Entwurf
Bundesgesetz, mit dem das Bundesarchivgesetz, das Bundesstatistikgesetz 2000, das Informationssicherheitsgesetz, das Künstler-Sozialversicherungsfondsgesetz, das Mediengesetz, das ORF‑Gesetz, das Presseförderungsgesetz, das Medienkooperations- und -förderungs-Transparenzgesetz, das Familienlastenausgleichsgesetz 1967, das Kinderbetreuungsgeldgesetz, das Bundes‑Kinder- und Jugendhilfegesetz 2013, das Bundesgesetz über die Einrichtung einer Dokumentations- und Informationsstelle für Sektenfragen, das Bundes‑Jugendförderungsgesetz und das Familienzeitbonusgesetz geändert werden (Datenschutz‑Anpassungsgesetz – Bundeskanzleramt)
Der Nationalrat hat beschlossen:
Inhaltsverzeichnis
|
Art. |
Gegenstand / Bezeichnung |
|
1 |
Änderung des Bundesarchivgesetzes |
|
2 |
Änderung des Bundesstatistikgesetzes 2000 |
|
3 |
Änderung des Informationssicherheitsgesetzes |
|
4 |
Änderung des Künstler-Sozialversicherungsfondsgesetzes |
|
5 |
Änderung des Mediengesetzes |
|
6 |
Änderung des ORF-Gesetzes |
|
7 |
Änderung des Presseförderungsgesetzes |
|
8 |
Änderung des Medienkooperations- und -förderungs-Transparenzgesetzes |
|
9 |
Änderung des Familienlastenausgleichsgesetzes 1967 |
|
10 |
Änderung des Kinderbetreuungsgeldgesetzes |
|
11 |
Änderung des Bundes-Kinder- und Jugendhilfegesetzes 2013 |
|
12 |
Änderung des Bundesgesetzes über die Einrichtung einer Dokumentations- und Informationsstelle für Sektenfragen |
|
13 |
Änderung des Bundes-Jugendförderungsgesetzes |
|
14 |
Änderung des Familienzeitbonusgesetzes |
Artikel 1
Änderung des Bundesarchivgesetzes
Das Bundesarchivgesetz, BGBl. I Nr. 162/1999 wird wie folgt geändert:
1. In § 5 Abs. 2 wird die Wortfolge „dem § 1 Abs. 3 des Datenschutzgesetzes unterliegenden Daten“ durch die Wortfolge „personenbezogene Daten“ ersetzt.
2. In § 5 Abs. 3 entfällt die Wortfolge „gemäß § 1 Abs. 3 des Datenschutzgesetzes“ und wird das Wort „Daten“ durch die Wortfolge „personenbezogene Daten“ ersetzt; folgende Sätze werden angefügt:
„Die Archivierung und die Verarbeitung dieses Schriftgutes mit den darin enthaltenen personenbezogenen Daten liegt im öffentlichen Interesse für Archiv- und historische Forschungszwecke. Bis zur Übernahme des Schriftgutes sind die gemäß Abs. 1 übergebenden Bundesdienststellen und ab der Übernahme das Österreichische Staatsarchiv Verantwortliche gemäß Art. 4 Z 7 iVm Art. 26 Abs. 1 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1.“
3. § 7 Abs. 1 lautet:
„§ 7. (1) Archive des Bundes haben betroffenen Personen auf Antrag Auskunft über die sie betreffenden personenbezogenen Daten zu erteilen, soweit
1. das Archivgut erschlossen ist,
2. die betroffenen Personen Angaben machen, die das Auffinden der personenbezogenen Daten ermöglichen, und
3. der für die Erteilung der Auskunft erforderliche Aufwand im Verhältnis zu dem geltend gemachten Informationsinteresse steht.“
4. In § 7 Abs. 4 erster Satz lautet:
„(4) Machen betroffene Personen glaubhaft, dass das Archivgut eine falsche Tatsachenbehauptung enthält, die sie erheblich in ihren Rechten beeinträchtigt, so können sie verlangen, dass dem betreffenden Archivgut eine von der betroffenen Person verfasste Gegendarstellung beigefügt wird.“
