Jeder für das ZMR abfrageberechtigte Mitarbeiter muss über die gesetzlichen Bestimmungen belehrt werden. Im einzelnen sind dies
- §15 Datenschutzgesetz 2000
- Meldegesetz-Durchführungsverordnung
§ 15 Datenschutzgesetz 2000
§ 15. (1) Auftraggeber, Dienstleister und ihre Mitarbeiter - das sind Arbeitnehmer (Dienstnehmer) und Personen in einem arbeitnehmerähnlichen (dienstnehmerähnlichen) Verhältnis - haben Daten aus Datenanwendungen, die ihnen ausschließlich auf Grund ihrer berufsmäßigen Beschäftigung anvertraut wurden oder zugänglich geworden sind, unbeschadet sonstiger gesetzlicher Verschwiegenheitspflichten, geheim zu halten, soweit kein rechtlich zulässiger Grund für eine übermittlung der anvertrauten oder zugänglich gewordenen Daten besteht (Datengeheimnis).
(2) Mitarbeiter dürfen Daten nur auf Grund einer ausdrücklichen Anordnung ihres Arbeitgebers (Dienstgebers) übermitteln. Auftraggeber und Dienstleister haben, sofern eine solche Verpflichtung ihrer Mitarbeiter nicht schon kraft Gesetzes besteht, diese vertraglich zu verpflichten, daß sie Daten aus Datenanwendungen nur auf Grund von Anordnungen übermitteln und das Datengeheimnis auch nach Beendigung des Arbeits (Dienst) verhältnisses zum Auftraggeber oder Dienstleister einhalten werden.
(3) Auftraggeber und Dienstleister dürfen Anordnungen zur übermittlung von Daten nur erteilen, wenn dies nach den Bestimmungen dieses Bundesgesetzes zulässig ist. Sie haben die von der Anordnung betroffenen Mitarbeiter über die für sie geltenden übermittlungsanordnungen und über die Folgen einer Verletzung des Datengeheimnisses zu belehren.
(4) Unbeschadet des verfassungsrechtlichen Weisungsrechts darf einem Mitarbeiter aus der Verweigerung der Befolgung einer Anordnung zur Datenübermittlung wegen Verstoßes gegen die Bestimmungen dieses Bundesgesetzes kein Nachteil erwachsen.
§ 1-15 Meldegesetz-Durchführungsverordnung - MeldeV (Fassung lt. BGBl II Nr 247 2004), Auszug
Begriffsbestimmungen
§ 1. Im Sinne dieser Verordnung sind:
1. Betreiber: der Bundesminister für Inneres;
2. Abfrageberechtigte: unter Z 3 und 4 Genannte, denen gemäß § 16a Abs. 4 oder Abs. 5 MeldeG eine Abfrageberechtigung im Zentralen Melderegister (ZMR) eingeräumt wurde;
3. abfrageberechtigte Stellen: Organe von Gebietskörperschaften, Gemeindeverbände, Gerichtskommissäre im Sinne des Gerichtskommissärsgesetzes, BGBl. Nr. 343/1970, und Sozialversicherungsträger, denen gemäß § 16a Abs. 4 MeldeG eine Abfrageberechtigung im Zentralen Melderegister im Datenfernverkehr eingeräumt wurde;
4. sonstige Abfrageberechtigte: andere als unter Z 3 genannte Körperschaften des öffentlichen Rechts sowie andere Personen, denen gemäß § 16a Abs. 5 MeldeG eine Abfrageberechtigung im Zentralen Melderegister im Datenfernverkehr eingeräumt wurde;
5. Zugriffsberechtigte: Menschen, denen der physische Zugriff auf die im ZMR verarbeiteten Daten eingeräumt wurde.
Belehrungspflicht
§ 2. Meldebehörden und Abfrageberechtigte haben sicherzustellen, dass Zugriffe auf das ZMR nur erfolgen, wenn die Zugriffsberechtigten über die Bestimmungen gemäß § 15 Datenschutzgesetz 2000, BGBl. I Nr. 165/1999, und den Inhalt dieser Verordnung belehrt wurden.
Verantwortlicher
§ 3. (1) Meldebehörden und Abfrageberechtigte haben dem Betreiber zumindest einen Verantwortlichen für die Datensicherheitsmaßnahmen im Rahmen der Datenverarbeitung für das ZMR zu benennen.
(2) Als Verantwortlicher können auch Dienstleister in Anspruch genommen und benannt werden.
