Entwurf
Bundesgesetz, mit dem das Alternative-Streitbeilegung-Gesetz, das Produktsicherheits-gesetz 2004, das Behinderteneinstellungsgesetz, das Bundesbehindertengesetz, das Bundes-Behindertengleichstellungsgesetz, das Bundespflegegeldgesetz, das Ehrengaben- und Hilfsfondsgesetz, das Heeresentschädigungsgesetz, das Heimopferrentengesetz, das Impfschadengesetz, das Kriegsgefangenenentschädigungsgesetz, das Kriegsopferver-sorgungsgesetz 1957, das Sozialministeriumservicegesetz, das Verbrechensopfergesetz, das Arbeitsmarktservicegesetz, das IEF-Service-GmbH-Gesetz, das Insolvenz-Entgelt-sicherungsgesetz, das Bauarbeiter-Urlaubs- und Abfertigungsgesetz, das Lohn- und Sozialdumping-Bekämpfungsgesetz und das Sozialbetrugsbekämpfungsgesetz geändert werden (Datenschutz-Anpassungsgesetz – Bundesministerium für Arbeit, Soziales und Konsumentenschutz)
Der Nationalrat hat beschlossen:
Inhaltsverzeichnis
Art. 1 Änderung des Alternative-Streitbeilegung-Gesetzes
Art. 2 Änderung des Produktsicherheitsgesetzes 2004
Art. 3 Änderung des Behinderteneinstellungsgesetzes
Art. 4 Änderung des Bundesbehindertengesetzes
Art. 5 Änderung des Bundes-Behindertengleichstellungsgesetzes
Art. 6 Änderung des Bundespflegegeldgesetzes
Art. 7 Änderung des Ehrengaben- und Hilfsfondsgesetzes
Art. 8 Änderung des Heeresentschädigungsgesetzes
Art. 9 Änderung des Heimopferrentengesetzes
Art. 10 Änderung des Impfschadengesetzes
Art. 11 Änderung des Kriegsgefangenenentschädigungsgesetzes
Art. 12 Änderung des Kriegsopferversorgungsgesetzes 1957
Art. 13 Änderung des Sozialministeriumservicegesetzes
Art. 14 Änderung des Verbrechensopfergesetzes
Art. 15 Änderung des Arbeitsmarktservicegesetzes
Art. 16 Änderung des IEF-Service-GmbH-Gesetzes
Art. 17 Änderung des Insolvenz-Entgeltsicherungsgesetzes
Art. 18 Änderung des Bauarbeiter-Urlaubs- und Abfertigungsgesetzes
Art. 19 Änderung des Lohn- und Sozialdumping-Bekämpfungsgesetzes
Art. 20 Änderung des Sozialbetrugsbekämpfungsgesetzes
Artikel 1
Änderung des Alternative-Streitbeilegung-Gesetzes
Das Alternative-Streitbeilegung-Gesetz (AStG), BGBl. I Nr. 105/2015, wird wie folgt geändert:
1. § 8 Abs. 2 lautet:
„(2) AS-Stellen haben personenbezogene Daten nur insoweit zu verarbeiten als dies für die Durchführung eines Verfahrens erforderlich ist. Die Löschung dieser Daten ist in einem Zeitraum von drei Monaten nach Ablauf von drei Jahren ab der Mitteilung des Ergebnisses eines Verfahrens vorzunehmen.“
2. Der bisherige Text des § 31 erhält die Absatzbezeichnung „(1)“. Als neuer Abs. 2 wird angefügt:
„(2) § 8 Abs. 2 in der Fassung des Bundesgesetzes BGBl. I Nr. xxx/2018 tritt mit 25. Mai 2018 in Kraft.“
Artikel 2
Änderung des Produktsicherheitsgesetzes 2004
Das Produktsicherheitsgesetz 2004 (PSG 2004), BGBl. I Nr. 16/2005, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 163/2015, wird wie folgt geändert:
1. § 8 Abs. 4 lautet:
„(4) Die Zollbehörden sind – unbeschadet der Bestimmungen der Verordnung (EG) Nr. 765/2008 über die Vorschriften für die Akkreditierung und Marktüberwachung im Zusammenhang mit der Vermarktung von Produkten und zur Aufhebung der Verordnung (EWG) Nr. 339/93 des Rates, ABl. Nr. L 218 vom 13.8.2008 – verpflichtet, den zuständigen Behörden auf deren Anfrage Daten einschließlich personenbezogener Daten über den Import, Export und die Durchfuhr von Produkten zur Verfügung zu stellen.“
2. Im § 9 entfallen der zweite und der dritte Satz.
3. In § 10 Abs. 1 entfällt die Absatzbezeichnung „(1)“ und dessen letzter Satz lautet:
„Dies gilt insbesondere für die Meldeverfahren gemäß Art. 11 und 12 der Richtlinie 2001/95/EG sowie der Art. 22 und 23 der Verordnung (EG) Nr. 765/2008.“
4. Im § 10 entfallen die Absätze 2 und 3.
5. Dem § 34 wird folgender Abs. 4 angefügt:
„(4) § 8 Abs. 4, § 9 und § 10 in der Fassung des Bundesgesetzes BGBl. I Nr. xxx/2018 treten mit 25. Mai 2018 in Kraft.“
Artikel 3
Änderung des Behinderteneinstellungsgesetzes
Das Behinderteneinstellungsgesetz, BGBl. Nr. 22/1970, zuletzt geändert durch BGBl. I Nr. 155/2017, wird wie folgt geändert:
1. In § 16 wird das Wort „Daten“ in Abs. 2, Abs. 5, Abs. 6, Abs. 7 und Abs. 8 jeweils durch die Wortfolge „personenbezogenen Daten“ ersetzt.
2. In § 19a wird das Wort „Daten“ in Abs. 1 Z 1 durch die Wortfolge „personenbezogener Daten“ und in Abs. 1 Z 2 durch die Wortfolge „personenbezogenen Daten“ ersetzt.
3. In § 22 wird das Wort „Daten“ in Abs. 2 und Abs. 4 dritter Satz jeweils durch die Wortfolge „personenbezogenen Daten“, in Abs. 4 zweiter Satz durch die Wortfolge „Personenbezogene Daten“ und in Abs. 4 Z 2, 3, 4 und 6 jeweils durch die Wortfolge „personenbezogene Daten“ ersetzt.
4. In § 22 Abs. 4 erster Satz wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.
5. In § 22 Abs. 4 entfällt die Wortfolge „im Sinne des Datenschutzgesetzes 2000, BGBl. I Nr. 165/1999,“.
6. In § 22 Abs. 4 Z 4 lit. b wird der Ausdruck „Art.“ durch den Ausdruck „Art,“ ersetzt.
7. § 22 Abs. 4a lautet:
„(4a) Die für die Datenverarbeitungen Verantwortlichen und Auftragsverarbeiter haben bei der Besorgung der Aufgaben nach Abs. 4 Datenschutz und Datensicherheit zu gewährleisten. Insbesondere sind bei der Verarbeitung der personenbezogenen Daten dem Stand der Technik entsprechende Datensicherheitsmaßnahmen gemäß Art. 32 Abs. 1 der Datenschutz-Grundverordnung zu treffen. Die getroffenen Datensicherheitsmaßnahmen sind zu dokumentieren.“
8. In § 22 Abs. 5 wird das Wort „hat“ durch das Wort „haben“ und der Ausdruck „Behinderter“ durch die Wortfolge „Mensch mit Behinderung“ ersetzt.