5. In § 8 Abs. 5 wird jeweils das Wort „Betroffenen“ durch die Wortfolge „betroffenen Personen“ ersetzt.
6. § 11. Abs. 1 lautet:
„§ 11. (1) In Werken dürfen personenbezogene Daten erst zehn Jahre nach dem Tode der betroffenen Personen oder Untergang der juristischen Personen veröffentlicht werden, es sei denn, diese haben ausdrücklich der Veröffentlichung zugestimmt. Ist das Todesjahr nicht feststellbar, endet die Schutzfrist 110 Jahre nach der Geburt der betroffenen Personen.“
7. Dem § 19 wird folgender Abs. 3 angefügt:
„(3) § 5 Abs. 2 und 3, 6 Abs. 3, 7 Abs. 1 und 4, 8 Abs. 5 sowie § 11 Abs. 1 in der Fassung des Bundesgesetzes BGBl. I Nr. XX/2018 treten mit 25. Mai 2018 in Kraft.“
Artikel 2
Änderung des Bundesstatistikgesetzes 2000
Das Bundesstatistikgesetz 2000, BGBl. I Nr. 163/1999, zuletzt geändert durch BGBl. I Nr. 40/2014, wird wie folgt geändert:
1. Im Inhaltsverzeichnis lautet § 15:
„§ 15. Pseudonymisierung und Verschlüsselung“
2. § 3 Z 3 lautet:
„3. Statistische Einheit: Grundbeobachtungseinheit gemäß Art. 3 Z 6 der Verordnung (EG) Nr. 223/2009 über europäische Statistiken und zur Aufhebung der Verordnung (EG, Euratom) Nr. 1101/2008 über die Übermittlung von unter die Geheimhaltungspflicht fallenden Informationen an das Statistische Amt der Europäischen Gemeinschaften, der Verordnung (EG) Nr. 322/97 über die Gemeinschaftsstatistiken und des Beschlusses 89/382/EWG, Euratom des Rates zur Einsetzung eines Ausschusses für das Statistische Programm der Europäischen Gemeinschaften, ABl. Nr. L 87 vom 31.3.2009 S. 164.“
3. § 3 Z 15 lautet:
„15. Vertrauliche Daten: Daten gemäß Art. 3 Z 7 Verordnung (EG) Nr. 223/2009 über die Gemeinschaftsstatistiken.“
4. § 4 Abs. 3 Z 8 lautet:
„8. welche Daten von welchen Personenkreisen und Unternehmenskreisen personenbezogen bzw. unternehmensbezogen und welche anonymisiert zu erheben sind;“
5. § 5 Abs. 1, Einleitungssatz, lautet:
„§ 5. (1) Durch Verordnung darf eine Erhebung von personenbezogenen Daten nur über jene Gegenstände angeordnet werden,“
6. § 5 Abs. 2, Einleitungssatz, lautet:
„(2) In den Fällen des Abs. 1 ist die Anordnung der Erhebung von personenbezogenen Daten durch Verordnung im Übrigen nur dann zulässig, wenn dies für einen der folgenden Zwecke unerlässlich ist:“
7. § 5 Abs. 2 Z 7 lautet:
„7. Entlastung der Respondenten bei wiederholten zeitnahen statistischen Erhebungen in der Art der Befragung über die gleichen Erhebungsmerkmale, soweit keine personenbezogenen Daten erhoben werden;“
8. Dem § 5 wird folgender Abs. 6 angefügt:
„(6) Die personenbezogen und unternehmensbezogen erhobenen Daten gelten für die Organe der Bundesstatistik als vertrauliche Daten gemäß § 3 Z 15. Die aufgrund dieses Bundesgesetzes und aufgrund von Verordnungen gemäß § 4 Abs. 3 und 4 sowie §§ 5 bis 7 notwendige Datenverarbeitung erfüllt die Voraussetzungen des Art. 35 Abs. 10 der Datenschutz-Grundverordnung für einen Entfall der Datenschutz-Folgenabschätzung.“
9. § 8 Abs. 2 lautet:
„(2) Vor Erlassung von Verordnungen gemäß § 5 Abs. 1 Z 2, die die Erhebung von personenbezogenen Daten vorsehen, ist der Datenschutzrat zu hören.“
10. § 15 samt Überschrift lautet:
„Pseudonymisierung und Verschlüsselung“
§ 15. (1) Wurden personenbezogene Daten erhoben, sind die Identitätsdaten von natürlichen Personen unverzüglich zu beseitigen und durch das bereichsspezifische Personenkennzeichen Amtliche Statistik (bPK-AS) zu ersetzen, sobald sie nicht mehr aus den in § 5 Abs. 2 genannten Gründen oder für eine weitere angeordnete statistische Erhebung erforderlich sind. Die Bundesanstalt darf keine Aufzeichnungen führen, aus denen hervorgeht, welcher natürlichen Person welches bPK-AS zuzuordnen ist. Art. 15, 16, 18 und 21 der Verordnung (EU) Nr. 679/2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 27.04.2016 S. 1, finden auf diese Daten keine Anwendung.
(2) Ist die Beibehaltung des Personenbezuges der betroffenen Personen aus einer der Gründe gemäß § 5 Abs. 2 Z 5 bis 8 oder die Beibehaltung des Unternehmensbezugs für die Erstellung von Unternehmensstatistiken unerlässlich, ist die Identität der betroffenen Personen und Unternehmen zu verschlüsseln:
1. im Fall des § 5 Abs. 2 Z 5 unmittelbar, nachdem die Daten in die Verlaufsstatistik aufgenommen worden sind;
2. im Fall des § 5 Abs. 2 Z 6 unverzüglich, sobald nur mehr dieser Grund vorliegt;
3. im Fall des § 5 Abs. 2 Z 7 unmittelbar, nachdem die Daten in die Statistik aufgenommen worden sind;
4. im Fall des § 5 Abs. 2 Z 8 unmittelbar, nachdem die Daten in die Berechnungen der volkswirtschaftlichen Gesamtrechnung aufgenommen worden sind;
5. im Fall von Unternehmensstatistiken unmittelbar nach Erstellung der jeweiligen Unternehmensstatistik.
(3) Die gemäß Abs. 2 verschlüsselten Daten sind getrennt vom Schlüssel so aufzubewahren, dass die schutzwürdigen Geheimhaltungsinteressen der Betroffenen nicht gefährdet sind. Der Personenbezug und Unternehmensbezug dieser Daten darf nur dann hergestellt werden, wenn dies zur Fortsetzung der Verlaufsstatistik oder für eine konkrete Prüftätigkeit gemäß § 5 Abs. 2 Z 6 oder für eine neuerliche Erhebung gemäß § 5 Abs. 2 Z 7 oder für Revisionen der Berechnungen der volkswirtschaftlichen Gesamtrechnung gemäß § 5 Abs. 2 Z 8 oder für eine weiterführende Unternehmensstatistik erforderlich ist.
(4) Eine Verschlüsselung gemäß Abs. 2 Z 1 kann unterbleiben, wenn nach dem die Verlaufsstatistik anordnenden Bundesgesetz oder Rechtsakt gemäß § 4 Abs. 1 Z 1 die Beibehaltung des Personenbezugs oder Unternehmensbezug zulässig ist.
