Erläuterungen

Allgemeiner Teil

Hauptgesichtspunkte des Entwurfs:

Am 27. April 2016 wurde die Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung; im Folgenden: DSGVO), ABl. Nr. L 119 vom 04.05.2016 S. 1, beschlossen. Die DSGVO ist am 25. Mai 2016 in Kraft getreten, kommt ab 25. Mai 2018 zur Anwendung und hebt mit 25. Mai 2018 die Richtlinie 95/46/EG auf.

Obwohl die DSGVO in den Mitgliedstaaten unmittelbare Geltung erlangt, bedarf sie in zahlreichen Bereichen der Durchführung ins innerstaatliche Recht. So enthält sie – unbeschadet des Transformationsverbots und der damit verbundenen mangelnden Rechtssetzungskompetenz der Mitgliedstaaten – zahlreiche Regelungsspielräume bzw. „Öffnungsklauseln“, die den nationalen Gesetzgeber verpflichten oder berechtigen, im Rahmen der Vorgaben des Art. 6 Abs. 2 und 3 iVm Art. 6 Abs. 1 lit. c und e DSGVO bestimmte Angelegenheiten näher zu regeln. Soweit in der Verordnung Präzisierungen oder Einschränkungen ihrer Vorschriften durch das Recht der Mitgliedstaaten vorgesehen sind, ist es zudem zulässig, dass die Mitgliedstaaten – zur Wahrung der Kohärenz und um nationale Vorschriften verständlicher zu machen – Teile dieser Verordnung in ihr nationales Recht aufnehmen (vgl. ErwGr 8 zur DSGVO).

Ebenfalls am 27. April 2016 wurde auch die Richtlinie (EU) 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (im Folgenden: DS-RL), ABl. Nr. L 119 vom 04.05.2016 S. 89, beschlossen. Während die DSGVO allgemeine Bestimmungen für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr mit solchen Daten in der Union enthält, trägt die Datenschutz-Richtlinie den Besonderheiten bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, Rechnung.

Die notwendige Durchführung bzw. Umsetzung der unionsrechtlichen Vorgaben hinsichtlich allgemeiner Angelegenheiten des Schutzes personenbezogener Daten wurde durch das Datenschutz-Anpassungsgesetz 2018 und die darin vorgesehenen Anpassungen im Datenschutzgesetz (DSG) idF BGBl. I Nr. 120/2017 vorgenommen. Da einerseits der überwiegende Teil der Öffnungsklauseln der DSGVO nicht in den allgemeinen Bereich des Datenschutzes fällt und andererseits die Vorgaben der DS-RL weiterer Konkretisierung bedürfen, sind – soweit erforderlich – die spezifischen Materiengesetze anzupassen und können darüber hinaus für den Bereich der DSGVO die Regelungsspielräume der Verordnung durch eine entsprechende Festlegung in den jeweiligen Gesetzen genutzt werden.

Um auch Datenverarbeitungen außerhalb des Anwendungsbereichs des Unionsrechts zu erfassen (vgl. den sachlichen Anwendungsbereich gemäß Art. 2 Abs. 2 lit. a DSGVO), wird die DSGVO durch § 4 Abs. 1 DSG für sämtliche ganz oder teilweise automationsunterstützte Verarbeitungen personenbezogener Daten anwendbar erklärt. Daraus folgt, dass für jene Materiengesetze, die nicht dem Unionsrecht unterliegen, das europarechtliche Transformationsverbot nicht zur Anwendung gelangt sowie einfachgesetzliche Abweichungen zulässig sind.

Das Datenschutz-Anpassungsgesetz 2018 wurde mit 31. Juli 2017 kundgemacht und tritt am 25. Mai 2018 in Kraft.

Aufgrund dieser neuen datenschutzrechtlichen Vorgaben haben die gesetzlich geregelten Datenverarbeitungen ab dem 25. Mai 2018 den durch die DSGVO und die DS-RL geänderten Anforderungen zu genügen, weshalb nahezu sämtliche Materiengesetze, die in den legistischen Zuständigkeitsbereich des Bundesministeriums für Inneres fallen, anzupassen sind. Da gemäß § 69 Abs. 8 DSG – im Rahmen der europa- und verfassungsrechtlichen Vorgaben – vom DSG abweichende Regelungen in Bundes- und Landesgesetzen zulässig sind, sollen die einschlägigen materienspezifischen Regelungen im Bereich des Datenschutzes als leges speciales den allgemeinen Regelungen des neuen DSG vorgehen.

Im Hinblick auf die Verbote der speziellen Transformation, der inhaltlichen Präzisierung sowie der inhaltlichen Wiederholung einer EU-Verordnung ist – im Falle der unmittelbaren Anwendbarkeit der DSGVO – beabsichtigt, nur die unbedingt erforderlichen Regelungen der Verordnung durchzuführen bzw. sollen Abweichungen nur im Falle materienspezifischer Notwendigkeit erfolgen. Das bisher vorgesehene Datenschutzniveau soll dabei jedoch keinesfalls unterschritten werden.

Insbesondere ist beabsichtigt, die derzeitigen Anforderungen für Datenverarbeitungen – zB im Hinblick auf Verarbeitungszweck und öffentliches Interesse – zu konkretisieren, um die Rechtmäßigkeit der Verarbeitung gemäß Art. 6 Abs. 1 lit. e DSGVO zu gewährleisten. Darüber hinaus soll der in der Verordnung wie auch in der Richtlinie normierte Grundsatz der Transparenz für die Betroffenen in den Regelungen Berücksichtigung finden und eine Adaptierung der spezialgesetzlichen Regelungen betreffend das Informations-, Auskunfts- bzw. Löschungsrecht des Betroffenen erfolgen. Zudem ist beabsichtigt, die in den Materiengesetzen vorgesehenen Übermittlungsnormen an die neuen Vorgaben anzupassen.

Das in Art. 21 DSGVO dem Betroffenen in genereller Weise eingeräumte Widerspruchsrecht gegen die Verarbeitung von Daten aus Gründen, die sich aus seiner besonderen Situation ergeben, würde im Großteil der Verwaltungsbereiche einen geordneten Vollzug verunmöglichen, weshalb zur Sicherstellung einer der in Art. 23 Abs. 1 lit. a bis j DSGVO genannten Zwecke in den diesbezüglichen Rechtsgebieten ein Ausschluss des Widerspruchsrechts vorgesehen werden soll.

Der DSGVO und – soweit es diese in seinem 1., 2. und 4. Hauptstück umsetzt – dem Datenschutzgesetz (DSG) idF BGBl. I Nr. 120/2017 ist der Begriff des Informationsverbundsystems (bisher § 4 Z 13 DSG 2000) unbekannt. Art. 26 DSGVO sieht stattdessen vor, dass wenn zwei oder mehrere Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen, diese gemeinsam Verantwortliche sind. Da Art. 26 DSGVO eine Öffnungsklausel enthält, soll diese Regelung bei den bisher vom Bundesministerium für Inneres betriebenen Informationsverbundsystemen unter Beachtung der datenschutzrechtlichen Vorgaben zur Anwendung gelangen. Hierfür sollen die Rechtsfigur der „gemeinsamen Verantwortlichen“ im Sinne des Art. 26 DSGVO näher konkretisiert und die jeweiligen Pflichten der gemeinsam Verantwortlichen durch Gesetz in transparenter Form festgelegt werden. Entsprechendes ist auch für den Anwendungsbereich der DS-RL durch die Bestimmungen des Art. 21 DS-RL bzw. § 47 DSG vorgegeben.

Die neuen Regelungen für die Inanspruchnahme von Auftragsverarbeitern sollen an die Bestimmung des Art. 28 DSGVO angepasst werden, wobei insbesondere auch eine gesetzliche Normierung der Datenschutzpflichten beabsichtigt ist. Für den Bereich der DS-RL sehen Art. 22 DS-RL bzw. § 48 DSG entsprechende Regelungen vor.

Zudem sollen den Grundsätzen der Datenminimierung und Speicherbegrenzung durch die Reduzierung der Aufbewahrungsdauer von Protokolldaten Rechnung getragen werden.

Was die neuen Bestimmungen für die Verarbeitung „besonderer Kategorien personenbezogener Daten“ iSd Art. 9 DSGVO (bislang: Verarbeitung von „sensiblen Daten“ iSd § 4 Z 2 DSG 2000) betrifft, sollen zusätzlich angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der Betroffenen festgesetzt werden.

Die in den Materiengesetzen vorgesehenen Datensicherheitsmaßnahmen werden zudem im Hinblick auf die neuen Datensicherheitsbestimmungen in Art. 32, die im Anwendungsbereich der DSGVO unmittelbar zur Anwendung gelangen, angepasst.

Überdies sollen die materienspezifischen Datenschutzregelungen mit der neuen datenschutzrechtlichen Terminologie in Einklang gebracht werden sowie eine Adaptierung der bisherigen Verweise erfolgen.

Die Änderungen sollen mit 25. Mai 2018 in Kraft treten.

Kompetenzgrundlage:

Die Kompetenz des Bundes zur Erlassung eines diesem Entwurf entsprechenden Bundesgesetzes gründet sich hinsichtlich

- des Artikels 1 auf Art. 10 Abs. 1 Z 13 B-VG („Stiftungs- und Fondswesen, soweit es sich um Stiftungen und Fonds handelt, die nach ihren Zwecken über den Interessenbereich eines Landes hinausgehen und nicht schon bisher von den Ländern autonom verwaltet wurden“),

- des Artikels 2 auf Art. 10 Abs. 1 Z 13 B-VG („Angelegenheiten der künstlerischen und wissenschaftlichen Sammlungen und Einrichtungen des Bundes“) und auf Art. 17 B-VG (Angelegenheiten der Privatwirtschaftsverwaltung),

- der Artikel 3, 5, 6, 7 und 8 auf Art. 10 Abs. 1 Z 7 B-VG („Meldewesen“, „Personenstandsangelegenheiten einschließlich des Matrikenwesens und der Namensänderung“, „Waffen-, Munitions- und Sprengmittelwesen, Schießwesen“; „Vereins- und Versammlungsrecht“),

- des Artikels 4 auf Art. 10 Abs. 1 Z 4 B-VG („Passwesen“),

- des Artikels 9 auf Art. 1 Z 15 B-VG („Angelegenheiten des Zivildienstes“),

- des Artikels 10 auf Art. 10 Abs. 1 Z 3 B-VG („Ein- und Auswanderungswesen einschließlich des Aufenthaltsrechtes aus berücksichtigungswürdigen Gründen“; „Aufenthaltsverbot, Ausweisung und Abschiebung“; „Asyl“),

- des Artikels 11 auf Art. 10 Abs. 1 Z 3 B-VG („Regelung und Überwachung des Eintrittes in das Bundesgebiet und des Austrittes aus ihm“; „Aufenthaltsverbot, Ausweisung und Abschiebung“),

- des Artikels 12 auf Art. 10 Abs. 1 Z 3 B-VG („Ein- und Auswanderungswesen einschließlich des Aufenthaltsrechtes aus berücksichtigungswürdigen Gründen“),

- des Artikels 13 auf Art. 10 Abs. 1 Z 3 B-VG („Asyl“),

- des Artikels 14 auf Art. 10 Abs. 1 Z 3 B-VG („Regelung und Überwachung des Eintrittes in das Bundesgebiet und des Austrittes aus ihm“),

- des Artikels 15 auf Art. 11 Abs. 1 Z 1 B-VG („Staatsbürgerschaft“),

- der Artikel 16 bis 19 auf Art. 10 Abs. 1 Z 7 B-VG („Aufrechterhaltung der öffentlichen Ruhe, Ordnung und Sicherheit“),

- der Artikel 20, 24, 25, 26, 27 und 28 auf Art. 10 Abs. 1 Z 1 B-VG („Bundesverfassung, insbesondere Wahlen zum Nationalrat, und Volksbegehren, Volksabstimmungen und Volksbefragungen auf Grund der Bundesverfassung“) und hinsichtlich

- der Artikel 21, 22 und 23 auf Art. 10 Abs. 1 Z 2 B-VG („Wahlen zum Europäischen Parlament; Europäische Bürgerinitiativen“).

Besonderer Teil

Zu Artikel 1 (Änderung des Bundes-Stiftungs- und Fondsgesetzes 2015)

Zu Z 1 (§ 22 Abs. 2a):

Da die DSGVO (Art. 4 Z 10) „Dritten“ eine andere Bedeutung zugrunde legt, soll eine terminologische Anpassung erfolgen.

Zu Z 2 und 3 (§ 22 Abs. 3, § 28 Abs. 2):

Die vorgeschlagenen Änderungen dienen der terminologischen Anpassung an die DSGVO. Der Begriff der „Verarbeitung“ personenbezogener Daten gemäß Art. 4 Z 2 DSGVO beinhaltet auch die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung und entspricht damit dem bisher in § 4 Z 8 DSG 2000 definierten Begriff des „Verwendens“ bzw. der „Verwendung“ personenbezogener Daten.

Zu Artikel 2 (Änderung des Gedenkstättengesetzes)

Zu Z 1 (§ 14 Abs. 2):

Eine valide Prognose des Budgets für das laufende Kalenderjahr bildet üblicherweise die Basis für die Erstellung des Vorhabensberichtes. In der Praxis hat sich gezeigt, dass es bisher nicht möglich war, wie gesetzlich vorgesehen den Vorhabensbericht für die folgenden vier Jahre bis spätestens zu Beginn des dritten Quartals des laufenden Kalenderjahres zu erstellen, da im ersten Halbjahr das gesamte Budget für das laufende Kalenderjahr noch nicht genau abschätzbar ist. Aus Gründen der Praktikabilität soll daher in § 14 Abs. 2 die Frist zur Vorlage des Vorhabensberichtes an jene des § 8 des Bundesmuseen-Gesetzes 2002, BGBl. I Nr. 14/2002, angeglichen und somit auf spätestens sechs Wochen vor Beginn des nächsten Kalenderjahres angepasst werden.

Zu Z 2 bis 5 (§ 29):

Die vorgeschlagenen Änderungen dienen der terminologischen Anpassung an die DSGVO. Dem „Auftraggeber“ (§ 4 Z 4 DSG 2000) entspricht im Anwendungsbereich der DSGVO der „Verantwortliche“ (Art. 4 Z 7 DSGVO) einer Datenverarbeitung. Der Begriff der „Verarbeitung“ personenbezogener Daten gemäß Art. 4 Z 2 DSGVO beinhaltet auch die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung und deckt sich daher mit dem bisher in § 4 Z 8 DSG 2000 definierten Begriff des „Verwendens“ bzw. der „Verwendung“ personenbezogener Daten.

Im Hinblick auf Art. 6 DSGVO betreffend die Rechtmäßigkeit der Verarbeitung sowie das in der DSGVO normierte Transparenzgebot (vgl. ErwGr 60 zur DSGVO; siehe auch Art. 5 DSGVO), soll durch den Verweis in Abs. 2 auf § 3 die Klarstellung erfolgen, was unter den übertragenen Aufgaben zu verstehen ist.

Da die DSGVO den Terminus Weitergabe nicht kennt, kann dieser in Abs. 3 entfallen.

§ 14 DSG 2000 sieht unter anderem vor, dass Protokolldaten über tatsächlich durchgeführte Verwendungsvorgänge, wie insbesondere Änderungen, Abfragen und Übermittlungen drei Jahre lang aufzubewahren sind, sofern gesetzlich nicht ausdrücklich anderes angeordnet ist. Davon darf in jenem Ausmaß abgewichen werden, als der von der Protokollierung betroffene Datenbestand zulässigerweise früher gelöscht oder länger aufbewahrt wird. Durch den Entfall des bisherigen § 14 DSG 2000 durch das Datenschutz-Anpassungsgesetz 2018, BGBl. I Nr. 120/2017, und den Umstand, dass die DSGVO von spezifischen Regelungen betreffend die Protokollierung Abstand nimmt, wird vorgeschlagen, in Abs. 4 eine dem § 14 Abs. 2 Z 7 DSG 2000 vergleichbare Regelung aufzunehmen. Die bisherige in § 14 Abs. 5 DSG 2000 enthaltene Protokollierungsdauer von drei Jahren soll vor dem Hintergrund der in der DSGVO normierten Grundsätze der Datenminimierung gemäß Art. 5 Abs. 1 lit. c DSGVO und der Speicherbegrenzung gemäß Art. 5 Abs. 1 lit. e DSGVO dem Zweck der Verarbeitung angepasst und somit auf zwei Jahre reduziert werden.

Zu Artikel 3 (Änderung des Meldegesetzes 1991)

Zu Z 3 (§ 4 Abs. 4 und § 4a Abs. 2):

Es soll die Klarstellung erfolgen, dass es sich um die Amtssignatur des Bundesministers für Inneres handelt.

Zu Z 4, 5, 7, 9, 10, 11, 18, 20, 25, 26, 27, 29, 31, 34, 36, 37 und 38 (§ 4a Abs. 1 [idF BGBl. I Nr. 120/2016], § 4a Abs. 3, § 11 Abs. 3, Überschrift zum 2. Abschnitt, § 14 Abs. 1, 1a und 4, § 16 Abs. 5 bis 7, Überschrift zu § 16a, § 16a Abs. 6, § 16b Abs. 2 und 4, § 16c Abs. 1, § 17 Abs. 5, § 20 Abs. 1 und 3):

Sofern im Hinblick auf das neue Datenschutzregime eine Anpassung der im Meldegesetz verwendeten Begriffe erforderlich erscheint, sollen diese an die Definitionen der DSGVO (Art. 4 DSGVO) angeglichen werden. Beispielsweise sollen die Begriffe „überlassen“, „mitteilen“, „zur Verfügung stellen“, das „Weitergeben“ oder das „Weiterleiten“ von Daten durch „übermitteln“ ersetzt werden. Dem „Auftraggeber“ (§ 4 Z 4 DSG 2000) entspricht im Anwendungsbereich der DSGVO der „Verantwortliche“ (Art. 4 Z 7 DSGVO) einer Datenverarbeitung. Der „Auftragsverarbeiter“ (§ 4 Z 8 DSGVO) deckt sich grundsätzlich mit dem bisherigen „Dienstleister“ im Sinne des DSG 2000. Soweit es sich hingegen bei der Datenanwendung um ein Informationsverbundsystem handelt, entspricht der Auftragsverarbeiter im Sinne der DSGVO dem Betreiber gemäß § 50 Abs. 1 DSG 2000. Diese Funktionen übte in Bezug auf das Zentrale Melderegister bisher der Bundesminister für Inneres aus, weshalb es im Sinne größtmöglicher Kontinuität angezeigt ist, ihm künftig die Funktion des Auftragsverarbeiters zu übertragen.

Zu Z 6 (§ 10 Abs. 1):

Aufgrund der Tatsache, dass Art. 32 DSGVO betreffend die Sicherheit der Verarbeitung gilt, soll die Verordnungsermächtigung zur Festlegung der näheren Bestimmungen betreffend Datensicherheitsmaßnahmen entfallen.

Zu Z 8 und 13 (Überschrift zu § 14, Überschrift zu § 15):

Die Änderungen dienen der Anpassung an den Gesetzestext.

Zu Z 12 und 28 (§ 14 Abs. 5, § 16a Abs. 12):

§ 14 DSG 2000 sieht unter anderem vor, dass Protokolldaten über tatsächlich durchgeführte Verwendungsvorgänge, wie insbesondere Änderungen, Abfragen und Übermittlungen drei Jahre lang aufzubewahren sind, sofern gesetzlich nicht ausdrücklich anderes angeordnet ist. Davon darf in jenem Ausmaß abgewichen werden, als der von der Protokollierung betroffene Datenbestand zulässigerweise früher gelöscht oder länger aufbewahrt wird. Durch den Entfall des bisherigen § 14 DSG 2000 durch das Datenschutz-Anpassungsgesetz 2018, BGBl. I Nr. 120/2017, und den Umstand, dass die DSGVO von spezifischen Regelungen betreffend die Protokollierung Abstand nimmt, wird vorgeschlagen, im Rahmen des lokalen Melderegisters in Abs. 5 eine dem § 14 Abs. 2 Z 7 DSG 2000 vergleichbare Regelung aufzunehmen. Die bisherige in § 14 Abs. 5 DSG 2000 enthaltene Protokollierungsdauer von drei Jahren soll vor dem Hintergrund der in der DSGVO normierten Grundsätze der Datenminimierung gemäß Art. 5 Abs. 1 lit. c DSGVO und der Speicherbegrenzung gemäß Art. 5 Abs. 1 lit. e DSGVO dem Zweck der Verarbeitung angepasst und somit auf zwei Jahre reduziert werden.

Zu Z 14 (§ 15 Abs. 1a):

Es handelt sich um eine terminologische Anpassung.

Zu Z 15 (Überschrift zu § 16):

Die vorgeschlagene Änderung dient der terminologischen Anpassung an die DSGVO.

Zu Z 16 (§ 16 Abs. 1 und 2):

Zu Abs. 1:

Der DSGVO und – soweit es diese in seinem 1., 2. und 4. Hauptstück umsetzt – dem Datenschutzgesetz (DSG), BGBl. I Nr. 120/2017, ist der Begriff des Informationsverbundsystems (bisher § 4 Z 13 DSG 2000) unbekannt. Art. 26 DSGVO sieht stattdessen vor, dass wenn zwei oder mehrere Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen, diese gemeinsam Verantwortliche sind. Da diese Regelung eine Öffnungsklausel enthält, soll § 16 Abs. 1 entsprechend angepasst werden. Eine materielle Änderung gegenüber der bisherigen Rechtslage, insbesondere eine Einschränkung des Grundsatzes, dass jedem Verantwortlichen der Zugriff auf den Gesamtbestand der im Zentralen Melderegister verarbeiteten Daten – unabhängig davon, welcher Verantwortliche sie im Einzelfall zur Verfügung gestellt hat – offensteht, ist damit nicht verbunden. Zudem sollen die Meldebehörden wie bisher (Abs. 2) verpflichtet sein, dem Bundesminister für Inneres für Zwecke der Führung des Zentralen Melderegisters ihre Meldedaten zu übermitteln.

Die Festlegung des ZMR als öffentliches Register ist im Hinblick auf § 17 Abs. 2 Z 2 DSG 2000 relevant, wonach öffentliche Register als Datenanwendungen nicht der Meldepflicht gegenüber der Datenschutzbehörde unterliegen. Mit Inkrafttreten des Datenschutz-Anpassungsgesetzes 2018 entfällt die gegenständliche Meldung, weshalb die Klarstellung, dass es sich um ein öffentliches Register handelt, künftig nicht mehr erforderlich ist.

Zusätzlich soll im letzten Satz die Klarstellung erfolgen, dass es sich um das bPK für die Verwendung im privaten Bereich (§ 14 des E-Government-Gesetzes, BGBl. I Nr. 10/2004) handelt.

Soweit personenbezogene Daten durch Evidenzstellen gemäß § 51 Staatsbürgerschaftsgesetz 1985 (StbG), BGBl. Nr. 311/1985, sowie durch Personenstandsbehörden im Sinne des Personenstandsgesetzes 2013 (PStG 2013), BGBl. I Nr. 16/2013, an das Zentrale Melderegister übermittelt werden (§ 11 Abs. 1 und Abs. 1a MeldeG, § 12 und § 31 PStG 2013), sollen diese für die Meldebehörden als Auftragsverarbeiter tätig werden. Gleiches gilt für Behörden gemäß § 16 Abs. 3, die personenbezogene Daten in Häftlingsevidenzen verarbeiten und diese an das Zentrale Melderegister zum Zwecke der Verarbeitung für die Meldebehörden übermitteln.

Zu Abs. 2

Gemäß § 26 Abs. 1 zweiter Satz DSGVO haben mehrere gemeinsam Verantwortliche in einer Vereinbarung festzulegen, wer von ihnen gegenüber der betroffenen Person welche Verpflichtungen nach der DSGVO – zB Berichtigungs- und Löschungspflichten – wahrzunehmen hat, es sei denn, eine entsprechende Zuständigkeitsverteilung bzw. Pflichtenzuordnung ist bereits in einer gesetzlichen Vorschrift des Unions- oder des nationalen Rechts vorgesehen. In diesem Sinne soll der vorgeschlagene Abs. 2 die Zuständigkeit zwischen den gemeinsam Verantwortlichen des Zentralen Melderegisters dahingehend aufteilen, dass Informations-, Auskunfts-, Berichtigungs-, Löschungs- und sonstige Pflichten nach der DSGVO von jedem Verantwortlichen nur in Bezug auf jene personenbezogenen Daten zu erfüllen sind, die im Zusammenhang mit den von ihm selbst geführten Verwaltungsverfahren oder den von ihm gesetzten (verfahrensfreien) Maßnahmen verarbeitet werden. Dies erscheint zweckmäßig, weil der in diesem Sinne (ausschließlich) zuständige Verantwortliche am ehesten in der Lage ist, zu beurteilen, ob dem Betroffenen bezüglich der in Rede stehenden Daten tatsächlich ein Auskunfts-, Berichtigungs- oder sonstiges Recht nach der DSGVO zukommt.

Wird ein Recht nach der DSGVO vom Betroffenen – unter Nachweis seiner Identität (vgl. ErwGr 64 zur DSGVO) – bei einem nach dieser Bestimmung unzuständigen Verantwortlichen wahrgenommen, soll direkt durch diesen die Weiterverweisung an den für die Bearbeitung des Gesuchs zuständigen Verantwortlichen erfolgen. Dies soll auch für Fälle gelten, in denen den in Anspruch genommenen Verantwortlichen nur einen Teil der Pflichten treffen.

Der vorgeschlagenen Regelung steht Art. 26 Abs. 3 DSGVO nicht entgegen. Nach dieser Bestimmung kann der Betroffene ein Recht aufgrund der DSGVO zwar gegenüber „jedem einzelnen der Verantwortlichen“ geltend machen, und zwar unabhängig von einer zwischen den Verantwortlichen im Rahmen einer Vereinbarung getroffenen Zuständigkeitsverteilung; dies impliziert eine Pflicht des insoweit unzuständigen Verantwortlichen, ein Gesuch des Betroffenen nicht zurückzuweisen, sondern es jedenfalls entgegenzunehmen und an den zuständigen Verantwortlichen weiterzuleiten. Die freie Wahl des Verantwortlichen, gegenüber dem der Betroffene ein Recht nach der DSGVO geltend macht, gilt jedoch nur dann, wenn die Zuständigkeitsverteilung auf einer Vereinbarung zwischen den Verantwortlichen, nicht aber, wenn sie auf einer gesetzlichen Regelung beruht. Verteilt daher wie hier eine gesetzliche Regelung die Zuständigkeiten unter den Verantwortlichen, so ist ein unzuständiger Verantwortlicher nicht gehalten, ein Gesuch des Betroffenen entgegenzunehmen oder weiterzuleiten. Vielmehr kann er den Betroffenen in einem solchen Fall an den zuständigen Verantwortlichen verweisen.

Zu Z 17 (§ 16 Abs. 2a):

Gemäß Art 28 Abs. 1 DSGVO kann sich der Verantwortliche eines Dritten bedienen, der personenbezogene Daten in seinem Auftrag verarbeitet (Auftragsverarbeiter, Art. 4 Z 8 DSGVO). Der Auftragsverarbeiter im Sinne der DSGVO entspricht im Wesentlichen dem Dienstleister gemäß § 4 Z 5 DSG 2000 und – soweit es sich bei der Datenanwendung derzeit um ein Informationsverbundsystem handelt – dem Betreiber gemäß § 50 Abs. 1 DSG 2000. Diese Funktionen übte in Bezug auf das Zentrale Melderegister bisher der Bundesminister für Inneres aus, weshalb es im Sinne größtmöglicher Kontinuität angezeigt ist, ihm künftig die Funktion des Auftragsverarbeiters zu übertragen. Zudem soll gesetzlich normiert werden, dass der Bundesminister für Inneres in dieser Funktion auch verpflichtet ist, die Datenschutzpflichten gemäß Art. 28 Abs. 3 lit. a bis h DSGVO wahrzunehmen.

Zu Z 18 (§ 16 Abs. 5):

Aufgrund der datenschutzrechtlichen Anpassungen kann der Verweis auf Abs. 2 entfallen.

Zu Z 19 (§ 16 Abs. 8):

Gemäß Art. 21 Abs. 1 DSGVO hat der Betroffene das Recht, aus Gründen, die sich aus seiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung der ihn betreffenden personenbezogenen Daten Widerspruch zu erheben. Ein solches, dem Betroffenen durch die DSGVO in genereller Weise eingeräumtes Widerspruchsrecht kann jedoch gemäß Art. 23 DSGVO zur Sicherstellung einer der in Abs. 1 lit. a bis j genannten Zwecke durch nationale Bestimmungen beschränkt werden, sofern eine solche Beschränkung notwendig und verhältnismäßig ist. Von einer solchen Beschränkung wird in § 16 Abs. 8 für sämtliche nach dem Meldegesetz 1991 verarbeiteten Daten Gebrauch gemacht.

Für einen geordneten Vollzug des Meldewesens ist die Verarbeitung personenbezogener Daten von Meldepflichtigen in dem gesetzlich vorgesehenen Maße unerlässlich und liegt in diesem Sinne immer ein überwiegendes schutzwürdiges, öffentliches Interesse an der Datenverarbeitung vor. Es ist daher erforderlich und sachgerecht, den Ausschluss des Widerspruchsrechts gemäß Art. 21 DSGVO für alle nach diesem Bundesgesetz verarbeiteten personenbezogenen Daten vorzusehen. Eine Einzelfallabwägung, wie sie in Art. 21 Abs. 1 DSGVO vorgesehen ist, hätte überdies zur Folge, dass im Falle eines Widerspruchs durch die betroffene Person eine weitere Datenverarbeitung mit Ausnahme der Speicherung der Daten bis zum Nachweis zwingender schutzwürdiger Gründe für die Verarbeitung nicht mehr vorgenommen werden dürfte, sofern der Betroffene die Einschränkung der Verarbeitung verlangt (Art. 18 Abs. 1 lit. d DSGVO). Zur Aufrechterhaltung der öffentlichen Ordnung als allgemeines öffentliches Interesse und zur Sicherstellung der mit der Verarbeitung personenbezogener Daten von Meldepflichtigen verbundenen Ordnungsfunktion ist die gesetzlich vorgesehene Verarbeitung der betreffenden Daten zur Erfüllung der den Behörden übertragenen Aufgaben jedoch – bis zu deren gesetzlich vorgesehenen Löschung – zu jedem Zeitpunkt erforderlich. Weiters wäre im Falle eines Widerspruchs nach Art. 21 DSGVO und der – wenn auch nur vorübergehenden – Unzulässigkeit der Weiterverarbeitung die Besorgung der Aufgaben nach diesem Bundesgesetz von vorherein wesentlich beeinträchtigt und ein geordneter Vollzug des Meldewesens nicht mehr möglich. Die Ausübung des Widerspruchsrechts würde zudem einen beträchtlichen Verwaltungsaufwand verursachen, da das Melderegister sämtliche Personen mit Wohnsitz im Inland umfasst.

Überdies wäre im Falle eines Widerspruchs nicht mehr gewährleistet, dass das Melderegister, das aus Gründen der Publizität für die Öffentlichkeit in Bezug auf den Hauptwohnsitz als öffentliches Register (vgl. § 16 Abs. 1) geführt wird, Daten sämtlicher in Österreich wohnhafter Personen, enthält. Meldeauskünfte könnten demnach lediglich in eingeschränkter Weise erteilt werden. Dies würde den Zweck des Melderegisters – die Evidenthaltung der Meldedaten sämtlicher in Österreich wohnhafter Personen – vollständig konterkarieren. Die Evidenthaltung der Meldedaten ist für die gesamte staatliche Verwaltung von essentieller Bedeutung und vor allem für die Ermittlung der Kontaktdaten betroffener Personen, etwa für die Zustellung behördlicher Dokumente, unverzichtbar. Aus diesen Gründen wird vorgeschlagen, das Widerspruchsrecht auszuschließen.

Zu Z 21 bis 25 (§ 16a Abs. 1 bis 4, Abs. 6):

Der geltende Abs. 1 kann zur Gänze entfallen, da sich die Berechtigung der Meldebehörden, die Daten des ZMR zu verarbeiten, bereits aus § 16 Abs. 1 ergibt.

In Abs. 2 soll die Klarstellung erfolgen, dass der Bundesminister für Inneres als Auftragsverarbeiter tätig wird.

Aufgrund der Änderungen im DSG ist es erforderlich, den Verweis in Abs. 3 an die neuen Regelungen anzupassen.

In Abs. 4 soll eine Verweisanpassung vorgenommen werden.

In der auf Abs. 6 gestützten Verordnung werden nach geltender Rechtslage die Abfrageberechtigungen nach Abs. 4 und 5 näher präzisiert.

Aufgrund der Tatsache, dass Art. 32 DSGVO betreffend die Sicherheit der Verarbeitung anzuwenden ist, besteht keine Erforderlichkeit, nähere Bestimmungen hinsichtlich der Datensicherheitsmaßnahmen festzulegen. Im Hinblick auf die verfassungsrechtlich normierte Vollzugskompetenz der Länder in § 2 Abs. 2 zweiter Satz DSG und den Entfall von § 50 DSG 2000, wonach den Betreiber überdies die Verantwortung für die notwendigen Maßnahmen der Datensicherheit im Informationsverbundsystem trifft, erscheint es künftig zudem unzulässig, Ländern Maßnahmen zur Datensicherheit – die eine Annexmaterie zur Vollzugskompetenz darstellt – aufzuerlegen. Demzufolge ist beabsichtigt, die Verordnungsermächtigung in Abs. 6 auf Private, dh. sonstige Abfrageberechtigte gemäß Abs. 5, mit Ausnahme der Körperschaften des öffentlichen Rechts, einzuschränken.

Zu Z 30 und 31 (§ 16b Abs. 3 und 4):

§ 4 Z 1 DSG 2000 definiert Daten dann als indirekt personenbezogen, wenn der Personenbezug derart ist, dass die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmt werden kann. Diese Begriffsbestimmung findet sich weder in der DSGVO noch im Datenschutz-Anpassungsgesetz 2018, weshalb – wie in § 7 DSG („Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke“) – eine Klarstellung erfolgen soll, dass die Daten für statistische Zwecke an näher bestimmte Organe so zu übermitteln sind, dass sie für den Empfänger pseudonymisierte personenbezogene Daten sind (vgl. die Definition in Art. 4 Z 5 DSGVO) und der Empfänger (vgl. Art. 4 Z 9 DSGVO) die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann.

Zudem soll in Abs. 4 eine Verweisanpassung an die neuen datenschutzrechtlichen Regelungen erfolgen.

Zu Z 32 (§ 16b Abs. 5):

Werden personenbezogene Daten zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken verarbeitet, so können bei Vorliegen näher bestimmter Voraussetzungen gemäß Art. 89 Abs. 2 DSGVO – vorbehaltlich der Bedingungen und Garantien gemäß Abs. 1 – durch nationales Recht Ausnahmen von den Rechten gemäß Art. 15 (Auskunftsrecht der betroffenen Person), 16 (Recht auf Berichtigung), 18 (Recht auf Einschränkung der Verarbeitung) und 21 (Widerspruchsrecht) vorgenommen werden. Da es in der Praxis kaum möglich wäre, gegenüber Betroffenen bei statistischen und wissenschaftlichen oder historischen Erhebungen aufgrund der hohen Datenmengen sämtliche dieser Rechte zu wahren bzw. die Wahrung der Betroffenenrechte die Verwirklichung der spezifischen Forschungs- bzw. statistischen Zwecke ernsthaft beeinträchtigen, wenn nicht sogar unmöglich machen würde, soll die Ausnahmeermächtigung gemäß Art. 89 Abs. 2 DSGVO in Anspruch genommen werden.

Hinsichtlich der Informationspflicht gemäß Art. 14 DSGVO („Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden“) wird – was den Vollzug betrifft – auf Art. 14 Abs. 5 DSGVO verwiesen, wonach die Bestimmungen im Einzelfall insbesondere dann keine Anwendung finden, wenn und soweit sich die Erteilung dieser Information als unmöglich erweisen oder einen unverhältnismäßigen Aufwand erfordern würde, wie dies zB für die Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche und historische Forschungszwecke oder statistische Zwecke der Fall sein kann. Jedenfalls sind aber vom Verantwortlichen geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person zu ergreifen (vgl. Art. 14 Abs. 15 lit. b DSGVO). Diesbezüglich wird beispielsweise auf Abs. 3 hingewiesen, wonach der Empfänger der Daten aufgrund der vorgenommenen Pseudonymisierung keine Rückschlüsse auf die Identität des Betroffenen ziehen kann.

Zu Z 35 (§ 16c Abs. 2 und 3):

Der vorgeschlagene Abs. 2 soll die Möglichkeit schaffen, dass auch sonstige Rechtsträger den Änderungsdienst nutzen können, soweit diese zur Vollziehung der Gesetze berufen sind (sogenannte Beliehene). Voraussetzung für die Nutzung des Änderungsdienstes durch Beliehene ist die bereits erfolgte Erstausstattung mit bereichsspezifischen Personenkennzeichen (bPK). Verwendet dieser sonstige Rechtsträger sein bPK für die Verwendung im privaten Bereich (§ 14 E-GovG) für die Teilnahme am Änderungsdienst, so hat er für die Errechnung seine eigene Stammzahl im Rahmen des Änderungsdienstes zur Verfügung stellen bzw. beim Verlangen auf Teilnahme bekanntzugeben.

Der Umfang der dem Änderungsdienst zugänglichen Daten beschränkt sich im Unterschied zu Abs. 1 auf die Änderung des Vor- und Familiennamens, der akademischen Grade sowie auf den Hauptwohnsitz der betroffenen Personen. Diese Daten entsprechen im Wesentlichen dem Umfang der Abfrageberechtigung nach § 16a Abs. 5.

Da der Zeitpunkt des Bestehens der technischen Voraussetzungen für die Aufnahme des Änderungsdienstes für Beliehene sowie die für die Inanspruchnahme dieses Änderungsdienstes anfallenden Kosten derzeit noch nicht abschätzbar sind, wird in Abs. 3 vorgeschlagen, dass der Bundesminister für Inneres diesen Zeitpunkt, die Höhe des Kostenersatzes sowie die nähere technische und organisatorische Ausgestaltung durch Verordnung festlegen kann.

Zu Z 38 (§ 20 Abs. 3):

Es handelt es sich um eine redaktionelle Berichtigung.

Zu Artikel 4 (Änderung des Passgesetzes 1992)

Zu Z 2 (§ 3 Abs. 5a):

Die vorgeschlagene Änderung dient der Anpassung der für die Abnahme von Papillarlinienabdrücken geltenden Voraussetzungen an die Vorgaben der DSGVO.

Die in Art. 9 Abs. 1 DSGVO näher bezeichneten besonderen Kategorien personenbezogener Daten entsprechen im Wesentlichen der Kategorie der sensiblen Daten gemäß § 4 Z 2 DSG 2000. Die DSGVO normiert für die Verarbeitung solcher Daten ein grundsätzliches Verbot mit Erlaubnisvorbehalt. Im gegebenen Zusammenhang ist der Tatbestand des Art. 9 Abs. 2 lit. g DSGVO einschlägig, wonach die Datenverarbeitung der Verwirklichung eines wichtigen, im Unions- oder nationalen Recht anerkannten Interesses dienen muss. Der Zweck für die Abnahme von Papillarlinienabdrücken liegt in der Erfüllung einer unionsrechtlichen Verpflichtung in Bezug auf die Sicherung der Identitätsfeststellung (EuGH vom 17.10.2013, Rs C-291/12, Schwarz gegen Bochum; vgl. auch Verordnung [EG] Nr. 444/2009 zur Änderung der Verordnung [EG] Nr. 2252/2004 des Rates über Normen für Sicherheitsmerkmale und biometrische Daten in von den Mitgliedstaaten ausgestellten Pässen und Reisedokumenten, ABl. Nr. L 142 vom 28.05.2009 S. 1, wonach die Mitgliedstaaten auch für angemessene Verfahren zur Wahrung der Würde der betroffenen Person zu sorgen und die Menschenrechte zu wahren haben sowie Altersgrenzen vorgesehen sind).

In den Fällen des – hier einschlägigen – Art. 9 Abs. 2 lit. g DSGVO sind „spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person“ gesetzlich vorzusehen. Diesem Erfordernis wird durch Rechnung getragen, dass vorgeschlagen wird, die Abnahme von Papillarlinienabdrücken ausschließlich geeigneten und besonders geschulten Bediensteten der Passbehörde bzw. den Bürgermeistern (vgl. § 16 Abs. 3) vorzubehalten. Handelt es sich bei diesen Personen um Beamte oder Vertragsbedienstete, ergibt sich die Verschwiegenheitspflicht jeweils unmittelbar aus § 46 des Beamten-Dienstrechtsgesetzes 1979 (BDG), BGBl. Nr. 333/1979, oder den §§ 5 oder 79 des Vertragsbedienstetengesetzes 1948 (VBG), BGBl. Nr. 86/1948. Die Abnahme von Papillarlinienabdrücken durch Personen, für die weder die Vorschriften des BDG noch des VBG zur Anwendung kommen, darf nur erfolgen, sofern auch diese in Bezug auf die Abnahme von Papillarlinienabdrücken – etwa im Rahmen der Unterzeichnung einer Verschwiegenheitserklärung – zur Verschwiegenheit verpflichtet sind. Weiters wird die Abnahme von Papillarlinienabdrücken – nach dem bewährten Vorbild des § 13 FPG – durch Verweis auf die Achtung der Menschenwürde und möglichste Schonung der Person ausdrücklich dem Verhältnismäßigkeitsgrundsatz unterstellt.

Zu Z 3, 4, 7, 8, 10, 11 und 12 (§ 3 Abs. 6, 8 und 9, § 16 Abs. 3 und 6, § 17 Abs. 2, Überschrift zu § 22a, § 22a Abs. 1, 3 und 4, Überschrift zu § 22b, § 22b Abs. 2 und 3, § 22d Abs. 2):

Die vorgeschlagenen Änderungen dienen der terminologischen Anpassung an die DSGVO. Sofern im Hinblick auf das neue Datenschutzregime eine Anpassung der im Passgesetz 1992 verwendeten Begriffe erforderlich erscheint, sollen diese an die Definitionen der DSGVO (Art. 4 DSGVO) angeglichen werden. Beispielsweise sollen die Begriffe „überlassen“, „zur Verfügung stellen“, das „Weitergeben“ oder das „Weiterleiten“ von Daten durch „übermitteln“ ersetzt werden.