9. Dem § 25 wird folgender Abs. 24 angefügt:
„(24) § 16 Abs. 2, 5, 6, 7 und 8, § 19a Abs. 1 Z 1 und 2, § 22 Abs. 2, 4, 4a und 5 in der Fassung des Bundesgesetzes BGBl. I Nr. xxx/2018 treten mit 25. Mai 2018 in Kraft.“
Artikel 4
Änderung des Bundesbehindertengesetzes
Das Bundesbehindertengesetz, BGBl. Nr. 283/1990, zuletzt geändert durch BGBl. I Nr. 155/2017, wird wie folgt geändert:
1. In § 13d Abs. 5 wird das Wort „Daten“ durch die Wortfolge „personenbezogenen Daten“ ersetzt.
2. In § 30 letzter Satz wird das Wort „Daten“ durch die Wortfolge „personenbezogener Daten“ ersetzt.
3. In § 52 Abs. 2 zweiter Satz wird der Begriff „Daten“ durch die Wortfolge „personenbezogenen Daten“ ersetzt.
4. In § 52 Abs. 2 zweiter Satz entfällt die Wortfolge „im Sinne des Datenschutzgesetzes 2000, BGBl. I Nr. 165/1999,“.
5. Die Überschrift zu § 53 lautet:
„Verarbeitung von Daten“
6. In § 53 Abs. 1 wird das Wort „Daten“ durch die Wortfolge „personenbezogenen Daten“ und das Wort „verwendet“ durch das Wort „verarbeitet“ ersetzt.
7. In § 53 entfällt Abs. 2.
8. In § 53 Abs. 3 wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.
9. In § 53 Abs. 3 entfällt die Wortfolge „im Sinne des Datenschutzgesetzes 2000“.
10. In § 53 Abs. 3 zweiter Satz wird das Wort „Daten“ durch die Wortfolge „Personenbezogene Daten“ und in Abs. 3 Z 2 und 3 jeweils durch die Wortfolge „personenbezogene Daten“ ersetzt.
11. § 53 Abs. 3a lautet:
„(3a) Die für die Datenverarbeitungen Verantwortlichen und Auftragsverarbeiter haben bei der Besorgung der Aufgaben nach Abs. 3 Datenschutz und Datensicherheit zu gewährleisten. Insbesondere sind bei der Verarbeitung der personenbezogenen Daten dem Stand der Technik entsprechende Datensicherheitsmaßnahmen gemäß Art. 32 Abs. 1 der Datenschutz-Grundverordnung zu treffen. Die getroffenen Datensicherheitsmaßnahmen sind zu dokumentieren.“
12. In § 53 Abs. 3 Z 2 wird der Ausdruck „Art.“ durch den Ausdruck „Art,“ ersetzt.
13. In § 54 wird folgender Abs. 22 angefügt:
„(22) § 13d Abs. 2, Abs. 3 Z 1 und letzter Satz, Abs. 5, § 30 letzter Satz, § 52 Abs. 2 zweiter Satz, die Paragrafenüberschrift vor § 53, § 53 Abs. 1, Abs. 3 und Abs. 3a in der Fassung des Bundesgesetzes BGBl. I Nr. xxx/2018 treten mit 25. Mai 2018 in Kraft. Der § 53 Abs. 2 tritt mit 24. Mai 2018 außer Kraft.“
Artikel 5
Änderung des Bundes-Behindertengleichstellungsgesetzes
Das Bundes-Behindertengleichstellungsgesetz, BGBl. I Nr. 82/2005, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 155/2017, wird wie folgt geändert:
1. § 16a samt Überschrift lautet:
„Datenschutzbestimmung
§ 16a. (1) Das Bundesministerium für Arbeit, Soziales und Konsumentenschutz und das Bundesamt für Soziales und Behindertenwesen sind zur Verarbeitung von personenbezogenen Daten im Sinne der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung – DSGVO) betreffend Personen, die über das BGStG beraten werden und Personen, die an einem Schlichtungsverfahren beteiligt sind, ermächtigt, insoweit dies zur Erfüllung der ihnen gesetzlich übertragenen Aufgaben (Durchführung von Schlichtungsverfahren gemäß §§ 14 bis 16 BGStG) eine wesentliche Voraussetzung ist. Personenbezogene Daten dürfen vom Bundesministerium für Arbeit, Soziales und Konsumentenschutz und dem Bundesamt für Soziales und Behindertenwesen nur für Zwecke der Schlichtungsverfahren verarbeitet werden. Verpflichtungen, die sich auf Grund anderer Rechtsvorschriften ergeben, bleiben unberührt.
Die in Frage kommenden Datenarten sind:
1. personenbezogene Daten betreffend eine Behinderung und
2. personenbezogene Daten und Angaben zu Schlichtungsverfahren gemäß den §§ 14 bis 16 BGStG.
(2) Die für die Datenverarbeitungen Verantwortlichen haben bei der Besorgung der Aufgaben nach Abs. 1 Datenschutz und Datensicherheit zu gewährleisten. Insbesondere sind bei der Verarbeitung der personenbezogenen Daten dem Stand der Technik entsprechende Datensicherungsmaßnahmen gemäß Art. 32 Abs. 1 der Datenschutz-Grundverordnung zu treffen. Die getroffenen Datensicherheitsmaßnahmen sind zu dokumentieren.“
2. Dem § 19 Abs. 11 wird folgender Abs. 12 angefügt:
„(12) § 16a samt Überschrift in der Fassung des Bundesgesetzes BGBl. I Nr. xxx/2018 tritt mit 25. Mai 2018 in Kraft.“
Artikel 6
Änderung des Bundespflegegeldgesetzes
Das Bundespflegegeldgesetz, BGBl. Nr. 110/1993, zuletzt geändert durch BGBl. I Nr. 116/2016, wird wie folgt geändert:
1. Dem § 21a werden folgende Abs. 5, 6 und 7 angefügt:
„(5) Das Bundesamt für Soziales und Behindertenwesen ist zur Verarbeitung von personenbezogenen Daten insoweit ermächtigt, als diese zur Vollziehung der Zuwendungen aus dem Unterstützungsfonds für Menschen mit Behinderung eine wesentliche Voraussetzung sind.
(6) Im Zuge der Vollziehung werden folgende Datenarten verarbeitet:
1. Personenbezogene Daten der pflegebedürftigen Person:
a) Name,
b) Sozialversicherungsnummer,
c) Geburtsdatum,
d) Geschlecht,
e) Vorliegen einer demenziellen Erkrankung,
f) Pflegegeldstufe.
2. Personenbezogene Daten des Zuwendungswerbers:
a) Name,
b) Sozialversicherungsnummer,
c) Geburtsdatum,
d) Geschlecht,
e) Adresse,
f) Verwandtschaftsverhältnis zur pflegebedürftigen Person,
g) monatliches Nettoeinkommen,
h) Grund für die Verhinderung an der Pflege,
i) Dauer der Verhinderung an der Pflege,
j) Art der Ersatzpflege,
k) Abweisungsgrund,
l) Sorgepflichten für unterhaltsberechtigte Angehörige,
m) Einbringungsdatum des Ansuchens,
n) Höhe der gewährten Zuwendung,
o) Datum der Erledigung des Ansuchens.
(7) Das Bundesamt für Soziales und Behindertenwesen ist ermächtigt, die in Abs. 6 Z 1 angeführten Datenarten im Einzelfall aus der Anwendung Pflegegeldinformation – PFIF des Hauptverbandes der österreichischen Sozialversicherungsträger abzufragen.“
2. § 21b Abs. 7 lautet:
„(7) Im Zuge der Förderabwicklung werden folgende Datenarten verarbeitet:
1. Personenbezogene Daten der pflegebedürftigen Person:
a) Namen,
b) Pflegegeldstufe und Änderungen der Pflegegeldstufe,
c) Vorliegen, Wegfall und Änderung des Erschwerniszuschlages,
d) Vorliegen und Wegfall der Mobilitätshilfe im weiteren Sinn,
e) Vorliegen und Wegfall einer Legalzession gemäß § 13 BPGG,
f) Krankenhausaufenthalte des Pflegegeldbeziehers, die eine Dauer von drei Monaten übersteigen,
g) Sozialversicherungsnummer,
h) Geburtsdatum,
i) Kontaktdaten (Meldeadresse, Telefonnummer, E-Mailadresse),
j) Kontodaten,
k) Höhe des Nettoeinkommens,
l) Angabe etwaiger Unterhaltsverpflichtungen.
