Information zur Meldung beim Datenverarbeitungsregister

Allgemeines

Nach den Bestimmungen des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr 165/1999 idgF., hat jeder Auftraggeber vor Aufnahme einer Datenanwendung eine Meldung an das Datenverarbeitungsregister bei der Datenschutzbehörde zu erstatten.

Die Meldepflicht betrifft nur personenbezogene Daten. Das sind Angaben über Betroffene, deren Identität bestimmt oder bestimmbar ist (die exakte Definition finden Sie in § 4 Z 1 DSG 2000).

Der Auftraggeber ist - einfach ausgedrückt - derjenige, der die Entscheidung trifft, Daten für einen bestimmten Zweck zu verarbeiten (§ 4 Z 4 DSG 2000). In der Regel wird jedes Unternehmen, jeder Verein und jede Behörde Auftraggeber für die eigenen Datenanwendungen sein.

Eine Datenanwendung liegt vor, wenn zur Erreichung eines inhaltlich bestimmten Zweckes personenbezogene Daten zur Gänze oder auch nur teilweise automationsunterstützt geordnet sind (§ 4 Z 7 DSG 2000). In bestimmten Sonderfällen sind auch manuell geführte Dateien (Karteisysteme) meldepflichtig zum Beispiel bei Gesundheitsdateien (§ 58 DSG 2000).

Für die Meldepflicht sind der Zweck (zum Beispiel Schulungswesen im Rahmen der Personalverwaltung, Versicherungsvermittlung), die Betroffenenkreise (etwa Mitarbeiter, Kunden), die verarbeiteten Datenarten (beispielsweise Geburtsdatum, Anschrift) und die Kreise von Übermittlungsempfängern (zum Beispiel Banken, Vertragspartner) der Datenanwendung relevant. Die Art der eingesetzten Hard- und Software ist grundsätzlich bedeutungslos.

Eine Datenanwendung dient einem bestimmten Zweck und ist dabei nicht notwendigerweise identisch mit einem bestimmten Programm. Es ist zum Beispiel möglich, eine Datenanwendung "Personalverwaltung" zu führen. Es ist dabei für die Meldepflicht unbedeutend, ob das Unternehmen ein Softwarepaket für die Personalverwaltung benützt oder getrennte Programme für Lohnbuchhaltung und Zeitverwaltung einsetzt.

Nachträgliche Veränderungen, durch die die Meldung unrichtig wird (zum Beispiel neue Datenarten, andere Übermittlungsempfänger), verpflichten, eine entsprechende Änderungsmeldung einzubringen.

Bitte beachten Sie, dass eine Verletzung der Meldepflicht mit einer Verwaltungsstrafe von bis zu 10 000 Euro geahndet werden kann (§ 52 Abs. 2 Z 1 DSG 2000).

Wann besteht Meldepflicht?

Prinzipiell hat jeder Auftraggeber jede Anwendung zu melden. Es bestehen aber Ausnahmen, die in § 17 Abs. 2 DSG 2000 aufgezählt sind.

Nicht meldepflichtig sind beispielsweise Datenanwendungen, die ausschließlich veröffentlichte Daten enthalten (zum Beispiel Grundbuch, Firmenbuch, in Medien veröffentlichte Bilanzdaten). Datenanwendungen, die von natürlichen Personen ausschließlich für persönliche oder familiäre Tätigkeiten vorgenommen werden, sind auch nicht meldepflichtig, also zum Beispiel ein Organizer mit privaten Telefonnummern.

Weiters besteht eine Ausnahme von der Meldepflicht für Anwendungen, die einer Standardanwendung entsprechen. Eine Standardanwendung ist wie eine Meldung beim Datenverarbeitungsregister aufgebaut, aber sie ist in einer Verordnung enthalten und ersetzt die sonst übliche Meldung. Bitte prüfen Sie, ob eine Standardanwendung auf Ihren Fall zutrifft, bevor Sie sich darauf berufen.

Die geltenden Standardanwendungen sind in den Anlagen zu Standard- und Muster-Verordnung 2004 (StMV 2004), BGBl. II Nr. 312/2004, enthalten. Die folgenden Standardanwendungen sind die wichtigsten für Unternehmen:

  • SA001 Rechnungswesen und Logistik
  • SA002 Personalverwaltung für privatrechtliche Dienstverhältnisse
  • SA007 Verwaltung von Benutzerkennzeichen
  • SA022 Kundenbetreuung und Marketing für eigene Zwecke

Wie soll ich melden?

Ab dem 1. September 2012 müssen alle Meldungen über die neue Anwendung DVR-Online erstattet werden. Lediglich meldepflichtige manuelle Dateien dürfen weiterhin auf herkömmlichen Weg (E-Mail, Post) gemeldet werden. Näheres dazu finden sie auf der Seite DVR-Online.

Rechtsgrundlagen:
§ 17 Abs. 1a DSG 2000
DVR-Verordnung

Bitte machen Sie sich jetzt schon mit den Möglichkeiten zur Anmeldung vertraut. Sie benötigen dazu entweder einen Zugang über das Unternehmensserviceportal, das Bürgerserviceportal oder – für Behörden – über den Behördenportalverbund.

