Entwurf
Bundesgesetz, mit dem das Allgemeine Sozialversicherungsgesetz, das Gewerbliche Sozialversicherungsgesetz, das Bauern-Sozialversicherungsgesetz, das Beamten-Kranken- und Unfallversicherungsgesetz sowie das Notarversicherungsgesetz 1972 geändert werden (Datenschutz-Anpassungsgesetz – Sozialversicherung)
Der Nationalrat hat beschlossen:
Inhaltsverzeichnis
Artikel Gegenstand
1 Änderung des Allgemeinen Sozialversicherungsgesetzes
2 Änderung des Gewerblichen Sozialversicherungsgesetzes
3 Änderung des Bauern-Sozialversicherungsgesetzes
4 Änderung des Beamten-Kranken- und Unfallversicherungsgesetzes
5 Änderung des Notarversicherungsgesetzes 1972
Artikel 1
Änderung des Allgemeinen Sozialversicherungsgesetzes
Das Allgemeine Sozialversicherungsgesetz – ASVG, BGBl. Nr. 189/1955, zuletzt geändert durch die Bundesgesetze BGBl. I Nr. 151/2017 und Nr. 164/2017 sowie durch die Kundmachung BGBl. I Nr. 2/2018, wird wie folgt geändert:
1. Im § 31 Abs. 4 Z 10 wird das Wort „Auftraggeber“ durch das Wort „Verantwortliche“ ersetzt.
2. Im § 31 Abs. 11 erster Satz wird der Ausdruck „ihren Datenanwendungen“ durch den Ausdruck „ihrer Datenverarbeitung“ und der Ausdruck „Dienstleister im Sinne des Datenschutzgesetzes 2000, BGBl. I Nr. 165/1999,“ durch den Ausdruck „Auftragsverarbeiter im Sinne des Art. 4 Z 8 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1,“ ersetzt.
3. Im § 31 Abs. 11 zweiter Satz wird das Wort „Dienstleister“ durch das Wort „Auftragsverarbeiter“ ersetzt.
4. Im § 31 Abs. 11 dritter Satz wird der Ausdruck „Dienstleister nach § 4 Z 5 des Datenschutzgesetzes 2000 in Verbindung mit den §§ 10 und 11 des Datenschutzgesetzes 2000“ durch den Ausdruck „Auftragsverarbeiter im Sinne des Art. 4 Z 8 der Datenschutz-Grundverordnung“ ersetzt.
5. § 31a Abs. 2 zweiter Satz lautet:
„Auf die im ELSY verarbeiteten personenbezogenen Daten sind die Bestimmungen der Datenschutz-Grundverordnung sowie des Datenschutzgesetzes, BGBl. I Nr. 120/2017, anzuwenden.“
6. Im § 31a Abs. 2 dritter Satz wird der Ausdruck „Zustimmung des (der) Betroffenen den Zugriff auf persönliche Daten“ durch den Ausdruck „Einwilligung der betroffenen Person den Zugriff auf personenbezogene Daten“ ersetzt.
7. § 31a Abs. 4 erster bis dritter Satz lauten:
„Bestandteile des ELSY dürfen für andere als Sozialversicherungszwecke nur mit bundesgesetzlicher Ermächtigung und nur so weit verarbeitet werden, als dies mit dem Zweck des ELSY nicht unvereinbar (Art. 5 Abs. 1 lit. b der Datenschutz-Grundverordnung) ist. Zu Fragen der Unvereinbarkeit neuer Verarbeitungszwecke sowie zu Fragen der Speicherung von personenbezogenen Daten auf den innerhalb des ELSY zu verwendenden Chipkarten ist der Datenschutzrat unter Setzung einer angemessenen Frist anzuhören. Bestandteile des ELSY dürfen jedenfalls für folgende andere als Sozialversicherungszwecke verarbeitet werden:“
8. Im § 31a Abs. 4 Z 5 wird der Ausdruck „dem Verwenden von Gesundheitsdaten (§ 4 Z 2 und 8 DSG 2000)“ durch den Ausdruck „der Verarbeitung von Gesundheitsdaten im Sinne des Art. 4 Z 15 der Datenschutz-Grundverordnung“ ersetzt.
9. Im § 31a Abs. 4 letzter Satz wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.
10. Im § 31a Abs. 4a erster Satz wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ und das Wort „Daten“ durch den Ausdruck „personenbezogenen Daten“ ersetzt.
