40px|link=Löschantrag|Lösch-/Änderungsantrag]] [[Löschantrag|Lösch-/Änderungsantrag]]</h3></div><div class="panel-body">
Dokumentieren Sie Lösch- und Änderungsanträge von Privatpersonen sowie deren interne Umsetzung.
</div></div>
<div class="panel panel-default "><div class="panel-heading"><h3 class="panel-title ">[[Image:Verletzung.png|40px|link=Datenschutzverletzung|Verletzung]] [[Datenschutzverletzung|Verletzung des Schutzes personenbezogener Daten]]</h3></div><div class="panel-body">
Dokumentieren Sie Verletzungen des Schutzes personenbezogener Daten, die in Ihrer Organisation aufgetreten sind, sowie allfällige Meldungen an die Datenschutzbehörde.
</div></div>
</div></div>__NOTOC__

Hilfe:Installation

2018-04-16T15:03:54Z

Melnicki: Die Seite wurde neu angelegt: „{{Hilfe}} Wie kommen Sie zu Ihrem Datencockpit? Lesen Sie hier über Varianten der Installation Ihrer Lösung für die DSGVO. ==Wie installiere ich das Datenc…“

{{Hilfe}}
Wie kommen Sie zu Ihrem Datencockpit? Lesen Sie hier über Varianten der Installation Ihrer Lösung für die DSGVO.

==Wie installiere ich das Datencockpit?==
Das Datencockpit ist (leider noch) keine alleinstehende App/Software, die Sie mit einem Klick auf Ihrem Desktop installieren. Es basiert auf der Open-Source-Software Semantic MediaWiki ([https://www.mediawiki.org/wiki/MediaWiki MediaWiki] + Erweiterungen rund um [https://www.semantic-mediawiki.org/wiki/Semantic_MediaWiki Semantic MediaWiki]) und ist ein „Paket“ an Inhalten, Vorlagen, Formularen, Design-Voreinstellungen, das auf dem Wiki aufgesetzt wird. Das Datencockpit ist also streng genommen nicht die Software selbst, sondern ein Inhaltspaket für diese Wiki-Software.

Wenn Sie also noch kein Wiki haben, aber eines verwenden möchten, können Sie Ihr neues Wiki gleich noch um das Datencockpit erweitern.

Sie benötigen nun für dieses Datencockpit-Wiki eine Form des Webhostings mit PHP, SQL. Dafür haben Sie mehrere Möglichkeiten:
* Hosting auf einem eigenen (internen) Webserver – [https://github.com/krabina/Datencockpit/blob/master/webserver/INSTALLATION.md Installationshilfe auf GitHub]
* Integration in eine bestehendes Wiki (MediaWiki) – [https://github.com/krabina/Datencockpit/blob/master/wiki/INSTALLATION.md Importhilfe auf GitHub]
* Buchen eines Zugangs zu einer gehosteten Browser-Version – [http://www.wikiahoi.at/dsgvo/ weitere Informationen und Preise auf wikiahoi.at]

==Installationsanleitung auf GitHub==
Die [https://github.com/krabina/Datencockpit Installationsanleitung auf GitHub] bietet Ihnen die neueste Version des Datencockpits sowie weiteren Informationen zur Installation des Wiki. Es werden dort auch Updates und neue Versionen veröffentlicht.

Wenn Sie einen GitHub-Konto besitzen, können Sie unter "Issues" auch Ihre Anmerkungen, Verbesserungen und Fragen zum Datencockpit posten.

Hilfe:Erste Schritte

2018-04-16T14:46:48Z

Melnicki:

{{Hilfe}}
# [[Hilfe:Installation|Installation]]
Sie haben erfolgreich ein Datencockpit installiert. Was sind nun die ersten Schritte?

# [[Hilfe:Grundlegendes]] Machen Sie sich mit dem System vertraut, z. B. den Menüs
# Erstellen Sie Ihre [[Organisation]] (auch im Menü "Stammdaten" - "Organisation")
# Legen Sie [[BenutzerInnen]] an
# Beginnen Sie, an Ihrem [[Verfahrensverzeichnis]] zu arbeiten.
# Arbeiten Sie an Ihren [[Informationspflichten]], auch diese müssen gleich zu Beginn erledigt sein.
# Die [[Checkliste]] zeigt Ihnen stets, wie der aktuelle Stand der Umsetzung im Datencockpit ist

BenutzerInnen

2018-04-11T12:36:14Z

Melnicki: Änderung externer > interner Link (nach Github)

[[Spezial:Benutzer|BenutzerInnen]] im Datencockpit können von Administratoren über die Seite [{{fullurl:Spezial:Anmelden|type=signup}} Benutzerkonto anlegen] hinzugefügt werden.

Existierende BenutzerInnen können auf freiwilliger Basis persönliche Informationen mit diesem Formular ergänzen:
[[Image:Benutzer.png|32px|left|link=Kategorie:BenutzerInnen]]{{#forminput:form=Benutzer|autocomplete on namespace=Benutzer|query string=namespace=Benutzer|placeholder=Benutzername...|no autofocus}}
<div class="panel panel-default mw-collapsible"><div class="panel-heading"><h3 class="panel-title ">BenutzerInnen</h3></div>
<div class="panel-body mw-collapsible-content">
{{#ask:[[Kategorie:BenutzerInnen]]
|mainlabel=BenutzerIn
|?Abteilung
|?Funktion
|?Vorname
|?Nachname
|?Telefon
|?E-Mail
|format=table
|headers=plain
|class=table table-condensed table-hover sortable
|default=derzeit keine BenutzerInnen gefunden...
}}
<div class="panel-footer">Export:
{{#ask:[[Kategorie:BenutzerInnen]]
|mainlabel=BenutzerIn
|?Abteilung
|?Funktion
|?Vorname
|?Nachname
|?Telefon
|?E-Mail
|format=csv
|filename=Benutzerverzeichnis {{PAGENAME}}
}}</div>
</div></div>{{#set:Title Icon=Benutzer.png}}

Datencockpit

2018-04-10T12:12:34Z

Melnicki: typo

<div class="jumbotron">__NOEDITSECTION__<span style="float:left; margin-top:-1em; margin-right:1em">[[Image:Datencockpit.png|link=|Datencockpit]]</span> <h2>Fachanwendung zur Unterstützung eines aktiven <span style="overflow-wrap: break-word;">Datenschutzmanagements</span> laut [[DSGVO]] <span class="label label-default" style="margin-left:1em;">beta</span> <br/>
<small>Interesse? - [http://www.kdz.eu/de/content/datencockpit-formular Melden Sie sich!] - Twitter: [https://twitter.com/datencockpit @datencockpit]</small></h2></div>
<div class="row"><div class="col-md-6">
<div class="panel panel-default "><div class="panel-heading"><h3 class="panel-title">[[Image:Neuigkeiten.png|40px|link=Neuigkeiten|Neuigkeiten]] Neuigkeiten</h3></div><div class="panel-body">
{| class="table-hover table-condensed table-responsive"
{{#ask:[[Kategorie:Neuigkeiten]] [[Anzeigen::Ja]] [[Newsdatum::>>{{#time: Y.m.d}}]]
|?Newsdatum#ISO
|sort=Newsdatum
|order=desc
|format=template
|template=NeuigkeitenAnkündigungen
|limit=5
|link=none
|searchlabel=
|default=
}}
|-
{{#ask: [[Kategorie:Neuigkeiten]] [[Anzeigen::Ja]] [[Newsdatum::<{{#time: Y.m.d}}]]
|?Newsdatum#ISO
|sort=Newsdatum
|order=desc
|format=template
|template=Neuigkeiten
|limit=5
|link=none
|searchlabel=
|default=
}}
|-
|style="vertical-align:top;"|{{#ask:[[Newsdatum::+]] [[Kategorie:Neuigkeiten]]
|sort=Newsdatum
|order=desc
|format=feed
|searchlabel=RSS
|rsstitle=Datencockpit
|rssdescription=Neuigkeiten
}}
|style="vertical-align:top;"|[[Weitere Neuigkeiten|Weitere Neuigkeiten >>]]
|}
[[Bild:Neuigkeiten.png|32px|left|link=]]{{#forminput:form=Neuigkeiten|placeholder=Newseintrag eingeben...|autocomplete on category=Neuigkeiten|namespace=Neuigkeiten|no autofocus}}{{#set:Title Icon=Neuigkeiten.png}}
</div></div></div>
<div class="col-md-6"><div class="panel panel-default "><div class="panel-heading"><h3 class="panel-title">[[Image:Beta.png|40px|link=|Aktueller Status]] Aktueller Status</h3></div><div class="panel-body">
* Datencockpit.at ist in der Beta-Phase. Es sind wurden alle vorerst angedachten Funktionalitäten umgesetzt, sowie erste Testeinträge erstellt, um die Funktionsweise zu demonstrieren.
* Download unter https://github.com/krabina/Datencockpit
* Bitte beachten Sie unsere [[Datencockpit:FAQ|FAQs]]
</div></div>
<div class="panel panel-default "><div class="panel-heading"><h3 class="panel-title">[[Image:Suche.png|40px|link=|Suche]] Suche</h3></div><div class="panel-body">
<inputbox>
type=fulltext
namespaces=DSGVO**,DSG**,Fragestellung**,Thema**,News**,Verfahren**,Folgen**,Information**,Auskunft**,Berichtigung**,Verletzung**,Abteilung,Benutzer
placeholder=Suche:im Datencockpit
</inputbox>

{{#queryformlink:form=Abfrage ID|link text=Inhalte nach ID suchen}}
</div></div></div>
<div class="row"><div class="col-md-6">
== Informationen ==
<div class="panel panel-default "><div class="panel-heading"><h3 class="panel-title">[[Image:Gesetz.png|40px|link=DSGVO|Gesetze]] Gesetzestexte und Erläuterungen</h3></div><div class="panel-body">
Die [[DSGVO]] sowie das [[Datenschutz-Anpassungsgesetz]] sind in einzelne Seiten pro Paragraph bzw. Artikel gegliedert. Die Paragraphen/Artikel enthalten den Gesetzestext, die Erläuterung zum jeweiligen Paragraphen bzw. Absatz sowie dazugehörige Fragestellungen und weitere Metadaten.
</div></div>
<div class="panel panel-default "><div class="panel-heading"><h3 class="panel-title">[[Image:Fragestellung.png|40px|link=Fragestellung|Fragestellung]] Fragestellungen</h3></div><div class="panel-body">
Die BenutzerInnen der Plattform können [[Fragestellungen]] erfassen, die bei der praktischen Umsetzung der gesetzlichen Regelungen auftreten.
</div></div>
<div class="panel panel-default "><div class="panel-heading"><h3 class="panel-title ">[[Image:Thema.png|40px|link=Themen|Themen]] Themen</h3></div><div class="panel-body">
Fragestellungen enthalten Zuordnungen zu [[Themen]], die Überbegriffe zu den Fragestellungen darstellen und auch weiterführende Informationen enthalten können.
</div></div>
<div class="panel panel-default "><div class="panel-heading"><h3 class="panel-title ">[[Image:Glossar.png|40px|link=Glossar|Glossar]] [[Glossar]]</h3></div><div class="panel-body">
[[Glossar]]-Einträge werden im Text unterwellt hervorgehoben und können entweder direkt verlinken (z. B. § 9) oder aber auch zu manuell erstellten und eventuell weiterführenden Glossardefinitionen führen (z. B. DSGVO).
</div></div>
<div class="panel panel-default "><div class="panel-heading"><h3 class="panel-title ">[[Image:Links.png|40px|link=Links|Links]] [[Links]]</h3></div><div class="panel-body">
[[Links]] führen zu weiterführenden Informationen zum Thema Datenschutz
</div></div>
<div class="panel panel-default "><div class="panel-heading"><h3 class="panel-title ">[[Image:Benutzer.png|40px|link=BenutzerInnen|Benutzer]] [[BenutzerInnen]]</h3></div><div class="panel-body">
[[BenutzerInnen]] der Plattform können Kontaktinformationen hinterlegen und einzelne Fragestellungen als für sie relevant markieren.
</div></div></div>
<div class="col-md-6">
== Datenschutzmanagement ==
<div class="panel panel-default "><div class="panel-heading"><h3 class="panel-title ">[[Image:Informationspflichten.png|40px|link=Hilfe|Informationspflichten]] [[Informationspflichten]]</h3></div><div class="panel-body">
Dokumentieren Sie, wo und wie Sie den Informationspflichten laut DSGVO nachkommen.
</div></div>
<div class="panel panel-default "><div class="panel-heading"><h3 class="panel-title ">[[Image:Verfahren.png|40px|link=Hilfe|Verfahrensverzeichnis]] [[Verfahrensverzeichnis]]</h3></div><div class="panel-body">
Das "Verzeichnis der Verarbeitungstätigkeiten" bietet den Ausgangspunkt für aktives Datenschutzmanagement.
</div></div>
<div class="panel panel-default "><div class="panel-heading"><h3 class="panel-title ">[[Image:Folgenabschätzung.png|40px|link=Hilfe|Folgenabschätzung]] [[Folgenabschätzung]]</h3></div><div class="panel-body">
Dokumentieren Sie Datenschutz-Folgenabschätzungen, die für Ihre Organisation durchgeführt worden sind.
</div></div>
<div class="panel panel-default "><div class="panel-heading"><h3 class="panel-title ">[[Image:Auskunftsersuchen.png|40px|link=Auskunftsersuchen|Auskunftsersuchen]] [[Auskunftsersuchen]]</h3></div><div class="panel-body">
Dokumentieren Sie Auskunftsersuchen von Privatpersonen, die durch Ihre Organisation beantwortet wurden.
</div></div>
<div class="panel panel-default "><div class="panel-heading"><h3 class="panel-title ">[[Image:Löschantrag.png|40px|link=Löschantrag|Lösch-/Änderungsantrag]] [[Löschantrag|Lösch-/Änderungsantrag]]</h3></div><div class="panel-body">
Dokumentieren Sie Lösch- und Änderungsanträge von Privatpersonen sowie deren interne Umsetzung.
</div></div>
<div class="panel panel-default "><div class="panel-heading"><h3 class="panel-title ">[[Image:Verletzung.png|40px|link=Datenschutzverletzung|Verletzung]] [[Datenschutzverletzung|Verletzung des Schutzes personenbezogener Daten]]</h3></div><div class="panel-body">
Dokumentieren Sie Verletzungen des Schutzes personenbezogener Daten, die in Ihrer Organisation aufgetreten sind, sowie allfällige Meldungen an die Datenschutzbehörde.
</div></div>
</div></div>__NOTOC__

Verfahren:Newsletter

2018-04-09T16:17:21Z

Melnicki:

{{Verfahren
|Zwecke=Newsletter für Kunden, auf der Website abonnierbar.
|Folgenabschätzung durchgeführt=Nein
|Begründung=nicht nötig, Standard-Prozess
|Personenkreise=Interessenten
|Rechtsgrundlagen=Zustimmungserkärung auf Website
|Anwendung=Mailchimp
|Abteilung=Abteilung:IT
|Kontaktperson=Admin
|Maßnahmen=laut AGB von Mailchimp ist die Lösung DSGVO-konform

Zugang zum System von IT verwaltet. Administration von Marketing-Chef
}}
{{Datenkategorie
|Datenkategorien=Vorname
|Sensible Daten=Nein
|Strafrechtlich relevante Daten=Nein
|Aufbewahrungsfristen=für die Dauer des Newletter-Bezugs.
}}
{{Datenkategorie
|Datenkategorien=Nachname
|Sensible Daten=Nein
|Strafrechtlich relevante Daten=Nein
|Aufbewahrungsfristen=für die Dauer des Newletter-Bezugs.
}}
{{Datenkategorie
|Datenkategorien=E-Mail-Adresse
|Sensible Daten=Nein
|Strafrechtlich relevante Daten=Nein
|Aufbewahrungsfristen=für die Dauer des Newletter-Bezugs.
}}
{{VerfahrenEnde}}

Fragestellung:Was muss gegeben sein, damit ein "hohes Risiko" bei der Datenschutzverletzung gegeben ist?

