Wichtige Datenschutzorganisationen

AnhangListe von DatenschutzorganisationenEU-Datenschutz-Richtlinie 95/46/EGEU StandardvertragsklauselnKAV DatenschutzunterlagenARGE DATEN© ARGE DATEN 2013Hinweis!Die gedruckte Seminarunterlage enthält von den KAV-Datenschutzunterlagen nurdie Checkliste zur Einhaltung der Datenschutzbestimmungen und das Muster desDienstleistungsvertrages.Weitere KAV-Datenschutzunterlagen finden Sie in der elektronischen Online-Version dieser Seminarunterlagen (Download-URL siehe Deckblatt).Von den Standarvertragsunterlagen finden Sie in der gedruckten Unterlage nureinen Übersichtsartikel. Die drei aktuellen Versionen finden Sie in derelektronischen Online-Version dieser Seminarunterlagen (Download-URL sieheDeckblatt).AnhangSeite 1 von 125

Wichtige Datenschutzorganisationenhttp://www.argedaten.at/php/cms_monitor.php?q=ORG-DATENSCHUTZWichtige DatenschutzorganisationenDatenschutzbehörden, private Datenschutzorganisationen und sonstige Stellen, die sich mit Datenschutz und Datensicherheit befassen(weltweit)Die Liste enthält die wichtigsten staatlichen und nicht-staatlichen Organisationen, die sich mit Datenschutzfragen, Fragen der Privatsphäreund Bürgerrechten im Informationszeitalter beschäftigen. Sie wird laufend ergänzt.ÖsterreichDATENVERARBEITUNGSREGISTER (DVR) https://dvr.dsk.gv.atA-1010 WIEN, Hohenstaufengasse 3fax: +43.1.531.09.4046 mail: dvr@dsk.gv.athttps://dvr.dsk.gv.atAuskunftsstelle über registrierte Datenverarbeitungen von Behörden, Unternehmen, Vereinen, ... . Basisdaten (u.a. ein Registerauszugüber alle gemeldeten Datenanwendungen) können unter https://dvr.dsk.gv.at abgerufen werden, weitere Daten sind direkt beim DVRanzufordern. Datenverarbeiter können auch nicht registrierte Datenanwendungen betreiben. Die Liste der nichtregistrierungspflichtigen Datenanwendungen findet sich unter http://ftp.freenet.at/privacy/ds-at/stmv-2004.pdfÖsterreichische Datenschutzkommission (DSK) http://www.dsk.gv.atA-1010 Wien, Hohenstaufengasse 3fax: +43.1.531.15.202690 mail: dsk@dsk.gv.at DVR 0000027DVR 0000027 http://www.dsk.gv.atDatenschutzrat (DSR) http://www.datenschutzrat.gv.at/A-1014 WIEN, Ballhausplatz 1fax: +43.053109.2527 mail: v3@bka.gv.athttp://www.datenschutzrat.gv.at/Arbeitskreis Vorratsdaten Österreich (AKVorrat.at) http://www.akvorrat.at/A-1070 Wien, Kirchberggasse 7/5mail: info@akvorrat.athttp://www.akvorrat.at/ARGE DATEN - Österreichische Gesellschaft für Datenschutz http://www.argedaten.atA-1160 Wien, Redtenbachergasse 20fax: +43.1.53.20.974 mail: info@argedaten.at DVR 0530794UID ATU 56627966 DVR 0530794 registrierter Verein ZVR 774004629 http://www.argedaten.ateurope-v-facebook.org - Verein zur Durchsetzung des Grundrechts auf Datenschutz http://www.europe-v-facebook.orgA-1060 Wien, Schadekgasse 2/13mail: info@europe-v-facebook.orgregistrierter Verein http://www.europe-v-facebook.orgGegen VDS - Hauptorganisator Graz http://www.gegenvds.at/A keine aktuelle Adresse verfügbarmail: peter.krammer@gegenvds.athttp://www.gegenvds.at/GovCert im Bundeskanzleramt http://www.govcert.gv.at/A-1014 Wien, Ballhausplatz 2http://www.govcert.gv.at/Initiative für Netzfreiheit (IFNF) - Verein zur Förderung der Freiheiten des Bürgers im Netz und Wahrung der digitalenBürgerrechte https://netzfreiheit.org/A-1150 Wien, Pillergasse 7/3https://netzfreiheit.org/Kunst gegen Überwachung http://de-de.facebook.com/kunstueberwachungA keine aktuelle Adresse verfügbarhttp://de-de.facebook.com/kunstueberwachungRedaktion Netwatcher http://www.netwatcher.atA-1037 Wien, Postfach 39mail: info@netwatcher.athttp://www.netwatcher.atsocialhack.eu http://socialhack.eu/A keine aktuelle Adresse verfügbarmail: tom@socialhack.euhttp://socialhack.eu/AnhangSeite 2 von 1251 von 11 13.10.2013 16:50

Wichtige Datenschutzorganisationenhttp://www.argedaten.at/php/cms_monitor.php?q=ORG-DATENSCHUTZ2 von 11 13.10.2013 16:50Verein für Internet-Benutzer Österreichs (VIBE.AT) http://www.vibe.atA-1070 Wien, Westbahnstraße 46/1Amail: info@vibe.athttp://www.vibe.atVerein Initiative Menschen-Rechte http://www.initiative-menschen-rechte.atA-6800 Feldkirch, Liechtensteinerstraße 76http://www.initiative-menschen-rechte.atVerein Quintessenz - zur Wiederherstellung der Bürgerrechte im Informationszeitalter http://www.quintessenz.atA-1070 Wien, Museumsplatz 1 / quartier 21mail: office@quintessenz.athttp://www.quintessenz.atBundesrepublik DeutschlandDer Bundesbeauftragte für den Datenschutz und die Informationsfreiheit http://www.bfdi.bund.deD-53117 Bonn, Husarenstraße 30fax: +49.228.997799550 mail: peter.buettgen@bfdi.bund.dehttp://www.bfdi.bund.deBayerisches Landesamt für Datenschutzaufsicht http://www.lda.bayern.de/D-91522 Ansbach, Promenade 27fax: +49.0981.53.5300 mail: poststelle@lda.bayern.dehttp://www.lda.bayern.de/Beauftragter für Datenschutz und Informationsfreiheit Berlin www.datenschutz-berlin.deD-10787 Berlin, An der Urania 4-10fax: +49.30.2155050 mail: mailbox@datenschutz-berlin.dewww.datenschutz-berlin.deBeauftragter für Datenschutz und Informationsfreiheit Hamburg www.datenschutz-hamburg.deD-20095 Hamburg, Klosterwall 6 (Block C)fax: 040.42854.4000 mail: mailbox@datenschutz.hamburg.dewww.datenschutz-hamburg.deDatenschutzbeauftragter für Bayern www.datenschutz-bayern.deD-80538 München, Wagmüllerstraße 18fax: +49.89.212672-50 mail: poststelle@datenschutz-bayern.dewww.datenschutz-bayern.deDatenschutzbeauftragter für Hessen http://www.datenschutz.hessen.de/D-65189 Wiesbaden, Uhlandstraße 4fax: +49.611.1408-900 mail: poststelle@datenschutz.hessen.dehttp://www.datenschutz.hessen.de/Datenschutzbeauftragter für Mecklenburg- Vorpommern www.lfd.m-v.deD-19055 Schwerin, Schloß Schwerinfax: +49.358.59494-58 mail: datenschutz@mvnet.dewww.lfd.m-v.deDatenschutzbeauftragter für Sachsen www.datenschutz.sachsen.deD-01067 Dresden, Bernhard-von-Lindau-Platz 1fax: 0049351.493.5490www.datenschutz.sachsen.deDer Landesbeauftragte für Datenschutz Baden-Württemberg www.baden-wuerttemberg.datenschutz.deD-70182 Stuttgart, Urbanstraße 32fax: +49.711.615541-15 mail: poststelle@lfd.bwl.dewww.baden-wuerttemberg.datenschutz.deLandesbeauftragte für Datenschutz und Informationsfreiheit Bremen www.datenschutz-bremen.deD-27570 Bremerhaven, Arndtstraße 1fax: +49.471.49618495 mail: office@datenschutz.bremen.dewww.datenschutz-bremen.deLandesbeauftragte für Datenschutz und Informationsrecht Nordrhein-Westfalen www.ldi.nrw.deD-40213 Düsseldorf, Kavalleriestraße 2-4fax: +49.211.38424-10 mail: poststelle@ldi.nrw.dewww.ldi.nrw.deLandesbeauftragte für den Datenschutz und das Recht auf Akteneinsicht Brandenburg www.lda.brandenburg.deD-14532 Kleinmachnow, Stahnsdorfer Damm 77fax: +49.33203.356-49 mail: poststelle@lda.brandenburg.dewww.lda.brandenburg.deLandesbeauftragter für Datenschutz Schleswig-Holstein (ULD) www.datenschutzzentrum.deD-24103 Kiel, Holstenstraße 98fax: 1223 mail: mail@datenschutzzentrum.dewww.datenschutzzentrum.deAnhangSeite 3 von 125

Wichtige Datenschutzorganisationenhttp://www.argedaten.at/php/cms_monitor.php?q=ORG-DATENSCHUTZ3 von 11 13.10.2013 16:50Landesbeauftragter für Datenschutz und Informationsfreiheit Saarland www.lfdi.saarland.deD-66111 Saarbrücken, Fritz-Dobisch-Straße 12fax: +49.681.94781-29 mail: poststelle@lfdi.saarland.dewww.lfdi.saarland.deLandesbeauftragter für den Datenschutz Niedersachsen www.lfd.niedersachsen.deD-30169 Hannover, Brühlstraße 9fax: +49.511.1204599 mail: poststelle@lfd.niedersachsen.dewww.lfd.niedersachsen.deLandesbeauftragter für den Datenschutz Rheinland-Pfalz www.datenschutz.rlp.deD-55116 Mainz, Hintere Bleiche 34fax: +49.6131.208-2497 mail: poststelle@datenschutz.rlp.dewww.datenschutz.rlp.deLandesbeauftragter für den Datenschutz Sachsen-Anhalt http://www.datenschutz.sachsen-anhalt.deD-39114 Magdeburg, Berliner Chaussee 9mail: poststelle@lfd.lsa-net.dehttp://www.datenschutz.sachsen-anhalt.deLandesbeauftragter für den Datenschutz Thüringen www.datenschutz.thueringen.deD-99096 Erfurt, Jürgen-Fuchs-Straße 1fax: 0049361.3771904 mail: poststelle@datenschutz.thueringen.dewww.datenschutz.thueringen.deVirtuelles Datenschutzbüro (Datenschutzzentrum) http://www.datenschutz.deD-24103 Kiel, Holstenstraße 98fax: ++49.431.988.1223http://www.datenschutz.deA-I3 - Arbeitsgruppe Identitätsschutz im Internet https://www.a-i3.orgD keine aktuelle Adresse verfügbarhttps://www.a-i3.orgAlvar Freude www.odem.orgD-70327 Stuttgart, Ludwig-Blum-Straße 37mail: info@odem.orgwww.odem.orgBerufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. http://www.bvdnet.deD-45966 Berlin, Budapester Straße 31mail: geschaeftsstelle@bvdnet.dehttp://www.bvdnet.deChaos Computer Club (CCC) www.ccc.deD-22297 Hamburg, Mexikoring 21mail: presse@ccc.dewww.ccc.dedigitalcourage e.V. www.foebud.orgD-33602 Bielefeld, Marktstraße 18fax: +49-521.61172 mail: mail@foebud.orgwww.foebud.orgDVD - Deutsche Vereinigung für Datenschutz e.V. www.datenschutzverein.deD-53113 BONN, Rheingasse 8-10fax: 49.228.2438470 mail: dvd@datenschutzverein.dewww.datenschutzverein.deFörderverein für eine Freie Informationelle Infrastruktur e.V. (FFII e.V) www.ffii.orgD-80636 München, Blutenburgstraße 17mail: phm@a2e.dewww.ffii.orgFörderverein Informationstechnik und Gesellschaft (FITUG) www.fitug.deD-80335 München, Dachauerstraße 98bwww.fitug.deForum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) e.V. http://www.fiff.de/D-28203 Bremen, Goetheplatz 4fax: +49.421.336592.52 mail: fiff@fiff.dehttp://www.fiff.de/GDD - Gesellschaft für Datenschutz und Datensicherheit e.V. http://www.gdd.deD-53117 Bonn, Pariser Straße 37fax: +49.228.695638 mail: info@gdd.dehttp://www.gdd.deHamburger Datenschutzgesellschaft e.V. http://www.hamdg.deD-22587 Hamburg, Erik-Blumenfeld-Platz 27amail: info@hamdg.deregistrierter Verein AG Hamburg Nr. 15685 http://www.hamdg.deAnhangSeite 4 von 125

Wichtige Datenschutzorganisationenhttp://www.argedaten.at/php/cms_monitor.php?q=ORG-DATENSCHUTZHeinrich Böll Stiftung http://www.boell.de/D-10178 Berlin, Rosenthaler Straße 40/41http://www.boell.de/Initiative "wir speichern nicht" http://www.wirspeichernnicht.de/D-69483 Wald-Michelbach, Seckenrain 8mail: kontakt@daten-speicherung.dehttp://www.wirspeichernnicht.de/Netzwerk Neue Medien e.V. www.netzwerk-neue-medien.orgD-10117 Berlin, Tucholskystraße 48mail: markus@nnm-ev.dewww.netzwerk-neue-medien.orgpadeluun c/o FoeBuD e.V. http://www.padeluun.deD-33602 Bielefeld, Marktstraße 18fax: +49.521.61172http://www.padeluun.destiftung bridge – Bürgerrechte in der digitalen Gesellschaft, c/o Förderverein Die Bewegungsstiftung e.V.www.bewegungsstiftung.deD-27283 Verden, Artilleriestraße 6fax: +49.4231.957541 mail: info@bewegungsstiftung.dewww.bewegungsstiftung.deZentrum für Kunst und Medientechnologie (ZKM) icie.zkm.deD-76135 Karlsruhe, Lorenzstraße 19mail: rafael@capurro.deicie.zkm.deBundesamt für Sicherheit in der Informationstechnik (BSI) http://www.bsi.bund.de/D-53175 BONN, Godesberger Allee 185-189fax: +49228991095825328 mail: gstool@bsi.bund.dehttp://www.bsi.bund.de/DFN-CERT Services GmbH http://www.dfn-cert.deD-20097 Hamburg, Heidenkampsweg 41http://www.dfn-cert.deLiechtensteinLiechtensteinische Landesverwaltung - Stabstelle für Datenschutz www.dss.llv.liFL-9490 Vaduz, Kirchstraße 8, Postfach 684fax: +423.236.6099 mail: info@llv.liwww.dss.llv.liSchweizEidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) http://www.edsb.chCH-3003 Bern, Feldeggweg 1fax: +4131.3259996http://www.edsb.chSwiss Internet User Group (SIUG) www.siug.chCH-8021 Zürich, Postfach 1908mail: daniel.boos@siug.chwww.siug.chUSAOffice of Management and Budget, Chief-Counsellor for Privacy http://www.whitehouse.gov/omb/foia/USA-20503 Washington DC, 725 17ths Street NWfax: +1.202.3953888http://www.whitehouse.gov/omb/foia/Office of Privacy Protection, Department of Consumer Affiairs http://www.privacyprotection.ca.gov/USA-CA-95834 Sacramento, 1625 North Market Blvd., Suite N324mail: privacy@dca.ca.govhttp://www.privacyprotection.ca.gov/American Civil Liberties Union www.aclu.orgUSA-10004 New York, 125 Broad Steet, 18 th Floorwww.aclu.orgAssociation for Progressive Communications http://www.apc.orgUSA-94129 San Francisco, CA, Presidio Building 1012 / Torney Avenue P. O. Box 29904http://www.apc.orgCenter for Democracy and Technology http://www.cdt.orgUSA-20006 Washington DC, 1634 Eye Steet NW, Suite 1100http://www.cdt.orgAnhangSeite 5 von 1254 von 11 13.10.2013 16:50

Wichtige Datenschutzorganisationenhttp://www.argedaten.at/php/cms_monitor.php?q=ORG-DATENSCHUTZhttp://www.bof.nlNederlands Genootschap Functionarissen Gegevensbescherming (NGFG) http://www.ngfg.nlNL-2509 CA Den Haag, Postbus 95319mail: secretariaat@ngfg.nlhttp://www.ngfg.nlPolenGeneralny Inspektor Ochrony Danych Osobowych http://www.giodo.gov.pl/PL-00-1930 Warszawa, ul. Stawki 2fax: +48.22.8607086 mail: kancelaria@giodo.gov.plhttp://www.giodo.gov.pl/PortugalComissao Nacional de Proteccao de Dados Pessoais Informatizados www.cnpd.ptP-1200-821 Lisboa, R. de S. Bento, 148-3°fax: +351.21.3976832www.cnpd.ptRumänienThe National Supervisory Authority for Personal Data Processing http://www.dataprotection.ro/R-024057 Bucharest, 32, Olari Street / Sector 2fax: +40.21.2525757 mail: anspdcp@dataprotection.rohttp://www.dataprotection.ro/SchwedenDatainspektionen www.datainspektionen.seS-10420 Stockholm, Fleminggatan 14/ 9th Floorfax: +46.8.6528652 mail: datainspektionen@datainspektionen.sewww.datainspektionen.seSlowakeiOffice for Personal Data Protection http://www.dataprotection.gov.sk/SK-81760 Bratislava 15, Odborárske námestie c. 3fax: +421.2.50239441 mail: statny.dozor@pdp.gov.skhttp://www.dataprotection.gov.sk/SlowenienInformation Commissioner http://www.ic-rs.si/SLO-1000 Ljubljana, Vosnjakova 1fax: +386.1.2309778 mail: gp.ip@ip-rs.sihttp://www.ic-rs.si/SpanienAgencia de Protección de Datos www.agpd.esE-28001 Madrid, C/Jorge Juan 6fax: +34.914.555699www.agpd.esAPEP - Asociación Profesional Española de Privacidad http://www.apep.esE-46020 Valencia, Apartado de Correos 12327mail: contacto@apep.eshttp://www.apep.esEquipo Nizkor http://www.derechos.org/nizkorE- Madrid, Apartado de Correo 156037http://www.derechos.org/nizkorKriptopolis http://www.kriptopolis.comE-39080 Santander, Cantabria, PO Box 1052mail: buzon@kriptopolis.comhttp://www.kriptopolis.comTschechienThe Office for Personal Data Protection http://www.uoou.cz/CZ-170 00 Praha 7, Pplk. Sochora 27fax: +420.234.665444 mail: posta@uoou.czhttp://www.uoou.cz/AnhangSeite 9 von 1258 von 11 13.10.2013 16:50

Wichtige Datenschutzorganisationenhttp://www.argedaten.at/php/cms_monitor.php?q=ORG-DATENSCHUTZIuridicum remedium, o.s. http://www.bigbrotherawards.cz/CZ-198 00 Praha 9, Vírská 14/278mail: iure@iure.orghttp://www.bigbrotherawards.cz/UngarnParliamentary Commissioner of Data Protection and Freedom of Information http://www.obh.huH-1051 Budapest, Nádor utca 22fax: +36.1.2693541 mail: privacy@obh.huhttp://www.obh.huHungarian Civil Liberties Union http://www.c3.huH-1114 Budapest, Eszék utca 8/B. fszt. 2http://www.c3.huTechnika az Emberert Alapitvány (TEA) www.hu.bigbrotherawards.orgH- Unbekannt, Unkekanntmail: zoltan.galantai@bigbrotherawards.orgwww.hu.bigbrotherawards.orgUnited Kingdom (Grossbritannien)Data Protection Commissioner (Guernsey) http://www.dataprotection.gov.gg/GB-GY1 1GX Guernsey, Frances House, Sir William Place, St. Peter Portfax: +44.1481.742077 mail: dataprotection@gov.gghttp://www.dataprotection.gov.gg/Office of Data Protection Supervisor (Isle of Man) http://www.gov.im/odps/GB-IM99 1EQ Isle of Man, P. O. Box 69fax: +44.1624.6610 mail: enquiries@odps.gov.imhttp://www.gov.im/odps/The Office of the Data Protection Commissioner (Jersey) http://www.dataprotection.gov.je/GB-JE1 1DD Jersey, Morier House, Halkett Place, St. Helierfax: +44.1534.441065 mail: m.smith@gov.jehttp://www.dataprotection.gov.je/The Office of the Information Commissioner Executive Department http://www.ico.gov.uk/GB-SK9 5AF Wilmslow - Cheshire, Water Lane - Wycliffe Housefax: +44.1625.524510 mail: mail@ico.gsi.gov.ukhttp://www.ico.gov.uk/Common Criteria - Management c/o GCHQ - Government Communications Headquartershttp://www.commoncriteriaportal.org/GB-GL51 0EX Cheltenham, Gloucestershire, Room A2b, Hubble Roadhttp://www.commoncriteriaportal.org/Cyber-Rights & Cybert-Liberties http://www.cyber-rights.orgGB-LS2 9JT Leeds, University of Leedshttp://www.cyber-rights.orgFeminists Against Censorship http://www.fiawol.demon.co.uk/FAC/GB-WC1N 3XX London, BM FAChttp://www.fiawol.demon.co.uk/FAC/Index on Censorship www.indexonline.orgGB-N1 9LH London, 33 Islington High St.www.indexonline.orgLiberty (National Council of Civiel Liberties) www.liberty-human-rights.org.ukGB-SE1 4LA London, 21 Tabard Streetwww.liberty-human-rights.org.ukPrivacy International www.privacy.orgGB-EC1R 1UQ London, 6-8 Amwell Street, Clerkenwellwww.privacy.orgPRIVACY LAWS & BUSINESS http://www.privacylaws.com/GB-HA5 5NE Pinner, Middx, Monument House, 215 Marsh Roadfax: +44.20.8868.5215 mail: info@privacylaws.comhttp://www.privacylaws.com/Statewatch www.statewatch.orgGB-N16 0EW London, PO Box 1516fax: 0044.20.88801727 mail: statewatch-off@geo2.poptel.org.ukwww.statewatch.orgZypernAnhangSeite 10 von 1259 von 11 13.10.2013 16:50

Wichtige Datenschutzorganisationenhttp://www.argedaten.at/php/cms_monitor.php?q=ORG-DATENSCHUTZCommissioner for Personal Data Protection http://www.dataprotection.gov.cy/CY-1066 Nicosia, 40, Th. Dervis Streetfax: +357.22.304565 mail: commissioner@dataprotection.gov.cyhttp://www.dataprotection.gov.cy/IslandIcelandic Data Protection Commission http://personuvernd.is/information-in-english/IS-105 Reykjavik, Raudararstigur 10fax: +354.510.9606 mail: postur@personuvernd.ishttp://personuvernd.is/information-in-english/NorwegenDatatilsynet - The Data Inspectorate www.datatilsynet.noN-0034 Oslo, Tollbugt. 3fax: +47.22.422350 mail: postkasse@datatilsynet.nowww.datatilsynet.noArgentinienDerechos Human Rights www.derechos.orgRA-1159 Ciudad Autonoma de Buenos Aires, Avenida Almirante Brwon 918 Piso 6to. Departamento Dwww.derechos.orgAustralienPrivacy Commissioner http://www.privacy.gov.au/AUS-NSW 1042 Sydney, GPO Box 5218fax: +61.29.2849666 mail: privacy@privacy.gov.auhttp://www.privacy.gov.au/Electonic Frontiers Australia Inc. www.efa.org.auAUS-SA 5006 North Adelaide, PO Box 382www.efa.org.auCAcert.Inc http://www.cacert.orgAUS-NSW 2112 Denistore East, PO Box 4107http://www.cacert.orgHongkongPrivacy Commissioner for Personal Data http://www.pco.org.hk/HK- Wanchai, 12/F, 248 Queen's Road Eastfax: +852.28777026 mail: enquiry@pcpd.org.hkhttp://www.pco.org.hk/IsraelRegistrar of Data Bases, Ministry of Justice http://www.justice.gov.il/MOJEng/default.htmIL-91490 Jerusalem, Salah-a-Din. 29, P.O. Box 49209fax: +972.2.6466357http://www.justice.gov.il/MOJEng/default.htmJapanGovernment Information Protection Office, Bureau Ministry of Public Management, Home Affairs, Posts andTelecommunications http://www.soumu.go.jp/english/index.htmlJ-100-8926 Tokyo, 1-2 Kasumigaseki, Chiyoda-kufax: +81.3.5253-5346 mail: jyoho@soumu.go.jphttp://www.soumu.go.jp/english/index.htmlKanadaThe Federal Privacy Commissioner of Canada http://www.privcom.gc.ca/CDN-K1A 1H3 Ottawa, Ontario, 112 Kent Streetfax: +613.947.6850http://www.privcom.gc.ca/Electronic Frontier Canada www.efc.caCDN-N2G 1Y9 Kitchener, Ontario, 20 Richmond Avenuewww.efc.caPublic Interest Advocacy Center, Ottawa www.piac.caCDN-K1N 7B7 Ottawa, Ontario, 1204 - Nicholas Streetwww.piac.caAnhangSeite 11 von 12510 von 11 13.10.2013 16:50

Wichtige Datenschutzorganisationenhttp://www.argedaten.at/php/cms_monitor.php?q=ORG-DATENSCHUTZKroatienCroatian Personal Data Protection Agency http://www.azop.hr/default.asp?jezik=2HR-10000 Zagreb, Republike Austrije 25fax: +385.1.4609099 mail: info@azop.hrhttp://www.azop.hr/default.asp?jezik=2MonacoCommission de Controle des Informations Nominatives (CCIN) http://www.ccin.mcMC-98000 Monaco, "Gildo Pastor Center" 7, rue du Garbianfax: +37797702245 mail: ccin@gouv.mchttp://www.ccin.mcNeuseelandPrivacy Commissioner http://www.privacy.org.nz/NZ- New Zealand, P.O. Box 466, Auckland 1fax: +649.3022305 mail: enquiries@privacy.org.nzhttp://www.privacy.org.nz/Republik KoreaPersonal data Protection Center Korea Information Security Agency http://www.kisa.or.kr/english/ROK-138-160 Seoul, 78, Karak dong, Songpa-Gufax: +82.2.4055-619http://www.kisa.or.kr/english/Korea Information Security Agency http://www.kisa.or.kr/maine.jspROK-138-160 Seoul, 78, Karak dong, Songpa-Gufax: +82.2.4055.619http://www.kisa.or.kr/maine.jspRussische FöderationHuman Rights Network www.hro.orgRUS-103982 Moskau, 4 Luchnikov pereulok, suite 1www.hro.orgSüdafrikaThe Link Centre, Wits University http://link.wits.ac.zaZA-2050 Wits, PO Box 601http://link.wits.ac.zaThailandOfficial Information Commission's Office, The Prime Minister's OfficeTHA-10300 Dusit Bangkok, Building Government Housefax: +662.281.8543 mail: infothai@a-net.net.thDie angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältigrecherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung desArtikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zumZeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. DieNutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird vonder ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung derentsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähntenUnternehmen, Pixelio, Aboutpixel oder Flickr.Bei Nutzungsproblemen wenden Sie sich bitte an unseren Support! per fax +43(0)1/5320974 oder per e-mail Online HilfeCopyright für den Inhalt: ARGE DATEN - Österreichische Gesellschaft für Datenschutz 2000-2013© ARGE DATEN 2000-2013 webmasterAnhangSeite 12 von 12511 von 11 13.10.2013 16:50

EUR-Lex - 31995L0046 - DEhttp://eur-lex.europa.eu/LexUriServ/LexUriServ...1 von 19 06.03.2007 17:32Avis juridique important31995L0046Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zumSchutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freienDatenverkehrAmtsblatt Nr. L 281 vom 23/11/1995 S. 0031 - 0050RICHTLINIE 95/46/EG DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 24. Oktober 1995zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freienDatenverkehrDAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION -gestützt auf den Vertrag zur Gründung der Europäischen Gemeinschaft, insbesondere auf Artikel100a,auf Vorschlag der Kommission (1),nach Stellungnahme des Wirtschafts- und Sozialausschusses (2),gemäß dem Verfahren des Artikels 189b des Vertrags (3),in Erwägung nachstehender Gründe:(1) Die Ziele der Gemeinschaft, wie sie in dem durch den Vertrag über die Europäische Uniongeänderten Vertrag festgelegt sind, bestehen darin, einen immer engeren Zusammenschluß dereuropäischen Völker zu schaffen, engere Beziehungen zwischen den in der Gemeinschaftzusammengeschlossenen Staaten herzustellen, durch gemeinsames Handeln den wirtschaftlichen undsozialen Fortschritt zu sichern, indem die Europa trennenden Schranken beseitigt werden, dieständige Besserung der Lebensbedingungen ihrer Völker zu fördern, Frieden und Freiheit zu wahrenund zu festigen und für die Demokratie einzutreten und sich dabei auf die in den Verfassungen undGesetzen der Mitgliedstaaten sowie in der Europäischen Konvention zum Schutze der Menschenrechteund Grundfreiheiten anerkannten Grundrechte zu stützen.(2) Die Datenverarbeitungssysteme stehen im Dienste des Menschen; sie haben, ungeachtet derStaatsangehörigkeit oder des Wohnorts der natürlichen Personen, deren Grundrechte und -freiheitenund insbesondere deren Privatsphäre zu achten und zum wirtschaftlichen und sozialen Fortschritt, zurEntwicklung des Handels sowie zum Wohlergehen der Menschen beizutragen.(3) Für die Errichtung und das Funktionieren des Binnenmarktes, der gemäß Artikel 7a des Vertragsden freien Verkehr von Waren, Personen, Dienstleistungen und Kapital gewährleisten soll, ist es nichtnur erforderlich, daß personenbezogene Daten von einem Mitgliedstaat in einen anderen Mitgliedstaatübermittelt werden können, sondern auch, daß die Grundrechte der Personen gewahrt werden.(4) Immer häufiger werden personenbezogene Daten in der Gemeinschaft in den verschiedenenBereichen wirtschaftlicher und sozialer Tätigkeiten verarbeitet. Die Fortschritte derInformationstechnik erleichtern die Verarbeitung und den Austausch dieser Daten beträchtlich.(5) Die wirtschaftliche und soziale Integration, die sich aus der Errichtung und dem Funktionieren desBinnenmarktes im Sinne von Artikel 7a des Vertrags ergibt, wird notwendigerweise zu einer spürbarenZunahme der grenzüberschreitenden Ströme personenbezogener Daten zwischen allen amwirtschaftlichen und sozialen Leben der Mitgliedstaaten Beteiligten im öffentlichen wie im privatenBereich führen. Der Austausch personenbezogener Daten zwischen in verschiedenen Mitgliedstaatenniedergelassenen Unternehmen wird zunehmen. Die Verwaltungen der Mitgliedstaaten sind aufgrunddes Gemeinschaftsrechts gehalten, zusammenzuarbeiten und untereinander personenbezogene Datenauszutauschen, um im Rahmen des Raums ohne Grenzen, wie er durch den Binnenmarkt hergestelltwird, ihren Auftrag erfuellen oder Aufgaben anstelle der Behörden eines anderen Mitgliedstaatsdurchführen zu können.(6) Die verstärkte wissenschaftliche und technische Zusammenarbeit sowie die koordinierteEinführung neuer Telekommunikationsnetze in der Gemeinschaft erfordern und erleichtern dengrenzüberschreitenden Verkehr personenbezogener Daten.(7) Das unterschiedliche Niveau des Schutzes der Rechte und Freiheiten von Personen, insbesondereder Privatsphäre, bei der Verarbeitung personenbezogener Daten in den Mitgliedstaaten kann dieAnhangSeite 13 von 125

EUR-Lex - 31995L0046 - DEhttp://eur-lex.europa.eu/LexUriServ/LexUriServ...2 von 19 06.03.2007 17:32Übermittlung dieser Daten aus dem Gebiet eines Mitgliedstaats in das Gebiet eines anderenMitgliedstaats verhindern. Dieses unterschiedliche Schutzniveau kann somit ein Hemmnis für dieAusübung einer Reihe von Wirtschaftstätigkeiten auf Gemeinschaftsebene darstellen, den Wettbewerbverfälschen und die Erfuellung des Auftrags der im Anwendungsbereich des Gemeinschaftsrechtstätigen Behörden verhindern. Dieses unterschiedliche Schutzniveau ergibt sich aus derVerschiedenartigkeit der einzelstaatlichen Rechts- und Verwaltungsvorschriften.(8) Zur Beseitigung der Hemmnisse für den Verkehr personenbezogener Daten ist ein gleichwertigesSchutzniveau hinsichtlich der Rechte und Freiheiten von Personen bei der Verarbeitung dieser Datenin allen Mitgliedstaaten unerläßlich. Insbesondere unter Berücksichtigung der großen Unterschiede,die gegenwärtig zwischen den einschlägigen einzelstaatlichen Rechtsvorschriften bestehen, und derNotwendigkeit, die Rechtsvorschriften der Mitgliedstaaten zu koordinieren, damit dergrenzüberschreitende Fluß personenbezogener Daten kohärent und in Übereinstimmung mit dem Zieldes Binnenmarktes im Sinne des Artikels 7a des Vertrags geregelt wird, läßt sich dieses für denBinnenmarkt grundlegende Ziel nicht allein durch das Vorgehen der Mitgliedstaaten verwirklichen.Deshalb ist eine Maßnahme der Gemeinschaft zur Angleichung der Rechtsvorschriften erforderlich.(9) Die Mitgliedstaaten dürfen aufgrund des gleichwertigen Schutzes, der sich aus der Angleichungder einzelstaatlichen Rechtsvorschriften ergibt, den freien Verkehr personenbezogener Datenzwischen ihnen nicht mehr aus Gründen behindern, die den Schutz der Rechte und Freiheitennatürlicher Personen und insbesondere das Recht auf die Privatsphäre betreffen. Die Mitgliedstaatenbesitzen einen Spielraum, der im Rahmen der Durchführung der Richtlinie von den Wirtschafts- undSozialpartnern genutzt werden kann. Sie können somit in ihrem einzelstaatlichen Recht allgemeineBedingungen für die Rechtmäßigkeit der Verarbeitung festlegen. Hierbei streben sie eineVerbesserung des gegenwärtig durch ihre Rechtsvorschriften gewährten Schutzes an. Innerhalbdieses Spielraums können unter Beachtung des Gemeinschaftsrechts Unterschiede bei derDurchführung der Richtlinie auftreten, was Auswirkungen für den Datenverkehr sowohl innerhalbeines Mitgliedstaats als auch in der Gemeinschaft haben kann.(10) Gegenstand der einzelstaatlichen Rechtsvorschriften über die Verarbeitung personenbezogenerDaten ist die Gewährleistung der Achtung der Grundrechte und -freiheiten, insbesondere des auch inArtikel 8 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten und inden allgemeinen Grundsätzen des Gemeinschaftsrechts anerkannten Rechts auf die Privatsphäre. DieAngleichung dieser Rechtsvorschriften darf deshalb nicht zu einer Verringerung des durch dieseRechtsvorschriften garantierten Schutzes führen, sondern muß im Gegenteil darauf abzielen, in derGemeinschaft ein hohes Schutzniveau sicherzustellen.(11) Die in dieser Richtlinie enthaltenen Grundsätze zum Schutz der Rechte und Freiheiten derPersonen, insbesondere der Achtung der Privatsphäre, konkretisieren und erweitern die in demÜbereinkommen des Europarats vom 28. Januar 1981 zum Schutze der Personen bei derautomatischen Verarbeitung personenbezogener Daten enthaltenen Grundsätze.(12) Die Schutzprinzipien müssen für alle Verarbeitungen personenbezogener Daten gelten, sobalddie Tätigkeiten des für die Verarbeitung Verantwortlichen in den Anwendungsbereich desGemeinschaftsrechts fallen. Auszunehmen ist die Datenverarbeitung, die von einer natürlichen Personin Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten - wie zum Beispiel Schriftverkehroder Führung von Anschriftenverzeichnissen - vorgenommen wird(13) Die in den Titeln V und VI des Vertrags über die Europäische Union genannten Tätigkeiten, diedie öffentliche Sicherheit, die Landesverteidigung, die Sicherheit des Staates oder die Tätigkeiten desStaates im Bereich des Strafrechts betreffen, fallen unbeschadet der Verpflichtungen derMitgliedstaaten gemäß Artikel 56 Absatz 2 sowie gemäß den Artikeln 57 und 100a des Vertrags zurGründung der Europäischen Gemeinschaft nicht in den Anwendungsbereich des Gemeinschaftsrechts.Die Verarbeitung personenbezogener Daten, die zum Schutz des wirtschaftlichen Wohls des Staateserforderlich ist, fällt nicht unter diese Richtlinie, wenn sie mit Fragen der Sicherheit des Staateszusammenhängt.(14) In Anbetracht der Bedeutung der gegenwärtigen Entwicklung im Zusammenhang mit derInformationsgesellschaft bezüglich Techniken der Erfassung, Übermittlung, Veränderung,Speicherung, Aufbewahrung oder Weitergabe von personenbezogenen Ton- und Bilddaten muß dieseRichtlinie auch auf die Verarbeitung dieser Daten Anwendung finden.(15) Die Verarbeitung solcher Daten wird von dieser Richtlinie nur erfaßt, wenn sie automatisierterfolgt oder wenn die Daten, auf die sich die Verarbeitung bezieht, in Dateien enthalten oder fürsolche bestimmt sind, die nach bestimmten personenbezogenen Kriterien strukturiert sind, um einenleichten Zugriff auf die Daten zu ermöglichen.(16) Die Verarbeitung von Ton- und Bilddaten, wie bei der Videoüberwachung, fällt nicht unter dieseRichtlinie, wenn sie für Zwecke der öffentlichen Sicherheit, der Landesverteidigung, der Sicherheit desStaates oder der Tätigkeiten des Staates im Bereich des Strafrechts oder anderen Tätigkeiten erfolgt,die nicht unter das Gemeinschaftsrecht fallen.AnhangSeite 14 von 125

EUR-Lex - 31995L0046 - DEhttp://eur-lex.europa.eu/LexUriServ/LexUriServ...3 von 19 06.03.2007 17:32(17) Bezüglich der Verarbeitung von Ton- und Bilddaten für journalistische, literarische oderkünstlerische Zwecke, insbesondere im audiovisuellen Bereich, finden die Grundsätze dieser Richtliniegemäß Artikel 9 eingeschränkt Anwendung.(18) Um zu vermeiden, daß einer Person der gemäß dieser Richtlinie gewährleistete Schutzvorenthalten wird, müssen auf jede in der Gemeinschaft erfolgte Verarbeitung personenbezogenerDaten die Rechtsvorschriften eines Mitgliedstaats angewandt werden. Es ist angebracht, auf dieVerarbeitung, die von einer Person, die dem in dem Mitgliedstaat niedergelassenen für dieVerarbeitung Verantwortlichen unterstellt ist, vorgenommen werden, die Rechtsvorschriften diesesStaates anzuwenden.(19) Eine Niederlassung im Hoheitsgebiet eines Mitgliedstaats setzt die effektive und tatsächlicheAusübung einer Tätigkeit mittels einer festen Einrichtung voraus. Die Rechtsform einer solchenNiederlassung, die eine Agentur oder eine Zweigstelle sein kann, ist in dieser Hinsicht nichtmaßgeblich. Wenn der Verantwortliche im Hoheitsgebiet mehrerer Mitgliedstaaten niedergelassen ist,insbesondere mit einer Filiale, muß er vor allem zu Vermeidung von Umgehungen sicherstellen, daßjede dieser Niederlassungen die Verpflichtungen einhält, die im jeweiligen einzelstaatlichen Rechtvorgesehen sind, das auf ihre jeweiligen Tätigkeiten anwendbar ist.(20) Die Niederlassung des für die Verarbeitung Verantwortlichen in einem Drittland darf dem Schutzder Personen gemäß dieser Richtlinie nicht entgegenstehen. In diesem Fall sind die Verarbeitungendem Recht des Mitgliedstaats zu unterwerfen, in dem sich die für die betreffenden Verarbeitungenverwendeten Mittel befinden, und Vorkehrungen zu treffen, um sicherzustellen, daß die in dieserRichtlinie vorgesehenen Rechte und Pflichten tatsächlich eingehalten werden.(21) Diese Richtlinie berührt nicht die im Strafrecht geltenden Territorialitätsregeln.(22) Die Mitgliedstaaten können in ihren Rechtsvorschriften oder bei der Durchführung derVorschriften zur Umsetzung dieser Richtlinie die allgemeinen Bedingungen präzisieren, unter denendie Verarbeitungen rechtmäßig sind. Insbesondere nach Artikel 5 in Verbindung mit den Artikeln 7und 8 können die Mitgliedstaaten neben den allgemeinen Regeln besondere Bedingungen für dieDatenverarbeitung in spezifischen Bereichen und für die verschiedenen Datenkategorien gemäßArtikel 8 vorsehen.(23) Die Mitgliedstaaten können den Schutz von Personen sowohl durch ein allgemeines Gesetz zumSchutz von Personen bei der Verarbeitung personenbezogener Daten als auch durch gesetzlicheRegelungen für bestimmte Bereiche, wie zum Beispiel die statistischen Ämter, sicherstellen.(24) Diese Richtlinie berührt nicht die Rechtsvorschriften zum Schutz juristischer Personen bei derVerarbeitung von Daten, die sich auf sie beziehen.(25) Die Schutzprinzipien finden zum einen ihren Niederschlag in den Pflichten, die den Personen,Behörden, Unternehmen, Geschäftsstellen oder anderen für die Verarbeitung verantwortlichen Stellenobliegen; diese Pflichten betreffen insbesondere die Datenqualität, die technische Sicherheit, dieMeldung bei der Kontrollstelle und die Voraussetzungen, unter denen eine Verarbeitungvorgenommen werden kann. Zum anderen kommen sie zum Ausdruck in den Rechten der Personen,deren Daten Gegenstand von Verarbeitungen sind, über diese informiert zu werden, Zugang zu denDaten zu erhalten, ihre Berichtigung verlangen bzw. unter gewissen Voraussetzungen Widerspruchgegen die Verarbeitung einlegen zu können.(26) Die Schutzprinzipien müssen für alle Informationen über eine bestimmte oder bestimmbarePerson gelten. Bei der Entscheidung, ob eine Person bestimmbar ist, sollten alle Mittel berücksichtigtwerden, die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder voneinem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen. DieSchutzprinzipien finden keine Anwendung auf Daten, die derart anonymisiert sind, daß die betroffenePerson nicht mehr identifizierbar ist. Die Verhaltensregeln im Sinne des Artikels 27 können einnützliches Instrument sein, mit dem angegeben wird, wie sich die Daten in einer Form anonymisierenund aufbewahren lassen, die die Identifizierung der betroffenen Person unmöglich macht.(27) Datenschutz muß sowohl für automatisierte als auch für nicht automatisierte Verarbeitungengelten. In der Tat darf der Schutz nicht von den verwendeten Techniken abhängen, da andernfallsernsthafte Risiken der Umgehung entstehen würden. Bei manuellen Verarbeitungen erfaßt dieseRichtlinie lediglich Dateien, nicht jedoch unstrukturierte Akten. Insbesondere muß der Inhalt einerDatei nach bestimmten personenbezogenen Kriterien strukturiert sein, die einen leichten Zugriff aufdie Daten ermöglichen. Nach der Definition in Artikel 2 Buchstabe c) können die Mitgliedstaaten dieKriterien zur Bestimmung der Elemente einer strukturierten Sammlung personenbezogener Datensowie die verschiedenen Kriterien zur Regelung des Zugriffs zu einer solchen Sammlung festlegen.Akten und Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien strukturiertsind, fallen unter keinen Umständen in den Anwendungsbereich dieser Richtlinie.(28) Die Verarbeitung personenbezogener Daten muß gegenüber den betroffenen Personen nachTreu und Glauben erfolgen. Sie hat den angestrebten Zweck zu entsprechen, dafür erheblich zu seinAnhangSeite 15 von 125

