Entwurf

Bundesgesetz, mit dem das E‑Government-Gesetz, das Signatur- und Vertrauensdienstegesetz, das Unternehmensserviceportalgesetz, das Dienstleistungsgesetz, das Informationsweiterverwendungsgesetz, das Wettbewerbsgesetz, die Gewerbeordnung, das Berufsausbildungsgesetz, das Ingenieurgesetz 2017, das Bilanzbuchhaltungsgesetz 2014, das Wirtschaftskammergesetz 1998, das Wirtschaftstreuhandberufsgesetz 2017 und das Ziviltechnikerkammergesetz 1993 geändert werden (Datenschutz-Anpassungsgesetz – Bundesministerium für Digitalisierung und Wirtschaftsstandort)

Der Nationalrat hat beschlossen:

Inhaltsverzeichnis

Art	Gegenstand / Bezeichnung
1	Änderung des E‑Government-Gesetzes
2	Änderung des Signatur- und Vertrauensdienstegesetzes
3	Änderung des Unternehmensserviceportalgesetzes
4	Änderung des Dienstleistungsgesetzes
5	Anderung des Informationsweiterverwendungsgesetzes
6	Änderung des Wettbewerbsgesetzes
7	Änderung der Gewerbeordnung
8	Änderung des Berufsausbildungsgesetzes
9	Änderung des Ingenieurgesetzes 2017
10	Änderung des Bilanzbuchhaltungsgesetzes 2014
11	Änderung des Wirtschaftskammergesetzes 1998
12	Änderung des Wirtschaftstreuhandberufsgesetzes 2017
13	Änderung des Ziviltechnikerkammergesetzes 1993

Artikel 1

Änderung des E‑Government-Gesetzes

Das E‑Government-Gesetz (E-GovG), BGBl. I Nr. 10/2004, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. XX/2018, wird wie folgt geändert:

1. Im Inhaltsverzeichnis wird im Eintrag zu § 8 das Wort „Datenanwendungen“ durch das Wort „Datenverarbeitungen“ ersetzt.

2. Im Inhaltsverzeichnis wird im Eintrag zu § 14 nach dem Wort „Verwendung“ die Wortfolge „des E-ID“ eingefügt.

3. Im Inhaltsverzeichnis wird im Eintrag zu § 15 das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.

4. Im Inhaltsverzeichnis wird im Eintrag zu § 16 nach dem Wort „für“ das Wort „personenbezogene“ eingefügt.

5. Im Inhaltsverzeichnis wird im Eintrag zu § 17 nach dem Wort „für“ das Wort „personenbezogene“ eingefügt.

6. Im Inhaltsverzeichnis wird im Eintrag zu § 18 nach dem Wort „für“ das Wort „personenbezogene“ eingefügt und das Wort „Auftraggebers“ durch das Wort „Verantwortlichen“ ersetzt.

7. Der Eintrag im Inhaltsverzeichnis zu § 22 lautet:

             „§ 22.    Unzulässige Verarbeitung von Stammzahlen oder bPK oder unzulässige Verwendung von Amtssignaturen“

8. § 3 Abs. 1 lautet:

„(1) Im elektronischen Verkehr mit Verantwortlichen des öffentlichen Bereichs im Sinne des Art. 4 Z 7 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, (im Folgenden: DSGVO), dürfen Zugriffsrechte auf personenbezogene Daten (Art. 4 Z 1 DSGVO), an welchen ein schutzwürdiges Geheimhaltungsinteresse im Sinne des § 1 Abs. 1 Datenschutzgesetz – DSG, BGBl. I Nr. 165/1999, besteht, nur eingeräumt werden, wenn die eindeutige Identität desjenigen, der zugreifen will, und die Authentizität seines Ersuchens nachgewiesen sind. Dieser Nachweis muss in elektronisch prüfbarer Form erbracht werden.“

9. In § 3 Abs. 2, § 4 Abs. 1, 2, 5 und 6, § 4b, § 5 Abs. 1, § 6 Abs. 4, § 8, § 10 Abs. 1 und 2, § 11, § 14 Abs. 1 bis 3, § 14a Abs. 2, § 15 Abs. 1, § 16 Abs. 2, § 17 Abs. 2, der Überschrift zu § 18, § 18 Abs. 1, § 19 Abs. 2 und 3, § 22 Abs. 1 Z 2 bis 4 und in § 24 Abs. 3 wird jeweils das Wort „Auftraggeber“ durch das Wort „Verantwortlicher“ in der jeweils grammatikalisch richtigen Form ersetzt.

10. In § 4 Abs. 2 und 4, § 4a Abs. 3 und 4, § 4b, § 6 Abs. 2 und 4, § 14 Abs. 3, der Überschrift zu § 16, § 16 Abs. 2, der Überschrift zu § 17, § 17 Abs. 1 und 2, der Überschrift zu § 18, § 18 Abs. 2 und § 22 Abs. 1 Z 4 wird jeweils das Wort „Daten“ durch die Wortfolge „personenbezogene Daten“ in der jeweils grammatikalisch richtigen Form ersetzt.

11. In § 4 Abs. 2 und 5, § 5 Abs. 1, § 14 Abs. 3, § 14a Abs. 2 und § 17 Abs. 2 wird jeweils das Wort „Zustimmung“ durch das Wort „Einwilligung“ ersetzt.