2. Personenbezogene Daten des Förderwerbers, sofern er nicht mit der Person des Pflegebedürftigen ident ist:
a) Namen,
b) Kontaktdaten (Meldeadresse, Telefonnummer, E-Mailadresse),
c) Kontodaten,
d) Verwandtschaftsverhältnis und/oder Vertretungsbefugnis.
3. Personenbezogene Daten betreffend die Personenbetreuungskraft:
a) Namen,
b) Sozialversicherungsnummer,
c) Geburtsdatum,
d) Versicherungsstatus.“
3. In § 21b wird das Wort „Daten“ in Abs. 8 und in Abs. 10 zweiter Satz jeweils durch die Wortfolge „personenbezogenen Daten“ ersetzt.
4. In § 21b Abs. 11 wird die Wortfolge „verwendeten personenbezogenen Daten“ durch die Wortfolge „verarbeiteten personenbezogenen Daten“ ersetzt.
5. § 21b Abs. 12 lautet:
„(12) Der Verantwortliche hat für die Datenverarbeitungen im Sinne dieser Bestimmung Maßnahmen zur Gewährleistung der Datensicherheit gemäß Art. 32 Abs. 1 der Datenschutz-Grundverordnung zu treffen. Die getroffenen Datensicherheitsmaßnahmen sind zu dokumentieren. Die Datenübermittlungen nach den Abs. 8 und Abs. 9 erfolgen unter Einhaltung der Pflicht zur Verschlüsselung auf elektronischem Weg.“
6. In § 21e Abs. 5 wird die Wortfolge „Dienstleister gemäß § 4 Z 5 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999,“ durch die Wortfolge „Auftragsverarbeiter gemäß Art. 4 Z 8 der Datenschutz-Grundverordnung“ ersetzt.
7. In § 21e Abs. 6 erster Satz wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.
8. In § 21e Abs. 6 entfällt die Wortfolge „im Sinne des DSG 2000,“.
9. In § 21e Abs. 6 Z 2 und 3 wird das Wort „Daten“ jeweils durch die Wortfolge „personenbezogene Daten“ ersetzt.
10. Die Überschrift zu § 32 lautet:
„Verarbeitung von personenbezogenen Daten“
11. In § 32 wird das Wort „Daten“ bei der ersten Erwähnung durch die Wortfolge „personenbezogenen Daten“ und bei der zweiten Erwähnung durch die Wortfolge „personenbezogene Daten“ ersetzt.
12. In § 32 entfällt die Wortfolge „zu ermitteln und“.
13. In § 33 Abs. 1 und 2 entfällt die Wortfolge „im Sinne des Datenschutzgesetzes“.
14. In § 33 wird das Wort „Daten“ in Abs. 1 in der zweiten Erwähnung, in Abs. 2 und Abs. 6 jeweils durch die Wortfolge „personenbezogene Daten“ und in Abs. 1 in der ersten Erwähnung, in Abs. 3 und Abs. 5 jeweils durch die Wortfolge „personenbezogenen Daten“ ersetzt.
15. In § 33 Abs. 4 wird die Wortfolge „Dienstleister gemäß § 4 Z 5 DSG 2000“ durch die Wortfolge „Auftragsverarbeiter gemäß Art. 4 Z 8 der Datenschutz-Grundverordnung“ ersetzt.
16. Dem § 33a werden folgende Abs. 3 und 4 angefügt:
„(3) Die Sozialversicherungsanstalt der Bauern ist ermächtigt, die für die Durchführung der Unterstützungsgespräche nach Abs. 2 notwendigen, personenbezogenen Daten zu verarbeiten.
Folgende Datenarten werden dabei verarbeitet:
1. Personenbezogene Daten der pflegebedürftigen Person:
a) Sozialversicherungsnummer,
b) Pflegegeldstufe,
c) Geburtsdatum,
d) Geschlecht,
e) Dauer der Pflege durch den Angehörigen,
f) Dauer des Pflegegeldbezugs.
2. Personenbezogene Daten der Person, mit der das Unterstützungsgespräch geführt wird:
a) Name,
b) Sozialversicherungsnummer,
c) Geburtsdatum,
d) Geschlecht,
e) Adresse (Bundesland),
f) Datum und Ort des Gesprächs,
g) angegebene psychische Belastungen,
h) Objektressourcen,
i) Lebensbedingungen und Umstände,
j) persönliche Ressourcen,
k) Energieressourcen,
l) Ziele zur Entlastung der Situation,
m) Empfehlungen durch Berater.
(4) Die Sozialversicherungsanstalt der Bauern ist verpflichtet, die in Abs. 3 angeführten personenbezogenen Daten im Einzelfall der Anwendung Pflegegeldinformation – PFIF des Hauptverbandes der österreichischen Sozialversicherungsträger zur Selektionsmöglichkeit für weitere Qualitätssicherungsmaßnahmen und zur Besorgung der Statistik elektronisch zu übermitteln.“
17. In § 45 wird das Wort „Daten“ jeweils durch die Wortfolge „personenbezogenen Daten“ und die Wortfolge „von den Bundesämtern für Soziales und Behindertenwesen“ durch die Wortfolge „vom Bundesamt für Soziales und Behindertenwesen“ ersetzt.
18. In § 45 wird vor dem Wort „Ämtern“ die Wortfolge „von den“ eingefügt.
19. Dem § 49 wird folgender Abs. 26 angefügt:
„(26) § 21a Abs. 5, 6 und 7, § 21b Abs. 7 Z 1, 2 und 3, Abs. 8, Abs. 10, Abs. 11 und 12, § 21e Abs. 5 und 6, § 32 samt Paragrafenüberschrift, § 33 Abs. 1 bis 6, § 33a Abs. 3 und 4 sowie § 45 in der Fassung des Bundesgesetzes BGBl. I Nr. xxx/2018 treten mit 25. Mai 2018 in Kraft.“
Artikel 7
Änderung des Ehrengaben- und Hilfsfondsgesetzes
Das Ehrengaben- und Hilfsfondsgesetz, BGBl. Nr. 197/1988, zuletzt geändert durch BGBl. Nr. 757/1996, wird wie folgt geändert:
1. In § 13 dritter Satz wird das Wort „Daten“ durch die Wortfolge „personenbezogener Daten“ ersetzt.
2. In § 14 Abs. 2 wird das Wort „Daten“ durch die Wortfolge „personenbezogenen Daten“ ersetzt.
3. Nach § 14 wird folgender § 15 eingefügt:
„§ 15. § 13 dritter Satz und § 14 Abs. 2 in der Fassung des Bundesgesetzes BGBl. I Nr. xxx/2018 treten mit 25. Mai 2018 in Kraft.“
Artikel 8
Änderung des Heeresentschädigungsgesetzes
Das Heeresentschädigungsgesetz, BGBl. I Nr. 162/2015, zuletzt geändert durch BGBl. I Nr. 18/2017, wird wie folgt geändert:
1. Die Überschrift zu § 5 lautet:
„Mitwirkungspflicht und Datenverarbeitung“
2. In § 5 Abs. 2 erster Satz entfällt die Wortfolge „im Sinne des Datenschutzgesetzes“.
3. In § 5 wird das Wort „Daten“ in Abs. 2 und in Abs. 4 jeweils durch die Wortfolge „personenbezogenen Daten“ und in Abs. 3 Z 2 bis 4 jeweils durch die Wortfolge „personenbezogene Daten“ ersetzt.