2018-04-09T14:57:19Z

Melnicki: Die Seite wurde neu angelegt: „{{Fragestellung |Status der Fragestellung=1 - offen |Thema=Thema:Informationspflicht |Stichwort=Risiko |Fragetext=Betroffene müssen von einer Datenschutzverle…“

{{Fragestellung
|Status der Fragestellung=1 - offen
|Thema=Thema:Informationspflicht
|Stichwort=Risiko
|Fragetext=Betroffene müssen von einer Datenschutzverletzung informiert werden. Was definiert dieses Risiko?
|Paragraph=Artikel 34. Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person
}}

Vorlage:Verfahren

2018-04-09T14:37:47Z

Melnicki: Tippfehler

<noinclude>Vorlage für Verfahren
<pre>
{{Verfahren}}
</pre>
[[Kategorie:Vorlagen]]
</noinclude><includeonly>__NOTOC____NOEDITSECTION__
<div class="row"><div class="col-md-6">
<div class="panel panel-default "><div class="panel-heading"><h3 class="panel-title">''[{{fullurl:{{FULLPAGENAME}}}}?action=history Letze Änderung am] {{REVISIONDAY}}. {{REVISIONMONTH1}}. {{REVISIONYEAR}} von [[Benutzer:{{REVISIONUSER}}|{{REVISIONUSER}}]].''</h3></div>
</div></div>
<div class="col-md-6">
<div class="panel panel-default mw-collapsible mw-collapsed"><div class="panel-heading"><h3 class="panel-title ">Stammdaten</h3></div>
<div class="panel-body mw-collapsible-content">
{{#ask: [[Kategorie:Organisationen]]
|mainlabel=Organisation
|?Logo
|?Straße
|?PLZ
|?Ort
|?Website
|format=template
|template=Organisationsdaten
|link=none
|default=<div class="alert alert-danger">[[Image:Fail.png|30px|left|link=Organisation]] Sie haben keine Verantworliche [[Organisation]] definiert!</div>
}}
=== Verantwortliche ===
{{#ask: [[Kategorie:Benutzer]] [[Funktion::Verantwortliche]]
|mainlabel=BenutzerIn
|?Abteilung
|?Vorname
|?Nachname
|?Telefon
|?E-Mail
|format=template
|template=Benutzerdaten
|link=none
|default=<div class="alert alert-danger">[[Image:Fail.png|30px|left|link=BenutzerInnen]] Sie haben keine Verantworliche [[BenutzerInnen]] definiert!</div>
}}
=== Datenschutzbeauftragte ===
{{#ask: [[Funktion::Datenschutzbeauftragte]]
|mainlabel=BenutzerIn
|?Foto
|?Abteilung
|?Vorname
|?Nachname
|?Telefon
|?E-Mail
|format=template
|template=Benutzerdaten
|link=none
|default=<div class="alert alert-danger">[[Image:Fail.png|30px|left|link=Datenschutzbeauftragte]] Sie haben keine [[Datenschutzbeauftragte]]!</div>
}}
</div></div></div></div>
<div class="row"><div class="col-md-6">
<div class="panel panel-default mw-collapsible"><div class="panel-heading"><h3 class="panel-title ">ID: {{PAGEID}}</h3></div>
<div class="panel-body mw-collapsible-content">
{| class="table table-hover table-condensed table-responsive"
|-
| Verfahren
|{{#info:Name des Verfahrens}}
| [[Seitenname::{{FULLPAGENAME}}|{{PAGENAME}}]]
|-
| Zwecke und Beschreibung
|{{#info:Zwecke und kurze Beschreibung der Datenverarbeitung}}
| [[Zwecke::{{{Zwecke|}}}]]
|-
| Folgenabschätzung
|{{#info:Wurde eine Folgenabschätzung durchgeführt?}}
| [[Folgenabschätzung durchgeführt::{{{Folgenabschätzung durchgeführt|}}}|]]{{#ifeq:{{{Folgenabschätzung durchgeführt|}}}|Ja|{{#arraymap:{{{Folgenabschätzung|}}}|,|@@@@|[[Folgenabschätzung::Folgen:@@@@|@@@@]]}} }}{{#ifeq:{{{Folgenabschätzung durchgeführt|}}}|Nein|Nein. Begründung: [[Begründung::{{{Begründung|}}}]] }}
|-
| Betroffene Personenkreise
|{{#info:Beschreibung der Kategorien betroffener Personen}}
|{{#arraymap:{{{Personenkreise|}}}|,|@@@@|[[Betroffene Personenkreise::@@@@]]}}
|-
| Rechtsgrundlagen
|{{#info:Die Rechtsgrundlagen (zB rechtliche Verpflichtung, Einwilligung, Vertragserfüllung, lebenswichtige Interessen des Betroffenen, kein überwiegendes berechtigtes Interesse des Betroffenen) sind nach der DSGVO zwar nicht verpflichtend ins Verarbeitungsverzeichnis aufzunehmen. Allerdings unterliegt der verantwortliche Verarbeiter einer sogenannten Rechenschaftspflicht. Diese besagt eine Nachweispflicht bzgl. der Einhaltung der Pflichten nach der DSGVO. Dazu gehört unter anderem auch der Nachweis, dass die Datenverarbeitung nach den in der DSGVO normierten Rechtmäßigkeitsgrundlagen erfolgt.}}
| {{#arraymap:{{{Rechtsgrundlagen|}}}|,|@@@@|[[Rechtsgrundlagen::@@@@]]}}
|-
| Unterlagen
|{{#info:Die Angabe, wo Verträge, Zustimmungserklärungen oder sonstige Unterlagen innerhalb der Organisation abgelegt wurden, ist nicht verpflichtend im Verarbeitungsverzeichnis zu dokumentieren, erleichtert aber vor allem in größeren, arbeitsteilig organisierten Organisationen das Auffinden der entscheidenden Unterlagen (dient also lediglich der innerbetrieblichen Arbeitserleichterung).}}
| [[Unterlagen::{{{Unterlagen|}}}]]
|-
| Dokument (Upload)
|{{#info:Dokument}}
| {{#if:{{{Dokument|}}}| {{#arraymap:{{{Dokument|}}}|,|@@@@|[[Dokument::Datei:@@@@| ]] [[Media:@@@@|@@@@]] [[Datei:Datei.png|Datei:@@@@|16px|link=Datei:@@@@]] }}
|-
| |Anwendung
|{{#info:Anwendung(en), die im Verfahren verwendet werden.}}
|{{#arraymap:{{{Anwendung|}}}|,|@@@@|{{#ifeq:{{#sub:@@@@|0|10}}|Anwendung:|[[Anwendung::@@@@|{{#sub:@@@@|10}}]]|[[Anwendung::Anwendung:@@@@|@@@@]]}}}}
|-
| Abteilung
|{{#info:Abteilung(en), die für das Verfahren verantwortlich bzw. am Verfahren beteiligt sind.}}
|{{#arraymap:{{{Abteilung|}}}|,|@@@@|{{#ifeq:{{#sub:@@@@|0|10}}|Abteilung:|[[Abteilung::@@@@|{{#sub:@@@@|10}}]]|[[Abteilung::Abteilung:@@@@|@@@@]]}}}}
|-
| Kontaktperson
|{{#info:Benutzer/in, der/die die eine Kontaktperson für das Verfahren ist.}}
| {{#arraymap:{{{Kontaktperson|}}}|,|@@@@|{{#ifeq:{{#sub:@@@@|0|9}}|Benutzer:|[[Kontaktperson::@@@@|{{#sub:@@@@|9}}]]|[[Kontaktperson::Benutzer:@@@@|@@@@]]}}}}
|-
| Aufgabe für
|{{#info:BenutzerInnen können Aufgaben zugewiesen werden, die in der Liste auf ihrer Benutzerseite angezeigt werden.}}
| {{#arraymap:{{{Aufgabe für|}}}|,|@@@@|{{#ifeq:{{#sub:@@@@|0|9}}|Benutzer:|[[Aufgabe für::@@@@|{{#sub:@@@@|9}}]]|[[Aufgabe für::Benutzer:@@@@|@@@@]]}}}}
|}
</div></div></div>
<div class="col-md-6">
<div class="panel panel-default mw-collapsible"><div class="panel-heading"><h3 class="panel-title ">technisch-organisatorische Maßnahmen</h3></div>
<div class="panel-body mw-collapsible-content">
{{{Maßnahmen|}}}
</div></div></div>{{#set:ID={{PAGEID}}|Maßnahmen={{{Maßnahmen|}}} }}[[Kategorie:Verfahren]]{{#default_form:Verfahren}}
<div class="col-md-12">
<div class="panel panel-default mw-collapsible"><div class="panel-heading"><h3 class="panel-title ">Datenkategorien</h3></div>
<div class="panel-body mw-collapsible-content">
{| class="table table-hover table-condensed table-responsive sortable"
|-
! Datenkategorien {{#info:Kategorien personenbezogener Daten}}
! Sensible Daten {{#info:Sind sensible Daten betroffen?}}
! Strafrechtlich relevante Daten {{#info:Sind strafrechtlich relevante Daten betroffen?}}
! Empfängerkreise {{#info:Namen der Gesellschaften außerhalb der eigenen Gesellschaft, aber innerhalb des Konzerns oder fremde Dritte}}
! Aufbewahrungsfristen {{#info:Speicherdauer der einzelnen Datenkategorien}}</includeonly>

Formular:Verfahren

2018-04-09T14:36:28Z

Melnicki: Tippfehler

<noinclude>
{{#forminput:form=Verfahren|autocomplete on category=Verfahren|namespace=Verfahren|placeholder=Verfahren...}}
[[Kategorie:Formulare]]
</noinclude><includeonly>__NOGLOSSARY__
{{{for template|Verfahren|label=}}}
= Verfahren {{PAGENAME}}=
{| class="table-hover table-responsive table-condensed"
|-
| Zwecke und Beschreibung:
|{{#info:Zwecke und kurze Beschreibung der Datenverarbeitung}}
|{{{field|Zwecke|input type=textarea|editor=wikieditor|class=form-control}}}
|-
| Folgenabschätzung durchgeführt:
|{{#info:Wurde eine Folgenabschätzung durchgeführt?}}
|{{{field|Folgenabschätzung durchgeführt|input type=dropdown|show on select=Ja=>FolgenJa;Nein=>FolgenNein|class=form-control}}}
<div id="FolgenJa">Bezeichnung: {{#info:Bezeichnung der Folgenabschätzung.}} {{{field|Folgenabschätzung|input type=tokens|values from namespace=Folgen|class=form-control}}}</div>
<div id="FolgenNein">Begründung: {{#info:Begründung, warum keine Folgenabschätzung durchgeführt wurde.}} {{{field|Begründung|input type=text|class=form-control}}}</div>
|-
| Betroffene Personenkreise:
|{{#info:Beschreibung der Kategorien betroffener Personen, z. B. Kunden, Mitarbeiter, Lieferanten usw.}}
|{{{field|Personenkreise|input type=tokens|placeholder=auswählen bzw. eingeben...|class=form-control}}}
|-
| Rechtsgrundlagen:
|{{#info:Die Rechtsgrundlagen (zB rechtliche Verpflichtung, Einwilligung, Vertragserfüllung, lebenswichtige Interessen des Betroffenen, kein überwiegendes berechtigtes Interesse des Betroffenen) sind nach der DSGVO zwar nicht verpflichtend ins Verarbeitungsverzeichnis aufzunehmen. Allerdings unterliegt der verantwortliche Verarbeiter einer sogenannten Rechenschaftspflicht. Diese besagt eine Nachweispflicht bzgl. der Einhaltung der Pflichten nach der DSGVO. Dazu gehört unter anderem auch der Nachweis, dass die Datenverarbeitung nach den in der DSGVO normierten Rechtmäßigkeitsgrundlagen erfolgt.}}
|{{{field|Rechtsgrundlagen|input type=textarea|editor=wikieditor|class=form-control}}}
|-
| Unterlagen:
|{{#info:Die Angabe, wo Verträge, Zustimmungserklärungen oder sonstige Unterlagen innerhalb der Organisation abgelegt wurden, ist nicht verpflichtend im Verarbeitungsverzeichnis zu dokumentieren, erleichtert aber vor allem in größeren, arbeitsteilig organisierten Organisationen das Auffinden der entscheidenden Unterlagen (dient also lediglich der innerbetrieblichen Arbeitserleichterung).}}
|{{{field|Unterlagen|input type=textarea|editor=wikieditor|class=form-control}}}
|-
|Dokumente (Upload):
|{{#info:Unterlagen oder andere begleitende Dokumente können hier ins Datencockpit hochgeladen werden.}}
|{{{field|Dokument|input type=text|uploadable|values from namespace=Datei|class=form-control}}}
|-
| Anwendung(en):
|{{#info:IT-Anwendungen, die im Zuge des Verfahrens verwendet werden.}}
|{{{field|Anwendung|input type=tokens|placeholder=auswählen bzw. eingeben...|class=form-control}}}
|-
| Abteilung(en):
|{{#info:Für das Verfahren verantwortliche bzw. am Verfahren beteiligte Abteilungen}}
|{{{field|Abteilung|input type=tokens|placeholder=auswählen bzw. eingeben...|class=form-control}}}
|-
| Kontaktperson:
|{{#info:Benutzer/in, der/die die eine Kontaktperson für die Folgenabschätzung ist.}}
|{{{field|Kontaktperson|input type=tokens|default=current user|values from namespace=Benutzer|placeholder=auswählen bzw. eingeben...|class=form-control}}}
|-
|Aufgabe für:
|{{#info:BenutzerInnen können Aufgaben zugewiesen werden, die in der Liste auf ihrer Benutzerseite angezeigt werden.}}
| {{{field|Aufgabe für|values from namespace=Benutzer|placeholder=auswählen bzw. eingeben...|class=form-control}}}
|}

= technisch-organisatorischen Maßnahmen =
<div class="form-group">Maßnahmen: {{#info:Allgemeine Beschreibung der technisch-organisatorischen Maßnahmen}} {{{field|Maßnahmen|input type=textarea|autogrow|editor=wikieditor|class=form-control}}}</div>

{{{end template}}}

= Datenkategorien =
{{{for template|Datenkategorie|multiple|add button text=Datenkategorie hinzufügen}}}
{| class="table table-hover table-responsive table-condensed"
|-
| Datenkategorien:
|{{#info:Kategorien der verarbeiteten personenbezogenen Daten}}
|{{{field|Datenkategorien|input type=tokens|delimiter=;|placeholder=auswählen bzw. eingeben...|class=form-control}}}
|-
|Sensible Daten:
|{{#info:Daten nach Art. 9 DSGVO sind besondere Datenkategorien („sensible Daten): rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische und biometrische Daten zur Identifizierung einer natürlichen Person, Gesundheitsdaten, Daten zum Sexualleben oder der sexuellen Orientierung.}}
||{{{field|Sensible Daten|input type=dropdown|default=Nein|class=form-control}}}
|-
|Strafrechtlich relevante Daten:
|{{#info:Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln unter behördlicher Aufsicht.}}
||{{{field|Strafrechtlich relevante Daten|input type=dropdown|default=Nein|class=form-control}}}
|-
| Löschungs- und Aufbewahrungsfristen:
|{{#info:Angabe bzw. Beschreibung der Löschungs- bzw. Aufbewahrungsfristen}}
|{{{field|Aufbewahrungsfristen|input type=textarea|editor=wikieditor|class=form-control}}}
|-
| Empfängerkreise:
|{{#info:Namen der Gesellschaften außerhalb der eigenen Gesellschaft, aber innerhalbdes Konzerns oder fremde Dritte}}
|{{{field|Empfängerkreise|input type=tokens|delimiter=;|placeholder=auswählen bzw. eingeben...|class=form-control}}}
|}
{{{end template}}}
{{{for template|VerfahrenEnde|label=}}}
{{{end template}}}

=Weitere Informationen:=
{{{standard input|free text|editor=wikieditor|rows=25}}}
<headertabs />
{{{standard input|watch}}}
{{{standard input|save}}} {{{standard input|preview}}} {{{standard input|changes}}} {{{standard input|cancel}}}
<nowiki/>
</includeonly>

Neuigkeiten:Datencockpit in Houston, Texas

2018-04-09T10:02:43Z

Melnicki: Die Seite wurde neu angelegt: „{{News |Newsdatum=2018/03/22 |Autor=Melnicki |Thema=Thema:Datencockpit |Anzeigen=Ja |Newstext=Sabine Melnicki stellte auf der diesjährigen [https://www.mediaw…“

{{News
|Newsdatum=2018/03/22
|Autor=Melnicki
|Thema=Thema:Datencockpit
|Anzeigen=Ja
|Newstext=Sabine Melnicki stellte auf der diesjährigen [https://www.mediawiki.org/wiki/EMWCon_Spring_2018 Enterprise MediaWiki Konferenz] in Houston, Texas, das Datencockpit vor.

Das Datencockpit basiert auf der Open-Source-Software [https://www.semantic-mediawiki.org/wiki/Semantic_MediaWiki Semantic MediaWiki], die im Unternehmenskontext für Wissenstransfer und systematische Datenverarbeitung verwendet wird. Die Konferenz ist ein Treffen von Nutzer/innen und Berater/innen zu diesem Thema.

Video zum Nachsehen: [https://www.youtube.com/watch?v=59MMWPSIuOk MediaWiki and the European GDPR (datencockpit.at)] (10 Minuten)
}}

Neuigkeiten:Neuer Termin: Stakeholder-Workshop in Linz

2018-04-09T09:37:51Z

Melnicki:

{{News
|Newsdatum=2018/04/09
|Autor=Admin
|Thema=Thema:Veranstaltung, Thema:Datencockpit
|Anzeigen=Ja
|Newstext=Interessierte am Datencockpit erhalten einen Überblick über das System und die Möglichkeit, eigene Wünsche und Vorstellungen einzubringen. Durch Teilnahme an den Workshops können Sie daher Einfluss auf die Entwicklung nehmen! Die Workshops finden ident in Wien und Linz statt, es ist daher nicht nötig (aber durchaus möglich) an beiden Workshops teilzunehmen.

; Stakeholder-Workshop am Montag, 9. April in Linz
: 16:00 - 18:00 Uhr
: Ort: Arcotel Nike GmbH, Untere Donaulände 9, 4020 Linz, https://www.arcotelhotels.com
: Anmeldung per E-Mail an datencockpit[at]kdz.or.at
}}

Glossar:DSG

2018-03-22T19:12:17Z

Melnicki: Änderung 2881 von Melnicki (Diskussion) rückgängig gemacht.

{{Glossar
|Glossary-Definition=Datenschutzgesetz.
* Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten
* auch: Datenschutz-Anpassungsgesetz 2018
|External-Link=https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001597&FassungVom=2018-05-25
}}

Fragestellung:Ist das Privacy Shield DSGVO-konform?

