BGBl II 107/2018

107. Verordnung der Bundesregierung, mit der eine Pflichtenaufteilungsverordnung erlassen und die IKT-Nutzungsverordnung geändert wird

Artikel I

Verordnung der Bundesregierung über die Aufteilung der Pflichten gemeinsam Verantwortlicher nach den Bestimmungen der Datenschutz-Grundverordnung für standardisierte IKT-Lösungen und IT-Verfahren des Personalmanagements des Bundes (Pflichtenaufteilungsverordnung - PAV)

Auf Grund des § 280b Abs. 2 des Beamten-Dienstrechtsgesetzes 1979 - BDG 1979, BGBl. Nr. 333/1979, zuletzt geändert durch das Materien-Datenschutz-Anpassungsgesetz 2018, BGBl. I Nr. 32/2018, wird verordnet:

Gegenstand

§ 1. Diese Verordnung regelt die Aufteilung der Pflichten für Bereiche, in denen die Leiterinnen und Leiter der Zentralstellen jeweils mit der Bundeskanzlerin oder dem Bundeskanzler oder mit der Bundeskanzlerin oder dem Bundeskanzler und der Bundesministerin oder dem Bundesminister für öffentlichen Dienst und Sport gemeinsam Verantwortliche gemäß Art. 4 Z 7 in Verbindung mit Art. 26 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (im Folgenden: DSGVO), ABl. Nr. L 119 vom 04.05.2016 S. 1, in der Fassung der Berichtigung ABl. Nr. L 314 vom 22.11.2016 S. 72, sind, soweit standardisierte IKT-Lösungen und IT-Verfahren für das Personalmanagement des Bundes zur Anwendung gelangen.

Informationsaustausch

§ 2. Gemeinsam Verantwortliche haben einander folgende Informationen bekannt zu geben:

1. 1. Name und Kontaktdaten des Verantwortlichen,
2. 2. Name und Kontaktdaten der Vertreterin oder des Vertreters des Verantwortlichen,
3. 3. Name und Kontaktdaten der oder des Datenschutzbeauftragten und
4. 4. Bezeichnung und Kontaktdaten der innerorganisatorisch zuständigen Stelle, der personenbezogene Daten und besondere Kategorien personenbezogener Daten im Zusammenhang mit der Geltendmachung von Rechten betroffener Personen sowie sonstige Informationen zur Erfüllung der rechtlichen Verpflichtungen oder der Geltendmachung von Rechten gemäß DSGVO übermittelt werden dürfen.

Aufteilung der Pflichten gemäß DSGVO

§ 3. (1) Die sich aus der DSGVO ergebenden Pflichten, insbesondere im Zusammenhang mit den Rechten der betroffenen Personen, sind, soweit diese Verordnung nicht ausdrücklich anderes regelt, von der Leiterin oder dem Leiter der Zentralstelle wahrzunehmen, die oder der mit der Bundeskanzlerin oder dem Bundeskanzler gemeinsam Verantwortlicher ist.

(2) Die Bundeskanzlerin oder der Bundeskanzler richtet im ESS-Serviceportal des Bundes einen Bereich zur Information gemäß DSGVO ein. Sie oder er erfüllt die Informationspflichten gemäß DSGVO in Bezug auf jene Personen in einem aktiven Rechtsverhältnis gemäß § 280 Abs. 1 Beamten-Dienstrechtsgesetz 1979 - BDG 1979, BGBl. Nr. 333/1979, die am 25. Mai 2018 einen aktivierten Zugang zum ESS-Serviceportal des Bundes haben und nicht von § 5 Abs. 3 Bundespensionsamtübertragungs-Gesetz, BGBl. I Nr. 89/2006, erfasst sind (Erstinformation). Insbesondere sind Personen, die am 25. Mai 2018 in keinem aktiven Rechtsverhältnis gemäß § 280 Abs. 1 BDG 1979 standen oder Personen, die am 25. Mai 2018 keinen aktivierten Zugang zum ESS-Serviceportal des Bundes hatten, von der Leiterin oder dem Leiter der Zentralstelle zu informieren, die oder der mit der Bundeskanzlerin oder dem Bundeskanzler gemeinsam Verantwortlicher ist.