4. In § 5 Abs. 2 erster Satzteil wird im Klammerausdruck das Wort „Daten“ durch die Wortfolge „personenbezogene Daten“ ersetzt.
5. In § 5 Abs. 5 wird das Wort „Zustimmung“ durch das Wort „Einwilligung“ ersetzt.
6. § 6 lautet:
„§ 6. Die Allgemeine Unfallversicherungsanstalt und das Bundesamt für Soziales und Behindertenwesen, soweit es Aufgaben nach dem Übergangsrecht zu vollziehen hat, sind ermächtigt, die personenbezogenen Daten von Anspruchsberechtigten oder Anspruchswerbern nach diesem Bundesgesetz betreffend Stammdaten, Versicherungsnummer, Art und Einschätzung der Gesundheitsschädigung, das sind personenbezogene Daten aus ärztlichen Befunden und Sachverständigengutachten, sowie Art und Höhe von Einkünften zur Feststellung der Zugehörigkeit zum anspruchsberechtigten Personenkreis und der Gebührlichkeit der Leistungen sowie die Durchsetzung von Regressansprüchen nach diesem Bundesgesetz insoweit zu verarbeiten, als dies zur Erfüllung der ihnen gesetzlich übertragenen Aufgaben eine wesentliche Voraussetzung ist. Die für die Datenverarbeitungen Verantwortlichen haben bei der Besorgung dieser Aufgaben Datenschutz und Datensicherheit zu gewährleisten. Bei der Verarbeitung der personenbezogenen Daten sind dem Stand der Technik entsprechende Datensicherungsmaßnahmen gemäß Art. 32 der Datenschutz-Grundverordnung zu treffen und Zugriffs- bzw. Zutrittsbeschränkungen festzulegen. Die getroffenen Datensicherheitsmaßnahmen sind zu dokumentieren. Verarbeitete personenbezogene Daten sind zu löschen, wenn sie zur Erfüllung der gesetzlichen Aufgaben nicht mehr erforderlich sind. Die in § 5 Abs. 2 und 3 angeführten näheren Kriterien für die Datenübermittlung und Datenarten gelten auch für die Datenverarbeitung.“
7. Dem § 46 wird folgender Abs. 3 angefügt:
„(3) Die Paragrafenüberschrift vor § 5, § 5 Abs. 2, 3 Z 2 bis 4, Abs. 4 und 5 sowie § 6 in der Fassung des Bundesgesetzes BGBl. I Nr. xxx/2018 treten mit 25. Mai 2018 in Kraft.“
Artikel 9
Änderung des Heimopferrentengesetzes
Das Heimopferrentengesetz, BGBl. I Nr. 69/2017, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 152/2017, wird wie folgt geändert:
1. Die Überschrift zu § 11 lautet:
„Mitwirkung und Datenverarbeitung“
2. In § 11 wird das Wort „Daten“ bei der zweiten Erwähnung in Abs. 1 und in Abs. 3 jeweils durch die Wortfolge „personenbezogenen Daten“ und bei der ersten Erwähnung in Abs. 1 und in Abs. 4 Z 2 bis 5 jeweils durch die Wortfolge „personenbezogene Daten“ ersetzt.
3. In § 11 Abs. 4 Z 2 lit. d und Z 5 entfällt jeweils der Klammerausdruck „(sensible Daten nach § 4 Z 2 DSG 2000)“.
4. § 12 lautet:
„§ 12. Die Entscheidungsträger sind ermächtigt, die personenbezogenen Daten gemäß § 11 Abs. 4 insoweit zu verarbeiten, als dies zur Erfüllung der ihnen gesetzlich übertragenen Aufgaben eine wesentliche Voraussetzung ist. Die für die Datenverarbeitungen Verantwortlichen haben bei der Besorgung dieser Aufgaben Datenschutz und Datensicherheit zu gewährleisten. Beim Verarbeiten besonderer Datenkategorien nach Art. 9 Abs. 1 der Datenschutz-Grundverordnung haben sie angemessene Vorkehrungen zur Wahrung der Geheimhaltungsinteressen der betroffenen Personen zu treffen. Die Datenübermittlung erfolgt unter Einhaltung der Pflicht zur Verschlüsselung auf elektronischem Weg. Bei der Verarbeitung der personenbezogenen Daten sind gemäß Art. 32 der Datenschutz-Grundverordnung dem Stand der Technik entsprechende Datensicherheitsmaßnahmen zu treffen und Zugriffs- bzw. Zutrittsbeschränkungen festzulegen. Die getroffenen Datensicherheitsmaßnahmen sind zu dokumentieren und zu protokollieren. Die Löschung der personenbezogenen Daten erfolgt nach Maßgabe der gesetzlichen Aufbewahrungs- oder sonstigen Skartierungspflichten. Die in § 11 näher angeführten Kriterien für die Datenübermittlung und Datenarten gelten auch für die Datenverarbeitung.“
5. In § 15 Abs. 2 wird das Wort „Daten“ durch die Wortfolge „personenbezogenen Daten“ ersetzt.
6. Dem § 20 wird folgender Abs. 4 angefügt:
„(4) Die Paragrafenüberschrift vor § 11, § 11 Abs. 1, 3 und 4 Z 2 bis 5, § 12 und § 15 Abs. 2 in der Fassung des Bundesgesetzes BGBl. I Nr. xxx/2018 treten mit 25. Mai 2018 in Kraft.“
Artikel 10
Änderung des Impfschadengesetzes
Das Impfschadengesetz, BGBl. Nr. 371/1973, zuletzt geändert durch das BGBl. I Nr. 152/2017, wird wie folgt geändert:
1. In § 3 Abs. 3 entfällt der Ausdruck „87a Abs. 1 bis 3, 87b,“.
2. Dem § 3 Abs. 3 wird folgender Satz angefügt:
„Die §§ 5 und 6 des Heeresentschädigungsgesetzes, BGBl. I Nr. 162/2015, sind sinngemäß mit der Maßgabe anzuwenden, dass an die Stelle der Allgemeinen Unfallversicherungsanstalt das Bundesamt für Soziales und Behindertenwesen tritt und die Mitwirkungspflicht sich nicht auf die militärischen Dienststellen bezieht.“
3. Dem § 9 wird folgender Abs. 9 angefügt:
„(9) § 3 Abs. 3 in der Fassung des Bundesgesetzes BGBl. I Nr. xxx/2018 tritt mit 25. Mai 2018 in Kraft.“
Artikel 11
Änderung des Kriegsgefangenenentschädigungsgesetzes
Das Kriegsgefangenenentschädigungsgesetz, BGBl. I Nr. 142/2000, zuletzt geändert durch BGBl. I Nr. 18/2017, wird wie folgt geändert:
1. Die Überschrift zu § 17 lautet:
„Verarbeitung von personenbezogenen Daten“
2. In § 17 wird das Wort „Daten“ durch die Wortfolge „personenbezogenen Daten“ ersetzt.
3. In § 17 entfällt die Wortfolge „zu ermitteln und“.
4. In § 18 wird das Wort „Daten“ in der ersten Erwähnung in Abs. 1 durch die Wortfolge „personenbezogene Daten“ und in der zweiten Erwähnung in Abs. 1 und in Abs. 2 jeweils durch die Wortfolge „personenbezogenen Daten“ ersetzt.