Dem „Auftraggeber“ einer Datenanwendung (§ 4 Z 4 DSG 2000) entspricht im Anwendungsbereich der DSGVO der „Verantwortliche“ (Art. 4 Z 7 DSGVO) einer Datenverarbeitung. Der „Auftragsverarbeiter“ (§ 4 Z 8 DSGVO) deckt sich mit dem bisherigen „Dienstleister“ im Sinne des DSG 2000. Der Begriff der „Verarbeitung“ personenbezogener Daten gemäß Art. 4 Z 2 DSGVO beinhaltet auch die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung und entspricht damit dem bisher in § 4 Z 8 DSG 2000 definierten Begriff des „Verwendens“ bzw. der „Verwendung“ personenbezogener Daten.

Zu Z 6 (§ 3 Abs. 8):

Es handelt sich um eine Verweisanpassung an die neuen datenschutzrechtlichen Regelungen der DSGVO.

Zu Z 7 (§ 16 Abs. 3):

Es handelt sich um die Bereinigung eines legistischen Versehens.

Zu Z 8 (§ 16 Abs. 6):

Die Bundesrechenzentrum GmbH nimmt bereits nach derzeitiger Rechtslage die Rechten und Pflichten eines Dienstleisters im Sinne des § 4 Z 5 DSG 2000 wahr, weshalb die Bezeichnung der Bundesrechenzentrum GmbH als Auftragsverarbeiterin nur eine klarstellende Funktion hat. Zudem soll ausdrücklich gesetzlich normiert werden, dass sie als Auftragsverarbeiterin auch zur Einhaltung der Datenschutzpflichten gemäß Art. 28 Abs. 3 lit. a bis h DSGVO verpflichtet ist.

Zu Z 9 und Z 17 (§ 17 Abs. 2, § 22b Abs. 3 und 4, § 22c Abs. 4 und § 22d Abs. 2):

Es soll im Sinne der neuen datenschutzrechtlichen Terminologie klargestellt werden, dass es sich bei diesen Daten um personenbezogene Daten handelt.

Zu Z 13 (§ 22a Abs. 6):

Durch den Entfall des bisherigen § 14 DSG 2000 durch das Datenschutz-Anpassungsgesetz 2018, BGBl. I Nr. 120/2017, und den Umstand, dass die DSGVO von spezifischen Regelungen betreffend die Protokollierung Abstand nimmt, wird vorgeschlagen, im Rahmen der lokalen Anwendungen und der zentralen Evidenz in § 22a Abs. 6 und § 22b Abs. 5 eine dem § 14 Abs. 2 Z 7 DSG 2000 vergleichbare Regelung aufzunehmen. Die bisherige in § 14 Abs. 5 DSG 2000 enthaltene Protokollierungsdauer von drei Jahren soll vor dem Hintergrund der in der DSGVO normierten Grundsätze der Datenminimierung gemäß Art. 5 Abs. 1 lit. c DSGVO und der Speicherbegrenzung gemäß Art. 5 Abs. 1 lit. e DSGVO dem Zweck der Verarbeitung angepasst und somit auf zwei Jahre reduziert werden.

Zu Z 14 und 15 (§ 22b Abs. 1 bis 1b):

Im Hinblick auf Art. 6 DSGVO betreffend die Rechtmäßigkeit der Verarbeitung sowie das in der DSGVO normierte Transparenzgebot (vgl. ErwGr 60 zur DSGVO; siehe auch Art. 5 DSGVO), soll im Einleitungsteil des Abs. 1 der Zweck der Datenverarbeitung festgelegt werden.

Der DSGVO und – soweit es diese in seinem 1., 2. und 4. Hauptstück umsetzt – dem Datenschutzgesetz (DSG), BGBl. I Nr. 120/2017, ist der Begriff des Informationsverbundsystems (bisher § 4 Z 13 DSG 2000) unbekannt. Die vorgeschlagene Änderung dient der terminologischen Anpassung an die DSGVO. Art. 26 DSGVO sieht vor, dass wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke und die Mittel zur Verarbeitung festlegen, diese gemeinsam Verantwortliche sind. Da diese Regelung eine Öffnungsklausel enthält, soll § 22b entsprechend angepasst werden. Eine materielle Änderung gegenüber der bisherigen Rechtslage, insbesondere eine Einschränkung des Grundsatzes, dass jedem Verantwortlichen der Zugriff auf den Gesamtbestand der in der Zentralen Evidenz verarbeiteten Daten – unabhängig davon, welcher Verantwortliche sie im Einzelfall zur Verfügung gestellt hat – offensteht, ist damit nicht verbunden.

Gemäß § 26 Abs. 1 zweiter Satz DSGVO haben mehrere gemeinsam Verantwortliche in einer Vereinbarung festzulegen, wer von ihnen gegenüber der betroffenen Person welche Verpflichtungen nach der DSGVO – zB Berichtigungs- und Löschungspflichten – wahrzunehmen hat, es sei denn, eine entsprechende Zuständigkeitsverteilung bzw. Pflichtenzuordnung ist bereits in einer gesetzlichen Vorschrift des Unions- oder des nationalen Rechts vorgesehen. In diesem Sinne soll der vorgeschlagene Abs. 1a die Zuständigkeit zwischen den gemeinsam Verantwortlichen der zentralen Evidenz dahingehend aufteilen, dass Auskunfts-, Informations-, Berichtigungs-, Löschungs- und sonstige Pflichten nach der DSGVO von jedem Verantwortlichen nur in Bezug auf jene personenbezogenen Daten zu erfüllen sind, die im Zusammenhang mit den von ihm selbst geführten Verwaltungsverfahren oder den von ihm gesetzten (verfahrensfreien) Maßnahmen verarbeitet werden. Dies erscheint zweckmäßig, weil der in diesem Sinne (ausschließlich) zuständige Verantwortliche am ehesten in der Lage ist, zu beurteilen, ob dem Betroffenen bezüglich der in Rede stehenden Daten tatsächlich ein Auskunfts-, Berichtigungs- oder sonstiger Anspruch nach der DSGVO zukommt.

Wird ein Recht nach der DSGVO vom Betroffenen – unter Nachweis seiner Identität (vgl. ErwGr 64 zur DSGVO) – bei einem nach dieser Bestimmung unzuständigen Verantwortlichen wahrgenommen, soll nach Abs. 1a direkt durch diesen die Weiterverweisung an den für die Bearbeitung des Gesuchs zuständigen Verantwortlichen erfolgen. Dies soll auch für Fälle gelten, in denen den in Anspruch genommenen Verantwortlichen nur einen Teil der Pflichten treffen.

Der vorgeschlagenen Regelung steht Art. 26 Abs. 3 DSGVO nicht entgegen. Nach dieser Bestimmung kann der Betroffene ein Recht aufgrund der DSGVO zwar gegenüber „jedem einzelnen der Verantwortlichen“ geltend machen, und zwar unabhängig von einer zwischen den Verantwortlichen im Rahmen einer Vereinbarung getroffenen Zuständigkeitsverteilung; dies impliziert eine Pflicht des insoweit unzuständigen Verantwortlichen, ein Gesuch des Betroffenen nicht zurückzuweisen, sondern es jedenfalls entgegenzunehmen und an den zuständigen Verantwortlichen weiterzuleiten. Die freie Wahl des Verantwortlichen, gegenüber dem der Betroffene ein Recht nach der DSGVO geltend macht, gilt jedoch nur dann, wenn die Zuständigkeitsverteilung auf einer Vereinbarung zwischen den Verantwortlichen, nicht aber, wenn sie auf einer gesetzlichen Regelung beruht. Verteilt daher – wie hier (Abs. 1a) – eine gesetzliche Regelung die Zuständigkeiten unter den Verantwortlichen, so ist ein unzuständiger Verantwortlicher nicht gehalten, ein Gesuch des Betroffenen entgegenzunehmen oder weiterzuleiten. Vielmehr kann er den Betroffenen in einem solchen Fall an den zuständigen Verantwortlichen verweisen.

Gemäß Art 28 Abs. 1 DSGVO kann sich der Verantwortliche eines Dritten bedienen, der personenbezogene Daten in seinem Auftrag verarbeitet (Auftragsverarbeiter, Art. 4 Z 8 DSGVO). Der Auftragsverarbeiter im Sinne der DSGVO entspricht im Wesentlichen dem Dienstleister gemäß § 4 Z 5 DSG 2000 und – soweit es sich bei der Datenanwendung um ein Informationsverbundsystem handelt – dem Betreiber gemäß § 50 Abs. 1 DSG 2000. Diese Funktionen übte in Bezug auf die zentrale Evidenz bisher der Bundesminister für Inneres aus, weshalb es im Sinne größtmöglicher Kontinuität angezeigt ist, ihm künftig durch Abs. 1b die Funktion des Auftragsverarbeiters zu übertragen. Zudem soll gesetzlich normiert werden, dass der Bundesminister für Inneres in dieser Funktion auch verpflichtet ist, die Datenschutzpflichten gemäß Art. 28 Abs. 3 lit. a bis h DSGVO wahrzunehmen sowie – vergleichbar den Regelungen in anderen Materiengesetzen (vgl. § 44 Abs. 3 PStG 2013, § 16 Abs. 7 MeldeG, § 56a Abs. 2 StbG) – datenqualitätssichernde Maßnahmen zu setzen, wie insbesondere Hinweise auf eine mögliche Identität zweier ähnlicher Datensätze oder die Schreibweise von Adressen zu geben („Clearing“).

Zu Z 18 (§ 22b Abs. 6):

Gemäß Art. 21 Abs. 1 DSGVO hat der Betroffene das Recht, aus Gründen, die sich aus seiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung der ihn betreffenden personenbezogenen Daten Widerspruch zu erheben. Ein solches, dem Betroffenen durch die DSGVO in genereller Weise eingeräumtes Widerspruchsrecht kann jedoch gemäß Art. 23 DSGVO zur Sicherstellung einer der in Abs. 1 lit. a bis j genannten Zwecke durch nationale Bestimmungen beschränkt werden, sofern eine solche Beschränkung notwendig und verhältnismäßig ist. Von einer solchen Beschränkung wird in § 22b Abs. 6 für sämtliche nach dem Passgesetz 1992 verarbeiteten Daten Gebrauch gemacht.

Für einen geordneten Vollzug des Passwesens ist die Verarbeitung personenbezogener Daten von Antragstellern eines Reisedokuments in dem gesetzlich vorgesehenen Maße unerlässlich und liegt in diesem Sinne immer ein überwiegendes schutzwürdiges, öffentliches Interesse an der Datenverarbeitung vor. Es ist daher erforderlich und sachgerecht, den Ausschluss des Widerspruchsrechts gemäß Art. 21 DSGVO für alle nach diesem Bundesgesetz verarbeiteten personenbezogenen Daten vorzusehen. Eine Einzelfallabwägung, wie sie in Art. 21 Abs. 1 DSGVO vorgesehen ist, hätte überdies zur Folge, dass im Falle eines Widerspruchs durch die betroffene Person eine weitere Datenverarbeitung mit Ausnahme der Speicherung der Daten bis zum Nachweis zwingender schutzwürdiger Gründe für die Verarbeitung nicht mehr vorgenommen werden dürfte, sofern der Betroffene die Einschränkung der Verarbeitung verlangt (Art. 18 Abs. 1 lit. d DSGVO). Zur Aufrechterhaltung der öffentlichen Ordnung und Sicherheit als allgemeines öffentliches Interesse und zur Sicherstellung der mit der Verarbeitung personenbezogener Daten Betroffener verbundenen Kontroll-, Überwachungs- und Ordnungsfunktionen (siehe auch Art. 23 Abs. 1 lit. h DSGVO) ist die gesetzlich vorgesehene Verarbeitung der betreffenden Daten zur Erfüllung der den Behörden übertragenen Aufgaben jedoch – bis zu deren gesetzlich vorgesehenen Löschung – zu jedem Zeitpunkt erforderlich.

Die Datenverarbeitung in der zentralen Evidenz ist Grundvoraussetzung für die Ausstellung eines Reisepasses oder Personalausweises. Im Falle eines Widerspruchs nach Art. 21 DSGVO und der – wenn auch nur vorübergehenden – Unzulässigkeit der Weiterverarbeitung wäre die Besorgung der Aufgaben nach diesem Bundesgesetz und ein geordneter Vollzug des Passwesens nicht mehr möglich.

Die Ausübung des Widerspruchsrechts würde zudem einen beträchtlichen Verwaltungsaufwand verursachen, da die zentrale Evidenz und die lokalen Anwendungen sämtliche Personen, die bei der Behörde ein Reisedokument beantragt haben, umfassen. Überdies können Behörden durch den Rückgriff auf frühere Dokumente und Daten die Identität des Antragstellers gesichert feststellen und insbesondere mittels Vergleich mit früheren Lichtbildern ein Erschleichen von Dokumenten und somit Missbrauch verhindern (zB Erschleichung eines Dokuments auf den Namen einer anderen Person unter Vorlage des eigenen Lichtbilds). Die Verarbeitung der Daten bringt zudem eine Erleichterung für die Bürger, da es nicht mehr erforderlich ist, bei Beantragung eines neuen Reisepasses oder Personalausweises sämtliche Dokumente erneut vorzulegen. Darüber hinaus liegt der Verarbeitung von bestimmten Daten (so zB von Papillarlinienabdrücken sowie Lichtbildern) eine unionsrechtliche Verpflichtung zugrunde. Aus diesen Gründen wird vorgeschlagen, das Widerspruchsrecht auszuschließen.

Zu Z 19 (§ 22d Abs. 2):

Es handelt sich um Anpassungen an die aktuelle europarechtliche Terminologie.

Zu Artikel 5 (Änderung des Personenstandsgesetzes 2013)

Zu Z 3, 4, 5, 7, 9, 11, 15, 17, 19, 22, 23, 26, 28, 33, 40, 42 und 47 (§ 7 Abs. 3, § 8, § 9 Abs. 1, 5 und 6, § 12, § 28 Abs. 1 und 5, § 31, § 41 Abs. 3, § 43 Abs. 1, § 45 Abs. 3, Überschrift zum 4. Hauptstück, Überschrift zum 1. Abschnitt des 4. Hauptstückes, § 46 Abs. 4, § 47 Abs. 1 und 4, § 48 Abs. 4, § 50, § 52 Abs. 4, § 61 Abs. 1, 5 und 6):

Die vorgeschlagenen Änderungen dienen der terminologischen Anpassung an die DSGVO. Sofern im Hinblick auf das neue Datenschutzregime eine Anpassung der im Personenstandsgesetz 2013 verwendeten Begriffe erforderlich erscheint, werden diese nun an die Definitionen der DSGVO (Art. 4 DSGVO) angeglichen. Beispielsweise sollen die Begriffe „mitteilen“, „überlassen“, „zur Verfügung stellen“, das „Weitergeben“ oder das „Weiterleiten“ von Daten durch „übermitteln“ ersetzt werden.

Dem „Auftraggeber“ einer Datenanwendung (§ 4 Z 4 DSG 2000) entspricht im Anwendungsbereich der DSGVO der „Verantwortliche“ (Art. 4 Z 7 DSGVO) einer Datenverarbeitung. Der „Auftragsverarbeiter“ (§ 4 Z 8 DSGVO) deckt sich mit dem bisherigen „Dienstleister“ im Sinne des DSG 2000. Soweit es sich hingegen bei der Datenanwendung um ein Informationsverbundsystem handelt, entspricht der Auftragsverarbeiter im Sinne der DSGVO dem Betreiber gemäß § 50 Abs. 1 DSG 2000. Diese Funktionen übte in Bezug auf das Zentrale Personenstandsregister bisher der Bundesminister für Inneres aus, weshalb es im Sinne größtmöglicher Kontinuität angezeigt ist, ihm künftig die Funktion des Auftragsverarbeiters zu übertragen.

Soweit Personenstandsbehörden personenbezogene Daten im Wege eines Änderungszugriffes an das Zentrale Melderegister übermitteln, wie dies in §§ 12 und 31 vorgesehen ist, sollen diese für die Meldebehörden als Auftragsverarbeiter tätig werden.

Zu Z 6 (§ 9 Abs. 5, § 46 Abs. 3, § 58 Abs. 1, § 61 Abs. 2):

Soweit der Begriff „Daten“ durch „personenbezogene Daten“ ersetzt wurde, bewirkt diese vorgeschlagene Ergänzung keine inhaltliche Änderung. Vielmehr handelt es sich um eine Klarstellung.

Zu Z 8 und 14 (§ 9 Abs. 5, § 28 Abs. 5):

Im Hinblick auf Art. 6 DSGVO betreffend die Rechtmäßigkeit der Verarbeitung sowie das in der DSGVO normierte Transparenzgebot (vgl. ErwGr 60 zur DSGVO; siehe auch Art. 5 DSGVO), soll der konkrete Zweck der Datenverarbeitung in § 9 Abs. 5 sowie § 28 Abs. 5 festgelegt werden.

Mittels der vorgeschlagenen Änderung soll demnach klargestellt werden, dass der Bundesanstalt Statistik Österreich die Daten gemäß § 8 Abs. 1 Hebammengesetz, BGBl. Nr. 310/1994, und die Daten zur Todesursache, die Vornahme einer Obduktion sowie Angaben zur Müttersterblichkeit im Wege des ZPR bloß zu statistischen Zwecken übermittelt werden dürfen.

Zu Z 10 und 12 (§ 11 Abs. 4, § 20 Abs. 5, § 27 Abs. 4):

Die Angabe des Religionsbekenntnisses anlässlich der Eintragung der Geburt, der Ehe oder der Eingetragenen Partnerschaft ist bereits nach geltendem Recht nicht obligatorisch. Durch die Änderung dieser Bestimmung wird dies nun ausdrücklich klargestellt.

Zu Z 16 (§ 42 Abs. 3):

Aufgrund der Tatsache, dass sich das Recht des Betroffenen auf Berichtigung aus Art. 16 DSGVO ergibt, soll die sich direkt aus dem PStG 2013 ergebende Möglichkeit, auf Antrag eine Berichtigung zu verlangen, in Abs. 3 entfallen, ohne dass dies eine Beschränkung der Betroffenenrechte zur Folge hat.

Zu Z 18 (§ 44 samt Überschrift):

Zu Abs. 1:

Der DSGVO und – soweit es diese in seinem 1., 2. und 4. Hauptstück umsetzt – dem Datenschutzgesetz (DSG), BGBl. I Nr. 120/2017, ist der Begriff des Informationsverbundsystems (bisher § 4 Z 13 DSG 2000) unbekannt. Die vorgeschlagene Änderung dient der terminologischen Anpassung an die DSGVO (siehe die Erläuterungen zu den begrifflichen Anpassungen). Art. 26 DSGVO sieht vor, dass wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke und die Mittel zur Verarbeitung festlegen, diese gemeinsam Verantwortliche sind. Da diese Regelung eine Öffnungsklausel enthält, soll § 44 entsprechend angepasst werden. Eine materielle Änderung gegenüber der bisherigen Rechtslage, insbesondere eine Einschränkung des Grundsatzes, dass jedem Verantwortlichen der Zugriff auf den Gesamtbestand der im Zentralen Personenstandsregister (ZPR) verarbeiteten Daten – unabhängig davon, welcher Verantwortliche sie im Einzelfall zur Verfügung gestellt hat – offensteht, ist damit nicht verbunden.

Zu Abs. 1a:

Gemäß § 26 Abs. 1 zweiter Satz DSGVO haben mehrere gemeinsam Verantwortliche in einer Vereinbarung festzulegen, wer von ihnen gegenüber der betroffenen Person welche Verpflichtungen nach der DSGVO – zB Berichtigungs- und Löschungspflichten – wahrzunehmen hat, es sei denn, eine entsprechende Zuständigkeitsverteilung bzw. Pflichtenzuordnung ist bereits in einer gesetzlichen Vorschrift des Unions- oder des nationalen Rechts vorgesehen. In diesem Sinne soll der vorgeschlagene Abs. 1a die Zuständigkeit zwischen den gemeinsam Verantwortlichen des ZPR dahingehend aufteilen, dass Auskunfts-, Informations-, Berichtigungs-, Löschungs- und sonstige Pflichten nach der DSGVO von jedem Verantwortlichen nur in Bezug auf jene personenbezogenen Daten zu erfüllen sind, die im Zusammenhang mit den von ihm selbst geführten Verwaltungsverfahren oder den von ihm gesetzten (verfahrensfreien) Maßnahmen verarbeitet werden. Dies erscheint zweckmäßig, weil der in diesem Sinne (ausschließlich) zuständige Verantwortliche am ehesten in der Lage ist, zu beurteilen, ob dem Betroffenen bezüglich der in Rede stehenden Daten tatsächlich ein Auskunfts-, Berichtigungs- oder sonstiger Anspruch nach der DSGVO zukommt.

Der vorgeschlagenen Regelung steht Art. 26 Abs. 3 DSGVO nicht entgegen. Nach dieser Bestimmung kann der Betroffene ein Recht aufgrund der DSGVO zwar gegenüber „jedem einzelnen der Verantwortlichen“ geltend machen, und zwar unabhängig von einer zwischen den Verantwortlichen im Rahmen einer Vereinbarung getroffenen Zuständigkeitsverteilung; dies impliziert eine Pflicht des insoweit unzuständigen Verantwortlichen, ein Gesuch des Betroffenen nicht zurückzuweisen, sondern es jedenfalls entgegenzunehmen und an den zuständigen Verantwortlichen weiterzuleiten. Die freie Wahl des Verantwortlichen, gegenüber dem der Betroffene ein Recht nach der DSGVO geltend macht, gilt jedoch nur dann, wenn die Zuständigkeitsverteilung auf einer Vereinbarung zwischen den Verantwortlichen, nicht aber, wenn sie auf einer gesetzlichen Regelung beruht. Verteilt daher – wie hier (Abs. 1a) – eine gesetzliche Regelung die Zuständigkeiten unter den Verantwortlichen, so ist ein unzuständiger Verantwortlicher nicht gehalten, ein Gesuch des Betroffenen entgegenzunehmen oder weiterzuleiten. Vielmehr kann er den Betroffenen in einem solchen Fall an den zuständigen Verantwortlichen verweisen.

Zu Abs. 2:

Vor dem Hintergrund des Entfalls von § 17 Abs. 2 DSG 2000, wonach gemäß Z 1 Datenanwendungen, die die Führung von öffentlichen Registern zum Inhalt haben, nicht meldepflichtig sind, ist die Klarstellung, dass es sich beim Zentralen Personenstandsregister um ein öffentliches Register handelt, nicht mehr erforderlich.

Betreffend die Klarstellung im letzten Satz handelt es sich um eine gebührenrechtliche Formalanpassung betreffend die Einführung der Möglichkeit der Abfrage mittels Bürgerkarte in § 58 Abs. 2.

Zu Abs. 3:

Gemäß Art 28 Abs. 1 DSGVO kann sich der Verantwortliche eines Dritten bedienen, der personenbezogene Daten in seinem Auftrag verarbeitet (Auftragsverarbeiter, Art. 4 Z 8 DSGVO). Der Auftragsverarbeiter im Sinne der DSGVO entspricht im Wesentlichen dem Dienstleister gemäß § 4 Z 5 DSG 2000 und – soweit es sich bei der Datenanwendung um ein Informationsverbundsystem handelt – dem Betreiber gemäß § 50 Abs. 1 DSG 2000. Diese Funktionen übte in Bezug auf das Zentrale Personenstandsregister bisher der Bundesminister für Inneres aus, weshalb es im Sinne größtmöglicher Kontinuität angezeigt ist, ihm künftig die Funktion des Auftragsverarbeiters zu übertragen. Zudem soll gesetzlich normiert werden, dass der Bundesminister für Inneres in dieser Funktion auch verpflichtet ist, die Datenschutzpflichten gemäß Art. 28 Abs. 3 lit. a bis h DSGVO wahrzunehmen.

Zu Abs. 5:

Durch den Entfall des bisherigen § 14 DSG 2000 durch das Datenschutz-Anpassungsgesetz 2018, BGBl. I Nr. 120/2017, und den Umstand, dass die DSGVO von spezifischen Regelungen betreffend die Protokollierung Abstand nimmt, wird vorgeschlagen, im Rahmen des ZPR eine dem § 14 Abs. 2 Z 7 DSG 2000 vergleichbare Regelung aufzunehmen. Die bisherige in § 14 Abs. 5 DSG 2000 enthaltene Protokollierungsdauer von drei Jahren soll vor dem Hintergrund der in der DSGVO normierten Grundsätze der Datenminimierung gemäß Art. 5 Abs. 1 lit. c DSGVO und der Speicherbegrenzung gemäß Art. 5 Abs. 1 lit. e DSGVO dem Zweck der Verarbeitung angepasst und somit auf zwei Jahre reduziert werden.

Zu Abs. 6:

Gemäß Art. 21 Abs. 1 DSGVO hat der Betroffene das Recht, aus Gründen, die sich aus seiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung der ihn betreffenden personenbezogenen Daten Widerspruch zu erheben. Ein solches, dem Betroffenen durch die DSGVO in genereller Weise eingeräumtes Widerspruchsrecht kann jedoch gemäß Art. 23 DSGVO zur Sicherstellung einer der in Abs. 1 lit. a bis j genannten Zwecke durch nationale Bestimmungen beschränkt werden, sofern eine solche Beschränkung notwendig und verhältnismäßig ist. Von einer solchen Beschränkung wird in § 44 Abs. 6 für sämtliche nach dem Personenstandsgesetz 2013 verarbeiteten Daten Gebrauch gemacht.

Für einen geordneten Vollzug des Personenstandswesens ist die Verarbeitung personenbezogener Daten in dem gesetzlich vorgesehenen Maße unerlässlich und liegt in diesem Sinne immer ein überwiegendes schutzwürdiges, öffentliches Interesse an der Datenverarbeitung vor. Es ist daher erforderlich und sachgerecht, den Ausschluss des Widerspruchsrechts gemäß Art. 21 DSGVO für alle nach diesem Bundesgesetz verarbeiteten personenbezogenen Daten vorzusehen. Eine Einzelfallabwägung, wie sie in Art. 21 Abs. 1 DSGVO vorgesehen ist, hätte überdies zur Folge, dass im Falle eines Widerspruchs durch die betroffene Person eine weitere Datenverarbeitung mit Ausnahme der Speicherung der Daten bis zum Nachweis zwingender schutzwürdiger Gründe für die Verarbeitung nicht mehr vorgenommen werden dürfte, sofern der Betroffene die Einschränkung der Verarbeitung verlangt (Art. 18 Abs. 1 lit. d DSGVO). Zur Aufrechterhaltung der öffentlichen Ordnung als allgemeines öffentliches Interesse und zur Sicherstellung der mit der Verarbeitung personenbezogener Daten von Betroffenen verbundenen Ordnungsfunktion ist die gesetzlich vorgesehene Verarbeitung der betreffenden Daten zur Erfüllung der den Behörden übertragenen Aufgaben jedoch – bis zu deren gesetzlich vorgesehenen Löschung – zu jedem Zeitpunkt erforderlich. Weiters wäre im Falle eines Widerspruchs nach Art. 21 DSGVO und der – wenn auch nur vorübergehenden – Unzulässigkeit der Weiterverarbeitung die Besorgung der Aufgaben nach diesem Bundesgesetz von vorherein wesentlich beeinträchtigt und ein geordneter Vollzug des Personenstandswesens nicht mehr möglich.

Die Ausübung des Widerspruchsrechts würde zudem einen beträchtlichen Verwaltungsaufwand verursachen, da das Personenstandsregister Daten zu sämtlichen Personenstandsfällen umfasst. Überdies wäre im Falle eines Widerspruchs nicht mehr gewährleistet, dass das Personenstandsregister, das aus Gründen der Publizität für die Öffentlichkeit in Bezug auf die Daten zum Tod einer Person als öffentliches Register geführt wird, Daten sämtlicher Personenstandsfälle enthält. Dies hätte zur Folge, dass Auskunftserteilungen aus dem Personenstandsregister lediglich in eingeschränkter Weise erteilt werden könnten. Aus diesen Gründen wird vorgeschlagen, das Widerspruchsrecht auszuschließen.

Zu Z 20 und 21 (§ 45 Abs. 3 und 4):

§ 4 Z 1 DSG 2000 definiert Daten dann als indirekt personenbezogen, wenn der Personenbezug derart ist, dass die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmt werden kann. Diese Definition findet sich weder in der DSGVO noch im Datenschutz-Anpassungsgesetz 2018, weshalb – wie in § 7 DSG („Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke“) – in Abs. 3 eine Klarstellung erfolgen soll, dass die Daten für statistische Zwecke an näher bestimmte Organe so zu übermitteln sind, dass sie für den Empfänger pseudonymisierte personenbezogene Daten sind (vgl. die Definition in Art. 4 Z 5 DSGVO) und der Empfänger (vgl. Art. 4 Z 9 DSGVO) die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann.

Betreffend die vorgeschlagenen Ergänzungen in Abs. 4 wird auf die Erläuterungen zu § 44 Abs. 5 verwiesen.

Zu Z 24 (§ 46 Abs. 1 und 2):

Der Begriff der „Verarbeitung“ personenbezogener Daten gemäß Art. 4 Z 2 DSGVO entspricht dem bisher in § 4 Z 8 DSG 2000 definierten Begriff des „Verwendens“ bzw. der „Verwendung“ personenbezogener Daten. Vor diesem Hintergrund ergibt sich die Berechtigung der Personenstandsbehörden, die im ZPR verarbeiteten Daten zu verwenden, bereits aus § 44 Abs. 1, weshalb diese Passagen in Abs. 1 und 2 entfallen können.

Zu Z 27 (§ 47 Abs. 4):

Aufgrund der Tatsache, dass Art. 32 DSGVO betreffend die Sicherheit der Verarbeitung gilt, soll die diesbezügliche Verordnungsermächtigung im Anwendungsbereich des Art. 32 DSGVO zur Festlegung der näheren Bestimmungen betreffend Datensicherheitsmaßnahmen entfallen. Im Hinblick auf die verfassungsrechtlich normierte Vollzugskompetenz der Länder in § 2 Abs. 2 zweiter Satz DSG und des Entfalls von § 50 DSG 2000, wonach den Betreiber überdies die Verantwortung für die notwendigen Maßnahmen der Datensicherheit im Informationsverbundsystem trifft, erscheint es künftig zudem unzulässig, Ländern Maßnahmen zur Datensicherheit – die eine Annexmaterie zum Organisationsrecht als Vollzugskompetenz darstellen – aufzuerlegen. Deshalb ist beabsichtigt, die Verordnungsermächtigung auf Abfragen gemäß § 44 Abs. 2 einzuschränken.

Zu Z 29 bis 31, 33, 36 bis 39 (Überschrift zu § 48, § 48 Abs. 1 bis 4, 5, 7 bis 12, § 49, § 51 Abs. 1):

Da sich aus der DSGVO ergibt, dass der Schutz natürlicher Personen technologieneutral sein und nicht von den verwendeten Techniken abhängen sollte (ErwGr 15 zur DSGVO), wird künftig von der begrifflichen Differenzierung zwischen „zur Verfügung stellen“ und „übermitteln“ Abstand genommen (siehe auch die Erläuterungen zu den terminologischen Anpassungen).

Im vorgeschlagenen Abs. 12 soll lediglich eine Anpassung an die neue Systematik erfolgen.

Zu Z 34 (§ 48 Abs. 4a):

Mit der vorgeschlagenen Änderung wird einem Wunsch aus der Praxis nachgekommen. Es ist von enormer Bedeutung, dass der Datenbestand im Strafregister aktuell gehalten wird, da andererseits aufgrund von Namensänderungen die Gefahr besteht, dass unrichtige bzw. unvollständige Strafregisterbescheinigungen ausgestellt werden. Daher sollen die Daten zu allen Namensänderungen von strafmündigen Personen sowie zum Tod einer Person auch dem Strafregisteramt der Landespolizeidirektion Wien im Wege des Bundesministers für Inneres als Auftragsverarbeiter gemäß § 1 Abs. 3 Strafregistergesetz 1968 übermittelt werden.

Zu Z 40 (§ 50):

Die Daten zum Tod einer Person können im Rahmen des Änderungsdienstes auf Verlangen gegen Kostenersatz übermittelt werden. Eine Änderung der Daten zum Tod einer Person wäre jedoch denkunmöglich und soll vor diesem Hintergrund entfallen.

Zu Z 42 und 43 (§ 52 Abs. 4 und 4a):

In Abs. 4 erfolgt die Verweisanpassung an das neue DSG idFd Datenschutz-Anpassungsgesetzes 2018.

Werden personenbezogene Daten zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken verarbeitet, so können bei Vorliegen näher bestimmter Voraussetzungen gemäß Art. 89 Abs. 2 DSGVO – vorbehaltlich der Bedingungen und Garantien gemäß Abs. 1 – durch nationales Recht Ausnahmen von den Rechten gemäß Art. 15 (Auskunftsrecht der betroffenen Person), 16 (Recht auf Berichtigung), 18 (Recht auf Einschränkung der Verarbeitung) und 21 (Widerspruchsrecht) vorgenommen werden. Da es in der Praxis kaum möglich wäre, gegenüber Betroffenen bei statistischen und wissenschaftlichen Erhebungen aufgrund der hohen Datenmengen sämtliche dieser Rechte zu wahren bzw. die Wahrung der Betroffenenrechte die Verwirklichung der spezifischen Forschungs- bzw. statistischen Zwecke ernsthaft beeinträchtigen, wenn nicht sogar unmöglich machen würde, soll die Ausnahmeermächtigung gemäß Art. 89 Abs. 2 DSGVO in Anspruch genommen werden.

Zu Z 44 (§ 52 Abs. 5 Z 3):

Es handelt sich um die Bereinigung eines redaktionellen Versehens.

Zu Z 45 (§ 53 Abs. 7, § 58 Abs. 2):

Es soll die Klarstellung erfolgen, dass es sich um die Amtssignatur des Bundesministers für Inneres handelt.

Zu Z 46 (§ 58 Abs. 2 letzter Satz):

Mit der vorgeschlagenen Regelung wird eine Rechtsgrundlage für die Verwendung der Funktion Bürgerkarte in Bezug auf Abfragen gemäß § 44 Abs. 2 geschaffen.

Zu Z 49 (§ 61 Abs. 7):

Aufgrund der zeitlich eingeschränkten Möglichkeit, bis 1. Juni 2015 eine Verordnung zu erlassen, kann diese Verordnungsermächtigung mangels Anwendungsbereich entfallen.

Zu Z 50 und 51 (§ 72 Abs. 3 bis 8):

Die rechtliche Grundlage für den Testbetrieb des ZPR in Abs. 3 kann vor dem Hintergrund der bereits erfolgten Aufnahme des Echtbetriebs am 1. November 2014 entfallen. Zwecks besserer Lesbarkeit soll eine Neunummerierung der bisherigen Abs. 4 bis 9 erfolgen.

Zu Artikel 6 (Änderung des Pyrotechnikgesetzes 2010)

Zu Z 1 und 2 (§ 10 Abs. 1, 3 und 4):

Die vorgeschlagenen Änderungen dienen der terminologischen Anpassung an die DSGVO. Dem „Auftraggeber“ einer Datenanwendung (§ 4 Z 4 DSG 2000) entspricht im Anwendungsbereich der DSGVO der „Verantwortliche“ (Art. 4 Z 7 DSGVO) einer Datenverarbeitung. Der „Auftragsverarbeiter“ (§ 4 Z 8 DSGVO) deckt sich mit dem bisherigen „Dienstleister“ im Sinne des DSG 2000. Der Begriff der „Verarbeitung“ personenbezogener Daten gemäß Art. 4 Z 2 DSGVO beinhaltet auch die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung und entspricht damit dem bisher in § 4 Z 8 DSG 2000 definierten Begriff des „Verwendens“ bzw. der „Verwendung“ personenbezogener Daten.

Soweit der Begriff „Daten“ durch „personenbezogene Daten“ ersetzt wurde, bewirkt diese vorgeschlagene Ergänzung keine inhaltliche Änderung. Vielmehr handelt es sich um eine Klarstellung.

Darüber hinaus wurden Verweisanpassungen vorgenommen.

Zu Z 3 (§ 19 Abs. 4):

Betreffend das Verhältnis zwischen Bundesminister für Inneres und dem gemeinsamen Auftragsverarbeiter orientieren sich die vorgeschlagenen Änderungen an der Regelung in § 3 Abs. 6 und 8 Passgesetz 1992 und haben – ohne eine Änderung der tatsächlichen Vollzugspraxis herbeizuführen – lediglich eine klarstellende Funktion.

Im Hinblick auf die terminologischen Anpassungen wird auf die Erläuterungen zu § 10 verwiesen.

Zu Artikel 7 (Änderung des Vereinsgesetzes 2002)

Zu Z 4, 5, 8, 13 und 16 (Überschrift zum 3. Abschnitt, Überschrift zu § 15, § 15, § 16 Abs. 1 und 5, § 17 Abs. 4, § 19 Abs. 4):

Die vorgeschlagenen Änderungen dienen der terminologischen Anpassung an die DSGVO. Sofern im Hinblick auf das neue Datenschutzregime eine Anpassung der im Vereinsgesetz 2002 verwendeten Begriffe erforderlich erscheint, werden diese nun an die Definitionen der DSGVO (Art. 4 DSGVO) angeglichen. Beispielsweise sollen die Begriffe „verwenden“ und „evident halten“ durch „verarbeiten“, „zur Verfügung stellen“ durch „übermitteln“ sowie „Datenanwendungen“ durch „Datenverarbeitungen“ ersetzt werden.

Zudem soll im Hinblick auf die neuen Begrifflichkeiten die Wortfolge „sensible Daten“ auf „besondere Kategorie personenbezogener Daten“ (vgl. Art. 9 DSGVO) angepasst werden.

Zu Z 4 (§ 15):

Die in Art. 9 Abs. 1 DSGVO näher bezeichneten besonderen Kategorien personenbezogener Daten entsprechen im Wesentlichen der Kategorie der sensiblen Daten gemäß § 4 Z 2 DSG 2000. Die DSGVO normiert für die Verarbeitung solcher Daten ein grundsätzliches Verbot mit Erlaubnisvorbehalt. Im gegebenen Zusammenhang ist der Tatbestand des Art. 9 Abs. 2 lit. g DSGVO einschlägig, wonach die Datenverarbeitung der Verwirklichung eines wichtigen, im Unions- oder nationalen Recht anerkannten Interesses dienen muss. Dies vor dem Hintergrund, dass die Vereinsbehörden ihrer gesetzlich vorgesehenen Informations- und Prüfpflicht nur dann nachkommen können, wenn sie die erforderlichen Vereinsdaten zweckgemäß verarbeiten können. Anknüpfungspunkt für besondere Kategorien personenbezogener Daten ist dabei der Vereinsname, der gemäß § 4 Abs. 1 einen Schluss auf den Vereinszweck zulassen muss. Dies kann zur Folge haben, dass zB ein auf eine bestimmte ethnische Herkunft oder politische Überzeugung hindeutender Name eines Vereins einen Rückschluss auf die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit der Vereinsorgane mit sich bringt.

In den Fällen des – hier einschlägigen – Art. 9 Abs. 2 lit. g DSGVO sind „spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person“ gesetzlich vorzusehen. Diesem Erfordernis wird durch Festlegung angemessener Schutzgarantien zugunsten besonderer Kategorien personenbezogener Daten in Form einer Differenzierung nach Datenarten und „Auskunftsebenen“ (§ 17 Abs. 1 und Abs. 2, § 19 Abs. 2 und Abs. 3) sowie in Gestalt einer Auskunftssperre (§ 17 Abs. 4 bis 6) Rechnung getragen.

Zu Z 5, 7 und 8 (§ 16 Abs. 1, 4 und 5):

Im Hinblick auf Art. 6 DSGVO betreffend die Rechtmäßigkeit der Verarbeitung sowie das in der DSGVO normierte Transparenzgebot (vgl. ErwGr 60 zur DSGVO; siehe auch Art. 5 DSGVO), soll in Abs. 1 der Zweck der Datenverarbeitung festgelegt werden.

Aufgrund der Tatsache, dass sich das Recht des Betroffenen auf Berichtigung aus Art. 16 DSGVO ergibt, soll die sich direkt aus dem Vereinsgesetz 2002 ergebende Möglichkeit, auf Antrag eine Berichtigung zu verlangen, in Abs. 4 entfallen, ohne dass dies eine Beschränkung der Betroffenenrechte zur Folge hat.

In Abs. 5 erfolgt zudem die Beseitigung eines redaktionellen Versehens.

Zu Z 6, 11, 16 und 17 (§ 16 Abs. 1 Z 3, § 17 Abs. 1 Z 1, § 19 Abs. 2 und § 31 Z 4 lit. e):

Es handelt sich um Verweisanpassungen.

Zu Z 9 (§ 16 Abs. 6):

§ 14 DSG 2000 sieht unter anderem vor, dass Protokolldaten über tatsächlich durchgeführte Verwendungsvorgänge, wie insbesondere Änderungen, Abfragen und Übermittlungen drei Jahre lang aufzubewahren sind, sofern gesetzlich nicht ausdrücklich anderes angeordnet ist. Davon darf in jenem Ausmaß abgewichen werden, als der von der Protokollierung betroffene Datenbestand zulässigerweise früher gelöscht oder länger aufbewahrt wird. Durch den Entfall des bisherigen § 14 DSG 2000 durch das Datenschutz-Anpassungsgesetz 2018, BGBl. I Nr. 120/2017, und den Umstand, dass die DSGVO von spezifischen Regelungen betreffend die Protokollierung Abstand nimmt, wird vorgeschlagen, dass auch weiterhin Protokoll geführt wird, damit tatsächlich durchgeführte Verwendungsvorgänge, wie insbesondere Änderungen, Abfragen und Übermittlungen, im Hinblick auf ihre Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können. Die bisherige in § 14 Abs. 5 DSG 2000 enthaltene Protokollierungsdauer von drei Jahren soll vor dem Hintergrund der in der DSGVO normierten Grundsätze der Datenminimierung gemäß Art. 5 Abs. 1 lit. c DSGVO und der Speicherbegrenzung gemäß Art. 5 Abs. 1 lit. e DSGVO dem Zweck der Verarbeitung angepasst und somit auf zwei Jahre reduziert werden.

