Gliederungszahl 0901-2 Titel NÖ Datenschutzgesetz Ausgabedatum 05.12.2013 NÖ Datenschutzgesetz 0901-0 Stammgesetz 116/00 2000-12-21 Blatt 1-19 [CELEX: 395L0046] 0901-1 1. Novelle 142/01 2001-10-31 Blatt 14, 18 0901-2 2. Novelle 119/13 2013-12-05 Blatt 1, 5, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19 Ausgegeben am05.12.2013 Jahrgang 2013119. Stück Der Landtag von Niederösterreich hat am 3. Oktober 2013 beschlossen: Änderung des NÖ Datenschutzgesetzes Artikel I Das NÖ Datenschutzgesetz, LGBl. 0901, wird wie folgt geändert: Artikel II Artikel I tritt am 1. Jänner 2014 in Kraft. Der Präsident:Penz Der Landeshauptmann:Pröll Inhaltsverzeichnis 1. Abschnitt: Allgemeines, Geltungsbereich, Begriffsbestimmungen § 1 Allgemeines § 2 Geltungsbereich § 3 Begriffsbestimmungen 2. Abschnitt: Verwendung von Daten § 4 Grundsätze § 5 Festlegung von Treu und Glauben § 6 Pflichten des Auftraggebers § 7 Zulässigkeit der Verwendung von Daten § 8 Schutzwürdige Geheimhaltungsinteressen bei Verwendung nichtsensibler Daten § 9 Schutzwürdige Geheimhaltungsinteressen bei Verwendung sensibler Daten § 10 Zulässigkeit der Überlassung von Daten zur Erbringung von Dienstleistungen § 11 Pflichten des Dienstleisters § 12 Genehmigungsfreie Übermittlung und Überlassung von Daten in das Ausland § 13 Genehmigungspflichtige Übermittlung und Überlassung von Daten ins Ausland 3. Abschnitt: Datensicherheit § 14 Datensicherheitsmaßnahmen § 15 Datengeheimnis § 16 Besondere Verwendungszwecke 4. Abschnitt: Publizität der Datenanwendungen § 17 Auskunftspflicht 5. Abschnitt: Aufnahme der Datenanwendung § 18 Vorabkontrolle § 19 Verfahren zur Vorabkontrolle 6. Abschnitt: Die Rechte des Betroffenen § 20 Auskunftsrecht § 21 Auskunftsverfahren § 22 Recht auf Richtigstellung oder Löschung § 23 Widerspruchsrecht § 24 Die Rechte des Betroffenen bei der Verwendung nur indirekt personenbezogener Daten 7. Abschnitt: Rechtsschutz § 25 Kontrollbefugnisse der Datenschutzbehörde § 26 Beschwerde an die Datenschutzbehörde § 27 Anrufung der Gerichte § 28 Schadenersatz § 29 Gemeinsame Bestimmungen 8. Abschnitt: Strafbestimmungen § 30 Verwaltungsstrafbestimmung 9. Abschnitt: Schluss- und Übergangsbestimmungen § 31 Mitteilungen an die Europäische Kommission und an die anderen Mitgliedstaaten der Europäischen Union § 32 Anhörungsverfahren, Berichtspflicht § 33 Datenanwendungen des Landtages § 34 Umgesetzte EG-Richtlinien § 35 Inkrafttreten § 36 Übergangsbestimmungen 1. Abschnitt Allgemeines, Geltungsbereich, Begriffsbestimmungen § 1 Allgemeines (1) Dieses Gesetz regelt die Angelegenheiten des Schutzes personenbezogener Daten im nicht automationsunterstützt geführten Datenverkehr. (2) Dieses Gesetz gilt nicht für Angelegenheiten, in denen die Gesetzgebung Bundessache ist. (3) Soweit in diesem Gesetz personenbezogene Bezeichnungen nur in männlicher oder weiblicher Form angeführt sind, beziehen sie sich auf Frauen und Männer in gleicher Weise. § 2 Geltungsbereich (1) Dieses Gesetz ist auf die im Rahmen des § 1 erfolgende Verwendung personenbezogener Daten in Niederösterreich anzuwenden. Dies gilt nicht für die Fälle des Abs. 3. (2) Auf die Verwendung personenbezogener Daten im Ausland ist dieses Gesetz anzuwenden, wenn die Verwendung * in anderen Mitgliedstaaten der Europäischen Union * für Zwecke einer in Niederösterreich gelegenen Haupt- oder Zweigniederlassung eines Auftraggebers geschieht. (3) Das Recht des Sitzstaates des Auftraggebers ist auf eine Datenanwendung in Niederösterreich anzuwenden, wenn * ein Auftraggeber des privaten Bereichs * mit Sitz in einem anderen Mitgliedstaat der Europäischen Union * personenbezogene Daten in Niederösterreich zu einem Zweck verwendet, der keiner in Niederösterreich gelegenen Niederlassung dieses Auftraggebers zuzurechnen ist. (4) Dieses Gesetz ist nicht anzuwenden auf * die Verwendung personenbezogener Daten durch natürliche Personen für ausschließlich persönliche oder familiäre Tätigkeiten; * die ausschließliche Durchfuhr personenbezogener Daten. § 3 Begriffsbestimmungen Im Sinne dieses