Entwurf

Bundesgesetz, mit dem das Datenschutzgesetz 2000 geändert wird (DSG-Novelle 2008)

Der Nationalrat hat beschlossen:

Das Bundesgesetz über den Schutz personenbezogener Daten (Datenschutzgesetz 2000 – DSG 2000), BGBl I Nr. 165/1999, zuletzt geändert durch BGBl I Nr. 13/2005, wird wie folgt geändert:

1. Im Inhaltsverzeichnis wird in der Überschrift zu § 4 nach dem Wort „Definitionen“ die Wortfolge „und Regelungsgegenstand“ ergänzt.

2. Im Inhaltsverzeichnis wird nach § 15 eingefügt:

§ 15a

Betrieblicher Datenschutzbeauftragter

3. Im Inhaltsverzeichnis lautet § 18:

§ 18	Vorabkontrollpflichtige Datenanwendungen

4. Im Inhaltsverzeichnis lautet § 20:

§ 20	Prüfungs- und Verbesserungsverfahren

5.  Im Inhaltsverzeichnis lautet § 22:

§ 22	Richtigstellung des Registers und Rechtsnachfolge

6. Im Inhaltsverzeichnis wird nach § 22 eingefügt:

§ 22a

Verfahren zur Überprüfung der Erfüllung der Meldepflicht

7. Im Inhaltsverzeichnis wird nach § 31 eingefügt:

§ 31a

Begleitende Maßnahmen im Beschwerdeverfahren

8. Im Inhaltsverzeichnis wird nach § 50 eingefügt:

„9a. Abschnitt: Videoüberwachung

§ 50a	Allgemeines
§ 50b	Besondere Protokollierungspflicht
§ 50c	Meldepflicht und Registrierungsverfahren
§ 50d	Information durch Kennzeichnung
§ 50e	Auskunftsrecht“

10. (Verfassungsbestimmung) § 1 samt Überschrift lautet:

„Grundrecht auf Datenschutz

§ 1. (1) Jede natürliche Person hat Anspruch auf Geheimhaltung der sie betreffenden personenbezogenen Daten. Der Anspruch besteht nicht, wenn Daten allgemein verfügbar sind.

(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse einer Person oder mit Zustimmung des Betroffenen erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen zulässig. Staatliche Beschränkungen dürfen nur auf Grund von Gesetzen erfolgen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch zulässige Beschränkungen dürfen nur in der gelindesten zum Ziel führenden Art vorgenommen werden.

(3) Jede natürliche Person hat, soweit sie betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, d.h. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen

           1. das Recht auf Auskunft darüber, wer welche Daten über sie verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden;

           2. das Recht auf Richtigstellung unrichtiger Daten und das Recht auf Löschung unzulässigerweise verarbeiteter Daten.

Beschränkungen dieser Rechte sind nur unter den in Abs. 2 genannten Voraussetzungen zulässig.

(4) Gegen Rechtsträger, die in Formen des Privatrechts eingerichtet sind, ist, soweit sie nicht in Vollziehung der Gesetze tätig werden, das Grundrecht auf Datenschutz mit Ausnahme des Rechtes auf Auskunft auf dem Zivilrechtsweg geltend zu machen. In allen übrigen Fällen ist die Datenschutzkommission zur Entscheidung zuständig, es sei denn, dass Akte der Gesetzgebung oder der Gerichtsbarkeit betroffen sind.“

11. (Verfassungsbestimmung) § 2 lautet:

„§ 2. Bundessache ist die Gesetzgebung und die Vollziehung in Angelegenheiten des Schutzes personenbezogener Daten.“

12. (Verfassungsbestimmung) In § 3 Abs. 1 wird die Wortfolge „Mitgliedstaaten der Europäischen Union“ durch die Wortfolge „Vertragsstaaten des Europäischen Wirtschaftsraumes“ ersetzt.

13. (Verfassungsbestimmung) In § 3 Abs. 2 wird die Wortfolge „Mitgliedstaat der Europäischen Union“ durch die Wortfolge „Vertragsstaat des Europäischen Wirtschaftsraumes“ ersetzt.

14. Der bisherige § 4 erhält die Überschrift „Definitionen und Regelungsgegenstand“ und die Absatzbezeichnung „(1)“. Weiters entfallen bei sämtlichen Ziffern des nunmehrigen § 4 Abs. 1 die Anführungszeichen um die definierten Begriffe, auch wenn diese in Klammern stehen.

15. § 4 Abs. 1 Z 3 lautet:

         „3. Betroffener: jede vom Auftraggeber (Z 4) verschiedene natürliche Person, deren Daten verwendet werden (Z 8);“

16. § 4 Abs. 1 Z 4 lautet:

         „4. Auftraggeber: natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie allein oder gemeinsam mit anderen die Entscheidung getroffen haben, Daten zu verwenden (Z 8), unabhängig davon, ob sie dies selbst tun oder damit einen Dienstleister (Z 5) beauftragen. Sie gelten auch dann als Auftraggeber, wenn sie einen Dienstleister (Z 5) mit der Herstellung eines Werkes beauftragen und erst dieser die Entscheidung trifft, zu diesem Zweck Daten zu verwenden (Z 8), es sei denn dies wurde dem Dienstleister ausdrücklich untersagt. Die Stellung als Auftraggeber kann sich auch aus Gesetzen, Verordnungen oder Verhaltensregeln (§ 6 Abs. 4) ergeben;“

17. § 4 Abs. 1 Z 5 lautet:

              „5. Dienstleister: natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie Daten nur zur Herstellung eines ihnen aufgetragenen Werks verwenden;

18. In § 4 Abs. 1 Z 7 entfällt der Klammerausdruck „(früher „Datenverarbeitung“)“.

19. § 4 Abs. 1 Z 8 lautet:

         „8. Verwenden von Daten: jede Art der Handhabung von Daten, also sowohl das Verarbeiten (Z 9) als auch das Übermitteln (Z 12) von Daten;“

20. § 4 Abs. 1 Z 9 lautet:

         „9. Verarbeiten von Daten: das Ermitteln, Erfassen, Speichern, Aufbewahren, Ordnen, Vergleichen, Verändern, Verknüpfen, Vervielfältigen, Abfragen, Ausgeben, Benützen, Überlassen (Z 11), Sperren, Löschen, Vernichten oder jede andere Art der Handhabung von Daten mit Ausnahme des Übermittelns (Z 12) von Daten.“

21. § 4 Abs. 1 Z 10 wird aufgehoben.

22. § 4 Abs. 1 Z 11 lautet:

       „11. Überlassen von Daten: die Weitergabe von Daten zwischen Auftraggeber und Dienstleister im Rahmen des Auftragsverhältnisses (Z 5);“

23. § 4 Abs. 1 Z 12 lautet:

„12. Übermitteln von Daten: die Weitergabe von Daten an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister, insbesondere auch das Veröffentlichen von Daten; darüber hinaus auch die Verwendung von Daten für ein anderes Aufgabengebiet des Auftraggebers;“

24. Folgender § 4 Abs. 2 wird nach dem nunmehrigen § 4 Abs. 1 angefügt:

„(2) Die Regelungen des 2., 3., 5. und 8. Abschnitts dieses Bundesgesetzes gelten mit Ausnahme von § 6 Abs. 1 sowie § 7 Abs. 2 und 3 in Verbindung mit den §§ 8 und 9 nur für Daten, die einer Datenanwendung unterzogen oder in einer Datei verwendet werden. Der 4. Abschnitt gilt für Datenanwendungen und Dateien mit der Maßgabe, dass für ohne Automationsunterstützung geführte Dateien Meldepflicht nur besteht, wenn sie ihrem Inhalt nach gemäß § 18 Abs. 2 der Vorabkontrollpflicht unterliegen. Die Meldung solcher Dateien kann abweichend von § 17 Abs. 1a auch in nicht-elektronischer Form erfolgen. Überall dort, wo in diesen Abschnitten bloß von Datenanwendungen die Rede ist, sind die Regelungen auf Dateien sinngemäß anzuwenden, es sei denn es ist ausdrücklich anderes bestimmt. Wo im 6. Abschnitt von Datenanwendungen die Rede ist, gelten die Bestimmungen sinngemäß für alle Daten. Der 9. und 9a. Abschnitt gilt nur für Datenanwendungen.“

25. In § 8 Abs. 1 wird die Wortfolge „Gemäß § 1 Abs. 1 bestehende schutzwürdige Geheimhaltungsinteressen“ durch die Wortfolge „Schutzwürdige Geheimhaltungsinteressen im Sinn des § 7 Abs. 1 und Abs. 2 Z 3“ ersetzt.