5. In § 18 Abs. 1 entfällt die Wortfolge „im Sinne des Datenschutzgesetzes“.
6. Dem § 23 wird folgender Abs. 10 angefügt:
„(10) § 17 samt Paragrafenüberschrift und § 18 Abs. 1 und 2 in der Fassung des Bundesgesetzes BGBl. I Nr. xxx/2018 treten mit 25. Mai 2018 in Kraft.“
Artikel 12
Änderung des Kriegsopferversorgungsgesetzes 1957
Das Kriegsopferversorgungsgesetz, BGBl. I Nr. 152/1957, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 152/2017, wird wie folgt geändert:
1. In § 91a wird das Wort „Daten“ jeweils durch die Wortfolge „personenbezogenen Daten“ ersetzt.
2. § 91b lautet:
„§ 91b. Die zur Vollziehung dieses Bundesgesetzes zuständigen Behörden sind ermächtigt, die personenbezogenen Daten von Anspruchsberechtigten oder Anspruchswerbern nach diesem Bundesgesetz insbesondere betreffend Generalien, Versicherungsnummer, Art und Einschätzung der Gesundheitsschädigung, das sind personenbezogene Daten aus ärztlichen Befunden und Sachverständigengutachten, sowie Art und Höhe von Einkünften zur Feststellung der Zugehörigkeit zum anspruchsberechtigten Personenkreis und der Gebührlichkeit der Leistungen nach diesem Bundesgesetz insoweit zu verarbeiten, als dies zur Erfüllung der ihnen gesetzlich übertragenen Aufgaben eine wesentliche Voraussetzung ist. Die BRZ GmbH hat als Auftragsverarbeiter gemäß Art. 4 Z 8 der Datenschutz-Grundverordnung bei der Verarbeitung und dem Vollzug des Gesetzes entsprechend mitzuwirken. Die für die Datenverarbeitungen Verantwortlichen haben bei der Besorgung dieser Aufgaben Datenschutz und Datensicherheit zu gewährleisten. Insbesondere sind bei der Verarbeitung der personenbezogenen Daten dem Stand der Technik entsprechende Datensicherheitsmaßnahmen gemäß Art. 32 der Datenschutz-Grundverordnung zu treffen. Die getroffenen Datensicherheitsmaßnahmen sind zu dokumentieren.“
3. In § 93 wird das Wort „Daten“ in Abs. 2 Z 1 durch die Wortfolge „personenbezogener Daten“ und in Abs. 2 Z 2 durch die Wortfolge „personenbezogenen Daten“ ersetzt.
4. Dem § 115 wird folgender Abs. 17 angefügt:
„(17) § 91a, § 91b und § 93 Abs. 2 Z 1 und 2 in der Fassung des Bundesgesetzes BGBl. I Nr. xxx/2018 treten mit 25. Mai 2018 in Kraft.“
Artikel 13
Änderung des Sozialministeriumservicegesetzes
Das Sozialministeriumservicegesetz, BGBl. I Nr. 150/2002, zuletzt geändert durch BGBl. I Nr. 18/2017, wird wie folgt geändert:
1. In § 2a wird das Wort „verwenden“ in Abs. 1 und 4 jeweils durch die Wortfolge „verarbeiten“ ersetzt.
2. In § 2a wird das Wort „Daten“ in Abs. 2, Abs. 3 zweiter und dritter Satz und in Abs. 4 und 5 jeweils durch die Wortfolge „personenbezogenen Daten“ ersetzt.
3. § 2a Abs. 3 vierter Satz entfällt.
4. In § 2a Abs. 3 wird das Wort „Auftraggeber“ durch das Wort „Verantwortlicher“ ersetzt.
5. §2a Abs. 3 fünfter Satz lautet:
„Das Bundesamt für Soziales und Behindertenwesen ist ermächtigt, soweit gemäß Abs. 4 gesetzlich erforderlich und soweit es sich dabei nicht um besondere Kategorien personenbezogener Daten nach Art. 9 Abs. 1 der Datenschutz-Grundverordnung handelt, aus der nachstehenden Liste der Datenarten die jeweils in Betracht kommenden personenbezogenen Daten zu den in Abs. 2 angeführten betroffenen Personen, Rechtsträgern und Unternehmen in der Kontaktdatenbank zu verarbeiten.“
6. In § 2a Abs. 4 wird die Wortfolge „des Heeresversorgungsgesetzes, BGBl. Nr. 27/1964“ durch die Wortfolge „des Heeresentschädigungsgesetzes, BGBl. I Nr. 162/2015“, ersetzt.
7. In § 2a Abs. 4 wird nach der Wortfolge „des Kriegsgefangenenentschädigungsgesetzes, BGBl. I Nr. 142/2000“ die Wortfolge „des Heimopferrentengesetzes, BGBl. I Nr. 69/2017, des Conterganhilfeleistungsgesetzes, BGBl. I Nr. 57/2015“ eingefügt.
8. § 2a Abs. 5 letzter Satz lautet:
„Die betroffenen Personen und Unternehmen werden gemäß Art. 13 der Datenschutz-Grundverordnung über den Datenabgleich mit dem zentralen Melderegister, die Nutzung des Unternehmensregisters für Zwecke der Verwaltung und den Betrieb der Kontaktdatenbank vom Bundesamt für Soziales und Behindertenwesen informiert.“
9. § 2a Abs. 8 lautet:
„(8) Der für die Datenverarbeitungen Verantwortliche hat bei der Besorgung der Aufgaben im Sinne dieser Bestimmung Datenschutz und Datensicherheit zu gewährleisten. Insbesondere sind bei der Verarbeitung der personenbezogenen Daten dem Stand der Technik entsprechende Datensicherheitsmaßnahmen gemäß Art. 32 der Datenschutz-Grundverordnung zu treffen und zu dokumentieren.“
10. Dem § 10 wird folgender Abs. 9 angefügt:
„(9) § 2a Abs. 1 bis 5 und 8 in der Fassung des Bundesgesetzes BGBl. I Nr. xxx/2018 tritt mit 25. Mai 2018 in Kraft.“
Artikel 14
Änderung des Verbrechensopfergesetzes
Das Verbrechensopfergesetz, BGBl. Nr. 288/1972, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 152/2017, wird wie folgt geändert:
1. § 9 Abs. 5 lautet:
„(5) Die zur Vollziehung dieses Bundesgesetzes zuständigen Behörden sind ermächtigt, die personenbezogenen Daten von Anspruchsberechtigten oder Anspruchswerbern nach diesem Bundesgesetz insbesondere betreffend Generalien, Versicherungsnummer, Art und Einschätzung der Gesundheitsschädigung, das sind personenbezogene Daten aus ärztlichen Befunden und Sachverständigengutachten, sowie Art und Höhe von Einkünften zur Feststellung der Zugehörigkeit zum anspruchsberechtigten Personenkreis und der Gebührlichkeit der Leistungen nach diesem Bundesgesetz insoweit zu verarbeiten, als dies zur Erfüllung der ihnen gesetzlich übertragenen Aufgaben eine wesentliche Voraussetzung ist. Die BRZ GmbH hat als Auftragsverarbeiter gemäß Art. 4 Z 8 der Datenschutz-Grundverordnung bei der Verarbeitung und dem Vollzug des Gesetzes entsprechend mitzuwirken. Die für die Datenverarbeitungen Verantwortlichen haben bei der Besorgung dieser Aufgaben Datenschutz und Datensicherheit zu gewährleisten. Insbesondere sind bei der Verarbeitung der personenbezogenen Daten dem Stand der Technik entsprechende Datensicherheitsmaßnahmen gemäß Art. 32 Abs. 1 der Datenschutz-Grundverordnung zu treffen. Die getroffenen Datensicherheitsmaßnahmen sind zu dokumentieren.“