12. In § 4 Abs. 5, § 4a Abs. 4 und 5, § 4b, § 5 Abs. 1 bis 3, § 6 Abs. 4, in der Überschrift zu § 8, § 8, § 9 Abs 1 und 2, § 10 Abs. 1 und 2, § 13 Abs. 2 Z 1 und Abs. 3, § 14 Abs. 3, § 14a Abs. 2 und § 15 Abs. 1 wird jeweils das Wort „Datenanwendung“ durch das Wort „Datenverarbeitung“ in der jeweils grammatikalisch richtigen Form ersetzt.

13. In § 4b, § 6 Abs. 2, § 10 Abs. 2, § 12 Abs. 1 Z 2 und Abs. 2, § 13 Abs. 2, in der Überschrift zu § 15, § 15 Abs. 1 und § 25 Abs. 2 wird jeweils das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.

14. In § 7 Abs. 2 wird das Wort „Dienstleister“ jeweils durch das Wort „Auftragsverarbeiter“ ersetzt.

15. In § 9 Abs. 1, § 13 Abs. 1 und Abs. 2 Z 1 und § 18 Abs. 2 wird jeweils das Wort „verwendet“ durch das Wort „verarbeitet“ ersetzt.

16. § 6 Abs. 5 lautet:

„(5) Elektronische Identifizierungsmittel eines anderen Mitgliedstaats der Europäischen Union, die die Anforderungen des Art. 6 Abs. 1 eIDAS-VO erfüllen, können bei Verantwortlichen des öffentlichen Bereichs wie ein E-ID für Zwecke der eindeutigen Identifikation im Sinne dieses Bundesgesetzes verwendet werden. Bei Verantwortlichen des privaten Bereichs gilt dies nur dann, wenn diese die Verwendung solcher Identifizierungsmittel zulassen. Nach Maßgabe der technischen Voraussetzungen hat diese Anerkennung spätestens sechs Monate nach der Veröffentlichung des jeweiligen elektronischen Identifizierungssystems in der Liste gemäß Art. 9 eIDAS-VO zu erfolgen. Bei der Verwendung eines solchen elektronischen Identifizierungsmittels ist für Betroffene, die weder im Melderegister noch im Ergänzungsregister eingetragen sind, ein Eintrag im Ergänzungsregister zu erzeugen. Dafür sind die Personenidentifikationsdaten des verwendeten elektronischen Identifizierungsmittels in das Ergänzungsregister einzutragen. Besteht eine Eintragung für den Betroffenen im Melderegister oder im Ergänzungsregister, sind die Personenidentifikationsdaten des verwendeten elektronischen Identifizierungsmittels in das entsprechende Register einzutragen. Bei der eindeutigen Identifikation im elektronischen Verkehr ist die Personenbindung sinngemäß nach § 4 Abs. 5 oder § 14 Abs. 3 zu erstellen.“

17. In § 9 Abs. 1 wird die Wortfolge „im Datenverarbeitungsregister oder aus der Standard- und Musterverordnung gemäß § 17 Abs. 2 Z 6 DSG 2000“ durch die Wortfolge „bei der Stammzahlenregisterbehörde gemäß § 10 Abs. 1 zweiter Satz“ ersetzt.

18. In § 9 Abs. 2 wird das Zitat „§ 6 Abs. 1 Z 2 DSG 2000“ durch das Zitat „Art. 5 Abs. 1 lit. b DSGVO“ ersetzt.

19. In § 10 Abs. 2 und § 15 Abs. 1 Z 2 wird jeweils die Wortfolge „dem DSG 2000“ durch die Wortfolge „der DSGVO und dem DSG“ ersetzt.

201. In § 14 Abs. 1 wird das Zitat „§ 5 Abs. 3 DSG 2000“ durch das Zitat „§ 26 Abs. 4 DSG“ ersetzt.

21. In der Überschrift zu § 15 nach dem Wort „Verwendung“ die Wortfolge „des E-ID“ eingefügt.

22. § 17 Abs. 3 Z 1 lautet:

         „1. in Verfahren, in welchen die Vorlage von Standarddokumenten im Sinne des Abs. 1 erforderlich ist, in die Beschaffung der benötigten personenbezogenen Daten aus dem Zentralen Melderegister einwilligen, oder“

23. Die Überschrift zu § 22 lautet:

„Unzulässige Verarbeitung von Stammzahlen oder bPK oder unzulässige Verwendung von Amtssignaturen“

