Inhalt

Meldung beim Datenverarbeitungsregister

Für meldepflichtige Datenanwendungen muss vor Inbetriebnahme der Anwendung eine Meldung an das Datenverarbeitungsregister (DVR) erstattet werden.

DVR-Meldungen vor Gültigkeit der EU-Datenschutz-Grundverordnung

Die EU-Datenschutz-Grundverordnung ist ab dem 25. Mai 2018 gültig. Ab diesem Zeitpunkt entfällt die Verpflichtung zur Erstattung von DVR-Meldungen an die Datenschutzbehörde und es obliegt einem datenschutzrechtlichen Auftraggeber (künftig: "dem für die Verarbeitung Verantwortlichen") unter gewissen in Artikel 30 DSGVO genannten Voraussetzungen die eigenen Datenanwendungen in einem eigenen Verzeichnis zu verwalten sowie in bestimmten Fällen sogenannte Datenschutz-Folgeabschätzungen im Sinne des Artikel 35 DSGVO zur Beurteilung der Rechtmäßigkeit von bestimmten Datenverwendungen durchzuführen.

DVR-Meldungen, welche vor Gültigkeit der EU-Datenschutz-Grundverordnung bei der Datenschutzbehörde eingebracht werden, entbinden den für die Verarbeitung Verantwortlichen künftig nicht von der Verpflichtung zum Führen einer Liste seiner Datenanwendungen ("Verzeichnis von Verarbeitungstätigkeiten").

Für bereits existierende Verarbeitungsvorgänge (Datenanwendungen) ist grundsätzlich keine Datenschutz-Folgenabschätzung durchzuführen, wenn diese Verarbeitungsvorgänge durch die Datenschutzbehörde bereits zu einem früheren Zeitpunkt im Zuge einer DVR-Registrierung im Rahmen eines Vorabkontrollverfahrens gemäß § 18 Datenschutzgesetz 2000 (DSG 2000) genehmigt wurden. Bei der automatischen Registrierung über DVR-Online oder in Fällen, in denen die Datenschutzbehörde eine Datenanwendung registriert hat, jedoch kein Fall der Vorabkontrolle vorgelegen ist -  das betrifft nichtvorabkontrollpflichtige Meldungen vor dem 1. September 2012 - kommt dies hingegen nicht in Betracht.

Kommt es jedoch zu einer Änderung bestehender Verarbeitungsvorgänge, ist sehr wohl eine Datenschutz-Folgenabschätzung durchzuführen, wenn die Voraussetzungen des Art. 35 (1) DSGVO zutreffen.

Generell wird empfohlen, bereits existierende Datenverarbeitungsvorgänge einer regelmäßigen Evaluierung zu unterziehen, ob sich Voraussetzungen geändert haben. Bejahendenfalls wäre - bei Vorliegen aller Voraussetzungen - eine Datenschutz-Folgenabschätzung durchzuführen. Überdies wird empfohlen, auch zu dokumentieren, aus welchen Gründen keine Datenschutz-Folgenabschätzung durchgeführt wurde.

Allgemeines

Nach den Bestimmungen des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr 165/1999 idgF, hat jeder Auftraggeber vor Aufnahme einer (meldepflichtigen) Datenanwendung eine Meldung an das Datenverarbeitungsregister zu erstatten.

Die Meldepflicht betrifft nur personenbezogene Daten. Das sind Angaben über Betroffene, deren Identität bestimmt oder bestimmbar ist.

Der Auftraggeber ist derjenige, der die Entscheidung trifft, Daten für einen bestimmten Zweck zu verarbeiten (§ 4 Z 4 DSG 2000). In der Regel wird jedes Unternehmen, jeder Verein und jede Behörde Auftraggeber für die eigenen Datenanwendungen sein.

Eine Datenanwendung liegt vor, wenn zur Erreichung eines inhaltlich bestimmten Zweckes personenbezogene Daten zur Gänze oder auch nur teilweise automationsunterstützt geordnet sind. In bestimmten Sonderfällen sind auch manuell geführte Dateien (Karteisysteme) meldepflichtig zum Beispiel bei Gesundheitsdateien.

Für die Meldepflicht sind der Zweck (zum Beispiel Schulungswesen im Rahmen der Personalverwaltung, Versicherungsvermittlung, Videoüberwachung), die Betroffenenkreise (etwa Mitarbeiter, Kunden), die verarbeiteten Datenarten (beispielsweise Name, Geburtsdatum, Anschrift, Bilddaten) und die Kreise von Übermittlungsempfängern (zum Beispiel Banken, Vertragspartner, Behörden) der Datenanwendung relevant. Die Art der eingesetzten Hard- und Software ist grundsätzlich bedeutungslos.

Eine Datenanwendung dient einem bestimmten Zweck und ist dabei nicht notwendigerweise identisch mit einem bestimmten Programm. Bei der Führung einer Datenanwendung für "Personalverwaltung" ist es für die Meldepflicht unbedeutend, ob das Unternehmen ein Softwarepaket für die Personalverwaltung benützt oder getrennte Programme für Lohnbuchhaltung und Zeitverwaltung einsetzt.