(3) Macht eine betroffene Person ihre Rechte gemäß DSGVO geltend, so haben dies die gemeinsam Verantwortlichen einander unverzüglich mitzuteilen. Erforderlichenfalls haben gemeinsam Verantwortliche einander bei der Erfüllung der Pflichten gemäß DSGVO zu unterstützen.

(4) Die Bundeskanzlerin oder der Bundeskanzler hat der Leiterin oder dem Leiter der Zentralstelle, die mit der Bundeskanzlerin oder dem Bundeskanzler gemeinsam Verantwortlicher ist, in Bezug auf die in den IKT-Lösungen und IT-Verfahren für das Personalmanagement des Bundes verarbeiteten personenbezogenen Daten oder besonderen Kategorien personenbezogener Daten standardisierte Berichte und Abfragen für die Erfüllung der Pflichten gemäß DSGVO zur Verfügung zu stellen. Die Bundeskanzlerin oder der Bundeskanzler hat die Leiterin oder den Leiter der jeweiligen Zentralstelle nach Bekanntgabe der durchgeführten standardisierten Berichte und Abfragen in Bezug auf die in den IKT-Lösungen und IT-Verfahren für das Personalmanagement des Bundes über die Vollständigkeit der darin enthaltenen personenbezogenen Daten und besonderen Kategorien personenbezogener Daten zu informieren. Soweit diese Daten einer betroffenen Person nicht vollständig aus den durchgeführten standardisierten Berichten und Abfragen hervorgehen, hat die Bundeskanzlerin oder der Bundeskanzler der Leiterin oder dem Leiter der jeweiligen Zentralstelle diese Daten zur Verfügung zu stellen.

Aufteilung der Pflichten gemäß DSGVO im Bereich Bewerbungsmanagement und Jobbörse

§ 4. (1) Die sich aus der DSGVO ergebenden Pflichten, insbesondere im Zusammenhang mit den Rechten der betroffenen Personen, sind, soweit diese Verordnung nicht ausdrücklich anderes regelt, von der Leiterin oder dem Leiter der Zentralstelle wahrzunehmen, die oder der mit der Bundeskanzlerin oder dem Bundeskanzler und der Bundesministerin oder dem Bundesminister für öffentlichen Dienst und Sport gemeinsam Verantwortlicher ist.

(2) Die Bundesministerin oder der Bundesminister für öffentlichen Dienst und Sport erstellt für das Bewerbungsmanagement und die Jobbörse eine Information, die bei der Registrierung als Bewerberin oder Bewerber aufscheint und die Informationspflichten gemäß DSGVO erfüllt.

(3) Macht eine betroffene Person ihre Rechte gemäß DSGVO geltend, so haben dies die gemeinsam Verantwortlichen einander unverzüglich mitzuteilen. Erforderlichenfalls haben gemeinsam Verantwortliche einander bei der Erfüllung der Pflichten gemäß DSGVO zu unterstützen.

