Bundesgesetz, mit dem das Datenschutzgesetz 2000 geändert wird (Datenschutz-Anpassungsgesetz 2018)
120. Bundesgesetz, mit dem das Datenschutzgesetz 2000 geändert wird (Datenschutz-Anpassungsgesetz 2018) Der Nationalrat hat beschlossen:
Das Bundesgesetz über den Schutz personenbezogener Daten (Datenschutzgesetz 2000 ? DSG 2000), BGBl. I Nr. 165/1999, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 83/2013 und die Kundmachung BGBl. I Nr. 132/2015, wird wie folgt geändert:
1. Der Titel lautet:
?Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz ? DSG)?
2. Die Einträge zu Art. 2 im Inhaltsverzeichnis lauten:
| ?Artikel 2 | |
| 1. HauptstückDurchführung der Datenschutz-Grundverordnung und ergänzende Regelungen | |
| 1. AbschnittAllgemeine Bestimmungen | |
| § 4. | Anwendungsbereich und Durchführungsbestimmung |
| § 5. | Datenschutzbeauftragter |
| § 6. | Datengeheimnis |
| 2. AbschnittDatenverarbeitungen zu spezifischen Zwecken | |
| § 7. | Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke |
| § 8. | Zurverfügungstellung von Adressen zur Benachrichtigung und Befragung von betroffenen Personen |
| § 9. | Freiheit der Meinungsäußerung und Informationsfreiheit |
| § 10. | Verarbeitung personenbezogener Daten im Katastrophenfall |
| § 11. | Verarbeitung personenbezogener Daten im Beschäftigungskontext |
| 3. AbschnittBildverarbeitung | |
| § 12. | Zulässigkeit der Bildaufnahme |
| § 13. | Besondere Datensicherheitsmaßnahmen und Kennzeichnung |
| 2. HauptstückOrgane | |
| 1. AbschnittDatenschutzrat | |
| § 14. | Einrichtung und Aufgaben |
| § 15. | Zusammensetzung |
| § 16. | Vorsitz und Geschäftsführung |
| § 17. | Sitzungen und Beschlussfassung |
| 2. AbschnittDatenschutzbehörde | |
| § 18. | Einrichtung |
| § 19. | Unabhängigkeit |
| § 20. | Leiter der Datenschutzbehörde |
| § 21. | Aufgaben |
| § 22. | Befugnisse |
| § 23. | Tätigkeitsbericht und Veröffentlichung von Entscheidungen |
| 3. AbschnittRechtsbehelfe, Haftung und Sanktionen | |
| § 24. | Beschwerde an die Datenschutzbehörde |
| § 25. | Begleitende Maßnahmen im Beschwerdeverfahren |
| § 26. | Verantwortliche des öffentlichen und des privaten Bereichs |
| § 27. | Beschwerde an das Bundesverwaltungsgericht |
| § 28. | Vertretung von betroffenen Personen |
| § 29. | Haftung und Recht auf Schadenersatz |
| § 30. | Allgemeine Bedingungen für die Verhängung von Geldbußen |
| 4. AbschnittAufsichtsbehörde nach der Richtlinie (EU) 2016/680 | |
| § 31. | Datenschutzbehörde |
| § 32. | Aufgaben der Datenschutzbehörde |
| § 33. | Befugnisse der Datenschutzbehörde |
| § 34. | Allgemeine Bestimmungen |
| 5. AbschnittBesondere Befugnisse der Datenschutzbehörde | |
| § 35. | |
| 3. HauptstückVerarbeitung personenbezogener Daten für Zwecke der Sicherheitspolizei einschließlich des polizeilichen Staatsschutzes, des militärischen Eigenschutzes, der Aufklärung und Verfolgung von Straftaten, der Strafvollstreckung und des Maßnahmenvollzugs | |
| 1. AbschnittAllgemeine Bestimmungen | |
| § 36. | Anwendungsbereich und Begriffsbestimmungen |
| § 37. | Grundsätze für die Datenverarbeitung, Kategorisierung und Datenqualität |
| § 38. | Rechtmäßigkeit der Verarbeitung |
| § 39. | Verarbeitung besonderer Kategorien personenbezogener Daten |
| § 40. | Verarbeitung für andere Zwecke und Übermittlung |