Nachträgliche Veränderungen, durch die die Meldung unrichtig wird (zum Beispiel neue Datenarten, andere Übermittlungsempfänger), verpflichten, eine entsprechende Änderungsmeldung einzubringen.

Bitte beachten Sie, dass gemäß § 52 Abs. 2 Z 1 DSG 2000 eine Verletzung der Meldepflicht von der Bezirksverwaltungsbehörde mit einer Verwaltungsstrafe von bis zu 10 000 Euro geahndet werden kann.

Wann besteht Meldepflicht?

Grundsätzlich hat jeder Auftraggeber jede Anwendung zu melden; die Ausnahme sind in § 17 Abs. 2 DSG 2000 aufgezählt.

Nicht meldepflichtig sind Datenanwendungen, die ausschließlich veröffentlichte Daten enthalten (zum Beispiel Grundbuch, Firmenbuch, in Medien veröffentlichte Bilanzdaten). Datenanwendungen, die von natürlichen Personen ausschließlich für persönliche oder familiäre Tätigkeiten vorgenommen werden, sind auch nicht meldepflichtig, also zum Beispiel ein Organizer mit privaten Telefonnummern.

Eine weitere Ausnahme von der Meldepflicht besteht für Anwendungen, die einer Standardanwendung entsprechen. Eine Standardanwendung ist wie eine Meldung beim Datenverarbeitungsregister aufgebaut, ist in einer Verordnung abgebildet und ersetzt die Meldung. Bitte prüfen Sie, ob eine Standardanwendung auf Ihren Fall zutrifft, bevor Sie sich darauf berufen.

Die geltenden Standardanwendungen sind in den Anlagen zur Standard- und Muster-Verordnung 2004 (StMV 2004), BGBl. II Nr. 312/2004, enthalten.

Die folgenden Standardanwendungen sind die wichtigsten für Unternehmen:

  • SA001 Rechnungswesen und Logistik (Kunden-/Lieferantenverkehr
  • SA002 Personalverwaltung für privatrechtliche Dienstverhältnisse
  • SA003 Mitgliederverwaltung (von Vereinen)
  • SA007 Verwaltung von Benutzerkennzeichen
  • SA022 Kundenbetreuung und Marketing für eigene Zwecke
  • SA032 Verschiedene Videoüberwachungen

Wie soll ich melden?

Seit dem 1. September 2012 müssen alle Meldungen über die Anwendung DVR-Online erstattet werden. Lediglich meldepflichtige manuelle Dateien dürfen weiterhin auf herkömmlichen Weg (E-Mail, Post) gemeldet werden. Näheres dazu finden sie auf der Seite DVR-Online.

Rechtsgrundlagen:

  • § 17 Abs. 1a DSG 2000
  • DVR-Verordnung

Bitte machen Sie sich mit den Möglichkeiten zur Anmeldung vertraut. Sie benötigen dazu entweder einen Zugang über das Unternehmensserviceportal, das Bürgerkartenportal oder über den Behördenportalverbund.

Hinweis zur erstmaligen Meldung eines Informationsverbundsystems (IVS-Erstmeldung)

Die Meldung eines neuen Informationsverbundsystems im Sinne des § 4 Z 13 DSG 2000 ("IVS-Erstmeldung") über DVR-Online ist nicht möglich. Wenn sie ein Informationsverbundsystem erstmalig melden wollen, wenden Sie sich bitte unter dsb@dsb.gv.at an das Datenverarbeitungsregister.

Bitte beachten Sie Bevor Sie eine IVS-Erstmeldung durchführen, fragen Sie in der IVS-Recherche in DVR-Online ab, ob dieses IVS bereits existiert. Wenn ja, können sich dort diesem IVS zuordnen.

Hinweis Videoüberwachungen sind kein Informationsverbundsystem

Was kostet die Meldung?

Für die Meldung fallen gemäß § 53 DSG 2000 keine Gebühren an.

Wann darf eine meldepflichtige Datenanwendung aufgenommen werden?

Eine meldepflichtige Datenanwendung darf grundsätzlich unmittelbar nach Abgabe der Meldung beim Datenverarbeitungsregister aufgenommen werden. Sofern eine solche Datenanwendung jedoch sensible Daten (zum Beispiel Gesundheitsdaten) oder strafrechtlich relevante Daten enthält oder die Auskunftserteilung über die Kreditwürdigkeit der Betroffenen zum Zweck hat oder in Form eines Informationsverbundsystems durchgeführt werden soll, darf sie erst nach ihrer Prüfung durch die Datenschutzbehörde aufgenommen werden. Sofern die Datenschutzbehörde jedoch innerhalb von zwei Monaten keinen Auftrag zur Verbesserung erteilt, darf die Verarbeitung aufgenommen werden.

Wer kann die Meldung sehen?

Gemäß § 16 Abs. 2 DSG 2000 kann jedermann in das Register online Einsicht nehmen. In den Registrierungsakt, einschließlich darin allenfalls enthaltener Genehmigungsbescheide, ist Einsicht zu gewähren, wenn der Einsichtswerber glaubhaft macht, dass er Betroffener ist  und nicht überwiegende schutzwürdige Geheimhaltungsinteressen des Auftraggebers oder anderer Personen dem entgegenstehen.