11. Im § 31a Abs. 4a zweiter Satz wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.
12. Im § 31b Abs. 1 zweiter Satz wird das Wort „Auftraggeber“ durch das Wort „Verantwortliche“ ersetzt.
13. Im § 31b Abs. 2 drittletzter Satz wird der Ausdruck „Rechtsträger des öffentlichen Bereiches im Sinne des Datenschutzgesetzes 2000“ durch den Ausdruck „Verantwortlicher des öffentlichen Bereiches im Sinne des Datenschutzgesetzes“ ersetzt.
14. § 41a Abs. 5 zweiter bis letzter Satz lauten:
„Diese Daten dürfen nur in der Art und dem Umfang verarbeitet werden, als dies zur Wahrnehmung der gesetzlich übertragenen Aufgaben eine wesentliche Voraussetzung ist. Die Verarbeitung nicht notwendiger personenbezogener Daten (Ballastwissen, Überschusswissen) ist unzulässig. Personenbezogene Daten, die mit an Sicherheit grenzender Wahrscheinlichkeit nicht mehr benötigt werden, sind möglichst rasch zu löschen.“
15. Im § 42b Abs. 1 zweiter Satz wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.
16. Im § 42b Abs. 2 zweiter Satz wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ und das Wort „Datenverwendungen“ durch das Wort „Datenverarbeitungen“ ersetzt.
17. § 42b Abs. 4 erster und zweiter Satz lauten:
„Die Krankenversicherungsträger führen das Risiko- und Auffälligkeitsanalyse-Tool nach Abs. 1 als gemeinsam für die Verarbeitung Verantwortliche nach Art. 26 der Datenschutz-Grundverordnung. Die Oberösterreichische Gebietskrankenkasse ist Auftragsverarbeiter im Sinne des Art. 4 Z 8 der Datenschutz-Grundverordnung.“
18. § 42b Abs. 4 dritter und vierter Satz entfallen.
19. § 42b Abs. 5 erster Satz lautet:
„(5) Das Nähere über die notwendigen Sicherheitsmaßnahmen bei der Verwendung der jeweiligen personenbezogenen Daten nach den Abs. 1 und 2 ist vom Hauptverband in der Datenschutzverordnung nach § 31 Abs. 12 festzulegen.“
20. § 42b Abs. 5 zweiter Satz entfällt.
21. Im § 84a Abs. 5 Z 2 und letzter Satz wird das Wort „Daten“ jeweils durch den Ausdruck „personenbezogenen Daten“ ersetzt.
22. § 186 Abs. 2 lautet:
„(2) Die Verarbeitung personenbezogener Daten nach § 53 Abs. 9 ASchG für Zwecke der Forschung und Auswertung nach Abs. 1 Z 4 darf nur mit Einwilligung der betroffenen Arbeitnehmer/innen erfolgen.“
23. Im § 321 Abs. 1 letzter Satz wird der Ausdruck „Daten im Sinne des § 4 des Datenschutzgesetzes 2000“ durch den Ausdruck „personenbezogenen Daten“ ersetzt.
24. Im § 360 Abs. 6 erster Satz wird der Ausdruck „verwendeten Daten“ durch den Ausdruck „verarbeiteten personenbezogenen Daten“ ersetzt.
25. Im § 360 Abs. 6 zweiter Satz wird der Ausdruck „Daten zu verwenden“ durch den Ausdruck „personenbezogene Daten zu verarbeiten“ ersetzt.
26. Im § 418 Abs. 7 wird der Ausdruck „Auftraggeber im Sinne des § 4 Z 4 des Datenschutzgesetzes 2000“ durch den Ausdruck „Verantwortlicher im Sinne des Art. 4 Z 7 der Datenschutz-Grundverordnung“ ersetzt.
27. Im § 460e erster Satz entfällt der Ausdruck „im Sinne Datenschutzgesetzes 2000“.
28. Nach § 712 wird folgender § 713 samt Überschrift angefügt:
„Schlussbestimmung zu Art. 1 des Bundesgesetzes BGBl. I Nr. xx/2018
§ 713. Die §§ 31 Abs. 4 Z 10 und Abs. 11, 31a Abs. 2, 4 Z 5 und 4a, 31b Abs. 1 und 2, 41a Abs. 5, 42b Abs. 1, 2, 4 und 5, 84a Abs. 5 Z 2, 186 Abs. 2, 321 Abs. 1, 360 Abs. 6, 418 Abs. 7 und 460e in der Fassung des Bundesgesetzes BGBl. I Nr. xx/2018 treten mit 25. Mai 2018 in Kraft.“
Artikel 2
Änderung des Gewerblichen Sozialversicherungsgesetzes
Das Gewerbliche Sozialversicherungsgesetz – GSVG, BGBl. Nr. 560/1978, zuletzt geändert durch die Bundesgesetze BGBl. I Nr. 151/2017 und BGBl. I Nr. 164/2017, wird wie folgt geändert:
1. Im § 183 Abs. 1 zweiter Satz wird der Ausdruck „Daten im Sinne des § 4 des Datenschutzgesetzes 2000“ durch den Ausdruck „personenbezogenen Daten“ ersetzt.