(5) Die in den Registern gemäß §§ 25 und 25a enthaltenen personenbezogenen und unternehmensbezogenen Daten sind unverzüglich zu löschen, sobald diese für die in diesen Bestimmungen angeführten Zwecke nicht mehr benötigt werden, spätestens jedoch 30 Jahre nach Wegfall der Unternehmenseigenschaft gemäß § 3 Z 20.“
11. § 17 Abs. 1 lautet:
„§ 17. (1) Personenbezogene und unternehmensbezogene Daten dürfen nur entsprechend § 16 Abs. 3 verarbeitet werden. Sie dürfen insbesondere nicht in der Weise ausgewertet werden, dass das Zutreffen von Merkmalen personenbezogen oder unternehmensbezogen dargestellt wird.“
12. § 24 Z 7 lautet:
„7. Geheimhaltung von vertraulichen Daten.“
13. In § 26 Abs. 1 wird die Wortfolge „der Unternehmenskennzahl“ durch die Wortfolge „einer gemäß § 15 Abs. 2 Z 5 verschlüsselten Unternehmenskennzahl“ ersetzt.
14. § 27 Abs. 3 lautet:
„(3) Die gemäß Abs. 1 zu Erhebungen herangezogenen Personen und Einrichtungen gelten als Auftragsverarbeiter gemäß Art. 4 Z 8 der Datenschutz-Grundverordnung.“
15. § 68 Abs. 1 lautet:
„§ 68. (1) Die Vereinbarung gemäß Art. 15a B-VG zwischen dem Bund und den Ländern über die Zusammenarbeit im Bereich der Statistik, BGBl. Nr. 408/1985 bleibt unberührt.“
16. Dem § 73 wird folgender Abs. 10 angefügt:
„(10) Das Inhaltsverzeichnis, § 3 Z 3 und 15, § 4 Abs. 3 Z 8, § 5 Abs. 1, 2 und 6, § 8 Abs. 2, § 15 samt Überschrift, § 17 Abs. 1, § 24 Z 7, § 26 Abs. 1, § 27 Abs. 3 sowie § 68 Abs. 1 in der Fassung des Bundesgesetzes, BGBl. I Nr. XX/2018, treten mit 25. Mai 2018 in Kraft.“
Artikel 3
Änderung des Informationssicherheitsgesetzes
Das Informationssicherheitsgesetz, BGBl. I Nr. 23/2002, zuletzt geändert durch BGBl. I Nr. 10/2006, wird wie folgt geändert:
1. In § 3 Abs. 1 entfällt die Wortfolge „den jeweils betroffenen Personen“.
2. § 3 Abs. 3 entfällt.
3. In § 12. Abs. 4b wird das Wort „Daten“ durch die Wortfolge „personenbezogenen Daten“ und das Wort „Zustimmung“ durch „Einwilligung“ ersetzt.
4. Nach § 17 wird folgender § 18 samt Überschrift angefügt:
„Inkrafttreten
§ 18. § 3 Abs. 1 und 3 sowie § 12 Abs. 4b in der Fassung des Bundesgesetzes BGBl. I Nr. XX/2018 treten mit 25. Mai 2018 in Kraft.“
Artikel 4
Änderung des Künstler-Sozialversicherungsfondsgesetzes
Das Künstler-Sozialversicherungsfondsgesetz, BGBl. I Nr. 131/2000, zuletzt geändert durch BGBl. I Nr. 15/2015, wird wie folgt geändert:
1. § 13 Abs. 1 erster Satz lautet:
„§ 13. (1) Der Fonds darf zum Zwecke der Wahrnehmung der Aufgaben nach diesem Gesetz folgende personenbezogene Daten der Zuschusswerber und -berechtigten sowie Beihilfenwerber- und ‑berechtigten automationsunterstützt verarbeiten:“
2. In § 13 Abs. 1 werden in Z 6 das Wort „und“ durch einen Beistrich und in Z 7 der Punkt durch einen Beistrich ersetzt; folgende Z 8 wird angefügt:
„8. Gesundheitsdaten gemäß Art. 9 der Verordnung (EU) Nr. 679/2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 27.04.2016 S. 1, soweit sie für die Gewährung der Beihilfe gemäß § 25c und zur Kontrolle deren widmungsgemäßen Verwendung erforderlich ist.“
3. § 13 Abs. 2 bis 4 werden jeweils das Wort „Daten“ durch die Wortfolge „personenbezogenen Daten“ ersetzt.
4. Dem § 13 wird folgender Abs. 5 angefügt:
„(5) Die in diesem Bundesgesetz vorgesehenen Datenverarbeitungen erfüllen die Voraussetzungen des Art. 35 der Datenschutz-Grundverordnung für einen Entfall der Datenschutz-Folgenabschätzung.“
5. Dem § 30 wird folgender Abs. 9 angefügt:
„(9) § 13 in der Fassung des Bundesgesetzes BGBl. I Nr. XX/2018 tritt mit 25. Mai 2018 in Kraft.“
Artikel 5
Änderung des Mediengesetzes
Das Bundesgesetz über die Presse und andere publizistische Medien (Mediengesetz – MedienG), BGBl. Nr. 314/1981, zuletzt geändert durch BGBl. I Nr. 101/2014, wird wie folgt geändert:
1. § 43b Abs. 9 lautet:
„(9) Gesetzliche Verschwiegenheitspflichten bleiben durch diese Bestimmung unberührt.“
2. Dem § 55 wird folgender Abs. 10 angefügt:
„(10) § 43b Abs. 9 in der Fassung des Bundesgesetzes xxx/2018 tritt mit 25. Mai 2018 in Kraft.“
Artikel 6
Änderung des ORF-Gesetzes
Das Bundesgesetz über den Österreichischen Rundfunk (ORF-Gesetz, ORF-G), BGBl. Nr. 379/1984, zuletzt geändert durch BGBl. I Nr. 115/2017, wird wie folgt geändert:
1. In § 4f Abs. 2 Z 23 wird jeweils vor dem Wort „Daten“ das Wort „personenbezogenen“ eingefügt.
2. In § 18 Abs. 4 zweiter Satz wird die Wortfolge „sowie jene Formen, bei denen auf Basis der Speicherung von Nutzerverhaltensdaten eine Individualisierung erfolgt.“ durch die Wortfolge „sowie jene Formen, bei denen auf Basis der Speicherung von personenbezogenen Daten über das Verhalten des einzelnen Nutzers eine Individualisierung erfolgt.“ ersetzt.