Gesetzes gelten als: wenn sie allein oder gemeinsam mit anderen die Entscheidung getroffen haben, Daten für einen bestimmten Zweck zu verarbeiten (Z. 12). Dies unabhängig davon, ob sie die Verarbeitung selbst durchführen oder dazu einen anderen heranziehen. Als Auftraggeber gelten sie auch dann, wenn sie einem anderen Daten zur Herstellung eines von ihnen aufgetragenen Werkes überlassen, und der Auftragnehmer die Entscheidung trifft, diese Daten zu verarbeiten. Der Auftragnehmer gilt jedoch als Auftraggeber, wenn * ihm anlässlich der Auftragserteilung die Verarbeitung der überlassenen Daten ausdrücklich untersagt wurde oder * er die Entscheidung über die Art und Weise der Verwendung, insbesondere die Vornahme einer Verarbeitung der überlassenen Daten, auf Grund von Rechtsvorschriften, Standesregeln oder Verhaltensregeln gemäß § 5 eigenverantwortlich zu treffen hat; wenn sie Daten im Auftrag verwenden (Z. 11); durchgeführt werden; 2. Abschnitt Verwendung von Daten § 4 Grundsätze Daten dürfen nur § 5 Festlegung von Treu und Glauben (1) Für den privaten Bereich können * die gesetzlichen Interessenvertretungen, * die sonstigen Berufsverbände und * vergleichbare Einrichtungen mit Verhaltensregeln festlegen, was in einzelnen Bereichen als Verwendung von Daten nach Treu und Glauben anzusehen ist. (2) Solche Verhaltensregeln müssen vor ihrer Veröffentlichung * der Landesregierung zur Begutachtung vorgelegt werden und * von der Landesregierung als mit den Bestimmungen dieses Gesetzes übereinstimmend erachtet werden. § 6 Pflichten des Auftraggebers (1) Der Auftraggeber trägt bei jeder seiner Datenanwendungen die Verantwortung für die Einhaltung der in § 4 genannten Grundsätze. Dies gilt auch dann, wenn er für die Datenanwendung Dienstleister heranzieht. (2) Der Auftraggeber einer diesem Gesetz unterliegenden Datenanwendung hat, wenn er nicht im Gebiet der Europäischen Union niedergelassen ist, einen in Österreich ansässigen Vertreter zu benennen, der neben dem Auftraggeber verantwortlich gemacht werden kann. § 7 Zulässigkeit der Verwendung von Daten (1) Daten dürfen nur verarbeitet werden, soweit Zweck und Inhalt der Datenanwendung (2) Daten dürfen nur übermittelt werden, wenn (3) Die Zulässigkeit einer Datenverwendung setzt voraus, dass § 8 Schutzwürdige Geheimhaltungsinteressen bei Verwendung nichtsensibler Daten (1) Schutzwürdige Geheimhaltungsinteressen sind bei Verwendung nichtsensibler Daten dann nicht verletzt, wenn (2) Bei der Verwendung von zulässigerweise veröffentlichten Daten oder von nur indirekt personenbezogenen Daten gelten schutzwürdige Geheimhaltungsinteressen als nicht verletzt. Das Recht, gegen die Verwendung solcher Daten gemäß § 23 Widerspruch zu erheben, bleibt unberührt. (3) Schutzwürdige Geheimhaltungsinteressen sind aus dem Grunde des Abs. 1 Z. 4 insbesondere dann nicht verletzt, wenn die Verwendung der Daten (4) Die Verwendung von Daten über gerichtlich oder verwaltungsbehördlich strafbare Handlungen oder Unterlassungen, insbesondere auch über den Verdacht der Begehung von Straftaten, sowie über strafrechtliche Verurteilungen oder vorbeugende Maßnahmen verstößt – unbeschadet der Bestimmungen des Abs. 2 – nur dann nicht gegen schutzwürdige Geheimhaltungsinteressen des Betroffenen, wenn § 9 Schutzwürdige Geheimhaltungsinteressen bei Verwendung sensibler Daten Schutzwürdige Geheimhaltungsinteressen werden bei der Verwendung von sensiblen Daten ausschließlich dann nicht verletzt, wenn § 10 Zulässigkeit der Überlassung von Daten zur Erbringung von Dienstleistungen (1) Auftraggeber dürfen bei ihren Datenanwendungen Dienstleister in Anspruch nehmen, wenn diese ausreichende Gewähr für eine rechtmäßige und sichere Datenverwendung bieten. (2) Der Auftraggeber hat mit dem Dienstleister die dafür notwendigen Vereinbarungen zu treffen. Er hat sich von ihrer Einhaltung zu überzeugen, indem er die erforderlichen Informationen über die vom Dienstleister tatsächlich getroffenen Maßnahmen einholt. (3) Beabsichtigt ein Auftraggeber des öffentlichen Bereichs, einen