26. § 8 Abs. 2 zweiter Satz wird aufgehoben.

27. § 8 Abs. 3 Z 2 lautet:

         „2. durch Auftraggeber des öffentlichen Bereichs in Erfüllung der Verpflichtung

                a) zur Amtshilfe oder

               b) zur Unterstützung des Nationalrates, des Bundesrates oder eines Landtages bei der Ausübung parlamentarischer Kontrolltätigkeit nach Art. 52 bis 53 B–VG oder entsprechenden landesverfassungsrechtlichen Bestimmungen geschieht

oder“

28. In § 8 Abs. 3 Z 5 entfällt die Wortfolge „ und die Daten rechtmäßig ermittelt wurden“.

29. In § 8 Abs. 4 wird der Punkt am Ende der Z 3 durch das Wort „oder“ ersetzt und danach die folgende Z 4 eingefügt:

         „4. die Datenweitergabe zum Zweck der Erstattung einer Anzeige an eine zur Verfolgung der strafbaren Handlungen (Unterlassungen) oder zumindest zur Entgegennahme derartiger Anzeigen zuständige Behörde erfolgt.“

30. § 9 Z 4 lautet:

         „2. die Verwendung durch Auftraggeber des öffentlichen Bereichs in Erfüllung der Verpflichtung

                a) zur Amtshilfe oder

               b) zur Unterstützung des Nationalrates, des Bundesrates oder eines Landtages bei der Ausübung parlamentarischer Kontrolltätigkeit nach Art. 52 bis 53 B–VG oder entsprechenden landesverfassungsrechtlichen Bestimmungen geschieht

oder“

31. In § 9 Z 9 entfällt die Wortfolge „ und die Daten rechtmäßig ermittelt wurden“.

32. In § 12 Abs. 1 erster Satz wird die Wortfolge „Mitgliedstaaten der Europäischen Union“ durch die Wortfolge „Vertragsstaaten des Europäischen Wirtschaftsraums (EWR)“ ersetzt.

33. § 13 Abs. 3 wird aufgehoben.

34. Nach § 15 wird der folgende § 15a samt Überschrift  eingefügt:

„Betrieblicher Datenschutzbeauftragter

§ 15a. (1) Der Inhaber eines Betriebes (§ 34 Abs. 1 des Arbeitsverfassungsgesetzes - ArbVG, BGBl Nr. 22/1974, § 4 Abs. 1 des Post-Betriebsverfassungsgesetzes – PBVG, BGBl I Nr. 326/1996, § 5 Abs. 1 des Landarbeitsgesetzes 1984 - LAG, BGBl. Nr. 287/1984) mit mehr als 20 Mitarbeitern (wobei Mitarbeiter, die nicht zumindest 20 Stunden pro Woche im Betrieb tätig sind, außer Betracht bleiben) hat einen geeigneten Mitarbeiter zum betrieblichen Datenschutzbeauftragten zu bestellen.

(2) Der Inhaber hat mit dem Betriebsrat, wenn ein Betriebsausschuss errichtet ist, mit diesem, die beabsichtigte Bestellung oder Abberufung des Datenschutzbeauftragten zu beraten. Eine ohne Beratung vorgenommene Bestellung ist rechtsunwirksam. Die Bestellung bedarf auch der zivilrechtlichen Zustimmung des bestellten Mitarbeiters. Stimmt kein geeigneter Mitarbeiter der Bestellung zu, ist eine geeignete betriebsfremde Person oder ein geeignetes Unternehmen zu bestellen.

(3) Der betriebliche Datenschutzbeauftragte hat die Einhaltung der Vorschriften dieses Bundesgesetzes im Betrieb zu überwachen und den Betriebsinhaber, die Arbeitnehmer und den Betriebsrat in Belangen des Datenschutzes zu beraten. Er ist vom Inhaber über Vorhaben, neue Datenanwendungen einzusetzen, rechtzeitig zu unterrichten. Wird ihm ein Verdacht einer Verletzung datenschutzrechtlicher Vorschriften bekannt, hat er auf die Herstellung eines rechtmäßigen Zustandes hinzuwirken. Ist ihm dies aus Eigenem nicht möglich, hat er den Betriebsinhaber von dem Verdacht in Kenntnis zu setzen.

(4) Für Beratungen durch den Datenschutzbeauftragten nach Abs. 3 hat der Inhaber Mitarbeitern, die mit der Verwendung von Daten betraut sind, im ersten Dienstjahr Arbeitszeit im Umfang von zumindest acht Stunden, in folgenden Dienstjahren im Ausmaß von zumindest vier Stunden pro Jahr zur Verfügung zu stellen. Dem betrieblichen Datenschutzbeauftragten selbst sind im ersten Jahr seiner ununterbrochenen Tätigkeit zumindest 40 Stunden und in jedem folgenden Jahr zumindest 20 Stunden an Arbeitszeit zum Erwerb von Fachkenntnissen und zur Weiterbildung auf dem Gebiet des Datenschutzes zur Verfügung zu stellen.

(5) Der betriebliche Datenschutzbeauftragte ist in Ausübung dieser Funktion nicht an Weisungen gebunden. Er hat aber datenschutzbezogene Anregungen des Betriebsinhabers dennoch entgegenzunehmen und gegebenenfalls zu begründen, warum er diese nicht unterstützt. Im Hinblick auf den Kündigungs- und Entlassungsschutz ist der betriebliche Datenschutzbeauftragte einer Sicherheitsfachkraft (§ 73 Abs. 1 des ArbeitnehmerInnenschutzgesetzes, BGBl Nr. 450/1994) gleichgestellt.

(6) Die Bestellung des betrieblichen Datenschutzbeauftragten lässt die Verantwortung des Betriebsinhabers für die Einhaltung der Bestimmungen dieses Bundesgesetzes unberührt.“

35. § 16 Abs. 1 lautet:

„§ 16. (1) Die Datenschutzkommission hat ein Register der Auftraggeber mit den von ihnen betriebenen Datenanwendungen zum Zweck der Information der Betroffenen zu führen.“

36. Der letzte Satz von § 16 Abs. 3 entfällt.

37. In § 17 Abs. 1 wird nach dem Wort „bewirken“ der Klammerausdruck „(Änderungsmeldung)“ eingefügt.

38. Nach § 17 Abs. 1 werden die folgenden Abs. 1a und 1b eingefügt:

„(1a) Die Meldung ist in elektronischer Form im Wege der vom Bundeskanzler bereit zu stellenden Internetanwendung einzubringen. Identifizierung und Authentifizierung haben mit der Bürgerkarte (§ 2 Z 10 des E-Government-Gesetzes, BGBl. I Nr. 10/2004) zu erfolgen.

(1b) Der Betrieb einer meldepflichtigen Datenanwendung darf erst nach ihrer Registrierung aufgenommen werden. Ebenso dürfen Änderungen einer gemeldeten Datenanwendung erst nach Registrierung der entsprechenden Änderungsmeldung in Betrieb genommen werden.“

39. § 18 samt Überschrift lautet:

Vorabkontrollpflichtige Datenanwendungen

§ 18. Meldepflichtige Datenanwendungen, die weder einer Musteranwendung nach § 19 Abs. 2 entsprechen, noch innere Angelegenheiten der anerkannten Kirchen und Religionsgesellschaften noch die Verwendung von Daten im Katastrophenfall für die in § 48a Abs. 1 genannten Zwecke betreffen, sind vor ihrer Registrierung einer inhaltlichen Kontrolle auf Mangelhaftigkeit im Sinne des § 19 Abs. 3 (Vorabkontrolle) zu unterziehen, wenn sie

           1. sensible Daten enthalten oder

           2. strafrechtlich relevante Daten im Sinne des § 8 Abs. 4 enthalten oder

           3. die Auskunftserteilung über die Kreditwürdigkeit der Betroffenen zum Zweck haben oder

           4. in Form eines Informationsverbundsystems durchgeführt werden.“

40. Nach § 19 Abs. 1 Z 3 wird folgende Z 3a eingefügt:

       „3a. die Erklärung, ob die Datenanwendung einen oder mehrere der in § 18 Abs. 2 Z 1 bis 4 genannten Tatbestände erfüllt, und“

41. Nach § 19 Abs. 1 Z 7 wird folgende Z 8 eingefügt:

         „8. eine Erklärung, ob die Datenanwendung für Zwecke eines Betriebes mit mehr als 20 Mitarbeitern betrieben werden soll und gegebenenfalls, wer in diesem Betrieb zum betrieblichen Datenschutzbeauftragten (§ 15a) bestellt wurde.“

42. Die §§ 20 bis 22 samt Überschriften lauten:

„Prüfungs- und Verbesserungsverfahren

§ 20. (1) Meldungen von Datenanwendungen, die nach Angabe des Auftraggebers nicht einen der Tatbestände des § 18 Z 1 bis 4 erfüllen, sind, sind nur automationsunterstützt im Rahmen der Internetanwendung (§ 17 Abs. 1a) auf ihre Vollständigkeit und Plausibilität zu prüfen. Ergibt diese Prüfung keine Fehlermeldung, so ist die Meldung sofort zu registrieren.