24. In § 22 Abs. 1 Z 3 wird das Zitat „§ 8 DSG 2000“ durch das Zitat „Art. 6 DSGVO“ ersetzt.

25. Dem § 24 wird nach Abs. 7 folgender Abs. 8 angefügt:

„(8) Die Einträge im Inhaltsverzeichnis zu den §§ 8, 14, 15 bis 18 und 22, § 3, § 4 Abs. 1, 2, 4, 5 und 6, § 4a Abs. 3 bis 5, § 4b, § 5 Abs. 1 bis 3, § 6 Abs. 2 und 4, § 7 Abs. 2, § 8 samt Überschrift, § 9 Abs. 1 und 2, § 10 Abs. 1 und 2, § 11, § 12, §13, § 14 samt Überschrift, § 14a Abs. 2, die Überschrift zu § 15, § 15 Abs. 1, die Überschrift zu § 16, § 16 Abs. 2, § 17 samt Überschrift, die Überschrift zu § 18, § 18 Abs. 1 und 2, § 19 Abs. 2 und 3, die Überschrift zu § 22, § 22 Abs. 1, § 24 Abs. 3, § 25 Abs. 2 und 3 in der Fassung des Bundesgesetzes BGBl. I Nr. XX/2018 treten am 25. Mai 2018 in Kraft und finden mit Ausnahme des Eintrags im Inhaltsverzeichnis zu § 22 und von § 3, § 6 Abs. 2, § 9 Abs. 1 und 2, § 11, § 13, der Überschrift zu § 16, § 16 Abs. 2, § 17 samt Überschrift, § 19 Abs. 2 und 3, der Überschrift zu § 22, § 22 Abs. 1, § 24 Abs. 3 und § 25 Abs. 2 und 3 erst ab dem Zeitpunkt Anwendung, den der Bundeminister für Inneres gemäß Abs. 6 letzter Satz im Bundesgesetzblatt kundmacht. § 6 Abs. 5 in der Fassung des Bundesgesetzes BGBl. I Nr. XX/2018 tritt mit dem vom Bundesminister für Inneres gemäß Abs. 6 im Bundesgesetzblatt kundgemachten Zeitpunkt in Kraft.“

26. In § 25 Abs. 3 wird nach dem ersten Satz der Satz „Dabei sind die datenschutzrechtlichen Begriffe im Sinne der jeweiligen korrespondierenden Begriffe nach der DSGVO und des DSG zu verstehen.“ eingefügt.

Artikel 2

Änderung des Signatur- und Vertrauensdienstegesetzes

Das Signatur- und Vertrauensdienstegesetz (SVG), BGBl. I Nr. 50/2016, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. XX/2018, wird wie folgt geändert:

1. § 10 Abs. 2 lautet:

„(2) Bei Verwendung eines Pseudonyms in einem Zertifikat hat der VDA die personenbezogenen Daten über die Identität des Signators an einen Dritten zu übermitteln, sofern von diesem an der Feststellung der Identität ein überwiegendes berechtigtes Interesse im Sinne des Art. 6 Abs. 1 lit. f der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, glaubhaft gemacht wird. Die Übermittlung ist zu dokumentieren.“

2. Dem § 20 wird folgender Abs. 3 angefügt:

„(3) § 10 Abs. 2 in der Fassung des Bundesgesetzes BGBl. I Nr. XX/2018 tritt am 25. Mai 2018 in Kraft.“

Artikel 3

Änderung des Unternehmensserviceportalgesetzes

Das Unternehmensserviceportalgesetz (USPG), BGBl. I Nr. 52/2009, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. XX/2018, wird wie folgt geändert:

1. In der Überschrift zu § 4 wird das Wort „Dienstleisterstellung“ durch das Wort „Auftragsverarbeiterstellung“ ersetzt.

2. § 4 Abs. 1 erster Satz lautet:

„Der Betreiber des Unternehmensserviceportals ist hinsichtlich der für die Authentifizierung und Identifikation der Benutzerinnen/Benutzer von im Unternehmensserviceportal eingebundenen Anwendungen gesetzlicher Auftragsverarbeiter im Sinne der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, und des Datenschutzgesetzes – DSG, BGBl. I Nr. 165/1999, in der jeweils geltenden Fassung, für Teilnehmer gemäß § 5 Abs. 2 Z 1 und 2 und kann sich dabei eines weiteren Auftragsverarbeiters oder FinanzOnline als Authentifizierungsprovider bedienen.“

3. In § 4 Abs. 1 zweiter Satz wird die Wortfolge „gemäß § 10 des Datenschutzgesetzes 2000 festzulegen und“ gestrichen.

4. Dem § 8 wird folgender Abs. 7 angefügt:

„(7) Die Überschrift zu § 4 und § 4 Abs. 1 in der Fassung des Bundesgesetzes BGBl. I Nr. XX/2018 treten am 25. Mai 2018 in Kraft.“

Artikel 4

Änderung des Dienstleistungsgesetzes

Das Dienstleistungsgesetz –DLG, BGBl. I Nr. 100/2011, wird wie folgt geändert:

1.§ 6 Abs. 6 lautet:

„ (6) Der Einheitliche Ansprechpartner ist bei der Erfüllung seiner Aufgaben nach diesem Abschnitt Auftragsverarbeiter im Sinne des Art. 4 Z 8 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, der zur Erledigung der eingebrachten Anbringen zuständigen Stellen.“

2.§ 15 Abs. 6 lautet:

„(6) Die Verbindungsstellen sind bei der Erfüllung ihrer Aufgaben nach den Abs. 3 bis 5 Auftragsverarbeiter im Sinne des Art. 4 Z 8 der Datenschutz-Grundverordnung der zur Verwaltungszusammenarbeit verpflichteten Stellen.“

3. § 28 erhält die Absatzbezeichnung „(1)“ und folgender Abs. 2 wird angefügt:

„(2) § 6 Abs. 6 und § 15 Abs. 6 in der Fassung des Bundesgesetzes BGBl. I Nr. XX/2018, treten mit 25. Mai 2018 in Kraft.“

Artikel 5

Änderung des Informationsweiterverwendungsgesetzes

Das Informationsweiterverwendungsgesetz –IWG, BGBl. I Nr. 135/2005, zuletzt geändert durch das Bundesgesetz, BGBl. I Nr. 76/2015, wird wie folgt geändert:

1. § 2 Abs. 3 lautet:

„(3) Die Bestimmungen der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, und des Datenschutzgesetzes (DSG), BGBl. I Nr. 120/2017, sowie gesetzliche Verschwiegenheitspflichten werden durch dieses Bundesgesetz nicht berührt.“

2. § 18 erhält die Absatzbezeichnung „(1)“ und folgender Abs. 2 wird angefügt:

„(2) § 2 Abs. 3 in der Fassung des Bundesgesetzes BGBl. I Nr. xx/2018, tritt mit 25. Mai 2018 in Kraft.“

Artikel 6

Änderung des Wettbewerbsgesetzes

Das Wettbewerbsgesetz – WettbG, BGBl. I Nr. 62/2002, zuletzt geändert durch das Bundesgesetz, BGBl. I Nr. 56/2017, wird wie folgt geändert:

1. In § 10 Abs. 1 wird nach dem Wort „Datenschutzgesetzes“ die Zahl „2000“ gestrichen und nach Abs. 1 folgender Abs. 1a angefügt:

„(1a) Kriminalpolizei, Staatsanwaltschaft und Gerichte sind berechtigt, der Bundeswettbewerbsbehörde unter Bedachtnahme auf schutzwürdige Geheimhaltungsinteressen im Sinne des Datenschutzgesetzes, BGBl. I Nr. 165/1999, sämtliche nach der Strafprozessordnung, insbesondere auch durch Ermittlungsmaßnahmen nach dem 4. bis 6. Abschnitt des 8. Hauptstücks, ermittelte personenbezogene Daten zu übermitteln, die für die Erfüllung ihrer gesetzlichen Aufgaben nach diesem Bundesgesetz notwendig sind.“

2. Dem § 11 werden folgende Absätze 3 bis 6 angefügt:

„(3) Die Bundeswettbewerbsbehörde ist berechtigt, sämtliche personenbezogenen Daten zu verarbeiten, die zur Erreichung ihrer Ziele gemäß § 1 Abs. 1 sowie zur Erfüllung ihrer Aufgaben gemäß § 2 Abs. 1 erforderlich sind. Die Verarbeitung erfolgt ausschließlich zu den im Unionsrecht oder dem nationalen Recht festgelegten Zwecken.

(4) Sofern keine allgemeinen Regeln über die Aufbewahrungsdauer von Verwaltungsakten bestehen oder sich eine Pflicht zur Aufbewahrung aus anderen gesetzlichen Vorschriften ergibt, sind personenbezogene Daten nur aufzubewahren, solange dies zum mit ihrer Erhebung verfolgten Zweck erforderlich ist.

(5) Eine Auskunftserteilung gemäß Art. 15 Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 199 vom 4.5.2016 S 1, (im Folgenden: DSGVO) hat zu unterbleiben, soweit dies den Zielen der Bundeswettbewerbsbehörde gemäß § 1 Abs. 1 zuwiderlaufen würde oder dadurch die Erfüllung der der Bundeswettbewerbsbehörde gemäß § 2 Abs. 1 übertragenen Aufgaben beeinträchtigt würde.

(6) Hinsichtlich der Verarbeitung personenbezogener Daten zur Erreichung der Ziele gemäß § 1 Abs. 1 sowie zur Erfüllung der Aufgaben gemäß § 2 Abs. 1 nach diesem Bundesgesetz besteht kein Widerspruchsrecht gemäß Art. 21 DSGVO. Darüber ist der Betroffene in geeigneter Weise zu informieren.“

3. § 14 Abs. 3 entfällt.

4. Dem § 21 wird folgender Absatz 8 angefügt:

„(8) § 10 Abs. 1, 1a, § 11 Abs. 3 bis 6 und § 14 in der Fassung des Bundesgesetzes BGBl. I Nr. xx/2018, treten mit 25. Mai 2018 in Kraft.“

Artikel 7

Änderung der Gewerbeordnung

Die Gewerbeordnung 1994 – GewO 1994, BGBl. Nr. 194/1994, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 107/2017 und das Bundesgesetz BGBl. I Nr. 164/2017, wird wie folgt geändert:

1. § 151 samt Überschriften lautet:

„2. Freie Gewerbe

Adressverlage und Direktmarketingunternehmen

§ 151. (1) Auf die Verwendung von personenbezogenen Daten für Marketingzwecke Dritter durch die zur Ausübung des Gewerbes der Adressverlage und Direktmarketingunternehmen berechtigten Gewerbetreibenden sind die Bestimmungen der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 199 vom 4.5.2016 S 1, (im Folgenden: DSGVO), sowie des Bundesgesetzes zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG), BGBl. I. Nr. 165/1999, in der Fassung des Bundesgesetzes BGBl. I. Nr. 120/2017, anzuwenden, soweit im Folgenden nicht Besonderes angeordnet ist.

(2) Die Tätigkeit als Mittler zwischen Inhabern und Nutzern von Kunden- und Interessentendateisystemen (Listbroking) ist den in Abs. 1 genannten Gewerbetreibenden vorbehalten.