Dienstleister im Rahmen einer Datenanwendung heranzuziehen, die der Vorabkontrolle gemäß § 18 unterliegt, hat er dies der Datenschutzbehörde mitzuteilen. Dies gilt nicht, wenn * der Auftraggeber den Dienstleister auf Grund ausdrücklicher gesetzlicher Ermächtigung in Anspruch nimmt oder * als Dienstleister eine Organisationseinheit tätig wird, die mit dem Auftraggeber oder einem diesem übergeordneten Organ in einem Über- oder Unterordnungsverhältnis steht. (4) Kommt die Datenschutzbehörde zur Auffassung, dass die geplante Inanspruchnahme eines Dienstleisters geeignet ist, schutzwürdige Geheimhaltungsinteressen der Betroffenen zu gefährden, hat sie dies dem Auftraggeber unverzüglich mitzuteilen. Im Übrigen gilt § 25 Abs. 6 Z. 3. § 11 Pflichten des Dienstleisters Der Dienstleister hat unabhängig allfälliger vertraglicher Vereinbarungen die Pflichten im Sinne des § 11 des DSG 2000. § 12 Genehmigungsfreie Übermittlung und Überlassung von Daten in das Ausland (1) Die Übermittlung und Überlassung von Daten an Empfänger in Mitgliedstaaten der Europäischen Union ist keinen Beschränkungen im Sinne des § 13 unterworfen. Dies gilt nicht für den Datenverkehr zwischen Auftraggebern des öffentlichen Bereichs in Angelegenheiten, die nicht dem Recht der Europäischen Gemeinschaften unterliegen. (2) Keiner Genehmigung gemäß § 13 bedarf weiters der Datenverkehr mit Empfängern in Drittstaaten mit angemessenem Datenschutz. Die Landesregierung stellt mit Verordnung fest, welche Drittstaaten angemessenen Datenschutz gewährleisten. Maßgebend für die Angemessenheit des Schutzes ist * die Ausgestaltung der Grundsätze des § 4 in der ausländischen Rechtsordnung und * das Vorhandensein wirksamer Garantien für ihre Durchsetzung. (3) Darüberhinaus ist der Datenverkehr ins Ausland dann genehmigungsfrei, wenn (4) Ist eine Übermittlung oder Überlassung von Daten ins Ausland notwendig und so dringlich, dass die gemäß § 13 erforderliche Genehmigung der Datenschutzbehörde nicht eingeholt werden kann, ohne diese Interessen zu gefährden, darf sie ohne Genehmigung vorgenommen werden. Sie muss aber der Datenschutzbehörde umgehend mitgeteilt werden. (5) Voraussetzung für die Zulässigkeit jeder Übermittlung oder Überlassung in das Ausland ist die Zulässigkeit der Datenanwendung im Inland gemäß § 7. Bei Überlassungen ins Ausland muss darüber hinaus die schriftliche Zusage des ausländischen Dienstleisters an den inländischen Auftraggeber – oder in den Fällen des § 13 Abs. 4 an den inländischen Dienstleister – vorliegen, dass er die Dienstleisterpflichten gemäß § 11 einhalten werde. Dies entfällt, wenn die Dienstleistung im Ausland in Rechtsvorschriften vorgesehen ist, die im innerstaatlichen Recht den Rang eines Gesetzes haben und unmittelbar anwendbar sind. § 13 Genehmigungspflichtige Übermittlung und Überlassung von Daten ins Ausland (1) Ist der Datenverkehr mit dem Ausland nicht gemäß § 12 genehmigungsfrei, hat der Auftraggeber vor der Übermittlung oder Überlassung von Daten in das Ausland eine Genehmigung der Datenschutzbehörde einzuholen. Die Datenschutzbehörde kann die Genehmigung an die Erfüllung von Bedingungen und Auflagen binden. (2) Die Genehmigung ist unter Beachtung der gemäß § 55 Z. 2 des DSG 2000 ergangenen Kundmachungen des Bundeskanzlers zu erteilen, wenn die Voraussetzungen des § 12 Abs. 5 vorliegen. Darüber hinaus muss (3) Auftraggeber des öffentlichen Bereichs haben im Genehmigungsverfahren auch hinsichtlich der Datenanwendungen Parteistellung, die sie in Vollziehung der Gesetze durchführen. (4) Abweichend von Abs. 1 kann auch ein inländischer Dienstleister die Genehmigung beantragen, wenn er zur Erfüllung seiner vertraglichen Verpflichtungen gegenüber mehreren Auftraggebern jeweils einen bestimmten weiteren Dienstleister im Ausland heranziehen will. Die tatsächliche Überlassung darf jeweils nur mit Zustimmung des Auftraggebers erfolgen. (5) Die Übermittlung von Daten an ausländische Vertretungsbehörden oder zwischenstaatliche Einrichtungen in Niederösterreich gilt hinsichtlich der Pflicht