EUR-Lex - 31995L0046 - DEhttp://eur-lex.europa.eu/LexUriServ/LexUriServ...4 von 19 06.03.2007 17:32und nicht darüber hinauszugehen. Die Zwecke müssen eindeutig und rechtmäßig sein und bei derDatenerhebung festgelegt werden. Die Zweckbestimmungen der Weiterverarbeitung nach derErhebung dürfen nicht mit den ursprünglich festgelegten Zwecken unvereinbar sein.(29) Die Weiterverarbeitung personenbezogener Daten für historische, statistische oderwissenschaftliche Zwecke ist im allgemeinen nicht als unvereinbar mit den Zwecken dervorausgegangenen Datenerhebung anzusehen, wenn der Mitgliedstaat geeignete Garantien vorsieht.Diese Garantien müssen insbesondere ausschließen, daß die Daten für Maßnahmen oderEntscheidungen gegenüber einzelnen Betroffenen verwendet werden.(30) Die Verarbeitung personenbezogener Daten ist nur dann rechtmäßig, wenn sie auf derEinwilligung der betroffenen Person beruht oder notwendig ist im Hinblick auf den Abschluß oder dieErfuellung eines für die betroffene Person bindenden Vertrags, zur Erfuellung einer gesetzlichenVerpflichtung, zur Wahrnehmung einer Aufgabe im öffentlichen Interesse, in Ausübung hoheitlicherGewalt oder wenn sie im Interesse einer anderen Person erforderlich ist, vorausgesetzt, daß dieInteressen oder die Rechte und Freiheiten der betroffenen Person nicht überwiegen. Um denAusgleich der in Frage stehenden Interessen unter Gewährleistung eines effektiven Wettbewerbssicherzustellen, können die Mitgliedstaaten insbesondere die Bedingungen näher bestimmen, unterdenen personenbezogene Daten bei rechtmäßigen Tätigkeiten im Rahmen laufender Geschäfte vonUnternehmen und anderen Einrichtungen an Dritte weitergegeben werden können. Ebenso könnensie die Bedingungen festlegen, unter denen personenbezogene Daten an Dritte zum Zweck derkommerziellen Werbung oder der Werbung von Wohltätigkeitsverbänden oder anderen Vereinigungenoder Stiftungen, z. B. mit politischer Ausrichtung, weitergegeben werden können, und zwar unterBerücksichtigung der Bestimmungen dieser Richtlinie, nach denen betroffene Personen ohne Angabevon Gründen und ohne Kosten Widerspruch gegen die Verarbeitung von Daten, die sie betreffen,erheben können.(31) Die Verarbeitung personenbezogener Daten ist ebenfalls als rechtmäßig anzusehen, wenn sieerfolgt, um ein für das Leben der betroffenen Person wesentliches Interesse zu schützen.(32) Es ist nach einzelstaatlichem Recht festzulegen, ob es sich bei dem für die VerarbeitungVerantwortlichen, der mit der Wahrnehmung einer Aufgabe betraut wurde, die im öffentlichenInteresse liegt oder in Ausübung hoheitlicher Gewalt erfolgt, um eine Behörde oder um eine andereunter das öffentliche Recht oder das Privatrecht fallende Person, wie beispielsweise eineBerufsvereinigung, handeln soll.(33) Daten, die aufgrund ihrer Art geeignet sind, die Grundfreiheiten oder die Privatsphäre zubeeinträchtigen, dürfen nicht ohne ausdrückliche Einwilligung der betroffenen Person verarbeitetwerden. Ausnahmen von diesem Verbot müssen ausdrücklich vorgesehen werden bei spezifischenNotwendigkeiten, insbesondere wenn die Verarbeitung dieser Daten für gewisse auf dasGesundheitswesen bezogene Zwecke von Personen vorgenommen wird, die nach demeinzelstaatlichen Recht dem Berufsgeheimnis unterliegen, oder wenn die Verarbeitung für berechtigteTätigkeiten bestimmter Vereinigungen oder Stiftungen vorgenommen wird, deren Ziel es ist, dieAusübung von Grundfreiheiten zu ermöglichen.(34) Die Mitgliedstaaten können, wenn dies durch ein wichtiges öffentliches Interesse gerechtfertigtist, Ausnahmen vom Verbot der Verarbeitung sensibler Datenkategorien vorsehen in Bereichen wiedem öffentlichen Gesundheitswesen und der sozialen Sicherheit - insbesondere hinsichtlich derSicherung von Qualität und Wirtschaftlichkeit der Verfahren zur Abrechnung von Leistungen in densozialen Krankenversicherungssystemen -, der wissenschaftlichen Forschung und der öffentlichenStatistik. Die Mitgliedstaaten müssen jedoch geeignete besondere Garantien zum Schutz derGrundrechte und der Privatsphäre von Personen vorsehen.(35) Die Verarbeitung personenbezogener Daten durch staatliche Stellen für verfassungsrechtlich oderim Völkerrecht niedergelegte Zwecke von staatlich anerkannten Religionsgesellschaften erfolgtebenfalls im Hinblick auf ein wichtiges öffentliches Interesse.(36) Wenn es in bestimmten Mitgliedstaaten zum Funktionieren des demokratischen Systems gehört,daß die politischen Parteien im Zusammenhang mit Wahlen Daten über die politische Einstellung vonPersonen sammeln, kann die Verarbeitung derartiger Daten aus Gründen eines wichtigen öffentlichenInteresses zugelassen werden, sofern angemessene Garantien vorgesehen werden.(37) Für die Verarbeitung personenbezogener Daten zu journalistischen, literarischen oderkünstlerischen Zwecken, insbesondere im audiovisuellen Bereich, sind Ausnahmen von bestimmtenVorschriften dieser Richtlinie vorzusehen, soweit sie erforderlich sind, um die Grundrechte der Personmit der Freiheit der Meinungsäußerung und insbesondere der Freiheit, Informationen zu erhalten oderweiterzugeben, die insbesondere in Artikel 10 der Europäischen Konvention zum Schutze derMenschenrechte und der Grundfreiheiten garantiert ist, in Einklang zu bringen. Es obliegt deshalb denMitgliedstaaten, unter Abwägung der Grundrechte Ausnahmen und Einschränkungen festzulegen, diebei den allgemeinen Maßnahmen zur Rechtmäßigkeit der Verarbeitung von Daten, bei denMaßnahmen zur Übermittlung der Daten in Drittländer sowie hinsichtlich der Zuständigkeiten derAnhangSeite 16 von 125

EUR-Lex - 31995L0046 - DEhttp://eur-lex.europa.eu/LexUriServ/LexUriServ...Kontrollstellen erforderlich sind, ohne daß jedoch Ausnahmen bei den Maßnahmen zurGewährleistung der Sicherheit der Verarbeitung vorzusehen sind. Ferner sollte mindestens die indiesem Bereich zuständige Kontrollstelle bestimmte nachträgliche Zuständigkeiten erhalten,beispielsweise zur regelmäßigen Veröffentlichung eines Berichts oder zur Befassung derJustizbehörden.(38) Datenverarbeitung nach Treu und Glauben setzt voraus, daß die betroffenen Personen in derLage sind, das Vorhandensein einer Verarbeitung zu erfahren und ordnungsgemäß und umfassendüber die Bedingungen der Erhebung informiert zu werden, wenn Daten bei ihnen erhoben werden.(39) Bestimmte Verarbeitungen betreffen Daten, die der Verantwortliche nicht unmittelbar bei derbetroffenen Person erhoben hat. Des weiteren können Daten rechtmäßig an Dritte weitergegebenwerden, auch wenn die Weitergabe bei der Erhebung der Daten bei der betroffenen Person nichtvorgesehen war. In diesen Fällen muß die betroffene Person zum Zeitpunkt der Speicherung derDaten oder spätestens bei der erstmaligen Weitergabe der Daten an Dritte unterrichtet werden.(40) Diese Verpflichtung erübrigt sich jedoch, wenn die betroffene Person bereits unterrichtet ist. Siebesteht auch nicht, wenn die Speicherung oder Weitergabe durch Gesetz ausdrücklich vorgesehen istoder wenn die Unterrichtung der betroffenen Person unmöglich ist oder unverhältnismäßigenAufwand erfordert, was bei Verarbeitungen für historische, statistische oder wissenschaftliche Zweckeder Fall sein kann. Diesbezüglich können die Zahl der betroffenen Personen, das Alter der Daten undetwaige Ausgleichsmaßnahmen in Betracht gezogen werden.(41) Jede Person muß ein Auskunftsrecht hinsichtlich der sie betreffenden Daten, die Gegenstandeiner Verarbeitung sind, haben, damit sie sich insbesondere von der Richtigkeit dieser Daten und derZulässigkeit ihrer Verarbeitung überzeugen kann. Aus denselben Gründen muß jede Person außerdemdas Recht auf Auskunft über den logischen Aufbau der automatisierten Verarbeitung der siebetreffenden Daten, zumindest im Fall automatisierter Entscheidungen im Sinne des Artikels 15Absatz 1, besitzen. Dieses Recht darf weder das Geschäftsgeheimnis noch das Recht an geistigemEigentum, insbesondere das Urheberrecht zum Schutz von Software, berühren. Dies darf allerdingsnicht dazu führen, daß der betroffenen Person jegliche Auskunft verweigert wird.(42) Die Mitgliedstaaten können die Auskunfts- und Informationsrechte im Interesse der betroffenenPerson oder zum Schutz der Rechte und Freiheiten Dritter einschränken. Zum Beispiel können sievorsehen, daß Auskunft über medizinische Daten nur über ärztliches Personal erhalten werden kann.(43) Die Mitgliedstaaten können Beschränkungen des Auskunfts- und Informationsrechts sowiebestimmter Pflichten des für die Verarbeitung Verantwortlichen vorsehen, soweit dies beispielsweisefür die Sicherheit des Staates, die Landesverteidigung, die öffentliche Sicherheit, für zwingendewirtschaftliche oder finanzielle Interessen eines Mitgliedstaats oder der Union oder für die Ermittlungund Verfolgung von Straftaten oder von Verstößen gegen Standesregeln bei reglementierten Berufenerforderlich ist. Als Ausnahmen und Beschränkungen sind Kontroll-, Überwachungs- undOrdnungsfunktionen zu nennen, die in den drei letztgenannten Bereichen in bezug auf öffentlicheSicherheit, wirtschaftliches oder finanzielles Interesse und Strafverfolgung erforderlich sind. DieErwähnung der Aufgaben in diesen drei Bereichen läßt die Zulässigkeit von Ausnahmen undEinschränkungen aus Gründen der Sicherheit des Staates und der Landesverteidigung unberührt.(44) Die Mitgliedstaaten können aufgrund gemeinschaftlicher Vorschriften gehalten sein, von den dasAuskunftsrecht, die Information der Personen und die Qualität der Daten betreffenden Bestimmungendieser Richtlinie abzuweichen, um bestimmte der obengenannten Zweckbestimmungen zu schützen.(45) Auch wenn die Daten Gegenstand einer rechtmäßigen Verarbeitung aufgrund eines öffentlichenInteresses, der Ausübung hoheitlicher Gewalt oder der Interessen eines einzelnen sein können, solltedoch jede betroffene Person das Recht besitzen, aus überwiegenden, schutzwürdigen, sich aus ihrerbesonderen Situation ergebenden Gründen Widerspruch dagegen einzulegen, daß die siebetreffenden Daten verarbeitet werden. Die Mitgliedstaaten können allerdings innerstaatlicheBestimmungen vorsehen, die dem entgegenstehen.(46) Für den Schutz der Rechte und Freiheiten der betroffenen Personen bei der Verarbeitungpersonenbezogener Daten müssen geeignete technische und organisatorische Maßnahmen getroffenwerden, und zwar sowohl zum Zeitpunkt der Planung des Verarbeitungssystems als auch zumZeitpunkt der eigentlichen Verarbeitung, um insbesondere deren Sicherheit zu gewährleisten undsomit jede unrechtmäßige Verarbeitung zu verhindern. Die Mitgliedstaaten haben dafür Sorge zutragen, daß der für die Verarbeitung Verantwortliche diese Maßnahmen einhält. Diese Maßnahmenmüssen unter Berücksichtigung des Standes der Technik und der bei ihrer Durchführungentstehenden Kosten ein Schutzniveau gewährleisten, das den von der Verarbeitung ausgehendenRisiken und der Art der zu schützenden Daten angemessen ist.(47) Wird eine Nachricht, die personenbezogene Daten enthält, über Telekommunikationsdienste oderdurch elektronische Post übermittelt, deren einziger Zweck darin besteht, Nachrichten dieser Art zuübermitteln, so gilt in der Regel die Person, von der die Nachricht stammt, und nicht die Person, dieAnhangSeite 17 von 1255 von 19 06.03.2007 17:32

EUR-Lex - 31995L0046 - DEhttp://eur-lex.europa.eu/LexUriServ/LexUriServ...6 von 19 06.03.2007 17:32den Übermittlungsdienst anbietet, als Verantwortlicher für die Verarbeitung der in der Nachrichtenthaltenen personenbezogenen Daten. Jedoch gelten die Personen, die diese Dienste anbieten, inder Regel als Verantwortliche für die Verarbeitung der personenbezogenen Daten, die zusätzlich fürden Betrieb des Dienstes erforderlich sind.(48) Die Meldeverfahren dienen der Offenlegung der Zweckbestimmungen der Verarbeitungen sowieihrer wichtigsten Merkmale mit dem Zweck der Überprüfung ihrer Vereinbarkeit mit deneinzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie.(49) Um unangemessene Verwaltungsformalitäten zu vermeiden, können die Mitgliedstaaten beiVerarbeitungen, bei denen eine Beeinträchtigung der Rechte und Freiheiten der Betroffenen nicht zuerwarten ist, von der Meldepflicht absehen oder sie vereinfachen, vorausgesetzt, daß dieseVerarbeitungen den Bestimmungen entsprechen, mit denen der Mitgliedstaat die Grenzen solcherVerarbeitungen festgelegt hat. Eine Befreiung oder eine Vereinfachung kann ebenso vorgesehenwerden, wenn ein vom für die Verarbeitung Verantwortlichen benannter Datenschutzbeauftragtersicherstellt, daß eine Beeinträchtigung der Rechte und Freiheiten der Betroffenen durch dieVerarbeitung nicht zu erwarten ist. Ein solcher Beauftragter, ob Angestellter des für die VerarbeitungVerantwortlichen oder externer Beauftragter, muß seine Aufgaben in vollständiger Unabhängigkeitausüben können.(50) Die Befreiung oder Vereinfachung kann vorgesehen werden für Verarbeitungen, deren einzigerZweck das Führen eines Registers ist, das gemäß einzelstaatlichem Recht zur Information derÖffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die einberechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht.(51) Die Vereinfachung oder Befreiung von der Meldepflicht entbindet jedoch den für die VerarbeitungVerantwortlichen von keiner der anderen sich aus dieser Richtlinie ergebenen Verpflichtungen.(52) In diesem Zusammenhang ist die nachträgliche Kontrolle durch die zuständigen Stellen imallgemeinen als ausreichende Maßnahme anzusehen.(53) Bestimmte Verarbeitungen können jedoch aufgrund ihrer Art, ihrer Tragweite oder ihrerZweckbestimmung - wie beispielsweise derjenigen, betroffene Personen von der Inanspruchnahmeeines Rechts, einer Leistung oder eines Vertrags auszuschließen - oder aufgrund der besonderenVerwendung einer neuen Technologie besondere Risiken im Hinblick auf die Rechte und Freiheitender betroffenen Personen aufweisen. Es obliegt den Mitgliedstaaten, derartige Risiken in ihrenRechtsvorschriften aufzuführen, wenn sie dies wünschen.(54) Bei allen in der Gesellschaft durchgeführten Verarbeitungen sollte die Zahl der Verarbeitungenmit solchen besonderen Risiken sehr beschränkt sein. Die Mitgliedstaaten müssen für dieseVerarbeitungen vorsehen, daß vor ihrer Durchführung eine Vorabprüfung durch die Kontrollstelle oderin Zusammenarbeit mit ihr durch den Datenschutzbeauftragten vorgenommen wird. Als Ergebnisdieser Vorabprüfung kann die Kontrollstelle gemäß einzelstaatlichem Recht eine Stellungnahmeabgeben oder die Verarbeitung genehmigen. Diese Prüfung kann auch bei der Ausarbeitung einergesetzgeberischen Maßnahme des nationalen Parlaments oder einer auf eine solche gesetzgeberischeMaßnahme gestützten Maßnahme erfolgen, die die Art der Verarbeitung und geeignete Garantienfestlegt.(55) Für den Fall der Mißachtung der Rechte der betroffenen Personen durch den für die VerarbeitungVerantwortlichen ist im nationalen Recht eine gerichtliche Überprüfungsmöglichkeit vorzusehen.Mögliche Schäden, die den Personen aufgrund einer unzulässigen Verarbeitung entstehen, sind vondem für die Verarbeitung Verantwortlichen zu ersetzen, der von seiner Haftung befreit werden kann,wenn er nachweist, daß der Schaden ihm nicht angelastet werden kann, insbesondere weil einFehlverhalten der betroffenen Person oder ein Fall höherer Gewalt vorliegt. Unabhängig davon, ob essich um eine Person des Privatrechts oder des öffentlichen Rechts handelt, müssen Sanktionen jedePerson treffen, die die einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie nicht einhält.(56) Grenzüberschreitender Verkehr von personenbezogenen Daten ist für die Entwicklung desinternationalen Handels notwendig. Der in der Gemeinschaft durch diese Richtlinie gewährte Schutzvon Personen steht der Übermittlung personenbezogener Daten in Drittländer, die ein angemessenesSchutzniveau aufweisen, nicht entgegen. Die Angemessenheit des Schutzniveaus, das ein Drittlandbietet, ist unter Berücksichtigung aller Umstände im Hinblick auf eine Übermittlung oder eineKategorie von Übermittlungen zu beurteilen.(57) Bietet hingegen ein Drittland kein angemessenes Schutzniveau, so ist die Übermittlungpersonenbezogener Daten in dieses Land zu untersagen.(58) Ausnahmen von diesem Verbot sind unter bestimmten Voraussetzungen vorzusehen, wenn diebetroffene Person ihre Einwilligung erteilt hat oder die Übermittlung im Rahmen eines Vertrags oderGerichtsverfahrens oder zur Wahrung eines wichtigen öffentlichen Interesses erforderlich ist, wie zumBeispiel bei internationalem Datenaustausch zwischen Steuer- oder Zollverwaltungen oder zwischenDiensten, die für Angelegenheiten der sozialen Sicherheit zuständig sind. Ebenso kann eineAnhangSeite 18 von 125

EUR-Lex - 31995L0046 - DEhttp://eur-lex.europa.eu/LexUriServ/LexUriServ...7 von 19 06.03.2007 17:32Übermittlung aus einem gesetzlich vorgesehenen Register erfolgen, das der öffentlichenEinsichtnahme oder der Einsichtnahme durch Personen mit berechtigtem Interesse dient. In diesemFall sollte eine solche Übermittlung nicht die Gesamtheit oder ganze Kategorien der im Registerenthaltenen Daten umfassen. Ist ein Register zur Einsichtnahme durch Personen mit berechtigtemInteresse bestimmt, so sollte die Übermittlung nur auf Antrag dieser Person oder nur dann erfolgen,wenn diese Person die Adressaten der Übermittlung sind.(59) Besondere Maßnahmen können getroffen werden, um das unzureichende Schutzniveau in einemDrittland auszugleichen, wenn der für die Verarbeitung Verantwortliche geeignete Sicherheitennachweist. Außerdem sind Verfahren für die Verhandlungen zwischen der Gemeinschaft und denbetreffenden Drittländern vorzusehen.(60) Übermittlungen in Drittstaaten dürfen auf jeden Fall nur unter voller Einhaltung derRechtsvorschriften erfolgen, die die Mitgliedstaaten gemäß dieser Richtlinie, insbesondere gemäßArtikel 8, erlassen haben.(61) Die Mitgliedstaaten und die Kommission müssen in ihren jeweiligen Zuständigkeitsbereichen diebetroffenen Wirtschaftskreise ermutigen, Verhaltensregeln auszuarbeiten, um unter Berücksichtigungder Besonderheiten der Verarbeitung in bestimmten Bereichen die Durchführung dieser Richtlinie imEinklang mit den hierfür vorgesehenen einzelstaatlichen Bestimmungen zu fördern.(62) Die Einrichtung unabhängiger Kontrollstellen in den Mitgliedstaaten ist ein wesentliches Elementdes Schutzes der Personen bei der Verarbeitung personenbezogener Daten.(63) Diese Stellen sind mit den notwendigen Mitteln für die Erfuellung dieser Aufgabe auszustatten, d.h. Untersuchungs- und Einwirkungsbefugnissen, insbesondere bei Beschwerden, sowie Klagerecht.Die Kontrollstellen haben zur Transparenz der Verarbeitungen in dem Mitgliedstaat beizutragen, demsie unterstehen.(64) Die Behörden der verschiedenen Mitgliedstaaten werden einander bei der Wahrnehmung ihrerAufgaben unterstützen müssen, um sicherzustellen, daß die Schutzregeln in der ganzen EuropäischenUnion beachtet werden.(65) Auf Gemeinschaftsebene ist eine Arbeitsgruppe für den Schutz der Rechte von Personen bei derVerarbeitung personenbezogener Daten einzusetzen, die ihre Aufgaben in völliger Unabhängigkeitwahrzunehmen hat. Unter Berücksichtigung dieses besonderen Charakters hat sie die Kommission zuberaten und insbesondere zur einheitlichen Anwendung der zur Umsetzung dieser Richtlinieerlassenen einzelstaatlichen Vorschriften beizutragen.(66) Für die Übermittlung von Daten in Drittländern ist es zur Anwendung dieser Richtlinieerforderlich, der Kommission Durchführungsbefugnisse zu übertragen und ein Verfahren gemäß denBestimmungen des Beschlusses 87/373/EWG des Rates (4) festzulegen.(67) Am 20. Dezember 1994 wurde zwischen dem Europäischen Parlament, dem Rat und derKommission ein Modus vivendi betreffend die Maßnahmen zur Durchführung der nach dem Verfahrendes Artikels 189b des EG-Vertrag erlassenen Rechtsakte vereinbart.(68) Die in dieser Richtlinie enthaltenen Grundsätze des Schutzes der Rechte und Freiheiten derPersonen und insbesondere der Achtung der Privatsphäre bei der Verarbeitung personenbezogenerDaten können - besonders für bestimmte Bereiche - durch spezifische Regeln ergänzt oder präzisiertwerden, die mit diesen Grundsätzen in Einklang stehen.(69) Den Mitgliedstaaten sollte eine Frist von längstens drei Jahren ab Inkrafttreten ihrer Vorschriftenzur Umsetzung dieser Richtlinie eingeräumt werden, damit sie die neuen einzelstaatlichen Vorschriftenfortschreitend auf alle bereits laufenden Verarbeitungen anwenden können. Um eine kosteneffizienteDurchführung dieser Vorschriften zu erleichtern, wird den Mitgliedstaaten eine weitere Frist von zwölfJahren nach Annahme dieser Richtlinie eingeräumt, um die Anpassung bestehender manuellerDateien an bestimmte Vorschriften dieser Richtlinie sicherzustellen. Werden in solchen Dateienenthaltene Daten während dieser erweiterten Umsetzungsfrist manuell verarbeitet, so sollten dieDateien zum Zeitpunkt der Verarbeitung mit diesen Vorschriften in Einklang gebracht werden.(70) Die betroffene Person braucht nicht erneut ihre Einwilligung zu geben, damit der Verantwortlichenach Inkrafttreten der einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie eine Verarbeitungsensibler Daten fortführen kann, die für die Erfuellung eines in freier Willenserklärung geschlossenenVertrags erforderlich ist und vor Inkrafttreten der genannten Vorschriften mitgeteilt wurde.(71) Diese Richtlinie steht den gesetzlichen Regelungen eines Mitgliedstaats im Bereich dergeschäftsmäßigen Werbung gegenüber in seinem Hoheitsgebiet ansässigen Verbrauchern nichtentgegen, sofern sich diese gesetzlichen Regelungen nicht auf den Schutz der Person bei derVerarbeitung personenbezogener Daten beziehen.(72) Diese Richtlinie erlaubt bei der Umsetzung der mit ihr festgelegten Grundsätze dieBerücksichtigung des Grundsatzes des öffentlichen Zugangs zu amtlichen Dokumenten -HABEN FOLGENDE RICHTLINIE ERLASSEN:AnhangSeite 19 von 125

EUR-Lex - 31995L0046 - DEhttp://eur-lex.europa.eu/LexUriServ/LexUriServ...8 von 19 06.03.2007 17:32KAPITEL I ALLGEMEINE BESTIMMUNGENArtikel 1Gegenstand der Richtlinie(1) Die Mitgliedstaaten gewährleisten nach den Bestimmungen dieser Richtlinie den Schutz derGrundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personenbei der Verarbeitung personenbezogener Daten.(2) Die Mitgliedstaaten beschränken oder untersagen nicht den freien Verkehr personenbezogenerDaten zwischen Mitgliedstaaten aus Gründen des gemäß Absatz 1 gewährleisteten Schutzes.Artikel 2BegriffsbestimmungenIm Sinne dieser Richtlinie bezeichnet der Ausdrucka) "personenbezogene Daten" alle Informationen über eine bestimmte oder bestimmbare natürlichePerson ("betroffene Person"); als bestimmbar wird eine Person angesehen, die direkt oder indirektidentifiziert werden kann, insbesondere durch Zuordnung zu einer Kennummer oder zu einem odermehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen,wirtschaftlichen, kulturellen oder sozialen Identität sind;b) "Verarbeitung personenbezogener Daten" ("Verarbeitung") jeden mit oder ohne Hilfeautomatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mitpersonenbezogenen Daten wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, dieAnpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durchÜbermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder dieVerknüpfung sowie das Sperren, Löschen oder Vernichten;c) "Datei mit personenbezogenen Daten" ("Datei") jede strukturierte Sammlung personenbezogenerDaten, die nach bestimmten Kriterien zugänglich sind, gleichgültig ob diese Sammlung zentral,dezentralisiert oder nach funktionalen oder geographischen Gesichtspunkten aufgeteilt geführt wird;d) "für die Verarbeitung Verantwortlicher" die natürliche oder juristische Person, Behörde, Einrichtungoder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel derVerarbeitung von personenbezogenen Daten entscheidet. Sind die Zwecke und Mittel derVerarbeitung von personenbezogenen Daten in einzelstaatlichen oder gemeinschaftlichen Rechts- undVerwaltungsvorschriften festgelegt, so können der für die Verarbeitung Verantwortliche bzw. diespezifischen Kriterien für seine Benennung durch einzelstaatliche oder gemeinschaftlicheRechtsvorschriften bestimmt werden;e) "Auftragsverarbeiter" die natürliche oder juristische Person, Behörde, Einrichtung oder jede andereStelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet;f) "Dritter" die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, außerder betroffenen Person, dem für die Verarbeitung Verantwortlichen, dem Auftragsverarbeiter und denPersonen, die unter der unmittelbaren Verantwortung des für die Verarbeitung Verantwortlichen oderdes Auftragsverarbeiters befugt sind, die Daten zu verarbeiten;g) "Empfänger" die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle,die Daten erhält, gleichgültig, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die imRahmen eines einzelnen Untersuchungsauftrags möglicherweise Daten erhalten, gelten jedoch nichtals Empfänger;h) "Einwilligung der betroffenen Person" jede Willensbekundung, die ohne Zwang, für den konkretenFall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, daßpersonenbezogene Daten, die sie betreffen, verarbeitet werden.Artikel 3Anwendungsbereich(1) Diese Richtlinie gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogenerDaten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einer Dateigespeichert sind oder gespeichert werden sollen.(2) Diese Richtlinie findet keine Anwendung auf die Verarbeitung personenbezogener Daten,- die für die Ausübung von Tätigkeiten erfolgt, die nicht in den Anwendungsbereich desGemeinschaftsrechts fallen, beispielsweise Tätigkeiten gemäß den Titeln V und VI des Vertrags überdie Europäische Union, und auf keinen Fall auf Verarbeitungen betreffend die öffentliche Sicherheit,die Landesverteidigung, die Sicherheit des Staates (einschließlich seines wirtschaftlichen Wohls, wenndie Verarbeitung die Sicherheit des Staates berührt) und die Tätigkeiten des Staates imstrafrechtlichen Bereich;- die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärerAnhangSeite 20 von 125

EUR-Lex - 31995L0046 - DEhttp://eur-lex.europa.eu/LexUriServ/LexUriServ...9 von 19 06.03.2007 17:32Tätigkeiten vorgenommen wird.Artikel 4Anwendbares einzelstaatliches Recht(1) Jeder Mitgliedstaat wendet die Vorschriften, die er zur Umsetzung dieser Richtlinie erläßt, auf alleVerarbeitungen personenbezogener Daten an,a) die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für dieVerarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt. Wenn derVerantwortliche eine Niederlassung im Hoheitsgebiet mehrerer Mitgliedstaaten besitzt, ergreift er dienotwendigen Maßnahmen, damit jede dieser Niederlassungen die im jeweils anwendbareneinzelstaatlichen Recht festgelegten Verpflichtungen einhält;b) die von einem für die Verarbeitung Verantwortlichen ausgeführt werden, der nicht in seinemHoheitsgebiet, aber an einem Ort niedergelassen ist, an dem das einzelstaatliche Recht diesesMitgliedstaats gemäß dem internationalen öffentlichen Recht Anwendung findet;c) die von einem für die Verarbeitung Verantwortlichen ausgeführt werden, der nicht im Gebiet derGemeinschaft niedergelassen ist und zum Zwecke der Verarbeitung personenbezogener Daten aufautomatisierte oder nicht automatisierte Mittel zurückgreift, die im Hoheitsgebiet des betreffendenMitgliedstaats belegen sind, es sei denn, daß diese Mittel nur zum Zweck der Durchfuhr durch dasGebiet der Europäischen Gemeinschaft verwendet werden.(2) In dem in Absatz 1 Buchstabe c) genannten Fall hat der für die Verarbeitung Verantwortlicheeinen im Hoheitsgebiet des genannten Mitgliedstaats ansässigen Vertreter zu benennen, unbeschadetder Möglichkeit eines Vorgehens gegen den für die Verarbeitung Verantwortlichen selbst.KAPITEL II ALLGEMEINE BEDINGUNGEN FÜR DIE RECHTMÄSSIGKEIT DER VERARBEITUNGPERSONENBEZOGENER DATENArtikel 5Die Mitgliedstaaten bestimmen nach Maßgabe dieses Kapitels die Voraussetzungen näher, unterdenen die Verarbeitung personenbezogener Daten rechtmäßig ist.ABSCHNITT I GRUNDSÄTZE IN BEZUG AUF DIE QUALITÄT DER DATENArtikel 6(1) Die Mitgliedstaaten sehen vor, daß personenbezogene Datena) nach Treu und Glauben und auf rechtmäßige Weise verarbeitet werden;b) für festgelegte eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesenZweckbestimmungen nicht zu vereinbarenden Weise weiterverarbeitet werden. DieWeiterverarbeitung von Daten zu historischen, statistischen oder wissenschaftlichen Zwecken ist imallgemeinen nicht als unvereinbar mit den Zwecken der vorausgegangenen Datenerhebunganzusehen, sofern die Mitgliedstaaten geeignete Garantien vorsehen;c) den Zwecken entsprechen, für die sie erhoben und/oder weiterverarbeitet werden, dafür erheblichsind und nicht darüber hinausgehen;d) sachlich richtig und, wenn nötig, auf den neuesten Stand gebracht sind; es sind alle angemessenenMaßnahmen zu treffen, damit im Hinblick auf die Zwecke, für die sie erhoben oder weiterverarbeitetwerden, nichtzutreffende oder unvollständige Daten gelöscht oder berichtigt werden;e) nicht länger, als es für die Realisierung der Zwecke, für die sie erhoben oder weiterverarbeitetwerden, erforderlich ist, in einer Form aufbewahrt werden, die die Identifizierung der betroffenenPersonen ermöglicht. Die Mitgliedstaaten sehen geeignete Garantien für personenbezogene Datenvor, die über die vorgenannte Dauer hinaus für historische, statistische oder wissenschaftliche Zweckeaufbewahrt werden.(2) Der für die Verarbeitung Verantwortliche hat für die Einhaltung des Absatzes 1 zu sorgen.ABSCHNITT II GRUNDSÄTZE IN BEZUG AUF DIE ZULÄSSIGKEIT DER VERARBEITUNG VON DATENArtikel 7Die Mitgliedstaaten sehen vor, daß die Verarbeitung personenbezogener Daten lediglich erfolgen darf,wenn eine der folgenden Voraussetzungen erfuellt ist:a) Die betroffene Person hat ohne jeden Zweifel ihre Einwilligung gegeben;b) die Verarbeitung ist erforderlich für die Erfuellung eines Vertrags, dessen Vertragspartei diebetroffene Person ist, oder für die Durchführung vorvertraglicher Maßnahmen, die auf Antrag derbetroffenen Person erfolgen;c) die Verarbeitung ist für die Erfuellung einer rechtlichen Verpflichtung erforderlich, der der für dieVerarbeitung Verantwortliche unterliegt;AnhangSeite 21 von 125

EUR-Lex - 31995L0046 - DEhttp://eur-lex.europa.eu/LexUriServ/LexUriServ...10 von 19 06.03.2007 17:32d) die Verarbeitung ist erforderlich für die Wahrung lebenswichtiger Interessen der betroffenenPerson;e) die Verarbeitung ist erforderlich für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesseliegt oder in Ausübung öffentlicher Gewalt erfolgt und dem für die Verarbeitung Verantwortlichen oderdem Dritten, dem die Daten übermittelt werden, übertragen wurde;f) die Verarbeitung ist erforderlich zur Verwirklichung des berechtigten Interesses, das von dem fürdie Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen dieDaten übermittelt werden, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten derbetroffenen Person, die gemäß Artikel 1 Absatz 1 geschützt sind, überwiesen.ABSCHNITT III BESONDERE KATEGORIEN DER VERARBEITUNGArtikel 8Verarbeitung besonderer Kategorien personenbezogener Daten(1) Die Mitgliedstaaten untersagen die Verarbeitung personenbezogener Daten, aus denen dierassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungenoder die Gewerkschaftszugehörigkeit hervorgehen, sowie von Daten über Gesundheit oderSexualleben.(2) Absatz 1 findet in folgenden Fällen keine Anwendung:a) Die betroffene Person hat ausdrücklich in die Verarbeitung der genannten Daten eingewilligt, es seidenn, nach den Rechtsvorschriften des Mitgliedstaats kann das Verbot nach Absatz 1 durch dieEinwilligung der betroffenen Person nicht aufgehoben werden;oderb) die Verarbeitung ist erforderlich, um den Rechten und Pflichten des für die VerarbeitungVerantwortlichen auf dem Gebiet des Arbeitsrechts Rechnung zu tragen, sofern dies aufgrund voneinzelstaatlichem Recht, das angemessene Garantien vorsieht, zulässig ist;oderc) die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einesDritten erforderlich, sofern die Person aus physischen oder rechtlichen Gründen außerstande ist, ihreEinwilligung zu geben;oderd) die Verarbeitung erfolgt auf der Grundlage angemessener Garantien durch eine politisch,philosophisch, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstigeOrganisation, die keinen Erwerbszweck verfolgt, im Rahmen ihrer rechtmäßigen Tätigkeiten und unterder Voraussetzung, daß sich die Verarbeitung nur auf die Mitglieder der Organisation oder aufPersonen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihrunterhalten, bezieht und die Daten nicht ohne Einwilligung der betroffenen Personen an Dritteweitergegeben werden;odere) die Verarbeitung bezieht sich auf Daten, die die betroffene Person offenkundig öffentlich gemachthat, oder ist zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche vor Gerichterforderlich.(3) Absatz 1 gilt nicht, wenn die Verarbeitung der Daten zum Zweck der Gesundheitsvorsorge, dermedizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung vonGesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch ärztliches Personalerfolgt, das nach dem einzelstaatlichen Recht, einschließlich der von den zuständigen einzelstaatlichenStellen erlassenen Regelungen, dem Berufsgeheimnis unterliegt, oder durch sonstige Personen, dieeiner entsprechenden Geheimhaltungspflicht unterliegen.(4) Die Mitgliedstaaten können vorbehaltlich angemessener Garantien aus Gründen eines wichtigenöffentlichen Interesses entweder im Wege einer nationalen Rechtsvorschrift oder im Wege einerEntscheidung der Kontrollstelle andere als die in Absatz 2 genannten Ausnahmen vorsehen.(5) Die Verarbeitung von Daten, die Straftaten, strafrechtliche Verurteilungen oderSicherungsmaßregeln betreffen, darf nur unter behördlicher Aufsicht oder aufgrund voneinzelstaatlichem Recht, das angemessene Garantien vorsieht, erfolgen, wobei ein Mitgliedstaatjedoch Ausnahmen aufgrund innerstaatlicher Rechtsvorschriften, die geeignete besondere Garantienvorsehen, festlegen kann. Ein vollständiges Register der strafrechtlichen Verurteilungen darf allerdingsnur unter behördlicher Aufsicht geführt werden.Die Mitgliedstaaten können vorsehen, daß Daten, die administrative Strafen oder zivilrechtliche Urteilebetreffen, ebenfalls unter behördlicher Aufsicht verarbeitet werden müssen.(6) Die in den Absätzen 4 und 5 vorgesehenen Abweichungen von Absatz 1 sind der KommissionAnhangSeite 22 von 125

EUR-Lex - 31995L0046 - DEhttp://eur-lex.europa.eu/LexUriServ/LexUriServ...11 von 19 06.03.2007 17:32mitzuteilen.(7) Die Mitgliedstaaten bestimmen, unter welchen Bedingungen eine nationale Kennziffer oder andereKennzeichen allgemeiner Bedeutung Gegenstand einer Verarbeitung sein dürfen.Artikel 9Verarbeitung personenbezogener Daten und MeinungsfreiheitDie Mitgliedstaaten sehen für die Verarbeitung personenbezogener Daten, die allein zujournalistischen, künstlerischen oder literarischen Zwecken erfolgt, Abweichungen und Ausnahmenvon diesem Kapitel sowie von den Kapiteln IV und VI nur insofern vor, als sich dies als notwendigerweist, um das Recht auf Privatsphäre mit den für die Freiheit der Meinungsäußerung geltendenVorschriften in Einklang zu bringen.ABSCHNITT IV INFORMATION DER BETROFFENEN PERSONArtikel 10Information bei der Erhebung personenbezogener Daten bei der betroffenen PersonDie Mitgliedstaaten sehen vor, daß die Person, bei der die sie betreffenden Daten erhoben werden,vom für die Verarbeitung Verantwortlichen oder seinem Vertreter zumindest die nachstehendenInformationen erhält, sofern diese ihr noch nicht vorliegen:a) Identität des für die Verarbeitung Verantwortlichen und gegebenenfalls seines Vertreters,b) Zweckbestimmungen der Verarbeitung, für die die Daten bestimmt sind,c) weitere Informationen, beispielsweise betreffend- die Empfänger oder Kategorien der Empfänger der Daten,- die Frage, ob die Beantwortung der Fragen obligatorisch oder freiwillig ist, sowie mögliche Folgeneiner unterlassenen Beantwortung,- das Bestehen von Auskunfts- und Berichtigungsrechten bezüglich sie betreffender Daten,sofern sie unter Berücksichtigung der spezifischen Umstände, unter denen die Daten erhoben werden,notwendig sind, um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zugewährleisten.Artikel 11Informationen für den Fall, daß die Daten nicht bei der betroffenen Person erhoben wurden(1) Für den Fall, daß die Daten nicht bei der betroffenen Person erhoben wurden, sehen dieMitgliedstaaten vor, daß die betroffene Person bei Beginn der Speicherung der Daten bzw. im Falleiner beabsichtigten Weitergabe der Daten an Dritte spätestens bei der ersten Übermittlung vom fürdie Verarbeitung Verantwortlichen oder seinem Vertreter zumindest die nachstehenden Informationenerhält, sofern diese ihr noch nicht vorliegen:a) Identität des für die Verarbeitung Verantwortlichen und gegebenenfalls seines Vertreters,b) Zweckbestimmungen der Verarbeitung,c) weitere Informationen, beispielsweise betreffend- die Datenkategorien, die verarbeitet werden,- die Empfänger oder Kategorien der Empfänger der Daten,- das Bestehen von Auskunfts- und Berichtigungsrechten bezüglich sie betreffender Daten,sofern sie unter Berücksichtigung der spezifischen Umstände, unter denen die Daten erhoben werden,notwendig sind, um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zugewährleisten.(2) Absatz 1 findet - insbesondere bei Verarbeitungen für Zwecke der Statistik oder der historischenoder wissenschaftlichen Forschung - keine Anwendung, wenn die Information der betroffenen Personunmöglich ist, unverhältnismäßigen Aufwand erfordert oder die Speicherung oder Weitergabe durchGesetz ausdrücklich vorgesehen ist. In diesen Fällen sehen die Mitgliedstaaten geeignete Garantienvor.ABSCHNITT V AUSKUNFTSRECHT DER BETROFFENEN PERSONArtikel 12AuskunftsrechtDie Mitgliedstaaten garantieren jeder betroffenen Person das Recht, vom für die VerarbeitungVerantwortlichen folgendes zu erhalten:a) frei und ungehindert in angemessenen Abständen ohne unzumutbare Verzögerung oderübermäßige KostenAnhangSeite 23 von 125

EUR-Lex - 31995L0046 - DEhttp://eur-lex.europa.eu/LexUriServ/LexUriServ...12 von 19 06.03.2007 17:32- die Bestätigung, daß es Verarbeitungen sie betreffender Daten gibt oder nicht gibt, sowie zumindestInformationen über die Zweckbestimmungen dieser Verarbeitungen, die Kategorien der Daten, dieGegenstand der Verarbeitung sind, und die Empfänger oder Kategorien der Empfänger, an die dieDaten übermittelt werden;- eine Mitteilung in verständlicher Form über die Daten, die Gegenstand der Verarbeitung sind, sowiedie verfügbaren Informationen über die Herkunft der Daten;- Auskunft über den logischen Aufbau der automatisierten Verarbeitung der sie betreffenden Daten,zumindest im Fall automatisierter Entscheidungen im Sinne von Artikel 15 Absatz 1;b) je nach Fall die Berichtigung, Löschung oder Sperrung von Daten, deren Verarbeitung nicht denBestimmungen dieser Richtlinie entspricht, insbesondere wenn diese Daten unvollständig oderunrichtig sind;c) die Gewähr, daß jede Berichtigung, Löschung oder Sperrung, die entsprechend Buchstabe b)durchgeführt wurde, den Dritten, denen die Daten übermittelt wurden, mitgeteilt wird, sofern sichdies nicht als unmöglich erweist oder kein unverhältnismäßiger Aufwand damit verbunden ist.ABSCHNITT VI AUSNAHMEN UND EINSCHRÄNKUNGENArtikel 13Ausnahmen und Einschränkungen(1) Die Mitgliedstaaten können Rechtsvorschriften erlassen, die die Pflichten und Rechte gemäßArtikel 6 Absatz 1, Artikel 10, Artikel 11 Absatz 1, Artikel 12 und Artikel 21 beschränken, sofern einesolche Beschränkung notwendig ist füra) die Sicherheit des Staates;b) die Landesverteidigung;c) die öffentliche Sicherheit;d) die Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten oder Verstößen gegen dieberufsständischen Regeln bei reglementierten Berufen;e) ein wichtiges wirtschaftliches oder finanzielles Interesse eines Mitgliedstaats oder der EuropäischenUnion einschließlich Währungs-, Haushalts- und Steuerangelegenheiten;f) Kontroll-, Überwachungs- und Ordnungsfunktionen, die dauernd oder zeitweise mit der Ausübungöffentlicher Gewalt für die unter den Buchstaben c), d) und e) genannten Zwecke verbunden sind;g) den Schutz der betroffenen Person und der Rechte und Freiheiten anderer Personen.(2) Vorbehaltlich angemessener rechtlicher Garantien, mit denen insbesondere ausgeschlossen wird,daß die Daten für Maßnahmen oder Entscheidungen gegenüber bestimmten Personen verwendetwerden, können die Mitgliedstaaten in Fällen, in denen offensichtlich keine Gefahr eines Eingriffs indie Privatsphäre der betroffenen Person besteht, die in Artikel 12 vorgesehenen Rechte gesetzlicheinschränken, wenn die Daten ausschließlich für Zwecke der wissenschaftlichen Forschung verarbeitetwerden oder personenbezogen nicht länger als erforderlich lediglich zur Erstellung von Statistikenaufbewahrt werden.ABSCHNITT VII WIDERSPRUCHSRECHT DER BETROFFENEN PERSONArtikel 14Widerspruchsrecht der betroffenen PersonDie Mitgliedstaaten erkennen das Recht der betroffenen Person an,a) zumindest in den Fällen von Artikel 7 Buchstaben e) und f) jederzeit aus überwiegenden,schutzwürdigen, sich aus ihrer besonderen Situation ergebenden Gründen dagegen Widersprucheinlegen zu können, daß sie betreffende Daten verarbeitet werden; dies gilt nicht bei einer imeinzelstaatlichen Recht vorgesehenen entgegenstehenden Bestimmung. Im Fall eines berechtigtenWiderspruchs kann sich die vom für die Verarbeitung Verantwortlichen vorgenommene Verarbeitungnicht mehr auf diese Daten beziehen;b) auf Antrag kostenfrei gegen eine vom für die Verarbeitung Verantwortlichen beabsichtigteVerarbeitung sie betreffender Daten für Zwecke der Direktwerbung Widerspruch einzulegen oder vorder ersten Weitergabe personenbezogener Daten an Dritte oder vor deren erstmaliger Nutzung imAuftrag Dritter zu Zwecken der Direktwerbung informiert zu werden und ausdrücklich auf das Rechthingewiesen zu werden, kostenfrei gegen eine solche Weitergabe oder Nutzung Widerspruch einlegenzu können.Die Mitgliedstaaten ergreifen die erforderlichen Maßnahmen, um sicherzustellen, daß die betroffenenPersonen vom Bestehen des unter Buchstabe b) Unterabsatz 1 vorgesehenen Rechts Kenntnis haben.Artikel 15AnhangSeite 24 von 125