(3) Die in Abs. 1 genannten Gewerbetreibenden sind berechtigt, für ihre Tätigkeiten gemäß Abs. 1 und 2 personenbezogene Daten aus öffentlich zugänglichen Informationen, durch Befragung der betroffenen Personen, aus Kunden- und Interessentendateisystemen Dritter oder aus Marketingdateisystemen anderer Adressverlage und Direktmarketingunternehmen zu ermitteln, soweit dies unter Beachtung des Grundsatzes der Verhältnismäßigkeit für

           1. die Vorbereitung und Durchführung von Marketingaktionen Dritter einschließlich der Gestaltung und des Versands für Werbemitteln oder

           2. das Listbroking

erforderlich und gemäß Abs. 4 und 5 zulässig ist.

(4) Soweit besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO betroffen sind, dürfen diese von den in Abs. 1 genannten Gewerbetreibenden verarbeitet werden, sofern ein ausdrückliches Einverständnis der betroffenen Person zur Verarbeitung dieser Daten für Marketingzwecke Dritter vorliegt. Die Ermittlung und Weiterverarbeitung besonderer Kategorien personenbezogener Daten aus Kunden- und Interessentendateisystemen Dritter auf Grund eines solchen Einverständnisses ist nur im Umfang des Abs. 5 und nur soweit zulässig, als der Inhaber des Dateisystems gegenüber dem Gewerbetreibenden nach Abs. 1 schriftlich unbedenklich erklärt hat, dass die betroffenen Personen mit der Verarbeitung ihrer Daten für Marketingzwecke Dritter ausdrücklich einverstanden waren. Strafrechtlich relevante Daten im Sinne des Art. 10 DSGVO dürfen von Gewerbetreibenden nach Abs. 1 für Marketingzwecke nur gemäß § 4 Abs. 3 DSG oder bei Vorliegen einer ausdrücklichen Einwilligung verarbeitet werden.

(5) Soweit keine Einwilligung der betroffenen Personen gemäß Art. 4 Z 11 DSGVO zur Übermittlung ihrer Daten für Marketingzwecke Dritter vorliegt, dürfen die in Abs. 1 genannten Gewerbetreibenden aus einem Kunden- und Interessentendateisystem eines Dritten nur die Daten

           1. Namen,

           2. Geschlecht,

           3. Titel,

           4. akademischer Grad,

           5. Anschrift,

           6. Geburtsdatum,

           7. Berufs-, Branchen- oder Geschäftsbezeichnung und

           8. Zugehörigkeit der betroffenen Person zu diesem Kunden- und Interessentendateisystem

ermitteln. Voraussetzung hiefür ist ‑ soweit nicht die strengeren Bestimmungen des Abs. 4 Anwendung finden ‑, dass der Inhaber des Dateisystems dem Gewerbetreibenden nach Abs. 1 gegenüber schriftlich unbedenklich erklärt hat, dass die betroffenen Personen in geeigneter Weise über die Möglichkeit informiert wurden, die Übermittlung ihrer Daten für Marketingzwecke Dritter zu untersagen, und dass keine Untersagung erfolgt ist.

(6) Gewerbetreibende nach Abs. 1 dürfen für Marketingzwecke erhobene Marketinginformationen und -klassifikationen, die namentlich bestimmten Personen auf Grund von Marketinganalyseverfahren zugeschrieben werden, nur für Marketingzwecke verwenden und sie insbesondere an Dritte nur dann übermitteln, wenn diese unbedenklich erklären, dass sie diese Analyseergebnisse ausschließlich für Marketingzwecke verwenden werden.

(7) Gewerbetreibende nach Abs. 1 haben Aussendungen im Zuge von Marketingaktionen, die sie mit von ihnen zur Verfügung gestellten oder von ihnen vermittelten personenbezogenen Daten durchführen, so zu gestalten, dass durch entsprechende Kennzeichnung des ausgesendeten Werbematerials die Identität der Verantwortlichen jener Dateisysteme, mit deren Daten die Werbeaussendung adressiert wurde (Ursprungsdateisysteme), nachvollziehbar ist; soweit Gewerbetreibende nach Abs. 1 an Werbeaussendungen nur durch Zurverfügungstellung oder Vermittlung von Daten mitwirken, haben sie durch entsprechenden Hinweis an die für die Werbeaussendung Verantwortlichen darauf hinzuwirken, dass die Identität der Verantwortlichen der benutzten Ursprungsdateisysteme nachvollziehbar ist. Für Gewerbetreibende nach Abs. 1 gilt, wenn sie die Aussendung mit von ihnen zur Verfügung gestellten oder von ihnen vermittelten Daten selbst durchgeführt haben, ‑ unbeschadet ihrer allfälligen Auskunftsverpflichtungen als Verantwortliche ‑, Art. 15 DSGVO mit der Maßgabe, dass sie auf Grund eines innerhalb von drei Monaten nach der Werbeaussendung gestellten Auskunftsbegehrens anhand der von der betroffenen Person zur Verfügung gestellten Informationen über die Werbeaussendung zur Auskunftserteilung nur über die Verantwortlichen der Ursprungsdateisysteme verpflichtet sind; haben sie an der Aussendung nur durch Zurverfügungstellung oder Vermittlung von Daten mitgewirkt, so haben sie nach Möglichkeit zur Auffindung der Verantwortlichen der Ursprungsdateisysteme beizutragen. Bei nicht ordnungsgemäßer Erfüllung der Kennzeichnungspflicht durch Gewerbetreibende nach Abs. 1 genügt die Stellung eines fristgerechten Auskunftsbegehrens an den Werbenden zur Wahrung des Auskunftsrechts gegenüber dem Gewerbetreibenden nach Abs. 1.