3. Dem § 49 wird folgender Abs. 18 angefügt:
„(18) § 4f Abs. 2 Z 23 und § 18 Abs. 4 zweiter Satz in der Fassung des Bundesgesetzes xxx/2018 treten mit 25. Mai 2018 in Kraft.“
Artikel 7
Änderung des Presseförderungsgesetzes
Das Bundesgesetz über die Förderung der Presse (Presseförderungsgesetz 2004 – PresseFG 2004), BGBl. I Nr. 136/2003, zuletzt geändert durch BGBl. I Nr. 40/2014, wird wie folgt geändert:
1. In § 2 Abs. 5 dritter Satz wird die Wortfolge „Des weiteren“ durch die Wortfolge „Des Weiteren“ ersetzt und vor dem Wort „Daten“ das Wort „personenbezogene“ eingefügt.
2. Dem § 17 wird folgender Abs. 8 angefügt:
„(8) § 2 Abs. 5 dritter Satz in der Fassung des Bundesgesetzes xxx/2018 tritt mit 25. Mai 2018 in Kraft.“
Artikel 8
Änderung des Medienkooperations- und -förderungs-Transparenzgesetzes
Das Bundesgesetz über die Transparenz von Medienkooperationen sowie von Werbeaufträgen und Förderungen an Medieninhaber eines periodischen Mediums (Medienkooperations- und -förderungs-Transparenzgesetz, MedKF-TG), BGBl. I Nr. 125/2011, zuletzt geändert durch BGBl. I Nr. 6/2015, wird wie folgt geändert:
1. In § 2 Abs. 3 und in § 3 Abs. 3 und 6 wird jeweils vor dem Wort „Daten“ die Wortfolge „personenbezogenen und nicht personenbezogenen“ eingefügt.
2. Dem § 7 wird folgender Abs. 4 angefügt:
„(4) § 2 Abs. 3 und § 3 Abs. 3 und 6 in der Fassung des Bundesgesetzes xxx/2018 treten mit 25. Mai 2018 in Kraft.“
Artikel 9
Änderung des Familienlastenausgleichgesetzes 1967
Das Familienlastenausgleichsgesetz 1967, BGBl. Nr. 376/1967, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 156/2017, wird wie folgt geändert:
1. Die Überschrift des § 46a lautet:
„IT-Verfahren“
2. In § 46a Abs. 1 wird die Wortfolge „automationsunterstützt zu ermitteln und zu verarbeiten; das sind folgende Daten:“ durch die Wortfolge „automatisiert zu verarbeiten; das sind folgende personenbezogenen Daten:“ ersetzt.
3. In § 46a Abs. 2 Z 1 wird die Wortfolge „ein automationsunterstützter Datenverkehr“ durch die Wortfolge „eine automatisierte Datenübermittlung“ und in § 46a Abs. 2 Z 1 lit. a das Wort „gespeicherten“ durch das Wort „verarbeiteten“ ersetzt.
4. In § 46a Abs. 2 Z 2 wird vor dem Wort „Daten“ das Wort „personenbezogenen“ eingefügt.
5. In § 46a Abs. 2 Z 4 wird die Wortfolge „mit den öffentlichen Universitäten als Auftraggeber über deren Datenverbund (§ 7a des Bildungsdokumentationsgesetzes, BGBl. I Nr. 12/2002) ein automationsunterstützter Datenverkehr mit den Abgabenbehörden als Datenempfänger einzurichten. In dessen Rahmen sind dem Datenverbund von den Abgabenbehörden die Versicherungsnummern und die Namen der Kinder, für die die Familienbeihilfe beantragt wurde oder gewährt wurde bzw. wird, zu übermitteln. Zu diesen Angaben haben die öffentlichen Universitäten über deren Datenverbund den Abgabenbehörden zu übermitteln:“ durch die Wortfolge „mit den öffentlichen Universitäten als Verantwortlicher über deren Dateisystem (§ 7a des Bildungsdokumentationsgesetzes, BGBl. I Nr. 12/2002) eine automatisierte Datenübermittlung mit den Abgabenbehörden als Datenempfänger einzurichten. In dessen Rahmen sind dem Verantwortlichen von den Abgabenbehörden die Versicherungsnummern und die Namen der Kinder, für die die Familienbeihilfe beantragt wurde oder gewährt wurde bzw. wird, zu übermitteln. Zu diesen Angaben hat der Verantwortliche über das Dateisystem den Abgabenbehörden zu übermitteln:“ ersetzt.