EUR-Lex - 31995L0046 - DEhttp://eur-lex.europa.eu/LexUriServ/LexUriServ...13 von 19 06.03.2007 17:32Automatisierte Einzelentscheidungen(1) Die Mitgliedstaaten räumen jeder Person das Recht ein, keiner für sie rechtliche Folgen nach sichziehenden und keiner sie erheblich beeinträchtigenden Entscheidung unterworfen zu werden, dieausschließlich aufgrund einer automatisierten Verarbeitung von Daten zum Zwecke der Bewertungeinzelner Aspekte ihrer Person ergeht, wie beispielsweise ihrer beruflichen Leistungsfähigkeit, ihrerKreditwürdigkeit, ihrer Zuverlässigkeit oder ihres Verhaltens.(2) Die Mitgliedstaaten sehen unbeschadet der sonstigen Bestimmungen dieser Richtlinie vor, daßeine Person einer Entscheidung nach Absatz 1 unterworfen werden kann, sofern diesea) im Rahmen des Abschlusses oder der Erfuellung eines Vertrags ergeht und dem Ersuchen derbetroffenen Person auf Abschluß oder Erfuellung des Vertrags stattgegeben wurde oder die Wahrungihrer berechtigten Interessen durch geeignete Maßnahmen - beispielsweise die Möglichkeit, ihrenStandpunkt geltend zu machen - garantiert wird oderb) durch ein Gesetz zugelassen ist, das Garantien zur Wahrung der berechtigten Interessen derbetroffenen Person festlegt.ABSCHNITT VIII VERTRAULICHKEIT UND SICHERHEIT DER VERARBEITUNGArtikel 16Vertraulichkeit der VerarbeitungPersonen, die dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter unterstelltsind und Zugang zu personenbezogenen Daten haben, sowie der Auftragsverarbeiter selbst dürfenpersonenbezogene Daten nur auf Weisung des für die Verarbeitung Verantwortlichen verarbeiten, essei denn, es bestehen gesetzliche Verpflichtungen.Artikel 17Sicherheit der Verarbeitung(1) Die Mitgliedstaaten sehen vor, daß der für die Verarbeitung Verantwortliche die geeignetentechnischen und organisatorischen Maßnahmen durchführen muß, die für den Schutz gegen diezufällige oder unrechtmäßige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, dieunberechtigte Weitergabe oder den unberechtigten Zugang - insbesondere wenn im Rahmen derVerarbeitung Daten in einem Netz übertragen werden - und gegen jede andere Form derunrechtmäßigen Verarbeitung personenbezogener Daten erforderlich sind.Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik und der bei ihrerDurchführung entstehenden Kosten ein Schutzniveau gewährleisten, das den von der Verarbeitungausgehenden Risiken und der Art der zu schützenden Daten angemessen ist.(2) Die Mitgliedstaaten sehen vor, daß der für die Verarbeitung Verantwortliche im Fall einerVerarbeitung in seinem Auftrag einen Auftragsverarbeiter auszuwählen hat, der hinsichtlich der für dieVerarbeitung zu treffenden technischen Sicherheitsmaßnahmen und organisatorischen Vorkehrungenausreichende Gewähr bietet; der für die Verarbeitung Verantwortliche überzeugt sich von derEinhaltung dieser Maßnahmen.(3) Die Durchführung einer Verarbeitung im Auftrag erfolgt auf der Grundlage eines Vertrags oderRechtsakts, durch den der Auftragsverarbeiter an den für die Verarbeitung Verantwortlichengebunden ist und in dem insbesondere folgendes vorgesehen ist:- Der Auftragsverarbeiter handelt nur auf Weisung des für die Verarbeitung Verantwortlichen;- die in Absatz 1 genannten Verpflichtungen gelten auch für den Auftragsverarbeiter, und zwar nachMaßgabe der Rechtsvorschriften des Mitgliedstaats, in dem er seinen Sitz hat.(4) Zum Zwecke der Beweissicherung sind die datenschutzrelevanten Elemente des Vertrags oderRechtsakts und die Anforderungen in bezug auf Maßnahmen nach Absatz 1 schriftlich oder in eineranderen Form zu dokumentieren.ABSCHNITT IX MELDUNGArtikel 18Pflicht zur Meldung bei der Kontrollstelle(1) Die Mitgliedstaaten sehen eine Meldung durch den für die Verarbeitung Verantwortlichen odergegebenenfalls seinen Vertreter bei der in Artikel 28 genannten Kontrollstelle vor, bevor einevollständig oder teilweise automatisierte Verarbeitung oder eine Mehrzahl von Verarbeitungen zurRealisierung einer oder mehrerer verbundener Zweckbestimmungen durchgeführt wird.(2) Die Mitgliedstaaten können eine Vereinfachung der Meldung oder eine Ausnahme von derMeldepflicht nur in den folgenden Fällen und unter folgenden Bedingungen vorsehen:- Sie legen für Verarbeitungskategorien, bei denen unter Berücksichtigung der zu verarbeitendenDaten eine Beeinträchtigung der Rechte und Freiheiten der betroffenen Personen unwahrscheinlichAnhangSeite 25 von 125

EUR-Lex - 31995L0046 - DEhttp://eur-lex.europa.eu/LexUriServ/LexUriServ...14 von 19 06.03.2007 17:32ist, die Zweckbestimmungen der Verarbeitung, die Daten oder Kategorien der verarbeiteten Daten,die Kategorie(n) der betroffenen Personen, die Empfänger oder Kategorien der Empfänger, denen dieDaten weitergegeben werden, und die Dauer der Aufbewahrung fest, und/oder- der für die Verarbeitung Verantwortliche bestellt entsprechend dem einzelstaatlichen Recht, dem erunterliegt, einen Datenschutzbeauftragten, dem insbesondere folgendes obliegt:- die unabhängige Überwachung der Anwendung der zur Umsetzung dieser Richtlinie erlasseneneinzelstaatlichen Bestimmungen,- die Führung eines Verzeichnisses mit den in Artikel 21 Absatz 2 vorgesehenen Informationen überdie durch den für die Verarbeitung Verantwortlichen vorgenommene Verarbeitung,um auf diese Weise sicherzustellen, daß die Rechte und Freiheiten der betroffenen Personen durchdie Verarbeitung nicht beeinträchtigt werden.(3) Die Mitgliedstaaten können vorsehen, daß Absatz 1 keine Anwendung auf Verarbeitungen findet,deren einziger Zweck das Führen eines Register ist, das gemäß den Rechts- oderVerwaltungsvorschriften zur Information der Öffentlichkeit bestimmt ist und entweder der gesamtenÖffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zurEinsichtnahme offensteht.(4) Die Mitgliedstaaten können die in Artikel 8 Absatz 2 Buchstabe d) genannten Verarbeitungen vonder Meldepflicht ausnehmen oder die Meldung vereinfachen.(5) Die Mitgliedstaaten können die Meldepflicht für nicht automatisierte Verarbeitungen vonpersonenbezogenen Daten generell oder in Einzelfällen vorsehen oder sie einer vereinfachtenMeldung unterwerfen.Artikel 19Inhalt der Meldung(1) Die Mitgliedstaaten legen fest, welche Angaben die Meldung zu enthalten hat. Hierzu gehörtzumindest folgendes:a) Name und Anschrift des für die Verarbeitung Verantwortlichen und gegebenenfalls seinesVertreters;b) die Zweckbestimmung(en) der Verarbeitung;c) eine Beschreibung der Kategorie(n) der betroffenen Personen und der diesbezüglichen Daten oderDatenkategorien;d) die Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können;e) eine geplante Datenübermittlung in Drittländer;f) eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nachArtikel 17 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind.(2) Die Mitgliedstaaten legen die Verfahren fest, nach denen Änderungen der in Absatz 1 genanntenAngaben der Kontrollstelle zu melden sind.Artikel 20Vorabkontrolle(1) Die Mitgliedstaaten legen fest, welche Verarbeitungen spezifische Risiken für die Rechte undFreiheiten der Personen beinhalten können, und tragen dafür Sorge, daß diese Verarbeitungen vorihrem Beginn geprüft werden.(2) Solche Vorabprüfungen nimmt die Kontrollstelle nach Empfang der Meldung des für dieVerarbeitung Verantwortlichen vor, oder sie erfolgen durch den Datenschutzbeauftragten, der imZweifelsfall die Kontrollstelle konsultieren muß.(3) Die Mitgliedstaaten können eine solche Prüfung auch im Zuge der Ausarbeitung einer Maßnahmeihres Parlaments oder einer auf eine solche gesetzgeberische Maßnahme gestützten Maßnahmedurchführen, die die Art der Verarbeitung festlegt und geeignete Garantien vorsieht.Artikel 21Öffentlichkeit der Verarbeitungen(1) Die Mitgliedstaaten erlassen Maßnahmen, mit denen die Öffentlichkeit der Verarbeitungensichergestellt wird.(2) Die Mitgliedstaaten sehen vor, daß die Kontrollstelle ein Register der gemäß Artikel 18 gemeldetenVerarbeitungen führt.Das Register enthält mindestens die Angaben nach Artikel 19 Absatz 1 Buchstaben a) bis e).Das Register kann von jedermann eingesehen werden.AnhangSeite 26 von 125

EUR-Lex - 31995L0046 - DEhttp://eur-lex.europa.eu/LexUriServ/LexUriServ...15 von 19 06.03.2007 17:32(3) Die Mitgliedstaaten sehen vor, daß für Verarbeitungen, die von der Meldung ausgenommen sind,der für die Verarbeitung Verantwortliche oder eine andere von den Mitgliedstaaten benannte Stellezumindest die in Artikel 19 Absatz 1 Buchstaben a) bis e) vorgesehenen Angaben auf Antragjedermann in geeigneter Weise verfügbar macht.Die Mitgliedstaaten können vorsehen, daß diese Bestimmungen keine Anwendung auf Verarbeitungenfindet, deren einziger Zweck das Führen von Registern ist, die gemäß den Rechts- undVerwaltungsvorschriften zur Information der Öffentlichkeit bestimmt sind und die entweder dergesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zurEinsichtnahme offenstehen.KAPITEL III RECHTSBEHELFE, HAFTUNG UND SANKTIONENArtikel 22RechtsbehelfeUnbeschadet des verwaltungsrechtlichen Beschwerdeverfahrens, das vor Beschreiten desRechtsweges insbesondere bei der in Artikel 28 genannten Kontrollstelle eingeleitet werden kann,sehen die Mitgliedstaaten vor, daß jede Person bei der Verletzung der Rechte, die ihr durch die für diebetreffende Verarbeitung geltenden einzelstaatlichen Rechtsvorschriften garantiert sind, bei Gerichteinen Rechtsbehelf einlegen kann.Artikel 23Haftung(1) Die Mitgliedstaaten sehen vor, daß jede Person, der wegen einer rechtswidrigen Verarbeitungoder jeder anderen mit den einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie nicht zuvereinbarenden Handlung ein Schaden entsteht, das Recht hat, von dem für die VerarbeitungVerantwortlichen Schadenersatz zu verlangen.(2) Der für die Verarbeitung Verantwortliche kann teilweise oder vollständig von seiner Haftungbefreit werden, wenn er nachweist, daß der Umstand, durch den der Schaden eingetreten ist, ihmnicht zur Last gelegt werden kann.Artikel 24SanktionenDie Mitgliedstaaten ergreifen geeignete Maßnahmen, um die volle Anwendung der Bestimmungendieser Richtlinie sicherzustellen, und legen insbesondere die Sanktionen fest, die bei Verstößen gegendie zur Umsetzung dieser Richtlinie erlassenen Vorschriften anzuwenden sind.KAPITEL IV ÜBERMITTLUNG PERSONENBEZOGENER DATEN IN DRITTLÄNDERArtikel 25Grundsätze(1) Die Mitgliedstaaten sehen vor, daß die Übermittlung personenbezogener Daten, die Gegenstandeiner Verarbeitung sind oder nach der Übermittlung verarbeitet werden sollen, in ein Drittlandvorbehaltlich der Beachtung der aufgrund der anderen Bestimmungen dieser Richtlinie erlasseneneinzelstaatlichen Vorschriften zulässig ist, wenn dieses Drittland ein angemessenes Schutzniveaugewährleistet.(2) Die Angemessenheit des Schutzniveaus, das ein Drittland bietet, wird unter Berücksichtigung allerUmstände beurteilt, die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungeneine Rolle spielen; insbesondere werden die Art der Daten, die Zweckbestimmung sowie die Dauerder geplanten Verarbeitung, das Herkunfts- und das Endbestimmungsland, die in dem betreffendenDrittland geltenden allgemeinen oder sektoriellen Rechtsnormen sowie die dort geltendenStandesregeln und Sicherheitsmaßnahmen berücksichtigt.(3) Die Mitgliedstaaten und die Kommission unterrichten einander über die Fälle, in denen ihresErachtens ein Drittland kein angemessenes Schutzniveau im Sinne des Absatzes 2 gewährleistet.(4) Stellt die Kommission nach dem Verfahren des Artikels 31 Absatz 2 fest, daß ein Drittland keinangemessenes Schutzniveau im Sinne des Absatzes 2 des vorliegenden Artikels aufweist, so treffendie Mitgliedstaaten die erforderlichen Maßnahmen, damit keine gleichartige Datenübermittlung in dasDrittland erfolgt.(5) Zum geeigneten Zeitpunkt leitet die Kommission Verhandlungen ein, um Abhilfe für die gemäßAbsatz 4 festgestellte Lage zu schaffen.(6) Die Kommission kann nach dem Verfahren des Artikels 31 Absatz 2 feststellen, daß ein Drittlandaufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen, die esinsbesondere infolge der Verhandlungen gemäß Absatz 5 eingegangen ist, hinsichtlich des Schutzesder Privatsphäre sowie der Freiheiten und Grundrechte von Personen ein angemessenes Schutzniveauim Sinne des Absatzes 2 gewährleistet.AnhangSeite 27 von 125

EUR-Lex - 31995L0046 - DEhttp://eur-lex.europa.eu/LexUriServ/LexUriServ...16 von 19 06.03.2007 17:32Die Mitgliedstaaten treffen die aufgrund der Feststellung der Kommission gebotenen Maßnahmen.Artikel 26Ausnahmen(1) Abweichend von Artikel 25 sehen die Mitgliedstaaten vorbehaltlich entgegenstehender Regelungenfür bestimmte Fälle im innerstaatlichen Recht vor, daß eine Übermittlung oder eine Kategorie vonÜbermittlungen personenbezogener Daten in ein Drittland, das kein angemessenes Schutzniveau imSinne des Artikels 25 Absatz 2 gewährleistet, vorgenommen werden kann, soferna) die betroffene Person ohne jeden Zweifel ihre Einwilligung gegeben hat oderb) die Übermittlung für die Erfuellung eines Vertrags zwischen der betroffenen Person und dem fürdie Verarbeitung Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen aufAntrag der betroffenen Person erforderlich ist oderc) die Übermittlung zum Abschluß oder zur Erfuellung eines Vertrags erforderlich ist, der im Interesseder betroffenen Person vom für die Verarbeitung Verantwortlichen mit einem Dritten geschlossenwurde oder geschlossen werden soll, oderd) die Übermittlung entweder für die Wahrung eines wichtigen öffentlichen Interesses oder zurGeltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich odergesetzlich vorgeschrieben ist odere) die Übermittlung für die Wahrung lebenswichtiger Interessen der betroffenen Person erforderlichist oderf) die Übermittlung aus einem Register erfolgt, das gemäß den Rechts- oder Verwaltungsvorschriftenzur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allenPersonen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht, soweitdie gesetzlichen Voraussetzungen für die Einsichtnahme im Einzelfall gegeben sind.(2) Unbeschadet des Absatzes 1 kann ein Mitgliedstaat eine Übermittlung oder eine Kategorie vonÜbermittlungen personenbezogener Daten in ein Drittland genehmigen, das kein angemessenesSchutzniveau im Sinne des Artikels 25 Absatz 2 gewährleistet, wenn der für die VerarbeitungVerantwortliche ausreichende Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechteund der Grundfreiheiten der Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechtebietet; diese Garantien können sich insbesondere aus entsprechenden Vertragsklauseln ergeben.(3) Der Mitgliedstaat unterrichtet die Kommission und die anderen Mitgliedstaaten über die von ihmnach Absatz 2 erteilten Genehmigungen.Legt ein anderer Mitgliedstaat oder die Kommission einen in bezug auf den Schutz der Privatsphäre,der Grundrechte und der Personen hinreichend begründeten Widerspruch ein, so erläßt dieKommission die geeigneten Maßnahmen nach dem Verfahren des Artikels 31 Absatz 2.Die Mitgliedstaaten treffen die aufgrund des Beschlusses der Kommission gebotenen Maßnahmen.(4) Befindet die Kommission nach dem Verfahren des Artikels 31 Absatz 2, daß bestimmteStandardvertragsklauseln ausreichende Garantien gemäß Absatz 2 bieten, so treffen dieMitgliedstaaten die aufgrund der Feststellung der Kommission gebotenen Maßnahmen.KAPITEL V VERHALTENSREGELNArtikel 27(1) Die Mitgliedstaaten und die Kommission fördern die Ausarbeitung von Verhaltensregeln, die nachMaßgabe der Besonderheiten der einzelnen Bereiche zur ordnungsgemäßen Durchführung dereinzelstaatlichen Vorschriften beitragen sollen, die die Mitgliedstaaten zur Umsetzung dieser Richtlinieerlassen.(2) Die Mitgliedstaaten sehen vor, daß die Berufsverbände und andere Vereinigungen, die andereKategorien von für die Verarbeitung Verantwortlichen vertreten, ihre Entwürfe für einzelstaatlicheVerhaltensregeln oder ihre Vorschläge zur Änderung oder Verlängerung bestehender einzelstaatlicherVerhaltensregeln der zuständigen einzelstaatlichen Stelle unterbreiten können.Die Mitgliedstaaten sehen vor, daß sich diese Stellen insbesondere davon überzeugt, daß die ihrunterbreiteten Entwürfe mit den zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichenVorschriften in Einklang stehen. Die Stelle holt die Stellungnahmen der betroffenen Personen oderihrer Vertreter ein, falls ihr dies angebracht erscheint.(3) Die Entwürfe für gemeinschaftliche Verhaltensregeln sowie Änderungen oder Verlängerungenbestehender gemeinschaftlicher Verhaltensregeln können der in Artikel 29 genannten Gruppeunterbreitet werden. Die Gruppe nimmt insbesondere dazu Stellung, ob die ihr unterbreitetenEntwürfe mit den zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in Einklangstehen. Sie holt die Stellungnahmen der betroffenen Personen oder ihrer Vertreter ein, falls ihr diesangebracht erscheint. Die Kommission kann dafür Sorge tragen, daß die Verhaltensregeln, zu denenAnhangSeite 28 von 125

EUR-Lex - 31995L0046 - DEhttp://eur-lex.europa.eu/LexUriServ/LexUriServ...17 von 19 06.03.2007 17:32die Gruppe eine positive Stellungnahme abgegeben hat, in geeigneter Weise veröffentlicht werden.KAPITEL VI KONTROLLSTELLE UND GRUPPE FÜR DEN SCHUTZ VON PERSONEN BEI DERVERARBEITUNG PERSONENBEZOGENER DATENArtikel 28Kontrollstelle(1) Die Mitgliedstaaten sehen vor, daß eine oder mehrere öffentliche Stellen beauftragt werden, dieAnwendung der von den Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichenVorschriften in ihrem Hoheitsgebiet zu überwachen.Diese Stellen nehmen die ihnen zugewiesenen Aufgaben in völliger Unabhängigkeit wahr.(2) Die Mitgliedstaaten sehen vor, daß die Kontrollstellen bei der Ausarbeitung vonRechtsverordnungen oder Verwaltungsvorschriften bezüglich des Schutzes der Rechte und Freiheitenvon Personen bei der Verarbeitung personenbezogener Daten angehört werden.(3) Jede Kontrollstelle verfügt insbesondere über:- Untersuchungsbefugnisse, wie das Recht auf Zugang zu Daten, die Gegenstand von Verarbeitungensind, und das Recht auf Einholung aller für die Erfuellung ihres Kontrollauftrags erforderlichenInformationen;- wirksame Einwirkungsbefugnisse, wie beispielsweise die Möglichkeit, im Einklang mit Artikel 20 vorder Durchführung der Verarbeitungen Stellungnahmen abzugeben und für eine geeigneteVeröffentlichung der Stellungnahmen zu sorgen, oder die Befugnis, die Sperrung, Löschung oderVernichtung von Daten oder das vorläufige oder endgültige Verbot einer Verarbeitung anzuordnen,oder die Befugnis, eine Verwarnung oder eine Ermahnung an den für die VerarbeitungVerantwortlichen zu richten oder die Parlamente oder andere politische Institutionen zu befassen;- das Klagerecht oder eine Anzeigebefugnis bei Verstößen gegen die einzelstaatlichen Vorschriften zurUmsetzung dieser Richtlinie.Gegen beschwerende Entscheidungen der Kontrollstelle steht der Rechtsweg offen.(4) Jede Person oder ein sie vertretender Verband kann sich zum Schutz der die Person betreffendenRechte und Freiheiten bei der Verarbeitung personenbezogener Daten an jede Kontrollstelle mit einerEingabe wenden. Die betroffene Person ist darüber zu informieren, wie mit der Eingabe verfahrenwurde.Jede Kontrollstelle kann insbesondere von jeder Person mit dem Antrag befaßt werden, dieRechtmäßigkeit einer Verarbeitung zu überprüfen, wenn einzelstaatliche Vorschriften gemäß Artikel 13Anwendung finden. Die Person ist unter allen Umständen darüber zu unterrichten, daß eineÜberprüfung stattgefunden hat.(5) Jede Kontrollstelle legt regelmäßig einen Bericht über ihre Tätigkeit vor. Dieser Bericht wirdveröffentlicht.(6) Jede Kontrollstelle ist im Hoheitsgebiet ihres Mitgliedstaats für die Ausübung der ihr gemäß Absatz3 übertragenen Befugnisse zuständig, unabhängig vom einzelstaatlichen Recht, das auf die jeweiligeVerarbeitung anwendbar ist. Jede Kontrollstelle kann von einer Kontrollstelle eines anderenMitgliedstaats um die Ausübung ihrer Befugnisse ersucht werden.Die Kontrollstellen sorgen für die zur Erfuellung ihrer Kontrollaufgaben notwendige gegenseitigeZusammenarbeit, insbesondere durch den Austausch sachdienlicher Informationen.(7) Die Mitgliedstaaten sehen vor, daß die Mitglieder und Bediensteten der Kontrollstellen hinsichtlichder vertraulichen Informationen, zu denen sie Zugang haben, dem Berufsgeheimnis, auch nachAusscheiden aus dem Dienst, unterliegen.Artikel 29Datenschutzgruppe(1) Es wird eine Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Dateneingesetzt (nachstehend "Gruppe" genannt).Die Gruppe ist unabhängig und hat beratende Funktion.(2) Die Gruppe besteht aus je einem Vertreter der von den einzelnen Mitgliedstaaten bestimmtenKontrollstellen und einem Vertreter der Stelle bzw. der Stellen, die für die Institutionen und Organeder Gemeinschaft eingerichtet sind, sowie einem Vertreter der Kommission.Jedes Mitglied der Gruppe wird von der Institution, der Stelle oder den Stellen, die es vertritt,benannt. Hat ein Mitgliedstaat mehrere Kontrollstellen bestimmt, so ernennen diese einengemeinsamen Vertreter. Gleiches gilt für die Stellen, die für die Institutionen und die Organe derGemeinschaft eingerichtet sind.(3) Die Gruppe beschließt mit der einfachen Mehrheit der Vertreter der Kontrollstellen.AnhangSeite 29 von 125

EUR-Lex - 31995L0046 - DEhttp://eur-lex.europa.eu/LexUriServ/LexUriServ...18 von 19 06.03.2007 17:32(4) Die Gruppe wählt ihren Vorsitzenden. Die Dauer der Amtszeit des Vorsitzenden beträgt zweiJahre. Wiederwahl ist möglich.(5) Die Sekretariatsgeschäfte der Gruppe werden von der Kommission wahrgenommen.(6) Die Gruppe gibt sich eine Geschäftsordnung.(7) Die Gruppe prüft die Fragen, die der Vorsitzende von sich aus oder auf Antrag eines Vertreters derKontrollstellen oder auf Antrag der Kommission auf die Tagesordnung gesetzt hat.Artikel 30(1) Die Gruppe hat die Aufgabe,a) alle Fragen im Zusammenhang mit den zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichenVorschriften zu prüfen, um zu einer einheitlichen Anwendung beizutragen;b) zum Schutzniveau in der Gemeinschaft und in Drittländern gegenüber der Kommission Stellung zunehmen;c) die Kommission bei jeder Vorlage zur Änderung dieser Richtlinie, zu allen Entwürfen zusätzlicheroder spezifischer Maßnahmen zur Wahrung der Rechte und Freiheiten natürlicher Personen bei derVerarbeitung personenbezogener Daten sowie zu allen anderen Entwürfen vonGemeinschaftsmaßnahmen zu beraten, die sich auf diese Rechte und Freiheiten auswirken;d) Stellungnahmen zu den auf Gemeinschaftsebene erarbeiteten Verhaltensregeln abzugeben.(2) Stellt die Gruppe fest, daß sich im Bereich des Schutzes von Personen bei der Verarbeitungpersonenbezogener Daten zwischen den Rechtsvorschriften oder der Praxis der MitgliedstaatenUnterschiede ergeben, die die Gleichwertigkeit des Schutzes in der Gemeinschaft beeinträchtigenkönnten, so teilt sie dies der Kommission mit.(3) Die Gruppe kann von sich aus Empfehlungen zu allen Fragen abgeben, die den Schutz vonPersonen bei der Verarbeitung personenbezogener Daten in der Gemeinschaft betreffen.(4) Die Stellungnahmen und Empfehlungen der Gruppe werden der Kommission und dem in Artikel 31genannten Ausschuß übermittelt.(5) Die Kommission teilt der Gruppe mit, welche Konsequenzen sie aus den Stellungnahmen undEmpfehlungen gezogen hat. Sie erstellt hierzu einen Bericht, der auch dem Europäischen Parlamentund dem Rat übermittelt wird. Dieser Bericht wird veröffentlicht.(6) Die Gruppe erstellt jährlich einen Bericht über den Stand des Schutzes natürlicher Personen beider Verarbeitung personenbezogener Daten in der Gemeinschaft und in Drittländern, den sie derKommission, dem Europäischen Parlament und dem Rat übermittelt. Dieser Bericht wirdveröffentlicht.KAPITEL VII GEMEINSCHAFTLICHE DURCHFÜHRUNGSMASSNAHMENArtikel 31Ausschußverfahren(1) Die Kommission wird von einem Ausschuß unterstützt, der sich aus Vertretern der Mitgliedstaatenzusammensetzt und in dem der Vertreter der Kommission den Vorsitz führt.(2) Der Vertreter der Kommission unterbreitet dem Ausschuß einen Entwurf der zu treffendenMaßnahmen. Der Ausschuß gibt seine Stellungnahme zu diesem Entwurf innerhalb einer Frist ab, dieder Vorsitzende unter Berücksichtigung der Dringlichkeit der betreffenden Frage festsetzen kann.Die Stellungnahme wird mit der Mehrheit abgegeben, die in Artikel 148 Absatz 2 des Vertragsvorgesehen ist. Bei der Abstimmung im Ausschuß werden die Stimmen der Vertreter derMitgliedstaaten gemäß dem vorgenannten Artikel gewogen. Der Vorsitzende nimmt an derAbstimmung nicht teil.Die Kommission erläßt Maßnahmen, die unmittelbar gelten. Stimmen sie jedoch mit derStellungnahme des Ausschusses nicht überein, werden sie von der Kommission unverzüglich dem Ratmitgeteilt. In diesem Fall gilt folgendes:- Die Kommission verschiebt die Durchführung der von ihr beschlossenen Maßnahmen um dreiMonate vom Zeitpunkt der Mitteilung an;- der Rat kann innerhalb des im ersten Gedankenstrich genannten Zeitraums mit qualifizierterMehrheit einen anderslautenden Beschluß fassen.SCHLUSSBESTIMMUNGENArtikel 32(1) Die Mitgliedstaaten erlassen die erforderlichen Rechts- und Verwaltungsvorschriften, um dieserRichtlinie binnen drei Jahren nach ihrer Annahme nachzukommen.Wenn die Mitgliedstaaten derartige Vorschriften erlassen, nehmen sie in den Vorschriften selbst oderAnhangSeite 30 von 125

EUR-Lex - 31995L0046 - DEhttp://eur-lex.europa.eu/LexUriServ/LexUriServ...19 von 19 06.03.2007 17:32durch einen Hinweis bei der amtlichen Veröffentlichung auf diese Richtlinie Bezug. Die Mitgliedstaatenregeln die Einzelheiten der Bezugnahme.(2) Die Mitgliedstaaten tragen dafür Sorge, daß Verarbeitungen, die zum Zeitpunkt des Inkrafttretensder einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie bereits begonnen wurden, binnendrei Jahren nach diesem Zeitpunkt mit diesen Bestimmungen in Einklang gebracht werden.Abweichend von Unterabsatz 1 können die Mitgliedstaaten vorsehen, daß die Verarbeitungen vonDaten, die zum Zeitpunkt des Inkrafttretens der einzelstaatlichen Vorschriften zur Umsetzung dieserRichtlinie bereits in manuellen Dateien enthalten sind, binnen zwölf Jahren nach Annahme dieserRichtlinie mit den Artikeln 6, 7 und 8 in Einklang zu bringen sind. Die Mitgliedstaaten gestattenjedoch, daß die betroffene Person auf Antrag und insbesondere bei Ausübung des Zugangsrechts dieBerichtigung, Löschung oder Sperrung von Daten erreichen kann, die unvollständig, unzutreffendoder auf eine Art und Weise aufbewahrt sind, die mit den vom für die Verarbeitung Verantwortlichenverfolgten rechtmäßigen Zwecken unvereinbar ist.(3) Abweichend von Absatz 2 können die Mitgliedstaaten vorbehaltlich geeigneter Garantienvorsehen, daß Daten, die ausschließlich zum Zwecke der historischen Forschung aufbewahrt werden,nicht mit den Artikeln 6, 7 und 8 in Einklang gebracht werden müssen.(4) Die Mitgliedstaaten teilen der Kommission den Wortlaut der innerstaatlichen Vorschriften mit, diesie auf dem unter diese Richtlinie fallenden Gebiet erlassen.Artikel 33Die Kommission legt dem Europäischen Parlament und dem Rat regelmäßig, und zwar erstmals dreiJahre nach dem in Artikel 32 Absatz 1 genannten Zeitpunkt, einen Bericht über die Durchführungdieser Richtlinie vor und fügt ihm gegebenenfalls geeignete Änderungsvorschläge bei. Dieser Berichtwird veröffentlicht.Die Kommission prüft insbesondere die Anwendung dieser Richtlinie auf die Verarbeitungpersonenbezogener Bild- und Tondaten und unterbreitet geeignete Vorschläge, die sich unterBerücksichtigung der Entwicklung der Informationstechnologie und der Arbeiten über dieInformationsgesellschaft als notwendig erweisen könnten.Artikel 34Diese Richtlinie ist an die Mitgliedstaaten gerichtet.Geschehen zu Luxemburg am 24. Oktober 1995.Im Namen des Europäischen ParlamentsDer PräsidentK. HÄNSCHIm Namen des RatesDer PräsidentL. ATIENZA SERNA(1) ABl. Nr. C 277 vom 5. 11. 1990, S. 3, und ABl. Nr. C 311 vom 27. 11. 1992, S. 30.(2) ABl. Nr. C 159 vom 17. 6. 1991, S. 38.(3) Stellungnahme des Europäischen Parlaments vom 11. März 1992 (ABl. Nr. C 94 vom 13. 4. 1992,S. 198), bestätigt am 2. Dezember 1993 (ABl. Nr. C 342 vom 20. 12. 1993, S. 30). GemeinsamerStandpunkt des Rates vom 20. Februar 1995 (ABl. Nr. C 93 vom 13. 4. 1995, S. 1) und Beschluß desEuropäischen Parlaments vom 15. Juni 1995 (ABl. Nr. C 166 vom 3. 7. 1995).(4) ABl. Nr. L 197 vom 18. 7. 1987, S. 33.AnhangSeite 31 von 125

Was sind Datenschutz-Standardvertragsklauseln?http://www2.argedaten.at/php/cms_monitor.php?q=PUB-TEXT-ARG...1 von 2 13.10.2013 16:43Was sind Datenschutz-Standardvertragsklauseln?Im Rahmen der zunehmenden Globalisierung der Weltwirtschaft und dem parallel stattfindenden Übergang zu einerWissens- und Informationsgesellschaft nimmt auch der grenzüberschreitende Datenverkehr ständig zu. Während innerhalbder EU durch die Datenschutz-Richtlinie eine Harmonisierung der nationalen Regelungen erreicht wurde, ergibt sich beimDatenverkehr in Drittländer sehr oft das Problem, dass keine äquivalenten Regelungen zum Schutz personenbezogenerDaten bestehen.Als Normalfall für Datenübermittlungen oder Datenüberlassungen in Drittländer ist eine Genehmigung der Datenschutzkommissionvorgesehen. Ausgenommen davon sind jene Länder, deren Datenschutzniveau von der EU-Kommission als gleichwertig anerkanntwurde (u.a. Schweiz, Kanada, Argentinien). Die sogenannten Safe-Harbour-Regelungen sind nur für die USA anwendbar.Um für Übermittlungen in Drittländer einheitliche Vorgaben zu schaffen, wurden von der EU-Kommission so genannteStandardvertragsklauseln vorgeschlagen, bei deren Vereinbarung ein angemessener Datenschutz angenommen wird.Diese Standardvertragsklauseln liegen für Auftraggeber in zwei Versionen vor, für Dienstleister gibt es seit Februar 2010 eine neueVersion.Die erste Version für Auftraggeber stammt vom 15.6.2001 (2001/497/EG), mit Entscheidung vom 27.12.2004 (2004/915/EG) wurde einezweite Version von Standardvertragsklauseln veröffentlicht. Für Dienstleister (EU-Doktion: Auftragsverarbeiter) wurden am 5.2.2010(2010/87/EU) neue Standardklauseln beschlossen, die sich auf die Überlassung von personenbezognen Daten an Dienstleister imAusland beziehen. Die Stelle, die aus der EU Daten in ein Drittland üebrittelt, wird in der Diktion der Standardvertragsklauseln "Daten-Exporteur" bezeichnet.Grundsätzlich sind die alle Varianten ähnlich aufgebaut. Sie enthalten vertragliche Garantien, die wiederum einen angemessenenDatenschutz garantieren sollen.Daneben finden sich z.B. Haftungsbestimmungen, die bei den ersten Standardvertragsklauseln die Vertragsparteiengesamtschuldnerisch gegenüber dem Betroffenen haften lassen. Dies ist insbesondere gegenüber dem Daten-Exporteur vonBedeutung, der seinen Sitz in der EU hat und im Regelfall leichter zu belangen ist, als ein Daten-Importeur irgendwo in Fernost odereiner anderen abgelegenen Region. Weiters können von der Datenübermittlung Betroffene sich direkt auf den vereinbarten Vertragberufen, obwohl sie nicht Vertragspartei sind.Die Initiative zur Änderung der Standardvertragsklauseln im Jahr 2004 ging von einigen großen Wirtschaftsverbänden aus, die unterder Führung der Internationalen Handelskammer mit der Kommission verhandelt hatten. Die Änderungen bei denStandardvertragsklauseln vom 27.12.2004 sollen die Unternehmen dazu bringen, das Instrument der Standardvertragsklauselnverstärkt zu nutzen.Eine wichtige Änderung ist bezüglich der Haftung vorgesehen: Während in den 'alten' Klauseln eine gesamtschuldnerische Haftungvorgesehen war, die viele Unternehmen von der Benützung der Klauseln abhielt, ist nun ein abgestuftes Haftungssystem vorgesehen,in dem jeder Vertragspartner für die von ihm verursachten Schäden haftet. Dasjenige Unternehmen, das Daten übermittelt, haftetallerdings auch für ein eventuelles Auswahlverschulden im Bezug auf den Übermittlungsempfänger.Die neuen Standardvertragsklauseln sind wesentlich unternehmerfreundlicher ausgestaltet, allerdings wird von der Kommission betont,dass Sie gegenüber den ursprünglichen Klauseln ein gleichwertiges Datenschutzniveau bieten sollen.Standardvertragsklauseln in Österreich nicht unmittelbar wirksamDie Verwendung der Standardvertragsklauseln ersetzt jedoch nicht die Genehmigung durch die Datenschutzkommission. Dazu hätte eseiner Verordnung des Bundeskanzlers bedurft, die jedoch seit 2000 aussteht. Offenbar aus Zeitmangel konnte sich keiner der letztendrei Bundeskanzler dieser Aufgabe widmen.Trotzdem macht die Verwendung der Standardvertragsklauseln Sinn, da in diesem Fall die Datenschutzkommission die Genehmigungnicht verweigern darf. Besonders wichtig im Hinblick auf eine Vereinbarung der Standardklauseln ist, dass diese nur als Ganzeserfolgen kann.Bei Veränderungen oder Auslassungen einzelner Klauseln wäre wiederum eine Einzelfallprüfung durch die Datenschutzkommissionnotwendig. Auch in solchen Fällen können die Standardvertragsklauseln als Vorlage für eigene Vereinbarungen herangezogen werden.mehr --> Was ist Safe Harbour?mehr --> Länder mit gleichwertigen Datenschutz-RegelnAnhangSeite 32 von 125

Was sind Datenschutz-Standardvertragsklauseln?http://www2.argedaten.at/php/cms_monitor.php?q=PUB-TEXT-ARG...2 von 2 13.10.2013 16:43mehr --> EU-Standardvertragsklauseln zur Datenschutz-Richtliniemehr --> Datenschutzrichtlinie 95/46/EGmehr --> http://ftp.freenet.at/privacy/ds-eu/eu-standardvertragsklauseln-3.pdfmehr --> http://ftp.freenet.at/privacy/ds-eu/eg-standardvertragsklauseln-2.pdfmehr --> http://ftp.freenet.at/privacy/ds-eu/eg-standardvertragsklauseln-1.pdfDie angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältigrecherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung desArtikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zumZeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. DieNutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird vonder ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung derentsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähntenUnternehmen, Pixelio, Aboutpixel oder Flickr.© ARGE DATEN 2000-2013 webmasterAnhangSeite 33 von 125

Datenschutz-Kontrolle 2011Nr. Aktivität EO Wer Ergebnis/MaßnahmenMeldungen (automationsunterstützte und manuelle Dateien) undOrganisationskonzepte (OK):1Sind alle in der Dienststelle verwendeten Daten in den gemeldetenDatenanwendungen enthalten?2Haben sich bei den bekannten Datenanwendungen (Betroffenenkreise,Datenarten, Übermittlungen, Rechtsgrundlagen) Veränderungen ergeben, dienicht in den registrierten Meldungen enthalten sind?3 Gibt es zu jeder Meldung ein Organisationskonzept?4Haben sich bei den bekannten Datenanwendungen Veränderungen ergeben, dienicht in den gemeldeten Organisationskonzepten enthalten sind?Datensicherheitsmaßnahmen:5Sind aus den aktuellen Stellenbeschreibungen die Berechtigungsrollenableitbar?*)6Wurden von allen MitarbeiterInnen innerhalb der letzten 5 JahreVerpflichtungserklärungen unterschrieben? *)7Sind für alle Zivildiener, Famulanten, Volontäre und sonstige externeMitarbeiterInnen (mit Ausnahme von Dienstleistern mit Datenschutzverträgen)unterschriebene Verpflichtungserklärungen vorhanden? **)Wurden im Überprüfungszeitraum dienststelleninterne Richtlinien zum8Datenschutz erstellt? Wenn ja - welche?Welche Möglichkeiten haben die MitarbeiterInnen, Datenschutzschulungen zu9besuchen?Welche Möglichkeiten haben die MitarbeiterInnen, Datenschutzinformationen zu10erhalten?11 Sind dienststelleninterne Zutrittsregelungen/-konzepte vorhanden?Werden die Zutritte zu jenen Räumlichkeiten, die gemäß dienststelleninterner12 Zutrittsregelung als schutzwürdig einzustufen sind, dokumentiert(Zutrittsdokumentation)?Ist sichergestellt, dass nur befugte Firmen/Personen Zutritt zu schutzwürdigen13Räumen haben?Existieren dienststelleninterne Regelungen für die Anforderung, Änderung und14Löschung von Userrechten?Werden die definierten Prozesse für die Anforderung, Änderung und Löschung15von Userrechten eingehalten? **)16Wird einmal pro Jahr flächendeckend kontrolliert, ob die MitarbeiterInnen mitZugriffsberechtigungen noch in der Dienststelle tätig sind?17Wird einmal pro Jahr flächendeckend kontrolliert, ob die Berechtigungen derMitarbeiterInnen noch der Aufgaben- und Auftragsverteilung entsprechen?18Sind sämtliche Sammel- und Funktionsuser dokumentiert und von derDienststellenleitung genehmigt?19Ist klar definiert, welche MitarbeiterInnen für die Kontrolle der vorhandenenZugriffsprotokolldateien für sensible Daten zuständig sind?20Werden die vorhandenen Zugriffsprotokolldateien für sensible Daten mindestenseinmal monatlich kontrolliert und dokumentiert?21Ist die Dokumentation über die monatlichen Zugriffskontrollen vollständigvorhanden?22Wird ergänzend zum KAV-Datenschutzhandbuch ein dienststelleninterner Teilgeführt?23Existiert eine Dokumentation über alle privaten IKT-Geräte, die dienstlichverwendet werden?24Ist die dienstliche Verwendung der privaten IKT-Geräte von derDienststellenleitung genehmigt?25Sind sämtliche mobile IKT-Geräte (z.B. Notebooks, Handhelds, Handys) mitAnschluss in das Netz des KAV dokumentiert und genehmigt?26 Sind die Zugriffsrechte aller externen MitarbeiterInnen dokumentiert?2728293031Sind sämtliche Fernzugriffe auf IKT-Geräte und medizinische Geräte vonMitarbeiterInnen externer Firmen dokumentiert und genehmigt?Sind sämtliche Videoüberwachungsanlagen mit und ohne Aufzeichnungdokumentiert und gemäß Erlass der Datenschutzbeauftragten gemeldet?Existieren dienststelleninterne Regelungen für die Anforderung vonVideoüberwachungsanlagen?Datenschutzverträge (DSV), Fernwartungsverträge (FWV)Liegen für alle Dienstleister (Firmen/Personen/Vereine/etc.), denenpersonenbezogene Daten überlassen werden oder die Einsichtmöglichkeit inpersonenbezogene Daten haben, Datenschutzverträge vor?Liegen für alle Dienstleister, die einen Fernwartungszugang haben,Fernwartungsverträge vor?Vergleich zur letzten Datenschutzkontrolle32 Sind alle offenen Maßnahmen aus der letzten Datenschutzkontrolle umgesetzt?Dienststelle xxxPrüfung ab der letzten Datenschutz-KontrolleE keine Maßnahmen notwendig *)O Maßnahmen sind zu ergreifen **)angemessene StichprobenauswahlStichprobenumfang : 5 -10Datum, Name und Unterschrift der Dienststellenleitung:Datum, Name und Unterschrift des/der Datenverantwortlichen:Seite 1AnhangSeite 34 von 125