zur Einholung von Genehmigungen nach Abs. 1 als Datenverkehr mit dem Ausland. (6) Hat die Landesregierung trotz Fehlens eines im Empfängerstaat generell geltenden angemessenen Schutzniveaus durch Verordnung festgestellt, dass für bestimmte Kategorien des Datenverkehrs mit diesem Empfängerstaat die Voraussetzungen gemäß Abs. 2 Z. 1 zutreffen, tritt an die Stelle der Verpflichtung zur Einholung einer Genehmigung die Pflicht zur Anzeige an die Datenschutzbehörde. (7) Die Datenschutzbehörde hat binnen sechs Wochen ab Einlangen der Anzeige gemäß Abs. 6 mit Bescheid den angezeigten Datenverkehr zu untersagen, wenn er * keiner der in der Verordnung geregelten Kategorien zuzurechnen ist oder * den Voraussetzungen gemäß § 12 Abs. 5 nicht entspricht; andernfalls ist die Übermittlung oder Überlassung der Daten in das Ausland zulässig. 3. Abschnitt Datensicherheit § 14 Datensicherheitsmaßnahmen Der Auftraggeber oder Dienstleister hat für alle Organisationseinheiten zur Gewährleistung der Datensicherheit Maßnahmen zu treffen. § 14 Abs.1 und 2 sowie Abs. 4 bis 6 des DSG 2000 gelten sinngemäß. § 15 Datengeheimnis Daten sind im Sinne des § 15 des DSG 2000 geheim zu halten. § 16 Besondere Verwendungszwecke (1) Die Verwendung von Daten für wissenschaftliche oder statistische Untersuchungen ist nach den Bestimmungen des § 46 des DSG 2000 zulässig. (2) Die Zurverfügungstellung von Adressen zur Benachrichtigung und Befragung von Betroffenen ist nach den Bestimmungen des § 47 des DSG 2000 zulässig. 4. Abschnitt Publizität der Datenanwendungen § 17 Auskunftspflicht Der Auftraggeber hat jedermann auf Anfrage folgende Angaben über seine Datenanwendungen bekannt zu geben: 5. Abschnitt Aufnahme der Datenanwendung § 18 Vorabkontrolle (1) Datenanwendungen, die dürfen erst nach einer Vorabkontrolle durch die Datenschutzbehörde aufgenommen werden. (2) Dies gilt nicht für Datenanwendungen, die § 19 Verfahren zur Vorabkontrolle (1) Der Auftraggeber hat der Datenschutzbehörde folgende Angaben über die Datenanwendung mitzuteilen: (2) Eine Mitteilung ist mangelhaft, wenn Angaben fehlen, offenbar unrichtig, unstimmig oder so unzureichend sind, dass jemand im Hinblick auf die Wahrnehmung seiner Rechte nach diesem Gesetz keine hinreichenden Informationen darüber gewinnen kann, ob durch die Datenanwendung seine schutzwürdigen Geheimhaltungsinteressen verletzt sein könnten. Unstimmigkeit liegt insbesondere auch dann vor, wenn der Inhalt einer Datenanwendung nicht durch die angegebenen Rechtsgrundlagen gedeckt ist. (3) Die Datenschutzbehörde hat die Mitteilung binnen zwei Monaten zu prüfen. Kommt sie dabei zur Auffassung, dass eine Mitteilung im Sinne des Abs. 2 mangelhaft ist, so ist dem Auftraggeber längstens innerhalb von zwei Monaten nach Einlangen der Meldung die Verbesserung des Mangels unter Setzung einer Frist aufzutragen. (4) Gleichzeitig mit einem allfälligen Auftrag zur Verbesserung ist darüber abzusprechen, ob die Verarbeitung bereits aufgenommen werden darf oder ob dies mangels Nachweises ausreichender Rechtsgrundlagen für die gemeldete Datenanwendung nicht zulässig ist. (5) Wird einem Verbesserungsauftrag nicht fristgerecht entsprochen, so hat die Datenschutzbehörde die Aufnahme der Datenanwendung mit Bescheid abzulehnen. (6) Die Datenschutzbehörde kann auf Grund der Ergebnisse des Prüfungsverfahrens dem Auftraggeber Auflagen für die Vornahme der Datenanwendung durch Bescheid erteilen, soweit dies zur Wahrung der durch dieses Gesetz geschützten Interessen der Betroffenen notwendig ist. (7) Wird innerhalb von zwei Monaten nach Mitteilung kein Auftrag zur Verbesserung erteilt, darf die Verarbeitung aufgenommen werden. (8) Auftraggeber des öffentlichen Bereichs haben auch im Verfahren hinsichtlich der Datenanwendungen Parteistellung, die sie in Vollziehung der Gesetze durchführen. 6. Abschnitt Die Rechte des Betroffenen § 20 Auskunftsrecht (1) Der Auftraggeber hat dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben, wenn der Betroffene dies schriftlich verlangt und seine Identität in geeigneter Form nachweist. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. (2) Die Auskunft hat * die verarbeiteten Daten, * die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, * den Zweck der Datenverwendung sowie * die Rechtsgrundlagen dafür in allgemein verständlicher Form anzuführen. Auf Verlangen des Betroffenen sind auch Namen und Adresse von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Mit Zustimmung des Betroffenen kann an Stelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden. (3) Die Auskunft ist nicht zu erteilen, * soweit dies zum Schutz des Betroffenen aus besonderen Gründen notwendig ist oder * soweit überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten, insbesondere auch überwiegende öffentliche Interessen, der Auskunftserteilung entgegenstehen. Überwiegende öffentliche Interessen können sich hiebei aus der Notwendigkeit ergeben. Die Zulässigkeit der Auskunftsverweigerung aus den Gründen der Z. 1 bis 5 unterliegt der Kontrolle durch die Datenschutzbehörde. § 21 Auskunftsverfahren (1) Der Betroffene hat am Auskunftsverfahren über Befragung in dem ihm zumutbaren Ausmaß mitzuwirken, um ungerechtfertigten und unverhältnismäßigen Aufwand beim Auftraggeber zu vermeiden. (2) Innerhalb von acht Wochen nach Einlangen des Begehrens ist die Auskunft zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird. Von der Erteilung der Auskunft kann auch deshalb abgesehen werden, weil der Betroffene am Verfahren nicht gemäß Abs. 1 mitgewirkt oder weil er den Kostenersatz nicht geleistet hat. (3) Die Auskunft ist unentgeltlich zu erteilen, wenn * sie den aktuellen Datenbestand einer Datenanwendung betrifft und * der Betroffene im laufenden Jahr noch kein Auskunftsersuchen an den Auftraggeber zum selben Aufgabengebiet gestellt hat. In allen anderen Fällen kann ein pauschalierter Kostenersatz von € 18,89 verlangt werden, von dem wegen tatsächlich erwachsender höherer Kosten abgewichen werden darf. Ein etwa geleisteter Kostenersatz ist ungeachtet allfälliger Schadenersatzansprüche zurückzuerstatten, wenn Daten rechtswidrig verwendet wurden oder wenn die Auskunft sonst zu einer Richtigstellung geführt hat. (4) Ab dem Zeitpunkt der Kenntnis von einem Auskunftsverlangen darf der Auftraggeber Daten über den Betroffenen innerhalb eines Zeitraums von vier Monaten und im Falle der Erhebung einer Beschwerde an die Datenschutzbehörde bis zum Abschluss des Verfahrens nicht vernichten. (5) Soweit Datenanwendungen von Gesetzes wegen öffentlich einsehbar sind, hat der Betroffene ein Recht auf Auskunft in dem Umfang, in dem ein Einsichtsrecht besteht. Für das Verfahren der Einsichtnahme gelten die näheren Regelungen der das öffentliche Buch oder Register einrichtenden Gesetze. (6) Im Falle der auf Grund von Rechtsvorschriften, Standesregeln oder Verhaltensregeln gemäß § 5 eigenverantwortlichen Entscheidung über die Durchführung einer Datenanwendung durch einen Auftragnehmer gemäß § 3 Z. 5, vierter Satz, kann der Betroffene sein Auskunftsbegehren zunächst auch an denjenigen richten, der die Herstellung des Werkes aufgetragen hat. Dieser hat dem Betroffenen, soweit dies nicht ohnehin bekannt ist, binnen zwei Wochen unentgeltlich Namen und Adresse des eigenverantwortlichen Auftragnehmers mitzuteilen, damit der Betroffene sein Auskunftsrecht gemäß § 20 Abs. 1 gegen diesen geltend machen kann. § 22 Recht auf Richtigstellung oder Löschung (1) Jeder Auftraggeber hat unrichtige oder entgegen den Bestimmungen dieses Gesetzes verarbeitete Daten richtig zu stellen oder zu löschen, und zwar (2) Der Pflicht zur Richtigstellung nach Abs. 1 Z. 1 unterliegen nur solche Daten, deren Richtigkeit für den Zweck der Datenanwendung von Bedeutung ist. (3) Die Unvollständigkeit verwendeter Daten bewirkt nur dann einen Berichtigungsanspruch, wenn sich aus der Unvollständigkeit im Hinblick auf den Zweck der Datenanwendung die Unrichtigkeit der Gesamtinformation ergibt. (4) Sobald Daten für den Zweck der Datenanwendung nicht mehr benötigt werden, gelten sie als unzulässig verarbeitete