6. Dem § 55 wird nach Abs. 36 folgender Abs. 37 angefügt:
„(37) § 46a Abs. 1 und 2 in der Fassung des Bundesgesetzes BGBl. I Nr. XX/2018 tritt mit 25. Mai 2018 in Kraft.“
Artikel 10
Änderung des Kinderbetreuungsgeldgesetzes
Das Kinderbetreuungsgeldgesetz (KBGG), BGBl. I Nr. 103/2001, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 53/2016, wird wie folgt geändert:
1. § 25 Abs. 2 lautet:
„(2) Die Krankenversicherungsträger sowie die Niederösterreichische Gebietskrankenkasse in ihrer Funktion als Kompetenzzentrum und Verbindungsstelle (Abs. 3) haben die ihnen nach diesem Bundesgesetz übertragenen Aufgaben im übertragenen Wirkungsbereich nach den Weisungen des Bundeskanzlers zu vollziehen.“
2. Die Überschrift zu § 36 lautet:
„Kinderbetreuungsgeld-Datenbank“
3. § 36 lautet:
„§ 36. (1) Für die Verarbeitung der für die Wahrnehmung der nach diesem Bundesgesetz übertragenen Aufgaben erforderlichen personenbezogenen Daten wird eine Datenbank (Kinderbetreuungsgeld-Datenbank) eingerichtet.
(2) Als erforderliche personenbezogene Daten im Sinne des Abs. 1 gelten insbesondere folgende Daten der antragstellenden Person, des zweiten Elternteiles, des Partners, der Kinder und sonstiger relevanter Personen:
1. Namen, Titel, Anschrift, Telefonnummer und E-Mail-Adresse;
2. Geburtsdatum und Sozialversicherungsnummer;
3. Staatsangehörigkeit samt aufenthaltsrechtlichem Status bei nichtösterreichischer Staatsangehörigkeit;
4. Familienstand und Geschlecht;
5. Beruf bzw. Tätigkeit;
6. Firmenbuchnummern, Namen und Anschrift des Dienstgebers;
7. Anspruchs- und Berechnungsgrundlagen;
8. Art, Umfang und Stand der Verfahren;
9. Bescheide;
10. Bankverbindung und Kontonummer;
11. Vertreter, Zahlungsempfänger sowie die Art und Dauer der Vollmacht;
12. Zahlungsbeträge.
(3) Die Niederösterreichische Gebietskrankenkasse in ihrer Funktion als Kompetenzzentrum (§ 25 Abs. 3) ist Verantwortliche gemäß Art. 4 Z 7 der Verordnung (EU) Nr. 679/2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 27.04.2016 S. 1, (im Folgenden: DSGVO).
(4) Die einmaligen Kosten für die Errichtung der Datenbank sowie die laufenden Wartungs- und Entwicklungskosten trägt der Familienlastenausgleichsfonds.“
4. § 37 lautet:
„§ 37. (1) Die Krankenversicherungsträger sind verpflichtet, alle erforderlichen personenbezogenen Daten (§ 36 Abs. 2) elektronisch an die Datenbank zu übermitteln.
(2) Die Niederösterreichische Gebietskrankenkasse in ihrer Funktion als Kompetenzzentrum und Verbindungsstelle (§ 25 Abs. 3) ist verpflichtet, alle erforderlichen personenbezogenen Daten (§ 36 Abs. 2) elektronisch an die Datenbank zu übermitteln.
(3) Der Hauptverband der österreichischen Sozialversicherungsträger hat alle ihm zur Verfügung stehenden und für die Wahrnehmung der den Krankenversicherungsträgern und der Niederösterreichischen Gebietskrankenkasse in ihrer Funktion als Kompetenzzentrum sowie als Verbindungsstelle (§ 25 Abs. 3) nach diesem Bundesgesetz übertragenen Aufgaben erforderlichen personenbezogenen Daten (§ 36 Abs. 2) elektronisch an die Datenbank zu übermitteln (§ 25 Abs. 4).
(4) Die Abgabenbehörden haben alle für die Wahrnehmung der den Krankenversicherungsträgern und der Niederösterreichischen Gebietskrankenkasse als Kompetenzzentrum sowie als Verbindungsstelle (§ 25 Abs. 3) nach diesem Bundesgesetz übertragenen Aufgaben erforderlichen personenbezogenen Daten (§ 36 Abs. 2) an die Datenbank elektronisch zu übermitteln. Der Bundesminister für Finanzen im Einvernehmen mit dem Bundeskanzler wird ermächtigt, Art und Weise des Verfahrens der elektronischen Übermittlung durch Verordnung festzulegen.“
5. Nach § 37 wird folgender § 37a samt Überschrift eingefügt:
„Weitere Datenverarbeitung
§ 37a. (1) Die Krankenversicherungsträger sind berechtigt, alle erforderlichen personenbezogenen Daten (§ 36 Abs. 2) aus der Datenbank zu verarbeiten.
(2) Die Niederösterreichische Gebietskrankenkasse in ihrer Funktion als Kompetenzzentrum und Verbindungsstelle (§ 25 Abs. 3) ist berechtigt, alle erforderlichen personenbezogenen Daten (§ 36 Abs. 2) aus der Datenbank zu verarbeiten.
(3) Die Niederösterreichischen Gebietskrankenkasse in ihrer Funktion als Kompetenzzentrum (§ 25 Abs. 3) hat dem Bundeskanzler anonymisierte Daten zur automatisierten Besorgung der Statistik zu übermitteln.