(8) Stellt die betroffene Person an einen Gewerbetreibenden nach Abs. 1 ein Begehren auf Löschung von Daten, die dieser für Zwecke von Marketingaktionen über sie gespeichert hat, so hat dieser dem Begehren der betroffenen Person unverzüglich, in jedem Fall innerhalb von einem Monat kostenlos zu entsprechen (Art. 12 Abs. 3 DSGVO). Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Soweit die betroffene Person ‑ nach entsprechender Information über die möglichen Folgen einer physischen Löschung ihrer Daten ‑ auf der physischen Löschung ihrer Daten nicht besteht, hat die Löschung in Form einer Sperrung der Verwendung dieser Daten für Marketingaussendungen zu erfolgen.

(9) Der Fachverband Werbung und Marktkommunikation der Wirtschaftskammer Österreich hat eine Liste zu führen, in welcher Personen kostenlos einzutragen sind, die die Zustellung von Werbematerial für sich ausschließen wollen. Die Liste ist mindestens monatlich zu aktualisieren und den Gewerbetreibenden nach Abs. 1 zur Verfügung zu stellen. Gewerbetreibende nach Abs. 1 dürfen an die in dieser Liste eingetragenen Personen keine adressierten Werbemittel versenden oder verteilen und deren Daten auch nicht vermitteln. Die in der Liste enthaltenen Daten dürfen ausschließlich zum Zweck des Unterbindens der Zusendung von Werbemitteln verwendet werden.

(10) Inhaber von Kunden- und Interessentendateisystemen dürfen personenbezogene Daten aus diesen Dateisystemen an Gewerbetreibende nach Abs. 1 für Marketingzwecke Dritter nur übermitteln und insbesondere auch für Listbroking nur zur Verfügung stellen, wenn sie die die betroffenen Personen in geeigneter Weise darüber informiert haben, dass sie die Verarbeitung dieser Daten für Marketingzwecke Dritter untersagen können, und wenn keine Untersagung erfolgt ist; besondere Kategorien personenbezogener Daten und strafrechtlich relevante Daten dürfen unter den in Abs. 4 genannten Voraussetzungen an Gewerbetreibende nach Abs. 1 übermittelt und für Listbroking zur Verfügung gestellt werden. Auf die Möglichkeit der Untersagung ist ausdrücklich und schriftlich hinzuweisen, wenn Daten schriftlich von der betroffenen Person ermittelt werden. Die Untersagung der Übermittlung hat auf ein Vertragsverhältnis zwischen der betroffenen Person und dem Inhaber des Kunden- und Interessentendateisystems keinen Einfluss.

(11) Das Widerspruchsrecht nach Art. 21 Abs. 2 DSGVO kann gegenüber den in Abs. 1 genannten Gewerbetreibenden auch durch Eintragung in die im Abs. 9 bezeichnete Liste erfolgen.“

2. In § 365m1 Abs. 10 Z 4 wird das Zitat „des DSG 2000“ durch das Zitat „der Datenschutz-Grundverordnung und des Datenschutzgesetz – DSG“ ersetzt.

3. In § 373a Abs. 5 Schlussteil wird nach dem Ausdruck „Name (Firma), Vorname,“ der Ausdruck „Geburtsdatum, Staatsangehörigkeit,“ eingefügt.

4. Dem § 382 wird folgender Abs. 97 angefügt:

„(97) § 151, § 365m1 Abs. 10 und § 373a Abs. 5 in der Fassung des Bundesgesetzes BGBl. I Nr. xxx/xxxx treten mit Ablauf des Tages der Kundmachung, jedoch frühestens am 25. Mai 2018, in Kraft.“

Artikel 8

Änderung des Berufsausbildungsgesetzes

Das Berufsausbildungsgesetz – BAG, BGBl. Nr. 142/1969, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 154/2017, wird wie folgt geändert:

1. In § 19c Abs. 7, erster Satz wird nach dem Wort „Dienstleister“ die Wortfolge „und Auftragsverarbeiter“ eingefügt.

2. In § 19e Abs. 1, zweiter Satz wird nach dem Wort „Dienstleister“ die Wortfolge „und Auftragsverarbeiter“ eingefügt.

3. § 19f, zweiter Satz lautet:

“Die Träger der Sozialversicherung und der Hauptverband der österreichischen Sozialversicherungsträger sind verpflichtet, zum Zweck der Beurteilung der Voraussetzungen für die Vergabe von Beihilfen gemäß § 19c auf automationsunterstütztem Weg gespeicherte personenbezogene Daten (§ 31 Abs. 4 Z 3 lit. b ASVG) über die Versicherungszeiten der Lehrlinge und die Beiträge, mit denen sie versichert waren, an die Lehrlingsstellen zu übermitteln, soweit diese personenbezogenen Daten eine wesentliche Voraussetzung zur Durchführung ihrer Aufgaben nach diesem Bundesgesetz bilden.“

4. § 19g Abs. 1, erster und zweiter Satz lauten:

“(1) Die Lehrlingsstellen und das Bundesministerium für Digitalisierung und Wirtschaftstandort sind zur Verarbeitung nachstehender personenbezogener Daten ermächtigt, soweit deren Verwendung für die Erfüllung der Aufgaben eine wesentliche Voraussetzung ist. Die in Frage kommenden Arten von personenbezogenen Daten sind:“

5. In § 19g Abs. 1 wird in den Einleitungssätzen der Ziffern 1, 2 und 3 jeweils vor dem Wort „Daten“ das Wort „Personenbezogene“ eingefügt.