2018-01-25T13:21:57Z

Melnicki:

{{Fragestellung
|Status der Fragestellung=1 - offen
|Thema=Cloud Services
|Stichwort=Privacy Shield, Safe Harbour
|Fragetext=Ist das Privacy Shield DSGVO-konform?
}}

DSG:§ 70. Inkrafttreten

2017-11-03T19:40:16Z

Melnicki:

{{Paragraph
|Nummer=70
|Bezeichnung=Inkrafttreten
|Hauptstück=5. Hauptstück. Schlussbestimmungen
|Absätze={{Absatz
|Text=Der Titel, das Inhaltsverzeichnis, das 1. Hauptstück, die Bezeichnung und Überschrift des 2. Hauptstücks, der 1., 2., 3. und 4. Abschnitt, die Überschrift und Bezeichnung des 5. Abschnittes, § 35 Abs. 1, die Bezeichnung und Überschrift des 3. Hauptstücks, der 1., 2. und 3. Abschnitt, die Überschrift und Bezeichnung des 4. Abschnittes, die §§ 58 und 59 samt Überschriften sowie das 4. und 5. Hauptstück in der Fassung des Bundesgesetzes [https://www.ris.bka.gv.at/eli/bgbl/I/2017/120 BGBl. I Nr. 120/2017] treten mit 25. Mai 2018 in Kraft. Im Art. 2 treten der 1., 2., 3., 4., 5 und 6. Abschnitt, die Bezeichnung und die Überschrift des 7. Abschnittes, die Überschrift zu § 35, die §§ 36 bis 44 samt Überschriften, der 8., 9., 9a. und 10. Abschnitt, die Bezeichnung und die Überschrift des 11. Abschnittes, die §§ 53 bis 59 samt Überschriften, § 61 Abs. 1 bis 3 und 5 bis 10 sowie die §§ 62 bis 64 samt Überschriften in der Fassung vor der Novelle [https://www.ris.bka.gv.at/eli/bgbl/I/2017/120 BGBl. I Nr. 120/2017] mit Ablauf des 24. Mai 2018 außer Kraft.
}}{{Absatz
|Absatz=2
|Text=Die Standard- und Muster-Verordnung 2004 – StMV 2004, [https://www.ris.bka.gv.at/eli/bgbl/II/2004/312 BGBl. II Nr. 312/2004], die Datenverarbeitungsregister-Verordnung 2012 – DVRV 2012, [https://www.ris.bka.gv.at/eli/bgbl/II/2012/257 BGBl. II Nr. 257/2012], und die Datenschutzangemessenheits-Verordnung – DSAV, [https://www.ris.bka.gv.at/Dokumente/BgblPdf/1999_521_2/1999_521_2.pdf BGBl. II Nr. 521/1999], treten mit Ablauf des 24. Mai 2018 außer Kraft.
}}{{Absatz
|Erläuterung=§ 70 soll den derzeit in § 51 DSG 2000 geregelten gerichtlichen Tatbestand der Datenverarbeitung in Gewinn- oder Schädigungsabsicht weitgehend unverändert in das neue DSG übernehmen.
}}
}}

DSG:§ 69. Übergangsbestimmungen

2017-11-03T19:39:49Z

Melnicki:

{{Paragraph
|Nummer=69
|Bezeichnung=Übergangsbestimmungen
|Hauptstück=5. Hauptstück. Schlussbestimmungen
|Absätze={{Absatz
|Absatz=1
|Text=Die zum Zeitpunkt des Inkrafttretens dieses Bundesgesetzes laufende Funktionsperiode des Leiters der Datenschutzbehörde wird bis zu deren Ablauf fortgesetzt. Dies gilt auch für dessen Stellvertreter.
}}{{Absatz
|Absatz=2
|Text=Das von der Datenschutzbehörde geführte Datenverarbeitungsregister ist von der Datenschutzbehörde bis zum 31. Dezember 2019 zu Archivzwecken fortzuführen. Es dürfen keine Eintragungen und inhaltliche Änderungen im Datenverarbeitungsregister vorgenommen werden. Registrierungen im Datenverarbeitungsregister werden gegenstandslos. Jedermann kann in das Register Einsicht nehmen. In den Registrierungsakt einschließlich darin allenfalls enthaltener Genehmigungsbescheide ist Einsicht zu gewähren, wenn der Einsichtswerber glaubhaft macht, dass er eine betroffene Person ist, und soweit nicht überwiegende schutzwürdige Geheimhaltungsinteressen des Verantwortlichen (Auftraggebers) oder anderer Personen entgegenstehen.
}}{{Absatz
|Absatz=3
|Text=Gemäß den §§ 17 und 18 Abs. 2 DSG 2000 im Zeitpunkt des Inkrafttretens dieses Bundesgesetzes anhängige Registrierungsverfahren gelten als eingestellt. Im Zeitpunkt des Inkrafttretens dieses Bundesgesetzes anhängige Verfahren nach den §§ 13, 46 und 47 DSG 2000 sind fortzuführen, sofern die Genehmigung nach diesem Bundesgesetz oder der DSGVO erforderlich ist. Anderenfalls gelten sie als eingestellt.
}}{{Absatz
|Absatz=4
|Text=Zum Zeitpunkt des Inkrafttretens dieses Bundesgesetzes bei der Datenschutzbehörde oder bei den ordentlichen Gerichten zum Datenschutzgesetz 2000 anhängige Verfahren sind nach den Bestimmungen dieses Bundesgesetzes und der DSGVO fortzuführen, mit der Maßgabe, dass die Zuständigkeit der ordentlichen Gerichte aufrecht bleibt.
}}{{Absatz
|Absatz=5
|Text=Verletzungen des Datenschutzgesetzes 2000, die zum Zeitpunkt des Inkrafttretens dieses Bundesgesetzes noch nicht anhängig gemacht wurden, sind nach der Rechtslage nach Inkrafttreten dieses Bundesgesetzes zu beurteilen.
}}{{Absatz
|Absatz=6
|Text=Die Eingaben der betroffenen Personen nach § 24 sind von den Verwaltungsabgaben des Bundes befreit.
}}{{Absatz
|Absatz=7
|Text=Die entsendenden Stellen haben eine dem § 15 Abs. 1 Z 1 bis 6 entsprechende Anzahl von Mitgliedern und Ersatzmitgliedern des Datenschutzrates dem Bundeskanzleramt innerhalb von zwei Wochen ab dem 25. Mai 2018 schriftlich bekannt zu geben. Die konstituierende Sitzung des Datenschutzrates hat innerhalb von sechs Wochen ab dem 25. Mai 2018 zu erfolgen. Bis zur Wahl des neuen Vorsitzenden und der beiden stellvertretenden Vorsitzenden bleiben der bisherige Vorsitzende sowie die beiden bisherigen stellvertretenden Vorsitzenden in ihrer Funktion.
}}{{Absatz
|Absatz=8
|Text=Besondere Bestimmungen über die Verarbeitung von personenbezogenen Daten in anderen Bundes- oder Landesgesetzen bleiben unberührt.
}}{{Absatz
|Absatz=9
|Text=Vor Inkrafttreten dieses Bundesgesetzes nach §§ 13, 46 und 47 DSG 2000 rechtskräftig erteilte Genehmigungen der Datenschutzbehörde bleiben unberührt. Nach dem Datenschutzgesetz 2000 erteilte Zustimmungen bleiben aufrecht, sofern sie den Vorgaben der DSGVO entsprechen.
}}{{Absatz
|Erläuterung=Im Rahmen des Art.6 Abs.2 und 3 sowie Art.23 DSGVO und KapitelIX der DSGVO iVm Erwägungsgrund10 können die Mitgliedstaaten spezifischere Vorschriften zum Schutz Privater beibehalten oder erlassen. Derartige Regelungen sollen hinsichtlich der Datenverarbeitungen zu spezifischen Zwecken und der Bildverarbeitungen (5. und 6. Abschnitt des 2. Hauptstücks) vorgesehen werden. Darüber hinaus soll – wie bereits im DSG 2000 – auch das Datengeheimnis (§ 6) in das neue DSG aufgenommen werden. Um bei Verstößen gegen diese Verarbeitungen auch entsprechende Maßnahmen ergreifen zu können, sieht § 69 die Möglichkeit der Verhängung von Verwaltungsstrafen vor.

§ 69 soll nicht zur Anwendung kommen, sofern die Tat einen Tatbestand nach Art. 83 DSGVO verwirklicht oder nach anderen Verwaltungsstrafbestimmungen mit strengerer Strafe bedroht ist; § 69 soll damit nur subsidiär zu diesen Tatbeständen zur Anwendung kommen.

Auch gegen juristische Personen können bei Verwaltungsübertretung nach Abs. 1 und 2 Geldbußen nach den Vorgaben des § 19 verhängt werden.

Ein Absehen von der Bestrafung für die in § 69 vorgesehenen Strafen ist unter den im VStG vorgesehenen Voraussetzungen möglich (vgl. § 45 Abs. 1 VStG).
}}
}}

DSG:§ 68. Vollziehung

2017-11-03T19:38:58Z

Melnicki:

{{Paragraph
|Nummer=68
|Bezeichnung=Vollziehung
|Hauptstück=5. Hauptstück. Schlussbestimmungen
|Absätze={{Absatz
|Text=Mit der Vollziehung dieses Bundesgesetzes sind, soweit sie nicht der Bundesregierung obliegt, der Bundeskanzler und die anderen Bundesminister im Rahmen ihres Wirkungsbereichs betraut.
}}{{Absatz
|Erläuterung=§ 68 verweist für die Rechtsbehelfe, Haftung und Sanktionen auf den entsprechenden 3. Abschnitt des 2. Hauptstücks. Die Verhängung von Geldbußen gemäß § 19 soll ausgeschlossen sein, da Geldbußen gegen „zuständige Behörden“ (§ 35 Z 7) nicht verhängt werden können.
}}
}}

DSG:§ 67. Verweisungen

2017-11-03T19:38:42Z

Melnicki:

{{Paragraph
|Nummer=67
|Bezeichnung=Verweisungen
|Hauptstück=5. Hauptstück. Schlussbestimmungen
|Absätze={{Absatz
|Text=Soweit in diesem Bundesgesetz auf Bestimmungen anderer Bundesgesetze verwiesen wird, sind diese in ihrer jeweils geltenden Fassung anzuwenden.
}}{{Absatz
|Erläuterung=Für die Umsetzung des Art. 50 der Richtlinie (EU) 2016/680 kann sinngemäß auf die Bestimmungen des Art. 61 Abs. 1 bis 7 DSGVO verwiesen werden, da diese weitgehend inhaltsgleich sind.
}}
}}

DSG:§ 66. Erlassung von Verordnungen

2017-11-03T19:38:27Z

Melnicki:

{{Paragraph
|Nummer=66
|Bezeichnung=Erlassung von Verordnungen
|Hauptstück=5. Hauptstück. Schlussbestimmungen
|Absätze={{Absatz
|Text=Verordnungen auf Grund dieses Bundesgesetzes in seiner jeweiligen Fassung dürfen bereits von dem Tag an erlassen werden, der der Kundmachung der durchzuführenden Gesetzesbestimmungen folgt; sie dürfen jedoch nicht vor den durchzuführenden Gesetzesbestimmungen in Kraft treten.
}}{{Absatz
|Erläuterung=Die Datenschutzbehörde hat im Tätigkeitsbericht nach § 12 auch über ihre Tätigkeiten nach dem 3. Hauptstück zu berichten.
}}
}}

DSG:§ 65. Sprachliche Gleichbehandlung

2017-11-03T19:38:13Z

Melnicki:

{{Paragraph
|Nummer=65
|Bezeichnung=Sprachliche Gleichbehandlung
|Hauptstück=5. Hauptstück. Schlussbestimmungen
|Absätze={{Absatz
|Text=Soweit in diesem Bundesgesetz auf natürliche Personen bezogene Bezeichnungen nur in männlicher Form angeführt sind, beziehen sie sich auf Frauen und Männer in gleicher Weise. Bei der Anwendung der Bezeichnungen auf bestimmte natürliche Personen ist die jeweils geschlechtsspezifische Form zu verwenden.
}}{{Absatz
|Erläuterung=Die vorgeschlagene Bestimmung zur Umsetzung des Art. 48 der Richtlinie (EU) 2016/680 orientiert sich an bestehenden gesetzlichen Regelungen zum Whistleblowing.
}}
}}

DSG:§ 64. Durchführung und Umsetzung von Rechtsakten der EU

2017-11-03T19:37:55Z

Melnicki:

{{Paragraph
|Nummer=64
|Bezeichnung=Durchführung und Umsetzung von Rechtsakten der EU
|Hauptstück=5. Hauptstück. Schlussbestimmungen
|Absätze={{Absatz
|Absatz=1
|Text=Dieses Bundesgesetz dient der Durchführung der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1.
}}{{Absatz
|Absatz=2
|Text=Diese Bundesgesetz dient weiters der Umsetzung der Richtlinie (EU) 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstrec
}}{{Absatz
|Erläuterung=Ein Verweis auf Art. 58 DSGVO erscheint bei der Umsetzung des Art. 47 der Richtlinie (EU) 2016/680 aufgrund der gänzlich unterschiedlichen Regelungstechnik nicht möglich.

Abs. 2 soll Art. 47 Abs. 2 der Richtlinie (EU) 2016/680 und Abs. 3 soll Art. 47 Abs. 3 der Richtlinie (EU) 2016/680 umsetzen. Abs. 4 sieht die Umsetzung des Art. 47 Abs. 4 der Richtlinie (EU) 2016/680 durch Verweis auf Art. 58 Abs. 4 DSGVO vor.

Abs. 5 soll durch den Verweis auf § 39 Abs. 5 den Art. 47 Abs. 5 der Richtlinie (EU) 2016/680 umsetzen.
}}
}}

DSG:§ 63. Datenverarbeitung in Gewinn- oder Schädigungsabsicht

2017-11-03T19:37:33Z

Melnicki:

{{Paragraph
|Nummer=63
|Bezeichnung=Datenverarbeitung in Gewinn- oder Schädigungsabsicht
|Hauptstück=4. Hauptstück. Besondere Strafbestimmungen
|Absätze={{Absatz
|Text=Wer mit dem Vorsatz, sich oder einen Dritten dadurch unrechtmäßig zu bereichern, oder mit der Absicht, einen anderen dadurch in seinem von § 1 Abs. 1 gewährleisteten Anspruch zu schädigen, personenbezogene Daten, die ihm ausschließlich auf Grund seiner berufsmäßigen Beschäftigung anvertraut oder zugänglich geworden sind oder die er sich widerrechtlich verschafft hat, selbst benützt, einem anderen zugänglich macht oder veröffentlicht, obwohl der Betroffene an diesen Daten ein schutzwürdiges Geheimhaltungsinteresse hat, ist, wenn die Tat nicht nach einer anderen Bestimmung mit strengerer Strafe bedroht ist, vom Gericht mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bis zu 720 Tagessätzen zu bestrafen.
}}{{Absatz
|Erläuterung=In jenen Fällen, in welchen der vorliegende Aufgabenbereich in der Richtlinie (EU) 2016/680 grundsätzlich mit jenen der DSGVO ident ist, soll in der Richtlinienumsetzung direkt auf die DSGVO verwiesen werden. Der Verweis auf Art. 57 Abs. 1 lit. c bis e, g, h und t DSGVO ist in Verbindung mit dem Einleitungssatz zu Abs. 1 zu verstehen, welcher auf den Anwendungsbereich des § 34 verweist. Diese Aufgaben sind somit mit der Maßgabe vorzunehmen, dass sie nur den Anwendungsbereich des § 34 in Bezug auf dieses Hauptstück betreffen.

Mit Abs. 3 wird Art. 46 Abs. 3 und 4 der Richtlinie (EU) 2016/680 durch Verweis auf die Bestimmungen in der DSGVO umgesetzt. Die Tätigkeit des Datenschutzbeauftragten ist nach Art. 46 Abs. 3 der Richtlinie (EU) 2016/680 immer unentgeltlich.
}}
}}

DSG:§ 62. Verwaltungsstrafbestimmung

2017-11-03T19:37:10Z

Melnicki:

{{Paragraph
|Nummer=62
|Bezeichnung=Verwaltungsstrafbestimmung
|Hauptstück=4. Hauptstück. Besondere Strafbestimmungen
|Absätze={{Absatz
|Absatz=1
|Text=Sofern die Tat nicht einen Tatbestand nach Art. 83 DSGVO verwirklicht oder nach anderen Verwaltungsstrafbestimmungen mit strengerer Strafe bedroht ist, begeht eine Verwaltungsübertretung, die mit Geldstrafe bis zu 50 000 Euro zu ahnden ist, wer
# sich vorsätzlich widerrechtlichen Zugang zu einer Datenverarbeitung verschafft oder einen erkennbar widerrechtlichen Zugang vorsätzlich aufrechterhält,
# Daten vorsätzlich in Verletzung des Datengeheimnisses (§ 6) übermittelt, insbesondere Daten, die ihm gemäß §§ 7 oder 8 anvertraut wurden, vorsätzlich für andere unzulässige Zwecke verarbeitet,
# sich unter Vortäuschung falscher Tatsachen vorsätzlich personenbezogene Daten gemäß § 10 verschafft,
# eine Bildverarbeitung entgegen den Bestimmungen des 3. Abschnittes des 1. Hauptstücks betreibt oder
# die Einschau gemäß § 22 Abs. 2 verweigert.
}}{{Absatz
|Absatz=2
|Text=Der Versuch ist strafbar.
}}{{Absatz
|Absatz=3
|Text=Gegen juristische Personen können bei Verwaltungsübertretung nach Abs. 1 und 2 Geldbußen nach Maßgabe des § 30 verhängt werden.
}}{{Absatz
|Absatz=4
|Text=Die Strafe des Verfalls von Datenträgern und Programmen sowie Bildübertragungs- und Bildaufzeichnungsgeräten kann ausgesprochen werden (§§ 10, 17 und 18 VStG), wenn diese Gegenstände mit einer Verwaltungsübertretung nach Abs. 1 in Zusammenhang stehen.
}}{{Absatz
|Absatz=5
|Text=Die Datenschutzbehörde ist zuständig für Entscheidungen nach Abs. 1 bis 4.
}}{{Absatz
|Erläuterung=Nach Art. 41 Abs. 1 der Richtlinie (EU) 2016/680 hat jeder Mitgliedstaat vorzusehen, dass eine oder mehrere unabhängige Behörden für die Überwachung der Anwendung dieser Richtlinie zuständig sind, damit die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung geschützt werden und der freie Verkehr personenbezogener Daten in der Union erleichtert wird. Die Mitgliedstaaten können gemäß Art. 41 Abs. 3 der Richtlinie (EU) 2016/680 auch vorsehen, dass die gemäß der DSGVO in den Mitgliedstaaten errichtete Aufsichtsbehörde die in dieser Richtlinie genannte Aufsichtsbehörde ist und die Verantwortung für die Aufgaben der nach Abs. 1 zu errichtenden Aufsichtsbehörde übernimmt.

In diesem Sinne soll die Datenschutzbehörde sowohl für den Anwendungsbereich der DSGVO als auch der Richtlinie (EU) 2016/680 die zuständige Aufsichtsbehörde nach Art. 41 Abs. 1 und 3 der Richtlinie (EU) 2016/680 sein. Dies wird durch den Verweis auf § 34 sichergestellt. Aufgrund dieses Verweises ist die Datenschutzbehörde aber auch zuständige Aufsichtsbehörde für die Verarbeitung personenbezogener Daten zum Zweck der nationalen Sicherheit, der Nachrichtendienste und der militärischen Eigensicherung.

Nach Art.45 Abs.2 der Richtlinie (EU) 2016/680 sieht jeder Mitgliedstaat vor, dass jede Aufsichtsbehörde nicht für die Aufsicht über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen zuständig ist. Die Mitgliedstaaten können vorsehen, dass ihre Aufsichtsbehörde nicht für die Überwachung der von anderen unabhängigen Justizbehörden im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen zuständig ist. §62 Abs.1 setzt diese Vorgaben des Art. 45 Abs. 2 der Richtlinie (EU) 2016/680 um.

Die Vorgaben für die Unabhängigkeit in Art. 42 der Richtlinie (EU) 2016/680 werden zum einen durch den Verweis auf Art. 52 DSGVO und zum anderen durch den Verweis auf § 8 umgesetzt. Durch den Verweis auf § 8 wird auch zum Teil bereits Art. 44 Abs. 1 lit. f Richtlinie (EU) 2016/680 umgesetzt.