(4) Die Niederösterreichischen Gebietskrankenkasse in ihrer Funktion als Verbindungsstelle (§ 25 Abs. 3) hat dem Bundeskanzler folgende Daten zur jährlichen Weiterleitung an die Europäische Kommission zu übermitteln:
1. Anzahl aller Bezieher, Anzahl aller Kinder, für die Leistungen bezogen wurden und die Gesamtsumme der diesbezüglichen Auszahlungen,
2. Anzahl der Bezieher und Anzahl der Kinder, für die Leistungen bezogen wurden mit Wohnort in einem anderen Mitgliedstaat, und die Gesamtsumme der diesbezüglichen Auszahlungen, aufgeschlüsselt nach Wohnort der Kinder sowie vorrangiger und nachrangiger Zuständigkeit Österreichs nach den Bestimmungen der Verordnung (EG) Nr. 883/2004,
jeweils bezogen auf das von der Europäischen Kommission abgefragte Jahr.“
6. Nach § 37a wird folgender § 37b samt Überschrift eingefügt:
„Datenlöschung
§ 37b. Die Niederösterreichische Gebietskrankenkasse in ihrer Funktion als Kompetenzzentrum (§ 25 Abs. 3) hat die personenbezogenen Daten (§ 36 Abs. 2) in der Datenbank zu löschen, sobald diese nicht mehr benötigt werden, frühestens jedoch 7 Jahre nach Ablauf des Kalenderjahres, in welchem eine Leistung nach diesem Bundesgesetz zuletzt bezogen worden ist.“
7. § 50 wird folgender Abs. 21 angefügt:
„(21) §§ 25 Abs. 2, die Überschrift zu § 36, § 36 und § 37 bis 37b in der Fassung des Bundesgesetzes BGBl. I Nr. XXX/20XX treten mit 25. Mai 2018 in Kraft.“
Artikel 11
Änderung des Bundes-Kinder- und Jugendhilfegesetzes 2013
Das Bundes-Kinder- und Jugendhilfegesetz 2013 (B-KJHG 2013), BGBl I Nr. 69/2013, wird wie folgt geändert:
1. Die Überschrift des § 8 lautet.
„Datenverarbeitung“
2. In § 8 Abs. 1 wird vor dem Wort „Daten“ das Wort „personenbezogene“ eingefügt und das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt.
3. In § 8 Abs. 2 wird vor dem Wort „Daten“ das Wort „personenbezogene“ eingefügt und das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt.
4. In § 8 Abs. 3 wird das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt.
5. In § 8 Abs. 4 wird vor dem Wort „Daten“ das Wort „Personenbezogene“ eingefügt und das Wort „verwendet“ durch das Wort „verarbeitet“ ersetzt.
6. In § 8 Abs. 5 wird vor dem Wort „Daten“ das Wort „personenbezogenen“ eingefügt.
7. § 9 Abs. 4 1. Satz lautet:
„Der Kinder- und Jugendhilfeträger und die beauftragte private Kinder- und Jugendhilfeeinrichtung haben technische und organisatorische Vorkehrungen zum Schutz der Rechte der betroffenen Personen zu treffen.“
8. Die Überschrift des § 40 lautet:
„Datenverarbeitung“
9. In § 40 Abs. 1 wird das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt und in Z 1 vor dem Strichpunkt die Wortfolge „Video- und Bildmaterial“ eingefügt.
10. In § 40 Abs. 2 wird das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt.
11. In § 40 Abs. 3 wird das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt und in Z 1 vor dem Strichpunkt die Wortfolge „Video- und Bildmaterial“ eingefügt.
12. In § 40 Abs. 4 wird vor dem Wort „Daten“ das Wort „personenbezogene“ eingefügt und das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt.
13. § 40 Abs. 5 lautet:
„Der Kinder- und Jugendhilfeträger und die beauftragte private Kinder- und Jugendhilfeeinrichtung haben technische und organisatorische Vorkehrungen zum Schutz der Rechte der betroffenen Personen zu treffen.“
14. In § 40 Abs. 6 wird vor dem Wort „Daten“ das Wort „personenbezogene“ eingefügt.
15. In § 40 Abs. 7 wird vor dem Wort „Daten“ das Wort „personenbezogenen“ eingefügt.
16. Dem § 40 Abs. 7 wird folgender Satz angefügt:
„Der Kinder- und Jugendhilfeträger ist berechtigt, personenbezogene Daten gemäß Abs. 1 zum Zweck der Überprüfung des Anspruchs auf Familienbeihilfe an die Finanzverwaltung zu übermitteln.“
17. In § 40 Abs. 8 wird vor dem Wort „Daten“ das Wort „personenbezogenen“ eingefügt.
18. Dem § 47 wird folgender Abs. 4 angefügt:
„(2) § 8, §9 Abs. 4 und § 40 in der Fassung des Bundesgesetzes BGBl. I Nr. XX/2018 treten mit 25. Mai 2018 in Kraft.“
Artikel 12
Änderung des Bundesgesetzes über die Einrichtung einer Dokumentations- und Informationsstelle für Sektenfragen
Das Bundesgesetz über die Einrichtung einer Dokumentations- und Informationsstelle für Sektenfragen, BGBl. I Nr. 150/1998 wird wie folgt geändert:
1. § 5 samt Überschrift lautet:
„Datenschutz
§ 5. (1) Die Bundesstelle für Sektenfragen ist berechtigt, bereits öffentlich zugängliche personenbezogene Daten über glaubens- oder weltanschauungsbezogene Gemeinschaften, ihre Programme und Aktivitäten sowie öffentlich zugängliche Daten über glaubens- oder weltanschauungsbezogene Aktivitäten von Einzelpersonen zur Erfüllung ihrer Aufgaben gemäß § 4 zu verarbeiten. Liegt ein begründeter Verdacht einer Gefährdung gemäß § 4 Abs. 1 vor, ist die Bundesstelle für Sektenfragen berechtigt, diese verarbeiteten, öffentlich zugänglichen, personenbezogenen Daten an Organe der öffentlichen Aufsicht, an Behörden, an Einrichtungen zur Betreuung, Erziehung und zum Unterricht von Minderjährigen und an natürliche und juristische Personen, die ein berechtigtes Interesse glaubhaft gemacht haben, zu übermitteln. Ansonsten ist eine Übermittlung dieser Daten zulässig, wenn kein Grund zur Annahme besteht, dass schutzwürdige Belange der betroffenen Personen überwiegen. Personenbezogene Daten natürlicher Personen können in diesem Zusammenhang jedoch nur dann übermittelt werden, wenn die personenbezogenen Daten bereits an anderem Ort öffentlich gemacht wurden.