Zu Z 10 (Überschrift zu § 17):

Es handelt sich um eine Anpassung der Überschrift an die Regelung in § 17.

Zu Z 11 und 12 (§ 17 Abs. 1 und 2):

Vor dem Hintergrund des Entfalls von § 17 Abs. 2 DSG 2000, wonach gemäß Z 1 Datenanwendungen, die die Führung von öffentlichen Registern zum Inhalt haben, nicht meldepflichtig sind, ist die Klarstellung in Abs. 1, dass es sich beim Lokalen Vereinsregister um ein öffentliches Register handelt, nicht mehr erforderlich.

Im Hinblick auf die Änderungen des DSG 2000 aufgrund des Datenschutz-Anpassungsgesetzes 2018, kann der Verweis auf das DSG 2000 in Abs. 2 entfallen.

Zu Z 15 (§ 18):

Zu Abs. 1:

Art. 26 DSGVO sieht vor, dass wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke und die Mittel zur Verarbeitung festlegen, diese gemeinsam Verantwortliche sind. Da diese Regelung eine Öffnungsklausel enthält, soll § 18 entsprechend angepasst werden. Eine materielle Änderung gegenüber der bisherigen Rechtslage, insbesondere eine Einschränkung des Grundsatzes, dass jedem Verantwortlichen der Zugriff auf den Gesamtbestand der im Zentralen Vereinsregister (ZVR) verarbeiteten Daten – unabhängig davon, welcher Verantwortliche sie im Einzelfall zur Verfügung gestellt hat – offensteht, ist damit nicht verbunden. Zudem sollen wie bisher die Vereinsbehörden verpflichtet sein, dem Bundesminister für Inneres für die Zwecke der Führung des ZVR ihre Vereinsdaten gemäß § 16 Abs. 1 Z 1 bis 17 im Wege der Datenfernübertragung zu übermitteln.

Zu Abs. 1a:

Gemäß § 26 Abs. 1 zweiter Satz DSGVO haben mehrere gemeinsam Verantwortliche in einer Vereinbarung festzulegen, wer von ihnen gegenüber der betroffenen Person welche Verpflichtungen nach der DSGVO – zB Berichtigungs- und Löschungspflichten – wahrzunehmen hat, es sei denn, eine entsprechende Zuständigkeitsverteilung bzw. Pflichtenzuordnung ist bereits in einer gesetzlichen Vorschrift des Unions- oder des nationalen Rechts vorgesehen. In diesem Sinne soll der vorgeschlagene Abs. 1a die Zuständigkeit zwischen den gemeinsam Verantwortlichen des ZVR dahingehend aufteilen, dass Auskunfts-, Informations-, Berichtigungs-, Löschungs- und sonstige Pflichten nach der DSGVO von jedem Verantwortlichen nur in Bezug auf jene personenbezogenen Daten zu erfüllen sind, die im Zusammenhang mit den von ihm selbst geführten Verwaltungsverfahren oder den von ihm gesetzten (verfahrensfreien) Maßnahmen verarbeitet werden. Dies erscheint zweckmäßig, weil der in diesem Sinne (ausschließlich) zuständige Verantwortliche am ehesten in der Lage ist, zu beurteilen, ob dem Betroffenen bezüglich der in Rede stehenden Daten tatsächlich ein Informations-, Auskunfts-, Berichtigungs- oder sonstiger Anspruch nach der DSGVO zukommt.

Der vorgeschlagenen Regelung steht Art. 26 Abs. 3 DSGVO nicht entgegen. Nach dieser Bestimmung kann der Betroffene ein Recht aufgrund der DSGVO zwar gegenüber „jedem einzelnen der Verantwortlichen“ geltend machen, und zwar unabhängig von einer zwischen den Verantwortlichen im Rahmen einer Vereinbarung getroffenen Zuständigkeitsverteilung; dies impliziert eine Pflicht des insoweit unzuständigen Verantwortlichen, ein Gesuch des Betroffenen nicht zurückzuweisen, sondern es jedenfalls entgegenzunehmen und an den zuständigen Verantwortlichen weiterzuleiten. Die freie Wahl des Verantwortlichen, gegenüber dem der Betroffene ein Recht nach der DSGVO geltend macht, gilt jedoch nur dann, wenn die Zuständigkeitsverteilung auf einer Vereinbarung zwischen den Verantwortlichen, nicht aber, wenn sie auf einer gesetzlichen Regelung beruht. Verteilt daher – wie hier (Abs. 1a) – eine gesetzliche Regelung die Zuständigkeiten unter den Verantwortlichen, so ist ein unzuständiger Verantwortlicher nicht gehalten, ein Gesuch des Betroffenen entgegenzunehmen oder weiterzuleiten. Vielmehr kann er den Betroffenen in einem solchen Fall an den zuständigen Verantwortlichen verweisen.

Zu Abs. 1b:

Gemäß Art 28 Abs. 1 DSGVO kann sich der Verantwortliche eines Dritten bedienen, der personenbezogene Daten in seinem Auftrag verarbeitet (Auftragsverarbeiter, Art. 4 Z 8 DSGVO). Der Auftragsverarbeiter im Sinne der DSGVO entspricht im Wesentlichen dem Dienstleister gemäß § 4 Z 5 DSG 2000 und – soweit es sich bei der Datenanwendung um ein Informationsverbundsystem handelt – dem Betreiber gemäß § 50 Abs. 1 DSG 2000. Diese Funktionen übte in Bezug auf das ZVR bisher der Bundesminister für Inneres aus, weshalb es im Sinne größtmöglicher Kontinuität angezeigt ist, ihm künftig die Funktion des Auftragsverarbeiters zu übertragen. Zudem soll gesetzlich normiert werden, dass der Bundesminister für Inneres in dieser Funktion auch verpflichtet ist, die Datenschutzpflichten gemäß Art. 28 Abs. 3 lit. a bis h DSGVO wahrzunehmen.

Zu Abs. 3:

Betreffend die Protokollierungsregelungen wird auf § 16 Abs. 6 verwiesen.

Zu Abs. 4:

Da sich der Verweis auf § 17 Abs. 1 hinsichtlich der Auskünfte aus dem Lokalen Vereinsregister bereits aus dem vorgeschlagenen § 19 Abs. 1 ergibt, kann der geltende § 18 Abs. 4 entfallen.

Gemäß Art. 21 Abs. 1 DSGVO hat der Betroffene das Recht, aus Gründen, die sich aus seiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung der ihn betreffenden personenbezogenen Daten Widerspruch zu erheben. Ein solches, dem Betroffenen durch die DSGVO in genereller Weise eingeräumtes Widerspruchsrecht kann jedoch gemäß Art. 23 DSGVO zur Sicherstellung einer der in Abs. 1 lit. a bis j genannten Zwecke durch nationale Bestimmungen beschränkt werden, sofern eine solche Beschränkung notwendig und verhältnismäßig ist. Von einer solchen Beschränkung wird in § 18 Abs. 4 für sämtliche nach dem Vereinsgesetz 2002 verarbeiteten Daten Gebrauch gemacht.

Für einen geordneten Vollzug des Vereinswesens ist die Verarbeitung personenbezogener Daten in dem gesetzlich vorgesehenen Maße unerlässlich und liegt in diesem Sinne immer ein überwiegendes schutzwürdiges, öffentliches Interesse an der Datenverarbeitung vor. Es ist daher erforderlich und sachgerecht, den Ausschluss des Widerspruchsrechts gemäß Art. 21 DSGVO für alle nach diesem Bundesgesetz verarbeiteten personenbezogenen Daten vorzusehen. Eine Einzelfallabwägung, wie sie in Art. 21 Abs. 1 DSGVO vorgesehen ist, hätte überdies zur Folge, dass im Falle eines Widerspruchs durch die betroffene Person eine weitere Datenverarbeitung mit Ausnahme der Speicherung der Daten bis zum Nachweis zwingender schutzwürdiger Gründe für die Verarbeitung nicht mehr vorgenommen werden dürfte, sofern der Betroffene die Einschränkung der Verarbeitung verlangt (Art. 18 Abs. 1 lit. d DSGVO). Zur Aufrechterhaltung der öffentlichen Ordnung als allgemeines öffentliches Interesse, zur Sicherstellung der mit der Verarbeitung personenbezogener Daten von Betroffenen verbundenen Ordnungsfunktion sowie zum Schutz wichtiger Ziele des allgemeinen öffentliches Interesses (zB zur Abklärung steuerrechtlicher und zivilrechtlicher Fragestellungen) ist die gesetzlich vorgesehene Verarbeitung der betreffenden Daten zur Erfüllung der den Behörden übertragenen Aufgaben jedoch – bis zu deren gesetzlich vorgesehenen Löschung – zu jedem Zeitpunkt erforderlich. Weiters wäre im Falle eines Widerspruchs nach Art. 21 DSGVO und der – wenn auch nur vorübergehenden – Unzulässigkeit der Weiterverarbeitung die Besorgung der Aufgaben nach diesem Bundesgesetz von vorherein wesentlich beeinträchtigt und ein geordneter Vollzug des Vereinswesens nicht mehr möglich.

Überdies wäre im Falle eines Widerspruchs nicht mehr gewährleistet, dass das Vereinsregister, das aus Gründen der Publizität für die Öffentlichkeit in Bezug auf Daten gemäß § 16 Abs. 1 Z 1 bis 7, 10 bis 13 und 16 als öffentliches Register geführt wird, Daten sämtlicher Vereinsorgane, die unter anderem zur Vertretung des Vereins nach außen befugt sind, enthält. Dies hätte zur Folge, dass Auskunftserteilungen aus dem Vereinsregister lediglich in eingeschränkter Weise erteilt werden könnten und dies den Rechtsverkehr erheblich erschweren würde. Aus diesen Gründen wird vorgeschlagen, das Widerspruchsrecht auszuschließen.

Zu Z 16 (§ 19 samt Überschrift):

Die Überschrift soll an die neuen Regelungen in § 19 angepasst werden.

Da sich die Möglichkeit der Vereinsbehörden, personenbezogene Daten des Zentralen Vereinsregisters zu verarbeiten, bereits aus dem vorgeschlagenen § 18 ergibt, kann § 19 Abs. 1 erster Satz entfallen.

Betreffend den Entfall des Begriffs „öffentliches Register“ in Abs. 3, wird auf die Erläuterungen zu § 17 verwiesen.

Aufgrund der Tatsache, dass Art. 32 DSGVO betreffend die Sicherheit der Verarbeitung gilt, soll die diesbezügliche Verordnungsermächtigung zur Festlegung der näheren Bestimmungen betreffend Datensicherheitsmaßnahmen im Anwendungsbereich des Art. 32 DSGVO entfallen. Im Hinblick auf die verfassungsrechtlich normierte Vollzugskompetenz der Länder in § 2 Abs. 2 zweiter Satz DSG und des Entfalls von § 50 DSG 2000, wonach den Betreiber überdies die Verantwortung für die notwendigen Maßnahmen der Datensicherheit im Informationsverbundsystem trifft, erscheint es künftig zudem unzulässig, Ländern Maßnahmen zur Datensicherheit – die eine Annexmaterie zur Vollzugskompetenz darstellt – aufzuerlegen. Demzufolge ist beabsichtigt, die Verordnungsermächtigung in Abs. 4 zur Gänze entfallen zu lassen.

Mit der vorgeschlagenen Änderung in Abs. 5 wird einem Wunsch aus der Praxis nachgekommen. Im Hinblick auf die der Österreichischen Nationalbank gesetzlich oder gemeinschaftsrechtlich zugewiesenen Aufgaben soll der Österreichischen Nationalbank der Zugang zu Daten des Vereinsregisters über eine automatisierte Schnittstelle eingeräumt werden. Die Verordnung (EU) Nr. 867/2016 über die Erhebung granularer Kreditdaten und Kreditrisikodaten (EZB/2016/13), ABl. Nr. L 144 vom 18.05.2016 S. 44, („AnaCredit Verordnung“), die seit 31. Dezember 2017 gilt, sieht vor, dass beginnend mit 30. September 2018 Kreditaufnahmen von Firmen und sonstigen juristischen Personen bereits ab einer Höhe von 25 000 Euro – und nicht mehr wie bisher ab 350 000 Euro – an die Österreichische Nationalbank zu melden sind. Da durch die deutliche Senkung der Meldegrenze mit einer Vervielfachung der meldepflichtigen Vereine und somit mit einem enorm steigenden Verwaltungsaufwand zu rechnen ist, ist im Sinne der Verwaltungsökonomie beabsichtigt, eine Automatisierung der Prozesse einzuführen. Angelehnt an die bewährte Vorgehensweise bei im Firmenbuch protokollierten Unternehmen (vgl. § 22 Abs. 2a Firmenbuchgesetz, BGBl. Nr. 10/1991) soll eine tägliche Datenübermittlung aus dem Vereinsregister implementiert werden. Dies soll einerseits sowohl bei der österreichischen Kreditwirtschaft als auch bei der Österreichischen Nationalbank zu einer Reduzierung des Aufwands betreffend Neuanmeldungen und Änderungsmeldungen zu Stammdaten von Vereinen führen und andererseits eine Verbesserung der Datenbasis und Datenqualität zur Folge haben.

Zu Z 17 (§ 31 Z 4 lit. e):

Es handelt sich um eine sprachliche Anpassung an § 18 Abs. 2.

Zu Artikel 8 (Änderung des Waffengesetzes 1996)

Zu Z 2 (§ 21 Abs. 5 und 6):

In Abs. 5 wird eine Verweisanpassung an die DSGVO vorgenommen.

Betreffend das Verhältnis zwischen dem Bundesminister für Inneres und dem gemeinsamen Auftragsverarbeiter orientieren sich die vorgeschlagenen Änderungen in Abs. 6 an § 3 Abs. 6 und 8 Passgesetz 1992 und haben – ohne eine Änderung der tatsächlichen Vollzugspraxis herbeizuführen – lediglich eine klarstellende Funktion.

Zu Z 2, 4, 5, 14, 15, 16 und 18 (§ 21 Abs. 5 und 6, Überschrift zum 11. Abschnitt, § 54 Abs. 1, § 55 Abs. 5 bis 9):

Soweit der Begriff „Daten“ durch „personenbezogene Daten“ ersetzt wurde, bewirkt diese vorgeschlagene Ergänzung keine inhaltliche Änderung. Vielmehr handelt es sich um eine Klarstellung.

Zu Z 3 (§ 32 Abs. 2):

Soweit eine Angelegenheit durch EU-Verordnung geregelt ist, besteht aufgrund ihrer unmittelbaren Geltung grundsätzlich keine Rechtssetzungskompetenz der Mitgliedstaaten mehr. Dies bedeutet, dass die Erlassung innerstaatlicher Rechtsvorschriften zur Umsetzung von Verordnungen in der Regel nicht zulässig ist. Aufgrund der Tatsache, dass Art. 32 DSGVO betreffend die Sicherheit der Verarbeitung keine Öffnungsklauseln enthält und somit unmittelbar gilt, hat die Verordnungsermächtigung zur Festlegung der näheren Bestimmungen betreffend Datensicherheitsmaßnahmen zu entfallen.

Zu Z 7 (§ 54 Abs. 2):

In Abs. 2 wird eine terminologische Anpassung vorgenommen, da in der DSGVO (Art. 4 Z 10) „Dritten“ eine andere Bedeutung zugrunde gelegt wird.

Zu Z 8 (§ 54 Abs. 2a):

Gemäß Art. 21 Abs. 1 DSGVO hat der Betroffene das Recht, aus Gründen, die sich aus seiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung der ihn betreffenden personenbezogenen Daten Widerspruch zu erheben. Ein solches, dem Betroffenen durch die DSGVO in genereller Weise eingeräumtes Widerspruchsrecht kann jedoch gemäß Art. 23 DSGVO zur Sicherstellung einer der in Abs. 1 lit. a bis j genannten Zwecke durch nationale Bestimmungen beschränkt werden, sofern eine solche Beschränkung notwendig und verhältnismäßig ist. Von einer solchen Beschränkung wird in § 54 Abs. 2a für sämtliche nach dem Waffengesetz 1996 verarbeiteten Daten Gebrauch gemacht.

Für einen geordneten Vollzug des Waffenwesens ist die Verarbeitung personenbezogener Daten in dem gesetzlich vorgesehenen Maße unerlässlich und liegt in diesem Sinne immer ein überwiegendes schutzwürdiges, öffentliches Interesse an der Datenverarbeitung vor. Es ist daher erforderlich und sachgerecht, den Ausschluss des Widerspruchsrechts gemäß Art. 21 DSGVO für alle nach diesem Bundesgesetz verarbeiteten personenbezogenen Daten vorzusehen. Eine Einzelfallabwägung, wie sie in Art. 21 Abs. 1 DSGVO vorgesehen ist, hätte überdies zur Folge, dass im Falle eines Widerspruchs durch die betroffene Person eine weitere Datenverarbeitung mit Ausnahme der Speicherung der Daten bis zum Nachweis zwingender schutzwürdiger Gründe für die Verarbeitung nicht mehr vorgenommen werden dürfte, sofern der Betroffene die Einschränkung der Verarbeitung verlangt (Art. 18 Abs. 1 lit. d DSGVO). Zur Aufrechterhaltung der öffentlichen Ordnung und Sicherheit als allgemeines öffentliches Interesse und zur Sicherstellung der mit der Verarbeitung personenbezogener Daten von Personen mit registrierten Schusswaffen sowie Inhabern von waffenrechtlichen Dokumenten verbundenen Kontroll-, Überwachungs- und Ordnungsfunktionen (siehe auch Art. 23 Abs. 1 lit. h DSGVO) ist die gesetzlich vorgesehene Verarbeitung der betreffenden Daten zur Erfüllung der den Behörden übertragenen Aufgaben jedoch – bis zu deren gesetzlich vorgesehenen Löschung – zu jedem Zeitpunkt erforderlich. Weiters wäre im Falle eines Widerspruchs nach Art. 21 DSGVO und der – wenn auch nur vorübergehenden – Unzulässigkeit der Weiterverarbeitung die Besorgung der Aufgaben nach diesem Bundesgesetz von vorherein wesentlich beeinträchtigt und ein geordneter Vollzug des Waffenwesens nicht mehr möglich. Die Ausübung des Widerspruchsrechts würde zudem einen beträchtlichen Verwaltungsaufwand verursachen, da die Zentrale Informationssammlung sämtliche Personen mit registrierten und bewilligten Schusswaffen umfasst.

Dies würde im Anwendungsbereich des Waffenregisters dazu führen, dass der unionsrechtlichen Verpflichtung zur Führung eines elektronischen Waffenregisters, in das die Feuer- bzw. Schusswaffen eingetragen werden, nicht nachgekommen werden könnte (vgl. Richtlinie [EU] 2008/51 zur Änderung der Richtlinie 91/477/EWG des Rates über die Kontrolle des Erwerbs und des Besitzes von Waffen, ABl. Nr. L 179 vom 8.7.2008 S. 5). Überdies wäre im Falle eines Widerspruchs nicht mehr gewährleistet, dass sämtliche registrierungs- und bewilligungspflichtigen Waffen in der Zentralen Informationssammlung enthalten sind, was aus Gründen der öffentlichen Sicherheit bedenklich wäre. Aus diesen Gründen wird vorgeschlagen, das Widerspruchsrecht auszuschließen.

Zu Z 9 (§ 54 Abs. 3):

Die Mitwirkung der Bundesrechenzentrum GmbH wird in Abs. 3 dahingehend präzisiert, dass sie in ihrer Funktion als Auftragsverarbeiterin die Datenschutzpflichten nach Art. 28 Abs. 3 lit. a bis h DSGVO treffen.

Zu Z 10 (§ 55 Abs. 1 bis 3):

Zu Abs. 1:

Im Hinblick auf Art. 6 DSGVO betreffend die Rechtmäßigkeit der Verarbeitung sowie das in der DSGVO normierte Transparenzgebot (vgl. ErwGr 60 zur DSGVO; siehe auch Art. 5 DSGVO), soll im Einleitungsteil des Abs. 1 der Zweck der Datenverarbeitung festgelegt werden.

Art. 26 DSGVO sieht vor, dass wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke und die Mittel zur Verarbeitung festlegen, diese gemeinsam Verantwortliche sind. Da diese Regelung eine Öffnungsklausel enthält, soll § 55 entsprechend angepasst werden. Eine materielle Änderung gegenüber der bisherigen Rechtslage, insbesondere eine Einschränkung des Grundsatzes, dass jedem Verantwortlichen der Zugriff auf den Gesamtbestand der in der Zentralen Informationssammlung verarbeiteten Daten – unabhängig davon, welcher Verantwortliche sie im Einzelfall zur Verfügung gestellt hat – offensteht, ist damit nicht verbunden. Zudem soll im letzten Satz eine terminologische Anpassung erfolgen, da in der DSGVO (Art. 4 Z 10) „Dritten“ eine andere Bedeutung zugrunde gelegt wird.

Zu Abs. 1a:

Gemäß § 26 Abs. 1 zweiter Satz DSGVO haben mehrere gemeinsam Verantwortliche in einer Vereinbarung festzulegen, wer von ihnen gegenüber der betroffenen Person welche Verpflichtungen nach der DSGVO – zB Berichtigungs- und Löschungspflichten – wahrzunehmen hat, es sei denn, eine entsprechende Zuständigkeitsverteilung bzw. Pflichtenzuordnung ist bereits in einer gesetzlichen Vorschrift des Unions- oder des nationalen Rechts vorgesehen. In diesem Sinne soll der vorgeschlagene Abs. 1a die Zuständigkeit zwischen den gemeinsam Verantwortlichen der Zentralen Informationssammlung dahingehend aufteilen, dass Informations-, Auskunfts-, Berichtigungs-, Löschungs- und sonstige Pflichten nach der DSGVO von jedem Verantwortlichen nur in Bezug auf jene personenbezogenen Daten zu erfüllen sind, die im Zusammenhang mit den von ihm selbst geführten Verwaltungsverfahren oder den von ihm gesetzten (verfahrensfreien) Maßnahmen verarbeitet werden. Dies erscheint zweckmäßig, weil der in diesem Sinne (ausschließlich) zuständige Verantwortliche am ehesten in der Lage ist, zu beurteilen, ob dem Betroffenen bezüglich der in Rede stehenden Daten tatsächlich ein Auskunfts-, Berichtigungs- oder sonstiger Anspruch nach der DSGVO zukommt.

Wird ein Recht nach der DSGVO vom Betroffenen – unter Nachweis seiner Identität (vgl. ErwGr 64 DSGVO) – bei einem nach dieser Bestimmung unzuständigen Verantwortlichen wahrgenommen, soll direkt durch diesen die Weiterverweisung an den für die Bearbeitung des Gesuchs zuständigen Verantwortlichen erfolgen. Dies soll auch für Fälle gelten, in denen den in Anspruch genommenen Verantwortlichen nur einen Teil der Pflichten treffen.

Der vorgeschlagenen Regelung steht Art. 26 Abs. 3 DSGVO nicht entgegen. Nach dieser Bestimmung kann der Betroffene ein Recht aufgrund der DSGVO zwar gegenüber „jedem einzelnen der Verantwortlichen“ geltend machen, und zwar unabhängig von einer zwischen den Verantwortlichen im Rahmen einer Vereinbarung getroffenen Zuständigkeitsverteilung; dies impliziert eine Pflicht des insoweit unzuständigen Verantwortlichen, ein Gesuch des Betroffenen nicht zurückzuweisen, sondern es jedenfalls entgegenzunehmen und an den zuständigen Verantwortlichen weiterzuleiten. Die freie Wahl des Verantwortlichen, gegenüber dem der Betroffene ein Recht nach der DSGVO geltend macht, gilt jedoch nur dann, wenn die Zuständigkeitsverteilung auf einer Vereinbarung zwischen den Verantwortlichen, nicht aber, wenn sie auf einer gesetzlichen Regelung beruht. Verteilt daher – wie hier (Abs. 1a) – eine gesetzliche Regelung die Zuständigkeiten unter den Verantwortlichen, so ist ein unzuständiger Verantwortlicher nicht gehalten, ein Gesuch des Betroffenen entgegenzunehmen oder weiterzuleiten. Vielmehr kann er den Betroffenen in einem solchen Fall an den zuständigen Verantwortlichen verweisen.

Zu Abs. 2:

Zu Abs. 3:

Da die Gewerbetreibenden im Zuge der Registrierungen für die jeweilige Waffenbehörde tätig werden, soll Abs. 3 dahingehend präzisiert werden, dass diese als Auftragsverarbeiter die Datenschutzpflichten nach Art. 28 Abs. 3 lit. a bis h DSGVO treffen. Darüber hinaus ist beabsichtigt, terminologische Anpassungen vorzunehmen (vgl. Erläuterungen zu den begrifflichen Anpassungen).

Zu Z 11 (§ 55 Abs. 4):

Der erste Satz kann zur Gänze entfallen, da sich die Berechtigung der Waffenbehörden, die in der Zentralen Informationssammlung verarbeiteten Daten zu benützen, bereits aus Abs. 1 ergibt.

Zu Z 17 und 19 (§ 55 Abs. 6 und 9):

Da sich das Auskunftsrecht des Betroffenen künftig direkt aus Art. 15 DSGVO ergibt, hat eine Verweisanpassung in Abs. 6 zu erfolgen.

Aufgrund der vorgeschlagenen Protokollierungsregelung in Abs. 10 soll in Abs. 9 eine Verweisanpassung erfolgen.

Zu Z 20 (§ 55 Abs. 10):

Durch den Entfall des bisherigen § 14 DSG 2000 durch das Datenschutz-Anpassungsgesetz 2018, BGBl. I Nr. 120/2017, und den Umstand, dass die DSGVO von spezifischen Regelungen betreffend die Protokollierung Abstand nimmt, wird vorgeschlagen, im Rahmen des ZWR in Abs. 10 eine dem § 14 Abs. 2 Z 7 DSG 2000 vergleichbare Regelung aufzunehmen. Die bisherige in § 14 Abs. 5 DSG 2000 enthaltene Protokollierungsdauer von drei Jahren soll vor dem Hintergrund der in der DSGVO normierten Grundsätze der Datenminimierung gemäß Art. 5 Abs. 1 lit. c DSGVO und der Speicherbegrenzung gemäß Art. 5 Abs. 1 lit. e DSGVO dem Zweck der Verarbeitung angepasst und somit auf zwei Jahre reduziert werden.

Zu Artikel 9 (Änderung des Zivildienstgesetzes 1986)

Zu Z 1, 2, 4, 5 und 18 (§ 5 Abs. 2, 3 und 4, § 6 Abs. 4, § 57a Abs. 5):

Sofern im Hinblick auf das neue Datenschutzregime eine Anpassung der im Zivildienstgesetz 1986 verwendeten Begriffe erforderlich erscheint, werden diese nun an die Definitionen der DSGVO (Art. 4 DSGVO) angeglichen. Beispielsweise sollen die Begriffe „einbringen“; „weiterleiten“, „zurücksenden“ und „zur Kenntnis bringen“ von Daten durch „übermitteln“, der Begriff „Einbringung“ durch „Übermittlung“ ersetzt werden.

Zu Z 3 (§ 5 Abs. 3):

Zu Z 6 (§ 6 Abs. 5):

Es handelt sich um die Beseitigung eines redaktionellen Versehens.

Zu Z 7, 8, 10 und 11 (§ 8 Abs. 7, § 21 Abs. 5, § 34b Abs. 1 und 3):

Da § 7 Abs. 3 nicht mehr in Kraft ist, sollen § 8 Abs. 7, § 21 Abs. 5, § 34b Abs. 1 Z 2 und Abs. 3 entfallen.

Zu Z 9 (§ 31 Abs. 3):

Aufgrund der Tatsache, dass dem Unabhängigen Beirat für Zivildienstbeschwerdeangelegenheiten – im Gegensatz zum Zivildienstbeschwerderat – nicht mehr die Beratung des Bundesministers für Inneres vor Erlassung von Verordnungen nach § 31 Abs. 3 obliegt (vgl. § 43), soll die Bestimmung angepasst werden und somit die Anhörung entfallen.

Zu Z 12 und 13 (Überschrift zu Abschnitt IXa, § 57a Abs. 1):

Der Begriff der „Verarbeitung“ personenbezogener Daten gemäß Art. 4 Z 2 DSGVO beinhaltet auch die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung und entspricht damit dem bisher in § 4 Z 8 DSG 2000 definierten Begriff des „Verwendens“ bzw. der „Verwendung“ personenbezogener Daten, weshalb terminologische Anpassungen an die neuen Begrifflichkeiten erfolgen sollen.

Die vorgeschlagenen Ergänzungen dienen – ohne eine inhaltliche Änderung der bisherigen Praxis herbeizuführen – im Wesentlichen dazu, vor allem im Hinblick auf Art. 6 DSGVO betreffend die Rechtmäßigkeit der Verarbeitung sowie auf den im DSGVO vorgesehenen Grundsatz der Transparenz für den Betroffenen (vgl. ErwGr 39 zur DSGVO) eine Konkretisierung der für die Verarbeitung in Betracht kommenden Datenarten herbeizuführen.

Demnach soll die Zivildienstserviceagentur explizit ermächtigt sein, Identitäts- und Erreichbarkeitsdaten (zB Namen, Geburtsdatum, Geburtsort, Familienstand, Vorname der Eltern, Sozialversicherungsnummer, Sterbedatum, Wohnadressen), Daten über die gesundheitliche Eignung (zB Körpergröße, Gewicht, Blutgruppe, Brillenträger, Gutachten von Amtsärzten gemäß §§ 9 und 19 ZDG, sonstige Gesundheitsdaten), Daten über besondere Kenntnisse und Fähigkeiten (zB Beruf, Schulbildung), das bereichsspezifische Personenkennzeichen (vgl. § 9 E-Government-Gesetz), Daten, die für die Ableistung des ordentlichen Zivildienstes erforderlich sind (zB Fahrtkosten, Bescheid über Zuerkennung von Wohnkostenbeihilfe, Bescheid über Zuerkennung von Familienunterhalt, Wohnkostenbeihilfe, Familienunterhalt), Daten für die Abwicklung von Personalangelegenheiten vor oder während der Ableistung des ordentlichen Zivildienstes, wie Versetzung, Nichteinrechnung, Unterbrechung, Anzeigen wegen Nichtantritt des Zivildienstes, Entlassung, Verfahren betreffend die Aufhebung der Zivildienstpflicht sowie Abwesenheiten (zB aufgrund von Unfall oder Krankheit), Daten zum Erlöschen der Zivildienstpflicht (zB Bescheide, Nachweise, Daten der Sozialversicherungsträger), Bezeichnung, Adresse und sonstige Daten zu Rechtsträgern und Einrichtungen, Daten des Verfahrens zur Feststellung und zum Widerruf der Zivildienstpflicht (zB Antragsdatum, Bezeichnung der Militärbehörde, Datum und Ergebnis der Strafregisterauskunft), Daten des Verfahrens zur Zuweisung zur Ableistung des ordentlichen Zivildienstes (zB Dienstantrittsdatum, zu erbringende Dienstleistungen) sowie Daten für die Abwicklung eines Aufschubs- und Befreiungsverfahrens (zB Begründung für Befreiung bzw. Aufschub, Dauer der Befreiung bzw. Aufschub) zu verarbeiten.

Zu Z 14 und 15 (§ 57a Abs. 1a und Abs. 2):

Die in Art. 9 Abs. 1 DSGVO näher bezeichneten besonderen Kategorien personenbezogener Daten entsprechen im Wesentlichen der Kategorie der sensiblen Daten gemäß § 4 Z 2 DSG 2000. Die DSGVO normiert für die Verarbeitung solcher Daten ein grundsätzliches Verbot mit Erlaubnisvorbehalt. Im gegebenen Zusammenhang ist der Tatbestand des Art. 9 Abs. 2 lit. g DSGVO einschlägig, wonach die Datenverarbeitung der Verwirklichung eines wichtigen, im Unions- oder nationalen Recht anerkannten öffentlichen Interesses dienen muss. Im Hinblick darauf, dass Daten über die gesundheitliche Eignung den besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) zuzuordnen sind und die Erforderlichkeit besteht, bei deren Verarbeitung spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorzusehen (vgl. Art. 9 Abs. 2 lit. g DSGVO), soll explizit normiert werden, dass eine Verarbeitung von Daten über die gesundheitliche Eignung nur für Zwecke der Feststellung der gesundheitlichen Eignung zur Dienstleistung (zB tauglich, untauglich) und insoweit zulässig ist, als dies für die Zivildienstverwaltung unerlässlich ist. Diese Daten sollen außerdem lediglich manuell und nicht automationsunterstützt verarbeitet werden dürfen.

Zudem soll in Abs. 2 ausdrücklich geregelt werden, dass eine Übermittlung von Daten über die gesundheitliche Eignung an die in Abs. 3 genannten Empfänger jedenfalls unzulässig ist.

Zu Z 17 (§ 57a Abs. 3 Z 3):

Da seit 1. Jänner 2014 (Inkrafttreten der Verwaltungsgerichtsbarkeitsnovelle 2012, BGBl. I Nr. 10/2013) das Bundesverwaltungsgericht über Beschwerden gegen Bescheide der Zivildienstserviceagentur entscheidet, sollen in Z 3 die Übermittlungsempfänger um das Bundesverwaltungsgericht erweitert werden. Im Rahmen von Strafverfahren gemäß §§ 58 und 59 ZDG oder betreffend Auskünfte in Zusammenhang mit Verfahren gemäß § 6 Abs. 3 ZDG ist zudem eine Datenübermittlung an die ordentlichen Gerichte erforderlich, weshalb vorgeschlagen wird, diese ebenfalls als Übermittlungsempfänger auszuweisen.

Da der Begriff „übermitteln“ in Abs. 2 technologieneutral ist, kann der letzte Satz entfallen (vgl. auch ErwGr 15 zur DSGVO).

Zu Z 19 (§ 57a Abs. 6 und 7):

Zu Abs. 6:

§ 14 DSG 2000 sieht unter anderem vor, dass Protokolldaten über tatsächlich durchgeführte Verwendungsvorgänge, wie insbesondere Änderungen, Abfragen und Übermittlungen drei Jahre lang aufzubewahren sind, sofern gesetzlich nicht ausdrücklich anderes angeordnet ist. Davon darf in jenem Ausmaß abgewichen werden, als der von der Protokollierung betroffene Datenbestand zulässigerweise früher gelöscht oder länger aufbewahrt wird. Durch den Entfall des bisherigen § 14 DSG 2000 durch das Datenschutz-Anpassungsgesetz 2018, BGBl. I Nr. 120/2017, und den Umstand, dass die DSGVO von spezifischen Regelungen betreffend die Protokollierung Abstand nimmt, wird vorgeschlagen, dass auch weiterhin Protokoll geführt wird, damit tatsächlich durchgeführte Verwendungsvorgänge, wie insbesondere Änderungen, Abfragen und Übermittlungen, im Hinblick auf ihre Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können. Die bisherige in § 14 Abs. 5 DSG 2000 enthaltene Protokollierungsdauer von drei Jahren soll vor dem Hintergrund der in der DSGVO normierten Grundsätze der Datenminimierung gemäß Art. 5 Abs. 1 lit. c DSGVO und der Speicherbegrenzung gemäß Art. 5 Abs. 1 lit. e DSGVO dem Zweck der Verarbeitung angepasst und somit auf zwei Jahre reduziert werden.

Zu Abs. 7:

Gemäß Art. 21 Abs. 1 DSGVO hat der Betroffene das Recht, aus Gründen, die sich aus seiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung der ihn betreffenden personenbezogenen Daten Widerspruch zu erheben. Ein solches, dem Betroffenen durch die DSGVO in genereller Weise eingeräumtes Widerspruchsrecht kann jedoch gemäß Art. 23 DSGVO zur Sicherstellung einer der in Abs. 1 lit. a bis j genannten Zwecke durch nationale Bestimmungen beschränkt werden, sofern eine solche Beschränkung notwendig und verhältnismäßig ist. Von einer solchen Beschränkung wird in § 57a Abs. 7 für sämtliche nach dem Zivildienstgesetz 1986 verarbeiteten Daten Gebrauch gemacht.

Für einen geordneten Vollzug des Zivildienstwesens ist die Verarbeitung personenbezogener Daten von Zivildienstwerbern und Zivildienstpflichtigen in dem gesetzlich vorgesehenen Maße unerlässlich und liegt in diesem Sinne immer ein überwiegendes schutzwürdiges, öffentliches Interesse an der Datenverarbeitung vor. Es ist daher erforderlich und sachgerecht, den Ausschluss des Widerspruchsrechts gemäß Art. 21 DSGVO für alle nach diesem Bundesgesetz verarbeiteten personenbezogenen Daten vorzusehen. Eine Einzelfallabwägung, wie sie in Art. 21 Abs. 1 DSGVO vorgesehen ist, hätte überdies zur Folge, dass im Falle eines Widerspruchs durch die betroffene Person eine weitere Datenverarbeitung mit Ausnahme der Speicherung der Daten bis zum Nachweis zwingender schutzwürdiger Gründe für die Verarbeitung nicht mehr vorgenommen werden dürfte, sofern der Betroffene die Einschränkung der Verarbeitung verlangt (Art. 18 Abs. 1 lit. d DSGVO). Zur Aufrechterhaltung der öffentlichen Ordnung als allgemeines öffentliches Interesse und zur Sicherstellung der mit der Verarbeitung personenbezogener Daten von Zivildienstwerbern und Zivildienstpflichtigen verbundenen Ordnungsfunktion ist die gesetzlich vorgesehene Verarbeitung der betreffenden Daten zur Erfüllung der den Behörden übertragenen Aufgaben jedoch – bis zu deren gesetzlich vorgesehenen Löschung – zu jedem Zeitpunkt erforderlich. Weiters wäre im Falle eines Widerspruchs nach Art. 21 DSGVO und der – wenn auch nur vorübergehenden – Unzulässigkeit der Weiterverarbeitung die Besorgung der Aufgaben nach diesem Bundesgesetz von vorherein wesentlich beeinträchtigt und ein geordneter Vollzug des Zivildienstwesens nicht mehr möglich. Die Ausübung des Widerspruchsrechts würde zudem einen beträchtlichen Verwaltungsaufwand verursachen, da die Datenverarbeitung gemäß § 57a Daten zu sämtlichen Zivildienstwerbern und Zivildienstpflichtigen umfasst.

Einerseits ist die Verarbeitung der Daten gemäß § 57a Abs. 1 Z 1 bis 11 erforderlich, um zu beurteilen, ob der Zivildienst bereits vollständig abgeleistet wurde. Andererseits sind die Daten insbesondere für Zwecke der Zuweisung des Zivildienstpflichtigen zu einem Rechtsträger bzw. zu einer Einrichtung sowie für die Abwicklung der Personalangelegenheiten während der Ableistung des ordentlichen Zivildienstes unbedingt erforderlich. Aus diesen Gründen wird vorgeschlagen, das Widerspruchsrecht auszuschließen.

Zu Z 20 (§ 76b Abs. 12):

Da das Religionsbekenntnis den besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) zuzurechnen ist und eine Verarbeitung gemäß Art. 9 Abs. 1 DSGVO grundsätzlich untersagt ist, soll die Verarbeitung des Religionsbekenntnisses durch die Zivildienstserviceagentur nicht mehr zulässig sein (siehe Erläuterungen zu § 5 Abs. 3). Die Daten zum Religionsbekenntnis, die vor Inkrafttreten des Bundesgesetzes BGBl. I Nr. XX/2018 automationsunterstützt verarbeitet wurden, sind mit Inkrafttreten des Bundesgesetzes BGBl. I Nr. XX/2018 umgehend zu löschen.

Zu Artikel 10 (Änderung des BFA-Verfahrensgesetzes)

Zu Z 1, 2 und 3 (Inhaltsverzeichnis):

Die Änderungen stellen eine notwendige Adaptierung des Inhaltsverzeichnisses dar.

Zu Z 4 (§ 2 Abs. 2):

Zur besseren Verständlichkeit wird für den Anwendungsbereich des BFA‑VG auf die Definition der DSGVO gemäß dem vorgeschlagenen § 2 Abs. 4 Z 24 FPG verwiesen.

Zu Z 5 (§ 13 Abs. 1):

Da sich die Verpflichtung des Fremden zur Mitwirkung an einer erkennungsdienstlichen Behandlung bereits aus dem in § 24 Abs. 4 verwiesenen § 65 Abs. 4 SPG ergibt, kann deren Normierung in § 13 Abs. 1 entfallen.

Zu Z 6 bis 8 und 18 (Überschriften der §§ 23, 27 und 32; §§ 23 Abs. 1 und 2, 27 Abs. 3):

Die vorgeschlagenen Änderungen dienen der terminologischen Anpassung an die DSGVO.

Der Begriff der „Verarbeitung“ personenbezogener Daten gemäß Art. 4 Z 2 DSGVO beinhaltet auch die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung und entspricht damit dem bisher in § 4 Z 8 DSG 2000 definierten Begriff des „Verwendens“ bzw. der „Verwendung“ personenbezogener Daten. Dem „Auftraggeber“ einer Datenanwendung (§ 4 Z 4 DSG 2000) entspricht im Anwendungsbereich der DSGVO der „Verantwortliche“ bzw. „gemeinsam Verantwortliche“ (Art. 4 Z 7 und 26 Abs. 1 DSGVO) einer Datenverarbeitung.