Zugriffsberechtigung
§ 4. (1) Soweit ein gemäß § 3 benannter Verantwortlicher nicht vom Betreiber ermächtigt wird, Zugriffsberechtigungen zu erteilen, werden diese vom Betreiber vergeben; die Ermächtigung kann an die Erfüllung von Auflagen und Bedingungen gebunden werden.
((2) Sofern der Verantwortliche zur Erteilung von Zugriffsberechtigungen gemäß Abs. 1 ermächtigt worden ist, hat er für seinen Zuständigkeitsbereich die Zugriffsberechtigungen für das ZMR für die einzelnen Zugriffsberechtigten individuell zuzuweisen und dem Betreiber auf Verlangen Zugriff auf ihre Verzeichnisse der Zugriffsberechtigten im Wege des Datenfernverkehrs zu gewähren.
Datensicherheitsmaßnahmen
§ 5. (1) Der gemäß § 3 benannte Verantwortliche hat nach Maßgabe des jeweiligen Standes der Technik und der organisatorischen Möglichkeiten den Zugriffsschutz zu personenbezogenen Daten und die erforderlichen Datensicherheitsmaßnahmen zu organisieren und umzusetzen. Er hat insbesondere die Zuständigkeiten und Regeln für die Programmverwaltung für das ZMR oder für die Abfrage aus dem ZMR in seinem Bereich festzulegen sowie die Voraussetzungen für den physischen Zugriff auf die Daten des ZMR in seinem Zuständigkeitsbereich zu schaffen.
(2) Abfrageberechtigte Stellen, bei denen ein Verantwortlicher zur Erteilung von Zugriffsberechtigungen ermächtigt wurde, und Meldebehörden haben dafür zu sorgen, dass für den Bereich der Systeme, über die der Zugang zum ZMR erfolgen soll, eine nach den Vorgaben des Betreibers zu gestaltende Datensicherheitsvorschrift, in der die für den Betrieb des ZMR oder für Abfragen aus diesem erforderlichen Datensicherheitsmaßnahmen anzuordnen sind, erlassen wird.
(3) über die getroffenen Datensicherheitsmaßnahmen sind Aufzeichnungen zu führen, die mindestens drei und höchstens sechs Jahre nach Ablauf von deren Gültigkeit aufzubewahren sind.
Antrag auf Einräumung der Abfrageberechtigung
§ 6. (1) Ein Antrag gemäß § 16a Abs. 5 MeldeG ist im Wege des Verantwortlichen an den Betreiber zu richten.
(2) Ein Antrag gemäß Abs. 1 hat überdies den Hinweis zu enthalten, dass die beantragende Stelle die notwendigen technischen und organisatorischen Vorgaben des Betreibers für die Einräumung einer Abfrageberechtigung zustimmend zur Kenntnis genommen hat, die dieser allgemein zugänglich zur Verfügung stellt.
Abfrage durch sonstige Abfrageberechtigte
§ 6a. Bei einer Abfrage durch sonstige Abfrageberechtigte(§ 1 Z4) haben diese zumindest einen Vornamen, den Familiennamen sowie mindestens ein weiteres Merkmal, wie etwa das wirtschaftsbereichsspezifische Personenkennzeichen (§14 E-GovG), Geburtsdatum, Geburtsort oder einen bisherigen Wohnsitz einzugeben. Eine Auskunft darf nur erteilt werden, wenn der gesuchte Mensch durch die eingegebenen Merkmale im Hinblick auf alle im ZMR gespeicherten Gesamtdatensätze eindeutig bestimmt werden kann.
Entzug der Zugriffsberechtigung oder der Abfrageberechtigung
§ 7. (1) Zugriffsberechtigte sind vom jeweils benannten Verantwortlichen von der weiteren Benutzung auf Dauer oder für eine bestimmte Zeit von der Ausübung ihrer Zugriffsberechtigung auszuschließen, wenn
1. sie diese zur weiteren Erfüllung der ihnen übertragenen Aufgaben nicht mehr benötigen oder
2. sie die Daten nicht entsprechend den für den Betrieb des ZMR maßgeblichen Bestimmungen verwenden.
(2) Unter den in Abs. 1 Z 2 genannten Voraussetzungen kann auch der Betreiber einen Zugriffsberechtigten von der weiteren Benutzung ausschließen oder dies anordnen.
(3) Der Entzug der Abfrageberechtigung richtet sich nach § 16a Abs. 7 MeldeG.