Daten und sind zu löschen. Dies gilt nicht, wenn ihre Archivierung rechtlich zulässig ist und wenn der Zugang zu diesen Daten besonders geschützt ist. Die Weiterverwendung von Daten für einen anderen Zweck ist nur zulässig, wenn eine Übermittlung der Daten für diesen Zweck zulässig ist. Die Zulässigkeit der Weiterverwendung für wissenschaftliche oder statistische Zwecke ergibt sich aus § 16 Abs. 1. (5) Der Beweis der Richtigkeit der Daten obliegt – sofern gesetzlich nicht ausdrücklich anderes angeordnet ist – dem Auftraggeber, soweit die Daten nicht ausschließlich auf Grund von Angaben des Betroffenen ermittelt wurden. (6) Eine Richtigstellung oder Löschung von Daten ist ausgeschlossen, soweit der Dokumentationszweck einer Datenanwendung keine nachträglichen Änderungen zulässt. Die erforderlichen Richtigstellungen sind diesfalls durch entsprechende zusätzliche Anmerkungen zu bewirken. (7) Dem Antrag ist innerhalb von acht Wochen nach Einlangen zu entsprechen und dem Betroffenen davon Mitteilung zu machen oder schriftlich zu begründen, warum die verlangte Löschung oder Richtigstellung nicht vorgenommen wird. (8) Werden Daten verwendet, deren Richtigkeit der Betroffene bestreitet, und lässt sich weder ihre Richtigkeit noch ihre Unrichtigkeit feststellen, so ist auf Verlangen des Betroffenen ein Vermerk über die Bestreitung beizufügen. Der Bestreitungsvermerk darf nur mit Zustimmung des Betroffenen oder auf Grund einer Entscheidung des zuständigen Gerichtes oder der Datenschutzbehörde gelöscht werden. (9) Wurden im Sinne des Abs. 1 richtig gestellte oder gelöschte Daten vor der Richtigstellung oder Löschung übermittelt, so hat der Auftraggeber die Empfänger dieser Daten hievon in geeigneter Weise zu verständigen. Dies gilt nicht, wenn es einen unverhältnismäßigen Aufwand, insbesondere im Hinblick auf das Vorhandensein eines berechtigten Interesses an der Verständigung, bedeutet und die Empfänger nicht mehr feststellbar sind. § 23 Widerspruchsrecht (1) Jeder Betroffene hat das Recht, gegen die Verwendung seiner Daten wegen Verletzung überwiegender schutzwürdiger Geheimhaltungsinteressen, die sich aus seiner besonderen Situation ergeben, beim Auftraggeber der Datenanwendung Widerspruch zu erheben. Der Auftraggeber hat bei Vorliegen dieser Voraussetzungen die Daten des Betroffenen binnen acht Wochen aus seiner Datenanwendung zu löschen und allfällige Übermittlungen zu unterlassen. (2) Abs. 1 gilt nicht für die gesetzlich vorgesehene Verwendung von Daten. (3) Gegen eine nicht gesetzlich angeordnete Aufnahme in eine öffentlich zugängliche Datei kann der Betroffene jederzeit auch ohne Begründung seines Begehrens Widerspruch erheben. Die Daten sind binnen acht Wochen zu löschen. § 24 Die Rechte des Betroffenen bei der Verwendung nur indirekt personenbezogener Daten Die durch die §§ 20 bis 23 gewährten Rechte können nicht geltend gemacht werden, soweit nur indirekt personenbezogene Daten verwendet werden. 7. Abschnitt Rechtsschutz § 25 Kontrollbefugnisse der Datenschutzbehörde (1) Jedermann kann sich wegen einer behaupteten Verletzung seiner Rechte oder ihn betreffender Pflichten eines Auftraggebers oder Dienstleisters nach diesem Gesetz mit einer Eingabe an die Datenschutzbehörde wenden. (2) Die Datenschutzbehörde kann im Fall eines begründeten Verdachtes auf Verletzung der im Abs. 1 genannten Rechte und Pflichten Datenanwendungen überprüfen. Hiebei kann sie vom Auftraggeber oder Dienstleister der überprüften Datenanwendung insbesondere alle notwendigen Aufklärungen verlangen und Einschau in Datenanwendungen und diesbezügliche Unterlagen begehren. (3) Datenanwendungen, die der Vorabkontrolle gemäß § 18 unterliegen, dürfen auch ohne Vorliegen eines Verdachts auf rechtswidrige Datenverwendung überprüft werden. (4) Zum Zweck der Einschau ist die Datenschutzbehörde nach Verständigung des Inhabers der Räumlichkeiten und des Auftraggebers (Dienstleisters) berechtigt, Räume, in welchen Datenanwendungen vorgenommen werden, zu betreten, die zu überprüfenden Verarbeitungen durchzuführen