(2) Ergibt die Prüfung nach Abs. 1 Fehler, so ist dem Auftraggeber sogleich die Möglichkeit zur Verbesserung einzuräumen. Erfolgt diese nicht und besteht der Auftraggeber dennoch auf der Einbringung der Meldung, so ist diese von der Datenschutzkommission auf Mangelhaftigkeit im Sinne des § 19 Abs. 3 zu prüfen.

(3) Meldungen, die der Auftraggeber als vorabkontrollpflichtig bezeichnet hat, sind jedenfalls auf Mangelhaftigkeit im Sinne des § 19 Abs. 3 zu prüfen.

(4) Ergibt die Prüfung nach § 19 Abs. 3 eine Mangelhaftigkeit der Meldung, so ist dem Auftraggeber innerhalb von zwei Monaten nach Einlangen der Meldung die Verbesserung unter Setzung einer Frist aufzutragen. Im Verbesserungsauftrag ist auf die Rechtsfolgen einer Nichtbefolgung nach Abs. 5 hinzuweisen.

(5) Wird dem Verbesserungsauftrag nicht entsprochen, ist die Registrierung der Meldung durch eine schriftliche Mitteilung abzulehnen. In die Mitteilung sind aufzunehmen:

1. die Punkte, in denen der Verbesserungsauftrag nicht erfüllt wurde und

2. der Hinweis, dass innerhalb von zwei Wochen ab Zustellung bei der Datenschutzkommission ein Antrag gestellt werden kann, über die Ablehnung mit Bescheid abzusprechen.

Nach Fristablauf (Abs. 4) erstattete Verbesserungen sind nicht zu berücksichtigen.

Registrierung

§ 21. (1) Meldungen gemäß § 19 sind in das Datenverarbeitungsregister einzutragen, wenn

           1. das Prüfungsverfahren nach § 20 Abs. 1 nicht zu einer Fehlermeldung geführt hat ergeben hat oder

           2. das Prüfungsverfahren nach § 20 Abs. 2 keine Mangelhaftigkeit der Meldung ergeben hat oder

           3. zwei Monate nach Einlangen einer Meldung (§ 20 Abs. 2 oder 3) bei der Datenschutzkommission verstrichen sind, ohne dass ein Verbesserungsauftrag gemäß § 20 Abs. 4 erteilt wurde oder

           4. der Auftraggeber die verlangten Verbesserungen (§ 20 Abs. 4) vorgenommen hat.

Die in der Meldung enthaltenen Angaben über Datensicherheitsmaßnahmen sind im Register nicht ersichtlich zu machen.

(2) Bei Datenanwendungen, die gemäß § 18 der Vorabkontrolle unterliegen, können auf Grund der Ergebnisse des Prüfungsverfahrens dem Auftraggeber Auflagen, Bedingungen oder Befristungen für die Vornahme der Datenanwendung durch Bescheid erteilt werden, soweit dies zur Wahrung der durch dieses Bundesgesetz geschützten Interessen der Betroffenen notwendig ist.

(3) Der Auftraggeber ist von der Durchführung und vom Inhalt der Registrierung in geeigneter Weise zu verständigen.

(4) Jedem Auftraggeber ist bei der erstmaligen Registrierung eine Registernummer zuzuteilen.

(5) Hat die automationsunterstützte Prüfung nach § 20 Abs. 1 nicht zu einer Fehlermeldung geführt, so ist in die Registrierung ein Vermerk aufzunehmen, dass der Meldungsinhalt nur automationsunterstützt geprüft wurde.

Richtigstellung des Registers und Rechtsnachfolge

§ 22. (1) Streichungen aus dem Register und sonstige Änderungen des Registers sind auf Grund einer Änderungsmeldung des registrierten Auftraggebers oder von Amts wegen in den Fällen des Abs. 2, des § 22a Abs. 2 und des § 30 Abs. 6a vorzunehmen. Derartige Änderungen sind für die Dauer von drei Jahren ersichtlich zu machen.

(2) Gelangen der Datenschutzkommission aus amtlichen Verlautbarungen Änderungen in der Bezeichnung oder der Anschrift des Auftraggebers zur Kenntnis, so sind die Eintragungen von Amts wegen zu berichtigen. Ergibt sich aus einer amtlichen Verlautbarung der Wegfall der Rechtsgrundlage des Auftraggebers, ist dieser von Amts wegen aus dem Register zu streichen. Außerdem ist eine registrierte Datenanwendung zu streichen, wenn der Datenschutzkommission zur Kenntnis gelangt, dass eine registrierte Datenanwendung nicht mehr betrieben wird.

(3) Berichtigungen oder Streichungen nach Abs. 2 sind ohne weiteres Ermittlungsverfahren durch Mandatsbescheid (§ 38) zu verfügen.

(4) Der Rechtsnachfolger eines registrierten Auftraggebers kann einzelne oder alle registrierten Meldungen des Rechtsvorgängers übernehmen, wenn er innerhalb von zwei Monaten nach Wirksamkeit der Rechtsnachfolge eine entsprechend glaubhaft gemachte Erklärung gegenüber der Datenschutzkommission abgibt. Dem Rechtsnachfolger kann auf Antrag auch die Registernummer des Rechtsvorgängers übertragen werden, wenn der Rechtsvorgänger jegliche Verarbeitung personenbezogener Daten in Auftraggebereigenschaft eingestellt hat.“

43. Nach § 22 wird der folgende § 22a samt Überschrift eingefügt:

„Verfahren zur Überprüfung der Erfüllung der Meldepflicht

§ 22a. (1) Registrierte Meldungen können von der Datenschutzkommission jederzeit auf Mangelhaftigkeit im Sinne des § 19 Abs. 3 geprüft werden. Entsteht bei der Prüfung der Verdacht tatsächlicher Mangelhaftigkeit, ist ein Berichtigungsverfahren nach Abs. 2 durchzuführen.

(2) Bei Vorliegen des Verdachtes der Nichterfüllung der Meldepflicht infolge Mangelhaftigkeit einer registrierten Meldung (Abs. 1) oder Unterlassung der Meldung, die über die Fälle des § 22 Abs. 2 hinausgeht, ist ein Verfahren zur Berichtigung des Datenverarbeitungsregisters durchzuführen. Das Verfahren wird durch begründete Verfahrensanordnung eingeleitet, die dem meldepflichtigen Auftraggeber mit einem Auftrag zur Verbesserung (§ 20 Abs. 4) oder einer Aufforderung zur Nachmeldung (§ 17 Abs. 1) innerhalb gesetzter Frist zuzustellen ist.

(3) Wird einem im Verfahren nach Abs. 2 erteilten Verbesserungsauftrag nicht entsprochen, so ist die Streichung der Meldung mit Bescheid der Datenschutzkommission zu verfügen. Die Streichung kann sich, wenn dies technisch möglich, im Hinblick auf den Zweck der Datenanwendung sinnvoll und zur Herstellung des rechtmäßigen Zustandes ausreichend ist, auch nur auf Teile der Meldung beschränken.

(4) Wird einer im Verfahren nach Abs. 2 erteilten Aufforderung zur Nachmeldung nicht entsprochen und die Unterlassung einer Meldung entgegen § 17 Abs. 1 erwiesen, so ist mit Bescheid der Datenschutzkommission der weitere Betrieb der Datenanwendung, soweit er vom Registerstand abweicht, zu untersagen und gleichzeitig Anzeige wegen der Verwaltungsübertretung nach § 52 Abs. 2 Z 1 an die zuständige Behörde zu erstatten.