[DIENSTSTELLE]DVR:0000191D A T E N S C H U T Z V E R T R A G[Vertragsnummer]zwischenMagistrat der Stadt WienUnternehmung Wiener Krankenanstaltenverbund[Dienststelle][Anschrift]- nachstehend AG (Auftraggeber) genannt -und[Name der natürlichen Person / Namensbezeichung nach Firmenbuch,Firmenbuchnummer][Anschrift]- nachstehend AN (Auftragnehmer) genannt -Version 3.10AnhangSeite 35 von 125

Bei allen personenbezogenen Bezeichnungen gilt die gewählte Form für beide Geschlechter.Der AN und die Stadt Wien stehen in einer Vertragsbeziehung. Die datenschutzrechtlichen Verpflichtungenwerden hiermit festgehalten (§ 11 Abs. 2 DSG 2000):Wesentlicher Inhalt des vorliegenden Auftrages ist [Zweck und Tätigkeit der Datenüberlassung].I.II.Der AG wird als Auftraggeber i.S. § 4 Z 4 DSG 2000 dem AN als Dienstleister i.S. § 4 Z 5 DSG 2000 zurDurchführung der vereinbarten Dienstleistung Daten aus den Datenanwendungen des AG überlassen (§ 4 Z 11DSG 2000).III.Der AN übernimmt folgende Verpflichtungen, und zwar soweit nicht ausdrücklich auf personenbezogene DateniS § 4 Z 1 iVm Z 3 DSG 2000 eingeschränkt wird, über den Kreis der personenbezogenen Daten hinaushinsichtlich aller vom AG übermittelter oder überlassener Daten im Sinne des § 74 Abs 2 StGB (Daten jeglicherArt sowie Programme), über die der AN nicht oder nicht alleine verfügen darf:1. Daten einschließlich Verarbeitungsergebnisse ausschließlich im Rahmen der Aufträge des AG zu verwendenund die Datenverwendung auf die mit der Durchführung des Auftrages betrauten Personen zu beschränken;insbesondere ist bezüglich der verfügbar gemachten oder zur Kenntnis gelangten Daten jede Verwendung füreigene Zwecke und auch jede Übermittlung ohne ausdrücklichen schriftlichen Auftrag des AG verboten;2. bezüglich Daten alle gemäß § 14 DSG 2000 erforderlichen Sicherheitsmaßnahmen zu treffen;2.1 insbesondere dürfen für die Dienstleistung nur solche Mitarbeiter herangezogen werden, die im ArbeiteroderAngestelltenverhältnis ungekündigt angestellt sind und die sich dem AN gegenüber zur Wahrung desDatengeheimnisses gemäß § 15 DSG 2000 (Geheimhaltung von personenbezogenen Daten) verpflichtet habenund über die einschlägigen strafrechtlichen Bestimmungen nachweislich informiert wurden (die Beilage ist vonden Mitarbeitern unterfertigen zu lassen);2.1.1 der AN hat sich demnach von den Mitarbeitern vertraglich ausdrücklich zusichern zu lassen, dass sie Datennur auf Grund von ausdrücklichen schriftlichen Anordnungen übermitteln werden und dass sie dasDatengeheimnis auch nach Beendigung des Mitarbeiterverhältnisses zum AN einhalten werden,2.1.2 der AN ist für die Vollständigkeit und die datenschutzrechtliche wie vertragliche Zulässigkeit derÜbermittlungsanordnungen verantwortlich sowie darüber hinaus auch dafür, dass die Mitarbeiter über die für siegeltenden Übermittlungsanordnungen ausreichend informiert sind,3. weitere Dienstleister sowie sonstige Arbeitskräfte (z.B. Subvergabe, Werkverträge, Beauftragung, Leiharbeit)nur mit ausdrücklicher schriftlicher Zustimmung des AG heranzuziehen. Dabei ist die Einhaltung derBestimmungen dieses Datenschutzvertrages mit dem Beschäftigungsgeber der Arbeitskraft zu vereinbaren,soferne unselbständig Beschäftigte beigestellt werden;4. ohne schriftliche Genehmigung des AG keine personenbezogenen Daten in das Ausland zu übermitteln oder zuüberlassen (§§ 12 und 13 DSG 2000), wobei festgehalten wird, dass eine solche Genehmigung in den Fällen des§ 13 Abs. 1 DSG 2000 nicht erteilt werden wird;5. für die technischen und organisatorischen Voraussetzungen vorzusorgen, dass der Auftraggeber dieBestimmungen der §§ 26 (Auskunftsrecht) und 27 (Recht auf Richtigstellung oder Löschung) DSG 2000gegenüber Betroffenen jederzeit (innerhalb der gesetzlichen Fristen) erfüllen kann und dem Auftraggeber alledafür notwendigen Informationen zu überlassen.Version 3.10AnhangSeite 36 von 125

6. nach Beendigung der Dienstleistung alle Datenträger (Disketten, Ausdrucke, Bänder, etc.), die Daten(einschließlich Verarbeitungsergebnisse) enthalten, dem AG zu übergeben bzw. in dessen Auftrag zu vernichtenoder für ihn weiter vor unbefugter Einsicht gesichert aufzubewahren;7. etwaige weitere Auflagen seitens der Datenschutzkommission zu erfüllen;8. hinsichtlich der Verwendung der ihm vom AG überlassenen Daten die Einsichtnahme und die Kontrolle derDatenverarbeitungseinrichtungen durch den AG während der üblichen Geschäfts- bzw. Betriebsstunden zudulden und ihm jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der unter Z 1 bis 7genannten Verpflichtungen notwendig sind.IV.Dieser Datenschutzvertrag ersetzt allfällige frühere Datenschutzverträge. Er gilt auch für alle weiterenVertragsbeziehungen zwischen dem AN und der Stadt Wien, sofern kein neuer Datenschutzvertrag abgeschlossenwird.Wien, am ..................... Wien, am .....................Der/Für den [Dienststellenleiter]:(I.V.)Der/Für den Auftragnehmer:____________________________________________________________________Ausfertigungen:1) [zuständiges Verwaltungsreferat der Dienststelle]2) MA 263) [Auftragnehmer]Version 3.10AnhangSeite 37 von 125

BeilageZUSATZVEREINBARUNG und VERPFLICHTUNGSERKLÄRUNGzum Beschäftigungsvertrag1. Ich verpflichte mich, die Bestimmungen der im Zusammenhang mit meinem Einsatz bei der Stadt Wienabgeschlossenen Datenschutzvertrages, die somit auch Bestandteil meines Beschäftigungsvertrages sind,einzuhalten und im Zweifelsfalle über die Bestimmungen das Einvernehmen mit dem mir vorgesetzten bzw.anordnungsbefugten Bediensteten der Stadt Wien herzustellen.2. Ich wurde ferner auf die unten stehenden Bestimmungen des Datenschutzgesetzes 2000 (DSG 2000), desStrafgesetzbuches (StGB) sowie des Wiener Datenschutzgesetzes (Wr.DSG) hingewiesen (das StGB schützt auchnichtpersonenbezogene Daten und Programme!):1. Bestimmungen des StrafgesetzbuchesWiderrechtlicher Zugriff auf ein Computersystem§ 118a (1) Wer sich in der Absicht, sich oder einem anderen Unbefugten von in einem Computersystem gespeichertenund nicht für ihn bestimmten Daten Kenntnis zu verschaffen und dadurch, dass er die Daten selbst benützt, einemanderen, für den sie nicht bestimmt sind, zugänglich macht oder veröffentlicht, sich oder einem anderen einenVermögensvorteil zuzuwenden oder einem anderen einen Nachteil zuzufügen, zu einem Computersystem, über das ernicht oder nicht allein verfügen darf, oder zu einem Teil eines solchen Zugang verschafft, indem er spezifischeSicherheitsvorkehrungen im Computersystemverletzt, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen.(2) Der Täter ist nur mit Ermächtigung des Verletzten zu verfolgen.Verletzung des Telekommunikationsgeheimnisses§ 119 (1) Wer in der Absicht, sich oder einem anderen Unbefugten vom Inhalt einer im Wege einerTelekommunikation (§ 3 Z 13 TKG) oder eines Computersystems übermittelten und nicht für ihn bestimmtenNachricht Kenntnis zu verschaffen, eine Vorrichtung, die an der Telekommunikationsanlage oder an demComputersystem angebracht oder sonst empfangsbereit gemacht wurde, benützt, ist mit Freiheitsstrafe bis zu sechsMonaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen.(2) Der Täter ist nur mit Ermächtigung des Verletzten zu verfolgen.Missbräuchliches Abfangen von Daten§ 119a (1) Wer in der Absicht, sich oder einem anderen Unbefugten von im Wege eines Computersystemsübermittelten und nicht für ihn bestimmten Daten Kenntnis zu verschaffen und dadurch, dass er die Daten selbstbenützt, einem anderen, für den sie nicht bestimmt sind, zugänglich macht oder veröffentlicht, sich oder einemanderen einen Vermögensvorteil zuzuwenden oder einem anderen einen Nachteil zuzufügen, eine Vorrichtung, die andem Computersystem angebracht oder sonst empfangsbereit gemacht wurde, benützt oder die elektromagnetischeAbstrahlung eines Computersystems auffängt, ist, wenn die Tat nicht nach § 119 mit Strafe bedroht ist, mitFreiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen.(2) Der Täter ist nur mit Ermächtigung des Verletzten zu verfolgen.§ 120.....(2a) Wer eine im Wege einer Telekommunikation (§ 3 Z 13 TKG) übermittelte und nicht für ihn bestimmte Nachrichtin der Absicht, sich oder einem anderen Unbefugten vom Inhalt dieser Nachricht Kenntnis zu verschaffen, aufzeichnet,einem anderen Unbefugten zugänglich macht oder veröffentlicht, ist, wenn die Tat nicht nach den vorstehendenBestimmungen oder nach einer anderen Bestimmung mit strengerer Strafe bedroht ist, mit Freiheitsstrafe bis zu dreiMonaten oder mit Geldstrafe bis zu 180 Tagessätzen zu bestrafen.Version 3.10AnhangSeite 38 von 125

Verletzung von Berufsgeheimnissen§ 121 (1) Wer ein Geheimnis offenbart oder verwertet, das den Gesundheitszustand einer Person betrifft und das ihmbei berufsmäßiger Ausübung der Heilkunde, der Krankenpflege, der Geburtshilfe, der Arzneimittelkunde oderVornahme medizinisch-technischer Untersuchungen oder bei berufsmäßiger Beschäftigung mit Aufgaben derVerwaltung einer Krankenanstalt oder mit Aufgaben der Kranken-, der Unfall-, der Lebens- oder derSozialversicherung ausschließlich kraft seines Berufes anvertraut worden oder zugänglich geworden ist und dessenOffenbarung oder Verwertung geeignet ist, ein berechtigtes Interesse der Person zu verletzen, die seine Tätigkeit inAnspruch genommen hat oder für die sie in Anspruch genommen worden ist, ist mit Freiheitsstrafe bis zu sechsMonaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen.(2) Wer die Tat begeht, um sich oder einem anderen einen Vermögensvorteil zuzuwenden oder einem anderen einenNachteil zuzufügen, ist mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen.(3) Ebenso ist ein von einem Gericht oder einer anderen Behörde für ein bestimmtes Verfahren bestellterSachverständiger zu bestrafen, der ein Geheimnis offenbart oder verwertet, das ihm ausschließlich kraft seinerSachverständigentätigkeit anvertraut worden oder zugänglich geworden ist und dessen Offenbarung oder Verwertunggeeignet ist, ein berechtigtes Interesse der Person zu verletzen, die seine Tätigkeit in Anspruch genommen hat oder fürdie sie in Anspruch genommen worden ist.(4) Den Personen, die eine der in den Abs. 1 und 3 bezeichneten Tätigkeiten ausüben, stehen ihre Hilfskräfte, auchwenn sie nicht berufsmäßig tätig sind, sowie die Personen gleich, die an der Tätigkeit zu Ausbildungszweckenteilnehmen.(5) Der Täter ist nicht zu bestrafen, wenn die Offenbarung oder Verwertung nach Inhalt und Form durch einöffentliches oder ein berechtigtes privates Interesse gerechtfertigt ist.(6) Der Täter ist nur auf Verlangen des in seinem Interesse an der Geheimhaltung Verletzten (Abs. 1 und 3) zuverfolgen.Verletzung eines Geschäfts- oder Betriebsgeheimnisses§ 122 (1) Wer ein Geschäfts- oder Betriebsgeheimnis (Abs. 3) offenbart oder verwertet, das ihm bei seiner Tätigkeit inDurchführung einer durch Gesetz oder behördlichen Auftrag vorgeschriebenen Aufsicht, Überprüfung oder Erhebunganvertraut oder zugänglich geworden ist, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360Tagessätzen zu bestrafen.(2) Wer die Tat begeht, um sich oder einem anderen einen Vermögensvorteil zuzuwenden oder einem anderen einenNachteil zuzufügen, ist mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen.(3) Unter Abs. 1 fällt nur ein Geschäfts- oder Betriebsgeheimnis, das der Täter kraft Gesetzes zu wahren verpflichtetist und dessen Offenbarung oder Verwertung geeignet ist, ein berechtigtes Interesse des von der Aufsicht,Überprüfung oder Erhebung Betroffenen zu verletzen.(4) Der Täter ist nicht zu bestrafen, wenn die Offenbarung oder Verwertung nach Inhalt und Form durch einöffentliches oder ein berechtigtes privates Interesse gerechtfertigt ist.(5) Der Täter ist nur auf Verlangen des in seinem Interesse an der Geheimhaltung Verletzten (Abs. 3) zu verfolgen.Datenbeschädigung§ 126a (1) Wer einen anderen dadurch schädigt, daß er automationsunterstützt verarbeitete, übermittelte oderüberlassene Daten, über die er nicht oder nicht allein verfügen darf, verändert, löscht oder sonst unbrauchbar machtoder unterdrückt, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen.(2) Wer durch die Tat an den Daten einen 2 000 Euro übersteigenden Schaden herbeiführt, ist mit Freiheitsstrafe bis zuzwei Jahren oder mit Geldstrafe bis zu 360 Tagessätzen, wer einen 40 000 Euro übersteigenden Schaden herbeiführt,mit Freiheitsstrafe von sechs Monaten bis zu fünf Jahren zu bestrafen.Störung der Funktionsfähigkeit eines ComputersystemsVersion 3.10AnhangSeite 39 von 125

§ 126b Wer die Funktionsfähigkeit eines Computersystems, über das er nicht oder nicht allein verfügen darf, dadurchschwer stört, dass er Daten eingibt oder übermittelt, ist, wenn die Tat nicht nach § 126a mit Strafe bedroht ist, mitFreiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen.Missbrauch von Computerprogrammen oder Zugangsdaten§ 126c (1) Wer1. ein Computerprogramm, das nach seiner besonderen Beschaffenheit ersichtlich zur Begehung eineswiderrechtlichen Zugriffs auf ein Computersystem (§ 118a), einer Verletzung des Telekommunikationsgeheimnisses(§ 119), eines missbräuchlichen Abfangens von Daten (§ 119a), einer Datenbeschädigung (§ 126a), einer Störung derFunktionsfähigkeit eines Computersystems (§ 126b) oder eines betrügerischen Datenverarbeitungsmissbrauchs (§148a) geschaffen oder adaptiert worden ist, oder eine vergleichbare solche Vorrichtung oder2. ein Computerpasswort, einen Zugangscode oder vergleichbare Daten, die den Zugriff auf ein Computersystem odereinen Teil davon ermöglichen, mit dem Vorsatz herstellt, einführt, vertreibt, veräußert, sonst zugänglich macht, sichverschafft oder besitzt, dass sie zur Begehung einer der in Z 1 genannten strafbaren Handlungen gebraucht werden, istmit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen.(2) Nach Abs. 1 ist nicht zu bestrafen, wer freiwillig verhindert, dass das in Abs. 1 genannte Computerprogramm oderdie damit vergleichbare Vorrichtung oder das Passwort, der Zugangscode oder die damit vergleichbaren Daten in derin den §§ 118a, 119, 119a, 126a, 126b oder 148a bezeichneten Weise gebraucht werden. Besteht die Gefahr einessolchen Gebrauches nicht oder ist sie ohne Zutun des Täters beseitigt worden, so ist er nicht zu bestrafen, wenn er sichin Unkenntnis dessen freiwillig und ernstlich bemüht, sie zu beseitigen.Betrügerischer Datenverarbeitungsmißbrauch§ 148a (1) Wer mit dem Vorsatz, sich oder einen Dritten unrechtmäßig zu bereichern, einen anderen dadurch amVermögen schädigt, daß er das Ergebnis einer automationsunterstützten Datenverarbeitung durch Gestaltung desProgramms, durch Eingabe, Veränderung, Löschung oder Unterdrückung von Daten oder sonst durch Einwirkung aufden Ablauf des Verarbeitungsvorgangs beeinflußt, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe biszu 360 Tagessätzen zu bestrafen.(2) Wer die Tat gewerbsmäßig begeht oder durch die Tat einen 2 000 Euro übersteigenden Schaden herbeiführt, ist mitFreiheitsstrafe bis zu drei Jahren, wer durch die Tat einen 40 000 Euro übersteigenden Schaden herbeiführt, mitFreiheitsstrafe von einem bis zu zehn Jahren zu bestrafen.2. Bestimmungen des Datenschutzgesetzes 2000Datengeheimnis 1§ 15 (1) Auftraggeber, Dienstleister und ihre Mitarbeiter - das sind Arbeitnehmer (Dienstnehmer) und Personen ineinem arbeitnehmerähnlichen (dienstnehmerähnlichen) Verhältnis - haben Daten aus Datenanwendungen, die ihnenausschließlich auf Grund ihrer berufsmäßigen Beschäftigung anvertraut wurden oder zugänglich geworden sind,unbeschadet sonstiger gesetzlicher Verschwiegenheitspflichten, geheim zu halten, soweit kein rechtlich zulässigerGrund für eine Übermittlung der anvertrauten oder zugänglich gewordenen Daten besteht (Datengeheimnis).(2) Mitarbeiter dürfen Daten nur auf Grund einer ausdrücklichen Anordnung ihres Arbeitgebers (Dienstgebers)übermitteln. Auftraggeber und Dienstleister haben, sofern eine solche Verpflichtung ihrer Mitarbeiter nicht schon kraftGesetzes besteht, diese vertraglich zu verpflichten, daß sie Daten aus Datenanwendungen nur auf Grund vonAnordnungen übermitteln und das Datengeheimnis auch nach Beendigung des Arbeits(Dienst)verhältnisses zumAuftraggeber oder Dienstleister einhalten werden.(3) Auftraggeber und Dienstleister dürfen Anordnungen zur Übermittlung von Daten nur erteilen, wenn dies nach denBestimmungen dieses Bundesgesetzes zulässig ist. Sie haben die von der Anordnung betroffenen Mitarbeiter über diefür sie geltenden Übermittlungsanordnungen und über die Folgen einer Verletzung des Datengeheimnisses zubelehren.1 Diese Bestimmung ist auch auf solche manuellen Dateien sinngemäß anzuwenden, die durch das WienerDatenschutzgesetz - Wr. DSG, LGBl. 2001/125, geregelt werden.Version 3.10AnhangSeite 40 von 125

(4) Unbeschadet des verfassungsrechtlichen Weisungsrechts darf einem Mitarbeiter aus der Verweigerung derBefolgung einer Anordnung zur Datenübermittlung wegen Verstoßes gegen die Bestimmungen dieses Bundesgesetzeskein Nachteil erwachsen.Die Rechte des BetroffenenAuskunftsrecht 1§ 26..........................(7) Ab dem Zeitpunkt der Kenntnis von einem Auskunftsverlangen darf der Auftraggeber Daten über den Betroffeneninnerhalb eines Zeitraums von vier Monaten und im Falle der Erhebung einer Beschwerde gemäß § 31 an dieDatenschutzkommission bis zum rechtskräftigen Abschluß des Verfahrens nicht vernichten.StrafbestimmungenDatenverwendung in Gewinn- oder Schädigungsabsicht§ 51 (1) Wer in der Absicht, sich einen Vermögensvorteil zu verschaffen oder einem anderen einen Nachteilzuzufügen, personenbezogene Daten, die ihm ausschließlich auf Grund seiner berufsmäßigen Beschäftigung anvertrautoder zugänglich geworden sind oder die er sich widerrechtlich verschafft hat, selbst benützt, einem anderen zugänglichmacht oder veröffentlicht, obwohl der Betroffene an diesen Daten ein schutzwürdiges Geheimhaltungsinteresse hat,ist, wenn die Tat nicht nach einer anderen Bestimmung mit strengerer Strafe bedroht ist, vom Gericht mitFreiheitsstrafe bis zu einem Jahr zu bestrafen.(2) Der Täter ist nur mit Ermächtigung des Verletzten zu verfolgen.Verwaltungsstrafbestimmung§ 52 (1) Sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlungbildet oder nach anderen Verwaltungsstrafbestimmungen mit strengerer Strafe bedroht ist, begeht eineVerwaltungsübertretung, die mit Geldstrafe bis zu 18 890 Euro zu ahnden ist, wer1. sich vorsätzlich widerrechtlichen Zugang zu einer Datenanwendung verschafft oder einen erkennbarwiderrechtlichen Zugang vorsätzlich aufrechterhält oder2. Daten vorsätzlich in Verletzung des Datengeheimnisses (§ 15) übermittelt, insbesondere Daten, die ihm gemäß §§46 oder 47 anvertraut wurden, vorsätzlich für andere Zwecke verwendet oder...................4. Daten vorsätzlich entgegen § 26 Abs. 7 löscht.(2) Sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet,begeht eine Verwaltungsübertretung, die mit Geldstrafe bis zu 9 445 Euro zu ahnden ist, wer1. Daten ermittelt, verarbeitet oder übermittelt, ohne seine Meldepflicht gemäß § 17 erfüllt zu haben oder2. Daten ins Ausland übermittelt oder überläßt, ohne die erforderliche Genehmigung der Datenschutzkommissiongemäß § 13 eingeholt zu haben oder......................4. die gemäß § 14 erforderlichen Sicherheitsmaßnahmen gröblich außer Acht läßt.(3) Der Versuch ist strafbar........................3. Bestimmungen des Wiener Datenschutzgesetzes - Wr. DSG..............Strafbestimmungen 2§ 5 (1) Sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlungbildet oder nach anderen Verwaltungsstrafbestimmungen mit strengerer Strafe bedroht ist, begeht eineVerwaltungsübertretung, die mit Geldstrafe bis zu 18 200 Euro zu ahnden ist, wera) sich vorsätzlich widerrechtlichen Zugang zu einer Datei verschafft oder einen erkennbar widerrechtlichen Zugangvorsätzlich aufrechterhält oder1 Diese Bestimmung ist auch auf solche manuellen Dateien sinngemäß anzuwenden, die durch das WienerDatenschutzgesetz - Wr. DSG, LGBl. 2001/125, geregelt werden.2 In der Fassung § 8 Abs. 2Version 3.10AnhangSeite 41 von 125

) Daten vorsätzlich in Verletzung des Datengeheimnisses (§ 4 Abs. 1 dieses Gesetzes in Verbindung mit § 15 desDatenschutzgesetzes 2000) übermittelt, insbesondere Daten, die ihm gemäß §§ 46 oder 47 des Datenschutzgesetzes2000 anvertraut wurden, vorsätzlich für andere Zwecke verwendet oderc) Daten entgegen einem rechtskräftigen Urteil oder Bescheid verwendet, nicht beauskunftet, nicht richtig stellt odernicht löscht oderd) Daten vorsätzlich entgegen § 4 Abs. 4 dieses Gesetzes in Verbindung mit § 26 Abs. 7 des Datenschutzgesetzes2000 löscht.(2) Sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet,begeht eine Verwaltungsübertretung, die mit Geldstrafe bis zu 9 100 Euro zu ahnden ist, wera) Daten ermittelt, verarbeitet oder übermittelt, ohne seine Meldepflicht gemäß § 4 Abs. 3 dieses Gesetzes inVerbindung mit § 17 des Datenschutzgesetzes 2000 erfüllt zu haben oderb) Daten ins Ausland übermittelt oder überlässt, ohne die erforderliche Genehmigung der Landesregierung gemäß § 4Abs. 1 dieses Gesetzes in Verbindung mit § 13 des Datenschutzgesetzes 2000 eingeholt zu haben oderc) seine Offenlegungs- oder Informationspflichten gemäß § 4 Abs. 3 dieses Gesetzes in Verbindung mit den §§ 23, 24oder 25 des Datenschutzgesetzes 2000 verletzt oderd) die gemäß § 4 Abs. 1 dieses Gesetzes in Verbindung mit § 14 des Datenschutzgesetzes 2000 erforderlichenSicherheitsmaßnahmen gröblich außer Acht lässt.(3) Der Versuch ist strafbar.(4) Die Strafe des Verfalls von Datenträgern kann ausgesprochen werden (§§ 10, 17 und 18 Verwaltungsstrafgesetz1991 – VStG, BGBl. Nr. 52), wenn diese Gegenstände mit einer Verwaltungsübertretung nach Abs. 1 oder 2 inZusammenhang stehen........4. Bestimmungen des UrheberrechtsgesetzesAnspruch auf angemessenes Entgelt.§ 86. (1) Wer unbefugt1. ein Werk der Literatur oder Kunst auf eine nach den §§ 14 bis 18a dem Urheber vorbehaltene Verwertungsartbenutzt,2. den Vortrag oder die Aufführung eines Werkes der Literatur oder Tonkunst dem § 66 Abs. 1 und 5 zuwider aufeinem Bild- oder Schallträger festhält oder diesen vervielfältigt oder dem § 66 Abs. 1 und 5 oder dem § 69 Abs. 2zuwider verbreitet,3. den Vortrag oder die Aufführung eines Werkes der Literatur oder Tonkunst dem § 66 Abs. 7, 69 Abs. 2, §§ 70, 71oder 71a zuwider durch Rundfunk sendet, öffentlich wiedergibt oder der Öffentlichkeit zur Verfügung stellt,4. ein Lichtbild oder einen Schallträger auf eine nach den §§ 74 oder 76 dem Hersteller vorbehaltene Verwertungsartbenutzt,5. eine Rundfunksendung auf eine nach § 76a dem Rundfunkunternehmer vorbehaltene Verwertungsart benutzt oder6. eine Datenbank auf eine nach § 76d dem Hersteller vorbehaltene Verwertungsart benutzt, hat, auch wenn ihn keinVerschulden trifft, dem Verletzten, dessen Einwilligung einzuholen gewesen wäre, ein angemessenes Entgelt zuzahlen....Schutz von Computerprogrammen§ 90b. Der Inhaber eines auf dieses Gesetz gegründeten Ausschließungsrechts an einem Computerprogramm, der sichtechnischer Mechanismen zum Schutz dieses Programms bedient, kann auf Unterlassung und Beseitigung des demGesetz widerstreitenden Zustands klagen, wenn Mittel in Verkehr gebracht oder zu Erwerbszwecken besessen werden,die allein dazu bestimmt sind, die unerlaubte Beseitigung oder Umgehung dieser technischen Mechanismen zuerleichtern. Die §§ 81, 82 Abs. 2 bis 6, §§ 85, 87 Abs. 1 und 2, § 87a Abs. 1, § 88 Abs. 2, §§ 89 und 90 geltenentsprechend.Schutz technischer Maßnahmen§ 90c. (1) Der Inhaber eines auf dieses Gesetz gegründeten Ausschließungsrechts, der sich wirksamer technischerMaßnahmen bedient, um eine Verletzung dieses Rechts zu verhindern oder einzuschränken, kann auf Unterlassungund Beseitigung des dem Gesetz widerstreitenden Zustandes klagen,1. wenn diese Maßnahmen durch eine Person umgangen werden, der bekannt ist oder den Umständen nach bekanntsein muss, dass sie dieses Ziel verfolgt,2. wenn Umgehungsmittel hergestellt, eingeführt, verbreitet, verkauft, vermietet und zu kommerziellen Zweckenbesessen werden,Version 3.10AnhangSeite 42 von 125

3. wenn für den Verkauf oder die Vermietung von Umgehungsmitteln geworben wird oder4. wenn Umgehungsdienstleistungen erbracht werden....Schutz von Kennzeichnungen§ 90d. (1) Der Inhaber eines auf dieses Gesetz gegründeten Ausschließungsrechts, der Kennzeichnungen im Sinnedieser Bestimmung anwendet, kann auf Unterlassung und Beseitigung des dem Gesetz widerstreitenden Zustandesklagen,1. wenn solche Kennzeichnungen entfernt oder geändert werden,2. wenn Vervielfältigungsstücke von Werken oder sonstigen Schutzgegenständen, von beziehungsweise auf denenKennzeichnungen unbefugt entfernt oder geändert worden sind, verbreitet oder zur Verbreitung eingeführt oder füreine Sendung, für eine öffentliche Wiedergabe oder für eine öffentliche Zurverfügungstellung verwendet werden....Eingriff§ 91. (1) Wer einen Eingriff der im § 86 Abs. 1, § 90b, § 90c Abs. 1 oder § 90d Abs. 1 bezeichneten Art begeht, istmit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen. Der Eingriff istjedoch dann nicht strafbar, wenn es sich nur um eine unbefugte Vervielfältigung oder um ein unbefugtes Festhalteneines Vortrags oder einer Aufführung jeweils zum eigenen Gebrauch oder unentgeltlich auf Bestellung zum eigenenGebrauch eines anderen handelt.(1a) (Anm.: aufgehoben durch BGBl. I Nr. 32/2003)(2) Ebenso ist zu bestrafen, wer als Inhaber oder Leiter eines Unternehmens einen im Betrieb des Unternehmens voneinem Bediensteten oder Beauftragten begangenen Eingriff dieser Art (Abs. 1 und 1a) nicht verhindert.(2a) Wer eine nach den Abs. 1, 1a oder 2 strafbare Handlung gewerbsmäßig begeht, ist mit Freiheitsstrafe bis zu zweiJahren zu bestrafen.(3) Der Täter ist nur auf Verlangen des in seinem Recht Verletzten zu verfolgen.(4) § 85 Abs. 1, 3 und 4 über die Urteilsveröffentlichung gilt entsprechend.(5) Das Strafverfahren obliegt dem Einzelrichter des Gerichtshofes erster Instanz.Version 3.10AnhangSeite 43 von 125

Aktuelle EU-StandardvertragsklauselnAnhangSeite 44 von 125

4.7.2001 DEAmtsblatt der Europäischen GemeinschaftenL 181/19II(Nicht veröffentlichungsbedürftige Rechtsakte)KOMMISSIONENTSCHEIDUNG DER KOMMISSIONvom 15. Juni 2001hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländernach der Richtlinie 95/46/EG(Bekannt gegeben unter Aktenzeichen K(2001) 1539)(Text von Bedeutung für den EWR)(2001/497/EG)DIE KOMMISSION DER EUROPÄISCHEN GEMEINSCHAFTEN —gestützt auf den Vertrag zur Gründung der Europäischen Gemeinschaft,gestützt auf die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr( 1 ), insbesondere auf Artikel 26 Absatz 4,in Erwägung nachstehender Gründe:(1) Nach der Richtlinie 95/46/EG müssen die Mitgliedstaaten dafür Sorge tragen, dass die Übermittlungpersonenbezogener Daten in ein Drittland nur dann erfolgen kann, wenn das betreffende Drittlandein angemessenes Datenschutzniveau gewährleistet und Gesetze des Mitgliedstaates, die den anderenBestimmungen der Richtlinie entsprechen, vor der Übermittlung berücksichtigt werden.(2) Artikel 26 Absatz 2 der Richtlinie 95/46/EG sieht jedoch vor, dass die Mitgliedstaaten sofernbestimmte Garantien vorliegen, eine Übermittlung oder eine Kategorie von Übermittlungen personenbezogenerDaten in Drittländer, die kein angemessenes Datenschutzniveau gewährleisten, genehmigenkönnen. Solche Garantien können sich insbesondere aus einschlägigen Vertragsklauselnergeben.(3) Nach der Richtlinie 95/46/EG ist das Datenschutzniveau unter Berücksichtigung aller Umstände zubeurteilen, die bei der Datenübermittlung oder einer Kategorie von Datenübermittlungen eine Rollespielen; die gemäß dieser Richtlinie eingesetzte Gruppe für den Schutz natürlicher Personen bei derVerarbeitung personenbezogener Daten ( 2 ) hat Leitlinien für die Erstellung solcher Beurteilungenveröffentlicht ( 3 ).( 1 ) ABl. L 281 vom 23.11.1995, S. 31.( 2 ) Die Intemetadresse der Arbeitsgruppe lautet:http://www.europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/index.htm.( 3 ) WP4 (5020/97) „Erste Leitlinien für die Übermittlung personenbezogener Daten in Drittländer — Mögliche Ansätzefür eine Bewertung der Angemessenheit“; Diskussionsgrundlage, von der Arbeitsgruppe angenommen am 26. Juni1997.WP7 (5057/97) „Beurteilung der Selbstkontrolle der Wirtschaft: wann ist sie ein sinnvoller Beitrag zum Niveau desDatenschutzes in einem Drittland?“ Arbeitsunterlage, von der Arbeitsgruppe angenommen am 14. Januar 1998.WP9(3005/98) „Erste Überlegungen zur Verwendung vertraglicher Bestimmungen im Rahmen der Übermittlungenpersonenbezogener Daten an Drittländer“, Arbeitsunterlage von der Arbeitsgruppe angenommen am 22. April 1998.WP12: „Übermittlungen personenbezogener Daten an Drittländer: Anwendung von Artikel 25 und 26 der Datenschutzrichtlinieder EU“; Arbeitsunterlage, von der Gruppe angenommen am 24. Juli 1998, verfügbar auf der Websiteder Europäischen Kommission: „europa.eu.int/comm/internal_markt/en/media.dataprot/wpdocs/wp12/de“.AnhangSeite 45 von 125

L 181/20DE Amtsblatt der Europäischen Gemeinschaften 4.7.2001(4) Artikel 26 Absatz 2 der Richtlinie 95/46/EG, der einer Organisation, die Daten in Drittländerübermitteln will. Flexibilität bietet, und Artikel 26 Absatz 4 mit dem Hinweis auf Standardvertragsklauselnsind wesentlich, um den notwendigen Strom personenbezogener Daten zwischen derEuropäischen Union und Drittländern ohne unnötige Belastung der Wirtschaftsakteure aufrechtzuerhalten.Beide Bestimmungen sind von besonderer Bedeutung angesichts der Tatsache, dass dieKommission kurz- oder mittelfristig wohl nur für eine begrenzte Zahl von Ländern die Angemessenheitdes Schutzniveaus nach Artikel 25 Absatz 6 wird feststellen können.(5) Die Standardvertragsklauseln sind neben Artikel 25 und Artikel 26 Absätze 1 und 2 nur eine vonmehreren Möglichkeiten im Rahmen der Richtlinie 95/46/EG für die rechtmäßige Übermittlungpersonenbezogener Daten in Drittländer; für die Organisationen wird es erheblich einfacher, personenbezogeneDaten in Drittländer zu übermitteln, wenn sie die Standardvertragsklauseln in denVertrag aufnehmen. Sie beziehen sich jedoch nur auf den Datenschutz. Datenexporteur und Datenimporteurist es freigestellt, weitere geschäftsbezogene Klauseln aufzunehmen, z. B. Klauseln übergegenseitige Unterstützung bei Streitigkeiten mit einer betroffenen Person oder einer Kontrollstelle,die die Parteien für vertragsrelevant halten, sofern sie den Standardvertragsklauseln nicht widersprechen.(6) Diese Entscheidung sollte die nationalen Genehmigungen unberührt lassen, die von den Mitgliedstaatennach ihren eigenen Rechtsvorschriften zur Umsetzung von Artikel 26 Absatz 2 der Richtlinie95/46/EG erteilt werden können. Die Umstände einer bestimmten Übermittlung können es erforderlichmachen, dass die für die Datenverarbeitung Verantwortlichen andere Garantien im Sinne vonArtikel 26 Absatz 2 leisten müssen. Diese Entscheidung hat lediglich die Wirkung, dass die Mitgliedstaatendie hier beschriebenen Vertragsklauseln als ausreichende Garantien anerkennen müssen, undlässt daher andere Vertragsklauseln unberührt.(7) Die Entscheidung beschränkt sich darauf festzulegen, dass die im Anhang aufgeführten Vertragsklauselnvon einem für die Datenverarbeitung Verantwortlichen, der in der Gemeinschaft ansässig ist,angewandt werden können, um ausreichende Garantien nach Artikel 26 Absatz 2 der Richtlinie95/46/EG zu gewährleisten. Die Übermittlung personenbezogener Daten in Drittländer ist eineVerarbeitung in einem Mitgliedstaat, für deren Rechtmäßigkeit nationales Recht maßgeblich ist; dieKontrollstellen der Mitgliedstaaten sollten weiterhin dafür zuständig sein, im Rahmen ihrer Aufgabenund Befugnisse nach Artikel 28 der Richtlinie 95/46/EG zu prüfen, ob der Datenexporteur dienationalen Vorschriften zur Umsetzung der Bestimmungen der Richtlinie 95/46/EG einhält, insbesondereder spezifischen Bestimmungen über die Informationspflicht nach dieser Richtlinie.(8) Diese Entscheidung betrifft nicht die Übermittlung personenbezogener Daten durch für die VerarbeitungVerantwortliche, die in der Gemeinschaft ansässig sind, an Empfänger, die nicht im Gebiet derGemeinschaft ansässig sind und nur als Auftragsverarbeiter tätig werden. Diese Übermittlungenerfordern nicht die gleichen Garantien, weil der Auftragsverarbeiter ausschließlich im Auftrag des fürdie Verarbeitung Verantwortlichen tätig ist. Die Kommission beabsichtigt diese Art der Übermittlungin einer späteren Entscheidung zu behandeln.(9) Es sollten die Mindestinformationen festgelegt werden, die von den Parteien im Übermittlungsvertragbereitgestellt werden müssen. Die Mitgliedstaaten sollten weiterhin die Befugnis haben, die Informationenim Einzelnen zu benennen, die von den Parteien zu liefern sind. Diese Entscheidung wird imLichte der Erfahrung überprüft.(10) Die Kommission wird zukünftig ferner erwägen, ob Standardvertragsklauseln, die von Industrieverbändenoder anderen interessierten Parteien vorgelegt werden, ausreichende Garantien im Sinne derRichtlinie 95/46/EG bieten.(11) Zwar sollte es den Parteien freistehen, zu vereinbaren, welche Datenschutzregeln von dem Datenimporteurzu beachten sind, doch sollten bestimmte Datenschutzgrundsätze in allen Fällen anzuwendensein.(12) Daten sollten nur für angegebene Zwecke verarbeitet und anschließend verwendet oder übermitteltwerden und sollten nicht länger als notwendig aufbewahrt werden.(13) Gemäß Artikel 12 der Richtlinie 95/46/EG sollte die betroffene Person Anspruch auf alle siebetreffenden Daten und je nach Fall auf Berichtigung, Löschung und Sperrung bestimmter Datenhaben.AnhangSeite 46 von 125

4.7.2001 DEAmtsblatt der Europäischen GemeinschaftenL 181/21(14) Die Weiterübermittlung von personenbezogenen Daten an einen anderen für die VerarbeitungVerantwortlichen, der in einem Drittland ansässig ist, sollte nur unter bestimmten Voraussetzungenerlaubt werden, die insbesondere sicherstellen, dass die betroffenen Personen angemessen informiertwerden und die Möglichkeit haben zu widersprechen oder in bestimmten Fällen ihre Zustimmung zuversagen.(15) Neben der Prüfung, ob Übermittlungen in Drittländer nationalem Recht entsprechen, sollten dieKontrollstellen eine Schlüsselrolle in diesem Vertragsmechanismus übernehmen, indem sie sicherstellen,dass personenbezogene Daten nach der Übermittlung angemessen geschützt werden. Inbestimmten Fällen sollten die Kontrollstellen der Mitgliedstaaten weiterhin befugt sein, eine Datenübermittlungbeziehungsweise eine Reihe von Datenübermittlungen auf der Grundlage der Standardvertragsklauselnzu untersagen oder auszusetzen; dies gilt für jene Ausnahmefälle, für die feststeht,dass sich eine Übermittlung auf Vertragsbasis wahrscheinlich sehr nachteilig auf die Garantienauswirkt, die den betroffenen Personen angemessenen Schutz bieten sollen.(16) Die Standardvertragsklauseln sollten durchsetzbar sein, und zwar nicht nur von den Organisationen,die Vertragsparteien sind, sondern auch von den betroffenen Personen, insbesondere wenn ihnen alsFolge eines Vertragsbruchs Schaden entsteht.(17) Auf den Vertrag sollte das Recht des Mitgliedstaates anwendbar sein, in dem der Datenexporteuransässig ist, das es einem Drittbegünstigten ermöglicht, den Vertrag durchzusetzen. BetroffenePersonen sollten, wenn sie dies wünschen und das nationale Recht es zulässt, das Recht haben, sichvon Vereinigungen oder sonstigen Einrichtungen vertreten zu lassen.(18) Um die Schwierigkeiten der betroffenen Personen zu verringern, ihre Rechte nach diesen Standardvertragsklauselngeltend zu machen, sollten der Datenexporteur und der Datenimporteur gesamtschuldnerischfür Schäden aufgrund jeglicher Verletzung der Bestimmungen haftbar sein, die derDrittbegünstigtenklausel unterliegen.(19) Die betroffene Person hat das Recht, wegen Schäden, die durch Handlungen verursacht werden, diemit den in den Standardvertragsklauseln enthaltenen Verpflichtungen unvereinbar sind, gegen denDatenexporteur, den Datenimporteur oder beide gerichtlich vorzugehen und Schadensersatz zuerlangen; beide Parteien können von dieser Haftung ausgenommen werden, wenn sie beweisen, dasskeiner von ihnen für diese Schäden verantwortlich ist.(20) Die gesamtschuldnerische Haftung betrifft nicht die Bestimmungen, die nicht unter die Drittbegünstigtenklauselfallen, und muss nicht dazu führen, dass eine Partei für Schäden aus der unrechtmäßigenVerarbeitung durch die andere Partei aufkommt. Die Bestimmung über einen gegenseitigenAusgleichsanspruch zwischen den Parteien ist nicht Voraussetzung für die Angemessenheit desSchutzniveaus für die betroffenen Personen, und die Parteien können diese Bestimmung streichen.Sie wurde aber im Interesse der Klarheit in die Standardvertragsklauseln aufgenommen, und um esden Parteien zu ersparen, im Einzelfall Ausgleichsklauseln auszuhandeln.(21) Wird eine Auseinandersetzung der Parteien mit einer betroffenen Person, die sich auf dieDrittbegünstigtenklausel beruft, nicht gütlich beigelegt, verpflichten sich die Parteien, der betroffenenPerson die Wahlmöglichkeiten zwischen Schlichtung, Schieds- und Gerichtsverfahren anzubieten.Das Ausmaß der tatsächlichen Wahlmöglichkeiten der betroffenen Person hängt von dem Vorhandenseinzuverlässiger und anerkannter Schlichtungs- und Schiedsgerichtssysteme ab. Schlichtungdurch die Kontrollstellen eines Mitgliedstaats sollte eine Möglichkeit sein, sofern diese Stellen solcheLeistungen erbringen.(22) Die Gruppe für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, diedurch Artikel 29der Richtlinie 95/46/EG eingesetzt wurde, hat eine Stellungnahme zu dem Schutzniveauabgegeben, das die der Entscheidung beiliegenden Standvertragsklauseln bieten; die Stellungnahmewurde bei der Erarbeitung der vorliegenden Entscheidung ( 1 ) berücksichtigt.(23) Die in der vorliegenden Entscheidung enthaltenen Maßnahmen entsprechen der Stellungnahme desAusschusses, der durch Artikel 31 der Richtlinie 95/46/EG eingesetzt wurde —( 1 ) Stellungnahme Nr. 1/2001, angenommen von der Gruppe am 26. Januar 2001 (GD MARKT 5102/00 WP 38),verfügbar auf der „Europa“-Site der Europäischen Kommission.AnhangSeite 47 von 125