2. In § 9c Abs. 2 wird das Wort „Daten“ durch die Wortfolge „personenbezogener Daten“ ersetzt.
3. Dem § 16 wird folgender Abs. 20 angefügt:
„(20) § 9 Abs. 5 und § 9c Abs. 2 in der Fassung des Bundesgesetzes BGBl. I Nr. xxx/2018 treten mit 25. Mai 2017 in Kraft.“
Artikel 15
Änderung des Arbeitsmarktservicegesetzes
Das Arbeitsmarktservicegesetz (AMSG), BGBl. Nr. 313/1994, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 31/2017, wird wie folgt geändert:
1. Im § 25 werden die Abs. 2 bis 8 durch folgende Abs. 2 bis 11 ersetzt:
„(2) Die vom Arbeitsmarktservice oder vom Bundesministerium für Arbeit, Soziales und Konsumentenschutz verarbeiteten Daten gemäß Abs. 1, mit Ausnahme von Gesundheitsdaten gemäß Abs. 1 Z 4, dürfen anderen Behörden, Gerichten, Trägern der Sozialversicherung und der Bundesanstalt Statistik Österreich im Wege der automationsunterstützten Datenverarbeitung offen gelegt werden, soweit die entsprechenden Daten für die Vollziehung der jeweiligen gesetzlich übertragenen Aufgaben eine wesentliche Voraussetzung bilden. Andere Behörden, Gerichte und die Träger der Sozialversicherung dürfen von ihnen verarbeitete Daten gemäß Abs. 1, mit Ausnahme von Gesundheitsdaten gemäß Abs. 1 Z 4, dem Arbeitsmarktservice und dem Bundesministerium für Arbeit, Soziales und Konsumentenschutz im Wege der automationsunterstützten Datenverarbeitung offen legen, soweit diese Daten für die Vollziehung der dem Arbeitsmarktservice und dem Bundesministerium für Arbeit, Soziales und Konsumentenschutz gesetzlich übertragenen Aufgaben eine wesentliche Voraussetzung bilden. Von den Trägern der Sozialversicherung übermittelte Daten gemäß Abs. 1 Z 9 dürfen vom Arbeitsmarktservice und vom Bundesministerium für Arbeit, Soziales und Konsumentenschutz personenbezogen für Zwecke der nachhaltigen Arbeitsmarktintegration dieser Personengruppe verarbeitet werden.
(3) Die vom Arbeitsmarktservice verarbeiteten Daten gemäß Abs. 1 Z 1 dürfen den Kammern für Arbeiter und Angestellte und den Landarbeiterkammern im Wege der automationsunterstützten Datenverarbeitung offen gelegt werden, soweit die entsprechenden Daten zum Zweck der Erfassung der wahlberechtigten Arbeitslosen benötigt werden (§ 34 Abs. 2 des Arbeiterkammergesetzes 1992, BGBl. Nr. 626/1991, und entsprechende landesgesetzliche Regelungen).
(4) Die vom Arbeitsmarktservice verarbeiteten Daten gemäß Abs. 1 dürfen an die Bundesrechenzentrum GmbH und an Einrichtungen, denen Aufgaben des Arbeitsmarktservice übertragen sind (§ 30 Abs. 3), im Rahmen der von diesen zu erbringenden Dienstleistungen im Wege der automationsunterstützten Datenverarbeitung übermittelt werden.
(5) Das Arbeitsmarktservice und das Bundesministerium für Arbeit, Soziales und Konsumentenschutz dürfen die von ihnen verarbeiteten Daten gemäß Abs. 1, mit Ausnahme von Gesundheitsdaten gemäß Abs. 1 Z 4, an beauftragte Rechtsträger im Wege der automationsunterstützten Datenverarbeitung übermitteln, soweit die entsprechenden Daten eine unabdingbare Voraussetzung für die Erfüllung eines zur Beurteilung der Dienstleistungen, Beihilfen und sonstigen finanziellen Leistungen des Arbeitsmarktservice vergebenen Forschungsauftrages sind. Für im öffentlichen Interesse liegende wissenschaftliche und statistische Untersuchungen dürfen das Bundesministerium für Arbeit, Soziales und Konsumentenschutz und das Arbeitsmarktservice die dafür erforderlichen Daten gemäß Abs. 1 (ausgenommen Z 1 lit. a und e bis h), verknüpft mit dem verschlüsselten bPK AS, der Bundesanstalt Statistik Österreich zum Zweck der Zusammenführung mit indirekt personenbezogenen Daten von anderen Behörden oder Sozialversicherungsträgern oder bei der Bundesanstalt vorhandenen Daten der Erwerbsbevölkerung übermitteln. Ebenso dürfen diese anderen Behörden oder Sozialversicherungsträger nach gesetzlichen Vorschriften verarbeitete Daten des eigenen staatlichen Tätigkeitsbereichs, verknüpft mit dem verschlüsselten bPK AS, der Bundesanstalt übermitteln. Eine Rückübermittlung zusammengeführter Daten oder die Ermöglichung der Wiederherstellung eines direkten Personenbezuges ist unzulässig. Die Bundesanstalt erstellt die wissenschaftlichen oder statistischen Auswertungen nach Beauftragung durch den Bundesminister für Arbeit, Soziales und Konsumentenschutz. Die Bundesanstalt erbringt ihre Leistungen nach diesem Bundesgesetz gegen Kostenersatz gemäß § 32 Abs. 4 Z 2 des Bundesstatistikgesetzes 2000. Die zusammengeführten Daten sind, sobald sie für den Zweck der Untersuchung nicht mehr benötigt werden, spätestens nach drei Jahren, zu löschen.
(6) Die Bundesanstalt Statistik Österreich darf von ihr verarbeitete Stammdaten der Arbeitgeber gemäß Abs. 1 Z 6 und Daten über Ausbildungen gemäß Abs. 1 Z 2 lit. b und Z 7 lit. b dem Arbeitsmarktservice und dem Bundesministerium für Arbeit, Soziales und Konsumentenschutz im Wege der automationsunterstützten Datenverarbeitung offenlegen, soweit diese Daten für Zwecke in ihren gesetzlichen Aufgabenbereich fallender wissenschaftlicher oder arbeitsmarktstatistischer Untersuchungen, die keine personenbezogenen Ergebnisse zum Ziel haben (§ 7 DSG), eine wesentliche Voraussetzung bilden.
(7) Gesundheitsdaten (Abs. 1 Z 4) dürfen zur Beurteilung der Arbeitsfähigkeit vom Arbeitsmarktservice gegenüber den zuständigen Trägern der Sozialversicherung, dem Sozialministeriumservice und den zuständigen Trägern der Sozialhilfe sowie von diesen gegenüber dem Arbeitsmarktservice offen gelegt werden.
(8) Arbeitgebern dürfen ausschließlich solche Daten gemäß Abs. 1 offen gelegt werden, die für die Begründung eines Arbeitsverhältnisses und die Beurteilung der beruflichen Eignung der Arbeitsuchenden benötigt werden. Gesundheitsdaten dürfen Arbeitgebern nicht offen gelegt werden.
(9) Die Daten gemäß Abs. 1 sind sieben Jahre nach Beendigung des jeweiligen Geschäftsfalles aufzubewahren. Die Aufbewahrungsfrist verlängert sich um Zeiträume, in denen die Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen weiterhin benötigt werden oder andere gesetzliche Bestimmungen längere Fristen vorsehen. Die Löschung von Daten ist aus wirtschaftlichen und technischen Gründen auf ein oder zwei Termine im Jahr zu konzentrieren. Bis dahin besteht kein Anspruch auf vorzeitige Löschung.