Zu Z 9 und 10 (§ 23 Abs. 3 bis 6):

Zu Abs. 3:

Eine Einzelfallabwägung, wie sie in Art. 21 Abs. 1 DSGVO vorgesehen ist, hätte überdies zur Folge, dass im Falle eines Widerspruchs durch den betroffenen Fremden eine weitere Datenverarbeitung mit Ausnahme der Speicherung der Daten bis zum Nachweis zwingender schutzwürdiger Gründe für die Verarbeitung nicht mehr erfolgen dürfte, sofern der betroffene Fremde die Einschränkung der Verarbeitung verlangt (Art. 18 Abs. 1 lit. d DSGVO). Zur Aufrechterhaltung der öffentlichen Ordnung und Sicherheit als allgemeines öffentliches Interesse und zur Sicherstellung der mit der Verarbeitung personenbezogener Daten von Fremden verbundenen Kontroll-, Überwachungs- und Ordnungsfunktionen ist die gesetzlich vorgesehene Verarbeitung der betreffenden Daten zur Erfüllung der den Behörden und dem Verwaltungsgericht übertragenen Aufgaben jedoch – bis zu deren gesetzlich vorgesehener Löschung – zu jedem Zeitpunkt erforderlich. Weiters wäre im Falle eines Widerspruchs nach Art. 21 DSGVO und der – wenn auch nur vorübergehenden – Unzulässigkeit einer Weiterverarbeitung nicht mehr gewährleistet, dass die Behörde oder das Verwaltungsgericht sämtliche Daten und Informationen, die es für eine rechtsrichtige Entscheidung benötigt, tatsächlich heranziehen kann. Dies könnte in einer nicht zu unterschätzenden Verfahrensverzögerung resultieren bzw. würde eine Verfahrensführung (Ermittlungsverfahren zu diversen Tatbestandsmerkmalen in asyl- und fremdenrechtlichen Normen) geradezu unmöglich machen. Der generelle Ausschluss des Widerspruchsrechtes ist daher unerlässlich.

Zu Abs. 4 und 5:

Der vorgeschlagene Abs. 4 schränkt das Auskunftsrecht des Betroffenen (Art. 15 DSGVO) in Übereinstimmung mit Art. 23 DSGVO nur in jenen Fällen ein, in denen der Auskunft eines der in Z 1 bis 5 genannten, überwiegenden öffentlichen Interessen entgegensteht.

Entsprechend Art. 23 Abs. 2 lit. h DSGVO sieht der vorgeschlagene Abs. 5 als Grundsatz vor, dass der Betroffene über die Einschränkung oder Verweigerung der Auskunft sowie über den dafür maßgeblichen Grund zu informieren ist, die Erteilung dieser Information jedoch in bestimmten Ausnahmefällen unterbleiben kann. Dabei wird von der Behörde im Einzelfall abzuwägen sein, ob die Erteilung der Information den konkreten Zweck bzw. die konkrete Maßnahme, zu dem (der) bestimmte Daten verarbeitet wurden, etwa eine – den Betroffenen einbeziehende – Maßnahme der Erweiterten Gefahrenerforschung (§ 6 Abs. 1 Z 1 des Polizeilichen Staatsschutzgesetzes – PStSG, BGBl. I Nr. 5/2016), gefährden könnte.

Zu Abs. 6:

Abs. 6 entspricht inhaltlich dem Abs. 3 der geltenden Rechtslage. Es wurde lediglich ein redaktionelles Versehen beseitigt.

Zu Z 11 (§ 24 Abs. 1 Einleitungsteil und Z 2):

In Umsetzung der DSGVO wird im Einleitungsteil des § 24 Abs. 1 der konkrete Zweck einer erkennungsdienstlichen Behandlung festgelegt.

Nachdem der Fall, dass einem Fremden auf Antrag der Status des Asyl- oder subsidiär Schutzberechtigten zuerkannt werden soll, bereits von Z 1 erfasst ist, kann sich Z 2 auf die Zuerkennung internationalen Schutzes von Amts wegen beschränken. Bei der vorgeschlagenen Änderung in Z 2 handelt es sich somit um die Bereinigung eines redaktionellen Versehens.

Zu Z 12 (§ 24 Abs. 3a):

Die vorgeschlagene Änderung dient der Anpassung der für die erkennungsdienstliche Behandlung geltenden Voraussetzungen an die Vorgaben der DSGVO. Da eine erkennungsdienstliche Behandlung auch die Abnahme von Papillarlinienabdrücken der Finger und damit die Verarbeitung einer besonderen Kategorie personenbezogener Daten – siehe dazu auch die Erläuterungen zu § 28 Abs. 4 – umfassen kann, sind gemäß Art. 9 Abs. 2 lit. g DSGVO spezifische grundrechtsschützende Maßnahmen zu Gunsten des Betroffenen vorzusehen. Es wird daher vorgeschlagen, die Vornahme der erkennungsdienstlichen Behandlung, soweit sie insbesondere auch die Abnahme von Papillarlinienabdrücken der Finger umfasst, ausschließlich geeigneten und besonders geschulten Bediensteten des Bundesamtes, der Landespolizeidirektionen und der Vertretungsbehörden vorzubehalten, welche der Verschwiegenheitspflicht unterliegen. Handelt es sich bei diesen Bediensteten um Beamte oder Vertragsbedienstete, ergibt sich die Verschwiegenheitspflicht jeweils unmittelbar aus § 46 des Beamten-Dienstrechtsgesetzes 1979 (BDG), BGBl. Nr. 333/1979, oder §§ 5 oder 79 des Vertragsbedienstetengesetzes 1948 (VBG), BGBl. Nr. 86/1948. Die Durchführung einer erkennungsdienstlichen Behandlung durch Bedienstete, für die weder die Vorschriften des BDG noch des VBG zur Anwendung kommen, darf nur erfolgen, sofern auch diese in Bezug auf die Durchführung erkennungsdienstlicher Behandlungen etwa im Rahmen der Unterzeichnung einer Verschwiegenheitserklärung zur Verschwiegenheit verpflichtet sind. Weiters wird die Durchführung einer erkennungsdienstlichen Behandlung – nach dem bewährten Vorbild des § 13 FPG – durch Verweis auf die Achtung der Menschenwürde und möglichste Schonung der Person ausdrücklich dem Verhältnismäßigkeitsgrundsatz unterstellt.

Zu 13 (§ 24 Abs. 4):

Betreffend die erkennungsdienstliche Behandlung von Fremden hat in Umsetzung der DSGVO eine Anpassung der Verweise auf das SPG zu erfolgen.

Zu Z 14 (Überschriften der §§ 26 und 28):

Die vorgeschlagenen Änderungen dienen der terminologischen Anpassung an die DSGVO.

Zu Z 15 (§ 26):

Zu Abs. 1:

Das Bundesverwaltungsgericht, welches nach bisheriger Rechtslage in Bezug auf das Zentrale Fremdenregister – neben den anderen in Abs. 1 genannten Behörden – als datenschutzrechtlicher Auftraggeber fungierte, wird eine solche Funktion künftig nicht mehr ausüben. In der Neufassung des Abs. 1 wird das Bundesverwaltungsgericht daher nicht in die angeführte Auflistung der iSd Art. 4 Z 7 iVm Art. 26 Abs. 1 DSGVO gemeinsam Verantwortlichen aufgenommen. Um jedoch sicherzustellen, dass es auch künftig Zugang zu den im Zentralen Fremdenregister verarbeiteten personenbezogenen Daten erhält, wird vorgesehen, dass ihm diese Daten gemäß § 29 Abs. 1 Z 20 übermittelt werden dürfen, sofern dies zur Erfüllung der ihm übertragenen Aufgaben erforderlich ist.

Zu Abs. 2:

Gemäß Art. 26 Abs. 1 Satz 2 DSGVO haben mehrere gemeinsam Verantwortliche in einer Vereinbarung festzulegen, wer von ihnen gegenüber der betroffenen Person welche Verpflichtungen nach der DSGVO – z.B. Berichtigungs- und Löschungspflichten – wahrzunehmen hat, es sei denn, eine entsprechende Zuständigkeitsverteilung bzw. Pflichtenzuordnung ist bereits in einer gesetzlichen Vorschrift des Unions- oder des nationalen Rechts vorgesehen. In diesem Sinne teilt der vorgeschlagene Abs. 2 die Zuständigkeit zwischen den gemeinsam Verantwortlichen des Zentralen Fremdenregisters dahingehend auf, dass Auskunfts-, Informations-, Berichtigungs-, Löschungs- und sonstige Pflichten nach der DSGVO von jedem Verantwortlichen nur in Bezug auf jene personenbezogenen Daten zu erfüllen sind, die im Zusammenhang mit den von ihm selbst geführten Verwaltungsverfahren (z.B. Asylverfahren nach dem AsylG 2005, Verfahren zur Erteilung eines Aufenthaltstitels nach dem NAG etc.) oder den von ihm gesetzten (verfahrensfreien) Maßnahmen (z.B. Abschiebung oder Entziehung gegenstandslos gewordener Aufenthaltstitelkarten) verarbeitet werden. Dies erscheint zweckmäßig, weil der in diesem Sinne (ausschließlich) zuständige Verantwortliche am ehesten in der Lage ist, zu beurteilen, ob dem Betroffenen bezüglich der in Rede stehenden Daten tatsächlich ein Auskunfts-, Berichtigungs- oder sonstiger Anspruch nach der DSGVO zukommt. Nimmt ein Betroffener unter Nachweis seiner Identität ein Recht nach der DSGVO gegenüber einem unzuständigen Verantwortlichen wahr, ist er gemäß dem letzten Satz des neuen Abs. 2 an den zuständigen Verantwortlichen zu verweisen.

Zu Abs. 3:

Zu Abs. 4:

Die vorgeschlagen Änderungen dienen der terminologischen Anpassung an die DSGVO. Die bisher im ersten Satz vorgesehene Sperre des Zugriffs auf im Zentralen Fremdenregister verarbeitete personenbezogene Daten entspricht der Sache nach der „Einschränkung der Verarbeitung“ dieser Daten gemäß Art. 4 Z 3 DSGVO. Der vorgeschlagene erste Satz sieht daher bei Wegfall der Speichervoraussetzungen oder der sonstigen Notwendigkeit der (weiteren) Datenverarbeitung die Einschränkung der Verarbeitung der betreffenden Daten vor und normiert die bisher im dritten Satz enthaltene Ausnahme von der Zugriffssperre als jenen Ausnahmefall, auf den die Datenverarbeitung einzuschränken ist. Der zweite Satz kann – abgesehen von der terminologischen Anpassung an Art. 4 Z 3 DSGVO – unverändert beibehalten werden.

Zu Abs. 5:

Die vorgeschlagene Änderung dient der terminologischen Anpassung an Art. 4 Z 3 DSGVO. Im Gegensatz zur bisherigen Fassung des ersten Satzes wird nicht mehr ausdrücklich vorausgesetzt, dass sich die nach Ablauf von sechs Jahren eintretende Prüfplicht (lediglich) auf Daten bezieht, deren Verarbeitung noch nicht eingeschränkt ist, weil sich dies bereits aus dem Inhalt und dem Zweck der Prüfung eindeutig ergibt. Die Änderung des zweiten und die Anfügung eines dritten Satzes dienen lediglich der besseren Lesbarkeit, ohne die Rechtslage materiell zu ändern. Der bisherige zweite Satz enthält eine alternative Aufzählung von zwei einander ausschließenden Bedingungen, unter denen ausnahmsweise nicht mit Zugriffssperre und – infolge des Verweises auf Abs. 2 (nunmehr Abs. 4) – nach Ablauf von zwei weiteren Jahren mit physischer Löschung vorzugehen ist. Demgegenüber nennt der vorgeschlagene zweite Satz nur noch den ersten Fall, dass der Speichergrund nach Ablauf der Sechs‑Jahres‑Frist weiterhin besteht und eine Einschränkung der Verarbeitung daher (noch) nicht in Betracht kommt. Der zweite Fall, dass bereits eine Löschungspflicht gemäß § 23 Abs. 3 besteht und die betreffenden Daten daher sofort und nicht erst im Anschluss an eine zweijährige Einschränkung ihrer Verarbeitung zu löschen sind, ist im vorgeschlagenen dritten Satz genannt.

Zu Abs. 6 und 7:

In Abs. 6 und 7, welche den Abs. 4 und 5 der geltenden Rechtslage entsprechen, wurden keine inhaltlichen Änderungen vorgenommen. Durch die Änderung in Abs. 7 soll lediglich die Schreibweise des Begriffes des „Zentralen Fremdenregisters“ vereinheitlicht und der Verweis auf die Löschungsfristen des neuen § 23 Abs. 6 angepasst werden.

Zu Z 16 (§ 27 Abs. 1 Einleitungs- und Schlussteil):

Die vorgeschlagene Änderung dient – ohne eine materielle Änderung der Rechtslage herbeizuführen – lediglich einer sprachlichen Vereinfachung. Da die Befugnis der gemeinsam Verantwortlichen, personenbezogene Daten Fremder im Zentralen Fremdenregister zu verarbeiten, bereits ausdrücklich in § 26 Abs. 1 normiert ist, kann sich § 27 Abs. 1 auf die Konkretisierung der für eine Verarbeitung in Betracht kommenden Datenarten beschränken.

Zu Z 17 (§ 27 Abs. 1 Z 5, 10, 20 und 21):

Zu Abs. 1 Z 5:

Auf Grund der vorgeschlagenen Änderung können nicht nur die im Bundesgebiet, sondern auch die außerhalb desselben gelegenen Wohnanschriften des Fremden im Fremdenregister verarbeitet werden. Die Kenntnis – und damit die Verarbeitung – von im Ausland gelegenen Wohnanschriften des Fremden kann sowohl für das Bundesamt als auch für die Vertretungsbehörden und die Behörden nach dem NAG zur Erfüllung ihrer Aufgaben erforderlich sein. So ergehen etwa Entscheidungen der Vertretungsbehörden in Visaangelegenheiten (§ 11 FPG), der Behörden nach dem NAG über die Erteilung von Aufenthaltstiteln in Fällen, in denen kein Recht zur Inlandsantragstellung besteht (§ 21 Abs. 1 NAG), oder des Bundesamtes über die Verkürzung bzw. die Aufhebung eines Einreise- oder Aufenthaltsverbotes (§§ 60 Abs. 1 und 2, 69 Abs. 2 FPG) notwendigerweise gegenüber Fremden, deren Wohnanschrift sich außerhalb des Bundesgebietes befindet.

Zu Abs. 1 Z 10:

Die vorgeschlagene Änderung der Z 10 dient der terminologischen Anpassung an die DSGVO.

Die in Art. 9 Abs. 1 DSGVO näher bezeichneten besonderen Kategorien personenbezogener Daten entsprechen im Wesentlichen der Kategorie der sensiblen Daten gemäß § 4 Z 2 DSG 2000. Die DSGVO normiert für die Verarbeitung solcher Daten ein grundsätzliches Verbot mit Erlaubnisvorbehalt. Im gegebenen Zusammenhang ist der Tatbestand des Art. 9 Abs. 2 lit. g DSGVO einschlägig, wonach die Datenverarbeitung der Verwirklichung eines wichtigen, im Unions- oder nationalen Recht anerkannten Interesses dienen muss. Zweck der Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Z 10 ist es, den Schutz der Gesundheit oder der körperlichen Unversehrtheit des gegenüber dem betroffenen Fremden einschreitenden Organs oder dritter Personen, die von einer Amtshandlung betroffen sein können, sicherzustellen. Z 10 dient daher der Verwirklichung eines erheblichen öffentlichen Interesses im Sinne des Art. 9 Abs. 2 lit. g DSGVO, das im Übrigen auch in der DSGVO selbst ausdrücklich anerkannt ist (vgl. ErwGr 52 zur DSGVO und insbesondere die darin als Beispiel genannte „Sicherstellung und Überwachung der Gesundheit“).

In den Fällen des – hier einschlägigen – Art. 9 Abs. 2 lit. g DSGVO sind „spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person“ gesetzlich vorzusehen. Diesem Erfordernis wird durch die in Z 10 normierte Voraussetzung, dass die Verarbeitung besonderer Kategorien personenbezogener Daten „zur Wahrung lebenswichtiger Interessen anderer“ notwendig sein muss, und durch die Einschränkung, dass nur Gesundheitsdaten, nicht aber sonstige besondere Kategorien personenbezogener Daten verarbeitet werden dürfen, Rechnung getragen. Die Verarbeitung gemäß Z 10 ist somit von vornherein auf jene personenbezogenen Daten eingeschränkt, deren Kenntnis tatsächlich geeignet ist, den Schutz der Gesundheit oder der körperlichen Unversehrtheit des einschreitenden Organs zu gewährleisten. Die Voraussetzung, dass „lebenswichtige“ Interessen anderer zu wahren sind, schränkt die für eine Bearbeitung in Betracht kommenden Gesundheitsdaten zusätzlich auf ein Minimum ein, sodass ein angemessener Ausgleich zwischen dem Interesse des Betroffenen am Schutz seiner personenbezogenen Daten und dem Interesse des einschreitenden Organs bzw. des von der Amtshandlung in sonstiger Weise betroffenen Dritten gewährleistet ist.

Zur Ersetzung des Begriffs „Verwendung“ durch den Begriff „Verarbeitung“ wird auf die Erläuterungen zu § 23 Abs. 1 verwiesen.

Zu Abs. 1 Z 20 und 21:

Hierbei handelt es sich um rein formale Adaptierungen.

Zu Z 19 und 20 (§ 27 Abs. 4 und 5):

Der zweite und der letzte Satz des Abs. 4 können wegen des vorgeschlagenen Abs. 5 entfallen.

Die DSGVO enthält keine Bestimmung über Protokollierungsvorschriften, innerstaatliche Regelungen sind daher zulässig. Da die Protokollierungsvorschriften des § 14 DSG 2000 entfallen, sind in jedem Materiengesetz gesonderte Protokollierungsvorschriften vorzusehen, um ein gleichbleibendes Datenschutzniveau zu gewährleisten. Dies erfolgt im BFA‑VG durch den vorgeschlagenen Abs. 5, welcher für Protokolldaten eine angemessene Aufbewahrungsdauer von zwei Jahren festlegt.

Zu Z 21 (§ 28):

Zu Abs. 1:

Die vorgeschlagene Neufassung des Abs. 1 dient der Anpassung an die Systematik der DSGVO.

Hinsichtlich der Zentralen Verfahrensdatei war das Bundesverwaltungsgericht bisher gemeinsam mit dem Bundesamt dazu ermächtigt, die von ihnen ermittelten Verfahrensdaten gemeinsam zu verarbeiten. Auf Grund der Tatsache, dass das Bundesverwaltungsgericht die von ihm ermittelten Informationen zu anhängigen Verfahren ohnehin in einem separaten, ausschließlich von diesem geführten Datensystem verarbeitet, wurde von der eingeräumten Ermächtigung bisher jedoch kein Gebrauch gemacht. Vor diesem Hintergrund wird vorgeschlagen, dass sich die Ermächtigung zur Verarbeitung von Verfahrensdaten in der Zentralen Verfahrensdatei künftig nur noch auf das Bundesamt beschränken soll. Durch Ergänzung der Z 4 des § 29 Abs. 1 um das Bundesverwaltungsgericht und dessen damit einhergehende Aufnahme in den Kreis der Übermittlungsempfänger hinsichtlich der in der Zentralen Verfahrensdatei – und im Zentralen Fremdenregister – verarbeiteten Daten wird sichergestellt, dass dem Bundesverwaltungsgericht – technikneutral – jederzeit derartige Daten übermittelt werden dürfen, sofern diese zur Erfüllung der ihm übertragenen Aufgaben benötigt werden.

Zu Abs. 2:

Der vorgeschlagene Abs. 2 dient der Anpassung an die Systematik und Terminologie der DSGVO. Siehe dazu die Erläuterungen zu § 26 Abs. 3.

Zu Abs. 3:

Die Änderung stellt eine Anpassung an die Neufassung des Abs. 1 dar.

Zu Abs. 4:

Die vorgeschlagene Änderung regelt die Berechtigung zur Datenabfrage aus der Zentralen Verfahrensdatei neu und orientiert sich dabei an der für das Zentrale Fremdenregister geltenden Bestimmung (§ 27 Abs. 2). Die bislang im ersten Satz enthaltene Einschränkung („soweit dies … erforderlich ist“) führt – bei wörtlicher Auslegung – dazu, dass z.B. für die Erfüllung einer Amtshilfepflicht (Art. 22 B‑VG) keine Abfrage aus der Zentralen Verfahrensdatei zulässig wäre. Ebenso lässt sie es als zweifelhaft erscheinen, ob zum Zwecke einer Datenübermittlung an einen Empfänger gemäß § 29 Abs. 1 eine Abfrage zulässig ist, weil die zuletzt genannte Bestimmung keine Pflicht, sondern bloß ein Ermessen des Bundesamtes und insoweit keine gesetzlich übertragene „Aufgabe“ normiert. Es wird daher vorgeschlagen, diese Beschränkung ersatzlos entfallen zu lassen, zumal die Abfrage einen Verarbeitungsvorgang im Sinne des Art. 4 Z 2 DSGVO darstellt und als solcher bereits gemäß § 23 Abs. 1 einer strengen Zweckbindung unterliegt.

Umgekehrt wird – im Hinblick auf die aus Betroffenensicht vergleichbare Sachlage – vorgeschlagen, den letzten Satz des § 27 Abs. 2 zu übernehmen und die Beauskunftung von Papillarlinienabdrücken aus der Zentralen Verfahrensdatei einer entsprechenden Beschränkung zu unterwerfen. Eine derartige Auskunftsbeschränkung ist auch nach der DSGVO geboten, weil Papillarlinienabdrücke der Finger eine besondere Kategorie personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO (biometrische Daten) darstellen und daher gemäß Abs. 2 lit. g leg. cit. „spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person“ gesetzlich vorzusehen sind. Die Beschränkung auf Fälle der unbedingten Erforderlichkeit für die Erfüllung einer behördlichen Aufgabe stellt sicher, dass die Beauskunftung von Papillarlinienabdrücken der Finger nur als „ultima ratio“ in Betracht kommt – dh. nur dann stattfindet, wenn eine Erfüllung der behördlichen Aufgabe andernfalls nicht möglich wäre – und überdies einem strengeren Rechtfertigungszwang unterliegt als die Übermittlung sonstiger im Zentralen Fremdenregister verarbeiteter Daten. Dadurch wird dem besonderen Charakter dieser Daten in angemessener Weise Rechnung getragen, ohne die im Einzelfall überwiegenden Verarbeitungsinteressen anderer Behörden zu beeinträchtigen.

Nicht erforderlich ist hingegen eine Übernahme des § 27 Abs. 2 zweiter Satz. Die dort genannten „Daten zur Gültigkeit von Einreise- und Aufenthaltstiteln“, die zum Zweck des Abgleichs mit den Daten des Zentralen Melderegisters (§ 32 Abs. 2) ausnahmsweise als Abfragekriterien herangezogen werden dürfen, werden nämlich ohnehin bereits im Zentralen Fremdenregister gespeichert (§ 27 Abs. 1 Z 11). Es ist daher nicht erforderlich, auch die in der Zentralen Verfahrensdatei verarbeiteten Daten zum Gegenstand des Abgleichs gemäß § 32 Abs. 2 zu machen.

Zu Abs. 5:

Abs. 5 erster Satz entspricht inhaltlich dem Abs. 4 der geltenden Rechtslage. Es soll lediglich die Schreibweise des Begriffes der „Zentralen Verfahrensdatei“ vereinheitlicht werden und wird der Verweis auf die Löschungsfristen des neuen § 23 Abs. 6 angepasst. Die Einfügung des Wortes „personenbezogene“ hat lediglich klarstelle Funktion. Der neue letzte Satz verdeutlicht die geltende Rechtslage, wonach sich § 28 Abs. 5 auf die Löschung von Daten aus der Zentralen Verfahrensdatei bezieht, für externe Empfänger, denen Daten aus der Zentralen Verfahrensdatei übermittelt werden, gelten die entsprechenden Löschungsvorschriften der jeweiligen Bundes- oder Landesgesetze.

Zu Abs. 6:

Durch den vorgeschlagenen Abs. 6 wird auch für die Zentrale Verfahrensdatei eine Pflicht zur Protokollierung von Abfragen und Datenübermittlungen vorgesehen. Diesbezüglich wird auf die Erläuterungen zu § 27 Abs. 5 verwiesen.

Zu Z 22 (§ 29 Abs. 1 bis 3):

Die vorgeschlagenen Änderungen haben lediglich klarstellende Funktion.

Zu Z 23 und 24 (§ 29 Abs. 1 Z 4 und 5a):

Zur Aufnahme des Bundesverwaltungsgerichts in den Kreis der Übermittlungsempfänger von gemäß §§ 27 Abs. 1 und 28 verarbeiteten personenbezogenen Daten siehe die Erläuterungen zu den §§ 26 Abs. 1 und 28 Abs. 1.

Durch den Entfall des Verweises auf Art. 148a ff B‑VG in § 28 Abs. 3 ist die Volksanwaltschaft als Übermittlungsempfänger in § 29 Abs. 1 zu definieren, um ihr für die Erfüllung ihrer Aufgaben weiterhin den Zugang zu personenbezogenen Daten Fremder zu gewährleisten. Aufgrund der Aufnahme in die Liste der Übermittlungsempfänger gemäß § 29 Abs. 1 dürfen der Volksanwaltschaft – über die bisherige Rechtslage hinausgehend – künftig auch Daten aus dem Zentralen Fremdenregister übermittelt werden, sofern sie diese für die Erfüllung ihrer Aufgaben benötigt. Diese Erweiterung ist vor dem Hintergrund der umfassenden Unterstützungspflicht und des expliziten Ausschlusses der Amtsverschwiegenheit gemäß Art. 148b Abs. 1 B‑VG auch verfassungsrechtlich geboten. Eine Schlechterstellung der Volksanwaltschaft gegenüber der bisherigen Rechtslage ist damit nicht verbunden, weil Datenübermittlungen auch in Form der Einräumung und Inanspruchnahme einer Abfrageberechtigung stattfinden können und § 29 nicht regelt, in welcher Form die Daten zu übermitteln sind.

Zu Z 25 (§ 29 Abs. 1 Z 19):

Im Hinblick auf die Zentrale Verfahrensdatei (§ 28) übt der Bundesminister für Inneres künftig die Funktion des Auftragsverarbeiters gemäß Art. 4 Z 8 iVm Art. 28 Abs. 1 DSGVO aus. Ein Zugriff auf sämtliche in der Zentralen Verfahrensdatei verarbeiteten personenbezogenen Daten ist für ihn in dieser Funktion nicht vorgesehen. Ein solcher erscheint jedoch vor dem Hintergrund, dass es sich beim Bundesminister für Inneres um die sachlich in Betracht kommende Oberbehörde handelt, in deren Funktion beispielsweise Stellungnahmen in Verfahren vor dem Europäischen Gerichtshof für Menschenrechte abzugeben sind, zweckmäßig und erforderlich. Aus diesem Grund wurde durch Anfügung der neuen Z 19 eine Rechtsgrundlage für die Übermittlung der nach § 28 verarbeiteten personenbezogenen Daten an den Bundesminister für Inneres geschaffen.

Zu Z 26 (§ 29 Abs. 2 Z 6):

Durch die vorgeschlagene Z 6 können Daten des Zentralen Fremdenregisters (§ 27 Abs. 1 Z 1 bis 11 und 19) und der Zentralen Verfahrensdatei (§ 28) in dem gemäß Abs. 2 eingeschränkten Umfang auch den für die Gewährung von Sozial- oder sonstigen Transferleistungen zuständigen Stellen übermittelt werden. Die Notwendigkeit einer solchen Übermittlungsbefugnis ergibt sich daraus, dass bspw. das Mindestsicherungsrecht in den Bundesländern, soweit es Fremde in den Kreis der Anspruchsberechtigten aufnimmt, regelmäßig voraussetzt, dass diesen Fremden ein qualifizierter Aufenthaltsstatus, etwa jener des Asyl- oder des subsidiär Schutzberechtigten, zukommt und sie überdies ihren Wohnsitz oder gewöhnlichen Aufenthalt in dem betreffenden Bundesland genommen haben. Eine Änderung des Aufenthaltsstatus und des Wohnsitzes, wie sie im Fremdenregister und der Verfahrensdatei verarbeitet wird, kann sich daher – in Verbindung mit sonstigen, zur eindeutigen Identifizierung regelmäßig notwendigen Personaldaten des betreffenden Fremden – unmittelbar auf den Anspruch auf Leistungen der Mindestsicherung auswirken. Gleiches gilt im Zusammenhang mit sonstigen Sozial- oder Transferleistungen, auf deren Gewährung durch Erhalt eines bestimmten asyl- oder fremdenrechtlichen Status ein Anspruch entstehen kann. Aus diesem Grund wird vorgeschlagen, die für die Gewährung von Sozial- oder sonstigen Transferleistungen zuständigen Stellen in den Kreis der Übermittlungsempfänger aufzunehmen.

Zu Z 27 (§ 30 Abs. 6):

Durch die vorgeschlagene Änderung werden die Staatsbürgerschaftsbehörden verpflichtet, das Bundesamt auch vom Verlust der Staatsbürgerschaft gemäß dem III. Abschnitt des Staatsbürgerschaftsgesetzes 1985 – StbG, BGBl. Nr. 311/1985, in Kenntnis zu setzen, wobei der Verweis auf § 26 StbG klarstellt, dass sich die Informationspflicht auf sämtliche Verlusttatbestände (Erwerb einer fremden Staatsangehörigkeit, Eintritt in den Militärdienst eines fremden Staates, Entziehung und Verzicht) erstreckt. Dies soll dem Bundesamt die durch den Verlust der Staatsbürgerschaft notwendig werdende Prüfung, ob eine aufenthaltsbeendende Maßnahme zu erlassen oder ein Aufenthaltstitel aus berücksichtigungswürdigen Gründen nach dem 7. Hauptstück des AsylG 2005 zu erteilen ist, erleichtern und dient insofern der Sicherstellung eines effizienten Vollzugs des Fremdenwesens.

Zu Z 28 (§ 31 Abs. 3):

Hierbei handelt es sich lediglich um eine Verweisanpassung und eine Anpassung der Terminologie.

Zu Z 29 bis 34 (§ 33):

Zu Abs. 1:

Die vorgeschlagene Änderung dient der Anpassung an die Vorgaben der DSGVO.

Das bisher in Abs. 1 enthaltene Erfordernis eines mit Österreich vergleichbaren Datenschutzniveaus kann, soweit es sich um die Datenübermittlung an Empfänger in einem Mitgliedstaat handelt, entfallen, weil das Datenschutzniveau innerhalb der Europäischen Union durch die DSGVO harmonisiert ist. Soweit es sich um die Datenübermittlung an Empfänger in einem Drittland handelt, ist zu beachten, dass nach dem V. Kapitel der DSGVO Daten an Empfänger in einem Drittland unter gewissen Voraussetzungen auch dann übermittelt werden können, wenn kein auf das betreffende Drittland lautender Angemessenheitsbeschluss der Europäischen Kommission gemäß Art. 45 DSGVO vorliegt und es daher unsicher ist, ob dieses Drittland ein dem österreichischen vergleichbares Datenschutzniveau aufweist. Um den von der DSGVO gebotenen Spielraum voll ausschöpfen zu können, hat der Verweis auf das Erfordernis eines vergleichbaren Datenschutzniveaus auch vor diesem Hintergrund zu entfallen.

Der vorgeschlagene Entfall des sprachlich missglückten Verweises auf die „in § 29 genannten Zwecke“ – genauer: auf ausländische, als Übermittlungsempfänger in Betracht kommende Stellen, welche dieselben Zwecke wie die in § 29 genannten, im Inland ansässigen Empfänger verfolgen – dient der Angleichung an die Parallelvorschriften des § 108 Abs. 1 FPG und des § 38 Abs. 1 NAG, die eine vergleichbare Einschränkung nicht vorsehen. Mit Inkrafttreten der DSGVO ist dieser Verweis auch insoweit nicht mehr erforderlich, als eine gemäß § 33 Abs. 1 geschlossene Vereinbarung die Datenübermittlung an Empfänger in einem Drittland ermöglicht. Denn entweder schränkt bereits der gemäß Art. 45 DSGVO grundsätzlich erforderliche Angemessenheitsbeschluss der Europäischen Kommission seinen Geltungsbereich auf „spezifische Sektoren“ (dh. bestimmte Übermittlungsempfänger) im betreffenden Drittland ein, so dass es einer im nationalen Recht normierten Einschränkung des Empfängerkreises nicht mehr bedarf. Oder die Datenübermittlung an das Drittland ist – mangels eines Angemessenheitsbeschlusses und „geeigneter Garantien“ gemäß Art. 46 DSGVO – nur unter den Voraussetzungen des Art. 49 DSGVO zulässig. In einem solchen Fall ist es gemäß Abs. 1 lit. d leg. cit. unter anderem erforderlich, dass die Datenübermittlung an das Drittland einem – im Unions- oder innerstaatlichen Recht anerkannten – öffentlichen Interesse dient. Schließt aber bereits § 29 die Datenübermittlung an bestimmte innerstaatliche Empfänger aus, so bedeutet dies, dass er insoweit ein „öffentliches Interesse“ an der Datenübermittlung gerade nicht anerkennt und die Datenübermittlung an im Drittland befindliche Empfänger mit vergleichbaren Zwecken bzw. vergleichbarer Aufgabenstellung daher auch nicht auf Art. 49 Abs. 1 lit. d DSGVO gestützt werden könnte, ohne dass dies noch explizit im nationalen Recht zu normieren wäre.

Zu Abs. 2:

Die vorgeschlagene Änderung dient der Bereinigung eines redaktionellen Versehens und der terminologischen Anpassung an Art. 4 Z 2 DSGVO.

Zu Abs. 3 und 4:

Die vorgeschlagenen Änderungen sollen klarstellen, dass eine Übermittlung personenbezogener Daten an die für den Fremden zuständige ausländische Behörde (§ 46 Abs. 2 bis 2b FPG) zum Zweck der Beschaffung eines Ersatzreisedokumentes oder einer vergleichbaren, für die Abschiebung bzw. die Einreise in den Herkunfts- oder sonstigen Zielstaat erforderlichen Bewilligung in Verwirklichung eines wichtigen öffentlichen Interesses gemäß Art. 49 Abs. 1 lit. d DSGVO – nämlich der Sicherstellung eines geordneten und effizienten Vollzugs im Asyl- und Fremdenwesen – stattfindet und daher jedenfalls – dh. unabhängig davon, ob in Bezug auf den betreffenden Zielstaat ein Angemessenheitsbeschluss der Europäischen Kommission (Art. 45 DSGVO) oder sonstige Garantien (Art. 46 DSGVO) vorliegen – zulässig ist.

Zu Abs. 5:

Die vorgeschlagene Änderung trägt dem mit der Verwaltungsgerichtsbarkeits‑Novelle 2012, BGBl. I Nr. 51/2012, und dem Verwaltungsgerichtsbarkeits‑Ausführungsgesetz 2013, BGBl. I Nr. 33/2013, einhergehenden Entfall des behördlichen Instanzenzuges Rechnung. Die Neufassung des bisher in Z 3 enthaltenen letzten Satzes als Schlussteil der gesamten Bestimmung soll klarstellen, dass der Umstand, dass ein Antrag auf internationalen Schutz gestellt wurde, auch bei Datenübermittlungen gemäß Z 1 oder 2 nicht hervorkommen darf.

Zu Z 35 (§ 56 Abs. 11):

Diese Bestimmung regelt das Inkrafttreten.

Zu Artikel 11 (Änderung des Fremdenpolizeigesetzes 2005)

Zu Z 1 bis 4 (Inhaltsverzeichnis):

Die Änderungen stellen eine notwendige Adaptierung des Inhaltsverzeichnisses dar.

Zu Z 5 (§ 2 Abs. 4 Z 24):

Zur besseren Verständlichkeit wird die DSGVO definiert.

Zu Z 6, 7 und 8 (Überschriften zu §§ 98, 99 und 107; § 98 Abs. 1 und 2):

Die vorgeschlagenen Änderungen stellen zunächst terminologische Anpassungen an die DSGVO dar. Der Begriff der „Verarbeitung“ personenbezogener Daten gemäß Art. 4 Z 2 DSGVO beinhaltet auch die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung und entspricht damit dem bisher in § 4 Z 8 DSG 2000 definierten Begriff des „Verwendens“ bzw. der „Verwendung“ personenbezogener Daten. Da das Wort „Dritter“ in Art. 4 Z 10 DSGVO mit einer anderen Bedeutung als hier verwendet definiert ist, wird ferner vorgeschlagen, nunmehr von „dritten Personen“ zu sprechen. Eine inhaltliche Änderung ist damit nicht verbunden.

Durch den vorgeschlagenen Verweis auf § 23 Abs. 3 bis 5 BFA-VG in Abs. 1 werden auch für die nach dem Fremdenpolizeigesetz verarbeiteten Daten das Widerspruchsrecht sowie das Auskunftsrecht des Betroffenen (Art. 21 und 15 DSGVO) eingeschränkt.

Eine Einzelfallabwägung, wie sie in Art. 21 Abs. 1 DSGVO vorgesehen ist, hätte überdies zur Folge, dass im Falle eines Widerspruchs durch den Fremden eine weitere Datenverarbeitung mit Ausnahme der Speicherung der Daten bis zum Nachweis zwingender schutzwürdiger Gründe für die Verarbeitung nicht mehr erfolgen dürfte, sofern der Fremde die Einschränkung der Verarbeitung verlangt (Art. 18 Abs. 1 lit. d DSGVO). Zur Aufrechterhaltung der öffentlichen Ordnung und Sicherheit als allgemeines öffentliches Interesse und zur Sicherstellung der mit der Verarbeitung personenbezogener Daten von Fremden verbundenen Kontroll-, Überwachungs- und Ordnungsfunktionen ist die gesetzlich vorgesehene Verarbeitung der betreffenden Daten zur Erfüllung der den Behörden und den Verwaltungsgerichten übertragenen Aufgaben jedoch – bis zu deren gesetzlich vorgesehener Löschung – zu jedem Zeitpunkt erforderlich. Weiters wäre im Falle eines Widerspruchs nach Art. 21 DSGVO und der – wenn auch nur vorübergehenden – Unzulässigkeit einer Weiterverarbeitung nicht mehr gewährleistet, dass die Behörden oder die Verwaltungsgerichte sämtliche Daten und Informationen, die sie für eine rechtsrichtige Entscheidung benötigen, tatsächlich heranziehen können. Dies könnte in einer nicht zu unterschätzenden Verfahrensverzögerung resultieren bzw. würde eine Verfahrensführung (Ermittlungsverfahren zu diversen Tatbestandsmerkmalen in fremdenrechtlichen Normen) geradezu unmöglich machen. Der generelle Ausschluss des Widerspruchsrecht ist daher unerlässlich.

Zur Einschränkung des Auskunftsrechtsrechts wird auf die Erläuterungen zu § 23 Abs. 4 und 5 BFA‑VG verwiesen.

Zu Z 9 (§ 99 Abs. 1):

In Umsetzung der DSGVO wird in § 99 Abs. 1 der konkrete Zweck einer erkennungsdienstlichen Behandlung festgelegt.

Zu Z 10 (§ 99 Abs. 2a):

Die vorgeschlagene Änderung dient der Anpassung der für die erkennungsdienstliche Behandlung geltenden Voraussetzungen an die Vorgaben der DSGVO. Da eine erkennungsdienstliche Behandlung auch die Abnahme von Papillarlinienabdrücken der Finger und damit die Verarbeitung einer besonderen Kategorie personenbezogener Daten umfassen kann, sind gemäß Art. 9 Abs. 2 lit. g DSGVO spezifische grundrechtsschützende Maßnahmen zu Gunsten des Betroffenen vorzusehen. Es wird daher vorgeschlagen, die Vornahme der erkennungsdienstlichen Behandlung ausschließlich geeigneten und besonders geschulten Bediensteten der Landespolizeidirektionen und der Vertretungsbehörden vorzubehalten. Handelt es sich bei diesen Bediensteten um Beamte oder Vertragsbedienstete, ergibt sich die Verschwiegenheitspflicht jeweils unmittelbar aus § 46 des Beamten-Dienstrechtsgesetzes 1979 (BDG), BGBl. Nr. 333/1979, oder §§ 5 oder 79 des Vertragsbedienstetengesetzes 1948 (VBG), BGBl. Nr. 86/1948. Die Durchführung einer erkennungsdienstlichen Behandlung durch Bedienstete, für die weder die Vorschriften des BDG noch jene des VBG zur Anwendung kommen, darf nur erfolgen, sofern auch diese in Bezug auf die Durchführung erkennungsdienstlicher Behandlungen etwa im Rahmen der Unterzeichnung einer Verschwiegenheitserklärung zur Verschwiegenheit verpflichtet sind. Weiters wird die Durchführung einer erkennungsdienstlichen Behandlung – nach dem bewährten Vorbild des § 13 – durch Verweis auf die Achtung der Menschenwürde und möglichste Schonung der Person ausdrücklich dem Verhältnismäßigkeitsgrundsatz unterstellt.

Zu Z 11 (§ 99 Abs. 5):

Betreffend die erkennungsdienstliche Behandlung von Fremden hat in Umsetzung der DSGVO eine Anpassung der Verweise auf das SPG zu erfolgen.

Zu Z 12 und 13 (§ 100 Abs. 1 und 4):

Die Informationspflichten bei Erhebung von personenbezogenen Daten ergeben sich künftig unmittelbar aus Art. 13 f. DSGVO, die bisherigen Bestimmungen zur Information über die Ermittlung erkennungsdienstlicher Daten in Abs. 1 und 4 haben daher zu entfallen. Darüber hinaus kann die Normierung der Pflicht des Fremden zur Mitwirkung an einer erkennungsdienstlichen Behandlung im letzten Satz entfallen, weil sich diese bereits aus dem in § 99 Abs. 5 verwiesenen § 65 Abs. 4 SPG ergibt.

Zu Z 14 (§ 102):

§ 102 kann entfallen, da die Übermittlung personenbezogener Daten aus dem Zentralen Fremdenregister an die darin genannten Empfänger bereits von den Z 1, 2, 8, 10, 11, 12 und 13 des § 29 Abs. 1 BFA‑VG, der sich als Übermittlungsermächtigung an alle gemeinsam Verantwortlichen des Fremdenregisters und damit auch an die Landespolizeidirektionen richtet, abgedeckt ist.