L 181/22DE Amtsblatt der Europäischen Gemeinschaften 4.7.2001HAT FOLGENDE ENTSCHEIDUNG ERLASSEN:Artikel 1Die Standardvertragsklauseln im Anhang gelten als ausreichende Garantien hinsichtlich des Schutzes derPrivatsphäre, der Grundrechte und der Grundfreiheiten der Personen sowie hinsichtlich der Ausübung derdamit verbundenen Rechte im Sinne von Artikel 26 Absatz 2 der Richtlinie 95/46/EG.Artikel 2Diese Entscheidung betrifft ausschließlich die Angemessenheit des Schutzes, der bei der Übermittlungpersonenbezogener Daten durch die im Anhang aufgeführten Standardvertragsklauseln gewährleistet wird.Die Anwendung anderer nationaler Vorschriften zur Durchführung der Richtlinie 95/46/EG, die sich auf dieVerarbeitung personenbezogener Daten in den Mitgliedstaaten beziehen, bleibt davon unberührt.Diese Entscheidung ist nicht anwendbar auf die Übermittlung personenbezogener Daten durch für dieVerarbeitung Verantwortliche, die in der Gemeinschaft ansässig sind, an Empfänger, die nicht im Gebiet derGemeinschaft ansässig sind und nur als Auftragsverarbeiter tätig werden.Im Rahmen dieser EntscheidungArtikel 3a) gelten die Begriffsbestimmungen der Richtlinie 95/46/EG;b) bezeichnet der Begriff „besondere Kategorien personenbezogener Daten“ die in Artikel 8 der Richtliniegenannten Daten;c) bezeichnet der Begriff „Kontrollstelle“ die in Artikel 28 der Richtlinie genannte Stelle;d) bezeichnet der Begriff „Datenexporteur“ den für die Verarbeitung Verantwortlichen, der die personenbezogenenDaten übermittelt;e) bezeichnet der Begriff „Datenimporteur“ den für die Verarbeitung Verantwortlichen, der sich bereiterklärt, vom Datenexporteur personenbezogene Daten für die weitere Verarbeitung gemäß den Bestimmungendieser Entscheidung entgegenzunehmen.Artikel 4(1) Unbeschadet ihrer Befugnisse, tätig zu werden, um die Einhaltung nationaler Vorschriften, die gemäßden Kapiteln II, III, V und VI der Richtlinie 95/46/EG erlassen wurden, zu gewährleisten, können diezuständigen Kontrollstellen in den Mitgliedstaaten ihre bestehenden Befugnisse ausüben, um zum Schutzvon Privatpersonen in Bezug auf die Verarbeitung ihrer personenbezogenen Daten die Datenübermittlungin Drittländer zu verbieten oder auszusetzen, wenn:a) feststeht, dass der Datenimporteur nach den für ihn geltenden Rechtsvorschriften Anforderungenunterliegt, die ihn zwingen, von den einschlägigen Datenschutzvorschriften in einem Maß abzuweichen,das über die Beschränkungen hinausgeht, die im Sinne von Artikel 13 der Richtlinie 95/46/EG für einedemokratische Gesellschaft erforderlich sind und dass sich diese Anforderungen wahrscheinlich sehrnachteilig auf die Garantien auswirken, die die Standardvertragsklauseln bieten sollen, oderb) eine zuständige Kontrollstelle festgestellt hat, dass der Datenimporteur die Vertragsklauseln nicht einhält,oderc) eine hohe Wahrscheinlichkeit besteht, dass die im Anhang enthaltenen Standardvertragsklauseln derzeitoder künftig nicht eingehalten werden und die Fortsetzung der Übermittlung den betroffenen Personeneinen nicht wieder gutzumachenden Schaden zufügen würde.(2) Das Verbot oder die Aussetzung im Sinne von Absatz 1 wird aufgehoben, sobald die Gründe für dasVerbot oder die Aussetzung nicht mehr vorliegen.(3) Sobald die Mitgliedstaaten Maßnahmen gemäß Absatz 1 und 2 ergreifen, informieren sie unverzüglichdie Kommission, die ihrerseits die Informationen an die anderen Mitgliedstaaten weiterleitet.AnhangSeite 48 von 125

4.7.2001 DEAmtsblatt der Europäischen GemeinschaftenL 181/23Artikel 5Die Kommission bewertet drei Jahre, nachdem sie den Mitgliedstaaten diese Entscheidung bekannt gegebenhat, anhand der verfügbaren Informationen ihre Durchführung. Sie unterrichtet den durch Artikel 31 derRichtlinie 95/46/EG eingesetzten Ausschuss über ihre Feststellungen. Sie fügt sämtliche Belege bei, die fürdie Beurteilung der Angemessenheit der Standardvertragsklauseln des Anhangs von Bedeutung seinkönnten, sowie etwaige Belege dafür, dass die Entscheidung in diskriminierender Weise angewandt wird.Artikel 6Diese Entscheidung ist anwendbar ab dem 3. September 2001.Artikel 7Diese Entscheidung ist an die Mitgliedstaaten gerichtet.Brüssel, den 15. Juni 2001Für die KommissionFrederik BOLKESTEINMitglied der KommissionAnhangSeite 49 von 125

L 181/24DE Amtsblatt der Europäischen Gemeinschaften 4.7.2001ANHANGAnhangSeite 50 von 125

4.7.2001 DEAmtsblatt der Europäischen GemeinschaftenL 181/25AnhangSeite 51 von 125

L 181/26DE Amtsblatt der Europäischen Gemeinschaften 4.7.2001AnhangSeite 52 von 125

4.7.2001 DEAmtsblatt der Europäischen GemeinschaftenL 181/27AnhangSeite 53 von 125

L 181/28DE Amtsblatt der Europäischen Gemeinschaften 4.7.2001Anlage 1zu den StandardvertragsklauselnAnhangSeite 54 von 125

4.7.2001 DEAmtsblatt der Europäischen GemeinschaftenL 181/29AnhangSeite 55 von 125

L 181/30DE Amtsblatt der Europäischen Gemeinschaften 4.7.2001Anlage 2zu den StandardvertragsklauselnVerbindliche Datenschutzgrundsätze im Sinne von Klausel 5 Buchstabe b) Absatz 1Diese Datenschutzgrundsätze sind im Lichte der Bestimmungen (Grundsätze und entsprechende Ausnahmen) der Richtlinie95/46/EG auszulegen.Sie gelten vorbehaltlich der nach den nationalen Rechtsvorschriften für den Datenimporteur geltenden zwingendenAnforderungen, die nicht weitergehen, als es in einer demokratischen Gesellschaft unter Zugrundelegung der in Artikel 13Absatz 1 der Richtlinie 95/46/EG aufgeführten Interessen erforderlich ist; d. h. die Anforderungen müssen notwendig seinfür die Sicherheit des Staates, die Landesverteidigung, die öffentliche Sicherheit, die Verhütung, Ermittlung, Feststellungund Verfolgung von Straftaten oder Verstößen gegen die berufsständischen Regeln bei reglementierten Berufen oder denSchutz der betroffenen Person und der Rechte und Freiheiten anderer Personen.1. Zweckbindung: Die Daten sind für die spezifischen Zwecke in Anlage 1 der Klauseln zu verarbeiten und anschließend zuverwenden oder weiter zu übermitteln. Die Daten dürfen nicht länger aufbewahrt werden, als es für die Zweckeerforderlich ist, für die sie übermittelt werden.2. Datenqualität und -verhältnismäßigkeit: Die Daten müssen sachlich richtig und, wenn nötig, auf dem neuesten Stand sein.Sie müssen angemessen, relevant und im Hinblick auf die Zweckbestimmung, für die sie übertragen oder weiterverarbeitetwerden, nicht exzessiv sein.3. Transparenz: Die betroffenen Personen müssen Informationen über die Zweckbestimmungen der Verarbeitung und dieIdentität des im Drittland für die Verarbeitung Verantwortlichen sowie andere Informationen erhalten, sofern dieserforderlich ist, um eine angemessene Verarbeitung sicherzustellen, und sofern diese Informationen nicht bereits vomDatenexporteur erteilt wurden.4. Sicherheit und Vertraulichkeit: Der für die Verarbeitung Verantwortliche hat geeignete technische und organisatorischeSicherheitsvorkehrungen gegen die Risiken der Verarbeitung zu treffen, beispielsweise gegen den unzulässigen Zugriffauf Daten. Alle unter die Verantwortung des für die Verarbeitung Verantwortlichen tätigen Personen, darunter auchAuftragsverarbeiter, dürfen die Daten nur auf Anweisung des für die Verarbeitung Verantwortlichen verarbeiten.5. Recht auf Zugriff, Berichtigung, Löschung und Widerspruch: Nach Artikel 12 der Richtlinie 95/46/EG muss die betroffenePerson das Recht haben, auf alle sie betreffenden Daten, die verarbeitet werden, zuzugreifen sowie je nach Fall dasRecht haben auf Berichtigung, Löschung oder Sperrung von Daten, deren Verarbeitung gegen die in dieser Anlageaufgeführten Grundsätze verstößt, insbesondere wenn diese Daten unvollständig oder unrichtig sind. Die betreffendePerson muss auch aus zwingenden berechtigten Gründen, die mit ihrer persönlichen Situation zusammenhängen,Widerspruch gegen die Verarbeitung der sie betreffenden Daten einlegen können.6. Beschränkung der Weiterübermittlung: Weiterübermittlungen personenbezogener Daten vom Datenimporteur an einenanderen für die Verarbeitung Verantwortlichen, der in einem Drittland ansässig ist, das weder angemessenen Schutzbietet noch unter eine von der Kommission gemäß Artikel 25 Absatz 6 der Richtlinie 95/46/EG erlassene Entscheidungfällt (nachstehend: Weiterübermittlung), dürfen nur stattfinden, wenn eine der folgenden Bedingungen erfüllt ist:a) Die betroffenen Personen haben der Weiterübermittlung eindeutig zugestimmt, falls bestimmte Datenkategorienbetroffen sind, oder haben in anderen Fällen die Möglichkeit erhalten, sich dagegen auszusprechen.Die betroffenen Personen müssen mindestens folgende Informationen erhalten und zwar in einer Sprache, die sieverstehen:— die Zwecke der Weiterübermittlung,— die Identität des in der Gemeinschaft ansässigen Datenexporteurs,— die Kategorien weiterer Empfänger der Daten und Empfängerländer sowie— eine Erklärung darüber, dass die Daten, nach der Weiterübermittlung von einem für die Verarbeitung Verantwortlichenverarbeitet werden können, der in einem Land ansässig ist, das kein angemessenes Schutzniveau fürdie Privatsphäre des Einzelnen gewährleistet; oderb) der Datenexporteur und der Datenimporteur stimmen dem Beitritt eines weiteren, für die Verarbeitung Verantwortlichenzu den Klauseln zu, der dadurch zu einer Partei dieser Klauseln wird und dieselben Verpflichtungen wie derDatenimporteur eingeht.7. Besondere Datenkategorien: Werden Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen,religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie Daten überGesundheit oder Sexualleben und Daten über Straftaten, strafrechtliche Verurteilungen oder Sicherheitsmaßnahmenverarbeitet, so sollten zusätzliche Garantien entsprechend der Richtlinie 95/46/EG vorliegen, insbesondere angemesseneSicherheitsmaßnahmen wie die strenge Verschlüsselung für Übermittlungszwecke oder Aufzeichnungen überZugriffe auf sensible Daten.8. Direktmarketing: Werden Daten zum Zwecke des Direktmarketings verarbeitet, müssen wirksame Verfahren vorgesehensein, die der betroffenen Person jederzeit die Möglichkeit des „Opt-out“ geben, so dass sie sich gegen die Verwendungihrer Daten für derartige Zwecke entscheiden kann.AnhangSeite 56 von 125

4.7.2001 DEAmtsblatt der Europäischen GemeinschaftenL 181/319. Automatisierte Einzelentscheidungen: Die betroffenen Personen haben das Recht, keiner Entscheidung unterworfen zuwerden, die allein auf der automatisierten Datenverarbeitung beruht, wenn keine anderen Maßnahmen zur Wahrungder berechtigen Interessen der Person nach Artikel 15 Absatz 2 der Richtlinie 95/46/EG ergriffen werden. Erfolgt dieÜbermittlung mit dem Ziel eine automatisierte Einzelentscheidung im Sinne von Artikel 15 Richtlinie 95/46/EG, d. h.eine Entscheidung, die rechtliche Folgen für die Person nach sich zieht oder sie erheblich beeinträchtigt und dieausschließlich aufgrund einer automatisierten Verarbeitung von Daten zum Zwecke der Bewertung einzelner Aspekteihrer Person ergeht, wie beispielsweise ihrer beruflichen Leistungsfähigkeit, ihrer Kreditwürdigkeit, ihrer Zuverlässigkeitoder ihres Verhaltens usw., zu treffen, so muss die natürliche Person das Recht haben, die Gründe für dieseEntscheidung zu erfahren.Anlage 3zu den StandardvertragsklauselnVerbindliche Datenschutzgrundsätze im Sinne von Klausel 5 Buchstabe b) Absatz 21. Zweckbindung: Die Daten sind für die spezifischen Zwecke in Anlage 1 der Klauseln zu verarbeiten und anschließend zuverwenden oder weiter zu übermitteln. Die Daten dürfen nicht länger aufbewahrt werden, als es für die Zweckeerforderlich ist, für die sie übermittelt werden.2. Recht auf Zugriff, Berichtigung, Löschung und Widerspruch: Nach Artikel 12 der Richtlinie 95/46/EG muss die betroffenePerson das Recht haben, auf alle sie betreffenden Daten, die verarbeitet werden, zuzugreifen sowie je nach Fall dasRecht haben auf Berichtigung, Löschung oder Sperrung von Daten, deren Verarbeitung gegen die in dieser Anlageaufgeführten Grundsätze verstößt, insbesondere wenn diese Daten unvollständig oder unrichtig sind. Die betreffendePerson muss auch aus zwingenden berechtigten Gründen, die mit ihrer persönlichen Situation zusammenhängen,Widerspruch gegen die Verarbeitung der sie betreffenden Daten einlegen können.3. Beschränkung der Weiterübermittlung: Weiterübermittlungen personenbezogener Daten vom Datenimporteur an einenanderen für die Verarbeitung Verantwortlichen, der in einem Drittland ansässig ist, das weder angemessenen Schutzbietet noch unter eine von der Kommission gemäß Artikel 25 Absatz 6 der Richtlinie 95/46/EG erlassene Entscheidungfällt (nachstehend: Weiterübermittlungen), dürfen nur stattfinden, wenn eine der folgenden Bedingungen erfülltist:a) Die betroffenen Personen haben der Weiterübermittlung ausdrücklich zugestimmt, falls bestimmte Datenkategorienbetroffen sind, oder haben in anderen Fällen die Möglichkeit erhalten, sich dagegen auszusprechen.Die betroffenen Personen müssen mindestens folgende Informationen erhalten und zwar in einer Sprache, die sieverstehen:— die Zwecke der Weiterübermittlung,— die Identität des in der Gemeinschaft ansässigen Datenexporteurs,— die Kategorien weiterer Empfänger der Daten und Empfängerländer sowie— eine Erklärung darüber, dass die Daten, nach der Weiterübermittlung von einem für die Verarbeitung Verantwortlichenverarbeitet werden können, der in einem Land ansässig ist, das kein angemessenes Schutzniveau fürdie Privatsphäre des Einzelnen gewährleistet; oderb) der Datenexporteur und der Datenimporteur stimmen dem Beitritt eines weiteren, für die Verarbeitung Verantwortlichenzu den Klauseln zu, der dadurch zu einer Partei dieser Klauseln wird und dieselben Verpflichtungen wie derDatenimporteur eingeht.AnhangSeite 57 von 125

DEL 39/16 Amtsblatt der Europäischen Union 12.2.2010Anhang 1zu den StandardvertragsklauselnDieser Anhang ist Bestandteil der Klauseln und muss von den Parteien ausgefüllt und unterzeichnet werdenDie Mitgliedstaaten können entsprechend den nationalen Verfahren Zusatzangaben, die in diesem Anhang enthalten seinmüssen, ergänzenDatenexporteurDer Datenexporteur ist (bitte erläutern Sie kurz Ihre Tätigkeiten, die für die Übermittlung von Belang sind):................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................DatenimporteurDer Datenimporteur ist (bitte erläutern Sie kurz die Tätigkeiten, die für die Übermittlung von Belang sind):................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................Betroffene PersonenDie übermittelten personenbezogenen Daten betreffen folgende Kategorien betroffener Personen (bitte genau angeben):................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................Kategorien von DatenDie übermittelten personenbezogenen Daten gehören zu folgenden Datenkategorien (bitte genau angeben):................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................Besondere Datenkategorien (falls zutreffend)Die übermittelten personenbezogenen Daten umfassen folgende besondere Datenkategorien (bitte genau angeben):................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................VerarbeitungDie übermittelten personenbezogenen Daten werden folgenden grundlegenden Verarbeitungsmaßnahmen unterzogen(bitte genau angeben):................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................AnhangSeite 69 von 125

DE12.2.2010 Amtsblatt der Europäischen Union L 39/17DATENEXPORTEURName: ....................................................................................................................Unterschrift des/der Bevollmächtigten: ..........................................................DATENIMPORTEURName: ....................................................................................................................Unterschrift des/der Bevollmächtigten: ..........................................................AnhangSeite 70 von 125

DEL 39/18 Amtsblatt der Europäischen Union 12.2.2010Anhang 2zu den StandardvertragsklauselnDieser Anhang ist Bestandteil der Klauseln und muss von den Parteien ausgefüllt und unterzeichnet werdenBeschreibung der technischen oder organisatorischen Sicherheitsmaßnahmen, die der Datenimporteur gemäßKlausel 4 Buchstabe d und Klausel 5 Buchstabe c eingeführt hat (oder Dokument/Rechtsvorschrift beigefügt):................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................BEISPIEL FÜR EINE ENTSCHÄDIGUNGSKLAUSEL (FAKULTATIV)HaftungDie Parteien erklären sich damit einverstanden, dass, wenn eine Partei für einen Verstoß gegen die Klauseln haftbargemacht wird, den die andere Partei begangen hat, die zweite Partei der ersten Partei alle Kosten, Schäden, Ausgaben undVerluste, die der ersten Partei entstanden sind, in dem Umfang ersetzt, in dem die zweite Partei haftbar ist.Die Entschädigung ist abhängig davon, dassa) der Datenexporteur den Datenimporteur unverzüglich von einem Schadenersatzanspruch in Kenntnis setzt undb) der Datenimporteur die Möglichkeit hat, mit dem Datenexporteur bei der Verteidigung in der Schadenersatzsache bzw.der Einigung über die Höhe des Schadenersatzes zusammenzuarbeiten ( 1 ).( 1 ) Der Absatz über die Haftung ist fakultativ.AnhangSeite 71 von 125

DEL 385/74 Amtsblatt der Europäischen Union 29.12.2004ENTSCHEIDUNG DER KOMMISSIONvom 27. Dezember 2004zur Änderung der Entscheidung 2001/497/EG bezüglich der Einführung alternativer Standardvertragsklauselnfür die Übermittlung personenbezogener Daten in Drittländer(Bekannt gegeben unter Aktenzeichen K(2004) 5271)(Text von Bedeutung für den EWR)(2004/915/EG)DIE KOMMISSION DER EUROPÄISCHEN GEMEINSCHAFTEN —(2) Seit Verabschiedung dieser Entscheidung wurden vieleErfahrungen gesammelt. Darüber hinaus haben mehrereWirtschaftsverbände ( 3 ) gemeinsam alternative Standardvertragsklauselnentworfen, die ein Datenschutzniveaugewährleisten sollen, das dem Niveau der Standardvertragsklauselnin der Entscheidung 2001/497/EG vergleichbarist, auch wenn dabei andere Instrumente eingesetztwerden.gestützt auf den Vertrag zur Gründung der EuropäischenGemeinschaft,gestützt auf die Richtlinie 95/46/EG des Europäischen Parlamentsund des Rates vom 24. Oktober 1995 zum Schutz natürlicherPersonen bei der Verarbeitung personenbezogener Datenund zum freien Datenverkehr ( 1 ), insbesondere auf Artikel 26Absatz 4,in Erwägung nachstehender Gründe:(1) Um die Aufrechterhaltung der Datenströme aus der Gemeinschaftzu erleichtern, ist es wünschenswert, dass diefür die Verarbeitung Verantwortlichen in der GemeinschaftDaten weltweit auf der Grundlage derselben Datenschutzregelnübermitteln können. Solange es keine globalenDatenschutznormen gibt, sind Standardvertragsklauselnein wichtiges Instrument, das die Übermittlungpersonenbezogener Daten aus allen Mitgliedstaaten nachdenselben Regeln ermöglicht. Die Entscheidung2001/497/EG der Kommission vom 15. Juni 2001 hinsichtlichStandardvertragsklauseln für die Übermittlungpersonenbezogener Daten in Drittländer nach der Richtlinie95/46/EG ( 2 ) legt daher Standardvertragsklauselnfest, die angemessene Garantien für die Übermittlungvon Daten in Drittländer bieten.( 1 ) ABl. L 281 vom 23.11.1995, S. 31. Richtlinie geändert durch dieVerordnung (EG) Nr. 1882/2003 (ABl. L 284 vom 31.10.2003,S. 1).( 2 ) ABl. L 181 vom 4.7.2001, S. 19.( 3 ) Internationale Handelskammer (ICC), Japan Business Council in Europe(JBCE), Europäische Verband der informations- und kommunikationstechnischenIndustrie (EICTA), EU-Ausschuss der AmerikanischenHandelskammer in Belgien (Amcham), Confederation ofBritish Industry (CBI), International Communication Round Table(ICRT), Federation of European Direct Marketing Associations(FEDMA).(3) Da die Verwendung von Standardvertragsklauseln bei internationalenDatenübermittlungen freiwillig erfolgt undnur eine Möglichkeit gemäß der Richtlinie 95/46/EG darstellt,personenbezogene Daten auf rechtlich zulässigeWeise in ein Drittland zu übermitteln, sollte es Datenexporteurenin der Gemeinschaft und Datenimporteurenin Drittländern freistehen, Daten unter Verwendung einesder Standardverträge zu übermitteln oder aber sich aufeine andere Rechtsgrundlage zu stützen. Da jeder Standardvertragin sich geschlossen ist, sollte es den Datenexporteurenallerdings nicht erlaubt werden, die Standardverträgezu ändern bzw. verschiedene Standardverträgemiteinander zu kombinieren.(4) Die Standardvertragsklauseln der Wirtschaftsverbändesollen die Wirtschaftsteilnehmer zur intensiveren Nutzungvon Vertragsklauseln veranlassen; zu diesem Zwecksetzen sie auf Instrumente wie flexiblere Prüfungspflichtenoder präzisere Regelung des Auskunftsrechts.(5) Als Alternative zur gesamtschuldnerischen Haftung gemäßder Entscheidung 2001/497/EG beinhaltet der nunvorgelegte Standardvertrag außerdem ein auf die Sorgfaltspflichtabstellendes Haftungssystem, das Datenexporteurund Datenimporteur gegenüber der betroffenen Personfür die Verletzung ihrer jeweiligen Vertragspflichtenhaftbar macht; ebenso ist der Datenexporteur haftbar,wenn er sich nicht im Rahmen des Zumutbaren davonüberzeugt, dass der Datenimporteur seine Rechtspflichtenaus den Klauseln zu erfüllen in der Lage ist (Auswahlverschulden— culpa in eligendo), in welchem Fall die betroffenePerson gerichtlich gegen den Datenexporteurvorgehen kann. Die Durchsetzung von Klausel I Buchstabeb) des neuen Standardvertrags ist in dieser Hinsichtbesonders wichtig, vor allem im Hinblick auf das Rechtdes Datenexporteurs, Prüfungen in den Räumlichkeitendes Datenimporteurs durchzuführen oder Nachweise zuverlangen, dass dieser über genügend Finanzmittel verfügt,um seinen Verpflichtungen nachzukommen.AnhangSeite 72 von 125

DE29.12.2004 Amtsblatt der Europäischen Union L 385/75(6) Für den Fall, dass die betroffene Person ihre Rechte alsDrittbegünstigte ausübt, wird der Datenexporteur bei derBeschwerdeabhilfe stärker zur Verantwortung gezogen;der Datenexporteur ist nämlich verpflichtet, Kontaktzum Datenimporteur aufzunehmen und die Einhaltungder Vertragspflichten nötigenfalls innerhalb der Standardfristvon einem Monat durchzusetzen. Falls der Datenexporteursich weigert, die Einhaltung der Vertragspflichtendurchzusetzen, und der Datenimporteur seine Vertragspflichtenweiter verletzt, kann die betroffene Persondie Einhaltung der Klauseln gegenüber dem Datenimporteurerzwingen und ihn in einem Mitgliedstaat gerichtlichbelangen. Die Anerkennung einer gerichtlichen Zuständigkeitund der Entscheidung des zuständigen Gerichtsoder einer Kontrollstelle schmälert in keiner Weise dieprozessualen Rechte des in einem Drittland ansässigenDatenimporteurs, z. B. sein Recht auf Einlegung vonRechtsmitteln.(11) Um die Anwendung der Änderungen an der Entscheidung2001/497/EG bewerten zu können, sollte die Kommissiondiese drei Jahre, nachdem sie die Mitgliedstaatendavon in Kenntnis gesetzt hat, bewerten.(12) Die Entscheidung 2001/497/EG sollte entsprechend geändertwerden.(13) Die in dieser Entscheidung vorgesehenen Maßnahmenentsprechen der Stellungnahme des Ausschusses, der gemäßArtikel 31 der Richtlinie 95/46/EG eingesetztwurde —HAT FOLGENDE ENTSCHEIDUNG ERLASSEN:(7) Damit diese zusätzliche Flexibilität jedoch nicht missbrauchtwird, erscheint es angebracht, dass die Datenschutzkontrollstellenauf der Grundlage des neuen StandardvertragsklauseltypsDatenübermittlungen leichter verbietenoder aussetzen können, falls sich der Datenexporteurweigert, gegenüber dem Datenimporteur geeigneteMaßnahmen zur Durchsetzung der Vertragspflichten zuergreifen, oder der Datenimporteur sich weigert, redlichmit den zuständigen Datenschutzkontrollstellen zusammenzuarbeiten.Artikel 1Die Entscheidung 2001/497/EG wird wie folgt geändert:1. In Artikel 1 wird folgender Absatz hinzugefügt:(8) Die aufgrund der Richtlinie 95/46/EG oder der Richtlinie2002/58/EG des Europäischen Parlaments und des Ratesvom 12. Juli 2002 über die Verarbeitung personenbezogenerDaten und den Schutz der Privatsphäre in derelektronischen Kommunikation (Datenschutzrichtliniefür elektronische Kommunikation) ( 1 ) erlassenen Vorschriftenbleiben von den Standardvertragsklauseln unberührt,insbesondere was den Versand kommerziellerKommunikation für Direktmarketingzwecke betrifft.(9) Auf dieser Grundlage können die Garantien, die die vorgelegtenStandardvertragsklauseln beinhalten, als angemessenim Sinne von Artikel 26 Absatz 2 der Richtlinie95/46/EG angesehen werden.„Die für die Verarbeitung Verantwortlichen haben die Wahlzwischen Standardvertrag I und II im Anhang. Sie dürfen dieKlauseln weder ändern noch Klauseln aus beiden Verträgenmiteinander kombinieren.“2. Artikel 4 Absätze 2 und 3 erhalten folgende Fassung:„(2) Für die Zwecke von Absatz 1 können die zuständigenKontrollstellen, sofern der für die Verarbeitung Verantwortlicheangemessene Garantien auf der Grundlage des StandardvertragsII im Anhang geltend macht, im Rahmen ihrerBefugnisse Datenübermittlungen verbieten oder aussetzen,wenn(10) Die Gruppe für den Schutz natürlicher Personen bei derVerarbeitung personenbezogener Daten, die nach Artikel29 der Richtlinie 95/46/EG eingesetzt wurde, hat eineStellungnahme ( 2 ) zu dem Schutzniveau abgegeben, dasdie vorgelegten Standardvertragsklauseln bieten; dieseStellungnahme wurde bei der Ausarbeitung dieser Entscheidungberücksichtigt.( 1 ) ABl. L 201 vom 31.7.2002, S. 37.( 2 ) Stellungnahme 8/2003, siehe http://europa.eu.int/comm/privacy/a) der Datenimporteur sich weigert, mit den Datenschutzkontrollstellenredlich zusammenzuarbeiten oder eindeutigeVertragspflichten zu erfüllen;b) der Datenexporteur sich weigert, binnen der Regelfristvon einem Monat nach entsprechender Aufforderungdurch die zuständige Kontrollstelle geeignete Maßnahmenzur Durchsetzung der Vertragspflichten gegenüber demDatenimporteur zu ergreifen.AnhangSeite 73 von 125

DEL 385/76 Amtsblatt der Europäischen Union 29.12.2004Eine Weigerung des Datenimporteurs zur redlichen Zusammenarbeitoder zur Durchsetzung der Vertragspflichten imSinne von Unterabsatz 1 besteht nicht, wenn die Zusammenarbeitoder Durchsetzung zu einer Kollision mit nationalen,für den Datenimporteur verbindlichen Rechtsvorschriftenführen würde und diese Vorschriften nicht über das hinausgehen,was in einer demokratischen Gesellschaft unter Zugrundelegungder in Artikel 13 Absatz 1 der Richtlinie95/46/EG aufgeführten Interessen erforderlich ist; hierunterfallen insbesondere die Androhung von Sanktionen nachinternationalem und/oder nationalem Recht, steuerrechtlicheAnzeigepflichten oder Anzeigepflichten zur Bekämpfung derGeldwäsche.Die Pflicht zur Zusammenarbeit im Sinne von Unterabsatz 1Buchstabe a) beinhaltet für den Datenimporteur insbesonderedie Bereitschaft, seine Datenverarbeitungseinrichtungen überprüfenzu lassen oder den Empfehlungen der Datenschutzkontrollstellein der Gemeinschaft Folge zu leisten.(3) Das Verbot oder die Aussetzung im Sinne der Absätze1 und 2 wird aufgehoben, sobald die Gründe für das Verbotoder die Aussetzung nicht mehr vorliegen.3. Artikel 5 Satz 1 erhält folgende Fassung:„Die Kommission bewertet drei Jahre, nachdem sie den Mitgliedstaatendiese Entscheidung und etwaige Änderungen andieser Entscheidung bekannt gegeben hat, ihre Durchführunganhand der verfügbaren Informationen.“.4. Der Anhang wird wie folgt geändert:1. Nach der Überschrift wird „STANDARDVERTRAG I“ eingefügt.2. Der Wortlaut des Anhangs zu dieser Entscheidung wirdangefügt.Artikel 2Diese Entscheidung gilt ab dem 1. April 2005.Artikel 3Diese Entscheidung ist an die Mitgliedstaaten gerichtet.Brüssel, den 27. Dezember 2004(4) Wenn die Mitgliedstaaten Maßnahmen gemäß den Absätzen1, 2 und 3 ergreifen, informieren sie unverzüglich dieKommission, die ihrerseits die Informationen an die anderenMitgliedstaaten weiterleitet.“.Für die KommissionCharlie McCREEVYMitglied der KommissionAnhangSeite 74 von 125

DE29.12.2004 Amtsblatt der Europäischen Union L 385/77ANHANG„STANDARDVERTRAG IIStandardvertragsklauseln für die Übermittlung personenbezogener Daten aus der Gemeinschaft in Drittländer(Übermittlung zwischen für die Datenverarbeitung Verantwortlichen)Vereinbarung über die Datenübermittlungzwischen_____________________________________________________________________________________ (Name)________________________________________________________________________________________________(Adresse und Sitzland)(nachstehend als ‚Datenexporteur‘ bezeichnet,und_____________________________________________________________________________________ (Name)________________________________________________________________________________________________(Adresse und Sitzland)nachstehend als ‚Datenimporteur‘ bezeichnet,beide nachstehend als ‚Partei‘, zusammen als ‚Parteien‘ bezeichnetBegriffsbestimmungenIm Rahmen der Vertragsklauseln gelten folgende Begriffsbestimmungen:a) Die Begriffe ‚personenbezogene Daten‘, ‚besondere Kategorien personenbezogener Daten/sensible Daten‘, ‚verarbeiten/-Verarbeitung‘, ‚für die Verarbeitung Verantwortlicher‘, ‚Auftragsverarbeiter‘, ‚betroffene Person‘ und ‚Kontrollstelle‘ werdenentsprechend den Begriffsbestimmungen der Richtlinie 95/46/EG vom 24. Oktober 1995 verwendet (wobei mit‚Kontrollstelle‘ die Datenschutzkontrollstelle gemeint ist, die für das Sitzland des Datenexporteurs zuständig ist).b) ‚Datenexporteur‘ bezeichnet den für die Verarbeitung Verantwortlichen, der die personenbezogenen Daten übermittelt.c) ‚Datenimporteur‘ bezeichnet den für die Verarbeitung Verantwortlichen, der sich bereit erklärt, vom Datenexporteurpersonenbezogene Daten für die Verarbeitung gemäß den Bestimmungen dieser Vertragsklauseln entgegenzunehmen,und der nicht an ein System eines Drittlandes gebunden ist, das angemessenen Schutz gewährleistet.d) ‚Klauseln‘ bezeichnet diese Standardvertragsklauseln als eigenständiges Dokument, das keine Geschäftsbedingungenbeinhaltet, die von den Parteien im Rahmen getrennter geschäftlicher Vereinbarungen getroffen wurden.Die Einzelheiten der Übermittlung (sowie die abgedeckten personenbezogenen Daten) sind in Anhang B aufgeführt, derintegraler Bestandteil dieser Klauseln ist.I. Pflichten des DatenexporteursDer Datenexporteur gibt folgende Zusicherungen:a) Die personenbezogenen Daten wurden nach den für den Datenexporteur geltenden Gesetzen gesammelt, verarbeitetund übermittelt.b) Er hat sich im Rahmen des Zumutbaren davon überzeugt, dass der Datenimporteur seine Rechtspflichten ausdiesen Klauseln zu erfüllen in der Lage ist.c) Er stellt dem Datenimporteur auf Antrag Exemplare der einschlägigen Datenschutzgesetze oder entsprechendeFundstellennachweise seines Sitzlandes zur Verfügung, erteilt aber keine Rechtsberatung.AnhangSeite 75 von 125

DEL 385/78 Amtsblatt der Europäischen Union 29.12.2004d) Er beantwortet Anfragen der betroffenen Personen und der Kontrollstelle bezüglich der Verarbeitung der personenbezogenenDaten durch den Datenimporteur, es sei denn, die Parteien haben vereinbart, dass der Datenimporteurdie Beantwortung übernimmt; der Datenexporteur übernimmt die Beantwortung im Rahmen derZumutbarkeit und aufgrund der ihm zugänglichen Informationen auch dann, wenn der Datenimporteur nichtantworten will oder kann. Sie erfolgt innerhalb einer angemessenen Frist.e) Er stellt betroffenen Personen, die Drittbegünstigte im Sinne von Klausel III sind, auf Verlangen ein Exemplar derKlauseln zur Verfügung, es sei denn, die Klauseln enthalten vertrauliche Angaben; in diesem Fall hat er das Recht,diese Angaben zu entfernen. Werden Angaben entfernt, teilt der Datenexporteur den betroffenen Personenschriftlich die Gründe für die Entfernung mit und belehrt sie über ihr Recht, die Kontrollstelle auf die Entfernungaufmerksam zu machen. Der Datenexporteur leistet indessen der Entscheidung der Kontrollstelle Folge, denbetroffenen Personen Zugang zum Volltext der Klauseln zu gewähren, wenn diese sich zur Geheimhaltung derentfernten vertraulichen Informationen verpflichten. Der Datenexporteur stellt ferner auch der Kontrollstelle aufAntrag ein Exemplar der Klauseln zur Verfügung.II.Pflichten des DatenimporteursDer Datenimporteur gibt folgende Zusicherungen:a) Er verfügt über die technischen und organisatorischen Voraussetzungen zum Schutz der personenbezogenenDaten gegen die unbeabsichtigte oder rechtswidrige Zerstörung oder gegen den unbeabsichtigten Verlust oderdie unbeabsichtigte Änderung, die unberechtigte Offenlegung oder den unberechtigten Zugriff; damit ist einSicherheitsniveau gewährleistet, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützendenDaten gerecht wird.b) Seine Verfahrensregeln gewährleisten, dass von ihm zum Zugriff auf die personenbezogenen Daten befugte Dritte,einschließlich des Auftragsverarbeiters, die Geheimhaltung und Sicherheit der personenbezogenen Daten beachtenund wahren. Die unter der Verantwortung des Datenimporteurs tätigen Personen, darunter auch Auftragsverarbeiter,dürfen die personenbezogenen Daten nur auf seine Anweisung verarbeiten. Diese Bestimmung gilt nichtfür Personen, die von Rechts wegen zum Zugriff auf die personenbezogenen Daten befugt oder verpflichtet sind.c) Zum Zeitpunkt des Vertragsabschlusses bestehen seines Wissens in seinem Land keine entgegenstehenden Rechtsvorschriften,die die Garantien aus diesen Klauseln in gravierender Weise beeinträchtigen; er benachrichtigt denDatenexporteur (der die Benachrichtigung erforderlichenfalls an die Kontrollstelle weiterleitet), wenn er Kenntnisvon derartigen Rechtsvorschriften erlangt.d) Er verarbeitet die personenbezogenen Daten zu den in Anhang B dargelegten Zwecken und ist ermächtigt, dieZusicherungen zu geben und die Verpflichtungen zu erfüllen, die sich aus diesem Vertrag ergeben.e) Er nennt dem Datenexporteur eine Anlaufstelle innerhalb seiner Organisation, die befugt ist, Anfragen bezüglichder Verarbeitung der personenbezogenen Daten zu behandeln, und arbeitet redlich mit dem Datenexporteur, derbetroffenen Person und der Kontrollstelle zusammen, damit derartige Anfragen innerhalb einer angemessenenFrist beantwortet werden. Wenn der Datenexporteur nicht mehr besteht oder wenn die Parteien Entsprechendesvereinbaren, verpflichtet sich der Datenimporteur zur Einhaltung der Bestimmungen von Klausel I Buchstabe e).f) Auf Antrag des Datenexporteurs weist er nach, dass er über ausreichende Finanzmittel verfügt, um die Verpflichtungenaus Klausel III zu erfüllen (wozu auch Versicherungsschutz zählen kann).g) Auf Antrag des Datenexporteurs und sofern dies nicht willkürlich ist, überlässt er seine zur Verarbeitungbenötigten Datenverarbeitungseinrichtungen, Dateien und Unterlagen der Überprüfung, dem Audit und/oderder Zertifizierung durch den Datenexporteur (oder von ihm ausgewählte unabhängige oder unparteiische Prüferoder Auditoren, gegen die der Datenimporteur keine begründeten Einwände erhebt), um zu gewährleisten, dassdie Zusicherungen in diesen Klauseln eingehalten werden, wobei die Überprüfung rechtzeitig anzukündigen undwährend der üblichen Geschäftszeiten durchzuführen ist. Sofern die Zustimmung oder Genehmigung durch eineRegulierungs- oder Kontrollstelle im Land des Datenimporteurs erforderlich ist, bemüht sich dieser, die Zustimmungoder Genehmigung zügig zu erhalten.AnhangSeite 76 von 125

DE29.12.2004 Amtsblatt der Europäischen Union L 385/79h) Er verarbeitet die personenbezogenen Daten gemäßi) den Datenschutzbestimmungen des Landes, in dem der Datenexporteur ansässig ist, oderii) den einschlägigen Bestimmungen ( 1 ) etwaiger Kommissionsentscheidungen nach Artikel 25 Absatz 6 derRichtlinie 95/46/EG, sofern der Datenimporteur die einschlägigen Bestimmungen derartiger Genehmigungenbzw. Entscheidungen einhält und in einem Land ansässig ist, für das diese Genehmigungen oder Entscheidungengelten, obwohl diese hinsichtlich der Übermittlung personenbezogener Daten auf ihn keine Anwendungfinden ( 2 ), oderiii) den Grundsätzen für die Datenverarbeitung in Anhang A.Der Datenimporteur wählt die Möglichkeit: _____________________________________________________Paraphe des Datenimporteurs: ________________________________________________________________;i) Er verzichtet auf die Offenlegung oder Übermittlung personenbezogener Daten an für die Verarbeitung VerantwortlicheDritte, die außerhalb des Europäischen Wirtschaftsraums (EWR) ansässig sind, es sei denn, er setzt denDatenexporteur von der Übermittlung in Kenntnis undi) der für die Verarbeitung Verantwortliche Dritte verarbeitet die personenbezogenen Daten im Einklang miteiner Kommissionsentscheidung, in der die Kommission einem Drittland ein angemessenes Datenschutzniveauzuerkennt, oderii) der für die Verarbeitung Verantwortliche Dritte unterzeichnet diese Klauseln oder eine andere, von einerzuständigen Stelle in der EU genehmigte Datenübermittlungsvereinbarung oderiii) die betroffenen Personen haben das Recht zum Widerspruch, nachdem sie über den Zweck der Übermittlunginformiert wurden, ferner über die Empfängerkategorien und darüber, dass das Empfängerland derDaten möglicherweise andere Datenschutzstandards aufweist, oderiv) die betroffenen Personen haben im Hinblick auf die Weiterübermittlung sensibler Daten zweifelsfrei ihreZustimmung zu der Weiterübermittlung erteilt.III.Haftung und Rechte Drittera) Jede Partei haftet gegenüber der anderen Partei für Schäden, die sie durch einen Verstoß gegen diese Klauselnverursacht. Die gegenseitige Haftung der Parteien ist auf den tatsächlich erlittenen Schaden begrenzt. Strafschadenersatzansprüche(d. h. die Zahlung von Strafen für grobes Fehlverhalten einer Partei) sind ausdrücklich ausgeschlossen.Jede Partei haftet gegenüber der betroffenen Person für Schäden, die sie durch die Verletzung vonRechten Dritter im Rahmen dieser Klauseln verursacht. Die Haftung des Datenexporteurs gemäß den für ihnmaßgeblichen Datenschutzvorschriften bleibt davon unberührt.b) Die Parteien räumen den betroffenen Personen das Recht ein, diese Klausel sowie Klausel I Buchstaben b), d) unde), Klausel II Buchstaben a), c), d), e), h), i), Klausel III Buchstabe a) sowie die Klauseln V, VI Buchstabe d) und VIIals Drittbegünstigte gegenüber dem Datenimporteur oder dem Datenexporteur durchzusetzen, wenn diese imHinblick auf die Daten der betroffenen Personen ihre Vertragspflichten verletzen; zu diesem Zweck erkennen siedie Zuständigkeit der Gerichte im Sitzland des Datenexporteurs an. Wirft die betroffene Person dem DatenimporteurVertragsverletzung vor, muss sie den Datenexporteur zunächst auffordern, ihre Rechte gegenüber demDatenimporteur durchzusetzen; wird der Datenexporteur nicht innerhalb einer angemessenen Frist tätig (imRegelfall innerhalb eines Monats), kann die betroffene Person ihre Rechte direkt gegenüber dem Datenimporteurdurchsetzen. Eine betroffene Person kann direkt gegen einen Datenexporteur vorgehen, wenn dieser sich imRahmen des Zumutbaren nicht davon überzeugt hat, dass der Datenimporteur seine rechtlichen Verpflichtungenaus diesen Klauseln zu erfüllen in der Lage ist (der Datenexporteur muss beweisen, dass er alle zumutbarenAnstrengungen unternommen hat).( 1 ) ‚Einschlägige Bestimmungen‘ sind sämtliche unter diese Klauseln fallende Genehmigungen oder Entscheidungen mit Ausnahme derVollzugsbestimmungen.( 2 ) Wird diese Möglichkeit gewählt, sind jedoch die Bestimmungen von Anhang A Ziffer 5 über das Recht auf Zugriff, Berichtigung,Löschung und Widerspruch anzuwenden, die dann vergleichbaren Bestimmungen der gewählten Kommissionsentscheidung vorgehen.AnhangSeite 77 von 125