Wichtiger Hinweis zur IVS-Erstmeldung:

Die Meldung eines neuen Informationsverbundsystems im Sinne des § 4 Z 13 DSG 2000 ("IVS-Erstmeldung") über DVR-Online ist zur Zeit nicht möglich. Wenn sie ein Informationsverbundsystem erstmalig melden wollen, wenden Sie sich bitte unter dsb@dsb.gv.at oder telefonisch unter (01) 53115/204043 an das Datenverarbeitungsregister.

Bitte beachten Sie: Bevor Sie eine IVS-Erstmeldung durchführen, fragen Sie in der IVS-Recherche in DVR-Online ab, ob dieses IVS bereits existiert. Sie können sich dort diesem IVS zuordnen. Videoüberwachungen stellen KEIN Informationsverbundsystem dar.

Was kostet die Meldung?

Für die Meldung fallen gemäß § 53 DSG 2000 keine Gebühren an.

Wann darf eine meldepflichtige Datenanwendung aufgenommen werden?

Eine meldepflichtige Datenanwendung darf grundsätzlich unmittelbar nach Abgabe der Meldung beim Datenverarbeitungsregister aufgenommen werden. Sofern eine solche Datenanwendung jedoch sensible Daten (zum Beispiel Gesundheitsdaten) oder strafrechtlich relevante Daten enthält oder die Auskunftserteilung über die Kreditwürdigkeit der Betroffenen zum Zweck hat oder in Form eines Informationsverbundsystems durchgeführt werden soll, darf sie erst nach ihrer Prüfung durch die Datenschutzbehörde aufgenommen werden. Sofern die Datenschutzbehörde jedoch innerhalb von zwei Monaten keinen Auftrag zur Verbesserung erteilt, darf die Verarbeitung aufgenommen werden.

Was ist eine DVR-Nummer?

Lesen Sie dazu unsere Seite zur DVR-Nummer.

Wer kann die Meldung sehen?

Gemäß § 16 Abs. 2 DSG 2000) kann jedermann in das Register online Einsicht nehmen. In den Registrierungsakt einschließlich darin allenfalls enthaltener Genehmigungsbescheide ist Einsicht zu gewähren, wenn der Einsichtswerber glaubhaft macht, daß er Betroffener ist, und soweit nicht überwiegende schutzwürdige Geheimhaltungsinteressen des Auftraggebers oder anderer Personen entgegenstehen.

Muss ich einen Datenschutzbeauftragten bestellen?

Nein. Die EU-Datenschutzrichtlinie 95/46/EG enthält in Artikel 18 Abs. 2 mehrere unterschiedliche Möglichkeiten für die Mitgliedsstaaten, die Meldepflicht zu vereinfachen. Der Datenschutzbeauftragte ist eine Option, die in Österreich nicht eingesetzt wurde. Stattdessen haben wir die Standard- und Musteranwendungen und auch andere Ausnahmen von der Meldepflicht (siehe oben).

Datenschutzbeauftragte sind nach dem deutschen Datenschutzrecht vorgeschrieben und werden daher oft in der deutschen Fachliteratur erwähnt.

Wann benötige ich eine Genehmigung für einen Datentransfer in das Ausland?

Soweit der Datenverkehr mit dem Ausland nicht genehmigungsfrei ist (vgl. § 12 DSG 2000), muss der Auftraggeber vor der Übermittlung oder Überlassung von Daten in das Ausland eine Genehmigung der Datenschutzbehörde einholen.

Die Übermittlung und Überlassung von Daten an Empfänger in Mitgliedstaaten der Europäischen Union ist gemäß § 12 Abs. 1 DSG 2000 allgemein genehmigungsfrei (Grundsatz des freien Datenverkehrs im Binnenmarkt).

Es gibt allerdings noch weitere Ausnahmen, darunter

  • eine Ausnahme für die Länder des Europäischen Wirtschaftsraumes (EWR), die nicht Mitglieder der EU sind (Island, Liechtenstein und Norwegen);
  • Ausnahmen auf Grund der Datenschutzangemessenheits-Verordnung (DSAV);
  • Ausnahmen der auf Grundlage von Standardanwendungen nach der Standard- und Muster-Verordnung 2004 (StMV 2004).

Kann ich eine Genehmigung gemäß §§ 13, 46 und 47 DSG 2000 über DVR-Online beantragen?

Nein. DVR-Online ist nur für Meldungen gemäß §§ 17ff DSG 2000 vorgesehen, nicht für andere Anträge.

Bringen Sie Ihren Antrag auf Genehmigung im Internationalen Datenverkehr (§ 13 DSG 2000), für wissenschaftliche Forschung und Statistik (§ 46 DSG 2000) oder Zurverfügungstellung von Adressen zur Benachrichtigung und Befragung von Betroffenen (§ 47 DSG 2000) schriftlich (auch Fax und E-Mail) bei der Datenschutzbehörde ein.