Die allgemeinen Bedingungen für die Mitglieder der Aufsichtsbehörde gemäß Art. 43 sollen durch den Verweis auf Art. 53 DSGVO sowie auf § 7 Abs. 2 sowie auf § 9 umgesetzt werden. Damit sollen überdies auch die Vorgaben des Art. 44 Abs. 1 lit. a bis f Richtlinie (EU) 2016/680 umgesetzt werden.

Zur Umsetzung des Art. 44 Abs. 2 der Richtlinie (EU) 2016/680 ist anzumerken, dass Art. 54 Abs. 2 DSGVO bereits unmittelbar anwendbar die Verschwiegenheitspflicht festlegt. Darüber hinaus gilt für die betroffenen Personen auch die Amtsverschwiegenheit. Insofern kann für die Umsetzung des Art. 44 Abs. 2 der Richtlinie (EU) 2016/680 unmittelbar auf Art. 54 DSGVO verwiesen werden.
}}
}}

DSG:§ 61. Übergangsbestimmungen

2017-11-03T19:36:22Z

Melnicki:

{{Paragraph
|Nummer=61
|Bezeichnung=Übergangsbestimmungen
|Hauptstück=3. Hauptstück. Verarbeitung personenbezogener Daten für Zwecke der Sicherheitspolizei
|Abschnitt=4. Abschnitt. Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen
|Absätze={{Absatz
|Text=''(Anm.: Abs. 1 bis 3 aufgehoben durch Z 3, [https://www.ris.bka.gv.at/eli/bgbl/I/2017/120 BGBl. I Nr. 120/2017])''
}}{{Absatz
|Absatz=4
|Text='''(Verfassungsbestimmung)''' Datenanwendungen, die für die in § 17 Abs. 3 genannten Zwecke notwendig sind, dürfen auch bei Fehlen einer im Sinne des § 1 Abs. 2 ausreichenden gesetzlichen Grundlage bis 31. Dezember 2007 vorgenommen werden, in den Fällen des § 17 Abs. 3 Z 1 bis 3 jedoch bis zur Erlassung von bundesgesetzlichen Regelungen über die Aufgaben und Befugnisse in diesen Bereichen.
}}{{Absatz
|Text=''(Anm.: Abs. 5 bis 10 aufgehoben durch Z 3, [https://www.ris.bka.gv.at/eli/bgbl/I/2017/120 BGBl. I Nr. 120/2017])''
}}{{Absatz
|Erläuterung=Mit dieser Bestimmung wird Art. 38 der Richtlinie (EU) 2016/680 umgesetzt.

Diese Bestimmung regelt abschließend, unter welchen Voraussetzungen eine Übermittlung personenbezogener Daten zulässig ist, wenn im Drittland bzw. in der internationalen Organisation, an das bzw. an die die Übermittlung erfolgt, kein ausreichendes Datenschutzniveau (dh. weder aufgrund eines Angemessenheitsbeschlusses nach § 59 noch aufgrund geeigneter Garantien gemäß § 60) vorhanden ist. Die in Abs. 1 angeführten Übermittlungszwecke sind taxativ festgelegt; in den Fällen der Z 4 und 5 hat der Verantwortliche zudem eine Interessenabwägung im Einzelfall durchzuführen, in den Fällen der Z 1 bis 3 kann eine solche unterbleiben, weil in diesen Fällen jeweils öffentliche Interessen von besonderem Gewicht betroffen sind, sodass jedenfalls von einem überwiegenden öffentlichen Interesse an der Übermittlung der personenbezogenen Daten auszugehen ist.

Eine Rechtsgrundlage gemäß Abs. 1 Z 2 bilden neben Gesetzen insbesondere auch gesetzesrangige internationale Abkommen sein.

Die Ausnahmen sind restriktiv auszulegen. Häufige, umfassende und strukturelle Übermittlungen personenbezogener Daten sowie Datenübermittlungen in großem Umfang sind auszuschließen und müssen daher auf unbedingt notwendige personenbezogene Daten beschränkt werden (vgl. auch Erwägungsgrund 72).

Um eine Überprüfung der Rechtmäßigkeit derartiger Übermittlung zu ermöglichen, sieht Abs. 3 eine Dokumentationspflicht vor.
}}
}}

DSG:§ 60. Inkrafttreten (Anm.: Überschrift aufgehoben durch Z 32, BGBl. I Nr. 24/2018)

2017-11-03T19:35:42Z

Melnicki:

{{Paragraph
|Nummer=60
|Bezeichnung=Inkrafttreten
|Hauptstück=3. Hauptstück. Verarbeitung personenbezogener Daten für Zwecke der Sicherheitspolizei
|Abschnitt=4. Abschnitt. Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen
|Absätze={{Absatz
|Text=''(Anm.: Abs. 1 durch Art. 2 § 2 Abs. 1 Z 24 und Abs. 2 Z 71, [https://www.ris.bka.gv.at/eli/bgbl/I/2008/2 BGBl. I Nr. 2/2008], als nicht mehr geltend festgestellt.)''
}}{{Absatz
|Absatz=2
|Text=Die übrigen Bestimmungen dieses Bundesgesetzes treten ebenfalls mit 1. Jänner 2000 in Kraft.
}}{{Absatz
|Absatz=3
|Text=§§ 26 Abs. 6 und 52 Abs. 1 und 2 in der Fassung des Bundesgesetzes [https://www.ris.bka.gv.at/Dokumente/BgblPdf/2001_136_1/2001_136_1.pdf BGBl. I Nr. 136/2001] treten mit 1. Jänner 2002 in Kraft.
}}{{Absatz
|Absatz=4
|Text=§ 48a Abs. 5 in der Fassung des Bundesgesetzes [https://www.ris.bka.gv.at/eli/bgbl/I/2009/135 BGBl. I Nr. 135/2009] tritt mit 1. Jänner 2010 in Kraft.
}}{{Absatz
|Absatz=5
|Text=Das Inhaltsverzeichnis, § 4 Abs. 1 Z 4, 5, 7 bis 9, 11 und 12, § 8 Abs. 1, 2 und 4, § 12 Abs. 1, die Umnummerierung der Absätze in § 13, § 16 Abs. 1 und 3, § 17 Abs. 1, 1a und 4, § 19 Abs. 1 Z 3a und Abs. 2, die Umnummerierung der Absätze in § 19, die §§ 20 bis 22a samt Überschriften, § 24 Abs. 2a, § 24 Abs. 4, § 26 Abs. 1 bis 8 und 10, § 28 Abs. 3, § 30 Abs. 2a, 5 bis 6a, die §§ 31 und 31a samt Überschriften, § 32 Abs. 1, 4, 6 und 7, § 34 Abs. 1, 3 und 4, § 36 Abs. 3, 3a und 9, § 39 Abs. 5, § 40 Abs. 1 und 2, § 41 Abs. 2 Z 4a, § 42 Abs. 1 Z 1, § 42 Abs. 5, § 46 Abs. 1 Z 2 und 3, Abs. 2 bis 3a, § 47 Abs. 4, § 49 Abs. 3, § 50 Abs. 1 bis 2a, der 9a. Abschnitt, § 51, § 52 Abs. 2 und 4, § 55, § 61 Abs. 6 bis 9 sowie § 64 in der Fassung des Bundesgesetzes [https://www.ris.bka.gv.at/eli/bgbl/I/2009/133 BGBl. I Nr. 133/2009] treten mit 1. Jänner 2010 in Kraft. Gleichzeitig treten § 4 Abs. 1 Z 10, § 13 Abs. 3 sowie § 51 Abs. 2 außer Kraft.
}}{{Absatz
|Absatz=6
|Text=§ 36 Abs. 6 in der Fassung des Bundesgesetzes [https://www.ris.bka.gv.at/eli/bgbl/I/2009/133 BGBl. I Nr. 133/2009] tritt am 1. Juli 2010 in Kraft.
}}{{Absatz
|Absatz=6a
|Text=§ 37 Abs. 2, § 38 Abs. 2 und § 61 Abs. 9 in der Fassung des Bundesgesetzes [https://www.ris.bka.gv.at/eli/bgbl/I/2013/57 BGBl. I Nr. 57/2013] treten mit 1. Mai 2013 in Kraft.
}}{{Absatz
|Absatz=7
|Text=Das Inhaltverzeichnis, § 5 Abs. 4, § 10 Abs. 2, § 12 Abs. 4, § 13 Abs. 1, 2 Z 2, Abs. 3, 4 und 6, § 16 Abs. 1, § 17 Abs. 1, § 18 Abs. 2, § 19 Abs. 1 Z 6 und Abs. 2, § 20 Abs. 2 und 5 Z 2, § 21 Abs. 1 Z 3, § 22 Abs. 2 bis 4, § 22a Abs. 1, 3 bis 5, § 23 Abs. 2, § 26 Abs. 2, 5 und 7, § 27 Abs. 5 und 7, die Überschrift zu § 30, § 30 Abs. 1, 2, 2a, 4 bis 6a, die Überschrift zu § 31, § 31 Abs. 1, 2, 5, 6 und 8, § 31a, § 32 Abs. 5 bis 7, § 34 Abs. 3 und 4, die Überschrift zu § 35, § 35 Abs. 1, §§ 36 bis 40 samt Überschriften, § 41 Abs. 2 Z 1, § 44 Abs. 6 und 8, § 46 Abs. 2 Z 3 und Abs. 3, § 47 Abs. 3 und 4, § 48a Abs. 2, § 50 Abs. 1 und 2, § 50b Abs. 2, § 50c Abs. 1, § 52 Abs. 2 Z 2 und 3 sowie Abs. 5, § 54 Abs. 2 und § 61 Abs. 8 bis 10 in der Fassung des Bundesgesetzes [https://www.ris.bka.gv.at/eli/bgbl/I/2013/83 BGBl. I Nr. 83/2013] treten mit 1. Jänner 2014 in Kraft. Gleichzeitig treten § 41 Abs. 2 Z 4a und die DSK-Vergütungsverordnung, [https://www.ris.bka.gv.at/eli/bgbl/II/2006/145 BGBl. II Nr. 145/2006], außer Kraft. Die für die Bestellung des Leiters der Datenschutzbehörde und seines Stellvertreters notwendigen organisatorischen und personellen Maßnahmen können bereits vor Inkrafttreten des Bundesgesetzes [https://www.ris.bka.gv.at/eli/bgbl/I/2013/83 BGBl. I Nr. 83/2013] getroffen werden.
}}{{Absatz
|Absatz=8
|Text='''(Verfassungsbestimmung)''' § 2 Abs. 2 und § 35 Abs. 2 in der Fassung des Bundesgesetzes [https://www.ris.bka.gv.at/eli/bgbl/I/2013/83 BGBl. I Nr. 83/2013] treten mit 1. Jänner 2014 in Kraft.
}}{{Absatz
|Erläuterung=Mit dieser Bestimmung wird Art. 37 der Richtlinie (EU) 2016/680 umgesetzt.

Rechtsverbindliche Instrumente iSd Abs. 1 Z 1 können insbesondere Polizei- und Rechtshilfeabkommen sein, die betroffenen Personen subjektive Rechte einräumen und wirksame verwaltungsrechtliche und gerichtliche Rechtsbehelfe vorsehen; bei der Beurteilung der Umstände im Zusammenhang mit der Datenübermittlung gemäß Abs. 1 Z 2 kann der Verantwortliche insbesondere Kooperationsvereinbarungen zwischen Europol oder Eurojust und Drittländern sowie Geheimhaltungspflichten berücksichtigen. Personenbezogene Daten sollten zudem nicht verwendet werden, um die Todesstrafe oder eine Form der grausamen und unmenschlichen Behandlung zu beantragen, zu verhängen oder zu vollstrecken (vgl. Erwägungsgrund 71).
}}
}}

DSG:§ 59. Datenübermittlung an Drittländer oder internationale Organisationen

2017-11-03T19:35:06Z

Melnicki:

{{Paragraph
|Nummer=59
|Bezeichnung=Datenübermittlung an Drittländer oder internationale Organisationen
|Hauptstück=3. Hauptstück. Verarbeitung personenbezogener Daten für Zwecke der Sicherheitspolizei
|Abschnitt=4. Abschnitt. Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen
|Absätze={{Absatz
|Absatz=1
|Text=Die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation ist zulässig, wenn die Europäische Kommission gemäß Art. 36 Abs. 3 der Richtlinie (EU) 2016/680 im Wege eines Durchführungsaktes beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet. Eine solche Datenübermittlung bedarf keiner besonderen Genehmigung. Die Genehmigungspflicht gemäß § 58 Abs. 1 Z 3 bleibt davon unberührt.
}}{{Absatz
|Absatz=2
|Text=Übermittlungen personenbezogener Daten an ein Drittland, an ein Gebiet oder einen oder mehrere spezifischen Sektoren in einem Drittland oder an eine internationale Organisation gemäß den Abs. 3 bis 8 werden durch einen gemäß Art. 36 Abs. 5 der Richtlinie (EU) 2016/680 gefassten Beschluss der Europäischen Kommission zum Widerruf, zur Änderung oder zur Aussetzung eines Beschlusses nach Art. 36 Abs. 3 der Richtlinie (EU) 2016/680 nicht berührt.
}}{{Absatz
|Absatz=3
|Text=Liegt kein Beschluss nach Abs. 1 vor, so ist die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation zulässig, wenn
# in einem rechtsverbindlichen Instrument geeignete Garantien für den Schutz personenbezogener Daten vorgesehen sind oder
# der Verantwortliche auf Grund einer Beurteilung der für die Übermittlung personenbezogener Daten maßgeblichen Umstände zu der Auffassung gelangt ist, dass geeignete Garantien zum Schutz personenbezogener Daten bestehen.
}}{{Absatz
|Absatz=4
|Text=Bestehen geeignete Garantien gemäß Abs. 3 Z 2 für Kategorien von Übermittlungen, so hat der Verantwortliche die Datenschutzbehörde über diese Kategorien zu unterrichten.
}}{{Absatz
|Absatz=5
|Text=Übermittlungen gemäß Abs. 3 Z 2 sind zu dokumentieren und die Dokumentation einschließlich Datum und Zeitpunkt der Übermittlung, Informationen über die empfangende zuständige Behörde, Begründung der Übermittlung und übermittelte personenbezogenen Daten, der Datenschutzbehörde auf Anforderung zur Verfügung zu stellen.
}}{{Absatz
|Absatz=6
|Text=Wenn weder ein Angemessenheitsbeschluss gemäß Abs. 1 bis 2 vorliegt noch geeignete Garantien gemäß Abs. 3 bis 5 vorhanden sind, so ist nach Maßgabe des Abs. 5 eine Übermittlung personenbezogener Daten an ein Drittland oder an eine internationale Organisation nur zulässig, wenn die Übermittlung erforderlich ist
# zum Schutz lebenswichtiger Interessen einer Person,
# wenn dies zur Wahrung berechtigter Interessen der betroffenen Person gesetzlich vorgesehen ist,
# zur Abwehr einer unmittelbaren und ernsthaften Gefahr für die öffentliche Sicherheit eines Mitgliedstaates der EU oder eines Drittlandes,
# im Einzelfall für die in § 36 Abs. 1 genannten Zwecke, oder
# im Einzelfall zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Zusammenhang mit den in § 36 Abs. 1 genannten Zwecken.
}}{{Absatz
|Absatz=7
|Text=In den Fällen des Abs. 6 Z 4 und 5 ist die Übermittlung nur zulässig, wenn keine das öffentliche Interesse an der Übermittlung überwiegenden Grundrechte und Grundfreiheiten der betroffenen Person der Übermittlung entgegenstehen.
}}{{Absatz
|Erläuterung=Mit dieser Bestimmung wird Art.36 der Richtlinie (EU) 2016/680 umgesetzt, soweit er an die Mitgliedstaaten gerichtet ist.

Die Europäische Kommission kann gemäß Art. 36 Abs. 3 der Richtlinie (EU) 2016/680 in Form von Durchführungsakten gemäß Art. 58 Abs. 2 der Richtlinie (EU) 2016/680 beschließen, dass ein Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder eine internationale Organisation ein angemessenes Schutzniveau bietet. Derartige Angemessenheitsbeschlüsse entsprechen dem Grunde nach den Angemessenheitsbeschlüssen nach Art. 45 DSGVO, sind jedoch inhaltlich auf die Vorgaben der Richtlinie (EU) 2016/680 gerichtet und auf den Strafverfolgungsbereich beschränkt. Eine besondere Genehmigung für Datenübermittlungen aufgrund eines Angemessenheitsbeschlusses ist nicht erforderlich; die Genehmigungspflicht gemäß § 58 Abs. 1 Z 3 bleibt aufrecht.

Angemessenheitsbeschlüsse gemäß Art.36 Abs.3 der Richtlinie (EU) 2016/680 können von der Europäischen Kommission gemäß Abs. 5 leg.cit. in Form von Durchführungsrechtsakten widerrufen, geändert oder ausgesetzt werden, wenn entsprechende Informationen dahingehend vorliegen, dass ein Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in einem Drittland oder eine internationale Organisation kein angemessenes Schutzniveau mehr gewährleistet; Übermittlungen aufgrund angemessener Garantien gemäß § 60 sowie in Ausnahmefällen gemäß § 61 bleiben davon jedoch unberührt.

Die Kommission veröffentlicht gemäß Art. 36 Abs. 8 der Richtlinie (EU) 2016/680 im Amtsblatt der Europäischen Union und auf ihrer Website eine Liste aller Drittländern beziehungsweise Gebiete und spezifischen Sektoren in einem Drittland und aller internationalen Organisationen, bei denen sie durch Beschluss festgestellt hat, dass diese ein beziehungsweise kein angemessenes Schutzniveau für personenbezogene Daten bieten. Ein zusätzlicher innerstaatlicher Umsetzungsakt ist nicht erforderlich, da §59 Abs.1 unmittelbar an das Vorliegen eines Angemessenheitsbeschlusses der Europäischen Kommission gemäß Art. 36 Abs. 3 der Richtlinie (EU) 2016/680 anknüpft.