(4) Die Bundeskanzlerin oder der Bundeskanzler hat der Leiterin oder dem Leiter der Zentralstelle, die mit der Bundeskanzlerin oder dem Bundeskanzler und der Bundesministerin oder dem Bundesminister für öffentlichen Dienst und Sport gemeinsam Verantwortlicher ist, in Bezug auf die in den IKT-Lösungen und IT-Verfahren für das Personalmanagement des Bundes verarbeiteten personenbezogenen Daten oder besonderen Kategorien personenbezogener Daten standardisierte Berichte und Abfragen für die Erfüllung der Pflichten gemäß DSGVO zur Verfügung zu stellen. Die Bundeskanzlerin oder der Bundeskanzler hat die Leiterin oder den Leiter der jeweiligen Zentralstelle und die Bundesministerin oder den Bundesminister für öffentlichen Dienst und Sport nach Bekanntgabe der durchgeführten standardisierten Berichte und Abfragen in Bezug auf die in den IKT-Lösungen und IT-Verfahren für das Personalmanagement des Bundes über die Vollständigkeit der darin enthaltenen personenbezogenen Daten und besonderen Kategorien personenbezogener Daten zu informieren. Soweit diese Daten einer betroffenen Person nicht vollständig aus den durchgeführten standardisierten Berichten und Abfragen hervorgehen, haben die Bundeskanzlerin oder der Bundeskanzler und die Bundesministerin oder der Bundesminister für öffentlichen Dienst und Sport jeweils im Rahmen ihrer Zuständigkeit der Leiterin oder dem Leiter der jeweiligen Zentralstelle diese Daten zur Verfügung zu stellen.

Verzeichnis von Verarbeitungstätigkeiten

§ 5. Die Bundeskanzlerin oder der Bundeskanzler führt bezüglich der IKT-Lösungen und IT-Verfahren für das Personalmanagement des Bundes ein Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO und stellt dieses Verzeichnis den jeweils gemeinsam Verantwortlichen und auf Anfrage der Datenschutzbehörde in diesem Umfang zur Verfügung.

Schlussbestimmungen

§ 6. Diese Verordnung tritt mit 25. Mai 2018 in Kraft.

Artikel II

Änderung der IKT-Nutzungsverordnung (IKT-NV)

Auf Grund des § 79d des Beamten-Dienstrechtsgesetzes 1979 - BDG 1979, BGBl. Nr. 333/1979, zuletzt geändert durch das Materien-Datenschutz-Anpassungsgesetz 2018, BGBl. I Nr. 32/2018, und des § 29n des Vertragsbedienstetengesetzes 1948 - VBG, BGBl. Nr. 86/1948, zuletzt geändert durch das Materien-Datenschutz-Anpassungsgesetz 2018, BGBl. I Nr. 32/2018, wird verordnet:

Die IKT-Nutzungsverordnung - IKT-NV, BGBl. II Nr. 281/2009, wird wie folgt geändert:

1. Nach § 5 wird folgender § 5a samt Überschrift eingefügt:

„Soziale Medien

§ 5a. (1) Die Bediensteten dürfen die Registrierungen und Profile des Dienstgebers in sozialen Medien nicht für private Zwecke verwenden, soweit nicht durch ressort- oder arbeitsplatzspezifische Nutzungsregelungen Abweichendes festgelegt ist.

(2) Bedienstete dürfen im Rahmen der Verwendung privater Registrierungen und Profile in sozialen Medien nicht den Anschein erwecken, dass die Nutzung im Namen, Interesse oder mit Wissen des Dienstgebers vorgenommen wird.

(3) Darüber hinaus gelten die §§ 3 bis 5 sinngemäß für die Verwendung von Registrierungen und Profilen in sozialen Medien.“

2. In § 6 wird der Ausdruck „4 und 5“ durch den Ausdruck „3 bis 5a“ ersetzt.

3. In § 7 Abs. 1 wird die Wortfolge „des Datenschutzgesetzes 2000, BGBl. I Nr. 165/1999,“ durch die Wortfolge „der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1, in der Fassung der Berichtigung ABl. Nr. L 314 vom 22.11.2016 S. 72, des Datenschutzgesetzes, BGBl. I Nr. 165/1999, und der weiteren datenschutzrechtlichen Vorgaben“ ersetzt.

4. Nach § 7 wird folgender § 8 samt Überschrift eingefügt:

„Schlussbestimmungen

§ 8. (1) § 5a samt Überschrift, § 6, § 7 Abs. 1 und § 8 samt Überschrift in der Fassung der Verordnung BGBl. II Nr. 107/2018 treten mit 25. Mai 2018 in Kraft.“