(5) Ergibt das Verfahren nach Abs. 2 alleine – oder allenfalls in Kombination mit einem Mangel nach Abs. 6 ‑die Unangemessenheit oder die Nichteinhaltung von nach § 19 Abs. 1 Z 7 erklärten Datensicherheitsmaßnahmen, so ist dies mit Bescheid festzustellen und gleichzeitig eine angemessene Frist zur Herstellung ausreichender Datensicherheit zu setzen. Der Auftraggeber hat innerhalb dieser Frist der Datenschutzkommission die getroffenen Maßnahmen mitzuteilen. Sind diese nicht ausreichend, so ist die Streichung der Datenanwendung zu verfügen.

(6) Ergibt das Verfahren nach Abs. 2 alleine – oder allenfalls in Kombination mit Mängeln nach Abs. 5 ‑, dass ein Betriebsinhaber entgegen § 15a keinen oder keinen geeigneten betrieblichen Datenschutzbeauftragten bestellt hat, so ist die Bestellung mit Bescheid aufzutragen.

(7) Die Einleitung und der Stand eines Berichtigungsverfahrens nach Abs. 2 ist bei registrierten Meldungen im Datenverarbeitungsregister bis zur Einstellung oder bis zur Herstellung eines rechtmäßigen Zustandes durch Maßnahmen nach den Abs. 3 bis 6 geeignet anzumerken.“

44. § 26 Abs. 1 lautet:

„§ 26. (1) Ein Auftraggeber hat jeder natürlichen Person Auskunft über die zu dieser Person verarbeiteten Daten zu geben, wenn sie dies schriftlich verlangt und ihre Identität in geeigneter Form nachweist. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen eines Betroffenen sind auch Namen und Adresse von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Wenn zur Person des Auskunftswerbers keine Daten vorhanden sind, genügt die Bekanntgabe dieses Umstandes (Negativauskunft). Mit Zustimmung des Auskunftswerbers kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.“

45. In § 26 Abs. 2 bis 7 wird jeweils das Wort „Betroffener“, gleich in welcher grammatikalischen Form, durch das Wort „Auskunftswerber“ in der richtigen grammatikalischen Form ersetzt.

46. § 26 Abs. 8 lautet:

„(8) In dem Umfang, in dem eine Datenanwendung für eine natürliche Person hinsichtlich der zu ihr verarbeiteten Daten von Gesetzes wegen einsehbar ist, hat diese das Recht auf Auskunft nach Maßgabe der das Einsichtsrecht vorsehenden Bestimmungen. Für das Verfahren der Einsichtnahme (einschließlich deren Verweigerung) gelten die näheren Regelungen des Gesetzes, das das Einsichtsrecht vorsieht. In Abs. 1 genannte Bestandteile einer Auskunft, die vom Einsichtsrecht nicht umfasst sind, können dennoch nach diesem Bundesgesetz geltend gemacht werden.“

47. § 26 Abs. 10 lautet:

„(10) Ergibt sich eine Auftraggeberstellung aus einem Gesetz, einer Verordnung oder auf Grund von Verhaltensregeln, obwohl die Datenverarbeitung für Zwecke der Auftragserfüllung für einen Dritten erfolgt (§ 4 Z 4 letzter Satz), kann der Auskunftswerber sein Auskunftsbegehren zunächst auch an denjenigen richten, der die Herstellung des Werkes aufgetragen hat. Dieser hat dem Auskunftswerber, soweit ihm dies nicht ohnehin bekannt ist, binnen zwei Wochen unentgeltlich Namen und Adresse des tatsächlichen Auftraggebers mitzuteilen, damit der Auskunftswerber sein Auskunftsrecht gemäß Abs. 1 gegen diesen geltend machen kann. Das gilt auch für einen Dienstleister, wenn ein an ihn gerichtetes Auskunftsbegehren erkennen lässt, dass der Auskunftswerber ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenanwendung hält. Stattdessen kann er auch innerhalb derselben Frist das Auskunftsbegehren an den Auftraggeber weiterleiten und den Auskunftswerber davon verständigen.“

48. In § 27 Abs. 9 entfällt das Wort „öffentliche“.

49. Nach § 28 Abs. 2 wird der folgende Abs. 3 angefügt:

„(3) § 27 Abs. 4 bis 6 gelten auch in den Fällen der Abs. 1 und 2.“

50. Nach § 30 Abs. 1 wird der folgende Abs. 1a eingefügt:

„(1a) Ein betrieblicher Datenschutzbeauftragter kann sich wegen des Verdachts der Verletzung datenschutzrechtlicher Vorschriften im Betrieb mit einer Eingabe an die Datenschutzkommission wenden, nachdem er den Betriebsinhaber von dem Verdacht in Kenntnis gesetzt hat, dieser jedoch in angemessener Frist keine geeigneten Maßnahmen zur Beseitigung des vermuteten rechtswidrigen Zustandes getroffen hat.“

51. Nach § 30 Abs. 2 wird der folgende Abs. 2a eingefügt:

„(2a) Sofern sich eine zulässigen Eingabe nach Abs. 1 oder Abs. 1a oder ein begründeter Verdacht nach Abs. 2 auf eine meldepflichtige Datenanwendung (Datei) bezieht, hat die Datenschutzkommission die Erfüllung der Meldepflicht zu überprüfen und erforderlichenfalls nach den §§ 22 und 22a vorzugehen.“

52. § 30 Abs. 5 lautet:

„(5) Informationen, die der Datenschutzkommission oder ihren Beauftragten bei der Kontrolltätigkeit zukommen, dürfen ausschließlich für die Kontrolle im Rahmen der Vollziehung datenschutzrechtlicher Vorschriften verwendet werden. Dazu zählt auch die Verwendung für Zwecke der gerichtlichen Rechtsverfolgung durch den Einschreiter oder die Datenschutzkommission nach § 32. Im Übrigen besteht die Pflicht zur Verschwiegenheit auch gegenüber Gerichten und Verwaltungsbehörden, insbesondere Abgabenbehörden; dies allerdings mit der Maßgabe, dass dann, wenn die Einschau den Verdacht einer strafbaren Handlung nach den §§ 51 oder 52 dieses Bundesgesetzes oder eines Verbrechens nach § 278a des Strafgesetzbuches, BGBl Nr. 60/1974 (kriminelle Organisation), oder eines Verbrechens mit einer Freiheitsstrafe, deren Höchstmaß fünf Jahre übersteigt, ergibt, Anzeige zu erstatten ist und hinsichtlich solcher Verbrechen und Vergehen auch Ersuchen nach § 76 der Strafprozessordnung, BGBl Nr. 631/1975, zu entsprechen ist.

53. § 30 Abs. 6 lautet:

„(6) Zur Herstellung des rechtmäßigen Zustandes kann die Datenschutzkommission, sofern nicht Maßnahmen nach den §§ 22 und 22a oder nach Abs. 6a zu treffen sind, Empfehlungen aussprechen, für deren Befolgung erforderlichenfalls eine angemessene Frist zu setzen ist. Wird einer solchen Empfehlung innerhalb der gesetzten Frist nicht entsprochen, so kann die Datenschutzkommission je nach der Art des Verstoßes von Amts wegen insbesondere

           1. Strafanzeige nach §§ 51 oder 52 erstatten, oder

           2. bei schwerwiegenden Verstößen durch Auftraggeber des privaten Bereichs Klage vor dem zuständigen Gericht gemäß § 32 Abs. 5 erheben, oder

           3. bei Verstößen von Auftraggebern, die Organe einer Gebietskörperschaft sind, das zuständige oberste Organ befassen. Dieses Organ hat innerhalb einer angemessenen, jedoch zwölf Wochen nicht überschreitenden Frist entweder dafür Sorge zu tragen, dass der Empfehlung der Datenschutzkommission entsprochen wird, oder der Datenschutzkommission mitzuteilen, warum der Empfehlung nicht entsprochen wurde. Die Begründung darf von der Datenschutzkommission der Öffentlichkeit in geeigneter Weise zur Kenntnis gebracht werden, soweit dem nicht die Amtsverschwiegenheit entgegensteht.“

54. Nach § 30 Abs. 6 wird der folgende Abs. 6a eingefügt:

„(6a) Liegt durch den Betrieb einer Datenanwendung eine wesentliche Gefährdung schutzwürdiger Geheimhaltungsinteressen der Betroffenen (Gefahr im Verzug) vor, so hat die Datenschutzkommission die Weiterführung der Datenanwendung mit Bescheid gemäß § 57 Abs. 1 AVG zu untersagen. Wenn dies technisch möglich, im Hinblick auf den Zweck der Datenanwendung sinnvoll und zur Beseitigung der Gefährdung ausreichend scheint, kann die Weiterführung auch nur teilweise untersagt werden. Wird einer Untersagung nicht sogleich Folge geleistet, ist Strafanzeige wegen der Verwaltungsübertretung nach § 52 Abs. 1 Z 3 zu erstatten. Nach Rechtskraft einer Untersagung nach diesem Absatz ist ein Berichtigungsverfahren nach § 22a Abs. 2 formlos einzustellen. Die Datenanwendung ist im Umfang der Untersagung aus dem Register zu streichen.“

55. Die § 31 samt Überschrift lautet:

„Beschwerde an die Datenschutzkommission

§ 31. (1) Die Datenschutzkommission erkennt über Beschwerden von natürlichen Personen, die behaupten, in ihrem Recht auf Auskunft nach § 26, auf Darlegung einer automatisierten Einzelentscheidung nach § 49 Abs. 3 oder auf Bekanntgabe eines Betreibers nach § 50 Abs. 1 dritter Satz verletzt zu sein, soweit sich das Auskunftsverlangen (der Antrag auf Darlegung oder Bekanntgabe) nicht auf die Verwendung von Daten für Akte der Gesetzgebung oder der Gerichtsbarkeit bezieht.