sowie Kopien von Datenträgern in dem für die Ausübung der Kontrollbefugnisse unbedingt erforderlichen Ausmaß herzustellen. Der Auftraggeber (Dienstleister) hat die für die Einschau notwendige Unterstützung zu leisten. Die Kontrolltätigkeit ist unter möglichster Schonung der Rechte des Auftraggebers (Dienstleisters) und Dritter auszuüben. (5) Informationen, die der Datenschutzbehörde oder ihren Beauftragten bei der Kontrolltätigkeit zukommen, dürfen ausschließlich für die Kontrolle im Rahmen der Vollziehung datenschutzrechtlicher Vorschriften verwendet werden. Die Pflicht zur Verschwiegenheit besteht auch gegenüber Gerichten und Verwaltungsbehörden, insbesondere Abgabenbehörden. (6) Ergibt die Einschau den Verdacht einer strafbaren Handlung nach § 30 dieses Gesetzes oder eines Verbrechens nach § 278a StGB (kriminelle Organisation), BGBl. Nr. 60/1974 in der Fassung BGBl. I Nr. 25/2013, oder eines Verbrechens mit einer Freiheitsstrafe, deren Höchstmaß fünf Jahre übersteigt, ist jedoch Anzeige zu erstatten und hinsichtlich solcher Verbrechen und Vergehen auch dem Ersuchen der Strafgerichte nach § 26 StPO, BGBl. Nr. 631/1975 in der Fassung BGBl. I Nr. 83/2013, zu entsprechen. Zur Herstellung des rechtmäßigen Zustandes kann die Datenschutzbehörde Empfehlungen aussprechen, für deren Befolgung erforderlichenfalls eine angemessene Frist zu setzen ist. Wird einer solchen Empfehlung innerhalb der gesetzten Frist nicht entsprochen, so kann die Datenschutzbehörde je nach der Art des Verstoßes von Amts wegen insbesondere (7) Der Einschreiter ist darüber zu informieren, wie mit seiner Eingabe verfahren wurde. § 26 Beschwerde an die Datenschutzbehörde (1) Die Datenschutzbehörde erkennt auf Antrag des Betroffenen über behauptete Verletzungen des Rechtes auf Auskunft gemäß § 20 durch den Auftraggeber einer Datenanwendung, soweit sich das Auskunftsbegehren nicht auf die Verwendung von Daten für Akte der Gesetzgebung oder der Gerichtsbarkeit bezieht. (2) Die Datenschutzbehörde ist zur Entscheidung über behauptete Verletzungen der Rechte eines Betroffenen auf Geheimhaltung, auf Richtigstellung oder auf Löschung nach diesem Gesetz dann zuständig, wenn der Betroffene seine Beschwerde gegen einen Auftraggeber des öffentlichen Bereichs richtet, der nicht als Organ der Gesetzgebung oder der Gerichtsbarkeit tätig ist. (3) Bei Gefahr im Verzug kann die Datenschutzbehörde im Zuge der Behandlung einer Beschwerde nach Abs. 2 die weitere Verwendung von Daten zur Gänze oder teilweise untersagen oder auch – bei Streitigkeiten über die Richtigkeit von Daten – dem Auftraggeber die Anbringung eines Bestreitungsvermerks auftragen. § 27 Anrufung der Gerichte (1) Ansprüche gegen Auftraggeber des privaten Bereichs wegen Verletzung der Rechte des Betroffenen auf Geheimhaltung, auf Richtigstellung oder auf Löschung sind vom Betroffenen auf dem Zivilrechtsweg geltend zu machen. (2) Die Datenschutzbehörde hat in Fällen, in welchen der begründete Verdacht einer schwer wiegenden Datenschutzverletzung durch einen Auftraggeber des privaten Bereichs besteht, gegen diesen eine Feststellungsklage (§ 228 ZPO), RGBl. Nr. 113/1895 in der Fassung BGBl. I Nr. 26/2013, beim zuständigen Gericht zu erheben. § 28 Schadenersatz Ein Auftraggeber oder Dienstleister, der Daten schuldhaft entgegen den Bestimmungen dieses Gesetzes verwendet, hat dem Betroffenen den erlittenen Schaden nach den allgemeinen Bestimmungen des bürgerlichen Rechts zu ersetzen. Im Übrigen gilt § 33 DSG 2000. § 29 Gemeinsame Bestimmungen (1) Der Anspruch auf Behandlung einer Eingabe nach § 25, einer Beschwerde nach § 26 oder einer Klage nach § 27 erlischt, wenn der Einschreiter sie nicht binnen eines Jahres, nachdem er Kenntnis von dem beschwerenden Ereignis erlangt hat, längstens aber binnen drei Jahren, nachdem das Ereignis behauptetermaßen stattgefunden hat, einbringt. Dies ist dem Einschreiter im Falle einer verspäteten Eingabe gemäß § 25 mitzuteilen; verspätete Beschwerden nach § 26 und Klagen nach § 27 sind abzuweisen. (2) Eingaben nach § 25, Beschwerden