(2) Personenbezogene Daten über glaubens- oder weltanschauungsbezogene Gemeinschaften, ihre Programme und Aktivitäten, die nicht öffentlich zugänglich sind, können verarbeitet werden, soweit sie der Bundesstelle für Sektenfragen freiwillig mitgeteilt werden oder sonst ohne jegliche Zwangsmaßnahmen rechtmäßig in ihren Besitz gelangen und ein begründeter Verdacht einer Gefährdung gemäß § 4 Abs. 1 vorliegt. Das Verarbeiten von nicht öffentlich zugänglichen personenbezogenen Daten natürlicher Personen ist darüber hinaus nur zulässig, wenn die betroffene Person über eine bloße Mitgliedschaft hinausgehend in der betreffenden Glaubens- oder Weltanschauungsgemeinschaft aktiv mitwirkt oder als Einzelperson glaubens- oder weltanschauungsbezogene Aktivitäten setzt. Die in diesem Zusammenhang verarbeiteten personenbezogenen Daten dürfen an Organe der öffentlichen Aufsicht, an Behörden, an Einrichtungen zur Betreuung, Erziehung und zum Unterricht von Minderjährigen und an natürliche und juristische Personen, die ein berechtigtes Interesse glaubhaft gemacht haben, übermittelt werden, wenn
1. es zur Erfüllung der Aufgaben gemäß § 4 Abs. 1 erforderlich ist und
2. schutzwürdige Interessen der betroffenen Person an der Geheimhaltung nicht überwiegen.
(3) Die Veröffentlichung personenbezogener Daten natürlicher Personen ist nur zulässig, wenn von einer Person eine unmittelbar drohende Gefahr der Verwirklichung einer strafbaren Handlung gegen die Schutzgüter gemäß § 4 Abs. 1 Z 1 bis 5, der nicht anders als durch die Veröffentlichung begegnet werden kann, ausgeht. Diese Einschränkung gilt nicht, wenn die personenbezogenen Daten bereits an anderem Ort öffentlich gemacht wurden.
(4) Die Bundesstelle für Sektenfragen ist berechtigt, folgende personenbezogene Daten über natürliche Personen, die zur Erfüllung der Aufgaben gemäß § 4 beraten und informiert werden, zu verarbeiten:
1. Identifikationsdaten und Kontaktdaten
2. Zeitpunkt und Inhalt der Beratung oder Information
(5) Auskünfte im Zusammenhang mit personenbezogenen Daten, die nicht öffentlich zugänglich sind (Abs. 2), dürfen nur soweit erteilt werden, als dadurch nicht die Rechte und Freiheiten anderer Personen beeinträchtigt werden, insbesondere als dadurch Rückschlüsse auf die Identität der Personen gezogen werden können, die der Bundesstelle für Sektenfragen diese Daten freiwillig mitgeteilt haben. Eine Übermittlung oder Veröffentlichung der personenbezogenen Daten gemäß Abs. 4 ist nicht zulässig.
(6) Die Aufbewahrung der verarbeiteten personenbezogenen Daten ist spätestens nach zwei Jahren auf ihre Erforderlichkeit zu prüfen. Personenbezogene Daten, die für die Erfüllung der Aufgaben gemäß § 4 nicht unentbehrlich sind, sind unverzüglich zu löschen.
(7) Ein vom Datenschutzrat einzusetzender Arbeitsausschuss ist berechtigt, Einschau in die bei der Bundesstelle für Sektenfragen vorhandenen Unterlagen zu halten.“
2. § 10 Abs. 1 lautet:
„§ 10. (1) Die Bundesstelle für Sektenfragen hat die von ihr wahrgenommenen Dokumentations- und Informationsfälle in einem zusammengefassten Bericht, der keine personenbezogenen Daten natürlicher Personen enthält, halbjährlich der Bundesministerin für Frauen, Familien und Jugend vorzulegen.“
3. § 11 lautet:
„§ 11. Die Organe und die Bediensteten der Bundesstelle für Sektenfragen sind zur Verschwiegenheit über alle ihnen aus ihrer Tätigkeit gemäß § 4 Abs. 1 bis 3 bekanntgewordenen Tatsachen verpflichtet. Die Verpflichtung zur Verschwiegenheit gilt auch nach dem Ausscheiden aus der Funktion und nach Beendigung des Dienstverhältnisses. Die Verpflichtung zur Verschwiegenheit besteht nicht, wenn die Offenlegung der Information im überwiegenden öffentlichen Interesse liegt.“
4. In § 13 Abs. 2 wird die Wortfolge „§10 Abs. 1 letzter Satz“ durch die Wortfolge „§ 5 Abs. 6“ und das Wort „Bundeskanzler“ durch die Wortfolge „Bundesminister für Verfassung, Reformen, Deregulierung und Justiz“ ersetzt.