(10) Das Arbeitsmarktservice hat unter Beachtung der wirtschaftlichen Vertretbarkeit und des Standes der Technik ausreichende Vorkehrungen für die Gewährleistung der Datensicherheit im Sinne des § 14 DSG 2000 (idF des Bundesgesetzes BGBl. I Nr. 165/1999) und des § 6 DSG zu treffen. Insbesondere sind Erfassungen oder Änderungen personenbezogener Daten nur durch die jeweils zuständigen Organisationseinheiten (Mitarbeiterinnen, Mitarbeiter) zulässig. Bei der Übermittlung personenbezogener Daten an Dritte ist durch technische oder organisatorische Maßnahmen sicherzustellen, dass nur die vorgesehenen Empfängerinnen und Empfänger Zugriff auf die Daten erlangen. Zugriffs- wie auch Leserechte sind nach den Aufgaben (Rollen) der jeweiligen Organisationseinheiten und Bediensteten zu gestalten. Der Zugriff auf personenbezogene Daten sowie jede Übermittlung von Gesundheitsdaten ist zu protokollieren. Protokolldaten dürfen nicht personenbezogen verwendet werden, außer dies ist zur Durchsetzung oder Abwehr rechtlich geltend gemachter Ansprüche, zur Sicherstellung der rechtmäßigen Verwendung der Datenverarbeitung oder aus technischen Gründen notwendig.
(11) Die auf Grundlage der Abs. 1 bis 10, des § 69 AlVG sowie der §§ 27 und 27a AuslBG vorzunehmenden Datenverarbeitungen erfüllen die Voraussetzungen des Art. 35 Abs. 10 der Verordnung (EU) Nr. 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, für den Entfall der Datenschutz-Folgenabschätzung.“
2. Dem § 78 wird folgender Abs. 35 angefügt:
„(35) § 25 in der Fassung des Bundesgesetzes BGBl. I Nr. xxx/2018 tritt mit 25. Mai 2018 in Kraft.“
Artikel 16
Änderung des IEF-Service-GmbH-Gesetzes
Das IEF-Service-GmbH-Gesetz (IEFG), BGBl. I Nr. 88/2001, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 71/2013, wird wie folgt geändert:
1. § 19 samt Überschrift lautet:
„Datenverarbeitung
§ 19. (1) Die IEF-Service GmbH und ihre Geschäftsstellen sind zur Verarbeitung folgender personenbezogener Daten ermächtigt, soweit dies für die Vollziehung gesetzlich übertragener Aufgaben erforderlich ist:
1. Stammdaten von Anspruchsberechtigten und Schuldnern:
a) Namen (Vor- und Nachnamen),
b) Geschlecht,
c) Sozialversicherungsnummer und Geburtsdatum,
d) Wohnadresse,
e) Kontaktdaten (wie E-Mail-Adresse und Telefonnummer),
f) Bankverbindungen,
g) Daten von Vertretern (soweit gegeben).
2. Sonstige Daten von Anspruchsberechtigten und Schuldnern:
a) Beschäftigungs- und Lohnverrechnungsdaten,
b) Daten über Vorschusszahlungen vom Arbeitsmarktservice gemäß § 16 Abs. 2 und 4 AlVG,
c) Daten von Exekutionsgläubigern und deren Vertretern (soweit vorhanden) einschließlich deren Forderungen (Rang, Höhe),
d) Daten von Unterhaltsberechtigten,
e) Daten zu Eigentumsverhältnissen an Immobilien.
3. Daten über Straftatbestände gemäß § 11 Abs. 3 IESG.
4. Stammdaten von Arbeitgebern, deren Vertretern (soweit vorhanden) und von Insolvenzverwaltern:
a) Firmen- und Betriebsnamen,
b) Firmen- und Betriebssitz,
c) Betriebsinhaber und verantwortliche Mitglieder der Geschäftsführung,
d) Branchenzugehörigkeit,
e) Betriebsgegenstand,
f) Betriebsgröße,
g) Anzahl und Struktur der Beschäftigten,
h) Dienstgeberkontonummer und Unternehmenskennzahl,
i) Kontaktdaten (wie E-Mail-Adressen und Telefonnummern),
j) Bankverbindungen.
5. Daten gemäß § 5 Abs. 2 und § 8 Abs. 4 des Sozialbetrugsbekämpfungsgesetzes (SBBG), BGBl. I Nr. 113/2015.
(2) Die Daten gemäß Abs. 1 sind sieben Jahre aufzubewahren. Die Frist beginnt mit Ende des Kalenderjahres, in dem die Betreibung der in einem Verfahren gemäß § 1 Abs. 1 übergegangenen Ansprüche durch die IEF-Service GmbH beendet wurde. Sind keine Ansprüche übergegangen oder ist zum im zweiten Satz genannten Zeitpunkt über zugehörige Ansprüche noch nicht vollumfänglich abgesprochen, so beginnt diese Frist für alle in einem Verfahren gemäß § 1 Abs. 1 verarbeiteten Daten mit Ende des Kalenderjahres, in dem über den letzten dieser Ansprüche rechtskräftig abgesprochen wurde. Die Aufbewahrungsfrist verlängert sich um Zeiträume, in denen die Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen weiterhin benötigt werden oder andere gesetzliche Bestimmungen längere Fristen vorsehen. Die Löschung von Daten ist aus wirtschaftlichen und technischen Gründen auf ein oder zwei Termine im Jahr zu konzentrieren. Bis dahin besteht kein Anspruch auf vorzeitige Löschung.
(3) Die IEF-Service GmbH hat unter Beachtung der wirtschaftlichen Vertretbarkeit und des Standes der Technik ausreichende Vorkehrungen für die Gewährleistung der Datensicherheit im Sinne des § 14 DSG 2000 (idF des Bundesgesetzes BGBl. I Nr. 165/1999) und des § 6 DSG zu treffen. Insbesondere sind Erfassungen oder Änderungen personenbezogener Daten nur durch die jeweils zuständigen Organisationseinheiten (Mitarbeiterinnen, Mitarbeiter) zulässig. Bei der Offenlegung personenbezogener Daten von oder gegenüber Dritten (§ 14) ist durch technische oder organisatorische Maßnahmen sicherzustellen, dass nur die vorgesehenen Empfängerinnen und Empfänger Zugriff auf die Daten erlangen. Zugriffs- wie auch Leserechte sind nach den Aufgaben (Rollen) der jeweiligen Organisationseinheiten und Bediensteten zu gestalten.
(4) Der Zugriff auf personenbezogene Daten der Datenverarbeitung zur Erstellung von Bescheiden und der Geltendmachung der nach dem IESG übergegangenen Forderungen ist zu protokollieren.
(5) Die auf Grundlage der Abs. 1 bis 4 vorzunehmenden Datenverarbeitungen erfüllen die Voraussetzungen des Art. 35 Abs. 10 der Verordnung (EU) Nr. 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, für den Entfall der Datenschutz-Folgenabschätzung.
(6) Die IEF-Service GmbH ist Verantwortliche des öffentlichen Bereiches gemäß § 26 Abs. 1 Z 2 DSG und öffentliche Stelle im Sinne des § 30 Abs. 5 DSG.“
2. Dem § 31 wird folgender § 32 samt Überschrift angefügt:
„Inkrafttreten der Novelle BGBl. I Nr. xxx/2018
§ 32. § 19 samt Überschrift in der Fassung des Bundesgesetzes BGBl. I Nr. xxx/2018 tritt mit 25. Mai 2018 in Kraft.“
Artikel 17
Änderung des Insolvenz-Entgeltsicherungsgesetzes
Das Insolvenz-Entgeltsicherungsgesetz (IESG), BGBl. Nr. 324/1977, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 154/2017, wird wie folgt geändert:
1. § 5 Abs. 5 entfällt.
