Meldepflicht in Österreich – Was ist zu beachten?

oesterreich 01
Fachbeitrag

Aller Harmonisierung in Europa zum Trotz gibt es zwischen den Mitgliedstaaten teilweise große Unterschiede im Datenschutz. In Österreich unterliegen bestimmte Datenanwendungen der Meldepflicht. Hinzu kommt, dass einige der meldepflichtigen Datenanwendungen in Österreich der Vorabkontrolle unterliegen.

Meldepflichtige Datenanwendungen in Österreich

In Österreich gilt für Datenanwendungen der Grundsatz der Meldepflicht. Dabei handelt es sich bereits aus praktischen Gründen freilich um einen Grundsatz mit zahlreichen (in § 17 Abs. 2 und 3 DSG 2000) geregelten Ausnahmen.

Die praktisch wichtigste Ausnahme von der Meldepflicht sind die Datenanwendungen, die unter die der Standard- und Musterverordnung festgelegten Standardanwendungen fallen. Beispielhaft zählen hierzu:

  • Rechnungswesen und Logistik,
  • Personalverwaltung,
  • Kundenbetreuung und
  • Marketing für eigene Zwecke.

Für den Fall dass die sorgfältige Prüfung ergibt, dass keine Ausnahme greift, muss die Datenanwendung bei der Datenschutzbehörde in Österreich gemeldet werden.

Meldepflicht

Mit der Aufnahme einer Datenanwendung darf in erst nach dessen ordnungsgemäßer Registrierung begonnen werden. Demzufolge muss die Datenanwendung bei der österreichischen Datenschutzbehörde zur Eintragung in das Datenverarbeitungsregister gemeldet werden.

Anforderungen an das Melde- bzw. Registrierungsverfahren

Die an das Melde- bzw. Registrierungsverfahren zu stellenden Anforderungen ergeben sich im Wesentlichen aus §§ 16 ff. des Datenschutzgesetzes (DSG) 2000:

https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=bundesnormen&Gesetzesnummer=10001597

sowie aus der Datenverarbeitungsregisterverordnung (DVRV) 2012.

https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20007925

Die Meldung erfolgt elektronisch auf dem Portal „DVR-Online“ der österreichischen Datenschutzbehörde, das unter

https://www.dsb.gv.at/site/7749/default.aspx

auch die für die Meldung notwendigen Informationen bereithält.

Wichtige Punkte beim Verfahren der Registrierung in Österreich

In Bezug das Verfahren der Registrierung in Österreich sind insbesondere folgende, nicht abschließende Punkte zu beachten:

  • Dem Unternehmen („Auftraggeber“) wird bei der erstmaligen Anmeldung einer Datenanwendung von der Aufsichtsbehörde eine DVR-Nummer zugeteilt.
  • Bevor das Unternehmen in den Eingabemasken von DVR-Online Angaben zu der meldepflichtigen Datenanwendung vornehmen kann, muss es sich bei der Anmeldung identifizieren und authentifizieren.
  • Um zu vermeiden dass die Aufsichtsbehörde die Registrierung der Datenanwendung ablehnt oder nur unter Auflagen erlaubt, sollte die Angabe des meldepflichtigen Inhalts mit hoher Sorgfalt vorgenommen werden.
  • Die meldepflichtigen Inhalte in Bezug auf das DVR-Online-Formular ergeben sich aus der Anlage 2 zu § 9 DVRV.

Über die davor genannten Inhalte hinaus sind die „Allgemeine Angaben zu ergriffenen Datensicherheitsmaßnahmen“ (Anlage 4 zur DVRV) meldepflichtig.

Eintragung in das Register

Eine Eintragung in das Register erfolgt, wenn die Datenschutzbehörde zwei Monate nach Meldung untätig geblieben ist. Erst dann kann die Datenanwendung aufgenommen werden.

Vorabkontrolle in Österreich

Beachte! Mit der Aufnahme der Datenanwendung darf unmittelbar nach ordnungsgemäßer Meldung nur begonnen werden, wenn die Datenanwendung nicht der Vorabkontrolle durch die Datenschutzbehörde unterliegt. Die spezifischen Voraussetzungen der Vorabkontrolle ergeben sich aus § 18 Abs. 2 DSG 2000.

Fragen zum österreichischen Datenschutz?

Der österreichische Datenschutz ist komplex und kann im Einzelfall Fragen aufwerfen, die Sie mit Ihrem Datenschutzbeauftragten klären sollten.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Rechtskonforme Datentransfers von Unternehmen in das Ausland
  • Wie geht es weiter nach dem Wegfall von Safe Harbor?
  • Einsatzmöglichkeiten von EU-Standardvertragsklauseln und Binding Corporate Rules

Informieren Sie sich hier über unser Leistungsspektrum: Internationaler Datenschutz

2 Kommentare zu diesem Beitrag

  1. Die Datenschutzkommission (DSK) gibt es seit 1. Jänner 2014 nicht mehr. Zuständig ist nunmehr die Datenschutzbehörde (DSB).

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.