Zu Z 15 bis 20 (§ 104 samt Überschrift):

Die vorgeschlagene Änderung der Überschrift dient der terminologischen Anpassung an die DSGVO.

Zu Abs. 1

Die vorgeschlagene Änderung dient der terminologischen Anpassung an die DSGVO. Diese erfasst den Fall, dass mehrere Verantwortliche gemeinsam die Zwecke und die Mittel einer Datenverarbeitung festlegen, durch den Begriff des gemeinsam Verantwortlichen in Art. 26 Abs. 1. § 104 Abs. 1 ist daher entsprechend anzupassen. Eine materielle Änderung gegenüber der bisherigen Rechtslage, insbesondere eine Einschränkung des Grundsatzes, dass jedem Verantwortlichen der Zugriff auf den Gesamtbestand der in der Zentralen Verfahrensdatei verarbeiteten Daten – unabhängig davon, welcher Verantwortliche sie im Einzelfall zur Verfügung gestellt hat – offensteht (vgl. die Definition des Informationsverbundsystems in § 4 Z 13 DSG 2000), ist damit nicht verbunden.

Zu Abs. 2:

Gemäß Art. 26 Abs. 1 Satz 2 DSGVO haben mehrere gemeinsam Verantwortliche in einer Vereinbarung festzulegen, wer von ihnen gegenüber der betroffenen Person welche Verpflichtungen nach der DSGVO – z.B. Berichtigungs- und Löschungspflichten – wahrzunehmen hat, es sei denn, eine entsprechende Zuständigkeitsverteilung bzw. Pflichtenzuordnung ist bereits in einer gesetzlichen Vorschrift des Unions- oder des nationalen Rechts vorgesehen. In diesem Sinne teilt der vorgeschlagene (neue) Abs. 2 die Zuständigkeit zwischen den gemeinsam Verantwortlichen der Zentralen Verfahrensdatei dahingehend auf, dass Auskunfts-, Informations-, Berichtigungs-, Löschungs- und sonstige Pflichten nach der DSGVO von jedem Verantwortlichen nur in Bezug auf jene personenbezogenen Daten zu erfüllen sind, die im Zusammenhang mit den von ihm selbst geführten Verwaltungsverfahren (z.B. Strafverfahren nach dem 2. Abschnitt des 15. Hauptstückes etc.) oder den von ihm gesetzten (verfahrensfreien) Maßnahmen (z.B. Zurückweisungen und Zurückschiebungen) verarbeitet werden. Dies erscheint zweckmäßig, weil der in diesem Sinne (ausschließlich) zuständige Verantwortliche am ehesten in der Lage ist, zu beurteilen, ob dem Betroffenen bezüglich der in Rede stehenden Daten tatsächlich ein Auskunfts-, Berichtigungs- oder sonstiger Anspruch nach der DSGVO zukommt.

Zu Abs. 3:

Gemäß Art. 28 Abs. 1 DSGVO kann sich der Verantwortliche eines Dritten bedienen, der personenbezogene Daten in seinem Auftrag verarbeitet (Auftragsverarbeiter, Art. 4 Z 8 DSGVO). Der Auftragsverarbeiter im Sinne der DSGVO entspricht im Wesentlichen dem Dienstleister gemäß § 4 Z 5 DSG 2000 und – soweit es sich bei der Datenanwendung um ein Informationsverbundsystem handelt – dem Betreiber gemäß § 50 Abs. 1 DSG 2000. Diese Funktionen übte in Bezug auf die Zentrale Verfahrensdatei bisher der Bundesminister für Inneres aus, weshalb es im Sinne größtmöglicher Kontinuität angezeigt ist, ihm künftig die Funktion des Auftragsverarbeiters zu übertragen.

Zu Abs. 4:

Abs. 4 entspricht dem Abs. 2 der geltenden Rechtslage.

Zu Abs. 5:

Die vorgeschlagene Änderung regelt die Berechtigung zur Datenabfrage aus der Zentralen Verfahrensdatei neu und orientiert sich dabei an dem für das Zentrale Fremdenregister geltenden § 27 Abs. 2 BFA‑VG. Die bislang im ersten Satz enthaltene Einschränkung („soweit dies … erforderlich ist“) führt – bei wörtlicher Auslegung – dazu, dass z.B. für die Erfüllung einer Amtshilfepflicht (Art. 22 B‑VG) oder zum Zwecke der Erteilung einer sonstigen Auskunft an einen externen Empfänger, wie sie in manchen Rechtsvorschriften (z.B. in § 158 der Bundesabgabenordnung – BAO, BGBl. Nr. 194/1961) vorgesehen ist, keine Abfrage aus der Zentralen Verfahrensdatei zulässig wäre. Es wird daher vorgeschlagen, diese Beschränkung ersatzlos entfallen zu lassen, zumal die Abfrage einen Verarbeitungsvorgang im Sinne des Art. 4 Z 2 DSGVO darstellt und als solcher bereits gemäß § 98 Abs. 1 einer strengen Zweckbindung unterliegt.

Umgekehrt wird – im Hinblick auf die aus der Sicht des Betroffenen vergleichbare Sach- und Interessenlage – vorgeschlagen, den letzten Satz des § 27 Abs. 2 BFA‑VG zu übernehmen und die Beauskunftung von Papillarlinienabdrücken aus der Zentralen Verfahrensdatei einer entsprechenden Beschränkung zu unterwerfen. Eine derartige Auskunftsbeschränkung ist auch nach der DSGVO geboten, weil Papillarlinienabdrücke der Finger eine besondere Kategorie personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO (biometrische Daten) darstellen und daher gemäß Abs. 2 lit. g leg. cit. „spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person“ gesetzlich vorzusehen sind. Die Beschränkung auf Fälle der unbedingten Erforderlichkeit für die Erfüllung einer behördlichen Aufgabe stellt sicher, dass die Beauskunftung von Papillarlinienabdrücken der Finger nur als „ultima ratio“ in Betracht kommt – d.h. nur dann stattfindet, wenn eine Erfüllung der behördlichen Aufgabe andernfalls nicht möglich wäre – und überdies einem strengeren Rechtfertigungszwang unterliegt als die Übermittlung sonstiger im Zentralen Fremdenregister verarbeiteter Daten. Dadurch wird dem besonderen Charakter dieser Daten in angemessener Weise Rechnung getragen, ohne die im Einzelfall überwiegenden Verarbeitungsinteressen anderer Behörden zu beeinträchtigen.

Nicht erforderlich ist hingegen eine Übernahme des § 27 Abs. 2 Satz 2 BFA‑VG. Die dort genannten „Daten zur Gültigkeit von Einreise- und Aufenthaltstiteln“, die zum Zweck des Abgleichs mit den Daten des Zentralen Melderegisters (§ 32 Abs. 2) ausnahmsweise als Abfragekriterien herangezogen werden dürfen, werden nämlich ohnehin bereits im Zentralen Fremdenregister gespeichert (§ 27 Abs. 1 Z 11). Es ist daher nicht erforderlich, auch die in der Zentralen Verfahrensdatei der Landespolizeidirektionen verarbeiteten Daten zum Gegenstand des Abgleichs gemäß § 32 Abs. 2 BFA‑VG zu machen.

Darüber hinaus wird ein redaktionelles Versehen bereinigt.

Zu Abs. 6:

Die vorgeschlagene Änderung des bisherigen Abs. 4 hat lediglich klarstellende Funktion. Der vorgeschlagene letzte Satz trägt dem Verarbeitungsbegriff des Art. 4 Z 2 DSGVO Rechnung. Da der Begriff der „Verarbeitung“ bzw. des „Verarbeitens“ nach dieser Bestimmung – anders als nach § 4 Z 9 DSG 2000 – die Datenübermittlung umfasst, kann sich der im ersten Satz verwiesene § 98 Abs. 2 Satz 3 nunmehr auch auf den Fall beziehen, dass in der Verfahrensdatei verarbeitete personenbezogene Daten zu löschen sind, die nicht nur den Landespolizeidirektionen, sondern auch einem dritten Empfänger, dem sie übermittelt wurden, zur Verfügung stehen. Löschungspflichten und Löschungsfristen richten sich allerdings nur für die Verantwortlichen der Zentralen Verfahrensdatei, also für die Landespolizeidirektionen nach (dem im ersten Satz verwiesenen) § 98 Abs. 2, für einen dritten Empfänger hingegen nach den für diesen geltenden Bestimmungen (etwa nach § 25 Abs. 5 letzter Satz des Arbeitsmarktservicegesetzes – AMSG, BGBl. Nr. 313/1994). Der vorgeschlagene letzte Satz soll klarstellen, dass dies auch dann gilt, wenn ein externer Empfänger die von ihm (weiter‑)verarbeiteten Daten ursprünglich aus der Zentralen Verfahrensdatei übermittelt bekommen hat.

Zu Abs. 7:

Die DSGVO enthält keine Bestimmung über Protokollierungsvorschriften, innerstaatliche Regelungen sind daher zulässig. Da die Protokollierungsvorschriften des § 14 DSG 2000 entfallen, sind in jedem Materiengesetz gesonderte Protokollierungsvorschriften vorzusehen um ein gleichbleibendes Datenschutzniveau zu gewährleisten. Dies erfolgt im FPG durch den vorgeschlagenen § 104 Abs. 7.

Zu Z 21 (§ 105 Abs. 1):

Die vorgeschlagene Änderung dient lediglich der sprachlichen Vereinfachung und bewirkt keine materielle Änderung der Rechtslage.

Zu Z 22 und 23 (§ 108 Abs. 1 und 3):

Die vorgeschlagenen Änderungen in Abs. 1 dienen lediglich der terminologischen Angleichung an die Parallelvorschrift des § 33 Abs. 1 BFA‑VG, ohne eine materielle Änderung der Rechtslage zu bewirken. Bei der Änderung des Abs. 3 handelt es sich um die – zur Vermeidung von Missverständnissen im Hinblick auf § 57 Abs. 3 SPG erforderliche – Bereinigung eines legistischen Versehens.

Zu Z 24 (§ 108 Abs. 4):

Abs. 4 kann entfallen, da die Datenübermittlung an die für den Fremden zuständige ausländische Behörde (§ 46 Abs. 2 bis 2b) zum Zweck der Beschaffung eines Ersatzreisedokumentes oder einer vergleichbaren, für die Abschiebung bzw. die Einreise in den Herkunfts- oder sonstigen Zielstaat erforderlichen Bewilligung bereits in § 33 Abs. 3 und 4 BFA‑VG geregelt ist.

Zu Z 25 (§ 126 Abs. 21):

Diese Bestimmung regelt das Inkrafttreten.

Zu Artikel 12 (Änderung des Niederlassungs- und Aufenthaltsgesetzes)

Zu Z 1 bis 3 (Inhaltsverzeichnis):

Die Änderungen stellen eine notwendige Adaptierung des Inhaltsverzeichnisses dar.

Zu Z 4 (§ 2 Abs. 1 Z 21):

Zur besseren Verständlichkeit wird die DSGVO definiert.

Zu Z 5 bis 7 (Überschrift des 7. Hauptstückes des ersten Teiles, § 34 Abs. 1 und 2):

Die vorgeschlagenen Änderungen dienen zunächst der terminologischen Anpassung an die DSGVO. Der Begriff der „Verarbeitung“ personenbezogener Daten gemäß Art. 4 Z 2 DSGVO beinhaltet auch die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung und entspricht damit dem bisher in § 4 Z 8 DSG 2000 definierten Begriff des „Verwendens“ bzw. der „Verwendung“ personenbezogener Daten. Da das Wort „Dritter“ in Art. 4 Z 10 DSGVO mit einer anderen Bedeutung als hier verwendet definiert ist, wird vorgeschlagen, nunmehr von „dritten Personen“ zu sprechen. Eine inhaltliche Änderung ist damit nicht verbunden.

Die Verwaltungsgerichte der Länder sind ebenfalls berechtigt, als gemeinsam Verantwortliche personenbezogene Daten im Rahmen der Zentralen Verfahrensdatei (§ 36) zu verarbeiten und wird daher vorgeschlagen, diese ebenfalls in die allgemeine Bestimmung des § 34 aufzunehmen und sie damit im Rahmen der Verarbeitung personenbezogener Daten nach diesem Bundesgesetz unter anderem auch der Zweckbindung des Abs. 1 zu unterstellen. Durch den vorgeschlagenen Verweis auf § 23 Abs. 3 bis 5 BFA-VG in Abs. 1 wird ferner auch für die nach dem Niederlassungs- und Aufenthaltsgesetz verarbeiteten Daten das Widerspruchsrecht sowie das Auskunftsrecht des Betroffenen (Art. 21 und 15 DSGVO) eingeschränkt.

Gemäß Art. 21 Abs. 1 DSGVO haben Betroffene das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der sie betreffenden personenbezogenen Daten Widerspruch zu erheben. Dieses Widerspruchsrecht kann jedoch gemäß Art. 23 DSGVO zur Sicherstellung eines in Abs. 1 lit. a bis j leg. cit. genannten Zweckes durch nationale Bestimmungen beschränkt werden, sofern eine solche Beschränkung notwendig und verhältnismäßig ist. Von der Möglichkeit einer solchen Beschränkung wird durch den vorgeschlagenen Verweis auf § 23 Abs. 3 BFA-VG Gebrauch gemacht. Für einen geordneten Vollzug des Fremdenwesens ist die Verarbeitung personenbezogener Daten von Fremden in dem gesetzlich vorgesehenen Maße unerlässlich und liegt in diesem Sinne immer ein überwiegendes schutzwürdiges, öffentliches Interesse an der Datenverarbeitung vor. Es ist daher erforderlich und sachgerecht, den generellen Ausschluss des Widerspruchsrechts nach Art. 21 DSGVO auch für die nach dem Niederlassungs- und Aufenthaltsgesetz verarbeiteten personenbezogenen Daten vorzusehen. Eine Einzelfallabwägung, wie sie in Art. 21 Abs. 1 DSGVO vorgesehen ist, hätte überdies zur Folge, dass im Falle eines Widerspruchs durch den Betroffenen eine weitere Datenverarbeitung mit Ausnahme der Speicherung der Daten bis zum Nachweis zwingender schutzwürdiger Gründe für die Verarbeitung nicht mehr erfolgen dürfte, sofern der Betroffene die Einschränkung der Verarbeitung verlangt (Art. 18 Abs. 1 lit. d DSGVO). Zur Aufrechterhaltung der öffentlichen Ordnung und Sicherheit als allgemeines öffentliches Interesse und zur Sicherstellung der mit der Verarbeitung personenbezogener Daten nach diesem Bundesgesetz verbundenen Kontroll-, Überwachungs- und Ordnungsfunktionen ist die gesetzlich vorgesehene Verarbeitung der betreffenden Daten zur Erfüllung der den Behörden übertragenen Aufgaben jedoch – bis zu deren gesetzlich vorgesehener Löschung – zu jedem Zeitpunkt erforderlich. Weiters wäre im Falle eines Widerspruchs nach Art. 21 DSGVO und der – wenn auch nur vorübergehenden – Unzulässigkeit einer Weiterverarbeitung nicht mehr gewährleistet, dass die Behörden oder die Verwaltungsgerichte sämtliche Daten und Informationen, die sie für eine rechtsrichtige Entscheidung benötigen, tatsächlich heranziehen kann und könnte dies in einer nicht zu unterschätzenden Verfahrensverzögerung resultieren. Der generelle Ausschluss des Widerspruchsrechts ist daher unerlässlich. Für einen geordneten Vollzug des Fremdenwesens und zur Vermeidung von Missbrauch ist es außerdem erforderlich, die gesamte fremdenrechtliche Historie einer Person zu kennen. So kann beispielsweise die Beantragung eines Aufenthaltstitels zum Zweck der Familienzusammenführung im Inland nach Ablehnung der Verlängerung einer Aufenthaltsbewilligung für Studierende ein Hinweis auf möglichen Missbrauch sein. Die Nachvollziehbarkeit der fremdenrechtlichen Historie ist ferner bspw. beim Erwerb eines dauerhaften Aufenthaltsrechts oder bei Ansuchen um Verleihung der österreichischen Staatsbürgerschaft auch im Interesse des Betroffenen gelegen.

Zur Einschränkung des Auskunftsrechtsrechts wird auf die Erläuterungen zu § 23 Abs. 4 und 5 BFA‑VG verwiesen.

Zu Z 8 (§ 34 Abs. 3):

Zum Zweck der verbesserten Übersichtlichkeit wird die Löschungsvorschrift inhaltlich unverändert aus dem Abs. 2 herausgelöst und in einem neuen Abs. 3 geregelt.

Zu Z 9 bis 11 (Überschrift zu § 35, § 35 Abs. 1a und 2):

Die vorgeschlagene Änderung der Überschrift dient der terminologischen Anpassung an die DSGVO.

Die vorgeschlagene Aufnahme des neuen Abs. 1a dient der Anpassung der für die erkennungsdienstliche Behandlung geltenden Voraussetzungen an die Vorgaben der DSGVO. Da eine erkennungsdienstliche Behandlung auch die Abnahme von Papillarlinienabdrücken der Finger und damit die Verarbeitung einer besonderen Kategorie personenbezogener Daten umfassen kann, sind gemäß Art. 9 Abs. 2 lit. g DSGVO spezifische grundrechtsschützende Maßnahmen zu Gunsten des Betroffenen vorzusehen. Es wird daher vorgeschlagen, die Vornahme der erkennungsdienstlichen Behandlung ausschließlich geeigneten und besonders geschulten Bediensteten der Niederlassungs- und Vertretungsbehörden vorzubehalten. Handelt es sich bei diesen Bediensteten um Beamte oder Vertragsbedienstete, ergibt sich die Verschwiegenheitspflicht jeweils unmittelbar aus § 46 des Beamten-Dienstrechtsgesetzes 1979 (BDG), BGBl. Nr. 333/1979, oder §§ 5 oder 79 des Vertragsbedienstetengesetzes 1948 (VBG), BGBl. Nr. 86/1948. Die Durchführung einer erkennungsdienstlichen Behandlung durch Bedienstete, für die weder die Vorschriften des BDG noch des VBG zur Anwendung kommen, darf nur erfolgen, sofern auch diese in Bezug auf die Durchführung erkennungsdienstlicher Behandlungen etwa im Rahmen der Unterzeichnung einer Verschwiegenheitserklärung zur Verschwiegenheit verpflichtet sind. Weiters wird die Durchführung einer erkennungsdienstlichen Behandlung – nach dem bewährten Vorbild des § 13 FPG – durch Verweis auf die Achtung der Menschenwürde und möglichste Schonung der Person ausdrücklich dem Verhältnismäßigkeitsgrundsatz unterstellt.

Zu Abs. 2:

Betreffend die erkennungsdienstliche Behandlung von Fremden hat in Umsetzung der DSGVO eine Anpassung der Verweise auf das SPG zu erfolgen.

Zu Z 12 (§ 36 samt Überschrift):

Die vorgeschlagene Änderung der Überschrift dient der terminologischen Anpassung an die DSGVO.

Zu Abs. 1:

Die vorgeschlagene Änderung dient der terminologischen Anpassung an die DSGVO. Diese erfasst den Fall, dass mehrere Verantwortliche gemeinsam die Zwecke und die Mittel einer Datenverarbeitung festlegen, durch den Begriff des gemeinsam Verantwortlichen in Art. 26 Abs. 1, was im Wesentlichen dem bisherigen Begriff des „Informationsverbundsystems“ entspricht. § 36 Abs. 1 ist daher entsprechend anzupassen. Eine materielle Änderung gegenüber der bisherigen Rechtslage, insbesondere eine Einschränkung des Grundsatzes, dass jedem Verantwortlichen der Zugriff auf den Gesamtbestand der in der Zentralen Verfahrensdatei verarbeiteten Daten – unabhängig davon, welcher Verantwortliche sie im Einzelfall zur Verfügung gestellt hat – offensteht, ist damit nicht verbunden. So erfolgt auch die Verarbeitung der Verfahrensdaten durch die Verwaltungsgerichte der Länder weiterhin im Rahmen der Justizverwaltung.

Zu Abs. 2, 3 und 4:

Gemäß Art. 26 Abs. 1 Satz 2 DSGVO haben mehrere gemeinsam Verantwortliche in einer Vereinbarung festzulegen, wer von ihnen gegenüber der betroffenen Person welche Verpflichtungen nach der DSGVO – z.B. Berichtigungs- und Löschungspflichten – wahrzunehmen hat, es sei denn, eine entsprechende Zuständigkeitsverteilung bzw. Pflichtenzuordnung ist bereits in einer gesetzlichen Vorschrift des Unions- oder des nationalen Rechts vorgesehen. In diesem Sinne regelt der vorgeschlagene Abs. 2, dass die Erfüllung von Auskunfts-, Informations-, Berichtigungs-, Löschungs- und sonstigen Pflichten, welche sich aus der DSGVO ergeben, demjenigen der (gemeinsam) Verantwortlichen obliegt, der diese Daten im Zusammenhang mit von ihm geführten Verfahren verarbeitet hat. Die vorgeschlagene Regelung erscheint zweckmäßig, weil der in diesem Sinne (ausschließlich) zuständige Verantwortliche am ehesten in der Lage ist, zu beurteilen, ob dem Betroffenen bezüglich der in Rede stehenden Daten tatsächlich ein Auskunfts-, Berichtigungs- oder sonstiger Anspruch nach der DSGVO zukommt. Um zu gewährleisten, dass einem Betroffenen die Wahrnehmung seiner Rechte nicht erschwert wird, verweist ein nach dieser Regelung unzuständiger Verantwortliche den Betroffenen an den zuständigen Verantwortlichen.

Abs. 3 legt fest, dass der Bundesminister für Inneres die Funktion des Auftragsverarbeiters iSd Art. 28 Abs. 1 DSGVO ausübt, was auch der bisherigen Rechtslage (BMI als Betreiber und Dienstleister des bisherigen Informationsverbundsystems) entspricht und nur eine Anpassung an die Terminologie der DSGVO bedeutet. Er übernimmt in dieser Funktion die Verpflichtungen, welche sich aus Art. 28 Abs. 3 lit. a bis h DSGVO ergeben. Diese Bestimmungen sehen beispielsweise geeignete technische und organisatorische Maßnahmen zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus vor (Art. 28 Abs. 3 lit. c DSGVO).

Der vorgeschlagene Abs. 4 entspricht dem Abs. 2 der geltenden Rechtslage.

Zu Abs. 5:

Abs. 3 der geltenden Rechtslage findet sich nunmehr im ersten Satz des vorgeschlagenen Abs. 5. Im Vergleich zum bisherigen Abs. 3 entfällt dabei die Einschränkung, dass eine Abfrage aus der Zentralen Verfahrensdatei nur zur Besorgung einer nach dem NAG übertragenen Aufgabe zulässig ist. Einerseits ist die strenge Zweckbindung der Niederlassungsbehörden und der Landesverwaltungsgerichte bei der Verarbeitung – einschließlich der Abfrage (vgl. Art. 4 Z 2 DSGVO) – von personenbezogenen Daten bereits ausdrücklich in § 34 Abs. 1 normiert, sodass eine Wiederholung dieses Grundsatzes in § 36 unterbleiben kann. Andererseits ist Abs. 3 der geltenden Rechtslage zu eng gefasst, weil er seinem Wortlaut nach – anders als § 34 Abs. 1 – Abfragen zum Zweck der Erfüllung anderer als der im NAG geregelten Aufgaben, insbesondere der Amtshilfepflicht gemäß Art. 22 B‑VG und der Unterstützungspflicht gegenüber der Volksanwaltschaft gemäß Art. 148b Abs. 1 B‑VG, ausschließt. Darüber hinaus wird ein Redaktionsversehen bereinigt.

Der vorgeschlagene zweite Satz stellt eine weitere, gemäß Art. 9 Abs. 2 lit. g DSGVO notwendige spezifische Maßnahme zur Wahrung der Grundrechte und Interessen von Betroffenen im Zusammenhang mit der Verarbeitung besonderer Kategorien personenbezogener Daten dar (siehe dazu auch die Erläuterungen zu § 35 Abs. 1a). Nach dem Vorbild des die Datenabfrage aus dem Zentralen Fremdenregister regelnden § 27 Abs. 2 BFA‑VG und des vorgeschlagenen § 28 Abs. 4 leg. cit. sollen daher in der Zentralen Verfahrensdatei verarbeitete Papillarlinienabdrücke, welche zu einer besonderen Kategorie personenbezogener Daten gehören, nicht bei jeglicher Abfrage beauskunftet werden, sondern nur dann, wenn die Erfüllung einer behördlichen Aufgabe andernfalls nicht möglich wäre. Dadurch wird dem besonderen Charakter dieser Daten in angemessener Weise Rechnung getragen, ohne die im Einzelfall überwiegenden Verarbeitungsinteressen anderer Behörden zu beeinträchtigen. Im Übrigen wird auf die Erläuterungen zu § 28 Abs. 4 BFA‑VG verwiesen.

Zu Abs. 6:

Es wird ein redaktionelles Versehen bereinigt.

Außerdem wird der Verweis auf § 34 Abs. 2 (nunmehr § 34 Abs. 3), der sich auf die dort genannte Löschungspflicht bezieht, präzisiert. Der angefügte Satz verdeutlicht lediglich die geltende Rechtslage, wonach sich § 36 Abs. 6 auf die Löschung von Daten aus der Zentralen Verfahrensdatei bezieht, für externe Empfänger, denen Daten aus der Zentralen Verfahrensdatei übermittelt werden, gelten die entsprechenden Löschungsvorschriften der jeweiligen Bundes- oder Landesgesetze.

Zu Abs. 7:

Der vorgeschlagene Abs. 7 entspricht dem Abs. 5 der geltenden Rechtslage.

Zu Abs. 8:

Die DSGVO enthält keine Bestimmung über Protokollierungsvorschriften, innerstaatliche Regelungen sind daher zulässig. Da die Protokollierungsvorschriften des § 14 DSG 2000 entfallen, sind in jedem Materiengesetz gesonderte Protokollierungsvorschriften vorzusehen um ein gleichbleibendes Datenschutzniveau zu gewährleisten. Dies erfolgt im NAG durch den vorgeschlagenen Abs. 8, welcher für Protokolldaten eine angemessene Aufbewahrungsdauer von zwei Jahren festlegt.

Zu Z 13 (§ 37 Abs. 1):

Bei der vorgeschlagenen Änderung handelt es sich lediglich um eine terminologische Anpassung an die DSGVO.

Zu Z 14 (§ 38 Abs. 1):

Es handelt sich um eine terminologische Anpassung an vergleichbare Bestimmungen in § 33 BFA‑VG und § 108 FPG.

Zu Z 15 (§ 38 Abs. 2):

Es handelt sich um die – zur Vermeidung von Missverständnissen im Hinblick auf § 57 SPG erforderliche – Bereinigung eines redaktionellen Versehens.

Zu Z 16 (§ 38 Abs. 3):

Da der Begriff der Verarbeitung das Empfangen von Daten einschließt, kann diese Wendung entfallen.

Zu Z 17 und 18 (§ 39 samt Überschrift):

Bei der Änderung der Überschrift handelt es sich um eine terminologische Anpassung an die DSGVO. Die Änderung im Text stellt die Beseitigung eines redaktionellen Versehens dar.

Zu Z 19 (§ 40 Abs. 3):

§ 40 Abs. 3 hat in der Praxis keine Auswirkungen entfaltet und kann daher ersatzlos entfallen.

Zu Z 20 (§ 82 Abs. 26):

Diese Bestimmung regelt das Inkrafttreten.

Zu Artikel 13 (Änderung des Grundversorgungsgesetzes-Bund 2005)

Zu Z 1 (§ 1 Z 8):

Zur besseren Verständlichkeit wird die DSGVO definiert.

Zu Z 2 (§ 8 samt Überschrift):

Zu Abs. 1:

Die vorgeschlagene Änderung dient der terminologischen Anpassung an die DSGVO. Diese erfasst den Fall, dass mehrere Verantwortliche gemeinsam die Zwecke und die Mittel einer Datenverarbeitung festlegen, durch den Begriff des gemeinsam Verantwortlichen in Art. 26 Abs. 1. Als gemeinsam Verantwortliche iSd DSGVO sind hinsichtlich des Betreuungsinformationssystems nunmehr das Bundesamt und die mit der Versorgung von Fremden gemäß Art. 2 Abs. 1 der Grundversorgungsvereinbarung betrauten Dienststellen der Länder – welche nach dem bisherigen Wortlaut des Abs. 1 unter dem Begriff der Behörden zusammengefasst wurden – und der Bundesminister für Inneres vorgesehen. Eine materielle Änderung gegenüber der bisherigen Rechtslage, insbesondere eine Einschränkung des Grundsatzes, dass jedem Verantwortlichen der Zugriff auf den Gesamtbestand der im Betreuungsinformationssystem verarbeiteten Daten – unabhängig davon, welcher Verantwortliche sie im Einzelfall zur Verfügung gestellt hat – offensteht, ist damit nicht verbunden.

Durch den vorgeschlagenen Verweis auf § 23 Abs. 3 bis 5 BFA‑VG im letzten Satz werden außerdem auch für die nach diesem Bundesgesetz verarbeiteten Daten das Widerspruchsrecht sowie das Auskunftsrecht des Betroffenen (Art. 21 und 15 DSGVO) eingeschränkt.

Eine Einzelfallabwägung, wie sie in Art. 21 Abs. 1 DSGVO vorgesehen ist, hätte überdies zur Folge, dass im Falle eines Widerspruchs durch den Betroffenen eine weitere Datenverarbeitung mit Ausnahme der Speicherung der Daten bis zum Nachweis zwingender schutzwürdiger Gründe für die Verarbeitung nicht mehr erfolgen dürfte, sofern der Betroffene die Einschränkung der Verarbeitung verlangt (Art. 18 Abs. 1 lit. d DSGVO). Die lückenlose Verarbeitung von betreuungsrelevanten Daten – beispielsweise über das allfällige Vorliegen eines Sonderbetreuungsbedarfs (medizinische-, psychologische- Besonderheiten, oä) oder über die Gewährung von Leistungen aus der Grundversorgung – ist zur Sicherstellung der öffentlichen Gesundheit und Seuchenprävention sowie zur Wahrung der wirtschaftlichen und finanziellen Interessen Österreichs zu jedem Zeitpunkt erforderlich und damit stets im überwiegenden öffentlichen Interesse gelegen. Eine lückenlose Verarbeitung der Daten dient überdies auch dem Eigeninteresse der Betroffenen. So kann eine Gewährung von Leistungen gemäß Art. 6 der Grundversorgungsvereinbarung, BGBl. I Nr. 80/2004, oder eine Zuweisung von hilfs- und schutzbedürftigen Fremden an die jeweiligen Grundversorgungsstellen der Länder, welche auch die Möglichkeit allfälliger Familienzusammenführungen berücksichtigt, nur dann erfolgen, wenn jederzeit auf die erforderlichen Daten zugegriffen werden kann. Der generelle Ausschluss des Widerspruchsrechts ist daher unerlässlich.

Zur Einschränkung des Auskunftsrechts wird auf die Erläuterungen zu § 23 Abs. 4 und 5 BFA‑VG verwiesen.

Zu Abs. 2 und 3:

Die vorgeschlagenen Abs. 2 und 3 entsprechen den bisherigen Abs. 1a und 2, wobei geringfügige Abweichungen des Wortlauts gegenüber der geltenden Fassung lediglich der sprachlichen Straffung dienen und keine materielle Änderung der Rechtslage bewirken.

Zu Abs. 4:

Gemäß § 26 Abs. 1 Satz 2 DSGVO haben mehrere gemeinsam Verantwortliche in einer Vereinbarung festzulegen, wer von ihnen gegenüber der betroffenen Person welche Verpflichtungen nach der DSGVO – z.B. Berichtigungs- und Löschungspflichten – wahrzunehmen hat, es sei denn, eine entsprechende Zuständigkeitsverteilung bzw. Pflichtenzuordnung ist bereits in einer gesetzlichen Vorschrift des Unions- oder des nationalen Rechts vorgesehen. Der vorgeschlagene Abs. 4 teilt die Zuständigkeit zwischen den gemeinsam Verantwortlichen dahingehend auf, dass Auskunfts-, Informations-, Berichtigungs-, Löschungs- und sonstige Pflichten nach der DSGVO von jedem Verantwortlichen nur in Bezug auf jene personenbezogenen Daten zu erfüllen sind, die im Zusammenhang mit den von ihm selbst geführten Verfahren oder den von ihm gesetzten (verfahrensfreien) Maßnahmen verarbeitet werden. Dies erscheint zweckmäßig, weil der in diesem Sinne (ausschließlich) zuständige Verantwortliche am ehesten in der Lage ist, zu beurteilen, ob dem Betroffenen bezüglich der in Rede stehenden Daten tatsächlich ein Auskunfts-, Berichtigungs- oder sonstiger Anspruch nach der DSGVO zukommt. Nimmt ein Betroffener unter Nachweis seiner Identität ein Recht nach der DSGVO gegenüber einem unzuständigen Verantwortlichen wahr, ist er gemäß dem letzten Satz des neuen Abs. 4 an den zuständigen Verantwortlichen zu verweisen.

Zu Abs. 5:

Gemäß Art. 28 Abs. 1 DSGVO kann sich der Verantwortliche eines Dritten bedienen, der personenbezogene Daten in seinem Auftrag verarbeitet (Auftragsverarbeiter, Art. 4 Z 8 DSGVO). Der Auftragsverarbeiter im Sinne der DSGVO entspricht im Wesentlichen dem Dienstleister gemäß § 4 Z 5 DSG 2000 und – soweit es sich bei der Datenanwendung um ein Informationsverbundsystem handelt – dem Betreiber gemäß § 50 Abs. 1 DSG 2000. Diese Funktionen übte in Bezug auf das Betreuungsinformationssystem bisher der Bundesminister für Inneres aus, weshalb es im Sinne größtmöglicher Kontinuität angezeigt ist, ihm künftig die Funktion des Auftragsverarbeiters zu übertragen.

Zu Abs. 6:

Der vorgeschlagene Abs. 6 entspricht inhaltlich dem Abs. 3 der geltenden Rechtslage. Dabei kann der erste Satz des geltenden Abs. 3 entfallen, weil sich die Pflicht der Verantwortlichen, Datensicherheitsmaßnahmen zu ergreifen, künftig unmittelbar aus Art. 32 DSGVO ergibt, auf den zudem im letzten Satz in einem Klammerausdruck verwiesen wird.

Zu Abs. 7:

Der vorgeschlagene Abs. 7 fasst den bisherigen Abs. 3 dahingehend neu, dass von den Ländern entsprechend Art. 4 Abs. 2 der Grundversorgungsvereinbarung beauftragte humanitäre, kirchliche oder private Einrichtungen bzw. Institutionen der freien Wohlfahrtspflege ausdrücklich als Übermittlungsempfänger definiert werden, bezüglich des Hochkommissärs der Vereinten Nationen für Flüchtlinge klargestellt wird, dass ausschließlich dessen Büro in Österreich als Übermittlungsempfänger in Betracht kommt, und das Bundesverwaltungsgericht – im Hinblick auf seine Zuständigkeit als Rechtsmittelinstanz gemäß §§ 7 Abs. 1 Z 1 iVm 3 Abs. 2 Z 2 BFA‑VG – als neuer Übermittlungsempfänger hinzukommt. Andererseits sollen die Grundversorgungsbehörden der Länder als Übermittlungsempfänger entfallen, weil diese als gemeinsam Verantwortliche des Betreuungsinformationssystems ohnehin Zugriff auf die darin verarbeiteten Daten haben.

Zu Abs. 8:

Abs. 8 entspricht dem Abs. 5 der geltenden Rechtslage mit der Maßgabe, dass sich die Informationspflicht des Hauptverbandes bzw. des jeweils zuständigen Sozialversicherungsträgers nunmehr allgemein auf Fremde, die von einem Land entsprechend der Grundversorgungsvereinbarung betreut werden, erstreckt.

Zu Abs. 9:

In Umsetzung der DSGVO wird in Abs. 9 eine strenge Zweckbindung für Abfragen aus dem Betreuungsinformationssystem festgelegt. Die Formulierung orientiert sich dabei an den für das Zentrale Fremdenregister und die Zentrale Verfahrensdatei geltenden Bestimmungen der §§ 27 Abs. 2 und 28 Abs. 4 BFA‑VG. Dabei ist es allerdings nicht erforderlich, Papillarlinienabdrücke als zulässige Abfragekriterien zu definieren, weil diese im Betreuungsinformationssystem nicht verarbeitet werden.

Zu Abs. 10 bis 13:

Abs. 10 bis 13 entsprechen den bisherigen Abs. 6 bis 9.

Zu Abs. 14:

Die DSGVO enthält keine Bestimmung über Protokollierungsvorschriften, innerstaatliche Regelungen sind daher zulässig. Da die Protokollierungsvorschriften des § 14 DSG 2000 entfallen, sind in jedem Materiengesetz gesonderte Protokollierungsvorschriften vorzusehen, um ein gleichbleibendes Datenschutzniveau zu gewährleisten. Dies erfolgt im GVG-B 2005 durch den vorgeschlagenen Abs. 14, welcher für Protokolldaten eine angemessene Aufbewahrungsdauer von zwei Jahren festlegt.

Zu Z 3 (§ 16 Abs. 22):

Diese Bestimmung regelt das Inkrafttreten.

Zu Artikel 14 (Änderung des Grenzkontrollgesetzes)

Zu Z 1 (Inhaltsverzeichnis):

Die Änderung stellt eine notwendige Adaptierung des Inhaltsverzeichnisses dar.

Zu Z 2 (§ 12 Abs. 2):

Durch den Einsatz der in Abs. 2 Z 2 genannten elektronischen Abfertigungsgeräte (e-Gates) kommt es unter anderem zur Verarbeitung von erkennungsdienstlichen Daten. Erkennungsdienstliche Daten iSd § 2 Abs. 5 Z 4 FPG umfassen mit den Papillarlinienabdrücken der Finger und biometrischen Lichtbildern auch Daten, welche gemäß Art. 9 Abs. 1 der Verordnung (EU) Nr. 679/2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz‑Grundverordnung), ABl. L 119 vom 04.05.2016 S. 1 (DSGVO) als besondere Kategorie personenbezogener Daten gelten. Die in Art. 9 Abs. 1 DSGVO näher bezeichneten besonderen Kategorien personenbezogener Daten entsprechen im Wesentlichen der Kategorie der sensiblen Daten gemäß § 4 Z 2 Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999. Die DSGVO normiert für die Verarbeitung solcher Daten ein grundsätzliches Verbot mit Erlaubnisvorbehalt. Im gegebenen Zusammenhang ist der Tatbestand des Art. 9 Abs. 2 lit. g DSGVO einschlägig, wonach die Datenverarbeitung der Verwirklichung eines wichtigen, im Unions- oder nationalen Recht anerkannten Interesses dienen muss.

Um zu verdeutlichen, dass Abs. 2 auch zur Verarbeitung solcher besonderer Kategorien personenbezogener Daten ermächtigt, wird ausdrücklich auf die erkennungsdienstlichen Daten hingewiesen.

Die in § 12 Abs. 2 vorgesehenen Mittel werden im Rahmen der Grenzkontrolle und damit im Rahmen der Sicherheitsverwahrung eingesetzt. Diese Unterscheidung ist wichtig, da im Rahmen der Sicherheitsverwaltung die DSGVO, im Rahmen der Sicherheitspolizei jedoch die Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI, ABl. L 119 vom 04.05.2016 S. 89 bzw. in deren Umsetzung das Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG), BGBl. I Nr. 120/2017 zur Anwendung kommt. Durch die Konkretisierung auf die „Aufrechterhaltung der öffentlichen Ruhe, Ordnung und Sicherheit“, die den Einsatz der Mittel nach Abs. 2 unmittelbar erforderlich machen können, sollen Fehlinterpretationen hinsichtlich der Anwendbarkeit der jeweiligen Bestimmungen vermieden werden.

Zu Z 3 (§ 12a Abs. 2):

Da in § 12a Befugnisse hinsichtlich Identitätsfeststellung und erkennungsdienstliche Behandlung beinhaltet sind, wird auf die Mitwirkungspflicht, die entsprechenden Definitionen zum Erkennungsdienst sowie auf eine Vorschrift zur physischen Löschung von Daten im Sicherheitspolizeigesetz (SPG) verwiesen. Die genannten Bestimmungen finden sich in einem Teil des SPG, welcher sich auf die Verwendung von Daten im Rahmen der Sicherheitspolizei regelt, es wird daher in § 12a Abs. 2 angeordnet, dass an die Stelle der Sicherheitsbehörden (im Rahmen der Sicherheitspolizei), die nach dem Grenzkontrollgesetz zuständigen Behörden (§ 8 Abs. 1 GrekoG) treten.

Zu Z 4 (§ 12a Abs. 3 Z 1 und 2):

Bei den vorgeschlagenen Änderungen handelt sich um die Bereinigung eines legistischen Versehens und um eine terminologische Anpassung an die DSGVO.