6. § 19g Abs. 2 und 3, erster Satz lauten:

“(2) Die von den Lehrlingsstellen oder vom Bundesministerium für Digitalisierung und Wirtschaftsstandort verarbeiteten personenbezogenen Daten gemäß Abs. 1 dürfen an Behörden, Gerichte, Träger der Sozialversicherung, die Arbeiterkammern, die Wirtschaftskammern, das Arbeitsmarktservice und die Bundesanstalt Statistik Österreich im Wege der automationsunterstützten Datenverarbeitung übermittelt werden, soweit die entsprechenden personenbezogenen Daten für die Vollziehung der jeweiligen gesetzlich übertragenen Aufgaben eine wesentliche Voraussetzung bilden. Die Behörden, Gerichte, Träger der Sozialversicherung, die Arbeiterkammern, die Wirtschaftskammern und das Arbeitsmarktservice dürfen von ihnen verarbeitete personenbezogene Daten gemäß Abs. 1 an die Lehrlingsstellen und an das Bundesministerium für Digitalisierung und Wirtschaftsstandort im Wege der automationsunterstützten Datenverarbeitung übermitteln, soweit diese personenbezogenen Daten für die Vollziehung der den Lehrlingsstellen und dem Bundesministerium für Digitalisierung und Wirtschaftsstandort gesetzlich übertragenen Aufgaben eine wesentliche Voraussetzung bilden.

(3) Die Lehrlingsstellen und das Bundesministerium für Digitalisierung und Wirtschaftsstandort dürfen die von ihnen verarbeiteten personenbezogenen Daten gemäß Abs. 1 an Auftragsverarbeiter im Wege der automationsunterstützten Datenverarbeitung überlassen, soweit die entsprechenden personenbezogenen Daten eine unabdingbare Voraussetzung für die Erfüllung der übertragenen Aufgaben bilden.“

7. § 36 wird folgender Abs. 12 angefügt:

„(4) § 19c Abs. 7, § 19e Abs. 1, § 19f, § 19g Abs. 1, 2 und 3 in der Fassung des Bundesgesetzes BGBl. I Nr. xx/2018, treten mit 25. Mai 2018 in Kraft.“

Artikel 9

Änderung des Ingenieurgesetzes 2017

Das Ingenieurgesetz 2017 – IngG 2017, BGBl. I Nr. 23/2017, wird wie folgt geändert:

1. Im § 11 lautet der Einleitungssatz:

„§ 11. Die mit der Führung einer Zertifizierungsstelle betrauten Institutionen bzw. Selbstverwaltungskörper, die Hochschule für Agrar- und Umweltpädagogik, die Bundesministerin für Digitalisierung und Wirtschaftsstandort sowie die Bundesministerin für Nachhaltigkeit und Tourismus sind zur Verarbeitung der nachstehenden personenbezogenen Daten sowie zu deren Übermittlung an die jeweiligen Oberbehörden ermächtigt, soweit deren Verarbeitung Voraussetzung zur Erstellung von Statistiken über die abgelegten Fachgespräche und die zugrundeliegenden Verwaltungsverfahren ist:“

2. Dem § 13 wird folgender Abs. 4 angefügt:

„(4) § 11 in der Fassung des Bundesgesetzes BGBl. I Nr. xx/2018, tritt mit 25. Mai 2018 in Kraft.“

Artikel 10

Änderung des Bilanzbuchhaltungsgesetzes 2014

Das Bilanzbuchhaltungsgesetz 2014, BGBl. I Nr. 191/2013, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 135/2017, wird wie folgt geändert:

1. § 52a Abs. 14 entfällt.

2. § 52e Abs. 4 lautet:

„(4) Datenanwendungen gemäß Abs. 1 erfüllen die Voraussetzungen für den Entfall der Datenschutz-Folgeabschätzung gemäß Art. 35 Abs. 10 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1.“

3. Nach § 67b wird folgender § 67c eingefügt:

„§ 67c. § 52a Abs. 14 und § 52e Abs. 4 in der Fassung des Bundesgesetzes BGBl. I Nr. xxx/2018 treten mit 25. Mai 2018 in Kraft.“

Artikel 11

Änderung des Wirtschaftskammergesetzes 1998

Das Wirtschaftskammergesetz 1998, BGBl. I Nr. 101/1998, zuletzt geändert durch das Bundesgesetz BGBl I Nr. 73/2017, wird wie folgt geändert:

1. § 72 Abs. 1 lautet:

„§ 72. (1) Die Organisationen der gewerblichen Wirtschaft sind insoweit ermächtigt, Daten im Sinne der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1, und des Datenschutzgesetzes (DSG), BGBl. I Nr. 120/2017, zu verarbeiten, als dies der Erfüllung der ihnen gesetzlich übertragenen Aufgaben dient. Dies gilt auch für die Verarbeitung von Daten durch sonstige Rechtsträger, die zur Erfüllung dieser Aufgaben herangezogen werden.“

2. § 72 Abs. 3 entfällt.