| § 41. | Automatisierte Entscheidungsfindung im Einzelfall |
| 2. AbschnittRechte der betroffenen Person | |
| § 42. | Grundsätze |
| § 43. | Information der betroffenen Person |
| § 44. | Auskunftsrecht der betroffenen Person |
| § 45. | Recht auf Berichtigung oder Löschung personenbezogener Daten und auf Einschränkung der Verarbeitung |
| 3. AbschnittVerantwortlicher und Auftragsverarbeiter | |
| § 46. | Pflichten des Verantwortlichen |
| § 47. | Gemeinsam Verantwortliche |
| § 48. | Auftragsverarbeiter und Aufsicht über die Verarbeitung |
| § 49. | Verzeichnis von Verarbeitungstätigkeiten |
| § 50. | Protokollierung |
| § 51. | Zusammenarbeit mit der Datenschutzbehörde |
| § 52. | Datenschutz-Folgenabschätzung |
| § 53. | Vorherige Konsultation der Datenschutzbehörde |
| § 54. | Datensicherheitsmaßnahmen |
| § 55. | Meldung von Verletzungen an die Datenschutzbehörde |
| § 56. | Benachrichtigung der betroffenen Person von Verletzungen |
| § 57. | Benennung, Stellung und Aufgaben des Datenschutzbeauftragten |
| 4. AbschnittÜbermittlung personenbezogener Daten an Drittländer oder internationale Organisationen | |
| § 58. | Allgemeine Grundsätze für die Übermittlung personenbezogener Daten |
| § 59. | Datenübermittlung an Drittländer oder internationale Organisationen |
| § 60. | Inkrafttreten |
| § 61. | Übergangsbestimmungen |
| 4. HauptstückBesondere Strafbestimmungen | |
| § 62. | Verwaltungsstrafbestimmung |
| § 63. | Datenverarbeitung in Gewinn- oder Schädigungsabsicht |
| 5. HauptstückSchlussbestimmungen | |
| § 64. | Durchführung und Umsetzung von Rechtsakten der EU |
| § 65. | Sprachliche Gleichbehandlung |
| § 66. | Erlassung von Verordnungen |
| § 67. | Verweisungen |
| § 68. | Vollziehung |
| § 69. | Übergangsbestimmungen |
| § 70. | Inkrafttreten? |
3. Im Art. 2 entfallen der 1., 2., 3., 4., 5. und 6. Abschnitt, die Bezeichnung und die Überschrift des 7. Abschnittes, die Überschrift zu § 35, die §§ 36 bis 44 samt Überschriften, der 8., 9., 9a. und 10. Abschnitt, die Bezeichnung und die Überschrift des 11. Abschnittes, die §§ 53 bis 59 samt Überschriften, § 61 Abs. 1 bis 3 und 5 bis 10 sowie die §§ 62 bis 64 samt Überschriften.
4. Nach der Bezeichnung ?Artikel 2? werden folgendes 1. Hauptstück, folgende Bezeichnung und Überschrift des 2. Hauptstücks, folgender 1., 2., 3. und 4. Abschnitt sowie folgende Überschrift und Bezeichnung des 5. Abschnittes eingefügt:
?1. Hauptstück
Durchführung der Datenschutz-Grundverordnung und ergänzende Regelungen
1. Abschnitt
Allgemeine Bestimmungen
Anwendungsbereich und Durchführungsbestimmung
§ 4. (1) Die Bestimmungen der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, (im Folgenden: DSGVO) und dieses Bundesgesetzes gelten für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, soweit nicht die spezifischeren Bestimmungen des 3. Hauptstücks dieses Bundesgesetzes vorgehen.
(2) Kann die Berichtigung oder Löschung von automationsunterstützt verarbeiteten personenbezogenen Daten nicht unverzüglich erfolgen, weil diese aus wirtschaftlichen oder technischen Gründen nur zu bestimmten Zeitpunkten vorgenommen werden kann, so ist die Verarbeitung der betreffenden personenbezogenen Daten mit der Wirkung nach Art. 18 Abs. 2 DSGVO bis zu diesem Zeitpunkt einzuschränken.