(2) Die Datenschutzkommission erkennt weiters über Beschwerden von natürlichen Personen, die behaupten, in ihrem Recht auf Geheimhaltung (§ 1 Abs. 1) oder in ihrem Recht auf Richtigstellung oder auf Löschung (§§ 27 und 28) verletzt zu sein, sofern der Anspruch nicht nach § 32 Abs. 1 vor einem Gericht geltend zu machen ist oder sich gegen ein Organ der Gesetzgebung oder der Gerichtsbarkeit richtet.

         (3) Die Beschwerde hat zu enthalten:

           1. die Bezeichnung des als verletzt erachteten Rechts,

           2. soweit dies zumutbar ist, die Bezeichnung des Rechtsträgers oder Organs, dem die behauptete Rechtsverletzung zugerechnet wird (Beschwerdegegner),

           3. den Sachverhalt, aus dem die Rechtsverletzung abgeleitet wird,

           4. die Gründe, auf die sich die Behauptung der Rechtswidrigkeit stützt,

           5. das Begehren, die behauptete Rechtsverletzung festzustellen und

           6. die Angaben, die erforderlich sind, um zu beurteilen, ob die Beschwerde rechtzeitig eingebracht ist.

(4) Einer Beschwerde nach Abs. 1 sind außerdem das zu Grunde liegende Auskunftsverlangen (der Antrag auf Darlegung oder Bekanntgabe) und eine allfällige Antwort des Beschwerdegegners anzuschließen. Einer Beschwerde nach Abs. 2 sind außerdem der zu Grunde liegende Antrag auf Richtigstellung oder Löschung und eine allfällige Antwort des Beschwerdegegners anzuschließen.

(5) Die der Datenschutzkommission durch § 30 Abs. 2 bis 4 eingeräumten Kontrollbefugnisse kommen ihr auch in Beschwerdeverfahren nach Abs. 1 und 2 gegenüber dem Beschwerdegegner zu. Ebenso besteht auch hinsichtlich dieser Verfahren die Verschwiegenheitspflicht nach § 30 Abs. 5.

(6) Im Fall der Einbringung einer zulässigen Beschwerde nach Abs. 1 oder 2 ist ein auf Grund einer Eingabe nach § 30 Abs. 1 über denselben Gegenstand eingeleitetes Kontrollverfahren durch eine entsprechende Information (§ 30 Abs. 7) zu beenden. Die Datenschutzkommission kann aber dennoch auch während der Anhängigkeit des Beschwerdeverfahrens von Amts wegen nach § 30 Abs. 2 vorgehen, wenn ein begründeter Verdacht einer über den Beschwerdefall hinausgehenden Verletzung datenschutzrechtlicher Verpflichtungen besteht. § 30 Abs. 3 bleibt unberührt.

(7) Soweit sich eine Beschwerde nach Abs. 1 oder 2 als berechtigt erweist, ist ihr Folge zu geben und die Rechtsverletzung festzustellen. Ist eine festgestellte Verletzung im Recht auf Auskunft (Abs. 1) einem in Formen des Privatrechts eingerichteten Rechtsträger zuzurechnen, der nicht in Ausübung von Hoheitsgewalt tätig geworden ist, so ist diesem auf Antrag zusätzlich die ‑ allenfalls erneute ‑ Reaktion auf das Auskunftsbegehren nach § 26 Abs. 4, 5 oder 10 in jenem Umfang aufzutragen, der erforderlich ist, um die festgestellte Rechtsverletzung zu beseitigen. Soweit sich die Beschwerde als nicht berechtigt erweist, ist sie abzuweisen.

(8) Ein Beschwerdegegner, gegen den wegen Verletzung in Rechten nach den §§ 26 bis 28 Beschwerde erhoben wurde, kann bis zum Abschluss des Verfahrens vor der Datenschutzkommission durch Reaktionen gegenüber dem Beschwerdeführer gemäß § 26 Abs. 4 oder § 27 Abs. 4 die behauptete Rechtsverletzung nachträglich beseitigen. Erscheint der Datenschutzkommission durch derartige Reaktionen des Beschwerdegegners die Beschwerde als gegenstandslos, so hat sie den Beschwerdeführer dazu zu hören. Gleichzeitig ist er darauf aufmerksam zu machen, dass die Datenschutzkommission das Verfahren formlos einstellen wird, wenn er nicht innerhalb einer angemessenen Frist begründet, warum er die ursprünglich behauptete Rechtsverletzung zumindest teilweise nach wie vor als nicht beseitigt erachtet. Wird durch eine derartige Äußerung des Beschwerdeführers die Sache ihrem Wesen nach geändert (§ 13 Abs. 8 AVG), so ist von der Zurückziehung der ursprünglichen Beschwerde und der gleichzeitigen Einbringung einer neuen Beschwerde auszugehen. Auch diesfalls ist das ursprüngliche Beschwerdeverfahren formlos einzustellen und der Beschwerdeführer davon zu verständigen. Verspätete Äußerungen sind nicht zu berücksichtigen.“

56. Nach § 31 wird der folgende § 31a samt Überschrift eingefügt:

„Begleitende Maßnahmen im Beschwerdeverfahren

§ 31a. (1) Sofern sich eine zulässige Beschwerde nach § 31 Abs. 2 auf eine meldepflichtige Datenanwendung (Datei) bezieht, hat die Datenschutzkommission die Erfüllung der Meldepflicht zu überprüfen und erforderlichenfalls nach den §§ 22 und 22a vorzugehen.

(2) Ist in einem Verfahren nach § 31 Abs. 2 über die Richtigkeit von Daten strittig, so ist vom Beschwerdegegner bis zum Abschluss des Verfahrens ein Bestreitungsvermerk anzubringen. Erforderlichenfalls hat dies die Datenschutzkommission mit Mandatsbescheid anzuordnen.

(3) Beruft sich ein Auftraggeber des öffentlichen Bereichs bei einer Beschwerde wegen Verletzung des Auskunfts-, Richtigstellungs- oder Löschungsrechts gegenüber der Datenschutzkommission auf die §§ 26 Abs. 5 oder 27 Abs. 5, so hat diese nach Überprüfung der Notwendigkeit der Geheimhaltung die geschützten öffentlichen Interessen in ihrem Verfahren zu wahren. Kommt sie zur Auffassung, dass die Geheimhaltung von verarbeiteten Daten gegenüber dem Betroffenen nicht gerechtfertigt war, ist die Offenlegung der Daten mit Bescheid aufzutragen. Gegen diese Entscheidung der Datenschutzkommission kann die belangte Behörde Beschwerde an den Verwaltungsgerichtshof erheben. Wurde keine derartige Beschwerde eingebracht und wird dem Bescheid der Datenschutzkommission binnen acht Wochen nicht entsprochen, so hat die Datenschutzkommission die Offenlegung der Daten gegenüber dem Betroffenen selbst vorzunehmen und ihm die verlangte Auskunft zu erteilen oder ihm mitzuteilen, welche Daten bereits berichtigt oder gelöscht wurden. Die ersten beiden Sätze gelten in Verfahren nach § 30 sinngemäß.“

57. § 32 Abs. 1 lautet:

„§ 32. (1) Ansprüche wegen Verletzung der Rechte einer natürlichen Person auf Geheimhaltung, auf Richtigstellung oder auf Löschung gegen Rechtsträger, die in Formen des Privatrechts eingerichtet sind, sind auf dem Zivilrechtsweg geltend zu machen, soweit diese Rechtsträger bei der behaupteten Verletzung nicht in Vollziehung der Gesetze tätig geworden sind.“

58. In § 32 Abs. 4 wird im ersten Satz das Wort „Betroffene“ durch das Wort „Kläger“ ersetzt. Im zweiten Satz wird die Wortfolge „Auftraggeber oder der Dienstleister“ durch das Wort „Beklagte“ ersetzt. Überdies wird nach dem Wort „Sitz“ die Wortfolge „oder eine Niederlassung“ eingefügt.