DEL 385/80 Amtsblatt der Europäischen Union 29.12.2004IV.Anwendbares RechtDiese Klauseln unterliegen dem Recht des Landes, in dem der Datenexporteur ansässig ist; davon ausgenommen sinddie Rechtsvorschriften über die Verarbeitung der personenbezogenen Daten durch den Datenimporteur gemäßKlausel II Buchstabe h), die nur gelten, wenn sich der Datenimporteur nach dieser Klausel dafür entschieden hat.V. Beilegung von Streitigkeiten mit betroffenen Personen oder der Kontrollstellea) Bei einer Streitigkeit oder einer Klage der betroffenen Person oder der Kontrollstelle gegen eine Partei oder beideParteien bezüglich der Verarbeitung personenbezogener Daten setzen die Parteien einander davon in Kenntnisund bemühen sich gemeinsam um eine zügige, gütliche Beilegung.b) Die Parteien erklären sich bereit, sich jedem allgemein zugänglichen, nicht bindenden Schlichtungsverfahren zuunterwerfen, das von einer betroffenen Person oder der Kontrollstelle angestrengt wird. Beteiligen sie sich an demVerfahren, können sie dies auf dem Weg der Telekommunikation tun (z. B. per Telefon oder anderer elektronischerMittel). Die Parteien erklären sich ferner bereit, eine Beteiligung an anderen Vermittlungsverfahren,Schiedsverfahren oder sonstigen Verfahren der Streitbeilegung zu erwägen, die für die Zwecke des Datenschutzesentwickelt werden.c) Die Parteien unterwerfen sich den rechtskräftigen Endentscheidungen des zuständigen Gerichts im Sitzland desDatenexporteurs oder der Kontrollstelle.VI.Beendigung des Vertragsa) Verstößt der Datenimporteur gegen seine Verpflichtungen aus diesen Klauseln, kann der Datenexporteur dieÜbermittlung personenbezogener Daten an den Datenimporteur vorläufig aussetzen, bis der Verstoß beseitigtoder der Vertrag beendet ist.b) Tritt einer der folgenden Fälle ein:i) Die Übermittlung personenbezogener Daten an den Datenimporteur wird vom Datenexporteur gemäß Buchstabea) länger als einen Monat ausgesetzt;ii) die Einhaltung dieser Klauseln durch den Datenimporteur verstößt gegen Rechtsvorschriften des Importlandes;iii) der Datenimporteur missachtet Zusicherungen, die er im Rahmen dieser Klauseln gegeben hat, in erheblichemUmfang oder fortdauernd;iv) das zuständige Gericht im Sitzland des Datenexporteurs oder der Kontrollstelle stellt rechtskräftig fest, dassder Datenimporteur oder der Datenexporteur gegen die Klauseln verstoßen haben, oderv) es wird ein Antrag auf Insolvenzverwaltung oder Abwicklung des Datenimporteurs in dessen privater odergeschäftlicher Eigenschaft gestellt, der nicht innerhalb der nach geltendem Recht vorgesehenen Frist abgewiesenwird; die Abwicklung wird gerichtlich angeordnet; für einen beliebigen Teil seines Vermögens wirdein Zwangsverwalter bestellt; ein Treuhänder wird bestellt, falls es sich bei dem Datenimporteur um einePrivatperson handelt; dieser leitet einen außergerichtlichen Vergleich ein, oder es kommt zu einem je nachRechtsordnung gleichwertigen Verfahren,so ist der Datenexporteur berechtigt, unbeschadet etwaiger sonstiger Ansprüche gegen den Datenimporteur,diesen Vertrag zu kündigen, wovon er gegebenenfalls die Kontrollstelle in Kenntnis setzt. Tritt einer der inZiffer i), ii) oder iv) genannten Fälle ein, kann der Datenimporteur seinerseits den Vertrag kündigen.AnhangSeite 78 von 125

DE29.12.2004 Amtsblatt der Europäischen Union L 385/81c) Jede Partei kann den Vertrag kündigen, wenn i) die Kommission eine positive Angemessenheitsfeststellung gemäßArtikel 25 Absatz 6 der Richtlinie 95/46/EG (oder einer Vorschrift, die diese Vorschrift ersetzt) in Bezug auf dasLand (oder einen Bereich davon) trifft, in das die Daten übermittelt und in dem sie vom Datenimporteurverarbeitet werden, oder ii) die Richtlinie 95/46/EG (oder eine Vorschrift, die diese Vorschrift ersetzt) in dembetreffenden Landes unmittelbar zur Anwendung gelangt.d) Die Parteien vereinbaren, dass sie auch nach der Beendigung dieses Vertrags, ungeachtet des Zeitpunkts, derUmstände oder der Gründe (ausgenommen die Kündigung gemäß Klausel VI Buchstabe c), weiterhin an dieVerpflichtungen und/oder Bestimmungen dieser Klauseln in Bezug auf die Verarbeitung der übermittelten Datengebunden sind.VII.Änderung der KlauselnDie Parteien dürfen diese Klauseln nur zum Zwecke der Aktualisierung von Anhang B ändern; gegebenenfallsmüssen sie die Kontrollstelle davon in Kenntnis setzen. Es steht den Parteien allerdings frei, erforderlichenfallsweitere Geschäftsklauseln hinzuzufügen.VIII. Beschreibung der ÜbermittlungDie Einzelheiten zur Übermittlung und zu den personenbezogenen Daten sind in Anhang B aufgeführt. Die Parteienvereinbaren, dass sie gegebenenfalls in Anhang B enthaltene vertrauliche Informationen nicht gegenüber Drittenoffen legen, es sei denn, sie sind gesetzlich dazu verpflichtet oder handeln auf Aufforderung einer zuständigenRegulierungsstelle oder staatlichen Einrichtung oder gemäß Klausel I Buchstabe e). Die Parteien können weitereAnhänge vereinbaren, die zusätzliche Übermittlungen betreffen; diese sind gegebenenfalls der Kontrollstelle zuunterbreiten. Ersatzweise kann Anhang B so formuliert werden, dass er eine Vielzahl von Übermittlungen abdeckt.Datum: ________________________________________________________________________________Für den DATENIMPORTEUR___________________________________________Für den DATENEXPORTEUR................................................................................................. ................................................................................................................................................................................................... ................................................................................................................................................................................................... ..................................................................................................AnhangSeite 79 von 125

DEL 385/82 Amtsblatt der Europäischen Union 29.12.2004ANHANG AGRUNDSÄTZE FÜR DIE DATENVERARBEITUNG1. Zweckbindung: Personenbezogene Daten dürfen nur für die in Anhang B festgelegten oder anschließend von derbetroffenen Person genehmigten Zwecke verarbeitet und danach verwendet oder weiter übermittelt werden.2. Datenqualität und Verhältnismäßigkeit: Personenbezogene Daten müssen sachlich richtig sein und nötigenfalls auf demneuesten Stand gehalten werden. Sie müssen den Übermittlungs- und Verarbeitungszwecken angemessen und dafürerheblich sein und dürfen nicht über das erforderliche Maß hinausgehen.3. Transparenz: Die betroffenen Personen müssen Informationen erhalten, die eine Verarbeitung nach Treu und Glaubengewährleisten (beispielsweise Angaben zum Verarbeitungszweck und zur Übermittlung), sofern diese Informationennicht bereits vom Datenexporteur erteilt wurden.4. Sicherheit und Geheimhaltung: Der für die Verarbeitung Verantwortliche muss geeignete technische und organisatorischeSicherheitsvorkehrungen gegen die Risiken der Verarbeitung treffen, beispielsweise gegen die unbeabsichtigteoder rechtswidrige Zerstörung oder gegen den unbeabsichtigten Verlust oder die unbeabsichtigte Änderung, die unberechtigteOffenlegung oder den unberechtigten Zugriff. Alle unter der Verantwortung des für die Verarbeitung Verantwortlichentätigen Personen, darunter auch Auftragsverarbeiter, dürfen die Daten nur auf Anweisung des für dieVerarbeitung Verantwortlichen verarbeiten.5. Recht auf Auskunft, Berichtigung, Löschung und Widerspruch: Nach Artikel 12 der Richtlinie 95/46/EG hat diebetroffene Person das Recht, entweder direkt oder durch Dritte, Auskunft über alle ihre personenbezogenen Datenzu erhalten, die von einer Organisation vorgehalten werden; dies gilt nicht für Auskunftsersuchen, die aufgrund ihrerunzumutbaren Periodizität oder ihrer Zahl, Wiederholung oder Systematik offensichtlich übertrieben sind, oder fürDaten, über die nach dem für den Datenexporteur geltenden Recht keine Auskunft erteilt werden muss. Vorbehaltlichder vorherigen Genehmigung durch die Kontrollstelle muss auch dann keine Auskunft erteilt werden, wenn dieInteressen des Datenimporteurs oder anderer Organisationen, die mit dem Datenimporteur in Geschäftsverkehr stehen,dadurch ernsthaft geschädigt würden und die Grundrechte und Grundfreiheiten der betroffenen Personen hierdurchnicht beeinträchtigt werden. Die Quellen der personenbezogenen Daten müssen nicht angegeben werden, wenn dazuunzumutbare Anstrengungen erforderlich wären oder die Rechte Dritter dadurch verletzt würden. Die betroffenePerson muss das Recht haben, ihre personenbezogenen Daten berichtigen, ändern oder löschen zu lassen, wenn dieseunzutreffend sind oder entgegen den vorliegenden Grundsätzen verarbeitet wurden. Bei begründeten Zweifeln an derRechtmäßigkeit des Ersuchens kann die Organisation weitere Belege verlangen, bevor die Berichtigung, Änderung oderLöschung erfolgt. Dritte, gegenüber denen die Daten offen gelegt wurden, müssen von der Berichtigung, Änderungoder Löschung nicht in Kenntnis gesetzt werden, wenn dies mit einem unverhältnismäßigen Aufwand verbunden wäre.Die betroffene Person muss auch aus zwingenden legitimen Gründen, die mit ihrer persönlichen Situation zusammenhängen,Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten einlegen können. Die Beweislast liegt imFall einer Ablehnung beim Datenimporteur; die betroffene Person kann eine Ablehnung jederzeit vor der Kontrollstelleanfechten.6. Sensible Daten: Der Datenimporteur trifft die zusätzliche Vorkehrungen (beispielsweise sicherheitsbezogener Art), dieentsprechend seinen Verpflichtungen nach Klausel II zum Schutz sensibler Daten erforderlich sind.7. Direktmarketing: Werden Daten zum Zwecke des Direktmarketings verarbeitet, sind wirksame Verfahren vorzusehen,damit die betroffene Person sich jederzeit gegen die Verwendung ihrer Daten für derartige Zwecke entscheiden kann(‚Opt-out‘).8. Automatisierte Entscheidungen: ‚Automatisierte Entscheidungen‘ im Sinne dieser Klauseln sind mit Rechtsfolgen behafteteEntscheidungen des Datenexporteurs oder des Datenimporteurs bezüglich einer betroffenen Person, die alleinauf der automatisierten Verarbeitung personenbezogener Daten zum Zwecke der Bewertung einzelner Aspekte ihrerPerson beruhen, beispielsweise ihrer beruflichen Leistungsfähigkeit, ihrer Kreditwürdigkeit, ihrer Zuverlässigkeit oderihres Verhaltens. Der Datenimporteur darf keine automatisierten Entscheidungen über eine betroffene Person fällen, essei denn:a) i) Der Datenimporteur fällt die Entscheidungen im Rahmen eines Vertragsabschlusses oder der Ausführung einesVertrags mit der betroffenen Person, undii) die betroffene Person erhält die Möglichkeit, die Ergebnisse einer einschlägigen automatisierten Entscheidung miteinem Vertreter der entscheidungtreffenden Partei zu erörtern, oder aber Erklärungen gegenüber dieser Parteiabzugeben,oderb) die für den Datenexporteur geltenden Rechtsvorschriften sehen etwas anderes vor.AnhangSeite 80 von 125

DE29.12.2004 Amtsblatt der Europäischen Union L 385/83ANHANG BBESCHREIBUNG DER ÜBERMITTLUNG(von den Parteien auszufüllen)AnhangSeite 81 von 125

DEL 385/84 Amtsblatt der Europäischen Union 29.12.2004VERANSCHAULICHENDE GESCHÄFTSKLAUSELN (FAKULTATIV)Wechselseitige Entschädigung von Datenexporteur und Datenimporteur:‚Die Parteien entschädigen sich wechselseitig oder halten sich wechselseitig schadlos für alle Kosten, Ausgaben, Schäden,Auslagen oder Verluste, die die andere Partei durch Verletzung einer dieser Vertragsklauseln verursacht. Der Entschädigungsanspruchsetzt voraus, dass a) die zu entschädigenden Parteien die entschädigenden Parteien unverzüglich vondem Bestehen einer Forderung in Kenntnis setzen und b) die entschädigenden Parteien allein dazu berechtigt sind, sichgegen einen solchen Anspruch zu verteidigen oder den Streit beizulegen und (c) die zu entschädigenden Parteien beider Abwehr derartiger Rechtsansprüche redlich mit den entschädigenden Parteien zusammenarbeiten und diese unterstützen.‘Streitbeilegung zwischen Datenexporteur und Datenimporteur (die Parteien können selbstverständlich eine andere alternative Streitbeilegungoder die Zuständigkeit eines Gerichts vereinbaren):‚Alle Rechtsstreitigkeiten zwischen dem Datenimporteur und dem Datenexporteur aus dem vorliegenden Vertragwerden gemäß dem Schlichtungs- und Schiedsreglement der Internationalen Handelskammer endgültig durch einenoder mehrere Schiedsrichter entschieden, die in Übereinstimmung mit diesem Reglement ernannt werden. Ort desSchiedsverfahrens ist […]. Die Zahl der Schiedsrichter beträgt […].‘Kostenteilung:‚Jede Partei trägt die Kosten für die Erfüllung ihrer Vertragspflichten.‘Zusätzliche Beendigungsklausel:‚Bei Beendigung dieses Vertrags gibt der Datenimporteur alle personenbezogenen Daten sowie alle Kopien der personenbezogenenDaten, die Gegenstand dieser Klauseln sind, unverzüglich an den Datenexporteur zurück, oder aber derDatenimporteur vernichtet auf Antrag des Datenexporteurs alle Exemplare derselben und bescheinigt dem Datenexporteurdie Vernichtung, es sei denn, der nationale Gesetzgeber oder die nationale Regulierungsbehörde verbietet dievollständige oder teilweise Rückübermittlung oder Zerstörung dieser Daten; in diesem Fall werden die Daten geheimgehalten und zu keinem weiteren Zweck aktiv verarbeitet. Auf Verlangen des Datenexporteurs erlaubt der Datenimporteurdem Datenexporteur oder einem vom Datenexporteur ausgewählten Prüfer, gegen den der Datenimporteurkeine begründeten Einwände erhebt, den Zugang zu seinen Räumlichkeiten, damit die Ausführung dieser Bestimmungenüberprüft werden kann; die Überprüfung ist rechtzeitig anzukündigen und während der üblichen Geschäftszeitendurchzuführen.‘ “.AnhangSeite 82 von 125

RegistrierungsunterlagenWiener Krankenanstaltenverbund(KAV)AnhangSeite 83 von 125

AnhangSeite 84 von 125

AnhangSeite 85 von 125

AnhangSeite 86 von 125

AnhangSeite 87 von 125

AnhangSeite 88 von 125

AnhangSeite 89 von 125

AnhangSeite 90 von 125

AnhangSeite 91 von 125

REPUBLIK ÖSTERREICHDATENSCHUTZKOMMISSIONDVR: 0000027Stand: 6. März 2004DatenverarbeitungsregisterA-1010 Wien, Hohenstaufengasse 3Tel. (01) 531 15 / 4043Fax: (01) 531 15 / 4016E-Mail: dvr@dsk.gv.at(Konzept)zur Meldungsabgabe der auftraggebenden Stelle bei der MA 26Meldung einer Datenanwendung (gemäß Anlage 2 DVRV 2002 BGBl. II Nr. 24/2002)(Für den Magistrat der Stadt Wien abgeändertes Formular / interner Gebrauch)Aufgabengebiet: 11 (wird durch MA26 vergeben)AG-Neu: 99 TB: KI DVR: 0000191(die Eingabefelder werden mit der Tab-Taste (⏐) verlassen)2. Name (sonstige Bezeichnung und Anschrift) des AuftraggebersMD-OC3. Telefon- und Faxnummer sowie E-Mail-Adresse1082 Wien, Buchfeldgasse 64. Name und Telefonnummer des Sachbearbeiters beim Auftraggeber (für allfällige Rückfragen) bzw.Name, und Anschrift, Telefon- und Faxnummer sowie E-Mail-Adresse eines ZustellbevollmächtigtenSachbearbeiter: Bankel Michaela, 4000 - 75192Zustellungsbevollmächtigter:5. Anlass der Meldung5.1 Neumeldung einer Datenanwendung oder (bei Bedarf J eintragen)J5.2 Änderung einer Datenanwendung oder5.3 Streichung von Datenanwendungen (Falls nur die Streichung von Datenanwendungen gemeldet wird,sind nur die Punkte 1 – 6 dieses Formblattes auszufüllen und zu unterfertigen)6. Nähere Angaben:Im Falle 5.1 Bezeichnung und Zweck der Datenanwendung (die Va-Nr wird von der MA26 vergeben!):VA-Nr BezeichnungAnmerkung zur VerarbeitungIm Falle 5.2 Bezeichnung bzw. laufende Nummer der registrierten Datenanwendung(Änderungs-Dokumente sind mit den MA26-Daten der Datenanwendungen automatisch befüllt)VA-Nr BezeichnungV109 Kanzleisystem; Protokollierung, Aktenverfolgung, Textverarbeitung (z.B. Standard-ELAK)Anmerkung zur VerarbeitungBei dieser Änderungsmeldung sind in diesem Dokument in der Folge nur jene Felder zu ändern, auf die sich die Änderungder Datenanwendung bezieht! Die restlichen Daten bitte unverändert lassen! Mit der Änderungskennzeichnung vonWinword werden die Änderungen automatisch markiert!Im Falle 5.3 Bezeichnung bzw. laufende Nummer(n) der registrierten Datenanwendung(en) sowie Grund derStreichung(Va-Nummer der zu streichenden Datenanwendung eingeben)Datum, Unterschrift, StempelDST-Version O2000; V 2004/03 erstellt am 06.11.2007 15:38:25www.dsk.gv.at - dvr@dsk.gv.atgedruckt am :09.11.2011 16:53:00Bearbeiter: off10AnhangSeite 92 von 125

- 2 -7. Besondere Rechtsgrundlage(n) für die gemeldete Datenanwendung (soweit sich diese nicht bereits ausden allgemeinen Rechtsgrundlagen (z.B. der Gewerbeberechtigung) des Auftraggebers ergeben. Alsbesondere Rechtsgrundlage kommt beispielsweise der Nachweis der Zustimmung des Betriebsrates nachden Bestimmungen des Arbeitsverfassungsgesetzes in Betracht). ! Diese Rechtsgrundlagen müssen beieiner Neumeldung unbedingt angegeben werden!Um das folgende Tabellenfeld zu verlassen, benutzen Sie bitte 2 x Cursor ↓ anstatt der TAB-Taste (⏐) !§ 7 (1) DSG 2000 iVm:1. Geschäftsordnung für den Magistrat der Stadt Wien - GOM, erlassen vom Bürgermeister mitEntschließung vom 31. Oktober 1966 auf Grund der Genehmigung des Gemeinderates vom 21. Oktober1966, Pr.Z. 2407 (§ 91 Abs.4 WStV L 28/68 idgF) idgF, sowie Kanzleiordnung für den Magistrat der StadtWien, erlassen vom Magistratsdirektor gem. § 58 GOM, MD - 217-14/82,2. Verfahrensrechtlichen Vorschriften (je nach Einsatzgebiet AVG, VStG, WAO, ....) und den3. Materiengesetzliche Bestimmungen betreffend diejenigen Arbeitsgebiete, zu deren Erledigung dasKanzleisystem herangezogen wird8. Die gemeldete Datenanwendung gehört zumprivaten Bereich (z.B. die Tätigkeiten, für dieDaten verwendet werden, werden auf Grundeiner Gewerbeberechtigung ausgeübt)(bei Bedarf J eintragen)Jöffentlichen Bereich (z.B. die Datenanwendungerfolgt in Vollziehung der Gesetze)(bei Bedarf J eintragen)9. Die Datenanwendung erfolgtJautomationsunterstützt(bei Bedarf J eintragen)manuell(bei Bedarf J eintragen)10.1 Angaben zur Anwendbarkeit der Vorabkontrolle (§ 18 Abs. 2 DSG 2000)JJ10.1.1 Verwendung von sensiblen Daten10.1.2 Verwendung von strafrechtlich relevanten Daten10.1.3 Vorliegen eines Kreditinformationssystems10.1.4 Vorliegen eines Informationsverbundsystems(bei Bedarf J eintragen)10.2. Zusätzliche Angaben, falls die gemeldete Datenanwendung die Teilnahme an einem InformationsverbundsystemdarstelltBezeichnung des gesamten Informationsverbundsystems:Name (Bezeichnung) und Anschrift des Betreibers:Telefon- und Faxnummer und E-Mail-Adresse des Betreibers:Rechtsgrundlage für das gesamte Informationsverbundsystem(falls die gemeldete Datenanwendung die Teilnahme an einem Informationsverbundsystem darstellt und soweit sichdies nicht bereits aus Punkt 7. ergibt)Um das folgende Tabellenfeld zu verlassen, benutzen Sie bitte 2 x Cursor ↓ anstatt der TAB-Taste (⏐) !DST-Version O2000; V 2004/03 erstellt am 06.11.2007 15:38:25www.dsk.gv.at - dvrpost@bka.gv.atgedruckt am :09.11.2011 16:53:00Bearbeiter: off10AnhangSeite 93 von 125

11. Besondere Angaben zum Inhalt der Datenanwendung(Geben Sie bitte an, welche Daten Sie von den betroffenen Personengruppen im Rahmen dieser Datenanwendungverarbeiten und ordnen Sie diese bei der Weitergabe von Daten den jeweiligen Empfängerkreisen zu.)lfd.Zeile(Nr.)kannfreibleibenBetroffene Personengruppen:Zeilen können sie mit„Tabelle Zellen einfügen“nachträglich einfügen undmit „Tabelle Löschen“entfernenVereinsmitgliederDatenartenVerwenden Sie bitte für jeden Betroffenenkreis und fürjede Datenart eine eigene Tabellenzeile!Innerhalb der Tabelle bewegen sie sich mit der TAB-Taste (⏐); so fügen Sie auch neue Zeilen hinzu;Verlassen der Tabelle mit 2 x Cursor ↓(Dieses DVR-Formular wird außer für die Neuerfassung vonDVR-Verarbeitungen auch für die Änderung derselbenverwendet. In diesem Falle werden die Formulare automatischerstellt und im Intranet für Veränderungen angeboten. Dabeiwerden vor den Datenartenbezeichnungen Nummern vergeben,die mit D beginnen und 3 numerische Stellen haben. DieseNummern sind für ev. gewünschte Umreihungen der Datenarteninnerhalb eines Betroffenenkreises verwendbar. Werden beiEinfügungen von Datenarten (Tabellenzeilen hinzufügen) keineDatenartennummern vergeben, so werden diese Zeilen bei derDatenübernahme automatisch hinten im Betroffenenkreisangefügt. Beachten Sie bitte, dass bei Änderungen dieserNummer keine Duplikate entstehen bzw. dass diese Nummernformal richtig bleiben (Dnnn)!)nachfolgend ein Beispiel für eine Ersterfassung:Name 01Anschrift 01, 02GeburtsdatumInteressentenDatenartengruppe: InteressentendatenName 01Datenartengruppe: ArbeitsgebietZeichnenSchnitzen...usw...geben Sie ab der nächsten Zeile Ihre Daten ein1 B01 Im Akt eingetragenePersonen, zu denen eininhaltlicherZusammenhang ausAnlass derAktenprotokollierungoder Aktenverfolgungbesteht, wie Einbringer,Beteiligte, Empfängerusw.2 D001 Daten für "Natürliche Personen" , Firmen 01, 02und Behörden3 D002 Anrede, Titel 01, 02, 034 D003 Vor- und Familienname 01, 02, 035 D004 Datum der Geburt 01, 026 D005 Geschlecht 01, 027 D006 Familienstand 01, 028 D007 Staatsbürgerschaft 01, 029 D008 Sozialversicherungsnummer 01, 0210 D009 Beruf 01, 0211 D010 Anschrift 01, 02, 0312 D011 Telefonverbindungen 01, 0213 D012 E-Mail 01, 0214 D013 Bankverbindungen 01, 0215 D014 Firmenbranche 01, 0216 D015 Rolle im Verfahren (Einbringer,01, 02Antragsgegner, Beteiligter, Lieferant, Besteller,....)17 D016 zusätzliche Anmerkungen zu den01, 02angeführten Datenarten (zB.: infolge vonErgänzungen, Änderungen, näherenKonkretisierungen)18 Datenartengruppe: Aktenbearbeitungsdaten19 D017 Geschäftszahl 01, 02Nummern der Empfängerkreiseaus Pkt. 12:(füllen Sie diese Spalte bitte erstaus, nachdem Sie Punkt 12ausgefüllt haben und übertragenSie dann bei jeder Datenart dieübermittelt wird, die Nummerdes Empfängerkreises ausPunkt 12 z.B. 01, 02)DST-Version O2000; V 2004/03 erstellt am 06.11.2007 15:38:25www.dsk.gv.at - dvr@dsk.gv.atgedruckt am :09.11.2011 16:53:00Bearbeiter: off10AnhangSeite 94 von 125

- 4 -20 D018 Sachgebiet 01, 0321 D019 Bearbeitungsbeginn 0122 D020 Betreff/Sachverhalt 01, 02, 0323 D021 Beschlagwortung 0124 D022 Termin 0125 D023 Frist 0126 D024 Bearbeitungsstatus 01, 0227 D025 Erledigungsstatus 01, 0228 D026 Registratur (Datum) 0129 D027 Skartierung vorgesehen/tatsächlich 0130 D028 Storniert/Cessiert Datumsfeld 01, 0231 D029 Notizen 01, 0232 D030 Elektronischen Bezugszahlen 01, 0233 D031 Bezugszahlen Freitextfeld 01, 0234 D032 Zuständiger Referent 01, 0235 D033 Zuständige Organisationseinheit 01, 0236 D034 Adressenfeld 01, 0237 D035 Schrift/Geschäftsstücke 01, 0238 D036 Einbringer/Beteiligte 01, 0239 Datenartengruppe: Daten im Eingangs - undAusgangsstück40 D037 Geschäftsstücktyp 01, 0241 D038 Betreff/Ergänzungen 01, 0242 D039 Unterschriften 01, 0243 D040 Bezugnehmend auf 01, 0244 D041 Termin 01, 0245 D042 Erledigt 01, 0246 D043 Storniert/Cessiert 01, 0247 D044 Zuständiger Referent 01, 0248 D045 Zuständige Organisationseinheit 01, 0249 D046 Adressenfeld 01, 0250 D047 Schriftstücke 01, 0251 D048 Einbringer/Empfänger/Beteiligte 01, 0252 D049 Kategorie 01, 0253 D050 Art des Ein-/Ausganges 01, 0254 D051 Zuhanden 01, 0255 D052 Anmerkung 01, 0256 D053 Geschäftsstückdatum 01, 0257 D054 Einbringerdatum 01, 0258 D055 Inhalt der im Akt befindlichen01, 02, 03Geschäftsstücke und Beilagen (unstrukturierteDaten in Form ganzer Dateien, Objekte)59 B02 Personen, über diePersonalakte geführtwerden.60 D001 Personalnummer 0161 D002 Anrede, Titel 01, 0262 D003 Vor- und Familienname 01, 0263 D004 Datum der Geburt 01, 0264 D005 Geschlecht 01, 0265 D006 Familienstand 01, 0266 D007 Staatsbürgerschaft 01, 0267 D008 Sozialversicherungsnummer 01, 0268 D009 Beruf 01, 0269 D010 Wohnanschrift 01, 0270 D011 Telefonverbindungen 01, 0271 D012 E-Mail 01, 0272 D013 Bankverbindungen 01, 0273 D014 zusätzliche Anmerkungen zu denangeführten Datenarten (zB.: infolge vonErgänzungen, Änderungen, näheren01, 0274 B03 Personen, die Aktenführen bzw. bearbeiten(Kanzleipersonal,Sachbearbeiter,genehmigendeDST-Version O2000; V 2004/03gedruckt am :09.11.2011 16:53:00Konkretisierungen)www.dsk.gv.at - dvr@dsk.gv.atBearbeiter: off10AnhangSeite 95 von 125

- 5 -Vorgesetzte, ....)75 Datenartengruppe: Stammdaten von ELAK-Anwendern:76 D001 Name 01, 0277 D002 Anschrift (Geschäftsanschrift bzw.01, 02Anschrift der Organisationseinheit78 D003 Erreichbarkeit (E-Mail, Telefon, FAX) 01, 0279 D004 Personalnummer 0180 D005 Organisationseinheit 01, 0281 D006 Geschlecht 01, 0282 D007 Kurzzeichen 01, 0283 D008 (für Benutzer der Anwendung nichtsichtbare) Schlüsseldaten zurBenutzeradministration (LAN-User,Personalnummer, Personalnummernkreis:intern, extern, Bund)84 D009 Berechtigungsprofil 0185 D010 Daten zur Organisation des01Bearbeitungsablaufs (Zuständigkeiten,Kompetenzen, Unterschriftenlauf, ....)86 D011 AKTENBEARBEITUNGSDATEN (sieheunter B01 beschriebene Datenartengruppe)87 D012 Protokolldaten über getätigte01, 02Transaktionen bzw. Zugriffe (Erzeugen undÄndern von Dokumenten im Akt, Ändern vonAktenstamm- oder -bearbeitungsdaten,Abzeichnen und Unterschreiben vonGeschäftsstücken, lesende Zugriffe)88 D013 Akteninhalt einschließlich aller Objekte des 01, 02Geschäftsfalls89 D014 Versionen des Inhaltes des elektronischen 01Aktes90 D015 Bezüge zu anderen Akten bzw.01Geschäftsstücken91 D016 zusätzliche Anmerkungen zurAktenverwaltung (zB.: Übernahme aus altenBeständen, Skartierungsvermerke) ohneinhaltlichen Bezug zum Akt92 B04 In Aktenstückengenannte Personen, diekeiner der vorgenanntenBetroffenenkreiseangehören (keineAktenbeschreibungsdaten/Metadatengespeichert)93 D001 Name94 D002 Inhalt des Dokuments95 B05 Auf dieDatenanwendungzugreifende Benutzer,die keiner dervorgenanntenBetroffenenkreiseangehören96 D001 Name 0197 D002 (für Benutzer der Anwendung nichtsichtbare) Schlüsseldaten zurBenutzeradministration (LAN-User,Personalnummer, Personalnummernkreis:intern, extern, Bund)98 D003 Berechtigungsprofil 0199 D004 Protokolldaten über getätigte Zugriffe 01, 02DST-Version O2000; V 2004/03gedruckt am :09.11.2011 16:53:00www.dsk.gv.at - dvr@dsk.gv.atBearbeiter: off10AnhangSeite 96 von 125

- 6 -12. Beabsichtigte Übermittlungen aus dieser DatenanwendungAn wen (Empfängerkreis) und auf Grund welcher Rechtsgrundlage werden verarbeitete Daten übermittelt?Werden Daten an Empfänger im Ausland weitergegeben, ist zusätzlich der Empfängerstaat anzuführen.Falls die Datenanwendung die Teilnahme an einem Informationsverbundsystem darstellt, ist anzugeben, welcheteilnehmenden Auftraggeber dem gleichen Informationsverbundsystem angehören.Versehen Sie bitte für die Zuordnung der Übermittlungen (in der letzten Spalte des Pkt. 11) jeden Empfängerkreis mit einerfortlaufenden Nummer.Nummer und Bezeichnung des EmpfängerkreisesVerwenden Sie bitte für jede Übermittlung eine eigeneTabellenzeile!IInnerhalb der Tabelle bewegen sie sich mit der TAB-Taste(⏐);so fügen Sie auch neue Zeilen hinzu; Verlassen der Tabellemit 2 x Cursor ↓UE01: Bundesministerium für Wissenschaft und VerkehrUE02: Dachverband des Vereines...geben Sie Ihre Daten ab der nächsten Zeile einUE01: Dienststellen des Magistrats - funktionelleÜbermittlung in alle Aufgabengebiete desMagistrats der Stadt WienUE02: zur Bearbeitung zuständige Stellenaußerhalb des MagistratsUE03: Mit der Rechtsdurchsetzung betrauteStellen (wie z.B. Anwälte, Gerichte, privateSachverständige, Versicherungen)Rechtsgrundlage für die ÜbermittlungBeachten Sie bitte, dass bei Neumeldungen die Rechtsgrundlagefür eine Übermittlung unbedingt anzugeben ist!nachfolgend ein Beispiel:UE01: § 16 Abs. 5 FührerscheingesetzUE02: § nn des VereinsgesetzesUE01: jeweiliges der Übermittlung zu Grundeliegende MateriengesetzUE02: jeweiliges der Übermittlung zu Grundeliegende MateriengesetzUE03: § 8 Abs.3 Z 5 und 9 Z 9 DSG 2000 iVm §§1295 ff ABGB, jeweils zur Übermittlung zu Grundeliegende MateriengesetzDST-Version O2000; V 2004/03gedruckt am :09.11.2011 16:53:00www.dsk.gv.at - dvr@dsk.gv.atBearbeiter: off10AnhangSeite 97 von 125

- 7 -13. Geschäftszahl des Bescheides der Datenschutzkommission, mit welchem Auflagen gemäß § 21 Abs. 2DSG 2000 erteilt wurden (diese wird vom Register anlässlich der Registrierung eingetragen)GZ14. Geschäftszahl des Bescheides der Datenschutzkommission, mit dem gemäß § 13 DSG 2000 eineGenehmigung für den internationalen Datenverkehr erteilt wurdeGZ15. Beilagen zur MeldungJFormblatt „Allgemeine Angaben zu ergriffenen Datensicherheitsmaßnahmen“ gemäß der Anlage 4 DVRVNachweis der besonderen Rechtsgrundlage für die gemeldete Datenanwendung, soweit sich diese nichtbereits aus der allgemeinen Rechtsgrundlage (z.B. Gewerbeberechtigung) des Auftraggebers ergibt (z.B.Nachweis der Zustimmung des Betriebsrates bei der Einführung von Maßnahmen zur Kontrolle derDienstnehmer im privaten Bereich)Begründung, weshalb ein Nachweis nicht erbracht werden muss:J Anzahl der Beilagen: 116. Bestätigung der Richtigkeit und Vollständigkeit der Angaben in dieser MeldungDatum, Unterschrift, StempelDST-Version O2000; V 2004/03gedruckt am :09.11.2011 16:53:00www.dsk.gv.at - dvr@dsk.gv.atBearbeiter: off10AnhangSeite 98 von 125

REPUBLIK ÖSTERREICHDATENSCHUTZKOMMISSIONDVR: 0000027Stand: 6. März 2004DatenverarbeitungsregisterA-1010 Wien, Hohenstaufengasse 3Tel. (01) 531 15 / 4043Fax: (01) 531 15 / 4016E-Mail: dvr@dsk.gv.at(Konzept)zur Meldungsabgabe der auftraggebenden Stelle bei der MA 26Meldung einer Datenanwendung (gemäß Anlage 2 DVRV 2002 BGBl. II Nr. 24/2002)(Für den Magistrat der Stadt Wien abgeändertes Formular / interner Gebrauch)Aufgabengebiet: 2 (wird durch MA26 vergeben)AG-Neu: 99 TB: GH DVR: 0000191(die Eingabefelder werden mit der Tab-Taste (⏐) verlassen)2. Name (sonstige Bezeichnung und Anschrift) des AuftraggebersKAV, Generaldirektion, Thomas Klestil Platz 7, 1030 Wien3. Telefon- und Faxnummer sowie E-Mail-Adresse4. Name und Telefonnummer des Sachbearbeiters beim Auftraggeber (für allfällige Rückfragen) bzw.Name, und Anschrift, Telefon- und Faxnummer sowie E-Mail-Adresse eines ZustellbevollmächtigtenSachbearbeiter: Dipl.Ing. Elisabeth-Edith Schlemmer, 40409/70641, elisabeth-edith.schlemmer@wienkav.atZustellungsbevollmächtigter:5. Anlass der Meldung5.1 Neumeldung einer Datenanwendung oder (bei Bedarf J eintragen)J5.2 Änderung einer Datenanwendung oder5.3 Streichung von Datenanwendungen (Falls nur die Streichung von Datenanwendungen gemeldet wird,sind nur die Punkte 1 – 6 dieses Formblattes auszufüllen und zu unterfertigen)6. Nähere Angaben:Im Falle 5.1 Bezeichnung und Zweck der Datenanwendung (die Va-Nr wird von der MA26 vergeben!):VA-Nr BezeichnungAnmerkung zur VerarbeitungIm Falle 5.2 Bezeichnung bzw. laufende Nummer der registrierten Datenanwendung(Änderungs-Dokumente sind mit den MA26-Daten der Datenanwendungen automatisch befüllt)VA-Nr BezeichnungV056 Behandlung von Patienten, Dokumentation der Krankengeschichte einschließlichPatientenbriefschreibung bzw. Befundung einzelner Abteilungen von Krankenanstalten der Stadt Wien(ausgenommen AKH)Anmerkung zur VerarbeitungBei dieser Änderungsmeldung sind in diesem Dokument in der Folge nur jene Felder zu ändern, auf die sich die Änderungder Datenanwendung bezieht! Die restlichen Daten bitte unverändert lassen! Mit der Änderungskennzeichnung vonWinword werden die Änderungen automatisch markiert!Im Falle 5.3 Bezeichnung bzw. laufende Nummer(n) der registrierten Datenanwendung(en) sowie Grund derStreichung(Va-Nummer der zu streichenden Datenanwendung eingeben)DST-Version O2000; V 2004/03 erstellt am 30.03.2010 15:22:25www.dsk.gv.at - dvr@dsk.gv.atgedruckt am :09.11.2011 16:56:00Bearbeiter: off10AnhangSeite 99 von 125

- 2 -Datum, Unterschrift, Stempel7. Besondere Rechtsgrundlage(n) für die gemeldete Datenanwendung (soweit sich diese nicht bereits ausden allgemeinen Rechtsgrundlagen (z.B. der Gewerbeberechtigung) des Auftraggebers ergeben. Alsbesondere Rechtsgrundlage kommt beispielsweise der Nachweis der Zustimmung des Betriebsrates nachden Bestimmungen des Arbeitsverfassungsgesetzes in Betracht). ! Diese Rechtsgrundlagen müssen beieiner Neumeldung unbedingt angegeben werden!Um das folgende Tabellenfeld zu verlassen, benutzen Sie bitte 2 x Cursor ↓ anstatt der TAB-Taste (⏐) !Krankenanstaltengesetz, BGBl.Nr.1/1957 idgFWiener Krankenanstaltengesetz 1987 - Wr. KAG, LGBL. Nr. 1987/23 idgFWiener Leichen- und BestattungsG LGBl.Nr. 31/70 samt DurchführungsbestimmungenBG über Dokumentation im Gesundheitswesen, BGBl.Nr. 745/1996 idgF, einschließlich DurchführungsVOBGBl.Nr.63/98 idgFKrebsstatistikgesetz, BGBl.Nr.138/1969 idgFKrebsstatistikverordnung BGBl.Nr. 171/1978 idgFHebammengesetz, BGBl.Nr.310/1994 idgFÄrztegesetz 1998, BGBl.I Nr. 169/1998 idgFMTD (Medizinisch-technischer Dienst)-Ausbildungsverordnung, BGBl. 1993/678 idgFAllgemeines Sozialversicherungsgesetz, BGBl. Nr. 189/1955 idgFArbeitnehmerInnenschutzgesetz, BGBl. Nr.450/1994Gesundheitsüberwachung am Arbeitsplatz (VGÜ) BGBl. II Nr. 27/1997Bundesgesetz über den Schutz der persönlichen Freiheit während des Aufenthalts in Heimen und anderenPflege- und Betreuungseinrichtungen (Heimaufenthaltsgesetz – HeimAufG), BGBL. I Nr. 11/2004 idgF8. Die gemeldete Datenanwendung gehört zumprivaten Bereich (z.B. die Tätigkeiten, für dieDaten verwendet werden, werden auf Grundeiner Gewerbeberechtigung ausgeübt)(bei Bedarf J eintragen)Jöffentlichen Bereich (z.B. die Datenanwendungerfolgt in Vollziehung der Gesetze)(bei Bedarf J eintragen)9. Die Datenanwendung erfolgtJautomationsunterstützt(bei Bedarf J eintragen)Jmanuell(bei Bedarf J eintragen)10.1 Angaben zur Anwendbarkeit der Vorabkontrolle (§ 18 Abs. 2 DSG 2000)J10.1.1 Verwendung von sensiblen Daten10.1.2 Verwendung von strafrechtlich relevanten Daten10.1.3 Vorliegen eines Kreditinformationssystems10.1.4 Vorliegen eines Informationsverbundsystems(bei Bedarf J eintragen)10.2. Zusätzliche Angaben, falls die gemeldete Datenanwendung die Teilnahme an einem InformationsverbundsystemdarstelltBezeichnung des gesamten Informationsverbundsystems:Name (Bezeichnung) und Anschrift des Betreibers:Telefon- und Faxnummer und E-Mail-Adresse des Betreibers:DST-Version O2000; V 2004/03 erstellt am 30.03.2010 15:22:25www.dsk.gv.at - dvrpost@bka.gv.atgedruckt am :09.11.2011 16:56:00Bearbeiter: off10AnhangSeite 100 von 125