2. § 14 Abs. 4 lautet:
„(4) Der Hauptverband der österreichischen Sozialversicherungsträger ist verpflichtet, auf automationsunterstütztem Wege gespeicherte Daten (§ 31 Abs. 4 Z 3 ASVG) über die Versicherungszeiten, Beitragsgrundlagen, Qualifikationen und Dienstgeber von natürlichen Personen der IEF-Service GmbH und deren Geschäftsstellen, den Gerichten und dem Bundesministerium für Arbeit, Soziales und Konsumentenschutz offen zu legen, soweit dies für die Vollziehung der diesen Stellen jeweils gesetzlich übertragenen Aufgaben erforderlich ist. Für Zwecke der Prüfung des Vorliegens von Betriebsübergängen (§ 3 AVRAG) und des Verdachts auf Sozialbetrug sind vom Hauptverband der österreichischen Sozialversicherungsträger auf automationsunterstütztem Wege auch die zu bestimmten Stichtagen jeweils beschäftigten Personen je Dienstgeber offen zu legen.“
3. Nach § 35 wird folgender § 36 samt Überschrift angefügt:
„Inkrafttreten der Novelle BGBl. I Nr. xxx/2018
§ 36. § 5 und § 14 Abs. 4 in der Fassung des Bundesgesetzes BGBl. I Nr. xxx/2018 treten mit 25. Mai 2018 in Kraft.“
Artikel 18
Änderung des Bauarbeiter-Urlaubs- und Abfertigungsgesetzes
Das Bauarbeiter-Urlaubs- und Abfertigungsgesetz – BUAG, BGBl. Nr. 414/1972, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 114/2017 wird wie folgt geändert:
1. In § 31a Abs. 2 wird die Wortfolge „ist ermächtigt,“ durch das Wort „hat“ ersetzt.
2. In § 31a Abs. 4 wird die Wortfolge „Datenschutzrechtlicher Auftraggeber der Baustellendatenbank gemäß § 4 Z 4 Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999“ durch die Wortfolge „Verantwortliche im Sinne des Art. 4 Z 7 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S.1“ ersetzt.
3. § 31a Abs. 5 lautet:
„(5) Die Urlaubs- und Abfertigungskasse hat zur Erstattung der Meldungen gemäß Abs. 1 Z 1 und 2 eine Webanwendung zur Verfügung zu stellen.“
4. In § 33g Abs. 1 und 2 werden jeweils die Verweise „1a“ durch „2a“ ersetzt.
5. § 40 wird folgender Abs. 35 angefügt:
„(35) § 31a Abs. 2, 4 und 5 in der Fassung des Bundesgesetzes BGBl. I Nr. xxx/2018 tritt mit 25. Mai 2018 in Kraft.“
Artikel 19
Änderung des Lohn- und Sozialdumping-Bekämpfungsgesetzes
Das Lohn- und Sozialdumping-Bekämpfungsgesetz, BGBl. I Nr. 44/2016, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 64/2017, wird wie folgt geändert:
1. Im § 11 Abs. 2 wird die Wortfolge „Dienstleisters im Sinne des § 4 Z 5 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999,“ durch die Wortfolge „Auftragsverarbeiters im Sinne von Art. 4 Z 8 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, (im Folgenden: DSGVO)“ ersetzt.
2. Im § 11 Abs. 3 wird die Wortfolge „Auftraggebers im Sinne des § 4 Z 4 DSG 2000“ durch die Wortfolge „Verantwortlichen im Sinne von Art. 4 Z 7 DSGVO aus“ ersetzt.
3. § 11 Abs. 4 erster Satz entfällt.
4. Dem § 72 wird folgender Abs. 5 angefügt:
„(5) § 11 Abs. 2 bis 4 in der Fassung des Bundesgesetzes BGBl. I Nr. xxx/2018 tritt mit 25. Mai 2018 in Kraft.“
Artikel 20
Änderung des Sozialbetrugsbekämpfungsgesetzes
Das Sozialbetrugsbekämpfungsgesetz, BGBl. I Nr. 113/2015, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 64/2017, wird wie folgt geändert:
1. Die Überschrift zu § 5 lautet:
„Sozialbetrugsdatenbank – Datenaustausch“
2. § 5 Abs. 3 und 4 lauten:
„(3) Die Bundesrechenzentrum GmbH wird mit dem Betrieb der Datenbank gemäß Abs. 2 betraut. Diese gilt als Auftragsverarbeiter im Sinne von Art. 4 Z 8 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, (im Folgenden: DSGVO) sowie im Sinne des § 36 Abs. 2 Z 9 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999. Die Datenbank ist derart auszugestalten, dass eine Weitergabe von Daten gemäß Abs. 2 auf konkrete Kooperationsstellen und Staatsanwaltschaften beschränkt werden kann und den Anforderungen der Art. 24, 25 und 32 DSGVO sowie den §§ 50 und 54 DSG entspricht.
(4) Der Zeitpunkt der Aufnahme der Datenbank gemäß Abs. 2 sowie Näheres über die Vorgangsweise bei der in den Abs. 1, 2, 5 und 7 vorgesehenen Verarbeitung von Daten in Hinblick auf die für die jeweilige Verarbeitung notwendigen Protokollierungen und Datensicherheitsmaßnahmen sind vom Bundesminister für Finanzen durch Verordnung festzulegen. Für die Verarbeitung von Daten gemäß den Abs. 1, 2, 5 und 7 hat die Verordnung Regelungen im Sinne der Art. 24, 25 und 32 DSGVO und der §§ 50 und 54 DSG, insbesondere über Protokollierungen und Datensicherheitsmaßnahmen vorzusehen.“
3. Der bisherige Abs. 6 des § 5 erhält die Absatzbezeichnung „(7)“; folgender Abs. 6 (neu) wird eingefügt:
„(6) Die Kooperationsstellen und die Staatsanwaltschaften sind für die Datenbank gemeinsam Verantwortliche im Sinne des Art. 26 DSGVO und des § 47 DSG. Die Pflichten zur Wahrung der Betroffenenrechte treffen jene Einrichtung, die die Ermittlungen führt, werden solche nicht geführt diejenige, die den Fall in der Datenbank angelegt hat. Ab Anhängigkeit des Strafverfahrens (§ 1 Abs. 2 StPO) ist nach den Bestimmungen der StPO vorzugehen. Für die Datenbank nimmt das Bundesministerium für Finanzen die sonstigen Pflichten des Verantwortlichen unbeschadet der Haftungsbestimmungen des Art. 82 DSGVO und des § 29 DSG wahr.“
4. § 5 Abs. 7 (neu) lautet:
„(7) In der Datenbank gemäß Abs. 2 verarbeitete personenbezogene Daten eines konkreten Sozialbetrugsverdachts sind längstens nach Ablauf von zehn Jahren nach der Erfassung des ersten Datums in der Sozialbetrugsdatenbank zu löschen. Sofern ersichtlich ist, dass sich der Sozialbetrugsverdacht nicht bestätigt, sind die Daten unverzüglich zu löschen. Diese Löschungsverpflichtungen gelten auch für die bei den Kooperationsstellen direkt verwendeten Daten. Die den Kooperationsstellen in anderen Rechtsvorschriften eingeräumten datenschutzrechtlichen Ermächtigungen und auferlegten datenschutzrechtlichen Pflichten werden jedoch nicht berührt.“
5. Dem § 8 Abs. 10 wird folgender Satz angefügt:
„Veröffentlichungen, die sich auf natürliche Personen beziehen, sind nach Ablauf von fünf Jahren nach der Veröffentlichung zu löschen.“
6. Der bisherige Text des § 12 erhält die Absatzbezeichnung „(1)“; folgender Abs. 2 wird angefügt:
„(2) Die Überschrift zu § 5, § 5 Abs. 3, 4, 6 und 7 sowie § 8 Abs. 10 in der Fassung des Bundesgesetzes BGBl. I Nr. xxx/2018 treten mit 25. Mai 2018 in Kraft.“