(3) Die Verarbeitung von personenbezogenen Daten über gerichtlich oder verwaltungsbehördlich strafbare Handlungen oder Unterlassungen, insbesondere auch über den Verdacht der Begehung von Straftaten, sowie über strafrechtliche Verurteilungen oder vorbeugende Maßnahmen ist unter Einhaltung der Vorgaben der DSGVO zulässig, wenn
| 1. | eine ausdrückliche gesetzliche Ermächtigung oder Verpflichtung zur Verarbeitung solcher Daten besteht oder |
| 2. | sich sonst die Zulässigkeit der Verarbeitung dieser Daten aus gesetzlichen Sorgfaltspflichten ergibt oder die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten gemäß Art. 6 Abs. 1 lit. f DSGVO erforderlich ist, und die Art und Weise, in der die Datenverarbeitung vorgenommen wird, die Wahrung der Interessen der betroffenen Person nach der DSGVO und diesem Bundesgesetz gewährleistet. |
(4) Bei einem Angebot von Diensten der Informationsgesellschaft, das einem Kind direkt gemacht wird, ist die Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO zur Verarbeitung der personenbezogenen Daten des Kindes rechtmäßig, wenn das Kind das vierzehnte Lebensjahr vollendet hat.
(5) Soweit manuell, dh. ohne Automationsunterstützung geführte Dateien für Zwecke solcher Angelegenheiten bestehen, in denen die Zuständigkeit zur Gesetzgebung Bundessache ist, gelten sie als Datenverarbeitungen im Sinne der DSGVO und dieses Bundesgesetzes.
Datenschutzbeauftragter
§ 5. (1) Der Datenschutzbeauftragte und die für ihn tätigen Personen sind unbeschadet sonstiger Verschwiegenheitspflichten bei der Erfüllung der Aufgaben zur Geheimhaltung verpflichtet. Dies gilt insbesondere in Bezug auf die Identität betroffener Personen, die sich an den Datenschutzbeauftragten gewandt haben, sowie über Umstände, die Rückschlüsse auf diese Personen zulassen, es sei denn, es erfolgte eine ausdrückliche Entbindung von der Verschwiegenheit durch die betroffene Person. Der Datenschutzbeauftragte und die für ihn tätigen Personen dürfen die zugänglich gemachten Informationen ausschließlich für die Erfüllung der Aufgaben verwenden und sind auch nach Ende ihrer Tätigkeit zur Geheimhaltung verpflichtet.
(2) Erhält ein Datenschutzbeauftragter bei seiner Tätigkeit Kenntnis von Daten, für die einer der Kontrolle des Datenschutzbeauftragten unterliegenden Stelle beschäftigten Person ein gesetzliches Aussageverweigerungsrecht zusteht, steht dieses Recht auch dem Datenschutzbeauftragten und den für ihn tätigen Personen insoweit zu, als die Person, der das gesetzliche Aussageverweigerungsrecht zusteht, davon Gebrauch gemacht hat. Im Umfang des Aussageverweigerungsrechts des Datenschutzbeauftragten unterliegen seine Akten und andere Schriftstücke einem Sicherstellungs- und Beschlagnahmeverbot.
(3) Der Datenschutzbeauftragte im öffentlichen Bereich ist bezüglich der Ausübung seiner Aufgaben weisungsfrei. Das oberste Organ hat das Recht, sich über die Gegenstände der Geschäftsführung beim Datenschutzbeauftragten im öffentlichen Bereich zu unterrichten. Dem ist vom Datenschutzbeauftragten nur insoweit zu entsprechen, als dies nicht der Unabhängigkeit des Datenschutzbeauftragten im Sinne von Art. 38 Abs. 3 DSGVO widerspricht.
(4) Im Wirkungsbereich jedes Bundesministeriums sind unter Bedachtnahme auf Art und Umfang der Datenverarbeitungen sowie je nach Einrichtung des Bundesministeriums ein...
Um weiterzulesen
FORDERN SIE IHR PROBEABO AN