5. § 14 erhält in seiner bisherigen Form die Absatzbezeichnung „(1)“ und es wird folgender Abs. 2 angefügt:
„(2) § 5, § 10, §11 und § 13 Abs. 2 in der Fassung des Bundesgesetzes BGBl. I Nr. XX/2018 treten mit 25. Mai 2018 in Kraft.“
Artikel 13
Änderung des Bundes-Jugendförderungsgesetzes
Das Bundes-Jugendförderungsgesetz, BGBl I Nr. 126/2000, zuletzt geändert durch BGBl. I Nr. 136/2001 wird wie folgt geändert:
1. In § 8 Abs. 2 wird die Z 9 ersatzlos gestrichen.
2. Die Überschrift des § 9 lautet:
„Datenschutz“
3. § 9 erhält in seiner bisherigen Form die Absatzbezeichnung „(2)“ und es wird folgender Abs. 1 eingefügt:
„§ 9. (1) Der Bund ist berechtigt zum Zweck der Gewährung, des Nachweises der widmungsgemäßen Verwendung und zur nachprüfenden Kontrolle der Förderungen im Sinne dieses Bundesgesetzes folgende personenbezogenen Daten zu verarbeiten:
1. hinsichtlich natürlicher Personen: Vor- und Nachname, ehemalige Namen, akademischer Grad, Geschlecht, Geburtsdatum, Geburtsort, Adresse, Festnetz- und Mobiltelefonnummern, Email-Adressen, Faxnummern, Familienstand, Mitgliedschaft zu einer Jugendorganisation gemäß § 2 Abs. 2, berufliche Qualifikation, Daten zur fachlichen und wirtschaftlichen Eignungsprüfung; Bankverbindung, Steuernummer, Vorsteuerabzugsberechtigung, Angaben über Förderungen von Bund, Land, Gemeinde und sonstigen öffentlichen Rechtsträgern
2. hinsichtlich juristischer Personen: Name der juristischen Person, Vor- und Nachname, ehemalige Namen, akademischer Grad, Geschlecht, Geburtsdatum und Geburtsort ihrer verantwortlichen und vertretungsbefugten Organe, Mitarbeiter und Mitarbeiterinnen und Mitglieder, Vollmachten, Sitz, Adresse, Firmenbuchnummer, zentrale Vereinsregister-, Unternehmensregister-, Ergänzungsregister-Zahl, Festnetz- und Mobiltelefonnummern,, Email-Adressen, Faxnummern, berufliche Qualifikation der Mitarbeiter und Mitarbeiterinnen, Daten zur fachlichen und wirtschaftlichen Eignungsprüfung; Statuten und Geschäftsordnung des Vereines, Bankverbindung, Steuernummer, Vorsteuerabzugsberechtigung, Angaben über Förderungen von Bund, Land, Gemeinde und sonstigen öffentlichen Rechtsträgern;“
4. § 12 wird folgender Abs. 3 angefügt:
„(3) § 8 Abs. 2, und § 9 in der Fassung des Bundesgesetzes BGBl. I Nr. XX/2018 treten mit 25. Mai 2018 in Kraft.“
Artikel 14
Änderung des Familienzeitbonusgesetzes
Das Familienzeitbonusgesetz (FamZeitbG), BGBl. Nr. 53/2016, wird wie folgt geändert:
1. § 4 Abs. 3 lautet:
„(3) Die Krankenversicherungsträger sowie die Niederösterreichische Gebietskrankenkasse in ihrer Funktion als Kompetenzzentrum und Verbindungsstelle (Abs. 4) haben die ihnen nach diesem Bundesgesetz übertragenen Aufgaben im übertragenen Wirkungsbereich nach den Weisungen des Bundeskanzlers zu vollziehen.“
2. § 8 lautet:
„§ 8. Die §§ 24e letzter Satz, 25a, 27 Abs. 4, 29, 32, 34, 36 Abs. 1, 3 und 4, 37 bis 39, 41, 43 Abs. 2, 44 und 45 KBGG sind sinngemäß anzuwenden.“
3. Die Überschrift zu § 9 lautet:
„Verarbeitung von personenbezogenen Daten“
4. § 9 Abs. 1 bis 3 lauten:
„§ 9. (1) Die für die Wahrnehmung der nach diesem Bundesgesetz übertragenen Aufgaben erforderlichen personenbezogenen Daten werden in der Kinderbetreuungsgeld-Datenbank verarbeitet.
(2) Als erforderliche personenbezogene Daten im Sinne des Abs. 1 gelten insbesondere folgende Daten des antragstellenden Vaters (des Bonusempfängers), des zweiten Elternteils, der Kinder und sonstiger relevanter Personen:
1. Namen, Titel, Anschrift, Telefonnummer und E-Mail-Adresse;
2. Geburtsdatum und Sozialversicherungsnummer;
3. Staatsangehörigkeit samt aufenthaltsrechtlichem Status bei nichtösterreichischer Staatsangehörigkeit;
4. Familienstand und Geschlecht;
5. Beruf bzw. Tätigkeit;
6. Firmenbuchnummern, Namen und Anschrift des Dienstgebers;
7. Anspruchs- und Berechnungsgrundlagen;
8. Art, Umfang und Stand der Verfahren;
9. Bescheide;
10. Bankverbindung und Kontonummer;
11. Vertreter, Zahlungsempfänger sowie die Art und Dauer der Vollmacht;
12. Zahlungsbeträge.
(3) Die Niederösterreichischen Gebietskrankenkasse in ihrer Funktion als Kompetenzzentrum (§ 4 Abs. 4) hat dem Bundeskanzler anonymisierte Daten zur automatisierten Besorgung der Statistik zu übermitteln.“
4. § 12 samt Überschrift lautet:
„Inkrafttreten
§ 12. (1) Dieses Bundesgesetz tritt am 1. März 2017 in Kraft und ist auf Geburten nach dem 28. Februar 2017 anzuwenden.
(2) § 4 Abs. 3, 8, die Überschrift zu § 9 und § 9 Abs. 1 bis 3 in der Fassung des Bundesgesetzes BGBl. I Nr. XXX/20XX treten mit 25. Mai 2018 in Kraft.“