3. § 72 Abs. 6 lautet:

„(6) Die Organisationen der gewerblichen Wirtschaft sind berechtigt, zur Erfüllung der ihnen gesetzlich übertragenen Aufgaben, insbesondere zu Zwecken des § 19 Abs. 1 Z 10 und des § 43 Abs. 3 Z 2, personenbezogene Daten unter Einschluss solcher gemäß Artikel 10 der Datenschutz-Grundverordnung und § 4 Abs. 3 DSG über gerichtliche oder verwaltungsbehördlich strafbare Handlungen oder Unterlassungen, dies auch über den Verdacht der Begehung von Verwaltungsstraftaten, insbesondere gemäß den §§ 366, 367, 367a und 368 GewO 1994, BGBl. Nr. 194, zu verarbeiten und an die zuständige Strafbehörde sowie den Schutzverband gegen unlauteren Wettbewerb zu übermitteln und bis zur rechtskräftigen Erledigung des Strafverfahrens und/oder wettbewerbsrechtlichen Verfahrens zu speichern.“

4. § 74 Abs. 2 lautet:

„(2) Im Falle der Durchführung der Wahl auf elektronischem Weg hat die Wahlordnung die näheren Bestimmungen festzulegen. Dabei ist sicherzustellen, dass die Einhaltung der Bestimmungen des § 73 Abs. 1 erster Satz sowie der Datenschutz-Grundverordnung und des Datenschutzgesetzes gewährleistet ist. Das zum Einsatz kommende System muss den Sicherheitsanforderungen qualifizierter elektronischer Signaturen gemäß der Verordnung (EU) Nr. 910/2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG, ABl. Nr. L 257 vom 28.08.2014 S. 73, in der Fassung der Berichtigung ABl. Nr. L 257 vom 29.01.2015 S. 19, entsprechen und gewährleisten, dass die Aufgaben der Hauptwahlkommission und der Wahlkommissionen auch bei der elektronischen Wahl erfüllt werden können.“

5. Dem § 150 wird folgender Abs. 7 angefügt:

„(7) § 72 Abs. 1, 3 und 6 und § 74 Abs. 2 in der Fassung des Bundesgesetzes BGBl. I Nr. xxx/2018 treten mit 25. Mai 2018 in Kraft.“

Artikel 12

Änderung des Wirtschaftstreuhandberufsgesetzes 2017

Das Wirtschaftstreuhandberufsgesetz 2017, BGBl. I Nr. 137/2017, wird wie folgt geändert:

1. Im Inhaltsverzeichnis wird nach dem Eintrag „§ 238. Außerkrafttreten“ der Eintrag „§ 238a Inkrafttreten“ eingefügt.

2. § 96 Abs. 15 entfällt.

3. § 100 Abs. 4 lautet:

„(4) Datenanwendungen gemäß Abs. 1 erfüllen die Voraussetzungen für den Entfall der Datenschutz-Folgeabschätzung gemäß Art. 35 Abs. 10 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1.“

4. § 182 Abs. 1 lautet:

„§ 182. (1) Alle staatlichen und autonomen Behörden und alle auf Grund gesetzlicher Bestimmungen zur Vertretung wirtschaftlicher Interessen berufenen errichteten Körperschaften sind verpflichtet, der Kammer der Wirtschaftstreuhänder auf Verlangen die zur Erfüllung ihrer Aufgaben erforderlichen Auskünfte zu erteilen.“

5. § 183 lautet:

„§ 183. Die Kammer der Wirtschaftstreuhänder ist insoweit ermächtigt, Daten im Sinne der Datenschutz-Grundverordnung und des Datenschutzgesetzes (DSG), BGBl. I Nr. 120/2017, zu verarbeiten, als dies der Erfüllung der ihnen gesetzlich übertragenen Aufgaben dient. Dies gilt auch für die Verarbeitung von Daten durch sonstige Rechtsträger, die zur Erfüllung dieser Aufgaben herangezogen werden.“

6. Nach § 238 wird folgender § 238a samt Überschrift eingefügt:

„Inkrafttreten

§ 238a. Die Änderung des Inhaltsverzeichnisses, § 96 Abs. 15, § 100 Abs. 4, § 182 Abs. 1 und § 183 in der Fassung des Bundesgesetzes BGBl. I Nr. xxx/2018 treten mit 25. Mai 2018 in Kraft.“

Artikel 13

Änderung des Ziviltechnikerkammergesetzes 1993

Das Ziviltechnikerkammergesetz 1993, BGBl. Nr. 157/1994, zuletzt geändert durch das Bundesgesetz BGBl I Nr. 50/2016, wird wie folgt geändert:

1. § 18 Abs. 2 Z 7 lautet:

         „7. ein elektronisches Verzeichnis für die Beurkundungs- und Ziviltechnikersignaturen (§ 91c Abs. 2 erster Satz GOG) mittels automationsunterstützter Datenverarbeitung zu führen, das gesichert im Internet zu veröffentlichen ist und aus dem die Berechtigungen für die elektronischen Beurkundungs- und Ziviltechnikersignaturen und deren Änderungen ersichtlich sein müssen. Zur Mitwirkung bei der Führung des Verzeichnisses können die Länderkammern oder Dritte als Auftragsverarbeiter herangezogen werden, sofern die Einhaltung der Verschwiegenheit und der erforderlichen Datensicherheit gewährleistet ist;“

2. Nach § 77 Abs. 4h wird folgender Abs. 4i eingefügt:

„(4i) § 18 Abs. 2 in der Fassung des Bundesgesetzes BGBl. I Nr. xxx/2018 tritt mit 25. Mai 2018 in Kraft.“