Zu Z 5 (§ 12a Abs. 7):

Die vorgeschlagene Änderung dient der Anpassung der für die erkennungsdienstliche Behandlung geltenden Voraussetzungen an die Vorgaben der DSGVO. Da eine erkennungsdienstliche Behandlung auch die Abnahme von Papillarlinienabdrücken der Finger und damit die Verarbeitung einer besonderen Kategorie personenbezogener Daten umfassen kann, sind gemäß Art. 9 Abs. 2 lit. g DSGVO spezifische grundrechtsschützende Maßnahmen zu Gunsten des Betroffenen vorzusehen. Es wird daher vorgeschlagen, die Vornahme der erkennungsdienstlichen Behandlung, soweit sie insbesondere auch die Abnahme von Papillarlinienabdrücken der Finger umfasst, ausschließlich geeigneten und besonders geschulten Bediensteten der Behörde vorzubehalten. Handelt es sich bei diesen Bediensteten um Beamte oder Vertragsbedienstete, ergibt sich die Verschwiegenheitspflicht jeweils unmittelbar aus § 46 des Beamten-Dienstrechtsgesetzes 1979 (BDG), BGBl. Nr. 333/1979, oder §§ 5 oder 79 des Vertragsbedienstetengesetzes 1948 (VBG), BGBl. Nr. 86/1948. Die Durchführung einer erkennungsdienstlichen Behandlung durch Bedienstete, für die weder die Vorschriften des BDG noch des VBG zur Anwendung kommen, darf nur erfolgen, sofern auch diese in Bezug auf die Durchführung erkennungsdienstlicher Behandlungen etwa im Rahmen der Unterzeichnung einer Verschwiegenheitserklärung zur Verschwiegenheit verpflichtet sind. Weiters wird die Durchführung einer erkennungsdienstlichen Behandlung – nach dem bewährten Vorbild des § 13 FPG – durch Verweis auf die Achtung der Menschenwürde und möglichste Schonung der Person ausdrücklich dem Verhältnismäßigkeitsgrundsatz unterstellt.

Zu Z 6 und Z 7 (Überschrift zu § 15 und § 15 Abs. 1 Z 1):

Die vorgeschlagenen Änderungen dienen der Anpassung an die Terminologie der DSGVO.

Zu Z 8 (§ 15 Abs. 1 Z 2):

Hierbei handelt es sich um die Bereinigung eines redaktionellen Versehens.

Zu Z 9 (§ 15 Abs. 1):

Durch den vorgeschlagenen Verweis auf § 23 Abs. 3 bis 5 BFA-VG wird auch für die nach dem Grenzkontrollgesetz verarbeiteten Daten das Widerspruchsrecht und das Auskunftsrecht der Betroffenen (Art. 21 und Art. 15 DSGVO) eingeschränkt.

Gemäß Art. 21 Abs. 1 DSGVO haben Betroffene grundsätzlich das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der sie betreffenden personenbezogenen Daten Widerspruch zu erheben. Dieses Widerspruchsrecht kann jedoch gemäß Art. 23 DSGVO zur Sicherstellung eines in Abs. 1 lit. a bis j leg. cit. genannten Zweckes durch nationale Bestimmungen beschränkt werden, sofern eine solche Beschränkung notwendig und verhältnismäßig ist. Von der Möglichkeit einer solchen Beschränkung wird durch den vorgeschlagenen Verweis auf § 23 Abs. 3 BFA-VG Gebrauch gemacht. Für einen geordneten Vollzug des Grenzkontrollwesens (Verordnung (EU) 2016/399 in der Fassung VO (EU) 2017/458 und des Grenzkontrollgesetzes) wie auch des Asyl- und Fremdenwesens ist die Verarbeitung personenbezogener Daten von Reisenden bzw. Fremden in dem gesetzlich vorgesehenen Maße unerlässlich. Eine Grenzkontrolle könnte ohne Abgleich der personenbezogenen Daten mit den entsprechenden Datenbanken nicht ordnungsgemäß vollzogen werden und liegt damit an der Verarbeitung personenbezogener Daten nach diesem Bundesgesetz stets ein überwiegendes öffentliches Interesse vor. Eine Einzelfallabwägung, wie sie in Art. 21 Abs. 1 DSGVO vorgesehen ist, hätte überdies zur Folge, dass im Falle eines Widerspruchs durch den Betroffenen eine weitere Datenverarbeitung mit Ausnahme der Speicherung der Daten bis zum Nachweis zwingender schutzwürdiger Gründe für die Verarbeitung nicht mehr erfolgen dürfte, sofern der Betroffene die Einschränkung der Verarbeitung verlangt (Art. 18 Abs. 1 lit. d DSGVO). Zur Aufrechterhaltung der öffentlichen Ordnung und Sicherheit als allgemeines öffentliches Interesse und zur Sicherstellung der mit der Verarbeitung personenbezogener Daten von Fremden bzw. Reisenden verbundenen Kontroll-, Überwachungs- und Ordnungsfunktionen ist die gesetzlich vorgesehene Verarbeitung der betreffenden Daten zur Erfüllung der den Behörden übertragenen Aufgaben jedoch – bis zu deren gesetzlich vorgesehener Löschung – zu jedem Zeitpunkt erforderlich. Es ist daher erforderlich und sachgerecht, einen generellen Ausschluss des Widerspruchsrechts nach Art. 21 DSGVO auch für alle nach dem Grenzkontrollgesetz verarbeiteten personenbezogenen Daten vorzusehen.

Zur Einschränkung des Auskunftsrechtsrechts wird auf die Erläuterungen zu § 23 Abs. 4 und 5 BFA‑VG verwiesen.

Zu Z 10 (§ 18 Abs. 10):

Diese Bestimmung regelt das Inkrafttreten.

Zu Artikel 15 (Änderung des Staatsbürgerschaftsgesetzes 1985)

Zu Z 1 und 7 (§§ 39a Abs. 1 und 56b Abs. 4):

Die vorgeschlagenen Änderungen in § 39a Abs. 1 und § 56b Abs. 4 dienen zunächst der terminologischen Anpassung an die Verordnung (EU) Nr. 679/2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz‑Grundverordnung), ABl. L 119 vom 04.05.2016 S. 1 (DSGVO). Der Begriff der Verarbeitung (bzw. des Verarbeitens) personenbezogener Daten umfasst gemäß Art. 4 Z 2 DSGVO sowohl die Verwendung als auch die Speicherung personenbezogener Daten. Werden personenbezogene Daten Dritten zur Verfügung gestellt – nach bisheriger Rechtslage durch die Begriffe „überlassen“ oder „übergeben“ zum Ausdruck gebracht – soll künftig in einheitlicher Weise der Begriff „übermitteln“ verwendet werden.

Durch den vorgeschlagenen Verweis auf § 23 Abs. 3 bis 5 BFA-VG in § 39a Abs. 1 wird auch für die nach dem Staatsbürgerschaftsgesetz 1985 verarbeiteten Daten das Widerspruchsrecht sowie das Auskunftsrecht des Betroffenen (Art. 21 und Art. 15 DSGVO) eingeschränkt. Im Hinblick auf die zahlreichen Rechte und Pflichten, die an die österreichische Staatsbürgerschaft anknüpfen, insbesondere das Wahlrecht, die Berechtigung zur Teilnahme an Volksbegehren und Volksabstimmungen sowie die Wehrpflicht, liegt es stets im überwiegenden öffentlichen Interesse, dass das Bestehen oder Nichtbestehen der österreichischen Staatsbürgerschaft zu jeder Zeit richtig und zweifelsfrei, also unter Berücksichtigung der vollständigen dafür maßgeblichen Datenlage beauskunftet werden kann. Eine solche Beauskunftung, deren Stellenwert auch durch die umfassenden Mitteilungs- und Informationspflichten gemäß §§ 55, 56 und 56c Abs. 2 zum Ausdruck kommt, setzt die Lückenlosigkeit und Vollständigkeit der nach diesem Bundesgesetz verarbeiteten personenbezogenen Daten voraus und steht daher einem einzelfallbezogenen Widerspruchsrecht des Betroffenen entgegen.

Zur Einschränkung des Auskunftsrechtsrechts wird auf die Erläuterungen zu § 23 Abs. 4 und 5 BFA‑VG verwiesen.

Zu Z 2 (§ 39a Abs. 2):

Die vorgeschlagene Änderung dient der Anpassung der für die erkennungsdienstliche Behandlung geltenden Voraussetzungen an die Vorgaben der DSGVO. Da eine erkennungsdienstliche Behandlung auch die Abnahme von Papillarlinienabdrücken der Finger und damit die Verarbeitung einer besonderen Kategorie personenbezogener Daten iSd DSGVO umfassen kann, sind gemäß Art. 9 Abs. 2 lit. g DSGVO spezifische grundrechtsschützende Maßnahmen zu Gunsten des Betroffenen vorzusehen. Es wird daher vorgeschlagen, die Vornahme der erkennungsdienstlichen Behandlung, soweit sie insbesondere auch die Abnahme von Papillarlinienabdrücken der Finger umfasst, ausschließlich geeigneten und besonders geschulten Bediensteten der Staatsbürgerschafts- und Vertretungsbehörden vorzubehalten. Handelt es sich bei diesen Bediensteten um Beamte oder Vertragsbedienstete, ergibt sich die Verschwiegenheitspflicht jeweils unmittelbar aus § 46 des Beamten-Dienstrechtsgesetzes 1979 (BDG), BGBl. Nr. 333/1979, oder §§ 5 oder 79 des Vertragsbedienstetengesetzes 1948 (VBG), BGBl. Nr. 86/1948. Die Durchführung einer erkennungsdienstlichen Behandlung durch Bedienstete, für die weder die Vorschriften des BDG noch des VBG zur Anwendung kommen, darf nur erfolgen, sofern auch diese in Bezug auf die Durchführung erkennungsdienstlicher Behandlungen etwa im Rahmen der Unterzeichnung einer Verschwiegenheitserklärung zur Verschwiegenheit verpflichtet sind. Weiters wird die Durchführung einer erkennungsdienstlichen Behandlung – nach dem bewährten Vorbild des § 13 FPG – durch Verweis auf die Achtung der Menschenwürde und möglichste Schonung der Person ausdrücklich dem Verhältnismäßigkeitsgrundsatz unterstellt.

Zu Z 3 (§ 39a Abs. 3):

Die Adaptierung der Verweise auf das SPG betreffend die erkennungsdienstliche Behandlung erfolgt auf Grund des neu eingeführten Datenschutzregimes.

Zu Z 4 (§ 56a Abs. 1):

Die vorgeschlagene Änderung dient der terminologischen Anpassung an die DSGVO. Die Verwendung des Begriffes des „Informationsverbundsystems“ gemäß § 4 Z 13 des Datenschutzgesetzes 2000 (DSG 2000) ist künftig nicht mehr vorgesehen. An dessen Stelle tritt der Begriff der „gemeinsam Verantwortlichen“ (Art. 26 Abs. 1 DSGVO), welche (gemeinsam) die Zwecke und Mittel zur Datenverarbeitung festlegen. In Bezug auf das Zentrale Staatsbürgerschaftsregister (ZSR) sind folglich gemäß Abs. 1 die Evidenzstellen (§ 49 Abs. 2) gemeinsam Verantwortliche im Sinne der DSGVO. Wie bereits nach bisheriger Rechtslage hat jede Evidenzstelle Zugriff auf den Gesamtbestand der im ZSR verarbeiteten Daten, unabhängig davon, welche Evidenzstelle die Daten im Register zur Verfügung gestellt hat.

Zu Z 5 (§ 56a Abs. 1a):

Hinsichtlich der Erfüllung von Auskunfts-, Informations-, Berichtigungs-, Löschungs- und sonstigen Pflichten nach den Bestimmungen der DSGVO sieht die Verordnung für gemeinsam Verantwortliche in Art. 26 Abs. 1 Satz 2 vor, dass die Zuständigkeitsverteilung bezüglich der Wahrnehmung dieser Pflichten unter den Verantwortlichen in einer Vereinbarung festzulegen ist, sofern eine entsprechende Aufgabenverteilung unter den Verantwortlichen nicht bereits durch Rechtsvorschriften der Union oder der Mitgliedstaaten erfolgte. Vor diesem Hintergrund sieht der vorgeschlagene Abs. 1a vor, dass jeder Verantwortliche – dh. jede Evidenzstelle – die oa. Pflichten nur in Bezug auf jene Personen zu erfüllen hat, deren personenbezogenen Daten er selbst verarbeitet. Eine derartige Zuständigkeitsverteilung erscheint zweckmäßig, da jener Verantwortliche, der die personenbezogenen Daten des Betroffenen verarbeitet, am ehesten zu beurteilen vermag, ob ein derartiges Auskunfts-, Informations-, Berichtigungs-, Löschungs- oder sonstiges Begehren gerechtfertigt ist. Nimmt ein Betroffener unter Nachweis seiner Identität ein Recht nach der DSGVO gegenüber einem unzuständigen Verantwortlichen wahr, ist er gemäß dem letzten Satz des neuen Abs. 1a an den zuständigen Verantwortlichen zu verweisen.

Zu Z 6 (§ 56a Abs. 2):

Durch die Änderungen in Abs. 2 wird den Vorgaben der DSGVO entsprochen. Beim Auftragsverarbeiter handelt es sich um einen Dritten, der personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Z 8 iVm Art. 28 DSGVO). Als solcher entspricht er im Wesentlichen dem Dienstleister gemäß § 4 Z 5 DSG 2000 und – soweit es sich bei der Datenanwendung um ein Informationsverbundsystem handelt – dem Betreiber gemäß § 50 Abs. 1 DSG 2000. Diese Funktionen übte in Bezug auf das ZSR bisher der Bundesminister für Inneres aus, weshalb es im Sinne größtmöglicher Kontinuität angezeigt ist, ihm künftig die Funktion des Auftragsverarbeiters zu übertragen.

Zur terminologischen Änderung im letzten Satz des Abs. 2 siehe die Erläuterungen zu §§ 39a Abs. 1 und 56b Abs. 4.

Zu Z 8 (§ 56b Abs. 6):

Es wird klargestellt, dass es sich bei der Abkürzung „ZPR“ um das in § 44 des Personenstandsgesetzes 2013 (PStG 2013) geregelte „Zentrale Personenstandsregister“ handelt.

Zu Z 9 (§ 56b Abs. 8):

Die DSGVO enthält keine Bestimmung über Protokollierungsvorschriften, innerstaatliche Regelungen sind daher zulässig. Da die Protokollierungsvorschriften des § 14 DSG 2000 entfallen, sind in jedem Materiengesetz gesonderte Protokollierungsvorschriften vorzusehen um ein gleichbleibendes Datenschutzniveau zu gewährleisten. Dies erfolgt im StbG durch den vorgeschlagenen § 56b Abs. 8.

Zu Z 10 (§ 64a Abs. 27):

Diese Bestimmung regelt das Inkrafttreten.

Artikel 16 (Änderung des Sicherheitspolizeigesetzes)

Zu allen Bestimmungen:

Die vorgeschlagenen Änderungen dienen der terminologischen Anpassung an die DS-RL sowie deren innerstaatliche Umsetzung durch das 3. Hauptstück des Datenschutzgesetzes.

Der Begriff der „Verarbeitung“ personenbezogener Daten bedeutet gemäß § 36 Abs. 2 Z 2 DSG (bzw. Art. 3 Z 1 DS-RL) jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Indem die „Verarbeitung“ auch die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung beinhaltet, entspricht sie damit dem bisher in § 4 Z 8 DSG 2000 definierten Begriff der „Verwendung“ personenbezogener Daten. Zum anderen soll von diesem Begriff auch das „Ermitteln“ personenbezogener Daten als Unterfall des „Verarbeitens von Daten“ iSd § 4 Z 9 DSG 2000 erfasst sein, sodass der Begriff des „Verarbeitens“ nunmehr auch das Ermitteln und Weiterverarbeiten einbezieht, soweit die Erwähnung des Ermittelns im Sinne des Ermittlungsdienstes nicht explizit erforderlich erscheint.

Dem Begriff der „Datenanwendung“ (§ 4 Z 7 DSG 2000) entspricht nunmehr der Terminus der „Datenverarbeitung“.

Dem „Auftraggeber“ einer Datenanwendung (§ 4 Z 4 DSG 2000) entspricht im Anwendungsbereich des DSG gemäß § 36 Abs. 2 Z 8 und § 47 DSG (bzw. der DS-RL gemäß Art. 3 Z 8 und 21 Abs. 1 DS-RL) der „Verantwortliche“ bzw. „gemeinsam Verantwortliche“ einer Datenverarbeitung.

Dem „Dienstleister“ (§ 4 Z 5 DSG 2000) entspricht im Anwendungsbereich des DSG gemäß § 36 Abs. 2 Z 9 iVm § 48 DSG (bzw. der DS-RL gemäß Art. 3 Z 9 iVm Art. 22 DS-RL) der „Auftragsverarbeiter“. Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser gemäß § 48 DSG nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen des Datenschutzgesetzes erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. Der „Auftragsverarbeiter“ im Sinne des DSG entspricht im Wesentlichen dem „Dienstleister“ gemäß § 4 Z 5 DSG 2000 und – soweit es sich bei der Datenanwendung um ein Informationsverbundsystem handelt – dem Betreiber gemäß § 50 Abs. 1 DSG 2000.

Dem DSG sowie der DS-RL sind der Begriff des „Informationsverbundsystems“ (bisher § 4 Z 13 DSG 2000) nicht mehr bekannt; dieser wird nunmehr durch die Datenverarbeitung durch „gemeinsam Verantwortliche“ (§ 47 DSG bzw. 21 Abs. 1 DS-RL) ersetzt. Diese erfasst den Fall, dass mehrere Verantwortliche gemeinsam die Zwecke und die Mittel einer Datenverarbeitung festlegen. Materielle Änderungen gegenüber der bisherigen Rechtslage, insbesondere eine Einschränkung des Grundsatzes, dass jedem Verantwortlichen der Zugriff auf den Gesamtbestand der in der gemeinsamen Datenverarbeitung verarbeiteten Daten – unabhängig davon, welcher Verantwortliche sie im Einzelfall ursprünglich zur Verfügung gestellt hat – offensteht, ist damit nicht verbunden.

Zu Z 1 bis 7 (Inhaltsverzeichnis):

Es handelt sich um die erforderlichen Anpassungen des Inhaltsverzeichnisses.

Zu Z 8 (§ 7 Abs. 4):

Die vorgeschlagenen Änderungen dienen im Wesentlichen der Anpassung an die Vorgaben der unmittelbar anwendbaren DSGVO. Um die geistige und körperliche Eignung von Aufnahmewerbern in den Exekutivdienst und von Bewerbern für bestimmte Verwendungen beurteilen zu können, durften schon bislang – unter Einbindung von Polizeiärzten als medizinische Sachverständige – auch Gesundheitsdaten verarbeitet werden, soweit diese zur Beurteilung der Eignung für den Exekutivdienst erforderlich sind. Da es sich hierbei nicht um die Verarbeitung von Daten zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung gemäß DS-RL handelt, unterfallen diese dem Rechtsschutzsystem der DSGVO.

Gesundheitsdaten sind nach der Definition des Art. 4 Z 15 DSGVO personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen. Die Verarbeitung personenbezogener Daten ist im gegenständlichen Fall in Erfüllung des Art. 6 Abs. 1 lit. e DSGVO für die Wahrnehmung der im öffentlichen Interesse liegenden Aufgabe der Aufrechterhaltung der öffentlichen Ordnung und Sicherheit durch körperlich und geistig geeignete Organe erforderlich. Da Gesundheitsdaten jedoch auch besondere Kategorien von personenbezogenen Daten im Sinne des Art. 9 Abs. 1 DSGVO darstellen, ist deren Verarbeitung nur bei Vorliegen bestimmter Fälle entsprechend Art. 9 Abs. 2 DSGVO zulässig. Die Verarbeitung der Gesundheitsdaten ist im gegebenen Zusammenhang für die Beurteilung der Arbeitsfähigkeit des Beschäftigten erforderlich (Art. 9 Abs. 2 lit. h DSGVO). Die Verarbeitung zu diesem Zweck ist zulässig, da diese Daten entsprechend Art. 9 Abs. 3 DSGVO von Fachpersonal (oder unter dessen Verantwortung) verarbeitet werden, welches Berufsgeheimnispflichten unterliegt. Künftig ist deren Verarbeitung somit nach Maßgabe des Art. 9 Abs. 2 lit. h iVm Abs. 3 DSGVO zulässig.

Im Übrigen handelt es sich um eine redaktionelle Bereinigung.

Zu 9 und 10 (§ 13a):

Die vorgeschlagenen Änderungen dienen hauptsächlich der terminologischen Anpassung an die DS-RL sowie deren innerstaatliche Umsetzung durch das 3. Hauptstück des Datenschutzgesetzes.

Zu Abs. 3: Die Datensicherheit von Aufzeichnungen, die nach Abs. 3 zum Zwecke der Dokumentation von Amtshandlungen vorgenommen werden, erfolgte bislang nach den Bestimmungen des § 14 DSG 2000, welchem nunmehr im Wesentlichen § 54 DSG entspricht. Dieser verpflichtet den Verantwortlichen sowie den Auftragsverarbeiter dazu, unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Da im Rahmen von Aufzeichnungen von Amtshandlungen jedoch auch personenbezogene Daten verarbeitet werden können, die nicht vom Zwecke der DS-RL und damit des 3. Hauptstücks des DSG erfasst sind – etwa bei Aufzeichnungen im Rahmen von Demonstrationen oder der Dokumentation von Handlungen der ersten allgemeinen Hilfeleistungspflicht –, unterliegen die Datensicherheitsmaßnahmen in solchen Fällen den Bestimmungen der unmittelbar zu Anwendung kommenden DSGVO.

Zu Abs. 4: Bislang erfolgte die Protokollierung von Dokumentationen iSd § 13a – insbesondere die Speicherdauer – nach den Vorgaben des § 14 DSG. Dieser sah in Abs. 5 eine generelle Aufbewahrungsfrist für Protokolldaten vor, sofern gesetzlich nicht ausdrücklich anderes angeordnet war. Eine solche Bestimmung findet sich jedoch nicht mehr im DSG, sodass mit dem vorgeschlagenen Abs. 4 eine solche Aufbewahrungsfrist von zwei Jahren normiert wird.

Zu Z 11, 12, 14, 21, 22, 24 bis 26, 33 bis 37, 45, 46, 51, 53, 55, 58 und 61 bis 63 (§ 35a Abs. 5, Überschrift des 4. Teils, § 52, § 53b, § 54 Abs. 5, 6 und 7, § 55 Abs. 4, § 55a Abs. 4, § 55b Abs. 1, § 57, § 58, § 60 Abs. 2, § 61, § 67, § 69 Abs. 2, § 71 Abs. 5, § 75 Abs. 2, § 90, § 91c Abs. 2 und § 91d Abs. 3):

Es handelt sich um die Anpassung an die Terminologie des DSG, ohne eine materielle Änderung der bestehenden Rechtslage herbeizuführen.

Zu Z 13 (§ 51):

Die Änderungen dienen der Anpassung an die §§ 39 und 48 DSG.

Zu Abs. 1: Der Begriff der „sensiblen Daten“ gemäß § 4 Z 2 DSG 2000 wurde nunmehr durch den Begriff der „besonderen Kategorien personenbezogener Daten“ gemäß § 39 DSG (Art. 10 DS-RL) ersetzt. Hiervon erfasst sind personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. Die Verarbeitung solcher Kategorien von Daten für die Zwecke des 3. Hauptstücks des DSG – und damit für Zwecke der Sicherheitspolizei – ist dann zulässig, wenn die Verarbeitung unbedingt erforderlich ist, wirksame Maßnahmen zum Schutz der Rechte und Freiheiten der betroffenen Personen getroffen werden und – sofern der Betroffene die Daten nicht offensichtlich selbst öffentlich gemacht hat – die Verarbeitung gesetzlich vorgesehen ist. Durch die Änderung des zweiten Satz des Abs. 1 soll das Erfordernis der Rechtsgrundlage für die Verarbeitung besonderer Kategorien personenbezogener Daten im Rahmen der Sicherheitspolizei erfüllt werden. Eine solche ist – entsprechend der datenschutzrechtlichen Vorgaben – zulässig, wenn dies zur Erfüllung der Aufgaben im Rahmen der Sicherheitspolizei unbedingt erforderlich ist; wie bislang sind angemessene Vorkehrungen zur Wahrung der Geheimhaltungsinteressen der Betroffenen zu treffen.

Mit der Regelung des Abs. 1 zweiter Satz soll klargestellt sein, dass die Verarbeitung besonderer Kategorien personenbezogener Daten im Rahmen der Aufgabenerfüllung der Sicherheitspolizei bei unbedingter Erforderlichkeit zulässig ist; es bedarf grundsätzlich keiner zusätzlichen ausdrücklichen Ermächtigungen. Soll die Verarbeitung solcher besonderer Daten jedoch nicht in jedem Fall – etwa nur zu bestimmten Zwecken oder nur bei bestimmten Kategorien – zulässig sein, wird dies durch ausdrückliche Erwähnung der besonderen Fälle deutlich gemacht. So ist etwa im Rahmen der Vertrauenspersonenevidenz gemäß § 54b die Verarbeitung besonderer Kategorien personenbezogener Daten ausdrücklich nur zu den Zwecken zur Verhinderung von Gefährdungen der Betroffenen und zur Bewertung der Vertrauenswürdigkeit der Informationen zulässig. Demgegenüber sieht etwa § 53a Abs. 2 den Fall der Einschränkung auf bestimmte Kategorien vor, indem die Daten, die verarbeitet werden dürfen, taxativ genannt werden. Soweit bestimmte besondere Kategorien von den aufgezählten Datenarten erfasst sind, können diese auch im Rahmen des § 53a Abs. 2 verarbeitet werden – andere, nicht von der Aufzählung erfasste, besondere Kategorien hingegen nicht. Durch § 51 Abs. 1 zweiter Satz soll diese abschließende Aufzählung keine Erweiterung erfahren.

Sofern nicht ausdrücklich anderes angeordnet wird, finden auf das Verarbeiten personenbezogener Daten die Bestimmungen des Datenschutzgesetzes Anwendung. Die Anforderungen des § 43 Abs. 1 DSG werden insbesondere durch die gesetzliche Grundlage für die Datenverarbeitungen im SPG erfüllt.

Zu Abs. 3: Durch den neu vorgeschlagenen Abs. 3 soll im Allgemeinen normiert werden, dass die Rolle des Auftragsverarbeiters für alle Datenverarbeitungen nach dem SPG dem Bundesminister für Inneres zukommen soll; es ist jedoch möglich, gesonderte Regelungen vorzusehen. Der Auftragsverarbeiter im Sinne des DSG entspricht im Wesentlichen dem „Dienstleister“ gemäß § 4 Z 5 DSG 2000 und – soweit es sich bei der Datenanwendung um ein Informationsverbundsystem handelt – dem „Betreiber“ gemäß § 50 Abs. 1 DSG 2000. Damit kommt gemäß Abs. 3 die Funktion des Betreibers nunmehr ausdrücklich dem Bundesminister für Inneres in seiner Funktion als Auftragsverarbeiters zu, sofern nicht ausdrücklich anderes angeordnet wird.

§ 48 Abs. 2 DSG sieht vor, dass ein Auftragsverarbeiter keinen weiteren Auftragsverarbeiter in Anspruch nehmen kann, ohne eine vorherige gesonderte schriftliche Genehmigung des Verantwortlichen eingeholt zu haben. Diese Vorschrift ist jedoch enger als die unionsrechtlichen Vorgaben des Art. 22 Abs. 2 DS-RL, welche es dem Verantwortlichen ermöglicht, eine allgemeine schriftliche Genehmigung für die Inanspruchnahme weiterer Auftragsverarbeiter zu erteilen. Im diesem Fall hat der Auftragsverarbeiter den Verantwortlichen nur über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter zu unterrichten. Den unionsrechtlichen Vorgaben entsprechend soll abweichend von § 48 Abs. 2 DSG auch die Erteilung einer allgemeinen schriftlichen Genehmigung des Verantwortlichen ermöglicht werden. Aufgrund der verfassungsrechtlichen Weisungsbefugnis des Bundesministers für Inneres als oberste Sicherheitsbehörde ist es ausreichend, bei gemeinsamen Datenverarbeitungen mit dem Bundesminister für Inneres als gemeinsam Verantwortlichen diesen von beabsichtigten Änderungen iSd Abs. 3 letzter Satz zu unterrichten.

Zu Abs. 4: Die vorgeschlagene Neueinführung eines Abs. 4 dient der Umsetzung des § 47 DSG.

In diesem Sinne soll der vorgeschlagene Abs. 4 gesetzlich die Zuständigkeiten zwischen den gemeinsam Verantwortlichen von Datenverarbeitungen auf Grundlage des SPG dahingehend aufteilen, dass Auskunfts-, Informations-, Berichtigungs-, Löschungs- und sonstige Pflichten nach dem Datenschutzgesetz von jedem Verantwortlichen nur in Bezug auf jene personenbezogenen Daten zu erfüllen sind, die im Zusammenhang mit den von ihm selbst ursprünglich verarbeiteten Daten stehen. Dies erscheint zweckmäßig, weil der in diesem Sinne (ausschließlich) zuständige gemeinsam Verantwortliche am ehesten in der Lage ist, zu beurteilen, ob dem Betroffenen bezüglich der in Rede stehenden Daten tatsächlich ein Auskunfts-, Berichtigungs- oder sonstiger Anspruch nach dem Datenschutzgesetz zukommt. Möchte ein Betroffener ein Recht nach dem Datenschutzgesetz wahrnehmen, hat er hierfür seine Identität nachzuweisen, um missbräuchliche oder unberechtigte Geltendmachung angeblicher Rechte hintanhalten zu können.

Nimmt ein Betroffener ein Recht gegenüber einem unzuständigen gemeinsam Verantwortlichen wahr – somit nicht gegenüber demjenigen, der seine Daten ursprünglich verarbeitet und damit in die gemeinsame Datenverarbeitung eingespeichert hat –, hat dieser durch Konsultation des zuständigen gemeinsam Verantwortlichen zu prüfen, ob die Unterrichtung des Betroffenen womöglich gemäß § 43 Abs. 4 aufgeschoben, eingeschränkt oder unterlassen werden soll. Liegt kein solcher Fall vor, ist der Betroffene gemäß dem letzten Satz des neuen Abs. 4 an den zuständigen gemeinsam Verantwortlichen zu verweisen.

Begehrt der Betroffene jedoch die Aktualisierung oder Richtigstellung von Namen, Geschlecht, früheren Namen, Staatsangehörigkeit, Geburtsdatum, Geburtsort, Wohnanschrift, Namen der Eltern oder Aliasdaten gemäß § 59 Abs. 1 zweiter Satz, kann dies von jedem gemeinsam Verantwortlichen vorgenommen werden. Eine Verweisung auf denjenigen gemeinsam Verantwortlichen, der die Daten ursprünglich eingespeichert hat, ist in diesem Fall nicht erforderlich. Eine vorgenommene Berichtigung iSd § 59 Abs. 1 zweiter Satz bewirkt jedoch keine Änderung der Zuständigkeit des ursprünglichen gemeinsam Verantwortlichen. Werden in Folge weitere Ansprüche iSd DSG geltend gemacht, obliegt deren Wahrnehmung weiterhin dem ursprünglich gemeinsam Verantwortlichen, auch wenn zwischenzeitlich eine Berichtigung der Daten iSd § 59 Abs. 1 zweiter Satz von einer anderen Sicherheitsbehörde vorgenommen wurde.

Zu Z 15 (§ 53):

Es handelt sich um begriffliche Anpassungen an das DSG und redaktionelle Bereinigungen. Der Begriff des „Ermittelns“ soll nunmehr vom Terminus des „Verarbeitens“ erfasst sein, sodass es keiner getrennten Erwähnung von „Ermitteln“ und „(Weiter-)Verarbeiten“ bedarf und dennoch die materielle Rechtslage beibehalten wird.

Zu Z 16 bis 20 (§ 53a):

Die Änderungen dienen im Wesentlichen der begrifflichen Anpassung an das DSG.

Zu Abs. 2: Da bereits § 51 Abs. 1 eine Rechtsgrundlage für die Verarbeitung besonderer Kategorien von Daten im Rahmen der Sicherheitspolizei normiert, bedarf es grundsätzlich keiner weiteren Anführung. Die Verarbeitung ist dabei natürlich an die Grenzen und Erfordernisse des § 39 DSG sowie des § 51 Abs. 1 gebunden, sodass diese nur bei unbedingter Erforderlichkeit zulässig ist. Demgegenüber sieht etwa § 53a Abs. 2 den Fall der Einschränkung auf bestimmte Kategorien vor, indem die Daten, die verarbeitet werden dürfen, taxativ genannt werden. Soweit bestimmte besondere Kategorien von den aufgezählten Datenarten erfasst sind, können diese auch im Rahmen des § 53a Abs. 2 verarbeitet werden – andere, nicht von der Aufzählung erfasste, besondere Kategorien hingegen nicht. Durch § 51 Abs. 1 zweiter Satz soll diese abschließende Aufzählung keine Erweiterung erfahren.

Zu Abs. 5 bis 6: Die sonstigen vorgeschlagenen Änderungen der Abs. 5 bis 6 dienen – ohne eine materielle Änderung der Rechtslage herbeizuführen – lediglich einer sprachlichen Vereinfachung.

Der Auftragsverarbeiter im Sinne des § 36 Abs. 2 Z 9 DSG entspricht im Wesentlichen dem „Dienstleister“ gemäß § 4 Z 5 DSG 2000 und – soweit es sich bei der Datenanwendung um ein Informationsverbundsystem handelt – dem Betreiber gemäß § 50 Abs. 1 DSG 2000. Die Funktion des Betreibers übte in Bezug auf die zentrale Datenverarbeitung nach Abs. 5a bisher ausdrücklich das Bundesamt für Verfassungsschutz und Terrorismusbekämpfung aus. Nunmehr weist § 51 Abs. 3 erster Satz dem Bundesminister für Inneres die Funktion des Auftragsverarbeiters zu, sofern nicht ausdrücklich anderes angeordnet wird. Da das Bundesamt jedoch eine Organisationseinheit der Sicherheitsbehörde Bundesminister für Inneres ist (vgl. § 1 Abs. 3 Polizeiliches Staatsschutzgesetz iVm § 6 Abs. 1) und damit im Innenverhältnis auch weiterhin mit der faktischen Aufgabe der Auftragsverarbeitung betraut werden kann, bedarf es keiner von der Generalklausel des § 51 Abs. 3 erster Satz abweichenden Regelung. Wenngleich nunmehr das Bundesamt nicht mehr ausdrücklich in Abs. 5a angeführt wird, wird damit keine tatsächliche Änderung des aktuellen Rechtsbestands herbeigeführt.

Zu Z 23 (§ 54b Abs. 1 und 3):

Es handelt sich in erster Linie um eine terminologische Anpassung an die neuen Begrifflichkeiten des DSG. Wie bereits geltend soll auch weiterhin klargestellt sein, dass besondere Kategorien personenbezogener Daten nur soweit verarbeitet werden dürfen, als dies zur Verhinderung von Gefährdungen der Betroffenen und zur Bewertung der Vertrauenswürdigkeit der Informationen unbedingt erforderlich ist. § 51 Abs. 1 zweiter Satz soll diese Zweckbeschränkung nicht erweitern.

Da strafrechtsbezogene Daten künftig keinem gesonderten Regime unterliegen und auch nicht vom Begriff der besonderen Kategorien von Daten erfasst sind, sind diese als personenbezogene Daten zu verarbeiten.

Jede Verarbeitung der in der Vertrauenspersonenevidenz verarbeiteten personenbezogenen Daten ist – auch weiterhin – zu protokollieren. Da die Protokollierung für Datenverarbeitungen im Rahmen der Sicherheitspolizei nach dem 4. Teil des SPG nunmehr generell in § 63 Abs. 3 normiert ist, bedarf es keiner gesonderten Bestimmung in § 54b Abs. 3, sodass diese zu entfallen hat. Die Protokollierung erfolgt künftig auf Grundlage des § 63 Abs. 3.

Zu Z 27 bis 32 (§ 56):

Die Änderungen des Abs. 1 dienen der Anpassung an das DSG, wobei Z 1 lediglich begrifflicher Natur ist.

Zu Abs. 1: Die Übermittlung personenbezogener Daten – unabhängig davon, ob es sich auch um besondere Kategorien personenbezogener Daten handelt – zur Wahrung lebenswichtiger Interessen einer Person bedarf entsprechend § 38 DSG keiner ausdrücklichen Rechtsgrundlage mehr. Wenngleich eine Übermittlung zu diesem Zweck nunmehr auch ohne gesetzliche Regelung zulässig ist, soll Abs. 1 Z 5 zur Vermeidung von Rechtsunsicherheiten grundsätzlich beibehalten werden. Da die Übermittlung jedoch generell zulässig ist, unabhängig von der Einordnung des zu übermittelnden Datums als besondere Kategorie, hat der Halbsatz zu den vormals sensiblen Daten zu entfallen.

Die Übermittlung gemäß Abs. 1 Z 7 für Zwecke der wissenschaftlichen Forschung und Statistik ist im Anwendungsbereich des § 36 Abs. 1 DSG – somit insbesondere für Zwecke der Sicherheitspolizei – nach den Bestimmungen des DSG zulässig, im Anwendungsbereich der DSGVO nach den unmittelbar geltenden Bestimmungen dieser. Der Verweis auf die Regelung des § 46 DSG 2000 hat zu entfallen.

Im Übrigen handelt es sich um eine redaktionelle Ergänzung.

Zu Abs. 2: Die Regelungen zur Protokollierung finden sich nunmehr gebündelt in § 63 Abs. 3, sodass Abs. 2 zu entfallen hat. Auch die Bestimmung hinsichtlich automatisierter Abfragen von KFZ-Kennzeichendaten gemäß § 54 Abs. 4b findet sich nunmehr § 63 Abs. 3. Diese sind auch weiterhin nur insoweit zu protokollieren, als es sich um Treffer handelt. Damit bleibt das hohe Niveau des Datenschutzes für Personen, deren KFZ-Kennzeichen zwar durch Kennzeichenerkennungsgeräte erfasst wurden ohne einen Trefferfall zu bewirken, auch weiterhin aufrecht.

Zu Abs. 3: Abs. 3 regelte bislang die Vorgehensweise bei der Übermittlung von unvollständigen oder unrichtigen Daten; dies ist nunmehr insbesondere § 37 DSG zu entnehmen. Gemäß § 37 Abs. 6 DSG dürfen unrichtige, unvollständige, nicht mehr aktuelle oder zu löschende personenbezogene Daten nicht übermittelt werden. Zu diesem Zweck sind die Daten vor einer Übermittlung soweit möglich entsprechend zu überprüfen. Wird festgestellt, dass personenbezogene Daten übermittelt worden sind, die nicht diesen Anforderungen entsprechen, ist dies dem Empfänger unverzüglich mitzuteilen. Letzterer hat unverzüglich die Löschung unrechtmäßig übermittelter Daten, die Berichtigung unrichtiger Daten, die Ergänzung unvollständiger Daten oder eine Einschränkung der Verarbeitung vorzunehmen (§ 37 Abs. 8 DSG). Hat im umgekehrten Fall der Empfänger Grund zur Annahme, dass übermittelte personenbezogene Daten unrichtig, nicht aktuell oder zu löschen sind, ist dies dem Übermittler mitzuteilen, welcher unverzüglich die erforderlichen Maßnahmen zu setzen hat (§ 37 Abs. 9 DSG). Wenngleich diese Bestimmungen des DSG auch unmittelbar im Rahmen des SPG zur Anwendung kommen, wird im Sinne der Rechtssicherheit und Verständlichkeit des Gesetzes ein Verweis auf § 37 Abs. 8 und 9 DSG aufgenommen.

Zu Abs. 5: Insbesondere zum Zweck der Vermeidung zukünftiger Ausschreitungen bei Sportgroßveranstaltung ermöglicht Abs. 1 Z 3a die Übermittlung bestimmter personenbezogener Daten an den Österreichischen Fußballbund sowie die Österreichische Fußball-Bundesliga zur Prüfung und Veranlassung eines Sportstättenbetretungsverbotes. Abs. 5 sieht vor, dass eine solche Übermittlung nach Eingehen vertraglicher Verpflichtungen des Österreichischen Fußballbundes und der Österreichischen Fußball-Bundesliga zur Einhaltung bestimmter Sicherheitsmaßnahmen zulässig ist. Die Verarbeitung der übermittelten personenbezogenen Daten durch Fußballbund und Bundesliga erfolgt nicht zu einem Zweck des 3. Hauptstücks des DSG, sodass die Bestimmungen der DSGVO unmittelbar zur Anwendung kommen. Die Änderungen des Abs. 5 dienen im Übrigen der terminologischen Anpassung an die Begrifflichkeiten der DSGVO.

Zu Z 38 bis 42 (§ 58a, § 58b Abs. 1, § 58c, § 58d Abs. 1, § 58e samt Überschrift):

Es handelt sich ausschließlich um Anpassungen an die Terminologie des DSG, ohne eine materielle Änderung der bestehenden Rechtslage herbeizuführen. Gemäß § 51 Abs. 3 kommt die Funktion des Betreibers dem Bundesminister für Inneres in seiner Funktion als Auftragsverarbeiters zu.

Zu Z 40 (§ 58c):

Im Übrigen wurden redaktionelle Bereinigungen vorgenommen.

Zu Z 41 (§ 58d Abs. 1):

Die Verarbeitung besonderer Kategorien personenbezogener Daten erfolgt entsprechend § 51 Abs. 1 zweiter Satz.

Zu Z 43 und 44 (§ 59 samt Überschrift):

Die Änderungen der Überschrift, des Abs. 1 und 3 dienen in erster Linie der begrifflichen Anpassung an das DSG.

In Konkretisierung des § 50 DSG finden sich die Regelungen zur Protokollierung nunmehr gebündelt in § 63 Abs. 3 für alle Datenverarbeitungen, unabhängig davon ob sie lokal oder zentral geführt werden, sodass Abs. 2 zu entfallen hat. Die Protokollaufzeichnungen sind zwei Jahre aufzubewahren und danach zu löschen. Die Zuordnung zu einem bestimmten Organwalter ist bei automatisierten Abfragen auch weiterhin nicht erforderlich (vgl. Art. 25 Abs. 1 DS-RL, wonach die Identifizierung der Person, welche die Daten abgefragt oder offengelegt hat, nur so weit wie möglich zu ermöglichen ist). Von der Protokollierung ausgenommen bleiben automatisierte Abfragen gemäß § 54 Abs. 4b, es sei denn, es handelt sich um einen Trefferfall. Auch die Bestimmung hinsichtlich automatisierter Abfragen von KFZ-Kennzeichendaten gemäß § 54 Abs. 4b findet sich nunmehr in § 63 Abs. 3. Diese sind auch weiterhin nur insoweit zu protokollieren, als es sich um Treffer handelt.