- 3 -Rechtsgrundlage für das gesamte Informationsverbundsystem(falls die gemeldete Datenanwendung die Teilnahme an einem Informationsverbundsystem darstellt und soweit sichdies nicht bereits aus Punkt 7. ergibt)Um das folgende Tabellenfeld zu verlassen, benutzen Sie bitte 2 x Cursor ↓ anstatt der TAB-Taste (⏐) !11. Besondere Angaben zum Inhalt der Datenanwendung(Geben Sie bitte an, welche Daten Sie von den betroffenen Personengruppen im Rahmen dieser Datenanwendungverarbeiten und ordnen Sie diese bei der Weitergabe von Daten den jeweiligen Empfängerkreisen zu.)lfd.Zeile(Nr.)kannfreibleibenBetroffene Personengruppen:Zeilen können sie mit„Tabelle Zellen einfügen“nachträglich einfügen undmit „Tabelle Löschen“entfernenVereinsmitgliederInteressentenDatenartenVerwenden Sie bitte für jeden Betroffenenkreis und fürjede Datenart eine eigene Tabellenzeile!Innerhalb der Tabelle bewegen sie sich mit der TAB-Taste (⏐); so fügen Sie auch neue Zeilen hinzu;Verlassen der Tabelle mit 2 x Cursor ↓(Dieses DVR-Formular wird außer für die Neuerfassung vonDVR-Verarbeitungen auch für die Änderung derselbenverwendet. In diesem Falle werden die Formulare automatischerstellt und im Intranet für Veränderungen angeboten. Dabeiwerden vor den Datenartenbezeichnungen Nummern vergeben,die mit D beginnen und 3 numerische Stellen haben. DieseNummern sind für ev. gewünschte Umreihungen der Datenarteninnerhalb eines Betroffenenkreises verwendbar. Werden beiEinfügungen von Datenarten (Tabellenzeilen hinzufügen) keineDatenartennummern vergeben, so werden diese Zeilen bei derDatenübernahme automatisch hinten im Betroffenenkreisangefügt. Beachten Sie bitte, dass bei Änderungen dieserNummer keine Duplikate entstehen bzw. dass diese Nummernformal richtig bleiben (Dnnn)!)nachfolgend ein Beispiel für eine Ersterfassung:Name 01Anschrift 01, 02GeburtsdatumDatenartengruppe: InteressentendatenName 01Datenartengruppe: ArbeitsgebietZeichnenSchnitzen...usw...geben Sie ab der nächsten Zeile Ihre Daten ein1 B01 Ambulante undstationäre Patienten vonKrankenanstalten(abteilungen) der StadtWien2 D001 Patientenaufnahmezahl (z.B.MAC odersonstiger Identifikationscode)Nummern der Empfängerkreiseaus Pkt. 12:(füllen Sie diese Spalte bitte erstaus, nachdem Sie Punkt 12ausgefüllt haben und übertragenSie dann bei jeder Datenart dieübermittelt wird, die Nummerdes Empfängerkreises ausPunkt 12 z.B. 01, 02)01, 12, 13, 14, 15, 18, 19,20, 21, 333 D002 Name (Familienname, Vorname) 01, 03, 04, 05, 06, 11, 12,13, 14, 15, 16, 18, 19, 20,21, 22, 23, 30, 334 D003 Initialen des Namen 19, 265 D004 Frühere Namen (Angabe durch Patienten) 15, 19, 20, 21, 336 D005 Titel 01, 03, 04, 05, 06, 11, 12,13, 14, 15, 16, 18, 19, 20,21, 22, 23, 307 D006 Geburtsjahr/Alter 11, 15, 16, 19, 20, 21, 22,23, 30, 338 D007 Geburtsdatum 01, 03, 04, 05, 06, 11, 12,13, 14, 15, 16, 18, 19, 20,21, 22, 23, 24, 25, 26, 30, 339 D008 Geburtsort/Geburtsland 04, 13, 15, 19, 20, 2110 D009 Geschlecht 01, 03, 04, 05, 06, 11, 12,13, 14, 15, 16, 18, 19, 20,21, 22, 23, 24, 25, 26, 30, 3311 D010 Familienstand 01, 04, 13, 15, 19, 20, 21,22, 30, 3312 D011 Anschrift und Erreichbarkeit 01, 03, 04, 05, 11, 12, 13,DST-Version O2000; V 2004/03 erstellt am 30.03.2010 15:22:25www.dsk.gv.at - dvr@dsk.gv.atgedruckt am :09.11.2011 16:56:00Bearbeiter: off10AnhangSeite 101 von 125

- 4 -14, 15, 19, 20, 21, 22, 23,30, 3313 D012 Bundesland des Wohnortes 19, 26, 3314 D013 Staatsbürgerschaft 05, 06, 11, 12, 13, 14, 15,19, 20, 2115 D014 Passnummer 13, 15, 19, 2016 D015 Beruf 11, 14, 15, 19, 20, 21, 3317 D016 Religion (nach Angabe des Betroffenen) 11, 14, 15, 19, 20, 2118 D017 PatientInnenfoto (nach Zustimmung des 30Betroffenen)19 Datenartengruppe: Daten zur Versicherung undAbrechnung20 D018 Name, Adresse und Erreichbarkeit desArbeitgebers (B18)04, 05, 06, 15, 19, 20, 21,22, 2421 D019 Daten zu Sozialversicherungsträger 04, 05, 06, 13, 15, 19, 20,21, 22, 2422 D020 Sozialversicherungsnummer 01, 03, 04, 05, 06, 12, 15,19, 20, 21, 22, 2423 D021 Gebührenklasse 04, 05, 06, 15, 19, 2024 D022 Daten von Hauptversicherten (B05) 04, 05, 06, 13, 15, 19, 20, 2125 D023 Verrechnungsrelevante Diagnosen 04, 05, 06, 15, 19, 2026 D024 Verrechnungsrelevante medizinischeEinzelleistungen (z.B. Therapien)27 D025 Sonstige Versicherungs- undAbrechnungsdaten (z.B. Krankenschein,Arzthonorare, Befundhonorare)04, 05, 06, 15, 19, 2004, 05, 06, 15, 19, 2028 Datenartengruppe: Daten zur Aufnahme/Transferierung/ Entlassung29 D026 Unabweisbarkeitsparere 15, 19, 20, 2130 D027 Auskunftssperre 15, 19, 20, 2131 D028 Dauerpatient J/N 15, 19, 20, 2132 D029 Aufnahme-, Besuchs- (Kontroll-)Transferierungs- und Entlassungs-(Abschluss-)daten01, 04, 05, 06, 11, 12, 13,14, 15, 18, 19, 20, 2133 D030 Daten der Verlegung (Aufnahme-,Transferierungs- und Entlassungsabteilung)01, 04, 05, 06, 11, 12, 13,14, 15, 19, 20, 2134 D031 Aufnahme-, Entlassungsart bzw. -zustand 01, 04, 05, 06, 11, 12, 14,15, 18, 19, 20, 2135 D032 Daten der Zuweisung (z.B.01, 05, 06, 11, 15, 19, 20, 21Zuweisungsdiagnose)36 D033 Einweisende Stelle (Name, Adresse vonArzt bzw. Krankenanstalt (B07)01, 04, 05, 06, 12, 14, 15,19, 20, 2137 D034 Entlassungsbefund 01, 11, 12, 13, 14, 15, 19,20, 2138 D035 Daten von Angehörigen oder15, 19, 20, 21, 30Verständigungspersonen (B16)39 D036 Daten der Begleitperson (B17) 14, 15, 19, 2040 D037 Nachuntersuchungsdatum 15, 19, 2041 D038 Nachsorgeschema 15, 19, 2042 Datenartengruppe: Medizinische Dokumentation/ Archivierte Krankengeschichte43 D039 Archivierte Krankengeschichten allerFachbereiche (schriftlich, gescannt, microverfilmtetc.)44 D040 Archivierungsnummer 15, 19, 2045 D041 Anzeigensperre für Krankengeschichte 15, 19, 2046 D042 Status u. Änderungsdaten 15, 19, 2001, 11, 12, 13, 15, 19, 20, 2147 D043 Herkunftsstelle der Bestandteile der 15, 19, 20, 21Krankengeschichte48 Datenartengruppe: Medizinische Dokumentation49 D044 Krankengeschichtsnummer 01, 11, 14, 15, 19, 20, 21, 3350 D045 Diagnosen 01, 04, 05, 06, 11, 12, 13,14, 15, 18, 19, 20, 21, 25,26, 3351 D046 Datum der Diagnose 19, 26, 3352 D047 Anamnestische Daten (freiwillige Angabevon familiärem und sozialem Umfeld, inkl.01, 11, 12, 13, 14, 15, 19,20, 21, 26, 33DST-Version O2000; V 2004/03 erstellt am 30.03.2010 15:22:25www.dsk.gv.at - dvr@dsk.gv.atgedruckt am :09.11.2011 16:56:00Bearbeiter: off10AnhangSeite 102 von 125

- 5 -Krankheiten von Familienangehörigen) nurFamilienbezug - kein Name53 D048 Aufnahmestatus (Status Präsens) 01, 11, 12, 13, 14, 15, 19,20, 21, 3354 D049 externe Konsiliarbefunddaten 15, 19, 20, 21, 3355 D050 Therapieplan (inkl. OP-Planung etc.) 15, 19, 20, 21, 3356 D051 Durchgeführte Therapien 01, 11, 12, 13, 14, 15, 19,20, 21, 3357 D052 Empfohlene Untersuchungen,Therapieempfehlung01, 11, 12, 13, 14, 15, 19,20, 21, 3358 D053 Medikation, einschließlich Dokumentation 15, 19, 20, 21, 33von Chargennummern und Hersteller59 D054 Komplikationen 01, 11, 12, 13, 14, 15, 19,20, 21, 3360 D055 Therapieverlauf /Heilerfolg 01, 11, 12, 13, 14, 15, 19,20, 21, 3361 D056 Krankheitsverlauf (decursus morbi) 01, 11, 12, 13, 14, 15, 19,20, 21, 3362 D057 Risikofaktoren, (Allergie, Diabetes,Blutgruppe, Bluter usw.)01, 11, 12, 13, 14, 15, 19,20, 21, 3363 D058 Spezialdokumentation des Fachbereichs 01, 07, 11, 12, 13, 15, 19,Unfallchirurgie64 D059 Spezialdokumentation des chirurgischen(Thorax-, Gefäß-, Plastische, Chirurgie,Transplantationschirurgie) Fachbereichs65 D060 Spezialdokumentation des internistischen(Gastroenterologie,Nephrologie(Nierenkrankheiten), Onkologie,Kardiologie, Infektion) Fachbereichs66 D061 Gynäkologische und geburtshilflichSpezialdokumentation inkl. pränataleSpezialdokumentation (B10)67 D062 Spezialdokumentation des neurologischpsychiatrischenFachbereichs68 D063 Spezialdokumentation des pädiatrischenFachbereichs (Kinderheilkunde)69 D064 Spezialdokumentation des FachbereichsRadiodiagnostik70 D065 Spezialdokumentation des BereichsBesondere Klinische Einrichtungen - § 83 UOG(Notfallmedizin)DST-Version O2000; V 2004/03 erstellt am 30.03.2010 15:22:25www.dsk.gv.at - dvr@dsk.gv.atgedruckt am :09.11.2011 16:56:00Bearbeiter: off1020, 3301, 11, 12, 13, 15, 19, 20, 3301, 11, 12, 13, 15, 19, 20, 3301, 11, 12, 13, 15, 19, 20, 3301, 11, 12, 13, 15, 18, 19,20, 3301, 11, 12, 13, 15, 19, 20, 3301, 11, 13, 15, 19, 20, 3301, 11, 12, 13, 15, 19, 20, 3371 D066 Spezialdokumentation des Fachbereichs 01, 11, 12, 13, 15, 19, 20, 33Pulmologie72 D067 Spezialdokumentation des Fachbereichs 01, 11, 12, 13, 15, 19, 20, 33Radioonkologie73 D068 Spezialdokumentation des Fachbereichs 01, 11, 12, 13, 15, 19, 20, 33Dermatologie74 D069 Spezialdokumentation des Fachbereichs 01, 11, 12, 13, 15, 19, 20, 33Anästhesie u. Intensivmedizin75 D070 Spezialdokumentation des Fachbereichs 01, 11, 12, 13, 15, 19, 20, 33Kinderchirurgie76 D071 Spezialdokumentation des Fachbereichs 01, 11, 12, 13, 15, 19, 20, 33Neurochirurgie77 D072 Spezialdokumentation des Fachbereichs 01, 11, 12, 13, 15, 19, 20, 33Kieferchirurgie78 D073 Spezialdokumentation des Fachbereichs 01, 11, 12, 13, 15, 19, 20, 33Orthopädie79 D074 Spezialdokumentation des Fachbereichs 01, 11, 12, 13, 15, 19, 20, 33Urologie80 D075 Spezialdokumentation des Fachbereichs 01, 11, 12, 13, 15, 19, 20, 33Augenheilkunde81 D076 Spezialdokumentation des Fachbereichs 01, 11, 12, 13, 15, 19, 20, 33HNO82 D077 Spezialdokumentation des Fachbereichs 01, 11, 12, 13, 15, 19, 20, 33Zahn-, Mund- und Kieferheilkunde83 D078 Spezialdokumentation des Fachbereichs 01, 11, 12, 13, 15, 19, 20, 33Nuklearmedizin84 D079 Spezialdokumentation des Fachbereichs 01, 11, 12, 13, 14, 15, 19,AnhangSeite 103 von 125

- 6 -Physikalische Medizin 20, 3385 D080 Spezialdokumentation des gehobenenmedizintechnischen Dienstes (z.B. Diäten,Logopädie, orthoptischer Dienst)86 D081 Allgemeine Angaben zu Prothesen undImplantate, einschließlich Kostenvoranschlag,Hersteller und Lieferant87 D082 Spezialdokumentation desNeuropathologischs und NeurochemischenFachbereichs88 D083 Spezialdokumentation des FachbereichesAkutgeriatrie89 D084 Ethnische Herkunft (für NormwertÜberprüfung01, 11, 12, 13, 14, 15, 19,20, 3315, 19, 20, 3301, 11, 12, 13, 15, 19, 20, 3301, 11, 12, 13, 14, 15, 19,20, 21, 3301, 11, 14, 19, 2090 D085 Zuweisender Arzt (B07) 12, 13, 14, 15, 19, 20, 2191 D086 Behandelnder Arzt (in der KA) (B14) 01, 12, 13, 14, 15, 19, 20, 2192 D087 Daten zur Freiheitsbeschränkung nach 18, 19, 21HeimAufG93 D088 Bilddaten bei Videoaufzeichnungen für 01, 12, 15, 18, 33med. Diagnostik (analog/digital)94 Datenartengruppe: Pflegedaten95 D089 Daten des Pflegedienstes (Pflegeberichte) 01, 11, 12, 13, 14, 15, 19,20, 21, 3396 D090 Pflegepersonal (B14) 01, 11, 12, 13, 14, 15, 19,20, 2197 Datenartengruppe: Untersuchungsdaten(medizinische Institute)98 D091 Anfordernde Stelle 15, 19, 20, 2199 D092 Leistende Stelle 01, 12, 15, 19, 20, 21100 D093 Beschreibung des Untersuchungsmaterial 01, 13, 15, 19, 20, 21, 33(z.B. Blut, Speichel, Gewebsproben, etc)101 D094 Proben- bzw. Protokollnummer 01, 13, 15, 19, 20, 21102 D095 Untersuchungsanforderung an leistende 01, 13, 15, 19, 20, 21Stellen103 D096 Datum/Zeit der Entnahme 01, 11, 12, 13, 14, 15, 19,20, 21, 33104 D097 Befund- und Untersuchungsdatum 01, 11, 12, 13, 14, 15, 19,20, 21, 33105 D098 Freigabestatus des Befundes01, 12, 13, 15, 19, 20, 21, 33(Validierungshinweise, Vidierung)106 D099 Ergebnisse von Untersuchungen01, 11, 12, 13, 14, 15, 19,(Befunde)20, 21, 33107 D100 Digitale Bilddaten (Datum der01, 11, 12, 13, 15, 19, 20,Untersuchung, Untersuchungsparameter, Pixel) 21, 33108 D101 Tumorbeschreibung, histologische Daten 11, 15, 19, 20, 21, 33109 D102 Daten zur Strahlenbelastung 15, 19, 20, 21, 33110 D103 Impfdaten 01, 13, 15, 19, 20, 21, 26, 33111 D104 Obduktions- und Todesdaten 13, 15, 19, 20, 21, 33112 D105 pathologische Diagnose 01, 11, 12, 13, 14, 15, 19,20, 21, 33113 D106 Befundender Arzt (B14) 01, 11, 12, 13, 14, 15, 19,20, 21, 33114 Datenartengruppe: ZusätzlicheSpezialdokumentation Psychosomatik undPsychoonkologie (Patientengespräch mitTherapeuten) freiwillige Angaben des Patienten115 D107 Therapeut/Arzt (B14) 15, 19, 20, 21116 D108 Datum des Erstgesprächs 15, 19, 20, 21117 D109 Sprache 15, 19, 20, 21118 D110 Aufenthaltsdauer in Österreich in Jahren 15, 19, 20119 D111 Haushaltssituation (alleine, mit Partner, mit 15, 19, 20, 21Partner und Kind)120 D112 Angaben zu Kinder (Anzahl, Alter, etc.) 15, 19, 20, 21121 D113 Angaben zu Geschwister (Anzahl, Alter 15, 19, 20, 21etc.)122 D114 Angaben zu Schulbildung 15, 19, 20, 21123 D115 Lebensunterhalt (ganztags berufstätig, 15, 19, 20, 21halbtags berufstätig, Krankenstand, Hausfrau,DST-Version O2000; V 2004/03 erstellt am 30.03.2010 15:22:25www.dsk.gv.at - dvr@dsk.gv.atgedruckt am :09.11.2011 16:56:00Bearbeiter: off10AnhangSeite 104 von 125

- 7 -Häftling etc.)124 D116 Angaben zur beruflichen Situation15, 19, 20, 21(Beschreibung, Erlernter Beruf, AusgeübterBeruf, Auf-/Abstieg etc.)125 D117 Angaben zum Partner (Freund, Ehemann 15, 19, 20, 21etc.)126 D118 Angaben zur beruflichen Situation des 15, 19, 20, 21Partners (Beschreibung, Erlernter Beruf,Ausbildung, Lebenssituation, etc.)127 D119 Zuweisung (Eigeninitiative, Anraten etc) 15, 19, 20, 21128 D120 Fachbezogene Psychosomatische15, 19, 20, 21, 33Anamnese (z.B. Gynäkologie, Onkologie)129 D121 Psychiatrische Anamnese 15, 19, 20, 21, 33130 D122 Psychosomatische Diagnose 15, 19, 20, 21, 33131 Datenartengruppe: Daten für die Organisationender Rettungs -und Krankenbeförderungsdienste(B06)132 D123 Aufnahme und Entlassungstag in einerKrankenanstalt mit Aufnahme -undEntlassungsdiagnose133 D124 Bekanntgabe der Umstände, die denTransport der betreuten Person notwendigmachten unter Angabe von allfälligemFremdverschulden und Einsatzgrund134 Datenartengruppe: Sozialhilfeträger, FondsSoziales Wien135 D125 Meldung der Aufnahme einer vonSozialhilfeträger oder dem Fonds Soziales Wienbetreuten Person136 D126 Meldung der Entlassung einerpflegebedürftigen Person und Zusendung desPatientenbriefes an den Sozialhilfeträger unddem Fonds Soziales Wien, wenn die betreutePerson diesen nicht selbst übergeben kannDST-Version O2000; V 2004/03 erstellt am 30.03.2010 15:22:25www.dsk.gv.at - dvr@dsk.gv.atgedruckt am :09.11.2011 16:56:00Bearbeiter: off10222214, 2314, 23137 Datenartengruppe: Angaben zu einer vermutetenBerufskrankheit138 D127 Angaben zum Beschäftigungsverhältnis 19, 24139 D128 Angaben zur vermuteten Berufskrankheit 19, 24140 D129 Name, Adresse des/der meldendenArztes/Ärztin141 Datenartengruppe: Angaben zu Eignungs- undFolgeuntersuchung142 D130 Anamnese 1919, 24143 D131 Befund der allgemeinen ärztlichen19Untersuchung144 D132 Beurteilung geeignet/nicht geeignet 19145 B02 Patienten undSpender (zusätzlich zuB01) die für eineTransplantationvorgesehen sind146 D001 Name (Familienname, Vorname) 10, 15, 19147 D002 Geburtsdatum 10, 15, 19148 D003 Geschlecht 10, 15, 19149 D004 Diagnosen 10, 15, 19150 D005 Ergebnisse von Untersuchungen10, 15, 19(Befunde)151 D006 Obduktions- und Todesdaten 10, 15, 19152 D007 pathologische Diagnose 10, 15, 19153 D008 Befundender Arzt (B14) 10, 15, 19154 D009 Identifikationscode10, 15, 19Transplantationszentrum (Anstalt)155 D010 Organcodierung 10, 15, 19156 D011 Code für Patientenstatus 10, 15, 19157 D012 Patientenaufnahmezahl (z.B.MAC oder 10, 15, 19sonstiger Identifikationscode)158 D013 Behandelnder Arzt (B14) 10, 15, 19159 D014 Transplantationsdaten 10, 15, 19AnhangSeite 105 von 125

- 8 -160 B03 Patienten(zusätzlich zu B01) fürdie eineVerletzungsanzeige beider Polizei gemachtwerden muss161 Datenartengruppe: Verletzungen die durchFremdverschulden außerhalb desKrankenanstaltenverbundes erfolgte:162 D001 Patientenaufnahmezahl (z.B. MAC oder 07, 15, 19sonstiger Identifikationscode)163 D002 Name (Familienname, Vorname) 07, 15, 19164 D003 Titel 07, 15, 19165 D004 Geburtsdatum 07, 15, 19166 D005 Geschlecht 07, 15, 19167 D006 Familienstand 07, 15, 19168 D007 Anschrift und Erreichbarkeit 07, 15, 19169 D008 Staatsbürgerschaft 07, 15, 19170 D009 Beruf (Beschäftigung) 07, 15, 19171 D010 Name u. Anschrift des07, 15, 19Erziehungsberechtigten (bei Kindern)172 D011 Name, Adresse und Erreichbarkeit des 07, 15, 19Arbeitgebers (B18)173 D012 Daten zu Sozialversicherungsträger 07, 15, 19174 D013 Sozialversicherungsnummer 07, 15, 19175 D014 Name des Hauptversicherten 07, 15, 19176 D015 Einlieferung durch 07, 15, 19177 D016 Fremdverschulden J/N 07, 15, 19178 D017 Zust. Unfallversicherungsträger 07, 15, 19179 D018 Arbeitsunfall/Freizeitunfall 07, 15, 19180 D019 Unfallzeitpunkt 07, 15, 19181 D020 Unfallort 07, 15, 19182 D021 Unfallhergang 07, 15, 19183 D022 Anamnestische Angaben 07, 15, 19184 D023 Verletzungsdiagnose 07, 15, 19185 D024 Verletzungsgrad 07, 15, 19186 D025 Einvernahme möglich J/N 07, 15, 19187 D026 Stationäre/ambulante Abteilung 07, 15, 19188 D027 Behandlungsende 07, 15, 19189 D028 Kontrolle 07, 15, 19190 D029 Diagnosearzt (B14) 15, 19191 Datenartengruppe: Verletzungen die durchFremdverschulden innerhalb desKrankenanstaltenverbundes erfolgte:192 D030 Patientenaufnahmezahl (z.B. MAC odersonstiger Identifikationscode)07, 15, 19, 21193 D031 Name (Familienname, Vorname) 07, 15, 19, 21194 D032 Titel 07, 15, 19, 21195 D033 Geburtsdatum 07, 15, 19, 21196 D034 Geburtsort/Geburtsland 07, 15, 19, 21197 D035 Geschlecht 07, 15, 19, 21198 D036 Anschrift und Erreichbarkeit 07, 15, 19, 21199 D037 Staatsbürgerschaft 07, 15, 19, 21200 D038 Name u. Anschrift des07, 15, 19, 21Erziehungsberechtigten (bei Kindern)201 D039 Beruf (Beschäftigung) 07, 15, 19, 21202 D040 Unfallzeitpunkt 07, 15, 19, 21203 D041 Unfallort 07, 15, 19, 21204 D042 Unfallhergang 07, 15, 19, 21205 D043 Verletzungsdiagnose 07, 15, 19, 21206 D044 Verletzungsgrad 07, 15, 19, 21207 D045 Einvernahme möglich J/N 07, 15, 19, 21208 D046 Stationäre/ambulante Abteilung 07, 15, 19, 21209 D047 Behandlungsende 07, 15, 19, 21210 D048 Kontrolle 07, 15, 19, 21211 D049 Unterschrift des Patienten 07, 15, 19, 21212 B04 PatientenDST-Version O2000; V 2004/03 erstellt am 30.03.2010 15:22:25www.dsk.gv.at - dvr@dsk.gv.atgedruckt am :09.11.2011 16:56:00Bearbeiter: off10AnhangSeite 106 von 125

- 9 -(zusätzlich zu B01) mitonkologischen Befunden(Krebsregister -Tumorregister)213 D001 Patientenaufnahmezahl (z.B.MAC odersonstiger Identifikationscode)09, 15, 19, 21214 D002 Name (Familienname, Vorname) 09, 15, 19, 21215 D003 Geburtsdatum 09, 15, 19, 21216 D004 Geschlecht 09, 15, 19, 21217 D005 Titel 09, 15, 19, 21218 D006 Anschrift und Erreichbarkeit 09, 15, 19, 21219 D007 Krankenanstalt 09, 15, 19, 21220 D008 Klinik/Abteilung/Station 09, 15, 19, 21221 D009 Sozialversicherungsnummer 09, 15, 19, 21222 D010 Aufnahme-/Entlassungsdatum 09, 15, 19, 21223 D011 Transferierungsdatum 09, 15, 19, 21224 D012 Sterbedatum 09, 15, 19, 21225 D013 Obduktionsdatum 09, 15, 19, 21226 D014 Diagnosen 09, 15, 19, 21227 D015 Tumorbeschreibung (Onkologische Daten) 09, 15, 19, 21228 D016 Histologische Daten 09, 15, 19, 21229 D017 Befunddatum 09, 15, 19, 21230 D018 Behandlungsart 09, 15, 19, 21231 D019 namnestische Daten 09, 15, 19, 21232 D020 Verantwortlicher Arzt (B14) 09, 15, 19, 21233 B05 Hauptversicherterzu Patienten (B01)234 D001 Patientenaufnahmezahl (z.B.MAC odersonstiger Identifikationscode) desmitversicherten Patienten (B01)04, 05, 06, 13, 15, 19, 21, 22235 D002 Name des mitversicherten Patienten 04, 05, 06, 13, 15, 19, 21, 22236 D003 Name (Familienname, Vorname) 04, 05, 06, 13, 15, 19, 21, 22237 D004 Titel 04, 05, 06, 13, 15, 19, 21, 22238 D005 Geburtsdatum 04, 05, 06, 13, 15, 19, 21, 22239 D006 Geschlecht 04, 05, 06, 13, 15, 19, 21, 22240 D007 Anschrift und Erreichbarkeit 04, 05, 06, 13, 15, 19, 21, 22241 D008 Staatsbürgerschaft 04, 05, 06, 13, 15, 19, 21242 D009 Beruf 04, 05, 06, 13, 15, 19, 21243 D010 Name, Adresse und Erreichbarkeit des 04, 05, 06, 13, 15, 19, 21, 22Arbeitgebers (B18)244 D011 Sozialversicherungsträger 04, 05, 06, 13, 15, 19, 21, 22245 D012 Sozialversicherungsnummer 04, 05, 06, 13, 15, 19, 21, 22246 D013 Art des Mitversichertenverhältnis (z.B. 04, 05, 06, 13, 15, 19, 21Lebensgefährte)247 B06 Organisationen derRettungs- undKrankenbeförderung mitdem der Patient in dieKrankenanstalteingeliefert, bzw. weitertransferiert wird248 D001 Patientenzahl des Patienten (B01) 15, 19, 21249 D002 Name des Patienten (B01) 15, 19, 21250 D003 Name der Organisation 15, 19, 21251 D004 Adresse und Erreichbarkeit 15, 19, 21252 B07 Patientenbrief- undBefundempfänger, d.h.ein- oder zuweisendeÄrzte bzw.nachbehandelnde Ärztevon externenKrankenanstalten,Pflegeheimen undGeriatriezentren253 D001 Arztnummer 01, 12, 13, 15, 19, 21254 D002 Name (Familienname, Vorname) 01, 12, 13, 15, 19, 21255 D003 Geschlecht 01, 12, 13, 15, 19, 21DST-Version O2000; V 2004/03 erstellt am 30.03.2010 15:22:25www.dsk.gv.at - dvr@dsk.gv.atgedruckt am :09.11.2011 16:56:00Bearbeiter: off10AnhangSeite 107 von 125

- 10 -256 D004 Titel 01, 12, 13, 15, 19, 21257 D005 Adresse und Erreichbarkeit 01, 12, 13, 15, 19, 21258 D006 Fachbereiche 01, 12, 13, 15, 19, 21259 D007 Adresse und Name externer01, 12, 13, 15, 19, 21Krankenanstalt, Pflegeheim oderGeriatriezentrum260 B08 Patienten, die miteinemPatientendatenmanagement-System PDM (wiez.B. HP-CareVue )behandelt, oder derenDaten mit diesemverwaltet werden261 Datenartengruppe:Patientendaten/Aufnahmeblatt:262 D001 Patientenaufnahmezahl (z.B.MAC oder 15, 19sonstiger Identifikationscode)263 D002 Name (Familienname, Vorname) 15, 19264 D003 Geburtsdatum 15, 19265 D004 Alter 15, 19266 D005 Titel 15, 19267 D006 Aufnahmegewicht 15, 19268 D007 Größe 15, 19269 D008 Körperoberfläche 15, 19270 D009 Aufnahmedatum 15, 19271 D010 Zuweisende Stelle 15, 19272 D011 Aufnahmearzt 15, 19273 D012 Diagnose 15, 19274 D013 Allergien 15, 19275 D014 Anamnestische Angaben 15, 19276 D015 Daten zu Angehörigen und15, 19Verständigungspersonen (B16)277 Datenartengruppe: OP-Daten278 D016 Art der Operation 15, 19279 D017 Operationsdatum 15, 19280 D018 Name des Anästhesisten (B14) 15, 19281 D019 Name des Operateurs (B14) 15, 19282 D020 Operationsdauer 15, 19283 D021 Angaben über die Transfusion von15, 19Blutkomponenten284 D022 Angaben über die Infusion von15, 19Plasmaersatzmitteln285 D023 Flüssigkeitsbilanz 15, 19286 Datenartengruppe: MedizinischeDaten/Krankenblatt Intensiv:287 D024 Fieberkurve 15, 19288 D025 Vitalparameter (Herzfrequenz, Temperatur, 15, 19Pulmonalarteriendruck,...)289 D026 Medikamente 15, 19290 D027 Dialyseparameter 15, 19291 D028 Beatmungsparameter 15, 19292 D029 Bilanz-Parameter 15, 19293 D030 Katheder/Sonden-Parameter 15, 19294 D031 Thorax Drainage 15, 19295 D032 Daten zur Körperpflege 15, 19296 D033 Daten zu Pflegeproblemen 15, 19297 D034 Daten zur Physikalischen Therapie 15, 19298 D035 Laborparame (inkl. Spezialparameter) 15, 19299 D036 Neurologischer Status (z.B.15, 19Reaktionsfähigkeit, Ansprechbarkeit etc)300 D037 Daten zum Blutgleichgewicht15, 19(Hämodynamik)301 Datenartengruppe: Medizinische Daten/OP-/Drainagen-Pflege:302 D038 Daten der Operationsarten 15, 19303 D039 Pulsstatus 15, 19DST-Version O2000; V 2004/03 erstellt am 30.03.2010 15:22:25www.dsk.gv.at - dvr@dsk.gv.atgedruckt am :09.11.2011 16:56:00Bearbeiter: off10AnhangSeite 108 von 125

- 11 -304 D040 Bauchstatus 15, 19305 D041 Wirbelbecken 15, 19306 D042 Materialverbrauch (wie Verbandstoffe, 15, 19Katheder usw.)307 D043 Daten zu Drainagearten 15, 19308 D044 Drainage-Bilanz 15, 19309 D045 Behandelnder Arzt (B14) 15, 19310 B09 Personen, die imBerechtigungsverzeichnisses desPatientendatenmanagement-(PDM)Systems(wie z.B. HP-CareVueenthalten sind (sieheB08)311 D001 Name 15, 19312 D002 Personalnummer oder ähnliches 15, 19313 D003 Berechtigungen (hinsichtlich des PDM- 15, 19Systems)314 D004 Username 15, 19315 D005 Titel, Berufsbezeichnung, Funktion 15, 19316 D006 Kurzzeichen 15, 19317 B10 Stationär undambulant behandeltePatienten derGeburtshilfe, einschließl.Endokrinologie,Sterilitätsbehandlung,pränatale und perinataleDiagnostik und Therapie(zusätzlich zu B01)318 D001 Patientenaufnahmezahl (z.B. MAC oder 15, 19sonstiger Identifikationscode)319 D002 Name (Familienname, Vorname) 15, 19320 D003 Titel 15, 19321 D004 Geburtsdatum 15, 19322 D005 Geschlecht 15, 19323 D006 Anschrift und Erreichbarkeit 15, 19324 D007 Staatsbürgerschaft 15, 19325 D008 Beruf 15, 19326 D009 Religion (nach Angabe der Betroffenen) 15, 19327 D010 Spezialdokumentationen Gynäkologische 15, 19Endokrinologie und Sterilitätsbehandlung328 D011 Spezialdokumentation Geburtshilfe 15, 19329 Datenartengruppe: Zytogenetik-Anforderung/Befund330 D012 Anfordernde Stelle 15, 19331 D013 Leistende Stelle 15, 19332 D014 Daten zu Untersuchungsmaterial 15, 19333 D015 Datum/Zeit der Entnahme 15, 19334 D016 Untersuchungsanforderung 15, 19335 D017 Anamnestische Angaben (inkl.15, 19Familienanamnese)336 D018 Indikation 15, 19337 D019 Besonderheiten 15, 19338 D020 Geschlechtsmitteilung erwünscht J/N 15, 19339 D021 Erreichbarkeit (Telefon privat/dienstlich) 15, 19340 D022 Probennummer 15, 19341 D023 Verdachtsdiagnose 15, 19342 D024 Bemerkungen zu Befund 15, 19343 D025 Befundender Arzt (B14) 15, 19344 D026 Befund (Ergebnisse von Untersuchung) 15, 19345 D027 Befund- und Untersuchungsdatum 15, 19346 Datenartengruppe: VorgeburtlicheErsterhebung/Daten des Kindesvaters (Angabedurch Patientin)347 D028 Name des Kindesvaters 15, 19DST-Version O2000; V 2004/03 erstellt am 30.03.2010 15:22:25www.dsk.gv.at - dvr@dsk.gv.atgedruckt am :09.11.2011 16:56:00Bearbeiter: off10AnhangSeite 109 von 125

- 12 -348 D029 Adresse und Erreichbarkeit des15, 19Kindesvaters349 D030 Religion des Kindesvaters (nach Angabe) 15, 19350 D031 Staatsangehörigkeit des Kindesvaters 15, 19351 D032 Beruf des Kindesvaters 15, 19352 D033 Alter des Kindesvaters 15, 19353 D034 Präexistente Erkrankungen des15, 19Kindesvaters354 Datenartengruppe: VorgeburtlicheErsterhebung/Daten von Patientin (Angabedurch Patientin) Pränatalbogen355 D035 Beruf und Ausbildung der Patientin 15, 19356 D036 Daten zur Eheschließung 15, 19357 D037 Daten zu Infektionen 15, 19358 D038 Familienanamnese 15, 19359 D039 Schwangerschaftsdaten (inkl. Risken) 15, 19360 D040 Geplanter Geburtsort 15, 19361 Datenartengruppe: Aufnahme in denKreißsaal/Geburtsverlauf362 D041 Transportunternehmen (B06) 15, 19363 D042 Aufnahmedatum 15, 19364 D043 Aufnehmende Hebamme (B14) 15, 19365 D044 Aufnehmender Arzt (B14) 15, 19366 D045 Aufnahmegrund 15, 19367 D046 Mehrlingsschwangerschaft J/N 08, 15, 19368 D047 Angaben zum Zustand der Schwangeren 15, 19369 D048 Angaben zum08, 15, 19Geburtsverlauf/Abortus/Totgeburt370 D049 Name des zu Verständigenden (B16) 15, 19371 Datenartengruppe: zusätzlicheHebammendokumentation zur Mutter372 D050 Erfassungsdatum 15, 19373 D051 Verständigungssprache 15, 19374 D052 Psychosoziale Situation (Sachwalter J/N, 15, 19Extramuraler Bereich etc)375 Datenartengruppe: Entlassungsdokumentation376 D053 Datum/Zeit der Entlassung/Transferierung 15, 19377 D054 Angaben zum Todesfall (Datum, Uhrzeit, 15, 19Ursache)378 D055 Stationärdokumentation15, 19Wochenbettverlauf379 D056 Entlassungsuntersuchung 15, 19380 D057 Empfohlene Medikation 15, 19381 D058 Kontrolle (Datum, bei z.B. Facharzt, 15, 19Ambulanz, Station)382 D059 Arzt (B14) 15, 19383 B11 Kinder(Neugeborenes), die inder Krankenanstaltgeboren wurden (Datender Geburtsanzeige)(zusätzlich zu B01)384 D001 Patientenaufnahmezahl des Kindes 15, 19(z.B.MAC oder sonstiger Identifikationscode)385 D002 Name der Mutter (B01) 08, 15, 19, 33386 D003 Adresse und Erreichbarkeit der Mutter 08, 15, 19, 33387 D004 Geburtsdatum und -ort der Mutter 08, 15, 19, 33388 D005 Beruf der Mutter 08, 15, 19389 D006 Name des Kindesvaters 08, 15, 19390 D007 Geburtsdatum u. -ort des Kindesvaters 08, 15, 19391 D008 Adresse des Kindesvaters 08, 15, 19392 D009 Beruf des Kindesvaters 08, 15, 19393 D010 Daten zur Eheschließung 08, 15, 19394 D011 Name des Neugeborenen 08, 15, 19395 D012 Vornamen des Neugeborenen 08, 15, 19396 D013 Geburtsdatum 08, 15, 19, 33397 D014 Geburtszeit 08, 15, 19DST-Version O2000; V 2004/03 erstellt am 30.03.2010 15:22:25www.dsk.gv.at - dvr@dsk.gv.atgedruckt am :09.11.2011 16:56:00Bearbeiter: off10AnhangSeite 110 von 125

- 13 -398 D015 Geburtsort 08, 15, 19399 D016 Geschlecht 08, 15, 19400 D017 Geburtsnummer (Armbändchennummer 15, 19etc.)401 D018 Geburtsgewicht, Größe 08, 15, 19, 33402 D019 Weitere Angaben zum Geburtsverlauf 15, 19, 33403 D020 Stationärdokumentation Wochenbett 15, 19, 33404 D021 Hebammendokumentation 08, 15, 19, 33405 D022 Hebamme (B14) 08, 15, 19406 D023 Arzt (B14) 08, 15, 19407 Datenartengruppe: Neugeborenen-Untersuchung408 D024 Zustand des Neugeborenen 15, 19, 33409 D025 Untersuchungsergebnisse des08, 15, 19, 33Neugeborenen (Farbe der Haut, Temperatur,Herzfrequenz, Sinnesorgane etc.)410 D026 Diagnose 15, 19, 33411 D027 Verstorben am (Datum/Zeit) 08, 15, 19, 33412 D028 Todesursache 08, 15, 19, 33413 D029 Missbildungen/Erkrankungen 08, 15, 19, 33414 D030 Kontrolle (Datum, bei z.B. Facharzt, 15, 19Ambulanz, Station)415 D031 Stationärdokumentation Wochenbett (inkl. 15, 19, 33Hebammenbericht über Neugeborenenpflege)416 D032 Spezialdokumentationen Geburtshilfe, 15, 19, 33Neonatologie (Neugeborenenlehre)417 D033 Entlassungs-,15, 19, 33Transferierungsdokumentation (Facharzt,Station, Ambulanz)418 D034 Entlassungs- bzw. Pflegehinweise15, 19, 33(Ernährung, Therapie etc.)419 D035 Schwester/Pfleger (B14) 15, 19420 D036 Arzt (B14) 15, 19421 B12 StationäraufgenommenenPatienten (B01) aufIntensivstationen vonKrankenanstalten derStadt Wien (LKF-Intensiv-Scoring)422 Datenartengruppe: Datenarten gemäßVerordnung BGBl.Nr.II/63/1998, Anlage 5423 D001 Patientenaufnahmezahl (z.B.MAC oder 02, 15, 19sonstiger Identifikationscode)424 D002 Geburtsdatum 02, 15, 19425 D003 Krankenanstaltennummer 02, 15, 19426 D004 Funktionscode der Intensivstation 02, 15, 19427 D005 Aufnahme-Zeitpunkt 02, 15, 19428 D006 Aufnahmeart 02, 15, 19429 D007 Aufnahmedatum 02, 15, 19430 D008 Ko-existierende Krankheiten 02, 15, 19431 D009 Entlassungszeitpunkt aus der02, 15, 19Intensivstation432 D010 Entlassungszustand aus der02, 15, 19Intensivstation433 D011 Spitalsentlassungsdatum 02, 15, 19434 D012 Spitalsentlassungszustand 02, 15, 19435 D013 Medizinische Parameter 02, 15, 19436 B13 Stationäre undambulante Patienten desHygiene-Dokumentationssystems(Hygiene-Status vonKostenstellen) zurÜberprüfung desHygienestatus derKlinischen Abteilungen437 Datenartengruppe: Beschreibung Mikrobiologie438 D001 Patientenaufnahmezahl (z.B.MAC oder 15, 19, 21DST-Version O2000; V 2004/03 erstellt am 30.03.2010 15:22:25www.dsk.gv.at - dvr@dsk.gv.atgedruckt am :09.11.2011 16:56:00Bearbeiter: off10AnhangSeite 111 von 125

- 14 -sonstiger Identifikationscode)439 D002 Name (B01) 15, 19, 21440 D003 Aufnahmedatum 15, 19, 21441 D004 Kostenstelle (Krankenanstalt, Abteilung, 15, 19, 21Station)442 D005 Probennummer 15, 19, 21443 D006 Proben- und Abnahmebeschreibung 15, 19, 21444 D007 Abnahmedatum 15, 19, 21445 D008 Eingangsdatum 15, 19, 21446 D009 Befunddatum 15, 19, 21447 D010 Nachweisklasse 15, 19, 21448 D011 Nachweismethode 15, 19, 21449 D012 Erreger, -beschreibung 15, 19, 21450 D013 Status 15, 19, 21451 D014 Resistenzbestimmung (Antibiogramm) 15, 19, 21452 D015 Antibiotikatherapie 15, 19, 21453 D016 behandelnder Arzt (B14) 15, 19, 21454 Datenartengruppe: Beschreibung OPDokumentation455 D017 OP Nummer 15, 19456 D018 OP Datum/-zeit/ -dauer 15, 19457 D019 OP Risiko 15, 19458 D020 OP Typ 15, 19459 D021 OP Diagnose 15, 19460 D022 OP Saal 15, 19461 D023 OP Beschreibung 15, 19462 D024 Anwesendes Personal (B14) 15, 19463 D025 OP Implantate 15, 19464 Datenartengruppe: Infektionsdokumentation465 D026 Infektion 15, 19, 21466 D027 Datum 15, 19, 21467 D028 Nähere Angaben zur Infektion 15, 19, 21468 D029 Arzt (B14) 15, 19, 21469 B14 Bedienstete derKrankenanstalten -einschließlichPflegeheime undGeriatriezentren desKAV (Ärzte,Krankenschwestern,OP-Schwestern,Hebammen,Therapeuten,Pflegepersonal,Medizinisch-technischerDienst)470 D001 Name des Bediensteten 01, 10, 11, 12, 15, 19, 21,24, 25, 30471 D002 Personalnummer oder ähnliches 15, 19, 21472 D003 Kostenstellendaten 15, 19, 21473 D004 Name der Anstalt 01, 02, 10, 11, 12, 13, 15,19, 21, 24, 25, 26, 30474 D005 Adresse der Anstalt 01, 02, 10, 11, 12, 13, 15,19, 21, 24, 25, 26475 Datenartengruppe: Zugriffsprotokollierung nachDSG 2000 §14476 D006 Name des Bediensteten 19477 D007 Anstalt, Abteilung, Kostenstelle (Dienstort) 19478 D008 Useridentifikation (Zugriffsberechtigung) 19479 D009 Zugriffsdatum, Zugriffszeit 19480 D010 Aufnahmezahl des Patienten (B01) 19481 D011 Name des Patienten 19482 D012 Dokumente auf die zugegriffen wurde 19483 D013 Kennzeichen, das Ausdruck erstellt wurde 19(z.B. Röntgenbildern)484 D014 Identifikation des benutzten Gerätes(Terminal, PC etc.)19DST-Version O2000; V 2004/03 erstellt am 30.03.2010 15:22:25www.dsk.gv.at - dvr@dsk.gv.atgedruckt am :09.11.2011 16:56:00Bearbeiter: off10AnhangSeite 112 von 125