59. In § 32 Abs. 6 wird das Wort „Betroffener“ durch das Wort „Einschreiter (§ 30 Abs. 1)“ und das Wort „Betroffenen“ durch die Worte “natürlichen Personen“ ersetzt.

60. Nach § 32 Abs. 6 wird folgender Abs. 7 angefügt:

„(7) Anlässlich einer zulässigen Klage nach Abs. 1, die sich auf eine nach Ansicht des Gerichts meldepflichtige Datenanwendung bezieht, hat das Gericht bei der Datenschutzkommission die registrierte Meldung dieser Datenanwendung anzufordern. Erachtet das Gericht die Meldepflicht nach § 17 Abs. 1 als nicht erfüllt, so hat es dies begründet der Datenschutzkommission mitzuteilen, die erforderlichenfalls nach den §§ 22 und § 22a vorgeht.

61. In § 34 Abs. 1 wird das Wort „abzuweisen“ durch das Wort „zurückzuweisen“ ersetzt.

62. § 34 Abs. 3 lautet:

„(3) Ist ein von der Datenschutzkommission zu prüfender Sachverhalt gemäß § 3 nach der Rechtsordnung eines anderen Vertragsstaates des Europäischen Wirtschaftsraumes zu beurteilen, so kann die Datenschutzkommission die zuständige ausländische Datenschutzkontrollstelle um Unterstützung ersuchen.“

63. In § 34 Abs. 4 wird die Wortfolge „Mitgliedstaaten der Europäischen Union“ durch „Vertragsstaaten des Europäischen Wirtschaftsraumes“ ersetzt.

64. In § 36 Abs. 3 wird das Wort „Bundesbeamten“ durch das Wort „Bundesbediensteten“ ersetzt.

65. Nach § 36 Abs. 3 wird der folgende Abs. 3a eingefügt:

„(3a) Die Mitglieder der Datenschutzkommission üben diese Funktion neben ihnen sonst obliegenden beruflichen Tätigkeiten aus.“

66. § 36 Abs. 6 werden die folgenden Sätze angefügt:

„Die Mitgliedschaft des richterlichen Mitglieds sowie des Mitglieds aus dem Kreis der rechtskundigen Bundesbediensteten endet auch, wenn diese aus ihren Dienstverhältnissen zum Bund ausscheiden, in den Ruhestand übertreten oder in den Ruhestand versetzt werden. Bei Richtern steht dem Ausscheiden eine Dienstzuteilung nach § 78 des Richterdienstgesetzes, BGBl Nr. 305/1961, gleich. Die Mitgliedschaft der übrigen Mitglieder endet am 31. Dezember des Jahres, in dem sie das 65. Lebensjahr vollenden.“

67. § 36 Abs. 9 lautet:

„(9) Die Mitglieder und Ersatzmitglieder der Datenschutzkommission haben für die Anreise zu den Sitzungen der Datenschutzkommission sowie für in Ausübung ihrer Funktion erforderliche sonstige Dienstreisen Anspruch auf Ersatz der Reisekosten (Gebührenstufe 3) durch den Bundeskanzler nach Maßgabe der für Bundesbedienstete geltenden Rechtsvorschriften. Sie haben ferner Anspruch auf eine dem Zeit und Arbeitsaufwand entsprechende Vergütung, die auf Antrag des Bundeskanzlers von der Bundesregierung durch Verordnung festzusetzen ist.“

68. (Verfassungsbestimmung) In § 38 Abs. 1 wird die Wortfolge „§ 20 Abs. 2 oder § 22 Abs. 3“ durch die Wortfolge „§ 22 Abs. 3 oder § 30 Abs. 6a“ ersetzt.

69. § 39 wird der folgende Abs. 5 angefügt:

„(5) Beschlüsse der Datenschutzkommission werden vom Vorsitzenden ausgefertigt.“

70. § 40 Abs. 1 und 2 lauten:

„§ 40. (1) Gegen Bescheide, die das geschäftsführende Mitglied der Datenschutzkommission gemäß § 22 Abs. 3 oder gemäß § 30 Abs. 6a in Verbindung mit § 38 Abs. 1 erlassen hat, ist die Vorstellung an die Datenschutzkommission gemäß § 57 Abs. 2 AVG zulässig. Eine Vorstellung gegen einen gemäß § 22 Abs. 3 ergangenen Bescheid hat aufschiebende Wirkung.

(2) Gegen Bescheide der Datenschutzkommission ist kein Rechtsmittel zulässig. Sie unterliegen nicht der Aufhebung oder Abänderung im Verwaltungsweg. Auftraggeber des öffentlichen Bereichs haben in Verfahren vor der Datenschutzkommission stets Parteistellung. Die Anrufung des Verwaltungsgerichtshofes durch die Parteien des Verfahrens ist zulässig. Dies gilt jedoch nicht für Auftraggeber des öffentlichen Bereichs als Beschwerdegegner im Verfahren nach § 31, es sei denn es ist durch besondere gesetzliche Regelung die Möglichkeit einer Amtsbeschwerde (Art. 131 Abs. 2 B‑VG) vorgesehen.“

71. § 42 Abs. 1 Z 1 lautet:

„1. Vertreter der politischen Parteien: Von der im Hauptausschuss des Nationalrates am stärksten vertretenen Partei sind vier Vertreter, von der am zweitstärksten vertretenen Partei sind drei Vertreter und von jeder anderen im Hauptausschuss des Nationalrates vertretenen Partei ist ein Vertreter in den Datenschutzrat zu entsenden, wobei es allein auf die Stärke im Zeitpunkt der Entsendung ankommt. Bei Mandatsgleichheit zweier Parteien im Hauptausschuss ist die Stimmenstärke bei der letzten Wahl zum Nationalrat ausschlaggebend;

72. § 42 Abs. 5 wird der folgende Satz angefügt:

„Mitglieder nach Abs. 1 Z 1 scheiden außerdem aus, sobald der Hauptausschuss nach den §§ 29 f des Geschäftsordnungsgesetzes 1975, BGBl Nr. 410, neu gewählt wurde, und sie nicht neuerlich entsendet werden.“

73. In § 46 Abs. 1 Z 2 werden die Worte „der Auftraggeber“ durch das Wort „er“ ersetzt. In § 46 Abs. 1 Z 3 werden die Worte „den Auftraggeber“ durch das Wort „ihn“ ersetzt.

74. In § 46 Abs. 2 entfällt die Wortfolge …, die nicht öffentlich zugänglich sind,“.

75. In § 46 Abs. 3 wird vor den Worten „zu erteilen“ die Wortfolge „auf Antrag des Auftraggebers der Untersuchung“ eingefügt. Das Wort „übermittelt“ wird durch das Wort „ermittelt“ und das Wort „Empfänger“ durch die Wortfolge „Auftraggeber der Untersuchung“ ersetzt.

76. Nach § 46 Abs. 3 wird der folgende Abs. 3a angefügt:

„(3a) Einem Antrag nach Abs. 3 ist jedenfalls eine vom Eigentümer der Datenbestände, aus denen die Daten ermittelt werden sollen, oder einem sonst darüber Verfügungsbefugten unterfertigte Erklärung anzuschließen, dass er dem Auftraggeber die Datenbestände für die Untersuchung zur Verfügung stellt. Anstelle dieser Erklärung kann auch ein diese Erklärung ersetzender Exekutionstitel (§ 367 Abs. 1 EO) vorgelegt werden.“

77. In § 47 Abs. 4 wird nach der Wortfolge „Die Datenschutzkommission hat“ die Wortfolge „auf Antrag eines Auftraggebers, der Adressdaten verarbeitet,“ eingefügt.