2. Im § 195 Abs. 8 wird der Ausdruck „Auftraggeber im Sinne des § 4 Z 4 des Datenschutzgesetzes 2000“ durch den Ausdruck „Verantwortlicher im Sinne des Art. 4 Z 7 der Datenschutz-Grundverordnung“ ersetzt.
3. Im § 231a erster Satz entfällt der Ausdruck „im Sinne des Datenschutzgesetzes 2000,“.
4. Nach § 370 wird folgender § 371 samt Überschrift angefügt:
„Schlussbestimmung zu Art. 2 des Bundesgesetzes BGBl. I Nr. xx/2018
§ 371. Die §§ 183 Abs. 1, 195 Abs. 8 und 231a in der Fassung des Bundesgesetzes BGBl. I Nr. xx/2018 treten mit 25. Mai 2018 in Kraft.“
Artikel 3
Änderung des Bauern-Sozialversicherungsgesetzes
Das Bauern-Sozialversicherungsgesetz – BSVG, BGBl. Nr. 559/1978, zuletzt geändert durch die Bundesgesetze BGBl. I Nr. 151/2017 und BGBl. I Nr. 164/2017, wird wie folgt geändert:
1. Im § 171 Abs. 1 zweiter Satz wird der Ausdruck „Daten im Sinne des § 4 des Datenschutzgesetzes 2000“ durch den Ausdruck „personenbezogenen Daten“ ersetzt.
2. Im § 219a erster Satz entfällt der Ausdruck „im Sinne des Datenschutzgesetzes 2000“.
3. Nach § 362 wird folgender § 363 samt Überschrift angefügt:
„Schlussbestimmung zu Art. 3 des Bundesgesetzes BGBl. I Nr. xx/2018
§ 363. Die §§ 171 Abs. 1 und 219a in der Fassung des Bundesgesetzes BGBl. I Nr. xx/2018 treten mit 25. Mai 2018 in Kraft.“
Artikel 4
Änderung des Beamten-Kranken- und Unfallversicherungsgesetzes
Das Beamten-Kranken- und Unfallversicherungsgesetz – B-KUVG, BGBl. Nr. 200/1967, zuletzt geändert durch die Bundesgesetze BGBl. I Nr. 131/2017 und BGBl. I Nr. 164/2017, wird wie folgt geändert:
1. Im § 119 zweiter Satz wird der Ausdruck „Daten im Sinne des § 4 des Datenschutzgesetzes 2000, BGBl. I Nr. 165/1999,“ durch den Ausdruck „personenbezogenen Daten“ ersetzt.
2. Im § 131 Abs. 4 wird der Ausdruck „Auftraggeber im Sinne des § 4 Z 4 des Datenschutzgesetzes 2000“ durch den Ausdruck „Verantwortlicher im Sinne des Art. 4 Z 7 der Datenschutz-Grundverordnung“ ersetzt.
3. Im § 159a erster Satz entfällt der Ausdruck „im Sinne des Datenschutzgesetzes 2000“.
4. Nach § 251 wird folgender § 252 samt Überschrift angefügt:
„Schlussbestimmung zu Art. 4 des Bundesgesetzes BGBl. I Nr. xx/2018
§ 252. Die §§ 119, 131 Abs. 4 und 159a in der Fassung des Bundesgesetzes BGBl. I Nr. xx/2018 treten mit 25. Mai 2018 in Kraft.“
Artikel 5
Änderung des Notarversicherungsgesetzes 1972
Das Notarversicherungsgesetz 1972 – NVG, BGBl. Nr. 66/1972, zuletzt geändert durch die Bundesgesetze BGBl. I Nr. 53/2017 und BGBl. I Nr. 164/2017, wird wie folgt geändert:
1. Im § 88b entfällt der Ausdruck „im Sinne des Datenschutzgesetzes 2000“.
2. Nach § 122 wird folgender § 123 samt Überschrift angefügt:
„Schlussbestimmung zu Art. 5 des Bundesgesetzes BGBl. I Nr. xx/2018
§ 123. § 88b in der Fassung des Bundesgesetzes BGBl. I Nr. xx/2018 tritt mit 25. Mai 2018 in Kraft.“