- 15 -485 Datenartengruppe: Dokumentation gemäßAllgStrSchV (Dosimeter)486 D015 Titel; 32487 D016 Name des Bediensteten (Vorname, 32Familienname)488 D017 Frühere Namen des Bediensteten 32489 D018 Sozialversicherungsnummer bei Inländer 32490 D019 Geburtsort bei Ausländer 32491 D020 Geburtsdatum bei Ausländer 32492 D021 Geschlecht 32493 D022 Staatsbürgerschaft 32494 D023 Ausgeübte Tätigkeit 32495 D024 Exposition 32496 D025 Bewilligungsinhaber (Name. Anschrift) 32497 B15 Patienten mitschwierigem Atemweg,die in der ADAIR-Datenbank eingetragenwerden (können ausB01 sein)498 Datenartengruppe: Administrationsdaten499 D001 Name (Familienname, Vorname) 11, 15, 19500 D002 Titel 11, 15, 19501 D003 Geburtsdatum 11, 15, 19502 D004 Sozialversicherungsnummer 11, 15, 19503 D005 Anschrift und Erreichbarkeit 11, 15, 19504 Datenartengruppe: Medizinische Dokumentationbzw. Daten zum Atemwegsereignis505 D006 Krankenanstalt 11, 15, 19506 D007 Geplanter operativer Eingriff 11, 15, 19507 D008 Akut- und Vorerkrankung(en) 11, 15, 19508 D009 Datum des Ereignisses 11, 15, 19509 D010 Art(en) und Ursachen des schwierigen 11, 15, 19Atemweges510 D011 Ort des Auftretens 11, 15, 19511 D012 Behandelnde Ärzte (B07 oder B1411, 15, 19möglich)512 D013 Angewandte Technik(en) zur Sicherung 15, 19des Atemweges513 D014 Laryngoskopische Angaben11, 15, 19(Kehlkopfspiegelung)514 D015 Physikalische Untersuchungsangaben 11, 15, 19515 D016 Messungen 11, 15, 19516 D017 Klinischer Verlauf des Patienten 11, 15, 19517 D018 Angaben für qualitätssichernde Zwecke 11, 15, 19(Schädigungen, Vorkehrungen zurAtemwegssicherung)518 B16 Personen, die alsAngehörige oderVerständigungspersonvon Patienten (B01) vonKrankenanstalten derStadt Wien erfasstwerden (freiwilligeAngabe)519 D001 Patientenzahl des Patienten (B01) 15, 19, 21520 D002 Name des Patienten (B01) 15, 19, 21521 D003 Name (Familienname, Vorname) 15, 19, 21522 D004 Geburtsdatum 15, 19, 21523 D005 Geschlecht 15, 19, 21524 D006 Anschrift und Erreichbarkeit 15, 19, 21525 D007 Verhältnis zum Patienten 15, 19, 21526 D008 Texteingabe für ev. besondere Hinweise 15, 19, 21527 B17 Begleitpersonen (zuPatienten unter B01)(freiwillige Angabe)(z.B. Zeitpunkt der Erreichbarkeit)DST-Version O2000; V 2004/03 erstellt am 30.03.2010 15:22:25www.dsk.gv.at - dvr@dsk.gv.atgedruckt am :09.11.2011 16:56:00Bearbeiter: off10AnhangSeite 113 von 125

- 16 -528 D001 Patientenzahl (MAC oder sonstige15, 19Patientenidentifikationscode)529 D002 Name (Familienname, Vorname) 15, 19530 D003 Administrative Daten (Arbeitgeber etc.) 15, 19531 D004 Besuchsdaten (Aufnahme/Entlassung) 15, 19532 D005 Versicherungsdaten 15, 19533 D006 Hinweis zu Patient (B01) der begleitet wird 15, 19534 B18 Arbeitgeber einesstationären oderambulanten Patienten(B01) oder Arbeitgeberdessen, bei dem dieserPatient mitversichert(B05) ist535 D001 Patientenzahl des Patienten (B01) 04, 05, 15, 19, 21536 D002 Name des Patienten (B01) 04, 05, 15, 19, 21537 D003 Name des Arbeitgebers 04, 05, 15, 19, 21538 D004 Adresse und Erreichbarkeit 04, 05, 15, 19, 21539 B19 ehem."Spiegelgrund"-PatientInnen540 D001 Name 17, 19541 D002 Daten der damaligen Krankengeschichte, 17, 19inkl. Folgedaten542 B20 Patient/Bewohner,deren Freiheit nachHeimAufG beschränktwird543 D001 Name (Zuname, Vorname, Titel) 27544 D002 Aufnahmezahl 27545 D003 Geburtsdatum 27546 D004 Geschlecht 27547 D005 Organisationseinheit (Anstalt, Abteilung, 27Kostenstelle)548 D006 Leiter der Organisationseinheit 27549 D007 Person, die die Freiheitsbeschränkung 27anordnet (z.B. Arzt)550 D008 Grund der Freiheitsbeschränkung (inkl. 27Situationsbeschreibung)551 D009 Art der Freiheitsbeschränkung 27552 D010 Zeitangaben zur Freiheitsbeschränkung 27(z.B. Beginn, Ende, Dauer)553 D011 Willensangabe des Betroffenen 27554 D012 Stellungnahme desÜbermittlungsempfängers555 B21 Paar (Mann undFrau), das eine In-vitro-Fertilisations (IVF) -Therapie erhält556 D001 Identifikationsnummer des Paares 28557 D002 Name von Patientin / Partner 28558 D003 Geburtsdatum von Patientin / Partner 28559 D004 Sozialversicherungsnummer von Patientin 28/ Partner560 D005 Versicherungsträger von Patientin /Partner 28561 D006 Wohnpostleitzahl von Patientin /Partner 28562 D007 Sterilitätsbezogene Anamnese (Indikation, 28Spermiogramm etc.) von Patientin /Partner563 D008 Angaben zur Behandlung (Stimulation, 28Fertilisierung, ICSI [IntrazytoplasmatischeSpermainjektion] etc.)564 D009 Angaben zu Verwendung von28kryokonservierten Embryonen565 D010 Angaben zu erzielten Schwangerschaften 28und Schwangerschaftsverlauf566 D011 Angaben zu nicht erzielten28Schwangerschaften567 D012 Angaben zu Geburtsverlauf und Kind 28DST-Version O2000; V 2004/03 erstellt am 30.03.2010 15:22:25www.dsk.gv.at - dvr@dsk.gv.atgedruckt am :09.11.2011 16:56:00Bearbeiter: off10AnhangSeite 114 von 125

- 17 -568 D013 Etwaige Fehlbildungen 28569 D014 Sonstige Reproduktionsmedizinische 28Daten570 B22 Minderjährige (MJ),für die der Verdachteiner Vernachlässigung ,Misshandlung, Quälenoder sexuellerMissbrauch gemeldetwird571 Datenartengruppe: Stammdaten Minderjährige/r(MJ)572 D001 Datum der Gefährdungsmeldung 29573 D002 Name (Familienname, Vorname) 29574 D003 Geburtsdatum 29575 D004 Geschlecht 29576 D005 Adresse, Erreichbarkeit 29577 Datenartengruppe: Gefährdungen - alle J/N578 D006 Körperliche Gewalt am MJ 29579 D007 Psychische Gewalt am MJ 29580 D008 Sexueller Missbrauch am MJ 29581 D009 Vernachlässigung de MJ 29582 Datenartengruppe: Begleitperson der MJ583 D010 Name (Familienname, Vorname. Akadem. 29Titel)584 D011 Adresse, Erreichbarkeit 29585 D012 Beziehung zum MJ 29586 Datenartengruppe: Arztbericht587 D013 Art der Gesundheitsbeeinträchtigung 29588 D014 Schilderung des MJ (wann, wie oft, wer 29war daran beteiligt, etc)589 D015 Schilderung der Begleitperson (wann, wie 29oft, wer war daran beteiligt, etc)590 D016 Beschreibung des Verdachtes (z.B.: Art 29der Verletzung, auffälliges Verhalten des MJ,etc.)591 D017 Beschreibung der erheblichen Gefährdung 29des MJ592 D018 Sonstige Bobachtungen 29593 D019 Zusätzliche Informationen 29594 Datenartengruppe: Melder595 D020 Name (Familienname, Vorname. Akadem.Titel)596 D021 Adresse, Erreichbarkeit 29597 D022 Beschäftigungsort 29598 D023 Beruf 29599 B23 Patienten mitgemeldeterSubstitionsbehandlung600 D001 Name (Familienname, Vorname, Titel)) 31601 D002 Geburtsdatum 31602 D003 Krankenanstalt (Name, Adresse) 31603 D004 Behandlungsbeginn 31604 D005 Behandlungsende 31605 D006 Grund für die Beendigung der Behandlung 31606 D007 Arzt wohin Patient gewechselt ist (sofernbekannt)2931DST-Version O2000; V 2004/03 erstellt am 30.03.2010 15:22:25www.dsk.gv.at - dvr@dsk.gv.atgedruckt am :09.11.2011 16:56:00Bearbeiter: off10AnhangSeite 115 von 125

DST-Version O2000; V 2004/03 erstellt am 30.03.2010 15:22:25www.dsk.gv.at - dvr@dsk.gv.atgedruckt am :09.11.2011 16:56:00Bearbeiter: off10- 18 -12. Beabsichtigte Übermittlungen aus dieser DatenanwendungAn wen (Empfängerkreis) und auf Grund welcher Rechtsgrundlage werden verarbeitete Daten übermittelt?Werden Daten an Empfänger im Ausland weitergegeben, ist zusätzlich der Empfängerstaat anzuführen.Falls die Datenanwendung die Teilnahme an einem Informationsverbundsystem darstellt, ist anzugeben, welcheteilnehmenden Auftraggeber dem gleichen Informationsverbundsystem angehören.Versehen Sie bitte für die Zuordnung der Übermittlungen (in der letzten Spalte des Pkt. 11) jeden Empfängerkreis mit einerfortlaufenden Nummer.Nummer und Bezeichnung des EmpfängerkreisesVerwenden Sie bitte für jede Übermittlung eine eigeneTabellenzeile!IInnerhalb der Tabelle bewegen sie sich mit der TAB-Taste(⏐);so fügen Sie auch neue Zeilen hinzu; Verlassen der Tabellemit 2 x Cursor ↓UE01: Bundesministerium für Wissenschaft und VerkehrUE02: Dachverband des Vereines...geben Sie Ihre Daten ab der nächsten Zeile einUE01: Einweisende oder behandelnde Ärzte,einschließlich Ärzte von externenKrankenanstalten, Pflege-, Geriatrie- und Rehab-Zentren (Patientenbrief bzw. Patientenbefund)UE02: Wiener Gesundheitsfonds (Datensatz,Diagnosen - und Leistungsdokumentation)UE03: Hauptverband derSozialversicherungsträger (Feststellung derzuständigen Sozialversicherungträgers)UE04: Sozialversicherungsträger desHauptverbandes (Feststellen der Versicherungsanspruchesund Kostenübernahme)UE05: Sozialversicherungsträger des Hauptverbandeszur AmbulanzverrechnungUE06: WIKRAF für LKF-Scoring (Verrechnungstationärer Aufenthalt)UE07: Bundespolizeidirektion Wien(Kommissariat) - VerletzungsanzeigeUE08: Standesamt - Geburtsfälle (FunktionelleÜbermittlung an Aufgabengebiet 01Personenwesen)UE09: Statistik Austria - KrebsregisterUE10: In- und ausländischeTransplantationszentren zum Zwecke derKoordination und Verwaltung von Organspenden(z.B. Leiden/Niederlande, ÖTDR-Wels)UE11: Spitäler, Ärzte und ambulanterLeistungsbereich (z.B. radiologische Institute,Labors) aller Staaten der Erde zum Zwecke der(Tele-)KonsultationRechtsgrundlage für die ÜbermittlungBeachten Sie bitte, dass bei Neumeldungen die Rechtsgrundlagefür eine Übermittlung unbedingt anzugeben ist!nachfolgend ein Beispiel:UE01: § 16 Abs. 5 FührerscheingesetzUE02: § nn des VereinsgesetzesUE01: § 17, § 38 Wiener Krankenanstaltengesetz1987 - Wr. KAG, LGBl. Nr. 1987/23 idgFUE02: Wiener Gesundheitsfondsgesetz LGBl. Nr.2006/03, StatistikVO für landesfondsfinanzierteKrankenanstalten BGBl. Nr. II 639/2003 iVm.Diagnosen- und LeistungsdokumentationsVO BGBl.Nr. II 589/2003UE03: § 48, § 52 und § 64b (9) WienerKrankenanstaltengesetz 1987 – WrKAG, LGBl. Nr.1987/23 idgFUE04: § 17 (4), § 48, § 52 und § 64b (9) WienerKrankenanstaltengesetz – WrKAG, LGBl. Nr. 1987/23idgF,§148 lit 5a Allgemeines Sozialversicherungsgesetz –ASVG BGBl. Nr. 189/1955 idgF;§9 (1) Wiener Krankenanstaltenvertragabgeschlossen 11.5.1977UE05: § 17 (4), § 48, § 52, § 64b (9) WienerKrankenanstaltengesetz – WrKAG, LGBl. Nr. 1987/23idgFUE06: § 2 (3) Krankenanstaltenfinanzierungsfonds-Gesetz LGBl Nr. 1996/41§ 64d Wiener Krankenanstaltengesetz 1987 - Wr.KAG, LGBl. Nr. 1987/23 idgFUE07: § 7 Bundesgesetz über Gesundheits- undKrankenpflegeberufe (Gesundheits- undKrankenpflegegesetz - GuKG), BGBl. I Nr. 108/1997§ 54 Abs. 4 und 5 Ärztegesetz 1998 - ÄrzteG 1998,BGBl. I Nr. 169/1998 idgFUE08: § 8 Hebammengesetz – HebG, BGBl. Nr.310/1994 idgF,§ 1 Hebammen-Geburtenstatistikverordnung,HebGSV, BGBl. Nr. 981/1994 idgFUE09: § 3, § 4 Krebsstatistikgesetz, BGBl. Nr.138/1969 idgF,§§ 1,2,3 Krebsstatistikverordnung BGBl. Nr. 171/1978idgFUE10: Zustimmungserklärung der betroffenenPatientenUE11: § 49 Ärztegesetz 1998 - ÄrzteG 1998, BGBl. INr. 169/1998 idgF; § 5a, § 17a Abs. 2 lit. d WienerKrankenanstaltengesetz 1987 - Wr. KAG, LGBl. Nr.1987/23 idgF.AnhangSeite 116 von 125

UE12: Spitäler und behandelnde Ärzte allerStaaten der Erde im Rahmen derPatientenbehandlung von ausländischen oder imAusland befindlichen Patienten (Patientenbriefinkl. Befunde)UE13: Ausländische Versicherungsträger allerStaaten der Erde zum Zwecke der VerrechnungUE14: Sozialhilfeträger, die entlasseneSozialhilfeempfänger und pflegebedürftigePatienten betreuen (Übermittlung inAufgabengebiet Sozialhilfe und Jugendfürsorge)UE15: Stellen, die mit der Rechtsdurchsetzungund der Klärung von Beschwerden betraut sind(z.B. Gerichte, Sachverständige, Rechtsanwälte,Schlichtungsstellen, Patientenanwälte,Versicherungsträger)UE16: MA 15 (Urteile, Klagsschriften,Beschwerdeschreiben, Abfindungserklärungen)UE17: DÖW, Institut für ZeitgeschichteUE18: Gerichte, PA des Vereins fürSachwalterschaft, Patientenanwaltschaft sowie RAzum Zwecke des Antrages auf Ub auf einerpsychiatrischen Abt., bzw. der Aufhebung der Ubinkl. einer event. Meldung einer Beschränkunggem. §§ 33 ff. UbGUE19: Magistratsdirektion- undKrankenanstaltenverbund-Interne Revision imRahmen einer themenbezogenen internenRevisionUE20: LBI (Ludwig-Boltzmann-Institute,Landsteinerinstitute) und Vereine der Ärzte desWr. KAV's zum Zwecke der QualitätssicherungUE21: Aufsichtsbehörde über die GeriatriezentrenUE22: Rettungs- und KrankentransportdiensteUE23: Fonds Soziales Wien (FSW)UE24: zuständiger Unfallversicherungsträger zurMeldung einer BerufskrankheitUE25: zuständige Sanitätsbehörde zur Meldungvon anzeigepflichtigen, übertragbaren Krankheiten(bei in Wien Wohnenden: MA15, bzw. beiaußerhalb Wiens Wohnenden zuständigeBezirksverwaltungsbehörde)UE26: Bundesministerium für soziale Sicherheitund GenerationenUE27: Bewohnervertreter, gesetzliche Vertreter,selbstgewählter Vertreter, Vertrauensperson sowieder für die Namhaftmachung von SachwalternDST-Version O2000; V 2004/03 erstellt am 30.03.2010 15:22:25www.dsk.gv.at - dvr@dsk.gv.atgedruckt am :09.11.2011 16:56:00Bearbeiter: off10- 19 -Genehmigungsfreie Übermittlung aufgrund DSG 2000,§ 12 Abs.3 Z 6UE12: § 17 und § 38 Wiener Krankenanstaltengesetz1987 - Wr. KAG, LGBl. Nr. 1987/23 idgF ;Genehmigungsfreie Übermittlung aufgrund DSG 2000,§ 12 Abs.3 Z 6UE13: §§ 44ff, § 53 Wiener Krankenanstaltengesetz1987 - Wr. KAG, LGBl. Nr. 1987/23 idgF,Genehmigungsfreie Übermittlung aufgrund DSG 2000,§ 12 Abs. 3 Z 3 aufgrund bi- und multilateralerSozialversicherungsabkkommen; Für denEmpfängerkreis der Privatversicherungen wird eineZustimmungserklärung vom Betroffenen eingeholtUE14: § 38 (5) Wiener Krankenanstaltengesetz 1987 -Wr. KAG, LGBl. Nr. 1987/23 idgF,§ 26 (2) Z 3, § 31, § 41 (7) WSHG, LGBl. Nr. 11/1973idgFUE15: § 17 Abs. 4 Wiener Krankenanstaltengesetz1987 - Wr. KAG, LGBl. Nr. 1987/23 idgF,§§ 1295 ff. ABGBUE16: §§ 60 bis 62 KAGuG, BGBl. Nr. 1/57 idgF.,iVm. § 66 WrKAG, LGBl. 1987/23 idgF., NÖKrankenanstaltengesetz, Hauptstück F, LGBl. 9440/00idgFUE17: Zustimmungserklärung der Betroffenen oderindirekt personenbezogenUE18: §§ 10, 11-17 Bundesgesetz vom 1. März 1990über die Unterbringung psychisch Kranker inKrankenanstalten (Unterbringungsgesetz - UbG),BGBl. Nr. 155/1990 idgFUE19: Geschäftseinteilung für den Magistrat der StadtWien, § 13 Geschäftsordnung für den Magistrat derStadt Wien, UnternehmungsstatutUE20: Zustimmungserklärung der Betroffenen oderindirekt personenbezogenUE21: Zustimmungserklärung der Betroffenen oderindirekt personenbezogenUE22: § 26 Wiener Rettungs- undKrankentransportgesetz, LGBl. Nr. 2004/39 idgFUE23: § 41 (7) WSHG idgF, § 38 (5) WienerKrankenanstaltengesetz 1987 - Wr. KAG, LGBl. Nr.1987/23 idgFUE24: § 363 ASVGUE25: § 3 Epidemiegesetz 1950, BGBl. Nr. 186/1950idgF iVm Anzeigepflichtige übertragbare Krankheiten,2004, BGBl. II Nr. 254/2004 idgFTuberkulosegesetz, BGBl. Nr. 127/1968 idgFGeschlechtskrankheitengesetz, StGBl. Nr. 152/1945idgFUE26: §§ 2,3 AIDS-Gesetz 1993, BGBl. Nr. 728/93idgFUE27: §§ 7, 8 HeimAufG, BGBL. I Nr.11/2004 idgFAnhangSeite 117 von 125

- 20 -nach der Lage der Einrichtung örtlich zuständigeVereinUE28: Nichtöffentliches Register des IVF-Fondsbei der Gesundheit Österreich GmbH(Geschäftsbereich ÖBIG)UE29: Jugendwohlfahrtsträger (MA 11) zumZwecke der Meldung über Gewalt oderMissbrauch an einem Kind oder JugendlichenUE30: Sicherheitsbehörde im Falle einerPersonenfahndungUE31: Substitutionsregister (Bundesministeriumfür Gesundheit und Frauen)UE32: MA 15 (Physikalisch-TechnischePrüfanstalt für Radiologie und Elektromedizin)UE33: PrüfärztInnen klinischer Prüfungen (gemäßBundesgesetz vom 2. März 1983 über dasHerstellen und Inverkehrbringen vonArzneimitteln-Arzneimittelgesetz,Medizinproduktegesetz-MPG, Prüfung neuermed.Methoden, Forschung,genet.Untersuchungen, Studien)UE28: § 7 Abs. 5 IVF-Fonds-Gesetz, BGBl. Nr.180/1999 idgFUE29: § 37 Jugendwohlfahrtsgesetz (JWG) BGBl. Nr.53/1999§ 54 Ärztegesetz 1998 (ÄrzteG 1998) BGBl. 110/2001UE30: §24 Sicherheitspolizeigesetz-SPG idgF. (BGBl.I Nr. 566/1991)UE31: §24 Suchtmittelgesetz (SMG) idgF (BGBl. I112/1997; Suchtgiftverordnung (SV) idgF (BGBl I451/2006)UE32: §25 (8) Allg. Strahlenschutzverordnung(AllgStrSchV) idgF (BGBl I 191/2006)UE33: Zustimmungserklärung der BetroffenenDST-Version O2000; V 2004/03 erstellt am 30.03.2010 15:22:25www.dsk.gv.at - dvr@dsk.gv.atgedruckt am :09.11.2011 16:56:00Bearbeiter: off10AnhangSeite 118 von 125

- 21 -13. Geschäftszahl des Bescheides der Datenschutzkommission, mit welchem Auflagen gemäß § 21 Abs. 2DSG 2000 erteilt wurden (diese wird vom Register anlässlich der Registrierung eingetragen)GZ14. Geschäftszahl des Bescheides der Datenschutzkommission, mit dem gemäß § 13 DSG 2000 eineGenehmigung für den internationalen Datenverkehr erteilt wurdeGZ 178.122/6-DSK/00 Fa. Agilent Technologies (übernommen von Philips)15. Beilagen zur MeldungJFormblatt „Allgemeine Angaben zu ergriffenen Datensicherheitsmaßnahmen“ gemäß der Anlage 4 DVRVNachweis der besonderen Rechtsgrundlage für die gemeldete Datenanwendung, soweit sich diese nichtbereits aus der allgemeinen Rechtsgrundlage (z.B. Gewerbeberechtigung) des Auftraggebers ergibt (z.B.Nachweis der Zustimmung des Betriebsrates bei der Einführung von Maßnahmen zur Kontrolle derDienstnehmer im privaten Bereich)Begründung, weshalb ein Nachweis nicht erbracht werden muss:J Anzahl der Beilagen: 116. Bestätigung der Richtigkeit und Vollständigkeit der Angaben in dieser MeldungDatum, Unterschrift, StempelDST-Version O2000; V 2004/03 erstellt am 30.03.2010 15:22:25www.dsk.gv.at - dvr@dsk.gv.atgedruckt am :09.11.2011 16:56:00Bearbeiter: off10AnhangSeite 119 von 125

REPUBLIK ÖSTERREICHDATENSCHUTZKOMMISSIONDVR: 0000027Stand: 6. März 2004DatenverarbeitungsregisterA-1010 Wien, Hohenstaufengasse 3Tel. (01) 531 15 / 4043Fax: (01) 531 15 / 4016E-Mail: dvr@dsk.gv.at(Konzept)zur Meldungsabgabe der auftraggebenden Stelle bei der MA 26Meldung einer Datenanwendung (gemäß Anlage 2 DVRV 2002 BGBl. II Nr. 24/2002)(Für den Magistrat der Stadt Wien abgeändertes Formular / interner Gebrauch)Aufgabengebiet: 2 (wird durch MA26 vergeben)AG-Neu: 99 TB: PV DVR: 0000191(die Eingabefelder werden mit der Tab-Taste (⏐) verlassen)2. Name (sonstige Bezeichnung und Anschrift) des AuftraggebersKAV, Generaldirektion, Modecenterstrasse 16, 1030 Wien3. Telefon- und Faxnummer sowie E-Mail-Adressesiehe Sachbearbeiter4. Name und Telefonnummer des Sachbearbeiters beim Auftraggeber (für allfällige Rückfragen) bzw.Name, und Anschrift, Telefon- und Faxnummer sowie E-Mail-Adresse eines ZustellbevollmächtigtenSachbearbeiter: Dipl.Ing. Elisabeth-Edith Schlemmer, 40409/60432, elisabeth-edith.schlemmer@wienkav.atZustellungsbevollmächtigter:5. Anlass der Meldung5.1 Neumeldung einer Datenanwendung oder (bei Bedarf J eintragen)J5.2 Änderung einer Datenanwendung oder5.3 Streichung von Datenanwendungen (Falls nur die Streichung von Datenanwendungen gemeldet wird,sind nur die Punkte 1 – 6 dieses Formblattes auszufüllen und zu unterfertigen)6. Nähere Angaben:Im Falle 5.1 Bezeichnung und Zweck der Datenanwendung (die Va-Nr wird von der MA26 vergeben!):VA-Nr BezeichnungAnmerkung zur VerarbeitungIm Falle 5.2 Bezeichnung bzw. laufende Nummer der registrierten Datenanwendung(Änderungs-Dokumente sind mit den MA26-Daten der Datenanwendungen automatisch befüllt)VA-Nr BezeichnungV314 Zutritts- und Zugriffsberechtigungssystem inkl. Kontrollsystem (KAV)Anmerkung zur VerarbeitungBei dieser Änderungsmeldung sind in diesem Dokument in der Folge nur jene Felder zu ändern, auf die sich die Änderungder Datenanwendung bezieht! Die restlichen Daten bitte unverändert lassen! Mit der Änderungskennzeichnung vonWinword werden die Änderungen automatisch markiert!Im Falle 5.3 Bezeichnung bzw. laufende Nummer(n) der registrierten Datenanwendung(en) sowie Grund derStreichung(Va-Nummer der zu streichenden Datenanwendung eingeben)Datum, Unterschrift, StempelDST-Version O2000; V 2004/03 erstellt am 07.11.2007 08:16:44www.dsk.gv.at - dvr@dsk.gv.atgedruckt am :09.11.2011 17:02:00Bearbeiter: off10AnhangSeite 120 von 125

- 2 -7. Besondere Rechtsgrundlage(n) für die gemeldete Datenanwendung (soweit sich diese nicht bereits ausden allgemeinen Rechtsgrundlagen (z.B. der Gewerbeberechtigung) des Auftraggebers ergeben. Alsbesondere Rechtsgrundlage kommt beispielsweise der Nachweis der Zustimmung des Betriebsrates nachden Bestimmungen des Arbeitsverfassungsgesetzes in Betracht). ! Diese Rechtsgrundlagen müssen beieiner Neumeldung unbedingt angegeben werden!Um das folgende Tabellenfeld zu verlassen, benutzen Sie bitte 2 x Cursor ↓ anstatt der TAB-Taste (⏐) !§ 354 ABGB, § 14 DSG 2000, insbesondere § 14 (2) Z 4; § 96a Abs. 1 Z 1 Arbeitsverfassungsgesetz(ArbVG); § 9 Abs. 2 lit. f Personalvertretungsgesetz (PVG) BGBl. I Nr. 127/1999; §39 Abs. 2 WienerPersonalvertretungsgesetz (W-PVG) LGBl. 1985/498. Die gemeldete Datenanwendung gehört zumprivaten Bereich (z.B. die Tätigkeiten, für dieDaten verwendet werden, werden auf Grundeiner Gewerbeberechtigung ausgeübt)(bei Bedarf J eintragen)Jöffentlichen Bereich (z.B. die Datenanwendungerfolgt in Vollziehung der Gesetze)(bei Bedarf J eintragen)9. Die Datenanwendung erfolgtJautomationsunterstützt(bei Bedarf J eintragen)manuell(bei Bedarf J eintragen)10.1 Angaben zur Anwendbarkeit der Vorabkontrolle (§ 18 Abs. 2 DSG 2000)JJ10.1.1 Verwendung von sensiblen Daten10.1.2 Verwendung von strafrechtlich relevanten Daten10.1.3 Vorliegen eines Kreditinformationssystems10.1.4 Vorliegen eines Informationsverbundsystems(bei Bedarf J eintragen)10.2. Zusätzliche Angaben, falls die gemeldete Datenanwendung die Teilnahme an einem InformationsverbundsystemdarstelltBezeichnung des gesamten Informationsverbundsystems:Name (Bezeichnung) und Anschrift des Betreibers:Telefon- und Faxnummer und E-Mail-Adresse des Betreibers:Rechtsgrundlage für das gesamte Informationsverbundsystem(falls die gemeldete Datenanwendung die Teilnahme an einem Informationsverbundsystem darstellt und soweit sichdies nicht bereits aus Punkt 7. ergibt)Um das folgende Tabellenfeld zu verlassen, benutzen Sie bitte 2 x Cursor ↓ anstatt der TAB-Taste (⏐) !DST-Version O2000; V 2004/03 erstellt am 07.11.2007 08:16:44www.dsk.gv.at - dvrpost@bka.gv.atgedruckt am :09.11.2011 17:02:00Bearbeiter: off10AnhangSeite 121 von 125

11. Besondere Angaben zum Inhalt der Datenanwendung(Geben Sie bitte an, welche Daten Sie von den betroffenen Personengruppen im Rahmen dieser Datenanwendungverarbeiten und ordnen Sie diese bei der Weitergabe von Daten den jeweiligen Empfängerkreisen zu.)lfd.Zeile(Nr.)kannfreibleibenBetroffene Personengruppen:Zeilen können sie mit„Tabelle Zellen einfügen“nachträglich einfügen undmit „Tabelle Löschen“entfernenVereinsmitgliederDatenartenVerwenden Sie bitte für jeden Betroffenenkreis und fürjede Datenart eine eigene Tabellenzeile!Innerhalb der Tabelle bewegen sie sich mit der TAB-Taste (⏐); so fügen Sie auch neue Zeilen hinzu;Verlassen der Tabelle mit 2 x Cursor ↓(Dieses DVR-Formular wird außer für die Neuerfassung vonDVR-Verarbeitungen auch für die Änderung derselbenverwendet. In diesem Falle werden die Formulare automatischerstellt und im Intranet für Veränderungen angeboten. Dabeiwerden vor den Datenartenbezeichnungen Nummern vergeben,die mit D beginnen und 3 numerische Stellen haben. DieseNummern sind für ev. gewünschte Umreihungen der Datenarteninnerhalb eines Betroffenenkreises verwendbar. Werden beiEinfügungen von Datenarten (Tabellenzeilen hinzufügen) keineDatenartennummern vergeben, so werden diese Zeilen bei derDatenübernahme automatisch hinten im Betroffenenkreisangefügt. Beachten Sie bitte, dass bei Änderungen dieserNummer keine Duplikate entstehen bzw. dass diese Nummernformal richtig bleiben (Dnnn)!)nachfolgend ein Beispiel für eine Ersterfassung:Nummern der Empfängerkreiseaus Pkt. 12:(füllen Sie diese Spalte bitte erstaus, nachdem Sie Punkt 12ausgefüllt haben und übertragenSie dann bei jeder Datenart dieübermittelt wird, die Nummerdes Empfängerkreises ausPunkt 12 z.B. 01, 02)Name 01Anschrift 01, 02GeburtsdatumInteressentenDatenartengruppe: InteressentendatenName 01Datenartengruppe: ArbeitsgebietZeichnenSchnitzen...usw...geben Sie ab der nächsten Zeile Ihre Daten ein1 B01 Zutritts- undZugriffsberechtigte (z.B.Dienstnehmer, Schüler,Studierende, Zivildiener,Feuerwehr, etc.)2 D001 Name (Vor-, Nach-, Geburtsname, Titel) 01, 02, 03, 04, 05, 06, 07, 083 D002 Personalnummer 01, 03, 04, 05, 06, 07, 084 D003 Erreichbarkeit 05, 06, 07, 085 D004 Dienststelle 01, 02, 03, 04, 05, 06, 07, 086 D005 Biometrische Merkmale (z.B. Fingerprint) 05, 06, 07, 087 D006 Kennkartennummer bzw.01, 02, 03, 04, 05, 06, 07, 08Schlüsselnummer8 D007 EDV-Arbeitsplatzerkennung 05, 06, 07, 089 D008 Berechtigungsumfang (Zutrittseinheit, Zeit, 01, 02, 03, 04, 05, 06, 07, 08Zugrifffsumfang, Vidierungsberechtigung etc.)10 D009 Technische Identität (z.B. Username) 05, 06, 07, 0811 D010 Digitale Signatur 05, 06, 07, 0812 D011 Anforderung (einschließlich05, 06, 07, 08Berechtigungsumfang undAnforderungsberechtigungsnachweis)13 D012 Zugriffsprotokolldaten (Zutrittszeitpunkt, 01, 02, 03, 04, 05, 06, 07, 08Benutzer etc.)14 D013 Berechtigungslisten (inkl. Systemdaten) 05, 06, 07, 0815 Datenartengruppe: Videoaufzeichnung zumSchutz 1.d. IKT-Anlagen vor Diebstahl,Beschädigung, Einbruch, 2.d. gespeichertenDaten, 3.d. Sicherheit u. Gesundheitzutrittsberechtigter Personen; zur Vorbeugung u.Feststellung gerichtl. strafbarer Tatbestände16 D014 Zeitpunkt der Bildaufzeichnung (Datum,Zeit)03, 0417 D015 Lokalisation der Bildaufzeichnung03, 04(Installationsort der Kamera)18 D016 Inhaltsdaten der Bildaufzeichnung 03, 04DST-Version O2000; V 2004/03 erstellt am 07.11.2007 08:16:44www.dsk.gv.at - dvr@dsk.gv.atgedruckt am :09.11.2011 17:02:00Bearbeiter: off10AnhangSeite 122 von 125

- 4 -19 D017 Protokolldaten der Zugriffe20 B02 KAV-externePersonen (z.B.Bundesbedienstete,Dienstleister undLeasingpersonal mitDienstleisterverträgen,etc.)21 D001 Name (Vor-, Nach-, Geburtsname, Titel) 04, 05, 06, 07, 0822 D002 Erreichbarkeit 04, 05, 06, 07, 0823 D003 Dienststelle 04, 05, 06, 07, 0824 D004 Biometrische Merkmale (z.B. Fingerprint) 04, 05, 06, 07, 0825 D005 Kennkartennummer bzw.04, 05, 06, 07, 08Schlüsselnummer26 D006 EDV-Arbeitsplatzerkennung 04, 05, 06, 07, 0827 D007 Berechtigungsumfang bzw. Zutrittseinheit 04, 05, 06, 07, 08je nach Dienstleistervertrag28 D008 Technische Identität (z.B. Username) 04, 05, 06, 07, 0829 D009 Digitale Signatur 04, 05, 06, 07, 0830 D010 Anforderung (einschließlich04, 05, 06, 07, 08Berechtigungsumfang undAnforderungsberechtigungsnachweis)31 D011 Zugriffsprotokolldaten (Zutrittszeitpunkt, 04, 05, 06, 07, 08Benutzer etc.)32 D012 Berechtigungslisten (inkl. Systemdaten) 04, 05, 06, 07, 0833 D013 Dienstleisterfirma 04, 05, 06, 07, 0834 Datenartengruppe: Videoaufzeichnung zumSchutz 1.d. IKT-Anlagen vor Diebstahl,Beschädigung, Einbruch, 2.d. gespeichertenDaten, 3.d. Sicherheit u. Gesundheitzutrittsberechtigter Personen; zur Vorbeugung u.Feststellung gerichtl. strafbarer Tatbestände35 D014 Zeitpunkt der Bildaufzeichnung (Datum,Zeit)03, 0436 D015 Lokalisation der Bildaufzeichnung03, 04(Installationsort der Kamera)37 D016 Inhaltsdaten der Bildaufzeichnung 03, 0438 D017 Protokolldaten der Zugriffe39 B03 Im AnlassidentifizierbarePersonen, die sich inden videoüberwachtenBereichen desAuftraggebers zu einemZeitpunkt aufgehaltenhaben, in dem sich eingerichtlich strafbarerSachverhalt ereignet hat40 Datenartengruppe: Videoaufzeichnung zumSchutz 1.d. IKT-Anlagen vor Diebstahl,Beschädigung, Einbruch, 2.d. gespeichertenDaten, 3.d. Sicherheit u. Gesundheitzutrittsberechtigter Personen; zur Vorbeugung u.Feststellung gerichtl. strafbarer Tatbestände41 D001 Zeitpunkt der Bildaufzeichnung (Datum,Zeit)03, 0442 D002 Lokalisation der Bildaufzeichnung03, 04(Installationsort der Kamera)43 D003 Inhaltsdaten der Bildaufzeichnung 03, 0444 D004 Protokolldaten der Zugriffe 03, 04DST-Version O2000; V 2004/03gedruckt am :09.11.2011 17:02:00www.dsk.gv.at - dvr@dsk.gv.atBearbeiter: off10AnhangSeite 123 von 125

- 5 -12. Beabsichtigte Übermittlungen aus dieser DatenanwendungAn wen (Empfängerkreis) und auf Grund welcher Rechtsgrundlage werden verarbeitete Daten übermittelt?Werden Daten an Empfänger im Ausland weitergegeben, ist zusätzlich der Empfängerstaat anzuführen.Falls die Datenanwendung die Teilnahme an einem Informationsverbundsystem darstellt, ist anzugeben, welcheteilnehmenden Auftraggeber dem gleichen Informationsverbundsystem angehören.Versehen Sie bitte für die Zuordnung der Übermittlungen (in der letzten Spalte des Pkt. 11) jeden Empfängerkreis mit einerfortlaufenden Nummer.Nummer und Bezeichnung des EmpfängerkreisesVerwenden Sie bitte für jede Übermittlung eine eigeneTabellenzeile!IInnerhalb der Tabelle bewegen sie sich mit der TAB-Taste(⏐);so fügen Sie auch neue Zeilen hinzu; Verlassen der Tabellemit 2 x Cursor ↓UE01: Bundesministerium für Wissenschaft und VerkehrUE02: Dachverband des Vereines...geben Sie Ihre Daten ab der nächsten Zeile einUE01: Mit dienstrechtlichen Konsequenzenbefasste Organisationseinheiten im Falle einesbegründeten Verdachtes eines Missbrauchs durchden Karteninhaber (Übermittlung in dasAufgabengebiet 4 "Personalverwaltung undPersonalverrechnung")UE02: Dienstgeber von Karteninhabern im Falleeines begründeten Verdachtes eines Missbrauchsdurch den KarteninhaberUE03: Personalvertretung (nur lesender Zugriff imFalle einer Auswertung von Bilddaten einesMagistratsbediensteten nach dem 4-Augen-Prinzip)UE04: Sicherheitsbehörden , Staatsanwälte,Gerichte, zum Zwecke der Aufklärung vonstrafrechtlichen Delikten durch Lieferung vonBeweismittelnUE05: Rechnungshof zum Zwecke derGebarungskontrolle, Wirtschaftlichkeits- undZweckmäßigkeitsprüfungUE06: Kontrollamt zum Zwecke derGebarungskontrolleUE07: Magistratsdirektion-Interne Revision imRahmen einer themenbezogenen internenRevisionUE08: Krankenanstaltenverbund-Interne Revisionim Rahmen einer themenbezogenen internenRevisionRechtsgrundlage für die ÜbermittlungBeachten Sie bitte, dass bei Neumeldungen die Rechtsgrundlagefür eine Übermittlung unbedingt anzugeben ist!nachfolgend ein Beispiel:UE01: § 16 Abs. 5 FührerscheingesetzUE02: § nn des VereinsgesetzesUE01: § 6 (1) Dienstordnung 1994, LGBl für Wien1994/56 idgF, bzw. § 34 (1)Vertragsbedienstetenordnung 1995, LGBl für Wien1995/50 idgF;§ 91 (4) Wiener Staftverfassung, LGBl für Wien1968/28 idgF, in Verbindung mit § 13Geschäftsordnung für den Magistrat der Stadt Wien(GOM), ABl 1966/98 idgFUE02: rechtliche Befugnis des Dienstgebers zurVerfolgung von Ansprüchen aus demArbeitsverhältnis, welche sich aus dem Missbrauchdes Karteninhabers ergeben (§ 7 (2) iVm § 8 (3) Z 4DSG 2000)UE03: § 39 Wiener Personalvertretungsgesetz (W-PVG), LGBl für Wien 1985/49 idgF, insbesonder § 39(2) Z 1 W-PVGUE04: §§ 24, 26, 36, 84, 86 und 88Strafprozessordnung (StPO) iVm., § 7 DSG 2000;§ 53 Sicherheitspolizeigesetz (SPG) Abs. 5 iVm §14DSG 2000UE05: Art 22, 127, 127a B-VG, BGBl Nr 1/1930 (WV)idgFUE06: § 73 Wiener Stadtverfassung , LGBl Nr28/1968 (Wv) idgFUE07: GEMUE08: § 13 GOM, UnternehmungsstatutDST-Version O2000; V 2004/03gedruckt am :09.11.2011 17:02:00www.dsk.gv.at - dvr@dsk.gv.atBearbeiter: off10AnhangSeite 124 von 125

- 6 -13. Geschäftszahl des Bescheides der Datenschutzkommission, mit welchem Auflagen gemäß § 21 Abs. 2DSG 2000 erteilt wurden (diese wird vom Register anlässlich der Registrierung eingetragen)GZ14. Geschäftszahl des Bescheides der Datenschutzkommission, mit dem gemäß § 13 DSG 2000 eineGenehmigung für den internationalen Datenverkehr erteilt wurdeGZ15. Beilagen zur MeldungJFormblatt „Allgemeine Angaben zu ergriffenen Datensicherheitsmaßnahmen“ gemäß der Anlage 4 DVRVNachweis der besonderen Rechtsgrundlage für die gemeldete Datenanwendung, soweit sich diese nichtbereits aus der allgemeinen Rechtsgrundlage (z.B. Gewerbeberechtigung) des Auftraggebers ergibt (z.B.Nachweis der Zustimmung des Betriebsrates bei der Einführung von Maßnahmen zur Kontrolle derDienstnehmer im privaten Bereich)Begründung, weshalb ein Nachweis nicht erbracht werden muss:J Anzahl der Beilagen: 216. Bestätigung der Richtigkeit und Vollständigkeit der Angaben in dieser MeldungDatum, Unterschrift, StempelDST-Version O2000; V 2004/03gedruckt am :09.11.2011 17:02:00www.dsk.gv.at - dvr@dsk.gv.atBearbeiter: off10AnhangSeite 125 von 125