Vgl. zum Verfahren zur Erlassung von Angemessenheitsentscheidungen Art. 36 Abs. 2 bis 6 der Richtlinie (EU) 2016/680:

„(2) Bei der Prüfung der Angemessenheit des Schutzniveaus berücksichtigt die Kommission insbesondere

a) die Rechtsstaatlichkeit, die Achtung der Menschenrechte und Grundfreiheiten, die in dem betreffenden Land bzw. der betreffenden internationalen Organisation geltenden Vorschriften sowohl allgemeiner als auch sektoraler Art, auch in Bezug auf die öffentliche Sicherheit, die Landesverteidigung, die nationale Sicherheit und das Strafrecht, und der Zugang der Behörden zu personenbezogenen Daten sowie die Durchsetzung dieser Vorschriften, Datenschutzvorschriften, Berufsregeln und Sicherheitsvorschriften einschließlich der Vorschriften für die Weiterübermittlung personenbezogener Daten an ein anderes Drittland bzw. eine andere internationale Organisation, Rechtsprechung sowie wirksame und durchsetzbare Rechte der betroffenen Person und wirksame verwaltungsrechtliche und gerichtliche Rechtsbehelfe für betroffene Personen, deren personenbezogene Daten übermittelt werden,

b) die Existenz und die wirksame Funktionsweise einer oder mehrerer unabhängiger Aufsichtsbehörden in dem betreffenden Drittland oder denen eine internationale Organisation untersteht und die für die Einhaltung und Durchsetzung der Datenschutzvorschriften, einschließlich angemessener Durchsetzungsbefugnisse, für die Unterstützung und Beratung der betroffenen Personen bei der Ausübung ihrer Rechte und für die Zusammenarbeit mit den Aufsichtsbehörden der Mitgliedstaaten zuständig sind, und

c) die von dem betreffenden Drittland bzw. der betreffenden internationalen Organisation eingegangenen internationalen Verpflichtungen oder andere Verpflichtungen, die sich aus rechtsverbindlichen Übereinkünften oder Rechtsinstrumenten sowie aus der Teilnahme des Drittlandes oder der internationalen Organisation an multilateralen oder regionalen Systemen insbesondere in Bezug auf den Schutz personenbezogener Daten ergeben.

(3) Nach der Beurteilung der Angemessenheit des Schutzniveaus kann die Kommission im Wege eines Durchführungsrechtsaktes beschließen, dass ein Drittland beziehungsweise ein Gebiet oder ein oder mehrere spezifische Sektoren in einem Drittland oder eine internationale Organisation ein angemessenes Schutzniveau im Sinne des Absatzes 2 dieses Artikels bietet. In dem Durchführungsrechtsakt wird ein Mechanismus für die regelmäßige Überprüfung vorgesehen, die mindestens alle vier Jahre erfolgt und bei der allen maßgeblichen Entwicklungen in dem Drittland oder der internationalen Organisation Rechnung getragen wird. Im Durchführungsrechtsakt werden der territoriale und der sektorale Anwendungsbereich sowie gegebenenfalls die in Absatz 2 Buchstabe b dieses Artikels genannte Aufsichtsbehörde oder die dort genannten Aufsichtsbehörden angegeben. Der Durchführungsrechtsakt wird gemäß dem in Artikel 58 Absatz 2 genannten Prüfverfahren erlassen.

(4) Die Kommission überwacht fortlaufend die Entwicklungen in Drittländern und internationalen Organisationen, die die Wirkungsweise der nach Absatz 3 erlassenen Beschlüsse beeinträchtigen könnten.

(5) Die Kommission widerruft, ändert oder setzt die in Absatz 3 des vorliegenden Artikels genannten Beschlüsse im Wege von Durchführungsrechtsakten aus, soweit dies nötig ist und ohne rückwirkende Kraft, soweit entsprechende Informationen – insbesondere im Anschluss an die in Absatz 3 des vorliegenden Artikels genannte Überprüfung – dahingehend vorliegen, dass ein Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in einem Drittland oder eine internationale Organisation kein angemessenes Schutzniveau im Sinne des Absatzes 2 des vorliegenden Artikels mehr gewährleistet. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 58 Absatz 2 genannten Prüfverfahren oder in äußerst dringlichen Fällen gemäß dem in Artikel 58 Absatz 3 genannten Verfahren erlassen.

In hinreichend begründeten Fällen äußerster Dringlichkeit erlässt die Kommission gemäß dem in Artikel 58 Absatz 3 genannten Verfahren sofort geltende Durchführungsrechtsakte.

(6) Die Kommission nimmt Beratungen mit dem betreffenden Drittland bzw. der betreffenden internationalen Organisation auf, um Abhilfe für die Situation zu schaffen, die zu dem Beschluss nach Absatz 5 geführt hat.“
}}
}}

DSG:§ 58. Allgemeine Grundsätze für die Übermittlung personenbezogener Daten

2017-11-03T19:33:32Z

Melnicki:

{{Paragraph
|Nummer=58
|Bezeichnung=Allgemeine Grundsätze für die Übermittlung personenbezogener Daten
|Hauptstück=3. Hauptstück. Verarbeitung personenbezogener Daten für Zwecke der Sicherheitspolizei
|Abschnitt=4. Abschnitt. Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen
|Absätze={{Absatz
|Absatz=1
|Text=Eine Übermittlung von personenbezogenen Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, durch zuständige Behörden ist nur zulässig, wenn die Bestimmungen dieses Hauptstücks eingehalten werden und
# die Übermittlung für die in § 36 Abs. 1 genannten Zwecke erforderlich ist,
# die personenbezogenen Daten an einen Verantwortlichen in einem Drittland oder einer internationalen Organisation, die eine für die in § 36 Abs. 1 genannten Zwecke zuständige Behörde ist, übermittelt werden,
# in Fällen, in denen personenbezogene Daten aus einem anderen Mitgliedstaat der EU übermittelt oder zur Verfügung gestellt werden, dieser Mitgliedstaat die Übermittlung zuvor genehmigt hat,
# die Europäische Kommission gemäß § 59 Abs. 1 und 2 einen Angemessenheitsbeschluss gefasst hat oder, wenn kein solcher Beschluss vorliegt, geeignete Garantien im Sinne des § 59 Abs. 3 bis 5 erbracht wurden oder bestehen oder, wenn kein Angemessenheitsbeschluss gemäß § 59 Abs. 1 und 2 vorliegt und keine geeigneten Garantien im Sinne des § 59 Abs. 3 bis 5 vorhanden sind, Ausnahmen für bestimmte Fälle gemäß § 59 Abs. 6 und 7 anwendbar sind und
# sichergestellt ist, dass eine Weiterübermittlung an ein anderes Drittland oder eine andere internationale Organisation nur aufgrund einer vorherigen Genehmigung der zuständigen Behörde, die die ursprüngliche Übermittlung durchgeführt hat, und unter gebührender Berücksichtigung sämtlicher maßgeblicher Faktoren, einschließlich der Schwere der Straftat, des Zwecks der ursprünglichen Übermittlung personenbezogener Daten und des Schutzniveaus für personenbezogene Daten in dem Drittland oder der internationalen Organisation, an das bzw. die personenbezogene Daten weiterübermittelt werden, zulässig ist.
}}{{Absatz
|Absatz=2
|Text=Eine Übermittlung ohne vorherige Genehmigung gemäß Abs. 1 Z 3 ist nur zulässig, wenn die Übermittlung erforderlich ist, um eine unmittelbare und ernsthafte Gefahr für die öffentliche Sicherheit eines Mitgliedstaats oder eines Drittlandes oder für die wesentlichen Interessen eines Mitgliedstaats abzuwehren, und die vorherige Genehmigung nicht rechtzeitig eingeholt werden kann. Die für die Erteilung der vorherigen Genehmigung zuständige Behörde ist unverzüglich zu unterrichten.
}}{{Absatz
|Absatz=3
|Text=Ersucht eine zuständige Behörde eines anderen Mitgliedstaates der EU um Genehmigung zur Übermittlung von personenbezogenen Daten, die ursprünglich aus dem Inland übermittelt wurden, an ein Drittland oder eine internationale Organisation gemäß Abs. 1 Z 3, so ist zur Erteilung dieser Genehmigung jene zuständige Behörde zuständig, die die personenbezogenen Daten ursprünglich übermittelt hat, soweit nicht gesetzlich anderes angeordnet ist.
}}{{Absatz
|Erläuterung=Mit dieser Bestimmung wird Art. 38 der Richtlinie (EU) 2016/680 umgesetzt.

Übermittlungen personenbezogener Daten an Drittländer oder internationale Organisationen zu den in § 34 genannten Zwecken dürfen nur an für die genannten Zwecke zuständige Behörden im jeweiligen Drittland bzw. in der jeweiligen internationalen Organisation erfolgen. Eine Übermittlung an sonstige Empfänger (zB private Unternehmen) ist hingegen grundsätzlich ausgeschlossen; um allfällige personenbezogene Daten an Private zu übermitteln, sind die in Rechtsschutzabkommen vorgesehenen offiziellen Kanäle einzuhalten.

Auftragsverarbeiter dürfen derartige Übermittlungen nur aufgrund eines ausdrücklichen Auftrages des Verantwortlichen durchführen (vgl. Erwägungsgrund 64 der Richtlinie (EU) 2016/680).

Datenübermittlungen in Drittländer oder internationale Organisationen können aufgrund einer Angemessenheitsentscheidung der Europäischen Kommission, mit der ein angemessenes Datenschutzniveau festgestellt wird (§ 59), falls eine solche nicht vorhanden ist aufgrund geeigneter Garantien (§ 60) oder falls auch diese nicht vorliegen in bestimmten Ausnahmefällen erfolgen (§ 61).

Für die Weiterübermittlung von personenbezogenen Daten, die ursprünglich aus einem anderen Mitgliedstaat stammen, an Drittländer oder internationale Organisationen ist gemäß Abs. 1 Z 3 eine vorherige Genehmigung durch die zuständige Behörde jenes Mitgliedstaats, der die personenbezogenen Daten ursprünglich übermittelt hat, erforderlich. Wird ein derartiges Genehmigungsersuchen von einem anderen Mitgliedstaat der EU gestellt, ist vorbehaltlich abweichender materiengesetzlicher Regelungen zur Erteilung der Genehmigung jene Behörde zuständig, die die personenbezogenen Daten ursprünglich an den anderen Mitgliedstaat übermittelt hat. Von dem Erfordernis einer Vorabgenehmigung kann nur in bestimmten dringenden Ausnahmefällen abgesehen werden.

Um sicherzustellen, dass datenschutzrechtliche Vorgaben nicht dadurch unterlaufen werden können, dass die an ein Drittland oder eine internationale Organisation übermittelten personenbezogenen Daten in der Folge von diesem an ein anderes Drittland oder eine andere internationale Organisation weiterübermittelt werden, muss bei jeder Übermittlung an ein Drittland oder eine internationale Organisation gemäß Abs. 1 Z 5 eine Genehmigungspflicht für derartige Weiterübermittlungen verbindlich verankert werden. Dies kann insbesondere im Rahmen von Polizeikooperations- und Rechtshilfeabkommen erfolgen. Bei der Erteilung dieser Genehmigung sind insbesondere die in Abs. 1 Z 5 angeführten Faktoren zu prüfen und zu berücksichtigen.

Die zuständige Behörde, die die ursprüngliche Übermittlung durchgeführt hat, kann die Weiterübermittlung auch an besondere Bedingungen knüpfen (zB Bearbeitungscodes; vgl. Erwägungsgrund 65).

Internationale Übereinkünfte, die die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen mit sich bringen, die von den Mitgliedstaaten vor dem 6. Mai 2016 geschlossen wurden und die mit dem vor dem genannten Datum geltenden Unionsrecht vereinbar sind, bleiben in Kraft, bis sie geändert, ersetzt oder gekündigt werden (siehe Art. 61 der Richtlinie (EU) 2016/680).
}}
}}

DSG:§ 57. Benennung, Stellung und Aufgaben des Datenschutzbeauftragten

2017-11-03T19:32:27Z

Melnicki:

{{Paragraph
|Nummer=57
|Bezeichnung=Benennung, Stellung und Aufgaben des Datenschutzbeauftragten
|Hauptstück=3. Hauptstück. Verarbeitung personenbezogener Daten für Zwecke der Sicherheitspolizei
|Abschnitt=3. Abschnitt. Verantwortlicher und Auftragsverarbeiter
|Absätze={{Absatz
|Absatz=1
|Text=Jeder Verantwortliche hat nach Maßgabe des Art. 37 Abs. 5 und 7 DSGVO einen Datenschutzbeauftragten zu benennen. Gerichte sind im Rahmen ihrer justiziellen Tätigkeit von der Verpflichtung zur Benennung eines Datenschutzbeauftragten ausgenommen. § 5 gilt im Hinblick auf die Bestimmungen dieses Hauptstücks sinngemäß.
}}{{Absatz
|Absatz=2
|Text=Für die Stellung des Datenschutzbeauftragten gilt Art. 38 DSGVO.
}}{{Absatz
|Absatz=3
|Text=Dem Datenschutzbeauftragten obliegen die in Art. 39 DSGVO genannten Aufgaben in Bezug auf die Einhaltung der Bestimmungen dieses Hauptstücks.
}}{{Absatz
|Absatz=4
|Text=Der Verantwortliche hat die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen und der Datenschutzbehörde mitzuteilen.
}}{{Absatz
|Erläuterung=Mit dieser Bestimmung werden die Art. 32 bis 34 der Richtlinie (EU) 2016/680 umgesetzt.

Hinsichtlich der Verpflichtung zur Benennung eines Datenschutzbeauftragten ist eine eigene Regelung erforderlich, weil sich diese nicht vollständig mit der Verpflichtung zur Benennung eines Datenschutzbeauftragten gemäß Art. 37 DSGVO deckt. Im Übrigen soll jedoch die Ausgestaltung des Datenschutzbeauftragten inhaltlich weitgehend an die Vorgaben der DSGVO anknüpfen.

Der Datenschutzbeauftragte soll den Verantwortlichen dabei unterstützt, die interne Einhaltung der nach dieser Richtlinie erlassenen Vorschriften zu überwachen (vgl. Erwägungsgrund 63 der Richtlinie (EU) 2016/680). Zum Schutz der richterlichen Unabhängigkeit sind davon die Gerichte im Rahmen ihrer justiziellen Tätigkeit ausgenommen.

Unterliegt eine zuständige Behörde in Bezug auf bestimmte Aufgabenbereiche außerhalb der Strafverfolgung der Verpflichtung zur Benennung eines Datenschutzbeauftragten gemäß Art. 38 DSGVO, so kann dieser Datenschutzbeauftragte auch als Datenschutzbeauftragter für den Bereich der Richtlinie (EU) 2016/680 benannt werden.
}}
}}

DSG:§ 56. Benachrichtigung der betroffenen Person von Verletzungen

2017-11-03T19:32:05Z

Melnicki:

{{Paragraph
|Nummer=56
|Bezeichnung=Benachrichtigung der betroffenen Person von Verletzungen
|Hauptstück=3. Hauptstück. Verarbeitung personenbezogener Daten für Zwecke der Sicherheitspolizei
|Abschnitt=3. Abschnitt. Verantwortlicher und Auftragsverarbeiter
|Absätze={{Absatz
|Absatz=1
|Text=Der Verantwortliche hat nach Maßgabe des Art. 34 DSGVO betroffene Personen von der Verletzungen des Schutzes ihrer personenbezogener Daten zu benachrichtigen. Für die Benachrichtigung gilt § 42 Abs. 4.
}}{{Absatz
|Absatz=2
|Text=Die Benachrichtigung gemäß Abs. 1 kann unter den in § 43 Abs. 4 genannten Voraussetzungen aufgeschoben, eingeschränkt oder unterlassen werden.
}}{{Absatz
|Erläuterung=Mit dieser Bestimmung werden Art. 31 und Art. 12 Abs. 1 und 4 (in Bezug auf Art. 31) Richtlinie (EU) 2016/680 umgesetzt, wobei in Abs. 1 an die inhaltsgleiche Regelung des Art. 34 DSGVO angeknüpft wird.
}}
}}

DSG:§ 55. Meldung von Verletzungen an die Datenschutzbehörde

2017-11-03T19:31:51Z

Melnicki:

{{Paragraph
|Nummer=55
|Bezeichnung=Meldung von Verletzungen an die Datenschutzbehörde
|Hauptstück=3. Hauptstück. Verarbeitung personenbezogener Daten für Zwecke der Sicherheitspolizei
|Abschnitt=3. Abschnitt. Verantwortlicher und Auftragsverarbeiter
|Absätze={{Absatz
|Absatz=1
|Text=Der Verantwortliche hat nach Maßgabe des Art. 33 DSGVO Verletzungen des Schutzes personenbezogener Daten der Datenschutzbehörde zu melden.
}}{{Absatz
|Absatz=2
|Text=Soweit von der Verletzung des Schutzes personenbezogene Daten betroffen sind, die von dem oder an den Verantwortlichen eines anderen Mitgliedstaates der Europäischen Union übermittelt wurden, sind die in Art. 33 Abs. 3 DSGVO genannten Informationen dem Verantwortlichen jenes Mitgliedstaates der Europäischen Union unverzüglich zu übermitteln.
}}{{Absatz
|Erläuterung=Mit dieser Bestimmung wird Art. 30 der Richtlinie (EU) 2016/680 umgesetzt, wobei in Abs. 1 an die inhaltsgleiche Regelung des Art. 33 DSGVO angeknüpft wird.
}}
}}

DSG:§ 54. Datensicherheitsmaßnahmen

2017-11-03T19:31:32Z

Melnicki:

{{Paragraph
|Nummer=54
|Bezeichnung=Datensicherheitsmaßnahmen
|Hauptstück=3. Hauptstück. Verarbeitung personenbezogener Daten für Zwecke der Sicherheitspolizei
|Abschnitt=3. Abschnitt. Verantwortlicher und Auftragsverarbeiter
|Absätze={{Absatz
|Absatz=1
|Text=Der Verantwortliche und der Auftragsverarbeiter haben unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen, unter Berücksichtigung der unterschiedlichen Kategorien gemäß § 37, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, insbesondere im Hinblick auf die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß § 39.
}}{{Absatz
|Absatz=2
|Text=Der Verantwortliche und der Auftragsverarbeiter haben im Hinblick auf die automatisierte Verarbeitung nach einer Risikobewertung Maßnahmen zu ergreifen, um folgende Zwecke zu erreichen:
# Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle);
# Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Entfernens von Datenträgern (Datenträgerkontrolle);
# Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten (Speicherkontrolle);
# Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkontrolle);
# Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den ihrer Zugangsberechtigung unterliegenden personenbezogenen Daten Zugang haben (Zugriffskontrolle);
# Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle);
# Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben worden sind (Eingabekontrolle);
# Verhinderung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle);
# Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellung);
# Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen, auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit) und gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität).
}}{{Absatz
|Erläuterung=Mit dieser Bestimmung wird Art. 29 der Richtlinie (EU) 2016/680 umgesetzt. Da die Vorgaben dieser Bestimmung in Bezug auf die Datensicherheit strenger sind als jene des Art. 32 DSGVO, kommt eine Anknüpfung an diese Bestimmung nicht in Betracht.
}}
}}

DSG:§ 53. Vorherige Konsultation der Datenschutzbehörde

2017-11-03T19:31:12Z

Melnicki:

{{Paragraph
|Nummer=53
|Bezeichnung=Vorherige Konsultation der Datenschutzbehörde
|Hauptstück=3. Hauptstück. Verarbeitung personenbezogener Daten für Zwecke der Sicherheitspolizei
|Abschnitt=3. Abschnitt. Verantwortlicher und Auftragsverarbeiter
|Absätze={{Absatz
|Text=Der Verantwortliche hat nach Maßgabe des Art. 36 DSGVO vor der Verarbeitung personenbezogener Daten in neu anzulegenden Dateisystemen die Datenschutzbehörde zu konsultieren, wobei sich die Verweise in Art. 36 Abs. 1 und Abs. 3 lit. e DSGVO auf § 52 und der Verweis auf die Bestimmungen hinsichtlich der Befugnisse der Datenschutzbehörde in Art. 36 Abs. 2 DSGVO auf § 33 beziehen und die in Art. 36 Abs. 2 DSGVO angeführten Maßnahmen innerhalb von sechs Wochen mit der Möglichkeit einer Verlängerung um einen weiteren Monat zu treffen sind.
}}{{Absatz
|Erläuterung=Mit dieser Bestimmung wird Art. 28 der Richtlinie (EU) 2016/680 umgesetzt.