78. § 49 Abs. 3 wird der folgende Satz angefügt:

„§ 26 Abs. 2 bis 10 gilt sinngemäß.“

79. Nach § 50 Abs. 1 dritter Satz wird der folgende Satz eingefügt:

„Abgesehen von der abweichenden Frist gilt § 26 Abs. 3 bis 10 sinngemäß.“

80. § 50 Abs. 2 lautet:

„(2) Durch entsprechenden Rechtsakt können auch weitere Auftraggeberpflichten, insbesondere auch die Vornahme der Meldung des Informationsverbundsystems, auf den Betreiber übertragen werden. Soweit dies nicht durch Gesetz geschehen ist, ist dieser Pflichtenübergang gegenüber Dritten nur wirksam, wenn er – auf Grund einer entsprechenden Meldung an die Datenschutzkommission – aus der Registrierung im Datenverarbeitungsregister ersichtlich ist.“

81. Nach § 50 Abs. 2 wird der folgende Abs. 2a eingefügt:

„(2a) Wird ein Informationsverbundsystem auf Grund einer Meldung von zumindest zwei Auftraggebern registriert, so können Auftraggeber, die in der Folge die Teilnahme an dem Informationsverbundsystem anstreben, die Meldung im Umfang des § 19 Z 3 bis 8 auf einen Verweis auf den Inhalt der Meldung eines bereits registrierten Auftraggebers beschränken. Soweit sich ein solcher weiterer Auftraggeber anlässlich der Meldung ausdrücklich den Auflagen unterwirft, die die Datenschutzkommission anlässlich der Meldung, auf die er verweist, ausgesprochen hat, werden diese für ihn mit der Registrierung in gleicher Weise und mit gleicher Wirkung (§ 52 Abs. 1 Z 3) verbindlich und ist die Erlassung eines gesonderten Auflagenbescheides durch die Datenschutzkommission nicht erforderlich.“

82. Nach § 50 wird der folgende 9a. Abschnitt eingefügt:

„9a. Abschnitt
Videoüberwachung

Allgemeines

§ 50a. (1) Videoüberwachung bezeichnet die systematische, insbesondere fortlaufende Feststellung von Ereignissen, die ein bestimmtes Objekt („überwachtes Objekt“) betreffen, durch technische Bildaufnahmegeräte. Für derartige Überwachungen gelten die folgenden Absätze, sofern nicht durch andere Gesetze Besonderes bestimmt ist.

(2) Videoüberwachung sowie die Auswertung und Übermittlung der dabei ermittelten Daten darf vorbehaltlich des Abs. 5 nur zum Schutz der überwachten Objekte oder zur Beweissicherung im Hinblick auf Ereignisse nach Abs. 1 erfolgen.

(3) Ein Betroffener ist durch eine Videoüberwachung dann nicht in seinen schutzwürdigen Geheimhaltungsinteressen (§ 7 Abs. 2 Z 3) verletzt, wenn

           1. diese im lebenswichtigen Interesse einer Person erfolgt, oder

           2. Daten über ein Verhalten verarbeitet werden, das ohne jeden Zweifel den Schluss zulässt, dass es darauf gerichtet war, öffentlich wahrgenommen zu werden, oder

           3. er der Verwendung seiner Daten im Rahmen der Überwachung ausdrücklich zugestimmt hat, oder

           4. sich die Überwachung in einer bloßen Echtzeitwiedergabe von das überwachte Objekt betreffenden Ereignisse erschöpft, diese also weder gespeichert (aufgezeichnet) noch in sonst einer anderen Form weiterverarbeitet werden, und sie zum Zweck des Schutzes von Leib, Leben oder Eigentum des Auftraggebers erfolgt, oder

           5. bestimmte Tatsachen die Annahme rechtfertigen, das überwachte Objekt könnte das Ziel oder der Ort eines gefährlichen Angriffes im Sinn von § 16 Abs. 1 Z 1 des Sicherheitspolizeigesetzes (SPG), BGBl. Nr. 566/1991 in der jeweils geltenden Fassung, werden. Als bestimmte Tatsache ist es insbesondere anzusehen, wenn

                a) das überwachte Objekt bereits einmal Ziel oder Ort eines gefährlichen Angriffs war und eine Wiederholung wahrscheinlich ist. Zu berücksichtigen sind jedenfalls nur gefährliche Angriffe, die sich innerhalb der vergangenen zehn Jahre ereignet haben. Ist für die dem gefährlichen Angriff zu Grunde liegende gerichtlich strafbare Handlung (§ 16 Abs. 2 SPG) nach § 57 des Strafgesetzbuches (StGB), BGBl Nr. 60/1974 in der jeweils geltenden Fassung, eine kürzere Verjährungsfrist vorgesehen, so sind nur gefährliche Angriffe innerhalb dieser Frist relevant. § 58 StGB hat dabei außer Betracht zu bleiben, oder

               b) das überwachte Objekt eine Person mit überdurchschnittlichem Bekanntheitsgrad in der Öffentlichkeit oder ein Aufenthaltsort einer derartigen Person ist, oder

                c) das überwachte Objekt ein verfassungsmäßiges Organ oder dessen Aufenthaltsort ist, oder

               d) das überwachte Objekt ein beweglicher Gegenstand mit Geldwert von mehr als EUR 100.000,-- oder ein Aufenthaltsort derartiger Gegenstände ist, oder

                e) das überwachte Objekt ein Gegenstand von überdurchschnittlichem künstlerischem Wert ist,

oder

           6. unmittelbar anwendbare Rechtsvorschriften des Völker- oder des Gemeinschaftsrechts, Gesetze, Verordnungen, Bescheide oder gerichtliche Entscheidungen dem Auftraggeber spezielle Sorgfaltspflichten zum Schutz der überwachten Objekte auferlegen, oder

           7. die Videoüberwachung zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche des Auftraggebers vor einem Gericht im Sinn von Art. 234 EGV erforderlich ist.

(4) Abs. 3 Z 4 bis 7 sind für Auftraggeber des öffentlichen Bereichs bei Wahrnehmung ihrer hoheitlichen Aufgaben nicht anwendbar. Außerdem dürfen mit einer Videoüberwachung nach Abs. 3 Z 4 bis 7 nicht Ereignisse an Orten festgestellt werden, die zum höchstpersönlichen Lebensbereich eines Betroffenen zählen.

(5) Schutzwürdige Geheimhaltungsinteressen Betroffener sind auch dann nicht verletzt, wenn durch Videoüberwachung aufgezeichnete Daten über eine Verwendung entsprechend den Abs. 2 und 3 hinaus an die zuständige Behörde oder das zuständige Gericht übermittelt werden, weil beim Auftraggeber der begründete Verdacht entstanden ist, die Daten könnten

           1. eine von Amts wegen zu verfolgende gerichtlich strafbare Handlung dokumentieren, oder

           2. der Abwehr oder Beendigung eines gefährlichen Angriffs dienen,

auch wenn sich die Handlung oder der Angriff nicht gegen das überwachte Objekt richtet. Die Befugnisse von Behörden und Gerichten zur Durchsetzung der Herausgabe von Beweismaterial und zur Beweismittelsicherung sowie damit korrespondierende Verpflichtungen des Auftraggebers bleiben unberührt.

(6) Mit einer Videoüberwachung gewonnene Daten von Betroffenen dürfen nicht automationsunterstützt mit anderen Bilddaten abgeglichen und nicht nach sensiblen Daten als Auswahlkriterium durchsucht werden.

(7) Im Übrigen gelten auch für Videoüberwachung die §§ 6 und 7, insbesondere der Verhältnismäßigkeitsgrundsatz (§ 7 Abs. 3).

Besondere Protokollierungs- und Löschungspflicht

§ 50b. (1) Jeder Verwendungsvorgang einer Videoüberwachung ist zu protokollieren.

(2) Aufgezeichnete Daten sind, sofern sie nicht aus konkretem Anlass für die Verwirklichung der zu Grunde liegenden Schutz- oder Beweissicherungszwecke oder für Zwecke nach § 50a Abs. 5 benötigt werden, spätestens nach 48 Stunden zu löschen. Die Datenschutzkommission hat auf Antrag des Auftraggebers eine längere Aufbewahrung zu genehmigen, wenn dies aus besonderen Gründen zur Zweckerreichung regelmäßig erforderlich ist. Ein solcher Antrag ist bei meldepflichtigen Videoüberwachungen tunlichst mit der Meldung zu verbinden.

Meldepflicht und Registrierungsverfahren

§ 50c. (1) Eine Videoüberwachung ist über § 17 Abs. 2 hinaus von der Meldepflicht ausgenommen, wenn

           1. § 50a Abs. 3 Z 4 erfüllt ist oder

           2. eine Speicherung (Aufzeichnung) nur auf einem analogen Speichermedium erfolgt.