Zu Z 47 (§ 63 samt Überschrift):

Die Änderungen der Überschrift und des Abs. 1 dienen der Anpassung an das DSG.

Die Regelungen zur Protokollierung iSd § 50 DSG finden sich nunmehr gebündelt in einem neuen Abs. 3 für alle Datenverarbeitungen, unabhängig davon ob sie lokal oder zentral geführt werden, wobei festzuhalten ist, dass die Verarbeitung von Daten innerhalb der Organisationsstruktur des Verantwortlichen bzw. durch gemeinsam Verantwortliche keine Übermittlung iSd § 50 DSG darstellt. Die Zuordnung zu einem bestimmten Organwalter ist bei automatisierten Abfragen auch weiterhin nicht erforderlich (vgl. Art. 25 Abs. 1 DS-RL, wonach die Identifizierung der Person, welche die Daten abgefragt oder offengelegt hat, nur so weit wie möglich erforderlich ist). Die Protokollaufzeichnungen sind zwei Jahre aufzubewahren und danach zu löschen. Von der Protokollierung ausgenommen bleiben automatisierte Abfragen gemäß § 54 Abs. 4b, es sei denn, es handelt sich um einen Trefferfall. Auch die Bestimmung hinsichtlich automatisierter Abfragen von KFZ-Kennzeichendaten gemäß § 54 Abs. 4b findet sich nunmehr in § 63 Abs. 3. Diese sind auch weiterhin nur insoweit zu protokollieren, als es sich um Treffer handelt.

Die vormalige Regelung des § 59 Abs. 2 wurde übernommen, indem bei Protokollierungen zu automatisierten Abfragen auch weiterhin keine Zuordnung zu einem bestimmten Organwalter erforderlich ist. Von der Protokollierung ausgenommen bleiben ebenfalls auch automatisierte Abfragen gemäß § 54 Abs. 4b, es sei denn, es handelt sich um einen Trefferfall. Auch die Bestimmung hinsichtlich automatisierter Abfragen von KFZ-Kennzeichendaten gemäß § 54 Abs. 4b findet sich nunmehr Abs. 3, nach welcher diese weiterhin nur insoweit zu protokollieren sind, als es sich um Treffer handelt.

Zu Z 48 (§ 64 Abs. 2):

Die Änderungen dienen der Anpassung an die Bestimmungen des § 36 Abs. 2 Z 12 und 13 DSG.

§ 36 Abs. 2 Z 12 DSG definiert „genetische Daten“ als personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden; Z 13 beschreibt „biometrische Daten“ als mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten. Von diesen Begriffen erfasst sind etwa erkennungsdienstliche Maßnahmen wie die Abnahme von Papillarlinienabdrücken, die Vornahme von Mundhöhlenabstrichen, die Herstellung von Abbildungen, die Vornahme von Messungen oder die Erhebung von Stimmproben.

Die neue Terminologie des DSG aufgreifend wird die Definition der „erkennungsdienstlichen Maßnahmen“ iSd SPG als technische Verfahren zur Feststellung von biometrischen oder genetischen Daten (§ 36 Abs. 2 Z 12 und 13 DSG) sowie die Feststellung äußerlicher körperlicher Merkmale und die Erhebung von Schriftproben eines Menschen zum Zweck der Wiedererkennung aktualisiert. Eine materielle Änderung der bestehenden Rechtslage erfolgt durch die Neutextierung jedoch nicht.

Zu Z 49 und 50 (§ 65):

Die Änderung des Abs. 2 erfolgt in Anpassung an die Voraussetzungen des Abs. 1.

Da sich die Informations- und Verständigungspflichten unmittelbar insbesondere aus § 43 DSG ergeben, hat Abs. 5 keinen originären Anwendungsbereich und damit zu entfallen. Der Betroffene ist nunmehr nach den Bestimmungen des DSG (§§ 42 ff DSG) über seine Rechte zu informieren.

Im Übrigen handelt es sich um erforderliche begriffliche Anpassungen an das DSG.

Zu Z 52 (§ 68 samt Überschrift):

Es handelt sich im Wesentlichen um Anpassungen an die Terminologie des DSG, ohne eine materielle Änderung der bestehenden Rechtslage herbeizuführen, sowie um sprachliche Vereinfachungen. Gemäß den Abs. 3 und 4 können Sicherheitsbehörden von Personen, die befürchten, Opfer eines Verbrechens bzw. eines Unfalles zu werden, mit deren Einwilligung erkennungsdienstliche Daten ermitteln, um gefährlichen Angriffen gegen Leben oder Gesundheit vorzubeugen bzw. die Identifizierung eines Leichnams zu erleichtern. Bislang konnten diese Daten nur lokal bei der ermittelnden Sicherheitsbehörde gespeichert werden. Um im Anlassfall jedoch tatsächlich die Erfüllung des Speicherzwecks der Gefahrenvorbeugung bzw. Identifizierung unabhängig vom Ort der Gefahr oder des Unfalls sicherstellen zu können, bedarf es einer zentralen Datenverarbeitung. Daher sollen – wie bereits in Abs. 1 vorgesehen – auch die gemäß § 68 Abs. 3 und 4 ermittelten erkennungsdienstlichen Daten mit Einwilligung des Betroffenen in der Zentralen erkennungsdienstlichen Evidenz (§ 75) verarbeitet werden können.

Zu Z 54 (§ 70 samt Überschrift):

Neben § 75 zur Zentralen erkennungsdienstlichen Evidenz traf § 70 Bestimmungen zur Aufbewahrung erkennungsdienstlicher Daten in lokal geführten erkennungsdienstlichen Evidenzen. Damit war es grundsätzlich jeder Sicherheitsbehörde ermöglicht, solche erkennungsdienstliche Daten, die sie im Rahmen einer erkennungsdienstlichen Behandlung oder Maßnahme ermittelt hat, in einer lokalen Datenbank aufzubewahren. Darüber hinaus konnte der Bundesminister für Inneres durch Verordnung die Grundlage für regionale oder überregionale Evidenzen spezieller Daten nach Abs. 2 schaffen. Da diese Rechtsgrundlagen nach den Abs. 1 bis 3 jedoch über keine praktische Relevanz mehr verfügen, sollen diese bereinigt werden.

Abs. 4 hingegen ermöglicht es, Daten, die von Organen der Sicherheitsbehörden als „Gelegenheitspersonen“ – somit insbesondere von Kriminalbeamten, die regelmäßig mit der Klärung von Umständen gerichtlich strafbarer Handlungen am Tatort befasst sind – ermittelt wurden, in einer gesonderten Evidenz zu führen. Ziel dieser „Police-Elimination-Datei“ ist die Ausscheidung der von erkennungsdienstlich tätigen Beamten hinterlassenen Spuren bei der Tataufklärung. Diese Bestimmung steht im Zusammenhang mit § 65 Abs. 2 und § 67 Abs. 1 und erlaubt eine solche Datenermittlung bloß in Einzelfällen. § 70 soll nunmehr ausschließlich die Grundlage zur Führung einer solchen Police-Elimination-Datei, somit einer „Spurenausscheidungsevidenz“ sein. Die Führung dieser Evidenz obliegt dem Bundesminister für Inneres als Verantwortlichen. Im Übrigen handelt es sich lediglich um terminologische Anpassungen, insbesondere auch an das DSG sowie die Begrifflichkeit der §§ 65 und 67, und die Berichtigung eines redaktionellen Versehens.

Zu Z 56 (§ 73 Abs. 1 Z 5):

Die Änderung dient der Anpassung an die Überarbeitung des § 70.

Zu Z 57 (§ 75 Abs. 1):

Die Adaptierungen des Abs. 1 dienen der Anpassung an die Änderungen des § 68, der terminologischen Aktualisierung im Sinne des DSG sowie der sprachlichen Vereinfachung. Künftig können auch Daten, die gemäß § 68 Abs. 3 und 4 zum Zwecke der Vorbeugung gefährlicher Angriffe gegen Leben oder Gesundheit bzw. der Identifizierung von Toten mit Einwilligung des Betroffenen ermittelt wurden, in der Zentralen erkennungsdienstlichen Evidenz verarbeitet werden.

Zu Z 59 (§ 76):

Die Änderungen der Abs. 1, 2, 3 und 6 dienen der Anpassung an die Terminologie und Vorgaben des DSG sowie der redaktionellen Bereinigung. Die Änderungen des Abs. 4 erfolgen in Anpassung an die Überarbeitung des § 70.

Zu Z 60 (§ 80):

Die Änderungen gründen sich auf die Vorgaben des DSG. Indem Informationen gemäß § 43 DSG sowie alle Mitteilungen und Maßnahmen gemäß den §§ 44 und 45 DSG künftig unentgeltlich zur Verfügung zu stellen sind, hat Abs. 1 zu entfallen und ist Abs. 2 anzupassen. Im Übrigen handelt es sich um Anpassung an die Terminologie und die Bestimmungen des DSG.

Zu Z 64 (§ 94 Abs. 44):

Es handelt sich um die erforderlichen Inkrafttretens- und Außerkrafttretensbestimmungen.

Artikel 17 (Änderung des Polizeilichen Staatsschutzgesetzes)

Zu allen Bestimmungen:

Die vorgeschlagenen Änderungen dienen der terminologischen Anpassung an die DS-RL sowie deren innerstaatliche Umsetzung durch das 3. Hauptstück des Datenschutzgesetzes.

Dem Begriff der „Datenanwendung“ (§ 4 Z 7 DSG 2000) entspricht nunmehr der Terminus der „Datenverarbeitung“.

Dem „Dienstleister“ (§ 4 Z 5 DSG 2000) entspricht im Anwendungsbereich des DSG gemäß § 36 Abs. 2 Z 9 iVm § 48 DSG (bzw. der DS-RL gemäß Art. 3 Z 9 DS-RL) der „Auftragsverarbeiter“. Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser gemäß § 48 DSG nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen des Datenschutzgesetzes erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. Der „Auftragsverarbeiter“ im Sinne des DSG entspricht im Wesentlichen dem „Dienstleister“ gemäß § 4 Z 5 DSG 2000 und – soweit es sich bei der Datenanwendung um ein Informationsverbundsystem handelt – dem Betreiber gemäß § 50 Abs. 1 DSG 2000.

Zu Z 1 (Überschrift des 3. Hauptstücks):

Es handelt sich um die erforderliche begriffliche Anpassung an das DSG.

Zu Z 2, 3 und 4 (§ 9):

Die Änderungen dienen der Anpassung an das DSG, insbesondere an die §§ 36 Abs. 2 Z 2, 39 und 50 DSG. Die Anforderungen des § 43 Abs. 1 DSG werden insbesondere durch die gesetzliche Grundlage für die Datenverarbeitungen im PStSG erfüllt.

Der Begriff der „sensiblen Daten“ gemäß § 4 Z 2 DSG 2000 wurde nunmehr durch den Begriff der „besonderen Kategorien personenbezogener Daten“ gemäß § 39 DSG (Art. 10 DS-RL) ersetzt. Hiervon erfasst sind personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. Die Verarbeitung solcher Kategorien von Daten für die Zwecke des 3. Hauptstücks des DSG – und damit für Zwecke des polizeilichen Staatsschutzes – ist dann zulässig, wenn die Verarbeitung unbedingt erforderlich ist, wirksame Maßnahmen zum Schutz der Rechte und Freiheiten der betroffenen Personen getroffen werden und – sofern der Betroffene die Daten nicht offensichtlich selbst öffentlich gemacht hat – die Verarbeitung gesetzlich vorgesehen ist. Durch die Änderung des zweiten Satz des Abs. 1 soll das Erfordernis der Rechtsgrundlage für die Verarbeitung besonderer Kategorien personenbezogener Daten im Rahmen des polizeilichen Staatsschutzes erfüllt werden. Eine solche ist – entsprechend der datenschutzrechtlichen Vorgaben – zulässig, wenn dies zur Erfüllung der Aufgaben nach dem PStSG unbedingt erforderlich ist; wie bislang sind angemessene Vorkehrungen zur Wahrung der Geheimhaltungsinteressen der Betroffenen zu treffen. Mit der Regelung des Abs. 1 zweiter Satz soll klargestellt sein, dass die Verarbeitung besonderer Kategorien personenbezogener Daten im Rahmen der Aufgabenerfüllung nach dem PStSG – wie bisher – bei unbedingter Erforderlichkeit zulässig ist; es bedarf grundsätzlich keiner zusätzlichen ausdrücklichen Ermächtigungen. Soll die Verarbeitung solcher besonderer Daten jedoch nicht in jedem Fall – etwa nur zu bestimmten Zwecken oder nur bei bestimmten Kategorien – zulässig sein, wird dies durch ausdrückliche Erwähnung der besonderen Fälle deutlich gemacht.

In § 50 DSG finden sich die Regelungen zur Protokollierung für alle Datenverarbeitungen. Demnach sind über jeden Verarbeitungsvorgang Protokollaufzeichnungen zu führen, aus denen zumindest Zweck, Datum und Uhrzeit des Vorgangs, die Identität der Person, die die Daten verarbeitet hat, sowie allfällige Übermittlungsempfänger ersichtlich sind. Bei der Verarbeitung von Daten innerhalb der Organisationsstruktur des Verantwortlichen bzw. durch gemeinsam Verantwortliche handelt es sich nicht um eine Übermittlung in diesem Sinne. Die Protokollaufzeichnungen sind zwei Jahre aufzubewahren und danach zu löschen.

Gemäß § 43 Abs. 4 DSG kann aus bestimmten Gründen die Information des Betroffenen über seine Person betreffende Datenverarbeitungen aufgeschoben, eingeschränkt oder unterlassen werden. Dies gilt gemäß § 44 Abs. 2 und 3 DSG auch ausdrücklich im Zusammenhang mit dem Auskunftsrecht Betroffener. Gemäß Art. 16 DS-RL kann gesetzlich eine solche Beschränkung ebenso hinsichtlich des Rechts auf Berichtigung oder Löschung bzw. auf Einschränkung der Verarbeitung vorgesehen werden. Durch den neuen Abs. 4 soll – in Entsprechung des Art. 16 DS-RL – bei Vorliegen der Voraussetzungen des § 43 Abs. 4 DSG auch in Fällen des § 45 Abs. 4 DSG von der Unterrichtung des Betroffenen Abstand genommen werden können.

Zu Z 5 und 6 (§ 10):

Da bereits § 9 Abs. 1 eine Rechtsgrundlage für die Verarbeitung besonderer Kategorien von Daten im Rahmen polizeilichen Staatsschutzes normiert, bedarf es grundsätzlich keiner weiteren Anführung. Die Verarbeitung ist dabei natürlich an die Grenzen und Erfordernisse des § 39 DSG sowie des § 9 Abs. 1 gebunden, sodass diese nur bei unbedingter Erforderlichkeit zulässig ist.

Im Übrigen handelt es sich um begriffliche Anpassungen an das DSG, ohne eine Änderung der materiellen Rechtslage herbeizuführen. Der Begriff des „Ermittelns“ soll nunmehr vom Terminus des „Verarbeitens“ erfasst sein, sodass es keiner getrennten Erwähnung von „Ermitteln“ und „Verarbeiten“ bedarf und dennoch die materielle Rechtslage beibehalten wird.

Zu Z 7, 8, 9, 10, 11 und 12 (§ 12):

Die vorgeschlagenen Änderungen erfolgen in Anpassung an das DSG, insbesondere in Umsetzung der §§ 47 f DSG.

Der Begriff des „Informationsverbundsystems“ (bisher § 4 Z 13 DSG 2000) wird nunmehr durch die Datenverarbeitung durch „gemeinsam Verantwortliche“ (§ 47 DSG bzw. 21 Abs. 1 DS-RL) ersetzt. Gemäß § 48 Abs. 1 DSG kann sich der Verantwortliche eines Dritten bedienen, der personenbezogene Daten in seinem Auftrag verarbeitet („Auftragsverarbeiter“ iSd § 36 Abs. 2 Z 9 DSG). Der Auftragsverarbeiter im Sinne des DSG entspricht im Wesentlichen dem „Dienstleister“ gemäß § 4 Z 5 DSG 2000 und – soweit es sich bei der Datenanwendung um ein Informationsverbundsystem handelt – dem „Betreiber“ gemäß § 50 Abs. 1 DSG 2000. Die Funktion des Betreibers in Bezug auf Datenverarbeitungen nach § 12 übte bisher ausdrücklich das Bundesamt für Verfassungsschutz und Terrorismusbekämpfung aus. Nunmehr soll gemäß Abs. 1 letzter Satz die Rolle des „Auftragsverarbeiters“ dem Bundesminister für Inneres zukommen. Als eine Organisationseinheit der Sicherheitsbehörde Bundesminister für Inneres (vgl. § 1 Abs. 3 iVm § 6 Abs. 1 SPG) ist das Bundesamt im Innenverhältnis auch weiterhin mit der faktischen Aufgabe der Auftragsverarbeitung betraut. Wenngleich nunmehr das Bundesamt nicht mehr ausdrücklich angeführt wird, wird damit keine tatsächliche Änderung des aktuellen Rechtsbestands herbeigeführt.

Bislang sah § 50 DSG 2000 die Möglichkeit vor, dass mehrere Auftraggeber gemeinsam ein Informationsverbundsystem betreiben und damit Daten gemeinsam verarbeiten können. Nunmehr normiert § 47 DSG die gemeinsame Verarbeitung, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke und die Mittel zur Verarbeitung festlegen. Hierbei fungieren die Verantwortlichen als gemeinsam Verantwortliche, die ihre jeweiligen Aufgaben nach dem Datenschutzgesetz, insbesondere hinsichtlich der Wahrnehmung der Rechte Betroffener und wer welchen Informationspflichten gemäß § 43 DSG nachkommt, festzulegen haben. Nur sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht gesetzlich normiert sind, hat dies mittels Vereinbarung zu geschehen. In diesem Sinne soll der vorgeschlagene Abs. 8 gesetzlich die Zuständigkeiten zwischen den gemeinsam Verantwortlichen von Datenverarbeitungen auf Grundlage des PStSG dahingehend aufteilen, dass Auskunfts-, Informations-, Berichtigungs-, Löschungs- und sonstige Pflichten nach dem Datenschutzgesetz von jedem Verantwortlichen nur in Bezug auf jene personenbezogenen Daten zu erfüllen sind, die im Zusammenhang mit den von ihm selbst ursprünglich verarbeiteten Daten stehen. Dies erscheint zweckmäßig, weil der in diesem Sinne (ausschließlich) zuständige gemeinsam Verantwortliche am ehesten in der Lage ist, zu beurteilen, ob dem Betroffenen bezüglich der in Rede stehenden Daten tatsächlich ein Auskunfts-, Berichtigungs- oder sonstiger Anspruch nach dem Datenschutzgesetz zukommt. Möchte ein Betroffener ein Recht nach dem Datenschutzgesetz wahrnehmen, hat er seine Identität nachzuweisen, um missbräuchliche oder unberechtigte Geltendmachung angeblicher Rechte hintanhalten zu können. Nimmt ein Betroffener jedoch ein Recht gegenüber einem unzuständigen gemeinsam Verantwortlichen wahr – somit nicht gegenüber demjenigen, der seine Daten ursprünglich verarbeitet und damit in die gemeinsame Datenverarbeitung eingespeichert hat –, hat dieser durch Konsultation des zuständigen gemeinsam Verantwortlichen zu prüfen, ob die Unterrichtung des Betroffenen womöglich gemäß § 43 Abs. 4 aufgeschoben, eingeschränkt oder unterlassen werden soll. Liegt kein solcher Fall vor, ist der Betroffene gemäß dem letzten Satz des neuen Abs. 8 an den zuständigen gemeinsam Verantwortlichen zu verweisen. Im Übrigen handelt es sich um die erforderlichen begrifflichen Anpassungen an das DSG.

Zu Z 13, 14 und 15 (§§ 13, 14 Abs. 1 und 15 Abs. 1):

Es handelt sich ausschließlich um Anpassungen an die Terminologie des DSG, ohne eine materielle Änderung der bestehenden Rechtslage herbeizuführen.

Zu Z 16 und 17 (§ 16 Abs. 1 und 3):

Es handelt sich um die begriffliche Anpassung an das DSG, ohne eine materielle Änderung der bestehenden Rechtslage herbeizuführen.

Zu Z 18 (§ 18 Abs. 3):

Es handelt sich um die erforderliche Inkrafttretensbestimmung.

Artikel 18 (Änderung des Polizeikooperationsgesetzes)

Zu Z 1 und 2 (Inhaltsverzeichnis):

Die Änderungen stellen notwendige Adaptierungen des Inhaltsverzeichnisses dar.

Zu Z 3, 4, 5, 7 und 18 (§ 3 Abs. 2 Z 1, § 5 Abs. 1 Z 2 und Abs. 3 Z 1, § 7 Abs. 1 und 5, § 18 Z 1):

Die vorgeschlagenen Änderungen dienen der terminologischen Anpassung an die datenschutzrechtlichen Vorgaben der DSGVO sowie der DS-RL und deren innerstaatlichen Umsetzung durch das 3. Hauptstück des Datenschutzgesetzes.

Der Begriff „Verarbeitung“ wird in § 36 Abs. 2 Z 2 DSG (Art. 3 Z 2 DS-RL) als jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten definiert. Dies umfasst das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Eine Differenzierung zwischen den Begriffen „Ermitteln“, „Verwenden“ und „Verarbeiten“ besteht nicht mehr und es werden alle gänzlich von „Verarbeiten“ erfasst. Im Sinne der Klarstellung wird jedoch vereinzelt von der Verwendung des umfassenden Begriffs „Verarbeiten“ abgegangen und lediglich von „Ermitteln“ oder „Übermitteln“ gesprochen, um die im jeweiligen Kontext konkret zulässige Form des „Verarbeitens“ klar zu definieren. Auch ist die Verwendung des Begriffs „Ermitteln“ dem DSG zu entnehmen.

Dem bisherigen Begriff des „Auftraggebers“ entspricht nunmehr die Definition des „Verantwortlichen“ (§ 36 Abs. 2 Z 8 DSG, Art. 3 Z 8 DS-RL) und wird damit die zuständige Behörde, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet, definiert. Dem bisherigen Begriff des „Dienstleisters“ entspricht nunmehr die Definition des „Auftragsverarbeiters“ (§ 36 Abs. 2 Z 9 DSG, Art. 3 Z 9 DS-RL), der als natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet, definiert wird.

Dem Begriff der „Datenanwendung“ (§ 4 Z 7 DSG 2000) entspricht nunmehr der Terminus der „Datenverarbeitung“.

Das rechtliche Konstrukt des Informationsverbundsystems des bisherigen § 50 DSG 2000 ist dem neuen datenschutzrechtlichen System in dieser Form nicht bekannt. Dieses wird künftig durch eine Datenverarbeitung von zwei oder mehr Verantwortlichen, die gemeinsam den Zweck und die Mittel einer Datenverarbeitung festlegen, dargestellt. In diesem Konstrukt treffen grundsätzlich alle Verantwortlichen die entsprechenden Pflichten der Wahrnehmung der Rechte der betroffenen Person gleichermaßen, insbesondere Informations- und Auskunftspflichten. Die jeweiligen Aufgaben können jedoch gemäß § 47 DSG (Art. 21 Abs. 1 DS-RL) gesetzlich festgelegt werden.

Zu Z 6 (§ 8):

Die DSGVO differenziert hinsichtlich des Zwecks der Verarbeitung personenbezogener Daten. Dient die Verarbeitung personenbezogener Daten dem Zweck der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, sind die Bestimmungen der DS-RL anzuwenden, welche im 3. Hauptstück des DSG innerstaatlich umgesetzt wurde. Erfolgt die Verarbeitung personenbezogener Daten zu anderen als diesen Zwecken, sind die jeweiligen Bestimmungen der DSGVO einschlägig. Da das PolKG gemäß § 1 Abs. 1 die internationale polizeiliche Kooperation sowohl zu Zwecken der Sicherheits- und Kriminalpolizei (und somit im Anwendungsbereich der DS-RL bzw. dem 3. Hauptstück des DSG) als auch zu Zwecken des Passwesens, der Fremdenpolizei und der Grenzkontrolle (die dem Regime der DSGVO unterliegen) regelt, muss dies hinsichtlich der Zulässigkeit der Übermittlung berücksichtigt werden.

Da sowohl die DSGVO als auch die DS-RL bzw. das DSG weiters hinsichtlich der Übermittlung personenbezogener Daten an Mitgliedstaaten und an Drittstaaten sowie internationale Organisationen differenziert, muss hierauf ebenso Bedacht genommen werden.

Folglich ist im Anwendungsbereich des PolKG einerseits zwischen Übermittlungen zum Zweck der Sicherheits- und Kriminalpolizei und sonstigen Zwecken und anderseits zwischen Übermittlungen an Sicherheitsbehörden anderer Mitgliedstaaten und Übermittlungen an Sicherheitsbehörden von Drittstaaten und an Sicherheitsorganisationen (im Sinne des § 2 Abs. 2 PolKG) zu unterscheiden.

Zu Abs. 1:

Abs. 1 regelt unter welchen Voraussetzungen Übermittlungen zu Zwecken der Sicherheits- und Kriminalpolizei zulässig sind. Z 1 und Z 2 unterscheiden nach den Übermittlungsempfänger, da nach der DS-RL bzw. dem DSG hierzu unterschiedliche Voraussetzungen bestehen. Z 1 definiert die Voraussetzung für Übermittlungen an Sicherheitsbehörden von Mitgliedstaaten sowie Europol. Gemäß Art 9 Abs. 4 der DS-RL dürfen für Übermittlungen an andere Mitgliedstaaten keine Bedingungen zur Anwendung gelangen, die nicht auf für entsprechende innerstaatliche Datenübermittlungen gelten. Daher sind keine zusätzlichen Auflagen oder Beschränkungen für Datenübermittlungen zulässig, die sich nicht auch innerstaatlich ergeben. Folglich ist eine Übermittlung von österreichischen Sicherheitsbehörden an Sicherheitsbehörden anderer Mitgliedstaaten unter denselben Voraussetzungen zulässig wie nach den nationalen sicherheitspolizeilichen und strafprozessualen Bestimmungen. Das bedeutet, dass dann Auflagen erteilt werden dürfen, wenn diese im Falle einer Übermittlung an eine andere, inländische Behörde aufgrund der nationalen Bestimmungen (beispielsweise im SPG oder in der StPO) ebenfalls vorgesehen sind.

Z 2 regelt unter welchen Voraussetzungen eine Übermittlung personenbezogener Daten zu Zwecken der Sicherheits- und Kriminalpolizei an Sicherheitsbehörden von Drittstaaten sowie Sicherheitsorganisationen gemäß § 2 Abs. 2 Z 2 und 3 zulässig ist. Das DSG gibt konkrete Vorgaben, welche sich in den Bestimmungen der §§ 58 ff DSG (Art. 35 ff DS-RL) wieder finden. Nach diesen ist eine Übermittlung personenbezogener Daten zulässig, wenn sie für Zwecke der Sicherheitspolizei einschließlich des polizeilichen Staatsschutzes, des militärischen Eigenschutzes, der Aufklärung und Verfolgung von Straftaten, der Strafvollstreckung und des Maßnahmenvollzugs erforderlich ist und an einen für diese Zwecke zuständigen Verantwortlichen erfolgt. Darüber hinaus bedarf es eines Angemessenheitsbeschlusses der Europäischen Kommission bezüglich des konkreten Drittstaates, in Ermangelung eines solchen sonstiger geeigneter Garantien hinsichtlich eines angemessenen Datenschutzniveaus; in bestimmten Ausnahmefällen ist die Übermittlung auch ohne einen Angemessenheitsbeschluss oder geeignete Garantien erlaubt (§ 59 Abs. 6 DSG). Sollen Daten übermittelt werden, die ursprünglich von einem anderen Mitgliedstaat stammen, ist zuvor dessen Zustimmung einzuholen.

Zu Abs. 2:

Abs. 2 regelt die Zulässigkeit der Übermittlung personenbezogener Daten zu Zwecken des Passwesens, der Fremdenpolizei und der Grenzkontrolle. Da diese Zwecke nicht im Anwendungsbereich der DS-RL bzw. des 3. Hauptstücks des DSG liegen, gelangt die DSGVO zur Anwendung. Auch in diesem Fall muss zwischen den Übermittlungsempfängern – Mitgliedstaaten und Drittstaaten sowie Sicherheitsorganisationen – unterschieden werden, da entsprechend unterschiedliche Voraussetzungen zu erfüllen sind. Für Übermittlungen im Anwendungsbereich der DSGVO sollen ebenfalls dieselben Voraussetzungen gelten wie für Übermittlungen innerhalb eines Staates und dürfen daher auch hier keine engeren Voraussetzungen für Übermittlung an Mitgliedstaaten vorgesehen werden, als sie vergleichsweise für eine solche innerstaatliche Übermittlung Anwendung finden. Demnach ist die Übermittlung personenbezogener Daten an Mitgliedstaaten dann zulässig, wenn eine solche zur Erfüllung der Aufgabe erforderlich ist. Dies ist eine Grundvoraussetzung, die auch für Übermittlungen an inländische Behörden vorgesehen ist.

Im Falle der Übermittlung von Daten zu Zwecken des Passwesen, der Fremdenpolizei sowie der Grenzkontrolle an Sicherheitsbehörden von Drittstaaten oder an Sicherheitsorganisationen gemäß § 2 Abs. 2 Z 2 und 3 finden die diesbezüglichen Bestimmungen des Kapitel V der DSGVO Anwendung und verweist Z 2 entsprechend auf diese.

Zu Z 7 bis 13 (§ 8a):

Es handelt sich um Anpassungen an die datenschutzrechtlichen Vorgaben. Eine materielle Änderung zur bisherigen Rechtslage erfolgt nicht.

Zu Abs. 1:

In dieser Bestimmung wird die Teilnahme an internationalen Datenverarbeitungen den datenschutzrechtlichen Vorgaben angepasst. Das neue Datenschutzregime regelt die Möglichkeit der gemeinsamen Verarbeitung durch zwei oder mehrere Verantwortliche sowohl im rein nationalen Rahmen als auch im grenzüberschreitenden Bereich mit Mitgliedstaaten. Bei den gemeinsamen Datenverarbeitungen iSd § 8a handelt es sich um Datenverarbeitungen sowohl mit Sicherheitsbehörden von Mitgliedstaaten als auch mit Sicherheitsbehörden von Drittstaaten bzw. mit Sicherheitsorganisationen. Eine solche ist zulässig, wenn eine Übermittlung – welches eine Unterform der Verarbeitung darstellt – zulässig ist.

Das bedeutet, dass im Falle einer gemeinsamen Verarbeitung mit Sicherheitsbehörden von Drittstaaten oder mit Sicherheitsorganisationen gemäß § 2 Abs. 2 Z 2 und 3 zu prüfen ist, ob die Voraussetzungen gemäß § 58 ff DSG vorliegen. Dies kann nun sein, dass eine Angemessenheitsbeschluss der Europäischen Kommission oder – in Ermangelung eines solchen – geeignete Garantien zum Schutz personenbezogener Daten gegeben sind. Diese geeigneten Garantien können in einem rechtsverbindlichen Instrument (beispielsweise einem bilateralen Abkommen) festgelegt werden oder der Verantwortliche ist aufgrund der Beurteilung aller relevanten Umstände zu dem Ergebnis gekommen, dass solche geeigneten Garantien zum Schutz personenbezogener Daten vorliegen.

Zu Abs. 2:

Während Abs. 2 Z 1 die Zusammenarbeit mit Interpol konkretisiert, trägt Z 2 dem Umstand Rechnung, dass sich die zivilen Inlands- und Sicherheitsdienste der EU-Staaten sowie Norwegen und Schweiz Ende 2001 auf Initiative einer Sonderinnenministertagung als Reaktion auf die Anschläge vom 11. September 2001 zum Zweck der grenzüberschreitenden Terrorismusbekämpfung zu einer Counter-Terrorism-Group zusammengeschlossen haben, um den Informationsaustausch über eine gemeinsam genutzte Datenbank zu intensivieren. Hierbei handelt es sich um eine Angelegenheit, die nicht dem Recht der Europäischen Union unterliegt (§ 3 Abs. 4 DSG). Um das bisher bestehende hohe Datenschutzniveau auch weiterhin beizubehalten, werden jedoch lediglich spezifische Bestimmungen des DSG ausgeschlossen, die auch schon bisher nicht zur Anwendung gelangt sind.

Zu Z 14 (§ 9):

Im bisherigen Abs. 1 erfolgt eine terminologische Anpassung und wird die Absatzbezeichnung aufgrund der Streichung des Abs. 2 entfernt.

Der bisherige Abs. 2 entfällt, da sich diese Verpflichtung künftig unmittelbar auf § 45 Abs. 6 DSG stützt. Von einer ident lautenden Bestimmung wurde hier Abstand genommen. Nach wie vor sind die Sicherheitsbehörden verpflichtet Daten, die ihnen von ausländischen Sicherheitsbehörden oder Sicherheitsorganisationen übermittelt wurden und die zu löschen sind, ebenfalls zu löschen. Dies ergibt sich nunmehr aus § 45 Abs. 6 DSG. Daten, die in einer gemeinsamen Datenverarbeitung (vormals Informationssammlung) verarbeitet werden, sind nach den jeweiligen völkerrechtlichen Regelungen zu löschen. Die Regelungen hinsichtlich der Speicher- und Löschungsfristen ergeben sich aus den jeweiligen nationalen Materiengesetzen sowie den völkerrechtlichen Regelungen. Eine materielle Änderung zur bisherigen Rechtslage erfolgt nicht.

Zu Z 15 (§ 10):

Die Streichung dieser Bestimmung ist der Anwendbarkeit des DSG geschuldet. Die Verpflichtung der Verständigung der ausländischen Sicherheitsbehörde oder der Sicherheitsorganisationen im Falle der Kenntnisnahme unrichtiger, unrechtmäßig verarbeiteter, richtigzustellender oder zu löschender personenbezogener Daten bleibt weiterhin aufrecht. Diese Verpflichtung ergibt sich nunmehr unmittelbar aus § 45 Abs. 5 und 6 DSG. Von einer replizierenden Bestimmung in diesem Gesetz wurde Abstand genommen. Eine materielle Änderung zur bisherigen Rechtslage erfolgt nicht.

Zu Z 16 (§ 11):

Es handelt sich um eine Anpassung der Protokollierungsbestimmung an die Vorgaben des § 50 DSG. Die Zuordnung zu einem bestimmten Organwalter ist bei automatisierten Abfragen nicht erforderlich. Eine ausdrückliche Bestimmung der Aufbewahrungsfrist für Protokolldaten findet sich in § 50 DSG nicht. Aus diesem Grund wird hier eine entsprechende Regelung insofern getroffen, dass Protokolldaten für mindestens zwei Jahre aufzubewahren und anschließend zu löschen sind.

Zu Z 17 (§ 12):

Es erfolgt eine konkretisierende Anpassung an das DSG dahingehend, als künftig die in § 43 Abs. 4 DSG taxativ aufgezählten Gründe eine Beschränkung des Auskunftsrechts zulassen. Die Möglichkeit der Beschränkung des Auskunftsrechts ergibt sich aus § 44 Abs. 2 DSG. Im Falle eines Auskunftsbegehrens ist jene ausländische Sicherheitsbehörde oder Sicherheitsorganisation vor Erteilung einer Auskunft um Stellungnahme zu ersuchen, ob eine der Voraussetzungen gemäß § 43 Abs. 4 DSG für eine Beschränkung der Auskunft vorliegt.

Zu Z 19 (§ 20 Abs. 10):

Es handelt sich um die erforderlichen Inkrafttretens- und Außerkrafttretensbestimmungen.

Artikel 19 (Änderung des EU-Polizeikooperationsgesetzes)

Zu Z 1 bis 3 (Inhaltsverzeichnis):

Es handelt sich um notwendige Anpassungen des Inhaltsverzeichnisses

Zu Z 4 und 7 (§§ 1 Abs. 2, 5 Abs. 4):

Es handelt sich um eine Zitatanpassung.

Zu Z 5, 7, 9, 10, 11 und 12 (§§ 3 Abs. 1 und 3, 5 Abs. 2, 6 Abs. 1 bis 3, 26, 33 Abs. 1, 3 und 7):

Es handelt sich um notwendige terminologische Anpassungen aufgrund der datenschutzrechtlichen Vorgaben. Der Begriff des „Verwendens“ wird durch den umfassenden Begriff des „Verarbeitens“ gemäß § 36 Abs. 2 Z 2 DSG (Art. 3 Z 2 DS-RL) ersetzt. Davon ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten erfasst. Dies umfasst das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Eine Differenzierung zwischen den Begriffen „Ermitteln“, „Verwenden“ und „Verarbeiten“ besteht nicht mehr und es werden alle diese gänzlich von „Verarbeiten“ erfasst. Im Sinne der Klarstellung wird jedoch vereinzelt von der Verwendung des umfassenden Begriffs „Verarbeiten“ abgegangen und lediglich von „Ermitteln“ oder „Übermitteln“ gesprochen, um die im jeweiligen Kontext konkret zulässige Form des „Verarbeitens“ klar zu definieren.

Dem Begriff der „Datenanwendung“ (§ 4 Z 7 DSG 2000) entspricht nunmehr der Terminus der „Datenverarbeitung“.

Zu Z 6 (§ 4 Abs. 1):

Es handelt sich um die Bereinigung eines Redaktionsversehens.

Zu Z 8 (Überschriften zu §§ 6, 22 und 24):

Die vorgeschlagenen Änderungen der Überschriften dienen der terminologischen Anpassung an das DSG.

Zu Z 13 (§ 43):

Es handelt sich um eine Konkretisierung der bestehenden Regelung. Im Falle eines Auskunftsbegehrens ist vor Erteilung einer Auskunft – wie bisher – jener Mitgliedstaat, der die Daten eingeben hat, um Stellungnahme zu ersuchen, ob einer der in § 43 Abs. 4 DSG genannten Gründe für eine Beschränkung der Auskunft vorliegt.

Im Übrigen erfolgt eine Zitatanpassung.

Zu Z 14 (§ 46 Abs. 7):

Es handelt sich um die Inkrafttretensbestimmung.

Zu Artikel 20 (Änderung des Bundespräsidentenwahlgesetzes 1971)

Zu Z 1 (§ 25a):

Gemäß Art. 21 Abs. 1 DSGVO hat der Betroffene das Recht, aus Gründen, die sich aus seiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung der ihn betreffenden personenbezogenen Daten Widerspruch zu erheben. Ein solches, dem Betroffenen durch die DSGVO in genereller Weise eingeräumtes Widerspruchsrecht kann jedoch gemäß Art. 23 DSGVO zur Sicherstellung einer der in Abs. 1 lit. a bis j genannten Zwecke durch nationale Bestimmungen beschränkt werden, sofern eine solche Beschränkung notwendig und verhältnismäßig ist. Von einer solchen Beschränkung wird in § 25a für sämtliche nach dem Bundespräsidentenwahlgesetz 1971 verarbeitete Daten Gebrauch gemacht.

Für einen geordneten Vollzug des Wahlrechts ist die Verarbeitung personenbezogener Daten in dem gesetzlich vorgesehenen Maße unerlässlich und es liegt in diesem Sinne immer ein überwiegendes schutzwürdiges, öffentliches Interesse an der Datenverarbeitung vor. Es ist daher erforderlich und sachgerecht, den Ausschluss des Widerspruchsrechts gemäß Art. 21 DSGVO für alle nach diesem Bundesgesetz verarbeiteten personenbezogenen Daten vorzusehen. Eine Einzelfallabwägung, wie sie in Art. 21 Abs. 1 DSGVO vorgesehen ist, hätte überdies zur Folge, dass im Falle eines Widerspruchs durch die betroffene Person eine weitere Datenverarbeitung mit Ausnahme der Speicherung der Daten bis zum Nachweis zwingender schutzwürdiger Gründe für die Verarbeitung nicht mehr vorgenommen werden dürfte, sofern der Betroffene die Einschränkung der Verarbeitung verlangt (Art. 18 Abs. 1 lit. d DSGVO). Die rechtskonforme, fristgerechte Durchführung von Wahlen steht im allgemeinen öffentlichen Interesse; die gesetzlich vorgesehene Verarbeitung der betreffenden Daten ist daher zur Erfüllung der den Behörden übertragenen Aufgaben – bis zu deren gesetzlich vorgesehenen Löschung – zu jedem Zeitpunkt erforderlich. Weiters wäre im Falle eines Widerspruchs nach Art. 21 DSGVO und der – wenn auch nur vorübergehenden – Unzulässigkeit der Weiterverarbeitung die Besorgung der Aufgaben nach diesem Bundesgesetz von vorherein wesentlich beeinträchtigt und ein geordneter Vollzug von an ein striktes Fristengefüge gebundenen Wahlereignissen nicht mehr möglich. Aus diesen Gründen wird vorgeschlagen, das Widerspruchsrecht auszuschließen.

Zu Z 2 (§ 28 Abs. 14):

Diese Bestimmung regelt das Inkrafttreten der Änderung dieses Bundesgesetzes.

Zu Artikel 21 (Änderung des Europäische-Bürgerinitiative-Gesetzes)

Zu Z 1, Z 2 und Z 3 (§ 3 Abs. 2, § 3 Abs. 6 und § 3 Abs. 8):

Die vorgeschlagenen Änderungen dienen der terminologischen Anpassung an die DSGVO (Art. 4 DSGVO). Demnach sollen die Begriffe „Datei“ und „Datenbank“ durch „Dateisystem“ ersetzt werden.

Zu Z 4 (§ 3 Abs. 9):

Eine Datenverarbeitung muss gemäß Art. 9 Abs. 2 lit. g DSGVO der Verwirklichung eines wichtigen, im Unions- oder nationalen Recht anerkannten Interesses dienen. Das Europäische-Bürgerinitiative-Gesetz dient, wie § 1 Abs. 1 ausführt, der Durchführung der Verordnung (EU) Nr. 211/2011 über die Bürgerinitiative, ABl. Nr. L 65 vom 11.03.2011 S. 1. Der Zweck der Verarbeitung von Daten im Sinne des Europäische-Bürgerinitiative-Gesetzes liegt somit in der Erfüllung einer unionsrechtlichen Verpflichtung.