nach § 26, Klagen nach § 27 können nicht nur auf die Verletzung der Vorschriften dieses Gesetzes, sondern auch auf die Verletzung von datenschutzrechtlichen Vorschriften eines anderen Mitgliedstaates der Europäischen Union gegründet werden, soweit solche Vorschriften gemäß § 2 im Inland anzuwenden sind. (3) Ist die vermutete Verletzung schutzwürdiger Geheimhaltungsinteressen eines Betroffenen im Inland gemäß § 2 nach der Rechtsordnung eines anderen Mitgliedstaats der Europäischen Union zu beurteilen, so kann die Datenschutzbehörde im Falle ihrer Befassung die zuständige ausländische Datenschutzkontrollstelle um Unterstützung ersuchen. (4) Die Datenschutzbehörde hat den Unabhängigen Datenschutzkontrollstellen der anderen Mitgliedstaaten der Europäischen Union über Ersuchen Amtshilfe zu leisten. 8. Abschnitt Strafbestimmungen § 30 Verwaltungsstrafbestimmung (1) Sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet oder nach anderen Verwaltungsstrafbestimmungen mit strengerer Strafe bedroht ist, begeht eine Verwaltungsübertretung, die mit Geldstrafe bis zu € 7.300,– zu ahnden ist, wer (2) Sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet, begeht eine Verwaltungsübertretung, die mit Geldstrafe bis zu € 3.650,– zu ahnden ist, wer (3) Der Versuch ist strafbar. (4) Die Strafe des Verfalls von Datenträgern kann ausgesprochen werden (§§ 10, 17 und 18 VStG, BGBl. Nr. 52/1991 in der Fassung BGBl. I Nr. 33/2013), wenn diese Gegenstände mit einer Verwaltungsübertretung nach Abs. 1 oder 2 in Zusammenhang stehen. (5) Zuständig für Entscheidungen nach Abs. 1 bis 4 ist die Bezirksverwaltungsbehörde, in deren Sprengel der Auftraggeber (Dienstleister) seinen gewöhnlichen Aufenthalt oder Sitz hat. Falls ein solcher im Inland nicht gegeben ist, ist die am Sitz der Landesregierung eingerichtete Bezirksverwaltungsbehörde zuständig. 9. Abschnitt Schluss- und Übergangsbestimmungen § 31 Mitteilungen an die Europäische Kommission und an die anderen Mitgliedstaaten der Europäischen Union Die Datenschutzbehörde hat den anderen Mitgliedstaaten der Europäischen Union und der Europäischen Kommission mitzuteilen, in welchen Fällen § 32 Anhörungsverfahren, Berichtspflicht (1) Die Datenschutzbehörde ist vor Erlassung von Verordnungen anzuhören, die auf der Grundlage dieses Gesetzes ergehen oder sonst wesentliche Fragen des Datenschutzes unmittelbar betreffen. (2) Die Datenschutzbehörde hat spätestens alle zwei Jahre einen Bericht über ihre Tätigkeit zu erstellen und in geeigneter Weise zu veröffentlichen. Der Bericht ist der Landesregierung zur Kenntnis zu übermitteln. § 33 Datenanwendungen des Landtages Der Präsident des Landtages ist Auftraggeber jener Datenanwendungen, die für Zwecke der ihm gemäß § 22 der Geschäftsordnung – LGO 1979, LGBl. 0010, übertragenen Angelegenheiten durchgeführt werden. Übermittlungen von Daten aus solchen Datenanwendungen dürfen nur über Auftrag des Präsidenten des Landtags vorgenommen werden. Der Präsident trifft Vorsorge dafür, dass im Falle eines Übermittlungsauftrags die Voraussetzungen des § 7 Abs. 2 vorliegen und insbesondere die Zustimmung des Betroffenen in jenen Fällen eingeholt wird, in welchen dies gemäß § 7 Abs. 2 mangels einer anderen Rechtsgrundlage für die Übermittlung notwendig ist. § 34 Umgesetzte EG-Richtlinien Durch dieses Gesetz wird folgende Richtlinie der Europäischen Gemeinschaften umgesetzt: Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl.Nr. L 281, vom 23.11.1995, S. 31. § 35 Inkrafttreten Dieses Gesetz tritt am 1. Jänner 2001 in Kraft. § 36 Übergangsbestimmungen (1) Die Verarbeitung von Daten, die zum Zeitpunkt des Inkrafttretens dieses Gesetzes in manuellen Dateien vorhanden sind, sind in Einklang zu bringen. (2) Betroffene im Sinne dieses Gesetzes können unabhängig von Abs. 1 auf Antrag die Berichtigung, Löschung oder Sperrung von Daten erreichen, die unvollständig, unzutreffend oder auf eine Art und Weise aufbewahrt sind, die mit den vom für die Verarbeitung Verantwortlichen verfolgten rechtmäßigen Zwecken unvereinbar ist.