(2) Meldepflichtige Überwachungen unterliegen stets der Vorabkontrolle (§ 18 Abs. 2). Bestimmte Tatsachen im Sinn von § 50a Abs. 1 Z 5 und die Anspruchsverfolgung nach § 50a Abs. 1 Z 7 müssen bei Erstattung der Meldung glaubhaft gemacht werden.

(3) Mehrere überwachte Objekte, für deren Videoüberwachung derselbe Auftraggeber eine gesetzliche Zuständigkeit oder rechtliche Befugnis (§ 7 Abs. 1) hat, können auf Grund ihrer gleichartigen Beschaffenheit oder ihrer räumlichen Verbundenheit in einer Meldung zusammengefasst werden, wenn sich diese auf die gleiche Rechtsgrundlage stützt.

Information durch Kennzeichnung

§ 50d. (1) Der Auftraggeber einer Videoüberwachung hat diese geeignet zu kennzeichnen. Die Kennzeichnung hat jedenfalls den Auftraggeber zu benennen und hat örtlich derart zu erfolgen, dass jeder potentiell Betroffene, der sich einem überwachten Objekt nähert, tunlichst die Möglichkeit hat, der Videoüberwachung auszuweichen.

(2) Die Kennzeichnung kann entfallen,

           1. wenn sie angesichts der Unwahrscheinlichkeit einer Beeinträchtigung der Betroffenenrechte oder der Beschaffenheit des überwachten Objekts, insbesondere dessen Mobilität, einerseits und der Kosten der Information aller Betroffenen andererseits einen unverhältnismäßigen Aufwand erfordern würde, oder

           2. im Fall einer Überwachung nach § 50a Abs. 3 Z 7, wenn dadurch die Gewinnung von Beweismitteln zur Anspruchsverfolgung vereitelt würde.

(3) Der beabsichtigte Entfall einer Kennzeichnung nach Abs. 2 ist bei meldepflichtigen Überwachungen in der Meldung an die Datenschutzkommission anzugeben. Wenn diese die Voraussetzungen nicht als gegeben erachtet, hat sie eine Kennzeichnung mit Bescheid anzuordnen.

Auskunftsrecht

§ 50e. (1) Abweichend von § 26 Abs. 1 ist dem Auskunftswerber, nachdem dieser den Zeitraum, in dem er möglicherweise von der Überwachung betroffen war, möglichst präzise benannt und seine Identität in geeigneter Form nachgewiesen hat, Auskunft über die zu seiner Person verarbeiteten Daten durch Übersendung einer Kopie der zu seiner Person verarbeiteten Daten in einem üblichen technischen Format zu gewähren. Alternativ kann der Auskunftswerber eine Einsichtnahme auf Lesegeräten des Auftraggebers verlangen, wobei ihm auch in diesem Fall die Ausfolgung einer Kopie zusteht. Die übrigen Bestandteile der Auskunft (verfügbare Informationen über die Herkunft, Empfänger oder Empfängerkreise von Übermittlungen, Zweck, Rechtsgrundlagen sowie allenfalls Dienstleister) sind auch im Fall der Überwachung schriftlich zu erteilen, wenn nicht der Auskunftswerber einer mündlichen Auskunftserteilung zustimmt.

(2) § 26 Abs. 2 ist mit der Maßgabe anzuwenden, dass in dem Fall, dass eine Auskunft wegen überwiegender berechtigter Interessen Dritter nicht in der in Abs. 1 geregelten Form erteilt werden kann, der Auskunftswerber Anspruch auf eine schriftliche Beschreibung seines von der Überwachung verarbeiteten Verhaltens hat.“

83. In § 55 wird der Ausdruck „§ 2 Abs. 3 BGBlG, BGBl Nr. 660/1996“ durch den Ausdruck „§ 4 des Bundesgesetzblattgesetzes, BGBl. I Nr. 100/2003“ ersetzt.

84. § 58 wird aufgehoben.

85. (Verfassungsbestimmung) § 60 Abs. 1 zweiter Satz lautet:

„§ 1, § 2, § 3 Abs. 1 und 2 sowie § 38 Abs. 1 in der Fassung der Novelle BGBl I Nr. xxx/2008 treten am 1. Juli 2008 in Kraft.“

86. Nach § 60 Abs. 3 werden folgende Abs. 4 und 5 angefügt:

„(4) Das Inhaltsverzeichnis, die Überschrift und Absatzgliederung von § 4, § 4 Abs. 1 Z 3 bis 5, § 4 Abs. 1 Z 7 bis 9, § 4 Z 11 und 12, § 4 Abs. 2, § 8 Abs. 1 und 2, § 8 Abs. 3 Z 2 und 5, § 8 Abs. 4, § 9 Z 4 und 9, § 12 Abs. 1, § 16 Abs. 1 und 3, § 17 Abs. 1 bis 1b, § 18 samt Überschrift, § 19 Abs. 1 Z 3a, die §§ 20 bis 22 samt Überschriften, § 22a Abs. 1 bis 5 samt Überschrift, § 26 Abs. 1 bis 8, § 26 Abs. 10, § 27 Abs. 9, § 28 Abs. 3, § 30 Abs. 2a und Abs. 5 bis 6a, die §§ 31 und 31a samt Überschriften, § 32 Abs. 1, 4, 6 und 7, § 34 Abs. 3 und 4, § 36 Abs. 3, 3a, 6 und 9, § 39 Abs. 5, § 40 Abs. 1 und 2, § 42 Abs. 1 Z 1, § 42 Abs. 5, § 46 Abs. 1 bis 3a, § 47 Abs. 4, § 49 Abs. 3, § 50 Abs. 1 bis 2a, der 9a. Abschnitt sowie § 55 in der Fassung der Novelle BGBl I Nr. xxx/2008 treten am 1. März 2008 in Kraft. Gleichzeitig treten § 4 Abs. 1 Z 10, § 13 Abs. 3 und § 58 außer Kraft.

(5) § 15a, § 19 Abs. 1 Z 8, § 22a Abs. 6 und § 30 Abs. 1a in der Fassung der Novelle BGBl I Nr. xxx/2008 treten am 1. Juli 2009 in Kraft.“

87. § 61 Abs. 6 lautet:

„(6) Videoüberwachungen, die vor dem Inkrafttreten der §§ 50a bis 50e registriert wurden, sind bis zum 1. Juli 2010 auch dann rechtmäßig, wenn sie den am 30. Juni 2008 geltenden datenschutzrechtlichen Bestimmungen genügen.“

88. Nach § 61 Abs. 7 werden folgende Abs. 8 und 9 angefügt:

„(8) Die Angaben zum betrieblichen Datenschutzbeauftragten (§ 19 Abs. 1 Z 8) sind der Datenschutzkommission bei vor dem 1. Juli 2009 registrierten Datenanwendungen anlässlich der ersten über eine Streichung hinausgehenden Änderungsmeldung zu melden, die ab diesem Datum erstattet wird. Eine Meldung allein im Hinblick auf § 19 Abs. 1 Z 8 ist nicht erforderlich.

(9) Die Verordnung nach § 16 Abs. 3 ist vom Bundeskanzler nach Maßgabe der technischen Möglichkeiten des Datenverarbeitungsregisters bis spätestens zum 1. Jänner 2011 neu zu erlassen. Bis zum Inkrafttreten dieser Verordnung sind die §§ 16 bis 22, § 30 Abs. 6 sowie § 40 Abs. 1 in der Fassung vor der Novelle BGBl I Nr. xxx/2008 anzuwenden; § 22a, § 30 Abs. 2a und 6a, § 31a Abs. 1 sowie § 32 Abs. 7 sind bis dahin nicht anzuwenden. Die Erklärung, ob eine Datenanwendung einen oder mehrere der in § 18 Abs. 2 Z 1 bis 4 genannten Tatbestände erfüllt (§ 19 Abs. 1 Z 3a), sind der Datenschutzkommission bei im Zeitpunkt des Inkrafttretens der neuen Verordnung nach § 16 Abs. 3 registrierten Datenanwendungen anlässlich der ersten über eine Streichung hinausgehenden Änderungsmeldung zu melden, die nach diesem Zeitpunkt erstattet wird. Eine Meldung allein im Hinblick auf § 19 Abs. 1 Z 3a ist nicht erforderlich.“

89. (Verfassungsbestimmung) Nach § 61 Abs. 9 wird der folgende Abs. 10 eingefügt:

„(10) (Verfassungsbestimmung) Bis zur Neuerlassung der Verordnung nach § 16 Abs. 3 ist auch § 38 Abs. 1 in der Fassung vor der Novelle BGBl I Nr. xxx/2008 anzuwenden.“