Zutritt zu Räumen
§ 8. (1) Meldebehörden und Abfrageberechtigte haben durch organisatorische und technische Vorkehrungen sicherzustellen, dass der Zutritt zu Räumen, in denen sich eine Zugriffsmöglichkeit auf das ZMR befindet, grundsätzlich nur von in ihrem Auftrag Tätigen möglich ist.
(2) Ist es erforderlich, dass in Räumen mit einer Zugriffsmöglichkeit auf das ZMR Parteienverkehr stattfindet, ist jedenfalls sicherzustellen, dass eine Einsichtnahme in die Daten des ZMR durch Außenstehende nicht möglich ist.
(3) Mitgliedern der Datenschutzkommission, des Datenschutzrates sowie dem Betreiber ist nach erfolgter Ausweisleistung der Zutritt zu gewähren, sofern sie im dienstlichen Auftrag tätig werden. Auf Verlangen sind die für deren Aufgabenerfüllung erforderlichen Auskünfte zu erteilen.
(4) Nähere Bestimmungen über den Zutritt, insbesondere auch Regelungen über den Zutritt anderer als der in Abs. 1 bis 3 genannten Personen und dessen Dokumentation sind in einer Datensicherheitsvorschrift (§ 5) zu treffen.
(5) Die Abs. 3 und 4 finden - unbeschadet anderer bundesgesetzlicher Regelungen - auf sonstige Abfrageberechtigte keine Anwendung. Für abfrageberechtigte Stellen gilt Abs. 3 nur, wenn ein von ihnen benannter Verantwortlicher zur Erteilung von Zugriffsberechtigungen ermächtigt wurde.
Technische Vorkehrungen
§ 9. (1) Für den Verbindungsaufbau zum ZMR dürfen nur Geräte zum Einsatz kommen, die dafür über ein vom Betreiber anerkanntes Protokoll kommunizieren. Meldebehörden haben überdies vom Betreiber zur Verfügung gestellte Software-Zertifikate zu verwenden. Diese Software-Zertifikate sind Schlüssel, die den Zugang zum ZMR über dezentrale Systeme eröffnen und jedes zugriffsberechtigte System eindeutig identifizieren. Anstelle von Arbeitsplatz-Systemen kann mit einem vom Betreiber anerkannten Zertifikat auch ein Gateway-System authentifiziert werden, das sich in der Verfügung des Anwenders oder eines von ihm beauftragten Dienstleisters befindet; eine solche Authentifizierung ohne Arbeitsplatzzertifikat ist nur zulässig, wenn im Bereich des Gatewaybetreibers zwischen die-sem und den über ihn zugreifenden Datenendgeräten vom Betreiber als sicher anerkannte Verbindungen bestehen, wie dies etwa bei einem geschlossenen Netzwerk der Fall ist.
(2) Es ist sicherzustellen, dass der Zugriff auf das ZMR nur nach geeigneter Identifikation des Zugriffsberechtigten möglich ist. Kennwörter sind jedenfalls geheim zu halten und müssen nach Maßgabe der technischen Möglichkeiten in periodischen Zeitabständen geändert werden.
(3) Wird ein Gerät, das den Zugang zum ZMR ermöglicht, aus dem bisherigen Arbeitsbereich entfernt, ist sicherzustellen, dass eine unberechtigte Verwendung ausgeschlossen ist; insbesondere ist das auf dem jeweiligen Gerät allenfalls installierte Zertifikat zu entfernen.
(4) Es ist sicherzustellen, dass nach den Vorgaben des Betreibers geeignete, dem jeweiligen Stand der Technik entsprechende Vorkehrungen getroffen werden, um eine Vernichtung oder Veränderung der Daten sowie eine Abfrage aus dem ZMR durch Zugriffe unberechtigter Menschen oder Systeme zu verhindern.
Kontrolle durch den Betreiber
§ 10. Der Betreiber kann im Zusammenwirken mit der Meldebehörde durch Stichproben überprüfen, ob die Verwendung der Daten des ZMR im dortigen Bereich den einschlägigen Bestimmungen entsprechend erfolgt und die erforderlichen Datensicherheitsmaßnahmen ergriffen worden sind.
Dienstleister
§ 11. Bedienen sich Meldebehörden oder Abfrageberechtigte für den Datenverkehr mit dem Zentralen Melderegister eines Dienstleisters, haben sie diesen zur Einhaltung aller datenschutzrechtlichen Bestimmungen und zur Ergreifung der in dieser Verordnung vorgesehenen Datensicherheitsmaßnahmen zu verpflichten.