Im Strafverfolgungskontext ist die Verarbeitung personenbezogener Daten im Regelfall vom Gesetzgeber vordeterminiert. Derartige gesetzliche Regelungen begrenzen den Handlungsspielraum sowohl der zuständigen Behörde als auch der Datenschutzbehörde; schriftliche Empfehlungen der Datenschutzbehörde können sich daher nur auf jene Bereiche beziehen, in denen der personenbezogene Daten verarbeitenden zuständigen Behörde entsprechende Möglichkeiten zur Eindämmung des Risikos zur Verfügung stehen. Allfällige Probleme, die sich unmittelbar aus der gesetzlichen Grundlage ergeben und nicht im Wege des Vollzuges gelöst werden können, können nur durch den Gesetzgeber (bzw. allenfalls durch den Verfassungsgerichtshof im Rahmen eines Normenkontrollverfahrens) behoben werden.

Der Konsultationspflicht gemäß Art. 36 Abs. 4 DSGVO wird im Bereich der Bundesgesetzgebung beispielsweise dadurch Genüge getan, dass der Datenschutzbehörde im Rahmen eines Begutachtungsverfahrens Gelegenheit zur Stellungnahme eingeräumt wird. Eine entsprechende Verpflichtung in Bezug auf Gesetzes- und Verordnungsvorhaben auf Länderebene wäre vom Landesgesetzgeber vorzusehen.
}}
}}

DSG:§ 52. Datenschutz-Folgenabschätzung

2017-11-03T19:30:51Z

Melnicki:

{{Paragraph
|Nummer=52
|Bezeichnung=Datenschutz-Folgenabschätzung
|Hauptstück=3. Hauptstück. Verarbeitung personenbezogener Daten für Zwecke der Sicherheitspolizei
|Abschnitt=3. Abschnitt. Verantwortlicher und Auftragsverarbeiter
|Absätze={{Absatz
|Text=Der Verantwortliche hat zum Schutz der Rechte und berechtigten Interessen der von der Datenverarbeitung betroffenen Personen und sonstiger Betroffener eine Datenschutz-Folgenabschätzung gemäß Art. 35 Abs. 1, 2, 3, 7 und 11 DSGVO durchzuführen, wobei sich der Nachweis gemäß Art. 35 Abs. 7 lit. d DSGVO auf die Einhaltung der Vorgaben dieses Hauptstücks bezieht.
}}{{Absatz
|Erläuterung=Mit dieser Bestimmung wird Art. 27 der Richtlinie (EU) 2016/680 umgesetzt. Die Anforderungen an die Datenschutz-Folgenabschätzung entsprechen den maßgeblichen Anforderungen gemäß Art. 35 DSGVO. Datenschutz-Folgenabschätzungen sollten auf maßgebliche Systeme und Verfahren im Rahmen von Verarbeitungsvorgängen abstellen, nicht jedoch auf Einzelfälle (vgl. Erwägungsgrund 58 der Richtlinie (EU) 2016/680). Von einem hohen Risiko wird insbesondere in Fällen der Verwendung neuer Technologien auszugehen sein. Sonstige Betroffene können beispielsweise juristische Personen oder bloß wirtschaftlich Betroffene sein.
}}
}}

DSG:§ 51. Zusammenarbeit mit der Datenschutzbehörde

2017-11-03T19:30:16Z

Melnicki:

{{Paragraph
|Nummer=51
|Bezeichnung=Zusammenarbeit mit der Datenschutzbehörde
|Hauptstück=3. Hauptstück. Verarbeitung personenbezogener Daten für Zwecke der Sicherheitspolizei
|Abschnitt=3. Abschnitt. Verantwortlicher und Auftragsverarbeiter
|Absätze={{Absatz
|Text=Der Verantwortliche und der Auftragsverarbeiter sind verpflichtet, über Aufforderung mit der Datenschutzbehörde bei der Erfüllung ihrer Aufgaben zusammenzuarbeiten.
}}{{Absatz
|Erläuterung=Mit dieser Bestimmung wird Art. 26 der Richtlinie (EU) 2016/680 umgesetzt.
}}
}}

DSG:§ 50. Protokollierung

2017-11-03T19:30:00Z

Melnicki:

{{Paragraph
|Nummer=50
|Bezeichnung=Protokollierung
|Hauptstück=3. Hauptstück. Verarbeitung personenbezogener Daten für Zwecke der Sicherheitspolizei
|Abschnitt=3. Abschnitt. Verantwortlicher und Auftragsverarbeiter
|Absätze={{Absatz
|Absatz=1
|Text=Jeder Verarbeitungsvorgang ist in geeigneter Weise so zu protokollieren, dass die Zulässigkeit der Verarbeitung nachvollzogen und überprüft werden kann.
}}{{Absatz
|Absatz=2
|Text=In automatisierten Verarbeitungssystemen sind alle Verarbeitungsvorgänge in automatisierter Form zu protokollieren. Aus diesen Protokolldaten müssen zumindest der Zweck, die verarbeiteten Daten, das Datum und die Uhrzeit der Verarbeitung, die Identifizierung der Person, die die personenbezogenen Daten verarbeitet hat, sowie die Identität eines allfälligen Empfängers solcher personenbezogenen Daten hervorgehen.
}}{{Absatz
|Absatz=3
|Text=In nicht automatisierten Verarbeitungssystemen sind zumindest Abfragen und Offenlegungen einschließlich Übermittlungen, Veränderungen sowie Löschungen zu protokollieren. Für diese Protokolldaten gilt Abs. 2 zweiter Satz.
}}{{Absatz
|Absatz=4
|Text=Die Protokolle dürfen ausschließlich zur Überprüfung der Rechtmäßigkeit der Datenverarbeitung einschließlich der Eigenüberwachung, der Gewährleistung von Integrität und Sicherheit der personenbezogenen Daten sowie in gerichtlichen Strafverfahren verwendet werden.
}}{{Absatz
|Absatz=5
|Text=Der Verantwortliche und der Auftragsverarbeiter haben der Datenschutzbehörde auf deren Verlangen die Protokolle zur Verfügung zu stellen.
}}{{Absatz
|Erläuterung=Mit dieser Bestimmung wird Art. 25 der Richtlinie (EU) 2016/680 umgesetzt.

Die Verzeichnisse sind so zu führen, dass eine nachträgliche Überprüfung der Rechtmäßigkeit der Datenverarbeitung möglich ist. Während die Protokollierungspflicht des Art. 25 Abs. 1 der Richtlinie (EU) 2016/680 auf automatisierte Verarbeitungssysteme beschränkt ist, sollen im Rahmen der Umsetzung die nach dem DSG 2000 bestehenden Protokollierungspflichten beibehalten werden; die diesbezüglich bestehenden nationalen Standards können im unionsweiten Vergleich als „best practice“ bezeichnet werden und erzeugen keinen zusätzlichen Aufwand gegenüber der bisherigen Rechtslage, da eine Verpflichtung schon jetzt besteht.

Die Protokollierung in Bezug auf nicht automatisierte Verarbeitungssysteme muss nicht im gleichen Umfang erfolgen wie bei automatisierten Verarbeitungssystemen, da ein automatisches Logging nicht möglich ist. Aus diesem Grund soll für nicht automatisierte Verarbeitungssysteme eine deutlich abgeschwächte – dem § 14 Abs. 2 Z 7 DSG 2000 nachgebildete – Protokollierungspflicht gelten; es muss aber sichergestellt sein, dass der in Abs.1 festgelegte Zweck der Nachvollziehbarkeit und Überprüfbarkeit der Zulässigkeit der Verarbeitung erreicht wird (vgl. auch Erwägungsgrund 56 der Richtlinie (EU) 2016/680: „Der Verantwortliche oder der Auftragsverarbeiter, der personenbezogene Daten in nicht automatisierten Verarbeitungssystemen verarbeitet, sollte über wirksame Methoden zum Nachweis der Rechtmäßigkeit der Verarbeitung, zur Ermöglichung der Eigenüberwachung und zur Sicherstellung der Integrität und Sicherheit der Daten, wie etwa Protokolle oder andere Formen von Verzeichnissen, verfügen.“).

Die Verarbeitung von Protokolldaten ist nur in engen Grenzen zulässig. Insbesondere darf die Möglichkeit, diese für Strafverfolgungszwecke zu verwenden, nicht dazu führen, dass diese Maßnahme zum Schutz betroffener Personen zu einer Überwachungsmaßnahme umfunktioniert wird. Eine Verarbeitung ist jedenfalls nur in Bezug auf konkrete Fälle zulässig. Unter „Eigenüberwachung“ sind beispielsweise interne Disziplinarverfahren zu verstehen (vgl. Erwägungsgrund 57 der Richtlinie (EU) 2016/680); auch hiefür ist eine Verarbeitung nur in Bezug auf einen konkreten Fall zulässig. Nicht vom Begriff der Eigenüberwachung umfasst ist hingegen eine Mitarbeiterkontrolle, insbesondere im Sinne einer Leistungs- oder Fehlerkontrolle, soweit diese nicht zur Überprüfung der Rechtmäßigkeit einer Datenverarbeitung erfolgt.

Die in Abs. 2 bezeichneten Verarbeitungsvorgänge umfassen jedenfalls Erhebungen, Veränderungen, Abfragen, Offenlegungen einschließlich Übermittlungen, Kombinationen und Löschungen von personenbezogenen Daten.

Eine gesetzlich festgelegte feste Löschungsfrist für Protokolldaten erscheint nicht zweckmäßig; vielmehr sollten Protokolldaten – wie auch alle anderen personenbezogenen Daten – nur solange in personenbezogener Form aufbewahrt werden, als dies für die Erreichung der Zwecke, für die sie ermittelt wurden, erforderlich ist; danach sind die Protokolldaten zu löschen. In jenen Fällen, in denen die Protokolldaten auch Inhaltsdaten enthalten, darf die Aufbewahrung der Protokolldaten nicht zu einer Umgehung der Löschungsverpflichtung des originären Inhaltsdatums führen. Eine längere Aufbewahrungsdauer muss sich aus besonderen gesetzlichen Vorschriften ergeben.
}}
}}

DSG:§ 49. Verzeichnis von Verarbeitungstätigkeiten

2017-11-03T19:29:04Z

Melnicki:

{{Paragraph
|Nummer=49
|Bezeichnung=Verzeichnis von Verarbeitungstätigkeiten
|Hauptstück=3. Hauptstück. Verarbeitung personenbezogener Daten für Zwecke der Sicherheitspolizei
|Abschnitt=3. Abschnitt. Verantwortlicher und Auftragsverarbeiter
|Absätze={{Absatz
|Absatz=1
|Text=Jeder Verantwortliche hat sinngemäß nach Maßgabe des Art. 30 Abs. 1 bis 4 DSGVO ein Verzeichnis von Verarbeitungstätigkeiten zu führen, wobei sich die Verweise in Art. 30 Abs. 1 lit. g und Abs. 2 lit. c DSGVO auf § 54 beziehen und die Bezugnahme auf einen Vertreter des Verantwortlichen oder des Auftragsverarbeiters gegenstandslos ist.
}}{{Absatz
|Absatz=2
|Text=Das Verzeichnis gemäß Abs. 1 hat auch Angaben zu enthalten über
# die Verwendung von Profiling, wenn eine solche Verwendung vorgenommen wird, und
# die Rechtsgrundlage der Verarbeitung, einschließlich der Übermittlungen, für die die personenbezogenen Daten bestimmt sind.
}}{{Absatz
|Erläuterung=Mit dieser Bestimmung wird Art. 24 der Richtlinie (EU) 2016/680 umgesetzt. Aufgrund der inhaltlichen Übereinstimmung mit Art. 30 Abs. 1 bis 4 DSGVO kann – unter Anpassung der darin enthaltenen Verweise – verwiesen werden.

Das Verzeichnis dient dazu, alle Kategorien von Verarbeitungstätigkeiten zu dokumentieren. Die Verzeichnisse sind in schriftlicher bzw. elektronischer Form so zu führen, dass eine nachträgliche Überprüfung der Rechtmäßigkeit der Datenverarbeitung möglich ist.
}}
}}

DSG:§ 48. Auftragsverarbeiter und Aufsicht über die Verarbeitung

2017-11-03T19:28:44Z

Melnicki:

{{Paragraph
|Nummer=48
|Bezeichnung=Auftragsverarbeiter und Aufsicht über die Verarbeitung
|Hauptstück=3. Hauptstück. Verarbeitung personenbezogener Daten für Zwecke der Sicherheitspolizei
|Abschnitt=3. Abschnitt. Verantwortlicher und Auftragsverarbeiter
|Absätze={{Absatz
|Absatz=1
|Text=Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieses Bundesgesetzes erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.
}}{{Absatz
|Absatz=2
|Text=Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte schriftliche Genehmigung des Verantwortlichen in Anspruch.
}}{{Absatz
|Absatz=3
|Text=Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder aufgrund ausdrücklicher gesetzlicher Ermächtigung, der oder das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Dieser Vertrag oder dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter
# die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen – auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation – verarbeitet, sofern er nicht durch das Unionsrecht oder durch Gesetze, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet;
# gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
# alle gemäß § 54 erforderlichen Maßnahmen ergreift;
# die in den Abs. 2 und 4 genannten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält;
# angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in diesem Hauptstück genannten Rechte der betroffenen Person nachzukommen;
# unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den §§ 52 bis 56 genannten Pflichten unterstützt;
# nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt, sofern nicht nach dem Unionsrecht oder aufgrund von Gesetzen eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht;
# dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Abs. 1 bis 6 niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.
Im Hinblick auf Z 8 informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen dieses Hauptstücks oder gegen andere Datenschutzbestimmungen der Union oder gesetzliche Datenschutzbestimmungen verstößt.
}}{{Absatz
|Absatz=4
|Text=Nimmt der Auftragsverarbeiter die Dienste eines weiteren Auftragsverarbeiters in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen, so werden diesem weiteren Auftragsverarbeiter im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder aufgrund von Gesetzen dieselben Datenschutzpflichten auferlegt, die in dem Vertrag oder anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß Abs. 3 festgelegt sind, wobei insbesondere hinreichende Garantien dafür geboten werden müssen, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen dieses Hauptstücks erfolgt. Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der erste Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters.
}}{{Absatz
|Absatz=5
|Text=Der Vertrag oder das andere Rechtsinstrument im Sinne der Abs. 3 und 4 ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.
}}{{Absatz
|Absatz=6
|Text=Der Auftragsverarbeiter und jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten, es sei denn, dass sie nach dem Unionsrecht oder aufgrund von Gesetzen zur Verarbeitung verpflichtet sind.
}}{{Absatz
|Absatz=7
|Text=Ein Auftragsverarbeiter, der unter Verstoß gegen dieses Hauptstück die Zwecke und Mittel der Verarbeitung bestimmt, gilt in Bezug auf diese Verarbeitung als Verantwortlicher.
}}{{Absatz
|Erläuterung=Mit dieser Bestimmung werden die Art. 22 und 23 der Richtlinie (EU) 2016/680 umgesetzt. Diese entsprechen inhaltlich im Wesentlichen den Regelungen in Art. 28 und 29 DSGVO.

Ein Verstoß nach Abs. 7 kann insbesondere dann vorliegen, wenn der Auftragsverarbeiter die Zwecke und Mittel der Verarbeitung entgegen des mit dem Verantwortlichen abgeschlossenen Vertrages selbst bestimmt.
}}
}}

DSG:§ 47. Gemeinsam Verantwortliche

2017-11-03T19:28:24Z

Melnicki:

{{Paragraph
|Nummer=47
|Bezeichnung=Gemeinsam Verantwortliche
|Hauptstück=3. Hauptstück. Verarbeitung personenbezogener Daten für Zwecke der Sicherheitspolizei
|Abschnitt=3. Abschnitt. Verantwortlicher und Auftragsverarbeiter
|Absätze={{Absatz
|Text=Zwei oder mehr Verantwortliche, die gemeinsam die Zwecke und die Mittel zur Verarbeitung festlegen, sind gemeinsam Verantwortliche. Sie haben in einer Vereinbarung in transparenter Form ihre jeweiligen Aufgaben nach diesem Bundesgesetz festzulegen, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß § 43 nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht gesetzlich festgelegt sind. In der Vereinbarung ist eine Anlaufstelle für die betroffenen Personen anzugeben.
}}{{Absatz
|Erläuterung=Mit dieser Bestimmung wird Art. 21 der Richtlinie (EU) 2016/680 umgesetzt. Die Vereinbarung nach § 47 muss entsprechend transparent kundgemacht werden. In Fällen mangelnder Transparenz – vor allem hinsichtlich der vorzusehenden Anlaufstelle –, kann die betroffene Person ihre Rechte im Rahmen dieses Hauptstücks bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen. In Fällen, in denen die betreffenden Inhalte und Rollen bereits auf gesetzlicher Ebene vorgegeben sind, kann die Vereinbarung entfallen (zB Zentrales Melderegister).
}}
}}

DSG:§ 46. Pflichten des Verantwortlichen

2017-11-03T19:27:32Z

Melnicki:

{{Paragraph
|Nummer=46
|Bezeichnung=Pflichten des Verantwortlichen
|Hauptstück=3. Hauptstück. Verarbeitung personenbezogener Daten für Zwecke der Sicherheitspolizei
|Abschnitt=3. Abschnitt. Verantwortlicher und Auftragsverarbeiter
|Absätze={{Absatz
|Text=Der Verantwortliche hat die in Art. 24 Abs. 1 und 2 sowie Art. 25 Abs. 1 und 2 DSGVO angeführten Verpflichtungen in Bezug auf die Übereinstimmung der Verarbeitung mit den Bestimmungen dieses Hauptstücks einzuhalten.
}}{{Absatz
|Erläuterung=Mit dieser Bestimmung werden die Art. 19 und 20 der Richtlinie (EU) 2016/680 (Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen) umgesetzt. Die Verpflichtungen decken sich mit jenen des Art. 24 Abs. 1 und 2 und Art. 25 Abs. 1 und 2 DSGVO, bezieht sich jedoch inhaltlich auf die Einhaltung der Bestimmungen des 3. Hauptstücks.