Gemäß Art. 21 Abs. 1 DSGVO hat der Betroffene das Recht, aus Gründen, die sich aus seiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung der ihn betreffenden personenbezogenen Daten Widerspruch zu erheben. Ein solches, dem Betroffenen durch die DSGVO in genereller Weise eingeräumtes Widerspruchsrecht kann jedoch gemäß Art. 23 DSGVO zur Sicherstellung einer der in Abs. 1 lit. a bis j genannten Zwecke durch nationale Bestimmungen beschränkt werden, sofern eine solche Beschränkung notwendig und verhältnismäßig ist. Von einer solchen Beschränkung wird in § 3 Abs. 9 für sämtliche nach dem Europäische-Bürgerinitiative-Gesetz verarbeitete Daten Gebrauch gemacht.

Für einen geordneten Vollzug des Europäische-Bürgerinitiative-Gesetzes ist die Verarbeitung personenbezogener Daten in dem gesetzlich vorgesehenen Maße unerlässlich und es liegt in diesem Sinne immer ein überwiegendes schutzwürdiges, öffentliches Interesse an der Datenverarbeitung vor. Es ist daher erforderlich und sachgerecht, den Ausschluss des Widerspruchsrechts gemäß Art. 21 DSGVO für alle nach diesem Bundesgesetz verarbeiteten personenbezogenen Daten vorzusehen. Eine Einzelfallabwägung, wie sie in Art. 21 Abs. 1 DSGVO vorgesehen ist, hätte überdies zur Folge, dass im Falle eines Widerspruchs durch die betroffene Person eine weitere Datenverarbeitung mit Ausnahme der Speicherung der Daten bis zum Nachweis zwingender schutzwürdiger Gründe für die Verarbeitung nicht mehr vorgenommen werden dürfte, sofern der Betroffene die Einschränkung der Verarbeitung verlangt (Art. 18 Abs. 1 lit. d DSGVO). Die rechtskonforme, fristgerechte Durchführung von Europäischen Bürgerinitiativen, die in Art. 11 Abs. 4 des EU-Vertrages verankert sind, steht im allgemeinen öffentlichen Interesse; die gesetzlich vorgesehene Verarbeitung der betreffenden Daten ist daher zur Erfüllung der der Behörde übertragenen Aufgaben – bis zu deren gesetzlich vorgesehenen Löschung – zu jedem Zeitpunkt erforderlich. Weiters wäre im Falle eines Widerspruchs nach Art. 21 DSGVO und der – wenn auch nur vorübergehenden – Unzulässigkeit der Weiterverarbeitung die Besorgung der Aufgaben nach diesem Bundesgesetz von vorherein wesentlich beeinträchtigt, es würde ein beträchtlicher Verwaltungsaufwand verursacht, ein geordneter, an ein striktes Fristengefüge gebundener Vollzug wäre nicht mehr möglich und den unionsrechtlichen Verpflichtungen bezüglich der Europäischen Bürgerinitiative könnte nicht nachgekommen werden Aus diesen Gründen wird vorgeschlagen, das Widerspruchsrecht auszuschließen.

Zu Z 5 (§ 10 Abs. 4):

Diese Bestimmung regelt das Inkrafttreten der Änderung dieses Bundesgesetzes.

Zu Artikel 22 (Änderung des Europa-Wählerevidenzgesetzes)

Zu Z 1 (§ 13 Abs. 4):

Die vorgeschlagene Änderung dient der terminologischen Anpassung an die Definitionen der DSGVO (Art. 4 DSGVO). Demnach soll der Begriff „verwenden“ durch „verarbeiten“ ersetzt werden.

Zu Z 2 (§ 13 Abs. 5):

Eine Datenverarbeitung muss gemäß Art. 9 Abs. 2 lit. g DSGVO der Verwirklichung eines wichtigen, im Unions- oder nationalen Recht anerkannten Interesses dienen. Die Führung einer ständigen Europa-Wählerevidenz ist, wie § 1 Abs. 1 ausführt, die Grundlage für das Anlegen von Wählerverzeichnissen vor einer Wahl zum Europäischen Parlament. Der Zweck der Verarbeitung von Daten im Sinne des Europa-Wählerevidenzgesetzes liegt somit in der Erfüllung einer unionsrechtlichen Verpflichtung.

Gemäß Art. 21 Abs. 1 DSGVO hat der Betroffene das Recht, aus Gründen, die sich aus seiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung der ihn betreffenden personenbezogenen Daten Widerspruch zu erheben. Ein solches, dem Betroffenen durch die DSGVO in genereller Weise eingeräumtes Widerspruchsrecht kann jedoch gemäß Art. 23 DSGVO zur Sicherstellung einer der in Abs. 1 lit. a bis j genannten Zwecke durch nationale Bestimmungen beschränkt werden, sofern eine solche Beschränkung notwendig und verhältnismäßig ist. Von einer solchen Beschränkung wird in § 13 Abs. 5 für sämtliche nach dem Europa-Wählerevidenzgesetz verarbeitete Daten Gebrauch gemacht.

Für einen geordneten Vollzug des Europa-Wählerevidenzgesetzes ist die Verarbeitung personenbezogener Daten in dem gesetzlich vorgesehenen Maße unerlässlich und es liegt in diesem Sinne immer ein überwiegendes schutzwürdiges, öffentliches Interesse an der Datenverarbeitung vor. Es ist daher erforderlich und sachgerecht, den Ausschluss des Widerspruchsrechts gemäß Art. 21 DSGVO für alle nach diesem Bundesgesetz verarbeiteten personenbezogenen Daten vorzusehen. Eine Einzelfallabwägung, wie sie in Art. 21 Abs. 1 DSGVO vorgesehen ist, hätte überdies zur Folge, dass im Falle eines Widerspruchs durch die betroffene Person eine weitere Datenverarbeitung mit Ausnahme der Speicherung der Daten bis zum Nachweis zwingender schutzwürdiger Gründe für die Verarbeitung nicht mehr vorgenommen werden dürfte, sofern der Betroffene die Einschränkung der Verarbeitung verlangt (Art. 18 Abs. 1 lit. d DSGVO). Die rechtskonforme, fristgerechte Durchführung von Europawahlen steht im allgemeinen öffentlichen Interesse; die gesetzlich vorgesehene Verarbeitung der betreffenden Daten ist daher zur Erfüllung der der Behörde übertragenen Aufgaben – bis zu deren gesetzlich vorgesehenen Löschung – zu jedem Zeitpunkt erforderlich. Weiters wäre im Falle eines Widerspruchs nach Art. 21 DSGVO und der – wenn auch nur vorübergehenden – Unzulässigkeit der Weiterverarbeitung die Besorgung der Aufgaben nach diesem Bundesgesetz von vorherein wesentlich beeinträchtigt und es würde ein beträchtlicher Verwaltungsaufwand verursacht. Es wäre nicht mehr gewährleistet, dass in der Europa-Wählerevidenz oder in den daraus generierten Wählerverzeichnissen alle Wahlberechtigten enthalten sind und ein geordneter, an ein striktes Fristengefüge gebundener Vollzug von Europawahlen wäre nicht mehr möglich, sodass den unionsrechtlichen Verpflichtungen bezüglich der Wahl zum Europäischen Parlament nicht nachgekommen werden könnte. Aus diesen Gründen wird vorgeschlagen, das Widerspruchsrecht auszuschließen.

Zu Z 3 (§ 18):

An Stelle der bisherigen Übergangsbestimmung des § 18, die durch die Änderung des Europa-Wählerevidenzgesetzes obsolet geworden ist, wird eine neue Übergangsbestimmung vorgeschlagen, die auf Grund des Wahlrechtsänderungsgesetzes 2017 als notwendig erachtet wird. Mit Blick auf die bei den Gemeinden mit der Einführung des Zentralen Wählerregisters zu erwarteten Einsparungen hat der Gesetzgeber in dem aus diesem Grund novellierten Europa-Wählerevidenzgesetz niedrigere Vergütungssätze für die pro wahlberechtigte Person jährlich auszuzahlenden Pauschalentschädigungen festgelegt, als sie nach der Rechtslage bis Ende 2017 verankert waren. Mangels einer im Wahlrechtsänderungsgesetz 2017 normierten Übergangsbestimmung könnte der Bundesminister für Inneres daher für die Führung der Europa-Wählevidenzen an die Gemeinden – auch für die zurückliegenden Jahre 2016 und 2017 – nur mehr die seit 1. Jänner 2018 verminderten Vergütungssätze auszahlen. Mit den nunmehr in einer Übergangsbestimmung vorgeschlagenen Vergütungssätzen erhalten die Gemeinden pro zum 31. Dezember 2016 und zum 31. Dezember 2017 aufgrund des Europa-Wählerevidenzgesetzes erfasster Person noch die Pauschalentschädigungen in exakt jener Höhe, die ihnen bis Ende 2017 – vor Verankerung des mit 1. Jänner 2018 in Betrieb gegangenen Zentralen Wählerregisters – zugestanden wären.

Zu Z 4 (§ 20 Abs. 12):

Diese Bestimmung regelt das Inkrafttreten der Änderung dieses Bundesgesetzes.

Zu Artikel 23 (Änderung der Europawahlordnung)

Zu Z 1 (§ 11 Abs. 1):

Die vorgeschlagene Änderung dient der terminologischen Anpassung an die Definitionen der DSGVO (Art. 4 DSGVO). Demnach soll der Begriff „EDV-Applikation“ durch „EDV-Datenverarbeitung“ ersetzt werden.

Zu Z 2 (§ 11 Abs. 5):

Eine Datenverarbeitung muss gemäß Art. 9 Abs. 2 lit. g DSGVO der Verwirklichung eines wichtigen, im Unions- oder nationalen Recht anerkannten Interesses dienen. Die österreichischen Mitglieder des Europäischen Parlaments im Sinne des Art. 23a B-VG werden, wie § 1 Abs. 1 ausführt, nach den Bestimmungen der Europawahlordnung gewählt. Der Zweck der Verarbeitung von Daten im Sinne dieses Bundesgesetzes liegt somit in der Erfüllung einer unionsrechtlichen Verpflichtung.

Gemäß Art. 21 Abs. 1 DSGVO hat der Betroffene das Recht, aus Gründen, die sich aus seiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung der ihn betreffenden personenbezogenen Daten Widerspruch zu erheben. Ein solches, dem Betroffenen durch die DSGVO in genereller Weise eingeräumtes Widerspruchsrecht kann jedoch gemäß Art. 23 DSGVO zur Sicherstellung einer der in Abs. 1 lit. a bis j genannten Zwecke durch nationale Bestimmungen beschränkt werden, sofern eine solche Beschränkung notwendig und verhältnismäßig ist. Von einer solchen Beschränkung wird in § 11 Abs. 5 für sämtliche nach der Europawahlordnung verarbeitete Daten Gebrauch gemacht.

Für einen geordneten Vollzug der Europawahlordnung ist die Verarbeitung personenbezogener Daten in dem gesetzlich vorgesehenen Maße unerlässlich und es liegt in diesem Sinne immer ein überwiegendes schutzwürdiges, öffentliches Interesse an der Datenverarbeitung vor. Es ist daher erforderlich und sachgerecht, den Ausschluss des Widerspruchsrechts gemäß Art. 21 DSGVO für alle nach diesem Bundesgesetz verarbeiteten personenbezogenen Daten vorzusehen. Eine Einzelfallabwägung, wie sie in Art. 21 Abs. 1 DSGVO vorgesehen ist, hätte überdies zur Folge, dass im Falle eines Widerspruchs durch die betroffene Person eine weitere Datenverarbeitung mit Ausnahme der Speicherung der Daten bis zum Nachweis zwingender schutzwürdiger Gründe für die Verarbeitung nicht mehr vorgenommen werden dürfte, sofern der Betroffene die Einschränkung der Verarbeitung verlangt (Art. 18 Abs. 1 lit. d DSGVO). Die rechtskonforme, fristgerechte Durchführung von Europawahlen steht im allgemeinen öffentlichen Interesse; die gesetzlich vorgesehene Verarbeitung der betreffenden Daten ist daher zur Erfüllung der der Behörde übertragenen Aufgaben – bis zu deren gesetzlich vorgesehenen Löschung – zu jedem Zeitpunkt erforderlich. Weiters wäre im Falle eines Widerspruchs nach Art. 21 DSGVO und der – wenn auch nur vorübergehenden – Unzulässigkeit der Weiterverarbeitung die Besorgung der Aufgaben nach diesem Bundesgesetz von vorherein wesentlich beeinträchtigt und es würde ein beträchtlicher Verwaltungsaufwand verursacht. Eine an ein striktes Fristengefüge gebundene Durchführung von Europawahlen wäre nicht mehr möglich, sodass den unionsrechtlichen Verpflichtungen bezüglich der Wahl zum Europäischen Parlament nicht nachgekommen werden könnte. Aus diesen Gründen wird vorgeschlagen, das Widerspruchsrecht auszuschließen.

Zu Z 3, Z 4 und Z 5 (§ 34 Abs. 1, § 39 Abs. 8 und § 72 Abs. 6):

Die vorgeschlagenen Änderungen dienen der terminologischen Anpassung an die Definitionen der DSGVO (Art. 4 DSGVO). So sollen die Begriffe „zur Verfügung stellen“ durch „übermitteln“ und „Datei“ durch „Dateisystem“ ersetzt werden.

Zu Z 6 (§ 91 Abs. 15):

Diese Bestimmung regelt das Inkrafttreten der Änderung dieses Bundesgesetzes.

Zu Artikel 24 (Änderung der Nationalrats-Wahlordnung 1992)

Zu Z 1, Z 3, Z 4 und Z 5 (§ 23 Abs. 1, § 46 Abs. 1, § 52 Abs. 7 und § 106 Abs. 5):

Die vorgeschlagenen Änderungen dienen der terminologischen Anpassung an die Definitionen der DSGVO (Art. 4 DSGVO). So sollen die Begriffe „Applikation“ durch „Datenverarbeitung“, „zur Verfügung stellen“ durch „übermitteln“ und „Datei“ durch „Dateisystem“ ersetzt werden.

Zu Z 2 (§ 23 Abs. 5):

Gemäß Art. 21 Abs. 1 DSGVO hat der Betroffene das Recht, aus Gründen, die sich aus seiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung der ihn betreffenden personenbezogenen Daten Widerspruch zu erheben. Ein solches, dem Betroffenen durch die DSGVO in genereller Weise eingeräumtes Widerspruchsrecht kann jedoch gemäß Art. 23 DSGVO zur Sicherstellung einer der in Abs. 1 lit. a bis j genannten Zwecke durch nationale Bestimmungen beschränkt werden, sofern eine solche Beschränkung notwendig und verhältnismäßig ist. Von einer solchen Beschränkung wird in § 23 Abs. 5 für sämtliche nach der Nationalrats-Wahlordnung 1992 verarbeitete Daten Gebrauch gemacht.

Zu Z 6 (§ 129 Abs. 12):

Diese Bestimmung regelt das Inkrafttreten der Änderung dieses Bundesgesetzes.

Zu Artikel 25 (Änderung des Volksabstimmungsgesetzes 1972)

Zu Z 1 (§ 6 Abs. 3):

Die vorgeschlagene Änderung dient der terminologischen Anpassung an die Definitionen der DSGVO (Art. 4 DSGVO). So soll der Begriff „Applikation“ durch „Datenverarbeitung“ ersetzt werden.

Zu Z 2 (§ 19 Abs. 3):

Gemäß Art. 21 Abs. 1 DSGVO hat der Betroffene das Recht, aus Gründen, die sich aus seiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung der ihn betreffenden personenbezogenen Daten Widerspruch zu erheben. Ein solches, dem Betroffenen durch die DSGVO in genereller Weise eingeräumtes Widerspruchsrecht kann jedoch gemäß Art. 23 DSGVO zur Sicherstellung einer der in Abs. 1 lit. a bis j genannten Zwecke durch nationale Bestimmungen beschränkt werden, sofern eine solche Beschränkung notwendig und verhältnismäßig ist. Von einer solchen Beschränkung wird in § 19 Abs. 3 für sämtliche nach dem Volksabstimmungsgesetz 1972 verarbeitete Daten Gebrauch gemacht.

Für eine geordnete Durchführung von Volksabstimmungen ist die Verarbeitung personenbezogener Daten in dem gesetzlich vorgesehenen Maße unerlässlich und es liegt in diesem Sinne immer ein überwiegendes schutzwürdiges, öffentliches Interesse an der Datenverarbeitung vor. Es ist daher erforderlich und sachgerecht, den Ausschluss des Widerspruchsrechts gemäß Art. 21 DSGVO für alle nach diesem Bundesgesetz verarbeiteten personenbezogenen Daten vorzusehen. Eine Einzelfallabwägung, wie sie in Art. 21 Abs. 1 DSGVO vorgesehen ist, hätte überdies zur Folge, dass im Falle eines Widerspruchs durch die betroffene Person eine weitere Datenverarbeitung mit Ausnahme der Speicherung der Daten bis zum Nachweis zwingender schutzwürdiger Gründe für die Verarbeitung nicht mehr vorgenommen werden dürfte, sofern der Betroffene die Einschränkung der Verarbeitung verlangt (Art. 18 Abs. 1 lit. d DSGVO). Die rechtskonforme, fristgerechte Durchführung von Volksabstimmungen steht im allgemeinen öffentlichen Interesse; die gesetzlich vorgesehene Verarbeitung der betreffenden Daten ist daher zur Erfüllung der den Behörden übertragenen Aufgaben – bis zu deren gesetzlich vorgesehenen Löschung – zu jedem Zeitpunkt erforderlich. Weiters wäre im Falle eines Widerspruchs nach Art. 21 DSGVO und der – wenn auch nur vorübergehenden – Unzulässigkeit der Weiterverarbeitung die Besorgung der Aufgaben nach diesem Bundesgesetz von vorherein wesentlich beeinträchtigt und ein geordneter Vollzug des strikten Fristengefüges bei Volksabstimmungen nicht mehr möglich. Aus diesen Gründen wird vorgeschlagen, das Widerspruchsrecht auszuschließen.

Zu Z 3 (§ 21 Abs. 9):

Diese Bestimmung regelt das Inkrafttreten der Änderung dieses Bundesgesetzes.

Zu Artikel 26 (Änderung des Volksbefragungsgesetzes 1989)

Zu Z 1 (§ 6 Abs. 3):

Die vorgeschlagene Änderung dient der terminologischen Anpassung an die Definitionen der DSGVO (Art. 4 DSGVO). So soll der Begriff „Applikation“ durch „Datenverarbeitung“ ersetzt werden.

Zu Z 2 (§ 20 Abs. 4):

Gemäß Art. 21 Abs. 1 DSGVO hat der Betroffene das Recht, aus Gründen, die sich aus seiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung der ihn betreffenden personenbezogenen Daten Widerspruch zu erheben. Ein solches, dem Betroffenen durch die DSGVO in genereller Weise eingeräumtes Widerspruchsrecht kann jedoch gemäß Art. 23 DSGVO zur Sicherstellung einer der in Abs. 1 lit. a bis j genannten Zwecke durch nationale Bestimmungen beschränkt werden, sofern eine solche Beschränkung notwendig und verhältnismäßig ist. Von einer solchen Beschränkung wird in § 20 Abs. 4 für sämtliche nach dem Volksbefragungsgesetz 1989 verarbeitete Daten Gebrauch gemacht.

Für eine geordnete Durchführung von Volksbefragungen ist die Verarbeitung personenbezogener Daten in dem gesetzlich vorgesehenen Maße unerlässlich und es liegt in diesem Sinne immer ein überwiegendes schutzwürdiges, öffentliches Interesse an der Datenverarbeitung vor. Es ist daher erforderlich und sachgerecht, den Ausschluss des Widerspruchsrechts gemäß Art. 21 DSGVO für alle nach diesem Bundesgesetz verarbeiteten personenbezogenen Daten vorzusehen. Eine Einzelfallabwägung, wie sie in Art. 21 Abs. 1 DSGVO vorgesehen ist, hätte überdies zur Folge, dass im Falle eines Widerspruchs durch die betroffene Person eine weitere Datenverarbeitung mit Ausnahme der Speicherung der Daten bis zum Nachweis zwingender schutzwürdiger Gründe für die Verarbeitung nicht mehr vorgenommen werden dürfte, sofern der Betroffene die Einschränkung der Verarbeitung verlangt (Art. 18 Abs. 1 lit. d DSGVO). Die rechtskonforme, fristgerechte Durchführung von Volksbefragungen steht im allgemeinen öffentlichen Interesse; die gesetzlich vorgesehene Verarbeitung der betreffenden Daten ist daher zur Erfüllung der den Behörden übertragenen Aufgaben – bis zu deren gesetzlich vorgesehenen Löschung – zu jedem Zeitpunkt erforderlich. Weiters wäre im Falle eines Widerspruchs nach Art. 21 DSGVO und der – wenn auch nur vorübergehenden – Unzulässigkeit der Weiterverarbeitung die Besorgung der Aufgaben nach diesem Bundesgesetz von vorherein wesentlich beeinträchtigt und ein geordneter Vollzug des strikten Fristengefüges bei Volksbefragungen nicht mehr möglich. Aus diesen Gründen wird vorgeschlagen, das Widerspruchsrecht auszuschließen.

Zu Z 3 (§ 21 Abs. 10):

Diese Bestimmung regelt das Inkrafttreten der Änderung dieses Bundesgesetzes.

Zu Artikel 27 (Änderung des Volksbegehrengesetzes 2018)

Zu Z 1 (§ 4 Abs. 4):

Die vorgeschlagene Bestimmung, wonach Registrierungen von Volksbegehren und Vermerke über getätigte Unterstützungserklärungen zu löschen sind, wenn ein Einleitungsantrag abgewiesen wurde und die Abweisung eines Volksbegehrens unanfechtbar feststeht, dient den in der DSGVO normierten Grundsätzen der Datenminimierung gemäß Art. 5 Abs. 1 lit. c DSGVO.

Zu Z 2, Z 4, Z 8, Z 9, Z 12 und Z 14 (§ 5 Abs. 1 Z 1, § 5 Abs. 2, § 6 Abs. 1, § 11 Abs. 1 Z 1, § 11 Abs. 2 und § 13 Abs. 1):

Die vorgeschlagenen Änderungen dienen der terminologischen Anpassung an die Definitionen der DSGVO (Art. 4 DSGVO). So soll der Begriff „Datenanwendung“ jeweils durch „Datenverarbeitung“ ersetzt werden.

Zu Z 3 und Z 11 (§ 5 Abs. 2 und § 11 Abs. 2):

Es wird eine grammatikalische Klarstellung von durch ein Redaktionsversehen unvollständig gebliebenen Satzteilen vorgenommen.

Zu Z 5 (§ 5 Abs. 2):

Mit der vorgeschlagenen Bestimmung wird eine Klarstellung vorgenommen, was mit einem unterschriebenen Unterstützungserklärungs-Formular zu geschehen hat, wenn ein Einleitungsantrag abgewiesen wurde und eine Anfechtung nicht mehr möglich ist oder ein Einleitungsantrag bis zum Ablauf des 31. Dezember des dem Jahr, in dem die Anmeldung vorgenommen wurde, folgenden Jahr nicht gestellt wurde. Die unverzügliche Vernichtung des Formulars durch die Gemeinde nach entsprechender Verständigung durch den Bundesminister für Inneres dient den in der DSGVO normierten Grundsätzen der Datenminimierung gemäß Art. 5 Abs. 1 lit. c DSGVO.

Zu Z 6 und Z 7 (§ 5 Abs. 3 und § 5 Abs. 4):

Es wird eine terminologische Angleichung an die übrigen Formulierungen in § 5 vorgeschlagen, da in der Phase der Abgabe von Unterstützungserklärungen generell von „Unterstützungswilligen“ gesprochen wird. Mit dem Entfall des Verweises auf „Vorschriften des Abschnittes III“ wird ein Redaktionsversehen behoben.

Zu Z 10 (§ 11 Abs. 2):

Es wird eine Klarstellung der Verweisung vorgeschlagen, da im Eintragungsverfahren hinsichtlich der Stimmberechtigung auf die lex specialis des § 7 des Volksbegehrengesetzes 2018 abgestellt wird.

Zu Z 13 (§ 11 Abs. 5):

Gemäß Art. 21 Abs. 1 DSGVO hat der Betroffene das Recht, aus Gründen, die sich aus seiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung der ihn betreffenden personenbezogenen Daten Widerspruch zu erheben. Ein solches, dem Betroffenen durch die DSGVO in genereller Weise eingeräumtes Widerspruchsrecht kann jedoch gemäß Art. 23 DSGVO zur Sicherstellung einer der in Abs. 1 lit. a bis j genannten Zwecke durch nationale Bestimmungen beschränkt werden, sofern eine solche Beschränkung notwendig und verhältnismäßig ist. Von einer solchen Beschränkung wird in § 11 Abs. 5 für sämtliche nach dem Volksbegehrengesetz 2018 verarbeitete Daten Gebrauch gemacht.

Für eine geordnete Durchführung von Volksbegehren ist die Verarbeitung personenbezogener Daten in dem gesetzlich vorgesehenen Maße unerlässlich und es liegt in diesem Sinne immer ein überwiegendes schutzwürdiges, öffentliches Interesse an der Datenverarbeitung vor. Es ist daher erforderlich und sachgerecht, den Ausschluss des Widerspruchsrechts gemäß Art. 21 DSGVO für alle nach diesem Bundesgesetz verarbeiteten personenbezogenen Daten vorzusehen. Eine Einzelfallabwägung, wie sie in Art. 21 Abs. 1 DSGVO vorgesehen ist, hätte überdies zur Folge, dass im Falle eines Widerspruchs durch die betroffene Person eine weitere Datenverarbeitung mit Ausnahme der Speicherung der Daten bis zum Nachweis zwingender schutzwürdiger Gründe für die Verarbeitung nicht mehr vorgenommen werden dürfte, sofern der Betroffene die Einschränkung der Verarbeitung verlangt (Art. 18 Abs. 1 lit. d DSGVO). Die rechtskonforme, fristgerechte Durchführung von Volksbegehren steht im allgemeinen öffentlichen Interesse; die gesetzlich vorgesehene Verarbeitung der betreffenden Daten ist daher zur Erfüllung der den Behörden übertragenen Aufgaben – bis zu deren gesetzlich vorgesehenen Löschung – zu jedem Zeitpunkt erforderlich. Weiters wäre im Falle eines Widerspruchs nach Art. 21 DSGVO und der – wenn auch nur vorübergehenden – Unzulässigkeit der Weiterverarbeitung die Besorgung der Aufgaben nach diesem Bundesgesetz von vorherein wesentlich beeinträchtigt und ein geordneter Vollzug des strikten Fristengefüges bei Volksbegehren nicht mehr möglich. Aus diesen Gründen wird vorgeschlagen, das Widerspruchsrecht auszuschließen.

Zu Z 15 (§ 24):

An Stelle der bisherigen Übergangsbestimmung des § 24, die durch das Inkrafttreten des Volksbegehrengesetzes 2018 obsolet geworden ist, wird eine neue Übergangsbestimmung vorgeschlagen, die auf Grund der Änderungen des Wahlrechtsänderungsgesetzes 2017 und das Außerkrafttreten des Volksbegehrengesetzes 1973 mit 31. Dezember 2017 als notwendig erachtet wird. Mit Blick auf die bei den Gemeinden mit der Einführung des Zentralen Wählerregisters zu erwarteten Einsparungen hat der Gesetzgeber in den an die Stelle der genannten Kodifikationen getretenen Gesetze (Volksbegehrengesetz 2018 und Wählerevidenzgesetz 2018) sowie in dem aus diesem Grund novellierten Europa-Wählerevidenzgesetz jeweils niedrigere Vergütungssätze für die pro wahlberechtigte Person jährlich bzw. pro Eintragungszeitraum für ein Volksbegehren auszuzahlenden Pauschalentschädigungen festgelegt, als sie nach der Rechtslage bis Ende 2017 verankert waren. Ohne die vorgeschlagene Bestimmungen könnte der Bundesminister für Inneres – mangels entsprechender Rechtsgrundlage – für das nach dem Volksbegehrengesetz 1973 durchgeführte Volksbegehren mit der Kurzbezeichnung „Gegen TTIP/CETA“, für das der Eintragungszeitraum von 23. Jänner bis 30. Jänner 2017 festgelegt war, überhaupt keine Pauschalentschädigungen mehr an die Gemeinden auszahlen. Mit dem nunmehr in einer Übergangsbestimmung vorgeschlagenen Vergütungssätzen erhalten die Gemeinden für das genannte Volksbegehren (das einzige, für das im Jahr 2017 ein Eintragungsverfahren stattgefunden hat) noch die Pauschalentschädigungen in exakt jener Höhe, die ihnen bis Ende 2017 – vor Verankerung des mit 1. Jänner 2018 in Betrieb gegangenen Zentralen Wählerregisters – zugestanden wären.

Zu Z 16 (§ 24):

Diese Bestimmung regelt das Inkrafttreten der Änderung dieses Bundesgesetzes.

Zu Artikel 28 (Änderung des Wählerevidenzgesetzes 2018)

Zu Z 1 (§ 2 Abs. 7):

Die vorgeschlagene Änderung dient der terminologischen Anpassung an die Definitionen der DSGVO (Art. 4 DSGVO). So soll der Begriff „verwenden“ durch „verarbeiten“ ersetzt werden.

Zu Z 2 (§ 4 Abs. 1):

Der DSGVO und – soweit es diese in seinem 1., 2. und 4. Hauptstück umsetzt – dem Datenschutzgesetz (DSG), BGBl. I Nr. 120/2017, ist der Begriff des Informationsverbundsystems (bisher § 4 Z 13 DSG 2000) unbekannt. Die vorgeschlagene Änderung dient der terminologischen Anpassung an die DSGVO. Art. 26 DSGVO sieht vor, dass wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke und die Mittel zur Verarbeitung festlegen, diese gemeinsam Verantwortliche sind. Da diese Regelung eine Öffnungsklausel enthält, soll § 4 Abs. 1 entsprechend angepasst werden. Eine materielle Änderung gegenüber der bisherigen Rechtslage, insbesondere eine Einschränkung des Grundsatzes, dass jedem Verantwortlichen der Zugriff auf den Gesamtbestand der in der Zentralen Evidenz verarbeiteten Daten – unabhängig davon, welcher Verantwortliche sie im Einzelfall zur Verfügung gestellt hat – offensteht, ist damit nicht verbunden.

Gemäß § 26 Abs. 1 zweiter Satz DSGVO haben mehrere gemeinsam Verantwortliche in einer Vereinbarung festzulegen, wer von ihnen gegenüber der betroffenen Person welche Verpflichtungen nach der DSGVO – z.B. Berichtigungs- und Löschungspflichten – wahrzunehmen hat, es sei denn, eine entsprechende Zuständigkeitsverteilung bzw. Pflichtenzuordnung ist bereits in einer gesetzlichen Vorschrift des Unions- oder des nationalen Rechts vorgesehen. In diesem Sinne soll der vorgeschlagene § 4 Abs. 1 die Zuständigkeit zwischen den gemeinsam Verantwortlichen der zentralen Evidenz dahingehend aufteilen, dass Auskunfts-, Informations-, Berichtigungs-, Löschungs- und sonstige Pflichten nach der DSGVO von jedem Verantwortlichen nur in Bezug auf jene personenbezogenen Daten zu erfüllen sind, die im Zusammenhang mit den von ihm selbst geführten Verwaltungsverfahren oder den von ihm gesetzten (verfahrensfreien) Maßnahmen verarbeitet werden. Dies erscheint zweckmäßig, weil der in diesem Sinne (ausschließlich) zuständige Verantwortliche am ehesten in der Lage ist, zu beurteilen, ob dem Betroffenen bezüglich der in Rede stehenden Daten tatsächlich ein Auskunfts-, Berichtigungs- oder sonstiger Anspruch nach der DSGVO zukommt.

Wird ein Recht nach der DSGVO vom Betroffenen – unter Nachweis seiner Identität (vgl. ErwGr 64 zur DSGVO) – bei einem nach dieser Bestimmung unzuständigen Verantwortlichen wahrgenommen, soll nach Abs. 1 direkt durch diesen die Weiterverweisung an den für die Bearbeitung des Gesuchs zuständigen Verantwortlichen erfolgen. Dies soll auch für Fälle gelten, in denen den in Anspruch genommenen Verantwortlichen nur einen Teil der Pflichten treffen.

Der vorgeschlagenen Regelung steht Art. 26 Abs. 3 DSGVO nicht entgegen. Nach dieser Bestimmung kann der Betroffene ein Recht aufgrund der DSGVO zwar gegenüber „jedem einzelnen der Verantwortlichen“ geltend machen, und zwar unabhängig von einer zwischen den Verantwortlichen im Rahmen einer Vereinbarung getroffenen Zuständigkeitsverteilung; dies impliziert eine Pflicht des insoweit unzuständigen Verantwortlichen, ein Gesuch des Betroffenen nicht zurückzuweisen, sondern es jedenfalls entgegenzunehmen und an den zuständigen Verantwortlichen weiterzuleiten. Die freie Wahl des Verantwortlichen, gegenüber dem der Betroffene ein Recht nach der DSGVO geltend macht, gilt jedoch nur dann, wenn die Zuständigkeitsverteilung auf einer Vereinbarung zwischen den Verantwortlichen, nicht aber, wenn sie auf einer gesetzlichen Regelung beruht. Verteilt daher – wie hier (Abs. 1a) – eine gesetzliche Regelung die Zuständigkeiten unter den Verantwortlichen, so ist ein unzuständiger Verantwortlicher nicht gehalten, ein Gesuch des Betroffenen entgegenzunehmen oder weiterzuleiten. Vielmehr kann er den Betroffenen in einem solchen Fall an den zuständigen Verantwortlichen verweisen.

Gemäß Art 28 Abs. 1 DSGVO kann sich der Verantwortliche eines Dritten bedienen, der personenbezogene Daten in seinem Auftrag verarbeitet (Auftragsverarbeiter, Art. 4 Z 8 DSGVO). Der Auftragsverarbeiter im Sinne der DSGVO entspricht im Wesentlichen dem Dienstleister gemäß § 4 Z 5 DSG 2000 und – soweit es sich bei der Datenanwendung um ein Informationsverbundsystem handelt – dem Betreiber gemäß § 50 Abs. 1 DSG 2000. Diese Funktionen übte in Bezug auf das Zentrale Wählerregister bisher der Bundesminister für Inneres aus, weshalb es im Sinne größtmöglicher Kontinuität angezeigt ist, ihm künftig durch Abs. 1 die Funktion des Auftragsverarbeiters zu übertragen. Zudem soll gesetzlich normiert werden, dass der Bundesminister für Inneres in dieser Funktion auch verpflichtet ist, die Datenschutzpflichten gemäß Art. 28 Abs. 3 lit. a bis h DSGVO wahrzunehmen sowie datenqualitätssichernde Maßnahmen zu setzen, wie insbesondere Hinweise auf eine mögliche Identität zweier ähnlicher Datensätze oder die Schreibweise von Adressen zu geben („Clearing“).

Zu Z 3 (§ 4 Abs. 3):

§ 14 DSG 2000 sieht unter anderem vor, dass Protokolldaten über tatsächlich durchgeführte Verwendungsvorgänge, wie insbesondere Änderungen, Abfragen und Übermittlungen drei Jahre lang aufzubewahren sind, sofern gesetzlich nicht ausdrücklich anderes angeordnet ist. Davon darf in jenem Ausmaß abgewichen werden, als der von der Protokollierung betroffene Datenbestand zulässigerweise früher gelöscht oder länger aufbewahrt wird. Durch den Entfall des bisherigen § 14 DSG 2000 durch das Datenschutz-Anpassungsgesetz 2018, BGBl. I Nr. 120/2017, und den Umstand, dass die DSGVO von spezifischen Regelungen betreffend die Protokollierung Abstand nimmt, wird vorgeschlagen, in § 4 Abs. 3 eine dem § 14 Abs. 2 Z 7 DSG 2000 vergleichbare Regelung aufzunehmen. Die bisherige in § 14 Abs. 5 DSG 2000 enthaltene Protokollierungsdauer von drei Jahren soll vor dem Hintergrund der in der DSGVO normierten Grundsätze der Datenminimierung gemäß Art. 5 Abs. 1 lit. c DSGVO und der Speicherbegrenzung gemäß Art. 5 Abs. 1 lit. e DSGVO dem Zweck der Verarbeitung angepasst und somit auf zwei Jahre reduziert werden.

Weiters soll in § 4 Abs. 3 im Sinne einer terminologischen Anpassung an die Definitionen der DSGVO (Art. 4 DSGVO) der Begriff „Datenanwendung“ durch „Datenverarbeitung“ ersetzt werden.

Zu Z 4 (§ 4 Abs. 4):

Im Sinne einer terminologischen Anpassung an die Definitionen der DSGVO (Art. 4 DSGVO) soll der Begriff „Datenanwendung“ durch „Datenverarbeitung“ ersetzt werden.

Zu Z 5 (§ 4 Abs. 6):

Gemäß Art. 21 Abs. 1 DSGVO hat der Betroffene das Recht, aus Gründen, die sich aus seiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung der ihn betreffenden personenbezogenen Daten Widerspruch zu erheben. Ein solches, dem Betroffenen durch die DSGVO in genereller Weise eingeräumtes Widerspruchsrecht kann jedoch gemäß Art. 23 DSGVO zur Sicherstellung einer der in Abs. 1 lit. a bis j genannten Zwecke durch nationale Bestimmungen beschränkt werden, sofern eine solche Beschränkung notwendig und verhältnismäßig ist. Von einer solchen Beschränkung wird in § 4 Abs. 6 für sämtliche nach dem Wählerevidenzgesetz 2018 verarbeitete Daten Gebrauch gemacht.

Für eine geordnete Durchführung von Wahlereignissen ist die Verarbeitung personenbezogener Daten in Wählerevidenzen in dem gesetzlich vorgesehenen Maße unerlässlich und es liegt in diesem Sinne immer ein überwiegendes schutzwürdiges, öffentliches Interesse an der Datenverarbeitung vor. Es ist daher erforderlich und sachgerecht, den Ausschluss des Widerspruchsrechts gemäß Art. 21 DSGVO für alle nach diesem Bundesgesetz verarbeiteten personenbezogenen Daten vorzusehen. Eine Einzelfallabwägung, wie sie in Art. 21 Abs. 1 DSGVO vorgesehen ist, hätte überdies zur Folge, dass im Falle eines Widerspruchs durch die betroffene Person eine weitere Datenverarbeitung mit Ausnahme der Speicherung der Daten bis zum Nachweis zwingender schutzwürdiger Gründe für die Verarbeitung nicht mehr vorgenommen werden dürfte, sofern der Betroffene die Einschränkung der Verarbeitung verlangt (Art. 18 Abs. 1 lit. d DSGVO). Die rechtskonforme, fristgerechte Durchführung von Volksbegehren steht im allgemeinen öffentlichen Interesse; die gesetzlich vorgesehene Verarbeitung der betreffenden Daten ist daher zur Erfüllung der den Behörden übertragenen Aufgaben – bis zu deren gesetzlich vorgesehenen Löschung – zu jedem Zeitpunkt erforderlich. Weiters wäre im Falle eines Widerspruchs nach Art. 21 DSGVO und der – wenn auch nur vorübergehenden – Unzulässigkeit der Weiterverarbeitung die Besorgung der Aufgaben nach diesem Bundesgesetz von vorherein wesentlich beeinträchtigt und es würde ein beträchtlicher Verwaltungsaufwand verursacht. Es wäre nicht mehr gewährleistet, dass in der Wählerevidenz oder in den daraus generierten Wählerverzeichnissen alle Wahlberechtigten enthalten sind und ein geordneter, an ein striktes Fristengefüge gebundener Vollzug von Wahlereignissen wäre nicht mehr möglich. Aus diesen Gründen wird vorgeschlagen, das Widerspruchsrecht auszuschließen.

Zu Z 6 (§ 17):

An Stelle der bisherigen Übergangsbestimmung des § 17, die durch das Inkrafttreten des Wählerevidenzgesetzes 2018 obsolet geworden ist, wird eine neue Übergangsbestimmung vorgeschlagen, die auf Grund der Änderungen des Wahlrechtsänderungsgesetzes 2017 und das Außerkrafttreten des Wählerevidenzgesetzes 1973 mit 31. Dezember 2017 als notwendig erachtet wird. Mit Blick auf die bei den Gemeinden mit der Einführung des Zentralen Wählerregisters zu erwarteten Einsparungen hat der Gesetzgeber in den an die Stelle der genannten Kodifikationen getretenen Gesetze (Volksbegehrengesetz 2018 und Wählerevidenzgesetz 2018) sowie in dem aus diesem Grund novellierten Europa-Wählerevidenzgesetz jeweils niedrigere Vergütungssätze für die pro wahlberechtigte Person jährlich bzw. pro Eintragungszeitraum für ein Volksbegehren auszuzahlenden Pauschalentschädigungen festgelegt, als sie nach der Rechtslage bis Ende 2017 verankert waren. Mangels einer im Wahlrechtsänderungsgesetz 2017 normierten Übergangsbestimmung könnte der Bundesminister für Inneres daher für die Führung der Wählevidenzen an die Gemeinden – auch für die zurückliegenden Jahre 2016 und 2017 – nur mehr die seit 1. Jänner 2018 verminderten Vergütungssätze auszahlen. Mit den nunmehr in einer Übergangsbestimmung vorgeschlagenen Vergütungssätzen erhalten die Gemeinden pro zum 31. Dezember 2016 und zum 31. Dezember 2017 aufgrund des Wählerevidenzgesetzes 1973 erfasster Person noch die Pauschalentschädigungen in exakt jener Höhe, die ihnen bis Ende 2017 – vor Verankerung des mit 1. Jänner 2018 in Betrieb gegangenen Zentralen Wählerregisters – zugestanden wären.

Zu Z 7 (§ 19):

Diese Bestimmung regelt das Inkrafttreten der Änderung dieses Bundesgesetzes.