Mitteilungen an den Betreiber
&§ 12. Meldebehörden und Abfrageberechtigte haben dem Betreiber unverzüglich mitzuteilen:
1. Veränderungen im Bereich des auf das ZMR zugriffsberechtigten Personals (einschließlich der änderungen gemäß § 7), sofern ihnen nicht die Erteilung von Zugriffsberechtigungen gemäß § 4 übertragen wurde,
2. die Inanspruchnahme, den Wechsel oder das Ausscheiden eines Dienstleisters oder
3. das Auftreten von Programmstörungen, die den Datenbestand gefährden können.
Dokumentation
§ 13. Soweit sich aus der Datenverarbeitung selbst oder einen allenfalls beim Datenverkehr mit dem ZMR bekannt zu gebenden Bezug nicht die Nachvollziehbarkeit der Verwendungsvorgänge ergibt, sind Aufzeichnungen zu führen, die die Zulässigkeit der tatsächlich im Bereich des ZMR durchgeführten Verwendungsvorgänge im notwendigen Ausmaß überprüfbar machen.
Kosten der Abfrageberechtigung
§ 14. (1) Sonstige Abfrageberechtigte haben dem Betreiber für die Eröffnung der Abfrageberechtigung jährlich einen pauschalen Kostenersatz in der Höhe von 1 000 € zu leisten.
(2) Der Kostenersatz gemäß Abs.1 entfällt im Falle der Inanspruchnahme eines Dienstleisters (§3 Abs.2), wenn dieser in der Lage ist, diese Dienstleistung für mindestens 100 Auftraggeber gleichzeitig zu erbringen.
(3) Der Kostenersatz gemäß Abs. 1 ist innerhalb der ersten drei Monate eines jeden Verrechnungsjahres zu entrichten; das erste Verrechnungsjahr beginnt mit Eröffnung der Abfrageberechtigung.
Verwaltungsabgaben
§ 15. (1) Für die Erteilung einer Auskunft aus dem ZMR im Wege des Datenfernverkehrs haben abfrageberechtigte Stellen - soweit es sich nicht um die Erfüllung der sich aus § 16a Abs. 9 MeldeG ergebenden Verpflichtungen handelt - eine Verwaltungsabgabe in der Höhe von 1 € an den Betreiber zu entrichten.
(2) Für die Erteilung einer Auskunft aus dem ZMR im Wege des Datenfernverkehrs haben sonstige Abfrageberechtigte eine Verwaltungsabgabe in der Höhe von 3 € zu entrichten. Sonstigen Abfrageberechtigten, die auch zur Vollziehung von Gesetzen berufen sind (Beliehene), kann über Antrag an Stelle der Vorschreibung der Verwaltungsabgabe in jedem Einzelfall eine Gesamtsumme für alle Abfragen innerhalb eines Quartals vorgeschrieben werden, wobei pro Abfrage ein Rechenwert von 1 € zu veranschlagen ist.
(3) Für Meldeauskünfte gemäß § 18 Abs. 1 MeldeG und für Meldebestätigungen gemäß § 19 Abs. 2 MeldeG, die unter Inanspruchnahme des ZMR erteilt werden, sind Verwaltungsabgaben in der Höhe von 3 € zu entrichten. Für eine Meldeauskunft gemäß § 18 Abs. 1a MeldeG ist eine Verwaltungsabgabe in der Höhe von 3 € an den Betreiber zu entrichten.
(3a) Für eine mit Amtssignatur elektronisch signierte Meldebestätigung gemäß §17 Abs.3 Z2 E-GovG ist eine Verwaltungsabgabe in der Höhe von 3 € an den Betreiber zu entrichten.
(4) Die in § 16a Abs. 8 MeldeG vorgesehene Befreiung von der Entrichtung der Verwaltungsabgabe gemäß Abs. 1 für Organe der Sicherheitsbehörden und Gemeinden bleibt unberührt.
(5) Handelt es sich bei abfrageberechtigten Stellen um Organe der Länder fällt die Verwaltungsabgabe gemäß Abs.1 nicht an, wenn das jeweilige Land an den Betreiber einen Pauschalbetrag entrichtet. Der Betrag beträgt jährlich 0,02 € pro Einwohner des Landes. Die Einwohnerzahl bestimmt sich nach dem Ergebnis der letzten Volkszählung. Der Betrag ist jeweils im ersten Quartal für das laufende Kalenderjahr zu entrichten. |
Home