Die Umsetzung der Maßnahmen gemäß Art. 25 Abs. 1 und 2 darf nicht nur von wirtschaftlichen Erwägungen abhängig gemacht werden. Hat der Verantwortliche eine Datenschutz-Folgenabschätzung vorgenommen, sollten die entsprechenden Ergebnisse bei der Entwicklung dieser Maßnahmen und Verfahren berücksichtigt werden (vgl. Erwägungsgrund53 der Richtlinie (EU) 2016/680). Solche Maßnahmen könnten unter anderem darin bestehen, dass die Verarbeitung personenbezogener Daten minimiert wird, personenbezogene Daten so schnell wie möglich pseudonymisiert werden, Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten hergestellt wird, der betroffenen Person ermöglicht wird, die Verarbeitung personenbezogener Daten zu überwachen, und der Verantwortliche in die Lage versetzt wird, Sicherheitsfunktionen zu schaffen und zu verbessern (vgl. Erwägungsgrund 78 der DSGVO).
}}
}}

DSG:§ 45. Recht auf Berichtigung oder Löschung personenbezogener Daten und auf Einschränkung der Verarbeitung

2017-11-03T19:27:02Z

Melnicki:

{{Paragraph
|Nummer=45
|Bezeichnung=Recht auf Berichtigung oder Löschung personenbezogener Daten und auf Einschränkung der Verarbeitung
|Hauptstück=3. Hauptstück. Verarbeitung personenbezogener Daten für Zwecke der Sicherheitspolizei
|Abschnitt=2. Abschnitt. Rechte der betroffenen Person
|Absätze={{Absatz
|Absatz=1
|Text=Jede betroffene Person hat das Recht, vom Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten sowie die Vervollständigung unvollständiger personenbezogener Daten zu verlangen. Die Berichtigung oder Vervollständigung kann erforderlichenfalls mittels einer ergänzenden Erklärung erfolgen, soweit eine nachträgliche Änderung mit dem Dokumentationszweck unvereinbar ist. Der Beweis der Richtigkeit der Daten obliegt dem Verantwortlichen, soweit die personenbezogenen Daten nicht ausschließlich aufgrund von Angaben der betroffenen Person ermittelt wurden.
}}{{Absatz
|Absatz=2
|Text=Der Verantwortliche hat personenbezogene Daten aus eigenem oder über Antrag der betroffenen Person unverzüglich zu löschen, wenn
# die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind,
# die personenbezogenen Daten unrechtmäßig verarbeitet wurden oder
# die Löschung der personenbezogenen Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist.
}}{{Absatz
|Absatz=3
|Text=Anstatt die personenbezogenen Daten zu löschen, kann der Verantwortliche deren Verarbeitung einschränken, wenn
# die betroffene Person die Richtigkeit der personenbezogenen Daten bestreitet und die Richtigkeit oder Unrichtigkeit nicht festgestellt werden kann, oder
# die personenbezogenen Daten für Beweiszwecke im Rahmen der Wahrnehmung einer ihm gesetzlich übertragenen Aufgabe weiter aufbewahrt werden müssen.
Im Falle einer Einschränkung gemäß Z 1 hat der Verantwortliche die betroffene Person vor einer Aufhebung der Einschränkung zu unterrichten.
}}{{Absatz
|Absatz=4
|Text=Der Verantwortliche hat die betroffene Person schriftlich über eine Verweigerung der Berichtigung oder Löschung personenbezogener Daten oder eine Einschränkung der Verarbeitung und über die Gründe für die Verweigerung zu unterrichten. Der Verantwortliche hat die betroffene Person über die Möglichkeit zu unterrichten, bei der Datenschutzbehörde Beschwerde einzulegen.
}}{{Absatz
|Absatz=5
|Text=Der Verantwortliche hat die Berichtigung von unrichtigen personenbezogenen Daten der zuständigen Behörde, von der die unrichtigen personenbezogenen Daten stammen, mitzuteilen.
}}{{Absatz
|Absatz=6
|Text=In Fällen der Berichtigung, Löschung oder Einschränkung der Verarbeitung gemäß Abs. 1 bis 3 hat der Verantwortliche alle Empfänger der betroffenen personenbezogenen Daten in Kenntnis zu setzen. Die Empfänger sind verpflichtet, die ihrer Verantwortung unterliegenden personenbezogenen Daten unverzüglich zu berichtigen, löschen oder deren Verarbeitung einschränken.
}}{{Absatz
|Absatz=7
|Text=Art. 12 DSGVO findet sinngemäß Anwendung.
}}{{Absatz
|Erläuterung=Mit dieser Bestimmung wird Art. 16 der Richtlinie (EU) 2016/680 umgesetzt.

Das Recht auf Berichtigung bzw. auf Ergänzung personenbezogener Daten ist im Strafverfolgungskontext nur eingeschränkt durchsetzbar. Insbesondere sind davon keine nachträglichen Veränderungen von Aussagen bei Vernehmungen umfasst; hier bezieht sich die Richtigkeit und Vollständigkeit der personenbezogenen Daten auf die Übereinstimmung mit der Aussage selbst und nicht auf deren Inhalt (vgl. auch Erwägungsgrund 47 der Richtlinie (EU) 2016/680). Aus diesem Grund kann es erforderlich sein, die Berichtigung oder Vervollständigung mittels einer ergänzenden Erklärung vorzunehmen und somit nachvollziehbar zu machen. Auch das Löschungsrecht unterliegt hier Beschränkungen, da auch Daten, deren Richtigkeit (noch) nicht verifizierbar ist, im Strafverfahren von Bedeutung sein können.

Bei der Löschung ist auch auf die unterschiedlichen Kategorien gemäß § 37 Bedacht zu nehmen.

Einschränkungen der Unterrichtungsverpflichtung sind nur unter den in §43 Abs.4 angeführten Voraussetzungen zulässig.

Nach dem Erwägungsgrund 47 sollten personenbezogene Daten mit Einschränkungsmarkierung nur zu dem Zweck verarbeitet werden, der ihrer Löschung entgegenstand. Methoden zur Einschränkung der Verarbeitung personenbezogener Daten könnten unter anderem darin bestehen, dass ausgewählte Daten, beispielsweise zu Archivierungszwecken, auf ein anderes Verarbeitungssystem übertragen oder gesperrt werden. In automatisierten Dateisystemen sollte die Einschränkung der Verarbeitung grundsätzlich durch technische Mittel erfolgen. Auf die Tatsache, dass die Verarbeitung der personenbezogenen Daten beschränkt wurde, sollte in dem System unmissverständlich hingewiesen werden.
}}
}}

DSG:§ 44. Auskunftsrecht der betroffenen Person

2017-11-03T19:25:48Z

Melnicki:

{{Paragraph
|Nummer=44
|Bezeichnung=Auskunftsrecht der betroffenen Person
|Hauptstück=3. Hauptstück. Verarbeitung personenbezogener Daten für Zwecke der Sicherheitspolizei
|Abschnitt=2. Abschnitt. Rechte der betroffenen Person
|Absätze={{Absatz
|Absatz=1
|Text=Jede betroffene Person hat das Recht, vom Verantwortlichen eine Bestätigung darüber zu erhalten, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie das Recht, Auskunft über personenbezogene Daten und zu folgenden Informationen zu erhalten:
# die Zwecke der Verarbeitung und deren Rechtsgrundlage,
# die Kategorien personenbezogener Daten, die verarbeitet werden,
# die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen,
# falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer,
# das Bestehen eines Rechts auf Berichtigung oder Löschung personenbezogener Daten oder Einschränkung der Verarbeitung personenbezogener Daten der betroffenen Person durch den Verantwortlichen,
# das Bestehen eines Beschwerderechts bei der Datenschutzbehörde sowie deren Kontaktdaten und
# Mitteilung zu den personenbezogenen Daten, die Gegenstand der Verarbeitung sind, sowie alle verfügbaren Informationen über die Herkunft der Daten.
}}{{Absatz
|Absatz=2
|Text=Für die Auskünfte nach Abs. 1 gelten die Fristen gemäß Art. 12 DSGVO. Einschränkungen des Auskunftsrechts sind nur unter den in § 43 Abs. 4 angeführten Voraussetzungen zulässig.
}}{{Absatz
|Absatz=3
|Text=Im Falle einer Nichterteilung der Auskunft gemäß Abs. 2 hat der Verantwortliche die betroffene Person unverzüglich schriftlich über die Verweigerung oder die Einschränkung der Auskunft und die Gründe hierfür zu unterrichten. Dies gilt nicht, wenn die Erteilung dieser Informationen einem der in § 43 Abs. 4 genannten Zwecke zuwiderliefe. Der Verantwortliche hat die betroffene Person über die Möglichkeit zu unterrichten, Beschwerde bei der Datenschutzbehörde einzulegen.
}}{{Absatz
|Absatz=4
|Text=Der Verantwortliche hat die Gründe für die Entscheidung über die Nichterteilung der Auskunft gemäß Abs. 2 zu dokumentieren. Diese Angaben sind der Datenschutzbehörde zur Verfügung zu stellen.
}}{{Absatz
|Absatz=5
|Text=In dem Umfang, in dem eine Datenverarbeitung für eine betroffene Person hinsichtlich der zu ihr verarbeiteten Daten von Gesetzes wegen einsehbar ist, hat diese das Recht auf Auskunft nach Maßgabe der das Einsichtsrecht vorsehenden Bestimmungen. Für das Verfahren der Einsichtnahme (einschließlich deren Verweigerung) gelten die näheren Regelungen des Gesetzes, das das Einsichtsrecht vorsieht. In Abs. 1 genannte Bestandteile einer Auskunft, die vom Einsichtsrecht nicht umfasst sind, können dennoch nach diesem Bundesgesetz geltend gemacht werden.
}}{{Absatz
|Erläuterung=Mit dieser Bestimmung werden die Art. 14 und 15 der Richtlinie (EU) 2016/680 umgesetzt.

Die Dokumentationspflicht (Abs. 4) bezieht sich sowohl auf die rechtlichen als auch auf die sachlichen Gründe für die Nichterteilung der Auskunft.

Nach dem Erwägungsgrund 43 braucht die betroffene Person lediglich im Besitz einer vollständigen Übersicht über diese personenbezogenen Daten in verständlicher Form zu sein, dh. in einer Form, die es ihr ermöglicht, sich dieser Daten bewusst zu werden und nachzuprüfen, ob sie richtig sind und im Einklang mit dieser Richtlinie verarbeitet werden, so dass sie die ihr durch diese Richtlinie verliehenen Rechte ausüben kann. Eine solche Übersicht könnte auch in Form einer Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, bereitgestellt werden.

Der Auskunftswerber hat am Auskunftsverfahren in dem ihm zumutbaren Ausmaß mitzuwirken, um ungerechtfertigten und unverhältnismäßigen Aufwand beim Verantwortlichen zu vermeiden.

Abs. 5 übernimmt weitgehend die Regelung des § 26 Abs. 8 DSG 2000 und stellt somit klar, dass das Auskunftsrecht wie bisher nicht zur Umgehung von in Materiengesetzen geregelten speziellen Einsichtsrechten (zB Akteneinsicht) verwendet werden kann.

Einschränkungen des Auskunftsrechts sind nur unter den in § 43 Abs. 4 angeführten Voraussetzungen zulässig.
}}
}}

DSG:§ 43. Information der betroffenen Person

2017-11-03T19:25:09Z

Melnicki:

{{Paragraph
|Nummer=43
|Bezeichnung=Information der betroffenen Person
|Hauptstück=3. Hauptstück. Verarbeitung personenbezogener Daten für Zwecke der Sicherheitspolizei
|Abschnitt=2. Abschnitt. Rechte der betroffenen Person
|Absätze={{Absatz
|Absatz=1
|Text=Der Verantwortliche hat der betroffenen Person zumindest die folgenden Informationen zur Verfügung zu stellen:
# den Namen und die Kontaktdaten des Verantwortlichen,
# gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten,
# die Zwecke, für die die personenbezogenen Daten verarbeitet werden,
# das Bestehen eines Beschwerderechts bei der Aufsichtsbehörde sowie deren Kontaktdaten,
# das Bestehen eines Rechts auf Auskunft und Berichtigung oder Löschung personenbezogener Daten und Einschränkung der Verarbeitung der personenbezogenen Daten der betroffenen Person durch den Verantwortlichen.
}}{{Absatz
|Absatz=2
|Text=Zusätzlich zu den in Abs. 1 genannten Informationen hat der Verantwortliche der betroffenen Person in besonderen Fällen die folgenden zusätzlichen Informationen zu erteilen, um die Ausübung der Rechte der betroffenen Person zu ermöglichen:
# die Rechtsgrundlage der Verarbeitung,
# die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer,
# gegebenenfalls die Kategorien von Empfängern der personenbezogenen Daten, auch der Empfänger in Drittländern oder in internationalen Organisationen,
# erforderlichenfalls weitere Informationen, insbesondere wenn die personenbezogenen Daten ohne Wissen der betroffenen Person erhoben werden.
}}{{Absatz
|Absatz=3
|Text=Im Fall der Erhebung der personenbezogenen Daten bei der betroffenen Person müssen der betroffenen Person die Informationen nach den Vorgaben des Abs. 1 und 2 zum Zeitpunkt der Erhebung vorliegen. In allen übrigen Fällen findet Art. 14 Abs. 3 DSGVO Anwendung. Die Information gemäß Abs. 1 und 2 kann entfallen, wenn die Daten nicht durch Befragung des Betroffenen, sondern durch Übermittlung von Daten aus anderen Aufgabengebieten desselben Verantwortlichen oder aus Anwendungen anderer Verantwortlicher ermittelt und die Datenverarbeitung durch Gesetz vorgesehen ist.
}}{{Absatz
|Absatz=4
|Text=Die Unterrichtung der betroffenen Person gemäß Abs. 2 kann soweit und solange aufgeschoben, eingeschränkt oder unterlassen werden, wie dies im Einzelfall unbedingt erforderlich und verhältnismäßig ist
# zur Gewährleistung, dass die Verhütung, Aufdeckung, Ermittlung oder Verfolgung von Straftaten oder die Strafvollstreckung nicht beeinträchtigt werden, insbesondere durch die Behinderung behördlicher oder gerichtlicher Untersuchungen, Ermittlungen oder Verfahren,
# zum Schutz der öffentlichen Sicherheit,
# zum Schutz der nationalen Sicherheit,
# zum Schutz der verfassungsmäßigen Einrichtungen der Republik Österreich,
# zum Schutz der militärischen Eigensicherung oder
# zum Schutz der Rechte und Freiheiten anderer.
}}{{Absatz
|Erläuterung=Mit dieser Bestimmung wird Art. 13 der Richtlinie (EU) 2016/680 umgesetzt. Das Konzept der Informationspflicht nach der Richtlinie (EU) 2016/680 unterscheidet sich grundlegend von der Informationspflicht nach Art. 13 und 14 DSGVO, weil im Strafverfolgungsbereich einerseits besonders detaillierte Regelungen hinsichtlich der Verarbeitung bestehen (und sich viele Informationen somit schon aus dem Gesetz ergeben) und andererseits umfassende Transparenzpflichten, wie sie im Anwendungsbereich der DSGVO geboten sind, den Strafverfolgungszielen zuwiderlaufen können.

Die Informationspflicht ist eine wesentliche Voraussetzung für die Wahrnehmung der datenschutzrechtlichen Betroffenenrechte. Die betroffene Person muss über ein Mindestmaß an Informationen verfügen, die sie in die Lage versetzen, ihre Rechte wahrzunehmen und zB ein Auskunfts- oder Löschungsbegehren an den Verantwortlichen zu richten. Neben dem Umstand, dass personenbezogene Daten verarbeitet werden, müssen betroffenen Personen daher insbesondere grundlegende Informationen wie die Identität des Verantwortlichen, Zweck und Umfang der Verarbeitung sowie der Umfang ihrer Rechte zur Verfügung stehen.

Die Informationspflicht gemäß Abs. 1 bezieht sich auf allgemeine Informationen, die der Verantwortliche allen betroffenen Personen in geeigneter Form zur Verfügung zu stellen hat. Diese Informationen können sich bereits aus der gesetzlichen Grundlage ergeben (insb. Verarbeitungszweck). Neben einer individuellen Information im Einzelfall kommen zur Erfüllung dieser Informationspflicht etwa auch ein Vordruck auf einem Formular (zB Niederschrift einer Einvernahme) oder eine Veröffentlichung, mit der die Informationen der Öffentlichkeit zugänglich gemacht werden (zB Veröffentlichung auf einer Website; vgl. Erwägungsgrund 39 und 42 der Richtlinie (EU) 2016/680), in Frage.

Gemäß Art. 13 Abs. 1 DSGVO teilt der Verantwortliche der betroffenen Person die Informationen gemäß Abs. 1 zum Zeitpunkt der Erhebung dieser personenbezogenen Daten bei der betroffenen Person mit. Für den Fall, dass die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden, kommt das Regime des Art. 14 Abs. 3 DSGVO zur Anwendung.

Abs. 2 sieht darüber hinaus eine Information im Einzelfall vor, wenn und soweit dies erforderlich ist, um der betroffenen Person die Ausübung ihrer Rechte zu ermöglichen. Dies ist etwa dann der Fall, wenn die betroffene Person gar keine Kenntnis von der Verarbeitung seiner personenbezogenen Daten hat, weil diese ohne sein Wissen ermittelt wurden (zB im Falle geheimer Ermittlungsmaßnahmen oder bei Erhebung durch Dritte). Dabei ist auf die Umstände im Einzelfall Bedacht zu nehmen. Durch die individuelle Informationsverpflichtung soll sichergestellt werden, dass die betroffene Person zumindest in die Lage versetzt wird, tätig zu werden und zB ein Auskunftsbegehren an den Verantwortlichen zu richten.

Abs. 3 legt lediglich fest, zu welchem Zeitpunkt die betroffene Person die Informationen gemäß Abs. 1 und 2 erhalten muss, und enthält keine über die Vorgaben des Art. 13 der Richtlinie (EU) 2016/680 hinausgehenden Informationspflichten.

Einschränkungen der Informationspflicht stellen einen Eingriff in das Grundrecht auf Datenschutz der betroffenen Personen (Art. 8 EMRK, Art. 8 GRC, § 1 DSG) dar. Derartige Einschränkungen müssen daher gesetzlich vorgesehen sein, einem der in Abs.4 genannten Zwecke dienen und in einer demokratischen Gesellschaft erforderlich und verhältnismäßig sein. Die für den Strafverfolgungsbereich vorgesehenen Einschränkungen der Betroffenenrechte im Bereich der Transparenz, der Auskunftsrechte und der Informationspflichten sind aufgrund der besonderen Bedürfnisse im Strafverfolgungskontext erheblich weiter als jene im Anwendungsbereich der DSGVO: Bei den in Abs. 4 Z 1 bis 6 taxativ angeführten Fällen handelt es sich im Regelfall um solche, in denen ein besonders wichtiges öffentliches Interesse – nämlich die Aufrechterhaltung der öffentlichen Sicherheit und Ordnung sowie der Schutz der Rechte und Freiheiten anderer – verfolgt wird und Einschränkungen der Transparenz geboten sein können, um die Tätigkeit der Strafverfolgungsbehörden nicht zu behindern oder gar zu vereiteln.

Gemäß Art. 13 Abs. 4 der Richtlinie (EU) 2016/680 können auf gesetzlicher Ebene Verarbeitungskategorien festgelegt werden, für die einer der in Abs. 4 Z 1 bis 6 genannten Fälle vollständig oder teilweise zur Anwendung kommt. Entsprechende Regelungen wären gegebenenfalls in Materiengesetzen zu treffen.
}}
}}

DSG:§ 42. Grundsätze

2017-11-03T19:22:37Z

Melnicki:

{{Paragraph
|Nummer=42
|Bezeichnung=Grundsätze
|Hauptstück=3. Hauptstück. Verarbeitung personenbezogener Daten für Zwecke der Sicherheitspolizei
|Abschnitt=2. Abschnitt. Rechte der betroffenen Person
|Absätze={{Absatz
|Absatz=1
|Text=Der Verantwortliche hat der betroffenen Person alle Informationen und Mitteilungen gemäß §§ 43 bis 45, die sich auf die Verarbeitung beziehen, in möglichst präziser, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Die Informationen sind in geeigneter Form, im Falle eines Antrags nach Möglichkeit in der gleichen Form wie der Antrag, zu übermitteln.
}}{{Absatz
|Absatz=2
|Text=Der Verantwortliche hat den betroffenen Personen die Ausübung der ihnen gemäß §§ 43 bis 45 zustehenden Rechte zu erleichtern.
}}{{Absatz
|Absatz=3
|Text=Der Verantwortliche hat die betroffene Person unverzüglich schriftlich darüber in Kenntnis zu setzen, wie mit ihrem Antrag verfahren wurde.
}}{{Absatz
|Absatz=4
|Text=Der Verantwortliche stellt der betroffenen Person Informationen über die aufgrund eines Antrags gemäß §§ 44 bis 45 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung. Stellt die betroffene Person den Antrag elektronisch, so ist sie nach Möglichkeit auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt.
}}{{Absatz
|Absatz=5
|Text=Wird der Verantwortliche auf den Antrag der betroffenen Person hin nicht tätig, so unterrichtet er die betroffene Person ohne Verzögerung, spätestens aber innerhalb eines Monats nach Eingang des Antrags über die Gründe hierfür und über die Möglichkeit, bei einer Aufsichtsbehörde Beschwerde einzulegen oder einen gerichtlichen Rechtsbehelf einzulegen.
}}{{Absatz
|Absatz=6
|Text=nformationen gemäß § 43 sowie alle Mitteilungen und Maßnahmen gemäß den §§ 44 und 45 werden unentgeltlich zur Verfügung gestellt. Bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person kann der Verantwortliche entweder
# ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder
# sich weigern, aufgrund des Antrags tätig zu werden.
Der Verantwortliche hat den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen.
}}{{Absatz
|Absatz=7
|Text=Der Verantwortliche kann zur Bestätigung der Identität der Person, die einen Antrag gemäß §§ 44 oder 45 gestellt hat, erforderliche zusätzliche Informationen verlangen.
}}{{Absatz
|Absatz=8
|Text=In den Fällen der §§ 43 Abs. 4, 44 Abs. 3 und 45 Abs. 4 ist die betroffene Person berechtigt, eine Überprüfung der Rechtmäßigkeit der bezüglichen Einschränkung ihrer Rechte durch die Datenschutzbehörde zu verlangen. Der Verantwortliche hat die betroffene Person über dieses Recht zu unterrichten.
}}{{Absatz
|Absatz=9
|Text=Wird das in Abs. 8 genannte Recht ausgeübt, hat die Datenschutzbehörde die betroffene Person zumindest darüber zu unterrichten, dass alle erforderlichen Prüfungen oder eine Überprüfung durch die Datenschutzbehörde erfolgt sind. Die Datenschutzbehörde hat zudem die betroffene Person über ihr Recht zu unterrichten, Beschwerde an das Bundesverwaltungsgericht zu erheben.
}}{{Absatz
|Erläuterung=Mit den Abs. 1 bis 7 werden die Art. 12 und 18 der Richtlinie (EU) 2016/680 umgesetzt, mit den Abs. 8 und 9 Art. 17 der Richtlinie (EU) 2016/680. Da die Betroffenenrechte des Kapitels III der Richtlinie (EU) 2016/680 in zahlreichen Punkten andere Regelungen vorsehen als die DSGVO, ist eine weitgehend gesonderte Regelung der Betroffenenrechte unerlässlich. Die Fristen sowie die Möglichkeit zur Fristverlängerung, die Vorgangsweise bei Verzögerung der Antwort sowie insbesondere die grundsätzliche Unentgeltlichkeit wurden entsprechend den Vorgaben des Art. 12 Abs. 3 bis 5 DSGVO ausgestaltet.

Die Form der Übermittlung der Information gemäß Abs. 1 ist grundsätzlich vom Verantwortlichen zu bestimmen; insbesondere ist auch eine elektronische Übermittlung möglich. Nach Möglichkeit sollte die Information in der gleichen Form erteilt werden, in der der Antrag auf Information gestellt wurde; dieser Grundsatz gilt freilich nur, wenn dem keine besonderen Gründe entgegenstehen (vgl. Art. 12 Abs. 1 der Richtlinie (EU) 2016/680). Insbesondere wird etwa im Falle einer telefonischen Antragstellung eine telefonische Auskunft nicht möglich sein, wenn die Identität des Anrufers nicht mit ausreichender Sicherheit festgestellt werden kann. Soweit der Verantwortliche gemäß Abs. 7 zusätzliche Informationen zur Bestätigung der Identität der betroffenen Person anfordert, ist zu beachten, dass diese Informationen nur für diesen konkreten Zweck verarbeitet und nicht länger gespeichert werden dürfen, als es für diesen Zweck notwendig ist (vgl. Erwägungsgrund 41 der Richtlinie (EU) 2016/680).

Der Umgang mit offenkundig unbegründeten oder exzessiven Anträgen gemäß Abs. 6 entspricht der Regelung in Art. 12 Abs. 5 DSGVO. Bei der Beurteilung, ob ein Antrag offenkundig unbegründet oder exzessiv ist, sind die konkreten Umstände im Einzelfall zu berücksichtigen. Darunter kann insbesondere eine rechtsmissbräuchliche Antragstellung fallen, etwa wenn der Antrag vorsätzlich falsche Angaben enthält. Eine wiederholte Antragstellung kann ein Anzeichen für Exzessivität sein, jedoch nicht in Fällen, in denen dies deshalb erfolgt, weil die begehrten Auskünfte zunächst nicht oder nicht vollständig erteilt wurden.

Im Falle einer Verweigerung der Information oder Auskunft oder einer Unterrichtung über die Richtigstellung oder Löschung bzw. Einschränkung der Verarbeitung kann die betroffene Person die Rechtmäßigkeit der Einschränkung ihrer Betroffenenrechte durch die Datenschutzbehörde überprüfen lassen. Die direkte Ausübung der Betroffenenrechte wird dadurch nicht eingeschränkt, sondern vielmehr im Wege des kommissarischen Rechtsschutzes sichergestellt, dass die Rechte der betroffenen Person gewahrt werden und gleichzeitig das mit der Einschränkung verfolgte Ziel nicht vereitelt wird; beispielsweise wird es wohl regelmäßig den Ermittlungserfolg gefährden, wenn sich die Zielperson über die Ausübung der Betroffenenrechte Kenntnis vom Stand der Ermittlungen verschaffen kann.
Die zur Umsetzung des Art. 17 Abs. 1 der Richtlinie (EU) 2016/680 erforderliche Zuständigkeit der Datenschutzbehörde wird durch die Festlegung einer neuen Aufgabe in § 63 Abs. 1 Z 10 geschaffen.

Die Verlängerung der Frist nach § 42 Abs. 4 um weitere zwei Monate kann erfolgen, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Dies wird insbesondere bei der gemeinsamen Verarbeitungen durch mehrere Verantwortliche – und dem dadurch bedingten höheren Aufwand – der Fall sein.

§ 42 Abs. 5 übernimmt inhaltlich Art. 12 Abs. 4 DSGVO. Wird der Verantwortliche auf den Antrag der betroffenen Person hin nicht tätig, so unterrichtet er gemäß Art. 12 Abs. 4 DSGVO die betroffene Person ohne Verzögerung, spätestens aber innerhalb eines Monats nach Eingang des Antrags über die Gründe hiefür und über die Möglichkeit, bei einer Aufsichtsbehörde Beschwerde einzulegen oder einen gerichtlichen Rechtsbehelf einzulegen. Es erscheint im Sinne der Einheitlichkeit zweckmäßig, für den Bereich der Richtlinie (EU) 2016/680 die gleichen Pflichten wie im Bereich der DSGVO anzuordnen.
}}
}}

DSGVO:Artikel 36. Vorherige Konsultation

2017-10-30T18:12:21Z

Melnicki: Die Seite wurde neu angelegt: „{{Artikel |Nummer=36 |Bezeichnung=Vorherige Konsultation |Kapitel=KAPITEL IV. Verantwortlicher und Auftragsverarbeiter |Abschnitt=Abschnitt 3. Datenschutz-Folg…“

{{Artikel
|Nummer=36
|Bezeichnung=Vorherige Konsultation
|Kapitel=KAPITEL IV. Verantwortlicher und Auftragsverarbeiter
|Abschnitt=Abschnitt 3. Datenschutz-Folgenabschätzung und vorherige Konsultation
|Absätze={{Absatz
|Absatz=1
|Text=Der Verantwortliche konsultiert vor der Verarbeitung die Aufsichtsbehörde, wenn aus einer Datenschutz-Folgenabschätzung gemäß Artikel 35 hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft.
}}{{Absatz
|Absatz=2
|Text=Falls die Aufsichtsbehörde der Auffassung ist, dass die geplante Verarbeitung gemäß Absatz 1 nicht im Einklang mit dieser Verordnung stünde, insbesondere weil der Verantwortliche das Risiko nicht ausreichend ermittelt oder nicht ausreichend eingedämmt hat, unterbreitet sie dem Verantwortlichen und gegebenenfalls dem Auftragsverarbeiter innerhalb eines Zeitraums von bis zu acht Wochen nach Erhalt des Ersuchens um Konsultation entsprechende schriftliche Empfehlungen und kann ihre in Artikel 58 genannten Befugnisse ausüben. Diese Frist kann unter Berücksichtigung der Komplexität der geplanten Verarbeitung um sechs Wochen verlängert werden. Die Aufsichtsbehörde unterrichtet den Verantwortlichen oder gegebenenfalls den Auftragsverarbeiter über eine solche Fristverlängerung innerhalb eines Monats nach Eingang des Antrags auf Konsultation zusammen mit den Gründen für die Verzögerung. Diese Fristen können ausgesetzt werden, bis die Aufsichtsbehörde die für die Zwecke der Konsultation angeforderten Informationen erhalten hat.
}}{{Absatz
|Absatz=3
|Text=Der Verantwortliche stellt der Aufsichtsbehörde bei einer Konsultation gemäß Absatz 1 folgende Informationen zur Verfügung:
* a) gegebenenfalls Angaben zu den jeweiligen Zuständigkeiten des Verantwortlichen, der gemeinsam Verantwortlichen und der an der Verarbeitung beteiligten Auftragsverarbeiter, insbesondere bei einer Verarbeitung innerhalb einer Gruppe von Unternehmen;
* b) die Zwecke und die Mittel der beabsichtigten Verarbeitung;
* c) die zum Schutz der Rechte und Freiheiten der betroffenen Personen gemäß dieser Verordnung vorgesehenen Maßnahmen und Garantien;
* d) gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
* e) die Datenschutz-Folgenabschätzung gemäß Artikel 35 und
* f) alle sonstigen von der Aufsichtsbehörde angeforderten Informationen.
}}{{Absatz
|Absatz=4
|Text=Die Mitgliedstaaten konsultieren die Aufsichtsbehörde bei der Ausarbeitung eines Vorschlags für von einem nationalen Parlament zu erlassende Gesetzgebungsmaßnahmen oder von auf solchen Gesetzgebungsmaßnahmen basierenden Regelungsmaßnahmen, die die Verarbeitung betreffen.
}}{{Absatz
|Absatz=5
|Text=Ungeachtet des Absatzes 1 können Verantwortliche durch das Recht der Mitgliedstaaten verpflichtet werden, bei der Verarbeitung zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe, einschließlich der Verarbeitung zu Zwecken der sozialen Sicherheit und der öffentlichen Gesundheit, die Aufsichtsbehörde zu konsultieren und deren vorherige Genehmigung einzuholen.
}}
}}

DSGVO:Artikel 41. Überwachung der genehmigten Verhaltensregeln

2017-10-30T18:05:00Z

Melnicki:

{{Artikel
|Nummer=41
|Bezeichnung=Überwachung der genehmigten Verhaltensregeln
|Kapitel=KAPITEL IV. Verantwortlicher und Auftragsverarbeiter
|Abschnitt=Abschnitt 5. Verhaltensregeln und Zertifizierung
|Absätze={{Absatz
|Absatz=1
|Text=Unbeschadet der Aufgaben und Befugnisse der zuständigen Aufsichtsbehörde gemäß den Artikeln 57 und 58 kann die Überwachung der Einhaltung von Verhaltensregeln gemäß Artikel 40 von einer Stelle durchgeführt werden, die über das geeignete Fachwissen hinsichtlich des Gegenstands der Verhaltensregeln verfügt und die von der zuständigen Aufsichtsbehörde zu diesem Zweck akkreditiert wurde.
}}{{Absatz
|Absatz=2
|Text=Eine Stelle gemäß Absatz 1 kann zum Zwecke der Überwachung der Einhaltung von Verhaltensregeln akkreditiert werden, wenn sie
* a) ihre Unabhängigkeit und ihr Fachwissen hinsichtlich des Gegenstands der Verhaltensregeln zur Zufriedenheit der zuständigen Aufsichtsbehörde nachgewiesen hat;
* b) Verfahren festgelegt hat, die es ihr ermöglichen, zu bewerten, ob Verantwortliche und Auftragsverarbeiter die Verhaltensregeln anwenden können, die Einhaltung der Verhaltensregeln durch die Verantwortlichen und Auftragsverarbeiter zu überwachen und die Anwendung der Verhaltensregeln regelmäßig zu überprüfen;
* c) Verfahren und Strukturen festgelegt hat, mit denen sie Beschwerden über Verletzungen der Verhaltensregeln oder über die Art und Weise, in der die Verhaltensregeln von dem Verantwortlichen oder dem Auftragsverarbeiter angewendet werden oder wurden, nachgeht und diese Verfahren und Strukturen für betroffene Personen und die Öffentlichkeit transparent macht, und
* d) zur Zufriedenheit der zuständigen Aufsichtsbehörde nachgewiesen hat, dass ihre Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.
}}{{Absatz
|Absatz=3
|Text=Die zuständige Aufsichtsbehörde übermittelt den Entwurf der Kriterien für die Akkreditierung einer Stelle nach Absatz 1 gemäß dem Kohärenzverfahren nach Artikel 63 an den Ausschuss.
}}{{Absatz
|Absatz=4
|Text=Unbeschadet der Aufgaben und Befugnisse der zuständigen Aufsichtsbehörde und der Bestimmungen des Kapitels VIII ergreift eine Stelle gemäß Absatz 1 vorbehaltlich geeigneter Garantien im Falle einer Verletzung der Verhaltensregeln durch einen Verantwortlichen oder einen Auftragsverarbeiter geeignete Maßnahmen, einschließlich eines vorläufigen oder endgültigen Ausschlusses des Verantwortlichen oder Auftragsverarbeiters von den Verhaltensregeln. Sie unterrichtet die zuständige Aufsichtsbehörde über solche Maßnahmen und deren Begründung.
}}{{Absatz
|Absatz=5
|Text=Die zuständige Aufsichtsbehörde widerruft die Akkreditierung einer Stelle gemäß Absatz 1, wenn die Voraussetzungen für ihre Akkreditierung nicht oder nicht mehr erfüllt sind oder wenn die Stelle Maßnahmen ergreift, die nicht mit dieser Verordnung vereinbar sind.
}}{{Absatz
|Absatz=6
|Text=Dieser Artikel gilt nicht für die Verarbeitung durch Behörden oder öffentliche Stellen.
}}
}}